蜂窝网络中的置备服务器选择的制作方法

蜂窝网络中的置备服务器选择
1.相关申请的交叉参考
2.本技术主张安德里斯
·
昆茨(andreas kunz)在2021年2月11日申请的题为“用于非公开网络入网及配置文件置备的设备、方法及系统(apparatuses,methods,and systems for non-public network onboarding and profile provioning)”的第63/148,187号美国专利申请的优先权，所述专利申请的全部内容通过引用的方式并入本文。
技术领域
3.本文公开的主体大体上涉及无线通信，且更特定来说，涉及蜂窝网络中的置备服务器选择。


背景技术：

4.在某些无线通信网络中，可使用安全凭证。在此类网络中，凭证可能未得到充分保护。


技术实现要素：

5.公开用于蜂窝网络中的置备服务器选择的方法。设备及系统也执行所述方法的功能。方法的一个实施例包含在网络装置处经由第一网络功能与远程单元通信。在一些实施例中，所述方法包含接收来自第一网络功能的认证请求。在某些实施例中，所述方法包含基于入网配置文件的远程单元标识、基于预配置或其组合来选择置备服务器。在各种实施例中，所述方法包含向所述第一网络功能发射响应消息。响应消息包含置备服务器地址。
6.一种用于蜂窝网络中的置备服务器选择的设备包含网络装置。在一些实施例中，所述设备包含经由第一网络功能与远程单元通信的发射器。在各种实施例中，所述设备包含接收来自所述第一网络功能的认证请求的接收器。在某些实施例中，所述设备包含处理器，其基于入网配置文件的远程单元标识、基于预配置或其组合来选择置备服务器。所述发射器向所述第一网络功能发射响应消息。响应消息包含置备服务器地址。
7.用于蜂窝网络中的置备服务器选择的方法的另一实施例包含在远程单元处与第一网络功能通信。在一些实施例中，所述方法包含接收包含置备服务器地址的注册接受消息。在某些实施例中，所述方法包含将远程单元的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。
8.用于蜂窝网络中的置备服务器选择的另一设备包含远程单元。在一些实施例中，所述设备包含与第一网络功能通信的发射器。在各种实施例中，所述设备包含接收包含置备服务器地址的注册接受消息的接收器。在某些实施例中，所述设备包含处理器，其将所述设备的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。
附图说明
9.对上文简要描述的实施例的更具体描述将通过参考附图中说明的具体实施例来呈现。在理解这些图式仅描绘一些实施例且因此不应被视为限制范围的情况下，将通过使用附图来对实施例进行更具体且详细的描述及解释，其中：
10.图1是说明用于蜂窝网络中的置备服务器选择的无线通信系统的一个实施例的示意性框图；
11.图2是说明可用于蜂窝网络中的置备服务器选择的设备的一个实施例的示意性框图；
12.图3是说明可用于蜂窝网络中的置备服务器选择的设备的一个实施例的示意性框图；
13.图4是说明用由与snpn分离的实体所拥有的凭证进行网络接入认证的系统的一个实施例的示意性框图；
14.图5是说明用于蜂窝网络中的置备服务器选择的方法的一个实施例的流程图；以及
15.图6是说明用于蜂窝网络中的置备服务器选择的方法的另一实施例的流程图。
具体实施方式
16.如所属领域的技术人员将了解，实施例的方面可体现为系统、设备、方法或程序产品。因此，实施例可采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或组合软件与硬件方面的实施例的形式，其在本文中通常可全部被称为“电路”、“模块”或“系统”。此外，实施例可采取体现于存储机器可读代码、计算机可读代码及/或程序代码(在下文中被称为代码)的一或多个计算机可读存储装置中的程序产品的形式。存储装置可为有形的、非暂时性及/或非传输的。存储装置可不体现信号。在某一实施例中，存储装置仅采用信号来存取代码。
17.本说明书中描述的某些功能单元可被标记为模块，以便更特别地强调其实施方案独立性。例如，模块可实施为硬件电路，其包括定制的超大规模集成(“vlsi”)电路或门阵列、现成半导体(例如逻辑芯片、晶体管或其它离散组件)。模块还可在可编程硬件装置(例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑装置或类似者)中实施。
18.模块还可以代码及/或软件实施以由各种类型的处理器执行。例如，代码的经识别模块可包含可执行代码的一或多个物理或逻辑块，其可例如被组织为对象、过程或函数。然而，经识别模块的可执行文件不需要在物理上定位在一起，而是可包含存储在不同位置中的相异指令，所述相异指令当逻辑连结在一起时包含模块并实现所述模块的所声称目的。
19.实际上，代码的模块可为单个指令或许多指令，且甚至可分布在若干不同的代码段上、分布在不同程序之间以及跨若干存储器装置分布。类似地，在本文中操作数据可在模块内识别及说明，且可以任何合适的形式体现并在任何合适类型的数据结构内组织。操作数据可作为单个数据集收集，或者可分布在不同的位置上，包含分布在不同的计算机可读存储装置上。在模块或模块的部分以软件实施的情况下，软件部分存储在一或多个计算机可读存储装置上。
20.可利用一或多个计算机可读媒体的任何组合。计算机可读媒体可为计算机可读存
储媒体。计算机可读存储媒体可为存储代码的存储装置。存储装置可为(例如，但不限于)电子、磁性、光学、电磁、红外、全息、微机械或半导体系统、设备或装置，或上述的任何适合组合。
21.存储装置的更具体实例(非详尽列表)将包含以下：具有一或多根导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(“ram”)、只读存储器(“rom”)、可擦除可编程只读存储器(“eprom”或快闪存储器)、便携式光盘只读存储器(“cd-rom”)、光学存储装置、磁性存储装置或上述的任何适合组合。在此文献的上下文中，计算机可读存储媒体可为可含有或存储程序以供指令执行系统、设备或装置使用或结合指令执行系统、设备或装置使用的任何有形媒体。
22.用于实行实施例的操作的代码可为任何数目个行，且可以一或多种编程语言的任何组合编写，所述编程语言包含面向对象的编程语言(例如python、ruby、java、smalltalk、c++等)，以及常规过程化编程语言(例如“c”编程语言等)及/或机器语言(例如汇编语言)。代码可完全在用户的计算机上、部分在用户的计算机上、作为独立软件包、部分在用户的计算机上且部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种场景中，远程计算机可通过任何类型的网络(包含局域网(“lan”)、或广域网(“wan”))连接到用户的计算机，或可进行到外部计算机的连接(例如，通过使用因特网服务提供商的因特网)。
23.贯穿本说明书提及“一个实施例”、“一实施例”或类似语言意指结合实施例描述的特定特征、结构或特性包含于至少一个实施例中。因此，短语“在一个实施例中”、“在一实施例中”及类似语言贯穿本说明书的出现可(但不一定)全部指代同一实施例，而是意指“一或多个但非全部实施例”，除非另有明确指定。术语“包含”、“包括”、“具有”及其变体意指“包含但不限于”，除非另有明确指定。项目的枚举列表并不暗示任何或全部项目是互斥的，除非另有明确指定。术语“一”、“一个”及“所述”也指代“一或多个”，除非另有明确指定。
24.此外，实施例的所描述特征、结构或特性可以任何适合方式组合。在以下描述中，提供许多具体细节(例如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的实例)来提供对实施例的透彻理解。然而，所属领域的技术人员将认识到，实施例可在没有一或多个具体细节的情况下或使用其它方法、组件、材料等来实践。在其它例子中，未详细展示或描述众所周知的结构、材料或操作，以避免使实施例的方面不清楚。
25.下文参考根据实施例的方法、设备、系统及程序产品的示意性流程图及/或示意性框图描述实施例的方面。应理解，示意性流程图及/或示意性框图的每一框及示意性流程图及/或示意性框图中的框的组合可通过代码实施。代码可被提供给通用计算机、专用计算机或其它可编程数据处理设备的处理器以产生机器，使得经由计算机或其它可编程数据处理设备的处理器执行的指令产生用于实施示意流程图及/或示意框图的框或若干框中指定的功能/动作的构件。
26.代码还可存储在存储装置中，所述代码可引导计算机、其它可编程数据处理设备或其它装置以特定方式运行，使得存储在存储装置中的指令产生包含实施在示意流程图及/或示意框图的框或若干框中指定的功能/动作的指令的制品。
27.代码还可被加载到计算机、其它可编程数据处理设备或其它装置上以致使一系列操作步骤在所述计算机、其它可编程设备或其它装置上执行以产生计算机实施过程，使得
在计算机或其它可编程设备上执行的代码提供用于实施在流程图及/或框图的框或若干框中指定的功能/动作的过程。
28.图中的示意流程图及/或示意框图说明根据各种实施例的设备、系统、方法及程序产品的可能实施方案的架构、功能性及操作。在这方面，示意流程图及/或示意框图中的每一框可表示包含用于实施(若干)指定逻辑功能的代码的一或多个可执行指令的代码模块、代码段或代码部分。
29.还应注意，在一些替代实施方案中，框中提及的功能可不按图中提及的顺序出现。例如，事实上，取决于所涉及功能性，连续展示的两个框可大体上同时执行，或框有时可按相反顺序执行。可考虑在功能、逻辑或效果上等效于所说明图的一或多个框或其部分的其它步骤及方法。
30.尽管流程图及/或框图中可采用各种箭头类型及线类型，但其被理解为不限制对应实施例的范围。实际上，一些箭头或其它连接符号可用于仅指示所描绘实施例的逻辑流程。例如，箭头可指示所描绘实施例的枚举步骤之间的未指定持续时间的等待或监测时段。还应注意，框图及/或流程图的每一框以及框图及/或流程图中的框的组合可由执行指定功能或动作的基于专用硬件的系统或专用硬件与代码的组合实施。
31.对每一图中元件的描述可参考先前图的元件。在全部图中，相同数字指代相同元件，包含相同元件的替代实施例。
32.图1描绘用于蜂窝网络中的置备服务器选择的无线通信系统100的实施例。在一个实施例中，无线通信系统100包含远程单元102及网络单元104。尽管在图1中描绘特定数目的远程单元102及网络单元104，但所属领域的技术人员将认识到无线通信系统100中可包含任何数目的远程单元102及网络单元104。
33.在一个实施例中，远程单元102可包含计算装置，例如台式计算机、膝上型计算机、个人数字助理(“pda”)、平板计算机、智能电话、智能电视(例如，连接到因特网的电视)、机顶盒、游戏控制台、安全系统(包含安全摄像机)、车载计算机、网络装置(例如，路由器、交换机、调制解调器)、飞行器、无人机、或类似者。在一些实施例中，远程单元102包含穿戴装置，例如智能手表、健身手环、光学头戴式显示器或类似者。此外，远程单元102可被称为订户单元、移动装置、移动站、用户、终端、移动终端、固定终端、订户站、ue、用户终端、装置或通过所属领域中使用的其它术语来指代。远程单元102可经由ul通信信号与网络单元104中的一或多者直接通信。在某些实施例中，远程单元102可经由侧链路通信与其它远程单元102直接通信。
34.网络单元104可分布遍及地理区域。在某些实施例中，网络单元104还可被称为及/或可包含以下中的一或多者：接入点、接入终端、基地、基站、位置服务器、核心网络(“cn”)、无线电网络实体、节点b、演进节点b(“enb”)、5g节点b(“gnb”)、归属节点b、中继节点、装置、核心网络、空中服务器、无线电接入节点、接入点(“ap”)、新无线(“nr”)、网络实体、接入及移动性管理功能(“amf”)、统一数据管理(“udm”)、统一数据存储库(“udr”)、udm/udr、策略控制功能(“pcf”)、无线电接入网络(“ran”)、网络切片选择功能(“nssf”)、操作、监管及管理(“oam”)、会话管理功能(“smf”)、用户平面功能(“upf”)、应用功能、认证服务器功能(“ausf”)、安全锚功能性(“seaf”)、可信非3gpp网关功能(“tngf”)或通过所属领域中使用的其它术语来指代。网络单元104通常是包含可通信地耦合到一或多个对应网络单元104的
一或多个控制器的无线电接入网络的部分。无线电接入网络通常可通信地耦合到一或多个核心网络，所述核心网络可耦合到其它网络，例如因特网及公共交换电话网络及其它网络。未说明无线电接入网络及核心网络的这些及其它元件，但所属领域的一般技术人员通常熟知所述元件。
35.在一个实施方案中，无线通信系统100符合第三代合作伙伴计划(“3gpp”)中标准化的nr协议，其中网络单元104在下行链路(“dl”)上使用ofdm调制方案进行发射，且远程单元102在上行链路(“ul”)上使用单载波频分多址(“sc-fdma”)方案或正交频分多址(“ofdm”)方案进行发射。然而，更一般地说，无线通信系统100可实施一些其它开放或专有的通信协议，例如wimax、电气及电子工程师协会(“ieee”)802.11变体、全球移动通信系统(“gsm”)、通用分组无线电服务(“gprs”)、通用移动电信系统(“umts”)、长期演进(“lte”)变体、码分多址2000(“cdma2000”)、zigbee、sigfoxx及其它协议。本公开不希望限于任何特定无线通信系统架构或协议的实施方案。
36.网络单元104可经由无线通信链路服务于例如小区或小区扇区内的服务区域内的若干远程单元102。网络单元104发射dl通信信号以在时域、频域及/或空间域中服务于远程单元102。
37.在各种实施例中，远程单元102可与第一网络功能通信。在一些实施例中，远程单元102可接收包含置备服务器地址的注册接受消息。在某些实施例中，远程单元102可将远程单元的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。因此，远程单元102可用于蜂窝网络中的置备服务器选择。
38.在某些实施例中，网络单元104可经由第一网络功能与远程单元通信。在一些实施例中，网络单元104可接收来自第一网络功能的认证请求。在某些实施例中，网络单元104可基于入网配置文件的远程单元标识、基于预配置或其组合来选择置备服务器。在各种实施例中，网络单元104可向第一网络功能发射响应消息。响应消息包含置备服务器地址。因此，网络单元104可用于蜂窝网络中的置备服务器选择。
39.图2描绘可用于蜂窝网络中的置备服务器选择的设备200的一个实施例。设备200包含远程单元102的一个实施例。此外，远程单元102可包含处理器202、存储器204、输入装置206、显示器208、发射器210及接收器212。在一些实施例中，输入装置206及显示器208组合成单个装置，例如触摸屏。在某些实施例中，远程单元102可不包含任何输入装置206及/或显示器208。在各种实施例中，远程单元102可包含处理器202、存储器204、发射器210及接收器212中的一或多者，且可不包含输入装置206及/或显示器208。
40.在一个实施例中，处理器202可包含能够执行计算机可读指令及/或能够执行逻辑运算的任何已知控制器。例如，处理器202可为微控制器、微处理器、中央处理单元(“cpu”)、图形处理单元(“gpu”)、辅助处理单元、现场可编程门阵列(“fpga”)或类似的可编程控制器。在一些实施例中，处理器202执行存储在存储器204中的指令以执行本文描述的方法及例程。处理器202可通信地耦合到存储器204、输入装置206、显示器208、发射器210及接收器212。
41.在一个实施例中，存储器204是计算机可读存储媒体。在一些实施例中，存储器204包含易失性计算机存储媒体。例如，存储器204可包含ram，包含动态ram(“dram”)、同步动态ram(“sdram”)及/或静态ram(“sram”)。在一些实施例中，存储器204包含非易失性计算机存
储媒体。例如，存储器204可包含硬盘驱动器、快闪存储器或任何其它合适非易失性计算机存储装置。在一些实施例中，存储器204包含易失性及非易失性计算机存储媒体两者。在一些实施例中，存储器204还存储程序代码及相关数据，例如在远程单元102上操作的操作系统或其它控制器算法。
42.在一个实施例中，输入装置206可包含任何已知的计算机输入装置，包含触摸面板、按钮、键盘、手写笔、麦克风或类似者。在一些实施例中，输入装置206可与显示器208集成，例如，作为触摸屏或类似的触敏显示器。在一些实施例中，输入装置206包含触摸屏，使得可使用在触摸屏上显示的虚拟键盘及/或通过在触摸屏上手写来输入文本。在一些实施例中，输入装置206包含两个或更多个不同装置，例如键盘及触摸面板。
43.在一个实施例中，显示器208可包含任何已知的电子可控显示器或显示装置。显示器208可被设计成输出视觉、听觉及/或触觉信号。在一些实施例中，显示器208包含能够向用户输出视觉数据的电子显示器。例如，显示器208可包含但不限于液晶显示器(“lcd”)、发光二极管(“led”)显示器、有机发光二极管(“oled”)显示器、投影仪或能够向用户输出图像、文本或类似者的类似显示装置。作为另一非限制性实例，显示器208可包含可穿戴显示器，例如智能手表、智能眼镜、平视显示器或类似者。此外，显示器208可为智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板或类似者的组件。
44.在某些实施例中，显示器208包含用于产生声音的一或多个扬声器。例如，显示器208可产生可听警报或通知(例如，哔哔声或鸣响)。在一些实施例中，显示器208包含用于产生振动、运动或其它触觉反馈的一或多个触觉装置。在一些实施例中，显示器208的全部或部分可与输入装置206集成。例如，输入装置206及显示器208可形成触摸屏或类似的触敏显示器。在其它实施例中，显示器208可定位在输入装置206附近。
45.在某些实施例中，发射器210与第一网络功能进行通信。在各种实施例中，接收器212接收包含置备服务器地址的注册接受消息。在某些实施例中，处理器202将所述设备的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。
46.尽管仅说明一个发射器210及一个接收器212，但是远程单元102可具有任何合适数目的发射器210及接收器212。发射器210及接收器212可为任何合适类型的发射器及接收器。在一个实施例中，发射器210及接收器212可为收发器的部分。
47.图3描绘可用于蜂窝网络中的置备服务器选择的设备300的一个实施例。设备300包含网络单元104的一个实施例。此外，网络单元104可包含处理器302、存储器304、输入装置306、显示器308、发射器310及接收器312。如可了解，处理器302、存储器304、输入装置306、显示器308、发射器310及接收器312可分别大体上类似于远程单元102的处理器202、存储器204、输入装置206、显示器208、发射器210及接收器212。
48.在某些实施例中，发射器310经由第一网络功能与远程单元通信。在各种实施例中，接收器312接收来自第一网络功能的认证请求。在某些实施例中，处理器302基于入网配置文件的远程单元标识、基于预配置或其组合来选择置备服务器。发射器310向所述第一网络功能发射响应消息。响应消息包含置备服务器地址。
49.在某些实施例中，用户装备(“ue”)可用默认凭证在特殊默认凭证服务器(“dcs”)，
处入网且之后ue被置备真实配置文件。ue根据配置文件订阅使用真实配置文件来接入非公共网络(“npn”)。
50.在一些实施例中，对入网的接入可受到保护，且不在不受保护的情况下执行(例如，如紧急服务)。在此类实施例中，ue可被预先置备有入网凭证以用于入网独立npn(“snpn”)。此外，在远程置备期间，凭证(例如，待置备的配置文件)可受机密性保护、完整性保护及/或重放保护。
51.在各种实施例中，使用ue与dcs之间的预先置备的入网凭证来导出密钥，以保护ue与置备服务器之间后来的配置文件置备。
52.在某些实施例中，ue被预先置备有入网凭证。在此类实施例中，由dcs基于入网订阅隐藏标识符(“suci”)来识别ue。dcs可将suci去隐藏为入网订阅永久标识符(“supi”)，且可知晓ue的对应永久装备标识符(“pei”)。dcs可基于入网凭证认证ue，且向认证服务器功能(“ausf”)置备主会话密钥(“msk”)，以用于根据正常过程在用于接入层(“as”)及非接入层(“nas”)的无线电接口上建立安全性。dcs及ue可导出用于保护来自置备服务器的配置文件的置备密钥。
53.图4是说明用由与snpn分离的实体所拥有的凭证进行网络接入认证的系统400的一个实施例的示意性框图。系统400包含ue 402、amf及/或安全锚功能(“seaf”)(“amf/seaf”)404、udm/udr 406、ausf 408、dcs 410及置备服务器412。系统400的通信中的每一者可包含一或多个消息。
54.在第一通信414中，ue 402将具有作为ue 402标识的dcs 410的入网suci的注册请求消息发送到amf/seaf 404。
55.在第二通信416中，amf/seaf 404基于网络接入标识符(“nai”)的领域检测到注册请求消息不是来自snpn的订户而是用于dcs 410处的入网。amf/seaf 404通过验证nai的领域以及snpn是否具有与此dcs 410的有效协定来授权所述请求。amf/seaf 404将所述请求转发到ausf 408，ausf 408可被预配置用于处置向外部dcs 410发射的请求。
56.在第三通信418中，ausf 408可通过验证nai的领域以及snpn是否具有与此dcs 410的有效协定来执行注册请求的授权。ausf 408识别dcs 410，并扮演认证、授权及计费(“aaa”)代理(“aaa代理”)的角色，且向dcs 410发送相关的aaa消息。ausf 408向dcs 410发送具有入网suci的认证请求。ausf 408可在认证请求中包含snpnid、封闭接入群组(“cag”)id及/或服务网络名称。应当注意，如果dcs 410仅支持diameter或radius协议，那么sbi-diameter互通功能性可与ausf 408或dcs 410并置，或者可在额外功能性中。
57.dcs 410将suci去隐藏420为supi，并基于用户名验证认证请求。dcs 410基于supi选择订户配置文件，且在第四通信422中，使用ue 402及dcs 410中的预共享入网凭证，与ue 402执行基于可扩展认证协议(“eap”)的认证。dcs 410可基于入网supi或入网配置文件中的所存储的预配置的置备服务器来选择置备服务器412。置备服务器412地址可为nai、完全限定域名(“fqdn”)或置备服务器412的因特网协议(“ip”)地址。
58.在第五通信424中，在成功认证之后，dcs 410在认证响应中将认证的结果、入网supi、msk及/或置备服务器412的有效性时间及地址发送回ausf 408。
59.ausf 408验证426所述响应并从msk及k
seaf
导出k
ausf
。ue 402相应地执行428相同的密钥导出。
60.在第六通信430中，ausf 408向amf/seaf 404发送认证响应，所述认证响应包含来自dcs 410及k
seaf
的认证结果、入网supi及/或有效性时间(例如，直到入网到期为止的时间及置备服务器412的地址)。
61.在第七通信432中，amf/seaf 404与ue 402执行nas安全模式命令(“smc”)。
62.在第八通信434中，在成功的nas smc过程之后，amf/seaf 404发送包含置备服务器412的地址的注册接受消息。
63.在第九通信436中，ue 402执行正常协议数据单元(“pdu”)会话建立过程以经由upf获得ip连接性。如果在第八通信434中在nas注册接受消息中没有置备置备服务器412地址，那么ue 402可在此时间点从smf检索置备服务器412地址。ue 402可具有仅对置备服务器412的有限up接入。
64.ue 402及dcs 410以相同的方式导出438及440置备密钥k
pro
。当从msk或k
ausf
导出k
pro
时，可使用按可交换顺序的以下一或多个参数来形成kdf的输入s：fc＝0xyz、任何十六进制值、p0＝《服务网络名称》、l0＝《服务网络名称》的长度、p1＝《npn id》、l1＝《npn id》的长度、p2＝《cag id》、l2＝《cag id》的长度、p3＝《入网supi》、l3＝《入网supi》的长度、p4＝《配置服务器地址》、l4＝《配置服务器地址》的长度、p5＝《入网suci》、l5＝《入网suci》的长度、p6＝《pei》及/或l6＝《pei》的长度。输入密钥key是msk或k
ausf
，其中k
ausf
是msk的最高有效256位。应注意，合理的输入可分别是入网supi、pei及/或置备服务器地址(包含其长度)。密钥导出可发生在移动装备(“me”)中或入网配置文件的通用订户标识模块(“usim”)中或通用集成电路卡(“uicc”)中。
65.在第十通信442中，dcs 412向置备服务器414提供置备信息入网supi及置备密钥k
pro
。置备服务器414的选择可根据入网supi基于dcs 412中存储的地址来执行。置备服务器414可与dcs 412并置。
66.置备服务器414基于入网supi选择444配置文件。
67.在第十一通信446中，ue 402(或me)通过使用k
pro
与置备服务器414建立ipsec安全关联(“sa”)。uicc可启动ipsec连接以将所置备配置文件直接安装为usim应用程序。代替ipsec，me或uicc可与置备服务器414建立传输层安全(“tls”)连接。置备服务器414可通过用入网supi联系网络暴露功能(“nef”)来触发安全连接的建立，以检索ue 402的ip地址且启动安全连接(例如，ipsec或tls)。然后，所有消息可受到ipsec隧道的机密性及完整性保护。如果pei没有用作k
pro
导出的输入，那么ue 402可经由ipsec隧道将其pei提供到置备服务器414。如果pei被用作k
pro
导出的输入且入网凭证被泄露给恶意ue，那么k
pro
将导致不匹配且置备将失败，这是因为dcs 412中存储的pei可不与恶意ue的pei相同。
68.在第十二通信448中，置备服务器414经由ipsec隧道向ue 404置备新配置文件。
69.在第十三通信450中，置备服务器414向dcs 412确认置备的结果(例如，成功及/或失败)。如果可用，置备服务器414可向dcs 412提供pei。
70.如果pei没有用作k
pro
导出的输入，那么dcs 412可验证452从置备服务器414接收的pei是否与入网supi的经存储pei匹配，且如果它们匹配，那么dcs 412可删除或取消激活在置备成功的情况下与入网supi相关的入网配置文件。如果pei用作k
pro
密钥导出的输入，那么dcs 412可取消激活或删除在置备成功的情况下与入网supi相关的入网配置文件。是否取消激活或删除入网配置文件以及如何再次激活或创建新的入网配置文件(例如，通过
顶部配置、基于计时器等)取决于dcs 412中的本地策略。这可防止在入网凭证受损的情况下，来自恶意ue的后续假冒攻击被置备有效的配置文件。
71.在第十四通信454中，ue 402从入网网络撤销注册，且可删除或取消激活入网配置文件。
72.在第十五通信456中，ue 402根据所置备的配置文件选择npn，并使用所置备的配置文件向npn注册。所选择的npn可与入网npn不同或相同。
73.图5是说明用于蜂窝网络中的置备服务器选择的方法500的一个实施例的流程图。在一些实施例中，方法500由例如网络单元104的设备执行。在某些实施例中，方法500可由执行程序代码的处理器执行，所述处理器例如微控制器、微处理器、cpu、gpu、辅助处理单元、fpga或类似者。
74.在各种实施例中，方法500包含经由第一网络功能与远程单元通信502。在一些实施例中，方法500包含接收504来自第一网络功能的认证请求。在某些实施例中，方法500包含基于入网配置文件的远程单元标识、基于预配置或其组合来选择506置备服务器。在各种实施例中，方法500包含向第一网络功能发射508响应消息。响应消息包含置备服务器地址。
75.在某些实施例中，方法500进一步包括将远程单元的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。在一些实施例中，方法500进一步包括向第二网络功能发射置备密钥消息，其中置备密钥消息包括k
pro
及入网订阅永久标识符(supi)。在各种实施例中，方法500进一步包括基于发射置备密钥消息从第二网络功能接收响应消息。
76.在一个实施例中，方法500进一步包括验证成功的置备，并取消激活或删除与入网supi相关的入网配置文件。在某些实施例中，网络装置包括默认凭证服务器(dcs)。在一些实施例中，远程单元包括用户装备。
77.在各种实施例中，第一网络功能包括认证服务器功能(ausf)。在一个实施例中，第二网络功能包括置备服务器。
78.图6是说明用于蜂窝网络中的置备服务器选择的方法600的另一实施例的流程图。在一些实施例中，方法600由例如远程单元102的设备执行。在某些实施例中，方法600可由执行程序代码的处理器执行，所述处理器例如微控制器、微处理器、cpu、gpu、辅助处理单元、fpga或类似者。
79.在各种实施例中，方法600包含与第一网络功能通信602。在一些实施例中，方法600包含接收604包含置备服务器地址的注册接受消息。在某些实施例中，方法600包含将远程单元的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出606置备密钥(k
pro
)。
80.在某些实施例中，方法600进一步包括与第二网络功能通信，以使用k
pro
建立因特网协议(ip)安全(ipsec)隧道。在一些实施例中，第二网络功能包括置备服务器。在各种实施例中，远程单元包括用户装备(ue)。
81.在一个实施例中，第一网络功能包括接入及移动性管理功能。在某些实施例中，方法600进一步包括在接收注册接受消息之前发射注册请求消息。
82.在一个实施例中，一种设备包括网络装置。所述设备进一步包括：发射器，其经由第一网络功能与远程单元通信；接收器，其接收来自所述第一网络功能的认证请求；及处理
器，其基于入网配置文件的远程单元标识、基于预配置或其组合来选择置备服务器，其中所述发射器向所述第一网络功能发射响应消息，其中所述响应消息包括置备服务器地址。
83.在某些实施例中，处理器将远程单元的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。
84.在一些实施例中，发射器向第二网络功能发射置备密钥消息，其中置备密钥消息包括k
pro
及入网订阅永久标识符(supi)。
85.在各种实施例中，接收器基于发射置备密钥消息从第二网络功能接收响应消息。
86.在一个实施例中，处理器验证成功的置备，并取消激活或删除与入网supi相关的入网配置文件。
87.在某些实施例中，网络装置包括默认凭证服务器(dcs)。
88.在一些实施例中，远程单元包括用户装备。
89.在各种实施例中，第一网络功能包括认证服务器功能(ausf)。
90.在一个实施例中，第二网络功能包括置备服务器。
91.在一个实施例中，方法网络装置包括：经由第一网络功能与远程单元通信；接收来自所述第一网络功能的认证请求；基于入网配置文件的远程单元标识、基于预配置或其组合来选择置备服务器；及向所述第一网络功能发射响应消息，其中所述响应消息包括置备服务器地址。
92.在某些实施例中，方法进一步包括将远程单元的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。
93.在一些实施例中，方法进一步包括向第二网络功能发射置备密钥消息，其中置备密钥消息包括k
pro
及入网订阅永久标识符(supi)。
94.在各种实施例中，方法进一步包括基于发射置备密钥消息从第二网络功能接收响应消息。
95.在一个实施例中，方法进一步包括验证成功的置备，并取消激活或删除与入网supi相关的入网配置文件。
96.在某些实施例中，网络装置包括默认凭证服务器(dcs)。
97.在一些实施例中，远程单元包括用户装备。
98.在各种实施例中，第一网络功能包括认证服务器功能(ausf)。
99.在一个实施例中，第二网络功能包括置备服务器。
100.在一个实施例中，一种设备包括远程单元。所述设备进一步包括：发射器，其与第一网络功能通信；接收器，其接收包括置备服务器地址的注册接受消息；及处理器，其将所述设备的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。
101.在某些实施例中，发射器与第二网络功能通信，以使用k
pro
建立因特网协议(ip)安全(ipsec)隧道。
102.在一些实施例中，第二网络功能包括置备服务器。
103.在各种实施例中，远程单元包括用户装备(ue)。
104.在一个实施例中，第一网络功能包括接入及移动性管理功能。
105.在某些实施例中，发射器在接收注册接受消息之前发射注册请求消息。
106.在一个实施例中，一种远程单元的方法包括：与第一网络功能通信；接收包括置备服务器地址的注册接受消息；及将所述远程单元的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。
107.在某些实施例中，方法进一步包括与第二网络功能通信，以使用k
pro
建立因特网协议(ip)安全(ipsec)隧道。
108.在一些实施例中，第二网络功能包括置备服务器。
109.在各种实施例中，远程单元包括用户装备(ue)。
110.在一个实施例中，第一网络功能包括接入及移动性管理功能。
111.在某些实施例中，方法进一步包括在接收注册接受消息之前发射注册请求消息。
112.可以其它特定形式实践实施例。所描述的实施例应在所有方面仅被视为说明性且非限制性的。因此，本发明的范围由所附权利要求书而非前述描述指示。在权利要求书的含义及等效范围内的全部改变应包含在其范围内。

技术特征：
1.一种包括网络装置的设备，所述设备进一步包括：发射器，其经由第一网络功能与远程单元通信；接收器，其接收来自所述第一网络功能的认证请求；及处理器，其基于入网配置文件的远程单元标识、基于预配置或其组合来选择置备服务器，其中所述发射器向所述第一网络功能发射响应消息，其中所述响应消息包括置备服务器地址。2.根据权利要求1所述的设备，其中所述处理器将所述远程单元的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。3.根据权利要求2所述的设备，其中所述发射器向第二网络功能发射置备密钥消息，其中所述置备密钥消息包括所述k
pro
及入网订阅永久标识符(supi)。4.根据权利要求3所述的设备，其中所述接收器基于发射所述置备密钥消息从所述第二网络功能接收响应消息。5.根据权利要求4所述的设备，其中所述处理器验证成功的置备，并取消激活或删除与所述入网supi相关的入网配置文件。6.根据权利要求1所述的设备，其中所述网络装置包括默认凭证服务器(dcs)。7.根据权利要求1所述的设备，其中所述远程单元包括用户装备。8.根据权利要求1所述的设备，其中所述第一网络功能包括认证服务器功能(ausf)。9.根据权利要求1所述的设备，其中所述第二网络功能包括置备服务器。10.一种网络装置的方法，所述方法包括：经由第一网络功能与远程单元通信；接收来自所述第一网络功能的认证请求；基于入网配置文件的远程单元标识、基于预配置或其组合来选择置备服务器；及向所述第一网络功能发射响应消息，其中所述响应消息包括置备服务器地址。11.一种包括远程单元的设备，所述设备进一步包括：发射器，其与第一网络功能通信；接收器，其接收包括置备服务器地址的注册接受消息；及处理器，其将所述设备的永久装备标识符(pei)作为密钥导出函数(kdf)的输入来从主会话密钥(msk)导出置备密钥(k
pro
)。12.根据权利要求11所述的设备，其中所述发射器与第二网络功能通信以使用所述k
pro
建立因特网协议(ip)安全(ipsec)隧道，其中所述第二网络功能包括置备服务器。13.根据权利要求11所述的设备，其中所述远程单元包括用户装备(ue)。14.根据权利要求11所述的设备，其中所述第一网络功能包括接入及移动性管理功能。15.根据权利要求11所述的设备，其中所述发射器在接收所述注册接受消息之前发射注册请求消息。

技术总结
公开用于蜂窝网络中的置备服务器选择的设备、方法及系统。一种方法(500)包含在网络装置处经由第一网络功能与远程单元通信(502)。所述方法(500)包含接收(504)来自所述第一网络功能的认证请求。所述方法(500)包含基于入网配置文件的远程单元标识、基于预配置或其组合来选择(506)置备服务器。所述方法(500)包含向所述第一网络功能发射(508)响应消息。所述响应消息包含置备服务器地址。响应消息包含置备服务器地址。响应消息包含置备服务器地址。


技术研发人员：A
受保护的技术使用者：联想（新加坡）私人有限公司
技术研发日：2022.02.08
技术公布日：2023/10/5