CN108353282B - 用于使用支持多个连接性和服务上下文的安全模型的无线通信的方法和装置 - Google Patents
用于使用支持多个连接性和服务上下文的安全模型的无线通信的方法和装置 Download PDFInfo
- Publication number
- CN108353282B CN108353282B CN201680066650.3A CN201680066650A CN108353282B CN 108353282 B CN108353282 B CN 108353282B CN 201680066650 A CN201680066650 A CN 201680066650A CN 108353282 B CN108353282 B CN 108353282B
- Authority
- CN
- China
- Prior art keywords
- service
- context
- client device
- connectivity
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/02—Data link layer protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本公开内容的方面提供了用于在共享单个连接性上下文时实现多个连接性和服务上下文以建立网络连接的安全模型。上下文(例如,连接性上下文、服务上下文、安全性上下文)是描述在两个或多个实体之间建立的连接性、服务或安全性的信息集合。该连接性上下文和服务上下文可以在不同的网络节点或实体处建立。在本公开内容的一个方面中,连接性上下文包括演进型分组***(EPS)移动性管理(EMM)上下文或者EMM上下文和EPS会话管理(ESM)上下文二者。
Description
相关申请的交叉引用
本申请要求享受于2015年11月17日在美国专利商标局递交的临时申请第62/256,472号和于2016年2月19日在美国专利商标局递交的非临时申请第15/048,044号的优先权和利益,其整个内容通过引用方式被并入本文,如同下文作为整体被充分阐述并且出于所有可适用的目的。
技术领域
概括地说,下文讨论的技术涉及无线通信***,并且更具体地涉及用于支持多个连接性和服务上下文的安全模型。
背景技术
当前无线***典型地工作在分组交换域中。无线***的一些示例是LTE(长期演进)、LTE-A(改进的LTE)和WLAN(无线局域网)。这样的无线***典型地通过在用户设备与网络的连接性管理部分之间使用单个连接性上下文而仅支持单个订阅和/或单个凭证。在LTE示例中,单个非接入层(NAS)上下文可以被用在用户装置(UE)(用户设备)与移动性管理实体(MME)之间。在LTE中,该NAS是被用来在UE与MME之间传送用于LTE接入的非无线相关的信令的协议集合。连接性上下文一般指代与两个实体(例如,用户设备到网络实体或网络实体到网络实体)之间的连接相关联的或定义该连接的信息。
在相关领域中,用户设备(例如,移动设备或UE)一般包括用户识别模块(SIM)卡,所述SIM卡包括对于该SIM卡唯一的标识信息和密钥。使用对由网络运营商提供的服务的订阅的用户设备能够凭借被存储在该SIM卡上的标识和密钥(或认证)信息与该网络建立无线链路或连接性。换句话说,在接入链路与连接性上下文的使用之间存在紧密的关系(例如,一对一的关系)。在蜂窝网络的情况下,接入链路的示例包括用户平面和无线资源控制(RRC)或介质访问控制(MAC)信令连接。在LTE示例中,建立无线链路涉及EMM(演进型分组***(EPS)移动性管理)上下文和ESM(EPS会话管理)上下文。此外,在LTE示例中,当UE连接到网络时,在移动性管理实体(MME)处创建移动性管理上下文(EMM上下文)和会话管理上下文(ESM上下文)。EMM上下文和ESM上下文二者与被存储在SIM卡中的单个凭证(例如,SIM凭证)相关联。该凭证允许MME确定该UE是否能够被认证以建立所请求的连接。在该情况下,该MME向所有可用服务的一个提供者提供一个认证点。在该对上下文与SIM凭证之间存在一对一的关联。因此,可以说该对相关的上下文被紧密地耦合至该SIM凭证。
发明内容
下面提出了对本公开内容的一个或多个方面的简要概述,以便提供对这样的方面的基本理解。该概述不是对本公开内容的全部预期特征的泛泛概括,并且既不旨在标识本公开内容的全部方面的关键的或决定性的元素也不旨在描绘本公开内容的任意或全部方面的范围。其唯一目的在于以简化的形式提出本公开内容的一个或多个方面的一些概念,作为稍后提出的更详细的描述的序言。
本公开内容的方面公开了一种用于支持多个连接性和服务上下文的安全模型。不同的凭证可以被用来建立连接性上下文和多个服务上下文。
本公开内容的一个方面提供了一种在无线通信网络中操作客户端设备的方法。根据该方法,客户端设备基于第一凭证来与连接性网络建立连接。该客户端设备建立与所述连接相对应的连接性上下文。该客户端设备识别与所述连接性网络相关联的一个或多个服务网络。该客户端设备使用所建立的连接与所述一个或多个服务网络建立一个或多个服务连接,其中,所述一个或多个服务连接是使用各自的第二凭证建立的。该客户端设备建立分别与所述服务连接相对应的一个或多个服务上下文。所述一个或多个服务上下文分别包括不同的安全性上下文。安全性上下文中的每个安全性上下文包括非接入层(NAS)安全性上下文和接入层(AS)安全性上下文,二者与相同的第二凭证相对应。
本公开内容的一个方面提供了一种操作连接性网络的网络节点的方法。根据该方法,该网络节点基于连接性凭证来与客户端设备建立第一连接。该网络节点建立与所述第一连接相对应的连接性上下文。该网络节点接收来自所述客户端设备的针对与一个或多个服务网络建立连接的请求。该网络节点使用所述网络节点作为代理,为所述客户端设备分别建立与所述服务网络的多个第二连接。所述网络节点包括主移动性管理实体(HMME)。
本公开内容的一个方面提供了一种操作服务网络的网络节点的方法。根据该方法,该网络节点接收来自客户端设备的针对建立连接的请求。该网络节点经由连接性网络的网络节点来与所述客户端设备建立所述连接。所述连接性网络的所述网络节点包括主移动性管理实体(HMME)。该网络节点建立与所述连接相对应的服务上下文,其中,所述服务上下文与安全性上下文相关联。
本公开内容的一个方面提供了一种无线通信网络中的客户端设备。该客户端设备包括被存储有计算机可执行代码的存储器、被配置为与连接性网络通信的通信接口、以及***作地耦合到所述存储器和所述通信接口的处理器。所述处理器被所述计算机可执行代码配置为基于第一凭证与连接性网络建立连接。所述处理器还被配置为建立与所述连接相对应的连接性上下文。所述处理器还被配置为识别与所述连接性网络相关联的一个或多个服务网络。所述处理器还被配置为使用所建立的连接来与所述一个或多个服务网络建立一个或多个服务连接。所述一个或多个服务连接是使用各自的第二凭证建立的。所述处理器还被配置为建立分别与所述服务连接相对应的一个或多个服务上下文。所述一个或多个服务上下文分别包括不同的安全性上下文。所述安全性上下文中的每个安全性上下文包括非接入层(NAS)安全性上下文和接入层(AS)安全性上下文,二者与相同的第二凭证相对应。
本公开内容的一个方面提供了一种连接性网络的网络节点。该网络节点包括被存储有计算机可执行代码的存储器、被配置为与客户端设备通信的通信接口、以及***作地耦合到所述存储器和所述通信接口的处理器。所述处理器被所述计算机可执行代码配置为基于连接性凭证来与客户端设备建立第一连接。所述处理器还被配置为建立与所述第一连接相对应的连接性上下文。所述处理器还被配置为接收来自所述客户端设备的针对与一个或多个服务网络建立服务连接的请求。所述处理器还被配置为使用所述网络节点作为代理,为所述客户端设备分别建立与所述服务网络的多个第二连接。所述网络节点包括主移动性管理实体(HMME)。
本公开内容的一个方面提供了一种服务网络的网络节点。所述网络节点包括被存储有计算机可执行代码的存储器、被配置为与客户端设备通信的通信接口、以及***作地耦合到所述存储器和所述通信接口的处理器。所述处理器被所述可执行代码配置为接收来自客户端设备的针对建立连接的请求。所述处理器还被配置为经由连接性网络的网络节点来与所述客户端设备建立所述连接。所述连接性网络的所述网络节点包括主移动性管理实体(HMME)。所述处理器还被配置为建立与所述连接相对应的服务上下文,其中,所述服务上下文与安全性上下文相关联。
在审阅下面的具体实施方式时,将会更全面地理解本发明的这些和其它方面。在结合附图审阅下面的本发明的具体的、示例性的实施例的描述时,对于本领域的普通技术人员来说,本发明的其它方面、特征和实施例将变得显而易见。虽然可以相对于下文的某些实施例和附图来讨论本发明的特征,但是本发明的所有实施例可以包括本文讨论的有利特性中的一个或多个。换句话说,虽然可以将一个或多个实施例讨论为具有某些有利的特征,但是这样的特征中的一个或多个也可以根据本文讨论的本发明的各个实施例来使用。以类似的方式,虽然下文将示例性实施例讨论为设备、***或方法实施例,但是应当理解的是,这样的示例性实施例可以被实现在各种设备、***和方法中。
附图说明
图1是根据本公开内容的方面示出了用于支持与不同的服务上下文相关联的多个服务连接的客户端设备与无线接入网(RAN)之间的单个无线链路的示意图。
图2根据本公开内容的方面示出了被配置为使用单个无线链路来支持多个同时的服务上下文的示例性客户端设备。
图3根据本公开内容的方面示出了用于实现主移动性管理实体(HMME)和/或服务管理实体(SME)的示例性网络节点,其中,HMME和/或SME被配置为在单个无线链路上操作时支持客户端设备同时支持多个服务上下文的同时操作。
图4是根据本公开内容的方面示出了HMME控制平面模型的第一示例的示意图。
图5是根据本公开内容的方面示出了HMME控制平面模型的第二示例的示意图。
图6是根据本公开内容的方面示出了HMME控制平面模型的第三示例的示意图。
图7和8是根据本公开内容的方面示出了使用单个连接性上下文在客户端设备与网络之间执行的用以建立多个单独的服务上下文的第一信令过程的呼叫流程图。
图9是根据本公开内容的方面示出了封装的非接入层(NAS)消息的示意图。
图10和11是根据本公开内容的方面示出了使用单个连接性上下文在客户端设备与网络之间执行的用以建立多个单独的服务上下文的第二信令过程的呼叫流程图。
图12是示出了使用作为代理的HMME的eNB与SME之间的S1AP(S1应用协议)通信的示例的示意图。
图13是示出了使用穿过HMME的安全隧道的eNB与SME之间的S1AP通信的示例的示意图。
图14是根据本公开内容的方面示出了具有扩展的用户平面安全性的HMME控制平面模型的示例的示意图。
图15是根据本公开内容的方面示出了HMME数据平面模型的第一示例的示意图。
图16是根据本公开内容的方面示出了HMME数据平面模型的第二示例的示意图。
图17是根据本公开内容的方面示出了HMME数据平面模型的第三示例的示意图。
图18是根据本公开内容的方面示出了用户平面安全性终止的示例的示意图。
图19和20是根据本公开内容的方面示出了在客户端设备处可操作以利用单个连接来建立多个服务上下文的示例性方法的流程图。
图21和22是根据本公开内容的方面示出了在连接性网络的网络节点处可操作以与客户端建立单个连接用于支持多个服务网络的示例性方法的流程图。
图23是根据本公开内容的方面示出了在服务网络的网络节点处可操作以使用与连接性网络的单个连接来与客户端设备建立多个安全性上下文的示例性方法的流程图。
具体实施方式
下文结合附图阐述的具体实施方式旨在作为各种配置的描述,并不旨在表示在其中可以实践本文描述的概念的仅有配置。具体实施方式包括出于提供对各个概念的透彻理解的目的的具体细节。但是,对于本领域的技术人员来说显而易见的是,可以在没有这些具体细节的情况下实践这些概念。在一些实例中,为了避免使这样的概念模糊,以框图的形式示出了公知的结构和组件。
本公开内容的方面提供了用于在共享单个连接性上下文时实现多个连接性和服务上下文以建立网络连接的安全模型。该网络连接可以包括单个无线电或无线链路,其可以支持使用多个不同的服务上下文和安全性上下文的多个服务连接。单个无线电或无线链路可以包括与单个连接性上下文相对应的一个或多个无线信道、频率或载波。一般地,上下文(例如,连接性上下文、服务上下文、安全性上下文)是描述在两个或多个实体之间建立的连接、服务或安全性的信息集合。在本公开内容的一个方面中,连接性上下文包括演进型分组***(EPS)移动性管理(EMM)上下文、或EMM上下文和EPS会话管理(ESM)上下文二者。
在本公开内容的一个方面中,可以基于单个连接性上下文(例如,EMM上下文)在客户端设备(例如,UE)与无线接入网(RAN)之间建立无线资源控制(RRC)链路或介质访问控制(MAC)链路。在一个示例中,RAN可以是蜂窝RAN或包括Wi-Fi接入点的无线网络,或者蜂窝和Wi-Fi无线单元的组合。在另一个示例中,RAN可以具有在经许可和/或免许可频谱中操作的并且由公共无线资源控制(RRC)或介质访问控制(MAC)机制控制的一个或多个无线接入节点。在各个示例中,RRC可以包括蜂窝RRC、蜂窝RRM(无线资源管理)、介质访问控制(MAC)或用于通过一个或多个链路控制对无线资源的访问(包括针对较高层信令和用户数据的传输的无线资源的建立)的任何其它信令机制。
在建立了单个连接性上下文(例如,EMM上下文)之后,客户端设备可以使用受到不同安全性上下文保护的多个不同的服务上下文来在该单个链路上建立同时的或并发的服务连接。在一个示例中,服务上下文包括ESM上下文。以此方式,共享的单个连接性上下文被用于较低层级的无线链路连接,而两个或更多个服务上下文被用来在该无线链路上例如与服务提供者建立服务连接。本公开内容的方面提供用于保护该服务连接同时共享到RAN的单个链路或连接的安全模型。
支持多个服务连接的单个连接性连接
图1示出了客户端设备102(例如,UE)与无线接入网(RAN)120之间的单个无线链路101,其可以用来将客户端设备102耦合到两个或更多个服务提供者104或供应功能单元104和106,同时支持与不同服务上下文108、110和112相关联的多个服务连接114、116、118。在该特定示例中,在客户端设备102处实现的单个连接性上下文122可以被用来与RAN 120建立无线链路101。无线链路101可以由与不同的服务上下文108、110和112相关联的多个同时的连接来共享。该单个连接性上下文(例如,EMM上下文或EMM/ESM上下文)被用来与网络主移动性管理实体124(HMME)建立连接,所述网络HMME提供:安全性、用于承载管理和数据连接管理的信令、寻呼、移动性等等。对单个连接性上下文122的使用有助于在同一无线链路101上对具有相应服务连接114、116和118的多个同时的或并发的服务上下文108、110、112的使用。服务连接中的每个服务连接可以利用不同的安全性上下文来保护(例如,在图4-6和14-18中示出的)。在一个示例中,如果客户端设备102具有三种类型的订阅(例如,三种服务上下文),则这可以实现用于在客户端设备102与RAN 120之间的单个(同一个)无线链路101上建立三个同时的服务连接114、116和118的能力:每个订阅和/或服务上下文108、110和112对应于一个连接。该单个无线链路可以包括一个或多个无线承载。同时的服务连接114、116和/或118中的任何一个或多个在任何给定时间可以是空闲的或活动的。
主MME 124(HMME)可以在逻辑上靠近RAN 120来实现并且用来管理连接性上下文(例如,EMM上下文或EMM/ESM上下文)的建立,以及基于共享的连接性上下文122来建立无线链路101。主MME 124可以用来认证客户端设备102以建立连接性上下文。例如,主MME 124可以在控制平面上执行与客户端设备102的非接入层(NAS)EPS移动性管理(EMM)以控制客户端设备102的移动性和/或安全性。主MME 124还可以在控制平面上与客户端设备102执行非接入层(NAS)EPS会话管理(ESM)以支持或配置服务连接114、116、118。主MME 124可以与归属授权、认证和计费(H-AAA)服务器144认证客户端设备102以基于与客户端设备102相关联的凭证和订阅信息来确定连接性上下文122是否应当被建立。例如,客户端设备102可以具有用于存储凭证和订阅信息的SIM卡。因此,连接性上下文122用来建立能够由客户端设备102的多个服务连接114、116和118共享的单个无线链路101。
NAS安全性
在本公开内容的一个方面中,修改非接入层(NAS)模型以实现单独的EMM上下文和ESM上下文。例如,能够在没有ESM上下文的情况下利用HMME建立EMM上下文。HMME是可以位于靠近RAN的核心网实体。客户端(例如,UE)可以具有用于建立不同上下文的不同凭证。例如,被用来建立EMM上下文的凭证可以不同于被用来建立ESM上下文的凭证。凭证可以是用于确定客户端是否能够建立所请求的EMM上下文和/或ESM上下文的信息,其可以被存储在客户端和/或网络节点处。例如,连接性凭证被用来建立EMM上下文,而服务凭证被用来建立ESM上下文。不同的服务凭证可以被用来建立不同的ESM上下文。在一个示例中,该NAS模型使用相同的凭证集合在HMME处同时地实现对EMM上下文和一个或多个ESM上下文(例如,图1的连接性上下文122和EMM/ESM上下文126)的建立。
参考图1,一旦建立了连接性上下文122(即,在单个无线链路101上创建到网络的连接),客户端设备102就可以基于相应的凭证集合(例如,不同的服务凭证)与不同的网络实体建立一个或多个ESM上下文,所述凭证集合允许通过连接性提供者中的可区分的连接管理实体的服务区分。连接管理实体的示例是服务管理实体(SME)。
在本公开内容的一个方面中,RAN 120可以被连接到多个服务提供者104和106。例如,每个服务提供者104、106可以包括具有服务管理实体(SME)128和130的连接性提供者以及一个或多个分组数据网络网关(P-GW)和一个或多个服务网关(S-GW)132和134。这些SME128和130中的每个可以维护用于服务连接114和116的各自的ESM上下文136和138,其中服务连接114和116是使用可以由相应的服务AAA(授权、认证和计费)服务器提供的凭证和订阅信息建立的。例如,SME 128和130可以经由各自的服务AAA服务器140和142或通过其支持认证客户端设备102,以基于与服务上下文108和110相关联的并且由AAA服务器140和142提供的凭证来确定服务连接114和/或116是否应当被建立。成功的认证使得该SME能够为客户端设备102建立服务上下文108和110(例如,ESM上下文)。相应的服务上下文(ESM上下文136、138)可以在SME 128和130处建立。
在图1的示例性说明中,客户端设备102已经建立了第一服务上下文108、第二服务上下文110和第三服务上下文112。但是,可以预期的是客户端设备102可以建立任何数量的服务上下文。
在图1中,客户端设备102和多个服务提供者(例如,服务网络104和/或106)可以建立多个服务上下文108、110和112,其中每个服务上下文108、110和112可以与一个或多个凭证集合相对应。凭证集合可以被定义为或者包括使得其它设备(例如,网络设备)能够向服务或连接识别客户端设备102(或者该客户端设备的用户/订户)的信息集合、被用于认证的安全密钥等等。凭证可以被实现为安全性上下文。例如,被存储在客户端设备处的认证信息和被存储在网络侧的相应的信息可以被称为安全性上下文。
在一个示例中,基于多个同时的服务上下文108、110和112的连接114、116和118可以被复用在与RAN 120的单个连接上,例如,通信协议栈的层2连接(例如,LTE层2)。服务上下文108、110和112是基于由客户端设备102用于建立每个服务上下文108、110和112的具体的/不同的标识来区分的。例如,客户端设备102可以被供应有凭证集合,所述凭证集合提供对与主MME的连接性建立(即,至少EMM上下文)的安全访问,所述主MME提供到网络的信令或连接并且实现移动性管理。这样的凭证可以是,例如,开箱即用凭证、运营商凭证或由OEM(原始设备制造商)提供的并且在制造时由制造客户端设备102的实体安装在客户端设备102中的凭证。对OEM凭证的使用使得OEM能够提供该凭证并且托管(host)针对这样的凭证的认证,从而使得客户端设备102能够支持不同的服务提供者,因为服务提供者凭证被用来仅提供ESM上下文而不是EMM上下文或连接性上下文。随着OEM凭证用于第一(EMM)上下文(例如,连接性上下文)的建立,有可能建立提供信令,移动性管理、安全性等等的EMM(连接性)上下文而不给建立这样的连接性带来收费或费用,因为没有生成关于该上下文的数据业务或消息。
服务相关的凭证被用来与SME(服务管理实体)建立一个或多个ESM上下文(例如,服务上下文)。在各种配置中,SME可以物理地与HMME分开,该SME(或SME功能的软件版本)可以共置在或者托管在HMME处或者其组合,其中一些SME可以被HMME共置/托管,而其它SME与HMME分开。在一些示例中,UE可以利用连接性凭证来建立ESM上下文。
AS安全性
接入层(AS)是经由RAN 120处理客户端设备102(例如,UE)与核心网(CN)之间的活动的功能层和协议集合。例如,CN可以包括HMME 124、一个或多个SME 128、130、一个或多个S-GW 132、134和一个或多个P-GW132、134。在AS中,可以在CN与客户端设备102之间建立多个无线接入承载(RAB)。在本公开内容的一个方面中,每个RAB可以与不同的ESM上下文相关联,并且每个ESM上下文可以由虚拟ESM(VESM)标签(或标识符)来确定。在本公开内容的一个方面中,多个RAB与同一EMM上下文相关联。在该情况下,RAN 120(例如,演进型节点B或eNB)无法看见多个ESM上下文。也就是说,RAN 120可能不能在ESM上下文之间区分数据业务。eNB具有RAB集合,例如,一些对应于第一ESM上下文,以及一些对应于第二ESM上下文,并且HMME具有RAB到具体ESM上下文的映射。
在图1中,RAN 120被描述为存在于接入层内。但是,RAN 120也提供NAS功能。在由接入层提供的服务之中是NAS实体(例如,客户端设备和核心网节点)之间的NAS消息的传输。NAS协议支持客户端设备的移动性以及用于建立和维护客户端设备与核心网之间的连接的过程。例如,NAS协议可以被用来传输客户端设备102与图1中描绘的服务提供者A的核心网(CN)和/或服务提供者B的CN之间的NAS消息。虽然接入层(AS)传输NAS信令,但是NAS信令并不终止于接入层处。在本公开内容的一个方面中,客户端设备102与RAN 120之间的单个无线链路101(例如,RRC链路)可以被逻辑地或者虚拟地分成多个服务连接,例如,服务连接114和116。所述服务连接是与它们相应的服务上下文(例如,ESM上下文136和138)相关联地建立的。
设备标识符
各种客户端设备标识符可以被用来在AS和/或NAS中识别客户端设备102(例如,UE),以便经由单个链路实现多个服务连接。一些非限制性示例包括国际移动用户标识(IMSI)、全球唯一临时UE标识(GUTI)、用户服务标识(SCSI)、临时SCSI(T-SCSI)、全球唯一临时会话标识(GUTSI)和临时传输标识符(TTI)。例如,在连接性上下文122中,客户端设备102的GUTI可以被映射到在客户端设备中活动的每个服务上下文(例如,服务上下文108、110和112)的GUTSI。因此,基于服务上下文到不同服务提供者的连接可以由HMME 124使用适当的客户端设备标识符来识别。
在本公开内容的一个方面中,SCSI可以是客户端设备(UE)提供给SME用于认证的永久性标识(类似于典型的UE-MME认证中的IMSI)。该SCSI可以识别具体的UE订阅和相关凭证。该SCSI可以被SME用来识别AAA或认证/授权服务器,所述AAA或认证/授权服务器被用来取回相应的客户端订阅简档并且认证该客户端设备。
在本公开内容的一个方面中,T-SCSI可以是临时标识符,所述临时标识符可以被分配以在客户端设备与SME之间的后续信令中识别该客户端设备(例如,UE)。在一些示例中,该T-SCSI可能不总是被使用和/或可能不总是被分配。如果SME向该客户端设备提供T-SCSI,则该客户端设备可以将其用在客户端设备与SME之间的后续信令中。
在本公开内容的一个方面中,在成功的认证时,GUTSI可以由SME分配给客户端设备。该GUTSI可以由该客户端设备用在该客户端设备与相同SME之间交换的所有信令或数据中。在一个示例中,该客户端设备在NAS载荷(其包含该客户端设备与SME之间的实际消息)之外提供所分配的GUTSI,以识别在该客户端设备与HMME之间传输的NAS载荷属于哪个客户端设备。在另一个示例中,该客户端设备可以在NAS载荷之内提供该GUTSI。HMME可以使用该GUTSI区分和/或识别从该客户端设备发送的信令被指向哪个SME。例如,当UE-SME NAS消息被封装在该客户端设备(例如,UE)与HMME之间的NAS消息中时,该客户端设备提供与该UE-SME NAS消息相关联的GUTSI,以向HMME指示要向哪个SME发送该NAS消息以及该UE-SME NAS消息与哪个客户端设备相对应。
在本公开内容的一个方面中,该临时传输标识符(TTI)可以被SME分配用于该客户端设备与SME之间的服务上下文,以便在HMME中识别客户端设备的ESM上下文与相应的SME之间的关系。在接收到包含该TTI的信令时,HMME使用该TTI来识别相应的客户端设备或SME,并且将该信令转发给所识别的客户端设备或SME。
在本公开内容的一个方面中,该客户端设备可以在针对建立服务连接或服务上下文的请求期间,提供由该客户端设备用来识别正在针对其请求服务上下文建立的网络或服务的标识符。这可以是接入点名称(APN)或该服务的任何适当的标识符。上述设备标识符在本质上是说明性的而非限制性的。在本公开内容的其它方面中,其它适当的设备标识符可以被用来有助于客户端设备与HMME/SME之间的通信。
示例性客户端设备
图2示出了被配置为使用单个无线链路来支持多个同时的服务上下文或连接的示例性客户端设备202。客户端设备202可以是与图1、4-8、10、11和14-18中描述的UE或客户端设备中的任何UE或客户端设备相同的UE或客户端设备。客户端设备202可以包括***作地耦合至彼此的无线网络通信接口204、一个或多个处理器206和存储器/存储208。客户端设备202的各种功能可以被实现在软件、固件、硬件或其任何组合中。
无线网络通信接口204可以用来使用有助于建立到其它设备/网络/服务的无线链路或连接的一种或多种无线接入技术,经由一个或多个无线接入网将客户端设备202连接到一个或多个实体或网络。在一个示例中,无线网络通信接口204可以被配置为有助于客户端设备202与其它无线实体或网络的无线通信。无线网络通信接口204可以包括一个或多个接收机模块/电路/功能单元226、一个或多个发射机模块/电路/功能单元228和/或一个或多个天线模块/电路/功能单元230。接收机226、发射机228和天线230可以***作地耦合至彼此。一个或多个天线230可以有助于与一个或多个无线设备、网络和/或服务的无线通信。
处理器206可以***作地耦合到无线网络通信接口204。处理器206可以包括无线链路建立模块/电路/功能单元210、服务上下文建立模块/电路/功能单元212和用户平面(UP)安全性上下文建立模块/电路/功能单元213。
处理器206可以被配置用于处理,包括对可以被存储在存储器/存储设备208上的计算机可执行代码或程序编制的执行。存储器/存储设备208可以包括无线链路建立指令216、服务上下文建立指令218和安全性上下文建立指令219。在一些示例中,该存储器/存储设备208还可以存储连接性上下文232、一个或多个服务上下文234、一个或多个安全性上下文235和被处理器206使用的其它数据。
客户端设备202可以被用来实现图7-11和19-20中示出的功能和/或过程中的一个或多个。
示例性网络节点
图3示出了被配置为实现用于支持客户端设备在单个无线链路上操作的HMME和/或SME的示例性网络节点302,该单个无线链路支持多个服务上下文的同时的或并发的操作。网络节点302可以是与图1、4-8和10-18中描述的网络节点或实体中的任何网络节点或实体相同的网络节点或实体。网络节点302可以包括可以***作地耦合至彼此的网络通信接口304、一个或多个处理器306和存储器/存储308。
网络通信接口304可以用来使用有助于在客户端设备与网络节点之间建立链路的一种或多种有线或无线接入技术,将网络节点302耦合到一个或多个网络或客户端设备。网络通信接口304可以包括至少一个接收机模块/电路/功能单元326和/或至少一个发射机模块/电路/功能单元328。网络通信接口304还可以包括***作地耦合到所述至少一个接收机326和/或至少一个发射机328的一个或多个天线模块/电路/功能单元330。
处理器306可以***作地耦合到网络通信接口304。处理器306可以包括无线链路建立模块/电路/功能单元310和HMME模块/电路/功能单元312。
处理电路306可以被配置用于处理,包括对可以被存储在存储器/存储308上的指令的执行。如本文使用的,无论被称为软件、固件、中间件、微代码、硬件描述语言或者其它术语,术语“指令”可以被广泛地解释为包括但不限于指令集合、代码、代码段、程序代码、程序、子程序、软件模块、应用、软件应用、软件包、例程、子例程、对象、可执行文件、执行的线程、过程、函数等等。
存储器/存储308可以***作地耦合到处理器306,并且还可以***作地耦合到网络通信接口304。存储器/存储308可以包括无线链路建立指令316和HMME/SME指令318。
在一些示例中,存储器/存储308可以存储连接性上下文(或凭证)332、服务上下文(或凭证)334和/或安全性上下文335。另外,在一些实现方式中,处理器306可以在具有或不具有HMMM模块312的情况下实现服务管理实体(SME)模块/电路/功能单元314。
网络节点302可以实现图7、8、10-13和22-22中示出的功能和/或过程中的一个或多个。在一个特定的示例中,网络节点302可以实现关于图20描述的过程中的一个或多个。
HMME控制平面模型
在各个示例中,客户端设备可以基于HMME处的单个EMM上下文与接入网(例如,RAN)建立连接或连接性。一旦连接性被建立,该客户端设备就与不同SME建立对应于不同的凭证集合的一个或多个ESM上下文。图4-6是根据本公开内容的一些方面示出了用于有助于EMM上下文和ESM上下文的建立的HMME控制平面模型的一些示例的图。
在图4中示出的第一HMME控制平面模型中,客户端设备402(例如,UE)通过使用例如连接性凭证和归属授权、认证和计费(AAA)服务器407相互认证,与HMME/SME 406建立EMM上下文404(连接性上下文)。单个EMM上下文404有助于客户端设备402与RAN 403(例如,eNB)之间的单个无线链路的建立。一旦EMM上下文404已经被建立,客户端设备402就可以使用多个服务凭证和AAA服务器407、413、415与多个SME(HMME/SME 406、SME 412、SME 414)建立一个或多个ESM上下文408(ESM上下文1、2、3)。客户端设备402与HMME 406之间的NAS消息(针对HMME功能)可以基于被存储在HMME 406中的默认的连接性安全性上下文(例如,NAS安全性上下文)来进行加密和完整性保护。客户端设备402与SME之间的NAS消息是使用分别被存储在SME中的不同的安全性上下文410(NAS安全性上下文)来加密和完整性保护的。客户端设备402和每个SME使用相应的服务凭证来相互认证。在图4的该示例中,第一ESM上下文(ESM上下文1)是使用第一安全性上下文(安全性上下文1)来保护的,所述第一安全性上下文被存储在客户端设备402和第一SME 406中。第二ESM上下文(ESM上下文2)是使用第二安全性上下文(安全性上下文2)来保护的,所述第二安全性上下文被存储在客户端设备402和第二SME 412中。第三ESM上下文(ESM上下文3)是使用第三安全性上下文(安全性上下文3)来保护的,所述第三安全性上下文被存储在客户端设备402和第三SME 414中。
HMME/SME 406被配置为选择第一服务/分组数据网关(S/P GW)418,所述第一S/PGW 418被连接到第一服务网络420。类似地,第二SME 412被配置为选择第二S/P GW 422,所述第二S/P GW 422被连接到第二服务网络424。同样地,第三SME 414被配置为选择第三S/PGW 426,所述第三S/P GW 426被连接到第三服务网络428。所述第一服务网络420、第二服务网络424和第三服务网络428可以由相同的服务提供者或不同的服务提供者运营。在一些示例中,服务网关(S-GW)的选择可以由HMME 406来执行。在这样的情况下,HMME 406,例如在服务请求期间向该SME通知所选择的S-GW。
服务网络可以是至少部分地在连接性网络(例如,包括单个无线链路430和RAN403)中建立的虚拟网络,并且所述一个或多个服务网络与由一个或多个服务提供者(例如,服务网络1、2和3)提供的具体的或不同的服务相关联。在一个特定的示例中,第一虚拟网络包括无线链路430、RAN 403、第一HMME/SME 406、第一S/P GW 418和第一服务网络420。在另一个示例中,第二虚拟网络包括无线链路430、RAN 403、HMME 406、第二SME 412、第二S/PGW 422和第二服务网络424。在另一个示例中,第三虚拟网络包括无线链路430、RAN 403、HMME 406、第三SME 414、第三S/P GW 426和第三服务网络428。
图5根据本公开内容的方面示出了第二HMME控制平面模型。该第一HMME控制平面模型和第二HMME控制平面模型是相似的,并且因此为了简洁可以省略冗余的描述。客户端设备402与HMME 406建立EMM上下文404。一旦EMM上下文404已经被建立,客户端设备402就可以使用多个服务凭证和AAA服务器407、413、415与多个SME(HMME/SME 406、SME 412、SME414)建立一个或多个ESM上下文408(ESM上下文1、2、3)。客户端设备402和每个SME 406、412、414可以使用相应的服务凭证来相互认证。例如,客户端设备402可以使用针对SME的三个不同的凭证。在图5的第二HMME控制平面模型中,HMME 406可以直接选择并且控制该服务连接的服务/分组数据网关(例如,S/P GW 1、2、3)。这不同于图4的第一HMME控制平面模型,在该模型中SME选择该服务/分组数据网关。在本公开内容的另一个方面中,SME(例如,SME412和SME 414)可以选择S/P GW并且将该选择转发给HMME 406,所述HMME 406选择所选择的S/P GW。
图6根据本公开内容的方面示出了第三HMME控制平面模型。该第一HMME控制平面模型和第三HMME控制平面模型是相似的,并且因此为了简洁可以省略冗余的描述。客户端设备402与HMM 406建立EMM上下文404。一旦EMM上下文404已经被建立,客户端设备402就可以使用多个服务凭证和AAA服务器407、413、415与多个SME(HMME/SME 406、SME 412、SME414)建立一个或多个ESM上下文408(ESM上下文1、2、3)。客户端设备402和每个SME可以使用服务凭证来相互认证。例如,客户端设备402可以具有针对服务连接的不同的服务凭证。在第三HMME控制平面模型中,HMME 406可以基于ESM上下文408(例如,ESM上下文1、2、3)选择服务网关(S-GW)431。然后,S-GW 431基于ESM上下文408选择分组数据网关(P-GW 432、434、436)。这不同于图4的第一HMME控制平面模型,在该模型中SME选择服务和分组数据网关。在一些示例中,SME(例如,SME 412和SME 414)可以选择分组数据网关(例如,P-GW 1、2、3)并且可以经由HMME 406将该选择转发给S-GW 431。然后,S-GW 431选择相应的分组数据网关。在图4-6的HMME控制平面模型中,所述不同的服务连接可以利用不同的安全性上下文410(例如,安全性上下文1、2、3)来保护。
图7-8是根据本公开内容的方面示出了用于使用单个连接性上下文建立多个服务上下文的过程的呼叫流程图500。在一个示例中,该过程可以由UE(客户端设备)502、eNB504、HMME 506、SME 508、服务网关(S-GW)510、第一分组数据网关(P-GW)512、第二P-GW514、第一归属用户服务器(HSS)516和第二HSS 518来执行。如呼叫流程图500中示出的,使用单个连接性上下文(例如,EMM上下文)在UE 502与网络(例如,eNB 504)之间建立无线链路或连接,然后其被多个服务上下文(例如,SME上下文)共享。UE 502、eNB 504、HMME 506、SME 508、S-GW 510、第一P-GW 512、第二P-GW 514、第一HSS 516和第二HSS 518可以是与图1-6和14-18中的任何一个中示出的那些相同的设备。
UE 502尝试通过向eNB 504发送附着请求520来附着到网络,eNB 504在初始UE消息522中将该请求发送或转发给HMME 506。该初始UE消息可以包括UE ID,使得HMME 506可以识别客户端设备502。该UE ID可以是上文描述的设备标识符中的任何设备标识符。HMME506确定UE 502是否具有针对所请求的连接的恰当的凭证。例如,HMME 506可以通过与第一HSS 516执行演进型分组***(EPS)认证和密钥协商(AKA)过程524来检查UE 502是否被允许附着。例如,第一HSS 516可以通过生成认证向量并且将其发送给HMME 506,然后HMME506代表第一HSS 516执行与UE 502的认证来获得MME基本密钥。然后,HMME 506通过交换NAS安全性模式命令(SMC)消息526与UE 502执行NAS安全性建立过程。如果NAS SMC被完成,则UE 502与HMME 506之间的NAS SMC消息可以例如基于被存储在HMME 506中的NAS安全性上下文(如果被建立)来进行加密和完整性保护。接下来,HMME 506基于S-GW选择功能来选择S-GW 510并且为UE 502的默认承载分配EPS承载标识。然后,HMME 506向所选择的S-GW510发送创建会话请求528。作为响应,S-GW 510在其EPS承载表中创建新的条目并且向第一P-GW 512发送创建会话请求消息529。
响应于创建会话请求消息529,第一P-GW 512可以在其EPS承载表中创建新的条目并且生成收费ID。然后,第一P-GW 512向S-GW 510和HMME 506发送创建会话响应消息530。接下来,HMME 506向eNB 504提供包含附着接受消息的初始上下文建立请求消息532。接下来,eNB 504向UE 502发送RRC连接重新配置消息534,其包括EPS无线承载标识和附着接受消息。作为响应,UE 502向eNB 504发送RRC连接重新配置完成消息536。作为响应,eNB 504向HMME 506发送初始建立上下文响应消息538。
使用上述过程,UE 502能够与HMME 506建立EMM上下文或连接性。例如,该过程可以与图4中示出的第一HMME控制平面模型一起使用。在该EMM上下文被建立之后,UE 502可以使用下列关于图8描述的过程建立一个或多个SME上下文。
参考图8,为了建立服务的ESM上下文或服务连接,UE 502向HMME 506发送包括服务标识符(服务ID)的服务注册消息540。在接收到该服务注册消息540时,HMME 506基于由UE 502提供的服务ID来选择SME(例如,SME 508)并且向所选择的SME 508发送初始UE消息542。初始UE消息542可以包括如上所述的客户端设备标识符(例如,SCSI),使得SME 508可以识别UE 502。SME 508可以通过与第二HSS 518执行EPS-AKA过程544来检查UE 502是否具有服务的订阅。例如,第二HSS 518可以通过生成认证向量并且将其发送给SME 508,然后SME 508代表第二HSS 518与UE 502执行认证,来获得密钥。然后SME 508通过交换NAS安全性模式命令(SMC)消息546与UE 502执行NAS安全性建立过程。
UE 502与SME 508之间的NAS消息可以使用ESM安全性上下文来保护。例如,UE 502可以使用与SME 508建立的ESM安全性上下文来加密并且保护NAS消息。针对SME 508的NAS消息被封装在针对HMME 506的外部NAS消息中(即,封装的NAS中的NAS消息)。例如,该外部NAS消息是使用UE 502与HMME 506之间建立的安全性上下文来进行加密和完整性保护的。在一个示例中,参考图9,针对HMME的封装的NAS中的NAS消息600可以包括SME ID 602,用于使得该HMME能够识别内部NAS消息604被转发到的SME 508,以及UE ID 606(其可以由该SME来指派)用于使得SME 508能够识别UE 502。在一个示例中,UE ID 606可以包括已经被SME分配的GUTI或GUTSI(或其它适当的标识符)。
类似地,SME 508可以使用ESM安全性上下文来对NAS消息进行加密和保护。然后,该NAS消息(例如,内部NAS消息604)被封装在HMME 506的外部NAS消息(或可以被定义的任何其它适当的容器)中。在一个示例中,该外部NAS消息可以是不受保护的,但是经由安全的信道被传输给HMME 506。在一个示例中,HMME 506和SME 508可以为安全的通信建立IP安全性(IPsec)信道。该外部NAS消息可以包括UE ID,用于使得HMME 506能够将该UE ID映射到S1-AP UE ID。在另一个示例中,该外部NAS消息可以使用HMME 506的EMM安全性上下文来进行加密和完整性保护。
然后,SME 508向S-GW 510发送创建会话请求548。作为响应,S-GW 510在其EPS承载表中创建新的条目,并且向第二P-GW 514发送创建会话请求消息。响应于该创建会话请求消息,第二P-GW 514可以在其EPS承载表中创建新的条目并且生成收费ID。然后,第二P-GW 514向S-GW 510和SME 508发送创建会话响应消息550。接下来,SME 508向HMME 506提供包含附着接受消息的初始上下文建立请求消息552。HMME 506将初始上下文建立请求消息554转发给eNB 504。接下来,eNB 504向UE 502发送包括该EPS无线承载标识和附着接受消息的RRC连接重新配置消息556。作为响应,UE 502向eNB 504发送RRC连接重新配置完成消息558。接下来,eNB 504向HMME 506发送初始建立上下文响应消息560,HMME 506将该初始建立上下文响应消息562转发给SME 508。利用上文描述的过程,与SME 508建立SME上下文。
此外,AS安全性模式命令(SMC)消息可以被用来在UE 502与eNB 504之间建立AS安全性上下文。基于AS安全性上下文(例如,图15-17中示出的AS安全性上下文),UE 502和eNB504能够保护空中业务。虽然单个无线链路(例如,图1的单个链路101)被用于多个服务连接,但是每个服务连接可以利于基于相应的AS安全性上下文的单独的密钥来保护,并且由相应的虚拟ESM(VESM)标签来区分。
图10-11是根据本公开内容的方面示出了用于使用单个连接性上下文来建立多个服务上下文的过程的呼叫流程图700。在一个示例中,该过程可以由UE(客户端设备)702、eNB 704、HMME 706、SME 708、服务网关(S-GW)710、第一分组数据网关(P-GW)712、第二分组数据网关P-GW 714、第一归属用户服务器(HSS)716和第二HSS 718来执行,以使用UE 702处的单个连接性上下文(例如,EMM上下文)来建立无线链路或连接,然后其被多个服务上下文(例如,SME上下文)或服务连接共享。客户端设备(UE)702、eNB 704、HMME 706、SME 708、S-GW 710、第一P-GW 712、第二P-GW 714、第一HSS 716和第二HSS 718可以是与图1、4-6和14-18中的任何一个中示出的那些相同的设备。
流程图700基本上类似于图7-8的流程图500。因此,为了简洁可以省略冗余的描述。例如,图10中示出的信令过程在UE 702与HMME 706之间建立EMM上下文,并且基本上是与图7中示出的那些相同的过程。
参考图11,为了建立服务的ESM上下文或服务连接,UE 702向HMME 706发送包括服务标识符(服务ID)的服务注册消息720。在接收到服务注册消息720时,HMME 706基于由UE702提供的服务ID选择SME(例如,SME 708)并且向所选择的SME 708发送初始UE消息722。初始UE消息722可以包括如上所述的客户端设备标识符(例如,SCSI),使得SME 708可以识别UE 702。SME 708可以通过与第二HSS 718执行EPS-AKA过程724来检查UE 702是否具有服务的订阅。例如,第二HSS 718可以通过生成认证向量并且将其发送给SME 708,然后SME 708代表第二HSS 718与UE 702执行认证,来获得密钥。然后SME 708通过交换NAS安全性模式命令(SMC)消息726与UE 702执行NAS安全性建立过程。
UE 702与SME 708之间的NAS消息可以使用ESM安全性上下文来保护。例如,UE 702可以使用与SME 708建立的ESM安全性上下文来对NAS消息进行加密和保护。例如,针对SME708的NAS消息被封装在针对HMME 706的外部NAS消息中(即,封装的NAS中的NAS消息)。该外部NAS消息是使用UE 702与HMME 706之间建立的安全性上下文来进行加密和完整性保护的。针对HMME 706的封装的NAS中的NAS消息可以包括SME ID,用于使得HMME 706能够识别内部NAS消息被转发到的SME 708,以及UE ID(其可以由该SME来指派)用于使得SME 708能够识别UE 702。在一个示例中,该UE ID可以包括已经由SME分配的GUTI或GUTSI(或其它适当的标识符)。
类似地,SME 708可以使用ESM安全性上下文来对NAS消息进行加密和保护。然后,该NAS消息(内部NAS消息)被封装在针对HMME 706的外部NAS消息(或可以被定义的任何其它适当的容器)中。在一个示例中,该外部NAS消息可以是不受保护的,但是经由安全的信道被传输给HMME 706。在一个示例中,HMME 706和SME 708可以为安全的通信建立IP安全性(IPsec)信道。该外部NAS消息可以包括UE ID,用于使得HMME 706能够将该UE ID映射到S1-AP UE ID。在另一个示例中,该外部NAS消息可以使用HMME 706的EMM安全性上下文来进行加密和完整性保护。
UE 702可以使用下列描述的过程来建立一个或多个SME上下文。例如,参考图11,SME 708经由HMME 706向S-GW 710发送创建会话请求728。作为响应,S-GW 710在其EPS承载表中创建新的条目,并且向第二P-GW 714发送创建会话请求消息728。响应于该创建会话请求消息,第二P-GW 714可以在其EPS承载表中创建新的条目并且生成收费ID。然后,第二P-GW 714向S-GW 710发送创建会话响应消息730,该S-GW 710经由HMME 706将该消息转发给SME 708。接下来,HMME 706向eNB 704发送初始上下文建立请求消息732。接下来,eNB 704向UE 702发送包括EPS无线承载标识和附着接受消息的RRC连接重新配置消息734。作为响应,UE 702向eNB 704发送RRC连接重新配置完成消息736。接下来,eNB 704向HMME 706发送初始上下文建立响应消息738,该HMME 706将该初始上下文建立响应消息转发给SME 708。
使用上述过程,UE 702能够与该SME(例如,SME 708)建立一个或多个ESM上下文或服务连接。例如,该过程可以被用在图5和6中示出的第二HMME控制平面模型和第三HMME控制平面模型中。
在本公开内容的方面中,eNB与HMME/SME之间的通信可以使用如3GPP规范中定义的S1AP(S1应用协议)。S1AP的示例在3GPP TS 36.413—演进型通用陆地无线接入网(E-UTRAN);S1应用协议(S1AP)第12版中定义。S1AP消息可以使用NDS/IP(网络域安全性/互联网协议)来保护。NDS/IP使用IP安全性(IPSec)来实现安全域服务。例如,IPSec隧道可以被用来保护该eNB与HMME/SME之间的消息。
在本公开内容的方面中,eNB与HMME之间的消息可以使用如在LTE标准(例如,3GPPTS 36.413)中定义的S1AP。参考图12,eNB 802与SME 804之间的消息可以使用S1AP来传送,并且HMME 806可以被实现为eNB与SME之间的代理。eNB 802、SME 804和HMME 806可以是与图4-8、10、11和14-18中描述的那些相同的设备。在该示例中,HMME 806和SME 804可以使用单独的UE ID。HMME 806将HMME UE ID转化为SME UE ID,或者反之亦然。在eNB 802与HMME806之间创建IPSec隧道,并且在HMME 806与SME 804之间创建另一个IPSec隧道。该IPSec隧道可以受到NDS/IP的保护。但是,本公开内容不被限制到用于eNB与HMME/SME之间的通信的S1AP。在本公开内容的一些方面中,单独的通信协议可以被用在eNB与SME之间、HMME与SME之间、eNB与HMME之间或其组合。
参考图13,eNB 902与SME 904之间的S1AP可以通过隧道穿越HMME 906来实现。eNB902、SME 904和HMME 906可以是与图4-8、10、11和14-18中描述的那些相同的设备。在该示例中,在注册或服务请求期间,HMME 906向SME 904提供eNB ID和地址。然后,eNB 902和SME904可以基于预先安装的凭证(例如,证书)来建立安全通道908。在一个特定的示例中,安全通道908可以是基于IPSec隧道、TLS(传输层安全性)或DTLS(数据报传输层安全性)的。在该情况下,eNB 902与SME 904之间的S1AP消息使用透明容器隧道穿越HMME 906。
除了关于图4-6描述的控制平面安全性,可以在用户平面处实现额外的安全性以使客户端设备与SME之间的通信安全。图14是根据本公开内容的方面示出了具有扩展的用户平面安全性的HMME控制平面模型的图。扩展的用户平面安全性可以被实现在图4-6中示出的所有三个HMME控制平面模型中,或者其它适当的HMME控制平面模型中。例如,客户端设备1002(例如,UE)可以使用多个用户平面(UP)安全性上下文1004来执行与多个分组数据网关(P-GW)的额外的认证。除了由ESM上下文1006和安全性上下文1008提供的那些之外,UP安全性上下文1004允许服务提供者向客户端设备1002与该服务提供者的网络之间的消息或通信提供额外的安全层。此外,UP安全性可以由服务提供者来控制和维护,使得消息或通信的信息和内容可以免遭该连接性提供者的网络(例如,RAN 1010和HMME)的破坏。
在本公开内容的方面中,第一P-GW 1014、第二P-GW 1016和第三P-GW 1018分别提供到第一服务网络1020、第二服务网络1022和第三服务网络1024的连接。第一P-GW 1014可以通过基于相应的UP安全性上下文(例如,UP安全性1)与第一HSS/AAA 1026执行认证过程来检查客户端设备1002是否具有针对服务的有效订阅或凭证。第二P-GW 1016可以通过基于相应的UP安全性上下文(例如,UP安全性2)与第二HSS/AAA 1028执行认证过程来检查客户端设备1002是否具有针对服务的有效订阅或凭证。类似地,第三P-GW 1018可以通过基于相应的UP安全性上下文(例如,UP安全性3)与第三HSS/AAA 1030执行认证过程来检查客户端设备1002是否具有针对服务的有效订阅或凭证。
图15-17是根据本公开内容的方面示出了使用接入层安全性上下文的一些示例性HMME用户平面模型的图。在这些示例中,每一客户端设备使用一个EMM上下文来与接入网(RAN)建立单个网络连接或链路,同时多个ESM上下文和接入层(AS)安全性上下文被用于与不同的服务提供者(服务网络)建立服务连接。该EMM上下文和ESM上下文可以使用如上关于图7-11描述的过程来建立。该AS安全性上下文可以被用来使客户端设备与RAN之间的用户平面通信安全并且对其进行保护。这些HMME数据平面模型可以与上文在图4-6中描述的HMME控制平面模型或其它适当的控制平面模型一起实现。
图15示出了可以与图4和5中示出的HMME控制平面模型或其它适当的HMME控制平面模型一起实现的第一HMME数据平面模型1100。在图15中示出的示例中,针对客户端设备1102与RAN 1104之间的UE到RAN数据平面业务,客户端设备1102(例如,UE)根据与去往某个服务网络的消息相对应的ESM上下文1108确定AS安全性上下文1106。在该示例中,三个AS安全性上下文1106是从三个ESM上下文1108获得的。客户端设备1102已经与第一服务网络1110建立了第一ESM上下文(ESM上下文1)、与第二服务网络1112建立了第二ESM上下文(ESM上下文2)以及与第三服务网络1114建立了第三ESM上下文(ESM上下文3)。第一HMME数据平面模型1100针对不同的P-GW 1118使用单独的S-GW 1116。
对于控制消息(例如,RRC消息),客户端设备1102可以基于AS安全性上下文对该消息进行加密和完整性保护,并且向该消息添加VESM标签。对于数据消息,客户端设备1102可以基于AS安全性上下文对该数据消息进行加密并且向该消息添加VESM标签。
对于RAN到UE的数据平面业务,RAN节点1104(例如,eNB)为要被发送给UE或客户端设备1102的消息确定AS安全性上下文。在一个示例中,对于控制消息(例如,RRC消息),可以使用从HMME的ESM安全性上下文获得的默认的AS安全性上下文(在图15中未示出)。在RAN1104(例如,eNB)处,会话上下文1120(例如,会话上下文1、2、3)提供被用来将来自客户端1102(例如,UE)的分组转发给S-GW 1116或者反之亦然的信息。例如,会话上下文可以包括承载ID、QoS信息、隧道端点ID等等。S-GW 1116处的会话上下文类似于RAN 104的那些会话上下文。例如,这些上下文可以提供被用来将从P-GW 1118接收的针对客户端1102的分组转发给RAN 1104(例如,eNB)并且反之亦然的信息。
对于控制消息(例如,RRC消息),RAN节点1104可以基于AS安全性上下文对该消息进行加密和完整性保护,并且向该消息添加VESM标签。对于数据消息,RAN节点1104可以基于AS安全性上下文对该消息进行加密并且向该消息添加VESM标签。在一个示例中,可以根据TEID(唯一隧道端点标识符)和S-GW IP地址来确定VESM标签。在接收到来自RAN节点1104的消息时,客户端设备1102可以确定相应的AS安全性上下文以基于该VESM标签来验证该消息。
图16示出了可以与图6中示出的HMME控制平面模型或其它适当的HMME控制平面模型一起实现的第二HMME数据平面模型1200。在第二HMME数据平面模型1200中,对于客户端设备1202与RAN 1204之间的UE到RAN的数据平面业务,客户端设备1202(例如,UE)确定与去往某个服务网络的消息相对应的AS安全性上下文1206。在该示例中,从ESM上下文1208获得三个AS安全性上下文1206。客户端设备1202已经与第一服务网络1210建立了第一ESM上下文(ESM上下文1)、与第二服务网络1212建立了第二ESM上下文(ESM上下文2)以及与第三服务网络1214建立了第三ESM上下文(ESM上下文3)。第二HMME数据平面模型1200针对不同的P-GW 1218使用公共的S-GW 1216。第二HMME数据平面模型1200类似于第一HMME数据平面模型1100,并且为了简洁将不重复对第二HMME数据平面模型1200的冗余的描述。
图17示出了可以与图6中示出的HMME控制平面模型或其它适当的HMME控制平面模型一起实现的第三HMME数据平面模型1300。客户端设备1302可能已经建立了不同的ESM上下文1308,例如,分别针对第一服务网络1310、第二服务网络1312和第三服务网络1314的第一ESM上下文、第二ESM上下文和第三ESM上下文。在该特定示例中,对于UE到RAN的数据平面业务,客户端设备1302(例如,UE)可以使用从EMM安全性上下文1309获得的默认的AS安全性上下文1306。在另一个示例中,从ESM安全性上下文1308获得的AS安全性上下文可以被设置为默认的AS安全性上下文。对于控制消息(例如,RRC消息),客户端设备1302可以基于AS安全性上下文对该消息进行加密和完整性保护并且向该控制消息添加VESM标签。对于数据消息,客户端设备1302可以基于AS安全性上下文对该数据消息进行加密并且向该消息添加VESM标签。
在RAN 1304处,会话上下文1320(例如,会话上下文1、2、3)提供被用来将来自客户端1302(例如,UE)的分组转发给S-GW 1316或者反之亦然的信息。例如,会话上下文可以包括承载ID、QoS信息、隧道端点ID等等。S-GW 1316处的会话上下文类似于RAN 1304的那些会话上下文。例如,这些上下文可以包括关于如何将从P-GW 1318接收的针对客户端1302的分组转发给RAN 1304(例如,eNB)和反之亦然的信息。
在上文描述的数据平面模型中,在RAN处,UE上下文包括关于客户端(例如,UE)的信息,例如包括会话上下文、AS安全性上下文和关于该客户端的其它状态。类似地,在HMME处,UE上下文包括关于该客户端的信息,其包括EMM/ESM上下文、安全性上下文和其它状态,例如,IMSI、TMSI等等。
对于RAN到UE的数据平面业务,RAN节点1304(例如,eNB)可以使用由HMME提供的默认的AS安全性上下文(在图17中未示出)。对于控制消息(例如,RRC消息),RAN节点1304(例如,eNB)可以基于AS安全性对该消息进行加密和完整性保护并且向该消息添加VESM标签。对于数据消息,RAN节点1304可以基于AS安全性上下文对该消息进行加密并且向该消息添加VESM标签。例如,该VESM标签可以根据TEID和S-GW IP地址确定。
图18是根据本公开内容的方面示出了示例性用户平面安全性终止模型1400的图。类似于图15-17中描述的那些的客户端设备1402具有与RAN1404建立的单个ESM上下文。RAN1404被连接到三个S-GW 1406,所述三个S-GW 1406被分别连接到不同的分组数据网关(P-GW)1408。P-GW 1408中的每个P-GW提供到相应的服务网络1410的接入。该EMM上下文和多个ESM上下文可以使用上文关于图7-11描述的过程来建立。在该示例中,用户平面安全性(UP安全性)终止在分组数据网关1408(P-GW 1、P-GW 2、P-GW 3)处。该用户平面安全性终止模型可以被用在图15-17中示出的数据平面模型中。UP安全性使得服务提供者能够保护来自接入网(例如,RAN 1404)的用户数据业务。在本公开内容的各个方面中,AS安全性上下文可以被用来保护客户端设备与RAN之间的数据无线承载(DRB)和信令无线承载(SRB)二者,并且UP安全性是与DRB保护分开应用的。
图19是根据本公开内容的方面示出了在客户端设备处可操作以建立多个同时的或并发的服务上下文的示例性方法1500的流程图。方法1500可以在图1、2、4-8、10、11和/或14-18中的任何一个中示出的客户端设备处执行。在框1502处,该客户端设备基于第一凭证与连接性网络建立无线链路或连接。在框1504处,该客户端设备建立与该连接相对应的连接上下文。例如,客户端设备(UE)可以使用连接性凭证附着到接入网(例如,RAN)并且利用HMME(例如,图4-6的HMME)建立到该RAN的单个连接。在一些示例中,该HMME可以驻留在核心网中。此时,单个EMM上下文或连接性被建立。在一个示例中,该客户端设备可以利用无线链路建立模块210和无线网络通信接口204(参见图2)来建立无线链路和连接性上下文。
在框1506处,该客户端设备识别与该连接性网络相关联的一个或多个服务网络。例如,该客户端设备可以发送去往一个或多个服务网络的第一消息,并且其中,该第一消息被封装在去往该接入网的网络节点(例如,HMME)的第二消息中。当一个消息被寻址到所去往的网络的具体实体(例如,服务网络的HMME或SME)时,该消息是去往某个网络的。例如,该服务网络可以是图4-6和14-17中示出的服务网络。该客户端设备可以使用服务上下文建立模块212(参见图2)执行类似于图7、8、10和11中示出的那些的过程以识别服务网络。
在框1508处,该客户端设备使用所建立的无线链路或连接与该服务网络建立一个或多个服务连接,其中,所述一个或多个服务连接是使用各自的第二凭证建立的。在框1510处,该客户端设备建立分别与所述服务连接相对应的一个或多个服务上下文。该服务上下文可以包括不同的安全性上下文。安全性上下文中的每个安全性上下文包括NAS安全性上下文和AS安全性上下文,并且NAS安全性上下文和AS安全性上下文二者与相同的第二凭证相对应。例如,该服务上下文可以是图4-6和14-17中描述的ESM上下文,并且该安全性上下文可以是图4-6和14-17中描述的那些安全性上下文。该客户端设备可以使用服务上下文建立模块212执行类似于图7、8、10和11中示出的那些的过程以建立所述服务连接和上下文。服务连接中的每个服务连接可以利用基于相应的AS安全性上下文的单独的密钥来保护,并且由相应的VESM标签来区分。
图20是根据本公开内容的方面示出了方法1500的额外的过程的流程图。在框1512处,该客户端设备可以利用多个用户平面(UP)安全性上下文来保护从分别与一个或多个服务网络相关联的多个分组数据网关(P-GW)接收的或向其发送的分组。例如,该P-GW可以是图4-8、10、11和14-18中的任何一个中示出的P-GW。
图21是根据本公开内容的方面示出了在连接性网络的网络节点处可操作的示例性方法1600的流程图。方法1600可以在图1、3、4-8和10-18中的任何一个中示出的网络节点(例如,HMME)处执行。在框1602处,连接性网络的网络节点基于连接性凭证与客户端设备建立无线链路或第一连接。在框1604处,该网络节点建立与该第一连接相对应的连接性上下文。例如,该网络节点可以是HMME(例如,在图4-14中示出的HMME),所述HMME接收来自客户端设备(UE)的第一附着请求以使用连接性凭证与该客户端设备建立单个连接和相应的EMM上下文。该网络节点可以利用无线链路建立模块310和网络通信接口304和HMME模块312,使用图7-11中描述的过程与该客户端设备(参见图3)建立单个链路和EMM上下文。
在已经与该客户端设备建立了单个无线链路之后,在框1606处,该网络节点可以接收来自客户端设备的针对与和该连接性网络相关联的一个或多个服务网络建立连接的请求。例如,该服务网络可以是图4-6和14-18中示出的服务网络或提供者。该请求可以包括针对使用现有的无线链路或连接性与服务网络或提供者中的一个或多个建立单独的ESM上下文的第二附着请求。ESM上下文中的每个ESM上下文可以与不同的安全性上下文相对应。该网络节点可以使用网络通信接口304(参见图3)接收来自该客户端设备的该请求。
在框1608处,该网络节点使用该网络节点作为代理,为该客户端设备分别建立与服务网络的一个或多个第二连接。在一个示例中,该网络节点可以利用SME模块314来使用图7-11中描述的过程建立该第二连接和相应的上下文。
图22是根据本公开内容的方面示出了方法1600的额外的过程的流程图。在框1610处,该网络节点可以接收来自该客户端设备的消息,其中,该消息封装去往该服务网络的另一个消息。例如,该消息可以是图8和11中示出的NAS封装消息。
图23是根据本公开内容的方面示出了在服务网络的网络节点处可操作的示例性方法1700的流程图。方法1700可以在图1、3、4-8和10-18中的任何一个中示出的网络节点(例如,SME)处执行。在框1702处,该网络节点接收来自客户端设备的针对建立连接的请求。例如,SME可以使用其网络通信接口304(参见图3)来接收该请求。在框1704处,该网络节点经由连接性网络的网络节点(例如,HMME)与该客户端设备建立该连接。例如,该网络节点可以使用服务管理实体模块/电路/功能单元314来建立该连接。在框1706处,该网络节点建立与该连接相对应的服务上下文,其中,该服务上下文与安全性上下文相关联。例如,该服务管理实体模块/电路/功能单元314可以被SME指令318配置为建立服务上下文334(参见图3)。
应当理解的是,公开的过程中的步骤的具体顺序或层次是对示例性方法的说明。根据设计偏好,应当理解的是可以重新排列过程中的步骤的具体顺序或层次。所附方法权利要求以作为例子的顺序呈现各个步骤的元素,并非意指被限定到所呈现的具体顺序或层次。
Claims (28)
1.一种在无线通信网络中操作客户端设备的方法,包括:
基于第一凭证来与连接性网络建立连接性上下文;
利用与所述连接性网络建立的所述连接性上下文,与和所述连接性网络相关联的相应的多个服务网络建立多个服务上下文,其中,所述多个服务上下文是使用相应的多个第二凭证来建立的;以及
其中,所述多个服务上下文中的每个服务上下文分别包括不同的安全性上下文,并且
其中,所述多个服务上下文中的每个服务上下文的相应安全性上下文包括非接入层(NAS)安全性上下文和接入层(AS)安全性上下文,所述非接入层(NAS)安全性上下文和所述接入层(AS)安全性上下文二者与所述多个第二凭证中的相同的相应第二凭证相对应。
2.如权利要求1所述的方法,
其中,所述非接入层(NAS)安全性上下文被配置为保护所述客户端设备与下列各项中的至少一项之间的控制消息:主移动性管理实体(HMME)或服务管理实体(SME),并且
其中,所述接入层(AS)安全性上下文被配置为保护以下各项中的至少一项:一个或多个信令无线承载、一个或多个数据无线承载、或信令无线承载和数据无线承载的组合。
3.如权利要求1所述的方法,其中,建立所述多个服务上下文包括发送去往所述多个服务网络的消息,其中,所述消息被封装在去往所述连接性网络的主移动性管理实体(HMME)的消息中。
4.如权利要求1所述的方法,其中,所述多个服务网络包括至少部分地在所述连接性网络中建立的虚拟网络,并且所述多个服务网络分别与不同的服务相关联。
5.如权利要求1所述的方法,其中,所述多个服务上下文中的每个服务上下文是利用基于相应的接入层(AS)安全性上下文的单独的密钥来保护的,并且由相应的虚拟演进型分组***(EPS)会话管理标签来区分的。
6.如权利要求1所述的方法,还包括:
使用多个用户平面(UP)安全性上下文来保护从多个分组数据网关接收的或向其发送的分组,所述多个分组数据网关分别与所述多个服务网络相关联。
7.如权利要求6所述的方法,其中,保护所述分组包括以下各项中的至少一项:
对所述分组进行加密;
对所述分组进行完整性保护;或
对所述分组进行加密和完整性保护。
8.一种操作连接性网络的网络节点的方法,包括:
基于连接性凭证来与客户端设备建立第一连接性上下文;
接收来自所述客户端设备的针对与相应的多个服务网络建立多个服务上下文的请求;以及
使用所述网络节点作为代理,使用相应的多个服务凭证为所述客户端设备分别建立与所述多个服务网络的所述多个服务上下文,其中,所述网络节点包括主移动性管理实体(HMME),
其中,所述多个服务上下文中的每个服务上下文分别包括不同的安全性上下文,并且
其中,所述多个服务上下文中的每个服务上下文的相应安全性上下文包括非接入层(NAS)安全性上下文和接入层(AS)安全性上下文,所述非接入层(NAS)安全性上下文和所述接入层(AS)安全性上下文二者与所述多个服务凭证中的相同的相应服务凭证相对应。
9.如权利要求8所述的方法,其中,所述多个服务上下文中的每个服务上下文与IP安全性(IPSec)隧道相关联。
10.如权利要求8所述的方法,还包括接收来自所述客户端设备的消息,其中,所述消息封装去往所述服务网络的另一个消息。
11.一种操作服务网络的网络节点的方法,包括:
接收来自客户端设备的针对基于第一凭证建立连接性上下文的请求;
经由连接性网络的网络节点来与所述客户端设备建立所述连接性上下文,其中,所述连接性网络的所述网络节点包括主移动性管理实体(HMME);以及
基于相应的多个服务凭证来建立与所述连接相对应的多个服务上下文,其中,所述多个服务上下文中的每个服务上下文与不同的安全性上下文相关联,
其中,所述多个服务上下文中的每个服务上下文的相应安全性上下文包括非接入层(NAS)安全性上下文和接入层(AS)安全性上下文,所述非接入层(NAS)安全性上下文和所述接入层(AS)安全性上下文二者与所述多个服务凭证中的相同的相应服务凭证相对应。
12.如权利要求11所述的方法,其中,所述多个服务上下文中的至少一个服务上下文与经由所述连接性网络的所述网络节点的IP安全性(IPSec)隧道相关联。
13.如权利要求11所述的方法,其中,所述多个服务上下文中的至少一个服务上下文与至少部分地在所述连接性网络中建立的虚拟网络相关联。
14.如权利要求11所述的方法,其中,所述多个服务上下文中的至少一个服务上下文与虚拟演进型分组***(EPS)会话管理标签相关联。
15.一种无线通信网络中的客户端设备,包括:
存储器,其包括计算机可执行代码;
通信接口,其被配置为与连接性网络进行通信;以及
处理器,其***作地耦合至所述存储器和所述通信接口,
其中,所述处理器被所述计算机可执行代码配置为:
基于第一凭证来与连接性网络建立连接性上下文;
利用与所述连接性网络建立的所述连接性上下文,与和所述连接性网络相关联的相应的多个服务网络建立多个服务上下文,其中,所述多个服务上下文是使用相应的多个第二凭证来建立的;以及
其中,所述多个服务上下文中的每个服务上下文分别包括不同的安全性上下文,并且
其中,所述多个服务上下文中的每个服务上下文的相应安全性上下文包括非接入层(NAS)安全性上下文和接入层(AS)安全性上下文,所述非接入层(NAS)安全性上下文和所述接入层(AS)安全性上下文二者与所述多个第二凭证中的相同的相应第二凭证相对应。
16.如权利要求15所述的客户端设备,
其中,所述非接入层(NAS)安全性上下文被配置为保护所述客户端设备与下列各项中的至少一项之间的控制消息:主移动性管理实体(HMME)或服务管理实体(SME),并且
其中,所述接入层(AS)安全性上下文被配置为保护以下各项中的至少一项:一个或多个信令无线承载、一个或多个数据无线承载、或信令无线承载和数据无线承载的组合。
17.如权利要求15所述的客户端设备,其中,为了建立所述多个服务上下文,所述处理器还被配置为发送去往所述多个服务网络的消息,其中,所述消息被封装在去往所述连接性网络的主移动性管理实体(HMME)的消息中。
18.如权利要求15所述的客户端设备,其中,所述多个服务网络包括至少部分地在所述连接性网络中建立的虚拟网络,并且所述多个服务网络分别与不同的服务相关联。
19.如权利要求15所述的客户端设备,其中,所述多个服务上下文中的每个服务上下文是利用基于相应的接入层(AS)安全性上下文的单独的密钥来保护的,并且由相应的虚拟演进型分组***(EPS)会话管理标签来区分的。
20.如权利要求15所述的客户端设备,其中,所述处理器还被配置为:
使用多个用户平面(UP)安全性上下文来保护从多个分组数据网关接收的或向其发送的分组,所述多个分组数据网关分别与所述多个服务网络相关联。
21.如权利要求20所述的客户端设备,其中,所述处理器还被配置为通过以下各项中的至少一项来保护所述分组:
对所述分组进行加密;
对所述分组进行完整性保护;或
对所述分组进行加密和完整性保护。
22.一种连接性网络的网络节点,包括:
存储器,其包括计算机可执行代码;
通信接口,其被配置为与客户端设备进行通信;以及
处理器,其***作地耦合到所述存储器和所述通信接口,
其中,所述处理器被所述计算机可执行代码配置为:
基于连接性凭证来与所述客户端设备建立第一连接性上下文;
接收来自所述客户端设备的针对与相应的多个服务网络建立多个服务上下文的请求;以及
使用所述网络节点作为代理,使用相应的多个服务凭证为所述客户端设备分别建立与所述多个服务网络的所述多个服务上下文,其中,所述网络节点包括主移动性管理实体(HMME),
其中,所述多个服务上下文中的每个服务上下文分别包括不同的安全性上下文,并且
其中,所述多个服务上下文中的每个服务上下文的相应安全性上下文包括非接入层(NAS)安全性上下文和接入层(AS)安全性上下文,所述非接入层(NAS)安全性上下文和所述接入层(AS)安全性上下文二者与所述多个服务凭证中的相同的相应服务凭证相对应。
23.如权利要求22所述的网络节点,其中,所述多个服务上下文中的每个服务上下文与IP安全性(IPSec)隧道相关联。
24.如权利要求22所述的网络节点,其中,所述处理器还被配置为接收来自所述客户端设备的消息,其中,所述消息封装去往所述服务网络的另一个消息。
25.一种服务网络的网络节点,包括:
存储器,其包括计算机可执行代码;
通信接口,其被配置为与客户端设备进行通信;以及
处理器,其***作地耦合至所述存储器和所述通信接口,
其中,所述处理器被所述代码配置为:
接收来自所述客户端设备的针对基于第一凭证建立连接性上下文的请求;
经由连接性网络的网络节点来与所述客户端设备建立所述连接性上下文,其中,所述连接性网络的所述网络节点包括主移动性管理实体(HMME);以及
基于相应的多个服务凭证来建立与所述连接相对应的多个服务上下文,其中,所述多个服务上下文中的每个服务上下文与不同的安全性上下文相关联,
其中,所述多个服务上下文中的每个服务上下文的相应安全性上下文包括非接入层(NAS)安全性上下文和接入层(AS)安全性上下文,所述非接入层(NAS)安全性上下文和所述接入层(AS)安全性上下文二者与所述多个服务凭证中的相同的相应服务凭证相对应。
26.如权利要求25所述的网络节点,其中,所述多个服务上下文中的至少一个服务上下文与经由所述连接性网络的所述网络节点的IP安全性(IPSec)隧道相关联。
27.如权利要求25所述的网络节点,其中,所述多个服务上下文中的至少一个服务上下文与至少部分地在所述连接性网络中建立的虚拟网络相关联。
28.如权利要求25所述的网络节点,其中,所述多个服务上下文中的至少一个服务上下文与虚拟演进型分组***(EPS)会话管理标签相关联。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562256472P | 2015-11-17 | 2015-11-17 | |
US62/256,472 | 2015-11-17 | ||
US15/048,044 | 2016-02-19 | ||
US15/048,044 US11234126B2 (en) | 2015-11-17 | 2016-02-19 | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts |
PCT/US2016/059494 WO2017087139A1 (en) | 2015-11-17 | 2016-10-28 | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108353282A CN108353282A (zh) | 2018-07-31 |
CN108353282B true CN108353282B (zh) | 2021-11-19 |
Family
ID=58690139
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680066650.3A Active CN108353282B (zh) | 2015-11-17 | 2016-10-28 | 用于使用支持多个连接性和服务上下文的安全模型的无线通信的方法和装置 |
Country Status (9)
Country | Link |
---|---|
US (2) | US11234126B2 (zh) |
EP (1) | EP3378248B1 (zh) |
JP (1) | JP6912470B2 (zh) |
KR (1) | KR102610951B1 (zh) |
CN (1) | CN108353282B (zh) |
AU (1) | AU2016357203B2 (zh) |
BR (1) | BR112018009990A8 (zh) |
TW (1) | TWI713614B (zh) |
WO (1) | WO2017087139A1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11234126B2 (en) | 2015-11-17 | 2022-01-25 | Qualcomm Incorporated | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts |
CN109314693B (zh) * | 2016-12-30 | 2020-08-25 | 华为技术有限公司 | 验证密钥请求方的方法和设备 |
US10624020B2 (en) * | 2017-02-06 | 2020-04-14 | Qualcomm Incorporated | Non-access stratum transport for non-mobility management messages |
CN109548098B (zh) * | 2017-08-15 | 2023-10-24 | 华为技术有限公司 | 会话处理方法及相关设备 |
US10390383B2 (en) * | 2017-12-04 | 2019-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Timer-based handling of multiple connection requests |
US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
US11206542B2 (en) | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
US11115824B1 (en) | 2020-05-14 | 2021-09-07 | T-Mobile Usa, Inc. | 5G cybersecurity protection system |
US20240098479A1 (en) * | 2022-09-19 | 2024-03-21 | Qualcomm Incorporated | Service groups in a service-based wireless system |
WO2024085597A1 (en) * | 2022-10-17 | 2024-04-25 | Samsung Electronics Co., Ltd. | Method and apparatus for selecting selective security mode and flow management in a wireless communication system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026861A (zh) * | 2006-02-23 | 2007-08-29 | 华为技术有限公司 | 一种移动台与演进分组核心网间连接建立的方法 |
CN101242629A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 选择用户面算法的方法、***和设备 |
CN101610504A (zh) * | 2008-06-18 | 2009-12-23 | 上海华为技术有限公司 | 接入、获取用户设备上下文及用户设备标识的方法和装置 |
WO2011043772A1 (en) * | 2009-10-07 | 2011-04-14 | Research In Motion Limited | System and method for managing security keys for multiple security contexts of a wireless user device to handover communications in a network |
CN104704790A (zh) * | 2012-09-13 | 2015-06-10 | 日本电气株式会社 | 机器型通信***中的密钥管理 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070258427A1 (en) | 2006-05-03 | 2007-11-08 | Interdigital Technology Corporation | Wireless communication method and system for activating multiple service bearers via efficient packet data protocol context activation procedures |
EP2028910A1 (en) | 2007-08-21 | 2009-02-25 | NEC Corporation | Method for allowing a UICC to manage the PDP context parameters |
DE202008018538U1 (de) | 2007-09-17 | 2015-06-30 | Telefonaktiebolaget L M Ericsson (Publ) | Anordnung in einem Telekommunikationssystem |
WO2009117588A1 (en) * | 2008-03-21 | 2009-09-24 | Interdigital Patent Holdings, Inc. | Method and apparatus to enable fallback to circuit switched domain from packet switched domain |
US20120033565A1 (en) * | 2008-08-15 | 2012-02-09 | Samsung Electronics Co., Ltd. | Non-access stratum protocol operation supporting method in a mobile telecommunication system, and the system thereof |
US9166875B2 (en) * | 2009-06-22 | 2015-10-20 | Qualcomm Incorporated | Method and apparatus for network optimization using SON solutions |
KR101268658B1 (ko) | 2009-10-12 | 2013-05-29 | 한국전자통신연구원 | 3GPP LTE-Advanced 시스템의 릴레이 노드를 사용한 서비스 제공 방법 및 시스템 |
KR101877733B1 (ko) * | 2010-06-01 | 2018-08-09 | 삼성전자주식회사 | 기기간 통신 환경에서 그룹 통신을 보안하는 방법 및 시스템 |
CA2832067C (en) | 2011-04-01 | 2019-10-01 | Interdigital Patent Holdings, Inc. | Method and apparatus for controlling connectivity to a network |
US9554366B2 (en) * | 2012-08-31 | 2017-01-24 | Qualcomm Incorporated | Optimized always-on wireless service using network assistance and keep-alives |
US9019974B2 (en) | 2012-10-26 | 2015-04-28 | Blackberry Limited | Multiple access point name and IP service connectivity |
MX358086B (es) * | 2013-04-04 | 2018-08-03 | Interdigital Patent Holdings Inc | Métodos de interfuncionamiento de 3gpp wlan para uso mejorado de la wlan a través de descarga. |
US9084147B2 (en) | 2013-05-08 | 2015-07-14 | Qualcomm Incorporated | Parallel registration to offload PLMN with single SIM |
US9332480B2 (en) | 2014-03-28 | 2016-05-03 | Qualcomm Incorporated | Decoupling service and network provider identification in wireless communications |
EP3152937B1 (en) * | 2014-07-03 | 2021-04-14 | Huawei Technologies Co., Ltd. | System and method for wireless network access protection and security architecture |
AU2016306445B2 (en) * | 2015-08-07 | 2021-02-04 | Sharp Kabushiki Kaisha | Terminal Device, MME, Communication Control Method for Terminal Device, and Communication Control Method for MME |
US11234126B2 (en) | 2015-11-17 | 2022-01-25 | Qualcomm Incorporated | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts |
-
2016
- 2016-02-19 US US15/048,044 patent/US11234126B2/en active Active
- 2016-10-27 TW TW105134715A patent/TWI713614B/zh active
- 2016-10-28 CN CN201680066650.3A patent/CN108353282B/zh active Active
- 2016-10-28 AU AU2016357203A patent/AU2016357203B2/en active Active
- 2016-10-28 WO PCT/US2016/059494 patent/WO2017087139A1/en active Application Filing
- 2016-10-28 BR BR112018009990A patent/BR112018009990A8/pt unknown
- 2016-10-28 KR KR1020187013667A patent/KR102610951B1/ko active IP Right Grant
- 2016-10-28 EP EP16794171.5A patent/EP3378248B1/en active Active
- 2016-10-28 JP JP2018524790A patent/JP6912470B2/ja active Active
-
2022
- 2022-01-03 US US17/567,513 patent/US11729619B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026861A (zh) * | 2006-02-23 | 2007-08-29 | 华为技术有限公司 | 一种移动台与演进分组核心网间连接建立的方法 |
CN101242629A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 选择用户面算法的方法、***和设备 |
CN101610504A (zh) * | 2008-06-18 | 2009-12-23 | 上海华为技术有限公司 | 接入、获取用户设备上下文及用户设备标识的方法和装置 |
WO2011043772A1 (en) * | 2009-10-07 | 2011-04-14 | Research In Motion Limited | System and method for managing security keys for multiple security contexts of a wireless user device to handover communications in a network |
CN104704790A (zh) * | 2012-09-13 | 2015-06-10 | 日本电气株式会社 | 机器型通信***中的密钥管理 |
Also Published As
Publication number | Publication date |
---|---|
US20220132313A1 (en) | 2022-04-28 |
KR20180084785A (ko) | 2018-07-25 |
WO2017087139A1 (en) | 2017-05-26 |
KR102610951B1 (ko) | 2023-12-06 |
US11729619B2 (en) | 2023-08-15 |
US20170142587A1 (en) | 2017-05-18 |
TW201720216A (zh) | 2017-06-01 |
EP3378248B1 (en) | 2021-11-17 |
AU2016357203A1 (en) | 2018-05-10 |
EP3378248A1 (en) | 2018-09-26 |
TWI713614B (zh) | 2020-12-21 |
JP6912470B2 (ja) | 2021-08-04 |
JP2018537912A (ja) | 2018-12-20 |
BR112018009990A8 (pt) | 2019-02-26 |
CN108353282A (zh) | 2018-07-31 |
AU2016357203B2 (en) | 2020-12-24 |
US11234126B2 (en) | 2022-01-25 |
BR112018009990A2 (pt) | 2018-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11729619B2 (en) | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts | |
US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
US20220360634A1 (en) | User plane model for non-3gpp access to fifth generation core network | |
EP3820181B1 (en) | Secure conversation method and device | |
US10219306B2 (en) | Cloud based access solution for enterprise deployment | |
US20170171752A1 (en) | Securing signaling interface between radio access network and a service management entity to support service slicing | |
US10244381B2 (en) | Supporting multiple concurrent service contexts with a single connectivity context | |
JP2018528647A (ja) | ネットワークセキュリティアーキテクチャ | |
WO2016085001A1 (ko) | 스몰셀 환경을 지원하는 무선 접속 시스템에서 위치 비밀성 보호를 지원하는 방법 및 장치 | |
US20170295529A1 (en) | Non-access stratum based access method and terminal supporting the same | |
CN106470465B (zh) | Wifi语音业务发起方法、lte通信设备、终端及通信*** | |
US10595254B2 (en) | Non-access stratum based access method and terminal supporting the same | |
US20230179996A1 (en) | Selective user plane protection in 5g virtual ran |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |