核心网无连接小数据传递的制作方法

本申请要求于2016年7月1日在美国专利商标局提交的临时申请no.62/357,910以及于2017年3月15日在美国专利商标局提交的非临时申请no.15/460,142的优先权和权益，这些申请的全部内容通过援引如同在下文全面阐述那样且出于所有适用目的被纳入于此。

引言

本公开的各方面一般涉及无线通信，并且尤其但不排他地涉及用于在未建立核心网状态的场景中的无连接数据传递的技术。在本公开的一个方面，在设备和网络之间不存在预先建立的连接。例如，在设备和网络之间不存在(控制面)连接的建立，即，该网络没有为该设备建立的用于服务的活跃上下文。

对于不频繁地发送小数据的物联网(iot)设备，当前的第三代伙伴(3gpp)系统规程在例如状态管理和信令上施加了不必要的开销。对于其他通信而言可能正当的附连、认证、连通/会话设立等的冗长信令规程对于小数据消息的传递而言可能并无必要。

可以期望降低状态管理和信令开销，以例如降低与小数据消息的传输有关的数据传递中的等待时间.

概述

以下给出本公开的一些方面的简要概述以提供对这些方面的基本理解。此概述不是本公开的所有构想到的特征的详尽综览，并且既非旨在标识出本公开的所有方面的关键性或决定性要素亦非试图界定本公开的任何或所有方面的范围。其唯一目的是要以简化形式给出本公开的一些方面的各种概念以作为稍后给出的更详细描述之序。

根据一种实现，本公开可以提供一种设备，该设备可以包括通信接口和耦合至该通信接口的处理电路，其中该处理电路可以被配置成例如选择通过其授权该设备接入与实体关联的服务的网络，其中该实体与安全信息集相关联并且由该实体将安全信息集置备给该设备。该处理电路可以被进一步配置成将该安全信息集发送到网络节点。该处理电路可以被进一步配置成：如果该设备被成功授权接入该网络，则响应于发送该安全信息集而获取随机数。该处理电路可以被进一步配置成：通过用设备私钥对包括该随机数和要传递的数据的消息进行签名来获取签名，其中设备公钥与该安全信息集相关联。如本文中所使用的，术语“设备私钥”与术语“设备的私钥”同义。如本文中所使用的，术语“设备公钥”与术语“设备的公钥”同义。该处理电路还可以被进一步配置成将该数据和该签名发送到该网络节点以在没有预先建立的到该网络的连接的情况下经由该网络节点来传递该数据。

根据一些方面，本公开可以提供一种在设备处操作的数据传递方法。在一些实现中，该方法可以包括选择通过其授权该设备接入与实体相关联的服务的网络，其中该实体与安全信息集相关联，并且该安全信息集由该实体置备给该设备。该方法可以进一步包括将该安全信息集发送到网络节点。该方法可以进一步包括：如果该设备被成功授权接入该网络，则响应于发送该安全信息集而获取随机数。该方法还可以进一步包括通过用设备私钥对包括该随机数和要传递的数据的消息进行签名来获取签名，其中设备公钥与该安全信息集相关联。在一些实现中，该方法还可以进一步包括将该数据和该签名发送到网络节点以在没有预先建立的到该网络的连接的情况下经由该网络节点来传递该数据。

在一些方面，本公开可以提供包括通信接口和耦合至该通信接口的处理电路的网络节点。在一些方面，该处理电路可以被配置成从设备获取安全信息集，其中实体与该安全信息集相关联，并且该安全信息集由该实体置备给该设备。在一些方面，该处理电路可以被进一步配置成验证该安全信息集，其中该安全信息集与设备公钥相关联。在一些方面，该处理电路可以被进一步配置成标识与该实体相关联的数据传递目的地。在一些方面，该处理电路可以被进一步配置成响应于获取和验证该安全信息集而发送随机数，以示意该设备被授权接入网络。在一些方面，该处理电路可以被进一步配置成从该设备获取数据和签名。在一些方面，该处理电路可以被进一步配置成使用设备公钥和包括该随机数和数据的消息来验证该签名。在一些方面，该处理电路还可以被进一步配置成在没有预先建立的到该网络连接的情况下经由该网络将该数据发送到与该实体相关联的数据传递目的地。

根据一些实现，本公开可以提供一种在网络节点处操作的数据传递方法。根据一些实现，该方法可以包括从设备获取安全信息集，其中实体与该安全信息集相关联，并且该安全信息集由该实体置备给该设备。该方法可以进一步包括验证该安全信息集，其中该安全信息集与设备公钥相关联。该方法还可以进一步包括标识与该实体相关联的数据传递目的地。该方法还可以进一步包括响应于获取和验证该安全信息集而发送随机数，以示意该设备被授权接入网络。该方法还可以进一步包括从该设备获取数据和签名。该方法还可以进一步包括使用该设备公钥和包括该随机数和该数据的消息来验证该签名，并且在没有预先建立的到该网络连接的情况下经由该网络将该数据发送到与该实体相关联的数据传递目的地。

附图简述

在结合附图理解下面阐述的详细描述时，各种特征、本质和优点会变得明显，在附图中，相像的附图标记贯穿始终作相应标识。

图1是解说本公开的各方面可在其中找到应用的通信网络的示例的示图。

图2是解说本公开的各方面可在其中找到应用的通信网络的另一示例的示图。

图3是解说本公开的各方面可在其中找到应用的通信网络的又一示例的示图。

图4是提供根据本公开的各方面的从设备的视角来看无连接数据传递的示例性方法的概览的流程图。

图5是解说根据本公开的各方面的无连接数据传递的示例的呼叫流图。

图6是解说根据本公开的各方面的装备的硬件实现的示例的框图。

图7是解说根据本公开的各方面的无连接数据传递方法的示例的流程图。

图8是解说根据本公开的各方面的装备的硬件实现的另一示例的框图。

图9是解说根据本公开的各方面的无连接数据传递方法的另一示例的流程图。

图10a和10b是解说根据本公开的各方面的无连接数据传递的示例的呼叫流图。

图11是解说根据本公开的各方面的无连接数据传递方法的示例的流程图。

图12是解说根据本公开的各方面的无连接数据传递方法的另一示例的流程图。

图13是根据本公开的各方面的用户面协议栈的解说。

图14是根据本公开的各方面的另一用户面协议栈的解说。

图15是包括如可根据本公开的各方面出现的接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))和多个通信实体的无线通信网络的一部分的示意解说。

详细描述

作为概览，公开了无连接数据传递。当数据经由所选网络从设备发送到应用服务提供商的应用服务器时，可以执行设备和网络节点的认证。该数据传递可以在该数据行进通过的网络处不存在现有设备上下文的情况下发生。可以通过使用本文所公开的示例性各方面来降低状态管理开销和信令开销。例如，该设备不需要执行认证和密钥协商(aka)规程来传递数据，并且不需要在该网络上维护现有的(或预先存在的)设备上下文。

以下结合附图阐述的详细描述旨在作为各种配置的描述，而无意表示可实践本文所描述的概念的仅有配置。本详细描述包括具体细节以提供对各种概念的透彻理解。然而，对于本领域技术人员将显而易见的是，没有这些具体细节也可实践这些概念。在一些实例中，以框图形式示出众所周知的结构和组件以便避免淡化此类概念。

在本公开内，术语“设备公钥”可以意味着在制造时间期间烙入设备的公钥，其不能由该设备改变或再生；然而，这仅是公钥的一个示例，并且本公开的范围不限于此示例。设备公钥还可以包括由该设备内部地以安全方式生成的设备公钥。由设备内部地以安全方式生成的设备公钥若由实体(例如，应用服务提供商(asp))验证和批准，则可被使用。此外，在本公开内，将会理解，实体(例如，asp)可以以安全的方式向设备置备公钥和私钥(pk-sk)对。相应地，如本文所使用的，术语“设备公钥”可以意味着“与设备相关联的公钥”，而不考虑设备如何获得该公钥。这对于“设备私钥”和“设备证书”也同样成立。

如上所述，对于其他通信而言正当的附连、认证、连通/会话设立等的冗长信令规程对于小数据消息的传递而言可能并无必要。

状态管理开销的示例可以包括与归属订户服务器(hss)中的状态管理(例如，状态表的管理)有关的开销。这可能包括永久设备凭证和订阅信息的维护。hss还可以通过维护临时动态信息(例如，到诸如分组数据网络pdn网关(pdngw)和/或用户面网关(up-gw)的核心网的节点的连接点)来维护状态。

状态管理开销的附加示例可包括与核心网(cn)中的状态管理有关的开销。cn可以在设备(例如，芯片组件、蜂窝设备、无线设备、移动设备、用户设备(ue)、终端)与该cn的连通性(例如，认证会话)的整个寿命期间维护设备上下文(例如，安全上下文和/或服务上下文)。可以维护设备上下文，例如在核心网控制面(cp-cn)节点和/或核心网用户面(up-cn)节点处。

状态管理开销的附加示例可包括与无线电接入网(ran)中的状态管理有关的开销。根据当前的3gpp系统规程，ran在连通模式期间维护设备上下文。

除了状态管理开销之外，还可能存在信令开销。例如，以下信令事件涉及不同网络节点之间的信令：

附连：ran、cp-cn、hss；

服务请求：ran、cp-cn、up-cn；

位置更新：ran、cp-cn、hss；和/或

移动性：ran、cp-cn、up-cn。

iot设备可包括但不限于具有通信能力以及感测、致动、数据捕获、数据存储、和/或数据处理的可任选能力的任何设备。设备(例如，芯片组件、蜂窝设备、无线设备、移动设备、用户装备(ue)、终端)可以与iot设备对接。对接可被直接达成(例如，iot设备可集成到该设备)或者间接达成(例如，iot设备可以经由局域网来与该设备对接)。为了便于参考，将理解，除非另有说明，否则本文中作出的对设备的任何引用都是对与iot设备对接的设备(即，ciot设备)的引用。为了便于参考，将理解，本文中作出的对设备的任何引用可以是对设备和/或设备上操作(例如，存储在设备商并且能够在设备上操作、执行、运行和/或正在设备上操作、执行、运行)的应用的引用。

如本文所使用的，词语“获取”可以意味着导出、生成、计算、演算、检索、接收、请求等，并且可涵盖本地地获得和/或远程地获得。如本文所使用的，词语“获取”可涵盖部分地获取和/或完全地获取。

概览

根据本文描述的一些方面，设备可以在未建立核心网状态且不需要接入节点与核心网节点之间用于数据传递的信令的场景中经由网络节点(例如，接入节点或核心网节点)将数据传递到与实体(例如，应用服务提供商)相关联的应用服务器。接入节点的示例包括蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb)和gnb(5g基站)。核心网节点的示例包括服务网关、分组数据网络网关(p-gw)、核心网控制面(cp-cn)节点(例如，移动管理实体(mme)、接入和移动性管理功能(amf)、会话管理功能(smf))、核心网用户面(up-cn)节点(例如，用户面功能(upf))和ciot服务网关节点(c-sgn)。

在一些实现中，设备可以选择网络(例如，从网络列表)，通过该网络，设备被授权接入与该实体相关联的服务。该实体可以与安全信息集(例如，包括设备公钥的证书(其中该证书由该实体签名)、设备id、原始设备公钥或设备公钥标识符)相关联。如本文中所使用的，术语“设备私钥”与术语“设备的私钥”同义。如本文中所使用的，术语“设备公钥”与术语“设备的公钥”同义。该安全信息集可以包括一个项目或一个信息；例如，该安全信息集可以仅包括由该实体签名的证书。该安全信息集可以由该实体置备给该设备。在一个方面，该设备能够向网络节点发送用于无连接数据传递的请求。在一个示例中，可以使用该安全信息集来实现无连接数据传递，并且如果网络节点使用该安全信息集来支持数据传递，则该安全信息集(例如，由该实体签名的证书)能够从该设备被发送到网络节点。响应于设备发送该安全信息集，该网络节点能够提供随机数。如果该设备被成功授权接入该网络(例如，被授权接入与网络相关联的服务(例如，传输服务))，则可以获得随机数。该设备能够通过对消息进行签名来生成签名，该消息包括随机数和要传递的数据。可以用设备私钥对消息进行签名，其中设备公钥与该安全信息集相关联。例如，当该安全信息集是证书时，该证书可以包括该设备公钥的副本。该设备可以随后将数据和签名发送到网络节点以在没有预先建立的到该网络连接的情况下经由该网络节点传递该数据。在一个方面，可以将该数据传递到该实体(即，与实体相关联的应用服务器)和/或由该实体授权的另一实体。

根据一些其他方面，可以由接入节点使用公钥凭证来认证设备并且建立其上下文，并且可以从该接入节点移除该上下文，使得核心网状态未建立且该数据传递不需要接入节点和核心网节点之间的信令。在一些实现中，该设备可以选择网络(例如，从网络列表)，通过该网络，该设备被授权接入与实体(例如，诸如应用服务提供商(asp)之类的实体，其将称为通过网络发送到与该asp相关联的应用服务器的数据的接收者)相关联的服务。该设备能够向接入节点发送用于相互认证的请求，该请求包括由该实体签名的证书。该设备能够执行与接入节点的相互认证，并且可以获取会话主密钥，其中如果该设备被认证到该网络并且被授权接入与该网络相关联的服务，则获得该会话主密钥。该服务可以是例如传输服务。该设备随后能够使用该会话主密钥来获取(例如，计算)用户面密钥(k_up)。该设备还能够从接入节点获取(例如，接收)上下文cookie，其中，该上下文cookie基于由接入节点生成的设备上下文，而不被维护在接入节点的状态表中。该设备可以随后使用k_up来保护分组数据单元(pdu)，并且在没有预先建立的到该网络的连接的情况下将具有上下文cookie的受保护pdu发送到接入节点。

这里结合示例性接入节点来描述示例性对应过程。

示例性操作环境

图1是解说本公开的各方面可在其中找到应用的通信网络100的示例的示图。根据本文描述的一些方面，设备(例如，iot设备150、ciot设备136、142、蜂窝设备122)可在未建立核心网状态并且该数据传递不需要设备150和核心网130之间信令的场景中经由网络节点(例如，无线电接入网节点102)将数据传递到与实体(例如，应用服务提供商)相关联的应用服务器(未示出)。在图1的示例中，虚线101代表设备(例如，iot设备150)与核心网130之间的无连接数据传递。相应地，本文所描述的各方面可以使设备(例如，iot设备150、ciot设备136、142、蜂窝设备122)能够与服务通信而无需正注册到核心网130。本文所描述的各方面可以通过使用用于设备认证和授权以接入该网络服务(例如，传输服务以将数据传输到其目的地)的无状态机制来降低信令和状态管理开销。本文所描述的各方面可以利用基于公钥的认证.本文所描述的各方面可以使用所利用的基于公钥的认证以用于进行网络接入的设备认证和/或数据认证。

无线电接入网(ran)(被称为ran节点102)可包括一个或多个接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb)、ran节点)。在图1的示例中，ran节点102可包括多个天线群：包括天线104和106的一个群、包括天线108和110的另一个群、以及包括天线112和114的附加群。在图1中，对于每个天线群示出了两个天线；然而，对于每个天线群可以利用更多或更少的天线。

蜂窝设备116可以与天线112和114处于通信，其中天线112和114在前向链路120(例如，下行链路)上向蜂窝设备116传送信息并且在反向链路118(例如，上行链路)上从蜂窝设备116接收信息。蜂窝设备122可以与天线104和106处于通信，其中天线104和106在前向链路126上向蜂窝设备122传送信息并且在反向链路124上从蜂窝设备122接收信息。ran节点102也可以与其他蜂窝设备处于通信，其他蜂窝设备可以例如与物联网(iot)设备对接。例如，iot设备150可以与蜂窝设备116处于通信，其中可以在前向链路121上向iot设备150传送信息，并且可以在反向链路119上从iot设备150向蜂窝设备116发送信息。与iot设备对接(例如，直接地或间接地对接)的蜂窝设备(统称为蜂窝物联网(ciot)设备或ciot设备136)可以与ran节点102的一个或多个其他天线处于通信。ran节点102的一个或多个其他天线可以在前向链路140上向ciot设备136传送信息，并且在反向链路138上从ciot设备136接收信息。ciot设备142可以与ran节点102的一个或多个其他天线处于通信，其中这些天线在前向链路146上向ciot设备142传送信息，并且在反向链路144上从ciot设备142接收信息。ran节点102可以通过一个或多个通信链路和/或参考点128来耦合至核心网130。

贯穿本公开给出的各种概念可跨种类繁多的电信系统、网络架构、和通信标准来实现。例如，第三代伙伴计划(3gpp)是定义涉及演进型分组系统(eps)的网络(通常称为长期演进(lte)网络)的若干无线通信标准的标准团体。lte网络的演进版本(诸如第五代(5g)网络)可以提供许多不同类型的服务或应用，包括但不限于网页浏览、视频流送、voip、任务关键型应用、多跳网络、具有实时反馈的远程操作(例如，远程手术)等。lte网络的演进是正在进行的过程。演进包括为改进与所有蜂窝设备(包括与iot设备对接的蜂窝设备)的互操作性而作出的改变/修改/替换。相应地，本文描述了设备116、122、150、136、142、ran节点102、以及核心网130内的节点的改变/修改/替换的各示例。

iot设备可以通过在一整天里发送周期性报告来操作；它们不保持连接到核心网达很长时间段。许多iot设备是驻定的，它们不移动通过蜂窝小区，而是保留在一个蜂窝小区的各边界内的固定位置中。其他iot设备，诸如耦合至汽车、人类、包裹等的那些iot设备移动通过蜂窝小区，即，它们漫游。随着iot设备漫游通过网络，在它们发送报告的时间到来时，它们在蜂窝小区中苏醒，并且从该蜂窝小区内发送它们的报告；可能不需要蜂窝小区到蜂窝小区连通模式移动性。

因此，ciot架构中可以不支持蜂窝小区到蜂窝小区连通模式移动性。消除移动性管理为无线电接入网(ran)中的ran节点(例如，enodeb)和核心网中的控制面功能(例如，mme)两者提供了开销的降低。相应地，ciot架构引入了被称为ciot服务网关节点(c-sgn)的新节点。c-sgn将从mme剩余的任何所需功能性与服务网关(s-gw)的功能性相组合。c-sgn可以等效于3g中的服务通用分组无线电服务(gprs)支持节点(sgsn)。

图2是解说本公开的各方面可在其中找到应用的通信网络200的另一示例的示图。图2的示例性解说代表涉及ciot设备206的非漫游场景的ciot架构。在图2的一方面，分组数据网络网关(p-gw)的功能可以与网关202(例如，c-sgn)的功能集成。附加地或替换地，作为实现选项240，p-gw的功能可以与p-gw237中的网关202分开。根据实现选项240，s5参考点239可以在网关202(例如，c-sgn)与p-gw237之间使用。s5参考点可以在网关202(例如，c-sgn)与p-gw237之间提供用户面隧穿和隧道管理。例如，如果网关202(例如，c-sgn)连接到非共处一地的p-gw237以用于分组数据网络连通性，则可以使用s5参考点。因此，即使在图2的示例性非漫游场景中，网关202(例如，c-sgn)和p-gw237也可以可任选地是分开的实体(例如，它们可以不共处一地)。应用服务器232可以在sgi233参考点上与p-gw237通信。

在图2的示例中，可以将ciot设备206表示为与蜂窝设备210对接的iot设备208。对接可以是直接的(例如，iot设备208可以硬连线到蜂窝设备210)或者间接的(例如，iot设备208可以经由中间通信网络(诸如蓝牙无线网络)来耦合至蜂窝设备210)。ciot设备206可以在c-uu参考点212(参考点也可以称为网络接口)上与第一ran节点204(例如，c-bs)无线地通信。第一ran节点204(例如，c-bs)可以在s1或等效参考点上与网关202(例如，c-sgn)通信。在一些方面，如在图2中所解说的，第一ran节点204可以在s1-轻量214参考点上与网关202通信。s1-轻量是s1的“轻量级”版本，其针对小数据消息被优化。例如，仅支持ciot规程所需要的s1应用协议(s1ap)消息和信息元素(ie)可被包括在s1-轻量中。一般而言，参考点(例如，网络接口)可以是s1、s1-轻量214或等效物。

还在图2中描绘了长期演进(lte)或机器类型通信(mtc)蜂窝设备216。lte或mtc蜂窝设备216可以在lteuu(emtc)参考点218上与第二ran节点220(例如，enodeb)无线地通信。

第二ran节点220可以在s1参考点上与网关202通信。在一些方面，如在图2中所解说的，第二ran节点220可以在s1-轻量222参考点上与网关202通信。

网关202可以与归属订户服务器224(hss)通信。hss224尤其可以存储和更新包含用户订阅信息的数据库并且从用户身份密钥生成安全信息。hss224可以在s6a226参考点上与网关202通信。s6a226参考点使得能够传输用于认证/授权对通信网络200的用户接入的订阅和认证数据。网关202可以与短消息服务(sms)网关移动交换中心(sms-gmsc)/互通移动交换中心(iwmsc)/sms路由器(即，sms-gmsc/iwmsc/sms路由器228)通信。一般而言，sms-gmsc/iwmsc/sms路由器228是用于与其他网络的短消息服务的联系点。sms-gmsc/iwmsc/sms路由器228可以在gd/gdd230参考点上与网关202通信。

网关202可以与应用服务器232通信。一般而言，应用服务器232可以主存服务提供商的应用。应用服务器232可位于或对接于分组数据网络(例如，因特网)。应用服务器232可以在sgi234参考点上与网关202通信。sgi234是网关202(例如，c-sgn)与分组数据网络之间的参考点。

图3是解说本公开的各方面可在其中找到应用的通信网络300的又一示例的示图。图3的示例性解说代表涉及ciot设备306的漫游场景的ciot架构。

图3的各节点与图2的那些节点相同或相似，除了添加了在网关302(例如，c-sgn)外部和/或不与网关302共处一地的分组数据网络(pdn)网关(p-gw)336节点之外。为了完整起见，图3的描述如下。

在图3的示例中，可以将ciot设备306表示为与蜂窝设备310对接的iot设备308。对接可以是直接的(例如，iot设备308可以硬连线到蜂窝设备310)或者间接的(例如，iot设备308可以经由中间通信网络(诸如蓝牙无线网络)来耦合至蜂窝设备310)。ciot设备306可以在c-uu参考点312(参考点也可以称为网络接口)上与第一ran节点304(例如，c-bs)无线地通信。第一ran节点304(例如，c-bs)可以在s1参考点上与网关302(例如，c-sgn)通信。在一些方面，如在图3中所解说的，第一ran节点304可以在s1-轻量314参考点上与网关302通信。s1-轻量是s1的针对小数据消息优化的版本。例如，仅支持ciot规程所需要的s1应用协议(s1ap)消息和信息元素(ie)可被包括在s1-轻量中。一般而言，参考点(例如，网络接口)可以是s1、s1-轻量314或等效物。

还在图3中描绘了长期演进(lte)或机器类型通信(mtc)蜂窝设备316。lte或mtc蜂窝设备316可以在lteuu(emtc)参考点318上与第二ran节点320(例如，enodeb)无线地通信。

第二ran节点320可以在s1参考点上与网关302通信。在一些方面，如在图3中所解说的，第二ran节点320可以在s1-轻量322参考点上与网关302通信。

网关302可以与归属订户服务器324(hss)通信。hss324可以存储和更新包含用户订阅信息的数据库并且从用户身份密钥生成安全信息。hss324可以在s6a326参考点上与网关302通信。s6a326参考点使得能够传输用于认证/授权对通信网络300的用户接入的订阅和认证数据。网关302可以与短消息服务(sms)网关移动交换中心(sms-gmsc)/互通移动交换中心(iwmsc)/sms路由器(即，sms-gmsc/iwmsc/sms路由器328)通信。一般而言，sms-gmsc/iwmsc/sms路由器328是用于与其他网络的短消息服务的联系点。sms-gmsc/iwmsc/sms路由器328可以在gd/gdd330参考点上与网关302通信。

网关302可以与应用服务器332通信。一般而言，应用服务器332可以主存服务提供商的应用。应用服务器332可位于或对接于分组数据网络(例如，因特网)。应用服务器332可以在sgi334参考点上与p-gw336通信。sgi334是分组数据网络中的p-gw336与应用服务器332之间的参考点。p-gw336可以在s8338参考点上与网关302(例如，c-sgn)通信。s8338参考点是公共陆地移动网络间(plmn间)参考点，其一般在访客公共陆地移动网络(vplmn)中的服务gw(或者在图3的情形中，c-sgn)与归属公共陆地移动网络(hplmn)中的p-gw之间提供用户面和控制面接口。

在图3的一方面，p-gw功能可以与p-gw336中的网关302分开或者作为实现选项340与p-gw337中的网关302分开。在实现选项340的情形中，s5参考点339可以在网关302(例如，c-sgn)与p-gw337之间使用。s5参考点可以在网关302(例如，c-sgn)与p-gw337之间提供用户面隧穿和隧道管理。例如，如果网关302(例如，c-sgn)连接到用于分组数据网络连通性的不共处一地的p-gw337，则可以使用s5参考点。应用服务器332可以在sgi334参考点上与p-gw337通信。sgi334是分组数据网络中的p-gw337与应用服务器332之间的参考点。应用服务器332可以在sgi333参考点上与p-gw337通信。

在本文描述的示例性方面，蜂窝设备可以与物联网(iot)设备对接。可以关于在iot设备和应用服务器之间发送的数据消息(例如，小数据消息)来描述一些示例性方面；然而，本文所描述的各方面不限于这些示例，并且不限于小数据消息。

在核心网状态未建立的场景中的示例性无连接数据传递

图4是提供无连接数据传递的示例性方法400概览的流程图，其解说了根据本公开的各方面的从设备和与该设备交互的网络节点(例如，接入节点/核心网节点)的视角的一种可能选项。

本文中描述的方面可能在设备和网络之间没有预先建立的连接的情况下发生。例如，设备和网络之间存在预先建立的连接可能意味着用于与该设备的通信会话的设备上下文存在于核心网处。作为另一示例，设备和网络之间存在预先建立的连接可能意味着在设备和核心网之间存在控制面信令的情况下发生数据传递。作为又一示例，在设备和网络之间存在预先建立的连接可能意味着在将数据发送到网络节点之前该设备被附连(例如，注册)到网络。作为另一示例，设备和网络之间存在预先建立的连接可能意味着在将数据发送到网络节点之前该设备被注册到网络。因此，在设备和网络之间没有预先建立的连接的情况下，可能存在以下至少一者：在核心网处没有用于与设备的通信会话的现有设备上下文，在设备和网络节点之间的数据传递期间没有控制面信令，在设备向网络节点发送数据之前该设备没有附连到网络，或者在设备向网络节点发送数据之前没有将该设备注册到网络。广而言之，并且作为示例，在本公开中，术语“无连接”可以意味着在设备和网络之间不存在控制面连接，并且更精确地可以意味着该网络没有为设备建立任何用于服务的活跃上下文。

在图4的示例中，未建立设备的核心网状态(例如，在核心网处不存在用于与设备的通信会话的设备上下文；不需要正与设备交互的网络节点与核心网(未示出)之间的信令)。即，不存在设备和网络之间的预先建立的连接。

该设备可以获取与无连接数据传递有关的安全信息集的置备402，包括例如设备标识符、设备公钥-私钥对、证书、由数据所要传递/发送/交换给的实体签名的证书、原始设备公钥、设备公钥标识符(id)、和可接入网络列表。该设备可以使用可接入网络列表来选择网络，通过该网络，该设备被授权接入与实体相关联的服务。该实体可以与置备给该设备的该安全信息集相关联。实体可以将该安全信息集置备给该设备。

出于示例性目的，该实体可以是应用服务提供商(asp)，并且该设备可以是与无线通信设备直接地和/或间接地相关联的物联网(iot)设备。在iot设备和无线通信设备之间的直接和/或间接关联允许iot设备(或应用)与asp的应用服务器(as)(例如，作为asp的应用的宿主的as)进行无线通信。应用服务器可以是，例如，如本文图2和3中任一者所描绘的应用服务器232、332。iot设备和无线通信设备可以是，例如，如本文图2和3中任一者所描绘的ciot设备206、306。为了方便起见，iot设备和无线通信设备的复合可以被称为“设备”。此外，为了方便起见，对该设备的引用可以是对该设备或该设备应用的引用。该设备的示例可包括电力公用事业仪表、家用秤、冰箱和警报系统控制器。

可以部署该设备404。例如，asp可以部署该设备。

网络节点可以获取相关安全信息集的置备406，例如，用于认证和用于授权该设备，或者更一般地用于无连接数据传递。由实体置备给设备的该安全信息集与由该实体置备给网络节点的相关安全信息集之间的关系可能不是一对一的。根据一个示例，由实体置备给设备的该安全信息集与由该实体置备给网络节点的相关安全信息集之间的关系不是一对一的；然而，网络节点能够标识置备给设备的安全信息，因为由实体置备给设备的该安全信息集和由实体置备给网络节点的相关安全信息集是相关联的。例如，网络节点可以获取设备id、原始设备公钥、和/或设备公钥id。该网络节点可以从实体(例如，asp)或从实体置备的存储库获取这些信息。网络节点还可以获取例如由pknet、sknet标示的公钥-私钥对。

网络节点可以由asp(例如，实体)置备，以使得该网络节点能够认证和/或授权与asp相关联的设备。信息的置备可以包括asp证书，该asp证书根据本公开的各方面包括asp公钥。该asp公钥可以用于验证由asp签名的设备的证书(例如，由asp发布的包括设备公钥的证书，其中该证书由asp签名)。一般而言，asp公钥(例如，与由该实体置备给设备的该安全信息集相关联的实体的公钥)可被用于验证该安全信息集。该安全信息集可以与该设备公钥相关联。根据本公开的各方面，信息的置备可以包括关于如何/在何处转发/处理接收到的分组数据单元(pdu)的信息。相关的安全信息集406可以包括由移动网络运营商(mno)签名的证书(该mno具有由pkmno、skmno标示的公钥-私钥对)。例如，可以使用由mno签名的证书，以向该设备验证该网络节点。向该设备验证网络节点是可任选的，并且未在图4中所描绘。

根据一些方面，可以向该网络节点置备设备标识符(设备id)的列表和关联的设备公钥。例如，实体(具有与该设备交换数据权限的asp)可以为该网络节点或公钥存储库置备原始设备公钥、设备id和关联的设备公钥和/或设备公钥标识符(pkid)。这可以消除对该设备的证书管理(例如，发布，撤销)和越空证书递送开销的需要，代价是维护公钥存储库。

该设备可以例如从可接入网络列表中选择网络408。即，该设备可以选择网络，通过该网络，该设备被授权接入与实体相关联的服务，其中该实体与安全信息集相关联，并且该安全信息集由该实体置备给该设备。

该设备可以将该安全信息集发送到该网络节点410。例如，该安全信息集可以是证书。该证书可以包括设备公钥。该证书可以由该实体签名。

该网络节点可以获取该安全信息集，并使用该安全信息集来确认该设备被授权经由所选择的网络向将该安全信息集置备给该设备的实体发送数据412。在无连接数据传递应用中进行数据传递不需要对该设备进行认证。然而，根据一个方面，该网络节点可以基于该设备已发送的数据的认证或验证来认证该设备。

该网络节点可以标识与该实体相关联的数据传递目的地413。

该网络节点可以使用该安全信息集(例如，由该实体签名的证书)来确认该设备被授权经由所选择的网络将数据发送到数据传递目的地(例如，应用服务器)。数据传递目的地可以在证书中标识或者经由对该网络节点可访问的其他材料的交叉引用来获取。该数据传递目的地可以是例如该实体的(例如，asp的)应用服务器或由该实体授权的另一目的地。

如本文中所使用的，网络节点可以是与该设备交互的节点，并且该设备可以通过该节点获得对核心网的接入。该网络节点可以在该核心网外部，或者可以在该核心网内部。根据一个方面，与该设备交互的网络节点可以是接入网的节点，例如，ran的节点(例如，enodeb)或无线局域网(无线lan)的接入点。该接入网的节点在本文中通常可称为ran或接入网(an)。根据另一方面，与该设备交互的网络节点可以是核心网中的节点。核心网中的节点不一定要求实现专用的控制面功能。根据此方面，核心网中的网络节点在本文中可被称为“核心网节点”。

如果该设备被成功授权接入该网络(例如，成功地被授权经由所选定的网络将数据发送到该实体)，则该网络节点可以获取(例如，导出、生成)随机数(例如，一次性数)并将该随机数发送到该设备414。

如果该网络节点确定该设备被授权接入该网络，则该设备可以从该网络节点获取该随机数(例如，一次性数)416。

该设备可以用设备私钥来对消息进行签名(并且藉此获取签名)，该消息包括随机数和旨在供传递到该实体(例如，asp)的应用服务器(as)的数据(例如，pdu)418。可以基于例如从网络节点获得的随机数的散列和待发送给该实体(例如，asp)的数据来获得(例如，导出、生成)该签名。该设备可以随后将该数据(例如，pdu)和该签名发送到该网络节点420。在一些方面，该设备可以将该数据和该签名发送到网络节点以在没有预先建立的到该网络的连接的情况下经由该网络节点传递该数据。换而言之，当该设备将该数据和该签名发送到该网络节点时，在该网络处可能没有为与该设备的通信会话而建立的设备上下文。

根据本文所描述的各方面，当该安全信息集包括由该实体签名的证书时，与该数据一起发送的签名与从该设备发送到该网络节点的证书相关联。换而言之，使用设备私钥所获得的签名与从该设备发送到该网络节点的证书相关联，至少因为该证书包括了设备公钥。

该网络节点可以获取(该设备的)数据和签名422。该网络节点可以验证(该设备的)签名424。如果该安全信息集是由该实体签名的证书，则该网络节点可以使用该证书中所包括的设备公钥来验证(该设备的)签名。如果该安全信息集是原始设备公钥，则该网络节点可以使用原始设备公钥来验证(该设备的)签名。如果该安全信息集是与设备公钥相关联的设备id，或设备公钥id，则该网络节点可以从该实体置备给其自身的安全信息(或从公钥存储库)中获取相关联的公钥，并使用所获得的公钥来验证(该设备的)签名。如果(该设备的)签名被成功验证，则该网络节点可以经由所选择的网络将数据(例如，pdu)发送到数据传递目的地426。该数据传递目的地可以是例如与该实体相关联的应用服务器。可以在没有预先建立的到该网络的连接的情况下发送该数据。换而言之，在没有预先建立的到该网络连接的情况下，网络节点可以经由该网络将该数据发送到与该实体相关联的数据传递目的地。仍换而言之，并且作为示例，当该网络节点是接入节点时，该网络节点可以在核心网中的接入节点和用户面网关之间没有建立连接的情况下实现无连接数据传递。

根据图4的示例性方面，当需要经由网络将数据(例如，pdu)从该设备发送到asp的应用服务器时，可以执行与该网络节点的无连接数据传递。该数据(例如，pdu)传递可以在该设备和该数据通过其行进的网络节点(例如，ran节点或核心网节点)之间没有建立现有上下文(或连接)的情况下发生，因此得名无连接数据传递。可以通过使用图4的示例性方面来降低状态管理开销和信令开销。例如，该设备不需要执行认证和密钥协商(aka)规程来传递pdu，并且不需要在核心网处维护现有的(或预先存在的)设备上下文。

图5是解说了根据本公开的各方面的无连接数据传递的示例的呼叫流图500。图5的示例性呼叫流图500可以代表如下场景，其中未建立核心网状态并且在接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))和核心网节点之间不需要用于数据传递的信令。在图5的示例性呼叫流图500中，包括有设备502(例如，无线设备、蜂窝设备、ue、ciot设备)、本文称为网络节点504的网络节点(例如，接入网(an)节点或核心网节点)、公钥存储库节点506、核心网用户面节点508(本文称为up-cn节点)(例如，分组数据网络(pdn)网关或p-gw)、和应用服务器节点(本文称为as510)。

图5的示例性呼叫流可以始于将安全信息集520(例如，设备标识符、公钥-私钥对、证书/由实体签名的证书、设备公钥标识符(pkid)、和/或可接入网络的列表中的一者或多者)置备到设备502。在一个方面，可以在置备之后部署设备502。

可以向设备502置备唯一性地标识该设备的设备标识符(下文中称为设备id522)。根据一个方面，该设备id可以是该设备公钥的散列。

可以向设备502置备由(pkdev,skdev)标示的公钥-私钥对524。设备私钥(skdev)可以保持在该设备的安全存储中。作为示例，设备公钥(pkdev)和设备私钥(skdev)可以由置备实体来置备。置备实体的示例可以包括移动网络运营商(mno)、服务提供商、和/或内容提供商。

可以向设备502置备证书或可由实体签名的证书526。该证书或该由实体签名的证书可以包括设备公钥。该实体签名的证书的替换方案包括设备id、原始设备公钥或设备公钥标识符。该实体可以向设备502提供服务(例如，由电力仪表监控的电力递送、健康监视、新闻递送)或者从设备502收集数据(例如，电力仪表数据、健康数据、家庭/建筑物安防)。设备502的示例可以包括传感器设备。传感器设备的示例可以包括功率计、可穿戴健康监视器(例如，用于血压、心率、运动监测、和用于其他生理参数的监视器)、体重秤、静止/视频摄像机、安全监视器(例如，诸如建筑物入口检测器、火/烟/水检测器)、电器监视器(例如，诸如冰箱/冰柜监视器)、声音监视器/麦克风/扬声器(例如，诸如用于与本地或远程信息服务提供商进行交互式音频交换)。

根据一个方面，该实体可以是应用服务提供商(asp)。该实体可以是置备实体或不同实体。该实体可以具有实体公钥-私钥对。根据实体是asp的示例性方面，该asp可以具有asp公钥(pkas)和asp私钥(skas)。如本领域技术人员所领会的，证书可以包括多样的数据，其可以包括设备公钥(pkdev)。该证书可以使用实体私钥来签名。根据实体是asp的示例性方面，证书可以使用asp私钥(skas)来签名。相应地，由该实体签名的证书可以是包括使用asp私钥(skas)签名的设备公钥(pkdev)的证书。根据一个方面，由该实体签名的证书可以仅包括设备公钥(pkdev)。

该证书的第一替换方案可以是设备公钥(pkdev)本身(例如，没有附加数据)。这可以被称为原始公钥(例如，原始设备公钥)。根据第一替换方案，使用该实体私钥签名的证书可以由原始设备公钥替换。设备公钥可以由与设备公钥相关联的asp在网络上置备(即，asp将设备公钥置备到网络)，以便在由该设备将该设备公钥呈现给该网络时该网络能够验证该设备公钥。

该证书的第二替换方案可以是公钥标识符(pkid)。pkid可以是用于唯一性地标识公钥(诸如设备公钥)的标识符。通过使用pkid，公钥(其由pkid所标识)不需要被包括在消息中。这降低了消息大小开销。在许多方面，这显著降低了消息大小开销，因为设备公钥可能是冗长的。根据第二替换方案，使用实体私钥签名的证书可以由设备公钥标识符(设备pkid)替换，并且该设备公钥标识符和相应的设备公钥在网络处由与设备公钥相关联的asp所置备(即，asp置备设备pkid和设备公钥到该网络)，以便当该设备将该设备pkid呈现给该网络时，该网络能够验证该设备公钥。

该证书的第三替换方案可以是设备id。根据第三替换方案，使用该实体私钥签名的证书可以由设备id替换。设备id由与该设备相关联的asp在网络处置备(即，asp将设备id提供给网络)，以便当设备id由该设备呈现给该网络时，该网络能够验证该设备id。该设备id可以与设备公钥相关联。在一个实现中，该设备id可以是该设备公钥的散列。

还可以向该设备置备网络信息528。网络信息可以包括网络集的标识。可以使用相应的网络标识符(例如，公共陆地移动网络标识符(plmnid)或服务集标识符(ssid))来标识该网络集中的网络。在该网络集中标识的网络可以包括设备502能够使用如本文所描述的无连接数据传递通过其接入asp服务的那些网络(例如，设备502能够通过其向/从作为asp服务的宿主的应用服务器(as)(例如，as510)发送/获取(例如，传递、传送、接收)数据的网络)。设备502能够通过其使用无连接数据传递来接入asp服务的网络在本文中可以被称为可接入网络。该可接入网络集中的每个网络可以具有网络公钥(pknet)和相应的网络私钥(sknet)。

相应地，网络信息528可以包括可接入网络的列表，其中每个可接入网络可以由网络标识符和/或关联的公钥(pknet)(或网络证书或网络公钥id)来标识。

根据本文所描述的各方面，设备502可能未附连到该网络。根据本文所描述的各方面，设备502可能没有对该网络的订阅。

设备502可以执行无线电资源控制(rrc)规程以接入网络节点504(例如，an节点、网络的核心节点、ran节点)并且与网络节点504交换，例如rrc消息1和2。如本领域技术人员所领会的，rrc消息1可以是随机接入信道请求(rach)(例如，随机接入请求)，并且rrc消息2可以是rach响应消息2(例如，随机接入响应)530。

设备502可以提供第一指示，例如，指示该请求是用于“无连接数据传递”、“使用基于证书的认证的数据传递”或者代表了根据本文所描述的各方面的数据传递的事物(出于清楚和简明起见，本文称为“无连接数据传递”)。设备502可以在例如rrc消息3(rrc连接请求)中提供第一指示532。根据当前的理解，有足够的比特来在rrc消息3中提供第一指示。

网络节点504可以用第二指示来回复，其中第二指示指示所请求的无连接数据传递是否可能(即，网络节点504是否支持无连接数据传递)。例如，网络节点504可以在rrc消息4(例如，rrc连接设立)中回复(例如，发送第二指示)534。

如果第二指示指示无连接数据传递是可能的，则设备502可以向网络节点504发送内容(例如，数据、信息)以促成在例如“新rrc消息5”(例如，rrc连接设立完成)中的无连接数据传递536。刚刚提到的“新rrc消息5”的各方面可以不同于与当前已知的rrc消息5相关联的各方面。例如，在没有验证的情况下，可以禁止新rrc消息5的内容被传递到实体(例如，传递到作为该实体的应用的宿主的应用服务器)。换而言之，除非该网络节点(例如，网络节点504)基于该安全信息集验证该消息，否则在其内容被禁止被传递到该实体(例如，应用服务器510)的消息(例如，新消息5)中获取该安全信息集。

该内容可以包括一条或多条内容。例如，该内容可以包括该安全信息集。根据一个示例，该内容可以包括设备id和/或证书(例如，包括设备公钥的证书，其中该证书由实体签名)、设备公钥或者设备公钥id中的至少一者。根据一个方面，该安全信息集是包括设备公钥的证书、与设备公钥相关联的设备标识符、设备公钥、设备公钥标识符或其任何组合中的至少一者。

新rrc消息5的内容可以附加地或替换地包括设备502获得(例如，导出、生成)的随机数。该随机数可以是例如一次性数。出于文本的清楚和简明起见，由设备502获得并发送到网络节点504的随机数在本文可被称为设备-一次性数或dnonce。然而，应当理解，该随机数可以是除一次性数以外的其它事物。例如，网络节点504可以由使用dnonce以保护下行链路pdu(并且将在下文进行解释)。

出于文本的清楚和简明起见，新rrc消息5的内容可以在本文中被单独地或以任何组合称为“新rrc消息5内容”。

网络节点504可以获取新rrc消息5内容以促成无连接数据传递。例如，网络节点504可以使用新rrc消息5内容来标识与该实体相关联的应用服务器(例如，as510)并验证该设备公钥538。

关于该公钥的使用，可能存在至少三个替换方案。如上所述，新rrc消息5内容可以包括例如证书(例如，包括设备公钥的证书，其中该证书由该设备将与之交换数据的实体签名)、原始设备公共-key、和/或设备公钥id。现在将解释这些替换方案中的每一者。

根据一个方面，可以使用证书。该证书可以是自包含的。证书可以是自包含的，其中，例如，该证书可以包括设备公钥的副本，并且可能不需要访问另一个实体来获取与该设备相关联的公钥的副本或者验证该设备所呈现的原始设备公钥。为了利用自包含证书，可以向网络节点504置备第一实体及其对应的证书(例如，实体-证书对)的列表。例如，当实体是asp时，可以向网络节点504置备包括asp(例如，其中该列表使用asp标识符来标识asp)和对应于asp的证书(例如，asp证书)的列表。网络节点504可以使用asp证书来验证由设备502在新rrc消息5内容中向网络节点提供的由实体526签名的证书(例如，由asp签名的证书)。

证书的使用可以影响消息大小(例如，图5中536处的新rrc消息5的大小)。因此，下文提供该证书的示例性替换方案。

根据一个方面，原始设备公钥可以用作证书的替换方案。原始设备公钥本身可以是公钥本身，而没有向其追加任何附加数据。根据一个实现，实体(例如，asp)可以注册公钥集(例如，设备公钥集或列表、注册设备公钥集或列表)，该公钥集能够被用于向网络验证该设备。网络节点504可以与存储库相关联，存储库在本文中被称为公钥存储库节点506。公钥存储库节点506可被用于跟踪该经注册公钥集。

根据一个方面，当网络节点504获取原始设备公钥时，网络节点504可以与公钥存储库节点506联系(例如，与其交换消息)以验证原始设备公钥540。例如，可以使用基于公钥存储库中的经注册公钥创建的布隆过滤器来实现验证。如本领域技术人员所领会的，布隆过滤器是用于测试元素是否是集合的成员的概率性数据结构。

公钥存储库节点506中的每个公钥可以与特定服务相关联，或者换而言之与特定实体(例如，特定asp)相关联。

作为公钥存储库节点506的替换方案，该网络可以为每个网络节点504(例如，每个an/核心网节点)置备经注册公钥的摘要。例如，可以以布隆过滤器的形式置备经注册公钥的摘要。同样如本领域技术人员所领会的，使每个网络节点504维护公钥列表可能是低效的。因此，原始公钥的使用可以使新存储库(例如，公钥存储库节点506)的使用合宜。

根据一个方面，设备公钥id可以被用作证书的替换方案。设备公钥id可以是对给定公钥唯一性的标识符。设备公钥id的使用可能需要类似于设备原始公钥的置备。例如，根据一个实现，实体(例如，asp)可以注册设备公钥id集(例如，设备公钥id集或列表、经注册设备公钥id集或列表)，该设备公钥id集能够被用于向网络验该备。网络节点504可以与存储库相关联，在本文中再次被称为公钥存储库节点506。公钥存储库节点506可被用于跟踪经注册设备公钥和/或经注册设备公钥id的列表。

在使用设备公钥id的方面，该设备在访问网络节点504时提供设备公钥id而不是设备公钥本身。这可以降低消息大小开销。在许多情形中，可以降低消息大小开销，因为设备公钥id的大小小于设备公钥本身的大小。在许多情形中，消息大小可以被显著减少。

根据一个方面，当网络节点504从设备502获取设备公钥id时，网络节点504可以与公钥存储库节点506联系(例如，与其交换消息)以从公钥存储库节点506获取相应的公钥(即，由设备公钥id唯一性标识的设备公钥)。

网络节点504可以使用所获得的相应公钥来验证原始设备公钥540。网络节点504可以从公钥存储库节点506检索相应的公钥以实现验证。根据一个方面，网络节点504(例如，an/核心网节点)可以高速缓存设备公钥，为了避免对公钥存储库节点506的反复(例如，频繁、多次、重复)接入、避免增加的等待时间、和/或以减少等待时间。

设备公钥id的使用可能需要新的存储库(例如，公钥存储库节点506)。

在一个方面，证书(其中包括公钥)可以由设备502和/或实体(例如，asp)签名。

总之，证书的使用允许在网络节点504处对设备公钥进行自包含验证。原始公钥的使用可能需要使用公钥存储库节点506，其可以存储和跟踪经注册设备公钥。在网络节点504处验证原始公钥可能需要联系公钥存储库节点506，并且可以使用基于公钥存储库中的经注册公钥创建的布隆过滤器来实现验证。公钥id的使用可能需要使用公钥存储库节点506，其可以存储和跟踪经注册设备公钥id。在网络节点504处验证公钥id可能需要联系公钥存储库节点506并且验证可能需要网络节点504从公钥存储库节点506中检索与设备公钥id相对应的公钥。

如果网络节点504验证设备公钥，则网络节点504可以在随机接入规程期间获取(例如，接收、导出、生成)随机数542。网络节点504可以在例如“新rrc消息6”544的内容中向设备502提供随机数。可以使用该随机数，例如用于重放保护。该随机数可以是一次性数。该随机数在本文中可以被称为网络一次性数或nnonce。

设备502可以利用设备私钥(skdev)对旨在经由网络节点504传递到asp的as510的数据进行签名(例如，对pdu进行签名)546。该设备私钥可以与在新rrc消息5中发送的设备公钥相关联或相对应。

可以基于例如pdu的散列和从网络节点504获得的随机数(例如，nnonce)来获取(例如，导出、生成)该签名(例如，在544处)。设备502可以随后将该数据(例如，pdu)和该签名发送到网络节点548。在一些方面，设备502可以将该数据和该签名发送到网络节点504以在没有预先建立的到该网络的连接的情况下经由网络节点504来传递该数据。

根据一些方面，该数据的加密可以以端到端的方式(例如，在设备502和as510之间)完成。

根据一些方面，pdu可以被携带在rrc(例如，nas容器)或数据无线电承载(drb)中(仅对经认证的设备和相关联的as的话务打开)。

如本文所描述的，当该设备将pdu和签名发送到网络节点548时，可能没有为在核心网处与设备502的通信会话而建立的设备上下文。根据本文所描述的各方面，与pdu一起发送的签名(在548处)可以与从设备502发送到网络节点504的该安全信息集520(例如，由该实体签名的证书、设备id、原始设备公钥、设备公钥id)相关联。

网络节点504可以使用包括在该安全信息集520中(例如，如果该安全信息集是由该实体签名的证书并且该证书包括该设备公钥)或者从公钥存储库节点506检索(例如，如果该安全信息集是设备标识符、原始设备公钥或设备公钥标识符(pkid))的设备公钥来验证签名550。

网络节点504可以经由核心网用户面节点508将pdu552、554转发到应用服务器510。换而言之，网络节点504可以将pdu转发到相关联的asp(或与asp相关联的应用服务器510)或者可以将pdu转发到网关节点，该网关节点将其转发到asp(或与asp相关联的应用服务器510)。换而言之，该网络节点可以在核心网中的网络节点(例如，接入节点)和用户面网关之间没有建立连接的情况下实现无连接数据传递。

在本文所描述的一些方面，可以从pdu中指示的aspid、设备证书或与从公钥存储库节点506获得的设备公钥相关联的信息来标识相关联的asp。

在本文所描述的一些方面，网络节点504可以被配置成将pdu转发到诸如应用服务器510的特定应用服务器。

在图5的示例性呼叫流中，设备502不认证网络节点504。为了使设备502能够认证网络节点504，可以使用网络节点的按需签名或来自asp的pdu确收。

在下行链路方向上，网络节点504可以从应用服务器510经由核心网用户面节点508获取pdu556、558。为了将pdu发送到设备502，网络节点504可以用网络节点私钥(sknnode)560对pdu进行签名。可以基于例如pdu的散列和从设备502获得的dnonce来获取(例如，导出、生成)该签名(例如，在536处)。网络节点504可以随后向设备502发送pdu和该签名(例如，用该签名保护的pdu)562。当网络节点504将pdu和签名发送到设备502时，在核心网处可能没有为与设备502的通信会话而建立的设备上下文。根据本文所描述的各方面，与pdu一起发送的签名(在562处)可以与在562处发送的消息的内容中发送到设备502的网络节点504的证书(例如，an/核心网节点的证书)相关联。设备502可以使用网络节点证书564中包括的网络节点的公钥来验证网络节点的签名。该网络节点证书可以由核心网的移动网络运营商(mno)来签名。

根据图5的示例性呼叫流，当需要经由网络将数据(例如，pdu)从设备502发送到asp的应用服务器510时，可以执行与网络节点504的无连接数据传递。数据(例如，pdu)传递可以在网络节点504(例如，ran、an/核心网节点)与pdu行进通过的核心网之间不存在现有设备上下文的情况下发生。可以通过使用图5的示例性呼叫流来降低状态管理开销和信令开销。例如，设备502不需要执行认证和密钥协商(aka)规程来传递pdu，并且如所述，不需要在核心网处维护现有的(或预先存在的)设备上下文。

根据一些方面，对于从应用服务器510到设备502的下行链路数据传递，例如，响应于设备始发的数据传递(例如，移动台始发(mo)的数据传递)，网络节点504(例如，an/核心网节点)可以保持在设备502上行链路小数据传递期间建立的rrc连接状态(例如，c-rnti和无线电承载)达预定义的时间段(例如，网络节点504可以保持所建立的临时状态)。

可以基于在网络节点504处所建立的临时状态将诸如设备502终接的小数据(例如，移动台终接(mt)的小数据)的下行链路话务发送到设备502。

在一些实现中，在设备502始发的小数据pdu中，设备502可以包括服务区域id以将设备502的位置注册到应用服务器510。经注册服务区域id可以由应用服务器510使用，例如，用于应用服务器510发起的(即，服务器发起的)设备终接的数据传递。当设备502移动到不同的服务区域时，设备502可以通过将包括新服务区域id的pdu(例如，虚设pdu)发送到应用服务器510来注册其新服务区域。在一些方面，发送到应用服务器510的pdu(例如，虚设pdu)仅包括新服务区域id。

在一些方面，为了防止设备502和应用服务器510保持交换高容量pdu的情况，网络节点504(例如，an/核心网节点)可以跟踪(例如，监视、记录)设备502和应用服务器510之间的用于小数据传递会话的聚集数据传递量。如果聚集数据传递量达到预定义阈值，则网络节点504可拒绝要发送设备502始发(例如，mo)的pdu的设备请求和/或响应于设备502发送设备始发的pdu而拒绝要发送设备502终接(例如，mt)的pdu的应用服务器510请求。

否则，设备502可以正通过使用无连接小数据服务来做一些其他服务。换而言之，无连接数据传递可以被用于设备502和as510之间的其他数据交换(例如，用于除小数据传递之外的其它服务)。

图6解说了根据本公开的各方面的装备600(例如，电子设备、通信装备、设备、蜂窝物联网(ciot)设备)的硬件实现的示例的框图。装备600可以在未建立核心网状态的场景中使用无连接数据传递来支持数据传递，并且根据本公开的各方面发生各种内容的通信、确定、置备、发送(例如，提供)、选择或获取(例如，导出、生成、计算、检索、接收、请求等)中的一者或多者。装备600可以在诸如ciot设备之类的设备或者支持无线通信的任何类型的设备(诸如移动电话、智能电话、平板设备、便携式计算机、服务器、个人计算机、传感器、娱乐设备、医疗设备或具有无线通信电路系统(例如，通信接口)的任何其他电子设备)内实现。

装备600可包括通信接口602(例如，至少一个收发机)、存储介质604、用户接口606、存储器设备608(例如，存储一个或多个安全密钥618)、以及处理电路610。在各种实现中，用户接口606可包括以下一者或多者：按键板、显示器、扬声器、话筒、触摸屏显示器或者用于从用户接收输入或向用户发送输出的某种其他电路系统。

这些组件可以经由信令总线640或其他合适的组件彼此耦合和/或置于彼此处于电通信。取决于处理电路610的具体应用和整体设计约束，信令总线640可包括任何数目的互连总线和桥接器。信令总线640将各种电路链接在一起以使得通信接口602、存储介质604、用户接口606和存储器设备608中的每一者与处理电路610耦合和/或处于电通信。信令总线640还可链接各种其他电路(未示出)，诸如定时源、外围设备、稳压器和功率管理电路，这些电路在本领域中是众所周知的，并且因此将不再进一步描述。

通信接口602可被适配成促成装备600的无线通信。例如，通信接口602可包括被适配成促成相对于网络中的一个或多个通信设备进行双向信息通信的电路系统和/或编程。在一些实现中，通信接口602可被构造、适配、和/或配置成用于基于有线的通信。在一些实现中，通信接口602可耦合至一个或多个天线612以用于无线通信系统内的无线通信。通信接口602可以被构造、适配、和/或配置有一个或多个自立接收机和/或发射机，以及一个或多个收发机。在所解说的示例中，通信接口602包括发射机614和接收机616。

存储器设备608可表示一个或多个存储器设备。如所指示的，存储器设备608可维护安全密钥618(例如设备私钥、设备公钥)连同由装备600使用的其他信息。在一些实现中，存储器设备608和存储介质604被实现为共用存储器组件。存储器设备608也可被用于存储由处理电路610或装备600的某一其他组件操纵的数据。

存储介质604可表示用于存储编程(诸如处理器可执行代码或指令(例如，软件、固件))、电子数据、数据库或其他数字信息的一个或多个非瞬态计算机可读、机器可读、和/或处理器可读设备。存储介质604也可被用于存储由处理电路610在执行编程时操纵的数据。存储介质604可以是能被通用或专用处理器接入的任何可用介质，包括便携式或固定存储设备、光学存储设备、以及能够存储、包含或携带编程的各种其他介质。

作为示例而非限制，存储介质604可包括：磁存储设备(例如，硬盘、软盘、磁条)、光盘(例如，压缩碟(cd)或数字多功能碟(dvd))、智能卡、闪存存储器设备(例如，记忆卡、记忆棒或钥匙驱动器)、随机存取存储器(ram)、只读存储器(rom)、可编程rom(prom)、可擦式prom(eprom)、电可擦式prom(eeprom)、寄存器、可移动盘、以及任何其他用于存储可由处理电路610接入和读取的软件和/或指令的合适介质。存储介质604可以在制品(例如，计算机程序产品)中实现。作为示例，计算机程序产品可包括封装材料中的非瞬态计算机可读介质。鉴于上述内容，在一些实现中，存储介质604可以是非瞬态计算机可读介质(例如，有形存储介质)。

存储介质604可被耦合至处理电路610，以使得处理电路610能从存储介质604读取信息和向存储介质604写入信息。即，存储介质604可耦合至处理电路610，以使得存储介质604至少能由处理电路610接入，包括其中至少一个存储介质被集成到处理电路610的示例和/或其中至少一个存储介质与处理电路610分开(例如，驻留在装备600中、在装备600外部、跨多个实体分布等)的示例。

由存储介质604存储的编程在由处理电路610执行时使处理电路610执行本文所描述的各种功能和/或过程操作中的一者或多者。例如，存储介质604可以包括能够使处理电路610选择网络的指令(例如，代码)，通过该网络，该设备被授权接入与实体相关联的服务，其中该实体与该安全信息集相关联，且该安全信息集由该实体置备给该设备。存储介质604可以包括能够使处理电路610将该安全信息集发送到网络节点的指令。存储介质604可以包括指令，如果该设备被成功授权接入该网络，则该指令可以使处理电路610响应于发送该安全信息集而获取随机数。存储介质604可以包括能够使处理电路610通过使用设备私钥对消息进行签名来获取签名的指令，该消息包括随机数和要传递的数据，其中设备公钥与该安全信息集相关联。存储介质604还可以包括指令，该指令能够使得处理电路610将该数据和签名发送到网络节点，以在没有预先建立的到该网络的连接的情况下经由该网络节点来传递该数据。存储介质604还可以包括指令，该指令能够使处理电路610利用通信接口602进行利用它们各自的通信协议进行的无线或者在一些实现中有线的通信。

处理电路610一般适配成用于处理，包括执行存储在存储介质604上的此类编程。如本文中使用的，术语“代码”或“编程”应当被宽泛地解释成不构成限定地包括指令、指令集、数据、代码、代码段、程序代码、程序、编程、子程序、软件模块、应用、软件应用、软件包、例程、子例程、对象、可执行件、执行的线程、规程、函数等，无论其被称为软件、固件、中间件、微代码、硬件描述语言、还是其他术语。

处理电路610可被布置成获取、选择、处理和/或发送数据、控制数据接入和存储、发布命令、以及控制其他期望操作。处理电路610可包括构造、适配、和/或配置成实现由至少一个示例中的恰适介质提供的期望编程的电路系统。例如，处理电路610可被实现为一个或多个处理器、一个或多个控制器、和/或构造、适配、和/或配置成执行可执行编程的其他结构。处理电路610的示例可包括被设计成执行本文所描述的功能的通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其他可编程逻辑组件、分立的门或晶体管逻辑、分立的硬件组件或其任何组合。通用处理器可包括微处理器，以及任何常规的处理器、控制器、微控制器或状态机。处理电路610还可被实现为计算组件的组合，诸如dsp与微处理器的组合、数个微处理器、与dsp核协作的一个或多个微处理器、asic和微处理器或任何其他数目的变化配置。处理电路610的这些示例是用于解说的，并且本公开范围内的其他适合配置是可以构想的。

根据本公开的一个或多个方面，处理电路610可适配成执行用于本文中描述的任何或所有装置的特征、过程、功能、操作和/或例程中的任一者或全部。例如，处理电路610可被适配成执行和/或实行关于图4、5、7、9、10、11和12标识的各框或呼叫流中描述的操作中的任一者。如本文所使用的，涉及处理电路610的术语“适配”可指处理电路610被构造、配置、采用、实现、和/或编程(以上一者或多者)为执行根据本文描述的各种特征的特定过程、功能、操作和/或例程。

处理电路610可以是用作用于执行和/或实行关于图4、5、7、9、10、11和12标识的各框或呼叫流中描述的操作中的任一者的装置(例如，结构)的专用处理器，诸如专用集成电路(asic)。藉由示例，处理电路610可以用作用于传送的装置、用于接收的装置、用于经由网络的通信的装置、用于认证的装置、用于获取安全信息集的装置、用于选择网络的装置、用于从该安全信息集向网络节点发送至少一个项目的装置、和/或用于获取签名的装置、用于发送消息和签名的装置的一个示例。通信接口可以用作经由网络进行通信的装置的一个示例。用于传送的装置的另一示例可以包括通信接口602，包括发射机614，并且附加地或替换地可以包括用于通信的电路/模块620、用于置备的电路/模块624、和/或用于发送的电路/模块626。传送可以包括从存储器或从装备600的另一组件取回信息，以及经由来自装备600的无线电波传输来广播信息。用于接收的装置的另一示例可以包括通信接口602、包括接收机616，并且附加地或替代地可以包括用于通信的电路/模块620和/或用于获取的电路/模块629。接收可以包括从另一装备获取无线电波信号并将那些信号变换成适合于由处理电路610和/或其任何电路或模块使用的基带信号。用于经由网络进行通信的装置的另一示例可以包括通信接口602，包括发射机614和/或接收机616，并且附加地或替代地可以包括用于通信的电路/模块620、用于置备的电路/模块624、用于发送的电路/模块626、和/或用于获取的电路/模块629。经由网络的通信可以包括使用配置用于通信(例如，连接、链接、加入、传递)的硬件和/或软件经由网络传送和/或接收信号。用于认证的装置的另一示例可包括处理电路610。认证可以涉及获取密钥、获取有效载荷、执行本领域技术人员所理解的认证算法、以及输出结果。用于获取安全信息集的装置的另一示例可包括处理电路610和/或用于获取的电路/模块629。获取该安全信息集可以包括从存储器设备608或从装备600的另一组件(例如，接收机616)来检索信息。该安全信息集可以被置备给该设备。该安全信息集可以包括，例如，设备标识符、设备公钥-私钥对、证书(由要向其传递/发送/交换数据的实体签名的证书)、原始设备公钥、设备公钥标识符(id)、和可接入网络列表。用于选择网络的装置的另一示例可包括用于选择的电路/模块628。选择网络可以涉及从网络列表中选取网络或从实体置备给该设备的网络列表中挑选网络。该设备可以选择网络，通过该网络，该设备被授权访问与该实体相关联的服务，其中该实体与安全信息集相关联，并且该安全信息集由该实体置备给该设备。用于从该安全信息集向网络节点发送至少一个项目的装置的另一示例可以包括通信接口602，其包括发射机614，并且附加地或替换地可以包括用于通信的电路/模块620、用于置备的电路/模块624、和/或用于发送的电路/模块626。发送可以包括从存储器设备608或从装备600的另一组件检索信息，并且经由来自装备600的无线电波传输来向网络节点传送信息。发送可以包括向网络节点发送安全信息集。例如，该安全信息集可以是证书。该证书可以包括设备公钥。该证书可以由将该证书置备给该设备的实体来签名。用于获取签名的装置的另一示例可以包括通信接口602，其包括接收机616，并且附加地或替换地可以包括用于获取的电路/模块629。获取签名可以包括用设备私钥来对消息进行签名(并且藉此获取签名)，该消息包括从网络节点获得的随机数和旨在传递到该实体(例如，asp)的应用服务器(as)的数据(例如，pdu)。可以基于例如从网络节点获得的随机数的散列和待发送给该实体(例如，asp)的数据来获取(例如，导出、生成)该签名。用于发送消息和签名的装置的另一示例可以包括通信接口602，包括发射机614，并且附加地或替换地可以包括用于通信的电路/模块620、用于置备的电路/模块624、和/或用于发送的电路/模块626。发送该消息和签名可以包括经由装备600的天线612从装备600通过无线电波传输来传送该消息和签名。

根据装备600的至少一个示例，处理电路610可包括用于通信的电路/模块620、用于确定的电路/模块622、用于置备的电路/模块624、用于发送的电路/模块626、用于选择的电路/模块628或者用于获取的电路/模块629中的一者或多者。

如以上所提及的，由存储介质604存储的编程在由处理电路610执行时使得处理电路610执行本文描述的各种功能和/或过程操作中的一者或多者。例如，存储介质604可包括用于通信的代码630、用于确定的代码632、用于置备的代码634、用于发送的代码636、用于选择的代码638或者用于获取的代码639中的一者或多者。

图7是解说根据本公开的各方面的使用无连接数据传递的数据传递方法的示例的流程图700。图7的示例性流程图可以代表如下场景，其中未建立核心网状态并且在接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))和核心网节点之间不需要用于数据传递的信令。数据传递方法700的方法可以由处理电路(例如，图6的处理电路610)执行，该处理电路可以位于设备或一些其他合适的装备中。相应地，数据传递方法700可以在设备或一些其他合适的装备处操作。在本公开范围内的各个方面中，根据本公开的一个或多个方面，数据传递方法700可以由能够在未建立核心网状态的场景中支持无连接数据传递的任何合适的装备来实现，包括能够支持通信、确定、置备、发送、选择或获取各种内容中的一者或多者的任一合适的装备。

根据一些方面，在该设备和网络之间不存在预先建立的连接的场景中(例如，在未建立核心网状态的场景中)，使用无连接数据传递的数据传递方法700可被描述为在设备处操作的方法。该方法可以包括被置备安全信息集702。在一些方面，该方法可以包括从该设备将向其发送数据的实体获取置备给该设备的安全信息集。该实体可以与该安全信息集相关联。该实体可以与该安全信息集相关联，至少因为该实体将该安全信息集置备给该设备。该实体还可以将该安全信息集或其任何子集或个体项目置备给该网络(例如，该网络节点或公钥储存库)。该安全信息集可以包括一个或多个项目。例如，该安全信息集可以包括由该实体签名的证书、设备id、设备公钥、设备公钥id或其任何组合中的至少一者。该安全信息集中的每个项目可以与该实体相关联，至少因为该实体将该安全信息集置备给该设备。另外，该安全信息集中的每个项目可以与设备公钥相关联。例如，由实体签名的证书可以与设备公钥相关联，因为该证书可以包括设备公钥。例如，设备id可以与设备公钥相关联，因为该设备id可以基于该设备公钥(例如，它可以是该设备公钥的散列)。例如，该(原始)设备公钥可以与该设备公钥相关联，因为它们是彼此的副本。例如，该设备公钥id可以与该设备公钥相关联，因为该公钥id可以在表中使用以查找或对该设备公钥进行交叉引用。总之，该设备公钥与该安全信息集中的每个项目之间的关联是存在的，至少因为该安全信息集中的每个项目包括、导出自、或能被交叉引用到该设备公钥。

该方法可以包括，例如，选择通过其授权该设备接入与实体相关联的服务的网络704，其中该实体与安全信息集相关联，并且该安全信息集由该实体置备给该设备。该实体可以是应用服务提供商(asp)。可以从由该实体置备给该设备的可接入网络的列表(例如，网络信息)中选择该网络。

该方法可以可任选地包括向网络节点发送对无线电资源的请求706，该请求包括该请求是用于无连接数据传递的指示。

该方法可以包括将该安全信息集发送到网络节点708。例如，该方法可以包括向网络节点(例如，如果该网络节点支持无连接数据传递)发送由该实体签名的证书。该证书可以包括设备公钥。作为另一示例，如果该安全信息集包括设备id、原始设备公钥或设备公钥id中的至少一者，则该方法可替换地包括向该网络节点发送设备id、原始设备公钥、设备公钥id或其任何组合中的至少一者。

该方法可以包括响应于(例如，向该网络节点)发送该安全信息集而(例如，从该网络节点)获取随机数710。在一些方面，如果该设备被网络节点成功授权以接入该网络，则可以获取该随机数。该随机数可以被用于经由该网络节点将数据传递到该实体的过程中。该随机数可以是一次性数。一次性数可以是仅使用一次的随机数。该一次性数在本文中可以称为网络一次性数或nnonce。

该方法可以包括通过使用设备私钥对消息进行签名来获取签名，该消息包括随机数和要传递的数据712。该设备私钥和设备公钥也是关联的，至少因为它们是一起导出的。该数据可以是要传递到该实体的数据。

该方法进一步包括：在没有预先建立的到该网络的连接的情况下，经由该网络节点将该数据和签名发送到该网络节点以传递该数据(例如，到该实体或到与该实体相关联的应用服务器)714。

根据一些方面，该方法可以进一步包括在将该安全信息集发送到该网络节点之前验证该网络节点支持无连接数据传递。根据一些方面，该方法进一步包括向该网络节点发送对无线电资源的请求，其中对无线电资源的请求包括该请求是针对无连接数据传递的指示。根据一些方面，可以基于该安全信息集授权该设备接入该网络。根据一些方面，在将该数据和签名发送到该网络节点之前，该设备可能未附连到该网络。根据一些方面，该设备可能没有对该网络的订阅。根据一些方面，该网络节点是接入节点或核心网节点。根据一些方面，该安全信息集可以是由该实体签名的证书、设备标识符、设备公钥、设备公钥标识符或其任何组合中的至少一者。这些可以由该实体置备于该网络处。注意将安全信息发送到该网络的四个选项：(1)证书、(2)设备标识符、(3)设备公钥、(4)设备公钥标识符，仅第一个选项由该实体签名，而在其余三个选项的情况下，该安全信息不需要被签名，取而代之地将它们置备于该网络处。

根据一些方面，该方法可以进一步包括以下至少一者：通过获取标识是否支持无连接数据传递的指示符来选择网络，或者从存储在该设备处的网络列表来选择网络。

根据一些方面，该方法可以进一步包括：向该网络节点提供设备一次性数(dnonce)，其中dnonce可以由该设备随机生成；获取由移动网络运营商签名的网络证书；获取下行链路话务中的分组数据单元(pdu)，其中pdu与网络节点的签名相关联；使用移动网络运营商的公钥来验证网络证书，其中网络证书包括网络节点的公钥；以及使用网络节点的公钥和包括dnonce和pdu的消息来验证网络节点的签名。

根据一些方面，与该网络相关联的服务是传输服务。根据一些方面，该方法可以进一步包括将该数据传递到由该实体授权的实体或另一实体中的至少一者。

根据一些方面，该网络的传输服务可被用于将该数据从该网络节点传递到该实体。

根据一些方面，认证和/或授权可以基于该安全信息集或随其所包括的数据/信息的使用。

根据一些方面，该设备可能未附连到该网络。

根据一些方面，该设备可能没有对该网络的订阅。

根据一些方面，该方法可以进一步包括将该数据封装为分组数据单元(pdu)中的网际协议(ip)数据。

根据一些方面，该实体可以是应用服务提供商(asp)。

根据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))或核心网节点。根据一些方面，该核心网节点可以是核心网用户面节点。

根据一些方面，该方法可以进一步包括获取标识是否支持使用无连接数据传递的数据传递的指示符。

根据一些方面，该证书可以在消息中发送，该消息的内容在没有验证该安全信息集中的项目的情况下被禁止传递给该实体。

根据一些方面，该方法进一步包括通过向该设备置备来获取设备公钥和设备私钥、由该实体签名的证书、设备id、设备公钥id、和/或通过其授权该设备接入该实体服务的网络列表中的至少一者。

根据一些方面，对于该网络列表中的每个网络，该网络列表可以包括：网络标识符，以及网络证书、网络公钥、网络公钥标识符或其任何组合中的至少一者。

根据一些方面，该网络标识符可以标识无线广域网(wwan)或无线局域网(无线lan)。

根据一些方面，该网络标识符可以是公共陆地移动网络标识符(plmnid)或服务集标识符(ssid)。

根据一些方面，该消息可以包括与该数据级联的随机数的散列。

根据一些方面，该随机数可以是一次性数。

根据一些方面，该方法可以进一步包括在该设备和核心网之间没有控制面信令的情况下使用无连接数据传递来实现数据传递。

据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))，并且该方法可以进一步包括在接入节点和核心网中的用户面网关之间没有建立数据流的情况下使用无连接数据传递来实现数据传递。

根据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))，并且该方法可以进一步包括在该设备和核心网之间没有执行认证和密钥协商(aka)规程的情况下发送该数据和签名。

根据一些方面，该方法可以进一步包括从该设备向该网络节点(例如，an/核心网节点)发送设备一次性数(dnonce)，其中该设备可以使用dnonce来验证由该设备获得的下行链路话务。

图8是解说根据本公开的各方面的装备800(例如，电子设备、通信装备、接入网(an)、核心网节点)的硬件实现的另一示例的框图。根据本公开的各方面，装备800可以在未建立核心网状态的情况下使用无连接数据传递来支持数据传递，并且可以支持通信、获取、置备、发送、认证、标识、验证、封装和转换中的一者或多者。装备800可以在接入网(an)节点、核心网节点、设备(例如，ciot设备)或者支持无线通信的任何其他类型的设备(诸如移动电话、智能电话、平板设备、便携式计算机、服务器、个人计算机、传感器、娱乐设备、医疗设备或具有无线通信电路(例如，通信接口)的任何其他电子设备)内实现。

装备800可包括通信接口(例如，至少一个收发机)802、存储介质804、用户接口806、存储器设备808(例如，存储一个或多个安全密钥818)、以及处理电路810。在各种实现中，用户接口806可包括以下一者或多者：按键板、显示器、扬声器、话筒、触摸屏显示器或者用于从用户接收输入或向用户发送输出的某种其他电路系统。一般而言，图8的各组件可以类似于图6的装备600的对应组件。

根据本公开的一个或多个方面，处理电路810可适配成执行用于本文中描述的任何或所有装置的特征、过程、功能、操作和/或例程中的任一者或全部。例如，处理电路810可被适配成执行关于图4、5、7、9、10、11和12描述的各框中的任一者。如本文所使用的，涉及处理电路810的术语“适配”可指处理电路810被构造、配置、采用、实现、和/或编程(以上一者或多者)为执行根据本文描述的各种特征的特定过程、功能、操作和/或例程。

处理电路810可以是用作用于实行结合图4、5、7、9、10、11和12描述的操作中的任一者的装置(例如，结构)的专用处理器，诸如专用集成电路(asic)。作为示例，处理电路810可以用作用于传送的装置、用于接收的装置、用于经由网络进行通信的装置、用于认证的装置、用于获取数据的装置、和/或用于验证的装置的一个示例。通信接口可以用作经由网络进行通信的装置的一个示例。用于传送的装置的另一示例可以包括通信接口802，包括发射机814，并且附加地或替换地可以包括用于通信的电路/模块820、用于置备的电路/模块824、和/或用于发送的电路/模块826。传送可以包括从存储器或从装备800的另一组件检索信息，并且经由来自装备800的无线电波传输来广播该信息。用于接收的装置的另一示例可以包括通信接口802、包括接收机816，并且附加地或替代地可以包括用于通信的电路/模块820和/或用于获取的电路/模块822。接收可以包括从另一装备获取无线电波信号并将那些信号转换成适合于由处理电路810和/或其任何电路或模块使用的基带信号。用于经由网络进行通信的装置的另一示例可以包括通信接口802，包括发射机814和/或接收机816，并且附加地或替代地可以包括用于通信的电路/模块820、用于置备的电路/模块624、用于发送的电路/模块826、和/或用于获取的电路/模块822。经由该网络的通信可以包括使用配置用于通信(例如，连接、链接、加入、传输)的硬件和/或软件经由该网络来传送和/或接收信号。用于认证的装置的另一示例可包括处理电路810。认证可以涉及获取密钥、获取有效载荷、执行本领域技术人员所理解的认证算法、以及输出结果。用于获取数据的装置的另一示例可以包括通信接口802、接收机816，并且可以附加地或替换地包括用于获取的电路/模块822。获取数据可以涉及从设备获取消息，其中该消息由该设备签名。可以从射频信号获取该经签名消息。用于验证的装置的另一示例可包括用于验证的电路/模块832。验证可以包括验证该设备的签名。在一些示例中，装备800可以使用包括在该消息中的公钥来验证该设备的签名(例如，其中该消息包括证书，该证书本身包括该设备的公钥)。验证该设备的签名的其他方式是可接受的并且在本文中描述。如果(该设备的)签名被成功验证，则装备800可以经由所选择的网络将该数据(例如，pdu)发送到数据传递目的地。该数据传递目的地可以是例如与向该设备置备证书的实体相关联的应用服务器。可以在没有预先建立的到该网络的连接的情况下发送该数据。

根据装备800的至少一个示例，处理电路810可包括用于通信的电路/模块820、用于获取的电路/模块822、用于置备的电路/模块824、用于发送的电路/模块826、用于认证的电路/模块828、用于标识的电路/模块830、用于验证的电路/模块832、用于封装的电路/模块834、用于转换的电路/模块836或用于监视的电路/模块838中的一者或多者。

如以上所提及的，由存储介质804存储的编程在由处理电路810执行时，可使得处理电路810执行本文描述的各种功能和/或过程操作中的一者或多者。例如，存储介质804可包括用于通信的代码840、用于获取的代码842、用于置备的代码844、用于发送的代码846、用于认证的代码848、用于标识的代码850、用于验证的代码852、用于封装的代码854、用于转换的代码856、用于监视的代码858中的一者或多者。

图9是解说根据本公开的各方面的使用无连接数据传递的数据传递方法的另一示例的流程图900。图9的示例性流程图可以代表如下场景，其中未建立核心网状态并且在接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))和核心网节点之间不需要用于数据传输的信令。数据传递方法900可以由处理电路(例如，图8的处理电路810)执行，该处理电路可以位于网络节点(例如，an/核心网节点)或一些其他合适的装备中。相应地，数据传递方法900可以在网络节点或一些其他合适的装备处操作。在本公开范围内的各个方面中，根据本公开的各个方面，数据传递方法900可以由能够在未建立核心网状态的场景中支持无连接数据传递的任何合适的装备来实现，其包括能够支持通信、获取、置备、发送、认证、标识、验证、封装和转换内容中的一者或多者的任何合适的装备。

根据一些方面，在未建立核心网状态的情况下使用无连接数据传递的数据传递方法900可以被描述为在网络节点处操作的方法，其可以可任选地包括例如从设备获取对无线电资源的请求902；然而本公开在这方面不受限制。例如，在例如不存在上行链路调度的传输的情况下，该方法可以始于没有从设备获取对无线电资源的请求的情况。在一些方面，该网络节点可以发送指示符以标识是否支持使用无连接数据传递的数据传递。

该方法可以包括从设备获取安全信息集，其中实体与该安全信息集相关联并且该安全信息集由该实体置备给该设备904。在一个方面，该安全信息集可以是由该实体签名的证书。该证书可以包括设备公钥。该实体可以是应用服务提供商(asp)。

该方法可任选地包括从该实体获取相关的安全信息集906。相关的安全信息集可以包括设备id、设备公钥和/或设备公钥id。换而言之，经授权设备的公钥和/或公钥id由该实体在该网络上置备。相关的安全信息集不限于这些项目。如果从该设备发送到该网络节点的安全信息集不是自包含证书，则可由该实体在该网络处置备相关的安全信息集。

该方法可以包括验证(从该设备获取的)该安全信息集，其中该安全信息集与设备公钥相关联908。如果该安全信息集是由该实体签名的证书，则该方法可以包括使用该实体的公钥来验证该安全信息集。验证从该设备获取的安全信息集可以基于从该实体获取的相关安全信息集(如果从该设备获取的安全信息集不是例如自包含的证书)，其中从该设备获取的安全信息集和由该实体置备的相关安全信息集各自与设备公钥相关联。

该方法可以包括标识与该实体相关联的数据传递目的地(例如，应用服务器)910。例如，可以从应用服务提供商的列表中标识数据传递目的地，该应用服务提供商的设备允许该网络节点使用无连接数据传递来授权数据传递。可以由该实体将应用服务提供商列表置备给该网络节点。

该方法可以包括响应于获取和验证该安全信息集而(向该设备)发送随机数，以表示该设备被授权接入网络912。

该方法还可以包括从该设备获取数据和签名914。该签名可以是使用发送到该设备的随机数和从该设备发送的数据导出的。

该方法可以进一步包括使用设备公钥和包括该随机数和数据的消息来验证该签名916。

数据传递方法900进一步包括在没有预先建立的到该网络的连接的情况下经由该网络将该数据发送到与该实体相关联的数据传递目的地(例如，应用服务器)918。

根据一些方面，如所提及的，该方法可以包括从该设备获取对无线电资源的请求，其中对无线电资源的请求可以包括该请求是针对无连接数据传递的指示。根据一些方面，该方法可以包括从应用服务提供商列表中标识该数据传递目的地(例如，应用服务器)。

根据一些方面，基于该安全信息集授权该设备接入该网络。

根据一些方面，该网络服务被用于将该数据从该网络节点传递到与该实体相关联的应用服务器。

根据一些方面，允许该网络节点授权无连接的数据传递到与在置备给该网络的应用服务提供商列表中所标识的应用服务提供商相关联的设备。

根据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))或核心网节点。根据一些方面，该核心网节点可以是核心网用户面节点。

根据一些方面，该安全信息集是由该实体签名的证书、(与该设备公钥相关联的)设备标识符、设备公钥、设备公钥标识符或其任何组合中的至少一者。

根据一些方面，在消息中获取该安全信息集，该消息的内容被禁止传递到该实体，除非该网络节点基于该安全信息集来验证该消息。

根据一些方面，该网络节点可以是接入节点，并且该方法可以进一步包括在该接入节点和核心网中的用户面网关之间没有建立连接的情况下实现无连接数据传递。

根据一些方面，该方法可以进一步包括：获取由移动网络运营商签名的网络证书，获取来自该设备的设备一次性数(dnonce)以用于下行链路话务，获取下行链路话务中的分组数据单元(pdu)，使用网络节点私钥对包括dnonce和pdu的消息进行签名以获取用于保护该pdu的签名，并将pdu、该签名和该网络证书发送到该设备。

根据一些方面，该设备可能未经由该网络节点注册到该网络，这意味着该网络不具有设备上下文。如本文中所使用的，当设备未注册到网络时，因为该网络中没有设备上下文，所以它是“无连接的”。

根据一些方面，该设备可能没有对该网络的订阅。

据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))，并且该方法可以进一步包括在接入节点和核心网中的用户面网关之间没有建立数据流的情况下使用无连接数据传输来实现数据传输。

根据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))，并且该方法可以进一步包括在该设备和核心网之间没有执行认证和密钥协商(aka)规程的情况下获取该数据和签名。

根据一些方面，该实体可以是应用服务提供商，并且该方法可以进一步包括通过例如从包括在该数据中的应用服务提供商标识符中标识该实体来将该数据发送到该实体的应用服务器。

图10a和10b是解说根据本公开的各方面的使用无连接数据传递的数据传递的示例的呼叫流图1000。呼叫流图1000在两张图纸之间被划分以改善可读性。在每张图纸上标记为a、b、c、d和e的相应的连接器将图10a和10b的两张图纸结合在一起。图10a和10b的呼叫流图1000可以代表如下场景，其中未建立核心网状态并且在接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))和核心网节点之间不需要用于数据传递的信令。图10a和10b的示例还可以被描述为解说根据本公开的各方面的网络节点使用公钥凭证对设备进行认证并为其建立上下文的示例性规程的呼叫流图1000。在图10a和10b的示例性呼叫流中，包括了设备1002(例如，无线设备、蜂窝设备、ue、ciot设备)、在此称为网络节点1004的网络节点(例如，an节点或核心网节点)、公钥存储库节点1006、核心网用户面节点(在此称为up-cn1008)(例如，p-gw)和应用服务器节点(在此称为as1010)。

图10a和10b的示例性呼叫流可以始于向设备1002置备安全信息集1020(例如，设备标识符、公钥-私钥对、证书/由实体签名的证书和/或可接入网络的列表)。在一个方面，可以在置备之后部署设备1002。

可以向设备1002置备唯一性地标识该设备的设备标识符(下文中称为设备id)1022。根据一个方面，该设备id可以是该设备公钥的散列。相应地，该设备id可以与设备公钥相关联。

可以向设备1002置备由(pkdev,skdev)标示的公钥-私钥对1024。设备私钥(skdev)可以保持在该设备的安全存储器中。作为示例，设备公钥(pkdev)和设备私钥(skdev)可以由置备实体来置备。置备实体的示例可以包括移动网络运营商(mno)、服务提供商、应用服务提供商(asp)和/或内容提供商。

可以向设备1002置备证书或由实体签名的证书1026。该证书或该由实体签名的证书可以包括设备公钥。该实体签名的证书的替换方案包括设备id、原始设备公钥、或设备公钥标识符。该实体可以向设备1002提供服务(例如，由电力仪表监控的电力递送、健康监视、新闻递送)或者从设备1002收集数据(例如，健康数据、家庭/建筑物安防)。设备1002的示例可以包括传感器设备。传感器设备的示例可以包括功率计、可穿戴健康监视器(例如，用于血压、心率、运动监测、和用于其他生理参数的监视器)、体重秤、静止/视频摄像机、安全监视器(例如，诸如建筑物入口检测器、火/烟/水检测器)、电器监视器(例如，诸如冰箱/冰柜监视器)、声音监视器/麦克风/扬声器(例如，诸如用于与本地或远程信息服务提供商进行交互式音频交换)。

根据一个方面，该实体可以是应用服务提供商(asp)。该实体可以是置备实体或不同实体。该实体可以具有实体公钥-私钥对。根据实体是asp的示例性方面，该asp可以具有asp公钥(pkas)和asp私钥(skas)。如本领域技术人员所领会的，证书可以包括不同的数据，其可以包括设备公钥(pkdev)。该证书可以使用实体私钥来签名。根据实体是asp的示例性方面，证书可以使用asp私钥(skas)来签名。相应地，由该实体签名的证书可以是包括使用asp私钥(skas)签名的设备公钥(pkdev)的证书。根据一个方面，由该实体签名的证书可以仅包括设备公钥(pkdev)。

该证书的第一替换方案可以是设备公钥(pkdev)本身(例如，没有附加数据)。这可以被称为原始公钥(例如，原始设备公钥)。根据第一替换方案，使用该实体私钥签名的证书可以由原始设备公钥替换。设备公钥由与设备公钥相关联的asp在网络上置备(即，asp将设备公钥置备到网络)，以便在由该设备将该设备公钥呈现给该网络时该网络能够验证该设备公钥。

该证书的第二替换方案可以是公钥标识符(pkid)。pkid可以是用于唯一性地标识诸如设备公钥的公钥的标识符。通过使用pkid，公钥(其由pkid所标识)不需要被包含在消息中。这降低了消息大小开销。在许多方面，这显著降低了消息大小开销，因为设备公钥可能是冗长的。根据第二替换方案，使用实体私钥签名的证书可以由设备公钥标识符(设备pkid)替换，并且该设备公钥标识符和相应的设备公钥由与设备公钥相关联的asp置备到该网络(即，asp置备设备pkid和设备公钥到该网络)，以便当该设备将该设备pkid呈现给该网络时，该网络能够验证该设备公钥。

还可以向该设备置备网络信息1028。该网络信息可以包括网络集的标识。可以使用相应的网络标识符(例如，公共陆地移动网络标识符(plmnid)或服务集标识符(ssid))来标识该网络集中的网络。在该网络集中标识的网络可以包括设备1002能够使用如本文所描述的无连接数据传递通过其接入asp服务的那些网络(例如，设备1002能够通过其向/从作为asp服务的宿主的应用服务器(例如，as1010)发送/获取(例如，传送/接收)数据的网络)。设备1002能够通过其使用无连接数据传输来接入asp服务的网络在本文中可以被称为可接入网络。该可接入网络集中的每个网络可以具有网络公钥(pknet)和相应的网络私钥(sknet)。

相应地，网络信息1028可以包括可接入网络的列表，其中每个可接入网络可以由网络标识符和/或关联的公钥(pknet)(或网络证书、或网络公钥id)来标识。

根据一个方面，可以向该网络置备应用服务提供商(asp)(以及相应的asp证书)的列表，网络节点1004被允许对列表的设备进行认证并且被允许使用无连接数据传递来授权数据传递。设备1002和网络节点1004可以在附连规程期间基于证书(例如，基于设备证书(包括pkdev)和网络证书(包括pknet))相互认证。

根据一个方面，设备1002可以发送认证和上下文cookie请求(即，对认证和上下文cookie两者的请求)1030。该认证和上下文cookie请求可以包括(或随之一起发送)设备id和/或设备证书(包括pkdev)(或pkdev(即原始pkdev)或设备pkid)、一次性数(dnonce)和设备签名。

根据一个方面，网络节点1004验证设备证书(或pkdev(即，原始pkdev)或对应于设备pkid的pkdev)并验证该设备签名1032、1034。该网络节点还可以标识与该设备证书相关联(或与pkdev相关联)的应用服务器(as)。如果该验证成功，则网络节点1004可以获取(例如，导出、生成、创建、计算)会话主密钥(例如，k_asme)并且可以使用设备公钥(pkdev)加密该会话主密钥。如本文所使用的，会话主密钥可以被称为认证会话的锚密钥或主密钥。网络节点1004还可以使用会话主密钥和网络节点一次性数(nnonce)来获取(例如，导出、生成、创建、计算)预期响应(xres)。网络节点1004还可以通过enc(会话主密钥)、nnonce和dnonce来获取(例如，导出、生成、创建、计算)网络节点签名1036。网络节点1004可以随后向设备1002发送经加密会话主密钥(enc(会话主密钥))、网络节点证书(包括pknet)(或pknet(即，原始pknet)或网络节点pkid)、网络节点一次性数(nnonce)和网络节点签名1038。

根据一些实现，设备1002可以验证该网络证书(例如，验证pknet)并验证该网络节点签名。如果该验证成功，则该设备可以解密该会话主密钥并使用该会话主密钥和nnonce来获取(例如，导出、生成、创建、计算)该认证响应(res)。设备1002还可以使用该会话主密钥来获取(例如，导出、生成、创建、计算)控制面和用户面密钥(k_cp、k_up)1040。

根据一些方面，设备1002可以随后向网络节点1004发送认证响应(res)1042。

根据一些方面，网络节点1004可以通过例如将res与xres进行比较来验证该认证响应(res)。如果验证成功，则网络节点1004还可以使用会话主密钥来获取(例如，导出、生成、创建、计算)控制面和用户面密钥(k_cp、k_up)；并且如果验证成功，则网络节点1004可以获取(例如，导出、生成、创建、计算)用于小数据传递的上下文cookie1044。上下文cookie可以基于在认证过程期间生成的设备上下文(例如，安全上下文和/或服务上下文)。

根据一些方面，网络节点1004可以向设备1002发送上下文cookie1046。上下文cookie可以包括基于设备证书和作为认证结果而获取的会话主密钥(和/或控制面和用户面密钥)来标识的关联应用服务器(as)的信息。可以使用仅为该网络节点所知的密钥来加密上下文cookie。因此，该上下文cookie只能由该网络节点来解密和验证。此后，网络节点1004可以移除设备上下文1048。相应地，此后，在网络节点1004和核心网之间的设备上下文不再存在。

在从该核心网移除该设备上下文(在1048处)之后，该设备可以获取用于在上行链路话务中传输的pdu。设备1002可以使用k_up来保护pdu1050。该设备可以用上下文cookie向网络节点1004发送受保护的pdu1052。

根据一些方面，网络节点1004可以验证上下文cookie并验证受保护的pdu1054。如果验证成功，则网络节点1004可以经由up-cn1008将pdu转发到关联的as1010(1056、1058)。

根据一些实现，网络节点1004可以从该上下文cookie中标识关联的as1010。

根据一些实现，网络节点1004可以被配置成如何将pdu转发到特定的as。

在下行链路话务中，pdu可以经由up-cn1008从as1010转发到网络节点1004(1060、1062)。网络节点1004可以使用k_up来保护pdu1064。网络节点1004可以向设备1002发送受保护的pdu1066。设备1002可以使用k_up来验证受保护的pdu1068。

根据一些方面，对于从as1010到设备1002的下行链路数据传递，例如，响应于设备1002始发的数据传递(例如，移动台始发(mo)的数据传递)，网络节点1004(例如，接入网络(an)节点/核心网节点)可以在设备1002上行链路小数据传递期间保持建立的rrc连接状态(例如，c-rnti和无线承载)达预定义的时间段。

可以基于在网络节点1004处所维护的临时状态将诸如设备1002终接的小数据(例如，移动台终接(mt)的小数据)的下行链路话务发送到设备1002。

在一些实现中，在设备1002始发的小数据pdu中，设备1002可以包括服务区域id以将设备1002的位置注册到as1010。经注册的服务区域id可以由as1010使用，例如，用于as1010发起的(即，服务器发起的)设备终接的数据传递。当设备1002移动到不同的服务区域时，设备1002可以通过将包括新服务区域id的pdu(例如，虚设pdu)发送到as1010来注册其新服务区域。在一些方面，发送到as1010的pdu(例如，虚设pdu)仅包括新服务区域id。

在一些方面，为了防止设备1002和as1010保持交换高容量pdu的情况，网络节点1004(例如，an/核心网节点)可以跟踪(例如，监视、记录)设备1002和as1010之间的用于小数据传递会话的聚集数据传递量。如果聚集数据传递量达到预定义阈值，则网络节点1004可决定拒绝要发送设备1002始发(例如，mo)的pdu的设备请求和/或响应于设备1002发送设备始发的pdu而要发送设备1002终接(例如，mt)的pdu的as1010请求。

否则，设备1002可能正通过使用无连接小数据服务来做一些其他服务。换而言之，无连接数据传递可以被用于设备1002和as1010之间的其他数据交换(例如，用于除小数据传递之外的其它服务)。

图11是解说根据本公开的各方面的使用无连接数据传递的数据传递方法的示例的流程图1100。图11的示例性流程图可以代表如下场景，其中未建立核心网状态并且在接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))和核心网节点之间不需要用于数据传输的信令。图11的示例还可以被描述为解说根据本公开的各方面的示例性规程的流程图，其中由网络节点使用公钥证书来认证设备并且建立其上下文。数据传输方法1100的方法可以由处理电路(例如，图6的处理电路610)执行，该处理电路可以位于设备或其他一些合适的装备中。相应地，数据传输方法1100可以在设备或一些其他合适的装备处操作。在本公开范围内的各个方面中，根据本公开的一个或多个方面，数据传递方法1100可以由能够在未建立核心网状态的场景中(例如，在数据传递期间)支持无连接数据传递的任何合适的装备来实现，包括支持通信、确定、置备、发送、选择、或获取各种内容中一者或多者。

根据一些方面，在未建立核心网状态的情况下使用无连接数据传递的数据传递方法1100可以被描述为在设备处操作的方法，并且可以包括例如选择该设备通过其被授权接入实体服务的网络1102。可以从网络列表中选择该网络。向网络节点发送用于相互认证的请求，该请求包括由该实体签名的证书1104。与该网络节点执行相互认证1106。获取会话主密钥，其中如果该设备被认证到该网络并且被授权接入该网络的服务以经由该网络节点将数据传递到该实体，则可以获取该会话主密钥1108。该服务可以是例如与该网络相关联的传输服务。数据传递方法1100可以包括使用该会话主密钥来获取用户面密钥(k_up)1110。根据一个替换方案，数据传递方法1100可以可任选地包括使用该会话主密钥来获取用户面密钥(k_up)和/或控制面密钥(k_cp)1111。数据传递方法1100可以进一步包括获取上下文cookie，其中上下文cookie可以基于由该网络节点生成的设备上下文，且不是维护在该网络节点的状态表中1112。数据传递方法1100可以进一步包括使用k_up来保护pdu1114。根据该替换方案，数据传递方法1100可以可任选地包括使用k_up和/或k_cp来保护pdu1115。数据传递方法1100可以进一步包括在没有预先建立的到该网络的连接的情况下将具有上下文cookie的受保护pdu发送到该网络节点1116。

根据一些实现，可以在相互认证期间获取该会话主密钥和上下文cookie。该设备上下文可以由网络节点基于该认证来生成，并且可以在相互认证期间被生成。

根据一些实现，该方法可以进一步包括使用该会话主密钥来获取控制面密钥(k_cp)，以及使用k_up和/或k_cp来保护pdu。

根据一些实现，与该网络相关联的服务可以用于将受保护的pdu从该网络节点发送到该实体。

根据一些实现，该会话主密钥可以由该网络使用设备公钥来加密，并且该方法进一步包括由该设备使用设备私钥来解密该会话主密钥。

根据一些方面，该设备可能未经由该网络节点附连到该网络。

根据一些方面，该设备可能没有对该网络的订阅。

根据一些方面，该实体可以是应用服务提供商(asp)。

根据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))或核心网节点。根据一些方面，该核心网节点可以是核心网用户面节点。

根据一些方面，该证书可以包括设备公钥。

根据一些方面，该证书可以由设备标识符、设备公钥和/或设备公钥标识符来替代。

根据一些方面，上下文cookie可以包括与该设备相关联的实体的应用服务器的标识符，并且可以表示设备对该网络的认证以及给予该设备以接入与该网络相关联的服务的授权从而在没有预先建立的到该网络的连接的情况下将数据传递到该实体的应用服务器。在一些方面，该服务可以是传输服务。

根据一些方面，该方法可以进一步包括在下行链路话务中获取分组数据单元(pdu)，其中使用k_up来保护pdu，并使用k_up来验证pdu。

图12是解说根据本公开的各方面的使用无连接数据传输的数据传输方法的另一示例的流程图1200。图12的示例性流程图可以代表如下场景，其中未建立核心网状态并且在接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))和核心网节点之间不需要用于数据传输的信令。图12的示例还可以被描述为解说根据本公开的各方面的网络节点使用公钥凭证对设备进行认证并为其建立上下文的示例性规程的流程图。数据传递方法1200可以由处理电路(例如，图8的处理电路810)执行，该处理电路可以位于网络节点(例如，an/核心网节点、ran)或其他一些合适的装备中。相应地，数据传递方法1200可以在网络节点或一些其他合适的装备处操作。在本公开范围内的各个方面中，根据本公开的一个或多个方面，数据传递方法1200可以由能够在未建立核心网状态的场景中(例如，在数据传递期间)支持无连接数据传递的任何合适的装备来实现，包括支持通信、确定、置备、发送、选择、或获取各种内容中一者或多者。

根据一些方面，在未建立核心网状态的情况下使用无连接数据传递的数据传递方法1200可以被描述为在设备处操作的方法，并且可以包括例如从设备获取对上下文cookie以及对相互认证的请求，该请求包括由实体签名的证书1202。如果该证书被成功验证，则获取并加密会话主密钥以产生经加密的会话主密钥1204。标识与该实体相关联的应用服务器，其中该网络节点被允许认证并被允许使用上下文cookie经由网络授权到该应用服务器的数据传递1206。作为认证质询将经加密的会话主密钥、由该网络的移动网络运营商签名的网络证书、网络节点一次性数(nnonce)以及该网络节点的签名发送到该设备1208。响应于该认证质询，获取来自该设备的认证响应(res)1210。如果该认证响应等于预期的认证响应，则获取设备上下文、基于该设备上下文的上下文cookie，以及基于该会话主密钥的k_up(或可任选地k_up和/或k_cp)1212。该方法进一步可以包括将该上下文cookie发送到该设备1214。该方法可以进一步包括从该网络节点移除该设备上下文，其中该设备上下文不被维护在该网络节点的状态表中1216。该方法可以包括由该网络节点在来自该设备的上行链路话务中获取上下文cookie和由k_up保护的(或者可任选地由k_up和/或k_cp保护的)分组数据单元(pdu)1218。该方法进一步包括：如果上下文cookie和pdu被成功验证，则在没有预先建立的到该网络的连接的情况下经由该网络将pdu发送到该应用服务器1220。

根据一些方面，该方法可以进一步包括：如果该认证响应等于预期的认证响应，则基于该会话主密钥获取用户面密钥(k_up)和/或控制面密钥(k_cp)，并且在来自该设备的上行链路话务中获取由k_up和/或k_cp保护的上下文cookie和分组数据单元(pdu)。

根据一些方面，可以使用设备证书中包括的设备公钥来加密会话主密钥。

根据一些方面，该设备可能未经由该网络节点附连到该网络。

根据一些方面，该设备可能没有对该网络的订阅。

根据一些方面，如果来自该设备的上行链路话务不是pdu的形式，则该方法进一步包括将上行链路话务封装为pdu中的网际协议(ip)数据。

根据一些方面，该实体可以是应用服务提供商(asp)。

根据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))或核心网节点。根据一些方面，该核心网节点可以是核心网用户面节点。

根据一些方面，该证书包括设备公钥。

根据一些方面，该证书可以由设备标识符、设备公钥和/或设备公钥标识符来替代。

根据一些方面，该证书可以在消息中发送，该消息的内容在没有验证的情况下被禁止传递给该实体。

根据一些方面，该方法可以进一步包括存储网络节点公钥和网络节点私钥、存储由该移动网络运营商签名的证书、和/或存储应用服务提供商的列表，该应用服务提供商的设备允许由该网络节点认证和使用上下文cookie经由该网络授权数据传递到关联的应用程序服务器。

根据一些方面，对于该列表上的每个应用服务提供商(asp)，该列表包括asp标识符以及asp证书、asp公钥、asp公钥标识符或其任何组合中的至少一者。

根据一些方面，该列表可以从移动网络运营商获取，并且可以基于移动网络运营商和该实体之间的服务级协商。

据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))，并且该方法可以进一步包括在接入节点和核心网中的用户面网关之间没有建立承载(例如，数据流)的情况下使用上下文cookie来实现数据传递。

根据一些方面，该网络节点可以是接入节点(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))，并且该方法可以进一步包括在该设备和核心网之间没有执行认证和密钥协商(aka)规程的情况下获取该pdu和上下文cookie。

根据一些方面，该方法可以进一步包括获取关于如何和/或在何处转发和/或处理从该设备获取的pdu的信息。

根据一些方面，该实体可以是应用服务提供商，并且该方法可以进一步包括通过从包括在该pdu中的应用服务提供商标识符、设备公钥或者pdu和该设备公钥中标识该实体来将该pdu发送到该实体的应用服务器。

根据一些方面，如果上行链路话务不是pdu形式，则该方法可以进一步包括代表该设备将上行链路话务转换为网际协议(ip)分组，并将pdu中的ip分组发送到应用服务器。

根据一些方面，该方法可以进一步包括在下行链路话务中获取分组数据单元(pdu)、使用k_up来保护pdu，以及将受保护的pdu发送到该设备。

图13是根据本公开的各方面的用户面协议栈1300的解说。用户面协议栈1300表示设备1302具有ip栈1316的情况。图13解说了用于设备1302、网络节点1304(例如，接入网络(an)节点、ran节点)、用户面网关(up-gw)1306(例如，用户面核心网(up-cn)节点)和应用服务器(as)1308(例如，作为应用服务提供商(asp)的应用的宿主)的用户面协议栈的各部分。设备1302的用户面协议栈包括与网络节点1304的用户面协议栈中的sdtp层1312相对应的小数据传递协议(sdtp)层1310。根据一些方面，sdtp层1310、1312可以用于例如添加和/或验证设备1302和/或网络节点1304的签名。还解说了使用用户数据报协议/网际协议(udp/ip)用于在网络节点1304和up-gw1306之间的数据传递的可任选隧道1314。

图14是根据本公开的各方面的另一用户面协议栈1400的解说。用户面协议栈1400表示设备1402没有ip栈的情况。图14解说了用于设备1402、网络节点1404(例如，接入网络(an)节点、ran节点)、用户面网关(up-gw)1406(例如，用户面核心网(up-cn)节点)和应用服务器(as)1408(例如，作为应用服务提供商(asp)的应用的宿主)的用户面协议栈的各部分。设备1402的用户面协议栈包括与网络节点1404的用户面协议栈中的sdtp层1412相对应的小数据传递协议(sdtp)层1410。根据一些方面，sdtp层1410、1412可以用于例如添加和/或验证设备1402和/或网络节点1404的签名。在示例性用户面协议栈1400中，设备1402不包括ip栈并向网络节点1404提供不是ip分组形式的数据。相应地，网络节点1404(例如，接入网络(an)节点、ran节点)的ip栈1416可以代表该设备将上行链路话务转换为网际协议(ip)分组。可以将ip分组封装到pdu中以便传输到应用服务器1408。还解说了使用udp/ip在网络节点1404和up-gw1406之间用于数据传递的可任选隧道1414。

图15是包括可出现在本公开的各方面的无线电接入网络接入节点1502(例如，蜂窝物联网(ciot)基站(c-bs)、演进型b节点(enodeb))和多个通信实体的无线通信网络1500的一部分的示意解说。如本文所描述的，蜂窝设备、ciot设备、lte无线蜂窝设备、和/或机器类型通信无线蜂窝设备可以驻留在设备中或者是设备的一部分，其中该设备可以是例如iot设备1504、智能警报器1506、远程传感器1508、智能电话1510、移动电话1512、智能仪表1514、个人数字助理(pda)1516、个人计算机1518、网状节点1520、和/或平板计算机1522。根据本文描述的一些方面，该设备可以在未建立核心网状态且该数据传递不需要接入节点1502和核心网节点之间的信令的场景中经由网络节点(例如，接入节点1502或核心网节点(未示出))将数据传递到与实体(例如，应用服务提供商)相关联的应用服务器(未示出)。相应地，本文描述的各方面可以使设备(例如，iot设备1504、智能警报1506、远程传感器1508、智能电话1510、移动电话1512、智能电表1514、个人数字助理(pda)1516、个人计算机1518、网格节点1520和/或平板计算机1522)能够与服务通信而无需注册到网络。当然，所解说的设备和组件是示例，并且任何合适的节点或设备可出现在本公开的范围内的无线通信网络内。提供这些示例是用于解说本公开的某些概念。本领域普通技术人员将领会，这些示例在本质上是示例性的，且其他示例可落在本公开和所附权利要求的范围内。

附加主题内容摘要

根据一实现，本公开可以提供一种可以包括通信接口和耦合至该通信接口的处理电路的设备，其中该处理电路可以被配置成例如选择通过其授权该设备接入与实体关联的服务的网络。该处理电路可以进一步配置成：如果该网络节点支持无连接数据传递(例如，使用基于证书的认证)，则向网络节点发送由该实体签名的证书。响应于发送该证书，该设备的处理电路可以获取随机数，其中如果该设备被成功认证到该网络并且被授权接入与该网络相关联的服务，则获取该随机数。根据一个方面，该设备的处理电路可以通过用设备私钥对包括该随机数和要传递的数据的消息进行签名来获取签名，其中该设备私钥与该证书相关联。在一些方面，该处理电路和/或通信接口可以被进一步配置成在没有预先建立的到该网络的连接的情况下将该数据和签名发送到该网络节点以经由该网络节点传递该数据。

根据一些方面，本公开可以提供一种在设备处操作的数据传递方法。该方法可以包括选择网络，该设备通过其被授权接入与实体相关联的服务。该方法可以进一步包括：如果该网络节点支持无连接数据传递(例如，使用基于证书的认证)，则向网络节点发送由该实体签名的证书。在一些方面，该方法可以进一步包括响应于发送该证书而获取随机数，其中如果该设备被成功认证到该网络并且被授权接入与该网络相关联的服务，则获取该随机数。该方法还可以进一步包括通过用设备私钥对包括该随机数和要传递的数据的消息进行签名来获取签名，其中该设备私钥与该证书相关联。在一些方面，该方法还可以进一步包括将该数据和该签名发送到网络节点以在没有预先建立的到该网络的连接的情况下经由该网络节点来传递该数据。

在一些方面，本公开可以提供一种设备，其包括用于经由网络进行通信的装置。各方面可以进一步包括用于选择该网络的装置，通过其授权该设备接入与实体相关联的服务。本公开的各方面还可以进一步包括：用于如果网络节点支持无连接数据传递(例如，使用基于证书的认证)则向该网络节点发送由该实体签名的证书的装置，以及用于响应于发该送证书获取随机数的装置(其中如果该设备被成功认证到该网络并被授权接入与该网络相关联的服务，则获取该随机数)。用于获取随机数的装置可以包括本领域技术人员已知的任何随机数生成器电路。可以以本领域技术人员已知的任何方式生成随机数。根据一些实现，本公开还可以进一步提供用于在该设备处通过用设备私钥对包括该随机数和要传递的数据的消息进行签名来获取签名的装置，其中该设备私钥与证书相关联。根据一些方面，用于通信的装置和/或另一装置可以被配置成在没有预先建立的到该网络的连接的情况下将该数据和签名发送到该网络节点以经由该网络节点传递该数据。

根据一些方面，本公开可以提供存储用于无线通信的计算机可执行代码的非瞬态计算机可读介质，包括用于选择网络的代码，通过其授权该设备接入与实体相关联的服务。该代码可以包括如果该网络节点支持无连接数据传递(例如，使用基于证书的认证)则向网络节点发送由该实体签名证书并响应于发送该证书而获取随机数的代码，其中，如果该设备被成功认证到该网络并被授权接入与该网络相关联的服务，则获取该随机数。在一些实现中，本公开可以进一步在存储计算机可执行代码的非瞬态计算机可读介质中或通过其提供通过用设备私钥对包括随机数和要传递的数据的消息进行签名来获取签名的代码，其中该设备私钥与该证书相关联，以及用于将该数据和签名发送到网络节点以在没有预先建立的到该网络连接的情况下经由该网络节点传递该数据的代码。

在一些方面，本公开可以提供一种设备，包括通信接口和耦合至该通信接口的处理电路。在一些方面，该处理电路可以被配置成选择该设备通过其被授权接入实体的服务的网络。该处理电路可以附加地被配置成向网络节点发送相互认证的请求，该请求包括由该实体签名的证书。在一些实现中，该处理电路可以被进一步配置成与该网络节点执行相互认证，并且可以获取会话主密钥，其中如果该设备被认证到该网络并且被授权接入与该网络相关联的服务，则获取该会话主密钥。在一些方面，该处理电路可以使用该会话主密钥获取用户面密钥(k_up)。该处理电路可以从网络节点获取上下文cookie，其中该上下文cookie基于由该网络节点生成的设备上下文，而不是维护在该网络节点的状态表中。根据一些方面，该处理电路可以被进一步配置成使用k_up保护pdu，并且在没有预先建立的到网络的连接的情况下将具有上下文cookie的受保护pdu发送到该网络节点。

根据一些实现，本公开可以提供一种在设备处操作的数据传递方法。该方法可以包括：选择该设备通过其被授权接入实体的服务的网络；向网络节点发送相互认证的请求，该请求包括由该实体签名的证书；与该网络节点执行相互认证；获取会话主密钥，其中如果该设备被认证到该网络并被授权接入与网络相关联的服务，则获取该会话主密钥；使用该会话主密钥获取用户面密钥(k_up)；获取上下文cookie，其中该上下文cookie基于由该网络节点生成的设备上下文而不是在该网络节点的状态表中维护；使用k_up保护pdu；以及将带有上下文cookie的受保护pdu在没有预先建立的到该网络的连接的情况下发送到该网络节点。

在一些方面，本公开可以提供一种设备，包括：用于经由网络进行通信的装置，用于选择通过其授权该设备接入实体的服务的网络的装置，用于向网络节点发送相互认证的请求的装置，该请求包括由该实体签名的证书，用于与该网络节点进行相互认证的装置，用于获取会话主密钥的装置，其中如果该设备被认证到该网络并被授权接入与该网络相关的服务，则获取该会话主密钥，用于使用该会话主密钥获取用户面密钥(k_up)的装置，用于获取上下文cookie的装置，其中该上下文cookie基于由该网络节点生成的设备上下文而不是维持在该网络节点的状态表中，用于使用k_up保护pdu的装置，以及用于在没有预先建立的到该网络的连接的情况下将具有上下文cookie的受保护的pdu发送到该网络节点的装置。在本公开的一些方面，用于向网络节点发送相互认证请求的装置可以使用通信接口来实现，并且更具体地，可以使用发射机(诸如图6中所示和所述的发射机614)来实现。在一些方面，用于与该网络节点执行相互认证的装置、用于获取会话主密钥的装置、用于使用该会话主密钥获取用户面密钥(k_up)的装置、用于获取上下文cookie的装置和/或用于使用k_up保护pdu的装置可以使用处理电路(诸如图6中所示和所述的处理电路610)来实现。在本公开的一些方面，用于在没有预先建立的到该网络的连接的情况下将具有上下文cookie的受保护pdu发送到该网络节点的装置可以使用通信接口来实现，并且更具体地可以使用发射机来实现(诸如图6中所示和所述的发射机614)。

在还有其他方面，本公开可以提供存储用于无线通信的计算机可执行代码的非瞬态计算机可读介质，该代码包括用于以下操作的代码：选择该设备通过其被授权接入实体的服务的网络；向网络节点发送相互认证的请求，该请求包括由该实体签名的证书；与该网络节点执行相互认证；获取会话主密钥，其中如果该设备被认证到该网络并且被授权接入与该网络相关联的服务，则获取该会话主密钥；使用该会话主密钥获取用户面密钥(k_up)；获取上下文cookie，其中该上下文cookie基于由该网络节点生成的设备上下文而不是在该网络节点的状态表中进行维护；使用k_up保护pdu；以及在没有预先建立的到该网络的连接的情况下将带有上下文cookie的受保护的pdu发送到该网络节点。

根据一些方面，本公开可以提供包括通信接口和耦合至该通信接口的处理电路的网络节点。根据一些实现，该处理电路可以被配置成：从设备获取对上下文cookie和对相互认证的请求，该请求包括由实体签名的设备证书；获取并加密会话主密钥以产生经加密的会话主密钥；如果该设备证书被成功验证，则标识与该实体相关联的应用服务器，其中该网络节点被允许进行认证并被允许使用上下文cookie授权经由网络向该应用服务器进行数据传递；作为认证质询，将经加密的会话主密钥、由该网络的移动网络运营商签名的网络证书、网络节点一次性数(nnonce)和该网络节点的签名发送到该设备；并且响应于该认证质询从该设备获取认证响应(res)。根据一些方面，该处理电路可以被进一步配置成：如果该认证响应等于预期的认证响应，则获取：设备上下文、基于该设备上下文的上下文cookie，以及基于该会话主密钥的用户面密钥(k_up)。根据一些方面，该处理电路可以被进一步配置成将该上下文cookie发送到该设备并从该网络节点移除该设备上下文，其中该设备上下文不被维护在该网络节点的状态表中。根据一些方面，该处理电路可以被进一步配置成在来自该设备的上行链路话务中获取上下文cookie和由k_up保护的分组数据单元(pdu)，并且如果该上下文cookie和pdu被成功验证则在没有预先建立的到该网络连接的情况下经由该网络发送pdu到该应用服务器。

在一些实现中，本公开可以提供在网络节点处操作的数据传递数据的方法，包括：从设备获取对上下文cookie和对相互认证的请求，该请求包括由实体签名的设备证书；获取并加密会话主密钥以产生经加密的会话主密钥；如果该设备证书被成功验证，则标识与该实体相关联的应用服务器，其中该网络节点被允许进行认证并被允许使用上下文cookie经由网络授权数据传递到该应用服务器；作为认证质询，将经加密的会话主密钥、由该网络的移动网络运营商签名的网络证书、网络节点一次性数(nnonce)和该网络节点的签名发送到该设备；响应于该认证质询从该设备获取认证响应(res)；如果该认证响应等于预期的认证响应，则获取设备上下文、基于该设备上下文的上下文cookie以及基于该会话主密钥的用户面密钥(k_up)。该方法可以进一步包括将该上下文cookie发送到该设备并从该网络节点移除该设备上下文，其中该设备上下文不被维护在该网络节点的状态表中。在一些方面，该方法可以进一步包括在来自该设备的上行链路话务中获取上下文cookie和由k_up保护的分组数据单元(pdu)，并且如果该上下文cookie和pdu被成功验证则在没有预先建立的到该网络连接的情况下经由该网络发送pdu到该应用服务器。

根据一些方面，本公开可以提供网络节点，包括：用于经由网络进行通信的装置，用于从设备获取对上下文cookie和相互认证的请求的装置，该请求包括由实体签名的设备证书，用于获取和加密会话主密钥以产生经加密的会话主密钥的装置，用于如果该设备证书被成功验证则标识与该实体相关联的应用服务器的装置，其中该网络节点被允许认证和被允许使用上下文cookie授权经由网络数据传递到该应用服务器；用于作为认证质询将经加密的会话主密钥、由该网络的移动网络运营商签名的网络证书、网络节点一次性数(nnonce)和该网络节点的签名发送到该设备的装置，以及响应于该认证质询从该设备获取认证响应(res)的装置。根据一些实现，该网络节点还可以包括：如果该认证响应等于预期的认证响应则获取：设备上下文、基于该设备上下文的上下文cookie，以及基于该会话主密钥的用户面密钥(k_up)的装置。根据一些方面，该网络节点可以进一步包括：用于向该设备发送上下文cookie的装置，用于从该网络节点移除该设备上下文的装置，其中该设备上下文不维持在该网络节点的状态表中，用于在来自该设备的上行链路话务中获取由k_up保护的上下文cookie和分组数据单元(pdu)的装置，以及用于如果该上下文cookie和pdu被成功验证则在没有预先建立的到该网络的连接的情况下经由该网络将该pdu发送到该应用服务器的装置。在本公开的一些方面，用于经由网络进行通信的装置可以使用处理电路来实现，并且更具体地可以使用用于通信的电路/模块(诸如用于如图8所示和所述的通信电路/模块820)来实现。用于从设备获取对上下文cookie和对相互认证的请求的装置、用于获取和加密会话主密钥以产生经加密的会话主密钥的装置、用于标识与该实体相关联的应用服务器的装置、用于作为认证质询来发送的装置，以及用于响应于该认证质询而获取的装置的示例可以使用处理电路(诸如图8中所示和所述的处理电路810)来实现。在本公开的一些方面，用于获取的装置可以使用用于获取的电路/模块(诸如图8中所示和所述的用于获取的电路/模块822)来实现。在本公开的一些方面，用于将上下文cookie发送到该设备的装置、用于从网络节点移除该设备上下文的装置、用于在来自该设备的上行链路话务中获取上下文cookie和受k_up保护的分组数据单元(pdu)的装置，以及用于发送的装置可以使用处理电路(诸如图8中所示和所述的处理电路810)来实现。

根据一些实现，本公开还可以提供存储用于无线通信的计算机可执行代码的非瞬态计算机可读介质，该代码包括用于执行上文所描述的所有方面的代码。

根据一实施例，本公开可以提供一种可以包括通信接口和耦合至该通信接口的处理电路的设备，其中该处理电路可以被配置成例如选择通过其授权该设备接入实体服务的网络；向网络节点发送用于相互认证的请求，该请求包括由该实体签名的证书；与该网络节点执行相互认证；获取会话主密钥，其中如果该设备被认证到该网络并且被授权接入与该网络相关联的服务，则获取该会话主密钥；使用该会话主密钥获取用户面密钥(k_up)；获取上下文cookie，其中该上下文cookie基于由该网络节点生成的设备上下文而不是在该网络节点的状态表中进行维护；使用k_up保护pdu；以及在没有预先建立的到该网络的连接的情况下将带有上下文cookie的受保护的pdu发送到该网络节点。

该处理电路可以被进一步配置成从网络列表中选择该网络。该服务可以是传输服务。可以在相互认证期间获取会话主密钥和上下文cookie。该处理电路可以被进一步配置成使用该会话主密钥获取控制面密钥(k_cp)，并使用k_up和/或k_cp来保护pdu。该网络的服务可被用于将受保护的pdu从该网络节点发送到该实体。会话主密钥可以由该网络节点使用设备公钥来加密，并且该处理电路可以被进一步配置成使用设备私钥来解密该会话主密钥。该设备可能未经由该网络节点附连到该网络。该设备可能没有对该网络的订阅。该实体可以是应用服务提供商(asp)。该网络节点可以是接入节点或核心网节点。该证书可以包括设备公钥。该证书可以由设备标识符、设备公钥和/或设备公钥标识符来替代。上下文cookie可以包括与该设备相关联的实体的应用服务器的标识符，并且可以表示该设备对该网络的认证以及给予该设备以接入该网络的传输服务的授权从而在没有预先建立的到该网络的连接的情况下将数据传递到该实体的应用服务器。该处理电路可以被进一步配置成在下行链路话务中获取分组数据单元(pdu)，其中使用k_up来保护pdu，并使用k_up来验证pdu。

据一些方面，本公开可以提供一种在设备处操作的数据传递方法。该方法可以包括：选择该设备通过其被授权接入实体的服务的网络，向网络节点发送相互认证的请求(该请求包括由该实体签名的证书)，与该网络节点执行相互认证，获取会话主密钥(其中如果该设备被认证到该网络并被授权接入与网络相关联的服务，则获取该会话主密钥)，使用该会话主密钥获取用户面密钥(k_up)，获取上下文cookie(其中该上下文cookie基于由该网络节点生成的设备上下文而不是在该网络节点的状态表中维护)，使用k_up保护pdu，以及将带有上下文cookie的受保护pdu在没有预先建立的到该网络的连接的情况下发送到该网络节点。

在一些实现中，该方法可以进一步包括从网络列表中选择该网络。该服务可以是传输服务。该方法可以进一步包括使用该会话主密钥来获取控制面密钥(k_cp)，以及使用k_up和/或k_cp来保护pdu。该会话主密钥可以由该网络节点使用设备公钥来加密，该方法进一步包括使用设备私钥来解密该会话主密钥。在一些实现中，该方法可以进一步包括在下行链路话务中获取分组数据单元(pdu)，其中使用k_up来保护pdu，并使用k_up来验证pdu。

根据一些方面，本公开可以提供一种设备，包括：用于经由网络进行通信的装置，用于选择通过其授权该设备接入实体的服务的网络的装置，用于向网络节点发送相互认证的请求的装置，该请求包括由该实体签名的证书，用于与该网络节点执行相互认证的装置，用于获取会话主密钥的装置，其中如果该设备被认证到该网络并被授权接入与该网络相关的服务，则获取该会话主密钥，用于使用该会话主密钥获取用户面密钥(k_up)的装置，用于获取上下文cookie的装置，其中该上下文cookie基于由该网络节点生成的设备上下文而不是维护在该网络节点的状态表中，用于使用k_up保护pdu的装置，以及用于在没有预先建立的到该网络的连接的情况下将具有上下文cookie的受保护的pdu发送到该网络节点的装置。在本公开的一些方面，用于经由网络进行通信的装置可以使用用于通信的电路/模块(诸如图6中所示和所述的用于通信的电路/模块620)来实现。在本公开的一些方面，用于选择该设备通过其被授权接入实体的服务的网络的装置可以使用处理电路(诸如图6中所示和所述的处理电路610)来实现。在本公开的一些方面，用于向网络节点发送相互认证请求的装置可以由发射机(诸如图6中所示和所述的发射机614)来实现。在一些方面，用于与该网络节点执行相互认证的装置、用于获取会话主密钥的装置、用于使用该会话主密钥获取用户面密钥(k_up)的装置、用于获取上下文cookie的装置和用于使用k_up保护pdu的装置可以由处理电路(诸如图6中所示和所述的处理电路610)来实现。在一些方面，用于在没有预先建立的到该网络的连接的情况下将具有上下文cookie的受保护pdu发送到网络节点的装置可以由发射机(诸如图6中所示和所述的发射机614)和/或用于发送的电路/模块(诸如图6中所示和所述的用于发送的电路/模块626)实现。

根据一些方面，本公开可以提供存储用于无线通信的计算机可执行代码的非瞬态计算机可读介质，该代码包括用于以下操作的代码：选择该设备通过其被授权接入实体服务的网络；向网络节点发送相互认证的请求，该请求包括由该实体签名的证书；与该网络节点执行相互认证；获取会话主密钥，其中如果该设备被认证到该网络并且被授权接入与该网络相关联的服务，则获取该会话主密钥；使用该会话主密钥获取用户面密钥(k_up)；获取上下文cookie，其中该上下文cookie基于由该网络节点生成的设备上下文而不是在该网络节点的状态表中进行维护；使用k_up保护pdu；以及在没有预先建立的到该网络的连接的情况下将带有上下文cookie的受保护的pdu发送到该网络节点。

根据一些方面，本公开可以提供网络节点，包括通信接口和耦合至该通信接口的处理电路，其中该处理电路可以被配置成从设备获取对上下文cookie和对相互认证的请求，该请求包括由实体签名的设备证书；获取和加密会话主密钥以产生经加密的会话主密钥；如果该设备证书被成功验证，则标识与该实体相关联的应用服务器，其中该网络节点被允许认证和被允许使用上下文cookie经由网络授权数据传递到该应用服务器；作为认证质询将经加密的会话主密钥、由该网络的移动网络运营商签名的网络证书、网络节点一次性数(nnonce)和该网络节点的签名发送到该设备，响应于该认证质询从该设备获取认证响应(res)；如果该认证响应等于预期的认证响应，则获取：设备上下文、基于该设备上下文的上下文cookie，以及基于该会话主密钥的用户面密钥(k_up)。该处理电路可以被进一步配置成：向该设备发送上下文cookie；从该网络节点移除该设备上下文，其中该设备上下文不维护在该网络节点的状态表中；在来自该设备的上行链路话务中获取由k_up保护的上下文cookie和分组数据单元(pdu)，以及如果该上下文cookie和pdu被成功验证则在没有预先建立的到该网络的连接的情况下经由该网络将该pdu发送到该应用服务器。

在一些实现中，该处理电路可以被进一步配置成：如果该认证响应等于预期的认证响应，则基于该会话主密钥获取用户面密钥(k_up)和/或控制面密钥(k_cp)，并且在来自该设备的上行链路话务中获取由k_up和/或k_cp保护的上下文cookie和分组数据单元(pdu)。可以使用设备证书中包括的设备公钥来加密该会话主密钥。在一些方面，该设备未经由该网络节点附连到该网络。在一些方面，该设备没有对该网络的订阅。在一些实现中，其中如果来自该设备的上行链路话务不是pdu的形式，则该处理电路可以被进一步配置成将上行链路话务封装为pdu中的网际协议(ip)数据。该实体可以是应用服务提供商(asp)。该网络节点可以是接入节点或核心网节点。该设备证书可以包括设备公钥。该设备证书可以由设备标识符、设备公钥和/或设备公钥标识符来替代。

在一些实现中，该设备证书可以在消息中发送，该消息的内容在没有验证的情况下被禁止传递给该实体。在一些实现中，该网络节点进一步包括存储器设备，该存储器设备存储网络节点公钥和网络节点私钥、由该移动网络运营商签名的网络证书、和应用服务提供商的列表，该应用服务提供商的设备允许由该网络节点认证并允许使用上下文cookie授权经由该网络数据传递到关联的应用程序服务器。对于列表上的每个应用服务提供商(asp)，该应用服务提供商列表可以包括asp标识符、asp证书、asp公钥和/或asp公钥标识符。该应用服务提供商列表可以从移动网络运营商获取，并且可以基于移动网络运营商和该实体之间的服务级协商。

在一些方面，该网络节点是接入节点，并且该处理电路被进一步配置成在核心网中的接入节点和用户面网关之间没有建立承载的情况下使用上下文cookie实现数据传递。在一些方面，该网络节点是接入节点，并且该处理电路被进一步配置成在不执行该设备与核心网之间的认证和密钥协商(aka)规程的情况下获取pdu和上下文cookie。该处理电路可以被进一步配置成获取关于如何和/或在何处转发和/或处理从设备获取的pdu的信息。在一些方面，该实体是应用服务提供商，并且该处理电路通过被进一步配置成从包括在pdu中的应用服务提供商标识符、设备公钥或者pdu和该设备公钥中标识该实体来将pdu发送到该实体的应用服务器。在一些方面，如果上行链路话务不是pdu形式，则该处理电路被进一步配置成代表该设备将上行链路话务转换为网际协议(ip)分组，并将pdu中的ip分组发送到该应用服务器。在一些方面，该处理电路被进一步配置成在下行链路话务中获取分组数据单元(pdu)、使用k_up来保护pdu，以及将受保护的pdu发送到该设备。

根据一些方面，本公开可以提供一种在网络节点处操作的数据传递方法。该数据传递的方法可以包括从设备获取对上下文cookie和对相互认证的请求，该请求包括由实体签名的设备证书；获取并加密会话主密钥以产生经加密的会话主密钥；如果该设备证书被成功验证，则标识与该实体相关联的应用服务器，其中该网络节点被允许进行认证并被允许使用上下文cookie授权经由网络数据传递到该应用服务器；作为认证质询，将经加密的会话主密钥、由该网络的移动网络运营商签名的网络证书、网络节点一次性数(nnonce)和该网络节点的签名发送到该设备，响应于该认证质询从该设备获取认证响应(res)，如果该认证响应等于预期的认证响应，则获取设备上下文、基于该设备上下文的上下文cookie以及基于该会话主密钥的用户面密钥(k_up)。该数据传递的方法可以进一步包括：向该设备发送上下文cookie；从该网络节点移除该设备上下文，其中该设备上下文不维护在该网络节点的状态表中；在来自该设备的上行链路话务中获取由k_up保护的上下文cookie和分组数据单元(pdu)；以及如果该上下文cookie和pdu被成功验证则在没有预先建立的到该网络的连接的情况下经由该网络将该pdu发送到该应用服务器。

该方法可以进一步包括：如果该认证响应等于预期的认证响应，则基于该会话主密钥获取用户面密钥(k_up)和/或控制面密钥(k_cp)，并且在来自该设备的上行链路话务中获取由k_up和/或k_cp保护的上下文cookie和分组数据单元(pdu)。如果来自该设备的上行链路话务不是pdu的形式，则该方法可以进一步包括将上行链路话务封装为pdu中的网际协议(ip)数据。根据一些方面，该网络节点是接入节点，并且该方法进一步包括在核心网中的接入节点和用户面网关之间没有建立承载的情况下使用上下文cookie实现数据传递。根据一些方面，该网络节点是接入节点，并且该方法进一步包括在不执行该设备与核心网之间的认证和密钥协商(aka)规程的情况下获取pdu和上下文cookie。根据一些方面，该方法进一步包括在下行链路话务中获取分组数据单元(pdu)，使用k_up来保护pdu，以及将受保护的pdu发送到该设备。

根据一些方面，本公开可以提供网络节点，包括：用于经由网络进行通信的装置，用于从设备获取对上下文cookie和对相互认证的请求的装置，该请求包括由实体签名的设备证书，用于获取和加密会话主密钥以产生经加密的会话主密钥的装置，用于如果该设备证书被成功验证则标识与该实体相关联的应用服务器的装置，其中该网络节点被允许认证和被允许使用上下文cookie授权经由网络数据传递到该应用服务器，用于作为认证质询将经加密的会话主密钥、由该网络的移动网络运营商签名的网络证书、网络节点一次性数(nnonce)和该网络节点的签名发送到该设备的装置，用于响应于该认证质询从该设备获取认证响应(res)的装置，用于如果该认证响应等于预期的认证响应则获取设备上下文、基于该设备上下文的上下文cookie以及基于该会话主密钥的用户面密钥(k_up)的装置。根据一些方面，该网络节点可以进一步包括：用于向该设备发送上下文cookie的装置，用于从该网络节点移除该设备上下文的装置，其中该设备上下文不保持在该网络节点的状态表中，用于在来自该设备的上行链路话务中获取由k_up保护的上下文cookie和分组数据单元(pdu)的装置，以及用于如果该上下文cookie和pdu被成功验证则在没有预先建立的到该网络的连接的情况下经由该网络将该pdu发送到该应用服务器的装置。根据本公开的一些方面，用于经由网络进行通信的装置可以使用用于通信的电路/模块(诸如图8中所示和所述的用于通信的电路/模块820)来实现。在本公开的一些方面，用于从设备获取对上下文cookie和对相互认证的请求的装置、用于获取和加密会话主密钥以产生经加密的会话主密钥的装置，用于标识与该实体相关联的应用服务器的装置可以使用处理电路(诸如图8中所示和所述的处理电路810)来实现。根据一些方面，用于将经加密的会话主密钥、由该网络的移动网络运营商签名的网络证书、网络节点一次性数(nnonce)以及该网络节点的签名发送到该设备的装置可以使用发射机(诸如图8中所示和所述的发射机814)和/或如图8中所示和所述的用于发送的电路/模块826来实现。根据一些方面，用于响应于该认证质询而从该设备获取认证响应(res)的装置，用于如果该认证响应等于预期的认证响应则获取设备上下文、基于该设备上下文的上下文cookie和基于该会话主密钥的用户面密钥(k_up)的装置可以由如图8所示和所述的用于获取的电路/模块822来实现。根据一些方面，用于将上下文cookie发送到该设备的装置可以使用发射机(诸如图8中所示和所述的发射机814)和/或入图8中所示和所述的用于发送的电路/模块826来实现。根据本公开的一些方面，用于从该网络节点移除设备上下文的装置可以由处理电路(诸如图8中所示和所述的处理电路810)来实现。根据本公开的一些方面，用于获取由k_up保护的上下文cookie和分组数据单元(pdu)的装置可以由如图8中所示和所述的用于获取的电路/模块822来实现。根据本公开的一些方面，用于在没有预先建立的到该网络的连接的情况下经由该网络将pdu发送到该应用服务器的装置可以由如图8所示和所述的用于发送的电路/模块826来实现。

根据一些方面，本公开可以提供存储用于无线通信的计算机可执行代码的非瞬态计算机可读介质，该代码包括用于以下操作的代码：从设备获取对上下文cookie和对相互认证的请求，该请求包括由实体签名的设备证书；获取并加密会话主密钥以产生经加密的会话主密钥；如果该设备证书被成功验证则标识与该实体相关联的应用服务器，其中该网络节点被允许进行认证并被允许使用上下文cookie授权经由网络数据传递到该应用服务器；作为认证质询将经加密的会话主密钥、由该网络的移动网络运营商签名的网络证书、网络节点一次性数(nnonce)和该网络节点的签名发送到该设备，响应于该认证质询从该设备获取认证响应(res)，如果该认证响应等于预期的认证响应，则获取设备上下文、基于该设备上下文的上下文cookie以及基于该会话主密钥的用户面密钥(k_up)。该非瞬态计算机可读介质可以进一步存储用于无线通信的计算机可执行代码，其包括用于以下操作的代码：向该设备发送上下文cookie；从该网络节点移除该设备上下文，其中该设备上下文不维护在该网络节点的状态表中；在来自该设备的上行链路话务中获取由k_up保护的上下文cookie和分组数据单元(pdu)；以及如果该上下文cookie和pdu被成功验证则在没有预先建立的到该网络的连接的情况下经由该网络将该pdu发送到该应用服务器。

如本领域普通技术人员将容易领会的那样，贯穿本公开描述的各个方面可扩展到任何合适的电信系统、网络架构和通信标准。作为示例，各方面可被应用于umts系统，诸如w-cdma、td-scdma、和td-cdma。各个方面还可被应用于采用长期演进(lte)(在fdd、tdd或这两种模式中)、高级lte(lte-a)(在fdd、tdd或这两种模式中)、cdma2000、演进数据最优化(ev-do)、超移动宽带(umb)、ieee802.11(wi-fi)、ieee802.16(wimax)、ieee802.20(移动宽带无线接入)、超宽带(uwb)、蓝牙的系统和/或其他合适的系统，包括由待定义的广域网标准所描述的那些系统。所采用的实际的电信标准、网络架构和/或通信标准将取决于具体应用以及加诸于该系统的整体设计约束。

在本公开内，措辞“示例性”用于表示“用作示例、实例或解说”。本文中描述为“示例性”的任何实现或方面不必被解释为优于或胜过本公开的其他方面。同样，术语“方面”不要求本公开的所有方面都包括所讨论的特征、优点或操作模式。术语“耦合”在本文中用于指两个对象之间的直接或间接机械和/或电耦合。例如，如果对象a物理上接触对象b和/或与对象b电通信，并且对象b物理上接触对象c和/或与对象c电通信，则对象a和c可仍被认为是彼此耦合的——即便它们并非彼此直接地物理上接触和/或与彼此电通信。例如，第一管芯可以在封装中耦合至第二管芯，即便第一管芯从不直接与第二管芯物理接触。术语“电路”和“电路系统”被宽泛地使用且意在包括电子器件和导体的硬件实现以及信息和指令的软件实现两者，这些电子器件和导体在被连接和配置时使得能执行本公开中描述的功能而在电子电路的类型上没有限制，这些信息和指令在由处理器执行时使得能执行本公开中描述的功能。

以上中解说的组件、框、特征和/或功能之中的一者或多者可以被重新安排和/或组合成单个组件、框、特征或功能，或可以实现在若干组件、步骤或功能中。也可添加附加的组件、框、特征、和/或功能，而不会脱离本文中所公开的新颖性特征。以上解说的装置、设备、和/或组件可以被适配(例如，构造、配置、采用、实现、和/或编程)成执行本文所描述的方法、框、特征、和/或功能中的一者或多者。本文中描述的算法也可以高效地实现在软件中和/或嵌入在硬件中。

应理解，所公开的方法中各框的具体次序或阶层是示例性过程的解说。应理解，可以重新安排这些方法中各框的具体次序或阶层。所附方法权利要求以样本次序呈现各个框的要素，且并不意味着被限定于所呈现的具体次序或阶层，除非在本文中有特别叙述。