蜂窝网络中的隐私保护和可扩展认证协议认证和授权的制作方法
本申请要求2017年5月9日提交的美国临时专利申请no.62/503,527和2017年7月28日提交的美国临时专利申请no.62/538,554的权益,每个临时专利申请通过引用整体合并于此。
本申请总体涉及无线通信系统,并且更具体地涉及安全系统和过程。
背景技术:
无线移动通信技术使用各种标准和协议在基站与无线移动设备之间传输数据。无线通信系统标准和协议可以包括:第三代合作伙伴项目(3gpp)长期演进(lte);电气和电子工程师协会(ieee)802.16标准,业界通常称为全球微波接入互操作性(wimax);和用于无线局域网(wlan)的ieee802.11标准,业界通常称为wi-fi;和multefire联盟开发的multefire标准。在lte系统中的3gpp无线接入网(ran)中,基站可以包括ran节点(例如,演进通用陆地无线接入网(e-utran)节点b(通常也表示为演进节点b、增强节点b、enodeb或enb))和/或e-utran中的无线电网络控制器(rnc),它们与无线通信设备(称为用户设备(ue))通信,并且在multefire系统中可以包括mf-ap。在下一代(nextgen)或第五代(5g)无线ran中,ran节点可以包括5g节点、新空口(nr)节点或g节点b(gnb)。下面讨论5g系统的附加细节。
附图说明
图1是根据某些实施例的简化的带有加密的imsi的附着请求的信号流图。
图2是根据某些实施例的简化的带有时间戳和加密的imsi的附着请求的信号流图。
图3是根据某些实施例的当检测到重放时的示例附着过程的信号流图。
图4是示出根据一个实施例的示例eap认证和授权过程的信号流图。
图5是示出根据一个实施例的示例eap认证和授权过程的信号流图。
图6是示出根据某些实施例的示例过程的信号流图。
图7是示出根据一个实施例的示例pdu修改过程的信号流图。
图8是示出根据一个实施例的示例寻呼过程的信号流图。
图9是示出根据某些实施例的示例重认证过程的信号流图。
图10a和10b示出了根据某些实施例的经由nas附送(enclosure)过程消息发送的示例eap-failure的若干信号流图。
图11示出了根据一些实施例的网络的系统的架构。
图12示出了根据一些实施例的网络的系统的架构。
图13示出了根据一些实施例的设备的示例组件。
图14示出了根据一些实施例的基带电路的示例接口。
图15是根据一些实施例的控制平面协议栈的图示。
图16是根据一些实施例的用户平面协议栈的图示。
图17示出了根据一些实施例的核心网的组件。
图18是示出根据一些示例实施例的能够从机器可读或计算机可读介质读取指令并执行本文所讨论的任何一种或多种方法的组件的框图。
图19是示出根据一个实施例的示例组密钥管理过程的框图。
具体实施方式
以下详细描述参考附图。可以在不同附图中使用相同的附图标记来识别相同或相似的要素。在以下描述中,出于解释而非限制的目的,阐述了诸如特定结构、架构、接口、技术等的具体细节,以便提供对各种实施例的各个方面的透彻理解。然而,对于受益于本公开的本领域技术人员显而易见的是,各种实施例的各个方面可以在脱离这些具体细节的其他示例中实施。在某些情况下,省略对公知设备、电路和方法的描述,以免不必要的细节掩盖对各种实施例的描述。出于本文件的目的,短语“a或b”表示(a)、(b)或(a和b)。
本文的某些实施例涉及永久订户标识符的隐私保护。其他实施例涉及支持5g非接入层(nas)的可扩展认证协议(eap)认证和授权。
a.永久订户标识符的隐私保护
在3gpp系统中,永久订阅标识符(例如,lte中的国际移动订户身份(imsi)或5g中的订阅永久标识符(supi))用于识别通信中的ue。然而,主动或被动地发送这种永久订阅标识符一直是可能导致订阅隐私(特别是订阅位置)泄露的漏洞。因此,为了实现订阅隐私,隐藏在下一代(例如,5g)系统中使用的与隐私相关的永久标识符是个问题。
本文的实施例涉及用于通过对永久标识符进行加密来解决上述问题的解决方案,以便实现隐私、不可追踪性和不可链接性。此外,实施例可以减少或防止重放和拒绝服务(dos)攻击。
在某些实施例中,ue从不以明文(即,未加密的文本)发送其永久标识符(例如,imsi),而是仅使用归属公共陆地移动网络(plmn)的(经验证的)公钥对其进行加密。归属plmn具有公钥(pk)和对应的私钥(sk)。例如,可以在ue的通用订户身份模块(usim)上预先配置pk。在这种情况下,可能不需要公钥基础设施。
某些实施例使用非对称加密来加密imsi中的(例如,由运营商分派的)移动订户标识号(msin),以用于隐私保护。还可以将随机性引入加密操作中,以提供不可追踪性和不可链接性。
在某些实施例中,使用一次性随机数(nonce)或时间戳来防止重放攻击并减轻dos。
另外,或者在其他实施例中,指定公钥刷新机制,以实现具有真实性保证的归属plmn的公钥的平滑翻转。
因此,所公开的实施例可以提供以下益处中的一个或多个:保护永久订户标识符的隐私,其中,永久订户标识符由归属plmn加密,除了ue和归属plmn之外没有其他人知道永久订户标识符;实现不可追踪性和不可链接性,其中,实施例引入随机性并提供永久订户标识符的不可追踪性和不可链接性,使得如果观察到加密的imsi序列,则不能追踪ue,并且两个加密的imsi中的任何一个不能链接在一起;防止重放攻击并减轻dos攻击;消除了对全局公钥基础设施(pki)的需求,其中,ue仅需要存储其归属plmn的公钥;和/或满足合法拦截(li)要求,其中,在成功认证之后,向服务plmn揭示ue的身份。
在某些实施例中,下一代或5g网络使用私钥,并且ue可以获得对应的公钥并验证其真实性。在某些这样的实施例中,ue从不以明文发送其永久标识符(例如,imsi),而是仅使用归属plmn的(经验证的)公钥对其进行加密。
实施例可以使用非对称加密来加密msin,以用于隐私保护。随机性被引入加密操作中,以提供不可追踪性和不可链接性。此外,实施例可以使用nonce值或时间戳来防止重放攻击。nonce值(其只能使用一次)可以是例如任意数、散列值、随机数或伪随机数。
以下假设中的一个或多个可以涉及各种实施例:归属plmn具有公钥(pk)和对应的私钥(sk),pk可以在ue处的usim上预先配置,公钥基础设施不是必需的;接入和移动性功能(amf)位于服务plmn处;安全锚功能(seaf)位于归属plmn处;和/或imsi结构包括移动国家代码(mcc)、移动网络代码(mnc)和msin,其中,只有imsi中的msin用pk加密,mcc和mnc不加密,因为它们可能用于漫游用例中的路由。
a(1)带有加密的imsi的示例附着请求
图1是根据某些实施例的简化的带有加密的imsi的附着请求的信号流图。图1中示出的示例附着过程100可以例如仅当不存在ue/amf安全上下文时使用。图1示出了ue102、amf104和seaf106。示例附着过程100包括从ue102发送到amf104的附着请求108、从amf104发送到seaf106的认证信息请求110、从seaf106发送到amf104的认证信息应答112以及amf104与ue102之间的认证请求/响应进程114。
imsi中的msin识别ue102并且用pk加密。随机数n被引入加密操作中,如下所示:imsienc=mcc||mnc||encpk(msin,n),其中,mcc和mnc未加密,因为它们需要用于在漫游情况下路由,||是级联操作,encpk(x)表示使用密钥pk来加密明文x。ue102将包含imsienc的初始附着请求108发送到amf104。
在某些实施例中,imsi对应于订阅永久标识符(supi),并且imsienc对应于订阅隐藏标识符(suci)。在5g系统中,全球唯一的5g订阅永久标识符称为supi,并且suci是包含隐藏的supi的隐私保护标识符。supi在空中通过使用suci进行隐私保护。ue可以使用带有在归属网络的控制下安全配给的原始公钥的保护方案来生成suci。在某些实施例中,suci是一次性使用订阅标识符,其包含隐藏的订阅标识符(例如,msin)。
amf104在认证信息请求110中将imsienc转发到seaf106。在漫游场景中,这将被转发到归属plmn,以用于附着。
在接收到认证信息请求之后,归属plmn解密imsienc,并提取msin和n。归属plmn首先验证n是否是新的。如果归属plmn之前已经看过n,则检测到重放攻击,并且该认证在各过程之后被拒绝。如果n是新的,则归属plmn使用msin来识别ue102,并生成用于认证信息应答112的认证向量(av)。为了满足合法拦截(li)要求,根据某些实施例,认证信息应答112消息还携带imsi*,imsi*是受amf104与seaf106之间共享的密钥保护的imsi。
然后,amf104将认证响应转发到ue102,完成示例附着过程100。
在遗留演进分组系统(eps)中,附着请求是不受保护的,并且易受重放攻击的影响。此问题仍未解决,并且即使使用了非对称加密(crypto)算法,也可能导致下一代或5g系统中的dos攻击。使用归属plmn的公钥来加密msin以进行隐私保护是以在归属plmn处的非对称解密为代价的。然而,未经授权的第三方可能重放附着请求(带imsienc)并强迫归属plmn执行反常的非对称解密操作,这可能导致dos。因此,本文的某些实施例是为了防止重放攻击。
a(2)带有时间戳和加密的imsi的示例附着请求
为了防止重放攻击并减轻dos,对图1中所示的示例实施例的替代方法是使用时间戳,这假定ue与归属plmn之间的时间同步松散。例如,图2是根据某些实施例的简化的带有时间戳和加密的imsi的附着请求的信号流图。图2示出了使用在附着请求的加密部分中引入随机性的方法的示例附着过程200。在该示例中,ue102可以自从无线电网络接收到同步信号起调整其时钟。为了保护免受重放攻击,网络与ue102之间的粗同步就足够了。
ue102在至amf104的初始附着请求208中包括当前时间戳tue和imsienc。为了生成imsienc,ue102首先将n计算为n=fk(tue),其中,k是ue的usim与归属plmn之间共享的对称密钥,fk()是使用密钥k的密钥化散列函数,并且ue102如上所述用n计算imsienc。
amf104将包含tue和imsienc的认证信息请求210发送到归属plmn的seaf106。在接收到认证信息请求之后,归属plmn首先验证ue的时间戳tue。在某些实施例中,认证请求仅在-tth1<(thome-tue)<tth2时是有效的,其中,thome是归属plmn的当前时间戳,tth1和tth2是指定认证请求将被接受的时间范围的阈值。如果tue未落入允许范围,则附着请求被确定为重放,并将被拒绝。然而,如果tue是有效的,则归属plmn解密imsienc,以提取msin和n。归属plmn使用n=fk(tue)验证是否从tue和k正确地导出n。
归属plmn使用msin来识别ue102,并生成用于认证信息应答212的av。为了满足li要求,根据某些实施例,认证信息应答212消息还携带imsi*。然后,amf104将认证响应转发到ue102,完成示例附着过程200。
a(3)用于防止重放攻击的示例
在lte中,攻击可能是通过重放初始附着请求进行的。当攻击者重放初始附着请求时,移动性管理实体(mme)从归属订户服务器(hss)和/或认证中心(auc)请求认证信息。在从hss接收到认证信息应答之后,mme与ue交换认证请求和响应。重放可能被mme检测到,从而导致从mme到ue的认证拒绝。同时,mme还向hss通知认证失败。这种重放攻击的后果可能是归属plmn拒绝服务。如果归属plmn可能通过阻挡ue来实施接入控制,则合法ue可能被mme拒绝。
因此,某些实施例遵循与当前eps类似的添加了重放防止机制的附着过程,这可以减少信令开销。图3是根据某些实施例的当检测到重放时的示例附着过程300的信号流图。示例附着过程300包括:ue102将附着请求208发送到amf104,并且amf104将认证信息请求210发送到归属plmn的seaf106,如上面在图2中所讨论的。然而,在图3所示的示例中,在归属plmn处检测到重放。归属plmn的seaf306向amf104发送认证拒绝312消息,然后amf104用认证失败314消息通知ue102。这里,节省了ue102与服务plmn之间的认证请求/响应交换。另外,节省了从服务plmn向归属plmn的认证失败通知。
a(4)公钥刷新的示例
在ue上配给归属plmn的公钥。可以在公钥到期之前或者在检测到对应的私钥被泄露时,刷新该公钥并配给到ue。某些实施例确保新公钥的真实性并防止将伪公钥配给到ue。
如果存在ue的安全上下文,则可以将归属plmn的新公钥发送到ue,用ue与归属plmn之间共享的对称密钥(例如,kasme)进行保护。如果不存在ue的安全上下文,则可以使用usim与归属plmn之间共享的密钥k来保护新公钥。加密或mac都可以用作真实性的证明。
对于定期的周期性公钥刷新,根据某些实施例,存在允许新公钥和旧公钥两者的宽限期。在归属plmn处启用新公钥与向ue递送公钥之间将存在延迟。此外,ue可能在不同时间接收新公钥。因此,可以指定宽限期,以允许从旧公钥平滑过渡到新公钥。
a(5)附加示例
以下是与永久订户标识符的隐私保护有关的附加示例。
示例1a可以包括一种机制,通过该机制,nextgen用户设备(ue)使用运营商的公钥与运营商附着。
示例2a可以包括一种机制,通过该机制,nextgenue对订户标识符(例如,国际移动订户身份(imsi))进行加密,并在初始附着消息中使用它。
示例3a可以包括一种机制,通过该机制,在加密订户标识符的同时,使用随机性在初始认证消息期间防止重放攻击。
示例4a可以包括一种机制,通过该机制,在初始认证消息期间使用时间戳和在运营商处对时间戳的验证以防止重放攻击,来防止重放攻击。
示例5a可以包括一种机制,通过该机制,运营商使用ue与运营商之间的共享对称密钥来刷新用于在初始认证消息中加密订户标识符的公钥。
示例6a可以包括一种装置,该装置包括用于执行在示例1a-5a的任一个中描述的或与之相关的方法,或者本文描述的任何其他方法或进程的一个或多个要素的单元。
示例7a可以包括一种或多种非瞬时性计算机可读介质,包括指令,在电子设备的一个或多个处理器执行指令时,使电子设备执行在示例1a-5a的任一个中描述的或与之相关的方法,或者本文描述的任何其他方法或进程的一个或多个要素。
示例8a可以包括一种装置,该装置包括用于在示例1a-5a的任一个中描述的或与之相关的方法,或者本文描述的任何其他方法或进程的一个或多个要素的逻辑、模块或电路。
示例9a可以包括如示例1a-5a中任一项,或者其一部分或部分中描述的或与之相关的方法、技术或进程。
示例10a可以包括一种装置,包括:一个或多个处理器和一个或多个计算机可读介质,所述计算机可读介质包括指令,所述指令当由所述一个或多个处理器执行时,使所述一个或多个处理器执行如示例1a-5a中任一项,或者其部分中描述的或与之相关的方法、技术或进程。
示例11a可以包括如示例1a-5a中任一项,或者其一部分或部分中描述的或与之相关的信号。
示例12a可以包括如本文所示和所述的无线网络中的信号。
示例13a可以包括在如本文所示和所述的无线网络中进行通信的方法。
示例14a可以包括用于提供如本文所示和所述的无线通信的系统。
示例15a可以包括用于提供如本文所示和所述的无线通信的设备。
b.支持5gnas的eap认证和授权
其他实施例支持5gnas中的eap认证和授权。在5g系统(5gs)中,可扩展认证协议(eap)-认证和密钥协商(aka)已经被选择作为用于执行认证和授权的协议。rfc3748中详细说明的eap-aka是一种通用传输,其中,在eap-aka消息内嵌入/携带实际的认证和授权方法。因此,用于执行认证的方法不依赖于所选择的信令。
这是3gpp的出发点,3pgg到目前为止(并且自全球移动通信系统(gsm)起)已经部署了质询/响应方法,该方法包括协议消息(包括认证请求消息(携带质询)和认证响应消息(携带已签署的响应))的单次交换。对于eap-aka,有多次交换/握手—不仅仅是单次交换/握手—来完成ue与网络之间的认证和授权过程。这可以称为“初次认证”。
另外,5gs还可以包括应用级的认证和授权过程。因此,当应用启动时并且对于启动该应用所针对的服务来说,该应用(例如,该应用的终端用户)将面对来自提供该服务的对应应用服务器的认证和授权检查。这可以被视为由第三方应用服务器通过底层3gpp5g网络/系统对应用客户端进行认证和授权。这可以被称为“二次认证”。可以使用eap-aka方法进行客户端与第三方服务器之间的二次认证,3gpp系统提供用于在客户端与第三方服务器之间执行eap-aka交换的单元和方法。
此外,二次认证在会话管理级执行,会话管理级是建立和管理与面临第三方服务器的认证的用户/客户端应用相关联的协议数据单元(pdu)会话的层级。除此问题外,用于5gs的eap-aka过程可能需要多次交换/握手,为此,会话管理级支持传输。
另一个问题可能来自需要支持重认证。重认证是指,网络(nw)已经执行了用户(或应用)的认证和授权,但由于某些原因,nw需要重复或重做认证过程。这样的原因可能是,例如自用户(或应用)已经被认证起已经经过了一段时间,为了安全,需要刷新安全密钥。另一个原因可能是,用户(或用户应用)的某些方面已经改变,例如,用户的订阅等级已经升级或降级。
这种重认证可以存在于遗留3gpp系统(例如,gsm、gprs、umts、lte/sae)中,虽然在当前的5g系统中没有明确说明,但是在5g中也可能需要这种重认证。例如,在2g、3g和4g中,在ue具有无线资源控制(rrc)连接的任何时间,nw可以向ue发送带有质询的认证请求,并且ue可以在认证响应中用已签署的应答进行回应。但是如上所述,5g中的这种重认证过程包括多次交换/握手,并且可以在会话管理级得到支持。
随着eap用于5g安全性(认证和授权),另一个关联的问题在于,eap本身支持使用eap成功指示符以及使用eap失败指示符,在eap认证和授权成功的情况下,认证者可以对客户端使用eap成功指示符,在认证者认为进程失败并希望向客户端指示失败时,认证者可以对客户端使用eap失败指示符。此外,在客户端侧,客户端可以选择不继续认证/授权,并向底层指示失败。例如,当认证者发送了eap失败/eap成功指示符时,客户端可以向底层指示失败,该失败需要被传回5g核心网(5gcn或5gc)和认证者。如本文所使用的,为了简洁起见,eap失败指示符和eap成功指示符可以分别简称为“eap-failure”和“eap-success”。
为了解决或减轻上述问题/缺陷,各种实施例可以包括:ue侧和5gc侧的移动性管理(mm)和会话管理(sm)支持认证请求/响应握手的多次交换,这些握手的次数如eap协议携带eap请求类型所需的那样多,以支持eap方法;mm和sm接收和发送认证请求/响应消息但不进行实际认证,而是将所提供的eap消息和eap请求类型传递或转发到/自eap客户端/eap服务器;eap-success和/或eap-failure可以通过底层mm或sm过程传送;和/或单独的单向mm或sm信令消息。
当前标准没有在一个认证和授权过程中支持多次eap消息交换的手段。另外,当前标准不支持提供eap过程结果的单向信令消息。
b(1)多个认证请求和认证响应对
在各种实施例中,每对认证请求和认证响应握手消息可以重复完成eap认证和授权过程所需的次数,其中,每对认证请求/响应携带、传输和/或包含eap请求类型。
例如,可以在认证请求和认证响应内携带eap消息(例如,eap-request、eap-response)和eap类型(例如,aka-challenge)。
uenas层和mm可以是分别发送和接收认证请求和认证响应的协议层,并且可以充当用于eap进程的传输,但不处理eap请求类型或方法。可以使用nas信令消息来发送和接收上述这些认证消息。在接收到认证请求时,uenas可以将该消息内携带的内容(例如,eap消息和eap请求类型)提供给上层。并且当上层归还携带应答eap消息和eap请求类型的容器时,uenas可以将其放置在认证响应内并向前发送它。
例如,图4是示出根据一个实施例的示例eap认证和授权过程400的信号流图。示例eap认证和授权过程400在ue401、seaf404、认证服务器功能(ausf)406和认证凭据存储和处理功能(arpf)408之间。ausf406将av请求410发送到arpf408并从arpf408接收av响应412。ausf406将包含eap-request/aka’-challenge的n12消息5g-aia413发送到seaf404。seaf404通过将第一认证请求414发送到ue402来进行响应。第一认证请求414是包含eap-request/aka’-challenge的nas信令消息。ue402将第一认证响应416发送到seaf404。第一认证响应416是包含eap-response/aka’-challenge的nas信令消息,seaf404在n12消息418中将eap-response/aka’-challenge转发到ausf406。在该示例中,认证和授权过程400还包括通知消息419的条件性交换,其中,第二认证请求420携带eap-request/aka’-nofitication,并且第二认证响应422携带eap-response/aka’-notification。
连同使用多个认证请求/认证响应消息,某些实施例提出,当达到eap过程的成功结果时,通过认证接受消息424将eap-success类型提提供给ue402,如图4所示。因此,可以在专用nas消息内发送eap结果(例如,eap-success或eap-failure)(在图4中称为认证接受,但是可以具有诸如“认证结果”的其他名称)。
在一些实施例中,可以使用主nas附送过程的结果传送成功的eap。这些实施例可以用于解决先前讨论的重认证问题。
在一些实施例中,可以通过认证请求/响应消息的另一次交换来传送eap-success,其中,认证响应要么携带eap-success类型,要么不携带任何eap信令。应当注意,该方法可以提供以下益处:在nw侧,nw接收到ue已经接收到成功的指示的意识,并且nw可以终止认证进程和任何关联的保护定时器,从而保护认证过程正常结束。图5是示出根据一个实施例的示例eap认证和授权过程500的信号流图。认证和授权过程500与图4中所示的认证和授权过程400相同,但是添加了从ue402到seaf404的包含eap-success类型的第三认证响应510。该替代解决方案的优点在于,nw可以能够使用第三认证响应510来例如结束安全过程并停止保护定时器。
b(2)用于传输eap消息和eap请求类型的sm认证消息对
先前讨论的另一个问题不关心mm而是会话管理(sm)。这里,为了支持新的5gs安全性要求以使用eap认证和授权,实施例提出,在sm内,可以存在sm认证消息对,以传输eap消息和eap请求类型。这样的sm传输消息可以被认为对sm本身是透明的,并且在这种sm传输/透明消息内,可以在应用客户端与第三方应用服务器之间携带eap消息和eap请求类型。图6示出了这种实施例的示例过程,其为示出根据某些实施例的示例过程600的信号流图。图6示出了ue602(包括eap客户端)、amf604、会话管理功能(smf)606(充当认证者)、用户平面功能(upf)608、ausf610和数据网络认证、授权和计费(dn-aaa)服务器612(包括eap服务器)。
在图6的过程600中,这种sm消息的名称在名义上被命名为“smauthenticationrequest”和“smauthenticationresponse”,然而,那些消息的任何其他所选名称也可以。例如,那些消息可以被命名为“sm_transport”、“pdusessionauthentication/response”等。在实施例中,这些sm消息支持eap消息和eap请求类型的传送。然而,可以存在完成eap认证和授权过程所需的那样多的这些双向sm握手消息。
注意,在图6中,在某些实施例中,用于传送eap-success的显式nas消息或消息握手不是必需的,因为主nas发起过程的结果用于传送该成功的结果。参见例如图6,pdu建立接受613,其携带eap-success。这些实施例可以用于解决先前讨论的重认证问题。携带eap-success的pdu建立接受613是经由主nas附送过程的结果发送eap结果的示例。可以使用的nas附送过程消息的其他示例包括但不限于pdu会话建立接受、pdu会话建立拒绝和pdu会话释放命令。
b(3)示例重认证实施例
某些实施例可以用于解决先前讨论的重认证问题。这种重认证实施例可以使用上面讨论的各种实施例(以任何组合)。例如,对于初次认证情况的重认证(例如,在mm级),重认证可以允许携带eap消息和eap请求类型的认证请求/认证响应的多次握手。
在初次认证情况下,由于重认证在许多用例中可以是某些mm过程(例如,注册更新)的一部分,因此作为该mm过程的一部分,可以将得到的eap-success提供回ue。所以,如果在要执行与eap的重认证的注册更新过程中,例如,当注册更新过程结束于去往ue的mm的注册接受消息时,该消息可以携带eap-success。
为了考虑当需要传送eap-success但是没有方便的下行链路(例如,nw到ue)mm消息来传送eap-success时的情况,实施例可以包括:使用专用mm消息来传送eap-success。在各种实施例中,认证接受是一种这样的专用mm消息(但是,在其他实施例中,专用消息可以具有一些其他合适的名称,或者可以在一些其他合适的专用mm消息中传送)。在实施例中,eap-success可以用于结束或终止重认证过程。
对于二次认证情况的重认证(例如,第三方应用服务器对应用客户端的sm级重认证),实施例可以允许一次或多次(例如,一系列)认证请求/回应握手。同样,如果需要传送eap-success并且存在底层sm过程,则终止sm过程的结束可以用于传送eap-success。一种这样的底层sm过程可以是pdu会话修改过程。例如,图7是示出根据一个实施例的示例pdu修改过程700的信号流图。图7示出了eap客户端702(例如,在ue中)、uenas704、5g核心网(cn)706和eap服务器708之间的信令和交互。如前所述,特定消息的名称仅是说明性的,不应被解释为限制性的。
在一些情况下,可能没有底层sm过程来完成eap过程。例如,可能的是,第三方服务器有一些更新(或者可能的是,应用客户端已经活动了一段时间/天)并且认为虽然ue/用户/应用客户端先前已经被认证/授权,但是现在需要重认证该特定应用客户端。对于这些场景,本文的实施例可以包括:如果ue处于idle模式(例如,已注册但未连接到5gcn)则运行寻呼过程以使ue进入connected模式;以及运行重认证,其中,重认证可以在mm级或sm级运行。
图8是示出根据一个实施例的示例寻呼过程800的信号流图。寻呼过程800可以在ue处于idle状态时,因执行重认证的决定810而开始或发起。该示例与二次(sm级)eap认证相关。因此,作为过程800的一部分,5gcn将包含eap-request/identity的sm认证请求812发送到uenas704,并且uenas704将包含eap-response/identity的sm认证响应813返回到5gcn706。此外,可以经由5gcn706和uenas704在eap服务器708与eap客户端702之间交换eap-request/eap-response消息814。图8还提供了用于将eap-success提供给ue的应用客户端(如果需要这种提供的话)的替代过程820,822的图示。在一些实施例中,不是处理eap服务器708可以传递给5gcn706的eap-success,而是如果认为这种提供是不必要的,则可以不向ue提供eap-success。如图8所示,在专用nas消息(在图8中称为sm认证接受,但是可以具有诸如“pdu会话认证结果”的其他名称)内发送eap结果(例如,eap-success或eap-failure)。
图9是示出根据某些实施例的示例重认证过程900的信号流图。图9示出了ue902(包括eap客户端)、amf904、smf906(充当认证者)、upf908、ausf910和dn-aaa服务器912(包括eap服务器)。在重认证过程900中,ue902的eap客户端将注册请求914发送到amf904。已经与cn建立了初次认证916,并且已经通过与dn-aaa912的eap服务器(它在cn外部)的初始认证建立了二次认证918。二次重认证可以由smf906或外部dn-aaa服务器912发起。如果由smf906发起重认证,则smf906做出执行二次认证的决定(920)并且发起(922)eap重认证。然而,如果由外部dn-aaa服务器912发起重认证,则dn-aaa服务器912决定发起二次重认证,并且dn-aaa服务器912将二次重认证请求发送到upf908,ufp908将该请求转发给smf906。
smf906将eap-request/identity消息924发送到ue902。ue902用eap-response/identity消息926(带有快速重授权身份)进行响应。smf906在n4接口传输消息928中将eap-response/identity转发到在初始认证期间选择的upf908。这在smf906与外部dn-aaa服务器912之间建立端到端连接,以用于eap交换。在消息930中,upf908将eap-response/identity消息转发到dn-aaa服务器912。然后,dn-aaa服务器912和ue902可以按照特定eap方法所需要地那样交换eap消息932。
在完成认证过程之后,dn-aaa服务器912将eap-success消息934a或eap-failure消息934b发送到upf908,upf908将相应的eap-success936a或eap-failure936b通过n4传输转发到smf906。这结束了(938)在smf906处的重认证过程。
图9中所示的过程900还示出了向ue通知成功和失败情况的示例。对于eap-success情况940,如果授权成功,则在带有从smf906到amf904的重授权接受消息942的sm请求确认中将eap-success发送到ue902,其中,amf904在消息944中将重授权接受、eap-success转发到ue902。对于eap-failure情况950,如果授权不成功,则smf906在n4传输修改请求952中向upf908通知失败。在完成与选定的upf908的n4会话修改过程后(如n4传输修改响应954所指示的),smf906在带有重授权失败、eap-failure的sm请求确认中将eap-failure发送到amf904,其中,amf904在消息958中将重授权失败、eap-failure转发到ue902。
b(4)eap-failure的示例传输/传送
以上描述和说明了用于eap-success的传输/传送的实施例。对于eap-failure的传输/传送,上面与携带eap-success相关的实施例同样可以用于在认证请求和/或认证响应消息中携带eap-failure。在一些实施例中,eap-failure也可以是底层mm或sm过程的一部分。如果没有底层mm或sm过程,则nw可以使用显式注销或pdu释放过程来传送eap-failure。然而,在要提供eap-failure并且不需要响应的情况下,实施例提出,nw可以在authentication_reject或sm_authentication_reject消息内提供这样的eap-failure。
对于eap客户端确定不继续eap交换的情况,从eap客户端到底层(例如,ue的nas,或ue的mm或ue的sm实体/层)的失败指示,本文的某些实施例提出,ue的nas可以向nw分别发送authentication_failure消息或sm_authenticationfailure消息。
eap结果是经由nas附送过程的结果或主nas附送过程消息发送的。合适的nas附送过程消息的示例包括注册接受、注册拒绝(也称为跟踪区域更新拒绝)、服务请求接受、服务请求拒绝。
图10a和10b示出了根据某些实施例的经由nas附送过程消息发送的示例eap-failure的若干信号流图。所示的信令和交互是在eap客户端1002(例如,在ue中)、uenas1004、5gcn1006和eap服务器1008之间。特定消息的名称仅是说明性的,不应被解释为限制性的。图10a和10b中所示的示例包括由认证请求消息1010、认证响应消息1012、跟踪区域更新拒绝消息1014(或5gs中的注册拒绝消息)、会话修改拒绝消息1016和认证拒绝消息1018携带的eap-failure。如上所述,在某些实施例中,uenas1004可以将认证失败消息1022(或sm认证失败消息)发送到5gcn1006。
b(5)附加示例
以下是与支持5gnas的eap认证和授权有关的附加示例。
示例1b可以包括一种用于定义在ue与nw之间交换,以使用eap-aka协议在ue与nw之间执行认证和授权的信令消息是什么的方法。
示例2b可以包括示例1b和/或本文一些其他示例的方法,其中,该方法用于对于eap-aka过程,在ue与nw之间传递eap-success和eap-failure。
示例3b可以包括示例1b-2b和/或本文的一些其他示例的方法,其中,该方法用于定义分别对于移动性管理(mm)和会话管理(sm),如何执行初次认证和二次认证。
示例4b可以包括示例1b-3b和/或本文一些其他示例的方法,其中,该方法用于定义在ue与nw之间可以如何执行重认证。
示例5b可以包括示例1b-5b和/或本文的一些其他示例的方法,其中,通过重复使用和交换底层mm和sm消息交换来支持包括多于一次eap消息的握手的eap协议交换。
示例6b可以包括示例1b-5b和/或本文的一些其他示例的方法,其中,第三方应用服务器使用eap协议在mm和sm上对应用客户端进行认证和授权,从而使这些eap方法对mm和sm保持透明。
示例7b可以包括用户设备(ue)电缆,用于:从无线网络接收认证消息;以及将认证消息发送到无线网络。
示例8b可以包括示例7b和/或本文的一些其他示例的ue,其中,ue从网络接收多个初次(即,在mm级)authenticationrequest,并将多个初次authenticationresponse发送到网络。
示例9b可以包括示例7b和/或本文的一些其他示例的ue,其中,ue从网络接收显式或隐式的初次authenticationaccept或authenticationfailure,并将authenticationfailure发送到网络。
示例10b可以包括示例7b和/或本文的一些其他示例的ue,其中,该ue的nas层中的mm充当用于初次eap进程的传输,并且不处理eap请求类型或方法。
示例11b可以包括示例7b和/或本文的一些其他示例的ue,其中,ue从网络接收多个二次(即,由第三方应用服务器对应用客户端进行的sm级重认证)authenticationrequest,并将多个authenticationresponse发送到网络。
示例12b可以包括示例7b和/或本文的一些其他示例的ue,其中,ue从网络接收显式或隐式的二次authenticationaccept或authenticationfailure,并将authenticationfailure发送到网络。
示例13b可以包括示例7b和/或本文的一些其他示例的ue,其中,nas层中的sm充当用于二次eap进程的传输,并且不处理eap请求类型或方法。
示例14b可以包括示例1b和/或本文的一些其他示例的ue,其中,ue能够处理初次或二次重认证过程。
示例15b可以包括无线网络,能够:从用户设备(ue)接收认证消息;以及将认证消息发送到用户设备(ue)。
示例16b可以包括示例15b和/或本文的一些其他示例的无线网络,其中,无线网络将多个初次(即,在mm级)authenticationrequest发送到ue,并从ue接收多个初次authenticationresponse。
示例17b可以包括示例15b和/或本文的一些其他示例的无线网络,其中,无线网络将显式或隐式初次authenticationaccept或authenticationfailure发送到ue,并从ue接收authenticationfailure。
示例18b可以包括示例15b和/或本文的一些其他示例的无线网络,其中,无线网络将多个二次(即,由第三方应用服务器对应用客户端的sm级重认证)authenticationrequest发送到ue,并从ue接收多个二次authenticationresponse。
示例19b可以包括示例15b和/或本文的一些其他示例的无线网络,其中,无线网络将显式或隐式的二次authenticationaccept或authenticationfailure发送到ue,并从ue接收authenticationfailure。
示例20b可以包括示例15b和/或本文的一些其他示例的无线网络,其中,无线网络能够处理初次或二次重认证过程。
示例21b可以包括一种装置,该装置包括用于执行在示例1b-20b任一项中描述或与之相关的方法,或者本文描述的任何其他方法或进程的一个或多个要素的单元。
示例22b可以包括一种或多种非瞬时性计算机可读介质,其包括指令,在电子设备的一个或多个处理器执行指令时,所述指令使电子设备执行示例1b-20b任一项中描述或与之相关的方法,或者本文描述的任何其他方法或进程的一个或多个要素。
示例23b可以包括一种装置,该装置包括用于执行示例1b-20b任一项中描述或与之相关的方法,或者本文描述的任何其他方法或进程的一个或多个要素的逻辑、模块或电路。
示例24b可以包括如示例1b-20b任一项,或者其一部分或部分中描述或与之相关的方法、技术或进程。
示例25b可以包括一种装置,包括:一个或多个处理器和一个或多个计算机可读介质,所述计算机可读介质包括指令,所述指令当由一个或多个处理器执行时使一个或多个处理器执行如示例1b-20b任一项,或者其一部分中描述或与之相关的方法、技术或进程。
示例26b可以包括如示例1b-20b任一项,或者其一部分或部分中描述或与之相关的信号。
示例27b可以包括如本文所示和所述的无线网络中的信号。
示例28b可以包括在如本文所示和所述的无线网络中进行通信的方法。
示例29b可以包括用于提供如本文所示和所述的无线通信的系统。
示例30b可以包括用于提供如本文所示和所述的无线通信的设备。
c.示例装置、设备和系统
图11示出了根据一些实施例的网络的系统1100的架构。系统1100被示为包括用户设备(ue)1101和ue1102。ue1101和1102被示为智能电话(例如,可连接到一个或多个蜂窝网络的手持触摸屏移动计算设备),但是也可以包括任何移动或非移动计算设备,例如个人数据助理(pda)、寻呼机、膝上型计算机、台式计算机、无线手持设备或包括无线通信接口的任何计算设备。
在一些实施例中,ue1101和1102中的任一个可以包括物联网(iot)ue,其可以包括针对利用短期ue连接的低功率iot应用所设计的网络接入层。iotue可以利用诸如机器到机器(m2m)或机器类型通信(mtc)的技术,以经由公共陆地移动网络(plmn)、邻近服务(prose)或设备到设备(d2d)通信、传感器网络或iot网络与mtc服务器或设备交换数据。m2m或mtc数据交换可以是机器发起的数据交换。iot网络描述了用短期连接互连iotue(其可以包括(在互联网基础设施内)唯一可识别的嵌入式计算设备)。iotue可以执行后台应用(例如,保活消息、状态更新等),以促进iot网络的连接。
ue1101和1102可以被配置为与无线接入网(ran)1110连接(例如,以通信方式耦合)。ran1110可以是例如演进通用移动通信系统(umts)陆地无线接入网(e-utran)、nextgenran(ngran)或某些其他类型的ran。ue1101和1102分别利用连接1103和1104,每个连接包括物理通信接口或层(下面进一步详细讨论);在该示例中,连接1103和1104被示为用于实现通信耦合的空中接口,并且可以符合蜂窝通信协议,例如全球移动通信系统(gsm)协议、码分多址(cdma)网络协议、即按即说(ptt)协议、蜂窝上ptt(poc)协议、通用移动通信系统(umts)协议、3gpp长期演进(lte)协议、第五代(5g)协议,新空口(nr)协议等。
在该实施例中,ue1101和1102还可以经由prose接口1105直接交换通信数据。prose接口1105可以替换地称为侧链路接口,其包括一个或多个逻辑信道,包括但不限于物理侧链路控制信道(pscch)、物理侧链路共享信道(pssch)、物理侧链路发现信道(psdch)和物理侧链路广播信道(psbch)。
ue1102被示为经配置以经由连接1107接入接入点(ap)1106。连接1107可以包括本地无线连接,例如符合任何ieee802.11协议的连接,其中,ap1106将包括无线保真
ran1110可以包括启用连接1103和1104的一个或多个接入节点。这些接入节点(an)可以称为基站(bs)、nodeb、演进nodeb(enb)、下一代nodeb(gnb)、ran节点等,并且可以包括在地理区域(例如,小区)内提供覆盖的地面站(例如,陆地接入点)或卫星站。ran1110可以包括用于提供宏小区的一个或多个ran节点(例如,宏ran节点1111)以及用于提供毫微微小区或微微小区(例如,与宏小区相比具有更小的覆盖区域、更小的用户容量或更高的带宽的小区)的一个或多个ran节点(例如,低功率(lp)ran节点1112)。
ran节点1111和1112中的任一个可以端接空中接口协议,并且可以是用于ue1101和1102的第一接触点。在一些实施例中,ran节点1111和1112中的任一个可以履行ran1110的各种逻辑功能,包括但不限于无线电网络控制器(rnc)功能,例如无线承载管理、上行链路和下行链路动态无线资源管理和数据分组调度以及移动性管理。
根据一些实施例,ue1101和1102可以被配置为:根据各种通信技术(例如但不限于正交频分多址(ofdma)通信技术(例如,用于下行链路通信)或单载波频分多址(sc-fdma)通信技术(例如,用于上行链路和prose或侧链路通信)),在多载波通信信道上使用正交频分复用(ofdm)通信信号彼此或与ran节点1111和1112中的任一个进行通信,但实施例的范围不限于此。ofdm信号可以包括多个正交子载波。
在一些实施例中,下行链路资源网格可以用于从ran节点1111和1112中的任一个到ue1101和1102的下行链路传输,而上行链路传输可以利用类似的技术。网格可以是称为资源网格或时频资源网格的时频网格,其为下行链路中每个时隙中的物理资源。这种时频平面表示对于ofdm系统来说是常见做法,这使得无线电资源分配是直观的。资源网格的每列和每行分别对应于一个ofdm符号和一个ofdm子载波。资源网格在时域中的持续时间对应于无线帧中的一个时隙。资源网格中的最小时频单元称为资源元素。每个资源网格包括多个资源块,其描述了某些物理信道到资源元素的映射。每个资源块包括资源元素的集合;在频域中,这可以表示当前能够被分配的最小资源量。存在若干不同的使用这种资源块传送的物理下行链路信道。
物理下行链路共享信道(pdsch)可以将用户数据和更高层信令携带到ue1101和1102。物理下行链路控制信道(pdcch)可以携带关于与pdsch信道有关的传输格式和资源分配的信息等。它还可以向ue1101和1102通知与上行链路共享信道有关的传输格式、资源分配和h-arq(混合自动重传请求)信息。通常,可以基于从ue1101和1102中的任一个反馈的信道质量信息,在ran节点1111和1112中的任一个处执行下行链路调度(将控制信道资源块和共享信道资源块分派给小区内的ue1102)。可以在用于(例如,分派给)ue1101和1102中的每一个的pdcch上发送下行链路资源分派信息。
pdcch可以使用控制信道元素(cce)来传送控制信息。在被映射到资源元素之前,pdcch复值符号可以首先被组织成四元组,然后可以使用子块交织器进行排列,以用于速率匹配。可以使用这些cce中的一个或多个来发送每个pdcch,其中,每个cce可以对应于九组称为资源元素组(reg)的四个物理资源元素。可以将四个正交相移键控(qpsk)符号映射到每个reg。可以使用一个或多个cce来发送pdcch,这取决于下行链路控制信息(dci)的大小和信道状况。在lte中可以定义具有不同数量的cce(例如,聚合等级,l=1、2、4或8)的四种或更多种不同的pdcch格式。
一些实施例对于控制信道信息可以使用作为上述概念的扩展的概念进行资源分配。例如,一些实施例可以利用增强物理下行链路控制信道(epdcch),其使用pdsch资源进行控制信息传输。可以使用一个或多个增强控制信道元素(ecce)来发送epdcch。与上面类似,每个ecce可以对应于九组称为增强资源元素组(ereg)的四个物理资源元素。在某些情况下,ecce可以具有其他数量的ereg。
ran1110被示为经由s1接口1113以通信方式耦合到核心网(cn)1120。在实施例中,cn1120可以是演进分组核心(epc)网络、下一代分组核心(npc)网络或某些其他类型的cn。在该实施例中,s1接口1113被分成两部分:s1-u接口1114,其携带ran节点1111和1112与服务网关(s-gw)1122之间的业务数据;以及s1移动性管理实体(mme)接口1115,其为ran节点1111和1112与mme1121之间的信令接口。
在该实施例中,cn1120包括mme1121、s-gw1122、分组数据网络(pdn)网关(p-gw)1123和归属订户服务器(hss)1124。mme1121在功能上可以类似于遗留服务通用分组无线服务(gprs)支持节点(sgsn)的控制平面。mme1121可以管理接入中的移动性方面,例如网关选择和跟踪区域列表管理。hss1124可以包括用于网络用户的数据库,包括用于支持网络实体处理通信会话的订阅相关信息。cn1120可以包括一个或若干hss1124,这取决于移动订户的数量、设备的容量、网络的组织等。例如,hss1124可以提供对路由/漫游、认证、授权、命名/地址解析、位置依赖性等的支持。
s-gw1122可以端接去往ran1110的s1接口1113,并且在ran1110与cn1120之间路由数据分组。此外,s-gw1122可以是用于异ran节点切换的本地移动性锚点,并且还可以提供用于3gpp间移动性的锚定。其他责任可以包括法定拦截、计费和某种策略实施。
p-gw1123可以端接去往pdn的sgi接口。p-gw1123可以经由互联网协议(ip)接口1125,在cn1120(例如,epc网络)与外部网络(例如,包括应用服务器1130(替换地称为应用功能(af))的网络)之间路由数据分组。通常,应用服务器1130可以是向核心网提供使用ip承载资源的应用(例如,umts分组服务(ps)域、lteps数据服务等)的元件。在该实施例中,p-gw1123被示为经由ip通信接口1125以通信方式耦合到应用服务器1130。应用服务器1130还可以被配置为:经由cn1120支持用于ue1101和1102的一种或多种通信服务(例如,互联网协议上的语音(voip)会话、ptt会话、组通信会话、社交网络服务等)。
p-gw1123还可以是用于策略实施和计费数据收集的节点。策略和计费规则功能(pcrf)1126是cn1120的策略和计费控制元件。在非漫游场景中,在归属公共陆地移动网络(hplmn)中可以存在与ue的互联网协议连接接入网(ip-can)会话关联的单个pcrf。在业务脱离本地的漫游场景中,可以存在与ue的ip-can会话关联的两个pcrf:hplmn内的归属pcrf(h-pcrf)和受访公共陆地移动网络(vplmn)中的受访pcrf(v-pcrf)。pcrf1126可以经由p-gw1123以通信方式耦合到应用服务器1130。应用服务器1130可以用信号通知pcrf1126以指示新的服务流,并选择适当的服务质量(qos)和计费参数。pcrf1126可以用适当的业务流模板(tft)和qos类标识符(qci)将该规则配给到策略和计费执行功能(pcef)(未示出)中,这使得按应用服务器1130所指定的那样开始qos和计费。
图12示出了根据一些实施例的网络的系统1200的架构。系统1200被示为包括:ue1201,其可以与先前讨论的ue1101和1102相同或相似;ran1211,其可以与先前讨论的ran1111和1112相同或相似;用户平面功能(upf)1202;数据网络(dn)1203,其可以是例如运营商服务、互联网接入或第三方服务;和5g核心网(5gc或cn)1220。
cn1220可以包括:认证服务器功能(ausf)1222;核心接入和移动性管理功能(amf)1221;会话管理功能(smf)1224;网络开放功能(nef)1223;策略控制功能(pcf)1226;网络功能(nf)仓储功能(nrf)1225;统一数据管理(udm)1227;和应用功能(af)1228。cn1220还可以包括未示出的其他元件,例如结构化数据存储网络功能(sdsf)、非结构化数据存储网络功能(udsf)等。
upf1202可以充当用于同rat和异rat移动性的锚点、去往dn1203的互连的外部pdu会话点、以及支持多归属pdu会话的分支点。upf1202还可以执行分组路由和转发、分组检查,实施策略规则的用户平面部分,合法拦截分组(up集合);业务使用上报,对用户平面执行qos处理(例如,分组过滤、门控、ul/dl速率实施),执行上行链路业务验证(例如,sdf到qos流映射),上行链路和下行链路中的传输级分组标记,以及下行链路数据分组缓冲和下行数据通知触发。upf1202可以包括上行链路分类器,用于支持将业务流路由到数据网络。dn1203可以表示各种网络运营商服务、互联网接入或第三方服务。dn1203可以包括或类似于先前讨论的应用服务器1130。
ausf1222可以存储用于ue1201的认证的数据并且处理认证相关功能。ausf1222可以促进用于各种接入类型的公共认证框架。
amf1221可以负责注册管理(例如,用于注册ue1201等)、连接管理、可达性管理、移动性管理以及amf相关事件的合法拦截,以及接入认证和授权。amf1221可以在ue1201与smf1224之间提供用于sm消息的传输,并且充当用于路由sm消息的透明代理。amf1221还可以在ue1201与sms功能(smsf)(图12未示出)之间提供用于短消息服务(sms)消息的传输。amf1221可以充当安全锚定功能(sea),其可以包括与ausf1222和ue1201的交互,接收作为ue1201认证进程的结果而建立的中间密钥。在使用基于usim的认证的情况下,amf1221可以从ausf1222获取安全性资料。amf1221还可以包括安全上下文管理(scm)功能,其从sea接收它用于导出接入网特定密钥的密钥。此外,amf1221可以是rancp接口的端接点(n2参考点)、nas(n1)信令的端接点,并执行nas加密和完整性保护。
amf1221还可以通过n3互通功能(iwf)接口支持与ue1201的nas信令。n3iwf可以用于提供对不可信实体的接入。n3iwf对于控制平面和用户平面来说分别可以是用于n2和n3接口的端接点,并且因此可以处理来自smf和amf的n2信令以用于pdu会话和qos,封装/解封分组以用于ipsec和n3隧道,在上行链路中标记n3用户平面分组,并实施在考虑与通过n2接收的这种标记相关联的qos要求的情况下与n3分组标记对应的qos。n3iwf还可以在ue1201与amf1221之间中继上行链路和下行链路控制平面nas(n1)信令,并且在ue1201与upf1202之间中继上行链路和下行链路用户平面分组。n3iwf还提供与ue1201建立ipsec隧道的机制。
smf1224可以负责会话管理(sm)(例如,会话建立、修改和释放,包括upf与an节点之间的隧道维护);ueip地址分配和管理(包括可选授权);选择和控制up功能;在upf处配置业务引导,以将业务路由到正确的目的地;端接朝向策略控制功能的接口;控制政策实施和qos的一部分;合法拦截(用于sm事件和去往li系统的接口);端接nas消息的sm部分;下行链路数据通知;经由amf通过n2发送给an的an特定sm信息的发起方;确定会话的ssc模式。smf1224可以包括以下漫游功能:处理本地实施以应用qossla(vplmn);计费数据收集和计费接口(vplmn);合法拦截(在vplmn中针对sm事件和去往li系统的接口);支持与外部dn的交互,以用于传输用于由外部dn进行的pdu会话授权/认证的信令。
nef1223可以提供用于安全地开放由3gpp网络功能为第三方、内部开放/再开放、应用功能(例如,af1228)、边缘计算或雾计算系统等提供的服务和能力的手段。在这样的实施例中,nef1223可以对af进行认证、授权和/或限制。nef1223还可以转换与af1228交换的信息和与内部网络功能交换的信息。例如,nef1223可以在af服务标识符与内部5gc信息之间进行转换。nef1223还可以基于其他网络功能的开放能力从其他网络功能(nf)接收信息。该信息可以作为结构化数据存储在nef1223处,或者使用标准化接口存储在数据存储nf处。然后,所存储的信息可以由nef1223重新开放给其他nf和af,和/或用于其他目的,例如分析。
nrf1225可以支持服务发现功能,从nf实例接收nf发现请求,并将所发现的nf实例的信息提供给nf实例。nrf1225还维护可用nf实例及其所支持的服务的信息。
pcf1226可以将策略规则提供给控制平面功能以实施它们,并且还可以支持统一的策略框架以管理网络行为。pcf1226还可以实现前端(fe)以访问udm1227的udr中的与策略决策相关的订阅信息。
udm1227可以处理订阅相关信息以支持网络实体对通信会话的处理,并且可以存储ue1201的订阅数据。udm1227可以包括两个部分:应用fe和用户数据仓储(udr)。udm可以包括udmfe,其负责凭证的处理、位置管理、订阅管理等。若干不同前端可以在不同交易中为同一用户服务。udm-fe访问存储在udr中的订阅信息,并执行认证凭证处理、用户识别处理、接入授权、注册/移动性管理和订阅管理。udr可以与pcf1226交互。udm1227还可以支持sms管理,其中,sms-fe实现与前面所讨论类似的应用逻辑。
af1228可以提供对业务路由的应用影响,接入网络能力开放(nce),并且与策略框架交互以用于策略控制。nce可以是允许5gc和af1228经由nef1223彼此提供信息的机构,其可以用于边缘计算实现。在这样的实现方式中,网络运营商和第三方服务可以靠近ue1201附着接入点,以通过减少的端到端时延和传输网络上的负载来实现高效的服务传送。对于边缘计算实现,5gc可以选择靠近ue1201的upf1202,并且经由n6接口执行从upf1202到dn1203的业务引导。这可以基于ue订阅数据、ue位置和af1228提供的信息。以此方式,af1228可以影响upf(重)选择和业务路由。基于运营商部署,当af1228被认为是可信实体时,网络运营商可以允许af1228直接与相关nf进行交互。
如前面所讨论的,cn1220可以包括smsf,其可以负责sms订阅检查和验证,并且将sm消息从ue1201中继到其他实体(例如,sms-gmsc/iwmsc/sms-路由器)或从其他实体中继到ue1201。sms还可以与amf1221和udm1227交互,以用于ue1201可供用于sms传送的通知过程(例如,设置ue不可到达标志,以及当ue1201可供用于sms时通知udm1227)。
系统1200可以包括以下基于服务的接口:namf:amf展示的基于服务的接口;nsmf:smf展示的基于服务的接口;nnef:nef展示的基于服务的接口;npcf:pcf展示的基于服务的接口;nudm:udm展示的基于服务的接口;naf:af展示的基于服务的接口;nnrf:nrf展示的基于服务的接口;和nausf:ausf展示的基于服务的接口。
系统1200可以包括以下参考点:n1:ue与amf之间的参考点;n2:(r)an与amf之间的参考点;n3:(r)an与upf之间的参考点;n4:smf与upf之间的参考点;和n6:upf与数据网络之间的参考点。在nf中的nf服务之间可能存在更多参考点和/或基于服务的接口,然而,为了清楚起见,省略了这些接口和参考点。例如,n5参考点可以在pcf与af之间;n7参考点可以在pcf与smf之间;amf与smf之间的n11参考点;等。在一些实施例中,cn1220可以包括nx接口,其为mme(例如,mme1121)与amf1221之间的cn间接口,以便实现cn1220与cn1120之间的互通。
图13示出了根据一些实施例的设备1300的示例组件。在一些实施例中,设备1300可以包括应用电路1302、基带电路1304、射频(rf)电路1306、前端模块(fem)电路1308、一个或多个天线1310以及电源管理电路(pmc)1312,至少如所示那样耦合在一起。所示的设备1300的组件可以包括在ue或ran节点中。在一些实施例中,设备1300可以包括更少的元件(例如,ran节点可以不利用应用电路1302,改为包括处理器/控制器以处理从epc接收的ip数据)。在一些实施例中,设备1300可以包括附加元件,例如存储器/存储、显示器、相机、传感器或输入/输出(i/o)接口。在其他实施例中,下面描述的组件可以包括在多于一个设备中(例如,对于云ran(c-ran)实现方式,所述电路可以分开地包括在多于一个设备中)。
应用电路1302可以包括一个或多个应用处理器。例如,应用电路1302可以包括例如但不限于一个或多个单核或多核处理器的电路。处理器可以包括通用处理器和专用处理器(例如,图形处理器、应用处理器等)的任何组合。处理器可以与存储器/存储耦合或者可以包括它们,并且可以被配置为:执行存储在存储器/存储中的指令,以使得各种应用或操作系统能够在设备1300上运行。在一些实施例中,应用电路1302的处理器可以处理从epc接收的ip数据分组。
基带电路1304可以包括例如但不限于一个或多个单核或多核处理器的电路。基带电路1304可以包括一个或多个基带处理器或控制逻辑,以处理从rf电路1306的接收信号路径接收的基带信号,并生成用于rf电路1306的发送信号路径的基带信号。基带电路1304可以与应用电路1302接口,用于生成和处理基带信号,并控制rf电路1306的操作。例如,在一些实施例中,基带电路1304可以包括第三代(3g)基带处理器1304a、第四代(4g)基带处理器1304b、第五代(5g)基带处理器1304c或用于其他现有代、开发中的代或未来开发的代(例如,第二代(2g)、第六代(6g)等)的其他基带处理器1304d。基带电路1304(例如,基带处理器1304a-d中的一个或多个)可以处理使得经由rf电路1306与一个或多个无线电网络进行通信成为可能的各种无线电控制功能。在其他实施例中,基带处理器1304a-d的一些或全部功能可以包括在存储于存储器1304g中并经由中央处理单元(cpu)1304e执行的模块中。无线电控制功能可以包括但不限于信号调制/解调、编码/解码、无线电频移等。在一些实施例中,基带电路1304的调制/解调电路可以包括快速傅里叶变换(fft)、预编码或星座映射/解映射功能。在一些实施例中,基带电路1304的编码/解码电路可以包括卷积、咬尾卷积、turbo、维特比或低密度奇偶校验(ldpc)编码器/解码器功能。调制/解调和编码器/解码器功能的实施例不限于这些示例,并且在其他实施例中可以包括其他合适的功能。
在一些实施例中,基带电路1304可以包括一个或多个音频数字信号处理器(dsp)1304f。音频dsp1304f可以包括用于压缩/解压缩和回声消除的元件,并且在其他实施例中可以包括其他合适的处理元件。在一些实施例中,基带电路的组件可以合适地组合在单个芯片、单个芯片组中,或者设置在同一电路板上。在一些实施例中,基带电路1304和应用电路1302的一些或所有构成组件可以一起实现在例如片上系统(soc)上。
在一些实施例中,基带电路1304可以提供与一种或多种无线电技术兼容的通信。例如,在一些实施例中,基带电路1304可以支持与演进通用陆地无线接入网(eutran)或其他无线城域网(wman)、无线局域网(wlan)或无线个域网(wpan)的通信。基带电路1304被配置为支持多于一种无线协议的无线电通信的实施例可以被称为多模基带电路。
rf电路1306可以使得通过非固体介质使用调制的电磁辐射来与无线网络的通信成为可能。在各种实施例中,rf电路1306可以包括开关、滤波器、放大器等,以促进与无线网络的通信。rf电路1306可以包括接收信号路径,其可以包括用于下变频从fem电路1308接收的rf信号并向基带电路1304提供基带信号的电路。rf电路1306还可以包括发送信号路径,其可以包括用于上变频基带电路1304提供的基带信号并将rf输出信号提供给fem电路1308以用于传输的电路。
在一些实施例中,rf电路1306的接收信号路径可以包括混频器电路1306a、放大器电路1306b和滤波器电路1306c。在一些实施例中,rf电路1306的发送信号路径可以包括滤波器电路1306c和混频器电路1306a。rf电路1306还可以包括综合器电路1306d,用于合成由接收信号路径和发送信号路径的混频器电路1306a使用的频率。在一些实施例中,接收信号路径的混频器电路1306a可以被配置为:基于综合器电路1306d提供的合成频率对从fem电路1308接收的rf信号进行下变频。放大器电路1306b可以被配置为放大下变频后的信号,并且滤波器电路1306c可以是低通滤波器(lpf)或带通滤波器(bpf),被配置为:从下变频后的信号中去除不想要的信号,以生成输出基带信号。可以将输出基带信号提供给基带电路1304,以用于进一步处理。在一些实施例中,输出基带信号可以是零频率基带信号,但这并非要求。在一些实施例中,接收信号路径的混频器电路1306a可以包括无源混频器,但是实施例的范围不限于此。
在一些实施例中,发送信号路径的混频器电路1306a可以被配置为:基于综合器电路1306d提供的合成频率对输入基带信号进行上变频,以生成用于fem电路1308的rf输出信号。基带信号可以由基带电路1304提供,并且可以由滤波器电路1306c滤波。
在一些实施例中,接收信号路径的混频器电路1306a和发送信号路径的混频器电路1306a可以包括两个或更多个混频器,并且可以分别被布置用于正交下变频和上变频。在一些实施例中,接收信号路径的混频器电路1306a和发送信号路径的混频器电路1306a可以包括两个或更多个混频器,并且可以被布置用于镜像抑制(例如,hartley镜像抑制)。在一些实施例中,接收信号路径的混频器电路1306a和发送信号路径的混频器电路1306a可以被分别布置用于直接下变频和直接上变频。在一些实施例中,接收信号路径的混频器电路1306a和发送信号路径的混频器电路1306a可以被配置用于超外差操作。
在一些实施例中,输出基带信号和输入基带信号可以是模拟基带信号,但是实施例的范围不限于此。在一些替换实施例中,输出基带信号和输入基带信号可以是数字基带信号。在这些替换实施例中,rf电路1306可以包括模数转换器(adc)和数模转换器(dac)电路,并且基带电路1304可以包括数字基带接口,以与rf电路1306通信。
在一些双模实施例中,可以提供单独的无线电ic电路,以用于处理每个频谱的信号,但是实施例的范围不限于此。
在一些实施例中,综合器电路1306d可以是小数n综合器或小数n/n+1综合器,但是实施例的范围不限于此,因为其他类型的频率综合器可以是合适的。例如,综合器电路1306d可以是δ-σ综合器、倍频器或包括具有分频器的锁相环的综合器。
综合器电路1306d可以被配置为:基于频率输入和除法器控制输入来合成输出频率以供rf电路1306的混频器电路1306a使用。在一些实施例中,综合器电路1306d可以是小数n/n+1综合器。
在一些实施例中,频率输入可以由压控振荡器(vco)提供,但这并非要求。除法器控制输入可以由基带电路1304或应用电路1302(例如,应用处理器)根据期望的输出频率来提供。在一些实施例中,可以基于由应用电路1302指示的信道,从查找表确定除法器控制输入(例如,n)。
rf电路1306的综合器电路1306d可以包括除法器、延迟锁相环(dll)、复用器和相位累加器。在一些实施例中,除法器可以是双模除法器(dmd),并且相位累加器可以是数字相位累加器(dpa)。在一些实施例中,dmd可以被配置为:将输入信号除以n或n+1(例如,基于进位),以提供小数除法比率。在一些示例实施例中,dll可以包括一组级联的可调谐的延迟元件、相位检测器、电荷泵和d型触发器。在这些实施例中,延迟元件可以被配置为将vco周期分解为nd个相等的相位分组,其中,nd是延迟线中的延迟元件的数量。以此方式,dll提供负反馈,以帮助确保通过延迟线的总延迟是一个vco周期。
在一些实施例中,综合器电路1306d可以被配置为生成载波频率作为输出频率,而在其他实施例中,输出频率可以是载波频率的倍数(例如,载波频率的两倍、载波频率的四倍),并与正交发生器和除法器电路结合使用,以在载波频率下生成相对于彼此具有多个不同相位的多个信号。在一些实施例中,输出频率可以是lo频率(flo)。在一些实施例中,rf电路1306可以包括iq/极坐标转换器。
fem电路1308可以包括接收信号路径,其可以包括被配置为对从一个或多个天线1310接收的rf信号进行操作,放大接收的信号并将接收的信号的放大版本提供给rf电路1306以用于进一步处理的电路。fem电路1308还可以包括发送信号路径,其可以包括被配置为放大由rf电路1306提供的用于发送的信号以用于由一个或多个天线1310中的一个或多个发送的电路。在各种实施例中,通过发送信号路径或接收信号路径的放大可以仅在rf电路1306中完成,仅在fem1308中完成,或者在rf电路1306和fem1308两者中完成。
在一些实施例中,fem电路1308可以包括tx/rx切换器,以在发送模式与接收模式操作之间切换。fem电路1308可以包括接收信号路径和发送信号路径。fem电路1308的接收信号路径可以包括lna,用于放大接收的rf信号,并将放大的接收rf信号作为输出提供(例如,给rf电路1306)。fem电路1308的发送信号路径可以包括:功率放大器(pa),用于放大(例如,由rf电路1306提供的)输入rf信号;以及一个或多个滤波器,用于生成rf信号,以用于(例如,由一个或多个天线1310中的一个或多个进行)后续发送。
在一些实施例中,pmc1312可以管理提供给基带电路1304的功率。特别地,pmc1312可以控制电源选择、电压缩放、电池充电或dc-dc转换。当设备1300能够由电池供电时,例如当设备1300被包括在ue中时,常常可以包括pmc1312。pmc1312可以提高功率转换效率,同时提供期望的实现尺寸和散热特性。
图13示出了pmc1312仅与基带电路1304耦合。然而,在其他实施例中,pmc1312可以附加地或替换地与其他组件耦合,例如但不限于应用电路1302、rf电路1306或fem1308,并且为其他组件执行类似的电源管理操作。
在一些实施例中,pmc1312可以控制设备1300的各种省电机构,或者为其一部分。例如,如果设备1300处于rrc_connected状态(其中,它仍然连接到ran节点,因为它预期不久之后将接收业务),则它可以在一不活动时段之后进入称为不连续接收模式(drx)的状态。在该状态期间,设备1300可以下电达短暂的时间间隔,从而节省电力。
如果在延长的时间段内没有数据业务活动,则设备1300可以转换到rrc_idle状态(其中,它与网络断开连接,并且不执行诸如信道质量反馈、切换等操作)。设备1300进入非常低功率的状态,并且它执行寻呼,其中它再次周期性地唤醒以侦听网络,然后再次下电。设备1300在该状态下不可以接收数据,为了接收数据,它可以转换回rrc_connected状态。
附加省电模式可以允许设备对网络不可用达比寻呼间隔长的时段(范围从几秒到几小时)。在此时间期间,设备完全不可达网络并且可以完全下电。在此时间期间发送的任何数据都会产生大的延迟,并且假设该延迟是可接受的。
应用电路1302的处理器和基带电路1304的处理器可以用于执行协议栈的一个或多个实例的元素。例如,基带电路1304的处理器(单独地或组合地)可以用于执行层3、层2或层1功能,而应用电路1302的处理器可以利用从这些层接收的数据(例如,分组数据),并进一步执行层4层功能(例如,传输通信协议(tcp)和用户数据报协议(udp)层)。如本文所提到的,层3可以包括无线资源控制(rrc)层,下面将进一步详细描述。如本文所提到的,层2可以包括介质接入控制(mac)层、无线链路控制(rlc)层和分组数据汇聚协议(pdcp)层,下面将进一步详细描述。如本文所提到的,层1可以包括ue/ran节点的物理(phy)层,下面将进一步详细描述。
图14示出了根据一些实施例的基带电路的示例接口。如上所讨论的,图13的基带电路1304可以包括处理器1304a-1304e和由所述处理器使用的存储器1304g。处理器1304a-1304e中的每一个可以分别包括存储器接口1404a-1404e,以向/从存储器1304g发送/接收数据。
基带电路1304还可以包括用于以通信方式耦合到其他电路/设备的一个或多个接口,例如存储器接口1412(例如,用于向/从基带电路1304外部的存储器发送/接收数据的接口)、应用电路接口1414(例如,用于向/从图13的应用电路1302发送/接收数据的接口)、rf电路接口1416(例如,用于向/从图13的rf电路1306发送/接收数据的接口)、无线硬件连接接口1418(例如,用于向/从近场通信(nfc)组件、
图15是根据一些实施例的控制平面协议栈的图示。在该实施例中,控制平面1500被示为ue1101(或替换地,ue1102)、ran节点1111(或替换地,ran节点1112)与mme1121之间的通信协议栈。
phy层1501可以通过一个或多个空中接口发送或接收由mac层1502使用的信息。phy层1501还可以执行链路适配或自适应调制和编码(amc)、功率控制、小区搜索(例如,用于初始同步和切换目的)以及由诸如rrc层1505的更高层使用的其他测量。phy层1501可以仍然进一步执行对传输信道的检错、传输信道的前向纠错(fec)编码/解码、物理信道的调制/解调、交织、速率匹配、映射到物理信道、以及多输入多输出(mimo)天线处理。
mac层1502可以执行逻辑信道与传输信道之间的映射,将来自一个或多个逻辑信道的mac服务数据单元(sdu)复用到传输块(tb)以经由传输信道传递到phy,将macsdu从经由传输信道自phy传递的传输块(tb)解复用到一个或多个逻辑信道,将macsdu复用到tb,调度信息上报,通过混合自动重传请求(harq)进行纠错,以及逻辑信道优先级排序。
rlc层1503可以以多种操作模式操作,包括:透明模式(tm)、非确认模式(um)和确认模式(am)。rlc层1503可以执行上层协议数据单元(pdu)的传送,通过自动重传请求(arq)进行纠错以用于am数据传送,以及对rlcsdu进行串接、分段和重组以用于um和am数据传送。rlc层1503还可以执行rlc数据pdu的重新分段以用于am数据传送,对rlc数据pdu重新排序以用于um和am数据传送,检测重复数据以用于um和am数据传送,丢弃rlcsdu以用于um和am数据传送,检测协议错误以用于am数据传送,并执行rlc重建。
pdcp层1504可以执行ip数据的头压缩和解压缩,维护pdcp序列号(sn),在重建较低层时执行上层pdu的顺序传递,在重建较低层时为映射在rlcam上的无线承载消除较低层sdu的重复,加密和解密控制平面数据,执行控制平面数据的完整性保护和完整性验证,控制基于定时器的数据丢弃,以及执行安全操作(例如,加密、解密、完整性保护、完整性验证等)。
rrc层1505的主要服务和功能可以包括系统信息的广播(例如,包括在与非接入层(nas)相关的主信息块(mib)或系统信息块(sib)中),与接入层(as)相关的系统信息的广播,ue与e-utran之间的rrc连接的寻呼、建立、维护和释放(例如,rrc连接寻呼、rrc连接建立、rrc连接修改和rrc连接释放),点对点无线承载的建立、配置、维护和释放,安全功能(包括密钥管理),异无线接入技术(rat)移动性和ue测量上报的测量配置。所述mib和sib可以包括一个或多个信息元素(ie),每个信息元素可以包括单独的数据字段或数据结构。
ue1101和ran节点1111可以利用uu接口(例如,lte-uu接口),以经由协议栈(包括phy层1501、mac层1502、rlc层1503、pdcp层1504以及rrc层1505)来交换控制平面数据。
在所示的实施例中,非接入层(nas)协议1506形成ue1101与mme1121之间的控制平面的最高层。nas协议1506支持ue1101的移动性和会话管理过程,以建立和维护ue1101与p-gw1123之间的ip连接。
s1应用协议(s1-ap)层1515可以支持s1接口的功能,并且包括基本过程(ep)。ep是ran节点1111与cn1120之间的交互的单元。s1-ap层服务可以包括两个组:ue关联服务和非ue关联服务。这些服务执行以下功能,包括但不限于:e-utran无线接入承载(e-rab)管理、ue能力指示、移动性、nas信令传输、ran信息管理(rim)和配置传送。
流控制传输协议(sctp)层(替换地称为流控制传输协议/互联网协议(sctp/ip)层)1514可以部分地基于ip层1513支持的ip协议确保ran节点1111与mme1121之间的信令消息的可靠传送。l2层1512和l1层1511可以指代由ran节点和mme用于交换信息的通信链路(例如,有线或无线)。
ran节点1111和mme1121可以利用s1-mme接口经由协议栈来交换控制平面数据,包括l1层1511、l2层1512、ip层1513、sctp层1514和s1-ap层1515。
图16是根据一些实施例的用户平面协议栈的图示。在该实施例中,用户平面1600被示为ue1101(或替换地,ue1102)、ran节点1111(或替换地,ran节点1112)、s-gw1122和p-gw1123之间的通信协议栈。用户平面1600可以利用至少一些与控制平面1500相同的协议层。例如,ue1101和ran节点1111可以利用uu接口(例如,lte-uu接口),以经由协议栈来交换用户平面数据,包括phy层1501、mac层1502、rlc层1503、pdcp层1504。
用于用户平面(gtp-u)层1604的通用分组无线服务(gprs)隧道协议可以用于在gprs核心网内以及在无线接入网与核心网之间携带用户数据。例如,所传输的用户数据可以是ipv4、ipv6或ppp格式中的任一种格式的分组。udp和ip安全(udp/ip)层1603可以提供用于数据完整性的校验和、用于在源和目的地处寻址不同功能的端口号、以及对选定数据流的加密和认证。ran节点1111和s-gw1122可以利用s1-u接口,以经由协议栈来交换用户平面数据,包括l1层1511、l2层1512、udp/ip层1603和gtp-u层1604。s-gw1122和p-gw1123可以利用s5/s8a接口,以经由协议栈来交换用户平面数据,包括l1层1511、l2层1512、udp/ip层1603和gtp-u层1604。如上面关于图15所讨论的那样,nas协议支持ue1101的移动性和会话管理过程,以建立和维护ue1101和p-gw1123之间的ip连接。
图17示出了根据一些实施例的核心网的组件。cn1120的组件可以实现在一个物理节点中,或者实现在分开的物理节点中,包括用于从机器可读或计算机可读介质(例如,非瞬时性机器可读存储介质)读取和执行指令的组件。在一些实施例中,网络功能虚拟化(nfv)用于经由存储在一个或多个计算机可读存储介质中的可执行指令虚拟化任何或所有上述网络节点功能(下面进一步详细描述)。cn1120的逻辑实例化可以被称为网络切片1701。cn1120的一部分的逻辑实例化可以被称为网络子切片1702(例如,网络子切片1702被示为包括pgw1123和pcrf1126)。
nfv架构和基础设施可以用于将一个或多个网络功能虚拟化(否则由专用硬件执行)到包括行业标准服务器硬件、存储硬件或交换机的组合的物理资源上。换句话说,nfv系统可以用于执行一个或多个epc组件/功能的虚拟或可重配置的实现。
图18是示出根据一些示例实施例的用于支持nfv的系统1800的组件的框图。系统1800被示为包括虚拟化基础设施管理器(vim)1802、网络功能虚拟化基础设施(nfvi)1804、vnf管理器(vnfm)1806、虚拟化网络功能(vnf)1808、元素管理器(em)1810、nfv编排器(nfvo)1812和网络管理器(nm)1814。
vim1802管理nfvi1804的资源。nfvi1804可以包括用于执行系统1800的物理或虚拟资源和应用(包括管理程序)。vim1802可以用nfvi1804管理虚拟资源的生命周期(例如,创建、维护和拆除与一个或多个物理资源关联的虚拟机(vm)),跟踪vm实例,跟踪vm实例和关联的物理资源的性能、故障和安全,以及将vm实例和关联的物理资源开放给其他管理系统。
vnfm1806可以管理vnf1808。vnf1808可以用于执行epc组件/功能。vnfm1806可以管理vnf1808的生命周期并跟踪vnf1808的虚拟方面的性能、故障和安全。em1810可以跟踪vnf1808的功能方面的性能、故障和安全。来自vnfm1806和em1810的跟踪数据可以包括例如vim1802或nfvi1804使用的性能测量(pm)数据。vnfm1806和em1810都可以增加/减少系统1800的vnf的数量。
nfvo1812可以协调、授权、释放和占用nfvi1804的资源,以便提供所请求的服务(例如,以执行epc功能、组件或切片)。nm1814可以向一系列终端用户功能提供管理网络(其可以包括具有vnf、非虚拟化网络功能或两者的网元(vnf的管理可以经由em1810发生))的责任。
图19是示出根据一些示例实施例的能够从机器可读或计算机可读介质(例如,非瞬时性机器可读存储介质)中读取指令并执行本文讨论的任何一种或多种方法的组件的框图。具体地,图19示出了硬件资源1900的图形表示,包括一个或多个处理器(或处理器核)1910、一个或多个存储器/存储设备1920以及一个或多个通信资源1930,其中的每一个可以经由总线1940以通信方式耦合。对于利用了节点虚拟化(例如,nfv)的实施例,可以执行管理程序1902,从而为一个或多个网络切片/子切片提供执行环境,以利用硬件资源1900。
处理器1910(例如,中央处理单元(cpu)、精简指令集计算(risc)处理器、复杂指令集计算(cisc)处理器、图形处理单元(gpu)、数字信号处理器(dsp),例如基带处理器、专用集成电路(asic)、射频集成电路(rfic)、另一处理器或其任何合适的组合)可以包括例如处理器1912和处理器1914。
存储器/存储设备1920可以包括主存储器、磁盘存储器或其任何合适的组合。存储器/存储设备1920可以包括但不限于任何类型的易失性或非易失性存储器,例如动态随机存取存储器(dram)、静态随机存取存储器(sram)、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)、闪存、固态存储等。
通信资源1930可以包括互连或网络接口组件或其他合适的设备,以经由网络1908与一个或多个外围设备1904或者一个或多个数据库1906通信。例如,通信资源1930可以包括有线通信组件(例如,用于经由通用串行总线(usb)耦合)、蜂窝通信组件、nfc组件、
指令1950可以包括软件、程序、应用、小应用程序、app或用于使至少任一处理器1910执行本文所讨论的任何一种或多种方法的其他可执行代码。指令1950可以完全或部分地驻留在处理器1910(例如,在处理器的高速缓存内)、存储器/存储设备1920或其任何合适的组合中的至少一个内。此外,指令1950的任何部分可以从外围设备1904或数据库1906的任何组合传送到硬件资源1900。因此,处理器1910的存储器、存储器/存储设备1920、外围设备1904和数据库1906是计算机可读和机器可读介质的示例。
d.附加示例
示例1是一种用于用户设备(ue)的在蜂窝网络中提供订户隐私保护的装置。所述装置包括存储器接口和基带处理器。所述存储器接口用于将归属网络公钥发送到存储器设备或从存储器设备接收归属网络公钥。所述基带处理器用于:使用所述归属网络公钥对永久订阅标识符进行加密,以产生隐藏的标识符;以及为服务网络生成包含所述隐藏的标识符的消息。
示例2是示例1所述的装置,其中,所述永久订阅标识符包括移动国家代码(mcc)、移动网络代码(mnc)和订阅标识符,并且其中,为了加密所述永久订阅标识符,所述基带处理器被配置为:使用所述归属网络公钥对所述订阅标识符进行加密,而不加密mcc或mnc。
示例3是示例2所述的装置,其中,所述永久订阅标识符包括国际移动订户身份(imsi),并且所述订阅标识符包括移动订户标识号(msin)。
示例4是示例1所述的装置,其中,所述消息包括附着消息或在所述ue与所述服务网络之间建立信令连接的过程中使用的其他消息。
示例5是示例1-4中任一项所述的装置,其中,所述基带处理器还被配置为:对从归属公共陆地移动网络(plmn)接收到的新的归属网络公钥进行解密;以及通过所述存储器接口,将所述新的归属网络公钥存储在所述存储器设备中,以便与去往所述服务网络的后续消息一起使用。
示例6是示例5所述的装置,其中,所述基带处理器被配置为:使用在所述ue与所述归属plmn之间共享的对称密钥来解密所述新的归属网络公钥。
示例7是示例1-4中任一项所述的装置,其中,所述基带处理器还被配置为:使用nonce值对所述永久订阅标识符进行加密,以引入随机性,以用于所述消息与在所述服务网络和所述ue之间传递的一个或多个其他消息之间的不可追踪性和/或不可链接性。
示例8是示例1-4中任一项所述的装置,其中,所述基带处理器还被配置为:使用时间戳值对所述永久订阅标识符进行加密,以引入随机性,以用于所述消息与在所述服务网络和所述ue之间传递的一个或多个其他消息之间的不可追踪性和/或不可链接性。
示例9是一种计算机可读存储介质,其上存储有计算机可读指令。所述计算机可读指令在被执行时指导归属公共陆地移动网络(plmn)的处理器,所述计算机可读指令用于:处理用于认证用户设备(ue)的认证请求,其中,所述认证请求包含隐藏的标识符;从所述隐藏的标识符中提取移动国家代码(mcc)、移动网络代码(mnc)和加密的订阅标识符;对所述加密的订阅标识符进行解密,以获得永久订阅标识符和重放检测值;如果基于所述重放检测值,检测到重放攻击,则生成认证拒绝消息;以及如果基于该值,未检测到重放攻击,则:使用所述永久订阅标识符来识别所述ue;生成认证向量;以及生成包含所述认证向量和所述永久订阅标识符的认证信息消息。
示例10是示例9所述的计算机可读介质,其中,所述重放检测值包括随机值或其他nonce值,并且其中,所述计算机可读指令还用于:确定先前是否已获得或接收到重放检测值数字;如果先前已获得或接收到重放检测值数字,则确定检测到重放攻击;以及如果先前未获得或接收到重放检测值数字,则确定未检测到重放攻击。
示例11是示例9所述的计算机可读介质,其中,所述重放检测值基于由所述ue生成的时间戳或计数器值,并且其中,所述计算机可读指令还用于:确定所述时间戳或计数器值是否在允许范围内;如果所述时间戳或计数器值不在允许范围内,则确定检测到重放攻击;以及如果所述时间戳或计数器值在允许范围内,则确定未检测到重放攻击。
示例12是如示例11所述的计算机可读介质,其中,所述重放检测值包括所述时间戳或计数器值的加密的散列函数,其中,所述加密的散列函数使用在所述ue与所述归属plmn之间共享的对称密钥,并且其中,所述计算机可读指令还用于:验证所述重放检测值是根据所述加密的散列函数,从所述时间戳或计数器值以及所述对称密钥正确导出的。
示例13是示例9-12中任一项所述的计算机可读介质,其中,所述计算机可读指令还用于:用在服务网络的接入和移动性功能(amf)与所述归属plmn的安全锚功能(seaf)之间共享的密钥,将所述永久订阅标识符隐藏在所述认证信息消息中。
示例14是示例13所述的计算机可读介质,其中,所述计算机可读指令还用于:通过所述amf将所述认证信息消息从所述归属plmn转发到所述ue,以完成附着过程。
示例15是一种用于无线广域网(wwan)的会话管理功能(smf)的利用外部数据网络中的服务器重认证用户设备(ue)的方法,所述方法包括:响应于二次重认证和发起可扩展认证协议(eap)重认证的决定,将对身份消息的eap请求从所述smf发送到所述ue;从所述ue接收包含快速重授权身份的eap响应;将包含所述快速重授权身份的eap响应转发到所述wwan的用户平面功能(upf),以在所述smf与所述外部数据网络中的服务器之间建立端到端连接;以及通过所述upf从所述外部数据网络中的服务器接收eap成功消息或eap失败消息。
示例16是示例15所述的方法,还包括:响应于从所述外部数据网络中的服务器接收到eap成功消息,生成eap成功的指示,以用于传递到所述ue。
示例17是示例16所述的方法,其中,生成eap成功的指示以用于传递到所述ue包括:生成带有重授权接受和eap成功指示的会话管理(sm)确认(ack)消息;以及将所述smack消息发送到所述wwan的接入和移动性管理功能(amf),以将所述重授权接受和eap成功指示转发到所述ue。
示例18是示例15所述的方法,还包括:响应于从所述外部数据网络中的服务器接收到eap失败消息:将会话修改请求发送到所述upf;以及响应于从所述upf接收到会话修改响应,生成eap失败的指示,以用于传递到所述ue。
示例19是示例18所述的方法,生成eap失败的指示以用于传递到所述ue包括:生成带有重授权失败和eap失败指示的会话管理(sm)确认(ack)消息;以及将所述smack消息发送到所述wwan的接入和移动性管理功能(amf),以将所述重授权失败和eap失败指示转发到所述ue。
示例20是示例15所述的方法,还包括:从所述外部数据网络中的服务器接收对二次重认证和发起可扩展认证协议(eap)重认证的决定,其中,所述服务器包括应用服务器或认证、授权和计费(aaa)服务器。
示例21是示例15所述的方法,在smf处,基于自所述ue与所述wwan之间的先前初次认证起的第一逝去时间、自所述ue与所述外部数据网络中的服务器之间的先前二次认证起的第二逝去时间、刷新安全密钥的确定、订阅升级和订阅降级中的一个或多个,确定对从所述外部数据网络中的服务器进行二次重认证和发起可扩展认证协议(eap)重认证的决定。
示例22是一种装置,包括执行如示例15-21中任一项所述的方法的单元。
示例23是一种机器可读存储器,包括机器可读指令,所述指令当被执行时实现如示例15-21中任一项所述的方法。
示例24是一种用户设备(ue),包括会话管理(sm)实体和eap客户端。非接入层(nas)层中的会话管理(sm)实体用于:处理来自网络的多个二次认证请求,并将多个二次认证响应发送到所述网络,其中,所述sm实体将用于所述ue的重认证的二次可扩展认证协议(eap)进程的传输提供给第三方eap服务器。所述eap客户端用于:处理来自所述网络中的会话管理功能(smf)的eap请求身份消息;为所述smf生成eap响应身份消息;以及与关联于用于重认证的二次eap进程的第三方eap服务器交换多个nas消息。
示例25是示例24所述的ue,其中,所述eap客户端还用于:处理来自所述网络的显式或隐式认证接受或认证失败。
示例26是示例24所述的ue,其中,所述eap客户端还用于:生成认证失败消息,以传递到所述网络。
示例27是示例24-26中任一项所述的ue,其中,所述nas层中的sm实体被配置为:提供用于所述二次eap进程的传输,而不处理eap请求类型或方法。
示例28是示例24-26中任一项所述的ue,其中,所述nas层中的sm实体被配置为:处理初次重认证过程,二次重认证过程,或者初次和二次重认证过程两者。
示例29是示例24-26中任一项所述的ue,还包括:所述nas层中的移动性管理(mm)实体,用于:处理来自所述网络的多个初次认证请求,并将多个初次认证响应发送到所述网络,其中,所述mm实体将用于所述ue的初次eap认证进程和重认证进程的传输提供给所述网络,而不处理eap请求类型或方法。
本领域技术人员将理解,在不脱离本发明的基本原理的情况下,可以对上述实施例的细节进行许多改变。因此,本发明的范围应当仅由以下权利要求来确定。
- 还没有人留言评论。精彩留言会获得点赞!