会话管理授权令牌的制作方法
本专利申请要求由lee等人于2017年10月13日提交的题为“sessionmanagementauthorizationtoken(会话管理授权令牌)”的美国专利申请no.15/783,260、以及由lee等人于2017年2月3日提交的题为“sessionmanagementauthorizationtoken(会话管理授权令牌)”的美国临时专利申请no.62/454,685的优先权,其中每一件申请均被转让给本申请受让人。
背景技术:
下文一般涉及无线通信,且更具体地涉及会话管理授权令牌。
无线通信系统被广泛部署以提供诸如语音、视频、分组数据、消息接发、广播等各种类型的通信内容。这些系统可以能够通过共享可用系统资源(例如,时间、频率和功率)来支持与多个用户的通信。此类多址系统的示例包括码分多址(cdma)系统、时分多址(tdma)系统、频分多址(fdma)系统、以及正交频分多址(ofdma)系统(例如,长期演进(lte)系统或新无线电(nr)系统)。无线多址通信系统可包括数个基站或接入网节点,每个基站或接入网节点同时支持多个通信设备的通信,这些通信设备可另外被称为用户装备(ue)。
无线多址通信系统可包括数个网络接入设备,每个网络接入设备同时支持多个通信设备的通信,这些通信设备另外被称为ue。在lte或高级lte(lte-a)网络中,网络接入设备可采取基站的形式,其中一个或多个基站的集合定义演进型b节点(enb)。在下一代nr系统、毫米波(mmw)、或5g网络中,网络接入设备可采取智能无线电头端(或无线电头端(rh))或接入节点控制器(anc)的形式,其中与anc通信的智能无线电头端的集合定义下一代b节点(enb)。网络接入设备可在下行链路信道(例如,用于从网络接入设备至ue的传输)和上行链路信道(例如,用于从ue至网络接入设备的传输)上与ue集合通信。
ue可以请求网络设备建立与由该网络设备提供的订阅相关的会话。在诸如lte或lte-a之类的一些无线通信系统中,移动性管理实体(mme)可以处置认证、授权、和会话管理。结果,mme可以执行与建立会话相关的移动性管理功能和会话管理功能两者。mme可以负责ue尝试建立的会话创建。然而,在下一代、nr、mmw、或5g网络中,单个网络设备(即,mme)可能不支持或处置认证、授权、和会话管理。
概述
所描述的技术涉及支持会话管理的改进的方法、系统、设备或装置。用户装备(ue)可以建立用于逻辑数据网的协议数据单元(pdu)会话。该逻辑数据网还可以称为网络切片。在一些方面,在建立用于ue的pdu会话之前,与该pdu会话相关的网络切片可能需要授权。在无线通信系统(诸如lte或lte-a)中,mme可以处置移动性管理和会话管理两者以供ue请求建立会话。相反,在下一代、nr、mmw、或5g网络中,移动性管理和会话管理功能可以至少在逻辑上与mme分开并且位于不同的位置处。在下一代、nr、mmw、或5g网络中——会话管理可以由会话管理功能(smf)执行,其与接入和移动性功能(amf)可以是逻辑上分开的功能。
描述了一种无线通信方法。该方法可包括:接收会话请求消息以建立用于与ue相关联的逻辑数据网的pdu会话,该会话请求消息包括会话参数;
验证该ue被授权建立用于该逻辑数据网的该pdu会话;至少部分地基于该验证来接收与该pdu会话相关联的密钥;至少部分地基于所接收到的密钥和这些会话参数来生成授权令牌;以及将包括所生成的授权令牌的会话响应消息传送到该ue。
描述了一种用于无线通信的装备。该装备可包括:用于接收会话请求消息以建立用于与ue相关联的逻辑数据网的pdu会话的装置,该会话请求消息包括会话参数;用于验证该ue被授权建立用于该逻辑数据网的该pdu会话的装置;用于至少部分地基于该验证来接收与该pdu会话相关联的密钥的装置;用于至少部分地基于所接收到的密钥和这些会话参数来生成授权令牌的装置;以及用于将包括所生成的授权令牌的会话响应消息传送到该ue的装置。
描述了用于无线通信的另一装置。该装置可包括处理器、与该处理器处于电子通信的存储器、以及存储在该存储器中的指令。这些指令可操作用于使该处理器:接收会话请求消息以建立用于与ue相关联的逻辑数据网的pdu会话,该会话请求消息包括会话参数;验证该ue被授权建立用于该逻辑数据网的该pdu会话;至少部分地基于该验证来接收与该pdu会话相关联的密钥;至少部分地基于所接收到的密钥和这些会话参数来生成授权令牌;以及将包括所生成的授权令牌的会话响应消息传送到该ue。
描述了一种用于无线通信的非瞬态计算机可读介质。该非瞬态计算机可读介质可包括可操作用于使得处理器执行以下操作的指令:接收会话请求消息以建立用于与ue相关联的逻辑数据网的pdu会话,该会话请求消息包括会话参数;验证该ue被授权建立用于该逻辑数据网的该pdu会话;至少部分地基于该验证来接收与该pdu会话相关联的密钥;至少部分地基于所接收到的密钥和这些会话参数来生成授权令牌;以及将包括所生成的授权令牌的会话响应消息传送到该ue。
在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,接收密钥包括从安全性锚功能(seaf)接收密钥,其中该seaf可以是维护至少部分地基于ue对网络的成功认证所导出的认证锚密钥的网络功能。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,接收密钥包括至少部分地基于可扩展认证协议(eap)来从第三方认证、授权、和计费(aaa)服务器接收该密钥。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:传送包括该ue的标识符(id)和该逻辑数据网的id的密钥请求消息。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:响应于密钥请求消息而接收密钥响应消息,该密钥响应消息包括会话管理功能(smf)密钥。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:从seaf接收密钥响应消息。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:在密钥响应消息中接收smf密钥,其中该smf密钥可以至少部分地基于与seaf相关联的seaf密钥来导出。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:至少部分地基于seaf密钥来对会话响应消息进行完整性保护。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,这些会话参数包括安全性算法、服务质量(qos)、或其组合中的至少一者。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:获得由ue请求的会话参数。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:至少部分地基于ue订阅简档、逻辑数据网策略、第三方授权、或其任何组合来确定这些会话参数。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:至少部分地基于该确定来确定关于pdu会话的会话策略。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:在会话响应消息中将该会话策略传送给ue。
在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,会话请求消息包括逻辑网id、ueid、或其组合中的至少一者。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:至少部分地基于消息认证码(mac)功能来生成授权令牌,其中smf密钥和会话参数可以是该mac功能的输入。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,会话请求消息可以是至少部分地基于ue与amf之间的共享密钥的受完整性保护的会话请求消息。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:通过ue与smf之间的会话管理(sm)非接入阶层(nas)连接以及通过smf与aaa服务器之间的smnas连接来递送ue与aaa服务器之间的认证消息交换。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:响应于该认证消息交换而从aaa服务器接收ue是否可以被授权建立用于逻辑数据网的pdu会话的指示。
在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,接收密钥响应消息可以至少部分地基于关于ue可以被授权建立pdu会话的指示。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,smf密钥可以由aaa服务器导出。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:至少部分地基于指示ue可以被授权建立pdu会话的认证协议来从第三方服务器接收主会话密钥。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:至少部分地基于该主会话密钥来导出smf密钥。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:向ue传送smnas安全性模式命令,其中该smnas安全性模式命令包括所选择的安全性算法、关于pdu会话的会话策略、或其组合中的至少一者。
在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,生成授权令牌可以至少部分地基于所选择的安全性算法、关于pdu会话的会话策略、或其组合中的至少一者的散列。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,可以在smf处接收会话请求消息。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,所生成的授权令牌包括关于smf是否可以授权用于逻辑数据网的pdu会话的指示。
在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,smf可以位于服务网络或归属网络处。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,服务网络包括到访公共陆地移动网络(vplmn)。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,归属网络包括归属公共陆地移动网络(hplmn)。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,逻辑数据网可以与网络切片相关联。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:从ue接收会话响应确收消息;以及至少部分地基于该会话响应确收消息来验证ue。
描述了一种无线通信方法。该方法可包括:传送会话请求消息以建立用于逻辑数据网的pdu会话,该会话请求消息包括会话参数;以及接收会话响应消息,该会话响应消息包括至少部分地基于smf密钥和会话参数的授权令牌。
描述了一种用于无线通信的装备。该装备可包括:用于传送会话请求消息以建立用于逻辑数据网的pdu会话的装置,该会话请求消息包括会话参数;以及用于接收会话响应消息的装置,该会话响应消息包括至少部分地基于smf密钥和会话参数的授权令牌。
描述了用于无线通信的另一装置。该装置可包括处理器、与该处理器处于电子通信的存储器、以及存储在该存储器中的指令。这些指令可操作用于使该处理器:传送会话请求消息以建立用于逻辑数据网的pdu会话,该会话请求消息包括会话参数;以及接收会话响应消息,该会话响应消息包括至少部分地基于smf密钥和会话参数的授权令牌。
描述了一种用于无线通信的非瞬态计算机可读介质。该非瞬态计算机可读介质可包括可操作用于使得处理器执行以下操作的指令:传送会话请求消息以建立用于逻辑数据网的pdu会话,该会话请求消息包括会话参数;以及接收会话响应消息,该会话响应消息包括至少部分地基于smf密钥和会话参数的授权令牌。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:至少部分地基于从由seaf维护的认证锚密钥导出的smf密钥来对会话请求消息进行完整性保护。在上述方法、装备(装置)、和非瞬态计算机可读介质的一些示例中,会话请求消息包括安全性算法、qos、或其组合中的至少一者。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:接收关于pdu会话的会话策略,该会话策略可以与逻辑网id、ueid、或其组合中的至少一者相关联。
上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:接收smnas安全性模式命令,其中该smnas安全性模式命令包括所选择的安全性算法、关于pdu会话的会话策略、或其组合中的至少一者。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:至少部分地基于所传送的会话请求消息来验证smnas安全性模式命令。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:至少部分地基于该验证来传送smnas安全性模式完成消息。上述方法、装备(装置)和非瞬态计算机可读介质的一些示例可进一步包括用于以下操作的过程、特征、装置、或指令:生成会话响应确收消息;以及将该会话响应确收消息传送到smf。
附图简述
图1解说了根据本公开的各方面的用于支持会话管理授权令牌的无线通信的无线通信系统的示例。
图2解说了根据本公开的各方面的用于支持会话管理授权令牌的无线通信的无线通信系统的示例。
图3a和3b解说了根据本公开的各方面的支持会话管理授权令牌的过程流的示例。
图4解说了根据本公开的各方面的用于支持会话管理授权令牌的无线通信的无线通信系统的示例。
图5a和5b解说了根据本公开的各方面的支持会话管理授权令牌的过程流的示例。
图6到8示出了根据本公开的各方面的支持会话管理授权令牌的设备的框图。
图9解说了根据本公开的各方面的包括支持会话管理授权令牌的网络设备的系统的框图。
图10到12示出了根据本公开的各方面的支持会话管理授权令牌的设备的框图。
图13解说了根据本公开的各方面的包括支持会话管理授权令牌的ue的系统的框图。
图14到18解说了根据本公开的各方面的用于会话管理授权令牌的方法。
详细描述
用户装备(ue)可以建立用于逻辑数据网的协议数据单元(pdu)会话。逻辑数据网还可以被称为网络切片。在一些方面,在建立用于ue的pdu会话之前,与pdu会话相关的网络切片可能需要授权。在一些示例中,移动性管理实体(mme)可以处置移动性管理和会话管理两者以供ue请求建立会话。在下一代、nr、mmw、或5g网络中,移动性管理和会话管理功能可以与mme分开并且位于不同的位置处。在下一代、nr、mmw、或5g网络中——会话管理可以由会话管理功能(smf)执行,其与接入和移动性功能(amf)相比可以是逻辑上分开的功能。与smf相比,amf还可以位于不同的安全域中。例如,在服务网络中,amf可以位于较靠近于ue(或无线电接入网(ran))的位置,而smf可以位于该网络中较深处。在这一方面,amf可能位于网络中较不安全的位置处。结果,amf可能较容易受损并执行未经授权的行为。例如,受损amf可修改由ue请求的会话信息。附加地,amf可以修改由smf授权的会话信息。在一些示例中,amf可以是到访公共陆地移动网络(vplmn)的一部分。替换地,smf可以是归属公共陆地移动网络(hplmn)的一部分。
在一些方面,smf可以与策略控制功能(pcf)对接,该pcf可以包括关于与网络切片和/或ue相关联的一个或多个服务的订阅信息。smf还可以与第三方认证、授权、和计费(aaa)服务器(例如,其可以授权受赞助的零增值税会话)对接。在一些示例中,smf可以基于ue的订阅来授权用于网络切片的pdu会话。amf可以服务一个或多个网络切片(即,逻辑数据网)。在一些方面,网络切片pdu会话创建可以由smf基于amf可能无法访问的服务或网络切片订阅信息来授权。在一些示例中,smf可以基于仅ue和smf知晓的安全性密钥来导出授权令牌,以保护信息(例如,数据分组、配置信息、订阅信息、ue与smf之间的信令等)免于在amf处受损(例如,被amf改变、译解、或注入)。
在一些示例中,每个网络切片可以基于ue的订阅来与不同的会话授权策略相关联。例如,ue可以请求建立与embb切片、物联网(iot)切片、或任务关键切片的订阅。amf可以基于一个或多个订阅需求(例如,安全性需要(诸如加密和完整性保护算法)、以及安全性终接点)来对与每个订阅相关联的pdu会话应用不同的会话授权策略。替换地,基于实施会话策略的第三方aaa服务器的附加认证或授权,每个切片可以与不同的会话授权策略相关。
本公开的各方面最初在无线通信系统的上下文中进行描述。随后描述了用于会话管理授权令牌的示例性无线设备(例如,ue或网络实体)、系统、以及过程流。参考与会话管理授权令牌相关的装置示图、系统示图和流程图来进一步解说和描述本公开的各方面。
图1解说了根据本公开的各方面的用于支持会话管理授权令牌的无线通信的无线通信系统100的示例。无线通信系统100包括网络设备105、ue115和核心网130。在一些示例中,无线通信系统100可以是第五代(5g)/新无线电(nr)、或长期演进(lte)(或高级lte)网络。在一些方面,无线通信系统100可支持增强型宽带通信、超可靠(即,任务关键)通信、低等待时间通信、以及与低成本且低复杂度设备的通信。
无线通信系统100可以支持无线设备105生成用于与ue115相关联的会话管理的授权令牌。网络设备105可以从ue115接收会话请求消息以建立用于逻辑数据网的会话。会话请求消息可包括一个或多个会话参数。在一些方面,网络设备105可以验证ue115被授权建立用于逻辑数据网的会话。网络设备105还可以响应于验证ue115而接收与会话相关联的密钥。在一些示例中,网络设备105可以基于所接收到的密钥和在来自ue115的会话请求消息中所接收到的至少一个会话参数来生成授权令牌。网络设备105可以向ue115传送会话响应消息。会话响应消息可以包括所生成的授权令牌。通过验证授权令牌,ue115可以确保网络设备105被授权服务ue115。
网络设备105可经由一个或多个基站天线来与ue115进行无线通信。每个网络设备105可为相应的地理覆盖区域110提供通信覆盖。无线通信系统100中示出的通信链路125可包括从ue115到网络设备105的上行链路(ul)传输、或者从网络设备105到ue115的下行链路(dl)传输。控制信息和数据可根据各种技术在上行链路信道或下行链路上被复用。控制信息和数据可例如使用时分复用(tdm)技术、频分复用(fdm)技术或者混合tdm-fdm技术在下行链路信道上被复用。在一些示例中,在下行链路信道的传输时间区间(tti)期间传送的控制信息可按级联方式在不同控制区域之间(例如,在共用控制区域与一个或多个因ue而异的控制区域之间)分布。
ue115可被配置成向网络设备105传送会话请求消息,以建立用于逻辑数据网的会话。在一些示例中,ue115可以被配置成从网络设备105接收会话响应消息。会话响应消息可以包括基于密钥和会话参数的授权令牌。ue115还可以被配置成使用从与ue115相关联的认证锚密钥导出的密钥(例如,smf密钥)来对会话请求消息进行完整性保护。
各ue115可分散遍及无线通信系统100,并且每个ue115可以是驻定的或移动的。ue115也可被称为移动站、订户站、移动单元、订户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持机、用户代理、移动客户端、客户端或者某个其他合适的术语。ue115还可以是蜂窝电话、个人数字助理(pda)、无线调制解调器、无线通信设备、手持式设备、平板计算机、膝上型计算机、无绳电话、个人电子设备、手持式设备、个人计算机、无线本地环路(wll)站、iot设备、万物联网(ioe)设备、机器类型通信(mtc)设备、电器、汽车等等。
在一些方面,ue115还可以能够直接与其他ue(例如,使用对等(p2p)或设备到设备(d2d)协议)通信。利用d2d通信的一群ue115中的一个或多个ue可在蜂窝小区的地理覆盖区域110内。此类群中的其他ue115可在蜂窝小区的物理覆盖区域110之外,或者以其他方式不能够接收来自网络设备105的传输。在一些方面,经由d2d通信进行通信的各群ue115可以利用一对多(1:m)系统,其中每个ue115向该群中的每个其它ue115进行传送。在一些方面,网络设备105促成对用于d2d通信的资源的调度。在其他方面,d2d通信是独立于网络设备来执行的。
一些ue115(诸如,mtc或iot设备)可以是低成本或低复杂度设备,并且可提供机器之间的自动化通信,即,机器到机器(m2m)通信。m2m或mtc可以指允许设备彼此通信或者设备与基站通信而无需人类干预的数据通信技术。例如,m2m或mtc可以指来自集成有传感器或计量仪以测量或捕捉信息并将该信息中继到中央服务器或应用程序的设备的通信,该中央服务器或应用程序可以利用该信息或者将该信息呈现给与该程序或应用交互的人类。一些ue115可被设计成收集信息或实现机器的自动化行为。用于mtc设备的应用的示例包括:智能计量、库存监视、水位监视、装备监视、健康护理监视、野外生存监视、天气和地理事件监视、队列管理和跟踪、远程安全感测、物理接入控制、和基于交易的商业收费。
在一些方面,mtc设备可使用半双工(单向)通信以降低的峰值速率来操作。mtc设备还可被配置成在没有参与活跃通信时进入功率节省“深度睡眠”模式。在一些方面,mtc或iot设备可被设计成支持关键任务功能,并且无线通信系统可被配置成为这些功能提供超可靠通信。
网络设备105可与核心网130通信并且彼此通信。例如,网络设备105可通过回程链路132(例如,s1等)来与核心网130对接。网络设备105可直接或间接地(例如,通过核心网130)在回程链路134(例如,x2等)上彼此通信。网络设备105可以执行针对与ue115的通信的无线电配置和调度,或者可以在基站控制器(未示出)的控制下操作。在一些示例中,网络设备105可以是宏蜂窝小区、小型蜂窝小区、热点等等。网络设备105还可被称为演进型b节点(enb)105。
网络设备105可通过s1接口连接到核心网130。核心网可以是演进型分组核心(epc),该epc可包括至少一个mme、至少一个s-gw、以及至少一个p-gw。mme可以是处理ue115与epc之间的信令的控制节点。所有用户ip分组可通过s-gw来传递,s-gw自身可连接到p-gw。p-gw可提供ip地址分配以及其他功能。p-gw可连接到网络运营商ip服务。运营商ip服务可包括因特网、内联网、ip多媒体子系统(ims)、以及分组交换(ps)流送服务(pss)。
核心网130可提供用户认证、接入授权、跟踪、网际协议(ip)连通性,以及其他接入、路由、或移动性功能。至少一些网络设备(诸如网络设备105)可包括子组件,诸如可以是接入节点控制器(anc)的示例的接入网设备。每个接入网设备可通过数个其他接入网传输实体与数个ue通信,每个其他接入网传输实体可以是智能无线电头端或传送/接收点(trp)的示例。在一些配置中,每个接入网设备或网络设备105的各种功能可跨各种网络设备(例如,无线电头端和接入网控制器)分布或者被合并到单个网络设备(例如,网络设备105)中。
无线通信系统100可在超高频(uhf)频率区划中使用从700mhz到2600mhz(2.6ghz)的频带进行操作,但在一些方面,无线通信网络100可使用高达4ghz的频率。由于波长在从约1分米到1米长的范围内,因此该区划也可被称为分米频带。uhf波可主要通过视线传播,并且可被建筑物和环境特征阻挡。然而,这些波可充分穿透墙壁以向位于室内的ue115提供服务。与使用频谱的高频(hf)或甚高频(vhf)部分的较小频率(和较长波)的传输相比,uhf波的传输由较小天线和较短射程(例如,小于100km)来表征。在一些方面,无线通信系统100还可利用频谱的极高频(ehf)部分(例如,从30ghz到300ghz)。由于波长在从约1毫米到1厘米长的范围内,因此该区域也可被称为毫米频带。由此,ehf天线可甚至比uhf天线更小且间隔得更紧密。在一些方面,这可促成在ue115内使用天线阵列(例如,用于定向波束成形)。然而,ehf传输可能经受比uhf传输甚至更大的大气衰减和更短的射程。
由此,无线通信系统100可支持ue115与网络设备105之间的毫米波(mmw)通信。工作在mmw或ehf频带的设备可具有多个天线以允许波束成形。即,网络设备105可使用多个天线或天线阵列来进行波束成形操作以用于与ue115的定向通信。波束成形(其也可被称为空间滤波或定向传输)是一种可以在发射机(例如,ue115)处使用以在目标接收机(例如,ue115)的方向上整形和/或引导整体天线波束的信号处理技术。这可通过以使得以特定角度传送的信号经历相长干涉而其他信号经历相消干涉的方式组合天线阵列中的振子来达成。
多输入多输出(mimo)无线系统在传送方(例如,基站)和接收方(例如,ue)之间使用传输方案,其中传送方和接收方两者均装备有多个天线。无线通信系统100的一些部分可以使用波束成形。例如,网络设备105可具有带有数行和数列天线端口的天线阵列,该网络设备105可在其与ue115的通信中将该天线阵列用于波束成形。信号可在不同方向上被传送多次(例如,每个传输可被不同地波束成形)。mmw接收方(例如,ue115)可在接收同步信号时尝试多个波束(例如,天线子阵列)。
在一些方面,网络设备105或ue115的天线可位于可支持波束成形或mimo操作的一个或多个天线阵列内。一个或多个基站天线或天线阵列可共处于天线组装件(诸如天线塔)处。在一些方面,与网络设备105相关联的天线或天线阵列可位于不同地理位置中。网络设备105可使用多个天线或天线阵列来进行波束成形操作以用于与ue115的定向通信。
在一些方面,无线通信系统100可以是根据分层协议栈来操作的基于分组的网络。在用户面,承载或分组数据汇聚协议(pdcp)层的通信可以是基于ip的。在一些方面,无线电链路控制(rlc)层可执行分组分段和重组以在逻辑信道上通信。媒体接入控制(mac)层可执行优先级处置并且将逻辑信道复用成传输信道。mac层还可使用混合arq(harq)以提供mac层的重传,从而改善链路效率。在控制面,无线电资源控制(rrc)协议层可以提供ue115与网络设备105或核心网130之间支持用户面数据的无线电承载的rrc连接的建立、配置和维护。在物理(phy)层,传输信道可被映射到物理信道。
lte或nr中的时间区间可用基本时间单位(其可以为采样周期ts=1/30,720,000秒)的倍数来表达。时间资源可根据长度为10ms(tf=307200ts)的无线电帧来组织,无线电帧可由范围从0到1023的系统帧号(sfn)来标识。每个帧可包括从0到9编号的10个1ms子帧。子帧可被进一步划分成两个0.5ms时隙,其中每个时隙包含6或7个调制码元周期(取决于每个码元前添加的循环前缀的长度)。排除循环前缀,每个码元包含2048个采样周期。在一些方面,子帧可以是最小调度单元,也被称为tti。在其他方面,tti可以短于子帧或者可被动态地选择(例如,在短tti突发中或者在使用短tti的所选分量载波中)。
资源元素可包括一个码元周期和一个副载波(例如,15khz频率范围)。资源块可包含频域中的12个连贯副载波,并且对于每个ofdm码元中的正常循环前缀而言,包含时域(1个时隙)中的7个连贯ofdm码元,或即包含84个资源元素。每个资源元素所携带的比特数可取决于调制方案(可在每个码元周期期间选择的码元配置)。因此,ue接收的资源块越多且调制方案越高,则数据率就可以越高。
无线通信系统100可支持多个蜂窝小区或载波上的操作,这是可被称为载波聚集(ca)或多载波操作的特征。载波也可被称为分量载波(cc)、层、信道等。术语“载波”、“分量载波”、“蜂窝小区”和“信道”在本文中可以可互换地使用。ue115可配置有用于载波聚集的多个下行链路cc以及一个或多个上行链路cc。载波聚集可与fdd和tdd分量载波两者联用。
在一些方面,无线通信系统100可利用增强型分量载波(ecc)。ecc可由一个或多个特征来表征,这些特征包括:较宽的带宽、较短的码元历时、较短的传输时间区间(tti)、以及经修改的控制信道配置。在一些方面,ecc可以与载波聚集配置或双连通性配置(例如,在多个服务蜂窝小区具有次优或非理想回程链路时)相关联。ecc还可被配置成在无执照频谱或共享频谱(其中一个以上运营商被允许使用该频谱)中使用。由宽带宽表征的ecc可包括可由不能够监视整个带宽或者优选使用有限带宽(例如,以节省功率)的ue115利用的一个或多个区段。
在一些方面,ecc可利用不同于其他cc的码元历时,这可包括使用与另一cc的码元历时相比减小的码元历时。较短的码元历时可与增加的副载波间隔相关联。ecc中的tti可包括一个或多个码元。在一些方面,tti历时(即,tti中的码元数目)可以是可变的。在一些方面,ecc可利用不同于其他cc的码元历时,这可包括使用与另一cc的码元历时相比减小的码元历时。较短码元历时与增加的副载波间隔相关联。利用ecc的设备(诸如ue115或网络设备105)可以按减小的码元历时(例如,16.67微秒)来传送宽带信号(例如,20、40、60、80mhz等)。ecc中的tti可包括一个或多个码元。在一些方面,tti历时(即,tti中的码元数目)可以是可变的。
在一些方面,无线通信系统100可利用有执照和无执照射频谱带两者。例如,无线通信系统100可采用lte执照辅助接入(lte-laa)或者无执照频带(诸如,5ghz工业、科学和医学(ism)频带)中的lte无执照(lteu)无线电接入技术或nr技术。当在无执照射频谱带中操作时,无线设备(诸如,网络设备105和ue115)可采用先听后讲(lbt)规程以在传送数据之前确保信道是畅通的。在一些方面,无执照频带中的操作可以与在有执照频带中操作的分量载波(cc)相协同地基于载波聚集(ca)配置。无执照频谱中的操作可包括下行链路传输、上行链路传输或两者。无执照频谱中的双工可基于频分双工(fdd)、时分双工(tdd)或两者的组合。
图2解说了根据本公开的各方面的用于支持会话管理授权令牌的无线通信的无线通信系统200的示例。无线通信系统200可以包括ue115,其可以是如本文中参照图1所描述的ue115的示例。无线通信系统200还可以包括:amf组件205、安全性锚功能(seaf)组件210、认证服务器功能/认证凭证储存库和处理功能(ausf/arpf)组件215、ran组件220、逻辑数据网群(即,网络切片)225、以及pcf组件245。
在一些示例中,逻辑数据网群225可以包括:第一逻辑数据网225-a、第二逻辑数据网225-b、和第三逻辑数据网225-c。逻辑数据网群225可以附加地包括:smf组件230和用户面功能(upf)组件235。无线通信系统200中示出的通信链路260可以包括:从ue115到一个或多个网络实体(例如,amf组件205、seaf组件210、ausf/arpf组件215、ran组件220、逻辑数据网群225、和pcf组件245)的上行链路(ul)传输或从这些网络实体中的一者或多者(例如,amf组件205、seaf组件210、ausf/arpf组件215、ran组件220、逻辑数据网群225、和pcf组件245)到ue115的下行链路(dl)传输。
ue115可以传送会话请求消息,以建立与逻辑数据网群225中的一个或多个逻辑数据网的会话。在一些示例中,会话可以是与逻辑数据网225中的一者或多者的pdu会话。在一些方面,ue115和smf组件230可以建立会话管理(sm)非接入阶层(nas)安全性连接,并且ue115可以在所建立的smnas安全性连接上传送会话请求消息。附加地,ue115可以对会话请求消息进行完整性保护。在一些示例中,smf组件230可以基于从网络的seaf组件210获得的smf密钥(即,与smf相关联的数据网络会话密钥或切片密钥)来验证受完整性保护的会话请求消息。seaf组件210可以保持认证锚密钥(即,seaf密钥),并导出用于smf组件230(或数据网络或切片)的smf密钥。例如,ue115可以使用seaf密钥(即,与ue115相关联的认证锚密钥)来导出smf密钥以保护会话请求消息。在某些方面,seaf密钥可能不可用于amf组件205。
seaf组件210还可以基于smf组件230的位置来导出smf密钥。附加地,seaf组件210可以基于smf组件230的位置、逻辑数据网类型或id(例如,与第一逻辑数据网225-a、第二逻辑数据网225-b、和/或第三逻辑数据网225-c中的至少一者相关联的逻辑数据网类型或id)来导出smf密钥。在一些方面,smf组件230可以位于vplmn或hplmn中的至少一者中。
与upf组件235(经由通信链路260)、以及pcf组件245和ausf/arpf组件215处于通信的smf组件230可以验证ue115被授权建立用于对应的逻辑数据网(例如,来自逻辑数据网群225的至少一个逻辑数据网切片)的pdu会话。在一些示例中,smf组件230可以向ue115传送受完整性保护的会话响应消息。在一些示例中,受完整性保护的会话响应消息可以由ue115验证。smf组件230可以从seaf组件210获得smf密钥。seaf组件210可以维护基于对ue115的验证(即,认证)导出的seaf密钥。在一些示例中,可以在ue115处导出seaf密钥。
在一些示例中,smf组件230可以获得由ue115请求的会话参数或对服务的指示(例如,建立与embb切片、iot切片、或任务关键切片的订阅)。smf组件230可以基于ue115订阅简档、逻辑数据网策略、第三方授权、或其任何组合来确定会话参数。pcf组件245可以存储ue115订阅简档。结果,pcf组件245可以向smf组件230提供与数据网或服务会话相关联的ue115订阅简档。在一些方面,smf组件230可以基于ue115订阅简档、逻辑数据网策略、第三方授权、或其任何组合中的至少一者来确定用于所请求的会话的会话策略。smf组件230可以在会话响应消息中向ue115传送会话策略。
smf组件230可以向seaf组件210传送密钥请求消息。密钥请求消息可以包括ue115的id和至少一个逻辑数据网225的id。seaf组件210可以向ausf/arpf组件215传送密钥请求消息。ausf/arpf组件215可以对ue115进行认证。ausf/arpf组件215可以响应于密钥请求消息和对ue115的认证而向seaf组件210传送密钥响应消息。密钥响应消息可以包括seaf密钥。ausf/arpf组件215可以导出seaf密钥。在一些示例中,可以基于seaf密钥来导出smf密钥。在一些示例中,ue115可以基于seaf密钥来独立地导出seaf密钥和smf密钥。
smf组件230可以使用smf密钥来生成授权令牌。在一些示例中,smf组件230可以基于会话请求参数来生成授权令牌。会话请求参数可以被传送并且是会话请求消息的一部分。会话请求参数可以包括安全性算法、qos、逻辑数据网id等。smf组件230可以使用mac生成功能(例如,hmac-sha-256/512、hmac-sha-3、cmac、gmac)来生成授权令牌。smf密钥和一个或多个会话参数可以是mac生成功能的输入。替换地,在一些方面,mac生成功能的输入参数可以是对无安全性的指示,即,mac生成功能的输入参数将仅是smf密钥和文本串,例如,“无安全性”。在一些示例中,文本串可以是空的。
附加地,smf组件230可以基于smf密钥和一个或多个附加的会话参数来生成授权令牌。例如,smf组件230可以基于smf密钥、会话请求参数、逻辑数据网id、smfid、会话计数器、会话管理消息计数器、所选择的安全性算法中的至少一者的散列、会话请求参数中的至少一者的散列、关于pdu会话的会话策略、或其组合来生成授权令牌。在一些方面,会话计数器可以与ue115自加入网络以来已经请求的会话的数目相关联。
在一些方面,seaf组件210可以监视和跟踪ue115自加入网络以来已经请求的会话的数目。会话管理消息计数器可以是用于防止对由ue115传送的会话请求消息(即,会话创建请求消息)的重放攻击、或者对由smf组件230传送的会话响应消息(即,会话创建响应消息)的重放攻击、或两者的计数器。smf组件230可以经由amf组件205来将包括所生成的授权令牌的会话响应消息传送到ue115。
图3a和3b解说了根据本公开的各方面的支持会话管理授权令牌的过程流300的示例。图3a解说了根据本公开的各方面的支持将设备注册到网络的过程流300-a的示例。与过程流300-a相关联的设备可以包括ue115,其可以是如本文中参照图1所描述的ue115的示例。过程流300-a还可以包括amf组件205-a、smf组件305、seaf组件210-a、以及ausf/arpf组件215-a,其可以是如本文中参照图2所描述的amf组件、smf组件、upf组件、seaf组件、以及ausf/arpf组件的示例。
在310,ue115可以向amf组件205-a传送附连请求消息。附连请求消息可以是初始nas消息。在一些示例中,附连请求消息可以包括ue标识符(id)、订户用户永久id、ue网络能力、或其任何组合。
在315,amf组件205-a可以接收附连请求消息并将密钥请求消息传送到seaf组件210-a。在一些示例中,amf组件205-a可以接收ue标识符id、订户用户永久id、ue网络能力、或其任何组合,并且在密钥请求消息中传送该信息。seaf组件210-a在逻辑上可以位于hplmn或vplmn中。在一些方面,seaf组件210-a在逻辑上可以位于与smf组件305相同的网络中。
在320,seaf组件210-a可以向ausf/arpf组件215-a传送密钥请求消息。在325,ausf/arpf组件215-a可以执行与ue115的相互认证。在330,响应于该相互认证,ausf/arpf组件215-a可以向seaf组件210-a传送密钥响应消息。在一些示例中,密钥响应消息包括seaf密钥。seaf密钥可以是因ue而异的。附加地,可以基于对ue115的认证(即,相互认证)来导出seaf密钥。
在335,seaf组件210-a可以将密钥响应消息传送到amf组件205-a。在一些示例中,密钥响应消息可以由seaf组件210-a进行完整性保护。例如,seaf组件210-a可以生成amf加密密钥,并且用包括seaf密钥的密钥响应消息来传送amf加密密钥。
在340,amf组件205-a和ue115可以执行nas安全性模式命令(smc)。在一些示例中,nassmc可以建立amf密钥(或nas密钥),以用于在ue115与amf组件205-a之间安全递送nas信令消息。在一些示例中,nas信令消息可以在控制面中。在一些方面,nassmc可以包括所选择的安全性算法、关于pdu会话的会话策略、或其组合中的至少一者。在一些方面,ue115和smf组件305可以建立smnas安全性连接,并且ue115可以在所建立的smnas安全性连接上传送会话请求消息。在345,amf组件205-a可以向ue115传送附连接受消息。在350,ue115可以向amf组件205-a传送附连完成消息。
图3b解说了根据本公开的各方面的支持会话管理授权令牌的过程流300-b的示例。过程流300-b可以包括ue115,其可以是如本文中参照图1和图3a所描述的ue115的示例。过程流300-b还可以包括amf组件205-a、smf组件305、seaf组件210-a、ausf/arpf组件215-a、以及pcf组件245-a,其可以是如本文中参照图2到3a所描述的amf组件、smf组件、upf组件、seaf组件、以及ausf/arpf组件的示例。
在360,ue115可以向amf组件205-a传送服务会话请求消息。在一些示例中,服务会话请求消息可以是要建立用于与ue115相关联的逻辑数据网(即,网络切片)的pdu会话。在一些方面,服务会话请求消息可包括一个或多个会话参数。一个或多个会话参数可以包括由ue115选择的一个或多个安全性算法、由ue115支持的一组安全性算法、qos等。附加地,服务会话请求消息可以包括逻辑网id、或ueid、或两者。在一些示例中,ue115可以基于ue115与amf组件205-a之间的共享密钥(例如,使用seaf密钥和切片(或服务)id导出的smf密钥)来对服务会话请求消息进行完整性保护。
在360-a,ue115可以向smf组件305传送服务会话请求消息。在365,smf组件305可以响应于接收到服务会话请求消息而通过向pcf组件245-a传送服务会话请求消息来促成订阅检查。pcf组件245-a可以基于订阅检查来向smf组件305传送指示。该指示可以标识ue是否被授权建立pdu会话。
在370,smf组件305可以执行策略决策。为了执行策略决策,smf组件305可以获得由ue115请求的一个或多个会话参数。在获得会话参数之后,smf组件305可以基于ue115订阅简档、逻辑数据网策略、第三方授权、或其任何组合来确定会话参数。结果,smf组件305可以确定用于服务会话请求消息的会话策略。
在375,smf组件305可以向seaf组件210-a传送密钥请求消息。在375-a,seaf组件210-a可以向ausf/arpf组件215-a传送密钥请求消息。ausf/arpf组件215-a可以维护基于对ue115的成功认证(例如,在365)所导出的认证锚密钥。在380,ausf/arpf组件215-a可以向seaf组件210-a传送密钥响应消息。seaf组件210-a导出smf密钥并将包括该smf密钥的密钥响应消息传送到smf组件305。seaf组件210-a可以通过向经授权的smf组件305严格发送smf密钥来控制smf组件305是否被授权服务ue115。
在385,smf组件305可以生成授权令牌。在一些方面,smf组件305可以基于消息认证码(mac)功能来生成授权令牌。smf密钥和一个或多个会话参数可以是mac功能的输入。在390,smf组件305可以向amf组件205-a传送服务会话响应消息。在390-a,amf组件205-a可以向ue115传送服务会话响应消息。服务会话响应消息可以包括所生成的授权令牌。在390-b,ue115可以验证授权令牌以确保smf组件305被授权服务ue115。在395-a,ue115可以向smf组件305传送会话响应确收消息。在395-b,smf组件305可以验证从ue115接收到的会话响应确收消息。会话响应确收消息可以指示接收到包括授权令牌的会话响应消息。
图4解说了根据本公开的各方面的用于支持会话管理授权令牌的无线通信的无线通信系统400的示例。无线通信系统400可以包括ue115,其可以是如本文中参照图1所描述的ue115的示例。无线通信系统400还可以包括:amf组件405、seaf组件410、ausf/arpf组件415、ran组件420、逻辑数据网群(即,网络切片)425、以及第三方aaa组件445。
在一些示例中,逻辑数据网群425可以包括:第一逻辑数据网425-a、第二逻辑数据网425-b、和第三逻辑数据网425-c。逻辑数据网群425可以附加地包括:smf组件430和upf组件435。无线通信系统400中示出的通信链路460可以包括:从ue115到一个或多个网络实体(例如,amf组件405、seaf组件410、ausf/arpf组件415、ran组件420、逻辑数据网群425、和第三方aaa组件445)的上行链路(ul)传输或从这些网络实体中的一者或多者(例如,amf组件405、seaf组件410、ausf/arpf组件415、ran组件420、逻辑数据网群425、和第三方aaa组件445)到ue115的下行链路(dl)传输。
在一些示例中,用于无线通信的无线通信系统400支持基于二级认证的会话管理授权令牌。ue115可以传送会话请求消息,以建立与逻辑数据网群425中的一个或多个逻辑数据网的会话。会话可以是与逻辑数据网425中的一者或多者的pdu会话。在一些方面,ue115和smf组件430可以建立smnas安全性连接,并且ue115可以在所建立的smnas安全性连接上传送会话请求消息。会话请求消息可以包括所支持的安全性算法和会话要求的列表。
附加地,ue115可以对会话请求消息进行完整性保护。在一些示例中,smf组件430可以基于从seaf组件410获得的密钥(即,smf密钥)来验证受完整性保护的会话请求消息。例如,ue115可以使用seaf密钥(即,与ue115相关联的认证锚密钥)来导出密钥以保护会话请求消息。在某些方面,smf密钥可能不可用于amf组件405。seaf组件410还可以基于smf组件430的信息来导出smf密钥。附加地,seaf组件410可以基于smf组件430的位置、逻辑数据网类型或id(例如,与第一逻辑数据网425-a、第二逻辑数据网425-b、和/或第三逻辑数据网425-c中的至少一者相关联的逻辑数据网类型或id)来导出smf密钥。在一些方面,smf组件430可以位于vplmn或hplmn中的至少一者中。
与upf组件435(经由通信链路460)、以及第三方aaa组件445和ausf/arpf组件415处于通信的smf组件430可以验证ue115被授权建立用于对应的逻辑数据网(例如,来自逻辑数据网群425的至少一个逻辑数据网切片)的pdu会话。在一些示例中,smf组件430可以向ue115传送受完整性保护的会话响应消息。在一些示例中,受完整性保护的会话响应消息可以仅由ue115验证。smf组件430可以从seaf组件410获得smf密钥。
seaf组件410可以维护基于经由第三方aaa组件445对ue115的验证(即,认证)所导出的seaf密钥。在一些示例中,可以在ue115处导出seaf密钥。在一些示例中,smf组件430可以直接与第三方aaa组件445对接。结果,可以基于由第三方aaa组件445发送的密钥来导出smf密钥。替换地,smf组件430可以与seaf组件410对接,并且seaf组件410可以与第三方aaa组件445对接。在这一方面,基于由第三方aaa组件向seaf组件410发送的密钥来导出seaf密钥。随后,基于smf组件430从seaf组件410获得的seaf密钥来导出smf密钥。在一些示例中,smf组件430直接与第三方aaa组件445对接。结果,可以基于由第三方aaa组件445发送的密钥来导出smf密钥。替换地,smf组件430可以与seaf组件410对接,并且seaf组件410可以与第三方aaa组件445对接。在这一方面,基于由第三方aaa组件向seaf组件410发送的密钥来导出seaf密钥。随后,基于smf组件430从seaf组件410获得的seaf密钥来导出smf密钥。
在一些示例中,smf组件430可以获得由ue115请求的会话参数或对服务的指示(例如,建立与embb切片、iot切片、或任务关键切片的订阅)。smf组件430可以基于ue115订阅简档、逻辑数据网策略、第三方授权、或其任何组合来确定会话参数。第三方aaa组件445可以存储ue115订阅简档。结果,第三方aaa组件445可以向smf组件430提供ue115订阅简档。在一些方面,第三方aaa组件445可以向smf组件430提供ue115服务授权信息。在一些方面,smf组件430可以基于ue115订阅简档、逻辑数据网策略、第三方授权、或其任何组合中的至少一者来确定用于所请求的会话的会话策略。smf组件430可以在会话响应消息中向ue115传送会话策略。
smf组件430还可以向seaf组件410传送密钥请求消息。密钥请求消息可以包括ue115的id和至少一个逻辑数据网425的id。ausf/arpf组件415可以对ue115进行认证。ausf/arpf组件415可以响应于密钥请求消息和对ue115的认证而传送密钥响应消息。密钥响应消息可以包括smf密钥。在一些示例中,可以基于与ue115相关联的seaf密钥来导出smf密钥。
smf组件430可以确定是否要求ue115与第三方aaa组件445之间的二级认证以供批准pdu会话。可以基于在ue115、smf组件430、以及第三方aaa组件445之间交换的认证消息来执行二级认证。附加地,可以基于在ue115、smf组件430、seaf组件410、以及第三方aaa组件445之间交换的认证消息来执行二级认证。
smf组件430可以在ue115与第三方aaa组件445之间递送认证消息交换。在一些示例中,认证消息交换可以在ue115与smf组件430之间的smnas连接上以及在smf组件430与第三方aaa组件445之间的smnas连接上递送。在一些示例中,smf组件430可以从第三方aaa组件445接收关于ue115被授权建立用于逻辑数据网的pdu会话的指示。第三方aaa组件445还可以导出smf密钥并将包括该smf密钥的密钥响应消息传送到smf组件430。在一些示例中,第三方aaa组件445可以基于验证该ue被授权建立pdu会话来传送密钥响应消息。在一些示例中,可以基于可扩展认证协议(eap)来传送smf密钥。第三方aaa组件445还可以基于成功的eap认证来将主会话密钥传送到smf组件430。smf组件430可以使用主会话密钥来导出smf密钥。替换地,smf组件430可以将所接收到的主会话密钥用作smf密钥。第三方aaa组件445可以在密钥响应消息中将主会话密钥传送到smf组件430。
在一些方面,smf组件430可以向ue115传送smnas安全性模式命令。smnas安全性模式命令可以包括由smf组件430选择的安全性算法以及可任选地由smf组件430确定的服务策略。smnas安全性模式命令还可以包括:由ue115提供的所支持的算法和会话要求(即,ue115已经在会话请求消息中传送的重放以使ue115确认smf组件430在会话请求消息中接收到的会话参数,以及因此防止竞价下跌(biddingdown)攻击)。在一些示例中,可以由smf组件430在smnas安全性模式命令中向ue115提供所支持的算法和会话要求的散列。ue115可以验证所支持的算法和会话要求的所接收到的散列。例如,ue115可以将传送到smf组件430的会话参数存储在会话请求消息中。smf组件可以响应于从smf组件430接收到smnas安全性模式命令而使用所存储的会话参数来计算散列。smnas安全性模式命令可以包括ue115的id和与seaf组件410相关联的smf密钥导出参数。ue115可以基于从smf组件430接收到的导出参数来导出smf密钥。在导出smf密钥之后,ue115可以验证smnas安全性模式命令。如果smnas安全性模式命令验证成功,则ue115可以将smnas安全性模式完成消息传送到smf组件430。
smf组件430可以使用smf密钥来生成授权令牌。在一些示例中,smf组件430可以基于会话请求参数来生成授权令牌。会话请求参数可以被传送并且是会话请求消息的一部分。会话请求参数可以包括安全性算法、qos、逻辑数据网id等。smf组件430可以使用mac生成功能(例如,hmac-sha-256/512、hmac-sha-3、cmac、gmac)来生成授权令牌。smf密钥和一个或多个会话参数可以是mac生成功能的输入。替换地,在一些方面,mac生成功能的输入参数可以是对无安全性的指示,即,mac生成功能的输入参数将仅是smf密钥。
附加地,smf组件430可以基于smf密钥和一个或多个附加的会话参数来生成授权令牌。例如,smf组件430可以基于smf密钥、会话请求参数、逻辑数据网id、smfid、会话计数器、会话管理消息计数器、所选择的安全性算法中的至少一者的散列、关于pdu会话的会话策略、或其组合来生成授权令牌。在一些方面,会话计数器可以与ue115自加入网络以来已经请求的会话的数目相关联。例如,seaf组件410可以监视和跟踪ue115自加入网络以来已经请求的会话的数目。会话管理消息计数器可以是用于防止对amf组件405的重放攻击的计数器。smf组件430可以经由amf组件405来将包括所生成的授权令牌的会话响应消息传送到ue115。
图5a和5b解说了根据本公开的各方面的支持会话管理授权令牌的过程流500的示例。图5a解说了根据本公开的各方面的支持将设备注册到网络的过程流500-a的示例。过程流500-a的网络设备可以包括ue115,其可以是如本文中参照图1所描述的ue115的示例。过程流500-a还可以包括amf组件405-a、smf组件505、seaf组件410-a、以及ausf/arpf组件415-a,其可以是如本文中参照图2到4所描述的amf组件、smf组件、upf组件、seaf组件、以及ausf/arpf组件的示例。
在510,ue115可以向amf组件405-a传送附连请求消息。附连请求消息可以是rrc消息内的初始nas消息。在一些示例中,附连请求消息可以包括ue标识符(id)、订阅用户永久id、ue网络能力、或其任何组合。
在515,amf组件405-a可以接收附连请求消息并将密钥请求消息传送到seaf组件410-a。在一些示例中,amf组件405-a可以接收ue标识符id、订户用户永久id、ue网络能力、或其任何组合,并且在密钥请求消息中传送该信息。seaf组件410-a在逻辑上可以位于hplmn或vplmn中。在一些方面,seaf组件410-a在逻辑上可以位于与smf组件505相同的网络中。
在520,seaf组件410-a可以向ausf/arpf组件415-a传送密钥请求消息。在525,ausf/arpf组件415-a可以执行与ue115的相互认证。在530,响应于该相互认证,ausf/arpf组件415-a可以向seaf组件410-a传送密钥响应消息。在一些示例中,密钥响应消息包括seaf密钥。seaf密钥可以是因ue而异的。附加地,可以基于对ue115的认证(即,相互认证)来导出seaf密钥。
在535,seaf组件410-a可以向amf组件405-a传送密钥响应消息。在一些示例中,密钥响应消息可以由seaf组件410-a进行完整性保护。例如,seaf组件410-a可以生成amf加密密钥,并且用包括seaf密钥的密钥响应消息来传送amf加密密钥。
在540,amf组件405-a和ue115可以执行nassmc。在一些示例中,nassmc可以在ue115与amf组件405-a之间提供nas信令消息的安全递送。在一些示例中,nas信令消息可以在控制面中。在一些方面,nassmc可以包括所选择的安全性算法、关于pdu会话的会话策略、或其组合中的至少一者。在545,amf组件405-a可以向ue115传送附连接受消息。在550,ue115可以向amf组件405-a传送附连完成消息。
图5b解说了根据本公开的各方面的支持会话管理授权令牌的过程流500-b的示例。过程流500-b可以包括ue115,其可以是如本文中参照图1和图5a所描述的ue115的示例。过程流500-a还可以包括amf组件405-a、smf组件505、seaf组件410-a、ausf/arpf组件415-a、以及第三方aaa组件445-a,其可以是如本文中参照图2到5a所描述的amf组件、smf组件、upf组件、seaf组件、以及ausf/arpf组件的示例。
在560,ue115可以向amf组件405-a传送服务会话请求消息。在一些示例中,服务会话请求消息可以是要建立用于与ue115相关联的逻辑数据网(即,网络切片)的pdu会话。在一些方面,服务会话请求消息可包括一个或多个会话参数。一个或多个会话参数可以包括安全性算法、qos等。附加地,服务会话请求消息可以包括逻辑网id、或ueid、或两者。在一些示例中,ue115可以基于ue115与amf组件405-a之间的共享密钥(例如,seaf密钥)来对服务会话请求消息进行完整性保护。
在560-a,amf405-a可以向smf组件505传送服务会话请求消息。在565,smf组件505可以响应于接收到服务会话请求消息而执行策略决策。为了执行策略决策,smf组件505可以获得由ue115请求的一个或多个会话参数。在获得会话参数之后,smf组件505可以基于ue115订阅简档、逻辑数据网策略、第三方授权、或其任何组合来确定会话参数。结果,smf组件505可以确定用于服务会话请求消息的会话策略。会话策略确定可能需要ue115与关联于服务会话请求消息(或数据网络接入)的第三方aaa组件445-a之间的二级(eap)认证。
在570,smf组件505可以在ue115与第三方aaa组件445-a之间递送认证消息交换。在一些示例中,认证消息交换可以在ue115与smf组件505之间的smnas连接上以及在smf组件505与第三方aaa组件445-a之间的smnas连接上递送。在一些示例中,smf组件505可以从第三方aaa组件445-a接收关于ue115被授权建立用于逻辑数据网的pdu会话的指示。
在575,第三方aaa组件445-a可以导出smf密钥并将包括该smf密钥的密钥响应消息传送到smf组件505。第三方aaa组件445-a可以通过向经授权的smf组件505严格发送smf密钥来控制smf组件505是否被授权服务ue115。在一些示例中,第三方aaa组件445-a可以基于验证该ue被授权建立pdu会话来传送密钥响应消息。在一些示例中,可以基于可扩展认证协议(eap)规程来传送smf密钥。
在580,smf组件505可以生成授权令牌。在一些方面,smf组件505可以基于消息认证码(mac)功能来生成授权令牌。smf密钥和一个或多个会话参数可以是mac功能的输入。在585,smf组件505可以向amf组件405-a传送服务会话响应消息。在585-a,amf组件405-a可以向ue115传送服务会话响应消息。服务会话响应消息可以包括所生成的授权令牌。在585-b,ue115可以验证授权令牌以确保smf组件505被授权服务ue115。在590-a,ue115可以向smf组件505传送会话响应确收消息。在590-b,smf组件可以验证从ue115接收到的会话响应确收消息,包括验证该ue115。会话响应确收消息可以指示接收到包括授权令牌的会话响应消息。
图6示出了根据本公开的各个方面的支持会话管理授权令牌的无线设备605的框图600。无线设备605可以是如参照图1描述的网络设备105的各方面的示例。无线设备605可包括接收机610、网络设备会话授权管理器615、以及发射机620。无线设备605还可包括处理器。这些组件中的每一者可彼此处于通信(例如,经由一条或多条总线)。
接收机610可接收信息,诸如分组、用户数据、或与各种信息信道相关联的控制信息(例如,控制信道、数据信道、以及与会话管理授权令牌相关的信息等)。信息可被传递到该设备的其他组件。接收机610可以是参照图9所描述的收发机935的各方面的示例。
无线设备605可包括网络设备会话授权管理器615。网络设备会话管理器615和/或其各种子组件中的至少一些子组件可用硬件、由处理器执行的软件、固件、或其任何组合来实现。如果在由处理器执行的软件中实现,则网络设备会话授权管理器615和/或其各个子组件中的至少一些子组件的功能可以由通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本公开中描述的功能的任何组合来执行。
网络设备会话授权管理器615和/或其各个子组件中的至少一些可物理地位于各个位置处,包括被分布成使得功能的各部分由一个或多个物理设备在不同物理位置处实现。在一些示例中,网络设备会话授权管理器615和/或其各个子组件中的至少一些可以是根据本公开的各个方面的分开且相异的组件。在其他示例中,根据本公开的各方面,网络设备会话授权管理器615和/或其各种子组件中的至少一些子组件可以与一个或多个其他硬件组件(包括但不限于i/o组件、收发机、网络服务器、另一计算设备、本公开中所描述的一个或多个其他组件、或其组合)进行组合。
网络设备会话授权管理器615可以接收会话请求消息以建立用于与ue相关联的逻辑数据网的pdu会话,该会话请求消息可以包括一个或多个会话参数。网络设备会话授权管理器615可以验证ue被授权建立用于逻辑数据网的pdu会话,基于该验证来接收与pdu会话相关联的密钥,基于所接收到的密钥和会话参数来生成授权令牌,以及将包括所生成的授权令牌的会话响应消息传送到ue。
发射机620可传送由该设备的其他组件生成的信号。在一些示例中,发射机620可与接收机610共处于收发机模块中。例如,发射机620可以是参照图9所描述的收发机935的各方面的示例。发射机620可包括单个天线,或者它可包括一组天线。
图7示出了根据本公开的各个方面的支持会话管理授权令牌的无线设备705的框图700。无线设备705可以是如参照图1和6所描述的无线设备605或网络设备105的各方面的示例。无线设备705可包括接收机710、网络设备会话授权管理715、以及发射机720。无线设备705还可包括处理器。这些组件中的每一者可彼此处于通信(例如,经由一条或多条总线)。
接收机710可接收信息,诸如分组、用户数据、或与各种信息信道相关联的控制信息(例如,控制信道、数据信道、以及与会话管理授权令牌相关的信息等)。信息可被传递到该设备的其他组件。接收机710可以是参照图9所描述的收发机935的各方面的示例。
网络设备会话授权管理器715可以是参照图6所描述的网络设备会话授权管理器615的各方面的示例。网络设备会话授权管理器715还可以包括:会话请求组件725、验证组件730、以及令牌生成组件735。
会话请求组件725可以接收会话请求消息以建立用于与ue相关联的逻辑数据网的pdu会话。会话请求消息可包括一个或多个会话参数。会话请求组件725可以将包括所生成的授权令牌的会话响应消息传送到ue,以及基于对会话请求消息的验证来接收与pdu会话相关联的密钥。在一些方面,逻辑数据网与网络切片相关联。在一些方面,接收密钥包括从seaf接收密钥,其中seaf是维护基于ue对网络的成功认证来导出的认证锚密钥的网络功能。在一些方面,接收密钥包括基于eap来从第三方aaa服务器接收密钥。在一些方面,会话参数包括安全性算法、qos、或其组合中的至少一者。在一些方面,会话请求消息是基于ue与amf之间的共享密钥的受完整性保护的会话请求消息。在一些方面,该会话请求消息是在smf处接收的。在一些方面,smf位于服务网络或归属网络处。在一些方面,服务网络包括vplmn。在一些方面,归属网络包括hplmn。在一些方面,会话请求消息包括逻辑网id、ueid、或其组合中的至少一者。
验证组件730可以验证ue被授权建立用于逻辑数据网的pdu会话。令牌生成组件735可以基于所接收到的密钥和会话参数来生成授权令牌,以及基于mac功能来生成授权令牌。smf密钥和会话参数可以是mac功能的输入。在一些方面,生成授权令牌基于所选择的安全性算法、关于pdu会话的会话策略、或其组合中的至少一者的散列。在一些方面,所生成的授权令牌包括关于smf是否授权用于逻辑数据网的pdu会话的指示。
发射机720可传送由该设备的其他组件生成的信号。在一些示例中,发射机720可与接收机710共处于收发机模块中。例如,发射机720可以是参照图9所描述的收发机935的各方面的示例。发射机720可包括单个天线,或者它可包括一组天线。
图8示出了根据本公开的各个方面的支持会话管理授权令牌的网络设备会话授权管理器815的框图800。网络设备会话授权管理器815可以是参照图6、7和9所描述的网络设备会话授权管理器615、网络设备会话授权管理器715、或网络设备会话授权管理器915的各方面的示例。网络设备会话授权管理器815可以包括:会话请求组件820、验证组件825、令牌生成组件830、密钥请求组件835、会话参数组件840、会话策略组件845、以及认证消息交换组件850。这些模块中的每一者可彼此直接或间接通信(例如,经由一条或多条总线)。
会话请求组件820可以接收会话请求消息以建立用于与ue相关联的逻辑数据网的pdu会话。会话请求消息可包括一个或多个会话参数。会话请求组件820可以将包括所生成的授权令牌的会话响应消息传送到ue。在一些方面,会话请求组件820可以基于对所传送的会话请求消息的验证来接收与pdu会话相关联的密钥。在一些方面,逻辑数据网与网络切片相关联。在一些方面,接收密钥包括从seaf接收密钥。seaf可以是维护基于ue对网络的成功认证来导出的认证锚密钥的网络功能。附加地,会话请求组件820可以基于eap来从第三方aaa服务器接收密钥。在一些方面,会话参数包括安全性算法、qos、或其组合中的至少一者。在一些方面,会话请求消息是基于ue与amf之间的共享密钥的受完整性保护的会话请求消息。在一些方面,该会话请求消息是在smf处接收的。在一些方面,smf位于服务网络或归属网络处。在一些方面,服务网络包括vplmn。在一些方面,归属网络包括hplmn。在一些方面,会话请求消息包括逻辑网id、ueid、或其组合中的至少一者。
验证组件825可以验证ue被授权建立用于逻辑数据网的pdu会话。令牌生成组件830可以基于所接收到的密钥和会话参数来生成授权令牌。替换地,令牌生成组件830可以基于mac功能来生成授权令牌,其中smf密钥和一个或多个会话参数是mac功能的输入。在一些方面,所生成的授权令牌基于所选择的安全性算法、关于pdu会话的会话策略、或其组合中的至少一者的散列。在一些方面,所生成的授权令牌包括关于smf是否授权用于逻辑数据网的pdu会话的指示。
密钥请求组件835可以传送包括ue的id和逻辑数据网的id的密钥请求消息。密钥请求组件835可以响应于密钥请求消息而接收密钥响应消息。密钥响应消息可以包括smf密钥。附加地,密钥请求组件835可以从seaf接收密钥响应消息,并在密钥响应消息中接收smf密钥。可以基于与seaf相关联的seaf密钥来导出smf密钥。在一些示例中,密钥请求组件835可以基于seaf密钥来对会话响应消息进行完整性保护。
会话参数组件840可以获得由ue请求的会话参数,并且基于ue订阅简档、逻辑数据网策略、第三方授权、或其任何组合来确定会话参数。会话策略组件845可以基于该确定来确定关于pdu会话的会话策略,以及在会话响应消息中将该会话策略传送到ue。
认证消息交换组件850可以通过ue与smf之间的smnas连接以及通过smf与aaa服务器之间的smnas连接来递送ue与aaa服务器之间的认证消息交换。认证消息交换组件850可以响应于该认证消息交换而从aaa服务器接收ue是否被授权建立用于逻辑数据网的pdu会话的指示。在一些方面,认证消息交换组件850可以基于指示ue被授权建立pdu会话的认证协议来从第三方服务器接收主会话密钥,基于主会话密钥来导出smf密钥,以及将smnas安全性模式命令传送到ue。smnas安全性模式命令可以包括所选择的安全性算法、关于pdu会话的会话策略、或其组合中的至少一者。在一些方面,接收密钥响应消息基于关于ue被授权建立pdu会话的指示。在一些方面,smf密钥由aaa服务器导出。认证消息交换组件850可以从ue接收会话响应确收消息;以及基于该会话响应确收消息来验证ue。
图9示出了根据本公开的各个方面的包括支持会话管理授权令牌的设备905的系统900的示图。设备905可以是如以上例如参照图1、6和7所描述的无线设备605、无线设备705或网络设备105的各组件或包括这些组件。设备905可包括用于双向语音和数据通信的组件,包括用于传送和接收通信的组件,包括网络设备会话授权管理器915、处理器920、存储器925、软件930、收发机935、以及i/o控制器940。这些组件可经由一条或多条总线(例如,总线910)处于电子通信。
处理器920可包括智能硬件设备(例如,通用处理器、dsp、中央处理单元(cpu)、微控制器、asic、fpga、可编程逻辑器件、分立的门或晶体管逻辑组件、分立的硬件组件,或其任何组合)。在一些方面,处理器920可被配置成使用存储器控制器来操作存储器阵列。在其他方面,存储器控制器可被集成到处理器920中。处理器920可被配置成执行存储器中所储存的计算机可读指令以执行各种功能(例如,支持会话管理授权令牌的各功能或任务)。
存储器925可包括随机存取存储器(ram)和只读存储器(rom)。存储器925可存储包括指令的计算机可读、计算机可执行软件930,这些指令在被执行时使得处理器执行本文所描述的各种功能。在一些方面,存储器925可尤其包含基本输入/输出系统(bios),该bios可控制基本硬件和/或软件操作,诸如与外围组件或设备的交互。软件930可包括用于实现本公开的各方面的代码,包括用于支持会话管理授权令牌的代码。软件930可被存储在非瞬态计算机可读介质(诸如系统存储器或其他存储器)中。在一些方面,软件930可以是不能由处理器直接执行的,而是可以(例如,在被编译和执行时)使计算机执行本文中所描述的各功能。
收发机935可经由一个或多个天线、有线或无线链路进行双向通信,如上所述。例如,收发机935可表示无线收发机并且可与另一无线收发机进行双向通信。收发机935还可包括调制解调器以调制分组并将经调制的分组提供给天线以供传输,以及解调从天线接收到的分组。
i/o控制器940可管理设备905的输入和输出信号。i/o控制器940还可管理未被集成到设备905中的外围设备。在一些方面,i/o控制器940可表示至外部外围设备的物理连接或端口。在一些方面,i/o控制器940可利用操作系统,诸如,
图10示出了根据本公开的各个方面的支持会话管理授权令牌的无线设备1005的框图1000。无线设备1005可以是如参照图1描述的ue115的各方面的示例。无线设备1005可包括接收机1010、ue会话授权管理器1015、以及发射机1020。无线设备1005还可包括处理器。这些组件中的每一者可彼此处于通信(例如,经由一条或多条总线)。
接收机1010可接收信息,诸如分组、用户数据、或与各种信息信道相关联的控制信息(例如,控制信道、数据信道、以及与会话管理授权令牌相关的信息等)。信息可被传递到该设备的其他组件。接收机1010可以是参照图13所描述的收发机1335的各方面的示例。
无线设备1005可包括ue会话授权管理器1015。ue会话授权管理器1015和/或其各个子组件中的至少一些子组件可以在硬件、由处理器执行的软件、固件、或其任何组合中实现。如果在由处理器执行的软件中实现,则ue会话授权管理器1015和/或其各个子组件中的至少一些的功能可由设计成执行本公开中描述的功能的通用处理器、dsp、asic、fpga或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来执行。
ue会话授权管理器1015和/或其各个子组件中的至少一些子组件可物理地位于各个位置,包括被分布成使得功能的各部分由一个或多个物理设备在不同物理位置处实现。在一些示例中,ue会话授权管理器1015和/或其各个子组件中的至少一些子组件可以是根据本公开的各个方面的分开且相异的组件。在其他示例中,根据本公开的各方面,ue会话授权管理器1015和/或其各种子组件中的至少一些子组件可以与一个或多个其他硬件组件(包括但不限于i/o组件、收发机、网络服务器、另一计算设备、本公开中所描述的一个或多个其他组件或其组合)组合。
ue会话授权管理器1015可以传送会话请求消息以建立用于逻辑数据网的pdu会话。在一些示例中,会话请求消息可包括一个或多个会话参数。ue会话授权管理器1015可以接收会话响应消息,该会话响应消息包括基于smf密钥和一个或多个会话参数的授权令牌。
发射机1020可传送由该设备的其他组件生成的信号。在一些示例中,发射机1020可与接收机1010共处于收发机模块中。例如,发射机1020可以是参照图13所描述的收发机1335的各方面的示例。发射机1020可包括单个天线,或者它可包括一组天线。
图11示出了根据本公开的各个方面的支持会话管理授权令牌的无线设备1105的框图1100。无线设备1105可以是如参照图1和13所描述的网络设备105或ue115的各方面的示例。无线设备1105可包括接收机1110、ue会话授权管理器1115、以及发射机1120。无线设备1105还可包括处理器。这些组件中的每一者可彼此处于通信(例如,经由一条或多条总线)。
接收机1110可接收信息,诸如分组、用户数据、或与各种信息信道相关联的控制信息(例如,控制信道、数据信道、以及与会话管理授权令牌相关的信息等)。信息可被传递到该设备的其他组件。接收机1110可以是参照图13所描述的收发机1335的各方面的示例。
ue会话授权管理器1115可以是参照图10描述的ue会话授权管理器1015的各方面的示例。ue会话授权管理器1115还可包括会话请求组件1125和会话响应组件1130。会话请求组件1125可以传送会话请求消息以建立用于逻辑数据网的pdu会话。在一些示例中,会话请求消息可包括一个或多个会话参数。会话请求组件1125可以基于从由seaf维护的认证锚密钥所导出的smf密钥来对会话请求消息进行完整性保护。在一些方面,会话请求消息包括安全性算法、qos、或其组合中的至少一者。会话响应组件1130可以接收会话响应消息,该会话响应消息包括基于smf密钥和会话参数的授权令牌。
发射机1120可传送由该设备的其他组件生成的信号。在一些示例中,发射机1120可与接收机1110共处于收发机模块中。例如,发射机1120可以是参照图13所描述的收发机1335的各方面的示例。发射机1120可包括单个天线,或者它可包括一组天线。
图12示出了根据本公开的各个方面的支持会话管理授权令牌的ue会话授权管理器1215的框图1200。ue会话授权管理器1215可以是参照图10和11所描述的ue会话授权管理器1215的各方面的示例。ue会话授权管理器1215可以包括:会话请求组件1220、会话响应组件1225、会话策略组件1230、安全性模式组件1235、以及验证组件1240。这些模块中的每一者可彼此直接或间接通信(例如,经由一条或多条总线)。
会话请求组件1220可以传送会话请求消息以建立用于逻辑数据网的pdu会话。在一些示例中,会话请求消息可包括一个或多个会话参数。会话请求组件1220还可以基于从由seaf维护的认证锚密钥所导出的smf密钥来对会话请求消息进行完整性保护。在一些方面,会话请求消息包括安全性算法、qos、或其组合中的至少一者。
会话响应组件1225可以接收会话响应消息,该会话响应消息包括基于smf密钥和一个或多个会话参数的授权令牌。会话策略组件1230可以接收关于pdu会话的会话策略。在一些方面,会话策略与逻辑网id、ueid、或其组合中的至少一者相关联。会话响应组件1225可以生成会话响应确收消息;以及将该会话响应确收消息传送到smf。会话响应确收消息可以指示接收到包括授权令牌的会话响应消息。
安全性模式组件1235可以接收smnas安全性模式命令。smnas安全性模式命令可以包括所选择的安全性算法、关于pdu会话的会话策略、或其组合中的至少一者。安全性模式组件1235可以基于对所传送的会话请求消息的验证来传送smnas安全性模式完成消息。验证组件1240可以基于所传送的会话请求消息来验证smnas安全性模式命令。
图13示出了根据本公开的各个方面的包括支持会话管理授权令牌的设备1305的系统1300的示图。设备1305可以是以上例如参照图1描述的ue115的组件的示例或者包括这些组件。设备1305可包括用于双向语音和数据通信的组件,包括用于传送和接收通信的组件,包括ue会话授权管理器1315、处理器1320、存储器1325、软件1330、收发机1335、天线1340和i/o控制器1345。这些组件可经由一条或多条总线(例如,总线1310)处于电子通信。设备1305可以与一个或多个网络设备105无线地通信。
处理器1320可包括智能硬件设备(例如,通用处理器、dsp、cpu、微控制器、asic、fpga、可编程逻辑器件、分立的门或晶体管逻辑组件、分立的硬件组件、或其任何组合)。在一些方面,处理器1320可被配置成使用存储器控制器来操作存储器阵列。在其他方面,存储器控制器可被集成到处理器1320中。处理器1320可被配置成执行存储器中所储存的计算机可读指令以执行各种功能(例如,支持会话管理授权令牌的各功能或任务)。
存储器1325可包括ram和rom。存储器1325可存储包括指令的计算机可读、计算机可执行软件1330,这些指令在被执行时使得处理器执行本文所描述的各种功能。在一些方面,存储器1325可尤其包含bios,该bios可以控制基本硬件和/或软件操作,诸如与外围组件或设备的交互。
软件1330可包括用于实现本公开的各方面的代码,包括用于支持会话管理授权令牌的代码。软件1330可被存储在非瞬态计算机可读介质(诸如系统存储器或其他存储器)中。在一些方面,软件1330可以是不能由处理器直接执行的,而是可以(例如,在被编译和执行时)使计算机执行本文中所描述的各功能。
收发机1335可经由一个或多个天线、有线或无线链路进行双向通信,如上所述。例如,收发机1335可表示无线收发机并且可与另一无线收发机进行双向通信。收发机1335还可包括调制解调器以调制分组并将经调制的分组提供给天线以供传输,以及解调从天线接收到的分组。在一些方面,无线设备可包括单个天线1340。然而,在一些方面,该设备可具有不止一个天线1340,这些天线可以能够并发地传送或接收多个无线传输。
i/o控制器1345可管理设备1305的输入和输出信号。i/o控制器1345还可管理未被集成到设备1305中的外围设备。在一些方面,i/o控制器1345可表示至外部外围设备的物理连接或端口。在一些方面,i/o控制器1345可利用操作系统,诸如,
图14示出了解说根据本公开的各个方面的用于会话管理授权令牌的方法1400的流程图。方法1400的操作可由本文所描述的网络设备105或其组件来实现。例如,方法1400的操作可由如参照图6到9所描述的网络设备会话授权管理器来执行。在一些示例中,网络设备105可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地,网络设备105可以使用专用硬件来执行以下描述的功能的诸方面。
在框1405,网络设备105可接收会话请求消息以建立用于与ue相关联的逻辑数据网的pdu会话,该会话请求消息可以包括一个或多个会话参数。框1405的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1405的操作的各方面可由如参照图7到8所描述的会话请求组件来执行。
在框1410,网络设备105可验证ue被授权建立用于逻辑数据网的pdu会话。框1410的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1410的操作的各方面可由如参照图7到8所描述的验证组件来执行。
在框1415,网络设备105可基于该验证来接收与pdu会话相关联的密钥。框1415的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1415的操作的各方面可由如参照图7到8所描述的会话请求组件来执行。
在框1420,网络设备105可基于所接收到的密钥和会话参数来生成授权令牌。框1420的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1420的操作的各方面可由如参照图7到8描述的令牌生成组件来执行。
在框1425,网络设备105可将包括所生成的授权令牌的会话响应消息传送到ue。框1425的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1425的操作的各方面可由如参照图7到8所描述的会话请求组件来执行。
图15示出了解说根据本公开的各个方面的用于会话管理授权令牌的方法1500的流程图。方法1500的操作可由本文所描述的网络设备105或其组件来实现。例如,方法1500的操作可由如参照图6到9所描述的网络设备会话授权管理器来执行。在一些示例中,网络设备105可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地,网络设备105可以使用专用硬件来执行以下描述的功能的诸方面。
在框1505,网络设备105可获得由ue请求的会话参数。框1505的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1505的操作的各方面可由参照图8描述的会话参数组件来执行。
在框1510,网络设备105可基于ue订阅简档、逻辑数据网策略、第三方授权、或其任何组合来确定一个或多个会话参数。框1510的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1510的操作的各方面可由如参照图8描述的会话参数组件来执行。
在框1515,网络设备105可基于该确定来确定关于pdu会话的会话策略。框1515的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1515的操作的各方面可由如参照图8描述的会话策略组件来执行。
在框1520,网络设备105可在会话响应消息中将该会话策略传送到ue。框1520的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1520的操作的各方面可由如参照图8描述的会话策略组件来执行。
图16示出了解说根据本公开的各个方面的用于会话管理授权令牌的方法1600的流程图。方法1600的操作可由本文所描述的网络设备105或其组件来实现。例如,方法1600的操作可由如参照图6到9所描述的网络设备会话授权管理器来执行。在一些示例中,网络设备105可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地,网络设备105可以使用专用硬件来执行以下描述的功能的诸方面。
在框1605,网络设备105可接收会话请求消息以建立用于与ue相关联的逻辑数据网的pdu会话,该会话请求消息可以包括一个或多个会话参数。框1605的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1605的操作的各方面可由如参照图7到8所描述的会话请求组件来执行。
在框1610,网络设备105可验证ue被授权建立用于逻辑数据网的pdu会话。框1610的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1610的操作的各方面可由如参照图7到8所描述的验证组件来执行。
在框1615,网络设备105可确定是否在ue与aaa服务器之间执行二级认证以从该aaa服务器获得会话请求消息的授权。确定可以基于会话策略等。框1615的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1615的操作的各方面可由参照图8描述的认证消息交换组件来执行。
在框1620,网络设备105可在ue与smf之间的smnas连接上以及在smf与aaa服务器之间的smnas连接上递送ue与该aaa服务器之间的认证消息交换。框1620的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1620的操作的各方面可由参照图8描述的认证消息交换组件来执行。
在框1625,网络设备105可响应于该认证消息交换而从aaa服务器接收关于ue被授权建立用于逻辑数据网的pdu会话的指示(或ue是否被授权建立用于逻辑数据网的pdu会话的指示)。框1625的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1625的操作的各方面可由参照图8描述的认证消息交换组件来执行。
在框1630,网络设备105可基于该验证来接收与pdu会话相关联的密钥。框1630的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1630的操作的各方面可由如参照图7到8所描述的会话请求组件来执行。
在框1635,网络设备105可基于所接收到的密钥和一个或多个会话参数来生成授权令牌。框1635的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1635的操作的各方面可由如参照图7到8描述的令牌生成组件来执行。
在框1640,网络设备105可将包括所生成的授权令牌的会话响应消息传送到ue。框1640的操作可根据参照图6到9描述的方法来执行。在某些示例中,框1640的操作的各方面可由如参照图7到8所描述的会话请求组件来执行。
图17示出了解说根据本公开的各个方面的用于会话管理授权令牌的方法1700的流程图。方法1700的操作可由如本文中所描述的ue115或其组件来实现。例如,方法1700的操作可由如参照图10到13描述的ue会话授权管理器来执行。在一些示例中,ue115可执行代码集以控制该设备的功能元件执行下述各功能。附加地,ue115可使用专用硬件来执行下述各功能的各方面。
在框1705,ue115可传送会话请求消息以建立用于逻辑数据网的pdu会话,该会话请求消息可以包括一个或多个会话参数。框1705的操作可根据参照图10到13描述的方法来执行。在某些示例中,框1705的操作的各方面可由如参照图11到12所描述的会话请求组件来执行。
在框1710,ue115可接收会话响应消息,该会话响应消息可包括基于smf密钥和一个或多个会话参数的授权令牌。框1710的操作可根据参照图10到13描述的方法来执行。在某些示例中,框1710的操作的各方面可由如参照图11到12所描述的会话响应组件来执行。
在框1715,ue115可验证授权令牌。框1715的操作可根据参照图10到13描述的方法来执行。在某些示例中,框1710的操作的各方面可由如参照图11到12所描述的验证组件来执行。
图18示出了解说根据本公开的各个方面的用于会话管理授权令牌的方法1800的流程图。方法1800的操作可由如本文中所描述的ue115或其组件来实现。例如,方法1800的操作可由如参照图10到13描述的ue会话授权管理器来执行。在一些示例中,ue115可执行代码集以控制该设备的功能元件执行下述各功能。附加地,ue115可使用专用硬件来执行下述各功能的各方面。
在框1805,ue115可基于从由seaf维护的认证锚密钥所导出的smf密钥来对会话请求消息进行完整性保护。框1805的操作可根据参照图10到13描述的方法来执行。在某些示例中,框1805的操作的各方面可由如参照图11到12所描述的会话请求组件来执行。
在框1810,ue115可传送受完整性保护的会话请求消息以建立用于逻辑数据网的pdu会话。在一些示例中,会话请求消息可包括一个或多个会话参数。框1810的操作可根据参照图10到13描述的方法来执行。在某些示例中,框1810的操作的各方面可由如参照图11到12所描述的会话请求组件来执行。
在框1815,ue115可接收会话响应消息,该会话响应消息可包括基于smf密钥和一个或多个会话参数的授权令牌。框1815的操作可根据参照图10到13描述的方法来执行。在某些示例中,框1815的操作的各方面可由如参照图11到12所描述的会话响应组件来执行。
在框1820,ue115可验证授权令牌。框1820的操作可根据参照图10到13描述的方法来执行。在某些示例中,框1820的操作的各方面可由如参照图11到12所描述的验证组件来执行。
应注意,上述方法描述了可能的实现,并且各操作和步骤可被重新安排或以其他方式被修改且其它实现也是可能的。此外,来自两种或更多种方法的诸方面可被组合。
本文所描述的技术可被用于各种无线通信系统,诸如码分多址(cdma)、时分多址(tdma)、频分多址(fdma)、正交频分多址(ofdma)、单载波频分多址(sc-fdma)以及其他系统。术语“系统”和“网络”常被可互换地使用。码分多址(cdma)系统可以实现诸如cdma2000、通用地面无线电接入(utra)等无线电技术。cdma2000涵盖is-2000、is-95和is-856标准。is-2000版本常可被称为cdma20001x、1x等。is-856(tia-856)常被称为cdma20001xev-do、高速率分组数据(hrpd)等。utra包括宽带cdma(wcdma)和其他cdma变体。时分多址(tdma)系统可实现诸如全球移动通信系统(gsm)之类的无线电技术。
正交频分多址(ofdma)系统可以实现诸如超移动宽带(umb)、演进型utra(e-utra)、电气和电子工程师协会(ieee)802.11(wi-fi)、ieee802.16(wimax)、ieee802.20、flash-ofdm等的无线电技术。utra和e-utra是通用移动电信系统(umts)的一部分。3gpp长期演进(lte)和高级lte(lte-a)是使用e-utra的通用移动电信系统(umts)版本。utra、e-utra、umts、lte、lte-a、nr以及全球移动通信系统(gsm)在来自名为“第三代伙伴项目”(3gpp)的组织的文献中描述。cdma2000和umb在来自名为“第三代伙伴项目2”(3gpp2)的组织的文献中描述。本文中所描述的技术既可用于以上提及的系统和无线电技术,也可用于其他系统和无线电技术。尽管lte或nr系统的各方面可被描述以用于示例目的,并且在以上大部分描述中使用了lte或nr术语,但本文所描述的技术也可应用于lte或nr应用以外的应用。
在lte/lte-a网络(包括本文中所描述的此类网络)中,术语演进型b节点(enb)可一般用于描述基站。本文所描述的一个或数个无线通信系统可以包括异构lte/lte-a或nr网络,其中不同类型的演进型b节点(enb)提供对各种地理区划的覆盖。例如,每个enb、gnb或基站可提供对宏蜂窝小区、小型蜂窝小区、或其他类型的蜂窝小区的通信覆盖。取决于上下文,术语“蜂窝小区”可被用于描述基站、与基站相关联的载波或分量载波、或者载波或基站的覆盖区域(例如,扇区等)。
基站可包括或可被本领域技术人员称为基收发机站、无线电基站、接入点、无线电收发机、b节点、演进型b节点(enb)、下一代b节点(gnb)、家用b节点、家用演进型b节点、或其他某个合适的术语。基站的地理覆盖区域可被划分成仅构成该覆盖区域的一部分的扇区。本文中所描述的一个或数个无线通信系统可包括不同类型的基站(例如,宏或小型蜂窝小区基站)。本文中所描述的ue可以能够与各种类型的基站和网络装备(包括宏enb、小型蜂窝小区enb、gnb、中继基站等)通信。可能存在不同技术的交叠地理覆盖区域。
宏蜂窝小区一般覆盖相对较大的地理区域(例如,半径为数千米的区域),并且可允许无约束地由与网络供应商具有服务订阅的ue接入。与宏蜂窝小区相比,小型蜂窝小区是可在与宏蜂窝小区相同或不同的(例如,有执照、无执照等)频带中操作的低功率基站。根据各个示例,小型蜂窝小区可包括微微蜂窝小区、毫微微蜂窝小区、以及微蜂窝小区。微微蜂窝小区例如可覆盖较小地理区域并且可允许无约束地由具有与网络供应商的服务订阅的ue接入。毫微微蜂窝小区也可覆盖较小地理区域(例如,住宅)且可提供有约束地由与该毫微微蜂窝小区有关联的ue(例如,封闭订户群(csg)中的ue、该住宅中的用户的ue、等等)的接入。用于宏蜂窝小区的enb可被称为宏enb。用于小型蜂窝小区的enb可被称为小型蜂窝小区enb、微微enb、毫微微enb、或家用enb。enb可支持一个或多个(例如,两个、三个、四个等等)蜂窝小区(例如,分量载波)。
本文所描述的一个或多个无线通信系统可以支持同步或异步操作。对于同步操作,各基站可具有相似的帧定时,并且来自不同基站的传输可以在时间上大致对齐。对于异步操作,各基站可具有不同的帧定时,并且来自不同基站的传输可以不在时间上对齐。本文所描述的技术可用于同步或异步操作。
本文所描述的下行链路传输还可被称为前向链路传输,而上行链路传输还可被称为反向链路传输。本文中所描述的每条通信链路——包括例如图1和2的无线通信系统100和200——可包括一个或多个载波,其中每个载波可以是由多个副载波构成的信号(例如,不同频率的波形信号)。
本文结合附图阐述的说明描述了示例配置而不代表可被实现或者落在权利要求的范围内的所有示例。本文所使用的术语“示例性”意指“用作示例、实例或解说”,而并不意指“优于”或“胜过其他示例”。本详细描述包括具体细节以提供对所描述的技术的理解。然而,可以在没有这些具体细节的情况下实践这些技术。在一些实例中,众所周知的结构和设备以框图形式示出以避免模糊所描述的示例的概念。
在附图中,类似组件或特征可具有相同的附图标记。此外,相同类型的各个组件可通过在附图标记后跟随短划线以及在类似组件之间进行区分的第二标记来加以区分。如果在说明书中仅使用第一附图标记,则该描述可应用于具有相同的第一附图标记的类似组件中的任何一个组件而不论第二附图标记如何。
本文所描述的信息和信号可使用各种各样的不同技艺和技术中的任一种来表示。例如,贯穿上面说明始终可能被述及的数据、指令、命令、信息、信号、比特、码元和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或其任何组合来表示。
结合本文中的公开描述的各种解说性框以及模块可以用设计成执行本文中描述的功能的通用处理器、dsp、asic、fpga或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可被实现为计算设备的组合(例如,dsp与微处理器的组合、多个微处理器、与dsp核心协同的一个或多个微处理器,或者任何其他此类配置)。
本文所描述的功能可以在硬件、由处理器执行的软件、固件、或其任何组合中实现。如果在由处理器执行的软件中实现,则各功能可以作为一条或多条指令或代码存储在计算机可读介质上或藉其进行传送。其他示例和实现落在本公开及所附权利要求的范围内。例如,由于软件的本质,上述功能可使用由处理器执行的软件、硬件、固件、硬连线或其任何组合来实现。实现功能的特征也可物理地位于各种位置,包括被分布以使得功能的各部分在不同的物理位置处实现。另外,如本文(包括权利要求中)所使用的,在项目列举(例如,以附有诸如“中的至少一个”或“中的一个或多个”之类的措辞的项目列举)中使用的“或”指示包含性列举,以使得例如a、b或c中的至少一个的列举意指a或b或c或ab或ac或bc或abc(即,a和b和c)。同样,如本文所使用的,短语“基于”不应被解读为引述封闭条件集。例如,被描述为“基于条件a”的示例性操作可基于条件a和条件b两者而不脱离本公开的范围。换言之,如本文所使用的,短语“基于”应当以与短语“至少部分地基于”相同的方式来解读。
计算机可读介质包括非瞬态计算机存储介质和通信介质两者,其包括促成计算机程序从一地向另一地转移的任何介质。非瞬态存储介质可以是能被通用或专用计算机访问的任何可用介质。作为示例而非限定,非瞬态计算机可读介质可包括ram、rom、电可擦除可编程只读存储器(eeprom)、压缩盘(cd)rom或其他光盘存储、磁盘存储或其他磁存储设备、或能被用来携带或存储指令或数据结构形式的期望程序代码手段且能被通用或专用计算机、或者通用或专用处理器访问的任何其他非瞬态介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(dsl)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其他远程源传送而来的,则该同轴电缆、光纤电缆、双绞线、数字订户线(dsl)、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括cd、激光碟、光碟、数字通用碟(dvd)、软盘和蓝光碟,其中盘常常磁性地再现数据而碟用激光来光学地再现数据。以上介质的组合也被包括在计算机可读介质的范围内。
提供本文中的描述是为了使得本领域技术人员能够制作或使用本公开。对本公开的各种修改对于本领域技术人员将是显而易见的,并且本文中所定义的普适原理可被应用于其他变形而不会脱离本公开的范围。由此,本公开并非被限定于本文中所描述的示例和设计,而是应被授予与本文所公开的原理和新颖特征相一致的最广范围。
- 还没有人留言评论。精彩留言会获得点赞!