[发明专利]用于蜂窝物联网的网络安全架构

权利要求书

1.一种用于网络中的客户端设备的方法，包括：

向所述网络进行注册；

至少获得与第一网络节点处实现的用户平面网络功能单元共享的用户平面密钥或者与第二网络节点处实现的控制平面网络功能单元共享的控制平面密钥；

利用所述用户平面密钥来保护数据分组，或者利用所述控制平面密钥来保护控制分组，其中，所述数据分组包括用于指示将在所述第一网络节点处处理所述数据分组的第一目的地信息，所述第一目的地信息使得网络接入节点能够将所述数据分组转发给所述第一网络节点，并且其中，所述控制分组包括用于指示将在所述第二网络节点处处理所述控制分组的第二目的地信息，所述第二目的地信息使得所述网络接入节点能够将所述控制分组转发给所述第二网络节点；

向所述网络发送所保护的数据分组或者所保护的控制分组；以及

向所述网络发送加密的客户端设备上下文，

其中，所述加密的客户端设备上下文至少包括所述用户平面密钥或所述控制平面密钥，并且能够在所述网络处为所述客户端设备重建至少安全上下文，所述安全上下文能够在所述网络处对所保护的数据分组或者所保护的控制分组进行解密和/或验证。

2.根据权利要求1所述的方法，还包括：

从所述网络接收分组；

确定所接收的分组是包括数据还是包括控制信息；以及

基于所述确定，利用所述用户平面密钥或者所述控制平面密钥对所接收的分组进行解码。

3.根据权利要求2所述的方法，其中，对所接收的分组进行解码包括：

利用所述用户平面密钥或者所述控制平面密钥，对所接收的分组进行解密和验证。

4.根据权利要求3所述的方法，其中，对所接收的分组进行验证包括：

基于所接收的分组和所述用户平面密钥或者所述控制平面密钥二者之一，通过应用消息认证码生成算法，来确定第一消息认证码；以及

将所述第一消息认证码和与所接收的分组相关联的第二消息认证码进行比较。

5.根据权利要求1所述的方法，还包括：

获得用户平面安全上下文或者控制平面安全上下文中的至少一个，其中，所述用户平面安全上下文指示针对所述客户端设备的关于用户平面的网络状态信息，所述控制平面安全上下文指示针对所述客户端设备的关于控制平面的网络状态信息。

6.根据权利要求5所述的方法，其中，获得所述用户平面安全上下文包括：基于所述用户平面密钥来推导第一加密密钥和第一完整性密钥，并且其中，获得所述控制平面安全上下文包括：基于所述控制平面密钥来推导第二加密密钥和第二完整性密钥。

7.根据权利要求5所述的方法，其中，所述用户平面安全上下文或者所述控制平面安全上下文不包括接入层安全保护。

8.根据权利要求2所述的方法，其中，用户平面网络功能单元标识符或者控制平面网络功能单元标识符被包括在所接收的分组的报头中，并且其中，所述客户端设备被注册在减少数据传送模式下。

9.根据权利要求1所述的方法，其中，所述数据分组是基于所述用户平面密钥来进行加密或者完整性保护的，或者是基于所述用户平面密钥来既进行加密又进行完整性保护的，并且其中，所述控制分组是基于所述控制平面密钥来进行加密或者完整性保护的，或者是基于所述控制平面密钥既进行加密又进行完整性保护的。

10.根据权利要求1所述的方法，其中，所述向所述网络进行注册包括：

发送对于附着到所述网络的请求；以及

从所述网络接收响应于所述请求的、与认证过程相关联的消息，

其中，所述用户平面密钥或者所述控制平面密钥是基于所述消息来获得的，并且其中，所述附着请求指示所述客户端设备要在减少数据传送模式下附着。