认证和密钥管理中的认证服务器功能选择的制作方法

1.本技术一般涉及通信网络领域，更具体地，涉及用于关于在通信网络中的应用的安全使用的认证和密钥管理的技术。


背景技术：

2.长期演进(lte)是用于在第三代合作伙伴项目(3gpp)内开发并且最初在版本8和9中标准化的所谓第四代(4g)无线电接入技术的伞状术语，也称为演进型utran(eutran)。lte以各种授权频带为目标，并伴随有对通常被称为系统架构演进(sae)的非无线电方面的改进，sae包括演进分组核心(epc)网络。lte通过后续的版本继续演进。版本11的特征之一是增强型物理下行链路控制信道(epdcch)，其目标是增加容量并改进控制信道资源的空间重用、改进小区间干扰协调(icic)、以及支持针对控制信道的天线波束成形和/或发射分集。
3.图1示出了包括lte和sae的网络的总体示例架构。e-utran 100包括一个或多个演进型节点b(enb)(诸如enb 105、110和115)以及一个或多个用户设备(ue)(诸如ue 120)。如在3gpp标准内使用的，“用户设备”或“ue”意指能够与符合3gpp标准的网络设备通信的任何无线通信设备(例如，智能电话或者计算设备)，其中，符合3gpp标准的网络设备包括e-utran以及utran和/或geran，因为第三代(“3g”)和第二代(“2g”)3gpp无线电接入网络是众所周知的。
4.如3gpp所规定的，e-utran 100负责网络中的所有无线电相关的功能(包括无线电承载控制、无线电准入控制、无线电移动性控制、调度、和在上行链路和下行链路中对ue的动态资源分配)以及与ue的通信的安全性。这些功能存在于enb中，诸如enb 105、110和115。e-utran中的enb经由x1接口彼此通信，如图1所示。enb还负责到epc 130的e-utran接口，具体地，到移动性管理实体(mme)和服务网关(sgw)的s1接口，被共同显示为图1中的mme/s-gw 134和138。一般而言，mme/s-gw处理ue的总体控制和ue与epc的剩余部分之间的数据流。更具体地，mme处理ue与epc之间的信令(例如，控制面)协议，该信令协议被称为非接入层(nas)协议。s-gw处理ue与epc之间的所有网际协议(ip)数据分组(例如，数据或用户面)，并且用作当ue在enb(诸如enb 105、110、和115)之间移动时用于数据承载的局部移动性锚点。
5.epc 130还可包括归属用户服务器(hss)131，该归属用户服务器(hss)131管理用户相关的信息和订户相关的信息。hss 131还可提供对移动性管理、呼叫和会话设置、用户认证和访问授权的支持功能。hss 131的功能可以与传统的归属位置寄存器(hlr)的功能和认证中心(auc)功能或操作有关。
6.在一些实施例中，hss 131可以经由ud接口与用户数据储存库(udr)-在图1中被标记为epc-udr 135-通信。epc-udr 135可以存储已由auc算法加密之后的用户凭证。这些算法未被标准化(即，供应商特定的)，以使得在epc-udr 135中存储的加密凭证不可由不同于hss 131的供应商的任何其他供应商访问。
7.在3gpp中，已经完成了关于用于第五代(5g)蜂窝(例如无线)网络的新无线电接口
的研究项目，并且3gpp现在正在将该新无线电接口(常常缩写为nr(新无线电))标准化。图2示出了5g网络架构的高级视图，其包括下一代ran(ng-ran)299和5g核心(5gc)298。ng-ran 299可包括经由一个或多个ng接口连接到5gc的一组gnodeb(gnb)，诸如分别经由接口202、252连接的gnb 200、250。另外，gnb可以经由一个或多个xn接口连接到彼此，诸如gnb 200与250之间的xn接口240。关于到ue的nr接口，每个gnb可以支持频分双工(fdd)、时分双工(tdd)、或其组合。
8.ng-ran 299被分层为无线电网络层(rnl)和传输网络层(tnl)。ng-ran架构(即ng-ran逻辑节点和它们之间的接口)被定义为rnl的一部分。针对每个ng-ran接口(ng，xn，f1)，规定了相关的tnl协议和功能。tnl为用户面传输和信令传输提供服务。在一些示例配置中，每个gnb被连接到在3gpp ts 23.501中定义的“amf区”内的所有5gc节点。如果支持针对ng-ran接口的tnl上的cp和up数据的安全保护，则nds/ip(3gpp ts 33.401)应当适用。
9.在图2中示出(并且在3gpp ts 38.401和3gpp tr 38.801中描述)的ng ran逻辑节点包括中央(或集中式)单元(cu或gnb-cu)和一个或多个分布式(或分散式)单元(du或gnb-du)。例如，gnb 200包括gnb-cu 210和gnb-du 220、230。cu(例如，gnb-cu 210)是托管高层协议并执行各种gnb功能(诸如控制du的操作)的逻辑节点。每个du是托管低层协议并可包括gnb功能的各种子集(取决于功能分割)的逻辑节点。如此，cu和du中的每一个可以包括执行其相应功能所需的各种电路，包括处理电路、收发机电路(例如，用于通信)、和电源电路。而且，术语“中央单元”和“集中式单元”在本文中可交换地使用，术语“分布式单元”和“分散式单元”也一样。
10.gnb-cu通过相应的f1逻辑接口(诸如图3所示的接口222、232)连接到gnb-du。gnb-cu和所连接的gnb-du作为gnb仅对其他gnb和5gc可见。换句话说，在gnb-cu以外，f1接口是不可见的。
11.图3示出了示例5g网络架构的高级视图，包括下一代无线电接入网络(ng-ran)399和5g核心(5gc)398。如图所示，ng-ran 399可包括gnb 310(例如，310a、b)和ng-enb 320(例如，320a、b)，它们经由相应的xn接口彼此互连。gnb和ng-enb还经由ng接口连接到5gc 398，更具体地，经由相应的ng-c接口连接到amf(接入和移动性管理功能)330(例如，amf 330a、b)，以及经由相应的ng-u接口连接到upf(用户面功能)340(例如，upf 340a、b)。而且，amf 340a、b可以与一个或多个策略控制功能(pcf，例如pcf 350a、b)和网络开放功能(nef，例如nef 360a、b)通信。下面进一步描述了amf、upf、pcf和nef。
12.gnb 310中的每一个可以支持nr无线电接口，包括频分双工(fdd)、时分双工(tdd)或其组合。相反，ng-enb 320中的每一个支持lte无线电接口，但与传统的lte enb(诸如图1所示的)不同，它经由ng接口连接到5gc。
13.基于不同的3gpp架构选项(例如，基于epc或基于5gc)的部署和具有不同能力(例如，epc nas和5gc nas)的ue可以在一个网络(例如，plmn)内同时共存。通常假设可以支持5gc nas过程的ue也可以支持(例如，如在3gpp ts 24.301中定义的)epc nas过程以在传统网络中操作，诸如在漫游时。因此，ue将取决于服务它的核心网络(cn)来使用epc nas或5gc nas过程。
14.5g网络(例如，5gc)的另一个变化是传统的对等接口和协议(例如，在lte/epc网络中发现的那些)被所谓的基于服务的架构(sba)修改，在sba中，网络功能(nf)向一个或多个
服务消费方提供一个或多个服务。这可例如通过超文本传输协议/表征状态转移(http/rest)应用编程接口(api)来完成。通常，各种服务是可以以隔离的方式被改变和修改而不影响其他服务的自包含的功能。
15.此外，服务由各种“服务操作”组成，这些“服务操作”是总体服务功能的更细化的划分。为了访问服务，必须同时指示服务名称和目标服务操作。服务消费方与生产方之间的交互可以具有“请求/响应”或“订阅/通知”类型。在5g sba中，网络储存库功能(nrf)允许每个网络功能发现由其他网络功能提供的服务，而数据存储功能(dsf)允许每个网络功能存储它的上下文。
16.如上文所讨论的，在5g sba中，服务可以被部署为网络功能(nf)的一部分。该sba模型进一步采用与nf的模块化、可重用性和自包含类似的原则，可以使得部署能够利用最新的虚拟化和软件技术。图4示出了示例非漫游5g参考架构，其在控制面(cp)内具有基于服务的接口和各种3gpp定义的nf。这些包括以下nf，并针对与本公开最相关的那些nf提供了附加细节：
17.·
具有namf接口的接入和移动性管理功能(amf)—终止ran cp接口，并处理ue的所有移动性和连接管理(类似于epc中的mme)。
18.·
具有nsmf接口的会话管理功能(smf)—与解耦的用户(或数据)面交互，包括创建、更新和删除协议数据单元(pdu)会话以及用用户面功能(upf)管理会话上下文，例如用于事件报告。
19.·
具有nupf接口的用户面功能(upf)—支持基于从smf接收的规则处理用户面业务，包括分组检查和不同的执行动作(例如，事件检测和报告)。
20.·
具有npcf接口的策略控制功能(pcf)—支持统一策略框架以管理网络行为，例如，经由向smf提供pcc规则。
21.·
具有nnef接口的网络开放功能(nef)—通过向af安全地开放由3gpp nf提供的网络能力和事件并为af提供向3gpp网络安全提供信息的方式，充当运营商网络的入口点。
22.·
具有nnrf接口的网络储存库功能(nrf)—提供服务注册和发现，使得nf能够识别来自其他nf的可用的适当服务。
23.·
具有nnssf接口的网络切片选择功能(nssf)—“网络切片”是5g网络的逻辑分区，它提供特定的网络能力和特性，例如支持特定服务。网络切片实例是一组nf实例和提供网络切片的能力和特性所需要的网络资源(例如计算、存储、通信)。nssf使得其他nf(例如，amf)能够识别适合ue的期望服务的网络切片实例。
24.·
具有nausf接口的认证服务器功能(ausf)—位于用户的归属网络(hplmn)，它执行用户认证并计算安全密钥材料以用于各种目的。
25.·
具有naf接口的应用功能(af)—与3gpp cn交互以向网络运营商提供信息并订阅在运营商的网络中发生的某些事件。
26.图4所示的统一数据管理(udm)功能类似于上文所讨论的lte/epc网络中的hss。udm支持生成3gpp aka认证凭证、用户标识处理、基于签约数据的访问授权、以及其他用户相关的功能。为了提供该功能，udm使用在5gc统一数据储存库(udr)中存储的签约数据(包括认证数据)。除了udm之外，udr支持pcf存储和检索策略数据以及nef存储和检索应用数据。
27.3gpp rel-16引入了被称为应用认证和密钥管理(akma)的新功能，该功能基于5g中的3gpp用户凭证，包括物联网用例。更具体地，akma利用用户的aka(认证和密钥协议)凭证来引导ue与应用功能(af)之间的安全性，这允许ue与应用服务器安全地交换数据。akma架构可以被认为是3gpp rel-15中针对5gc指定的gba(通用引导架构)的演进，并在3gpp ts 33.535(v.0.2.0正在修订中)中进一步规定。
28.除了图4所示和上文所描述的nef、ausf和af之外，rel-16 akma还利用用于应用认证和密钥管理的锚功能(aanf)。该功能在图4中示出，具有naanf接口。通常，aanf与ausf交互，并维持ue akma上下文以例如由应用功能用于后续的引导请求。通常，aanf类似于在rel-15gba中定义的引导服务器功能(bsf)。
29.然而，在该架构中，可能存在与由ausf针对用户生成的密钥材料和由aanf使用以针对用户的应用会话生成应用特定密钥的密钥材料的同步相关的各种难题、问题和/或困难。这种难题、问题和/或困难可阻止(例如，在ue上运行的)用户应用与对应的应用功能(例如，服务器)之间的安全通信的建立。


技术实现要素：

30.本公开的某些实施例提供了对应用(例如，客户端)与应用功能(例如，服务器)之间的安全通信的特定改进，诸如通过促进解决方案克服上面总结和下面更详细描述的示例问题。
31.示例实施例包括由通信网络(例如，5gc)中的密钥管理服务器(例如，aanf)执行的方法(例如，过程)。这些实施例可包括从应用功能接收对特定于用于特定用户的应用会话的安全密钥(kaf)的请求。该请求可包括与特定用户相关联的以下信息的表示：非应用特定的锚安全密钥(kakma)的第一标识符(kakmaid)，以及与网络签约相关的第二标识符。这些示例方法还可包括：基于该表示，确定生成非特定应用的锚安全密钥(kakma)的认证服务器功能(ausf)。
32.在一些实施例中，这些示例方法还可包括：从所确定的ausf获得非应用特定的锚安全密钥(kakma)，以及基于非应用特定的锚安全密钥(kakma)生成特定于应用会话的安全密钥(kaf)。在一些实施例中，这些示例方法还可包括：向应用功能发送特定于应用会话的安全密钥(kaf)。
33.在一些实施例中，表示可包括非应用特定的锚安全密钥(kakma)与生成kakma的ausf之间的绑定的第三标识符(b-id)。第三标识符可包括第一和第二标识符的表示以及与ausf相关联的信息。在各种实施例中，与ausf相关联的信息可以包括以下中的一项或多项：ausf组id、ausf id、签约永久标识符(supi)范围、完全限定域名(fqdn)、ip地址。
34.在这种实施例中，确定操作可包括：基于与ausf相关联的信息，经由网络储存库功能(nrf)发现ausf的标识。而且，在这种实施例中，获得操作可包括：向所确定的ausf发送包括第三标识符(例如，b-tid)的请求；以及从所确定的ausf接收包括非应用特定的锚安全密钥(kakma)和第二标识符的响应。
35.在其他实施例中，第一和第二标识符的表示可包括第一标识符(例如，kakmaid)和第二标识符。例如，第二标识符可以是以下中的任一项：hplmn id和用户设备路由标识符(rid)；签约隐藏标识符(suci)；签约永久标识符(supi)；或通用公共签约标识符(gpsi)。在
变型中，表示可以仅包括第一标识符(例如，kakmaid)，其可以包括第二标识符的表示。
36.在这种实施例中，确定操作可包括：基于第二标识符，在通信网络中选择统一数据管理(udm)功能；向udm发送对与ausf相关联的第四标识符的第一请求；以及从udm接收包括第四标识符的第一响应。在一些实施例中，第一响应还可包括与和特定用户相关联的网络签约相关的另一第二标识符。例如，另一第二标识符可以是supi，并且第二标识符可以是不同于supi的标识符(例如，gpsi、suci、hplmn+rid)。
37.在这种实施例中，获得操作可包括：向与第四标识符相关联的ausf发送第二请求，第二请求包括第二标识符或者与和特定用户相关联的网络签约相关的另一第二标识符；以及从ausf接收包括非应用特定的锚安全密钥(kakma)的第二响应。在一些实施例中，第二请求或第二响应也可以包括第二标识符。例如，如果第二请求包括另一第二标识符(例如，supi)，则第二响应可包括第二标识符(例如，不同于supi的标识符)。
38.示例实施例还包括由通信网络(例如，5gc)中的密钥管理服务器(例如，aanf)执行的其他方法(例如，过程)。这些示例方法可包括：从认证服务器功能(ausf)接收与特定用户相关的以下信息：非应用特定的锚安全密钥(kakma)；非应用特定的锚安全密钥的第一标识符(kakmaid)；以及与网络签约相关的第二标识符。在一些实施例中，第二标识符可以是签约永久标识符(supi)。
39.这些示例方法还可包括：从应用功能接收对特定于用于特定用户的应用会话的安全密钥(kaf)的请求，其中，该请求包括与特定用户相关联的非应用特定的锚安全密钥的另一标识符(kakmaid)。该请求可包括与特定用户相关联的非应用特定的锚安全密钥的另一标识符(kakmaid)。这些示例方法还可包括：基于第一标识符与另一标识符之间的匹配(例如，匹配的kakmaid)，基于非应用特定的锚安全密钥(kakma)生成特定于应用会话的安全密钥(kaf)。
40.在一些实施例中，密钥管理服务器可包括多个用于应用认证和密钥管理的锚功能(aanf)实例，每个aanf实例与用户设备路由指示符(rid)的范围相对应。在这种实施例中，请求还可包括与特定用户相关联的路由指示符(rid)，并且这些示例方法还可包括：基于所接收的rid选择aanf实例，其中，生成特定于应用会话的安全密钥(kaf)由所选择的aanf实例执行。
41.在一些实施例中，密钥管理服务器可以与用户设备路由指示符(rid)的一个或多个范围相关联。在这种实施例中，这些示例方法还可包括：向通信网络中的网络储存库功能(nrf)注册密钥管理服务器与一个或多个范围之间的关联。
42.示例实施例还包括由通信网络(例如，5gc)中的应用功能执行的方法(例如，过程)。这些示例方法可包括：从用户设备接收用于建立应用会话的第一请求。第一请求可包括与特定用户相关联的以下信息的表示：非应用特定的锚安全密钥(kakma)的第一标识符(kakmaid)，以及与网络签约相关的第二标识符。这些示例方法还可包括：向通信网络中的用于应用认证和密钥管理的锚功能(aanf)发送对特定于应用会话的安全密钥(kaf)的第二请求。第二请求可包括第一和第二标识符的表示。
43.这些示例方法还可包括：从aanf接收特定于应用会话的安全密钥(kaf)。在一些实施例中，这些示例方法还可包括：基于所接收的安全密钥(kaf)与用户设备建立安全应用会话。
44.在一些实施例中，表示包括非应用特定的锚安全密钥(kakma)与生成kakma的ausf之间的绑定的第三标识符(b-id)。特别地，第三标识符可包括第一和第二标识符的表示以及与ausf相关联的信息。在各种实施例中，与ausf相关联的信息可以包括以下中的一项或多项：ausf组id、ausf id、签约永久标识符(supi)范围、完全限定域名(fqdn)、ip地址。
45.在其他实施例中，第一和第二标识符的表示可包括第一标识符和第二标识符。例如，第二标识符可以是以下中的任一项：hplmn id和用户设备路由标识符(rid)；签约隐藏标识符(suci)；签约永久标识符(supi)；或通用公共签约标识符(gpsi)。在变型中，表示可以仅包括第一标识符(例如，kakmaid)，其包括第二标识符的表示。
46.示例实施例还包括由通信网络(例如，5gc)中的认证服务器功能(ausf)执行的方法(例如，过程)。这些示例方法可包括：从通信网络中的用于应用认证和密钥管理的锚功能(aanf)接收对用于特定用户的非应用特定的锚安全密钥(kakma)的请求。该请求可以包括以下的第一表示：与非应用特定的锚安全密钥(kakma)相关联的第一标识符(kakmaid)，以及与特定用户的网络签约相关的第二标识符。这些示例方法还可包括：向aanf发送包括所请求的非应用特定的锚安全密钥(kakma)的响应。
47.在一些实施例中，这些示例方法可包括：创建用于特定用户的非应用特定的锚安全密钥(kakma)以及第一标识符(kakmaid)；以及向通信网络中的统一数据管理(udm)功能发送与ausf相关联的第四标识符(ausfid)和至少第一标识符(kakmaid)的第二表示。
48.在一些实施例中，第一表示和第二表示可包括非应用特定的锚安全密钥(kakma)与生成kakma的ausf之间的绑定的第三标识符(b-id)。特别地，第三标识符可包括第一和第二标识符的表示以及与ausf相关联的信息。在各种实施例中，与ausf相关联的信息可以包括以下中的一项或多项：ausf组id、ausf id、签约永久标识符(supi)范围、完全限定域名(fqdn)、ip地址。在这种实施例中，响应还可包括与特定用户相关联的签约永久标识符(supi)。
49.在其他实施例中，第一和第二标识符的第一表示可包括第一标识符(例如，kakmaid)和第二标识符，而第二表示可以仅包括第一标识符。在这种实施例中，第二标识符可以是以下中的任一项：hplmn id和用户设备路由标识符(rid)；签约隐藏标识符(suci)；签约永久标识符(supi)；或通用公共签约标识符(gpsi)。在变型中，第一表示可以仅包括第一标识符，其可以包括第二标识符的表示。
50.示例实施例还包括由通信网络(例如，5gc)中的认证服务器功能(ausf)执行的其他方法(例如，过程)。这些示例方法可包括：创建用于特定用户的非应用特定的锚安全密钥(kakma)，其中，非应用特定的锚安全密钥与第一标识符(kakmaid)相关联。这些示例方法还可包括：基于与特定用户的网络签约相关的第二标识符，在通信网络中选择与特定用户相关联的用于应用认证和密钥管理(aanf)的锚功能。在一些实施例中，这些示例方法还可包括：向所识别的aanf发送以下信息：用于特定用户的非应用特定的锚安全密钥(kakma)，第一标识符(kakmaid)，以及与特定用户的网络签约相关的第二标识符。在各种实施例中，第二标识符可以是与特定用户相关联的签约永久标识符(supi)。
51.示例实施例还包括由通信网络(例如，5gc)中的统一数据管理(udm)功能执行的方法(例如，过程)。这些示例方法可包括：从通信网络中的认证服务器功能(ausf)接收与ausf相关联的第四标识符(ausfid)和与用于特定用户的非应用特定的锚安全密钥(kakma)相关
联的第一标识符(kakmaid)。这些示例方法还可包括：从通信网络中的用于应用认证和密钥管理的锚功能(aanf)接收对第四标识符的请求。这些示例方法还可包括：向aanf发送包括第四标识符的响应。
52.在一些实施例中，请求可包括第一标识符(kakmaid)，并且响应可包括与和特定用户相关联的网络签约相关的第二标识符。在这些实施例中的一些实施例中，第一标识符可包括第二标识符的表示。在这些实施例的其他实施例中，请求可包括与和特定用户相关联的网络签约相关的另一第二标识符。在这种实施例中，这些示例方法还可包括：基于另一第二标识符确定第二标识符。例如，第二标识符可以是签约永久标识符(supi)，并且另一第二标识符是不同于supi的标识符(例如，suci、gpsi)。
53.在各种实施例中，ausf可以包括多个ausf实例，每个ausf实例对应于与网络签约相关联的标识符(例如，rid、supi等)的范围。在这种实施例中，这些示例方法还可包括：基于第二标识符，选择特定的ausf实例。在这种实施例中，第四标识符可以对应于所选择的ausf实例。
54.示例实施例还包括通信网络(例如5gc)中的密钥管理服务器(例如aanf)、应用功能、认证服务器功能(ausf)和统一数据管理(udm)功能，这些功能被配置为(例如，使用处理电路)执行与本文所描述的任一个示例方法对应的操作。
55.示例实施例还包括存储计算机可执行指令的非暂时性计算机可读介质，计算机可执行指令在由与这种密钥管理服务器、应用功能、ausf和udm功能相关联的处理电路执行时配置它们以执行与本文所描述的任一个示例方法对应的操作。
56.在结合下面简要描述的附图阅读以下具体实施方式之后，本公开的实施例的这些和其他目标、特征和优点将变得明显。
附图说明
57.图1是如由3gpp标准化的长期演进(lte)演进型utran(e-utran)和演进分组核心(epc)网络的示例架构的高级框图。
58.图2至图3示出了5g网络架构的两种不同的高级视图。
59.图4示出了如在3gpp ts 23.501(v16.1.0)中进一步描述的在核心网络中具有基于服务的接口和各种网络功能(nf)的示例非漫游5g参考架构。
60.图5是示出示例应用认证和密钥管理(akma)密钥层次结构的框图。
61.图6是示出用于在用户设备(ue)与应用功能(af)之间建立安全应用会话的示例过程的流程图。
62.图7示出了用于应用安全的认证和密钥协议(aka)的示例通用引导架构(gba)。
63.图8是示出用于从5gc中的统一数据管理(udm)功能递送ue参数更新(upu)的示例过程的流程图。
64.图9至图13是根据本公开的各种示例实施例的涉及在应用会话建立期间的认证服务器功能(ausf)选择的各种示例过程的流程图。
65.图14至图15示出了根据本公开的各种示例实施例的由通信网络(例如，5gc)中的认证和密钥管理服务器(例如，aanf)执行的各种示例方法(例如，过程)。
66.图16示出了根据本公开的各种示例实施例的由通信网络(例如，5gc)中的应用功
能(af)执行的示例方法(例如，过程)。
67.图17至图18示出了根据本公开的各种示例实施例的由通信网络(例如，5gc)中的认证服务器功能(ausf)执行的各种示例方法(例如，过程)。
68.图19示出了根据本公开的各种示例实施例的由通信网络(例如，5gc)中的统一数据管理(udm)功能执行的示例方法(例如，过程)。
69.图20示出了根据本公开的各种示例实施例的无线网络的示例实施例。
70.图21示出了根据本公开的各种示例实施例的ue的示例实施例。
71.图22是示出可用于实现本文所描述的各种实施例的示例虚拟化环境的框图。
72.图23至图24是根据本公开的各种示例实施例的各种示例通信系统和/或网络的框图。
73.图25至图28是根据本公开的各种示例实施例的用于发送和/或接收用户数据的示例方法和/或过程的流程图。
具体实施方式
74.现在将参考附图更充分地描述本文所预期的实施例中的一些实施例。然而，其他实施例被包含在本文所公开的主题范围内，所公开的主题不应当被解释为仅限于本文中阐述的实施例；相反，这些实施例仅作为示例提供以将主题范围传达给本领域技术人员。
75.通常，在本文中使用的所有术语将根据它们在相关技术领域中的普通含义来解释，除非明确给出不同的含义和/或在使用它的上下文中隐含不同的含义。除非另外明确说明，否则，所有对元件、装置、组件、方法、步骤等的引用将被开放地解释为是指元件、装置、组件、方法、步骤等中的至少一个实例。本文所公开的任何方法和/或过程的步骤并不必需按所公开的准确顺序执行，除非步骤被明确描述为在另一步骤之后或者之前和/或隐含了步骤必须在另一步骤之后或者之前。只要合适，本文所公开的任何实施例的任何特征可适用于任何其他实施例。同样地，任何实施例的任何优点可以适用于任何其他实施例，反之亦然。从以下描述中，所公开的实施例的其他目标、特征和优点将是显然的。
76.此外，贯穿本文所使用的术语在下面给出：
77.·
无线电节点：如本文所使用的，“无线电节点”可以是“无线电接入节点”或“无线设备”。
78.·
无线电接入节点：如本文所使用的，“无线电接入节点”(或等效地，“无线电网络节点”、“无线电接入网络节点”或“ran节点”)可以是蜂窝通信网络的无线电接入网络(ran)中的用于无线地发送和/或接收信号的任何节点。无线电接入节点的一些示例包括但不限于基站(例如，3gpp第五代(5g)新无线电(nr)网络中的nr基站(gnb)或者3gpp lte网络中的增强或演进节点b(enb))、基站分布式组件(例如，cu和du)、高功率或宏基站、低功率基站(例如，微基站、微微基站、毫微微基站、或家庭基站等)、综合接入回程(iab)节点、传输点、远程无线电单元(rru或rrh)、和中继节点。
79.·
核心网络节点：如本文所使用的，“核心网络节点”是核心网络中的任何类型的节点。核心网络节点的一些示例包括例如移动性管理实体(mme)、服务网关(sgw)、分组数据网络网关(p-gw)、接入和移动性管理功能(amf)、会话管理功能(smf)、用户面功能(upf)、服务能力开放功能(scef)等。
80.·
无线设备：如本文所使用的，“无线设备”(或简称“wd”)是可通过与网络节点和/或其他无线设备无线地进行通信来接入蜂窝通信网络(即，由蜂窝通信网络服务)的任何类型的设备。无线地进行通信可以涉及使用电磁波、无线电波、红外波、和/或适合于通过空气传达信息的其他类型的信号来发送和/或接收无线信号。除非另外说明，否则术语“无线设备”在本文中与“用户设备”(或简称“ue”)可交换地使用。无线设备的一些示例包括但不限于智能电话、移动电话、蜂窝电话、ip语音(voip)电话、无线本地环路电话、台式计算机、个人数字助理(pda)、无线相机、游戏控制台或设备、音乐存储设备、播放设备、可穿戴设备、无线端点、移动站、平板电脑、膝上型计算机、膝上型嵌入式设备(lee)、膝上型安装设备(lme)、智能设备、无线客户终端设备(cpe)、移动类型通信(mtc)设备、物联网(iot)设备、车载无线终端设备等。
81.·
网络节点：如本文所使用的，“网络节点”是作为蜂窝通信网络的无线电接入网络(例如，上文所讨论的无线电接入节点或等效名称)或者核心网络(例如，上文所讨论的核心网络节点)的一部分的任何节点。在功能上，网络节点是能够、被配置、被布置、和/或可操作以与无线设备和/或与蜂窝通信网络中的其他网络节点或设备直接或间接通信以使能和/或向无线设备提供无线接入和/或执行蜂窝通信网络中的其他功能(例如，管理)的设备。
82.注意，本文中给出的描述聚焦于3gpp蜂窝通信系统，因此，常常使用3gpp术语或者类似于3gpp术语的术语。然而，本文所公开的概念不限于3gpp系统。此外，尽管在本文中使用术语“小区”，但是应当理解，(特别地对于5g nr)可以使用波束取代小区，因此，本文所描述的概念同样地适用于小区和波束。
83.在本公开中，术语“服务”通常用于指代与一个或多个应用相关联的一组数据，该组数据将以需要被满足以使应用成功的某些特定递送要求经由网络传送。在本公开中，术语“组件”通常用于指代服务的递送所需要的任何组件。组件的示例包括ran(例如，e-utran、ng-ran或其部分，诸如enb、gnb、基站(bs)等)、cn(例如，epc、5gc或其部分，包括ran与cn实体之间的所有类型的链路)以及具有诸如计算、存储的相关资源的云基础设施。通常，每个组件可以具有“管理器”，该术语通常用于指代可收集关于资源利用的历史信息以及提供关于与该组件相关联的资源的当前和预测的未来的可用性的信息的实体(例如，ran管理器)。
84.如上文简要提到的，在rel-16 akma架构中，可能存在与由ausf针对用户生成的密钥材料和由aanf使用以针对用户的应用会话生成应用特定密钥的密钥材料的同步相关的各种难题、问题和/或困难。这种难题、问题和/或困难可阻止(例如，在ue上运行的)用户应用与对应的应用功能(例如，服务器)之间的安全通信的建立。这在下文中更详细地讨论。
85.通常，akma重用在网络注册期间用于认证ue的5g主认证过程的结果(也称为“隐式引导”)。在该过程中，ausf负责密钥材料的生成和存储。特别地，akma中的密钥层次结构包括以下内容，其在图5中被进一步示出：
86.·
kausf：根密钥，主认证过程的输出并被存储在ue(即，移动设备me部分)和ausf中。此外，ausf可以报告结果和生成kausf的特定ausf实例作为udm中的主认证结果的输出，如在ts33.501中所定义的。
87.·
kakma：由me和ausf从kausf导出并由aanf用于进一步的akma密钥材料生成的锚
密钥。密钥标识符kakmaid标识kakma。
88.·
kaf：由me和aanf从k
akma
导出并由ue和应用使用以安全地交换应用数据的应用密钥。
89.图6是示出用于基于在上面列出的密钥层次结构在ue与af之间建立安全应用会话的示例过程的流程图。最初，ue和ausf执行主认证并建立kakma密钥，该密钥被存储在ue和ausf中。随后，ue向af发送应用会话建立请求，该请求包括kakmaid。然后，af将所接收到的kakmaid连同af标识符一起发送到aanf，aanf以与所提供的kakmaid相对应的kakma进行响应。aanf从kakma导出kaf，并将kaf连同kaf的期满时间一起提供给af。然后，af可以使用所接收的kaf与ue建立安全应用会话。
90.如上文简要提到的，通用引导架构(gba)在3gpp rel-15(例如3gpp ts 33.220 v15.4.0)中被引入，以引导用于应用安全的认证和密钥协议(aka)。换句话说，gba使得网络中的af和在用户侧能够建立共享密钥。图7示出了根据3gpp规范的用于aka的示例gba。
91.在gba中，在ue与bsf之间执行相互认证，其中引导密钥材料也在ue与bsf之间导出。bsf还针对导出gba密钥材料的每个引导事务生成b-tid(引导事务标识符)。然后，引导的gba密钥材料被用于由ue安全访问网络应用功能(naf)。
92.当ue发起与af的通信时，它在消息中包括b-tid。然后，af使用b-tid作为输入向bsf请求应用特定密钥。bsf定位与b-tid对应的gba密钥材料，导出应用特定密钥，并将其提供给af。然后，基于应用特定密钥建立ue与af之间的安全通信。
93.为了使得nf能够发现并选择适当的ausf或udm的实例来处理业务，3gpp ts 23.501定义了可用于(例如，经由nrf)发现ausf或udm的输入参数。下面给出了来自3gpp ts 23.501的相关摘录。在摘录中使用以下ue相关标识符的缩写：
94.·
签约永久标识符(supi)，
95.·
签约隐藏标识符(suci)，以及
96.·
通用公共签约标识符(gpsi)。
97.***开始3gpp ts 23.501的摘录***
98.ausf nf消费方或scp中的ausf选择功能应在可用时考虑以下因素之一：
99.1.(服务plmn中的nf消费方的)suci/supi的归属网络标识符(例如mnc和mcc)和路由指示符。
100.注1：ue在初始注册期间向amf提供路由指示符，作为如在ts 23.003[19]中定义的suci的一部分。amf可以将ue的路由指示符提供给其他amf，如在ts 23.502[3]中所描述的。
[0101]
当ue的路由指示符被设置为如在ts 23.003[19]中定义的它的默认值时，ausf nf消费方可以为ue选择归属网络内的任何ausf实例。
[0102]
2.ue的supi属于的ausf组id。
[0103]
注2：amf可以基于与nrf的ausf发现过程的结果来推断ue的supi属于的ausf组id。amf向其它amf提供supi属于的ausf组id，如在ts 23.502[3]中描述的。
[0104]
3.supi；例如，amf基于ue的supi属于的supi范围，或者基于使用ue的supi作为ausf发现的输入的与nrf的发现过程的结果，选择ausf实例。
[0105]
nf消费方或scp中的udm选择功能应考虑以下因素之一：
[0106]
1.suci/supi的归属网络标识符(例如，mnc和mcc)和ue的路由指示符。
[0107]
注1：ue在初始注册期间向amf提供路由指示符，作为如在ts 23.003[19]中定义的suci的一部分。amf将ue的路由指示符提供给其他nf消费方(udm)，如在ts 23.502[3]中描述的。
[0108]
当ue的路由指示符被设置为如在ts 23.003[19]中定义的它的默认值时，udm nf消费方可以选择suci/supi的归属网络内的任何udm实例。
[0109]
2.ue的supi的udm组id。
[0110]
注2：amf可以基于与nrf的udm发现过程的结果来推断ue的supi属于的udm组id。amf向其他udm nf消费方提供supi属于的udm组id，如在3gpp ts 23.502中描述的。
[0111]
3.supi—udm nf消费方基于ue的supi属于的supi范围，或者基于使用ue的supi作为udm发现的输入的与nrf的发现过程的结果，选择udm实例。
[0112]
4.gpsi或外部组id—不基于supi/suci的管理网络信令的udm nf消费方(例如nef)基于ue的gpsi或外部组id属于的gpsi或外部组id范围，或者基于使用ue的gpsi或外部组id作为udm发现的输入的与nrf的发现过程的结果，选择udm实例。
[0113]
***结束3gpp ts 23.501的摘录***
[0114]
另外，3gpp ts 23.502定义了在ue已成功注册到5gc之后，经由非接入层(nas)信令从udm向ue递送ue参数更新数据的过程。图8是示出用于从5gc中的udm递送ue参数更新(upu)的示例过程的流程图。udm递送给ue的udm更新数据可包含以下任何内容：
[0115]
·
一个或多个ue参数，其包括：
[0116]
ο更新的默认配置的nssai(该参数的最终消费方是me)。
[0117]
ο更新的路由指示符数据(该参数的最终消费方是usim)。
[0118]
·“请求ue确认”指示。
[0119]
·“请求重新注册”指示。
[0120]
而且，在3gpp ts 33.501中定义了被称为“漫游安全机制的导向”的类似功能，以支持从ue的hplmn到ue的导向信息列表的递送。
[0121]
返回到图5所示的密钥层次结构，3gpp ts 33.501定义了在每个主认证过程之后在ausf和ue中生成和存储kausf。然而，3gpp ts 33.501没有规定ausf和/或ue何时删除或覆写kausf，kausf是由ue和ausf使用以导出kakma的隐含约定的根密钥。因此，随着时间推移，可能使用不同的ausf实例以对用户进行认证。特别地，不同的ausf实例可以针对相应的认证生成和存储kausf，但是，只有一个ausf实例持有用于给定ue(它也持有最新kausf)的最新kausf。这可导致各种难题、问题和/或困难。
[0122]
作为一个示例，在ue和ausf中分别基于kausf生成kakma和kakmaid。因此，在主认证期间，ue不获得生成和存储kakma的特定ausf的标识(例如，ausf id)，因此，由ue生成的kakmaid不能包含对ausf id的任何引用。因此，即使在ue尝试与af建立安全应用会话时，ue提供kakmaid(例如，在图6中)，af(或更具体地，与af相关联的aanf)也不知道生成并持有与所接收的kakmaid相关联的kakma的适当ausf实例。注意，即使aanf与ausf并置，它仍然不清楚af和/或在af与aanf之间部署的中间nef可以如何基于从ue接收的kakmaid发现和选择集成的ausf/aanf。
[0123]
作为另一个示例，kakma在ausf中被生成，并由aanf获得以导出kaf。在不同的主认证过程期间，可能由不同的ausf实例针对ue生成多个kausf。此外，这些ausf实例中的每一
个ausf实例可以基于对应的kausf来针对ue生成和存储不同的kakma/kakmaid。在没有删除/移除过程的任何规定的情况下，不同的kakma/kakmaid可以被存储在不同的ausf实例中，其中只有一个对应于在ue处存储的kakma/kakmaid。
[0124]
通常，需要在ue与网络之间达成协议以使用最新的kakma。然而，在一些例外情况期间，在ue和网络中存储的密钥材料可能不同步。例如，可以在ue中生成并存储新版本的kausf和kakma，但该新版本的kausf和kakma尚未在网络中被生成和存储。在这种情况下，在akma会话建立期间从ue接收到的kakmaid可能是指在网络侧尚不存在的kakma。
[0125]
本公开的示例实施例通过提供促进在发起与af的akma过程中对存储由ue提供的kakmaid所引用的kakma的ausf实例的选择的技术来解决这些和其他难题、问题和/或困难。
[0126]
本公开的一些实施例可以基于与和ue相关联的网络签约相关的标识符来利用在主认证中使用的udm发现和选择技术。例如，标识符可以是在ue中可用的任何相关标识符，包括hplmn id加上ue路由指示符(r-id)、suci、supi或gpsi。ue可以在用于建立应用会话的请求中向af提供标识符，作为kakmaid的一部分或与其分开。一旦基于标识符定位了可管理ue请求的适合udm，则aanf(或nef/af)经由新的服务操作(例如nudm_ueauthentication_resultstatus)从udm获得存储最新kakma的ausf的标识。然后，aanf可以从所识别的ausf中获得最新kakma，并基于所获得的kakma生成kaf。
[0127]
本公开的其他实施例可以利用现有的ue参数更新(upu)技术来递送kakma与持有ue当前正使用的kausf/kakma的ausf id之间的显式绑定信息。即使akma密钥材料是在ue中和网络侧隐式且独立地生成，ue和网络也可以具有显式的绑定过程以就(kausf，kakma)版本同步和对ausf id的引用达成一致。
[0128]
更具体地，ue可以从udm获得绑定信息，并在用于建立应用会话的请求中将其提供给af。然后，aanf可以以与用于gba的bsf发现过程类似的方式使用绑定信息来定位所关联的ausf id(即，存储用于ue的最新kakma的ausf)。注意，如果aanf与ausf并置，则绑定信息也与aanf相关联，这类似于gba中的bsf的绑定。
[0129]
本公开的其他实施例可以利用nrf中的注册过程来根据路由标识符(rid)的范围注册aanf，ausf稍后可以经由nrf发现该aanf。当ausf针对与所注册的rid对应的特定ue创建kakma时，ausf可以将kakma/kakmaid推送到先前所发现的aanf。以这种方式，aanf已经具有在由af请求时生成kaf所需要的kakma。
[0130]
图9至图11是根据本公开的各种示例实施例的涉及在应用会话建立期间的认证支持功能(ausf)选择的各种示例过程的流程图。特别地，图9至图11所示的实施例基于与和ue相关联的网络签约相关的标识符，利用在主认证中使用的udm发现和选择技术。特别地，图9至图11分别示出了基于hplmn id加上ue路由指示符、suci/supi、以及gpsi的过程。
[0131]
图9至图11中的每个图涉及与ue 910、amf 920、ausf 930的一个或多个实例(例如，930a、930b等)、udm/udr 940、aanf 950的一个或多个实例(例如，950a、950b等)和aapf(或af)960有关的各种消息和操作。为了简洁起见，这些实体将在以下描述中被提及而没有参考标记。另外，尽管图9至图11示出了被编号的操作，但是这些编号用于便于对过程的描述，而不是要求或暗示操作的特定顺序。换句话说，图9至图11中所示的操作可以以与所示的不同的顺序执行，并且可以被组合和/或划分成与所示的操作不同的操作。
[0132]
在图9的操作0中，ue运行与网络的主认证。在ue和ausf中生成并存储kakma和
kakmaid。ausf调用现有的服务操作nudm_ueauthentication_resultconfirmation来通知udm认证结果，其包括supi、ausf id、服务网络名称、认证类型和时间戳信息。此外，ausf提供在主认证期间生成的kakmaid。然后，udm将所有信息存储在一起。
[0133]
在操作1中，ue发起与af的应用会话建立过程。ue包括kakmaid和归属网络标识符(hplmn id，例如移动网络代码/移动国家代码mnc/mcc)和ue的rid。hplmn id和rid可以被包括在kakmaid内，或者可以作为单独的标识符被包括在消息中。在操作2-3中，af基于hplm id选择aanf，并向所选择的aanf发送对要在与ue的应用会话中使用的kaf的请求。请求包括af id、kakmaid、以及hplmn id+rid。
[0134]
操作4涉及aanf进行的ausf发现和选择。在操作4a中，aanf基于从af接收的rid发现并选择udm。在操作4b中，aanf调用新的服务操作nudm_ueauthentication_resultstatus以向所选择的udm发送请求，在该请求中包括kakmaid。基于在操作0期间存储的信息，udm使用kakmaid发现和选择ausf实例。在操作4c中，udm将supi和ausf id返回给请求aanf。在操作4d中，aanf基于从udm接收的ausf id发现并选择ausf。
[0135]
在操作5中，aanf调用服务操作nausf_akmakey_get以向所选择的ausf发送对kakma的请求，在该请求中包括supi和kakmaid。在操作6中，ausf将kakma返回给aanf。在操作7-8中，aanf基于从ausf接收的kakma生成kaf，并将kaf提供给af。在操作9中，af基于在操作8中接收的kaf与ue建立安全应用会话。
[0136]
图10示出了与图9类似的操作，但基于不同的标识符，即suci或supi，而不是hplmn id+rid。操作0与图9中的操作0相同。在操作1中，ue发起与af的应用会话建立过程。ue包括kakmaid和suci或supi。suci或supi可以被包括在kakmaid内，或者可以作为单独的标识符被包括在消息中。在操作2-3中，af基于与suci或supi相关联的hplm id选择aanf，并向所选择的aanf发送对要在与ue的应用会话中使用的kaf的请求。请求包括af id、kakmaid、以及suci或supi。
[0137]
操作4涉及aanf进行的ausf发现和选择。在操作4a中，aanf基于从af接收的suci或supi发现并选择udm。在操作4b中，aanf调用新的服务操作nudm_ueauthentication_resultstatus以向所选择的udm发送请求，在该请求中包括kakmaid和suci或supi。在操作4c中，基于在操作0期间存储的信息，udm使用suci或supi选择ausf实例。udm验证从aanf接收的kakmaid是否被包括在所存储的用于ue的认证上下文中。在操作4d中，udm将supi和ausf id返回给请求aanf。在操作4e中，aanf基于从udm接收的ausf id发现并选择ausf。操作5-9与图9中的操作5-9相同。
[0138]
图11示出了与图9至图10类似的操作，但基于不同的标识符，即gpsi，而不是hplmn id+rid、suci、或supi。操作0与图9至图10中所示的操作0相同。在操作1中，ue发起与af的应用会话建立过程。ue包括kakmaid和gpsi。gpsi可以被包括在kakmaid内，或者可以作为单独的标识符被包括在消息中。在操作2-3中，af基于与gpsi相关联的hplm id选择aanf，并向所选择的aanf发送对要在与ue的应用会话中使用的kaf的请求。请求包括af id、kakmaid和gpsi。
[0139]
操作4涉及aanf进行的ausf发现和选择。在操作4a中，aanf基于从af接收的gpsi发现并选择udm。在操作4b中，aanf调用新的服务操作nudm_ueauthentication_resultstatus以向所选择的udm发送请求，在该请求中包括kakmaid和gpsi。在操作4c中，udm将所接收的
gpsi转换为对应的supi，并基于在操作0期间存储的信息，使用supi选择ausf实例。udm验证从aanf接收的kakmaid是否被包括在所存储的用于ue的认证上下文中。在操作4d中，udm将(与gpsi对应的)supi和ausf id返回给请求aanf。所提供的supi可由aanf根据需要或期望来用于同一ue的后续密钥请求。在操作4e中，aanf基于从udm接收的ausf id发现并选择ausf。操作5-9与图9至图10中的操作5-9相同。
[0140]
图12是根据本公开的各种示例实施例的涉及在应用会话建立期间的认证支持功能(ausf)选择的另一示例过程的流程图。特别地，图12所示的实施例利用现有的ue参数更新(upu)技术来提供kakma与持有ue当前正使用的kausf/kakma的ausf id之间的显式绑定信息。图12所示的实体使用与图9至图11中相同的参考标记，出于简洁的缘故，在以下描述中省略了这些参考标记。然而，图12中所示的布置包括nrf 970，而不是amf 920。
[0141]
尽管图12示出了被编号的操作，但是这些编号用于便于过程的描述，而不是要求或暗示操作的特定顺序。换句话说，图12所示的操作可以以与所示的不同的顺序执行，并且可以被组合和/或划分成与所示的操作不同的操作。
[0142]
在操作0a中，ausf在nrf中注册其特定的akma绑定信息，例如，经由nnrf_nfmanagement_nfregister服务操作。akma绑定信息可以包含ausf组id、supi范围、ausf完全限定域名(fqdn)、ausf ip地址和/或ausf id。在一些实施例中，在操作0a中注册的akma绑定信息可以是上文所提到的参数的散列，这可以增加ausf的隐私。
[0143]
在操作0b中，ue运行与网络的主认证。在ue和ausf中生成并存储kakma和kakmaid。ausf还生成绑定标识符b-tid，该绑定标识符可以包括kakmaid、(例如，来自操作0a的)akma绑定信息和(一个或多个)ue标识符(例如，gpsi)。ausf调用现有的服务操作nudm_ueauthentication_resultconfirmation来通知udm认证结果，其包括supi、ausf id、服务网络名称、认证类型和时间戳信息。此外，ausf提供b-tid。然后，udm将所有信息存储在一起。
[0144]
在操作0c中，ausf请求udm(或者udm自身触发)经由udm控制面过程或类似过程经由ue参数更新来更新用于特定ue的b-tid。在操作1中，ue发起与af的应用会话建立过程。ue包括在操作0c中接收的b-tid。在操作2-3中，af基于与(例如，被包括在b-tid中的)gpsi相关联的hplm id选择aanf，并向所选择的aanf发送对要在与ue的应用会话中使用的kaf的请求。请求包括在操作1中接收的b-tid。在操作4中，aanf基于从af接收的b-tid，经由nrf发现并选择ausf。例如，aanf使用b-tid*内的akma绑定信息和/或ue信息(例如gpsi)作为nrf发现服务的输入。
[0145]
在操作5中，aanf调用服务操作nausf_akmakey_get以向所选择的ausf发送对kakma的请求，在该请求中包括b-tid。在操作6中，ausf将kakma返回aanf，可选地连同supi一起。在其他实施例中，aanf调用来自udm的现有服务(例如，nudm_sdm_get(标识符转换))以将b-tid*内的ue信息映射到对应的supi。然后，aanf将supi也包括在操作5中所发送的服务操作nausf_akmakey_get中。
[0146]
在操作7-8中，aanf基于从ausf接收的kakma生成kaf，并将kaf提供给af。在操作9中，af基于在操作8中接收的kaf与ue建立安全应用会话。
[0147]
在图12所示的过程的变型中，在操作0c中，可以在主认证和/或ue注册过程期间将b-tid*搭载在现有的nas信令中提供给ue。该变型的其他操作可以与图12中所示的操作基
本上相同。
[0148]
图13是根据本公开的各种示例实施例的涉及在应用会话建立期间的认证支持功能(ausf)选择的另一示例过程的流程图。特别地，图3所示的实施例利用nrf注册过程来根据路由标识符(rid)的范围注册aanf，ausf稍后可以经由nrf发现该aanf。图13所示的实体使用与图9至图11相同的参考标记，出于简洁的缘故，在以下描述中省略了这些参考标记。尽管图13示出了被编号的操作，但是这些编号用于便于过程的描述，而不是要求或暗示操作的特定顺序。换句话说，图13所示的操作可以以与所示的不同的顺序执行，并且可以被组合和/或划分为与所示的操作不同的操作。
[0149]
作为图13所示的实施例的先决条件，aanf可以被部署在hplmn内以使用与ausf和/或udm所使用的相似的组id(gid)、rid和/或supi范围分区。在一些实施例中，可以针对每个范围分区部署多个aanf实例。与图12类似，aanf可以向nrf(图13中未示出)注册关于它对应的范围分区。
[0150]
操作0与图9至图11中所示的操作0类似。在操作1中，在主认证和生成kakma之后，ausf基于ue的supi或rid经由nrf发现用于ue的(一个或多个)aanf实例。注意，对于ue的rid/gid，可以存在多个aanf实例。在操作2中，ausf主动将用于ue的kakma、kakmaid和supi推送给aanf。如果针对ue的rid/gid部署了多个aanf实例，则ausf向所有这种aanf实例提供kakma。操作3与图9中的操作3类似。
[0151]
在操作4中，af基于在操作3中接收的hplmn id和rid选择(一个或多个)aanf实例。在操作5中，af调用服务操作nausf_akmakey_get以向所选择的ausf发送对kakma的请求，在该请求中包括kakmaid和rid。在操作6中，在接收到请求之后，aanf将kakmaid与在操作2中接收的信息进行匹配，以确定它具有最新的kakma。操作7-9与图9至图12中的操作7-9相同。
[0152]
上文所描述的实施例可以通过下文所描述的图14至图19中所示的示例方法(例如，过程)来进一步说明。例如，上文所讨论的各种实施例的特征被包括在图14至图19所示的示例方法的各种操作中。
[0153]
更具体地，图14示出了根据本公开的各种示例实施例的由通信网络(例如，5gc)中的密钥管理服务器(例如，aanf)执行的示例方法(例如，过程)。密钥管理服务器可以由通信网络中的一个或多个网络节点托管和/或提供，诸如在本文其他地方所描述的。尽管示例方法在图14中以特定顺序通过特定框来示出，但是，与这些框对应的操作可以以与所示的不同的顺序执行，并且可以被组合和/或划分为具有与所示不同的功能的框和/或操作。此外，图14中所示的示例方法可以与本文所公开的其他示例方法和/或过程(例如，图9至图12、图16至图17、图19)互补，以使得它们可以协同使用以提供针对本文所描述的问题的益处、优点和/或解决方案。可选的框和/或操作由虚线指示。
[0154]
示例方法可以包括框1410的操作，其中，密钥管理服务器可以从应用功能接收对特定于用于特定用户的应用会话的安全密钥(kaf)的请求。该请求可包括与特定用户相关联的以下信息的表示：非应用特定的锚安全密钥(kakma)的第一标识符(kakmaid)，以及与网络签约相关的第二标识符。示例方法还可以包括框1420的操作，其中，密钥管理服务器可以基于表示来确定生成非应用特定的锚安全密钥(kakma)的认证服务器功能(ausf)。
[0155]
在一些实施例中，示例方法还可以包括框1430的操作，其中，密钥管理服务器可以从所确定的ausf获得非应用特定的锚安全密钥(kakma)。在一些实施例中，示例方法还可以
包括框1440的操作，其中，密钥管理服务器可以基于非应用特定的锚安全密钥(kakma)生成特定于应用会话的安全密钥(kaf)。
[0156]
图14所示的方法的某些实施例可以对应于图12所示的示例过程。在这种实施例中，(例如，在框1410中接收的)表示可包括非应用特定的锚安全密钥(kakma)与生成kakma的ausf之间的绑定的第三标识符(b-id)。特别地，第三标识符可包括第一和第二标识符的表示、以及与ausf相关联的信息。在各种实施例中，与ausf相关联的信息可以包括以下中的一项或多项：ausf组id、ausf id、签约永久标识符(supi)范围、完全限定域名(fqdn)、ip地址。
[0157]
在这种实施例中，框1420的确定操作可包括子框1421的操作，其中，密钥管理服务器可以基于与ausf相关联的信息，经由网络储存库功能(nrf)发现ausf的标识。而且，在这种实施例中，框1430的获得操作可包括子框1431-1432的操作。在子框1431中，密钥管理服务器可以向所确定的ausf(例如，来自框1420)发送包括第三标识符(例如，b-tid)的请求。在子框1432中，密钥管理服务器可以从所确定的ausf接收包括非应用特定的锚安全密钥(kakma)和第二标识符的响应。
[0158]
图14所示的方法的其他实施例可以对应于图9至图11所示的示例过程。在这种实施例中，(例如，在框1410中接收的)第一和第二标识符的表示可包括第一标识符(例如，kakmaid)和第二标识符。例如，第二标识符可以是以下中的任一项：hplmn id和用户设备路由标识符(rid)；签约隐藏标识符(suci)；签约永久标识符(supi)；或通用公共签约标识符(gpsi)。在变型中，表示可以仅包括第一标识符(例如，kakmaid)，其包括第二标识符的表示。
[0159]
在这种实施例中，框1420的确定操作可包括子框1422-1424的操作。在子框1422中，密钥管理服务器可以基于第二标识符在通信网络中选择统一数据管理(udm)功能。在子框1423中，密钥管理服务器可以向udm发送对与ausf相关联的第四标识符的第一请求。在子框1424中，密钥管理服务器可以从udm接收包括第四标识符的第一响应。在一些实施例中，第一响应还可包括与和特定用户相关联的网络签约相关的另一第二标识符。例如，另一第二标识符可以是supi，并且第二标识符可以是不同于supi的标识符(例如，gpsi、suci、hplmn+rid)。
[0160]
在这种实施例中，框1430的获得操作可包括子框1433-1434的操作。在子框1433中，密钥管理服务器可以向与第四标识符相关联的ausf发送包括第二标识符或者与和特定用户相关联的网络签约相关联的另一第二标识符的第二请求。在子框1434中，密钥管理服务器可以从ausf接收包括非应用特定的锚安全密钥(kakma)的第二响应。在一些实施例中，第二请求或第二响应也可以包括第二标识符。例如，如果第二请求包括另一第二标识符(例如，supi)，则第二响应可包括第二标识符(例如，不同于supi的标识符)。
[0161]
在一些实施例中，示例方法还可以包括框1440的操作，其中，密钥管理服务器可以向应用功能发送特定于应用会话的安全密钥(kaf)。
[0162]
另外，图15示出了根据本公开的各种示例实施例的由通信网络(例如，5gc)中的密钥管理服务器(例如，aanf)执行的示例方法(例如，过程)。密钥管理服务器可以由通信网络中的一个或多个网络节点托管和/或提供，诸如在本文的其他地方所描述的。尽管示例方法在图15中以特定顺序通过特定框来示出，但是，与这些框对应的操作可以以与所示的不同
的顺序执行，并且可以被组合和/或划分为具有与所示的不同的功能的框和/或操作。此外，图15中所示的示例方法可以与本文所公开的其他示例方法(例如，图13和图18)互补，以使得它们可以协同使用以提供针对本文所描述的问题的益处、优点和/或解决方案。可选的框和/或操作由虚线指示。
[0163]
示例方法可以包括框1520的操作，其中，密钥管理服务器可以从认证服务器功能(ausf)接收与特定用户相关联的以下信息：非应用特定的锚安全密钥(kakma)；非应用特定的锚安全密钥的第一标识符(kakmaid)；以及与网络签约相关的第二标识符。在一些实施例中，第二标识符可以是签约永久标识符(supi)。
[0164]
示例方法还可以包括框1530的操作，其中，密钥管理服务器可以从应用功能接收对特定于用于特定用户的应用会话的安全密钥(kaf)的请求，其中，该请求包括与特定用户相关联的非应用特定的锚安全密钥的另一标识符(kakmaid)。请求可包括与特定用户相关联的非应用特定的锚安全密钥的另一标识符(kakmaid)。示例方法还可以包括框1550的操作，其中，密钥管理服务器可以基于第一标识符与另一标识符之间的匹配(例如，匹配的kakmaid)，基于非应用特定的锚安全密钥(kakma)生成特定于应用会话的安全密钥(kaf)。
[0165]
在一些实施例中，密钥管理服务器可包括多个用于应用认证和密钥管理的锚功能(aanf)实例，每个aanf实例与用户设备路由指示符(rid)的范围相对应。在这种实施例中，请求还可以包括与特定用户相关联的路由指示符(rid)，并且示例方法还可以包括框1540的操作，其中，密钥管理服务器可以(例如，基于所接收到的rid与rid的范围之一之间的匹配)基于所接收的rid选择aanf实例。在这种实施例中，生成特定于应用会话的安全密钥(kaf)(例如，在框1550中)由所选择的aanf实例执行。
[0166]
在一些实施例中，密钥管理服务器可以与用户设备路由指示符(rid)的一个或多个范围相关联。作为示例，密钥管理服务器可以包括多个aanf实例，每个aanf实例与用户设备路由指示符(rid)的范围相对应。在这种实施例中，示例方法还可以包括框1510的操作，其中，密钥管理服务器可以向通信网络中的网络储存库功能(nrf)注册密钥管理服务器与一个或多个范围之间的关联。
[0167]
另外，图16示出了根据本公开的各种示例实施例的由通信网络中的应用功能执行的示例方法(例如，过程)。应用功能可以由通信网络中的一个或多个网络节点托管和/或提供，诸如在本文的其他地方所描述的。尽管示例方法在图16中以特定顺序通过特定框来示出，但是，与这些框对应的操作可以以与所示的不同的顺序执行，并且可以被组合和/或划分为具有与所示的不同的功能的框和/或操作。此外，图16中所示的示例方法可以与本文所公开的其他示例方法(例如，图9至图15、图17至图19)互补，以使得它们可以协同使用以提供针对本文所描述的问题的各种益处、优点和/或解决方案。可选的框和/或操作由虚线指示。
[0168]
示例方法可以包括框1610的操作，其中，应用功能可以从用户设备接收用于建立应用会话的第一请求。第一请求可包括与特定用户相关联的以下信息的表示：非应用特定的锚安全密钥(kakma)的第一标识符(kakmaid)，以及与网络签约相关的第二标识符。示例方法还可以包括框1620的操作，其中，应用功能可以向通信网络中的用于应用认证和密钥管理的锚功能(aanf)发送对特定于应用会话的安全密钥(kaf)的第二请求。第二请求可包括第一和第二标识符的表示。
[0169]
示例方法还可以包括框1630的操作，其中，应用功能可以从aanf接收特定于应用会话的安全密钥(kaf)。在一些实施例中，示例方法还可以包括框1640的操作，其中，应用功能可以基于所接收的安全密钥(kaf)与用户设备建立安全应用会话。
[0170]
图16所示的方法的某些实施例可以对应于图12所示的示例过程。在这种实施例中，(例如，在框1610中接收并在框1620中发送的)表示包括非应用特定的锚安全密钥(kakma)与生成kakma的ausf之间的绑定的第三标识符(b-id)。特别地，第三标识符可包括第一和第二标识符的表示、以及与ausf相关联的信息。在各种实施例中，与ausf相关联的信息可以包括以下中的一项或多项：ausf组id、ausf id、签约永久标识符(supi)范围、完全限定域名(fqdn)、ip地址。
[0171]
图16所示的方法的其他实施例可以对应于图9至图11所示的示例过程。在这种实施例中，(例如，在框1410中接收的)第一和第二标识符的表示可包括第一标识符(例如，kakmaid)和第二标识符。例如，第二标识符可以是以下中的任一项：hplmn id和用户设备路由标识符(rid)；签约隐藏标识符(suci)；签约永久标识符(supi)；或通用公共签约标识符(gpsi)。在变型中，表示可以仅包括第一标识符(例如，kakmaid)，其包括第二标识符的表示。
[0172]
另外，图17示出了根据本公开的各种示例实施例的由通信网络(例如，5gc)中的认证服务器功能(ausf)执行的示例方法(例如，过程)。ausf可以由通信网络中的一个或多个网络节点托管和/或提供，诸如在本文的其他地方所描述的。尽管示例方法在图17中以特定顺序通过特定框来示出，但是，与这些框对应的操作可以以与所示的不同的顺序执行，并且可以被组合和/或划分为具有与所示的不同的功能的框和/或操作。此外，图17中所示的示例方法可以与本文所公开的其他示例方法(例如，图9至图12、图14、图16、图19)互补，一使得它们可以协同使用以提供针对本文所描述的问题的各种益处、优点和/或解决方案。可选的框和/或操作由虚线指示。
[0173]
示例方法可以包括框1730的操作，其中，ausf可以从通信网络中的用于应用认证和密钥管理的锚功能(aanf)接收对用于特定用户的非应用特定的锚安全密钥(kakma)的请求。该请求可以包括以下的第一表示：与非应用特定的锚安全密钥(kakma)相关联的第一标识符(kakmaid)，以及与特定用户的网络签约相关的第二标识符。示例方法还可以包括框1740的操作，其中，ausf可以向aanf发送包括所请求的非应用特定的锚安全密钥(kakma)的响应。
[0174]
在一些实施例中，图17所示的示例方法可包括框1710-1720的操作。在框1710中，ausf可以创建用于特定用户的非应用特定的锚安全密钥(kakma)、以及第一标识符(kakmaid)。在框1720中，ausf可以向通信网络中的统一数据管理(udm)功能发送与ausf相关联的第四标识符(ausfid)和至少第一标识符(kakmaid)的第二表示。
[0175]
图17所示的方法的某些实施例可以对应于图12所示的示例过程。在这种实施例中，(例如，在框1730中接收的)第一表示和(例如，在框1720中发送的)第二表示可包括非应用特定的锚安全密钥(kakma)与生成kakma的ausf之间的绑定的第三标识符(b-id)。特别地，第三标识符可包括第一和第二标识符的表示、以及与ausf相关联的信息。在各种实施例中，与ausf相关联的信息可以包括以下中的一项或多项：ausf组id、ausf id、签约永久标识符(supi)范围、完全限定域名(fqdn)、ip地址。在这种实施例中，(例如，在框1740中发送的)
响应还可包括与特定用户相关联的签约永久标识符(supi)。
[0176]
图17所示的方法的其他实施例可以对应于图9至图11所示的示例过程。在这种实施例中，(例如，在框1730中接收的)第一和第二标识符的第一表示可包括第一标识符(例如，kakmaid)和第二标识符，而(例如，在框1720中发送的)第二表示可以仅包括第一标识符。在这种实施例中，第二标识符可以是以下中的任一项：hplmn id和用户设备路由标识符(rid)；签约隐藏标识符(suci)；签约永久标识符(supi)；或通用公共签约标识符(gpsi)。在变型中，(例如，在框1730中接收的)第一表示可以仅包括第一标识符(例如，kakmaid)，其可以包括第二标识符的表示。
[0177]
另外，图18示出了根据本公开的各种示例实施例的由通信网络(例如，5gc)中的认证服务器功能(ausf)执行的另一个示例方法(例如，过程)。ausf可以由通信网络中的一个或多个网络节点托管和/或提供，诸如在本文的其他地方所描述的。尽管示例方法在图18中以特定顺序通过特定框来示出，但是与这些框对应的操作可以以与所示的不同的顺序执行，并且可以被组合和/或划分为具有与所示的不同的功能的框和/或操作。此外，图18所示的示例方法可以与本文所公开的其他示例方法(例如，图13和图15)互补，一使得它们可以协同使用以提供针对本文所描述的问题的益处、优点和/或解决方案。可选的框和/或操作由虚线指示。
[0178]
示例方法可以包括框1810的操作，其中，ausf可以创建用于特定用户的非应用特定的锚安全密钥(kakma)，其中，非应用特定的锚安全密钥与第一标识符(kakmaid)相关联。示例方法还可以包括框1820的操作，其中，ausf可以基于与特定用户的网络签约相关的第二标识符，在通信网络中选择与特定用户相关联的用于应用认证和密钥管理的锚功能(aanf)。在一些实施例中，示例方法还可包括框1830的操作，其中，ausf可以向所识别的aanf发送以下信息：用于特定用户的非应用特定的锚安全密钥(kakma)，第一标识符(kakmaid)，以及与特定用户的网络签约相关的第二标识符。在各种实施例中，第二标识符可以是与特定用户相关联的签约永久标识符(supi)。
[0179]
另外，图19示出了根据本公开的各种示例实施例的由通信网络(例如，5gc)中的统一数据管理(udm)功能执行的示例方法(例如，过程)。udm功能可以由通信网络中的一个或多个网络节点托管和/或提供，诸如在本文的其他地方所描述的。尽管示例方法在图19中以特定顺序通过特定框来示出，但是，与这些框对应的操作可以以与所示的不同的顺序执行，并且可以被组合和/或划分为具有与所示的不同的功能的框和/或操作。此外，图19所示的示例方法可以与本文所公开的其他示例方法(例如，图9至图11、图14、图16至图17)互补，以使得它们可以协同使用以提供针对本文所描述的问题的各种益处、优点和/或解决方案。可选的框和/或操作由虚线指示。
[0180]
示例方法可以包括框1910的操作，其中，udm功能可以从通信网络中的认证服务器功能(ausf)接收与ausf相关联的第四标识符(ausfid)和与用于特定用户的非应用特定的锚安全密钥(kakma)相关联的第一标识符(kakmaid)。示例方法还可以包括框1920的操作，其中，udm功能可以从通信网络中的用于应用认证和密钥管理的锚功能(aanf)接收对第四标识符的请求。示例方法还可以包括框1950的操作，其中，udm功能可以向aanf发送包括第四标识符的响应。
[0181]
在一些实施例中，(例如，在框1920中接收的)请求可包括第一标识符(kakmaid)，
并且(例如，在框1950中发送的)响应可包括与和特定用户相关联的网络签约相关的第二标识符。在这些实施例中的一些实施例中，第一标识符可包括第二标识符的表示。这种实施例的示例在图9所示的过程中被示出。
[0182]
在这些实施例的其他实施例中，请求可包括与和特定用户相关联的网络签约相关的另一第二标识符。在这种实施例中，示例方法还可包括框1930的操作，其中，udm功能可以基于另一第二标识符确定第二标识符。例如，第二标识符可以是签约永久标识符(supi)，并且另一第二标识符是不同于supi的标识符(例如，suci、gpsi)。这种实施例的示例在图10至图11所示的过程中被示出。
[0183]
在各种实施例中，(例如，在框1910中从其接收信息的)ausf可以包括多个ausf实例，每个ausf实例对应于与网络签约相关联的标识符(例如，rid、supi等)的范围。在这种实施例中，示例方法还可以包括框1940的操作，其中，udm功能可以基于(例如，在框1920中接收的)第二标识符选择特定的ausf实例。在这种实施例中，(例如，在框1950中发送的)第四标识符可以对应于所选择的ausf实例。
[0184]
虽然本文所描述的主题可以在使用任何适合的组件的任何适当类型的系统中实现，但是，本文所公开的实施例是相对于无线网络(诸如图20所示的示例无线网络)描述的。为了简单起见，图20的无线网络仅描绘了网络2006、网络节点2060和2060b、以及wd 2010、2010b和2010c。实际上，无线网络还可包括适合于支持无线设备之间或无线设备与另一个通信设备(诸如陆线电话、服务提供商、或任何其他网络节点或终端设备)之间的通信的任何附加元件。在所示出的组件中，以附加细节示出了网络节点2060和无线设备(wd)2010。无线网络可以向一个或多个无线设备提供通信和其他类型的服务以促进无线设备接入无线网络和/或使用由无线网络或者经由无线网络提供的服务。
[0185]
无线网络可包括任何类型的通信、电信、数据、蜂窝、和/或无线电网络或其他类似类型的系统和/或与之接口。在一些实施例中，无线网络可以被配置为根据特定标准或其他类型的预定义规则或过程进行操作。因此，无线网络的特定实施例可实现通信标准，诸如全球移动通信系统(gsm)、通用移动通信系统(umts)、长期演进(lte)、和/或其他适合的2g、3g、4g、或5g标准；无线局域网(无线局域网(wlan))标准，诸如ieee 802.11标准；和/或任何其他适当的无线通信标准，诸如微波存取全球互通(wimax)、蓝牙、z波、和/或zigbee标准。
[0186]
网络2006可包括一个或多个回程网络、核心网络、ip网络、公共交换电话网络(pstn)、分组数据网络、光网络、广域网(wan)、局域网(lan)、无线局域网(wlan)、有线网络、无线网络、城域网、和使能设备之间的通信的其他网络。
[0187]
网络节点2060和wd 2010包括下文更详细地描述的各种组件。这些组件一起工作以便提供网络节点和/或无线设备功能，诸如提供无线网络中的无线连接。在不同的实施例中，无线网络可包括任何数量的有线或无线网络、网络节点、基站、控制器、无线设备、中继站、和/或可促进或参与经由有线或无线连接的数据和/或信号的通信的任何其他组件或系统。
[0188]
网络节点的示例包括但不限于接入点(ap)(例如，无线电接入点)、基站(bs)(例如，无线电基站、节点b、演进型节点b(enb)、和nr节点b(gnb))。基站可以基于它们提供的覆盖量(或者，换句话说，它们的发射功率水平)来分类，然后也可以被称为毫微微基站、微微基站、微基站、或宏基站。基站可以是中继节点或控制中继的中继施主节点。网络节点还可
包括分布式无线电基站的一个或多个(或所有)部分，诸如集中式数字单元和/或远程无线电单元(rru)，有时被称为远程射频头(rrh)。这种远程无线电单元可以或可以不与天线集成作为天线集成无线电。分布式无线电基站的部分还可以被称为分布式天线系统(das)中的节点。
[0189]
网络节点的进一步示例包括多标准无线电(msr)设备(诸如msr bs)、网络控制器(诸如无线电网络控制器(rnc)或基站控制器(bsc))、基站收发台(bts)、传输点、传输节点、多小区/多播协调实体(mce)、核心网络节点(例如，msc、mme)、o&m节点、oss节点、son节点、定位节点(例如，e-smlc)、和/或mdt。作为另一示例，网络节点可以是如下文更详细描述的虚拟网络节点。然而，更一般地，网络节点可表示能够、被配置、被布置和/或可操作以使能和/或向无线设备提供对无线网络的接入或者向已经接入无线网络的无线设备提供某种服务的任何适合的设备(或设备组)。
[0190]
在图20中，网络节点2060包括处理电路2070、设备可读介质2080、接口2090、辅助设备2084、电源2086、电源电路2087、和天线2062。虽然在图20的示例无线网络中示出的网络节点2060可以表示包括所示的硬件组件组合的设备，但是，其他实施例可以包括具有不同组件组合的网络节点。应理解，网络节点包括执行本文所公开的任务、特征、功能和方法和/或过程所需的任何适合的硬件和/或软件的组合。而且，虽然网络节点2060的组件被描绘为位于较大框内的或被嵌套在多个框内的单个框，但是实际上，网络节点可以包括组成单个所示组件的多个不同的物理组件(例如，设备可读介质2080可以包括多个单独的硬盘驱动器以及多个ram模块)。
[0191]
类似地，网络节点2060可以包括多个物理上分离的组件(例如，节点b组件和rnc组件、或者bts组件和bsc组件等)，其可以各自具有它自己相应的组件。在网络节点2060包括多个单独的组件(例如，bts和bsc组件)的某些场景中，可以在若干网络节点之间共享一个或多个单独的组件。例如，单个rnc可以控制多个节点b。在这样的场景中，在一些实例中，每个唯一的节点b和rnc对可以被认为是单个单独的网络节点。在一些实施例中，网络节点2060可以被配置为支持多种无线接入技术(rat)。在这种实施例中，一些组件可以被复制(例如，用于不同rat的单独的设备可读介质2080)，并且一些组件可以被重用(例如，相同的天线2062可以由rat共享)。网络节点2060还可以包括针对被集成到网络节点2060中的不同无线技术的各种示出组件的多个集合，诸如例如gsm、wcdma、lte、nr、wifi、或蓝牙无线技术。这些无线技术可以被集成到网络节点2060内的相同或者不同的芯片或芯片集中。
[0192]
处理电路2070可以被配置为执行在本文中被描述为由网络节点提供的任何确定、计算、或类似操作(例如，某些获得操作)。由处理电路2070执行的这些操作可以包括处理由处理电路2070获得的信息(通过例如将所获得的信息转换为其他信息，将所获得的信息或所转换的信息与存储在网络节点中的信息相比较，和/或基于所获得的信息或所转换的信息来执行一个或多个操作)，以及作为所述处理的结果，做出确定。
[0193]
处理电路2070可以包括以下各项中的一项或多项的组合：微处理器，控制器，微控制器，中央处理单元，数字信号处理器，专用集成电路，现场可编程门阵列，或任何其他适合的计算设备、资源，或者可以包括可操作以单独或者结合其他网络节点2060组件(设备可读介质2080)来提供网络节点2060的各种功能的硬件、软件和/或编码逻辑的组合。这种功能可以包括本文所讨论的各种无线特征、功能或者益处中的任一个。
[0194]
例如，处理电路2070可以执行在设备可读介质2080中或者在处理电路2070内的存储器中存储的指令。在一些实施例中，处理电路2070可以包括片上系统(soc)。作为更具体的示例，被存储在介质2080中的指令(也称为计算机程序产品)可以包括指令，该指令当由处理电路2070执行时可以配置网络节点2060以执行与本文所描述的各种示例方法(例如，过程)对应的操作。
[0195]
在一些实施例中，处理电路2070可以包括射频(rf)收发机电路2072和基带处理电路2074中的一个或多个。在一些实施例中，射频(rf)收发机电路2072和基带处理电路2074可以在单独的芯片(或者芯片集)、板、或单元(诸如无线电单元和数字单元)上。在其他可替代的实施例中，rf收发机电路2072和基带处理电路2074的一部分或全部可以在相同的芯片或芯片集、板、或单元上。
[0196]
在某些实施例中，在本文中被描述为由网络节点、基站、enb、或其他这种网络设备所提供的功能中的一些或全部可以由执行被存储在设备可读介质2080或处理电路2070内的存储器上的指令的处理电路2070执行。在可替代的实施例中，一些或全部功能可以由处理电路2070不执行在单独或独立的设备可读介质上存储的指令来提供，诸如以硬连线的方式。在那些实施例中的任一个中，无论是否执行在设备可读存储介质上存储的指令，处理电路2070可以被配置为执行所描述的功能。由这种功能所提供的益处并不单独限于处理电路2070或者网络节点2060的其他组件，而是由网络节点2060整体上和/或通常由终端用户和无线网络享有。
[0197]
设备可读介质2080可以包括任何形式的易失性或非易失性计算机可读存储器，包括但不限于永久性存储设备、固态存储器、远程安装的存储器、磁介质、光介质、随机存取存储器(ram)、只读存储器(rom)、大容量存储介质(例如，硬盘)、可移除存储介质(例如，闪存驱动器、光盘(cd)或数字视频光盘(dvd))、和/或存储可由处理电路2070使用的信息、数据和/或指令的任何其他易失性或非易失性非暂态设备可读存储器设备和/或计算机可执行存储器设备。设备可读介质2080可以存储任何适合的指令、数据或者信息，包括计算机程序、软件、包括逻辑、规则、代码、表等中的一个或多个的应用、和/或能够由处理电路2070执行并且由网络节点2060利用的其他指令。设备可读介质2080可用于存储由处理电路2070进行的任何计算和/或经由接口2090接收的任何数据。在一些实施例中，处理电路2070和设备可读介质2080可以被认为是集成的。
[0198]
接口2090在网络节点2060、网络2006、和/或wd 2010之间的信令和/或数据的有线或无线通信中使用。如图所示，接口2090包括例如通过有线连接向网络2006发送数据和从网络2006接收数据的(一个或多个)端口/(一个或多个)端子2094。接口2090还包括无线电前端电路2092，该无线电前端电路2092可以耦接到天线2062或者在某些实施例中是天线2062的一部分。无线电前端电路2092包括滤波器2098和放大器2096。无线电前端电路2092可以连接到天线2062和处理电路2070。无线电前端电路可以被配置为调节在天线2062与处理电路2070之间传递的信号。无线电前端电路2092可以接收将要经由无线连接被发送到其他网络节点或wd的数字数据。无线电前端电路2092可以使用滤波器2098和/或放大器2096的组合将数字数据转换成具有适当的信道和带宽参数的无线电信号。然后，无线电信号可经由天线2062被发送。类似地，当接收数据时，天线2062可收集无线电信号，然后，无线电信号被无线电前端电路2092转换成数字数据。数字数据可以被传递到处理电路2070。在其他
实施例中，接口可以包括不同的组件和/或不同的组件组合。
[0199]
在某些可替代的实施例中，网络节点2060可以不包括单独的无线电前端电路2092，相反，处理电路2070可包括无线电前端电路并可连接到天线2062，而无需单独的无线电前端电路2092。类似地，在一些实施例中，rf收发机电路2072的全部或一部分可被认为是接口2090的一部分。在其他实施例中，接口2090可包括一个或多个端口或端子2094、无线电前端电路2092和rf收发机电路2072，作为无线电单元(未示出)的一部分，并且接口2090可与基带处理电路2074通信，该基带处理电路2074是数字单元(未示出)的一部分。
[0200]
天线2062可包括一个或多个天线或者天线阵列，被配置为发送和/或接收无线信号。天线2062可以耦接到无线电前端电路2090，并且可以是能够无线地发送和接收数据和/或信号的任何类型的天线。在一些实施例中，天线2062可以包括可操作以例如在2ghz与66ghz之间发送/接收无线电信号的一个或多个全向、扇形或平板天线。全向天线可用于在任何方向上发送/接收无线电信号，扇形天线可用于发送/接收来自特定区域内的设备的无线电信号，平板天线可以是用于在相对直的线上发送/接收无线电信号的视线天线。在一些实例中，使用超过一个天线可以被称为mimo。在某些实施例中，天线2062可以与网络节点2060分离，并可通过接口或者端口连接到网络节点2060。
[0201]
天线2062、接口2090和/或处理电路2070可以被配置为执行在本文中被描述为由网络节点执行的任何接收操作和/或某些获得操作。任何信息、数据和/或信号可以从无线设备、另一网络节点和/或任何其他网络设备接收。类似地，天线2062、接口2090和/或处理电路2070可以被配置为执行在本文中被描述为由网络节点执行的任何发送操作。任何信息、数据和/或信号可被发送到无线设备、另一网络节点和/或任何其他网络设备。
[0202]
电源电路2087可包括或者耦接到电源管理电路，并可以被配置为向网络节点2060的组件供电以用于执行本文所描述的功能。电源电路2087可以从电源2086接收电力。电源2086和/或电源电路2087可被配置为以适合于相应组件的形式(例如，以每个相应的组件所需的电压和电流级别)向网络节点2060的各种组件提供电力。电源2086可被包括在电源电路2087和/或网络节点2060中，或者可在电源电路2087和/或网络节点2060的外部。例如，网络节点2060可经由输入电路或者接口(诸如电缆)连接到外部电源(例如，电插座)，由此，外部电源向电源电路2087供电。作为另一示例，电源2086可以包括采用电池或电池组形式的电源，其连接到或者集成在电源电路2087中。如果外部电源故障，则电池可以提供备用电力。也可以使用其他类型的电源，诸如光伏器件。
[0203]
网络节点2060的可替代实施例可以包括除了图20所示的之外的可负责提供网络节点的功能(包括本文所描述的任一个功能和/或支持本文所描述的主题所需要的任何功能)的某些方面的附加组件。例如，网络节点2060可以包括允许和/或促进将信息输入到网络节点2060中并且允许和/或促进信息从网络节点2060输出的用户接口设备。这可以允许和/或促进用户执行针对网络节点2060的诊断、维护、修理和其他管理功能。
[0204]
在一些实施例中，无线设备(wd，例如wd 2010)可以被配置为在没有直接人类交互的情况下发送和/或接收信息。例如，wd可以被设计为当由内部或外部事件触发时或者响应于来自网络的请求，根据预定调度向网络发送信息。无线设备的示例包括但不限于智能电话、移动电话、蜂窝电话、ip语音(voip)电话、无线本地环路电话、台式计算机、个人数字助理(pda)、无线摄像头、游戏控制台或设备、音乐存储设备、播放设备、可穿戴设备、无线端
点、移动站、平板电脑、膝上型计算机、膝上型嵌入式设备(lee)、膝上型安装设备(lme)、智能设备、无线客户终端设备(cpe)、移动类型通信(mtc)设备、物联网(iot)设备、车载无线终端设备等。
[0205]
wd可以支持设备到设备(d2d)通信，例如通过实现用于副链路通信、车辆到车辆(v2v)、车辆到基础设施(v2i)、车辆到一切(v2x)的3gpp标准，并且在这种情况下可以称为d2d通信设备。作为又一特定示例，在物联网(iot)场景中，wd可表示执行监视和/或测量并且将这种监视和/或测量的结果发送到另一个wd和/或网络节点的机器或其他设备。在这种情况下，wd可以是机器到机器(m2m)设备，其可以在3gpp上下文中被称为mtc设备。作为一个特定示例，wd可以是实现3gpp窄带物联网(nb-iot)标准的ue。这种机器或者设备的特定示例是传感器、计量设备(诸如功率计)、工业机械、或家庭或个人电器(例如，电冰箱、电视等)、个人可穿戴装置(例如，手表、健身追踪器等)。在其他场景中，wd可表示能够监视和/或报告其操作状态或与其操作相关联的其他功能的车联或其他设备。如上文所描述的wd可表示无线连接的端点，在该情况下，设备可以被称为无线终端。此外，如上文所描述的wd可以是移动的，在该情况下，该wd还可以被称为移动设备或移动终端。
[0206]
如图所示，无线设备2010包括天线2011、接口2014、处理电路2020、设备可读介质2030、用户接口设备2032、辅助设备2034、电源2036和电源电路2037。wd 2010可以包括针对由wd 2010支持的不同无线技术的示出组件中的一个或多个的多个集合，诸如例如gsm、wcdma、lte、nr、wifi、wimax、或蓝牙无线技术，仅举几例。这些无线技术可以被集成到wd 2010内的相同或者不同的芯片或芯片集中。
[0207]
天线2011可包括一个或多个天线或者天线阵列，被配置为发送和/或接收无线信号，并且连接到接口2014。在某些可替代的实施例中，天线2011可以与wd 2010分离，并且可通过接口或者端口连接到wd 2010。天线2011、接口2014、和/或处理电路2020可以被配置为执行在本文中被描述为由wd执行的任何接收或发送操作。任何信息、数据、和/或信号可以从网络节点和/或另一个wd接收。在一些实施例中，无线电前端电路和/或天线2011可以被认为是接口。
[0208]
如图所示，接口2014包括无线电前端电路2012和天线2011。无线电前端电路2012包括一个或多个滤波器2018和放大器2016。无线电前端电路2014被连接到天线2011和处理电路2020，并且可以被配置为调节在天线2011与处理电路2020之间传递的信号。无线电前端电路2012可以耦接到天线2011或者是天线2011的一部分。在一些实施例中，wd 2010可以不包括单独的无线电前端电路2012；相反，处理电路2020可包括无线电前端电路并且可连接到天线2011。类似地，在一些实施例中，rf收发机电路2022的全部或一些可被认为是接口2014的一部分。无线电前端电路2012可以接收将要经由无线连接被发送到其他网络节点或wd的数字数据。无线电前端电路2012可以使用滤波器2018和/或放大器2016的组合将数字数据转换成具有适当的信道和带宽参数的无线电信号。然后，无线电信号可经由天线2011被发送。类似地，当接收数据时，天线2011可收集无线电信号，然后，无线电信号被无线电前端电路2012转换成数字数据。数字数据可以被传递到处理电路2020。在其他实施例中，接口可以包括不同的组件和/或不同的组件组合。
[0209]
处理电路2020可以包括以下各项中的一项或多项的组合：微处理器，控制器，微控制器，中央处理单元，数字信号处理器，专用集成电路，现场可编程门阵列，或任何其他适合
的计算设备、资源，或者可包括可操作以单独或者结合其他wd 2010组件(诸如设备可读介质2030)来提供wd 2010功能的硬件、软件、和/或编码逻辑的组合。这样的功能可以包括本文所讨论的各种无线特征或者益处中的任一个。
[0210]
例如，处理电路2020可以执行在设备可读介质2030中或者在处理电路2020内的存储器中存储的指令以提供本文中所公开的功能。更具体地，被存储在介质2030中的指令(也称为计算机程序产品)可以包括指令，该指令当由处理电路2020执行时可以配置无线设备2010以执行与本文所描述的各种示例方法(例如，过程)对应的操作。
[0211]
如图所示，处理电路2020包括rf收发机电路2022、基带处理电路2024、和应用处理电路2026中的一个或多个。在其他实施例中，处理电路可包括不同的组件和/或不同的组件组合。在某些实施例中，wd 2010的处理电路2020可包括soc。在一些实施例中，rf收发机电路2022、基带处理电路2024、和应用处理电路2026可以在单独的芯片或芯片集上。在可替代的实施例中，基带处理电路2024和应用处理电路2026的一部分或全部可以被组合为一个芯片或芯片集，并且rf收发机电路2022可以在单独的芯片或芯片集上。在其他可替代的实施例中，rf收发机电路2022和基带处理电路2024的一部分或全部可以在相同的芯片或芯片集上，并且应用处理电路2026可以在单独的芯片或芯片集上。在其他可替代的实施例中，rf收发机电路2022、基带处理电路2024、和应用处理电路2026的一部分或全部可以被组合在单个芯片或芯片集中。在一些实施例中，rf收发机电路2022可以是接口2014的一部分。rf收发机电路2022可调节用于处理电路2020的rf信号。
[0212]
在某些实施例中，在本文中被描述为由wd执行的功能中的一些或全部可以由执行被存储在设备可读介质2030上的指令的处理电路2020提供，该设备可读介质2030在某些实施例中可以是计算机可读存储介质。在可替代的实施例中，一些或全部功能可以由处理电路2020不执行在单独或独立的设备可读存储介质上存储的指令来提供，诸如以硬连线的方式。在那些特定实施例中的任一个中，无论是否执行在设备可读存储介质上存储的指令，处理电路2020可以被配置为执行所描述的功能。由这种功能所提供的益处并不单独限于处理电路2020或者wd 2010的其他组件，而是由wd 2010整体上和/或通常由终端用户和无线网络享有。
[0213]
处理电路2020可以被配置为执行在本文中被描述为由wd执行的任何确定、计算、或类似操作(例如，某些获得操作)。如由处理电路2020执行的这些操作可以包括处理由处理电路2020获得的信息(通过例如将所获得的信息转换为其他信息，将所获得的信息或所转换的信息与由wd 2010存储的信息相比较，和/或基于所获得的信息或所转换的信息来执行一个或多个操作)，以及作为处理的结果，做出确定。
[0214]
设备可读介质2030可以可操作以存储计算机程序、软件、包括逻辑、规则、代码、表等中的一个或多个的应用、和/或能够由处理电路2020执行的其他指令。设备可读介质2030可包括计算机存储器(例如，随机存取存储器(ram)或只读存储器(rom))、大容量存储介质(例如，硬盘)、可移除存储介质(例如，光盘(cd)或数字视频光盘(dvd))、和/或存储可以由处理电路2020使用的信息、数据和/或指令的任何其他易失性或非易失性非暂态计算机可读和/或计算机可执行存储器设备。在一些实施例中，处理电路2020和设备可读介质2030可以被认为是集成的。
[0215]
用户接口设备2032可以包括允许和/或促进人类用户与wd 2010交互的组件。这样
的交互可以具有许多形式，诸如视觉、听觉、触觉等。用户接口设备2032可以可操作以向用户产生输出，并且允许和/或促进用户向wd 2010提供输入。交互的类型可以取决于安装在wd 2010中的用户接口设备2032的类型而变化。例如，如果wd 2010是智能电话，则交互可以经由触摸屏；如果wd 2010是智能仪表，则交互可以通过提供使用量(例如，所使用的加仑数量)的屏幕或者(例如，如果检测到烟雾)提供听觉警报的扬声器。用户接口设备2032可包括输入接口、设备和电路、以及输出接口、设备和电路。用户接口设备2032可以被配置为允许和/或促进将信息输入到wd 2010中，并且连接到处理电路2020以允许和/或促进处理电路2020处理输入信息。用户接口设备2032可包括例如麦克风、接近度或其他传感器、键/按钮、触摸显示器、一个或多个摄像头、usb端口、或其他输入电路。用户接口设备2032还被配置为允许和/或促进输出来自wd 2010的信息，并且允许和/或促进处理电路2020输出来自wd 2010的信息。用户接口设备2032可以包括例如扬声器、显示器、振动电路、usb端口、耳机接口、或其他输出电路。使用用户接口设备2032的一个或多个输入和输出接口、设备、和电路，wd 2010可以与终端用户和/或无线网络通信，并且允许和/或促进它们受益于本文所描述的功能。
[0216]
辅助设备2034可操作以提供可以不通常由wd执行的更特定的功能。这可以包括用于出于各种目的进行测量的专业化传感器、用于附加类型的通信(诸如有线通信)的接口等。辅助设备2034的组件的包含物和类型可以取决于实施例和/或场景而变化。
[0217]
在一些实施例中，电源2036可以以电池或电池组的形式。还可以使用其他类型的电源，诸如外部电源(例如，电插座)、光伏器件、或电池。wd 2010还可包括用于将电力从电源2036输送到wd 2010的各部分的电源电路2037，这些部分需要来自电源2036的电力以执行本文所描述或指示的任何功能。在某些实施例中，电源电路2037可包括电源管理电路。附加地或者可替代地，电源电路2037可以可操作以接收来自外部电源的电力；在该情况下，wd 2010可以可经由输入电路或诸如电源电缆的接口连接到外部电源(诸如电插座)。在某些实施例中，电源电路2037还可以可操作以将电力从外部电源输送到电源2036。这可以例如用于电源2036的充电。电源电路2037可以对来自电源2036的电力执行任何转换或其他修改，以使其适合于向wd 2010的相应组件供电。
[0218]
图21示出了根据本文所描述的各方面的ue的一个实施例。如本文所使用的，用户设备或ue可以不必具有在拥有和/或操作相关设备的人类用户意义上的用户。相反，ue可表示旨在向人类用户销售的或由人类用户操作但是可以不或最初可以不与特定人类用户相关联的设备(例如，智能洒水器控制器)。可替代地，ue可表示不旨在向终端用户销售的或由终端用户操作但是可以与用户相关联或为了用户的利益操作的设备(例如，智能功率计)。ue 2100可以是由第三代合作伙伴项目(3gpp)标识的ue，包括nb-lot ue、机器型通信(mtc)ue、和/或增强型mtc(emtc)ue。如图21所示，ue 2100是被配置用于根据由第三代合作伙伴项目(3gpp)颁布的一个或多个通信标准(诸如3gpp的gsm、umts、lte、和/或5g标准)通信的wd的一个示例。如先前所提到的，术语wd和ue可以可交换地使用。因此，虽然图21是ue，但是本文所讨论的组件同样适用于wd，反之亦然。
[0219]
在图21中，ue 2100包括处理电路2101，该2101可操作地耦接到输入/输出接口2105、射频(rf)接口2109、网络连接接口2111、存储器2115(包括随机存取存储器(ram)2117、只读存储器(rom)2119、和存储介质2121等)、通信子系统2131、电源2133、和/或任何
其他组件、或其任何组合。存储介质2121包括操作系统2123、应用程序2125、和数据2127。在其他实施例中，存储介质2121可包括其他相似类型的信息。某些ue可以利用图21所示的所有组件或者仅组件的子集。组件之间的集成度可以根据ue的不同而变化。进一步地，某些ue可包含组件的多个实例，诸如多个处理器、存储器、收发机、发射机、接收机等。
[0220]
在图21中，处理电路2101可以被配置为处理计算机指令和数据。处理电路2101可以被配置为实现可操作以执行存储器中被存储为机器可读计算机程序的机器指令的任何顺序状态机，诸如一个或多个硬件实现的状态机(例如，以离散逻辑、fpga、asic等)；可编程逻辑连同适当的固件；一个或多个存储的程序、通用处理器，诸如微处理器或数字信号处理器(dsp)，连同适当的软件一起；或上述的任何组合。例如，处理电路2101可包括两个中央处理单元(cpu)。数据可以是以适合于由计算机使用的形式的信息。
[0221]
在所描绘的实施例中，输入/输出接口2105可以被配置为向输入设备、输出设备、或输入和输出设备提供通信接口。ue 2100可以被配置为经由输入/输出接口2105使用输出设备。输出设备可以使用与输入设备相同类型的接口端口。例如，usb端口可用于提供向ue 2100的输入和来自ue 2100的输出。输出设备可以是扬声器、声卡、视频卡、显示器、监视器、打印机、致动器、发射器、智能卡、另一个输出设备、或其任何组合。ue 2100可以被配置为经由输入/输出接口2105使用输入设备以允许和/或促进用户将信息捕获到ue 2100中。输入设备可包括接触敏感或者存在敏感显示器、摄像头(例如，数字摄像头、数字视频摄像头、网络摄像头等)、麦克风、传感器、鼠标、轨迹球、方向板、轨迹板、滚轮、智能卡等。存在敏感显示器可包括感测来自用户的输入的电容或者电阻触摸传感器。传感器可以是例如加速度计、陀螺仪、倾斜传感器、力传感器、磁强计、光学传感器、接近传感器、另一个相似传感器、或其任何组合。例如，输入设备可以是加速度计、磁强计、数字相机、麦克风、和光学传感器。
[0222]
在图21中，rf接口2109可以被配置为向rf组件(诸如发射机、接收机、和天线)提供通信接口。网络连接接口2111可以被配置为向网络2143a提供通信接口。网络2143a可涵盖有线和/或无线网络，诸如局域网(lan)、广域网(wan)、计算机网络、无线网络、电信网络、另一个类似网络、或其任何组合。例如，网络2143a可包括wi-fi网络。网络连接接口2111可以被配置为包括用于根据一个或多个通信协议(诸如以太网、tcp/ip、sonet、atm等)通过通信网络与一个或多个其他设备通信的接收机和发射机接口。网络连接接口2111可以实现适于通信网络链路(例如，光学、电气等)的接收机和发射机功能。发射机和接收机功能可以共享电路组件、软件或固件，或者可替代地可以单独地实现。
[0223]
ram 2117可以被配置为经由总线2102而接口到处理电路2101以在软件程序(诸如操作系统、应用程序、和设备驱动程序)的执行期间提供数据或者计算机指令的存储或者高速缓存。rom 2119可以被配置为向处理电路2101提供计算机指令或者数据。例如，rom 2119可以被配置为存储存储用于基本系统功能(诸如基本输入和输出(i/o)、启动、或者接收在非易失性存储器中存储的来自键盘的键击)的不变的低级系统代码或者数据。存储介质2121可以被配置为包括存储器，诸如ram、rom、可编程只读存储器(prom)、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)、磁盘、光盘、软盘、硬盘、可移除磁盘、或闪盘驱动器。
[0224]
在一个示例中，存储介质2121可以被配置为包括操作系统2123；应用程序2125，诸如网络浏览器应用、小部件或小配件引擎、或另一个应用；和数据文件2127。存储介质2121
可以存储各种不同的操作系统或者操作系统的组合中的任一个以供ue 2100使用。例如，应用程序2125可包括可执行程序指令(也称为计算机程序产品)，该指令当由处理器2101执行时可以配置ue 2100以执行与本文所描述的各种示例方法(例如，过程)对应的操作。
[0225]
存储介质2121可以被配置为包括多个物理驱动单元，诸如独立磁盘冗余阵列(raid)、软盘驱动器、闪存、usb闪盘驱动器、外部硬盘驱动器、拇指驱动器、笔式驱动器、键驱动器、高密度数字通用光盘(hd-dvd)光盘驱动器、内部硬盘驱动器、蓝光光盘驱动器、全息数字数据存储(hdds)光盘驱动器、外部迷你双列直插存储模块(dimm)、同步动态随机存取存储器(sdram)、外部微dimm sdram、智能卡存储器(诸如用户标识模块或可移除用户标识(sim/ruim)模块)、其他存储器、或其任何组合。存储介质2121可以允许和/或促进ue 2100访问被存储在暂态或非暂态存储器介质上的计算机可执行指令、应用程序等以卸载数据或者上载数据。制品(诸如利用通信系统的制品)可以有形地实现在存储介质2121中，该存储介质2121可包括设备可读介质。
[0226]
在图21中，处理电路2101可以被配置为使用通信子系统2131与网络2143b通信。网络2143a和网络2143b可以是相同的一个或多个网络或不同的一个或多个网络。通信子系统2131可以被配置为包括用于与网络2143b通信的一个或多个收发机。例如，通信子系统2131可以被配置为包括用于根据一个或多个通信协议(诸如ieee 802.21、cdma、wcdma、gsm、lte、utran、wimax等)与能够无线通信的另一个设备(诸如另一个wd、ue、或无线接入网络(ran)的基站)的一个或多个远程收发机通信的一个或多个收发机。每个收发机可以包括分别实现适于ran链路的发射机或接收机功能(例如，频率分配等)的发射机2133和/或接收机2135。进一步地，每个收发机的发射机2133和接收机2135可以共享电路组件、软件或固件，或者可替代地可以单独地实现。
[0227]
在示出的实施例中，通信子系统2131的通信功能可包括数据通信、语音通信、多媒体通信、短程通信(诸如蓝牙、近场通信)、基于位置的通信(诸如使用全球定位系统(gps)以确定位置)、另一个类似的通信功能、或其任何组合。例如，通信子系统2131可包括蜂窝通信、wi-fi通信、蓝牙通信、和gps通信。网络2143b可涵盖有线和/或无线网络，诸如局域网(lan)、广域网(wan)、计算机网络、无线网络、电信网络、另一个类似网络、或其任何组合。例如，网络2143b可以是蜂窝网络、wi-fi网络、和/或近场网络。电源2113可以被配置为向ue 2100的组件提供交流(ac)或者直流(dc)电源。
[0228]
本文中所描述的特征、益处和/或功能可以在ue 2100的组件中的一个中实现或者被划分在ue 2100的多个组件上。进一步地，本文中所描述的特征、益处、和/或功能可以以硬件、软件、或固件的任何组合实现。在一个示例中，通信子系统2131可以被配置为包括本文所描述的任何组件。进一步地，处理电路2101可以被配置为通过总线2102与这种组件中的任一个通信。在另一个示例中，任何这种组件可由存储在存储器中的程序指令表示，该程序指令当由处理电路2101执行时执行本文所描述的对应的功能。在另一个示例中，任何这种组件的功能可以被划分在处理电路2101与通信子系统2131之间。在另一示例中，任何这种组件的非计算密集功能可以以软件或者固件实现，并且计算密集功能可以以硬件实现。
[0229]
图22是示出可以虚拟化由一些实施例实现的功能的虚拟化环境2200的示意性框图。在本上下文中，虚拟化意味着创建装置或设备的可包括虚拟化硬件平台、存储设备、和网络资源的虚拟版本。如本文所使用的，虚拟化可以被应用于节点(例如，虚拟化基站或虚
拟化无线电接入节点)或设备(例如，ue、无线设备、或任何其他类型的通信设备)或其组件，并且涉及功能的至少一部分被实现为一个或多个虚拟组件(例如，经由一个或多个应用、组件、功能、虚拟机、或在一个或多个网络中的一个或多个物理处理节点上执行的容器)的实现。
[0230]
在一些实施例中，本文所描述的功能中的一些或全部可以被实现为由在由硬件节点2230中的一个或多个托管的一个或多个虚拟环境2200中实现的一个或多个虚拟机执行的虚拟组件。进一步地，在虚拟节点不是无线电接入节点或不要求无线电连接(例如，核心网络节点)的实施例中，网络节点可以被完全虚拟化。
[0231]
功能可以由一个或多个应用2220(其可以可替代地被称为软件实例、虚拟设备、网络功能、虚拟节点、虚拟网络功能等)实现，该应用2220可操作以实现本文所公开的实施例中的一些的特征、功能、和/或益处中的一些。应用2220在虚拟化环境2200中运行，该虚拟化环境2200提供包括处理电路2260和存储器2290的硬件2230。存储器2290包含可由处理电路2260执行的指令2295，其中，应用2220可操作以提供本文所公开的特征、益处、和/或功能中的一个或多个。
[0232]
虚拟化环境2200可包括通用或者专用网络硬件设备(或节点)2230，该通用或者专用网络硬件设备(或节点)2230包括一组一个或多个处理器或者处理电路2260，其可以是商用现货(cots)处理器、专用集成电路(asic)、或包括数字或模拟硬件组件或专用处理器的任何其他类型的处理电路。每个硬件设备可以包括存储器2290-1，该存储器2290-1可以是用于暂时存储由处理电路2260执行的指令2295或软件的非持久性存储器。例如，指令2295可包括程序指令(也称为计算机程序产品)，该指令当由处理电路2260执行时可以配置硬件节点2220以执行与本文所描述的各种示例方法(例如，过程)对应的操作。这种操作也可以被认为是由硬件节点2230托管的(一个或多个)虚拟节点2220。
[0233]
每个硬件设备可以包括一个或多个网络接口控制器(nic)2270(也称为网络接口卡)，该网络接口控制器(nic)2270包括物理网络接口2280。每个硬件设备还可以包括在其中存储了可由处理电路2260执行的软件2295和/或指令的非暂态持久性机器可读存储介质2290-2。软件2295可以包括任何类型的软件，包括用于实例化一个或多个虚拟化层2250的软件(也被称为管理程序)、执行虚拟机2240的软件以及允许执行与本文所描述的一些实施例相关描述的功能、特征和/或益处的软件。
[0234]
虚拟机2240包括虚拟处理、虚拟存储器、虚拟联网或者接口、以及虚拟存储，并且可以由对应的虚拟化层2250或管理程序运行。虚拟设备2220的实例的不同实施例可在一个或多个虚拟机2240上实现，并且这些实现可以以不同的方式完成。
[0235]
在操作期间，处理电路2260执行软件2295以实例化管理程序或虚拟化层2250，该软件有时可被称为虚拟机监视器(vmm)。虚拟化层2250可向虚拟机2240呈现看起来像网络硬件的虚拟操作平台。
[0236]
如图22所示，硬件2230可以是具有一般或者特定组件的独立网络节点。硬件2230可以包括天线22225，并可经由虚拟化实现一些功能。可替代地，硬件2230可以是较大硬件集群(例如，诸如在数据中心或者客户终端设备(cpe)中)的一部分，其中，许多硬件节点一起工作并经由管理和编排(mano)22100来管理，管理和编排(mano)22100尤其监督应用2220的生命周期管理。
2391的源于主机计算机2330的数据的传入下行链路通信的过去路由。类似地，基站2312不需要知道朝向主机计算机2330的源于ue 2391的传出上行链路通信的未来路由。
[0245]
现在将参考图24描述在前述段落中讨论的ue、基站和主机计算机的根据实施例的示例实现。在通信系统2400中，主机计算机2410包括硬件2415，该硬件2415包括被配置为建立和维持与通信系统2400的不同通信设备的接口的有线或无线连接的通信接口2416。主机计算机2410还包括处理电路2418，该处理电路2418可具有存储和/或处理能力。特别地，处理电路2418可包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列或者适于执行指令的这些的组合(未示出)。主机计算机2410还包括软件2411，该软件2411被存储在主机计算机2410中或可由主机计算机2410访问并可由处理电路2418执行。软件2411包括主机应用2412。主机应用2412可以可操作以向远程用户提供服务，诸如经由在ue 2430和主机计算机2410处终止的ott连接2450连接的ue 2430。在向远程用户提供服务时，主机应用2412可提供使用ott连接2450发送的用户数据。
[0246]
通信系统2400还包括基站2420，该基站2420在电信系统中被提供并包括使得基站2420能够与主机计算机2410和ue 2430通信的硬件2425。硬件2425可包括用于建立和维持与通信系统2400的不同通信设备的接口的有线或无线连接的通信接口2426，以及用于建立和维持至少与位于由基站2420服务的覆盖区域(在图24中未示出)中的ue 2430的无线连接2470的无线电接口2427。通信接口2426可以被配置为促进到主机计算机2410的连接2460。连接2460可以是直接的，或者它可以穿过电信系统的核心网络(在图24中未示出)和/或电信系统外部的一个或多个中间网络。在所示出的实施例中，基站2420的硬件2425还可包括处理电路2428，该处理电路2428可包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列或者适于执行指令的这些(未示出)的组合。
[0247]
基站2420还包括在内部存储的或者可经由外部连接访问的软件2421。例如，软件2421可包括程序指令(也称为计算机程序产品)，该指令当由处理电路2428执行时可以配置基站2420以执行与本文所描述的各种示例方法(例如，过程)对应的操作。
[0248]
通信系统2400还可包括已经提到的ue 2430，它的硬件2435可包括无线电接口2437，该无线电接口2437被配置为建立和维持与服务ue 2430当前位于的覆盖区域的基站的无线连接2470。ue 2430的硬件2435还可包括处理电路2438，该处理电路2438可包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列或者适于执行指令的这些的组合(未示出)。
[0249]
ue 2430还包括软件2431，该软件2431被存储在ue 2430中或可由ue 2430访问并可由处理电路2438执行。软件2431包括客户端应用2432。客户端应用2432可以可操作以在主机计算机2410的支持下经由ue 2430向人类或非人类用户提供服务。在主机计算机2410中，执行的主机应用2412可经由在ue 2430和主机计算机2410处终止的ott连接2450与执行的客户端应用2432通信。在向用户提供服务时，客户端应用2432可以接收来自主机应用2412的请求数据，并且响应于请求数据来提供用户数据。ott连接2450可以传送请求数据和用户数据二者。客户端应用2432可与用户交互来生成它提供的用户数据。软件2431还可包括程序指令(也称为计算机程序产品)，该指令当由处理电路2438执行时可以配置ue 2430以执行与本文所描述的各种示例方法(例如，过程)对应的操作。
[0250]
应注意，图24所示的主机计算机2410、基站2420和ue 2430可以分别与图16的主机
计算机1230、基站1612a、1612b、1612c中的一个和ue 1691、1692中的一个类似或者相同。也就是说，这些实体的内部工作可以如图24所示，并且独立地，周围网络拓扑可以是图16的网络拓扑。
[0251]
在图24中，ott连接2450已经被抽象地绘出以图示主机计算机2410经由基站2420与ue 2430之间的通信，而不明确引用任何中间设备和经由这些设备的消息的精确路由。网络基础设施可确定路由，它可以被配置为对ue 2430或操作主机计算机2410的服务提供商或二者隐瞒该路由。在ott连接2450有效时，网络基础设施还可以采取决策以动态地改变路由(例如，基于网络的负载平衡考虑或重新配置)。
[0252]
ue 2430与基站2420之间的无线连接2470根据贯穿本公开所描述的实施例的教导。各种实施例中的一个或多个改进使用无线连接2470形成最后一段的ott连接2450提供给ue 2430的ott服务的性能。更准确地，本文所公开的示例实施例可以提高网络监视数据流(包括它们对应的与用户设备(ue)与另一实体(诸如在5g网络外部的ott数据应用或服务)之间的数据会话相关联的无线电承载)的端到端服务质量(qos)的灵活性。这些和其他优点可以促进5g/nr解决方案的更及时的设计、实现和部署。此外，这种实施例可以促进对数据会话qos的灵活和及时的控制，这可以导致容量、吞吐量、延迟等方面的改进，这是5g/nr所设想的并且对于ott服务的增长很重要。
[0253]
测量过程可以被提供以用于监测一个或多个实施例改进的数据速率、延迟和其他网络操作方面的目的。还可以存在用于响应于测量结果的变化来重新配置主机计算机2410与ue 2430之间的ott连接2450的可选网络功能。测量过程和/或用于重新配置ott连接2450的网络功能可以在主机计算机2410的软件2411和硬件2415中或者在ue 2430的软件2431和硬件2435中或者在二者中实现。在实施例中，传感器(未示出)可以被部署在ott连接2450经过的通信设备中或者与ott连接2450经过的通信设备相关联；传感器可通过供应上文例示的监测量的值或者供应软件2411、2431可以从中计算或者估计监测量的其他物理量的值来参与测量过程。ott连接2450的重新配置可包括消息格式、重传设置、优选路由等；重新配置不需要影响基站2420，并且重新配置对于基站2420可以是未知或者感觉不到的。这种过程和功能在本领域中可能已知并被实践。在某些实施例中，测量结果可以涉及促进主机计算机2410的吞吐量、传播时间、延迟等的测量结果的专有ue信令。测量可以被实现，因为软件2411和2431使得消息(特别是空或“伪(dummy)”消息)使用ott连接2450被发送，同时监测传播时间、误差等。。
[0254]
图25是示出根据一个实施例的在通信系统中实现的示例方法和/或过程的流程图。通信系统包括主机计算机、基站和ue，在一些示例实施例中，它们可以是参考本文中的其他附图所描述的主机计算机、基站和ue。为了本公开的简单起见，在该部分中仅包括图25的附图标记。在步骤2510中，主机计算机提供用户数据。在步骤2510的子步骤2511(其可以是可选的)中，主机计算机通过执行主机应用来提供用户数据。在步骤2520中，主机计算机向ue发起携带用户数据的传输。在步骤2530(其可以是可选的)中，根据贯穿本公开所描述的实施例的教导，基站向ue发送在主机计算机发起的传输中携带的用户数据。在步骤2540(其也可以是可选的)中，ue执行与由主机计算机执行的主机应用相关联的客户端应用。
[0255]
图26是示出根据一个实施例的在通信系统中实现的示例方法和/或过程的流程图。通信系统包括主机计算机、基站和ue，它们可以是参考本文中的其他附图所描述的主机
计算机、基站和ue。为了本公开的简单起见，在该部分中仅包括图26的附图标记。在该方法的步骤2610中，主机计算机提供用户数据。在可选的子步骤(未示出)中，主机计算机通过执行主机应用来提供用户数据。在步骤2620中，主机计算机向ue发起携带用户数据的传输。根据贯穿本公开所描述的实施例的教导，传输可经由基站传递。在步骤2630(其可以是可选的)中，ue接收在传输中携带的用户数据。
[0256]
图27是示出根据一个实施例的在通信系统中实现的示例方法和/或过程的流程图。通信系统包括主机计算机、基站和ue，它们可以是参考本文中的其他附图所描述的主机计算机、基站和ue。为了本公开的简单起见，在该部分中仅包括图27的附图标记。在步骤2710(其可以是可选的)中，ue接收由主机计算机提供的输入数据。附加地或者可替代地，在步骤2720中，ue提供用户数据。在步骤2720的子步骤2721(其可以是可选的)中，ue通过执行客户端应用来提供用户数据。在步骤2710的子步骤2711(其可以是可选的)中，ue执行客户端应用，其提供用户数据作为对由主机计算机提供的所接收的输入数据的反应。在提供用户数据时，执行的客户端应用还可以考虑从用户接收的用户输入。不管提供用户数据的特定方式，在子步骤2730(其可以是可选的)中，ue向主机计算机发起用户数据的传输。在该方法的步骤2740中，根据贯穿本公开所描述的实施例的教导，主机计算机接收从ue发送的用户数据。
[0257]
图28是示出根据一个实施例的在通信系统中实现的示例方法和/或过程的流程图。通信系统包括主机计算机、基站和ue，它们可以是参考本文中的其他附图所描述的主机计算机、基站和ue。为了本公开的简单起见，在该部分中仅包括图28的附图标记。在步骤2810(其可以是可选的)中，根据贯穿本公开所描述的实施例的教导，基站接收来自ue的用户数据。在步骤2820(其可以是可选的)中，基站向主机计算机发起所接收的用户数据的传输。在步骤2830(其可以是可选的)中，主机计算机接收在由基站发起的传输中携带的用户数据。
[0258]
如本文所描述的，设备和/或装置可以由半导体芯片、芯片集、或者包括这种芯片或芯片集的(硬件)模块表示；然而，这并不排除设备或者装置的功能被实现为软件模块(诸如包括用于在处理器上执行或者运行的可执行软件代码部分的计算机程序或计算机程序产品)以替代被硬件实现的可能性。此外，设备或者装置的功能可以由硬件和软件的任何组合实现。设备或者装置还可以被认为是多个设备和/或装置的组装体，无论在功能上是合作还是彼此独立的。此外，设备和装置可以在系统中以分布式方式实现，只要设备或者装置的功能被保留。这种和类似的原理被认为是技术人员已知的。
[0259]
此外，在本文中被描述为由无线设备或网络节点执行的功能可被分布在多个无线设备和/或网络节点上。换句话说，应预期到，本文所描述的网络节点和无线设备的功能不限于由单个物理设备执行，并且实际上，可以分布在多个物理设备之间。
[0260]
除非另外定义，否则本文所使用的所有术语(包括技术术语和科学术语)具有与本公开所属领域的普通技术人员通常理解的相同的含义。进一步将理解，除非在本文中明确地这样定义，否则本文所使用的术语应当被解释为具有与其在本说明书和相关领域的上下文中的意义一致的意义，并且将不以理想化或过度正式的意义来解释。
[0261]
另外，在本公开(包括说明书、附图和示例实施例)中使用的某些术语，在某些实例中可以被同义地使用，包括但不限于例如数据和信息。应当理解，虽然可以彼此同义的这些
单词和/或其他单词可以在本文中被同义地使用，但是，也可以存在这种单词可能旨在不同义使用的情况。进一步地，在现有技术知识尚未在上文中通过引用被明确并入本文的程度上，在整体上被明确并入本文。所引用的所有公开物通过引用在整体上被并入本文。
[0262]
如本文所使用的，除非相反明确说明，否则跟随有列举项目的连接列表(例如，“a和b”、“a、b和c”)的短语
“……
中的至少一个”和
“……
中的一个或多个”旨在意味着“至少一项，其中每一项选自包括列举项目的列表”。例如，“a和b中的至少一个”旨在意味着以下中的任一项：a；b；a和b。同样，“a、b和c中的一个或多个”旨在意味着以下中的任一项：a；b；c；a和b；b和c；a和c；a、b和c。
[0263]
如本文所使用的，除非相反明确说明，否则跟随有列举项目的连接列表(例如，“a和b”、“a、b和c”)的短语“多个”旨在意味着“多个项，其中每一项选自包括列举项目的列表”。例如，“多个a和b”旨在意味着以下中的任一项：多于一个a；多于一个b；或至少一个a和至少一个b。
[0264]
前文仅说明了本公开的原理。鉴于本文中的教导，所描述的实施例的各种修改和变型对于本领域技术人员将是明显的。因此，将理解，尽管在本文中未明确示出或描述，但本领域技术人员将能够设计体现本公开的原理并因此可落入本公开的精神和范围内的许多系统、布置和过程。各种示例性实施例可以连同彼此一起以及与之可交换地使用，如应当由本领域普通技术人员理解的。