TWI733675B - 具有加密的客戶端設備上下文的網路架構和安全 - Google Patents

Abstract

在一個態樣，網路可以支援數個客戶端設備。在此種網路中，客戶端設備發送對與網路進行通訊的請求，建立安全上下文，並從網路接收一或多個加密的客戶端設備上下文。加密的客戶端設備上下文使得能夠在網路處重建上下文以便與客戶端設備通訊，其中該上下文包括與客戶端設備相關聯的網路狀態資訊。客戶端設備向包括至少一個加密的客戶端設備上下文的網路發送訊息（例如，包括上行鏈路資料封包）。由於網路設備可以基於加密的客戶端設備上下文來重建針對客戶端設備的上下文，因此網路設備可以減少在網路設備處保持的上下文的量，以便支援更大數量的客戶端設備。

Description

具有加密的客戶端設備上下文的網路架構和安全

本案內容的各態樣大體而言係關於網路通訊，並且更特定言之，但不排他地，係關於物聯網路（IoT）網路架構。

電子設備用於收集、處理和交換資料的能力持續增長。另外，越來越多數量的該等電子設備正被提供有網路連接。此種能力和特徵使得許多電子設備進化成物聯網路（IoT）設備。由於該等類型的電子設備的數量持續快速增長，網路可能不具有充分地支援該等電子設備的資源。

例如，在IoT環境中，網路（例如，LTE網路）可能需要支援大量（例如，數十億）的IoT設備。由於由網路分配用於IoT目的的資源量可能是有限的，因此網路可能無法保持針對該等類型的設備的所有上下文。另外，由於IoT設備可能是不經常活動的並且具有有限的資源，因此該等設備可能無法執行連接所需的複雜訊號傳遞。

以下呈現了對本案內容的一些態樣的簡要概括，以便提供對該等態樣的基本理解。該概括不是對本案內容的所有預期特徵的詳盡概述，並且既不意欲標識本案內容的所有態樣的關鍵或重要要素亦不意欲圖示本案內容的任意或全部態樣的範圍。其唯一目的是以簡要的形式呈現本案內容的一些態樣的各種概念，作為之後呈現的更為詳細的描述的序言。

在一個態樣，提供了一種用於網路存取節點的方法。該網路存取節點進行以下操作：獲得針對與客戶端設備相關聯的加密的客戶端設備上下文的金鑰；從該客戶端設備接收第一資料封包和該加密的客戶端設備上下文；使用該金鑰，根據該加密的客戶端設備上下文來獲得針對該客戶端設備的安全上下文；基於該安全上下文來解密及/或驗證該第一資料封包；及當該解密和驗證成功時，向服務網路轉發該第一資料封包。在一個態樣，該網路存取節點藉由基於該金鑰解密該加密的客戶端設備上下文來獲得該安全上下文，並且其中該安全上下文至少包括使用者平面加密金鑰、使用者平面完整性保護金鑰，或其組合。在一個態樣，該第一資料封包是至少利用該使用者平面完整性保護金鑰來驗證的或利用該使用者平面加密金鑰來解密的。在一個態樣，該安全上下文包括使用者平面加密金鑰和使用者平面完整性保護金鑰。在此種態樣，該網路存取節點可以進行以下操作：從伺服器或封包資料網路閘道接收第二資料封包；使用該使用者平面加密金鑰或該使用者平面完整性保護金鑰來對該第二資料封包進行加密或完整性保護；及向該客戶端設備轉發該第二資料封包。該網路存取節點可以移除該至少一個上下文。該網路存取節點可以從該客戶端設備接收包括該一或多個加密的客戶端設備上下文中的至少一個和資源建立請求的訊息。該網路存取節點可以回應於該訊息，獲得針對該客戶端設備的網路位址。該網路存取節點可以向該客戶端設備發送網路位址。在一個態樣，該網路存取節點可以從該客戶端設備接收資源釋放請求訊息，並且可以向閘道發送來自該客戶端設備的該資源釋放請求訊息，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。在一個態樣，該一或多個資源至少包括針對該客戶端設備的該網路位址或承載。在另一個態樣，該網路存取節點可以當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，向閘道發送資源釋放請求訊息，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。在一個態樣，該一或多個資源至少包括針對該客戶端設備的該網路位址或承載。在一個態樣，該網路存取節點可以當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，釋放用於該客戶端設備的一或多個資源。在一個態樣，該一或多個資源至少包括針對該客戶端設備的該網路位址或承載。在另一個態樣，該網路存取節點可以從該客戶端設備接收資源釋放請求訊息。在此種態樣，該網路存取節點可以回應於該資源釋放請求訊息，釋放用於該客戶端設備的一或多個資源。在一個態樣，該一或多個資源至少包括針對該客戶端設備的該網路位址或承載。

在一個態樣，提供了一種網路存取節點。該網路存取節點包括：用於獲得針對與客戶端設備相關聯的加密的客戶端設備上下文的金鑰的構件；用於從該客戶端設備接收第一資料封包和該加密的客戶端設備上下文的構件；用於使用該金鑰，根據該加密的客戶端設備上下文來獲得針對該客戶端設備的安全上下文的構件；用於基於該安全上下文來解密及/或驗證該第一資料封包的構件；及用於當該解密和驗證成功時，向服務網路轉發該第一資料封包的構件。在一個態樣，用於獲得該安全上下文的該構件被配置為基於該金鑰來解密該加密的客戶端設備上下文，其中該安全上下文至少包括使用者平面加密金鑰、使用者平面完整性保護金鑰，或其組合。在一個態樣，該第一資料封包是至少利用該使用者平面完整性保護金鑰來驗證的或利用該使用者平面加密金鑰來解密的。在一個態樣，該安全上下文包括使用者平面加密金鑰和使用者平面完整性保護金鑰。在此種態樣，該網路存取節點可以包括：用於從伺服器或封包資料網路閘道接收第二資料封包的構件；用於使用該使用者平面加密金鑰或該使用者平面完整性保護金鑰來對該第二資料封包進行加密或完整性保護的構件；及用於向該客戶端設備轉發該第二資料封包的構件。在一個態樣，該網路存取節點包括用於移除該至少一個上下文的構件。在一個態樣，該網路存取節點包括用於從該客戶端設備接收包括該一或多個加密的客戶端設備上下文中的至少一個和資源建立請求的訊息的構件。在一個態樣，該網路存取節點包括用於回應於該訊息，獲得針對該客戶端設備的網路位址的構件。在一個態樣，該網路存取節點包括用於向該客戶端設備發送網路位址的構件。在一個態樣，該網路存取節點包括用於從該客戶端設備接收資源釋放請求訊息的構件，以及用於向閘道發送來自該客戶端設備的該資源釋放請求訊息的構件，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。在一個態樣，該一或多個資源至少包括針對該客戶端設備的該網路位址或承載。在另一個態樣，該網路存取節點包括用於當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，向閘道發送資源釋放請求訊息的構件，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。在一個態樣，該一或多個資源至少包括針對該客戶端設備的該網路位址或承載。在一個態樣，該網路存取節點包括用於當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，釋放用於該客戶端設備的一或多個資源的構件。在一個態樣，該一或多個資源至少包括針對該客戶端設備的該網路位址或承載。在另一個態樣，該網路存取節點包括用於從該客戶端設備接收資源釋放請求訊息的構件。在此種態樣，該網路存取節點包括用於回應於該資源釋放請求訊息，釋放用於該客戶端設備的一或多個資源的構件。在一個態樣，該一或多個資源至少包括針對該客戶端設備的該網路位址或承載。

在一個態樣，提供了一種用於客戶端設備的方法。該客戶端設備進行以下操作：發送對與網路進行通訊的請求；建立針對與該網路的連接的安全上下文，其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰或其組合；及回應於該請求，從該網路接收一或多個加密的客戶端設備上下文。該客戶端設備向該網路發送包括該一或多個加密的客戶端設備上下文中的至少一個的訊息，其中該一或多個加密的客戶端設備上下文使得能夠在該網路處重建上下文以便與該客戶端設備通訊，該上下文包括與該客戶端設備相關聯的網路狀態資訊。在一個態樣，該上下文在該網路處被移除。在一個態樣，該客戶端設備基於該訊息是包括資料還是控制資訊，來決定該一或多個加密的客戶端設備上下文中要使用的至少一個。在一個態樣，該一或多個加密的客戶端設備上下文包括要用於與該客戶端設備的、資料相關的通訊的第一上下文和要用於與該客戶端設備的、控制相關的通訊的第二上下文。在一個態樣，該一或多個加密的客戶端設備上下文包括以下各項中的至少一項：安全上下文、針對承載的服務品質、隧道端點辨識符，或其組合。在一個態樣，該請求包括關於該客戶端設備正請求該一或多個加密的客戶端設備上下文的指示。在一個態樣，該請求包括對該客戶端設備正請求的服務的指示。在一個態樣，該一或多個加密的客戶端設備上下文包括使用者平面加密的客戶端設備上下文和控制平面加密的客戶端設備上下文。在此種態樣，該訊息包括：具有該使用者平面加密的客戶端設備上下文的第一資料封包，或具有該控制平面加密的客戶端設備上下文的控制封包。在一個態樣，該加密金鑰是使用者平面加密金鑰且該完整性保護金鑰是使用者平面完整性保護金鑰，其中該使用者平面加密金鑰和該使用者平面完整性保護金鑰保持在該客戶端設備處，並且其中該第一資料封包是至少利用該使用者平面完整性保護金鑰進行完整性保護的或利用該使用者平面加密金鑰來加密的。在一個態樣，對包括該第一資料封包的該訊息的傳輸不建立與該網路的網路存取節點的無線電資源控制連接。在一個態樣，該客戶端設備在發送包括該第一資料封包的該訊息之後立即進入閒置模式。在一個態樣，該客戶端設備接收第二資料封包，其中接收該第二資料封包不建立與網路存取節點的無線電資源控制連接。在一個態樣，該加密金鑰是使用者平面加密金鑰且該完整性保護金鑰是使用者平面完整性保護金鑰，其中該使用者平面加密金鑰和該使用者平面完整性保護金鑰保持在該客戶端設備處，並且其中接收該第二資料封包包括利用該使用者平面完整性保護金鑰來對該第二資料封包進行驗證或利用該使用者平面加密金鑰來對該第二資料封包進行解密中的至少一個。在一個態樣，該控制封包是追蹤區域更新。在一個態樣，該客戶端設備從該網路接收傳呼訊息。在一個態樣，該客戶端設備向該網路發送具有該使用者平面加密的客戶端設備上下文的空封包。在一個態樣，該加密的客戶端設備上下文是作為與該網路的認證成功的結果，從該網路接收的。在一個態樣，與該網路的該成功認證不建立存取層安全上下文。在一個態樣，該客戶端設備在本機儲存器中儲存該一或多個加密的客戶端設備上下文。在一個態樣，該一或多個加密的客戶端設備上下文未在該客戶端設備處解密，並且該一或多個加密的客戶端設備上下文僅由產生該一或多個加密的客戶端設備上下文的網路設備解密。在一個態樣，該訊息亦包括資源建立請求。在此種態樣，該客戶端設備回應於該訊息，接收針對該客戶端設備的網路位址，以及向該網路發送包括該網路位址的複數個資料封包。在一個態樣，該客戶端設備向該網路發送資源釋放請求訊息，其中該資源釋放請求訊息使得該網路能夠釋放用於該客戶端設備的一或多個資源。在一個態樣，該上下文是在從該網路接收到該一或多個加密的客戶端設備上下文之後，在該網路處移除的。

在一個態樣，提供了一種客戶端設備。該客戶端設備包括：用於發送對與網路進行通訊的請求的構件；用於建立針對與該網路的連接的安全上下文的構件，其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰或其組合；用於回應於該請求，從該網路接收一或多個加密的客戶端設備上下文的構件；及用於向該網路發送包括該一或多個加密的客戶端設備上下文中的至少一個的訊息的構件，其中該一或多個加密的客戶端設備上下文使得能夠在該網路處重建上下文以便與該客戶端設備通訊，該上下文包括與該客戶端設備相關聯的網路狀態資訊。在一個態樣，該上下文在該網路處被移除。在一個態樣，該客戶端設備包括用於基於該訊息是包括資料還是控制資訊，來決定該一或多個加密的客戶端設備上下文中要使用的至少一個的構件。在一個態樣，該一或多個加密的客戶端設備上下文包括要用於與該客戶端設備的、資料相關的通訊的第一上下文和要用於與該客戶端設備的、控制相關的通訊的第二上下文。在一個態樣，該一或多個加密的客戶端設備上下文包括以下各項中的至少一項：安全上下文、針對承載的服務品質、隧道端點辨識符，或其組合。在一個態樣，該請求包括關於該客戶端設備正請求該一或多個加密的客戶端設備上下文的指示。在一個態樣，該請求包括對該客戶端設備正請求的服務的指示。在一個態樣，該一或多個加密的客戶端設備上下文包括使用者平面加密的客戶端設備上下文和控制平面加密的客戶端設備上下文。在此種態樣，該訊息包括：具有該使用者平面加密的客戶端設備上下文的第一資料封包，或具有該控制平面加密的客戶端設備上下文的控制封包。在一個態樣，該加密金鑰是使用者平面加密金鑰且該完整性保護金鑰是使用者平面完整性保護金鑰，其中該使用者平面加密金鑰和該使用者平面完整性保護金鑰保持在該客戶端設備處，並且其中該第一資料封包是至少利用該使用者平面完整性保護金鑰進行完整性保護的或利用該使用者平面加密金鑰來加密的。在一個態樣，對包括該第一資料封包的該訊息的傳輸不建立與該網路的網路存取節點的無線電資源控制連接。在一個態樣，該客戶端設備包括用於在發送包括該第一資料封包的該訊息之後立即進入閒置模式的構件。在一個態樣，該客戶端設備包括用於接收第二資料封包的構件，其中接收該第二資料封包不建立與網路存取節點的無線電資源控制連接。在一個態樣，該加密金鑰是使用者平面加密金鑰且該完整性保護金鑰是使用者平面完整性保護金鑰，其中該使用者平面加密金鑰和該使用者平面完整性保護金鑰保持在該客戶端設備處，並且其中接收該第二資料封包包括利用該使用者平面完整性保護金鑰來對該第二資料封包進行驗證或利用該使用者平面加密金鑰來對該第二資料封包進行解密中的至少一個。在一個態樣，該控制封包是追蹤區域更新。在一個態樣，該客戶端設備包括用於從該網路接收傳呼訊息的構件。在一個態樣，該客戶端設備包括用於向該網路發送具有該使用者平面加密的客戶端設備上下文的空封包的構件。在一個態樣，該加密的客戶端設備上下文是作為與該網路的認證成功的結果，從該網路接收的。在一個態樣，與該網路的該成功認證不建立存取層安全上下文。在一個態樣，該客戶端設備包括用於在本機儲存器中儲存該一或多個加密的客戶端設備上下文的構件。在一個態樣，該一或多個加密的客戶端設備上下文未在該客戶端設備處解密，並且其中該一或多個加密的客戶端設備上下文僅由產生該一或多個加密的客戶端設備上下文的網路設備解密。在一個態樣，該訊息亦包括資源建立請求。在此種態樣，該客戶端設備包括用於回應於該訊息，接收針對該客戶端設備的網路位址的構件，以及用於向該網路發送包括該網路位址的複數個資料封包的構件。在一個態樣，該客戶端設備包括用於向該網路發送資源釋放請求訊息的構件，其中該資源釋放請求訊息使得該網路能夠釋放用於該客戶端設備的一或多個資源。在一個態樣，該上下文是在從該網路接收到該一或多個加密的客戶端設備上下文之後，在該網路處移除的。

在一個態樣，提供了一種用於客戶端設備的方法。該客戶端設備進行以下操作：發送對與網路進行通訊的請求；建立針對與該網路的連接的安全上下文，其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰或其組合；及回應於該請求，從該網路接收一或多個加密的客戶端設備上下文。該客戶端設備向該網路發送包括該一或多個加密的客戶端設備上下文中的至少一個的訊息。在一個態樣，該一或多個加密的客戶端設備上下文使得能夠在該網路處重建上下文的至少一部分以便與該客戶端設備通訊，該上下文包括與該客戶端設備相關聯的網路狀態資訊。在一個態樣，該一或多個加密的客戶端設備上下文中的每一個與由該網路提供的複數個服務中的一個服務相關聯。在一個態樣，客戶端設備獲得訊息，其中該訊息與由網路提供的服務相關聯。在此種態樣，客戶端設備決定該一或多個加密的客戶端設備上下文中與該服務相關聯的至少一個，其中該一或多個加密的客戶端設備上下文中的至少一個使得能夠重建該客戶端設備上下文中支援該服務的一部分。例如，該複數個服務可以包括行動寬頻服務、超可靠低延遲通訊（URLLC）服務、高優先順序存取服務、延遲容忍存取服務，及/或機器類型的通訊（MTC）服務。該客戶端設備獲得與該一或多個加密的客戶端設備上下文中的至少一個相關聯的使用資訊。在一個態樣，與該一或多個加密的客戶端設備上下文中的至少一個相關聯的使用資訊指示對訊息的傳輸是減少的資料傳輸亦是短脈衝資料傳輸。在一個態樣，該使用資訊可以包括與要由該網路針對由該網路提供的服務類型來重建的上下文（或上下文的一部分）相關聯的值（例如，索引號或其他值）。在一個態樣，該上下文的該一部分在該網路處保持一段時間，該一段時間是基於對該訊息的該傳輸是減少的資料傳輸還是短脈衝資料傳輸來決定的。在一個態樣，該訊息包括使用資訊。在一個態樣，該一或多個加密的客戶端設備上下文包括第一使用者平面加密的客戶端設備上下文和第二使用者平面加密的客戶端設備上下文，該第一使用者平面加密的客戶端設備上下文使得能夠在該網路中的第一實體處重建針對該客戶端設備的第一上下文，而該第二使用者平面加密的客戶端設備上下文使得能夠在該網路中的第二實體處重建針對該客戶端設備的第二上下文。在此種態樣，該訊息至少包括該第一使用者平面加密的客戶端設備上下文和該第二使用者平面加密的客戶端設備上下文。

在一個態樣，提供了一種客戶端設備。該客戶端設備包括：用於發送對與網路進行通訊的請求的構件；用於建立針對與該網路的連接的安全上下文的構件，其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰或其組合；及回應於該請求，從該網路接收一或多個加密的客戶端設備上下文。該客戶端設備亦包括用於向該網路發送包括該一或多個加密的客戶端設備上下文中的至少一個的訊息的構件。在一個態樣，該一或多個加密的客戶端設備上下文使得能夠在該網路處重建上下文的至少一部分以便與該客戶端設備通訊，該上下文包括與該客戶端設備相關聯的網路狀態資訊。在一個態樣，該一或多個加密的客戶端設備上下文中的每一個與由該網路提供的複數個服務中的一個服務相關聯。在一個態樣，該客戶端設備包括用於獲得訊息的構件，其中該訊息與由網路提供的服務相關聯。在此種態樣，該客戶端設備包括用於決定該一或多個加密的客戶端設備上下文中與該服務相關聯的至少一個的構件，其中該一或多個加密的客戶端設備上下文中的至少一個使得能夠重建該客戶端設備上下文中支援該服務的一部分。例如，該複數個服務可以包括行動寬頻服務、超可靠低延遲通訊（URLLC）服務、高優先順序存取服務、延遲容忍存取服務，及/或機器類型的通訊（MTC）服務。在一個態樣，該客戶端設備包括用於獲得與該一或多個加密的客戶端設備上下文中的至少一個相關聯的使用資訊的構件。在一個態樣，與該一或多個加密的客戶端設備上下文中的至少一個相關聯的使用資訊指示對訊息的傳輸是減少的資料傳輸還是短脈衝資料傳輸。在一個態樣，該使用資訊可以包括與要由該網路針對由該網路提供的服務類型來重建的上下文（或上下文的一部分）相關聯的值（例如，索引號或其他值）。在一個態樣，該上下文的該一部分在該網路處保持一段時間，該一段時間是基於對該訊息的該傳輸是減少的資料傳輸還是短脈衝資料傳輸來決定的。在一個態樣，該訊息包括使用資訊。在一個態樣，該一或多個加密的客戶端設備上下文包括第一使用者平面加密的客戶端設備上下文和第二使用者平面加密的客戶端設備上下文，該第一使用者平面加密的客戶端設備上下文使得能夠在該網路中的第一實體處重建針對該客戶端設備的第一上下文，而該第二使用者平面加密的客戶端設備上下文使得能夠在該網路中的第二實體處重建針對該客戶端設備的第二上下文。在此種態樣，該訊息至少包括該第一使用者平面加密的客戶端設備上下文和該第二使用者平面加密的客戶端設備上下文。

在一個態樣，提供了一種用於網路設備的方法。該網路設備進行以下操作：從客戶端設備接收對與網路進行通訊的請求；建立與該客戶端設備的至少一個上下文，該至少一個上下文包括與該客戶端設備和該網路之間的連接相關聯的網路狀態資訊，其中該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰，或其組合；產生一或多個加密的客戶端設備上下文，其中該一或多個加密的客戶端設備上下文使得能夠在該網路處重建該至少一個上下文以便與該客戶端設備通訊；及向該客戶端設備發送該一或多個加密的客戶端設備上下文。在一個態樣，該網路設備決定要產生該一或多個加密的客戶端設備上下文，其中該決定基於以下各項中的至少一項：在該請求中指示的加密的客戶端設備上下文使用資訊、該客戶端設備的定製、策略，或其組合。在一個態樣，該一或多個加密的客戶端設備上下文包括要用於資料相關的通訊的第一上下文和要用於控制相關的通訊的第二上下文。在一個態樣，該網路設備從歸屬用戶伺服器（HSS）/認證、授權和計費（AAA）伺服器請求認證資訊，並且與該客戶端設備執行相互認證。在一個態樣，該網路設備從該客戶端設備接收控制封包和加密的客戶端設備上下文；驗證從該客戶端設備接收到的該加密的客戶端設備上下文；根據該加密的客戶端設備上下文來重建該至少一個上下文；使用該至少一個上下文來處理該控制封包，其中該處理包括使用該上下文來對該控制封包進行驗證、解密中的至少一個，或其組合；儲存針對該客戶端設備的下行鏈路封包的臨時辨識符；及向應用伺服器或封包資料網路閘道轉發該控制封包的有效負荷部分。在一個態樣，該加密金鑰至少包括控制平面加密金鑰、使用者平面加密金鑰，或其組合，而該完整性保護金鑰至少包括使用者平面完整性保護金鑰、控制平面完整性保護金鑰，或其組合。在一個態樣，驗證該加密的客戶端設備上下文包括：決定該加密的客戶端設備上下文是否已經到期；當先前的加密的客戶端設備上下文已經到期時，產生一或多個新的加密的客戶端設備上下文；及當該先前的加密的客戶端設備上下文已經到期時，向該客戶端設備發送該一或多個新的加密的客戶端設備上下文。在一個態樣，該網路設備從第二客戶端設備接收控制封包；從第二網路設備請求針對該第二客戶端設備的上下文，該請求包括控制平面加密的客戶端設備上下文；從該第二網路設備接收針對該第二客戶端設備的該上下文；產生新的加密的客戶端設備上下文；及向該第二客戶端設備發送該新的加密的客戶端設備上下文。在一個態樣，驗證該加密的客戶端設備上下文包括決定用於驗證該加密的客戶端設備上下文的金鑰。在一個態樣，該網路設備進行以下操作：移除該至少一個上下文；從該客戶端設備接收包括該一或多個加密的客戶端設備上下文中的至少一個和資源建立請求的訊息；回應於該訊息，獲得針對該客戶端設備的網路位址；及向該客戶端設備發送該網路位址。在一個態樣，該網路設備進行以下操作：從該客戶端設備接收資源釋放請求訊息；及向閘道發送來自該客戶端設備的該資源釋放請求訊息，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。在一個態樣，該網路設備進行以下操作：當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，向閘道發送資源釋放請求訊息，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。

在一個態樣，提供了一種網路設備。該網路設備包括：用於從客戶端設備接收對與網路進行通訊的請求的構件；用於建立與該客戶端設備的至少一個上下文的構件，該至少一個上下文包括與該客戶端設備和該網路之間的連接相關聯的網路狀態資訊，其中該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰，或其組合；用於產生一或多個加密的客戶端設備上下文的構件，其中該一或多個加密的客戶端設備上下文使得能夠在該網路處重建該至少一個上下文以便與該客戶端設備通訊；及用於向該客戶端設備發送該一或多個加密的客戶端設備上下文的構件。在一個態樣，該網路設備包括用於決定要產生該一或多個加密的客戶端設備上下文的構件，其中該決定基於以下各項中的至少一項：在該請求中指示的加密的客戶端設備上下文使用資訊、該客戶端設備的定製、策略，或其組合。在一個態樣，該一或多個加密的客戶端設備上下文包括要用於資料相關的通訊的第一上下文和要用於控制相關的通訊的第二上下文。在一個態樣，該網路設備包括用於從歸屬使用者伺服器（HSS）/認證、授權和計費（AAA）伺服器請求認證資訊的構件，以及用於與該客戶端設備執行相互認證的構件。在一個態樣，該網路設備包括：用於從該客戶端設備接收控制封包和加密的客戶端設備上下文的構件；用於驗證從該客戶端設備接收到的該加密的客戶端設備上下文的構件；用於根據該加密的客戶端設備上下文來重建該至少一個上下文的構件；用於使用該至少一個上下文來處理該控制封包的構件，其中該處理包括使用該上下文來對該控制封包進行驗證、解密中的至少一個，或其組合；用於儲存針對該客戶端設備的下行鏈路封包的臨時辨識符的構件；及用於向應用伺服器或封包資料網路閘道轉發該控制封包的有效負荷部分的構件。在一個態樣，該加密金鑰至少包括控制平面加密金鑰、使用者平面加密金鑰，或其組合，而該完整性保護金鑰至少包括使用者平面完整性保護金鑰、控制平面完整性保護金鑰，或其組合。在一個態樣，用於驗證該加密的客戶端設備上下文的該構件被配置為進行以下操作：決定該加密的客戶端設備上下文是否已經到期；當先前的加密的客戶端設備上下文已經到期時，產生一或多個新的加密的客戶端設備上下文；及當該先前的加密的客戶端設備上下文已經到期時，向該客戶端設備發送該一或多個新的加密的客戶端設備上下文。在一個態樣，該網路設備包括：用於從第二客戶端設備接收控制封包的構件；用於從第二網路設備請求針對該第二客戶端設備的上下文的構件，該請求包括控制平面加密的客戶端設備上下文；用於從該第二網路設備接收針對該第二客戶端設備的該上下文的構件；用於產生新的加密的客戶端設備上下文的構件；及用於向該第二客戶端設備發送該新的加密的客戶端設備上下文的構件。在一個態樣，該用於驗證該加密的客戶端設備上下文的構件被配置為決定用於驗證該加密的客戶端設備上下文的金鑰。在一個態樣，該網路設備包括：用於移除該至少一個上下文的構件；用於從該客戶端設備接收包括該一或多個加密的客戶端設備上下文中的至少一個和資源建立請求的訊息的構件；用於回應於該訊息，獲得針對該客戶端設備的網路位址的構件；及用於向該客戶端設備發送該網路位址的構件。在一個態樣，該網路設備包括：用於從該客戶端設備接收資源釋放請求訊息的構件；及用於向閘道發送來自該客戶端設備的該資源釋放請求訊息的構件，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。在一個態樣，該網路設備包括：用於當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，向閘道發送資源釋放請求訊息的構件，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。

在一個態樣，提供了一種用於網路設備的方法。該網路設備從客戶端設備接收對與網路進行通訊的請求。該網路設備建立與該客戶端設備的至少一個上下文，該至少一個上下文包括與該客戶端設備和該網路之間的連接相關聯的網路狀態資訊，其中該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰，或其組合。該網路設備可以產生一或多個加密的客戶端設備上下文。在一個態樣，該一或多個加密的客戶端設備上下文使得能夠在該網路處重建該至少一個上下文以便與該客戶端設備通訊。該網路設備可以向該客戶端設備發送該一或多個加密的客戶端設備上下文。該網路設備移除該至少一個上下文。該網路設備從該客戶端設備接收訊息，該訊息包括該一或多個加密的客戶端設備上下文中的至少一個以及與該一或多個加密的客戶端設備上下文相關聯的使用資訊。在一個態樣，該使用資訊指示對該訊息的傳輸是減少的資料傳輸還是短脈衝資料傳輸。在一個態樣，該網路設備可以基於該一或多個加密的客戶端設備上下文中的至少一個以及該使用資訊來重建上下文的至少一部分。在一個態樣，該網路設備當該使用資訊指示減少的資料傳輸時，在第一閥值時間段內保持上下文的該至少一部分，或當該使用資訊指示短脈衝資料傳輸時，在第二閥值時間段內保持上下文的該至少一部分，該第二閥值時間段大於該第一閥值時間段。

在一個態樣，提供了一種網路設備。該網路設備包括：用於從客戶端設備接收對與網路進行通訊的請求的構件。該網路設備亦包括：用於建立與該客戶端設備的至少一個上下文的構件，該至少一個上下文包括與該客戶端設備和該網路之間的連接相關聯的網路狀態資訊，其中該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰，或其組合。在一個態樣，該網路設備包括用於產生一或多個加密的客戶端設備上下文的構件。在一個態樣，該一或多個加密的客戶端設備上下文使得能夠在該網路處重建該至少一個上下文以便與該客戶端設備通訊。在一個態樣，該網路設備包括用於向該客戶端設備發送該一或多個加密的客戶端設備上下文的構件。在一個態樣，該網路設備包括用於移除該至少一個上下文的構件。在一個態樣，該網路設備包括用於從該客戶端設備接收訊息的構件，該訊息包括該一或多個加密的客戶端設備上下文中的至少一個以及與該一或多個加密的客戶端設備上下文相關聯的使用資訊。在一個態樣，該使用資訊指示對該訊息的傳輸是減少的資料傳輸還是短脈衝資料傳輸。在一個態樣，該網路設備包括用於基於該一或多個加密的客戶端設備上下文中的至少一個以及該使用資訊來重建上下文的至少一部分的構件。在一個態樣，該網路設備包括用於當該使用資訊指示減少的資料傳輸時，在第一閥值時間段內保持上下文的該至少一部分，或當該使用資訊指示短脈衝資料傳輸時，在第二閥值時間段內保持上下文的該至少一部分的構件，該第二閥值時間段大於該第一閥值時間段。

在一個態樣，提供了一種用於網路設備的方法。該網路設備進行以下操作：獲得針對與客戶端設備相關聯的加密的客戶端設備上下文的金鑰；從該客戶端設備接收第一資料封包和該加密的客戶端設備上下文；使用該金鑰，根據該加密的客戶端設備上下文來獲得針對該客戶端設備的安全上下文；基於該安全上下文來解密和驗證該第一資料封包；及當該解密和驗證成功時，向服務網路轉發該第一資料封包。在一個態樣，該網路設備經由基於該金鑰來解密該加密的客戶端設備上下文來獲得該安全上下文，並且其中該安全上下文至少包括使用者平面加密金鑰、使用者平面完整性保護金鑰，或其組合。在一個態樣，該第一資料封包是至少利用該使用者平面完整性保護金鑰來驗證的或利用該使用者平面加密金鑰來解密的。在一個態樣，該安全上下文包括使用者平面加密金鑰和使用者平面完整性保護金鑰。在此種態樣，該網路設備進行以下操作：從伺服器或封包資料網路閘道接收第二資料封包；決定該第二資料封包要轉發到的網路存取節點；向該第二資料封包添加使得該網路存取節點能夠決定該客戶端設備的臨時辨識符；使用該使用者平面加密金鑰或該使用者平面完整性保護金鑰來對該第二資料封包進行加密或完整性保護；及向該客戶端設備轉發該第二資料封包。

在一個態樣，提供了一種網路設備。該網路設備包括：用於獲得針對與客戶端設備相關聯的加密的客戶端設備上下文的金鑰的構件；用於從該客戶端設備接收第一資料封包和該加密的客戶端設備上下文的構件；用於使用該金鑰，根據該加密的客戶端設備上下文來獲得針對該客戶端設備的安全上下文的構件；用於基於該安全上下文來解密和驗證該第一資料封包的構件；及當該解密和驗證成功時，向服務網路轉發該第一資料封包。在一個態樣，用於獲得該安全上下文的該構件被配置為基於該金鑰來解密該加密的客戶端設備上下文，並且其中該安全上下文至少包括使用者平面加密金鑰、使用者平面完整性保護金鑰，或其組合。在一個態樣，該第一資料封包是至少利用該使用者平面完整性保護金鑰來驗證的或利用該使用者平面加密金鑰來解密的。在一個態樣，該安全上下文包括使用者平面加密金鑰和使用者平面完整性保護金鑰。在此種態樣，該網路設備包括：用於從伺服器或封包資料網路閘道接收第二資料封包的構件；用於決定該第二資料封包要轉發到的網路存取節點的構件；用於向該第二資料封包添加使得該網路存取節點能夠決定該客戶端設備的臨時辨識符的構件；用於使用該使用者平面加密金鑰或該使用者平面完整性保護金鑰來對該第二資料封包進行加密或完整性保護的構件；及用於向該客戶端設備轉發該第二資料封包的構件。

在一個態樣，提供了一種用於網路存取節點的方法。該網路存取節點進行以下操作：從客戶端設備接收具有對與網路進行通訊的請求的第一資料封包；決定該第一資料封包所意欲的網路節點；從在該網路節點處實施的網路功能單元接收第二資料封包；及決定該第二資料封包要轉發到的該客戶端設備。在一個態樣，該網路存取節點儲存針對該客戶端設備的臨時辨識符，其中該臨時辨識符是細胞無線電網路臨時辨識符（C-RNTI），並且其中該臨時辨識符被儲存預定的時間段。在一個態樣，該網路存取節點向該第一資料封包添加該臨時辨識符。在一個態樣，該網路存取節點進行以下操作：決定該請求要轉發到的該網路功能單元，其中該決定是在該網路存取節點處預先配置的；及向該網路功能單元轉發該第一資料封包。在一個態樣，該網路存取節點移除該第二資料封包中的臨時辨識符；及向該客戶端設備轉發該第二資料封包。在一個態樣，該網路存取節點經由根據該第二資料封包中的臨時辨識符辨識該客戶端設備，來決定該第二資料封包要轉發到的該客戶端設備。

在一個態樣，提供了一種網路存取節點。該網路存取節點包括：用於從客戶端設備接收具有對與網路進行通訊的請求的第一資料封包的構件；用於決定該第一資料封包所意欲的網路節點的構件；用於從在該網路節點處實施的網路功能單元接收第二資料封包的構件；及用於決定該第二資料封包要轉發到的該客戶端設備的構件。在一個態樣，該網路存取節點包括用於儲存針對該客戶端設備的臨時辨識符的構件，其中該臨時辨識符是細胞無線電網路臨時辨識符（C-RNTI），並且其中該臨時辨識符被儲存預定的時間段。在一個態樣，該網路存取節點包括用於向該第一資料封包添加該臨時辨識符的構件。在一個態樣，該網路存取節點包括：用於決定該請求要轉發到的該網路功能單元的構件，其中該決定是在該網路存取節點處預先配置的；及用於向該網路功能單元轉發該第一資料封包的構件。在一個態樣，該網路存取節點包括：用於移除該第二資料封包中的臨時辨識符的構件；及用於向該客戶端設備轉發該第二資料封包的構件。在一個態樣，用於決定該第二資料封包要轉發到的該客戶端設備的該構件被配置為根據該第二資料封包中的臨時辨識符來辨識該客戶端設備。

在查閱了以下詳細描述時，將更充分地理解本案內容的該等和其他態樣。在連同附圖查閱了以下對本案內容的特定實施的描述時，本案內容的其他態樣、特徵和實施對本領域一般技藝人士而言將變得顯而易見。儘管本案內容的特徵可能是相對於以下某些實施和附圖來論述的，但是本案內容的所有實施可以包括本文所論述的有利特徵中的一或多個。換言之，儘管一或多個實施可能被論述為具有某些有利特徵，但是亦可以根據在本文論述的本案內容的各種實施來使用一或多個此種特徵。以類似的方式，儘管某些實施在以下可能被論述為設備、系統或方法實施方式，應當理解的是，可以以各種設備、系統和方法來實施此種實施方式。

下文結合附圖所闡述的詳細描述意欲作為對各種配置的描述，而不意欲表示可以實踐本文描述的概念的唯一配置。出於提供對各種概念的透徹理解的目的，詳細描述包括特定細節。然而，對於本領域技藝人士將顯而易見的是，可以在不具有該等特定細節的情況下實踐該等概念。在一些實例中，以方塊圖的形式示出公知的結構和部件，以避免模糊該等概念。

如上所論述的，在IoT環境中，網路（例如，LTE網路）可能需要支援的大量的（例如，數十億）客戶端設備（亦被稱為物聯網路（IoT）設備）。客戶端設備可以是蜂巢式電話（例如，智慧型電話）、個人電腦（例如，膝上型電腦）、遊戲設備、使用者裝備（UE），或者被配置為與網路（例如，LTE網路）通訊的任何其他適當設備。客戶端設備可以針對資料傳輸和安全具有不同的要求。例如，客戶端設備訊務（亦被稱為IoT訊務）可能是延遲容忍的或不需要可靠的傳輸。在另一實例中，客戶端設備的訊務可能不需要存取層（AS）安全，以減少管理負擔。

通常，當客戶端設備從閒置模式轉換到連接模式時，可能招致訊號傳遞管理負擔。例如，客戶端設備可以建立與網路存取節點（例如，進化型節點B（eNB）、基地台或網路存取點）的連接，並且該網路存取節點可以產生針對該客戶端設備的上下文。當客戶端設備隨後進入閒置模式時，網路存取節點可以不再保持客戶端設備上下文。

當客戶端設備連接到網路時，該網路中的客戶端設備的上下文可以允許該設備執行較少的用以發送資料的訊號傳遞。例如，可以不要求登記的客戶端設備執行完全驗證程序。然而，為了實現此種效率，網路可能使用大量的資源來保持針對大量的連接的客戶端設備之每一者設備的一或多個上下文。

如本文中所使用的，客戶端設備的「上下文」可以指的是與該客戶端設備相關聯的網路狀態資訊。例如，上下文可以指的是客戶端設備安全上下文、與E-UTRAN無線電存取承載（ERAB）相關聯的上下文，及/或與無線電承載和S1承載相關聯的上下文。

由於由網路分配用於IoT目的的資源量（例如，用於實施網路功能單元的設備）可能是有限的，因此網路功能單元可能無法保持針對可能不經常活動的客戶端設備的所有上下文（例如，網路狀態資訊）。例如，一些客戶端設備可能會每10分鐘或更長時間醒來一次，向伺服器發送訊務（例如，發送資料），並立即進入休眠模式。作為另一個實例，當意外的事件發生時，一些客戶端設備可以向伺服器發送警報。另外，一些客戶端設備可以具有有限的資源（例如，記憶體、處理器、電池），並且可能不適合處理複雜的協定堆疊及/或訊號傳遞程序。

長期進化（LTE）行動性管理和通信期管理招致了太多的管理負擔而無法為潛在的數十億客戶端設備進行縮放。特定而言，在網路節點處的上下文管理和儲存可以帶來挑戰。

例如，當客戶端設備從閒置模式醒來並進入連接模式時，網路存取節點經由到行動性管理實體（MME）的服務請求來建立新的客戶端設備上下文。當客戶端設備處於進化封包系統行動性管理（EMM）註冊的狀態時，客戶端設備上下文可以保持在MME和服務閘道（S-GW）處。因此，為了支援多個客戶端設備，MME和S-GW需要配備大量的儲存器以保持針對可能大部分時間皆保留在閒置模式的客戶端設備的上下文。

本文所揭示的各態樣包括針對客戶端設備（亦被稱為物聯網路（IoT）設備）的網路架構，從上層的角度來看，其用於實現超低的客戶端設備功耗、每細胞大量的客戶端設備、小的頻譜及/或細胞中的增加的覆蓋區域。引入了專屬網路功能單元，使得能夠獨立部署和移除可擴展性/網路互通（inter-working）要求。在IoT網路功能單元（亦被稱為IoT功能單元（IoTF））中錨定（anchor）了安全性。

根據各個態樣，該架構可以允許在網路存取節點（例如，eNB、基地台、網路存取點）處不具有針對去往或來自客戶端設備的資料傳送的安全上下文。為了避免影響正常的客戶端設備的封包資料網路（PDN）連接/訊務，專用核心網路資源被分配用於較小的資料傳送。該網路可以分配專用實體（PHY）層資源用於存取控制，以亦限制小的資料訊務。客戶端設備上下文用於小的資料傳送，以在客戶端設備處於閒置狀態時消除IoTF處的、客戶端設備的半永久上下文。為了實現用於IoT設備的高效資料傳輸，所揭示的網路架構可以包括在網路設備處實施的IoTF。此種IoTF可以包括控制平面IoTF（IoTF-C）和使用者平面IoTF（IoTF-U）。在一個態樣，IoTF-C可以具有類似於行動性管理實體（MME）的功能。在一個態樣，IoTF-U可以是用於使用者平面資料訊務的行動性和安全性錨。在一個態樣，IoTF-U可以具有類似於服務閘道（S-GW）及/或網路存取節點（例如，進化型節點B（eNB）、基地台，或網路存取點）的功能。

為了允許網路功能單元（例如，IoTF-C、IoTF-U）最佳化針對客戶端設備的資源使用，所揭示的IoT網路架構的各個態樣可以實施以下設計協定：其中在封包（例如，IP封包）中攜帶客戶端設備上下文，並且IoTF（例如，包括IoTF-C和IoTF-U的IoTF）適時地建立客戶端設備上下文。此使得網路功能單元能夠保持最少量的（minimal to no）針對客戶端設備的網路狀態資訊以及最少量的訊號傳遞管理負擔。客戶端設備可以是例如蜂巢式電話（例如，智慧型電話）、個人電腦（例如，膝上型電腦）、遊戲設備、汽車、電器，或者被配置為與網路通訊的任何其他適當設備。在一些態樣，客戶端設備可以被稱為使用者設備（UE）或存取終端（AT）。在一些態樣，如本文提及的客戶端設備可以是行動設備或靜止設備。但是應當理解，所揭示的IoT網路架構和其中包括的功能單元可以用於與並非客戶端設備的設備的小的資料傳送。在一個態樣，客戶端設備可以具有標稱模式，在該標稱模式中，其建立連接並傳送資料，但其仍使用如本文中所揭示的程序來使用客戶端設備上下文傳送資料。IoT 網路架構

圖1是根據本案內容的各個態樣，IoT網路架構100的方塊圖。如圖1所示，IoT網路架構100包括客戶端設備102（亦稱為IoT設備）、網路存取節點104、網路設備105、服務網路110和歸屬用戶伺服器（HSS）/認證、授權和計費（AAA）伺服器112。在一個態樣，網路存取節點104可以是eNB、基地台，或網路存取點。

在一個態樣，網路設備105可以包括被配置為實施IoTF的一或多個處理電路及/或其他適當硬體。在本案內容的一個態樣，IoTF可以包括控制平面IoT功能單元（IoTF-C）106和使用者平面IoT功能單元（IoTF-U）108。例如，IoTF-C 106可以在第一網路節點107處實施而IoTF-U 108可以在第二網路節點109處實施。根據本文所揭示的各個態樣，術語「節點」可以代表實體，例如包括在網路設備105中的處理電路、設備、伺服器或網路實體。因此，例如，網路節點可以例如被稱為網路節點設備。

在一個態樣，IoTF-C 106和IoTF-U 108可以在同一個硬體平臺（例如，處理電路以及其他相關聯的硬體部件，例如記憶體）上實施。在此種態樣中，例如，IoTF-C 106可以在硬體平臺（例如，網路設備105）上提供的第一虛擬機器（例如，第一作業系統）處實施，而IoTF-U 108可以在硬體平臺上提供的第二虛擬機器（例如，第二作業系統）處實施。

如圖1所示，IoTF-C 106經由第一S1連接116與網路存取節點104通訊，而IoTF-U 108經由第二S1連接114與網路存取節點104通訊。在一個態樣，服務網路110可以包括被配置為提供各種類型的服務的數個實體、功能單元、閘道及/或伺服器。例如，服務網路110可以包括簡訊實體（SME）118、機器類型通訊互通功能單元（MTC-IWF）120、IoT伺服器122，及/或封包資料網路（PDN）閘道（P-GW）124。應當理解的是，在圖1中揭示的服務網路110用作一個實例，而在其他態樣中，服務網路110可以包括與圖1中揭示的彼等不同類型的實體、功能單元及/或伺服器。

在本案內容的一個態樣，在網路設備105處實施的IoTF可以提供控制平面和使用者平面功能。在一個態樣，IoTF-C 106處理針對客戶端設備的控制平面訊號傳遞（例如，攜帶控制資訊的封包，此處稱為「控制封包」）。例如，IoTF-C 106可以為客戶端設備執行行動性和通信期管理，執行與客戶端設備的認證和金鑰協商（亦稱為AKA程序），及/或可以建立針對客戶端設備的安全上下文。在一個態樣，IoTF-C 106可以推導出針對與客戶端設備102相關聯的控制平面訊務的控制平面（CP）金鑰126、針對與客戶端設備102相關聯的使用者平面訊務的使用者平面（UP）金鑰128，及/或用於產生針對客戶端設備102的加密的上下文的上下文金鑰130。在一個態樣，IoTF-C 106可以向IoTF-U 108提供使用者平面金鑰128及/或上下文金鑰130中的至少一個。因此，在一些態樣，IoTF-U 108可以包括由IoTF-C 106提供的使用者平面金鑰128及/或上下文金鑰131。

在一個態樣，IoTF-U 108可以處理針對客戶端設備的使用者平面訊務。例如，IoTF-U 108可以推導出加密金鑰和完整性金鑰（例如，使用UP金鑰128，針對關聯資料的認證加密（AEAD）密碼）、建立動態的（on-the-fly）客戶端設備上下文、認證和解密由客戶端設備發送的上行鏈路封包並向PDN或P-GW（例如，P-GW 124）轉發該上行鏈路封包、加密和認證針對連接的客戶端設備的下行鏈路封包並向下一躍點網路存取節點（例如，eNB）轉發該下行鏈路封包，及/或在傳呼期間緩存針對閒置的客戶端設備的下行鏈路封包。在一個態樣，IOTF-U 108可以被認為是用於資料訊務的行動性和安全性錨。針對 IoT 網路的示例性金鑰層

圖2是根據本案內容的各態樣，圖示用於IoT網路架構（例如，IoT網路架構100）的金鑰層200的示圖。在圖2中，金鑰K_IoT 202可以是永久儲存在客戶端設備（例如，客戶端設備102）的通用行動電信系統（UMTS）用戶標識模組（USIM）和網路的認證中心（AuC））的秘密金鑰。完整性金鑰（IK）和加密金鑰（CK）（在圖2中圖示為IK、CK 204）是在AKA程序期間在AuC和USIM中匯出的一對金鑰。參考圖1，在AKA程序期間，IoTF-C 106可以從HSS/AAA伺服器112接收包含來自存取安全管理實體（ASME）的金鑰（在圖2中圖示為金鑰K_ASME 206）的認證向量（AV）。IoTF-C 106可以根據金鑰K_ASME 206來推導出控制平面金鑰（K_CP ）208和使用者平面金鑰（K_UP ）214。IoTF-C 106可以向IoTF-U 108提供金鑰K_UP 214。IOTF-C 106可以根據金鑰K_CP 208推導出加密金鑰K_IoT-CPenc 210和完整性保護金鑰K_IoT-CPint 212。IOTF-U 108可以根據金鑰K_UP 214推導出加密金鑰K_IoT-UPenc 216和完整性保護金鑰K_IoT-UPint 218。

圖3是根據本案內容的各態樣，圖示用於在IoT網路架構（例如，IoT網路架構100）中加密上下文的金鑰層300的示圖。在本案內容的一個態樣，參考圖1，IoTF-C 106可以基於針對客戶端設備的金鑰K_CDC-IoTF 302來隨機產生針對客戶端設備（例如，客戶端設備102）的控制平面客戶端設備上下文加密金鑰（K_CDC-IoTF-C ）304和使用者平面客戶端設備上下文加密金鑰（K_CDC-IoTF-U ）306。客戶端設備的示例性網路狀態

在無線通訊系統（例如LTE網路）中，針對行動性管理（例如，進化封包系統行動性管理（EMM）），定義針對客戶端設備的網路狀態。此種網路狀態使得在客戶端設備與網路中的其他實體之間能夠高效通訊。

在本案內容的一個態樣，客戶端設備（例如，圖1中的客戶端設備102）可能處於登出（deregistered）狀態或註冊狀態。例如，當客戶端設備處於登出狀態時，針對客戶端設備的上下文可以儲存在HSS中。網路未持有針對該客戶端設備的有效位置或路由資訊，並且客戶端設備是不可達的。

作為另一實例，客戶端設備可以藉由與網路的成功註冊而進入註冊狀態。在本案內容的一個態樣，客戶端設備可以藉由執行與網路的附著程序來執行此種註冊。在註冊狀態中，客戶端設備具有至少一個活動的PDN連接。客戶端設備亦已經建立了進化封包系統（EPS）安全上下文。應當指出的是，登出狀態和註冊狀態假定客戶端設備具有針對網路的身份碼（例如，在HSS中存在可用的訂閱）。

無線通訊網路（例如，LTE網路）亦可以包括針對進化封包系統連接管理（ECM），為客戶端設備定義的網路狀態。因此，處於註冊狀態的客戶端設備（例如，圖1中的客戶端設備102）可以處於兩個狀態中的一個（亦被稱為註冊狀態的子狀態），其例如閒置狀態或連接狀態。在閒置狀態中，客戶端設備與其他網路實體之間不存在非存取層（NAS）訊號傳遞連接。另外，客戶端設備可以執行細胞選擇/重選擇和公共陸地行動網路（PLMN）選擇，並且在RAN（例如，網路存取節點）中可能不存在針對客戶端設備的上下文。另外，對於處於閒置狀態的客戶端設備而言，可能不具有S1-MME和S1-U連接。

在連接狀態中，利用服務存取網路辨識符（例如，eNB辨識符（ID）、基地台ID，或網路存取點ID）的準確度，客戶端設備的位置在MME中是已知的。客戶端設備的行動性由交遞程序來處理。在連接狀態中，在客戶端設備與MME之間存在訊號傳遞連接。訊號傳遞連接可以由兩部分所組成：無線電資源控制（RRC）連接和S1-MME連接。

圖4是圖示在網路400中的各個網路實體處保持的、客 戶端設備的示例性網路狀態的示圖。如圖4中所示，網路400包括客戶端設備402、網路存取節點404和進化封包核心（EPC）。如圖4中進一步圖示的，EPC 406包括歸屬用戶伺服器（HSS）412、行動性管理實體（MME）408和封包資料網路閘道（P-GW）/服務閘道（S-GW）410。在本案內容的一個態樣，網路400可以是4G網路。在其他態樣中，網路400可以是3G網路、LTE網路、5G網路，或其他適當的網路。

例如，參考圖4，當客戶端設備402處於連接狀態時，網路存取節點404可以保持針對客戶端設備402的上下文414（亦被稱為網路狀態資訊）。當客戶端設備402處於連接狀態時，MME 408可以保持針對客戶端設備402的上下文416，且當客戶端設備402處於閒置狀態時，可以保持針對客戶端設備402的上下文418。當客戶端設備402處於連接狀態時，P-GW/S-GW 410可以保持針對客戶端設備402的上下文426，且當客戶端設備402處於閒置狀態時，可以保持針對客戶端設備402的上下文428。當客戶端設備402處於連接狀態時，HSS 412可以保持針對客戶端設備402的上下文420，當客戶端設備402處於閒置狀態時，可以保持針對客戶端設備402的上下文422，而當客戶端設備402處於登出狀態時，可以保持針對客戶端設備402的上下文424。在本案內容的一個態樣，若網路400被實施為3G網路，則當客戶端設備402處於閒置狀態時，P-GW/S-GW 410可以不保持針對客戶端設備402的上下文。

在本案的一個態樣，可以針對網路功能單元（例如，圖1中的IoTF-C 106和IoTF-U 108）產生加密的客戶端設備上下文，以使得能夠適時地重建針對客戶端設備的上下文（亦稱為客戶端設備上下文）。例如，加密的客戶端設備上下文可以使得網路實體能夠在保持針對客戶端設備的最少量的網路狀態資訊的情況下重建客戶端設備上下文。因此，該加密的客戶端設備上下文可以使得網路實體能夠在不儲存或快取記憶體任何網路狀態資訊的情況下重建客戶端設備上下文。

應當注意的是，在潛在地存在數十億不常發送訊務的客戶端設備的情況下，網路功能單元（例如，MME 408、P-GW/S-GW 410）不希望保持針對客戶端設備的上下文（包括安全上下文）。另外，加密的客戶端設備上下文可以消除在交遞期間或從閒置模式到連接模式的過渡期間，網路存取節點（例如，eNB、基地台，或網路存取點）處的訊號傳遞管理負擔。由於可以避免與MME/控制器的通訊，因此加密的客戶端設備上下文可以用於基本上減少或消除訊號傳遞管理負擔。使用者平面加密的客戶端設備上下文

在本案內容的一個態樣，可以產生針對客戶端設備的使用者平面（UP）加密的客戶端設備上下文。例如，參考圖1，使用者平面加密的客戶端設備上下文可以在IoTF-U 108處用於上行鏈路（UL）資料傳輸。在本案內容的一個態樣，使用者平面加密的客戶端設備上下文可以包括承載ID、進化封包系統（EPS）承載的服務品質（QoS）、針對使用者平面通用封包式無線電服務（GPRS）隧道協定（GTP-U）的S5隧道端點辨識符（TEID）、IoTF-U 108要向其轉發UL資料的P-GW網際網路協定（IP）位址（或等同資訊）、安全上下文（例如，所選擇的加密演算法和使用者平面（UP）金鑰128）、以及網路可能需要其來向客戶端設備提供服務的任何其他參數、值、設置或特徵。例如，UP金鑰128可以是金鑰K_UP 214，根據該金鑰，可以匯出金鑰K_IoT-UPenc 216和金鑰K_IoT-UPint 218。可以藉由使用IoTF-U 108的秘密金鑰（例如圖3中所示的金鑰K_CDC-IoTF-U 306）來加密針對客戶端設備的使用者平面上下文，來產生使用者平面加密的客戶端設備上下文。在本案內容的一個態樣，IoTF-C 106可以供應IoTF-U 108的秘密金鑰（例如金鑰K_CDC-IoTF-U 306）。使用者平面加密的客戶端設備上下文可以由具有秘密金鑰（例如，金鑰K_CDC-IoTF-U 306）的IoTF來解密。因此，使用者平面加密的客戶端設備上下文可以由產生該使用者平面加密的客戶端設備上下文的IoTF來解密。控制平面加密的客戶端設備上下文

可以藉由加密用於控制訊息（例如，控制封包或包括控制封包的訊息）的控制平面客戶端設備上下文來產生控制平面（CP）加密的客戶端設備上下文。在一個態樣，控制平面加密的客戶端設備上下文可以包括客戶端設備辨識符、客戶端設備安全上下文（例如，控制平面金鑰，其例如金鑰K_IoT （K_ASME 均等物）、金鑰K_IoT-CPenc 210、金鑰K_IoT-CPint 212）、客戶端設備的安全能力（例如，進化封包系統加密演算法（EEA）、進化封包系統完整性演算法（EIA）），及/或下一躍點（S5/S8）配置資訊。例如，下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址，及/或TEID。例如，參考圖1，可以利用IoTF-C 106的秘密金鑰（如圖3中所示的金鑰K_CDC-IoTF-C 304）來加密用於控制訊息的控制平面客戶端設備上下文。控制平面加密的客戶端設備上下文可以由具有秘密金鑰（例如，金鑰K_CDC-IoTF-C 304）的IoTF來解密。因此，控制平面加密的客戶端設備上下文可以由產生該控制平面加密的客戶端設備上下文的IoTF來解密。初始附著程序

圖5是根據本案內容的各態樣，圖示由IoT網路架構500中的客戶端設備進行的初始附著程序的方塊圖。在一些態樣，如本文描述的附著程序亦被稱為網路附著程序或註冊程序。

如圖5所示，IoT網路架構500包括客戶端設備502（亦稱為IoT設備）、網路存取節點504（例如，eNB、基地台、網路存取點）、網路設備505、服務網路510和歸屬用戶伺服器（HSS）/認證、授權和計費（AAA）伺服器512。

在一個態樣，網路設備505可以包括被配置為實施IoTF的一或多個處理電路及/或其他適當的硬體。例如，IoTF可以包括控制平面IoT功能單元（IoTF-C）506和使用者平面IoT功能單元（IoTF-U）508。在此種態樣中，IoTF-C 506可以在網路節點507處實施，而IoTF-U 508可以在網路節點509處實施。在一個態樣，IoTF-C 506和IoTF-U 508可以在同一個硬體平臺處實施，使得IoTF-C 506和IoTF-U 508各自代表架構500中的獨立的節點。在此種態樣，例如，IoTF-C 506可以在硬體平臺（例如，網路設備505）上提供的第一虛擬機器（例如，第一作業系統）處實施，而IoTF-U 508可以在硬體平臺上提供的第二虛擬機器（例如，第二作業系統）處實施。

如圖5所示，IoTF-C 506經由第一S1連接516與網路存取節點504通訊，而IoTF-U 508經由第二S1連接514與網路存取節點504通訊。在本案內容的一個態樣，服務網路510可以包括被配置為提供各種類型的服務的數個實體、功能單元、閘道及/或伺服器。例如，服務網路510可以包括簡訊實體（SME）518、機器類型通訊互通功能單元（MTC-IWF）520、IoT伺服器522，及/或封包資料網路（PDN）閘道（P-GW）524。應當理解的是，圖5中揭示的服務網路510用作一個實例，並且在其他態樣中，服務網路510可以包括與圖5中揭示的彼等不同類型的實體、功能單元，及/或伺服器。

如圖5所示，客戶端設備502可以向網路發送附著請求532，其可以由網路存取節點504接收。在本案內容的一個態樣，附著請求532可以提供一或多個指示。例如，附著請求532可以指示：1）客戶端設備502是作為IoT設備來附著的，2）附著請求532是對執行小的（減少的）資料傳送的請求，及/或3）客戶端設備502以低功耗模式操作。附著請求532亦可以指示應當從其獲取認證資訊的歸屬域（例如，HPLMN ID或全合格領域名稱（FQDN））。網路存取節點504可以向其所屬於的IoTF-C 506轉發該請求。

IoTF-C 506可以根據由客戶端設備502提供的歸屬域資訊來決定HSS/AAA伺服器512的位址，並且可以向HSS/AAA伺服器512發送對客戶端設備502的認證資訊的請求534。IoTF-C 506可以從HSS/AAA伺服器512接收認證資訊535。

IoTF-C 506可以與客戶端設備502執行相互認證（例如，AKA程序）。在AKA程序期間，IoTF-C 506可以經由認證資訊535接收來自HSS/AAA伺服器512的AV。例如，該AV可以包含來自存取安全管理實體（ASME）的金鑰（在圖2中圖示為金鑰K_ASME 206）。例如，IoTF-C 506可以經由信號536向客戶端設備502提供金鑰K_ASME 206。當AKA程序完成時，IoTF-C 506和客戶端設備502可以根據金鑰K_ASME 206或根據金鑰K_IoT 202來推導CP金鑰526，其例如金鑰K_CP 208、金鑰K_IoT-CPenc 210及/或金鑰K_IoT-CPint 212，以及可以推導UP金鑰528，其例如金鑰K_UP 214、金鑰K_IoT-UPenc 216及/或金鑰K_IoT-UPint 218。

在一些態樣，IoTF-C 506可以經由訊息538向IoTF-U 508傳送金鑰K_UP 214以及使用者平面加密和完整性保護金鑰（其例如金鑰K_IoT-UPenc 216和金鑰K_IoT-UPint 218）。

在本案內容的一個態樣，IoTF-C 506可以藉由使用上下文金鑰530來加密客戶端設備上下文，來產生針對客戶端設備502的一或多個加密的客戶端設備上下文。隨後，IoTF-C 506可以向客戶端設備502發送一或多個加密的客戶端設備上下文。例如，IoTF-C 506可以產生針對控制平面的加密的客戶端設備上下文和針對使用者平面的加密的客戶端設備上下文。在此種實例中，上下文金鑰530可以包括用於產生針對控制平面的加密的客戶端設備上下文的第一上下文金鑰（例如，金鑰K_CDC-IoTF-C 304）和用於產生針對使用者平面的加密的客戶端設備上下文的第二上下文金鑰（例如，金鑰K_CDC-IoTF-U 306）。在本案內容的一個態樣，IoTF-C 506可以向IoTF-U 508提供上下文金鑰530中的一或多個。例如，IoTF-C 506可以經由訊息538向IoTF-U 508發送用於產生針對使用者平面的加密的客戶端設備上下文的第二上下文金鑰（例如，金鑰K_CDC-IoTF-U 306）。因此，在一些態樣，IoTF-U 508可以包括由IoTF-C 506提供的上下文金鑰531。

圖6是根據本案內容的各態樣，在IoT網路架構（例如，IoT網路架構100、500）中由客戶端設備進行的示例性附著程序的信號流程圖600。如圖6所示，信號流程圖600包括客戶端設備602（亦稱為IoT設備）604、網路存取節點（例如，eNB、基地台，或網路存取點）、在網路節點605處實施的IoTF-C 606、在網路節點607處實施的IoTF-U 608、服務網路609、以及歸屬用戶伺服器（HSS）610。

如圖6中所示，客戶端設備602可以向網路存取節點604發送請求612（例如，RRC連接請求）以便與網路進行通訊。客戶端設備602可以接收RRC連接建立訊息614，其可以包括訊號傳遞無線電承載（SRB）配置（例如，用於在專用控制通道（DCCH）上發送NAS訊息的SRB1配置）。客戶端設備602可以向網路存取節點604發送RRC連接建立完成訊息616。例如，RRC連接建立完成訊息616可以指示附著請求。

網路存取節點604可以向IoTF-C 606發送初始客戶端設備訊息618。IoTF-C 606可以根據由客戶端設備602提供的歸屬域資訊來決定HSS伺服器610的位址，並且可以與HSS 610進行通訊621。例如，IoTF-C 606可以向HSS伺服器610發送對客戶端設備602的認證資訊的請求，並且可以從HSS伺服器610接收該認證資訊。

如圖6所示，IoTF-C 606可以與客戶端設備602執行相互認證，如AKA程序620。當AKA程序620完成時，IoTF-C 606和客戶端設備602可以根據金鑰K_ASME 206或根據金鑰K_IoT 202來匯出控制平面金鑰，例如金鑰K_IoT-CPenc 210及/或金鑰K_IoT-CPint 212。IOTF-C 606和客戶端設備602亦可以根據金鑰K_ASME 206或根據金鑰K_IoT 202來匯出使用者平面金鑰，如金鑰K_IoT-UPenc 216及/或金鑰K_IoT-UPint 218。

在本案內容的一個態樣，IoTF-C 606可以藉由使用金鑰K_CDC-IoTF-C 304加密針對客戶端設備602的控制平面上下文，來產生控制平面加密的客戶端設備上下文，及/或可以藉由使用金鑰K_CDC-IoTF-U 306加密針對客戶端設備602的使用者平面上下文，來產生使用者平面加密的客戶端設備上下文。IoTF-C 606可以經由訊息622向IoTF-U 608傳送一或多個金鑰（例如，使用者平面金鑰，其例如金鑰K_IoT-UPenc 216及/或金鑰K_IoT-UPint 218及/或金鑰K_CDC-IoTF-U 306。

IoTF-C 606可以向客戶端設備602發送初始上下文建立請求訊息623與加密的客戶端設備上下文（例如，控制平面加密的客戶端設備上下文及/或使用者平面加密的客戶端設備上下文）。因此，該加密的客戶端設備上下文可以包括與IoTF-C 606及/或IoTF-U 608相關聯的客戶端設備上下文，其中該客戶端設備上下文可以由客戶端設備602用於上行鏈路資料傳輸。

在本案內容的一個態樣，僅IoTF-U知曉加密金鑰（例如，客戶端設備安全上下文可以專由IoTF-C 606及/或IoTF-U 608獲取）。因此，在此種態樣，加密金鑰可以是K_CDC-IoTF-U 306，該金鑰可以對IoTF之外的網路實體（例如網路存取節點604或客戶端設備602）是已知的。在本案內容的一個態樣，每個加密的客戶端設備上下文對應於一個資料無線電承載（DRB）。

網路存取節點604可以向客戶端設備602發送RRC連接重配置訊息626。在本案內容的一個態樣，RRC連接重配置訊息626可以包括加密的客戶端設備上下文。客戶端設備602可以向網路存取節點604發送RRC連接重配置完成訊息628。

客戶端設備602可以向網路存取節點604發送包括資料封包（例如，UL資料封包）的第一訊息630。網路存取節點604可以經由第二訊息632向服務網路609轉發該資料封包。例如，如圖6中所示，第二訊息632可以由網路存取節點604和IoTF-U 608轉發至服務網路。

服務網路609可以向客戶端設備602發送包括資料封包（例如，DL資料封包）的第三訊息634。例如，並且如圖6所示，第三訊息634可以由IoTF-U 608和網路存取節點604轉發至客戶端設備602。隨後，客戶端設備602可以轉換636到閒置模式。網路存取節點604、IoTF-C 606和IoTF-U 608可以繼續移除638客戶端設備上下文。 IoT上行鏈路（UL）資料傳送

圖7是根據本案內容的各態樣，圖示由IoT網路架構700中的客戶端設備發起的資料傳輸的方塊圖。如圖7所示，IoT網路架構700包括客戶端設備702（亦稱為IoT設備）、網路存取節點704（例如，eNB、基地台、網路存取點）、網路設備705、服務網路710和歸屬用戶伺服器（HSS）/認證、授權和計費（AAA）伺服器712。

在一個態樣，網路設備705可以包括被配置為實施IoTF的一或多個處理電路及/或其他適當的硬體。例如，IoTF可以包括控制平面IoT功能單元（IoTF-C）706和使用者平面IoT功能單元（IoTF-U）708。在此種態樣中，IoTF-C 706可以在網路節點707處實施，而IoTF-U 708可以在網路節點709處實施。在一個態樣，IoTF-C 706和IoTF-U 708可以在同一個硬體平臺處實施，使得IoTF-C 706和IoTF-U 708各自代表架構700中的獨立的節點。在此種態樣，例如，IoTF-C 706可以在硬體平臺（例如，網路設備705）上提供的第一虛擬機器（例如，第一作業系統）處實施，而IoTF-U 708可以在硬體平臺上提供的第二虛擬機器（例如，第二作業系統）處實施。

在本案內容的一個態樣，服務網路710可以包括被配置為提供各種類型的服務的數個實體、功能單元、閘道及/或伺服器。例如，服務網路710可以包括簡訊實體（SME）718、機器類型通訊互通功能單元（MTC-IWF）720、IoT伺服器722，及/或封包資料網路（PDN）閘道（P-GW）724。應當理解的是，圖7中揭示的服務網路710用作一個實例，並且在其他態樣中，服務網路710可以包括與圖7中揭示的彼等不同類型的實體、功能單元，及/或伺服器。

在圖7的一個態樣，IoTF-C 706可能已經產生了針對控制平面的加密的客戶端設備上下文以及針對使用者平面的加密的客戶端設備上下文。在此種態樣中，上下文金鑰730可以包括用於產生針對控制平面的加密的客戶端設備上下文的第一上下文金鑰（例如，金鑰K_CDC-IoTF-C 304），以及用於產生針對使用者平面的加密的客戶端設備上下文的第二上下文金鑰（例如，金鑰K_CDC-IoTF-U 306）。例如，IoTF-C 706可能已經向IoTF-U 708發送了用於產生針對使用者平面的加密的客戶端設備上下文的第二上下文金鑰（例如，金鑰K_CDC-IoTF-U 306）。因此，在此種實例中，如圖7中所示，IoTF-U 708可以包括由IoTF-C 706提供的上下文金鑰731。在圖7的各態樣，客戶端設備702已經以先前論述的方式匯出了CP金鑰726和UP金鑰728。

如圖7所示，客戶端設備702可以向網路存取節點704發送包括資料封包和由IoTF-C 706提供的加密的客戶端設備上下文的第一訊息732。網路存取節點704可以根據資料封包中的IoTF-U辨識符來決定IoTF-U 708的位址，並且可以經由第二訊息734將資料封包轉發給IoTF-U 708。在一個態樣，網路存取節點704可以在不驗證該封包的情況下向由客戶端設備702指示的下一躍點節點（例如，IoTF-U 708）轉發該資料封包。IoTF-U 708可以驗證加密的客戶端設備上下文，並且可以使用上下文金鑰731（例如，用於產生針對使用者平面的加密的客戶端設備上下文的金鑰K_CDC-IOTF-U 306）來解密該加密的客戶端設備上下文。隨後，IoTF-U 708可以基於解密的資訊來重建該客戶端設備上下文。隨後，IoTF-U 708可以利用加密和完整性金鑰（例如，UP金鑰728）來解密和驗證資料封包。

圖8是據本案內容的各態樣，圖示在IoT網路架構（例如，IoT網路架構700）中由客戶端設備發起的示例性資料傳輸的信號流程圖800。如圖8中所示，信號流程圖800包括客戶端設備802（亦稱為IoT設備）、網路存取節點804（例如，eNB、基地台，或網路存取點）、在網路節點805處實施的 IoTF-U 806、以及服務網路808。客戶端設備802可以向網路存取節點804發送包括加密的客戶端設備上下文和資料封包（例如，UL資料封包）的資料傳送請求訊息810。在一個態樣，資料傳送請求訊息810可以在不建立與網路存取節點804的RRC連接的情況下由客戶端設備802發送。

在接收到資料傳送請求訊息810時，網路存取節點804可以針對潛在的下行鏈路（DL）訊務，指派812針對客戶端設備802的臨時辨識符（TID）。例如，該TID可以是細胞無線電網路臨時辨識符（C-RNTI）。網路存取節點804可以決定包括在資料封包的標頭中的IoTF-U辨識符。本文參照圖12論述了包括此種標頭的資料封包的示例性格式。

網路存取節點804可以決定IoTF-U 806的IP位址，並且可以經由第一訊息814向IoTF-U 806轉發資料封包。例如，作為操作和維護（OAM）程序的一部分，網路存取節點804可以被配置具有一組IoTF-U辨識符與相應的IP位址，或可替代地，網路存取節點804可以基於IoTF-U ID使用領域名稱系統（DNS）查詢來決定IoTF-U 806的IP位址。在本案內容的一個態樣，並且如圖8所示，網路存取節點804可以在第一訊息814中與資料封包一起包括TID和加密的客戶端設備上下文。在本案內容的一個態樣，TID被儲存在網路存取節點804一預定的時間間隔。在此種態樣，網路存取節點804可以與第一訊息814中的TID一起，向IoTF-U 806發送TID到期時間。IoTF-U 806可以解密該加密的客戶端設備上下文，並可以重建816該客戶端設備上下文（例如，S5承載）。IoTF-U 806可以經由第二訊息818向服務網路808（例如，服務網路808中的P-GW或服務網路808中的其他實體）轉發該資料封包。

回應於上行鏈路資料（例如，第二訊息818中的UL資料封包），IoTF-U 806可以經由第三訊息820從服務網路808（例如，服務網路808中的P-GW或服務網路808中的對應實體）接收資料封包（例如，DL資料封包）。IoTF-U 806可以在第四訊息822中向網路存取節點804發送所接收的資料封包與該TID。網路存取節點804可以使用該TID來辨識客戶端設備802，並且可以在第五訊息824中向客戶端設備802發送資料封包。客戶端設備802可以基於預先配置的計時器轉變826到閒置模式。網路存取節點804和IoTF-U 806可以繼續移除828根據加密的客戶端設備上下文來動態（on-the-fly）建立的客戶端設備上下文。客戶端設備終止的資料傳送（傳呼）

圖9是根據本案內容的各態樣，在IoT網路架構（例如，IoT網路架構100）中的示例性客戶端設備終止的資料傳輸的信號流程圖900。如圖9中所示，信號流程圖900包括客戶端設備902（亦稱為IoT設備）、網路存取節點904（例如，eNB、基地台，或網路存取點）、在網路節點905處實施的IoTF-C 906、以及在網路節點907處實施的IoTF-U 908、P-GW 910以及IoT伺服器912。IoT伺服器912可以向P-GW 910發送包括DL資料封包和全球IoTF辨識符（GIOTFI）的下行鏈路（DL）訊息914。P-GW 910可以基於該GIOTFI來定位IoTF-U 908，並可以在轉發訊息916中向IoTF-U 908轉發該DL資料封包。IoTF-U 908可以向IoTF-C 906發送DL資料通知訊息918。在本案內容的一個態樣，若DL資料封包足夠小到能夠在傳呼訊息中攜帶，則DL資料通知訊息918可以包括DL資料封包。IoTF-C 906可以向一或多個網路存取節點（例如，網路存取節點904）發送傳呼訊息920。隨後，網路存取節點904可以藉由發送傳呼訊息922來傳呼客戶端設備902。

客戶端設備902可以向IoTF-U 908發送包括UL資料封包的RRC連接請求訊息924。在本案內容的一個態樣，由客戶端設備902發送的UL資料封包可能是空的。網路存取節點904可以為客戶端設備902指派926臨時辨識符（TID）以用於潛在的下行鏈路（DL）訊務。例如，該TID可以是細胞無線電網路臨時辨識符（C-RNTI）。隨後，網路存取節點904可以在轉發訊息928中向IoTF-U 908轉發UL資料封包和TID以及加密的客戶端設備上下文。IoTF-U 908可以儲存930網路存取節點904的TID和ID。

IoTF-U 908可以向IoTF-C 906發送客戶端設備回應通知訊息932。在本案內容的一個態樣，若IoTF-U 908不能夠在DL資料通知訊息918中包括DL資料封包，則IoTF-U 908可以向客戶端設備902發送包括針對客戶端設備902的DL資料封包和TID的訊息934。網路存取節點904可以在轉發訊息936中向客戶端設備902轉發DL資料封包。隨後，客戶端設備902可以轉換938到閒置模式。網路存取節點904和IoTF-C 906可以移除940客戶端設備上下文。資源建立和釋放

圖10是根據本案內容的各態樣，在IoT網路架構（例如，IoT網路架構100）中的示例性資源建立和釋放的信號流程圖1000。如圖10中所示，信號流程圖1000包括客戶端設備1002（亦稱為IoT設備）、在網路節點1006處實施的IoTF-C 1004、在網路節點1010處實施的IoTF-U 1008、以及P-GW 1012。

如圖10所示，IoTF-C 1004、IoTF-U 1008，及/或P-GW 1012可以移除1014針對客戶端設備1002的上下文。在一個態樣，在IoTF-C 1006已經向客戶端設備1002提供了加密的客戶端設備上下文之後，IoTF-C 1004及/或IoTF-U 1008可以移除針對客戶端設備1002的上下文。如圖10所示，客戶端設備1002可以向IoTF-C 1004發送資源建立請求訊息1016。例如，當客戶端設備1002要向網路（例如，向P-GW 1012）發送不頻繁的短脈衝資料傳輸時，客戶端設備1002可以發送資源建立請求訊息1016。例如，短脈衝資料傳輸可以包括一序列的協定資料單元（PDU），如IP封包。在一個態樣，資源建立請求訊息1016可以包括加密的客戶端設備上下文（例如，針對控制平面的客戶端設備上下文）。

在資源建立操作1018期間，IoTF-C 1004可以驗證來自客戶端設備1002的加密的客戶端設備上下文，並且在成功驗證時，IoTF-C 1004可以解密該加密的客戶端設備上下文。隨後，IoTF-C 1004可以重建針對客戶端設備1002的上下文。在一個態樣，IoTF-U 1008和P-GW 1012亦可以重建針對客戶端設備1002的上下文。在一個態樣，IoTF-C 1004可以獲得針對客戶端設備1002的網路位址（例如，IP位址），並且可以在資源建立操作1018期間向客戶端設備1002提供該網路位址。如圖10中所示，客戶端設備1002可以經由IoTF-U 1008向P-GW 1012發送上行鏈路（UL）資料1020。在一個態樣，客戶端設備1002可以在包括客戶端設備1002的網路位址的一或多個PDU中發送UL資料1020。

在一個態樣，客戶端設備1002可以決定沒有要向網路進行的進一步的資料傳輸。在此種態樣，客戶端設備1002可以可選地向IoTF-C 1004發送資源釋放請求訊息1 1022。隨後，客戶端設備1002可以進入閒置模式1024。IoTF-C 1004可以向P-GW 1012發送資源釋放請求訊息1 1022。在一個態樣，資源釋放請求訊息1 1022使得P-GW 1012能夠釋放用於客戶端設備1002的一或多個資源。例如，該一或多個資源可以包括指派給客戶端設備1002的網路位址（例如，以允許重新分配該網路位址）、針對客戶端設備1002的承載，及/或用於客戶端設備1002的其他資源。隨後，IoTF-C 1004和IoTF-U 1008可以移除1030針對客戶端設備1002的上下文。在另一個態樣，IoTF-C 1004及/或IoTF-U 1008可以在IoTF-U 1008處接收到DL資料1020後啟動計時器1026。若計時器1026在從客戶端設備1002接收到任何新的UL資料（例如，UL資料1020之後的額外的UL資料）之前及/或向客戶端設備1002發送任何下行鏈路（DL）資料之前到期，則IoTF-C 1004及/或IoTF-U 1008可以決定客戶端設備1002處於閒置模式1024。在此種場景中，IoTF-C 1004可以向P-GW 1012發送資源釋放請求訊息2 1028。在一個態樣，資源釋放請求訊息2 1028使得P-GW 1012能夠釋放用於客戶端設備1002的一或多個資源。例如，該一或多個資源可以包括指派給客戶端設備1002的網路位址（例如，以允許重新分配該網路位址）、針對客戶端設備1002的承載，及/或用於客戶端設備1002的其他資源。隨後，IoTF-C 1004和IoTF-U 1008可以移除1030用於客戶端設備1002的上下文。在一個態樣，當在計時器1026到期之前，在IoTF-U 1008處接收到來自客戶端設備1002的新的UL資料傳輸（例如，UL資料1020之後的額外的UL資料）時，計時器1026可以由IoTF-C 1004及/或IoTF-U 1008復位。

圖11是根據本案內容的各態樣，由IoT網路架構中的客戶端設備進行的示例性附著程序的信號流程圖1100。如圖11所示，信號流程圖1100包括客戶端設備1102（亦被稱為IoT設備）、在網路存取節點1104（例如，eNB、基地台，或網路存取點）處實施的使用者平面功能單元1112、在網路節點1106處實施的控制平面功能單元1114、服務網路1108、以及歸屬用戶伺服器（HSS）1110。

如圖11所示，客戶端設備1102可以向網路存取節點1104發送請求1116（例如，RRC連接請求），以便與網路進行通訊。客戶端設備1102可以接收RRC連接建立訊息1118，其可以包括訊號傳遞無線電承載（SRB）配置（例如，用於在專用控制通道（DCCH）上發送NAS訊息的SRB1配置）。客戶端設備1102可以向網路存取節點1104發送RRC連接建立完成訊息1120。例如，RRC連接建立完成訊息1120可以指示附著請求。

網路存取節點1104可以向網路節點1106發送初始客戶端設備訊息1122。控制平面功能單元1114可以根據由客戶端設備1102提供的歸屬域資訊來決定HSS伺服器1110的位址，並且可以與HSS 1110通訊1126。例如，控制平面功能單元1114可以向HSS伺服器1110發送對客戶端設備1102的認證資訊的請求，並且可以從HSS伺服器1110接收認證資訊。

如圖11所示，控制平面功能單元1114可以與客戶端設備1102執行相互認證，如AKA程序1124。當AKA程序1124完成時，控制平面功能單元1114和客戶端設備1102可以根據金鑰K_ASME 206或根據金鑰K_IoT 202匯出控制平面金鑰，例如金鑰K_IoT-CPenc 210及/或金鑰K_IoT-CPint 212。控制平面功能單元1114和客戶端設備1102亦可以根據金鑰K_ASME 206或根據金鑰K_IoT 202 來匯出使用者平面金鑰，例如金鑰K_IoT-UPenc 216及/或金鑰K_IoT-UPint 218。

在本案內容的一個態樣，控制平面功能單元1114可以藉由使用金鑰K_CDC-IoTF-C 304加密針對客戶端設備1102的控制平面上下文，來產生控制平面加密的客戶端設備上下文，及/或可以藉由使用金鑰K_CDC-IoTF-U 306加密針對客戶端設備1102的使用者平面上下文，來產生使用者平面加密的客戶端設備上下文。

該控制平面功能單元1114可以向客戶端設備1102發送具有加密的客戶端設備上下文（例如，控制平面加密的客戶端設備上下文及/或使用者平面加密的客戶端設備上下文）的初始上下文建立請求訊息1128。因此，該加密的客戶端設備上下文可以包括與控制平面功能單元1114及/或使用者平面功能單元1112相關聯的客戶端設備上下文，其中該客戶端設備上下文可以由客戶端設備1102用於上行鏈路資料傳輸。在一個態樣，控制平面功能單元1114可以經由訊息1128向使用者平面功能單元1112傳送一或多個金鑰（例如，使用者平面金鑰，例如金鑰K_IoT-UPenc 216及/或金鑰K_IoT-UPint 218，及/或金鑰K_CDC-IoTF-U 306）。

在本案內容的一個態樣，僅使用者平面功能單元1112及/或控制平面功能單元1114知曉加密金鑰（例如，客戶端設備上下文可以專由使用者平面功能單元1112及/或控制平面功能單元1114獲取）。在此種態樣，例如，加密金鑰可以是K_CDC-IOTF-U 306。在本案內容的一個態樣，每個加密的客戶端設備上下文對應於一個資料無線電承載（DRB）。

網路存取節點1104可以向客戶端設備1102發送RRC連接重配置訊息1130。在本案內容的一個態樣，該RRC連接重配置訊息1130可以包括加密的客戶端設備上下文。客戶端設備1102可以向網路存取節點1104發送RRC連接重新配置完成訊息1132。

客戶端設備1102可以向網路存取節點1104發送包括資料封包（例如，UL資料封包）的第一訊息1134。在網路存取節點1104處實施的使用者平面功能1112可以向服務網路1108轉發資料封包。服務網路1108可以向客戶端設備1102發送包括資料封包（例如，DL資料封包）的第二訊息1136。例如，並且如圖11所示，第二訊息1136可以由網路存取節點1104處的使用者平面功能單元1112轉發至客戶端設備1102。隨後，客戶端設備1102可以轉換1138到閒置模式。網路存取節點1104和網路節點1106可以繼續以移除1140客戶端設備上下文。

圖12是根據本案內容的各個態樣，在IoT中網路架構中的示例性資源建立和釋放的信號流程圖1200。如圖12所示，信號流程圖1200包括客戶端設備1202（亦被稱為IoT設備）、在網路存取節點1204處實施的使用者平面功能單元1210、在網路節點1206處實施的控制平面功能單元1212、P-GW 1208。在一個態樣，圖12中的網路存取節點1204、使用者平面功能單元1210、網路節點1206和控制平面功能單元1212可以分別對應於圖11中的網路存取節點1104、使用者平面功能單元1112、網路節點1106和控制平面功能單元1114。

如圖12所示，網路存取節點1204、網路節點1206及/或P-GW 1208可以移除1214針對客戶端設備1202的上下文。在一個態樣，在控制平面功能單元1212已經向客戶端設備1202提供了加密的客戶端設備上下文之後，網路存取節點1204及/或網路節點1206可以移除針對客戶端設備1202的上下文。如圖12所示，客戶端設備1202可以向網路存取節點1204發送資源建立請求訊息1216。例如，在客戶端設備1202要向網路（例如，向P-GW 1208）發送不經常的短脈衝資料傳輸時，客戶端設備1202可以發送資源建立請求訊息1216。例如，短脈衝資料傳輸可以包括一序列的協定資料單元（PDU），如IP封包。在一個態樣，資源建立請求訊息1216可以包括加密的客戶端設備上下文（例如，針對控制平面的客戶端設備上下文）。

在資源建立操作1218期間，控制平面功能單元1212可以驗證來自客戶端設備1202的加密的客戶端設備上下文，並且在成功驗證時，控制平面功能單元1212可以解密該加密的客戶端設備上下文。隨後，控制平面功能單元1212可以重建針對客戶端設備1202的上下文。在一個態樣，使用者平面功能單元1210和P-GW 1208亦可以重建針對客戶端設備1202的上下文。在一個態樣，控制平面功能單元1212可以獲得針對客戶端設備1202的網路位址（例如，IP位址），並且可以在資源建立操作1218期間向客戶端設備1202提供該網路位址。如圖12中所示，客戶端設備1202可以經由網路存取節點1204向P-GW 1208發送上行鏈路（UL）資料1220。在一個態樣，客戶端設備1202可以在包括客戶端設備1202的網路位址的一或多個PDU中發送UL資料1220。

在一個態樣，客戶端設備1202可以決定沒有要向網路進行的進一步的資料傳輸。在此種態樣，客戶端設備1202可以可選地向網路存取節點1204發送資源釋放請求訊息1 1222。隨後，客戶端設備1202可以進入閒置模式1224。如圖12所示，網路存取節點1204可以經由網路節點1206向P-GW 1208發送資源釋放請求訊息1 1222。在一個態樣，資源釋放請求訊息1 1222使得P-GW 1208能夠釋放用於客戶端設備1202的一或多個資源。例如，該一或多個資源可以包括指派給客戶端設備1202的網路位址（例如，以允許重新分配該網路位址）、針對客戶端設備1202的承載，及/或用於客戶端設備1202的其他資源。隨後，控制平面功能單元1212和使用者平面功能單元1210可以移除1232針對客戶端設備1202的上下文。在另一個態樣，使用者平面功能單元1210及/或控制平面功能單元1212可以在接收到UL資料1220後啟動計時器1226。若計時器1226在從客戶端設備1202接收到任何新的UL資料（例如，UL資料1220之後的額外的UL資料）之前及/或向客戶端設備1202發送任何下行鏈路（DL）資料之前到期，則控制平面功能單元1212及/或使用者平面功能單元1210可以決定客戶端設備1202處於閒置模式1224。在此種場景中，根據一個態樣，使用者平面功能單元1210可以經由網路節點1206向P-GW 1208發送資源釋放請求訊息2 1228。可替代地，根據一個態樣，控制平面功能單元1212可以向P-GW 1208發送資源釋放請求訊息3 1230。在一個態樣，該資源釋放請求訊息2 1228或資源釋放請求訊息3 1230使得P-GW 1208能夠釋放針對客戶端設備1202的一或多個資源。例如，該一或多個資源可以包括指派給客戶端設備1202的網路位址（例如，以允許重新分配該網路位址）、針對客戶端設備1202的承載，及/或用於客戶端設備1202的其他資源。隨後，控制平面功能單元1212和使用者平面功能單元1210可以移除1232針對客戶端設備1202的上下文。在一個態樣，當在計時器1226到期之前，在使用者平面功能單元1210處接收到來自客戶端設備1202的新的UL資料傳輸（例如，UL資料1220之後的額外的UL資料）時，計時器1226可以由控制平面功能單元1212及/或使用者平面功能單元1210重定。控制平面協定堆疊

圖13是根據本案內容的各態樣，圖示用於IoT資料傳輸的控制平面協定堆疊1300的示圖。如圖13中所示，協定堆疊1300可以包括客戶端設備協定堆疊1302（亦被稱為IoT設備協定堆疊）、網路存取節點協定堆疊1304、在網路節點1305處實施的IoTF協定堆疊1306、以及服務網路通訊協定堆疊1308。例如，網路存取節點協定堆疊1304可以在eNB、基地台，或網路存取點中實施。作為另一實例，服務網路通訊協定堆疊1308可以在P-GW中實施。如圖13中所示，客戶端設備協定堆疊1302可以包括實體（PHY）層1310、媒體存取控制（MAC）層1312、無線電鏈路控制（RLC）層1314、封包資料收斂協定（PDCP）層1316、以及控制（Ctrl）層1320。如圖13進一步所示，客戶端設備協定堆疊1302可以實施用於傳輸控制平面加密的客戶端設備上下文（在圖13中簡稱為「CDCCP」）的上下文協定層1318。上下文協定層1318亦可以使得能夠傳輸IoTF ID（IID）及/或安全標頭（在圖13中簡稱為「Sec」），該安全標頭指示加密的客戶端設備上下文的存在。

如圖13所示，網路存取節點協定堆疊1304可以包括PHY層1322、MAC層1324、RLC層1326和PDCP層1328，其分別與客戶端設備協定堆疊1302的PHY層1310、MAC層1312、RLC層1314和PDCP層1316對接。網路存取節點協定堆疊1304亦可以包括乙太網路層1330、MAC層1332、網際網路協定（IP）層1334、使用者資料包通訊協定（UDP）層1336、以及控制平面GPRS隧道協定（GTP-C）層1338。

如圖13所示，IoTF協定堆疊1306可以包括乙太網路層1340、MAC層1342、IP層1344、UDP層1346、GTP-C層1348和控制（Ctrl）層1352。如圖13中進一步圖示的，IoTF協定堆疊1306可以實施用於傳輸控制平面加密的客戶端設備上下文（在圖13中簡稱為「CDCCP」）的上下文協定層1350。上下文協定層1350亦可以使得能夠傳輸IoTF ID（IID）及/或安全標頭（在圖13中簡稱為「Sec」），該安全標頭指示加密的客戶端設備上下文的存在。如圖13所示，客戶端設備協定堆疊1302的上下文協定層1318與IoTF協定堆疊1306的上下文協定層1350通訊。在一個態樣，根據關於圖15描述的示例性IoT封包格式，可以在使用者平面訊息之外的封包標頭中攜帶加密的客戶端設備上下文。

服務網路通訊協定堆疊1308可以包括IP層1354、UDP層1356、GTP-C層1358、以及Ctrl層1362，其分別與IoTF協定堆疊1306的IP層1344、UDP層1346、GTP-C層1348和Ctrl層1352對接。在本案內容的一個態樣，若網路架構實施為GSM EDGE無線電存取網路（GERAN），則可以使用與IP協定1364不同的協定。在本案內容的一個態樣，可以省略由區域1362和1366指示的GTP-C和UDP協定。使用者平面協定堆疊

圖14是根據本案內容的各態樣，圖示用於IoT資料傳輸的使用者平面協定堆疊1400的示圖。如圖14所示，協定堆疊1400可以包括客戶端設備協定堆疊1402（亦被稱為IoT設備協定堆疊）、網路存取節點協定堆疊1404、在網路節點1405處實施的IoTF協定堆疊1406、以及服務網路通訊協定堆疊1408。例如，網路存取節點協定堆疊1404可以在eNB、基地台，或網路存取點中實施。作為另一實例，服務網路通訊協定堆疊1408可以在P-GW中實施。如圖14中所示，客戶端設備協定堆疊1402可以包括實體（PHY）層1410、媒體存取控制（MAC）層1412、無線電鏈路控制（RLC）層1414、封包資料收斂協定（PDCP）層1416、以及使用者平面（UP）層1420。如圖14進一步所示，客戶端設備協定堆疊1402可以實施用於傳輸使用者平面加密的客戶端設備上下文（在圖14中簡稱為「CDCUP」）的上下文協定層1418。上下文協定層1418亦可以使得能夠傳輸IoTF ID（IID）及/或安全標頭（在圖14中簡稱為「Sec」），該安全標頭指示加密的客戶端設備上下文的存在。

如圖14所示，網路存取節點協定堆疊1404可以包括PHY層1422、MAC層1424、RLC層1426和PDCP層1428，其分別與客戶端設備協定堆疊1402的PHY層1410、MAC層1412、RLC層1414和PDCP層1416對接。網路存取節點協定堆疊1404亦可以包括乙太網路層1430、MAC層1432、網際網路協定（IP）層1434、使用者資料包通訊協定（UDP）層1436、以及使用者平面GPRS隧道協定（GTP-U）層1438。

如圖14所示，IoTF協定堆疊1406可以包括乙太網路層1440、MAC層1442、IP層1444、UDP層1446和GTP-U層1448。如圖14中進一步所示，IoTF協定堆疊1406可以實施用於傳輸使用者平面加密的客戶端設備上下文（在圖14中簡稱為「CDCUP」）的上下文協定層1450。上下文協定層1450亦可以使得能夠傳輸IoTF ID（IID）及/或安全標頭（在圖14中簡稱為「Sec」），該安全標頭指示加密的客戶端設備上下文的存在。如圖14所示，客戶端設備協定堆疊1402的上下文協定層1418與IoTF協定堆疊1406的上下文協定層1450通訊。在一個態樣，根據關於圖15描述的示例性IoT封包格式，可以在UP訊息之外的封包標頭中攜帶使用者平面加密的客戶端設備上下文。

服務網路通訊協定堆疊1408可以包括IP層1454、UDP層1456、GTP-U層1458和UP層1462，其分別與IoTF協定堆疊1406的IP層1444、UDP層1446、GTP-U層1448和UP層1452對接。在本案內容的一個態樣，若網路架構實施為GSM EDGE無線電存取網路（GERAN），則可以使用與IP協定1464不同的協定。在本案內容的一個態樣，可以省略由區域1462和1466指示的GTP-U和UDP協定。在本案內容的一個態樣，若IP協定用於UP訊息傳遞，則可以在IP選項欄位（IPv4）或IP擴展標頭（IPv6）中攜帶使用者平面加密的網路可達性上下文。IoT 封包格式

圖15是根據本案內容的各態樣，用於IoT網路架構中的傳輸的封包格式1500的示圖。參考圖15，網路存取節點（例如，eNB、基地台，或網路存取點）可以使用臨時辨識符（TID）欄位1502來本端地辨識客戶端設備（亦被稱為IoT設備）。例如，由網路存取節點指派給用於辨識客戶端設備的TID欄位1502的值可以是C-RNTI或均等物。

在本案內容的一個態樣，IoTF ID（IID）欄位1504可以包括全球唯一臨時辨識符（GUTI）。例如，GUTI可以包括與IoTF相關聯的辨識符以及與客戶端設備相關聯的辨識符（例如，臨時辨識符，其例如行動性管理實體（MME）臨時行動用戶標識（M-TMSI））。例如，GUTI可以由網路存取節點用於辨識IoTF，並且GUTI可以由IoTF用於辨識客戶端設備。在另一個態樣，IID欄位1504可以包括全球IoTF辨識符（GIOTFI）以及與客戶端設備相關聯的辨識符（例如，臨時辨識符，其例如M-TMSI）。例如，該GIOTFI可以等同於用於IoTF的全球唯一行動性管理實體辨識符（GUMMEI）。在本案內容的一個態樣，M-TMSI可以被加密用於客戶端設備的隱私。應當注意的是，使用IoTF IP位址可能洩露網路拓撲。

安全標頭欄位1506可以指示加密的客戶端設備上下文的存在、控制平面（CP）/使用者平面（UP）指示、序號、時間戳記值及/或隨機值。例如，該時間戳記值可以基於時間和計數器，其中該時間是網路存取節點的時間或IoTF時間。客戶端設備上下文欄位1508可以包括加密的客戶端設備上下文。應當指出，若將時間戳記而不是序號用於加密，則IoTF可能不需要保持任何客戶端設備網路狀態。隨機值可以基於亂數和計數器。隨機值可以由網路存取節點或由客戶端設備，或者其組合來產生。針對每個封包，計數器可以遞增一定的值（例如，1）。若將隨機值而不是序號用於加密，則客戶端設備可以基於安全上下文中的加密金鑰和亂數來產生新的加密金鑰。若將隨機值而不是序號用於完整性保護，則客戶端設備可以基於安全上下文中的完整性保護金鑰和亂數來產生新的完整性保護金鑰，並且可以使用該新的完整性保護金鑰來保護訊息。有效負荷欄位1510可以包括資料或控制資訊（例如，資料封包或控制封包）。

訊息認證碼（MAC）欄位1512可以用於完整性保護。例如，該MAC欄位1512可以包括由發送設備或實體產生的訊息認證碼。隨後，MAC欄位1512中的訊息認證碼可以由接收設備或實體用於驗證該訊息的完整性沒有被破壞（例如，該訊息的內容沒有被改變或操縱）。在一個態樣，可以藉由應用訊息認證碼產生演算法（例如，AEAD cihper），在發送設備或實體處產生MAC欄位1512中的訊息認證碼，其中訊息（例如，封包）和使用者平面金鑰或控制平面金鑰用作訊息認證碼產生演算法的輸入。該訊息認證碼產生演算法的輸出可以是MAC欄位1512中包括的訊息認證碼。接收設備或實體可以藉由向該訊息應用訊息認證碼產生演算法（例如，AEAD cihper）來驗證所接收的訊息的完整性。例如，所接收的訊息（例如，封包）和使用者平面金鑰或控制平面金鑰可以用作訊息認證碼產生演算法的輸入。隨後，接收設備或實體可以將該訊息認證碼產生演算法的輸出與MAC欄位1512中包括的訊息認證碼進行比較。在此種實例中，當訊息認證碼產生演算法的輸出與MAC欄位1512中包括的訊息認證碼相匹配時，接收設備或實體可以決定該訊息已被成功驗證。加密的客戶端設備上下文設計和產生

根據本文所揭示的各態樣，加密的客戶端設備上下文可以包含網路所需以向客戶端設備提供服務的資訊。例如，客戶端設備上下文可以包括安全上下文、承載ID、進化封包系統（EPS）承載服務品質（QoS）和S5-TEID及/或其他服務、參數、值、設置或特徵，網路可能需要其以向客戶端設備提供服務。在一些態樣，客戶端設備上下文可以在AKA程序期間建立。

在一些態樣，加密的客戶端設備上下文可以包括除了客戶端設備上下文之外的一項或多項資訊。例如，加密的客戶端設備上下文可以包括由IOTF-C 106設置（或在客戶端設備上下文中指示）的到期時間，此限制了加密的客戶端設備上下文的使用期限（例如，以防止永久重用）。作為另一個實例，加密的客戶端設備上下文可以具有金鑰索引，其標識用於產生該加密的客戶端設備上下文的金鑰。

在一些態樣，可以使用僅對網路中的實體已知的秘密金鑰來產生加密的客戶端設備上下文，並因此，其可能不會被客戶端設備解釋及/或修改。例如，可以藉由使用IoTF-U（例如，IoTF-U 108）的秘密金鑰來加密客戶端設備上下文來產生加密的客戶端設備上下文。在一些態樣，加密的客戶端設備上下文可以是利用IoTF-U（例如，IoTF-U 108）的秘密金鑰進行完整性保護的，並因此其可能不會被客戶端設備操縱/修改。

在一個態樣，IoTF-C（例如，IoTF-C 106）可以將加密的客戶端設備上下文提供給客戶端設備（例如，客戶端設備102），作為認證和上下文（例如，承載）建立的成功完成。在一個態樣，客戶端設備可以在一或多個使用者平面封包（例如，UL資料封包）中包括該加密的客戶端設備上下文，使得IoTF-U（例如，IoTF-U 108）能夠動態地重建該客戶端設備上下文。例如，若客戶端設備需要連續地發送多個封包，則客戶端設備可以在第一封包中包括加密的客戶端設備上下文，而不在隨後的封包中包括該加密的客戶端設備上下文。在一些態樣，加密的客戶端設備上下文可能特定於客戶端設備，並因此，針對一客戶端設備發出的加密的客戶端設備上下文可能不能被任何其他客戶端設備使用。a ）控制平面加密的客戶端設備上下文

在本案內容的一個態樣，IoTF（例如，圖1中的IoTF-C 106）可以藉由將連一項或多項資訊連結（concatenating）起來，來產生加密的客戶端設備上下文。例如，可以基於運算式KeyID|| Enc_K_CDC-IoTF-C （CDC_CP ）||MAC來產生控制平面（CP）加密的客戶端設備上下文（CDC_CP ）。在本案內容的一個態樣，金鑰K_CDC-IoTF-C （例如，圖3中的金鑰K_CDC-IoTF-C 304）可以與金鑰K_CDC-IoTF （例如，圖3中的金鑰K_CDC-IoTF 304）是相同的，或者其可以根據金鑰K_CDC-IoTF 匯出。術語KeyID可以表示金鑰索引（用於產生加密的客戶端設備上下文）。術語CDC_CP 可以表示控制平面客戶端設備上下文。例如，控制平面客戶端設備上下文可以包括客戶端設備辨識符、客戶端設備安全上下文（例如，控制平面金鑰，其例如金鑰K_IoT （K_ASME 均等物）、金鑰K_IoT-CPenc 210、金鑰K_IoT-CPint 212）、客戶端設備安全能力（例如，進化封包系統加密演算法（EEA）、進化封包系統完整性演算法（EIA）），及/或下一躍點（S5/S8）配置資訊。例如，下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址，及/或TEID。術語MAC可以指示加密模式及/或訊息認證碼產生演算法（亦稱為MAC演算法），其可以由行動網路服務供應商（MNO）來選擇且針對IoTF進行配置。因此，術語Enc_K_CDC-IoTF-C （CDC_CP ）可以表示使用金鑰K_CDC-IoTF-C 對控制平面客戶端設備上下文執行的加密操作的結果。b ）使用者平面加密的客戶端設備上下文

作為另一實例，可以基於運算式KeyID||Enc_K_CDC-IoTF-U （CDC_UP ）||MAC來產生使用者平面（UP）加密的客戶端設備上下文（CDC_UP ）。術語CDC_UP 可以表示使用者平面客戶端設備上下文。例如，使用者平面客戶端設備上下文可以包括客戶端設備辨識符、承載ID、進化的封包系統（EPS）承載服務品質（QoS）、針對使用者平面通用封包式無線電服務（GPRS）隧道協定（GTP-U）的S5隧道端點辨識符（TEID）、IoTF-U 108向其轉發UL資料的P-GW網際網路協定（IP）位址（或等同資訊）、客戶端設備安全上下文（例如，所選擇的加密演算法和使用者平面金鑰，其例如金鑰K_IoT-UPenc 216、金鑰K_IoT-UPint 218）、客戶端設備安全能力（例如，進化封包系統加密演算法（EEA）、進化封包系統完整性演算法（EIA）），及/或下一躍點（S5/S8）配置資訊。例如，下一躍點配置資訊可以包括IoT伺服器位址、P-GW位址，及/或TEID。因此，術語Enc_K_CDC-IoTF-U （CDC_UP ）可以表示使用金鑰K_CDC-IoTF-U 對使用者平面客戶端設備上下文執行的加密操作的結果。在本案內容的一個態樣，加密的客戶端設備上下文可以僅由客戶端設備所附著/關聯的IoTF（例如，IoTF-C 106及/或IoTF-U 108）來解密。在本案內容的一個態樣，可以在加密之前對客戶端設備上下文進行壓縮。

加密的客戶端設備上下文可以具有一或多個特性。例如，加密的客戶端設備上下文可以包含與特定的客戶端設備相關聯的網路狀態資訊，並且因此，可能無法將其傳送給其他客戶端設備。IoTF-C/U（例如，IoTF-C 106及/或IoTF-U 108）可能不保持客戶端設備的上下文（例如，網路狀態資訊）。因此，此種IoTF-C/U可以藉由使用其自身的秘密金鑰，根據加密的客戶端設備上下文來恢復客戶端設備上下文，並且因此，IoTF-C/U不需要儲存任何額外的資訊來恢復客戶端設備上下文。IoTF-C/U可以在一定條件下移除客戶端設備上下文（例如，進化封包系統連接管理（ECM）-閒置，或在小的資料傳送之後立即），並且在必要時將其還原（例如，用於資料傳送）。

客戶端設備可以儲存由IoTF-C提供的加密的客戶端設備上下文，以快速傳送UL資料/快速傳送控制平面訊息。客戶端設備可以在發送一或多個資料封包後立即進入休眠模式。由於對於IoTF-U重建客戶端設備上下文而言可能沒有訊息交換管理負擔，因此，對小的資料封包的傳輸可能不會經歷延遲。在本案內容的一個態樣，當客戶端設備處於閒置模式時，控制平面訊息可能不會用於使用者平面資料傳輸。追蹤區域更新

當客戶端設備在閒置模式期間進入新的追蹤區域時，該客戶端設備可以執行追蹤區域更新（TAU）程序。TAU訊息可以包括當前的追蹤區域ID（TAI）和源IoTF-C的GIOTFI或其均等物（例如，全球唯一行動性管理實體辨識符（GUMMEI））。目標IoTF-C可以更新客戶端設備的位置和到一或多個網路實體（例如，P-GW）的行動性錨（例如，IoTF-U ID）以及加密的網路可達性上下文。在本案內容的一個態樣，加密的網路可達性上下文可以使得IoTF-U能夠驗證下行鏈路封包。在本案內容的一個態樣，應用伺服器（例如，IoT伺服器）及/或P-GW可以向IoTF-U/C（由GIOTFI辨識）發送下行鏈路（DL）封包與加密的網路可達性上下文。

圖16是根據本案內容的各態樣，在IoT網路架構（例如，IoT網路架構100）中的TAU程序的信號流程圖1600。如圖16所示，信號流程圖1600包括客戶端設備1602（亦被稱為IoT設備）、網路存取節點1604（例如，eNB、基地台、網路存取點）、在目標網路設備1605處實施的目標IoTF-C 1606、在源網路設備1607處實施的源IoTF-C 1608、P-GW 1610、以及IoT伺服器1612（亦被稱為應用伺服器）。客戶端設備1602可以向網路存取節點1604發送包括加密的客戶端設備上下文（例如，控制平面（CP）加密的客戶端設備上下文）和TAU請求的資料傳送請求訊息1614。在本案內容的一個態樣，在不建立RRC連接的情況下，資料傳送請求訊息1614可以由客戶端設備1602發送。

網路存取節點1604可以決定1616包括在TAU請求中的目標IoTF-C辨識符。隨後，網路存取節點1604可以決定目標IOTF-C 1606的IP位址，並且可以向目標IoTF-C 1606發送包括與客戶端設備1602相關聯的TID、加密的客戶端設備上下文和TAU請求的訊息1618。目標IoTF- C 1606可以向源IoTF-C 1608發送包括對客戶端設備上下文的請求以及該加密的客戶端設備上下文的訊息1620。

源IoTF-C 1608可以向目標IoTF-C 1606發送包括客戶端設備上下文的訊息1622。目標IoTF-C 1606可以儲存1624針對客戶端設備的TID和針對網路存取節點1604的ID，並可以基於所接收的客戶端設備上下文來產生1624新的GUTI和針對客戶端設備1602的新的加密的客戶端設備上下文。在本案內容的一個態樣，目標IoTF-C 1606可以產生使用者平面（UP）金鑰和上下文產生金鑰，並可以向IoTF-U提供該金鑰。

目標IoTF-C 1606可以向IoT伺服器1612（或P-GW 1610）發送包括追蹤區域ID（TAI）、目標IoTF-C 1606的ID（例如，GIOTFI）的訊息1626。目標IoTF-C 1606可以發送包括TID、新的GUTI、新的加密的客戶端設備上下文和對客戶端設備1602的TAU回應的訊息1628。網路存取節點1604可以基於該TID，在訊息1630中轉發該新的GUTI、新的加密的客戶端設備上下文和對客戶端設備1602的TAU回應。

本文揭示的態樣提供了具有新的專屬網路功能單元的架構，此啟用獨立的部署並避免可擴展性/互通需求。本文揭示的態樣可以使得網路存取節點（例如，基地台）能夠在不儲存或保持針對客戶端設備的安全上下文的情況下，向客戶端設備傳送資料或傳送來自客戶端設備的資料，從而避免了在網路存取節點（例如，或其他網路實體）處消耗大量的資源。可以在新的網路功能單元（被稱為IoT功能單元（IoTF））處錨定安全特徵。專用資源被分配用於IoT資料傳送，以避免影響正常客戶端設備的PDN連接/訊務。加密的UE上下文可以用於資料傳送，以當UE處於閒置狀態時，消除在IoTF處的UE的半永久上下文。MME/S-GW不應保持不經常發送訊務的IoT設備的大量狀態（亦即，上下文）。IoT設備可能僅需要成本高效的資料傳送，而不會耗盡寶貴的核心網路資源。加密的客戶端設備上下文使用資訊

根據本案內容的各態樣，當客戶端設備（例如，圖7中的客戶端設備702）向網路發送加密的客戶端設備上下文時，該客戶端設備可以發送與該加密的客戶端設備上下文相關聯的使用資訊（亦稱為加密的客戶端設備上下文使用資訊）。

在一個態樣，加密的客戶端設備上下文使用資訊可以指示要從客戶端設備發送的資料量。例如，可以將資料量指示為減少的資料傳輸（例如，包括單個資料封包的傳輸）或短脈衝資料傳輸（例如，包括若干資料封包的一或多個傳輸）。在一個態樣，可以使用單個位元（例如，作為封包的標頭中資訊單元（IE）的一部分）來指示要從客戶端設備發送的資料量。在此種態樣中，例如，客戶端設備可以啟用該位元（例如，設置該位元為「1」）來指示要從客戶端設備發送的資料量是減少的資料傳輸，或者可以禁用該位元（例如，將位元設置為「0」）來指示要從客戶端設備發送的資料量是短脈衝資料傳輸。

在一個態樣，當客戶端設備指示要發送的資料量是減少的資料傳輸時，則網路（例如，網路節點，其例如網路節點707、709，及/或網路存取節點，其例如網路存取節點704）可以在從客戶端設備接收到該減少的資料傳輸之後立即移除針對客戶端設備的上下文。在另一個態樣，當客戶端設備指示要發送的資料量是減少的資料傳輸時，則網路可以在第一閥值時間段內保持針對該客戶端設備的上下文。例如，網路可以實施被配置為量測該第一閥值時間段的第一計時器。在該態樣，網路可以在第一計時器到期時移除針對客戶端設備的上下文。在一個態樣，若網路在第一計時器到期之前從客戶端設備接收到資料傳輸（例如，封包），則該網路可以重置第一計時器，並且可以保持針對客戶端設備的上下文，直到第一計時器到期。

在另一個態樣，當客戶端設備指示要發送的資料量是短脈衝資料傳輸時，則網路可以在第二閥值時間段內保持針對客戶端設備的上下文。例如，該網路可以實施被配置為量測第二閥值時間段的第二計時器。在該態樣，網路可以在第二計時器到期時移除針對客戶端設備的上下文。在一個態樣，若網路在第二計時器到期之前從客戶端設備接收到資料傳輸（例如，封包），則網路可以重置第二計時器，並且可以保持針對客戶端設備的上下文，直到第二計時器到期。例如，第二閥值時間段可以大於第一閥值時間段。

在一個態樣，加密的客戶端設備上下文使用資訊可以包括在發送到網路的封包的標頭中。在另一個態樣，在RRC訊號傳遞程序期間，客戶端設備可以向網路提供加密的客戶端設備上下文使用資訊。

在一個態樣，網路（例如，圖6中的網路節點605）可以向客戶端設備（例如，圖6中的客戶端設備602）提供多種類型的加密的客戶端設備上下文。在此種態樣中，每種類型的加密的客戶端設備上下文可以由網路（例如，圖9中的網路節點907）用於重建針對客戶端設備的上下文的一部分（例如，針對客戶端設備的上下文的子集）。例如，第一類型的加密的客戶端設備上下文可以與由網路提供的第一服務（例如，行動寬頻服務）相關聯，其中該第一類型的加密的客戶端設備上下文使得網路能夠重建需要其來支援該第一服務的、客戶端設備上下文的第一部分。在此種實例中，第二類型的加密的客戶端設備上下文可以與由網路提供的第二服務（例如，超可靠低延遲通訊（URLLC））相關聯，其中第二類型的加密的客戶端設備上下文使得網路實體能夠重建需要其來支援該第二服務的、客戶端設備上下文的第二部分。在一個態樣，該客戶端設備上下文的第一部分和客戶端設備上下文的第二部分可以包括比最初由網路針對客戶端設備產生的客戶端設備上下文要少的上下文資訊。

在一個態樣，客戶端設備可以基於要發送到網路（或從網路接收）的傳輸的類型，來決定多個類型的加密的客戶端設備上下文中要使用的一或多個類型。例如，並且參考以上提供的實例，若客戶端設備要發送與行動寬頻服務相關聯的資料，則該客戶端設備可以向網路發送第一類型的加密的客戶端設備上下文。作為另一個實例，若客戶端設備要發送與URLLC服務相關聯的資料，則該客戶端設備可以向網路發送第二類型的加密的網路的可達性上下文。但是應當理解，網路可以提供其他類型的服務，以添加到或者代替以上提供的實例，該等其他類型的服務例如高優先順序存取訊務、延遲容忍存取服務，或機器類型通訊（MTC）服務。

根據本案內容的各態樣，當客戶端設備向網路發送加密的客戶端設備上下文時，該客戶端設備可以在先前描述的使用資訊中指示加密的客戶端設備上下文的類型。在一個態樣，加密的客戶端設備上下文使用資訊可以指示正從客戶端設備發送的資訊的類型。例如，加密的客戶端設備上下文使用資訊可以指示正從客戶端設備發送的資訊與使用者平面相關聯（例如，資料）或與控制平面相關聯（例如，控制資訊）。可以理解的是，由於先前論述的不同類型的加密的客戶端設備上下文中的每種類型皆可以由網路用於重建針對客戶端設備的上下文的一部分（例如，針對客戶端設備的上下文中的子集），致使相比於使得能夠重建整個（例如，全部）客戶端設備上下文的、加密的客戶端設備上下文，該不同類型的加密的客戶端設備上下文在大小上可能是減小的。

在一個態樣，要由網路（例如，圖9中的網路節點907處）針對由網路（例如，圖9中的IoT伺服器912處）提供的服務類型來重建的上下文（或上下文的一部分）可以與一個值相關聯（例如，索引號或其他值）。在此種態樣，客戶端設備（例如，圖9中的客戶端設備909）可以與加密的客戶端設備上下文一起發送該值，以促進在網路處重建針對特定服務（或其他特定用途或應用）的上下文。例如，索引號「1」可以指示行動寬頻服務的特定服務品質（QoS）以及重建用於支援該QoS的上下文所需的資訊。在此種實例中，客戶端設備可以發送與行動寬頻服務相關聯的加密的客戶端設備上下文和索引號「1」，以促進重建用於支援行動寬頻服務的、客戶端設備上下文的一部分。多個使用者平面網路功能單元

在本案內容的一個態樣，除其他外，網路可以包括客戶端設備、網路存取節點（例如，eNB、基地台、網路存取點）、以及網路實體（例如，服務閘道（S-GW）、封包資料網路閘道（P-GW））。在此種態樣，網路存取節點可以實施第一使用者平面網路功能單元而網路實體可以實施第二使用者平面網路功能單元。因此，網路存取節點可以獲得並向客戶端設備發送第一使用者平面加密的客戶端設備上下文而網路實體可以獲得並向客戶端設備發送第二使用者平面加密的客戶端設備上下文。在一個態樣，第一使用者平面加密的客戶端設備上下文可以使得第一使用者平面網路功能單元能夠重建針對客戶端設備的第一上下文（例如，第一安全上下文），以處理（例如，用於驗證及/或解密使用者資料封包）客戶端設備的使用者資料訊務，而第二使用者平面加密的客戶端設備上下文可以使得第二使用者平面網路功能單元重建針對客戶端設備的第二上下文（例如，第二安全上下文），以處理（例如，用於驗證及/或解密使用者資料封包）客戶端設備的使用者資料訊務。在一個態樣，客戶端設備可以與UL資料訊務一起向網路發送多個加密的客戶端設備上下文。例如，客戶端設備可以與UL資料訊務一起，發送第一使用者平面加密的客戶端設備上下文和第二使用者平面加密的客戶端設備上下文。在一個態樣，可以同時發送第一和第二使用者平面加密的客戶端設備上下文（例如，在從客戶端設備發送的同一個封包中）。因此，可以理解的是，在一些態樣，從客戶端設備發送的多個加密的客戶端設備上下文可以使得能夠重建與網路中的不同實體相關聯的獨立的客戶端設備上下文（例如，網路存取節點、S-GW）。示例性裝置（例如，客戶端設備）以及其上的方法

圖17是根據本案內容（例如，與以下描述的圖18-20的方法有關的態樣）的一或多個態樣，被配置為基於IoT網路架構與網路進行通訊的裝置1700的圖示。裝置1700包括通訊介面（例如，至少一個收發機）1702、儲存媒體1704、使用者介面1706、記憶體設備1708、以及處理電路1710。

該等部件可以經由訊號傳遞匯流排或其他適當部件互相耦合及/或被放置為互相電通訊，該訊號傳遞匯流排或其他適當部件在圖17中由連接線整體表示。取決於處理電路1710的特定應用和整體設計約束，訊號傳遞匯流排可以包括任意數量的互連匯流排和橋接器。訊號傳遞匯流排將各種電路連結在一起，使得通訊介面1702、儲存媒體1704、使用者介面1706、以及記憶體設備1708中的每一個耦合到處理電路1710及/或與處理電路1710電通訊。訊號傳遞匯流排亦可以連結各種其他電路（未圖示），其例如時序源、周邊設備、電壓調節器和電源管理電路，其在本領域中是公知的，並因此將不再進一步描述。

通訊介面1702可以適於促進裝置1700的無線通訊。例如，通訊介面1702可以包括適於促進相對於網路中的一或多個通訊設備的雙向地資訊通訊的電路及/或代碼（例如，指令）。通訊介面1702可以耦合到用於無線通訊系統內的無線通訊的一或多個天線1712。通訊介面1702可以被配置具有一或多個獨立的接收器及/或發射器，以及一或多個收發機。在圖示的實例中，通訊介面1702包括發射器1714和接收器1716。

記憶體設備1708可以表示一或多個記憶體設備。如所指示的，記憶體設備1708可以保持與網路相關的資訊/以及由裝置1700所使用的其他資訊。在一些實施中，記憶體設備1708和儲存媒體1704被實施為共用記憶體部件。記憶體設備1708亦可以用於儲存由處理電路1710或裝置1700的一些其他部件所操縱的資料。

儲存媒體1704可以表示用於儲存代碼的一或多個電腦可讀、機器可讀及/或處理器可讀設備，該代碼例如處理器可執行代碼或指令（例如，軟體、韌體）、電子資料、資料庫或其他數位資訊。儲存媒體1704亦可以用於儲存由處理電路1710在執行代碼時所操縱的資料。儲存媒體1704可以是能夠由通用或專用處理器進行存取的任何可用媒體，其包括可攜式或固定的儲存設備、光學儲存設備，以及能夠儲存、包含或攜帶代碼的各種其他媒體。

經由舉例而非限制的方式，儲存媒體1704可以包括磁性儲存設備（例如，硬碟、軟碟、磁帶等）、光碟（例如，壓縮光碟（CD）或數位多功能光碟（DVD））、智慧卡、快閃記憶體設備（例如，卡、棒，或鍵式磁碟）、隨機存取記憶體（RAM）、唯讀記憶體（ROM）、可程式設計ROM（PROM）、可抹除PROM（EPROM）、電子可抹除PROM（EEPROM）、暫存器、可移除磁碟、以及用於儲存可由電腦存取和讀取的代碼的任意其他適當媒體。儲存媒體1704可以體現在製品（例如，電腦程式產品）中。舉例而言，電腦程式產品可以包括封裝材料中的電腦可讀取媒體。鑒於上述情況，在一些實施中，儲存媒體1704可以是非暫時性（例如，有形）儲存媒體。

儲存媒體1704可以耦合到處理電路1710，使得處理電路1710可以從儲存媒體1704讀取資訊，以及將資訊寫入儲存媒體1704。亦即，儲存媒體1704可以耦合到處理電路1710，使得儲存媒體1704至少由處理電路1710可存取，此包括至少一個儲存媒體整合到處理電路1710的實例及/或至少一個儲存媒體與處理電路1710分開的實例（例如，常駐在裝置1700中、在裝置1700外部、跨越多個實體分佈等）。

當儲存媒體1704儲存的代碼及/或指令由處理電路1710執行時，使得處理電路1710執行本文中所描述的各種功能及/或處理操作中的一或多個。例如，儲存媒體1704可以包括被配置用於調節在處理電路1710的一或多個硬體模組處的操作的操作，以及利用通訊介面1702來利用其各自的通訊協定進行無線通訊的操作。

處理電路1710通常適於進行處理，其包括對儲存在儲存媒體1704上此種代碼/指令的執行。如本文所使用的，無論被稱為軟體、韌體、中間軟體、微代碼、硬體描述語言還是其他術語，術語「代碼」或「指令」應當被廣意地解釋為包括但不限於程式設計、指令、指令集、資料、代碼、程式碼片段、程式碼、程式、副程式、軟體模組、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數等。

處理電路1710被佈置為：獲得、處理及/或發送資料，控制資料存取和儲存，發出命令以及控制其他期望的操作。處理電路1710可以包括被配置為在至少一個實例中實施由適當的媒體提供的期望的代碼的電路。例如，處理電路1710可以被實施為一或多個處理器、一或多個控制器及/或被配置為執行可執行代碼的其他結構。處理電路1710的實例可以包括被設計為執行本文描述的功能的通用處理器、數位訊號處理器（DSP）、特殊應用積體電路（ASIC）、現場可程式設計閘陣列（FPGA）或其他可程式設計邏輯部件、個別閘門或電晶體邏輯裝置、個別的硬體部件，或其任意組合。通用處理器可以包括微處理器，以及任何一般處理器、控制器、微控制器，或狀態機。處理電路1710亦可以實施為計算部件的組合，例如DSP和微處理器的組合、多個微處理器、一或多個微處理器與DSP核心的結合、ASIC和微處理器，或者任何其他數量的不同配置。處理電路1710的該等實例是為了說明，並且亦可以考慮本案內容的範疇內的其他適當結構。

根據本案內容的一或多個態樣，處理電路1710可以適於執行針對本文所描述的任意或所有裝置的任意或所有特徵、過程、功能、操作及/或常式。如本文所用的，涉及處理電路1710的術語「適於」可以指的是處理電路1710被執行配置、使用、實施及/或程式設計操作中的一或多個，以根據本文描述的各種特徵來執行特定的過程、功能、操作及/或常式。

根據裝置1700的至少一個實例，處理電路1710可以包括以下各項中的一項或多項：發送電路/模組1720、接收電路/模組1722、加密的客戶端設備上下文儲存電路/模組1724、加密的客戶端設備上下文決定電路/模組1726、閒置模式進入電路/模組1728、安全上下文建立電路/模組1730、訊息獲得電路/模組1732、以及使用資訊獲得電路/模組1733，其適於執行本文中所描述的任意或所有特徵、過程、功能、操作及/或常式（例如，關於圖18-20描述的特徵、過程、功能、操作及/或常式）。

發送電路/模組1720可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體1704上的發送指令1734），該等功能例如與以下操作有關：發送對與網路進行通訊的請求；向網路發送包括一或多個加密的客戶端設備上下文中的至少一個的訊息；向網路發送具有UP加密的客戶端設備上下文的空封包；向網路發送包括網路位址的複數個資料封包；及向網路發送資源釋放請求訊息，其中該資源釋放請求訊息使得網路釋放用於客戶端設備一或多個資源。

接收電路/模組1722可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體1704上的接收指令1736），該等功能例如與以下操作有關：回應於該請求，從該網路接收一或多個加密的客戶端設備上下文；接收第二資料封包，其中接收該第二資料封包不建立與網路存取節點的無線電資源控制（RRC）連接；從網路接收傳呼訊息；及回應於該訊息，接收針對客戶端設備的網路位址。

加密的客戶端設備上下文儲存電路/模組1724可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體1704上的加密的客戶端設備上下文儲存指令1738），該功能例如與以下操作有關：在本機儲存器中儲存該一或多個加密的客戶端設備上下文。

加密的客戶端設備上下文決定電路/模組1726                               可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體1704上的加密的客戶端設備上下文決定指令1740），該等功能例如與以下操作有關：基於該通訊是包括資料還是控制資訊，來決定該一或多個加密的客戶端設備上下文中要使用的至少一個；及決定該一或多個加密的客戶端設備上下文中與服務相關聯的至少一個，其中該一或多個加密的客戶端設備上下文中的至少一個使得能夠重建客戶端設備上下文的支援該服務的一部分。

閒置模式進入電路/模組1728可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體1704上的閒置模式進入指令1742），該等功能例如與以下操作有關：在發送包括該第一資料封包的該訊息之後立即進入閒置模式。

安全上下文建立電路/模組1730可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體1704上的安全上下文建立指令1748），該等功能例如與以下操作有關：建立針對與該網路的連接的安全上下文，其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰或其組合。

訊息獲得電路/模組1732可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體1704上的訊息獲得指令1746），該等功能例如與以下操作有關：獲得訊息，其中該訊息與由網路提供的服務相關聯。

使用資訊獲得電路/模組1733可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體1704上的使用資訊獲得指令1747），該等功能例如與以下操作有關：獲得與該一或多個加密的客戶端設備上下文中的至少一個相關聯的使用資訊。

如前述，當儲存媒體1704儲存的指令由處理電路1710執行時，使得處理電路1710執行本文中所描述的各種功能及/或處理操作中的一或多個。例如，儲存媒體1704可以包括一或多個發送指令1734、接收指令1736、加密的客戶端設備上下文儲存指令1738、加密的客戶端設備上下文決定指令1740、閒置模式進入指令1742、安全上下文建立指令1744、訊息獲得指令1746和使用資訊獲得指令1747。

圖18（包括圖18A和18B）是根據本案內容的各態樣，圖示用於與網路進行通訊的方法的流程圖1800。該方法可以由諸如客戶端設備（例如，客戶端設備102、502或裝置1700）等裝置來執行。但是應當理解的是，在圖18中由虛線指示的動作表示可選的操作。

客戶端設備發送對與網路進行通訊的請求1802。在一個實例中，該請求可以是先前關於圖6描述的請求612。在一個態樣，該請求可以包括關於客戶端設備正請求加密的客戶端設備上下文的指示及/或對客戶端設備正在請求的服務的指示。客戶端設備建立針對與網路的連接的安全上下文，其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法及/或完整性保護金鑰1803。在一個態樣，加密金鑰是使用者平面加密金鑰而完整性保護金鑰是使用者平面完整性保護金鑰，該使用者平面加密金鑰和使用者平面完整性保護金鑰保持在客戶端設備處，並且，第一資料封包是至少利用使用者平面完整性保護金鑰進行完整性保護的或利用使用者平面加密金鑰來加密的。

回應於該請求，客戶端設備從網路接收一或多個加密的客戶端設備上下文1804。在一個實例中，一或多個加密的客戶端設備上下文可以是由圖6中的客戶端設備602接收的RRC連接重配置訊息626中的加密的客戶端設備上下文。在一個態樣，加密的客戶端設備上下文是作為與網路的認證成功的結果，從網路接收的。在此種態樣，與網路的該成功認證不建立存取層（AS）安全上下文。例如，該一或多個加密的客戶端設備上下文可以包括以下各項中的至少一項：安全上下文、針對承載的服務品質（QoS），及/或隧道端點辨識符（TEID）。在一個態樣，一或多個加密的客戶端設備的上下文可以包括要用於與客戶端設備的、資料相關的通訊的第一上下文和要用於與客戶端設備的、控制相關的通訊的第二上下文。在一個態樣，一或多個加密的客戶端設備上下文可能不在客戶端設備處解密。在此種態樣，該一或多個加密的客戶端設備上下文僅由產生該一或多個加密的客戶端設備上下文的網路設備進行解密。

客戶端設備在本機儲存器中儲存一或多個加密的客戶端設備上下文1806。客戶端設備基於要從客戶端設備發送的訊息（例如，封包）是包括資料還是控制資訊，來決定一或多個加密的客戶端設備的上下文中要使用的至少一個1808。例如，該一或多個加密的客戶端設備上下文可以包括使用者平面（UP）加密的客戶端設備上下文和控制平面（CP）加密的客戶端設備上下文。在此種實例中，客戶端設備可以發送具有UP加密的客戶端設備上下文的第一資料封包，或具有CP加密的客戶端設備上下文的控制封包。例如，控制封包可以是追蹤區域更新（TAU）封包。

客戶端設備向網路發送包括一或多個加密的客戶端設備上下文中的至少一個的訊息1810。在一個實例中，該訊息可以是圖8中的包括加密的客戶端設備上下文和由客戶端設備802向網路存取節點804發送的資料封包的資料傳送請求訊息810。在一個態樣，一或多個加密的客戶端設備上下文使得能夠在網路處重建上下文以便與客戶端設備通訊，該上下文包括與客戶端設備相關聯的網路狀態資訊。在一個態樣，上下文在網路處被移除（例如，刪除或不再保持）。在一個態樣，客戶端設備可以在不建立與網路的網路存取節點的無線電資源控制（RRC）連接的情況下，發送包括第一資料封包的訊息。客戶端設備在發送包括該第一資料封包的訊息後，立即進入閒置模式1812。

客戶端設備接收第二資料封包，其中接收第二資料封包不建立與網路存取節點的RRC連接1814。在一個實例中，第二資料封包可以是在圖8中從網路存取節點804發送至客戶端設備802的第五訊息824中的資料封包。 在一個態樣，加密金鑰是使用者平面加密金鑰而完整性保護金鑰是使用者平面完整性保護金鑰，其中使用者平面加密金鑰和使用者平面完整性保護金鑰保持在客戶端設備處。在此種態樣，在接收到第二資料封包時，客戶端設備利用使用者平面完整性保護金鑰來驗證第二資料封包及/或利用使用者平面加密金鑰來解密第二資料封包。客戶端設備從網路接收傳呼訊息1816。客戶端設備向網路發送具有UP加密的客戶端設備上下文的空封包1818。

圖19是根據本案內容的各態樣，圖示用於與網路進行通訊的方法的流程圖1900。該方法可以由諸如客戶端設備（例如，客戶端設備102、502或裝置1700）等裝置來執行。但是應當理解的是，在圖19中由虛線指示的動作表示可選的操作。

客戶端設備發送對與網路進行通訊的請求1902。在一個實例中，該請求可以是先前關於圖6描述的請求612。在一個態樣，該請求可以包括關於客戶端設備正請求加密的客戶端設備上下文的指示及/或對客戶端設備正在請求的服務的指示。客戶端設備建立針對與網路的連接的安全上下文，其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法及/或完整性保護金鑰1904。在一個態樣，加密金鑰是使用者平面加密金鑰而完整性保護金鑰是使用者平面完整性保護金鑰，該使用者平面加密金鑰和使用者平面完整性保護金鑰保持在客戶端設備處，並且，第一資料封包是至少利用使用者平面完整性保護金鑰進行完整性保護的或利用使用者平面加密金鑰來加密的。

回應於該請求，客戶端設備從網路接收一或多個加密的客戶端設備上下文1906。在一個實例中，一或多個加密的客戶端設備上下文可以是由圖6中的客戶端設備602接收的RRC連接重配置訊息626中的加密的客戶端設備上下文。在一個態樣，加密的客戶端設備上下文是作為與網路的成功認證的結果，從網路接收的。在此種態樣，與網路的該成功認證不建立存取層（AS）安全上下文。例如，該一或多個加密的客戶端設備上下文可以包括以下各項中的至少一項：安全上下文、針對承載的服務品質（QoS），及/或隧道端點辨識符（TEID）。在一個態樣，一或多個加密的客戶端設備的上下文可以包括要用於與客戶端設備的、資料相關的通訊的第一上下文和要用於與客戶端設備的、控制相關的通訊的第二上下文。在一個態樣，一或多個加密的客戶端設備上下文可能不在客戶端設備處解密。在此種態樣，該一或多個加密的客戶端設備上下文僅由產生該一或多個加密的客戶端設備上下文的網路設備進行解密。在一個態樣，上下文是客戶端設備從網路接收到該一或多個加密的客戶端設備上下文之後移除的。客戶端設備向網路發送包括一或多個加密的客戶端設備上下文中的至少一個的訊息1908。在一個態樣，該一或多個加密的客戶端設備上下文使得能夠在網路處重建上下文以便與該客戶端設備通訊，該上下文包括與該客戶端設備相關聯的網路狀態資訊。在一個態樣，該訊息亦包括該一或多個加密的客戶端設備上下文中的至少一個和資源建立請求。例如，該訊息可以是資源建立請求訊息1016。回應於該訊息，客戶端設備接收針對客戶端設備的網路位址1910。客戶端設備向網路發送包括該網路位址的複數個資料封包1912。客戶端設備向網路發送資源釋放請求訊息，其中該資源釋放請求訊息使得網路能夠釋放用於客戶端設備的一或多個資源1914。

圖20是根據本案內容的各態樣，圖示用於與網路進行通訊的方法的流程圖2000。該方法可以由諸如客戶端設備（例如，客戶端設備102、502或裝置1700）等裝置來執行。但是應當理解的是，在圖20中由虛線指示的動作表示可選的操作。

在一個態樣，提供了一種用於客戶端設備的方法。客戶端設備發送對與網路進行通訊的請求2002。客戶端設備建立針對與網路的連接的安全上下文，其中該安全上下文至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰或其組合2004。回應於該請求，客戶端設備從網路接收一或多個加密的客戶端設備上下文2006。

客戶端設備獲得訊息，其中該訊息與由網路提供的服務相關聯2008。在一個態樣，一或多個加密的客戶端設備上下文中的每一個與由該網路提供的複數個服務中的一個服務相關聯。在此種態樣，客戶端設備決定該一或多個加密的客戶端設備上下文中與該服務相關聯的至少一個，其中該一或多個加密的客戶端設備上下文中的至少一個使得能夠重建該客戶端設備上下文中支援該服務的一部分2010。例如，該複數個服務可以包括行動寬頻服務、超可靠低延遲通訊（URLLC）服務、高優先順序存取服務、延遲容忍存取服務，及/或機器類型通訊（MTC）服務。

該客戶端設備獲得與該一或多個加密的客戶端設備上下文中的至少一個相關聯的使用資訊2012。在一個態樣，與該一或多個加密的客戶端設備上下文中的至少一個相關聯的使用資訊指示對訊息的傳輸是減少的資料傳輸還是短脈衝資料傳輸。在一個態樣，該使用資訊可以包括與要由網路針對由該網路提供的服務類型來重建的上下文（或上下文的一部分）相關聯的值（例如，索引號或其他值）。

客戶端設備向網路發送包括該一或多個加密的客戶端設備上下文中的至少一個的訊息2014。在一個態樣，該訊息包括使用資訊。在一個態樣，該一或多個加密的客戶端設備上下文使得能夠在該網路處重建上下文的至少一部分以便與該客戶端設備通訊，該上下文包括與該客戶端設備相關聯的網路狀態資訊。在一個態樣，該上下文的該一部分在該網路處保持一段時間，該一段時間是基於對該訊息的該傳輸是減少的資料傳輸還是短脈衝資料傳輸來決定的。在一個態樣，一或多個加密的客戶端設備上下文包括第一使用者平面加密的客戶端設備上下文和第二使用者平面加密的客戶端設備上下文，該第一使用者平面加密的客戶端設備上下文使得能夠在網路中的第一實體處重建針對該客戶端設備的第一上下文，而該第二使用者平面加密的客戶端設備上下文使得能夠在網路中的第二實體處重建針對該客戶端設備的第二上下文。在此種態樣，該訊息至少包括第一使用者平面加密的客戶端設備上下文和第二使用者平面加密的客戶端設備上下文。示例性裝置（例如，網路設備）以及其上的方法

圖21是根據本案內容（例如，與以下描述的圖22-26的方法有關的態樣）的一或多個態樣的裝置2100的圖示。裝置2100包括網路通訊介面（例如，至少一個收發機）2102、儲存媒體2104、使用者介面2106、記憶體設備2108、以及處理電路2110。在一個態樣，裝置2100可以是實施物聯網路（IoT）功能單元的網路設備（例如，網路設備105、505、705）。例如，裝置2100可以實施控制平面IoT功能單元（例如，IoTF-C 106、506、606、706、906、1406）及/或使用者平面IoT功能單元（例如，IoTF-U 108、508、608、708、806、908）。但是應當理解，此種網路設備可以實施為單個網路實體或多個網路實體。

該等部件可以經由訊號傳遞匯流排或其他適當部件互相耦合及/或被放置為互相電通訊，該訊號傳遞匯流排或其他適當部件由圖21中的連接線整體表示。取決於處理電路2110的特定應用和整體設計約束，訊號傳遞匯流排可以包括任何數量的互連匯流排和橋接器。訊號傳遞匯流排將各種電路連結在一起，使得網路通訊介面2102、儲存媒體2104、使用者介面2106、以及記憶體設備2108中的每一個耦合到處理電路2110及/或與處理電路2110電通訊。訊號傳遞匯流排亦可以連結各種其他電路（未圖示），其例如時序源、周邊設備、電壓調節器和電源管理電路，其在本領域中是公知的，並且因此，將不再進一步描述。

網路通訊介面2102可以適於促進裝置2100的無線通訊。例如，網路通訊介面2102可以包括電路及/或代碼（例如，指令），其適於促進相對於網路中的一或多個網路實體的雙向地資訊通訊。網路通訊介面2102可以被配置具有一或多個獨立的接收器及/或發射器，以及一或多個收發機。

記憶體設備2108可以表示一或多個記憶體設備。如所指示的，記憶體設備2108可以保持與網路相關的資訊/以及由裝置2100所使用的其他資訊。在一些實施中，記憶體設備2108和儲存媒體2104被實施為共用記憶體部件。記憶體設備2108亦可以用於儲存由處理電路2110或裝置2100的一些其他部件所操縱的資料。

儲存媒體2104可以表示用於儲存代碼的一或多個電腦可讀、機器可讀及/或處理器可讀設備，該代碼例如處理器可執行代碼或指令（例如，軟體、韌體）、電子資料、資料庫或其他數位資訊。儲存媒體2104亦可以用於儲存由處理電路2110在執行代碼時所操縱的資料。儲存媒體2104可以是能夠由通用或專用處理器存取的任何可用媒體，其包括可攜式或固定的儲存設備、光學儲存設備，以及能夠儲存、包含或攜帶代碼的各種其他媒體。

經由舉例而非限制的方式，儲存媒體2104可以包括磁性儲存設備（例如，硬碟、軟碟、磁帶）、光碟（例如，壓縮光碟（CD）或數位多功能光碟（DVD））、智慧卡、快閃記憶體設備（例如，卡、棒、鍵式磁碟）、隨機存取記憶體（RAM）、唯讀記憶體（ROM）、可程式設計ROM（PROM）、可抹除PROM（EPROM）、電子可抹除PROM（EEPROM）、暫存器、可移除磁碟、以及用於儲存可由電腦存取和讀取的代碼的任意其他適當媒體。儲存媒體2104可以體現在製品（例如，電腦程式產品）中。舉例而言，電腦程式產品可以包括封裝材料中的電腦可讀取媒體。鑒於上述情況，在一些實施中，儲存媒體2104可以是非暫時性（例如，有形）儲存媒體。

儲存媒體2104可以耦合到處理電路2110，使得處理電路2110可以從儲存媒體2104讀取資訊，以及將資訊寫入儲存媒體2104。亦即，儲存媒體2104可以耦合到處理電路2110，使得儲存媒體2104至少由處理電路2110可存取，此包括至少一個儲存媒體整合到處理電路2110的實例及/或至少一個儲存媒體與處理電路2110分開的實例（例如，常駐在裝置2100中、在裝置2100外部、跨越多個實體分佈等）。

當儲存媒體2104儲存的代碼及/或指令由處理電路2110執行時，使得處理電路2110執行本文中所描述的各種功能及/或處理操作中的一或多個。例如，儲存媒體2104可以包括被配置用於調節在處理電路2110中的一或多個硬體模組處的操作的操作，以及利用網路通訊介面2102來利用其各自的通訊協定進行網路通訊的操作。

處理電路2110通常適於進行處理，其包括對儲存在儲存媒體2104上此種代碼/指令的執行。如本文所使用的，無論被稱為軟體、韌體、中間軟體、微代碼、硬體描述語言還是其他術語，術語「代碼」或「指令」應當被廣義地解釋為包括但不限於程式設計、指令、指令集、資料、代碼、程式碼片段、程式碼、程式、副程式、軟體模組、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數等。

處理電路2110被佈置為獲得、處理及/或發送資料、控制資料存取和儲存、發出命令以及控制其他期望的操作。處理電路2110可以包括被配置為在至少一個實例中實施由適當的媒體提供的期望的代碼的電路。例如，處理電路2110可以被實施為一或多個處理器、一或多個控制器及/或被配置為執行可執行代碼的其他結構。處理電路2110的實例可以包括被設計為執行本文描述的功能的通用處理器、數位訊號處理器（DSP）、特殊應用積體電路（ASIC）、現場可程式設計閘陣列（FPGA）或其他可程式設計邏輯部件、個別閘門或電晶體邏輯裝置、個別的硬體部件，或其任意組合。通用處理器可以包括微處理器，以及任何一般處理器、控制器、微控制器，或狀態機。處理電路2110亦可以實施為計算部件的組合，例如DSP和微處理器的組合、多個微處理器、一或多個微處理器與DSP核心的結合、ASIC和微處理器，或者任何其他數量的不同配置。處理電路2110的該等實例是為了說明，並且亦可以考慮本案內容的範疇內的其他適當的結構。

根據本案內容的一或多個態樣，處理電路2110可以適於執行針對本文所描述的任意或所有裝置的任意或所有特徵、過程、功能、操作及/或常式。如本文所用的，涉及處理電路2110的術語「適於」可以指的是處理電路2110被執行配置、使用、實施及/或程式設計操作中的一或多個，以根據本文描述的各種特徵來執行特定的過程、功能、操作及/或常式。

根據裝置2100的至少一個實例，處理電路2110可以包括以下各項中的一項或多項：適於執行本文中所描述的任何或所有的特徵、過程、功能、操作及/或常式（例如，關於圖22-26描述的特徵、過程、功能、操作及/或常式）的發送電路/模組2120、接收電路/模組2122、認證和驗證電路/模組2124、加密的客戶端設備上下文產生電路/模組2126、上下文重建/移除電路/模組2128、封包處理電路/模組2130、儲存電路/模組2132、網路存取節點決定電路/模組2134、臨時辨識符添加電路/模組2136、網路位址獲得/釋放電路/模組2137、封包加密和保護電路/模組2138、以及安全上下文建立電路/模組2139。

發送電路/模組2120可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的發送指令2140），該等功能例如與以下操作有關：向客戶端設備發送一或多個加密的客戶端設備上下文；向第二客戶端設備發送新的加密的客戶端設備上下文；向應用伺服器或封包資料網路閘道（P-GW）轉發該控制封包的有效負荷部分；向客戶端設備轉發該控制封包；向服務網路轉發該第一資料封包；向客戶端設備轉發該第二資料封包；及/或向客戶端設備發送該網路位址。

接收電路/模組2122可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的接收指令2142），該等功能例如與以下操作有關：從客戶端設備接收對與網路進行通訊的請求；從客戶端設備接收控制封包和加密的客戶端設備上下文；從客戶端設備接收第一資料封包和加密的客戶端設備上下文；從伺服器或封包資料網路閘道（P-GW）接收第二資料封包；從第二客戶端設備接收控制封包；從第二網路設備接收針對第二客戶端設備的上下文；從客戶端設備接收包括資源建立請求以及一或多個加密的客戶端設備上下文中的至少一個的訊息；從客戶端設備接收訊息，該訊息包括一或多個加密的客戶端設備上下文中的至少一個以及與該一或多個加密的客戶端設備上下文相關聯的使用資訊；及/或從客戶端設備接收資源釋放請求訊息。

驗證和認證電路/模組2124可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的驗證和認證指令2144），該等功能例如與以下操作有關：從歸屬使用者伺服器（HSS）/認證、授權和計費（AAA）伺服器請求認證資訊；與該客戶端設備執行相互認證；及驗證從該客戶端設備接收到的加密的客戶端設備上下文。

加密的客戶端設備上下文產生電路/模組2126可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的加密的客戶端設備上下文產生指令2146），該等功能例如與以下操作有關：產生一或多個加密的客戶端設備上下文，其中該一或多個加密的客戶端設備上下文使得能夠在該網路處重建該至少一個上下文以便與該客戶端設備通訊；決定該加密的客戶端設備上下文是否已經到期；產生新的加密的客戶端設備上下文；決定要產生該一或多個加密的客戶端設備上下文，其中該決定基於以下各項中的至少一項：在該請求中指示的加密的客戶端設備上下文使用資訊、該設備的定製，或策略；從第二網路設備請求針對第二客戶端設備的客戶端設備上下文，該請求包括控制平面（CP）加密的客戶端設備上下文。例如，該一或多個加密的客戶端設備上下文可以包括要用於資料相關的通訊的第一上下文和要用於控制相關的通訊的第二上下文。

上下文重建/移除電路/模組2128可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的上下文重建/移除指令2148），該功能例如與以下操作有關：獲得針對與客戶端設備相關聯的加密的客戶端設備上下文的金鑰（例如，金鑰K_CDC-IOTF-U ）；基於該金鑰，根據加密的客戶端設備上下文來獲得針對客戶端設備的安全上下文；根據加密的客戶端設備上下文來重建至少一個上下文；基於該一或多個加密的客戶端設備上下文中的至少一個和使用資訊，來重建上下文的至少一部分；移除至少一個上下文；及/或，當該使用資訊指示減少的資料傳輸時，在第一閥值時間段內保持上下文的該至少一部分，或當該使用資訊指示短脈衝資料傳輸時，在第二閥值時間段內保持上下文的該至少一部分，該第二閥值時間段大於該第一閥值時間段。

封包處理電路/模組2130可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的封包處理指示2150），該等功能例如與以下操作有關：使用該至少一個上下文來處理該控制封包，其中該處理包括使用該上下文來對該控制封包進行驗證或解密中的至少一個。

儲存電路/模組2132可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的儲存指令2152），該等功能例如與以下操作有關：儲存針對該客戶端設備的下行鏈路封包的臨時辨識符（ID）。

網路存取節點決定電路/模組2134可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的網路存取節點決定指令2154），該等功能例如與以下操作有關：決定第二資料封包要轉發到的網路存取節點。

臨時辨識符添加電路/模組2136可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的臨時辨識符添加指令2156），該等功能例如與以下操作有關：向第二資料封包添加使得網路存取節點能夠決定客戶端設備的臨時辨識符。

網路位址獲得/釋放電路/模組2137可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的網路位址獲得/釋放指令2157），該等功能例如與以下操作有關：回應於該訊息，獲得針對該客戶端設備的網路位址；從該客戶端設備向閘道發送資源釋放請求訊息，其中該資源釋放請求訊息使得閘道釋放該客戶端設備的網路位址；當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，向閘道發送資源釋放請求訊息，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。

封包加密和保護電路/模組2138可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的封包加密和保護指令2158），該等功能例如與以下操作有關：使用使用者平面（UP）客戶端設備金鑰來對封包進行加密或完整性保護；基於該安全上下文，對第一資料封包進行解密和驗證；使用該使用者平面加密金鑰或該使用者平面完整性保護金鑰來對該第二資料封包進行加密或完整性保護。

安全上下文建立電路/模組2139可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2104上的安全上下文建立指令2159），該等功能例如與以下操作有關：建立與該客戶端設備的至少一個上下文，該至少一個上下文包括與該客戶端設備和該網路之間的連接相關聯的網路狀態資訊，其中該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法、完整性保護金鑰，或其組合。

如前述，當儲存媒體2104儲存的指令由處理電路2110執行時，使得處理電路2110執行本文中所描述的各種功能及/或處理操作中的一或多個。例如，儲存媒體2104可以包括以下各項中的一或多個：發送指令2140、接收指令2142、認證和驗證指令2144、加密的客戶端設備上下文產生指令2146、上下文重建/移除指令2148、封包處理指示2150、儲存指令2152、網路存取節點決定指令2154、臨時辨識符添加指令2156、網路位址獲得/釋放指令2157、封包加密和保護指令2158、以及安全上下文建立指令2159。

圖22（包括圖22A和22B）是根據本案內容的各個態樣，圖示用於在IoT網路架構中進行通訊的方法的流程圖2200。該方法可以由諸如實施IoT功能單元（例如控制平面IoTF，其例如圖1中的控制平面IoTF 106）的網路設備（例如，圖1中的網路設備105或圖21中的裝置2100）等裝置來執行。但是應當理解的是，在圖22中由虛線指示的動作表示可選的操作。

該裝置從客戶端設備接收對與網路進行通訊的請求2202。該裝置從歸屬用戶伺服器（HSS）/認證、授權和計費（AAA）伺服器請求認證資訊2204。該裝置與客戶端設備執行相互認證2206。

該裝置建立與該客戶端設備的至少一個上下文，該至少一個上下文包括與該客戶端設備和該網路之間的連接相關聯的網路狀態資訊2207。在一個態樣，該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法，及/或完整性保護金鑰。該裝置決定要產生該一或多個加密的客戶端設備上下文，其中該決定基於以下各項中的至少一項：在該請求中指示的加密的客戶端設備上下文使用資訊、該客戶端設備的定製，及/或策略2208。

該裝置產生一或多個加密的客戶端設備上下文2210。在一個態樣，該一或多個加密的客戶端設備上下文使得能夠在該網路處重建上下文以便與該客戶端設備通訊。在一個態樣，該一或多個加密的客戶端設備上下文包括要用於資料相關的通訊的第一上下文和要用於控制相關的通訊的第二上下文。該裝置向客戶端設備發送該一或多個加密的客戶端設備上下文2212。

該裝置從該客戶端設備接收控制封包和加密的客戶端設備上下文2214。該裝置驗證從該客戶端設備接收到的該加密的客戶端設備上下文2216。在一個態樣，該裝置進行以下操作：藉由決定從該客戶端設備接收到的該加密的客戶端設備上下文是否已經到期來驗證該加密的客戶端設備上下文；當先前的加密的客戶端設備上下文已經到期時，產生一或多個新的加密的客戶端設備上下文；及當該先前的加密的客戶端設備上下文已經到期時，向該客戶端設備發送該一或多個新的加密的客戶端設備上下文。在一個態樣，驗證該加密的客戶端設備上下文包括決定用於驗證該加密的客戶端設備上下文的金鑰。

該裝置根據加密的客戶端設備上下文來重建該至少一個上下文2218。該裝置使用該至少一個上下文來處理該控制封包，其中該處理包括使用該上下文來對該控制封包進行驗證或解密中的至少一個2220。該裝置儲存針對客戶端設備的下行鏈路封包的臨時辨識符（ID）2222。該裝置向應用伺服器或封包資料網路閘道（P-GW）轉發控制封包的有效負荷部分2224。

圖23（包括圖23A和23B）是根據本案內容的各個態樣，圖示用於在IoT網路架構中進行通訊的方法的流程圖2300。該方法可以由諸如實施IoT功能單元（例如控制平面IoTF，其例如圖1中的控制平面IoTF 106）的網路設備（例如，圖1中的網路設備105或圖21中的裝置2100）等裝置來執行。但是應當理解的是，在圖23中由虛線指示的動作表示可選的操作。

該裝置從客戶端設備接收對與網路進行通訊的請求2302。該裝置建立與該客戶端設備的至少一個上下文，該至少一個上下文包括與該客戶端設備和該網路之間的連接相關聯的網路狀態資訊，其中該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法及/或完整性保護金鑰2304。該裝置產生一或多個加密的客戶端設備上下文2306。在一個態樣，該一或多個加密的客戶端設備上下文使得能夠在該網路處重建該至少一個上下文以便與該客戶端設備通訊。該裝置向該客戶端設備發送該一或多個加密的客戶端設備上下文2308。該裝置移除該至少一個上下文2310。該裝置從客戶端設備接收訊息，該訊息包括該一或多個加密的客戶端設備上下文中的至少一個以及與該一或多個加密的客戶端設備上下文相關聯的使用資訊2312。在一個態樣，該使用情況資訊指示對訊息的傳輸是減少的資料傳輸還是短脈衝資料傳輸。在一個態樣，該網路設備可以基於該一或多個加密的客戶端設備上下文中的至少一個和該使用資訊來重建上下文的至少一部分。在一個態樣，來自客戶端設備的訊息包括該一或多個加密的客戶端設備上下文中的至少一個和資源建立請求。例如，該訊息可以是圖1中的資源建立請求訊息1016。該裝置回應於該訊息，獲得針對客戶端設備的網路位址2314。該裝置向客戶端設備發送該網路位址2316。在一個態樣，該裝置當該使用資訊指示減少的資料傳輸時，在第一閥值時間段內保持上下文的至少一部分，或當該使用資訊指示短脈衝資料傳輸時，在第二閥值時間段內保持上下文的該至少一部分，該第二閥值時間段大於該第一閥值時間段。在一個態樣，該裝置當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，向閘道發送資源釋放請求訊息2318。在一個態樣，該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。在另一個態樣，該裝置從客戶端設備接收資源釋放請求訊息2320。在此種態樣，該裝置向閘道發送來自該客戶端設備的資源釋放請求訊息2322。在一個態樣，該資源釋放請求訊息使得閘道能夠釋放用於客戶端設備的一或多個資源。在一些態樣，可以替代地執行操作2318和操作2320與2322。例如，若執行了操作2318，則可以不執行操作2320和2322。作為另一個實例，若執行了操作2320和2322，則可以不執行操作2318。

圖24是根據本案內容的各個態樣，圖示用於在IoT網路架構中進行通訊的方法的流程圖2400。該方法可以由諸如實施IoT功能單元（例如控制平面IoTF，其例如圖1中的控制平面IoTF 106）的網路設備（例如，圖1中的網路設備105或圖21中的裝置2100）等裝置來執行。

該裝置從第二客戶端設備接收控制平面封包2402。在一個態樣，該第二客戶端設備與最初從其接收到對與網路通訊的請求的客戶端設備是不同的。該裝置從第二網路設備請求針對第二客戶端設備的上下文，該請求包括控制平面（CP）加密的客戶端設備上下文2404。該裝置從該第二網路設備接收針對第二客戶端設備的上下文2406。該裝置產生新的加密的客戶端設備上下文2408。該裝置向第二客戶端設備發送該新的加密的客戶端設備上下文2410。

圖25（包括圖25A和25B）是根據本案內容的各個態樣，圖示用於在IoT網路架構中進行通訊的方法的流程圖2500。該方法可以由諸如實施IoT功能單元（例如使用者平面IoTF，其例如圖1中的使用者平面IoTF 108）的網路設備（例如，圖1中的網路設備105或圖21中的裝置2100）等裝置來執行。但是應當理解的是，在圖25中由虛線指示的動作表示可選的操作。

該裝置獲得針對與客戶端設備相關聯的加密的客戶端設備上下文的金鑰（例如，金鑰K_CDC-IOTF-U ）2502。該裝置從客戶端設備接收第一資料封包（例如，UL資料封包）和加密的客戶端設備上下文2504。該裝置使用該金鑰，根據加密的客戶端設備上下文來獲得針對客戶端設備的安全上下文2506。該裝置基於安全上下文來解密並驗證第一資料封包2508。當解密和驗證成功時，該裝置向服務網路轉發該第一資料封包2510。

在一個態樣，該裝置從伺服器或封包資料網路閘道接收第二資料封包（例如，圖9的訊息914中的DL資料封包）2512。該裝置決定該第二資料封包要轉發到的網路存取節點2514。該裝置向該第二資料封包添加使得該網路存取節點能夠決定該客戶端設備的臨時辨識符2516。該裝置使用該使用者平面加密金鑰或該使用者平面完整性保護金鑰來對該第二資料封包進行加密或完整性保護2518。該裝置向該客戶端設備轉發（例如，經由圖9中的訊息934）該第二資料封包2520。

圖26（包括圖26A和26B）是根據本案內容的各個態樣，圖示用於在IoT網路架構中進行通訊的方法的流程圖2600。該方法可以由諸如實施IoT功能單元（例如控制平面IoTF，其例如圖1中的控制平面IoTF 106）的網路設備（例如，圖1中的網路設備105或圖21中的裝置2100）等裝置來執行。但是應當理解的是，在圖26中由虛線指示的動作表示可選的操作。

該裝置從客戶端設備接收對與網路進行通訊的請求2602。該裝置從歸屬用戶伺服器（HSS）/認證、授權和計費（AAA）伺服器請求認證資訊2604。該裝置與客戶端設備執行相互認證2606。

該裝置建立與該客戶端設備的至少一個上下文，該至少一個上下文包括與該客戶端設備和該網路之間的連接相關聯的網路狀態資訊2608。在一個態樣，該網路狀態資訊至少包括加密演算法、加密金鑰、完整性保護演算法，及/或完整性保護金鑰。該裝置決定要產生該一或多個加密的客戶端設備上下文，其中該決定基於以下各項中的至少一項：在該請求中指示的加密的客戶端設備上下文使用資訊、該客戶端設備的定製，及/或策略2610。

該裝置產生一或多個加密的客戶端設備上下文2612。在一個態樣，該一或多個加密的客戶端設備上下文使得能夠在該網路處重建上下文以便與該客戶端設備通訊。在一個態樣，該一或多個加密的客戶端設備上下文包括要用於資料相關的通訊的第一上下文和要用於控制相關的通訊的第二上下文。該裝置向客戶端設備發送該一或多個加密的客戶端設備上下文2614。該裝置移除該至少一個上下文2616。該裝置從該客戶端設備接收訊息，該訊息包括該一或多個加密的客戶端設備上下文中的至少一個以及與該一或多個加密的客戶端設備上下文相關聯的使用資訊2618。該裝置基於該一或多個加密的客戶端設備上下文中的至少一個與該使用資訊來重建上下文的至少一部分2620。該裝置當該使用資訊指示減少的資料傳輸時，在第一閥值時間段內保持上下文的該至少一部分，或當該使用資訊指示短脈衝資料傳輸時，在第二閥值時間段內保持上下文的該至少一部分，該第二閥值時間段大於該第一閥值時間段2622。示例性裝置（例如，網路存取節點）以及其上的方法

圖27是根據本案內容（例如，與以下描述的圖28和29的方法有關的態樣）的一或多個態樣的裝置2700的圖示。裝置2700包括通訊介面（例如，至少一個收發機）2702、網路通訊介面2703、儲存媒體2704、使用者介面2706、記憶體設備2708、以及處理電路2710。

該等部件可以經由訊號傳遞匯流排或其他適當部件互相耦合及/或被放置為互相電通訊，該訊號傳遞匯流排或其他適當部件由圖27中的連接線整體表示。取決於處理電路2710的特定應用和整體設計約束，訊號傳遞匯流排可以包括任何數量的互連匯流排和橋接器。訊號傳遞匯流排將各種電路連結在一起，使得通訊介面2702、網路通訊介面2703、儲存媒體2704、使用者介面2706、以及記憶體設備2708中的每一個耦合到處理電路2710及/或與處理電路2710電通訊。訊號傳遞匯流排亦可以連結各種其他電路（未圖示），其例如時序源、周邊設備、電壓調節器和電源管理電路，其在本領域中是公知的，並且因此，將不再進一步描述。

通訊介面2702可以適於促進裝置2700的無線通訊。例如，通訊介面2702可以包括電路及/或代碼（例如，指令），其適於促進相對於網路中的一或多個通訊設備的雙向地資訊通訊。通訊介面2702可以耦合到用於無線通訊系統內的無線通訊的一或多個天線2712。通訊介面2702可以被配置具有一或多個獨立的接收器及/或發射器，以及一或多個收發機。在圖示的實例中，通訊介面2702包括發射器2714和接收器2716。

網路通訊介面2703可以適於促進裝置2700的通訊。例如，該網路通訊介面2703可以包括電路及/或代碼（例如，指令），其適於促進相對於網路中的一或多個網路實體的雙向地資訊通訊。網路通訊介面2703可以被配置具有一或多個獨立的接收器及/或發射器，以及一或多個收發機。

記憶體設備2708可以表示一或多個記憶體設備。如所指示的，記憶體設備2708可以保持與網路相關的資訊/以及由裝置2700所使用的其他資訊。在一些實施中，記憶體設備2708和儲存媒體2704被實施為共用記憶體部件。記憶體設備2708亦可以用於儲存由處理電路2710或裝置2700的一些其他部件所操縱的資料。

儲存媒體2704可以表示用於儲存代碼的一或多個電腦可讀、機器可讀及/或處理器可讀設備，該代碼例如處理器可執行代碼或指令（例如，軟體、韌體）、電子資料、資料庫或其他數位資訊。儲存媒體1504亦可以用於儲存由處理電路2710在執行代碼時所操縱的資料。儲存媒體2704可以是能夠由通用或專用處理器存取的任何可用媒體，其包括可攜式或固定的儲存設備、光學儲存設備，以及能夠儲存、包含或攜帶代碼的各種其他媒體。

經由舉例而非限制的方式，儲存媒體2704可以包括磁性儲存設備（例如，硬碟、軟碟、磁帶等）、光碟（例如，壓縮光碟（CD）或數位多功能光碟（DVD））、智慧卡、快閃記憶體設備（例如，卡、棒、鍵式磁碟）、隨機存取記憶體（RAM）、唯讀記憶體（ROM）、可程式設計ROM（PROM）、可抹除PROM（EPROM）、電子可抹除PROM（EEPROM）、暫存器、可移除磁碟、以及用於儲存可由電腦存取和讀取的代碼的任意其他適當媒體。儲存媒體2704可以體現在製品（例如，電腦程式產品）中。舉例而言，電腦程式產品可以包括封裝材料中的電腦可讀取媒體。鑒於上述情況，在一些實施中，儲存媒體2704可以是非暫時性（例如，有形）儲存媒體。

儲存媒體2704可以耦合到處理電路2710，使得處理電路2710可以從儲存媒體2704讀取資訊，以及將資訊寫入儲存媒體2704。亦即，儲存媒體2704可以耦合到處理電路2710，使得儲存媒體2704至少由處理電路2710可存取，此包括至少一個儲存媒體整合到處理電路2710的實例及/或至少一個儲存媒體與處理電路2710分開的實例（例如，常駐在裝置2700中、在裝置2700外部、跨越多個實體分佈等）。

當儲存媒體2704儲存的代碼及/或指令由處理電路2710執行時，使得處理電路2710執行本文中所描述的各種功能及/或處理操作中的一或多個。例如，儲存媒體2704可以包括被配置用於調節在處理電路2710中的一或多個硬體模組處的操作的操作，以及利用通訊介面2702來利用其各自的通訊協定進行無線通訊的操作。

處理電路2710通常適於進行處理，其包括對儲存在儲存媒體2704上此種代碼/指令的執行。如本文所使用的，無論被稱為軟體、韌體、中間軟體、微代碼、硬體描述語言還是其他術語，術語「代碼」或「指令」應當被廣義地解釋為包括但不限於程式設計、指令、指令集、資料、代碼、程式碼片段、程式碼、程式、副程式、軟體模組、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數等。

處理電路2710被佈置為獲得、處理及/或發送資料、控制資料存取和儲存、發出命令以及控制其他期望的操作。處理電路2710可以包括被配置為在至少一個示例中實施由適當的媒體提供的期望的代碼的電路。例如，處理電路2710可以被實施為一或多個處理器、一或多個控制器及/或被配置為執行可執行代碼的其他結構。處理電路2710的實例可以包括被設計為執行本文描述的功能的通用處理器、數位訊號處理器（DSP）、特殊應用積體電路（ASIC）、現場可程式設計閘陣列（FPGA）或其他可程式設計邏輯部件、個別閘門或電晶體邏輯裝置、個別的硬體部件，或其任意組合。通用處理器可以包括微處理器，以及任何一般處理器、控制器、微控制器，或狀態機。處理電路2710亦可以實施為計算部件的組合，例如DSP和微處理器的組合、多個微處理器、一或多個微處理器與DSP核心的結合、ASIC和微處理器，或者任何其他數量的不同配置。處理電路2710的該等實例是為了說明，並且亦可以考慮本案內容的範疇內的其他適當的結構。

根據本案內容的一或多個態樣，處理電路2710可以適於執行針對本文所描述的任意或所有裝置的任意或所有特徵、過程、功能、操作及/或常式。如本文所用的，涉及處理電路2710的術語「適於」可以指的是處理電路2710被執行配置、使用、實施及/或程式設計操作中的一或多個，以根據本文描述的各種特徵來執行特定的過程、功能、操作及/或常式。

根據裝置2700的至少一個實例，處理電路2710可以包括以下各項中的一項或多項：接收電路/模組2722、臨時辨識符添加電路/模組2724、儲存電路/模組2726、臨時辨識符移除電路/模組2728、資料封包轉發電路/模組2730、封包處理電路/模組2732、封包加密和保護電路/模組2734、上下文重建/移除電路/模組2738、以及網路位址獲得/釋放電路/模組2740，其適於執行本文中所描述的任意或所有特徵、過程、功能、操作及/或常式（例如，關於圖28和29描述的特徵、過程、功能、操作及/或常式）。

接收電路/模組2722可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2704上的接收指令2742），該等功能例如與以下操作有關：從客戶端設備接收具有對與網路進行通訊的請求的第一資料封包；從客戶端設備接收第一資料封包和加密的客戶端設備上下文；從在網路節點處實施的網路功能單元接收第一資料封包；及，從客戶端設備接收包括一或多個加密的客戶端設備上下文中的至少一個和資源建立請求的訊息。

臨時辨識符添加電路/模組2724可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2704上的臨時辨識符添加指令2744），該等功能例如與以下操作有關：向第一資料封包添加臨時辨識符。

儲存電路/模組2726可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2704上的儲存指令2746），該等功能例如與以下操作有關：儲存針對該客戶端設備的臨時辨識符。例如，該臨時辨識符可以是細胞無線電網路臨時辨識符（C-RNTI）。在一個態樣，該臨時辨識符被儲存預定的時間段。

臨時辨識符移除電路/模組2728可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2704上的臨時辨識符移除指令2748），該等功能例如與以下操作有關：移除該第二資料封包中的臨時辨識符。

資料封包轉發電路/模組2730可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2704上的資料封包轉發指令2750），該等功能例如與以下操作有關：決定該第一資料封包所意欲的第一網路節點；當解密和驗證成功時，向服務網路轉發第一資料封包；決定請求要轉發到的網路功能單元，其中該決定是在網路存取節點處預先配置的；決定第二資料封包要轉發到的客戶端設備；及，向該客戶端設備轉發該第二資料封包。

封包處理電路/模組2732可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2704上的封包處理指示2752），該等功能例如與以下操作有關：基於安全上下文來解密和驗證第一資料封包。

封包加密和保護電路/模組2734可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2704上的封包加密和保護指令2754），該等功能例如與以下操作有關：使用使用者平面（UP）客戶端設備金鑰來對封包進行加密或完整性保護；基於安全上下文來解密和驗證第一資料封包；及/或使用使用者平面加密金鑰或使用者平面完整性保護金鑰來對第二資料封包進行加密或完整性保護。

上下文重建/移除電路/模組2738可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2704上的上下文重建/移除指令2758），該等功能例如與以下操作有關：獲得針對與客戶端設備相關聯的加密的客戶端設備上下文的金鑰（例如，金鑰K_CDC-IOTF-U ）；使用該金鑰，根據加密的客戶端設備上下文，來獲得針對客戶端設備的安全上下文；根據該加密的客戶端設備上下文，重建至少一個上下文；基於該一或多個加密的客戶端設備上下文中的至少一個以及該使用資訊來重建上下文的至少一部分；移除至少一個上下文；及/或當該使用資訊指示減少的資料傳輸時，在第一閥值時間段內保持上下文的該至少一部分，或當該使用資訊指示短脈衝資料傳輸時，在第二閥值時間段內保持上下文的該至少一部分，該第二閥值時間段大於該第一閥值時間段。

網路位址獲得/釋放電路/模組2740可以包括適於執行若干功能的電路及/或指令（例如，儲存在儲存媒體2704上的網路位址獲得/釋放指令2760），該等功能例如與以下操作有關：回應於該訊息，獲得針對該客戶端設備的網路位址；向客戶端設備發送該網路位址；向閘道發送來自客戶端設備的資源釋放請求訊息，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源；及/或當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，向閘道發送資源釋放請求訊息，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。

當儲存媒體2704儲存的指令由處理電路2710執行時，使得處理電路2710執行本文中所描述的各種功能及/或處理操作中的一或多個。例如，儲存媒體2704可以包括以下各項中的一或多個：接收指令2742、臨時辨識符添加指令2744、儲存指令2746、臨時辨識符移除指令2748、封包資料轉發指令2750、封包處理指示2752、封包加密和保護指令2754、上下文重建/刪除指令2758和網路位址獲得/釋放指令2760。

圖28是根據本案的各個態樣，圖示用於在IoT網路架構中進行通訊的方法的流程圖2800。該方法可以由諸如網路存取節點（例如，圖1中的網路存取節點104或圖27中的裝置2700）等裝置來執行。

該裝置從客戶端設備接收具有對與網路進行通訊的請求的第一資料封包2802。該裝置儲存針對該客戶端設備的臨時辨識符2804。例如，該臨時辨識符可以是細胞無線電網路臨時辨識符（C-RNTI），並且該臨時辨識符可以被儲存預定的時間段。該裝置向第一資料封包添加該臨時辨識符2806。

該裝置決定該第一資料封包所意欲的第一網路節點2808。該裝置決定該請求要轉發到的網路功能單元，其中該決定是在網路存取節點處預先配置的2810。該裝置向網路功能單元轉發該第一資料封包2812。

該裝置從在網路節點處實施的網路功能單元接收第二資料封包2814。該裝置決定該第二資料封包要轉發到的客戶端設備2816。在一個態樣，該裝置藉由根據該第二資料封包中的臨時辨識符來辨識該客戶端設備，來決定該第二資料封包要轉發到的該客戶端設備。該裝置移除該第二資料封包中的臨時辨識符2818。該裝置向該客戶端設備轉發該第二資料封包2820。

圖29（包括圖29A和29B）是根據本案的各個態樣，圖示用於在網路中進行通訊的方法的流程圖2900。該方法可以由諸如網路存取節點（例如，圖12中的網路存取節點1204或圖27中的裝置2700）等裝置來執行。但是應當理解的是，在圖27中由虛線指示的動作表示可選的操作。

該裝置獲得針對與客戶端設備相關聯的加密的客戶端設備上下文的金鑰（例如，金鑰K_CDC-IoTF-U ）2902。該裝置從客戶端設備接收第一資料封包（例如，UL資料封包）和加密的客戶端設備上下文2904。該裝置使用該金鑰，根據該加密的客戶端設備上下文獲得針對該客戶端設備的安全上下文2906。該裝置基於該安全上下文來解密及/或驗證第一資料封包2908。當解密和驗證成功時，該裝置向服務網路轉發該第一資料封包2910。該裝置從伺服器或封包資料網路閘道接收第二資料封包（例如，DL資料封包）2912。該裝置使用使用者平面加密金鑰或使用者平面完整性保護金鑰來對該第二資料封包進行加密或完整性保護2914。該裝置向客戶端設備轉發該第二資料封包2916。該裝置移除該至少一個上下文2918。該裝置從客戶端設備接收包括資源建立請求以及一或多個加密的客戶端設備上下文中的至少一個的訊息2920。回應於該訊息，該裝置獲得針對該客戶端設備的網路位址2922。該裝置向該客戶端設備發送該網路位址2924。在一個態樣，該裝置當計時器在從該客戶端設備至該網路的傳輸之前或者從該網路至該客戶端設備的傳輸之前到期時，向閘道發送資源釋放請求訊息2926。在一個態樣，該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。在另一個態樣，該裝置從該客戶端設備接收資源釋放請求訊息2928。在此種態樣，該裝置向閘道發送來自該客戶端設備的該資源釋放請求訊息2930。在一個態樣，該資源釋放請求訊息使得閘道能夠釋放用於客戶端設備的一或多個資源。在一些態樣，可以替代地執行操作2926和操作2928與2930。例如，若執行了操作2926，則可以不執行操作2928與2930。作為另一個實例，若執行了操作2928與2930，則可以不執行操作2926。

可以重新安排圖中所示的部件、步驟、特徵及/或功能中的一或多個及/或將其組合成單個部件、步驟、特徵或功能，或在若干個部件、步驟，或功能中體現。亦可以在不脫離本文所揭示的新穎性特徵的情況下添加額外的元件、部件、步驟及/或功能。圖中所示的裝置、設備及/或部件可以被配置為執行本文所描述的方法、特徵，或步驟中的一或多個。亦可以在軟體中有效地實施本文中描述的新穎性演算法及/或將其嵌入在硬體中。

應當理解的是，本文所揭示方法中的步驟的特定次序或層次是對示例性過程的說明。應當理解，根據設計偏好，可以重新排列方法中的步驟的特定次序或層次。所附的方法請求項以示例性次序呈現了多個步驟的要素，並且除非其中明確地記載，否則其並不意味著受限於所呈現的特定次序或層次。在不脫離本案內容的情況下，亦可以添加或者不使用額外的元件、部件、步驟，及/或功能。

儘管已經相對於某些實施和附圖來論述了本案內容的特徵，但本案內容的所有實施可以包括本文所論述的有利特徵中的一或多個。換言之，儘管一或多個實施可能被論述為具有某些有利特徵，但是亦可以根據本文所論述的各種實施中的任意實施來使用一或多個此種特徵。以類似的方式，儘管示例性實施在本文中已被論述為設備、系統，或方法實施，但是應該理解的是，可以在各種設備、系統和方法中實施此種示例性實施。

另外，應當注意的是，至少一些實施已經被描述為過程，該過程被圖示為流程圖、流程圖、結構圖，或方塊圖。儘管流程圖可以將操作描述為順序過程，但是許多操作可以並行或同時執行。此外，可以重新安排操作的次序。當過程的操作完成時，該過程終止。在一些態樣，過程可以對應於方法、函數、程序、子常式、副程式等。當程序對應於函數時，其終止對應於該函數返回到調用函數或主函數。可以藉由儲存在機器可讀、電腦可讀，及/或處理器可讀儲存媒體中並由一或多個處理器、機器及/或設備可執行的程式設計（例如，指令及/或資料）來部分或完全實施本文所描述的各種方法中的一或多個。

本領域技藝人士亦應當明白，結合本文所揭示的實施來描述的各種示例性邏輯區塊、模組、電路和演算法步驟均可以實施成硬體、軟體、韌體、中間軟體、微代碼，或其任意組合。為了清楚地表示此種可交換性，上面對各種示例性的部件、方塊、模組、電路和步驟均圍繞其功能進行了整體描述。至於此種功能是實施成硬體還是實施成軟體，取決於特定的應用和對整體系統所施加的設計約束條件。

在本案內容中，用語「示例性」用於表示「用作示例、實例或說明」。本文中描述為「示例性」的任何實施或態樣不必解釋為比本案內容的其他態樣更優選或更有優勢。同樣，術語「態樣」不要求本案內容的所有態樣皆包括所論述的特徵、優點或操作模式。本文中使用術語「耦合」來指示兩個物件之間的直接或間接耦合。例如，若物件A實體地接觸物件B，且物件B接觸物件C，則物件A和C可以仍然被認為是互相耦合——即使其不直接實體地互相接觸。例如，第一晶粒可以耦合到封裝中的第二晶粒，即使第一晶粒不直接與第二晶粒實體接觸。廣泛地使用術語「電路」和「電路系統」，並且其意欲包括電子設備和導體的硬體實施（當其被連接和配置時，使得能夠執行在本案內容中描述的功能，而不限制電子電路的類型）以及資訊和指令的軟體實施（當由處理器執行時，使得能夠執行本案內容中描述的功能）該二者。

如本文使用的，術語「決定」涵蓋各種各樣的動作。例如，「決定」可以包括運算、計算、處理、推導、調查、檢視（例如，在表、資料庫或另一資料結構中檢視）、發現等。此外，「決定」可以包括接收（例如，接收資訊）、存取（例如，存取記憶體中的資料）等等。另外，「決定」可以包括解析、選擇、選取、建立等等。如本文使用的，術語「獲得」可以包括一或多個動作，該動作包括但不限於接收、產生、決定或其任意組合。

為使本領域任何技藝人士能夠實踐本文中所描述的各個態樣，提供了之前的描述。對於本領域技藝人士而言，對該等態樣的各種修改將是顯而易見的，並且，本文中定義的一般原理可以適用於其他態樣。因此，請求項並不意欲限於本文中所圖示的態樣，而是要符合與請求項語言相一致的最廣範圍，其中以單數形式對要素的引用並不意欲意味著「一個並且僅一個」（除非特別如此說明），而指的是「一或多個」。除非另外特別說明，否則術語「一些」指的是一或多個。代表項目列表「中的至少一個」的用語指的是該等項目的任意組合，包括單個成員。舉例而言，「a、b或c中的至少一個」意欲涵蓋：a；b；c；a和b；a和c；b和c；及a、b和c。貫穿本案內容來描述的各個態樣的要素的所有結構均等物和功能均等物（對於本領域一般技藝人士而言是已知的或稍後要知道的）以引用方式明確地併入本文，並且意欲由請求項所包含。另外，本文中揭示的所有內容均不是要貢獻給公眾的，不論此種揭示內容是否在請求項中進行了明確地陳述。請求項的任何要素皆不應當根據美國專利法施行細則第18條第8項的規定進行解釋，除非該要素明確地使用用語「用於……的構件」來陳述，或者，在方法請求項的情形下，該要素使用短語「用於……的步驟」來陳述。

因此，在不脫離本案內容的範疇的情況下，與本文描述的示例相關聯並在附圖中圖示的各種特徵可以以不同的實例和實施方式來實施。因此，儘管已經描述並在附圖中圖示某些特定的結構和佈置，但此種實施僅是說明性的而不限制本案內容的範疇，此是因為對本領域一般技藝人士而言，對所描述的實施的各種其他添加和修改以及刪除將是顯而易見的。因此，本案內容的保護範疇僅由隨後的請求項的字面語言和法律均等物來決定。

100‧‧‧IoT網路架構 102‧‧‧客戶端設備 104‧‧‧網路存取節點 105‧‧‧網路設備 106‧‧‧控制平面IoT功能單元（IoTF-C） 107‧‧‧第一網路節點 108‧‧‧使用者平面IoT功能單元（IoTF-U） 109‧‧‧第二網路節點 110‧‧‧服務網路 112‧‧‧歸屬用戶伺服器（HSS）/認證、授權和計費（AAA）伺服器 114‧‧‧第二S1連接 116‧‧‧第一S1連接 118‧‧‧簡訊實體（SME） 120‧‧‧機器類型通訊互通功能單元（MTC-IWF） 122‧‧‧IoT伺服器 124‧‧‧封包資料網路（PDN）閘道（P-GW） 126‧‧‧控制平面（CP）金鑰 128‧‧‧使用者平面（UP）金鑰 130‧‧‧上下文金鑰 131‧‧‧上下文金鑰 200‧‧‧金鑰層 202‧‧‧金鑰K_IoT 204‧‧‧IK/CK 206‧‧‧金鑰K_ASME 208‧‧‧控制平面金鑰（K_CP） 210‧‧‧加密金鑰K_IoT-CPenc 212‧‧‧完整性保護金鑰K_IoT-CPint 214‧‧‧金鑰K_UP 216‧‧‧加密金鑰K_IoT-UPenc 218‧‧‧完整性保護金鑰K_IoT-UPint 300‧‧‧金鑰層 302‧‧‧金鑰K_CDC-IoTF 304‧‧‧控制平面客戶端設備上下文加密金鑰（K_CDC-IoTF-C） 306‧‧‧使用者平面客戶端設備上下文加密金鑰（K_CDC-IoTF-U） 400‧‧‧網路 402‧‧‧客戶端設備 404‧‧‧網路存取節點 406‧‧‧EPC 408‧‧‧行動性管理實體（MME） 410‧‧‧封包資料網路閘道（P-GW）/服務閘道（S-GW） 412‧‧‧歸屬用戶伺服器（HSS） 414‧‧‧上下文 416‧‧‧上下文 418‧‧‧上下文 420‧‧‧上下文 422‧‧‧上下文 424‧‧‧上下文 426‧‧‧上下文 428‧‧‧上下文 500‧‧‧IoT網路架構 502‧‧‧客戶端設備 504‧‧‧網路存取節點 505‧‧‧網路設備 506‧‧‧控制平面IoT功能單元（IoTF-C） 507‧‧‧網路節點 508‧‧‧使用者平面IoT功能單元（IoTF-U） 509‧‧‧網路節點 510‧‧‧服務網路 512‧‧‧歸屬用戶伺服器（HSS）/認證、授權和計費（AAA）伺服器 514‧‧‧第二S1連接 516‧‧‧第一S1連接 518‧‧‧簡訊實體（SME） 520‧‧‧機器類型通訊互通功能單元（MTC-IWF） 522‧‧‧IoT伺服器 524‧‧‧封包資料網路（PDN）閘道（P-GW） 526‧‧‧CP金鑰 528‧‧‧UP金鑰 530‧‧‧上下文金鑰 531‧‧‧上下文金鑰 532‧‧‧附著請求 534‧‧‧請求 535‧‧‧認證資訊 536‧‧‧信號 538‧‧‧訊息 600‧‧‧信號流程圖 602‧‧‧客戶端設備 604‧‧‧IoT設備 605‧‧‧網路節點 606‧‧‧IoTF-C 607‧‧‧網路節點 608‧‧‧IoTF-U 609‧‧‧服務網路 610‧‧‧歸屬用戶伺服器（HSS） 612‧‧‧請求 614‧‧‧RRC連接建立訊息 616‧‧‧RRC連接建立完成訊息 618‧‧‧初始客戶端設備訊息 620‧‧‧AKA程序 621‧‧‧通訊 622‧‧‧訊息 623‧‧‧初始上下文建立請求訊息 626‧‧‧RRC連接重配置訊息 630‧‧‧第一訊息 632‧‧‧第二訊息 634‧‧‧第三訊息 636‧‧‧轉換 638‧‧‧移除 700‧‧‧IoT網路架構 702‧‧‧客戶端設備 704‧‧‧網路存取節點 705‧‧‧網路設備 706‧‧‧控制平面IoT功能單元（IoTF-C） 707‧‧‧網路節點 708‧‧‧使用者平面IoT功能單元（IoTF-U） 709‧‧‧網路節點 710‧‧‧服務網路 712‧‧‧歸屬用戶伺服器（HSS）/認證、授權和計費（AAA）伺服器 718‧‧‧簡訊實體（SME） 720‧‧‧機器類型通訊互通功能單元（MTC-IWF） 722‧‧‧IoT伺服器 724‧‧‧封包資料網路（PDN）閘道（P-GW） 726‧‧‧CP金鑰 728‧‧‧UP金鑰 730‧‧‧上下文金鑰 731‧‧‧上下文金鑰 732‧‧‧第一訊息 734‧‧‧第二訊息 800‧‧‧信號流程圖 802‧‧‧客戶端設備 804‧‧‧網路存取節點 805‧‧‧網路節點 806‧‧‧IoTF-U 808‧‧‧服務網路 810‧‧‧資料傳送請求訊息 812‧‧‧指派 814‧‧‧第一訊息 816‧‧‧重建 818‧‧‧第二訊息 820‧‧‧第三訊息 822‧‧‧第四訊息 824‧‧‧第五訊息 826‧‧‧轉變 828‧‧‧移除 900‧‧‧信號流程圖 902‧‧‧客戶端設備 904‧‧‧網路存取節點 905‧‧‧網路節點 906‧‧‧IoTF-C 907‧‧‧網路節點 908‧‧‧IoTF-U 910‧‧‧P-GW 912‧‧‧IoT伺服器 914‧‧‧下行鏈路（DL）訊息 916‧‧‧轉發訊息 918‧‧‧DL資料通知訊息 920‧‧‧傳呼訊息 922‧‧‧傳呼訊息 924‧‧‧RRC連接請求訊息 926‧‧‧指派 928‧‧‧轉發訊息 930‧‧‧儲存 932‧‧‧客戶端設備回應通知訊息 934‧‧‧訊息 936‧‧‧轉發訊息 938‧‧‧轉換 940‧‧‧移除 1000‧‧‧信號流程圖 1002‧‧‧客戶端設備 1004‧‧‧IoTF-C 1006‧‧‧網路節點 1008‧‧‧IoTF-U 1010‧‧‧網路節點 1012‧‧‧P-GW 1014‧‧‧移除 1016‧‧‧資源建立請求訊息 1018‧‧‧資源建立操作 1020‧‧‧上行鏈路（UL）資料 1022‧‧‧資源釋放請求訊息1 1024‧‧‧閒置模式 1026‧‧‧計時器 1028‧‧‧資源釋放請求訊息2 1030‧‧‧移除 1100‧‧‧信號流程圖 1102‧‧‧客戶端設備 1104‧‧‧網路存取節點 1106‧‧‧網路節點 1108‧‧‧服務網路 1110‧‧‧歸屬用戶伺服器（HSS） 1112‧‧‧使用者平面功能單元 1114‧‧‧控制平面功能單元 1116‧‧‧請求 1118‧‧‧RRC連接建立訊息 1120‧‧‧RRC連接建立完成訊息 1122‧‧‧初始客戶端設備訊息 1124‧‧‧AKA程序 1126‧‧‧通訊 1128‧‧‧初始上下文建立請求訊息 1130‧‧‧RRC連接重配置訊息 1132‧‧‧RRC連接重新配置完成訊息 1134‧‧‧第一訊息 1136‧‧‧第二訊息 1138‧‧‧轉換 1140‧‧‧移除 1200‧‧‧信號流程圖 1202‧‧‧客戶端設備 1204‧‧‧網路存取節點 1206‧‧‧網路節點 1208‧‧‧P-GW 1210‧‧‧使用者平面功能單元 1212‧‧‧控制平面功能單元 1214‧‧‧移除 1216‧‧‧資源建立請求訊息 1218‧‧‧資源建立操作 1220‧‧‧上行鏈路（UL）資料 1222‧‧‧資源釋放請求訊息1 1224‧‧‧閒置模式 1226‧‧‧計時器 1228‧‧‧資源釋放請求訊息2 1230‧‧‧資源釋放請求訊息3 1232‧‧‧移除 1300‧‧‧控制平面協定堆疊 1302‧‧‧客戶端設備協定堆疊 1304‧‧‧網路存取節點協定堆疊 1305‧‧‧網路節點 1306‧‧‧IoTF協定堆疊 1308‧‧‧服務網路通訊協定堆疊 1310‧‧‧實體（PHY）層 1312‧‧‧媒體存取控制（MAC）層 1314‧‧‧無線電鏈路控制（RLC）層 1316‧‧‧封包資料收斂協定（PDCP）層 1318‧‧‧上下文協定層 1320‧‧‧控制（Ctrl）層 1322‧‧‧PHY層 1324‧‧‧MAC層 1326‧‧‧RLC層 1328‧‧‧PDCP層 1330‧‧‧乙太網路層 1332‧‧‧MAC層 1334‧‧‧網際網路協定（IP）層 1336‧‧‧使用者資料包通訊協定（UDP）層 1338‧‧‧控制平面GPRS隧道協定（GTP-C）層 1340‧‧‧乙太網路層 1342‧‧‧MAC層 1344‧‧‧IP層 1346‧‧‧UDP層 1348‧‧‧GTP-C層 1350‧‧‧上下文協定層 1352‧‧‧控制（Ctrl）層 1354‧‧‧IP層 1356‧‧‧UDP層 1358‧‧‧GTP-C層 1362‧‧‧Ctrl層/區域 1364‧‧‧IP協定 1366‧‧‧區域 1400‧‧‧使用者平面協定堆疊 1402‧‧‧客戶端設備協定堆疊 1404‧‧‧網路存取節點協定堆疊 1405‧‧‧網路節點 1406‧‧‧IoTF協定堆疊 1408‧‧‧服務網路通訊協定堆疊 1410‧‧‧實體（PHY）層 1412‧‧‧媒體存取控制（MAC）層 1414‧‧‧無線電鏈路控制（RLC）層 1416‧‧‧封包資料收斂協定（PDCP）層 1418‧‧‧上下文協定層 1420‧‧‧使用者平面（UP）層 1422‧‧‧PHY層 1424‧‧‧MAC層 1426‧‧‧RLC層 1428‧‧‧PDCP層 1430‧‧‧乙太網路層 1432‧‧‧MAC層 1434‧‧‧網際網路協定（IP）層 1436‧‧‧使用者資料包通訊協定（UDP）層 1438‧‧‧使用者平面GPRS隧道協定（GTP-U）層 1440‧‧‧乙太網路層 1442‧‧‧MAC層 1444‧‧‧IP層 1446‧‧‧UDP層 1448‧‧‧GTP-U層 1450‧‧‧上下文協定層 1452‧‧‧UP層 1454‧‧‧IP層 1456‧‧‧UDP層 1458‧‧‧GTP-U層 1462‧‧‧UP層/區域 1464‧‧‧IP協定 1466‧‧‧區域 1500‧‧‧封包格式 1502‧‧‧臨時辨識符（TID）欄位 1504‧‧‧IoTF ID（IID）欄位 1506‧‧‧安全標頭欄位 1508‧‧‧客戶端設備上下文欄位 1510‧‧‧有效負荷欄位 1512‧‧‧MAC欄位 1600‧‧‧信號流程圖 1602‧‧‧客戶端設備 1604‧‧‧網路存取節點 1605‧‧‧目標網路設備 1606‧‧‧目標IoTF-C 1607‧‧‧源網路設備 1608‧‧‧源IoTF-C 1610‧‧‧P-GW 1612‧‧‧IoT伺服器 1614‧‧‧資料傳送請求訊息 1616‧‧‧決定 1618‧‧‧訊息 1620‧‧‧訊息 1622‧‧‧訊息 1624‧‧‧儲存 1626‧‧‧訊息 1628‧‧‧訊息 1630‧‧‧訊息 1700‧‧‧裝置 1702‧‧‧通訊介面 1704‧‧‧儲存媒體 1706‧‧‧使用者介面 1708‧‧‧記憶體設備 1710‧‧‧處理電路 1712‧‧‧天線 1714‧‧‧發射器 1716‧‧‧接收器 1720‧‧‧發送電路/模組 1722‧‧‧接收電路/模組 1724‧‧‧加密的客戶端設備上下文儲存電路/模組 1726‧‧‧加密的客戶端設備上下文決定電路/模組 1728‧‧‧閒置模式進入電路/模組 1730‧‧‧安全上下文建立電路/模組 1732‧‧‧訊息獲得電路/模組 1733‧‧‧使用資訊獲得電路/模組 1734‧‧‧發送指令 1736‧‧‧接收指令 1738‧‧‧加密的客戶端設備上下文儲存指令 1740‧‧‧加密的客戶端設備上下文決定指令 1742‧‧‧閒置模式進入指令 1744‧‧‧安全上下文建立指令 1746‧‧‧訊息獲得指令 1747‧‧‧使用資訊獲得指令 1748‧‧‧安全上下文建立指令 1800‧‧‧流程圖 1802‧‧‧方塊 1803‧‧‧方塊 1804‧‧‧方塊 1806‧‧‧方塊 1808‧‧‧方塊 1810‧‧‧方塊 1812‧‧‧方塊 1814‧‧‧方塊 1816‧‧‧方塊 1818‧‧‧方塊 1900‧‧‧流程圖 1902‧‧‧方塊 1904‧‧‧方塊 1906‧‧‧方塊 1908‧‧‧方塊 1910‧‧‧方塊 1912‧‧‧方塊 1914‧‧‧方塊 2000‧‧‧流程圖 2002‧‧‧方塊 2004‧‧‧方塊 2006‧‧‧方塊 2008‧‧‧方塊 2010‧‧‧方塊 2012‧‧‧方塊 2014‧‧‧方塊 2100‧‧‧裝置 2102‧‧‧網路通訊介面 2104‧‧‧儲存媒體 2106‧‧‧使用者介面 2108‧‧‧記憶體設備 2110‧‧‧處理電路 2120‧‧‧發送電路/模組 2122‧‧‧接收電路/模組 2124‧‧‧認證和驗證電路/模組 2126‧‧‧加密的客戶端設備上下文產生電路/模組 2128‧‧‧上下文重建/移除電路/模組 2130‧‧‧封包處理電路/模組 2132‧‧‧儲存電路/模組 2134‧‧‧網路存取節點決定電路/模組 2136‧‧‧臨時辨識符添加電路/模組 2137‧‧‧網路位址獲得/釋放電路/模組 2138‧‧‧封包加密和保護電路/模組 2139‧‧‧安全上下文建立電路/模組 2140‧‧‧發送指令 2142‧‧‧接收指令 2144‧‧‧驗證和認證指令 2146‧‧‧加密的客戶端設備上下文產生指令 2148‧‧‧上下文重建/移除指令 2150‧‧‧封包處理指示 2152‧‧‧儲存指令 2154‧‧‧網路存取節點決定指令 2156‧‧‧臨時辨識符添加指令 2157‧‧‧網路位址獲得/釋放指令 2159‧‧‧安全上下文建立指令 2200‧‧‧流程圖 2202‧‧‧方塊 2204‧‧‧方塊 2206‧‧‧方塊 2207‧‧‧方塊 2208‧‧‧方塊 2210‧‧‧方塊 2212‧‧‧方塊 2214‧‧‧方塊 2216‧‧‧方塊 2218‧‧‧方塊 2220‧‧‧方塊 2222‧‧‧方塊 2224‧‧‧方塊 2300‧‧‧流程圖 2302‧‧‧方塊 2304‧‧‧方塊 2306‧‧‧方塊 2308‧‧‧方塊 2310‧‧‧方塊 2312‧‧‧方塊 2314‧‧‧方塊 2316‧‧‧方塊 2318‧‧‧方塊 2320‧‧‧方塊 2322‧‧‧方塊 2400‧‧‧流程圖 2402‧‧‧方塊 2404‧‧‧方塊 2406‧‧‧方塊 2408‧‧‧方塊 2410‧‧‧方塊 2500‧‧‧流程圖 2502‧‧‧方塊 2504‧‧‧方塊 2506‧‧‧方塊 2508‧‧‧方塊 2510‧‧‧方塊 2512‧‧‧方塊 2514‧‧‧方塊 2516‧‧‧方塊 2518‧‧‧方塊 2520‧‧‧方塊 2600‧‧‧流程圖 2602‧‧‧方塊 2604‧‧‧方塊 2606‧‧‧方塊 2608‧‧‧方塊 2610‧‧‧方塊 2612‧‧‧方塊 2614‧‧‧方塊 2616‧‧‧方塊 2618‧‧‧方塊 2620‧‧‧方塊 2622‧‧‧方塊 2700‧‧‧裝置 2702‧‧‧通訊介面 2703‧‧‧網路通訊介面 2704‧‧‧儲存媒體 2706‧‧‧使用者介面 2708‧‧‧記憶體設備 2710‧‧‧處理電路 2712‧‧‧天線 2714‧‧‧發射器 2716‧‧‧接收器 2722‧‧‧接收電路/模組 2724‧‧‧臨時辨識符添加電路/模組 2726‧‧‧儲存電路/模組 2728‧‧‧臨時辨識符移除電路/模組 2730‧‧‧資料封包轉發電路/模組 2732‧‧‧封包處理電路/模組 2734‧‧‧封包加密和保護電路/模組 2738‧‧‧上下文重建/移除電路/模組 2740‧‧‧網路位址獲得/釋放電路/模組 2742‧‧‧接收指令 2744‧‧‧臨時辨識符添加指令 2746‧‧‧儲存指令 2748‧‧‧臨時辨識符移除指令 2750‧‧‧資料封包轉發指令 2752‧‧‧封包處理指示 2754‧‧‧封包加密和保護指令 2758‧‧‧上下文重建/移除指令 2760‧‧‧網路位址獲得/釋放指令 2800‧‧‧流程圖 2802‧‧‧方塊 2804‧‧‧方塊 2806‧‧‧方塊 2808‧‧‧方塊 2810‧‧‧方塊 2812‧‧‧方塊 2814‧‧‧方塊 2816‧‧‧方塊 2818‧‧‧方塊 2820‧‧‧方塊 2900‧‧‧流程圖 2902‧‧‧方塊 2904‧‧‧方塊 2906‧‧‧方塊 2908‧‧‧方塊 2910‧‧‧方塊 2912‧‧‧方塊 2914‧‧‧方塊 2916‧‧‧方塊 2918‧‧‧方塊 2920‧‧‧方塊 2922‧‧‧方塊 2924‧‧‧方塊 2926‧‧‧方塊 2928‧‧‧方塊 2930‧‧‧方塊

圖1是根據本案內容的各個態樣，物聯網路（IoT）網路架構的方塊圖。

圖2是根據本案內容的各個態樣，圖示用於IoT網路架構的金鑰層的示圖。

圖3是根據本案內容的各個態樣，圖示用於在IoT網路架構中加密上下文的金鑰層的示圖。

圖4是圖示針對網路中的客戶端設備的各種上下文（例如，網路狀態資訊）的示圖。

圖5是根據本案內容的各個態樣，圖示在IoT網路架構中由客戶端設備進行的初始附著程序的方塊圖。

圖6是根據本案內容的各個態樣，在IoT網路架構中由客戶端設備進行的附著程序的信號流程圖。

圖7是根據本案內容的各個態樣，圖示在IoT網路架構中由客戶端設備發起的資料傳輸的方塊圖。

圖8是根據本案內容的各個態樣，圖示在IoT網路架構中由客戶端設備發起的資料傳輸的信號流程圖。

圖9是根據本案內容的各個態樣，在IoT網路架構中的客戶端設備終止的資料傳輸的信號流程圖。

圖10是根據本案內容的各個態樣，在IoT網路架構中的示例性資源建立和釋放的信號流程圖。

圖11是根據本案內容的各個態樣，在IoT網路架構中由客戶端設備進行的示例性附著程序的信號流程圖。

圖12是根據本案內容的各個態樣，在IoT網路架構中的示例性資源建立和釋放的信號流程圖。

圖13是根據本案內容的各個態樣，用於IoT資料傳輸的控制平面協定堆疊。

圖14是根據本案內容的各個態樣，圖示用於IoT資料傳輸的使用者平面協定堆疊的示圖。

圖15是根據本案內容的各個態樣，一種封包格式的示圖。

圖16是根據本案內容的各個態樣，在IoT網路架構中的追蹤區域更新（TAU）程序的信號流程圖。

圖17是根據本案內容的各個態樣，被配置為支援與IoT網路架構中的通訊有關的操作的裝置的圖示。

圖18（包括圖18A和18B）根據本案內容的各個態樣，圖示用於在IoT網路架構中進行通訊的方法。

圖19根據本案內容的各個態樣，圖示一種用於與網路進行通訊的方法。

圖20根據本案內容的各個態樣，圖示一種用於與網路進行通訊的方法。

圖21是根據本案內容的各個態樣，被配置為支援與IoT網路架構中的通訊有關的操作的裝置的圖示。

圖22（包括圖22A和22B）根據本案內容的各個態樣，圖示一種用於在IoT網路架構中進行通訊的方法。

圖23（包括圖23A和23B）根據本案內容的各個態樣，圖示一種用於在IoT網路架構中進行通訊的方法。

圖24是根據本案內容的各個態樣，圖示一種在用於在IoT網路架構中進行通訊的裝置中可操作的方法。

圖25（包括圖25A和25B）根據本案內容的各個態樣，圖示一種用於在IoT網路架構中進行通訊的方法。

圖26（包括圖26A和26B）根據本案內容的各個態樣，圖示一種用於在IoT網路架構中進行通訊的方法。

圖27是根據本案內容的各個態樣，被配置為支援與IoT網路架構中的通訊有關的操作的裝置的圖示。

圖28根據本案內容的各個態樣，圖示一種用於在IoT網路架構中進行通訊的方法。

圖29（包括圖29A和29B）根據本案內容的各個態樣，圖示一種用於在IoT網路架構中進行通訊的方法。

國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無

國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無

(請換頁單獨記載) 無

800‧‧‧信號流程圖

802‧‧‧客戶端設備

804‧‧‧網路存取節點

805‧‧‧網路節點

806‧‧‧IoTF-U

808‧‧‧服務網路

810‧‧‧資料傳送請求訊息

812‧‧‧指派

814‧‧‧第一訊息

816‧‧‧重建

818‧‧‧第二訊息

820‧‧‧第三訊息

822‧‧‧第四訊息

824‧‧‧第五訊息

826‧‧‧轉變

828‧‧‧移除

Claims (43)

1. 一種用於一客戶端設備的方法，包括以下步驟：發送對與一網路進行通訊的一請求；建立針對與該網路的一連接的一安全上下文，其中該安全上下文至少包括一加密演算法、一加密金鑰、一完整性保護演算法、一完整性保護金鑰或其組合；回應於該請求，從該網路接收一或多個加密的客戶端設備上下文，其中該一或多個加密的客戶端設備上下文包括與該客戶端設備相關聯的網路狀態資訊，該網路狀態資訊至少包括該安全上下文及與針對該客戶端設備的一或多個承載相關聯的資訊；及向該網路發送包括該一或多個加密的客戶端設備上下文中的至少一個的一訊息，其中該一或多個加密的客戶端設備上下文使得能夠在該網路處重建一上下文以便與該客戶端設備通訊，該上下文包括該網路狀態資訊。
2. 如請求項1所述之方法，其中該上下文在該網路處被移除。
3. 如請求項1所述之方法，亦包括以下步驟：基於該訊息是包括資料還是控制資訊，來決定該一或多個加密的客戶端設備上下文中要使用的至少一 個。
4. 如請求項1所述之方法，其中該一或多個加密的客戶端設備上下文包括要用於與該客戶端設備的、資料相關的通訊的一第一上下文和要用於與該客戶端設備的、控制相關的通訊的一第二上下文。
5. 如請求項1所述之方法，其中該一或多個加密的客戶端設備上下文包括以下各項中的至少一項：一安全上下文、針對一承載的一服務品質、一隧道端點辨識符，或其組合。
6. 如請求項1所述之方法，其中該請求包括關於該客戶端設備正請求該一或多個加密的客戶端設備上下文的一指示。
7. 如請求項1所述之方法，其中該請求包括對該客戶端設備正請求的一服務的一指示。
8. 如請求項1所述之方法，其中該一或多個加密的客戶端設備上下文包括一使用者平面加密的客戶端設備上下文和一控制平面加密的客戶端設備上下文，並且其中該訊息包括：具有該使用者平面加密的客戶端設備上下文的一第一資料封包，或具有該控制平面加密的客戶端設備上下文的一控制封包。
9. 如請求項8所述之方法，其中該加密金鑰是一使用者平面加密金鑰而該完整性保護金鑰是一使用者平面完整性保護金鑰，其中該使用者平面加密金鑰和該使用者平面完整性保護金鑰保持在該客戶端設備處，並且其中該第一資料封包是至少利用該使用者平面完整性保護金鑰進行完整性保護的或利用該使用者平面加密金鑰來加密的。
10. 如請求項8所述之方法，其中對包括該第一資料封包的該訊息的傳輸不建立與該網路的一網路存取節點的一無線電資源控制連接。
11. 如請求項8所述之方法，亦包括以下步驟：在發送包括該第一資料封包的該訊息之後立即進入一閒置模式。
12. 如請求項8所述之方法，亦包括以下步驟：接收一第二資料封包，其中接收該第二資料封包不建立與一網路存取節點的一無線電資源控制連接。
13. 如請求項12所述之方法，其中該加密金鑰是一使用者平面加密金鑰而該完整性保護金鑰是一使用者平面完整性保護金鑰，其中該使用者平面加密金鑰和該使用者平面完整性保護金鑰保持在該客戶端設備處，並且其中接收該第二資料封包包括利用 該使用者平面完整性保護金鑰對該第二資料封包進行驗證或利用該使用者平面加密金鑰對該第二資料封包進行解密中的至少一個。
14. 如請求項8所述之方法，其中該控制封包是一追蹤區域更新。
15. 如請求項1所述之方法，亦包括以下步驟：從該網路接收一傳呼訊息。
16. 如請求項1所述之方法，亦包括以下步驟：向該網路發送具有該使用者平面加密的客戶端設備上下文的一空封包。
17. 如請求項1所述之方法，其中加密的客戶端設備上下文是作為與該網路的一成功認證的一結果，從該網路接收的。
18. 如請求項17所述之方法，其中與該網路的該成功認證不建立一存取層安全上下文。
19. 如請求項1所述之方法，亦包括以下步驟：在一本機儲存器中儲存該一或多個加密的客戶端設備上下文。
20. 如請求項1所述之方法，其中該一或多個加密的客戶端設備上下文不在該客戶端設備處解 密，並且其中該一或多個加密的客戶端設備上下文僅由產生該一或多個加密的客戶端設備上下文的一網路設備解密。
21. 如請求項1所述之方法，其中該訊息亦包括一資源建立請求，該方法亦包括以下步驟：回應於該訊息，接收針對該客戶端設備的一網路位址；及向該網路發送包括該網路位址的複數個資料封包。
22. 如請求項1所述之方法，亦包括以下步驟：向該網路發送一資源釋放請求訊息，其中該資源釋放請求訊息使得該網路能夠釋放用於該客戶端設備的一或多個資源。
23. 如請求項1所述之方法，其中該上下文是在從該網路接收到該一或多個加密的客戶端設備上下文之後，在該網路處移除的。
24. 一種客戶端設備，包括：一無線通訊電路，其被配置為與一網路存取節點進行通訊；及一處理電路，其耦合到該無線通訊電路，該處理電路被配置為進行以下操作：發送對與一網路進行通訊的一請求； 建立針對與該網路的一連接的一安全上下文，其中該安全上下文至少包括一加密演算法、一加密金鑰、一完整性保護演算法、一完整性保護金鑰或其組合；回應於該請求，從該網路接收一或多個加密的客戶端設備上下文，其中該一或多個加密的客戶端設備上下文包括與該客戶端設備相關聯的網路狀態資訊，該網路狀態資訊至少包括該安全上下文及與針對該客戶端設備的一或多個承載相關聯的資訊；及向該網路發送包括該一或多個加密的客戶端設備上下文中的至少一個的一訊息，其中該一或多個加密的客戶端設備上下文使得能夠在該網路處重建一上下文以便與該客戶端設備通訊，該上下文包括該網路狀態資訊。
25. 如請求項24所述之客戶端設備，其中該上下文在該網路處被移除。
26. 如請求項24所述之客戶端設備，其中該處理電路亦被配置為進行以下操作：基於該訊息是包括資料還是控制資訊，來決定該一或多個加密的客戶端設備上下文中要使用的至少一個。
27. 如請求項24所述之客戶端設備，其中該一或多個加密的客戶端設備上下文包括要用於與該客戶端設備的、資料相關的通訊的一第一上下文和要用於與該客戶端設備的、控制相關的通訊的一第二上下文。
28. 如請求項24所述之客戶端設備，其中該一或多個加密的客戶端設備上下文包括以下各項中的至少一項：一安全上下文、針對一承載的一服務品質、一隧道端點辨識符，或其組合。
29. 如請求項24所述之客戶端設備，其中該處理電路亦被配置為進行以下操作：在一本機儲存器中儲存該一或多個加密的客戶端設備上下文。
30. 如請求項24所述之客戶端設備，其中該一或多個加密的客戶端設備上下文包括一使用者平面加密的客戶端設備上下文和一控制平面加密的客戶端設備上下文，並且其中該訊息包括：具有該使用者平面加密的客戶端設備上下文的一第一資料封包，或具有該控制平面加密的客戶端設備上下文的一控制封包。
31. 如請求項30所述之客戶端設備，其中該 加密金鑰是一使用者平面加密金鑰而該完整性保護金鑰是一使用者平面完整性保護金鑰，其中該使用者平面加密金鑰和該使用者平面完整性保護金鑰保持在該客戶端設備處，並且其中該第一資料封包是至少利用該使用者平面完整性保護金鑰進行完整性保護的或利用該使用者平面加密金鑰來加密的。
32. 一種用於一網路設備的方法，包括以下步驟：從一客戶端設備接收對與一網路進行通訊的一請求；建立與該客戶端設備的至少一個上下文，該至少一個上下文包括與該客戶端設備和該網路之間的一連接相關聯的網路狀態資訊，其中該網路狀態資訊至少包括一安全上下文及與針對該客戶端設備的一或多個承載相關聯的資訊，且其中該安全上下文至少包括一加密演算法、一加密金鑰、一完整性保護演算法、一完整性保護金鑰，或其組合；產生一或多個加密的客戶端設備上下文，其中該一或多個加密的客戶端設備上下文包括該網路狀態資訊並使得能夠在該網路處重建該至少一個上下文以便與該客戶端設備通訊；及向該客戶端設備發送該一或多個加密的客戶端設 備上下文。
33. 如請求項32所述之方法，亦包括決定要產生該一或多個加密的客戶端設備上下文，其中該決定基於以下各項中的至少一項：在該請求中指示的加密的客戶端設備上下文使用資訊、該客戶端設備的一定製、一策略，或其組合。
34. 如請求項32所述之方法，其中該一或多個加密的客戶端設備上下文包括要用於資料相關的通訊的一第一上下文和要用於控制相關的通訊的一第二上下文。
35. 如請求項32所述之方法，亦包括以下步驟：從一歸屬用戶伺服器(HSS)/認證、授權和計費(AAA)伺服器請求認證資訊；及與該客戶端設備執行相互認證。
36. 如請求項32所述之方法，亦包括以下步驟：從該客戶端設備接收一控制封包和一加密的客戶端設備上下文；驗證從該客戶端設備接收到的該加密的客戶端設備上下文；根據該加密的客戶端設備上下文來重建該至少一 個上下文；使用該至少一個上下文來處理該控制封包，其中該處理包括使用該上下文來對該控制封包進行驗證、解密中的至少一個，或其組合；儲存針對該客戶端設備的一下行鏈路封包的一臨時辨識符；及向一應用伺服器或封包資料網路閘道轉發該控制封包的一有效負荷部分。
37. 如請求項36所述之方法，其中該加密金鑰至少包括一控制平面加密金鑰、一使用者平面加密金鑰，或其組合，而該完整性保護金鑰至少包括一使用者平面完整性保護金鑰、一控制平面完整性保護金鑰，或其組合。
38. 如請求項36所述之方法，其中驗證該加密的客戶端設備上下文之步驟包括以下步驟：決定該加密的客戶端設備上下文是否已經到期；當一先前的加密的客戶端設備上下文已經到期時，產生一或多個新的加密的客戶端設備上下文；及當該先前的加密的客戶端設備上下文已經到期時，向該客戶端設備發送該一或多個新的加密的客戶端設備上下文。
39. 如請求項32所述之方法，亦包括以下步 驟：從一第二客戶端設備接收一控制封包；從一第二網路設備請求針對該第二客戶端設備的一上下文，該請求包括一控制平面加密的客戶端設備上下文；從該第二網路設備接收針對該第二客戶端設備的該上下文；產生一新的加密的客戶端設備上下文；及向該第二客戶端設備發送該新的加密的客戶端設備上下文。
40. 如請求項36所述之方法，其中驗證該加密的客戶端設備上下文之步驟包括以下步驟：決定用於驗證該加密的客戶端設備上下文的一金鑰。
41. 如請求項32所述之方法，亦包括以下步驟：移除該至少一個上下文；從該客戶端設備接收包括該一或多個加密的客戶端設備上下文中的至少一個和一資源建立請求的一訊息；回應於該訊息，獲得針對該客戶端設備的一網路位址；及向該客戶端設備發送該網路位址。
42. 如請求項41所述之方法，亦包括：從該客戶端設備接收一資源釋放請求訊息；及向一閘道發送來自該客戶端設備的該資源釋放請求訊息，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。
43. 如請求項41所述之方法，亦包括以下步驟：當一計時器在從該客戶端設備至該網路的一傳輸之前或者從該網路至該客戶端設備的一傳輸之前到期時，向一閘道發送一資源釋放請求訊息，其中該資源釋放請求訊息使得該閘道能夠釋放用於該客戶端設備的一或多個資源。

Images