5G系统中的安全锚功能的制作方法
所提议的技术总体涉及5g通信系统中的安全问题。
背景技术:
第三代合作伙伴计划(3gpp)是电信协会组之间的合作。3gpp的最初目的是就全球适用的第三代(3g)移动电话系统规范达成一致。该范围后来被扩大为包括开发和维护其他代的移动电信产生,例如,通用移动电信系统(umts)架构(有时也被称为3g)和长期演进(lte)架构(也被称为第四代(4g))。
3gpp目前正在开发用于5g(又名下一代(ng))的标准。该未来一代无线通信(通常被称为下一代(nextgen或ng)、下一代系统(ngs)或5g)正在全世界范围内被开发,然而尚未设置通用的5g标准。
与当前的4glte网络相比,下一代无线通信的愿景在于提供非常高的数据速率、极低的延迟、基站容量的多方面增加以及用户感知服务质量(qos)的显著改善。
期望5g将支持许多新场景和用例,并将成为物联网(iot)的推动者。期望ng系统将为诸如传感器、智能可穿戴设备、车辆、机器等广泛的新设备提供连接性。于是,灵活性将是ng系统中的关键属性。这被反映在网络接入的安全要求中,其要求支持备选认证方法和不同类型的凭证,该不同类型的凭证不同于由运营商预先配置并被安全地存储在通用集成电路卡(uicc)中的通常的认证和密钥协议(aka)凭证。这将允许工厂所有者或企业针对认证和接入网络安全利用他们自己的标识和凭证管理系统。
ng系统中的新的安全特征之一是安全锚功能(seaf)的引入。seaf的唯一目的是满足ng核心网络功能部署的灵活性和动态性。事实上,ng系统将利用虚拟化来实现这种属性。因此,将接入和移动性管理功能(amf)部署在可能不如例如运营商所在地内那样安全的域中的场景不仅是合理的而且是被期望的。
seaf应该与用户设备(ue)建立并共享密钥(称为kseaf),该密钥被用于导出任何其他密钥,例如用于控制平面保护的密钥(kcn)和用于无线电接口保护的密钥。这些密钥在4g系统中与非接入层(nas)密钥和kenb相对应。然后假设seaf驻留在安全位置,而kseaf将决不会离开seaf。该设置的一个主要优点是每次ue进入空闲然后再次激活时避免重新认证。事实上,认证是高成本的过程,特别是当ue正在漫游时。
在ng系统的架构研究期间,决定将seaf与amf并置。实际上,这确实首先破坏了这种附加安全功能的目的。是否仍然需要seaf,以及如果是的话,如何来实现它?值得注意的是,传统系统中的安全设计在概念上是基于移动性管理实体(mme)始终位于运营商cn内的安全位置这一假设的。该假设不适用于amf。在密集区域中,amf可以更靠近网络的边缘来部署(例如,在购物中心中),并且因此可能被部署在暴露的位置。因此,在amf改变期间,可能的情况是,amf不位于同等安全的域中,并且因此目标或源amf可能需要遮蔽其自身免受另一amf影响。
如下所述,在这种新的安全设置中重用传统机制是不够的。在演进型分组系统(eps)中,amf的等同物是mme。在mme改变期间,新的mme从旧的mme中获取ue的安全上下文。此外,mme始终有可能触发新的认证。
使用传统机制,可以经由重新认证来实现前向安全,但是不存在用于后向安全的机制。更准确地说,在目标侧,新的amf始终有可能触发新的认证,从而缩减了旧的amf确定所使用的密钥的任何可能性。对重新认证的需求可以例如基于考虑不同amf的位置的运营商策略。
仅依赖于认证过程不是十分有效的,因为在性能方面,它是最繁重的过程之一。这是独立的seaf可以通过消除特别是在漫游时对重新认证的需求而发挥重要作用的地方。
技术实现要素:
一个目的是在amf改变时提供有效的且允许前向安全的认证过程。
通过所提出的技术的实施例来满足该目的以及其他目的。
根据第一方面,提供了一种用于支持对用于用户设备的服务amf的改变进行处理的方法。该方法包括向源amf发送上下文请求。该发送是从目标amf执行的。在目标amf中,从源amf接收作为答复的上下文。该上下文包括标识seafamf的参数。seafamf保持与用户设备共享的密钥。
根据第二方面,提供了一种用于支持对用于用户设备的服务amf的改变进行处理的方法。该方法包括从目标amf接收上下文请求。该接收在源amf中执行。从源amf向目标amf发送上下文作为答复。该上下文包括标识seafamf的参数。seafamf保持与用户设备共享的密钥。
根据第三方面,提供了一种用于支持对用于用户设备的服务amf的改变进行处理的方法。该方法包括向目标amf发送注册请求。该发送从用户设备执行。在所述目标amf与所述用户设备之间执行非接入层安全建立过程。该非接入层安全建立过程向用户设备通知由目标amf决定的认证策略。根据该认证策略应用密钥过程(keyprocedures)。
根据第四方面,提供了一种用于支持对用于用户设备的服务amf的改变进行处理的方法。该方法包括从目标amf接收对用于用户设备的新的密钥的请求。该接收在seafamf中执行。在seafamf中,从与用户设备共享的密钥中导出新的核心网络密钥。向目标amf发送新的核心网络密钥。
根据第五方面,提供了一种被配置为支持对用户设备的服务amf的改变进行处理的网络节点。该网络节点包括amf,该amf被配置为向源amf发送上下文请求。该amf被配置为从源amf接收上下文作为答复。该上下文包括标识seafamf的参数。seafamf保持与用户设备共享的密钥。
根据第六方面,提供了一种被配置为支持对用于用户设备的服务amf的改变进行处理的网络节点。该网络节点包括amf,该amf被配置为从目标amf接收上下文请求。该amf被配置为向目标amf发送上下文作为答复。该上下文包括标识seafamf的参数。seafamf保持与用户设备共享的密钥。
根据第七方面,提供了一种用于通信网络的用户设备。该用户设备被配置为向目标amf发送注册请求。该用户设备还被配置为在目标amf与该用户设备之间执行非接入层安全建立过程。该非接入层安全建立过程向用户设备通知由目标amf决定的认证策略。该用户设备还被配置为根据认证策略应用密钥过程。
根据第八方面,提供了一种被配置为支持对用于用户设备的服务amf的改变进行处理的网络节点。该网络节点包括amf,该amf被配置为从目标amf接收对用于用户设备的新的密钥的请求。该amf还被配置为从与用户设备共享的密钥中导出新的核心网络密钥。该amf还被配置为向目标amf发送新的核心网络密钥。
根据第九方面,提供了一种包括指令的计算机程序,该指令当由至少一个处理器执行时,使该处理器从目标amf向源amf发送上下文请求。计算机程序包括另外的指令,该另外的指令当由处理器执行时,使该处理器在目标amf中从源amf接收作为答复的上下文。该上下文包括标识seafamf的参数。seafamf保持与用户设备共享的密钥。
根据第十方面,提供了一种包括指令的计算机程序,该指令当由至少一个处理器执行时,使处理器在源amf中从目标amf接收上下文请求。计算机程序包括另外的指令,该另外的指令当由处理器执行时,使处理器从源amf向目标amf发送上下文作为答复。该上下文包括标识seafamf的参数。seafamf保持与用户设备共享的密钥。
根据第十一方面,提供了一种包括指令的计算机程序,该指令当由至少一个处理器执行时,使处理器向目标amf发送注册请求。计算机程序包括另外的指令,该另外的指令当由处理器执行时,使处理器在目标amf与用户设备之间执行非接入层安全建立过程。该非接入层安全建立过程向用户设备通知由目标amf决定的认证策略。计算机程序包括另外的指令,该另外的指令当由处理器执行时,使处理器根据认证策略应用密钥过程。
根据第十二方面,提供了一种包括指令的计算机程序,该指令当由至少一个处理器执行时,使处理器在seafamf中从目标amf接收对用于用户设备的新的密钥的请求。计算机程序包括另外的指令,该另外的指令当由处理器执行时,使处理器在seafamf中从与用户设备共享的密钥中导出新的核心网络密钥。计算机程序包括另外的指令,该另外的指令当由处理器执行时,使处理器向目标amf发送新的核心网络密钥。
根据第十三方面,提供了一种计算机程序产品,该计算机程序产品包括在其上存储有根据第九至第十二方面中任一方面的计算机程序的计算机可读介质。
根据第十四方面,提供了一种包括根据第九至第十二方面中任一方面的计算机程序的载体,其中,该载体是以下项之一:电子信号、光信号、电磁信号、磁信号、电信号、无线电信号、微波信号或计算机可读存储介质。
根据第十五方面,提供了一种用于支持对用户设备的服务amf的改变进行处理的网络节点。该网络节点包括发射器模块,用于从目标amf向源amf发送上下文请求。该网络节点还包括接收器模块,用于在目标amf中从源amf接收作为答复的上下文。该上下文包括标识seafamf的参数。seafamf保持与用户设备共享的密钥。
根据第十六方面,提供了一种用于支持对用于用户设备的服务amf的改变进行处理的网络节点。该网络节点包括接收器模块,用于在源amf中从目标amf接收上下文请求。该网络节点还包括发射器,用于从源amf向目标amf发送上下文作为答复。该上下文包括标识seafamf的参数。seafamf保持与用户设备共享的密钥。
根据第十六方面,提供了一种用于通信网络的用户设备。该用户设备包括发射器,其中发射器用于向目标amf发送注册请求。该用户设备还包括安全模块,该安全模块用于在目标amf与用户设备之间执行非接入层安全建立过程。该非接入层安全建立过程向用户设备通知由目标amf决定的认证策略。该用户设备还包括密钥处理模块,该密钥处理模块用于根据认证策略应用密钥过程。
根据第十七方面,提供了一种用于支持对用于用户设备的服务amf的改变进行处理的网络节点。该网络节点包括接收器,用于从目标amf接收对用于用户设备的新的密钥的请求。该网络节点还包括密钥管理模块,用于从与用户设备共享的密钥中导出新的核心网络密钥。该网络节点还包括发射器,用于向目标amf发送新的核心网络密钥。
该解决方案不需要独立的seaf功能,节省了对核心网络内的标准化接口、复杂性和附加信令的需求。
该解决方案通过为用于前向安全的认证提供有效的替代方案,解决了amf部署中的灵活性所引入的安全问题。
当阅读以下描述时将会意识到其他优点。
附图说明
通过参考以下结合附图的描述,可以最好地理解实施例及其进一步的目的和优点,在附图中:
图1是示出了umts的核心网络的简化概述的示意图;
图2是示出了epc架构的简化概述的示意图;
图3是5g系统的非漫游架构的实施例的示意图。
图4是目标amf与seafamf之间关系的示意图。
图5描述了在初始注册期间用于认证的实施例的信令;
图6示出了用于以目标amf的角色对用于ue的服务amf的改变进行处理的方法的实施例的步骤的流程图;
图7示出了用于以源amf的角色对用于ue的服务amf的改变进行处理的方法的另一实施例的步骤的流程图;
图8描述了amf改变期间的重新认证的实施例的信令;
图9描述了目标amf继续使用从源amf接收的安全密钥的实施例的信令;
图10描述了包括新的密钥的导出的实施例的信令;
图11示出了用于以ue的角色对用于ue的服务amf的改变进行处理的方法的实施例的步骤的流程图;
图12示出了用于以seafamf的角色对用于ue的服务amf的改变进行处理的方法的实施例的步骤的流程图;
图13是示出了amf的示例的示意框图;
图14是示出了ue的示例的示意框图;
图15是示出了基于硬件电路实现的amf的另一示例的示意框图;
图16是示出了基于硬件电路实现的ue的另一示例的示意框图;
图17是示出了基于处理器和硬件电路两者的组合的amf的又一示例的示意框图;
图18是示出了基于处理器和硬件电路两者的组合的ue的又一示例的示意框图;
图19是示出了根据实施例的amf的计算机实现的示例的示意图;
图20是示出了根据实施例的ue的计算机实现的示例的示意图;
图21是示出了包括amf的网络设备的示例的示意框图;
图22是示出了用于对用于ue的服务amf的改变进行处理的网络节点的示例的示意图;
图23是示出了用于对用于ue的服务amf的改变进行处理的网络节点的另一示例的示意图;
图24是示出了ue的另一示例的示意图;
图25是示出了云实现的示例的示意图;以及
图26是示出了无线通信系统的示例的示意图。
具体实施方式
贯穿附图,相同的附图标记用于相似或对应的元素。
从对通用移动电信系统(umts)架构(有时也被称为3g)和长期演进(lte)架构(也被称为4g)进行非常简要的概述开始会是有用的。
首先,这些架构的无线电接入网络(ran)部分的不同之处在于,通用地面无线电接入网络(utran)是3gumtsran,而演进型utran(eutran)是lteran。utran支持电路交换和分组交换服务,而eutran仅支持分组交换服务。
utran空中接口是基于扩频调制技术的宽带码分多址(wcdma),而eutran采用被称为正交频分多址(ofdma)的多载波调制方案。高速分组接入(hspa)是一组协议,其使用wcdma协议来扩展和改善现有的3gumts网络的性能。
在3gumts中,ran基于两种类型的节点:被称为nodeb的接入节点或基站和无线电网络控制器(rnc)。rnc是控制ran的节点,并且它还将ran连接到核心网络(cn)。
图1是示出了umts100的核心网络的简化概述的示意图。umts/wcdma的核心网络包括:
·具有移动交换中心(msc)4的电路交换(cs)域2,其中所述msc4用于连接到公共交换电话网络(pstn)5;
·具有服务gprs支持节点(sgsn)6和网关gprs支持节点(ggsn)7的分组交换(ps)域3,其中所述sgsn6用于连接到ran20,并且所述ggsn7用于连接到外部网络,例如互联网30。
这两个域的公共部分在于归属位置寄存器(hlr)8,即归属运营商网络中的保持对运营商的订户的跟踪的数据库。
lteran的关键设计原理是仅使用一种类型的节点,即,演进型节点b,也被称为enodeb或enb。ltecn的关键概念是尽可能独立于无线电接入技术。lteran功能通常包括:
·编码、交织、调制和其他典型的物理层功能;
·自动重复请求(arq)头部压缩和其他典型的链路层功能;
·用户平面(up)安全功能(例如加密)和ran信令安全(例如,对ran向ue发起的信令的加密和完整性保护);以及
·无线电资源管理(rrm)、切换和其他典型的无线电资源控制功能。
ltecn功能通常包括:
·非接入层(nas)安全功能(例如,对去往ue的cn信令的加密和完整性保护);
·订户管理;
·移动性管理;
·承载管理和服务质量(qos)处理;
·策略控制和用户数据流;
·与外部网络的互连。
ltecn的演进和标准化被称为系统架构演进(sae),并且sae中定义的核心网络与上一代核心网络完全不同,并且因此被称为演进型分组核心(epc)。
图2是示出了epc102架构的简化概述的示意图。epc102的基本节点包括:
·移动性管理实体(mme)11,它是epc102的控制平面节点;
·服务网关(sg)12,它是将epc102连接到lteran20的用户平面节点;以及
·分组数据网络网关(pdn)网关13,它是将epc102连接到互联网30的用户平面节点。
mme通常还连接到归属订户服务器(hss)18,所述hss是与hlr相对应的数据库节点。
服务网关12和pdn网关13可以被配置为单个实体。
有时,epc102与lteran20一起被表示为演进型分组系统(eps)104。
如上所述,期望5g将为诸如传感器、智能可穿戴设备、车辆、机器等广泛的新设备提供连接性。于是,灵活性将是ng系统中的关键属性。
3gppsa2已经在其tr23.799的研究中就图3中所示的非漫游架构106达成了一致。
接入和移动性管理功能(amf)50(有时被称为和/或包括移动性管理功能功能(mmf)、核心网络移动性管理(cn-mm)或简称为移动性管理(mm))是支持移动性管理的核心网络节点,并且因此与epc中的mme扮演类似的角色。amf50具有到ran20的所谓的ng2接口,该ng2接口与epc中位于mme与ran之间的所谓的s1接口相对应。amf50具有到ue80的所谓的ng1接口61。此外,amf50通过ng11接口71连接到会话管理功能(smf)51。
当不同的amf50彼此进行通信时,这通过ng14接口74执行。
认证服务器功能(ausf)52负责主认证过程并与ng12接口72的amf50进行通信。用户数据管理(udm)53经由ng13接口73与ausf52进行通信,经由ng8接口68与amf50进行通信,并且经由ng10接口70与smf51进行通信。
所提议的解决方案通过使seaf的角色(状态)与ue80首先在其中认证的amf50同化(assimilating)来实现seaf的概念。然后经由安全上下文中的附加的类似全局唯一临时id(guti)的参数(称为主guti(pguti))来保持跟踪seafamf(也称为主amf)。然后,在amf改变期间,主guti将随着amf50之间的任何其他安全参数被传递。然后,目标amf可以使用该参数来标识主amf(针对该特定ue80扮演seaf的角色)并在例如它不完全信任源amf50的情况下向该主amf询问新的cn密钥。
用户平面功能(upf)54还通过ng3接口63连接到ran20,通过ng4接口64连接到smf51,并且通过ng6接口66连接到不同的数据网络(dn)55。
当不同的upf54彼此通信时,这通过ng9接口69来执行。
策略控制功能(pcf)65经由ng7接口67连接到smf51,经由ng15接口75与amf50连接,并且经由ng5接口65与应用功能(af)57连接。
seaf与ue共享被表示为kseaf的密钥。该密钥是ue与ausf之间经由seaf/amf进行的网络接入的主认证过程的结果。kseaf等同于传统系统中的kasme,并且将充当用于导出cn和an密钥的根密钥。只要可用,kseaf就可以被用来避免完整的重新验证。然后提议kseaf决不会离开ue在其中认证的amf。
在一定程度上对术语进行混用,术语“mmf”在本文被用于指代amf的非seaf角色部分。现在从ue的角度来看,amf可以支持seaf的角色、mmf的角色或两者。参考图4,当ue首先向特定的amf50p认证时,amf50p支持两种角色,即seaf90和mmf91。这样的amf此后将被称为(ue的)seafamf,这里表示为p-amf50p。当ue稍后移动到另一目标amf即t-amf50t时(例如,在移动性事件的情况下),目标amf50t仅支持mmf91的角色,而seafamf50p支持seaf90的角色。如果通过不同于seafamf的amf对ue进行重新认证,则新的amf成为seafamf,并且新的kseaf被使用。
seafamf将始终拥有kseaf,直到ue在其他地方认证为止。服务amf(即最初是seafamf或者是改变之后的目标amf)将始终具有cn密钥(用于导出nas协议密钥的密钥)。因此,对于任何ue,可能的情况是两个不同的amf均涉及维护且与同一ue共享某种形式的安全上下文。seafamf50p将维护基于kseaf的上下文,并且服务amf(例如,目标amf50t)将维护基于被称为kcn的所导出的密钥的cn安全上下文。ue维护两个上下文。注意到seafamf也可能是服务amf,在这种情况下它维护两个安全上下文。为了使其工作,必须在cn安全上下文中包括某种形式的附加amf标识符以标识seafamf,例如,这可以类似于唯一地标识amf和ue的附加的类似guti的参数。在说明书的其余部分中,这种标识符92被称为主guti(pguti)。
为了在初始注册期间启用安全上下文处理,如在基线中并且如图5中所描绘的那样来处理初始注册。注册请求t10从ue80发送到amf(即seafamf50p)。p-amf50p决定管理涉及ausf52和ue80的认证t12,从而导致建立kseaf。因此,amf成为用于该ue80的seafamf50p。因此,建立了kseaf′。例如,可以将对应的pguti选择为由该seafamf50p分配的第一个guti。
与这里提议的机制有关的唯一考虑因素是接收初始注册请求的amf因此成为支持seaf角色的seafamf50p。因此,在订阅认证之后,seafamf50p将从hplmn的ausf52接收kseaf并保持该kseaf。
在成功证认和kseaf递送之后,(seaf)amf50p将执行更新位置(updatelocation)t17以将其自身注册在hplmn的udm53中并下载经认证的用户的订阅简档。
该过程通过seafamf50p向ue80通知t19注册完成而结束。
需要进一步考虑amf改变期间的安全上下文处理。amf改变通常可能在移动性事件期间发生。在传统系统中,安全上下文在mme之间传输。在ng系统中,在目标与源amf之间始终存在某种上下文传输。但是,针对安全方面,取决于传输哪些安全参数以及如何使用它们,可能存在若干场景。在系统操作期间,新的amf(也称为目标amf)采取哪种决定可以基于安全策略,该安全策略例如取决于旧的amf(也称为源amf)和seafamf的位置。
图6示出了用于支持对用于ue的服务amf的改变进行处理的方法的实施例的步骤的流程图。在步骤s2中,从目标amf向源amf发送上下文请求。在步骤s3中,在目标amf中从源amf接收作为答复的上下文。该上下文包括标识seafamf的参数。seafamf保持与ue共享的密钥。
在优选实施例中,步骤s2之前是步骤s1,在步骤s1中,从ue接收注册请求。
在优选实施例中,在步骤s4中,基于源amf和seafamf中的至少一个的状况来决定认证策略。甚至更优选地,该决定是基于取决于源amf和seafamf的位置的安全策略的。
在源amf中执行匹配过程。图7示出了用于支持对用于ue的服务amf的改变进行处理的方法的实施例的步骤的流程图。在步骤s11中,在源amf中从目标amf接收上下文请求。在步骤s12中,从源amf向目标amf发送上下文作为答复。该上下文包括标识seafamf的参数,该seafamf保持与ue共享的密钥。
以下部分示出了用于在amf改变期间实现安全上下文处理的不同选项。要注意,下面的图中的源amf可以是seafamf,或者它可以是单独的amf,如在这些图中被示为基于所示的任一备选方案的移动性过程的结果。
图8中示出了与服务amf的改变的实施例的一个场景有关的信令。
ue80向目标amf50t发送注册请求t10。ue注册应该包括来自当前nas安全上下文的任何必要信息,以便新的amf(也被称为目标amf50t)能够标识旧的服务amf,即源amf50s。
目标amf50t从ue接收t10注册请求,并向源amf50s发送上下文请求t11,源amf50s相应地进行答复。上下文包括标识seafamf50p的附加pguti参数。
在实施例的该场景中,目标amf50t决定运行新的认证t12,导致建立新的kseaf。该决定优选地基于源amf50s和与pguti参数相关联的seafamf50p的状况,例如位置。结果,目标amf50t也成为该ue80的新的seafamf。因此,建立新的kseaf′。例如,可以将对应的pguti选择为由该目标amf分配的第一个guti。由于pguti是在空中发送的,并且仅在amf之间传递,因此不需要专门的重新分配过程。
目标amf50t可以可选地通知t13(先前的)seafamf50p,以便seafamf50p可以安全地处理旧的kseaf和对应的安全上下文。为了避免这种附加信令,可能的情况是,一旦ue80离开seafamf50p,仅在某一时间段内维持seaf上下文。以这种方式,一旦定义的时段过去,数据将被自动删除。
执行nas安全建立t16。导出新的cn密钥,并且然后经由目标amf50t与ue80之间的类似smc的过程来使用该新的cn密钥。
最后,目标amf50t将执行更新位置(updatelocation)t17,以将其自身注册在hplmn的udm53中,并下载经认证的用户的订阅简档。基于此,udm53将向源amf50s发送取消位置(cancellocation)t18。
ue根据认证策略应用密钥过程。
在实施例的另一场景中,目标amf继续使用从源amf接收的安全密钥。这种场景将不需要与seafamf进行任何交互,并且在其最后的部分中与传统机制类似。如图9所示,在cn密钥传输中,ue80发送注册请求t10。ue注册应该包括来自当前nas安全上下文的任何必要信息,以便目标amf50t能够识别旧的服务amf,即源amf50s。
目标amf50t向源amf50s发送上下文请求t11,源amf50s相应地进行答复。上下文包括标识seafamf50p的附加pguti参数。
基于pguti参数和源节点的标识的知识,做出继续进行cn密钥传输的决定。可选地并且例如,在目标amf50t需要算法改变的情况下,运行类似smc的过程t16以便使用所选择的新的算法。
最后,目标amf50t将执行更新位置(updatelocation)t17,以将其自身注册在hplmn的udm53中,并下载经认证的用户的订阅简档。基于此,udm53将向源amf50s发送取消位置(cancellocation)t18。
ue根据认证策略应用密钥过程。
在实施例的另一场景中,决定导出新的密钥。目标amf50t询问seafamf50p,以便获得新的cn密钥,如图10中所示。
为此,ue80发送注册请求t10。ue注册应该包括来自当前nas安全上下文的任何必要信息,以便目标amf50t能够识别旧的服务amf,即源amf50s。
目标amf50t向源amf50s发送上下文请求t11,源amf50s相应地进行答复。上下文包括标识seafamf50p的附加pguti参数。
基于pguti参数和源amf50s的标识的知识,做出继续进行密钥请求的决定。
目标amf50t向由pguti标识的seafamf50p发送密钥请求t14,并且seafamf50p通过从当前kseaf导出新的kcn并将其包括在答复中来相应地采取动作。该kcn的导出也可以基于答复中包括的新鲜度参数。下面描述与这些方面相关的其他实施例。
经由目标amf50t与ue80之间的类似smc的过程t16来使用新的cn密钥。为了使ue80知道正在使用新的kcn,在从目标amf50t到ue80的类似smc的消息中必须存在指示。下面描述与这些方面相关的其他实施例。
最后,目标amf50t将执行更新位置(updatelocation)t17,以将其自身注册在hplmn的udm53中,并下载经认证的用户的订阅简档。基于此,udm53将向源amf50s发送取消位置(cancellocation)t18。
ue根据认证策略应用密钥过程。
在优选实施例中,应该可以选择图8至图10中描述的所有场景。
为此,在目标amf中执行的方法的优选实施例中,步骤s4(图6)中的认证策略包括以下项之一:
-在amf之间传输密钥,
-执行新的认证过程,以及
-向seafamf请求密钥。
参考图8的场景,在目标amf中执行的方法的一个实施例中,该方法还包括如下步骤:作为对将认证策略决定为是执行新的认证过程的答复,运行新的认证过程。认证过程进而包括通过与ausf的交互来建立新的密钥。此外,创建标识seafamf的新的参数,从而将目标amf标识为新的seafamf。
优选地,该方法还包括另外的如下步骤:向原始seafamf通知目标amf是用于ue的新的seafamf。
参考图9的场景,在目标amf中执行的方法的一个实施例中,该方法包括另外的如下步骤:作为对将认证策略决定为是在amf之间传输密钥的答复,在源amf与目标amf之间传输cn密钥。
参考图10的场景,在目标amf中执行的方法的一个实施例中,该方法包括另外的如下步骤:作为对将认证策略决定为是从seafamf请求密钥的答复,请求密钥。请求密钥进而包括向seafamf发送对密钥的请求以及从seafamf接收密钥。
在优选实施例中,标识seafamf的参数是与seafamf相关联的guti。
在优选实施例中,与ue共享的密钥被用于导出其他密钥。
在优选实施例中,该方法还包括另外的如下步骤:在目标amf与ue之间执行nas建立过程。nas建立过程向ue通知由目标amf决定的认证策略。
必要时,在源amf中执行对应的过程。
在源amf中执行的方法的优选实施例中,当将认证策略决定为是在amf之间传输密钥时(参见图9),该方法包括另外的如下步骤:在源amf与目标amf之间传输cn密钥。
在优选实施例中,在源amf中执行的方法包括另外的如下步骤:从存储器获取标识seafamf的参数。
在优选实施例中,该参数是与seafamf相关联的guti。
在优选实施例中,与ue共享的密钥被用于导出其他密钥。
在ue中执行的过程可以由图11示出,其中示出了用于对ue的服务amf的改变进行处理的方法的实施例的步骤的流程图。在步骤s21中,从ue向目标amf发送注册请求。优选地,注册请求包括将当前使用的amf标识为源amf的信息。
作为目标amf中的该过程的结果,由目标amf决定认证策略。在步骤s22中,在目标amf与ue之间执行nas建立过程。nas建立过程向ue通知认证策略。在步骤s23中,根据认证策略应用密钥过程。
优选地,认证策略包括以下之一:在amf之间传输密钥,执行新的认证过程和向seafamf请求密钥。
在一些场景中,seafamf对该解决方案做出贡献,参见例如图8和图10。图12示出了在seafamf中执行的用于对用于ue的服务amf的改变进行处理的方法的实施例的步骤的流程图。在步骤s31中,在seafamf中从目标amf接收对用于ue的新的密钥的请求。在步骤s32中,在seafamf中从与ue共享的密钥中导出新的cn密钥。在步骤s33中,向目标amf发送新的cn密钥。
在优选实施例中,当出现图8的场景时,在seafamf中执行附加步骤。在步骤s34中,从目标amf接收通知。该通知向seafamf通知ue具有新的seafamf。在步骤s35中,处理与ue共享的密钥。
从kseaf中导出kcn可以基于在ue与seafamf之间共享的新鲜度参数。这样的参数可以是计数器值、随机数(nounce)或时间戳。
如果是计数器值,则每次建立新的kseaf时都可以重置或初始化该计数器值。该计数器值将成为kseaf安全上下文的一部分。如果在ue与amf之间事先商定初始值,则可能不需要随着密钥一起传输计数器值参数(在图10的t14中)。ue将仅需要接收smc消息中的某种类型的“新的密钥指示”(在图10的t16中)。这可以是布尔(boolean)参数。根据该指示,ue然后使计数器值递增,从kseaf中导出新的kcn并在步骤4中使用该新的kcn。备选地,将整个计数器数值或少数lsb随着密钥一起传输并进一步向下传输给ue,以避免同步失败。
在随机数或时间戳的情况下,需要随着新的cn密钥将这样的参数传输给目标amf,并且然后进一步向下传输给ue。
如这里所使用的,非限制性术语“用户设备(ue)”,“站/站点(sta)”和“无线通信设备”可以指移动电话、蜂窝电话、配备有无线通信能力的个人数字助理(pda)、智能电话、膝上型电脑或配备有内部或外部的移动宽带调制解调器的个人计算机(pc),具有无线通信能力的平板pc、目标设备、设备到设备ue、机器类型的ue或支持机器到机器通信的ue、ipad、客户住宅设备(cpe)、膝上型嵌入式设备(lee)、膝上型安装设备(lme)、通用串联总线(usb)适配器(dongle)、便携式电子无线通信装置、配备有无线通信能力的传感器设备等。具体地,术语“ue”、术语“站/站点”和术语“无线通信设备”应被解释为包括与无线通信系统中的网络节点通信的任何类型的无线设备和/或可能与另一无线通信设备直接通信的任何类型的无线设备的非限制性术语。换言之,无线通信设备可以是配备有用于根据任何相关通信标准进行无线通信的电路的任何设备。
如本文所使用的,术语“有线设备”可以指被配置为或准备与网络有线连接的任意设备。具体地,有线设备可以是当配置为用于有线连接时具有或不具有无线电通信能力的上述装置的至少一些。
如本文所使用的,非限制性术语“网络节点”可以是指基站、接入点、网络控制节点等等,所述网络控制节点例如是网络控制器、无线电网络控制器、基站控制器、接入控制器等等。具体地,术语“基站”可以包含不同类型的无线电基站(其包括标准基站(例如,节点b或演进型节点benb)),并且还可以包括宏/微/微微无线电基站、家庭基站(也称为毫微微基站)、中继节点、中继器、无线电接入点、基站收发信台(bts)以及甚至控制一个或多个远程无线电单元(rru)的无线电控制节点等。
在下文中,一般的非限制性术语“通信单元”包括网络节点和/或相关联的无线设备。
如本文所使用的,术语“网络设备”可以指与通信网络相连接的任何设备,包括但不限于接入网络、核心网络和类似网络结构中的设备。术语“网络设备”还可以包含基于云的网络设备。
应当理解,本文描述的方法和设备可以以各种方式组合和重新布置。
例如,实施例可以用硬件、或用由合适的处理电路执行的软件、或其组合来实现。
本文所述的步骤、功能、过程、模块和/或块可以使用任何常规技术在硬件中实现,例如使用分立电路或集成电路技术,包括通用电子电路和专用电路二者。
备选地,或者作为补充,本文描述的步骤、功能、过程、模块和/或块中的至少一些可以在软件中实现,例如由合适的处理电路(例如一个或多个处理器或处理单元)来执行的计算机程序。
处理电路的示例包括但不限于:一个或多个微处理器、一个或多个数字信号处理器(dsp)、一个或多个中央处理单元(cpu)、视频加速硬件、和/或任意合适的可编程逻辑电路,例如一个或多个现场可编程门阵列(fpga)或者一个或多个可编程逻辑控制器(plc)。
还应当理解,可以重新使用实现所提出技术的任何常规设备或单元的通用处理能力。也可以例如通过对现有软件进行重新编程或添加新的软件组件重新使用现有的软件。
根据所提议的技术的一个方面的实施例,提供了一种被配置为支持对用于ue的服务amf的改变进行处理的网络节点,该网络节点包括被配置为向源amf发送上下文请求的amf。amf被配置为从源amf接收上下文作为答复。该上下文包括标识seafamf的参数,该seafamf保持与ue共享的密钥。
根据所提议的技术的一个方面的实施例,提供了一种被配置为支持对ue的服务amf的改变进行处理的网络节点,该网络节点包括被配置为从目标amf接收上下文请求的amf。服务amf被配置为向目标amf发送上下文作为答复。该上下文包括标识seafamf的参数,该seafamf保持与ue共享的密钥。
根据所提出的技术的一个方面的实施例,提供了一种被配置为支持对ue的服务amf的改变进行处理的网络节点,该网络节点包括被配置为从目标amf接收对用于ue的新的密钥的请求的amf。amf还被配置为从与ue共享的密钥中导出新的cn密钥。amf还被配置为向目标amf发送新的cn密钥。
图13是示出了根据实施例的基于处理器-存储器实现的amf50的示例的示意框图。在该具体示例中,amf50包括处理器110和存储器120,存储器120包括可由处理器110执行的指令。
在一个实施例中,指令当在处理器110中处理时,优选地使amf50能够基于源amf和seafamf中的至少一个的情况来决定认证策略。
在另一实施例中,该决定是基于安全策略的,该安全策略取决于源amf和seafamf的位置。
在一个实施例中,指令当在处理器110中处理时,优选地使amf50能够从与ue共享的密钥中导出新的cn密钥。
amf50还包括通信电路130。通信电路130可以包括用于与网络中的其他设备和/或网络节点进行有线和/或无线通信的功能。在具体示例中,通信电路130可以基于用于与一个或多个其他节点进行通信(包括发送和/或接收信息)的无线电电路。通信电路130可以与处理器110和/或存储器120互连。作为示例,通信电路130可以包括以下中的任何一个:接收器、发射器、收发机、输入/输出(i/o)电路、输入端口和/或输出端口。
在一个实施例中,通信电路130被配置为执行上下文请求的发送和作为答复的上下文的接收。
在一个实施例中,通信电路130被配置为执行上下文请求的接收和作为答复的上下文的发送。
在一个实施例中,通信电路130被配置为从目标amf接收对用于ue的新的密钥的请求,并向目标amf发送新的核心网络密钥。
根据所提议的技术的一个方面的实施例,提供了一种用于通信网络的ue。ue被配置为向目标amf发送注册请求。ue还被配置为在目标amf与ue之间执行nas建立过程。nas建立过程向ue通知由目标amf决定的认证策略。ue还被配置为根据认证策略应用密钥过程。
图14是示出了根据实施例的基于处理器-存储器实现的ue80的示例的示意框图。在该具体示例中,ue80包括处理器111和存储器121,存储器121包括可由处理器111执行的指令。
在一个实施例中,指令当在处理器110中处理时,优选地使ue80能够在目标amf与ue之间执行nas建立过程,并根据认证策略应用密钥过程。
ue80还包括通信电路131。通信电路131可以包括用于与网络中的其他设备和/或网络节点进行有线和/或无线通信的功能。在具体示例中,通信电路131可以基于用于与一个或多个其他节点进行通信(包括发送和/或接收信息)的无线电电路。通信电路130可以与处理器111和/或存储器121互连。作为示例,通信电路131可以包括以下中的任何一个:接收器、发射器、收发机、输入/输出(i/o)电路、输入端口和/或输出端口。
在一个实施例中,通信电路131被配置为向目标amf发送注册请求。
图15是示出了根据实施例的基于硬件电路实现的amf50的另一示例的示意框图。合适的硬件(hw)电路的具体示例包括:一个或多个适当配置的或可能可重新配置的电子电路、专用集成电路(asic)、现场可编程门阵列(fpga)或任何其他硬件逻辑,诸如基于互连的分立逻辑门和/或触发器的用以与合适的寄存器(reg)和/或存储单元(mem)一起执行专用功能的电路。
图16是示出了根据实施例的基于硬件电路实现的ue80的另一示例的示意框图。合适的硬件(hw)电路的具体示例包括:一个或多个适当配置的或可能可重新配置的电子电路、专用集成电路(asic)、现场可编程门阵列(fpga)或任何其他硬件逻辑,诸如基于互连的分立逻辑门和/或触发器的用以与合适的寄存器(reg)和/或存储单元(mem)一起执行专用功能的电路。
图17是示出了基于处理器310-1、310-2和硬件电路330-1、330-2两者的组合以及合适的存储器单元320的amf50的又一示例的示意框图。amf50包括:一个或多个处理器310-1、310-2;包括用于软件和数据的存储的存储器320;以及硬件电路330-1、330-2的一个或多个单元,例如,asic和/或fpga。因此,整体功能在用于在一个或多个处理器310-1、310-2上执行的编程软件(sw)与一个或多个预配置的或可能可重新配置的硬件电路330-1、330-2(例如,asic和/或fpga)之间划分。实际的硬件-软件划分可以由系统设计者基于多种因素来决定,所述因素包括处理速度、实现成本和其他要求。
图18是示出了基于处理器311-1、311-2和硬件电路331-1、331-2两者的组合以及合适的存储器单元321的ue80的又一示例的示意框图。ue80包括:一个或多个处理器311-1、311-2;包括用于软件和数据的存储的存储器321;以及硬件电路331-1、331-2的一个或多个单元,例如,asic和/或fpga。因此,整体功能在用于在一个或多个处理器311-1、311-2上执行的编程软件(sw)与一个或多个预配置的或可能可重新配置的硬件电路331-1、331-2(例如,asic和/或fpga)之间划分。实际的硬件-软件划分可以由系统设计者基于多种因素来决定,所述因素包括处理速度、实现成本和其他要求。
备选地,或者作为补充,本文描述的步骤、功能、过程、模块和/或块中的至少一些可以在软件中实现,例如由合适的处理电路(例如一个或多个处理器或处理单元)来执行的计算机程序。
因此,当由一个或多个处理器执行时,本文提出的流程图可以被认为是计算机流程图。对应的装置可以被定义为一组功能模块,其中由处理器执行的每个步骤与功能模块相对应。在这种情况下,功能模块被实现为在处理器上运行的计算机程序。
处理电路的示例包括但不限于:一个或多个微处理器、一个或多个数字信号处理器(dsp)、一个或多个中央处理单元(cpu)、视频加速硬件、和/或任意合适的可编程逻辑电路,例如一个或多个现场可编程门阵列(fpga)或者一个或多个可编程逻辑控制器(plc)。
还应当理解,可以重新使用实现所提出技术的任何常规设备或单元的通用处理能力。也可以例如通过对现有软件进行重新编程或添加新的软件组件重新使用现有的软件。
图19是示出了根据实施例的amf50的计算机实现的示例的示意图。在该特定示例中,本文所述的步骤、功能、过程、模块和/或块中的至少一些是以计算机程序425、435来实现的,计算机程序425、435被加载到存储器420中用以由包括一个或多个处理器410的处理电路执行。处理器410和存储器420彼此互连,以实现正常的软件执行。可选的输入/输出设备440还可以与(一个或多个)处理器410和/或存储器420互连,以实现相关数据(例如,(一个或多个)输入参数和/或得到的(一个或多个)输出参数)的输入和/或输出。
术语“处理器”应在一般意义上被解释为能够执行程序代码或计算机程序指令以执行特定处理、确定或计算任务的任何系统或设备。
因此,包括一个或多个处理器410的处理电路被配置为:在运行计算机程序425时执行例如本文描述的那些明确定义的处理任务。
处理电路不是必须专用于仅执行上述步骤、功能、过程和/或块,而是还可以执行其他任务。
在特定实施例中,计算机程序425、435包括指令,所述指令当由至少一个处理器410执行时,使处理器410向源amf发送上下文请求,并且从源amf接收作为答复的上下文。上下文包括标识seafamf的参数。seafamf保持与ue共享的密钥。
在具体实施例中,计算机程序425、435包括指令,该指令当由至少一个处理器410执行时,使处理器410从目标amf接收上下文请求,并且向目标amf发送上下文作为答复。上下文包括标识seafamf的参数,该seafamf保持与ue共享的密钥。
在具体实施例中,计算机程序425、435包括指令,该指令当由至少一个处理器410执行时,使处理器410从目标amf接收对用于ue的新的密钥的请求。计算机程序425、435包括另外的指令,该另外的指令当由处理器410执行时,使处理器410从与ue共享的密钥中导出新的cn密钥。计算机程序425、435包括另外的指令,该另外的指令当由处理器410执行时,使处理器410向目标amf发送新的cn密钥。
图20是示出了根据实施例的ue80的计算机实现的示例的示意图。在该特定示例中,本文所述的步骤、功能、过程、模块和/或块中的至少一些是以计算机程序426、436来实现的,计算机程序426、436被加载到存储器421中用以由包括一个或多个处理器411的处理电路执行。处理器411和存储器421彼此互连,以实现正常的软件执行。可选的输入/输出设备441还可以与(一个或多个)处理器411和/或存储器421互连,以实现相关数据(例如,(一个或多个)输入参数和/或得到的(一个或多个)输出参数)的输入和/或输出。
术语“处理器”应在一般意义上被解释为能够执行程序代码或计算机程序指令以执行特定处理、确定或计算任务的任何系统或设备。
因此,包括一个或多个处理器411的处理电路被配置为:在运行计算机程序426时执行例如本文描述的那些明确定义的处理任务。
处理电路不是必须专用于仅执行上述步骤、功能、过程和/或块,而是还可以执行其他任务。
在具体实施例中,计算机程序426、436包括指令,该指令当由至少一个处理器411执行时,使处理器411向目标amf发送注册请求。计算机程序425、435包括另外的指令,该另外的指令当由处理器411执行时,使处理器411在目标amf与ue之间执行nas建立过程。nas建立过程向ue通知由目标amf决定的认证策略。计算机程序425、435包括另外的指令,该另外的指令当由处理器411执行时,使处理器411根据认证策略应用密钥过程。
所提议的技术还提供了一种包括计算机程序的载体,其中所述载体是以下项之一:电子信号、光信号、电磁信号、磁信号、电信号、无线电信号、微波信号或计算机可读存储介质。
作为示例,软件或计算机程序425、426、435、436可以被实现为计算机程序产品,该计算机产品通常在计算机可读介质420、421、430、431(具体在非易失性介质)上承载或存储。计算机可读介质可包括一个或多个可移除或不可移除的存储设备,包括(但不限于):只读存储器(rom)、随机存取存储器(ram)、高密度盘(cd)、数字多用途盘(dvd)、蓝光盘,通用串行总线(usb)存储器、硬盘驱动器(hdd)存储设备、闪存、磁带或任何其它常规存储设备。计算机程序可以因此被加载到计算机或等效处理设备的操作存储器中,用于由其处理电路执行。
图21是示出了根据任一实施例的包括amf50的网络节点99的示例的示意框图。
网络设备可以是无线通信系统中的任何合适的网络设备,或者是与无线通信系统连接的网络设备。作为示例,网络设备可以是合适的网络节点,例如基站或接入点。然而,网络设备备选地可以是云实现的网络设备。
根据另一方面,提供了一种无线通信系统中的网络节点99,其中,该网络节点包括如本文所述的amf50。通信单元可以是无线通信系统中的任何合适的通信单元。作为示例,通信单元可以是无线通信设备,例如ue、sta或类似的终端用户设备。
当由一个或多个处理器执行时,本文介绍的流程图可以被认为是计算机流程图。对应的装置可以被定义为一组功能模块,其中由处理器执行的每个步骤与功能模块相对应。在这种情况下,功能模块被实现为在处理器上运行的计算机程序。
驻留在存储器中的计算机程序可以因此被组织为合适的功能模块,所述功能模块被配置为,当被处理器执行时,执行本文所述的步骤和/或任务的至少一部分。
图22是示出了具有用于支持对用于ue的服务amf的改变进行处理的amf50的网络节点99的示例的示意图。
在一个实施例中,网络节点99的amf50包括发射器模块510,其中该发射器模块510用于从目标amf向源amf发送上下文请求。网络节点99还包括接收器模块520,其中该接收器模块520用于在目标amf中从源amf接收作为答复的上下文。上下文包括标识seafamf的参数,该seafamf保持与ue共享的密钥。
在一个实施例中,网络节点99的amf50包括接收器模块520,该接收器模块520用于在源amf中从目标amf接收上下文请求。网络节点99还包括发射器模块510,该发射器模块用于从源amf向目标amf发送上下文作为答复。上下文包括标识seafamf的参数,该seafamf保持与ue共享的密钥。
图23是示出了具有用于支持对用于ue的服务amf的改变进行处理的amf50的网络节点99的另一示例的示意图。
在一个实施例中,网络节点99的amf50包括接收器模块520,该接收器模块用于从目标amf接收对用于ue的新的密钥的请求。amf50还包括密钥管理模块530,该密钥管理模块530用于从与ue共享的密钥中导出新的cn密钥。amf50还包括发射器模块510,该发射器模块530用于向目标amf发送新的cn密钥。
图24是示出了用于通信网络的ue80的示例的示意图。在一个实施例中,ue80包括用于向目标amf发送注册请求的发射器模块。ue80还包括用于在目标amf与ue之间执行nas建立过程的安全模块。nas建立过程向ue通知由目标amf决定的认证策略。ue80还包括用于根据认证策略应用密钥过程的密钥处理模块。
备选地,可以主要通过硬件模块(或备选地通过硬件)以及相关模块之间的合适的互连来实现图22至图24中的模块。具体示例包括一个或多个合适配置的数字信号处理器和其他已知电子电路,例如先前所述的互连以执行专用功能的分立逻辑门和/或专用集成电路(asic)。可用硬件的其它示例包括输入/输出(i/o)电路和/或用于接收和/或发送信号的电路。软件对硬件的程度仅仅是实现选择。
在诸如网络节点和/或服务器之类的网络设备中提供计算服务(硬件和/或软件)变得日益普遍,其中资源被作为服务通过网络提供给远程位置。举例而言,这意味着如本文所述的功能可被分布或重新定位到一个或多个分开的物理节点或服务器。该功能可被重新定位或分布到可位于分开的物理节点的一个或多个联合工作的物理和/或虚拟机器中,即在所谓的云中。这有时也被称为云计算,云计算是一种支持对诸如网络、服务器、存储设备、应用和通用或定制服务等可配置计算资源的池的随时随地的按需网络访问的模型。
存在在这种上下文中可用的不同形式的虚拟化,所述形式包括以下一种或多种:
将网络功能整合到运行在定制或通用硬件上的虚拟化软件中。这有时被称为网络功能虚拟化。
将单独的硬件上运行的一个或多个应用堆栈(包括操作系统)共同定位在单个硬件平台上。这有时被称为系统虚拟化或平台虚拟化。
硬件和/或软件资源的共同定位,目的是使用一些高级的域级别调度和协调技术来获得改善的系统资源利用率。这有时被称为资源虚拟化、或者集中式和协调式资源池。
虽然将功能集中到所谓的通用数据中心经常是令人期望的,但在其他情况下实际上将功能分布在网络的不同部分上可能是有利的。
图25是示出了一般情况下可以如何在不同网络设备之间分布或划分功能的示例的示意图。在该示例中,至少有两个单独的但互连的网络设备nd1和nd2(分别具有附图标记610和620),其可以将不同的功能或者相同功能的部分在网络设备610与620之间划分。可能存在额外的网络设备,例如nd3,其具有附图标记630,其是这种分布式实现的一部分。网络设备610-630可以是同一无线通信系统的一部分,或者一个或多个网络设备可以是位于无线通信系统外部的所谓的基于云的网络设备。
图26是示出了无线通信系统的示例的示意图,该无线通信系统包括接入网络710和/或核心网络720和/或操作支持系统(oss)730,其与一个或多个基于云的网络设备740协作。与接入网710和/或核心网720和/或oss系统730相关的功能可以至少部分地实现为在基于云的网络设备740中执行,其中在基于云的网络设备与接入网和/或核心网和/或oss系统中的相关网络节点和/或通信单元之间存在合适的信息传送。
网络设备(nd)通常可被视为通信连接到网络中的其他电子设备的电子设备。
作为示例,网络设备可以用硬件、软件或其组合来实现。例如,网络设备可以是专用网络设备或通用网络设备或其混合。
专用网络设备可以使用定制处理电路和专有操作系统(os)来执行软件以提供本文公开的特征或功能中的一个或多个。
通用网络设备可以使用公共现成(cots)处理器和标准os来执行软件,其中该软件被配置为提供本文公开的特征或功能中的一个或多个。
作为示例,专用网络设备可以包括硬件、物理网络接口(ni)以及其上存储有软件的非暂时性机器可读存储介质,其中该硬件包括处理或计算资源,其通常包括一个或多个处理器构成的集合,并且该物理网络接口(ni)有时被称为物理端口。物理ni可以被视为网络设备中的进行网络连接的硬件,所述网络连接例如通过无线网络接口控制器(wnic)以无线方式来进行或者通过将缆线插入连接到网络接口控制器(nic)的物理端口来进行。在操作期间,软件可被硬件执行,以实例化一个或多个软件实例的集合。每个软件实例以及执行该软件实例的那部分硬件可以形成单独的虚拟网络单元。
作为另一示例,通用网络设备可以例如包括硬件和网络接口控制器(nic)以及其上存储有软件的非暂时性机器可读存储介质,所述硬件包括一个或多个处理器(通常是cots处理器)构成的集合。在操作期间,处理器执行软件以实例化一个或多个应用的一个或多个集合。虽然一个实施例不实现虚拟化,但是替代实施例可以使用不同形式的虚拟化-例如由虚拟化层和软件容器来表示。例如,一个这样的替代实施例实现了操作系统级别的虚拟化,在这种情况下,虚拟化层代表允许创建多个软件容器的操作系统内核(或在基础操作系统上执行的垫(shim)),每个软件容器可被用来执行应用集合之一。在示例实施例中,每个软件容器(也称为虚拟化引擎、虚拟专用服务器或空间(jail))是用户空间实例(通常是虚拟存储空间)。这些用户空间实例可以彼此分离,并与执行操作系统的内核空间分离;除非明确允许,否则在给定用户空间中运行的应用集不能访问其他进程的内存。另一个这样的替代实施例实现完全虚拟化,在这种情况下:1)虚拟层表示管理程序(有时称为虚拟机监视器(vmm)),或者管理程序在主机操作系统顶上执行;以及,2)每个软件容器表示由管理程序执行的并且可以包括客户操作系统的被称为虚拟机的软件容器的紧密隔离形式。
管理程序是负责创建和管理各种虚拟化实例以及在某些情况下创建和管理实际物理硬件的软件/硬件。管理程序管理底层资源并将它们呈现为虚拟化实例。管理程序虚拟化为单个处理器的内容实际上可以包括多个分开的处理器。从操作系统的角度来看,虚拟化实例看起来是实际的硬件组件。
虚拟机是运行程序的物理机器的软件实现,在运行程序时就好像它们在物理的非虚拟化的机器上执行一样;以及,应用一般不知道它们运行在虚拟机上还是运行在“纯金属”的主机电子设备上,然而出于优化目的,一些系统提供允许操作系统或应用能够意识到存在虚拟化的准虚拟化(para-virtualization)。
一个或多个应用程序的一个或多个集合的实例化以及虚拟化层和软件容器(如果实现的话)统称为软件实例。每个应用集合、相应的软件容器(如果实现的话)以及执行它们的那部分硬件(其是专用于该执行的硬件和/或硬件的被软件容器分时共享的时间片)形成单独的虚拟网络元件。
虚拟网络元件可以执行与虚拟网元(vne)类似的功能。这种硬件虚拟化有时被称为网络功能虚拟化(nfv))。从而,nfv可以用于将很多网络设备类型统一到工业标准高容量服务器硬件、物理交换机、和物理存储器,它们可以位于数据中心、nd、和客户住宅设备(cpe)中。然而,不同实施例可以用不同方式来实现虚拟容器中的一个或多个。例如,尽管实施例被示出为每个软件容器对应于一个vne,但是替代实施例可以在更精细的粒度级别上实现软件容器-vne之间的这种对应关系或映射;应该理解,本文参考软件容器与vne的对应关系描述的技术也适用于使用这种更精细粒度级别的实施例。
根据又一实施例,提供了一种混合网络设备,其在一个网络设备(例如,在网络设备nd内的卡或电路板)中既包括定制处理电路/专有os也包括cots处理器/标准os。在这种混合网络设备的某些实施例中,平台虚拟机(vm)(诸如实现专用网络设备的功能的vm)可以向混合网络设备中存在的硬件提供准虚拟化。
上述实施例仅作为示例给出,并且应当理解,所提出的技术不限于此。本领域技术人员将理解,在不背离由随附权利要求限定的本公开范围的情况下,可以对实施例做出各种修改、组合和改变。尤其是,在技术上可行的其他配置中,不同实施例中的不同部分解决方案可以被组合。
缩写词
aka认证和密钥协议
an接入网络
amf接入和移动性管理功能
arq自动重传请求
asic专用集成电路
ausf认证服务器功能
bts基站收发机站点
cd光盘
cn核心网络
cots公共现成元件
cpe客户住宅设备
cpu中央处理单元
cs电路交换
dsp数字信号处理器
dvd数字多用途盘
enb演进型节点b
epc演进型分组核心
eps演进型分组系统
eutran演进型utran
fpga现场可编程门阵列
ggsn网关gprs支持节点
guti全局唯一临时id
hdd硬盘驱动器
hlr归属位置寄存器
hplmn归属公共陆地移动网络
hspa高速分组接入
hss归属订户服务器
hw硬件
i/o输入/输出
iot物联网
lee膝上型嵌入式设备
lme膝上型安装设备
lte长期演进
mem存储器单元
mme移动性管理实体
mmf移动性管理功能
msc移动交换中心
nas非接入层
nd网络设备
nfv网络功能虚拟化
ng下一代
ni网络接口
nic网络接口控制器
ofdma正交频分多址
os操作系统
oss操作支持系统
pc个人计算机
pda个人数字助理
pdn分组数据网络网关
pguti主guti
plc可编程逻辑控制器
ps分组交换
pstn公共交换电话网
qos服务质量
ram随机存取存储器
ran无线电接入网络
reg寄存器
rnc无线电网络控制器
rom只读存储器
rrm无线电资源管理
rru远程无线电单元
sae系统架构演进
seaf安全锚功能
sg服务网关
sgsn服务gprs支持节点
smc安全模式命令
smf会话管理功能
sta站/站点
sw软件
udm用户数据管理
ue用户设备
uicc通用集成电路卡
umts通用移动电信系统
up用户平面
usb通用串行总线
utran通用陆地无线电接入网络
vm虚拟机
vmm虚拟机监视器
vne虚拟网络元素
wcdma宽带码分多址
wnic无线网络接口控制器。
- 还没有人留言评论。精彩留言会获得点赞!