Защита информации направления в сеть

ОБЛАСТЬ ТЕХНИКИ

Некоторые варианты осуществления настоящего раскрытия, в общем, относятся к беспроводной связи и, в частности, к защите информации направления (наведения) в сеть (network steering).

УРОВЕНЬ ТЕХНИКИ

В 3GPP TSG S3-171733/S2-175286 обсуждается заявление о взаимодействии (LS) касательно политик выбора наземной сети мобильной связи общего пользования (PLMN) и технологии радиодоступа (RAT) для роуминга. А именно, LS от рабочей группы 2 по cиcтемным аспектам (SA2) было принято рабочей группой 3 по cиcтемным аспектам (SA3) #88 в 3GPP TSG S3-171733/S2-175286. В LS от SA2 в 3GPP TSG S3-171733/S2-175286 говорится, что необходимо выработать стандартизованный способ, позволяющий данной домашней наземной сети мобильной связи общего пользования (HPLMN) предоставлять ее роуминговому пользовательскому оборудованию (UE) информацию о предпочтительных сетях и RAT в зависимости от текущего местоположения UE.

SA2 представила на рассмотрение следующие требования в 3GPP TSG S3-171733/S2-175286:

Решение для плоскости управления используется от HPLMN до UE.

Гостевая наземная сеть мобильной связи общего пользования (VPLMN) может передавать эту информацию пользовательскому оборудованию (UE).

VPLMN не должна иметь возможность изменять информацию, посланную сетью HPLMN (т.е. UE должно иметь возможность проверять целостность предоставленной ему информации).

UE должно быть способно обнаруживать изменение или удаление этой информации сетью VPLMN и действовать соответственно.

Рабочая группа 1 по системным аспектам (SA1) ответила в 3GG TSG S1-173478 ссылками на соответствующие требования к услугам в TS 22.261 (подпункты 5.1.2.1 и 6.19) и TS 22.011 (подпункт 3.2.2.8). Требования SA1, кажется, подчеркивают, что HPLMN должна быть способна направлять или перенаправлять UE для конкретной VPLMN в любое время.

C1-173751 обсуждает ответное LS к LS касательно политик выбора PLMN и RAT для роуминга. (S2-175286/C1-172866). CT1 указал в C1-173751, что CT1 ответственен за спецификации (TS 23.122) второй стадии, и просит SA3 исследовать сквозное решение по обеспечению безопасности, основанное на требованиях в S3-171733/S2-175286, прежде чем CT1 определит какое-либо решение для требований.

Кроме того, другой документ в 3GPP TSG S3-172034 был представлен SA3 #88 на тему обеспечения безопасности информации направления в сеть. Соответствующий документ для обсуждения от Samsung находится в SA3 #88. Две различные альтернативы обсуждались в 3GPP TSG S3-172034. Два потенциальных набора удостоверений защиты, которые, как полагается, будут защищать информацию пользовательскому оборудованию (UE) от AUSF (в HPLMN), были следующими:

Использование асимметричного ключа HN

Использование ключа привязки, являющегося результатом первичной аутентификации.

В заключении в 3GPP TSG S3-172034 как предпочтительная была указана вторая альтернатива (т.е. использование ключа привязки, являющегося результатом первичной аутентификации). Однако не все операторы могут не поддержать асимметричный ключ HN.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Некоторые варианты осуществления, описанные в настоящем описании, решают проблемы предыдущих методик для защиты информации направления в сеть.

В соответствии с некоторыми вариантами осуществления способ защиты информации направления в сеть, выполняемый пользовательским оборудованием (UE), включает в себя передачу запроса регистрации в гостевую наземную сеть мобильной связи общего пользования (VPLMN). После успешной аутентификации функцией сервера аутентификации (AUSF), генерируется корневой ключ домашней сети. Защищенное сообщение, содержащее информацию направления в сеть, принимается от первого узла сети. Защищенное сообщение защищено с использованием конфигурационного ключа (Kconf) и первого кода аутентификации сообщений (MAC-1). Конфигурационный ключ (Kconf) определяется по корневому ключу домашней сети, и UE верифицирует MAC-1. На основе Kconf и MAC-1 верифицируется, что VPLMN не изменила информацию направления в сеть. Сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщения (MAC-2), передается в домашнюю наземную сеть мобильной связи общего пользования (HPLMN).

В соответствии с некоторыми вариантами осуществления, UE содержит память, приспособленную для хранения инструкций, и схему обработки, выполненную с возможностью выполнения инструкций, предписывающих UE передавать запрос регистрации в VPLMN. После успешной аутентификации с помощью AUSF, генерируется корневой ключ домашней сети. Защищенное сообщение, содержащее информацию направления в сеть, принимается от первого узла сети. Защищенное сообщение защищено с помощью Kconf и MAC-1. Kconf определяется по корневому ключу домашней сети, и UE верифицирует MAC-1. На основе Kconf и MAC-1 верифицируется, что VPLMN не изменила информацию направления в сеть. Сообщение подтверждения, которое защищено с помощью второго MAC-2, передается в HPLMN.

В соответствии с некоторыми вариантами осуществления способ защиты информации направления в сеть, выполняемый первым узлом сети, работающим в качестве AUSF, включает в себя этап, на котором генерируют корневой ключ домашней сети. Информация направления в сеть принимается от второго узла сети, и Kconf определяется по ключу домашней сети. Защищенное сообщение, содержащее информацию направления в сеть, генерируется и защищается с использованием Kconf и MAC-1. Защищенное сообщение, содержащее информацию направления в сеть, передается в UE. Сообщение подтверждения принимается от UE. Сообщение подтверждения защищается с помощью MAC-2 и указывает, что VPLMN не изменила информацию направления в сеть. Сообщение подтверждения, указывающее, что VPLMN не изменила информацию направления в сеть, пересылается второму узлу сети.

В соответствии с некоторыми вариантами осуществления предложен первый узел сети, работающий в качестве AUSF, для защиты информации направления в сеть. Первый узел сети включает в себя память, приспособленную для хранения инструкций, и схему обработки, выполненную с возможностью исполнения инструкций, предписывающих узлу сети генерировать корневой ключ домашней сети. Информация направления в сеть принимается от второго узла сети, а Kconf определяется по ключу домашней сети. Защищенное сообщение, содержащее информацию направления в сеть, генерируется и защищается с помощью Kconf и MAC-1. Защищенное сообщение, содержащее информацию направления в сеть, передается в UE. Сообщение подтверждения принимается от UE. Сообщение подтверждения защищается с помощью MAC-2 и указывает, что VPLMN не изменила информацию направления в сеть. Сообщение подтверждения, указывающее, что VPLMN не изменила информацию направления в сеть, пересылается второму узлу сети.

В соответствии с некоторыми вариантами осуществления способ защиты информации направления в сеть, выполняемый первым узлом сети, включает в себя передачу информации направления в сеть и MAC-1 второму узлу сети, работающему в качестве AUSF, для защиты информации направления в сеть с помощью Kconf и MAC-1. Сообщение подтверждения, защищенное с помощью MAC-2, принимается от UE. Подтверждение указывает, что VPLMN не изменила информацию направления в сеть. Верифицируется MAC-2 и на основе подтверждения определяется, что VPLMN не изменила информацию направления в сеть.

В соответствии с некоторыми вариантами осуществления предложен первый узел сети для защиты информации направления в сеть. Узел сети содержит память, приспособленную для хранения инструкций, и схему обработки, выполненную с возможностью исполнения инструкций, вызывающих передачу узлом сети информации направления в сеть и MAC-1 во второй узел сети, работающий в качестве AUSF, для защиты информации направления в сеть с помощью Kconf и MAC-1. Сообщение подтверждения, защищенное с помощью MAC-2, принимается от UE. Подтверждение указывает, что VPLMN не изменила информацию направления в сеть. Верифицируется MAC-2 и на основе подтверждения определяется, что VPLMN не изменила информацию направления в сеть.

Варианты осуществления настоящего раскрытия могут обеспечивать одно или более технических преимуществ. Например, одно преимущество некоторых вариантов осуществления может предоставлять сквозное решение, в котором узел в HPLMN, такой как, например, AUSF, может посылать информацию направления в сеть с защитой целостности в UE. Другое преимущество может состоять в том, что решение получается из первичной аутентификации HPLMN с использованием ключа, который известен только UE и HPLMN. В качестве другого примера, одно преимущество может состоять в том, что решение может быть улучшено за счет сквозного шифрования, так что информация направления в сеть может быть скрыта от VPLMN. Еще одно преимущество может состоять в том, что некоторые варианты осуществления обеспечивают подтверждение получения информации направления в сеть в UE, так что HPLMN знает, приняло ли UE информацию.

Некоторые варианты осуществления могут не включать в себя ни одного или включать в себя некоторые или все эти преимущества. Некоторые варианты осуществления могут включать в себя другие преимущества, как будет понятно специалисту в данной области техники.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

В соответствии с некоторыми вариантами осуществления предложено комплексное решение, в котором узел в домашней наземной сети мобильной связи общего пользования (HPLMN), такой как, например, функция сервера аутентификации (AUSF), может посылать информацию направления в сеть с защитой целостности в пользовательское оборудование (UE). В одном конкретном варианте осуществления решение основано на Kausf, полученном из первичной аутентификации. Этот ключ будет известен только UE и HPLMN. Таким образом, может быть получен ключ из Kausf, полученного в результате первичной аутентификации, который используется для обеспечения безопасности информации направления в сеть от домашней наземной сети мобильной связи общего пользования (HPLMN) до пользовательского оборудования (UE). В одном конкретном варианте осуществления ключ является конфигурационным ключом, а информация направления в сеть является списком предпочтительных наземных сетей мобильной связи общего пользования (PLMN) и технологий радиодоступа (RAT). А именно, в соответствии с некоторыми вариантами осуществления AUSF в HPLMN вычисляет код аутентификации сообщения по информации направления в сеть с помощью этого конфигурационного ключа.

В одном конкретном варианте осуществления решение может быть дополнено сквозным шифрованием. Преимущество шифрования может состоять в том, что информация направления в сеть может быть скрыта от гостевой наземной сети мобильной связи общего пользования (VPLMN). Кроме того, может быть обеспечена защита конфиденциальности по радиоинтерфейсу путем обеспечения защиты с помощью уровня без доступа (NAS). Однако использование любой формы защиты конфиденциальности может регулироваться региональной или национальной нормативной политикой.

Обнаружение пользовательским оборудованием (UE) удаления информации направления в сеть сетью VPLMN является сложной задачей. Соответственно, некоторые варианты осуществления, предложенные в настоящем документе, предлагают использовать сообщение подтверждения обратно в HPLMN так, чтобы, по меньшей мере, HPLMN знала, приняло ли UE информацию. Например, UE может посылать сообщение подтверждения, когда оно приняло информацию направления в сеть. В одном конкретном варианте осуществления сообщение подтверждения от UE может быть с защитой целостности. А именно, подтверждение (ACK) направления в сеть имеет сквозную защиту между UE и узлом в HPLMN. После получения ACK направления в сеть, HPLMN может знать, доставила ли VPLMN сообщение. Следует отметить, что информация направления в сеть может перенаправить UE в другою VPLMN, и, следовательно, VPLMN может быть не заинтересована в ее доставке.

В соответствии с некоторыми конкретными вариантами осуществления некоторые дополнительные учитываемые потенциальные параметры включают в себя:

Идентификатор конфигурационного ключа: Этот идентификатор может связывать конфигурационный ключ с Kausf, из которого он был получен. В одном конкретном варианте, например, идентификатор конфигурационного ключа может быть случайным идентификатором (RAND), генерируемым AUSF и выдаваемым MS.

Идентификатор алгоритма защиты целостности: В одном конкретном варианте осуществления если алгоритм целостности не идентифицирован отдельно, это может быть широко известная функция KDF, обычно используемая в сетях 3GPP, т.е. HMAC-SHA-256 (см. 3GPP TS 33.401 Annex A и TGPP TS 33.220 Annex B).

Счетчик: Если один и тот же конфигурационный ключ используется для вычисления более чем одного управления доступом к среде (MAC), то дополнительный счетчик является предпочтительным в качестве параметра для обнаружения защиты воспроизведения в UE.

ФИГУРА 1 изображает иллюстративную сигнальную последовательность 100, демонстрирующую предоставление информации направления в сеть от HPLMN в UE 102 в соответствии с некоторыми вариантами осуществления. А именно, ФИГУРА 1 демонстрирует пример процедуры регистрации UE, когда AUSF 104 в домашней сети выполняет защиту целостности информации направления в сеть и включает в себя защищенную информацию направления в сеть по интерфейсу N12 к функции мобильности доступа/функции привязки безопасности (AMF/SEAF) 106 в гостевой наземной сети мобильной связи общего пользования (VPLMN). AMF/SEAF 106 посылает защищенную информацию направления в сеть в UE 102 в сообщении уровня без доступа (NAS). В одном конкретном варианте осуществления, например, AMF/SEAF 106 посылает защищенную информацию направления в сеть в UE 102 в сообщении одобрения регистрации. Следует отметить, что приведенный пример является иллюстративной оптимизацией. В одном конкретном варианте осуществления HPLMN должна иметь возможность посылать информацию направления в сеть в UE 102 в любое время. Таким образом HPLMN не может быть ограничена отправкой информации направления в сеть в UE 102 только во время процедуры регистрации.

Как изображено на ФИГУРЕ 1, сигнальная последовательность в соответствии с некоторыми вариантами осуществления имеет следующий вид:

1. UE 102 регистрируется в VPLMN и аутентифицируется с помощью AUSF 104.

2. UE 102 и AUSF 104 генерируют Kausf.

3. Узел в HPLMN (например, управление пользовательскими данными (UDM) 108) посылает информацию направления в сеть в AUSF 104. В изображенном варианте осуществления AUSF 104 защищает информацию направления в сеть.

Например, в одном конкретном варианте осуществления информацию направления в сеть может защищать функция управления политикой.

4. AUSF 104 получает конфигурационный ключ (Kconf) из корневого ключа домашней сети (Kausf) и вычисляет код аутентификации сообщения (MAC-1) по информации направления в сеть.

5. AUSF 104 пересылает защищенную информацию направления в сеть в AMF/SEAF.

6. AMF/SEAF пересылает защищенную информацию направления в сеть в UE 102. В одном конкретном варианте осуществления это сообщение может быть конфиденциально защищенным по беспроводной связи с помощью защиты NAS. В одном конкретном варианте осуществления информация направления в сеть может быть совмещена, например, с сообщением одобрения регистрации.

7. UE 102 получает конфигурационный ключ (Kconf) из корневого ключа домашней сети (Kausf) и верифицирует MAC-1. В одном конкретном варианте осуществления UE 102 может послать сообщение подтверждения (“ACK направления в сеть”) в HPLMN и защищать эту информацию с помощью MAC-2.

8. UE 102 посылает защищенное сообщение ACK в AMF/SEAF.

9. AMF/SEAF пересылает защищенное ACK в AUSF.

10. AUSF верифицирует MAC-2 в защищенном сообщении ACK направления в сеть.

11. AUSF пересылает ACK в первоисточник информации направления в сеть.

ФИГУРА 2 изображает другую иллюстративную сигнальную последовательность 200, показывающую предоставление информации направления в сеть от HPLMN в UE 202 в соответствии с некоторыми вариантами осуществления. А именно, ФИГУРА 2 демонстрирует сценарий, когда другой узел, а не AUSF 204, отвечает за доставку информации направления в сеть. Например, в изображенном варианте осуществления функция централизованной координации (PCF) 208 доставляет информацию направления в сеть. Однако PCF 208 является лишь одним примером, и информация направления в сеть может доставляться другим узлом в других вариантах осуществления.

Как изображено на ФИГУРЕ 2, сигнальная последовательность 200 в соответствии с определенными вариантами осуществления имеет следующий вид:

1. UE 202 регистрируется в VPLMN и аутентифицируется с помощью AUSF 204.

2. UE 202 и AUSF 204 генерируют Kausf.

3. Узел в HPLMN посылает запрос ключа в AUSF 204. В изображенном иллюстративном варианте осуществления PCF 208 посылает запрос ключа в AUSF 204. В соответствии с одним конкретным вариантом осуществления можно предположить, что AUSF 204 только получает дальнейшие ключи из корневого ключа домашней сети (Kausf) и действует как сервер управления ключами и распределяет такие ключи в HPLMN.

4. AUSF 204 получает конфигурационный ключ (Kconf) из корневого ключа домашней сети (Kausf).

5. AUSF 204 посылает ответ с ключом с конфигурационным ключом (Kconf) в PCF 208.

6. PCF 208 создает информацию направления в сеть и защищает ее с помощью MAC-1.

7. PCF 208 посылает защищенную информацию направления в сеть в UE 202. В соответствии с конкретными вариантами осуществления могут иметься промежуточные узлы между PCF 208 и UE 202, которые в некоторых вариантах осуществления могут принимать и передавать защищенную информацию направления в сеть.

8. UE получает конфигурационный ключ (Kconf) из корневого ключа домашней сети (Kausf) и верифицирует MAC-1. В одном конкретном варианте осуществления UE 202 может посылать сообщение подтверждения (“ACK направления в сеть”) в PCF 208 и защищать эту информацию с помощью MAC-2.

9. UE 202 посылает защищенное сообщение ACK в PCF 208. В соответствии с конкретными вариантами осуществления могут иметься промежуточные узлы между узлом и UE 202.

10. PCF 208 верифицирует MAC-2 в защищенном сообщении ACK направления в сеть.

Обнаружение пользовательским оборудованием (UE) 202 удаления информации направления в сеть сетью VPLMN является сложной задачей. Это может требовать, чтобы UE 202 могло ожидать поступления такого сообщения, и чтобы AUSF 204 посылало сообщение (с помощью MAC), даже когда ничего не нужно конфигурировать. Такая схема обмена сообщениями не может быть эффективной и будет гарантировать доставку только тогда, когда UE 202 ожидает их поступление. По сути, в соответствии с некоторыми вариантами осуществления предлагается использовать сообщение подтверждения обратно в HPLMN так, чтобы по меньшей мере HPLMN имела возможность обнаружить сбой поставки.

ФИГУРА 3 изображает иллюстративный вариант осуществления схемы повторной передачи сети 300 для защиты информации направления в сеть в соответствии с некоторыми вариантами осуществления. Сеть 300 включает в себя одно или более UE 310 (которые могут взаимозаменяемо упоминаться как беспроводные устройства 310) и один или более узлов 315 сети (которые могут взаимозаменяемо упоминаться как gNB 315). UE 310 могут осуществлять связь с узлами 315 сети через беспроводной интерфейс. Например, UE 310 может передавать беспроводные сигналы одному или более узлам 315 сети и/или принимать беспроводные сигналы от одного или более узлов 315 сети. Беспроводные сигналы могут содержать голосовой трафик, трафик данных, управляющие сигналы и/или любую другую подходящую информацию. В некоторых вариантах осуществления область покрытия беспроводным сигналом, связанным с узлом 315 сети, может называться сотой 325. В некоторых вариантах осуществления UE 310 могут иметь от возможности связи "устройство-устройство" (D2D). Таким образом UE 310 могут иметь возможность принимать сигналы и/или передавать сигналы напрямую другому UE.

В некоторых вариантах осуществления узлы 315 сети могут взаимодействовать с контроллером радиосети. Контроллер радиосети может управлять узлами 315 сети и может обеспечивать некоторые функции управления радиоресурсами, функции управления мобильностью и/или другие подходящие функции. В некоторых вариантах осуществления функции контроллера радиосети могут быть включены в узел 315 сети. Контроллер радиосети может взаимодействовать с узлом базовой сети. В некоторых вариантах осуществления контроллер радиосети может взаимодействовать с узлом базовой сети через соединительную сеть 320. Соединительной сетью 320 может называться любая соединительная система, способная передавать аудио, видео, сигналы, данные, сообщения или любую комбинацию перечисленного. Соединительная сеть 320 может включать в себя все или часть из: коммутируемую телефонную сеть общего пользования (PSTN), общедоступную или частную сеть передачи данных, локальную сеть (LAN), общегородскую сеть (MAN), глобальную сеть (WAN), локальную, региональную или глобальную коммуникационную или компьютерную сеть, такую как Интернет, проводную или беспроводную сеть, корпоративную внутреннюю сеть или любую другую подходящую линию связи, включая комбинации перечисленного.

В некоторых вариантах осуществления узел базовой сети может управлять установлением сеансов связи и различными другими функциями для UE 310. UE 310 могут обмениваться некоторыми сигналами с узлом базовой сети с помощью уровня слоя без доступа (NAS). В сигнализации слоя без доступа сигналы между UE 310 и узлом базовой сети могут прозрачно передаваться через сеть радиодоступа. В некоторых вариантах осуществления узлы 315 сети могут взаимодействовать с одним или более узлами сети по межузловому интерфейсу.

Как было описано выше, иллюстративные варианты осуществления сети 300 могут включать в себя одно или более беспроводных устройств 310 и один или более различных типов узлов сети, способных осуществлять связь (напрямую или косвенно) с беспроводными устройствами 310.

В некоторых вариантах осуществления используется неограничивающий термин UE. UE 310, описанные в настоящем описании, могут быть беспроводным устройством любого типа, способным осуществлять связь с узлами 315 сети или другим UE с помощью радиосигналов. UE 310 также может быть устройством беспроводной связи, целевым устройством, UE D2D, устройством NB-IoT, UE MTC или UE, способным осуществлять межмашинную (M2M) связь, недорогим и/или несложным UE, датчиком, оборудованным UE, планшетом, мобильными терминалами, смартфоном, ноутбуком, встроенным в ноутбук оборудованием (LEE), установленным в ноутбук оборудованием (LME), аппаратными USB ключами, абонентским оборудованием (CPE) и т.д.

Кроме того, в некоторых вариантах осуществления используется универсальная терминология «узел радиосети» (или просто «узел сети»). Это может быть любой вид узла сети, в том числе gNB, базовая станция (BS), базовая радиостанция, узел B (Node B), базовая станция (BS), радиоузел мультистандартного радио (MSR), такой как BS MSR, усовершенствованный узел B (eNB), сетевой контроллер, контроллер радиосети (RNC), контроллер базовой станции (BSC), радиорелейный узел, радиорелейная станция, радиорелейная станция управления донорским узлом, базовая приемопередающая станция (BTS), точка доступа (AP), точка радиодоступа, передающие точки, узлы передачи, выносной радиоблок (RRU), выносной радиомодуль (RRH), узлы в распределенной антенной системе (DAS), многосотовый/многоадресный координационный объект (MCE), узел базовой сети (например, MSC, MME и т.д.), O&M, OSS, SON, узел позиционирования (например, E-SMLC), MDT или любой другой подходящий узел сети.

Терминологию, такую как узел сети и UE, следует считать неограничивающей и, в частности, она не подразумевает некоторого иерархического отношения между ними; в общем говоря, «eNodeB» можно рассматривать как устройство 1, а «UE» как устройство 2, и эти два устройства осуществляют связь друг с другом по некоторому радиоканалу.

Иллюстративные варианты осуществления UE 310, узлов 315 сети и других узлов сети (таких как контроллер радиосети или узел базовой сети) описаны более подробно ниже.

Хотя ФИГУРА 3 изображает конкретную компоновку сети 300, настоящее раскрытие предполагает, что различные варианты осуществления, описанные в настоящем описании, могут быть применены ко множеству сетей, имеющих любую подходящую конфигурацию. Например, сеть 300 может включать в себя любое подходящее число UE 310 и узлов 315 сети, а также любые дополнительные элементы, подходящие для поддержки связи между несколькими UE или между UE и другим устройством связи (таким как проводной телефон). Кроме того, хотя некоторые варианты осуществления могут быть описаны как реализованные в сети NR или 5G, варианты осуществления могут быть реализованы в любом подходящем типе телекоммуникационной системы, поддерживающей любую подходящую связь и использующей любые подходящие компоненты, и могут быть применимы к любой технологии радиодоступа (RAT) или системам множественного-RAT, в которых UE принимает и/или передает сигналы (например, данные). Например, различные варианты осуществления, описанные в настоящем описании, могут быть применимы к IoT, NB-IoT, LTE, усовершенствованному LTE, UMTS, HSPA, GSM, cdma2000, WCDMA, WiMax, UMB, WiFi, другой подходящей технологии радиодоступа или любой подходящей комбинации одной или более технологий радиодоступа.

ФИГУРА 4 изображает иллюстративное беспроводное устройство 310 для защиты информации направления в сеть в соответствии с некоторыми вариантами осуществления. Беспроводным устройством 310 может называться любой тип беспроводного устройства, осуществляющего связь с узлом и/или с другим беспроводным устройством в системе сотовой или мобильной связи. Примеры беспроводного устройства 310 включают в себя мобильный телефон, смартфон, PDA (персональный цифровой помощник), портативный компьютер (например, ноутбук, планшет), датчик, модем, устройство MTC/межмашинное (M2M) устройство, встраиваемое в ноутбук оборудование (LEE), устанавливаемое в ноутбук оборудование (LME), аппаратные USB ключи, устройство с поддержкой D2D или другое устройство, которое может обеспечивать беспроводную связь. В некоторых вариантах осуществления беспроводным устройством 310 также может называться UE, станция (STA), устройство или терминал. Беспроводное устройство 310 включает в себя приемопередатчик 410, схему 420 обработки и память 430. В некоторых вариантах осуществления приемопередатчик 410 обеспечивает передачу и прием беспроводных сигналов от узла 315 сети (например, через антенну 440), схема 420 обработки (например, которая может включать в себя один или более процессоров) исполняет инструкции для обеспечения части или всей функциональности, описанной выше и обеспечиваемой беспроводным устройством 310, а память 430 хранит инструкции, выполняемые схемой 420 обработки.

Схема 420 обработки может включать в себя любую подходящую комбинацию аппаратного и программного обеспечения, реализованного в одном или более модулях, для исполнения инструкций и управления данными для выполнения некоторых или всех описанных функций беспроводного устройства 310, таких как функции UE 310 (т.е. беспроводного устройства 310), описанных применительно к любому из разделов 3, 4 и 6 в настоящем описании. Например, в общем случае схема обработки может сохранять текущую версию системной информации и/или применять ранее сохраненную версию системной информации на основе уведомления о системной информации (например, уведомления об изменении системной информации, модификации системной информации или обновлении системной информации), принятого в пейджинговом сообщении из узла 315 сети. В некоторых вариантах осуществления схема 420 обработки может включать в себя, например, один или более компьютеров, один или более центральных процессоров (CPU), один или более микропроцессоров, одно или более приложений, одну или более специализированных интегральных схем (ASIC), одну или более программируемых пользователем вентильных матриц (FPGA) и/или другую логику.

Память 430 обычно используется для хранения инструкций, таких как компьютерная программа, программное обеспечение, приложения, в том числе одно или более из: логику, правила, алгоритмы, коды, таблицы и т.д. и/или другие инструкции, которые могут исполняться процессором. Примеры памяти 430 включают в себя память компьютера (например, оперативную память (RAM) или постоянную память (ROM)), носитель запоминающего устройства большой емкости (например, жесткий диск), съемные носители (например, компакт-диск (CD) или цифровой видеодиск (DVD)) и/или любые другие энергозависимые или энергонезависимые, долговременные машиночитаемые и/или исполняемые компьютером запоминающие устройства, хранящие информацию, данные и/или инструкции, которые могут использоваться процессором 420.

Другие варианты осуществления беспроводного устройства 310 могут опционально включить в себя дополнительные компоненты помимо показанных на ФИГУРЕ 4, которые могут отвечать за обеспечение определенных аспектов функциональности беспроводного устройства, в том числе любую функциональность, описанную выше и/или любую дополнительную функциональность (включая любую функциональность, необходимую для поддержки описанного выше решения). В качестве только одного примера, беспроводное устройство 310 может включать в себя устройства и схемы ввода, устройства вывода и одно или более устройств или схем синхронизации, которые могут быть частью схемы 420 обработки. Устройства ввода включают в себя механизмы для ввода данных в беспроводное устройство 310. Например, устройства ввода могут включать в себя механизмы ввода, такие как микрофон, элементы ввода, дисплей и т.д. Устройства вывода могут включать в себя механизмы для вывода данных в формате аудио, видео и/или печатной форме. Например, устройства вывода могут включать в себя громкоговоритель, дисплей и т.д.

ФИГУРА 5 изображает иллюстративный способ 500 защиты информации направления в сеть, выполняемый UE, в соответствии с некоторыми вариантами осуществления. UE может включать в себя беспроводное устройство, такое как беспроводное устройство 310, в одном конкретном варианте осуществления.

На этапе 502 UE передает запрос регистрации в VPLMN. UE может генерировать корневой ключ домашней сети после успешной аутентификации с помощью AUSF на этапе 504. Например, в одном конкретном варианте осуществления UE генерирует Kausf.

На этапе 506 UE принимает от узла сети защищенное сообщение, содержащее информацию направления в сеть, защищенную с помощью конфигурационного ключа (Kconf), полученного из корневого ключа домашней сети и первого кода аутентификации сообщения (MAC-1).

На этапе 508 UE получает конфигурационный ключ (Kconf) из корневого ключа домашней сети. UE верифицирует MAC-1 на этапе 510. На основе Kconf и MAC-1 UE верифицирует, что VPLMN не изменила информацию направления в сеть на этапе 512. После этого UE передает сообщение подтверждения в домашнюю наземную сеть мобильной связи общего пользования (HPLMN) на этапе 514. Сообщение подтверждения защищается с помощью второго кода аутентификации сообщения (MAC-2).

Некоторые варианты осуществления могут содержать больше или меньше действий, и действия могут выполняться в любом подходящем порядке.

В некоторых вариантах осуществления способ защиты информации направления в сеть может выполняться виртуальным вычислительным устройством. ФИГУРА 6 изображает иллюстративное виртуальное вычислительное устройство 600 для защиты информации направления в сеть в соответствии с некоторыми вариантами осуществления. В некоторых вариантах осуществления виртуальное вычислительное устройство 600 может включать в себя модули для выполнения этапов, аналогичных описанным выше в отношении способа, изображенного и описанного на ФИГУРЕ 5. Например, виртуальное вычислительное устройство 900 может включать в себя первый модуль 610 передачи, первый модуль 620 генерации, первый модуль 630 приема, модуль 640 получения, первый модуль 650 верификации, второй модуль 660 верификации, второй модуль 670 передачи и любые другие подходящие модули для защиты информации направления в сеть. В некоторых вариантах осуществления один или более модулей могут быть реализованы с помощью схемы 420 обработки ФИГУРЫ 4. В некоторых вариантах осуществления функции двух или более различных модулей могут быть объединены в один модуль.

Первый модуль 610 передачи может выполнять некоторые функций передачи виртуального вычислительного устройства 600. Например, в одном конкретном варианте осуществления первый модуль 610 передачи может передавать запрос регистрации в VPLMN.

Первый модуль 620 генерации может выполнять определенные функции генерации виртуального вычислительного устройства 600. Например, в одном конкретном варианте осуществления первый модуль 620 генерации может генерировать корневой ключ домашней сети после успешной аутентификации с помощью AUSF.

Первый модуль 630 приема может выполнять определенные функции приема виртуального вычислительного устройства 600. Например, в одном конкретном варианте осуществления первый модуль 630 приема может принимать от узла сети защищенное сообщение, содержащее информацию направления в сеть, защищенную с помощью конфигурационного ключа (Kconf), полученного из корневого ключа домашней сети и первого кода аутентификации сообщения (MAC-1).

Модуль 640 получения может выполнять определенные функции получения виртуального вычислительного устройства 600. Например, в одном конкретном варианте осуществления модуль 640 получения может получать конфигурационный ключ (Kconf) из корневого ключа домашней сети.

Первый модуль 650 верификации может выполнять определенные функции верификации виртуального вычислительного устройства 600. Например, в одном конкретном варианте осуществления первый модуль 650 верификации может верифицировать MAC-1.

Второй модуль 660 верификации может выполнять определенные функции верификации виртуального вычислительного устройства 600. Например, в одном конкретном варианте осуществления второй модуль 660 верификации может верифицировать, что VPLMN не изменила информацию направления в сеть на основе Kconf и MAC-1.

Второй модуль 670 передачи может выполнять определенные функций передачи виртуального вычислительного устройства 600. Например, в одном конкретном варианте осуществления второй модуль 670 передачи может передавать сообщение подтверждения в HPLMN.

Другие варианты осуществления виртуального вычислительного устройства 600 могут включать в себя дополнительные компоненты помимо показанных на ФИГУРЕ 6, которые могут отвечать за обеспечение определенных аспектов функциональности UE, в том числе любую функциональность, описанную выше и/или любую дополнительную функциональность (включая любую функциональность, необходимую для поддержки описанных выше решений). Всевозможные различные типы UE, которые могут содержать передатчик, могут включать в себя компоненты, имеющие одно и то же физическое оборудование, но выполненный с возможностью (например, посредством программирования) поддержки различных технологий радиодоступа, или могут представлять собой частично или полностью другие физические компоненты.

ФИГУРА 7 изображает иллюстративный способ 700 защиты информации направления в сеть, выполняемый UE, в соответствии с некоторыми вариантами осуществления. UE может включать в себя беспроводное устройство, такое как беспроводное устройство 310, в одном конкретном варианте осуществления.

На этапе 702 UE передает запрос регистрации в VPLMN.

На этапе 704 UE генерирует корневой ключ домашней сети после успешной аутентификации с помощью AUSF.

На этапе 706 UE принимает от первого узла сети защищенное сообщение, содержащее информацию направления в сеть, защищенную с помощью Kconf и MAC-1.

В одном конкретном варианте осуществления первый узел сети содержит AUSF. В одном конкретном варианте осуществления информация направления в сеть может генерироваться вторым узлом сети, таким как, например, UDM, и защищаться посредством AUSF.

В еще одном конкретном варианте осуществления третий узел сети, расположенный в VPLMN, может включать в себя AMF/SEAF, которая пересылает защищенное сообщение, содержащее информацию направления в сеть, от второго узла сети.

В одном конкретном варианте осуществления защищенное сообщение может быть конфиденциально защищенным по беспроводной связи с помощью защиты NAS. В одном конкретном варианте осуществления дополнительно или альтернативно защищенное сообщение может быть совмещено с сообщением одобрения регистрации.

На этапе 708 UE определяет конфигурационный ключ (Kconf) по корневому ключу домашней сети. В одном конкретном варианте осуществления конфигурационный ключ является корневым ключом домашней сети. В одном конкретном варианте осуществления дополнительно или альтернативно корневым ключом домашней сети является Kausf.

На этапе 710 UE верифицирует MAC-1.

На этапе 712, на основе Kconf и MAC-1, UE верифицирует, что VPLMN не изменила информацию направления в сеть.

На этапе 714 UE передает сообщение подтверждения в HPLMN. Сообщение подтверждения защищается с помощью MAC-2.

Некоторые варианты осуществления могут содержать больше или меньше действий, и действия могут выполняться в любом подходящем порядке.

В некоторых вариантах осуществления способ защиты информации направления в сеть может выполняться виртуальным вычислительным устройством. ФИГУРА 8 изображает иллюстративное виртуальное вычислительное устройство 800 для защиты информации направления в сеть в соответствии с некоторыми вариантами осуществления. В некоторых вариантах осуществления виртуальное вычислительное устройство 800 может включать в себя модули для выполнения этапов, аналогичных описанным выше в отношении способа, изображенного и описанного на ФИГУРЕ 7. Например, виртуальное вычислительное устройство 800 может включать в себя первый модуль 810 передачи, первый модуль 820 генерации, первый модуль 830 приема, модуль 840 определения, первый модуль 850 верификации, второй модуль 860 верификации, второй модуль 870 передачи и любые другие подходящие модули для защиты информации направления в сеть. В некоторых вариантах осуществления один или более модулей могут быть реализованы с помощью схемы 420 обработки ФИГУРЫ 4. В некоторых вариантах осуществления функции двух или более различных модулей могут быть объединены в один модуль.

Первый модуль 810 передачи может выполнять определенные функции передачи виртуального вычислительного устройства 800. Например, в одном конкретном варианте осуществления первый модуль 810 передачи может передавать запрос регистрации в VPLMN.

Первый модуль 820 генерации может выполнять определенные функции генерации виртуального вычислительного устройства 800. Например, в одном конкретном варианте осуществления первый модуль 820 генерации может генерировать корневой ключ домашней сети после успешной аутентификации с помощью AUSF.

Первый модуль 830 приема может выполнять определенные функции приема виртуального вычислительного устройства 800. Например, в одном конкретном варианте осуществления первый модуль 830 приема может принимать от узла сети защищенное сообщение, содержащее информацию направления в сеть, защищенную с помощью конфигурационного ключа (Kconf) и MAC-1.

Модуль 840 определения может выполнять определенные функции определения виртуального вычислительного устройства 800. Например, в одном конкретном варианте осуществления модуль 840 определения может определять Kconf из корневого ключа домашней сети.

Первый модуль 850 верификации может выполнять определенные функции верификации виртуального вычислительного устройства 800. Например, в одном конкретном варианте осуществления первый модуль 850 верификации может верифицировать MAC-1.

Второй модуль 860 верификации может выполнять определенные другие функции верификации виртуального вычислительного устройства 800. Например, в одном конкретном варианте осуществления второй модуль 860 верификации может верифицировать, что VPLMN не изменила информацию направления в сеть, на основе Kconf и MAC-1.

Второй модуль 870 передачи может выполнять определенные функции передачи виртуального вычислительного устройства 800. Например, в одном конкретном варианте осуществления, второй модуль 870 передачи может передавать сообщение подтверждения, которое защищено с помощью MAC-2, в HPLMN.

Другие варианты осуществления виртуального вычислительного устройства 800 могут включать в себя дополнительные компоненты помимо показанных на ФИГУРЕ 8, которые могут отвечать за обеспечение определенных аспектов функциональности UE, в том числе любую функциональность, описанную выше и/или любую дополнительную функциональность (включая любую функциональность, необходимую для поддержки описанных выше решений). Всевозможные различные типы UE, которые могут содержать передатчик, могут включать в себя компоненты, имеющие одно и то же физическое оборудование, но выполненный с возможностью (например, посредством программирования) поддержки различных технологий радиодоступа, или могут представлять собой частично или полностью другие физические компоненты.

ФИГУРА 9 изображает иллюстративный узел 315 сети для защиты информации направления в сеть в соответствии с некоторыми вариантами осуществления. Узел 315 сети может быть узлом сети радиосвязи любого типа или любым узлом сети, осуществляющим связь с UE и/или с другим узлом сети. Примеры узла 315 сети включают в себя gNB, eNodeB, узел B, базовую станцию, точку беспроводного доступа (например, точку доступа Wi-Fi), узел малой мощности, базовую приемопередающую станцию (BTS), радиорелейную станцию, радиорелейную станцию управления донорским узлом, передающие точки, передающие узлы, удаленный RF блок (RRU), выносной радиомодуль (RRH), радиоузел мультистандартного радио (MSR), такой как BS MSR, узлы в распределенной антенной системе (DAS), O&M, OSS, SON, узел позиционирования (например, E-SMLC), MDT или любой другой подходящий узел сети. Узлы 315 сети могут быть развернуты по всей сети 300 в виде гомогенного развертывания, гетерогенного развертывания или смешанного развертывания. Гомогенное развертывание в общем может описывать развертывание, состоящее из узлов 315 сети одного и того же типа (или аналогичных типов) и/или схожих размеров зон покрытия и сот и расстояний между местами расположения объектов. Гетерогенное развертывание в общем может описывать развертывание с использованием множества типов узлов 315 сети, имеющих различные размеры сот, мощности передачи, производительность и расстояния между местами расположения объектов. Например, гетерогенное развертывание может включать в себя множество узлов малой мощности, размещенных по всему расположению макросоты. Смешанное развертывание может включать в себя смесь гомогенных частей и гетерогенных частей.

Узел 315 сети может включать в себя одно или более из приемопередатчика 910, схемы 920 обработки (например, которая может включать в себя один или более процессоров), памяти 930 и сетевого интерфейса 940. В определенных вариантах осуществления приемопередатчик 910 обеспечивает передачу беспроводных сигналов и прием беспроводных сигналов от беспроводного устройства 310 (например, через антенну 950), схема 920 обработки исполняет инструкции для обеспечения части или всей функциональности, описанной выше как обеспечиваемой узлом 315 сети, память 930 хранит инструкции, исполняемые схемой 920 обработки, и сетевой интерфейс 940 передает сигналы внутренним сетевым компонентам, таким как шлюз, коммутатор, маршрутизатор, Интернет, коммутируемая телефонная сеть общего пользования (PSTN), узлы базовой сети или контроллеры радиосети и т.д.

Схема 920 обработки может включать в себя любую подходящую комбинацию аппаратного и программного обеспечения, реализованного в одном или более модулях, для исполнения инструкций и управления данными для выполнения некоторых или всех описанных функций узла 315 сети, таких как описанные применительно к любому из разделов 3, 4 или 6 в настоящем описании. Например, в общем схема 920 обработки может вызывать отправку узлом сети пейджингового сообщения, которое включает в себя уведомление о системной информации. В некоторых вариантах осуществления уведомление о системной информации может послаться в ответ на обнаружение изменения при риске ситуации перегрузки на ресурсах доступа и может указывать, что беспроводное устройство 310 должно применить ранее сохраненную версию системной информации. В определенных вариантах осуществления схема 920 обработки может включать в себя, например, один или более компьютеров, один или более центральных процессоров (CPU), один или более микропроцессоров, одно или более приложений и/или другую логику.

Память 930 обычно используется для хранения инструкций, таких как компьютерная программа, программное обеспечение, приложения, в том числе одно или более из: логику, правила, алгоритмы, коды, таблицы и т.д. и/или другие инструкции, которые могут исполняться процессором. Примеры памяти 930 включают в себя память компьютера (например, оперативную память (RAM) или постоянную память (ROM)), носитель запоминающего устройства большой емкости (например, жесткий диск), съемные носители (например, компакт-диск (CD) или цифровой видеодиск (DVD)) и/или любые другие энергозависимые или энергонезависимые, долговременные машиночитаемые и/или исполняемые компьютером запоминающие устройства, хранящие информацию.

В некоторых вариантах осуществления сетевой интерфейс 940 соединен с возможностью связи со схемой 920 обработки и может быть любым подходящим устройством, используемым для приема входных данных для узла 315 сети, отправки выходных данных из узла 315 сети, выполнения подходящей обработки входных или выходных данных или и того и другого, осуществления связи с другими устройствами или любой комбинации перечисленного. Сетевой интерфейс 940 может включать в себя подходящее аппаратное обеспечение (например, порт, модем, сетевую карту, и т.д.) и программное обеспечение, в том числе возможности преобразования протоколов и обработки данных, для осуществления связи через сеть.

Другие варианты осуществления узла 315 сети могут включать в себя дополнительные компоненты помимо показанных на ФИГУРЕ 9, которые могут отвечать за обеспечение определенных аспектов функциональности узла радиосети, в том числе любой функциональности, описанной выше и/или любой дополнительной функциональности (в том числе любой функциональности, необходимой для поддержки решений, описанных выше). Всевозможные различные типы узлов сети могут включать в себя компоненты, имеющие одинаковое физическое оборудование, но выполненные с возможностью (например, посредством программирования) поддержки различных технологий радиодоступа, или могут представлять собой частично или полностью другие физические компоненты.

ФИГУРА 10 изображает иллюстративный способ 1000, выполняемый узлом сети, работающим в качестве функции сервера аутентификации (AUSF) для защиты информации направления в сеть в соответствии с определенными вариантами осуществления. Способ начинается с этапа 1002, на котором узел 315 сети генерирует корневой ключ домашней сети.

На этапе 1004 узел сети принимает информацию направления в сеть от PCF.

На этапе 1006 узел сети получает Kconf из ключа домашней сети.

На этапе 1008 узел сети генерирует защищенное сообщение, содержащее информацию направления в сеть. Защищенное сообщение может быть защищено с помощью Kconf и MAC-1.

На этапе 1010 узел сети передает защищенное сообщение, содержащее информацию направления в сеть, в UE.

На этапе 1012 узел сети принимает от UE сообщение подтверждения, защищенное с помощью MAC-2. Подтверждение указывает, что VPLMN не изменила информацию направления в сеть.

На этапе 1014 узел сети верифицирует MAC-2.

На этапе 1016 узел сети пересылает сообщение подтверждения, указывающее, что VPLMN не изменила информацию направления в сеть, в PCF.

Некоторые варианты осуществления могут содержать больше или меньше действий, и действия могут выполняться в любом подходящем порядке.

В некоторых вариантах осуществления способ защиты информации направления в сеть, описанный выше, может выполняться виртуальным вычислительным устройством. ФИГУРА 11 изображает иллюстративное виртуальное вычислительное устройство 900 для защиты информации направления в сеть в соответствии с некоторыми вариантами осуществления. В некоторых вариантах осуществления виртуальное вычислительное устройство 1100 может включать в себя модули для выполнения этапов, аналогичных описанным выше применительно к способу, изображенному и описанному на ФИГУРЕ 10. Например, виртуальное вычислительное устройство 1100 может включать в себя первый модуль 1110 генерации, первый модуль 1120 приема, модуль 1130 получения, второй модуль 1140 генерации, первый модуль 1150 передачи, второй модуль 1160 приема, модуль 1170 верификации, модуль 1180 пересылки и любые другие подходящие модули для защиты информации направления в сеть. В некоторых вариантах осуществления один или более модулей может быть реализованы с помощью схемы 920 обработки на ФИГУРЕ 9. В некоторых вариантах осуществления функции двух или более различных модулей могут быть объединены в один модуль.

Первый модуль 1110 генерации может выполнять определенные функции генерации виртуального вычислительного устройства 1100. Например, в одном конкретном варианте осуществления первый модуль 1110 генерации может генерировать корневой ключ домашней сети.

Первый модуль 1120 приема может выполнять определенные функции приема виртуального вычислительного устройства 1100. Например, в одном конкретном варианте осуществления первый модуль 1120 приема может принимать информацию направления в сеть от PCF.

Модуль 1130 получения может выполнять определенные функции получения виртуального вычислительного устройства 1100. Например, в одном конкретном варианте осуществления модуль 1130 получения может получать Kconf из ключа домашней сети.

Второй модуль 1140 генерации может выполнять определенные функции генерации виртуального вычислительного устройства 1100. Например, в одном конкретном варианте осуществления модуль 1140 генерации может генерировать защищенное сообщение, содержащее информацию направления в сеть. Защищенное сообщение может быть защищено с помощью Kconf и первого кода аутентификации сообщения (MAC-1).

Первый модуль 1150 передачи может выполнять определенные из функций передачи виртуального вычислительного устройства 1100. Например, в одном конкретном варианте осуществления первый модуль 1150 передачи может передать защищенное сообщение, содержащее информацию направления в сеть, в UE.

Второй модуль 960 приема может выполнять определенные из функций приема виртуального вычислительного устройства 1100. Например, в одном конкретном варианте осуществления второй модуль 1160 приема может принимать от UE сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщения (MAC-2). Подтверждение указывает, что VPLMN не изменила информацию направления в сеть.

Модуль 1170 верификации может выполнять определенные из функций верификации виртуального вычислительного устройства 1100. Например, в одном конкретном варианте осуществления модуль 1170 верификации может верифицировать MAC-2.

Модуль 1180 пересылки может выполнять определенные из функций пересылки виртуального вычислительного устройства 1100. Например, в одном конкретном варианте осуществления модуль 1180 пересылки может пересылать сообщение подтверждения, указывающее, что VPLMN не изменила информацию направления в сеть, в PCF.

Другие варианты осуществления виртуального вычислительного устройства 1100 могут включать в себя дополнительные компоненты помимо показанных на ФИГУРЕ 11, которые могут отвечать за обеспечение определенных аспектов функциональности узла сети, в том числе любой функциональности, описанной выше и/или любой дополнительной функциональности (в том числе любой функциональности, необходимой для поддержки решений, описанных выше). Всевозможные различные типы узлов сети, которые могут содержать передатчик, могут включать в себя компоненты, имеющие одинаковое физическое оборудование, но выполненные с возможностью (например, посредством программирования) поддержки различных технологий радиодоступа, или могут представлять собой частично или полностью другие физические компоненты.

ФИГУРА 12 изображает иллюстративный способ 1200, выполняемый первым узлом сети, работающим как функция сервера аутентификации (AUSF) для защиты информации направления в сеть в соответствии с определенными вариантами осуществления. В одном конкретном варианте осуществления первый узел сети может включать в себя узел сети, такой как узел 315 сети.

Способ начинается с этапа 1202, на котором первый узел 315 сети генерирует корневой ключ домашней сети.

На этапе 1204 первый узел 315 сети принимает информацию направления в сеть от второго узла сети. В одном конкретном варианте осуществления второй узел сети может работать как по меньшей мере одно из: PCF или UDM.

На этапе 1206 первый узел 315 сети определяет Kconf по ключу домашней сети. В одном конкретном варианте осуществления конфигурационный ключ является корневым ключом домашней сети. Например, корневым ключом домашней сети может быть Kausf в одном конкретном варианте осуществления.

На этапе 1208 первый узел 315 сети генерирует защищенное сообщение, содержащее информацию направления в сеть. Защищенное сообщение может быть защищено с помощью Kconf и MAC-1. В одном конкретном варианте осуществления защищенное сообщение может быть совмещено с сообщением одобрения регистрации.

На этапе 1210 первый узел 315 сети передает защищенное сообщение, содержащее информацию направления в сеть, в UE 310.

На этапе 1212 первый узел 315 сети принимает от UE 310 сообщение подтверждения, защищенное с помощью MAC-2. Подтверждение указывает, что VPLMN не изменила информацию направления в сеть.

На этапе 1214 первый узел сети верифицирует MAC-2.

На этапе 1216 первый узел сети пересылает сообщение подтверждения, указывающее, что VPLMN не изменила информацию направления в сеть, второму узлу сети.

Определенные варианты осуществления могут содержать больше или меньше действий, и действия могут выполняться в любом подходящем порядке.

В определенных вариантах осуществления способ защиты информации направления в сеть, описанный выше, может выполняться виртуальным вычислительным устройством. ФИГУРА 13 изображает иллюстративное виртуальное вычислительное устройство 1300 для защиты информации направления в сеть в соответствии с определенными вариантами осуществления. В определенных вариантах осуществления виртуальное вычислительное устройство 1300 может включать в себя модули для выполнения этапов, аналогичных описанным выше применительно к способу, изображенному и описанному на ФИГУРЕ 12. Например, виртуальное вычислительное устройство 1300 может включать в себя первый модуль 1310 генерации, первый модуль 1320 приема, модуль 1330 определения, второй модуль 1340 генерации, модуль 1350 передачи, второй модуль 1360 приема, модуль 1370 пересылки и любые другие подходящие модули для защиты информации направления в сеть. В определенных вариантах осуществления один или более модулей могут быть реализованы с использованием схемы 920 обработки на ФИГУРЕ 9. В определенных вариантах осуществления функции двух или более различных модулей могут быть объединены в один модуль.

Первый модуль 1310 генерации может выполнять некоторые из функций генерации виртуального вычислительного устройства 1300. Например, в одном конкретном варианте осуществления первый модуль 1310 генерации может генерировать корневой ключ домашней сети.

Первый модуль 1320 приема может выполнять некоторые из функций приема виртуального вычислительного устройства 1300. Например, в одном конкретном варианте осуществления первый модуль 1320 приема может принимать информацию направления в сеть от второго узла сети.

Модуль 1330 определения может выполнять определенные из функций определения виртуального вычислительного устройства 1300. Например, в одном конкретном варианте осуществления модуль 1330 определения может определять Kconf по ключу домашней сети.

Второй модуль 1340 генерации может выполнять определенные другие функции генерации виртуального вычислительного устройства 1300. Например, в одном конкретном варианте осуществления второй модуль 1340 генерации может генерировать защищенное сообщение, содержащее информацию направления в сеть. Защищенное сообщение может быть защищено с помощью Kconf и MAC-1.

Модуль 1350 передачи может выполнять некоторые из функций передачи виртуального вычислительного устройства 1300. Например, в одном конкретном варианте осуществления модуль 1350 передачи может передавать защищенное сообщение, содержащее информацию направления в сеть, в UE.

Второй модуль 1360 приема может выполнять некоторые другие функции приема виртуального вычислительного устройства 1300. Например, в одном конкретном варианте осуществления второй модуль 1360 приема может принимать от UE сообщение подтверждения, защищенное с помощью MAC-2. Подтверждение указывает, что VPLMN не изменила информацию направления в сеть.

Модуль 1370 пересылки может выполнять некоторые из функций пересылки виртуального вычислительного устройства 1300. Например, в одном конкретном варианте осуществления модуль 1380 пересылки может пересылать сообщение подтверждения, указывающее, что VPLMN не изменила информацию направления в сеть, второму узлу сети.

Другие варианты осуществления виртуального вычислительного устройства 1300 могут включать в себя дополнительные компоненты помимо показанных на ФИГУРЕ 13, которые могут отвечать за обеспечение определенных аспектов функциональности узла сети, в том числе любой функциональности, описанной выше и/или любой дополнительной функциональности (в том числе любой функциональности, необходимой для поддержки решений, описанных выше). Всевозможные различные типы узлов сети, которые могут содержать передатчик, могут включать в себя компоненты, имеющие одинаковое физическое оборудование, но выполненные с возможностью (например, посредством программирования) поддержки различных технологий радиодоступа, или могут представлять собой частично или полностью другие физические компоненты.

ФИГУРА 14 изображает иллюстративный способ 1400, выполняемый узлом сети, работающим как PCF для защиты информации направления в сеть в соответствии с некоторыми вариантами осуществления. Способ начинается с этапа 1402, на котором узел сети запрашивает KConf, полученный из корневого ключа домашней сети, от AUSF.

На этапе 1404 узел сети принимает KConf.

На этапе 1406 узел сети генерирует защищенное сообщение, содержащее информацию направления в сеть, при этом защищенное сообщение защищено с помощью Kconf и MAC-1.

На этапе 1408 узел сети передает защищенное сообщение, содержащее информацию направления в сеть, в UE.

На этапе 1410 узел сети принимает от UE сообщение подтверждения, защищенное с помощью MAC-2. Подтверждение указывает, что VPLMN не изменила информацию направления в сеть.

На этапе 1412 узел сети верифицирует MAC-2.

На этапе 1414 узел сети определяет на основе подтверждения, что VPLMN не изменила информацию направления в сеть.

Некоторые варианты осуществления могут содержать больше или меньше действий, и действия могут выполняться в любом подходящем порядке.

В некоторых вариантах осуществления способ защиты информации направления в сеть, описанный выше, может выполняться виртуальным вычислительным устройством. ФИГУРА 15 изображает иллюстративное виртуальное вычислительное устройство 1500 для защиты информации направления в сеть в соответствии с некоторыми вариантами осуществления. В некоторых вариантах осуществления виртуальное вычислительное устройство 1500 может включать в себя модули для выполнения этапов, аналогичных описанным выше применительно к способу, изображенному и описанному на ФИГУРЕ 14. Например, виртуальное вычислительное устройство 1500 может включать в себя модуль 1510 запроса, первый модуль 1520 приема, модуль 1530 генерации, модуль 1540 передачи, второй модуль 1550 приема, модуль 1560 верификации, модуль 1570 определения и любые другие подходящие модули для защиты информации направления в сеть. В определенных вариантах осуществления один или более модулей могут быть реализованы с использованием схемы 920 обработки на ФИГУРЕ 9. В некоторых вариантах осуществления функции двух или более различных модулей могут быть объединены в один модуль.

Модуль 1510 запроса может выполнять некоторые из функций запроса виртуального вычислительного устройства 1500. Например, в одном конкретном варианте осуществления модуль 1510 запроса может запрашивать KConf, полученный из корневого ключа домашней сети, от AUSF.

Первый модуль 1520 приема может выполнять некоторые из функций приема виртуального вычислительного устройства 1500. Например, в одном конкретном варианте осуществления первый модуль 1520 приема может принимать KConf. Модуль 1530 генерации может выполнять некоторые из функций генерации виртуального вычислительного устройства 1500. Например, в одном конкретном варианте осуществления модуль 1530 генерации может генерировать защищенное сообщение, содержащее информацию направления в сеть, при этом защищенное сообщение защищено с помощью Kconf и MAC-1.

Модуль 1540 передачи может выполнять некоторые из функций передачи виртуального вычислительного устройства 1500. Например, в одном конкретном варианте осуществления модуль 1540 передачи может передавать защищенное сообщение, содержащее информацию направления в сеть, в UE. Второй модуль 1550 приема может выполнять некоторые из функций приема виртуального вычислительного устройства 1500. Например, в одном конкретном варианте осуществления второй модуль 1550 приема может принимать от UE сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщения (MAC-2). Подтверждение указывает, что VPLMN не изменила информацию направления в сеть. Модуль 1560 верификации может выполнять определенные из функций верификации виртуального вычислительного устройства 1500. Например, в одном конкретном варианте осуществления модуль 1160 верификации может верифицировать MAC-2. Модуль 1570 определения может выполнять определенные из функций определения виртуального вычислительного устройства 1500. Например, в одном конкретном варианте осуществления модуль 1570 определения может определять на основе подтверждения, что VPLMN не изменила информацию направления в сеть. Другие варианты осуществления виртуального вычислительного устройства 1500 могут включать в себя дополнительные компоненты помимо показанных на ФИГУРЕ 15, которые могут отвечать за обеспечение определенных аспектов функциональности узла сети, в том числе любой функциональности, описанной выше и/или любой дополнительной функциональности (в том числе любой функциональности, необходимой для поддержки решений, описанных выше). Всевозможные различные типы узлов сети, которые могут содержать передатчик, могут включать в себя компоненты, имеющие одинаковое физическое оборудование, но выполненные с возможностью (например, посредством программирования) поддержки различных технологий радиодоступа, или могут представлять собой частично или полностью другие физические компоненты.

ФИГУРА 16 изображает иллюстративный способ 1600 защиты информации направления в сеть, выполняемый первым узлом сети, в соответствии с некоторыми вариантами осуществления. В одном конкретном варианте осуществления первый узел сети может включать в себя узел сети, такой как узел 315 сети, описанный выше. В соответствии с некоторыми вариантами осуществления первый узел сети может работать как UDM и/или PCF.

Способ начинается с этапа 1602, на котором первый узел 315 сети передает информацию направления в сеть и MAC-1 во второй узел сети, работающий в качестве AUSF, для защиты информации направления в сеть с помощью Kconf и MAC-1. В одном конкретном варианте осуществления Kconf является корневым ключом домашней сети, таким как, например, Kausf.

В одном конкретном варианте осуществления защищенное сообщение, переданное во второй узел сети, встраивается в сообщение одобрения регистрации.

На этапе 1604 первый узел 315 сети принимает от UE 310 сообщение подтверждения, защищенное с помощью MAC-2. Подтверждение указывает, что VPLMN не изменила информацию направления в сеть.

На этапе 1606 первый узел 315 сети верифицирует MAC-2.

На этапе 1608 первый узел 315 сети определяет на основе подтверждения, что VPLMN не изменила информацию направления в сеть.

В одном конкретном варианте осуществления способ дополнительно включает в себя первый узел 315 сети, принимающий от второго узла сети, работающего в качестве AUSF, MAC-1 и MAC-2 и сохраняющий MAC-2. Дополнительно первый узел 315 сети может осуществлять верификацию MAC-2, которая заключается в сравнении сохраненного MAC-2 с MAC-2, защищающим сообщение подтверждения от UE. Первый узел 315 сети затем может определить, что сохраненный MAC-2 совпадает с MAC-2, защищающим сообщение подтверждения.

Некоторые варианты осуществления могут содержать больше или меньше действий, и действия могут выполняться в любом подходящем порядке.

В некоторых вариантах осуществления способ защиты информации направления в сеть, описанный выше, может выполняться виртуальным вычислительным устройством. ФИГУРА 17 изображает иллюстративное виртуальное вычислительное устройство 1700 для защиты информации направления в сеть в соответствии с некоторыми вариантами осуществления. В некоторых вариантах осуществления виртуальное вычислительное устройство 1700 может включать в себя модули для выполнения этапов, аналогичных описанным выше применительно к способу, изображенному и описанному на ФИГУРЕ 16. Например, виртуальное вычислительное устройство 1700 может включать в себя модуль 1710 передачи, модуль 1720 приема, модуль 1730 верификации, модуль 1740 определения и любые другие подходящие модули для защиты информации направления в сеть. В некоторых вариантах осуществления один или более модулей может быть реализованы с помощью схемы 920 обработки на ФИГУРЕ 9. В некоторых вариантах осуществления функции двух или более различных модулей могут быть объединены в один модуль.

Модуль 1710 передачи может выполнять некоторые из функций передачи виртуального вычислительного устройства 1700. Например, в одном конкретном варианте осуществления модуль 1710 передачи может передавать информацию направления в сеть и MAC-1 во второй узел сети, работающий в качестве AUSF, для защиты информации направления в сеть с помощью Kconf и MAC-1.

Модуль 1720 приема может выполнять некоторые из функций приема виртуального вычислительного устройства 1700. Например, в одном конкретном варианте осуществления модуль 1720 приема может принимать от UE 310 сообщение подтверждения, защищенное с помощью MAC-2. Подтверждение указывает, что VPLMN не изменила информацию направления в сеть.

Модуль 1730 верификации может выполнять некоторые из функций верификации виртуального вычислительного устройства 1700. Например, в одном конкретном варианте осуществления модуль 1730 верификации может верифицировать MAC-2.

Модуль 1740 определения может выполнять некоторые из функций определения виртуального вычислительного устройства 1700. Например, в одном конкретном варианте осуществления модуль 1740 определения может определять на основе подтверждения, что VPLMN не изменила информацию направления в сеть.

Другие варианты осуществления виртуального вычислительного устройства 1700 могут включать в себя дополнительные компоненты помимо показанных на ФИГУРЕ 17, которые могут отвечать за обеспечение определенных аспектов функциональности узла сети, в том числе любой функциональности, описанной выше и/или любой дополнительной функциональности (в том числе любой функциональности, необходимой для поддержки решений, описанных выше). Всевозможные различные типы узлов сети, которые могут содержать передатчик, могут включать в себя компоненты, имеющие одинаковое физическое оборудование, но выполненные с возможностью (например, посредством программирования) поддержки различных технологий радиодоступа, или могут представлять собой частично или полностью другие физические компоненты.

ФИГУРА 18 изображает иллюстративный контроллер радиосети или узел 1800 базовой сети в соответствии с некоторыми вариантами осуществления. Примеры узлов сети могут включать в себя центр коммутации мобильной связи (MSC), обслуживающий узел поддержки GPRS (SGSN), yзел управления мобильностью (MME), контроллер радиосети (RNC), контроллер базовой станции (BSC) и так далее. Узел контроллера радиосети или базовой сети включает в себя схему 1820 обработки (например, которая может включать в себя один или более процессоров), память 1830 и сетевой интерфейс 1840. В некоторых вариантах осуществления схема 1820 обработки исполняет инструкции для обеспечения части или всей функциональности, описанной выше как обеспечиваемый узлом сети, память 1830 хранит инструкции, исполняемые схемой 1820 обработки, и сетевой интерфейс 1840 осуществляет передачу сигналов в любой подходящий узел, такой как шлюз, коммутатор, маршрутизатор, Интернет, коммутируемая телефонная сеть общего пользования (PSTN), узлы 315 сети, контроллеры радиосети или узлы базовой сети и т.д.

Схема 1820 обработки может включать в себя любую подходящую комбинацию аппаратного и программного обеспечения, реализованного в одном или более модулях, для исполнения инструкций и управления данными для выполнения некоторых или всех описанных функций узла базовой сети или контроллера радиосети. В некоторых вариантах осуществления схема 1820 обработки может включать в себя, например, один или более компьютеров, один или более центральных процессоров (CPU), один или более микропроцессоров, одно или более приложений и/или другую логику.

Память 1830 обычно используется для хранения инструкций, таких как компьютерная программа, программное обеспечение, приложения, в том числе одно или более из: логику, правила, алгоритмы, коды, таблицы и т.д. и/или другие инструкции, которые могут исполняться процессором. Примеры памяти 1830 включают в себя память компьютера (например, оперативную память (RAM) или постоянную память (ROM)), носитель запоминающего устройства большой емкости (например, жесткий диск), съемные носители (например, компакт-диск (CD) или цифровой видеодиск (DVD)) и/или любые другие энергозависимые или энергонезависимые, долговременные машиночитаемые и/или исполняемые компьютером запоминающие устройства, хранящие информацию.

В определенных вариантах осуществления сетевой интерфейс 1840 соединен с возможностью связи со схемой 1820 обработки и может быть любым подходящим устройством, используемым для приема входных данных для узла сети, отправки выходных данных из узла сети, выполнения подходящей обработки входных или выходных данных или и того и другого, осуществления связи с другими устройствами или любой комбинации перечисленного. Сетевой интерфейс 1840 может включать в себя подходящее аппаратное обеспечение (например, порт, модем, сетевую карту и т.д.) и программное обеспечение, в том числе возможности преобразования протоколов и обработки данных, для осуществления связи через сеть.

Другие варианты осуществления узла сети могут включать в себя дополнительные компоненты помимо показанных на ФИГУРЕ 18, которые могут отвечать за обеспечение определенных аспектов функциональности узла сети, в том числе любую функциональность, описанную выше и/или любую дополнительную функциональность (в том числе любую функциональность, необходимую для поддержки решения, описанного выше).

Обращаясь к фигуре 19, в соответствии с одним вариантом осуществления система связи включает в себя сеть 1910 связи, такую как сотовая сеть типа 3GPP, которая содержит сеть 1911 доступа, такую как сеть радиодоступа, и базовую сеть 1914. Сеть 1911 доступа содержит множество базовых станций 1912a, 1912b, 1912c, таких как NBS, eNB, gNBs или другие типы точек беспроводного доступа, каждая из которых дает соответствующую зону 1913a, 1913b, 1913c покрытия. Каждая базовая станция 1912a, 1912b, 1912c соединяется с базовой сетью 1914 по проводному или беспроводному соединению 1915. Первое пользовательское оборудование (UE) 1991, расположенное в зоне 1913c покрытия, выполнено с возможностью соединения беспроводным образом или вызова со стороны соответствующей базовой станции 1912c. Второе UE 1992 в зоне 1913a покрытия может подключаться беспроводным образом к соответствующей базовой станции 1912a. Хотя в этом примере изображено несколько UE 1991, 1992, раскрытые варианты осуществления в равной степени применимы к ситуации, когда в зоне покрытия имеется одно UE или когда одно UE соединяется с соответствующей базовой станцией 1912.

Сама сеть 1910 связи соединена с ведущим компьютером 1930, который может быть воплощен в аппаратном обеспечении и/или программном обеспечении автономного сервера, сервера, реализованного в облаке, распределенного сервера или в виде ресурсов для обработки в парке серверов. Ведущий компьютер 1930 может находиться в собственности или под управлением поставщика услуг или может использоваться поставщиком услуг или от имени поставщика услуг. Соединения 1921, 1922 между сетью 1910 связи и ведущим компьютером 1930 могут проходить напрямую от базовой сети 1914 к ведущему компьютеру 1930 или могут проходить через опциональную промежуточную сеть 1920. Промежуточная сеть 1920 может быть одним из или комбинацией более чем одного из публичной, частной или размещенной сети; промежуточная сеть 1920, если таковая присутствует, может быть магистральной сетью или Интернетом; в частности, промежуточная сеть 1920 может содержать две или более подсети (не показаны).

Система связи на ФИГУРЕ 19 в целом обеспечивает возможность связи между одним из подключенных UE 1991, 1992 и ведущим компьютером 1930. Эта возможность связи может быть описана как соединение 1950 OOT (по технологии “over-the-top”). Ведущий компьютер 19230 и подключенное UE 1991, 1992 выполнены с возможностью передачи данных и/или сигналов через соединение 1950 OTT с использованием сети 1911 доступа, базовой 1914 сети, любой промежуточной сети 1920 и возможной дополнительной инфраструктуры (не показана) в качестве посредников. Соединение 1950 OTT может быть прозрачным в том смысле, что участвующие устройства связи, через которые проходит соединение 1950 OTT, не знают о маршрутизации восходящей и нисходящей связи. Например, базовая станция 912 может быть не проинформирована или не нуждается в информировании о прошлой маршрутизации входящей нисходящей связи с помощью данных, происходящих от ведущего компьютера 1930, которые должны быть пересланы (например, переданы) подключенному UE 1991. Аналогично, базовая станция 1912 не обязательно должна знать о будущей маршрутизации исходящей восходящей связи, происходящей от UE 1991 к ведущему компьютеру 1930.

В соответствии с одним вариантом осуществления будут теперь со ссылкой на фигуру 20 будут описаны иллюстративные реализации UE, базовой станции и ведущего компьютера, обсуждавшиеся в предыдущих абзацах. В системе 2000 связи ведущий компьютер 2010 содержит аппаратное обеспечение 2015, включающее в себя интерфейс связи 2016, выполненный с возможностью настраивать и поддерживать проводное или беспроводное соединение с интерфейсом другого устройства связи системы 2000 связи. Ведущий компьютер 2010 дополнительно содержит схему 2018 обработки, которая может иметь возможности хранения и/или обработки. В частности, схема 2018 обработки может содержать один или более программируемых процессоров, специализированных интегральных схем, программируемых пользователем вентильных матриц или их комбинации (не показаны), выполненные с возможностью выполнения инструкций. Ведущий компьютер 2010 дополнительно содержит программное обеспечение 2011, хранящееся в ведущем компьютере 2010 или доступное для него и исполняемое схемой 2018 обработки. Программное обеспечение 2011 включает в себя ведущее приложение 2012. Ведущее приложение 2012 может использоваться для предоставления услуги удаленному пользователю, такому как UE 2030, соединения через соединение 2050 OTT, оканчивающееся в UE 2030 и ведущем компьютере 2010. При предоставлении услуги удаленному пользователю ведущее приложение 2012 может предоставлять пользовательские данные, которые передаются с использованием соединения 2050 OTT.

Система 2000 связи дополнительно включает в себя базовую станцию 2020, обеспеченную в телекоммуникационной системе и содержащую аппаратное обеспечение 2025, позволяющее ей осуществлять связь с ведущим компьютером 2010 и с UE 2030. Аппаратное обеспечение 2025 может включать в себя интерфейс связи 2026 для установки и поддержания проводного или беспроводного соединения с интерфейсом другого устройства связи системы 2000 связи, а также радиоинтерфейс 2027 для установления и поддержания по меньшей мере беспроводного соединения 2070 с UE 2030, расположенным в зоне покрытия (не показано на ФИГУРЕ 20), обслуживаемой базовой станцией 2020. Интерфейс связи 2026 может быть выполнен с возможностью обеспечения соединения 2060 с ведущим компьютером 2010. Соединение 2060 может быть прямым, или оно может проходить через базовую сеть (не показана на ФИГУРЕ 20) телекоммуникационной системы и/или через одну или более промежуточных сетей за пределами телекоммуникационной системы. В показанном варианте осуществления аппаратное обеспечение 2025 базовой станции 2020 дополнительно включает в себя схему 2027 обработки, которая может содержать один или более программируемых процессоров, специализированных интегральных схем, программируемых пользователем вентильных матриц или их комбинаций (не показаны), выполненных с возможностью выполнения инструкций. Базовая станция 2020 дополнительно имеет программное обеспечение 2021, сохраненное внутри или доступное через внешнее соединение.

Система 2000 связи дополнительно включает в себя уже упомянутое UE 2030. Его аппаратное обеспечение 2035 может включать в себя радиоинтерфейс 2037, выполненный с возможностью установления и поддержания беспроводного соединения 2070 с базовой станцией, обслуживающей зону покрытия, в которой в настоящее время находится UE 2030. Аппаратное обеспечение 2035 UE 2030 дополнительно включает в себя схему 2038 обработки, которая может содержать один или более программируемых процессоров, специализированных интегральных схем, программируемых пользователем вентильных матриц или их комбинаций (не показаны), выполненных с возможностью выполнения инструкций. UE 2030 дополнительно содержит программное обеспечение 2031, хранящееся в или доступное для UE 2030 и исполняемое схемой 2038 обработки. Программное обеспечение 2031 включает в себя клиентское приложение 2032. Клиентское приложение 2032 может использоваться для предоставления услуги пользователю, являющему или не являющемуся человеком, через UE 2030 с поддержкой ведущего компьютера 2010. В ведущем компьютере 2010 выполняющееся ведущее приложение 2012 может осуществлять связь с выполняющимся клиентским приложением 2032 через соединение 2050 OTT, оканчивающееся в UE 2030 и ведущем компьютере 2010. При предоставлении услуги пользователю клиентское приложение 2032 может принимать данные запроса от ведущего приложения 2012 и обеспечивать пользовательские данные в ответ на данные запроса. Соединение 2050 OTT может передавать как данные запроса, так и пользовательские данные. Клиентское приложение 2032 может взаимодействовать с пользователем для генерации пользовательских данных, которые оно обеспечивает.

Следует отметить, что ведущий компьютер 2010, базовая станция 2020 и UE 2030, изображенные на ФИГУРЕ 20, могут быть идентичны, соответственно, ведущему компьютеру 1930, одной из базовых станций 1922a, 1912b, 1912c и одному из UE 1991, 1992 на ФИГУРЕ 19. То есть внутреннее устройство этих объектов может быть как показано на ФИГУРЕ 20 и независимо от этого топология окружающей сети может быть топологией на ФИГУРЕ 19.

На ФИГУРЕ 20 соединение 2050 OTT был изображено абстрактно для иллюстрации связи между ведущим компьютером 2010 и пользовательским оборудованием 2030 через базовую станцию 2020, без явного указания каких-либо промежуточных устройств и точной маршрутизации сообщений через эти устройства. Сетевая инфраструктура может определять маршрутизацию, которую она может быть сконфигурирована скрывать от UE 2030 или от поставщика услуг, использующего ведущий компьютер 2010, или их обоих. Пока соединение 2050 OTT активно, сетевая инфраструктура может дополнительно принимать решения, с помощью которых она динамически меняет маршрутизацию (например, на основе учета распределения нагрузки или реконфигурации сети).

Беспроводное соединение 2070 между UE 2030 и базовой станцией 2020 соответствует идеям вариантов осуществления, описанных в этом раскрытии. Один или более различных вариантов осуществления улучшают исполнение услуг OTT, предоставляемых пользовательскому оборудованию (UE) 2030 с использованием соединения 2050 OTT, в который беспроводное соединение 2070 формирует последний сегмент. Более точно, идеи этих вариантов осуществления могут улучшать роуминг UE и, таким образом, обеспечивать такие преимущества, как уменьшенное время ожидания для пользователя и более высокую скорость отклика.

Для мониторинга скорости передачи данных, задержки и других факторов, относительно которых улучшен один или более вариантов осуществления, может быть обеспечена процедура измерения. Дополнительно может иметься опциональная функциональность сети для реконфигурирования соединения 2050 OTT между ведущим компьютером 2010 и UE 2030 в ответ на изменения результатах измерений. Процедура измерения и/или функциональность сети для реконфигурирования соединения 2050 OTT могут быть реализованы в программном обеспечении 2011 ведущего компьютера 2010, или в программном обеспечении 2031 UE 2030, или в них обоих. В вариантах осуществления датчики (не показаны) могут быть развернуты в или ассоциированы с устройствами связи, через которые проходит соединение 2050 OTT; датчики могут участвовать в процедуре измерения путем предоставления значений отслеживаемых величин, приведенных в качестве примеры выше, или предоставления значений других физических величин, по которым программное обеспечение 2011, 2031 может вычислить или оценить отслеживаемые величины. Реконфигурирование соединения 2050 OTT может включать в себя формат сообщения, параметры повторной передачи, предпочтительную маршрутизацию и т.д.; реконфигурирование не должно влиять на базовую станцию 2020, и о нем может быть неизвестно, или оно может быть незаметно для базовой станции 2020. Такие процедуры и функциональности могут быть известны и реализовываться на практике в данной области техники. В некоторых вариантах осуществления измерения могут включать в себя патентованную сигнализацию UE, обеспечивающую измерения ведущим компьютером 2010 пропускной способности, времени распространения, задержки и т.п. Реализация измерений может заключаться в том, что программное обеспечение 2011, 2031 вызывает передачу сообщений, в частности пустых или 'фиктивных' сообщений, с использованием соединения 2050 OTT во время отслеживания времени распространения, ошибок и т.д.

ФИГУРА 21 является блок-схемой последовательности операций, изображающей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления. Система связи включает в себя ведущий компьютер, базовую станцию и UE, которые могут быть ведущим компьютером, базовой станцией и UE, описанными со ссылкой на ФИГУРЫ 19 и 20. Для простоты настоящего раскрытия в этом разделе будут включены только ссылки на ФИГУРУ 21. На первом этапе 2110 способа ведущий компьютер обеспечивает пользовательские данные. В опциональном подэтапе 2111 первого этапа 2110 ведущий компьютер обеспечивает пользовательские данные путем исполнения ведущего приложения. На втором этапе 2120 ведущий компьютер инициирует передачу, в которой передаются пользовательские данные в UE. В опциональном третьем этапе 2130 базовая станция передает в UE пользовательские данные, который передавались в передаче, которую инициировал ведущий компьютер, в соответствии с идеями вариантов осуществления, описанных в этом раскрытии. В опциональном четвертом этапе 2140 UE исполняет клиентское приложение, ассоциированное с ведущим приложением, исполняемым ведущим компьютером.

ФИГУРА 22 является блок-схемой последовательности операций, изображающей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления. Система связи включает в себя ведущий компьютер, базовую станцию и UE, которые могут быть ведущим компьютером, базовой станцией и UE, описанными со ссылкой на ФИГУРЫ 19 и 20. Для простоты настоящего раскрытия в этом разделе будут включены только ссылки на ФИГУРУ 22. На первом этапе 2210 способа ведущий компьютер обеспечивает пользовательские данные. На опциональном подэтапе (не показан) ведущий компьютер обеспечивает пользовательские данные путем выполнения ведущего приложения. На втором этапе 2220 ведущий компьютер инициирует передачу, в которой передаются пользовательские данные в UE. Передача может проходить через базовую станцию в соответствии с идеями вариантов осуществления, описанных в этом раскрытии. На опциональном третьем этапе 2230 UE принимает пользовательские данные, передаваемые в передаче.

ФИГУРА 23 является блок-схемой последовательности операций, изображающей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления. Система связи включает в себя ведущий компьютер, базовую станцию и UE, которые могут быть ведущим компьютером, базовой станцией и UE, описанными со ссылкой на ФИГУРЫ 19 и 20. Для простоты настоящего раскрытия в этом разделе будут включены только ссылки на ФИГУРУ 23. На опциональном первом этапе 2310 способа UE принимает входные данные, обеспеченные ведущим компьютером. Дополнительно или альтернативно, на опциональном втором этапе 2320 UE обеспечивает пользовательские данные. На опциональном подэтапе 2321 второго этапа 2320 UE обеспечивает пользовательские данные путем выполнения клиентского приложения. На дополнительном опциональном подэтапе 2311 первого этапа 2310 UE исполняет клиентское приложение, обеспечивающее пользовательские данные в ответ на принятые входные данные, предоставленные ведущим компьютером. При обеспечении пользовательских данных исполняемое клиентское приложение может дополнительно учитывать пользовательский ввод, принятый от пользователя. Независимо от конкретного метода обеспечения пользовательских данных, UE инициирует на опциональном третьем подэтапе 2330 передачу пользовательских данных ведущему компьютеру. На четвертом этапе 2340 способа ведущий компьютер принимает пользовательские данные, переданные от UE, в соответствии с идеями вариантов осуществления, описанных в этом раскрытии.

ФИГУРА 24 является блок-схемой последовательности операций, изображающей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления. Система связи включает в себя ведущий компьютер, базовую станцию и UE, которые могут быть ведущим компьютером, базовой станцией и UE, описанными со ссылкой на ФИГУРЫ 19 и 20. Для простоты настоящего раскрытия в этом разделе будут включены только ссылки на ФИГУРУ 24. На опциональном первом этапе 2410 способа в соответствии с идеями вариантов осуществления, описанных в этом раскрытии, базовая станция принимает пользовательские данные от UE. На опциональном втором этапе 2420 базовая станция инициирует передачу принятых пользовательских данных в ведущий компьютер. На третьем этапе 2430 ведущий компьютер принимает пользовательские данные, передаваемые в передаче, инициированной базовой станцией.

ИЛЛЮСТРАТИВНЫЕ ВАРИАНТЫ ОСУЩЕСТВЛЕНИЯ

1. Способ защиты информации направления в сеть, выполняемый беспроводным устройством, содержит этапы, на которых:

передают запрос регистрации в гостевую наземную сеть мобильной связи общего пользования (VPLMN);

после успешной аутентификации с помощью функции сервера аутентификации (AUSF) генерируют корневой ключ домашней сети;

принимают от узла сети защищенное сообщение, содержащее информацию направления в сеть, защищенную с помощью конфигурационного ключа (Kconf), полученного из корневого ключа домашней сети и первого кода аутентификации сообщения (MAC-1);

получают конфигурационный ключ (Kconf) из корневого ключа домашней сети;

верифицируют MAC-1 с помощью UE;

на основе Kconf и MAC-1 верифицируют, что VPLMN не изменила информацию направления в сеть; и

передают сообщение подтверждения в домашнюю наземную сеть мобильной связи общего пользования (HPLMN) сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщения (MAC-2).

2. Способ согласно иллюстративному варианту осуществления 1, в котором корневым ключом домашней сети является Kausf.

3. Способ согласно иллюстративным вариантам осуществления 1-2, в котором узел сети содержит AUSF.

4. Способ согласно иллюстративным вариантам осуществления 1-3, в котором информация направления в сеть генерируется другим узлом сети и защищается AUSF.

5. Способ согласно иллюстративному варианту осуществления 4, в котором информация направления в сеть генерируется с помощью управления пользовательскими данными (UDM).

6. Способ согласно любому из иллюстративных вариантов осуществления 1-2, в котором узел сети содержит функцию централизованной координации (PCF), которая отвечает за защиту информации направления в сеть в защищенном сообщении.

7. Способ согласно любому из иллюстративных вариантов осуществления 1-2, в котором узел сети содержит функцию мобильности доступа/функцию привязки безопасности (AMF/SEAF), которая пересылает защищенное сообщение, содержащее информацию направления в сеть от другого узла сети.

8. Способ согласно иллюстративному варианту осуществления 7, в котором защищенное сообщение является конфиденциально защищенным по беспроводной связи с помощью безопасности уровня без доступа (NAS).

9. Способ согласно любому из иллюстративных вариантов осуществления 1-8, в котором защищенное сообщение встраивается в сообщение одобрения регистрации.

10. Пользовательское оборудование (UE), содержащее память, приспособленную для хранения инструкций, и схему обработки, выполненную с возможностью выполнения инструкций, посредством чего узел сети может использоваться для выполнения любого из способов иллюстративных вариантов осуществления 1-9.

11. Компьютерный программный продукт, содержащий долговременный машиночитаемый носитель, хранящий машиночитаемый программный код, машиночитаемый программный код содержит программный код для выполнения любого из способов иллюстративных вариантов осуществления 1-9.

12. Способ защиты информации направления в сеть, выполняемый узлом сети, работающим в качестве функции сервера аутентификации (AUSF), способ, содержащий этапы, на которых:

генерируют корневой ключ домашней сети;

принимают информацию направления в сеть от функции централизованной координации (PCF);

получают конфигурационный ключ (Kconf) из ключа домашней сети;

генерируют защищенное сообщение, содержащее информацию направления в сеть, защищенное сообщение защищено с помощью Kconf и первого кода аутентификации сообщения (MAC-1);

передают защищенное сообщение, содержащее информацию направления в сеть, в пользовательское оборудование (UE);

принимают от UE сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщения (MAC-2), подтверждение, указывающее, что VPLMN не изменила информацию направления в сеть;

верифицируют MAC-2; и

пересылают сообщение подтверждения, указывающее, что VPLMN не изменила информацию направления в сеть, в PCF.

13. Способ согласно варианту осуществления 12, в котором корневым ключом домашней сети является Kausf.

14. Способ согласно вариантам осуществления 12-13, в котором защищенное сообщение встраивается в сообщение одобрения регистрации.

15. Узел сети, содержащий память, приспособленную для хранения инструкций, и схему обработки, выполненную с возможностью выполнения инструкций, посредством чего узел сети может использоваться для выполнения любого из способов иллюстративных вариантов осуществления 12-14.

16. Компьютерный программный продукт, содержащий долговременный машиночитаемый носитель, хранящий машиночитаемый программный код, машиночитаемый программный код содержит программный код для выполнения любого из способов иллюстративных вариантов осуществления 12-14.

17. Способ защиты информации направления в сеть, выполняемый узлом сети, работающим в качестве функции централизованной координации (PCF), способ, содержащий этапы, на которых:

запрашивают у функции сервера аутентификации (ASF) конфигурационный ключ (KConf), полученный из корневого ключа домашней сети;

принимают KConf;

генерируют защищенное сообщение, содержащее информацию направления в сеть, при этом защищенное сообщение защищено с помощью Kconf и первого кода аутентификации сообщения (MAC-1);

передают защищенное сообщение, содержащее информацию направления в сеть, в пользовательское оборудование (UE);

принимают от UE сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщения (MAC-2), подтверждение, указывающее, что VPLMN не изменила информацию направления в сеть;

верифицируют MAC-2; и

определяют на основе этого подтверждения, что VPLMN не изменила информацию направления в сеть.

18. Способ согласно варианту осуществления 17, в котором корневым ключом домашней сети является Kausf.

19. Способ согласно вариантам осуществления 17-18, в котором защищенное сообщение встраивается в сообщение одобрения регистрации.

20. Узел сети, содержащий память, приспособленную для хранения инструкций, и схему обработки, выполненную с возможностью выполнения инструкций, посредством чего узел сети может использоваться для выполнения любого из способов иллюстративных вариантов осуществления 17-19.

21. Компьютерный программный продукт, содержащий долговременный машиночитаемый носитель, хранящий машиночитаемый программный код, машиночитаемый программный код содержит программный код для выполнения любого из способов иллюстративных вариантов осуществления 17-19.

22. Базовая станция, выполненная с возможностью осуществления связи с пользовательским оборудованием (UE), базовая станция, содержащая радиоинтерфейс и схему обработки, выполненная с возможностью выполнения любого из способов иллюстративных вариантов осуществления 17-19.

В системах и устройствах, описанных в настоящем описании, могут быть сделаны модификации, дополнения или изъятия, не выходя за рамки объема притязаний этого раскрытия. Компоненты систем и устройств могут быть интегрированными или раздельными. Кроме того, операции систем и устройств могут выполняться большим, меньшим числом компонентов или другими компонентами. Кроме того, операции систем и устройств могут выполняться с использованием любой подходящей логики, включающей в себя программное обеспечение, аппаратное обеспечение и/или другую логику. В этом описании термин «каждый» означает каждый элемент множества или каждый элемент подмножества множества.

В способах, описанных в настоящем описании, могут быть сделаны модификации, дополнения или изъятия, не выходя за рамки объема притязаний этого раскрытия. Способы могут включать в себя больше, меньше или другие этапы. Кроме того, этапы могут выполняться в любом подходящем порядке.

Хотя это раскрытие было описано в терминах определенных вариантов осуществления, специалистам в данной области техники будут очевидны изменения и преобразования вариантов осуществления. Соответственно, приведенное выше описание вариантов осуществления не ограничивает это раскрытие. Возможны и другие изменения, замены и изменения, не отступая от сущности и объема притязаний этого раскрытия.

СОКРАЩЕНИЯ:

Сокращение Пояснение

3GPP Проект партнерства третьего поколения (3rd Generation Partnership Project)

5G Пятое поколение (5th Generation)

BER Коэффициент битовых ошибок (Bit Error Rate)

C-MTC Критическая MTC (Critical MTC) (Также называемая сверхнадежной связью с низкой задержкой (Ultra Reliable and Low Latency Communication, URLLC).)

CP Циклический префикс (Cyclic Prefix)

DMRS Опорный сигнал демодуляции (Demodulation Reference Signal)

eNB Усовершенствованный узел B (Evolved NodeB)

gNB Термин для базовой радиостанции в NR (соответствует eNB в LTE).

ID Идентификационная информация/Идентификатор (Identity/Identifier)

IE Элемент информации (Information Element)

IM Модуляция индекса (Index Modulation)

LTE Стандарт «Долгосрочное развитие сетей связи» (Long Term Evolution)

MIB Основной блок информации (Master Information Block)

MIMO Многоканальный вход - многоканальный выход (Multiple-Input Multiple-Output)

ML Обнаружение максимального правдоподобия (Maximum Likelihood Detection)

MSG Сообщение (Message)

M-MTC Массовая MTC (Massive MTC)

MTC Связь машинного типа (Machine Type Communication )

NGC Ядро следующего поколения (Next Generation Core)

NR Новое радио (New Radio) (Термин, используемый для 5G-радиоинтерфейса и сети радиодоступа в технических отчетах и спецификациях стандартов, над которыми работает 3GPP.)

OFDM Множественный доступ с ортогональным частотным разделением (Orthogonal Frequency Division Multiple Access)

PBCH Физический широковещательный канал (Physical Broadcast Channel)

PCI Физический идентификатор соты (Physical Cell Identity)

PDCCH Физический канал управления нисходящей линии связи (Physical Downlink Control Channel)

PDSCH Физический совместно используемый канал нисходящей линии связи (Physical Downlink Shared Channel)

PLMN Наземная сеть мобильной связи общего пользования (Public Land Mobile Network)

PRACH Физический канал с произвольным доступом (Physical Random Access Channel)

PSS Главный сигнал синхронизации (Primary Synchronization Signal)

QAM Квадратурная амплитудная модуляция (Quadrature Amplitude Modulation)

QCL Квазисоразмещенный (Quasi-Co-Located)

RA Произвольный доступ (Random Access)

RAN Сеть с произвольным доступом (Random Access Network)

RAR Ответ произвольного доступа (Random Access Response)

RMSI Оставшаяся минимальная системная информация (Remaining Minimum System Information)

RRC Управление радиоресурсами (Radio Resource Control)

SFN Одночастотная сеть связи (Single Frequency Network)

SI Системная информация (System Information)

SIB Блок системной информации (System Information Block)

SM Пространственная модуляция (Spatial Modulation)

SNR Соотношение сигнал/шум (Signal to Noise Ratio)

SS Сигнал синхронизации (Synchronization Signal)

SSS Вторичный сигнал синхронизации (Secondary Synchronization Signal)

TRP Точка передачи/приема (Transmission/Reception Point)

UE Пользовательское оборудование (User Equipment)

UL Восходящая линия связи (Uplink)

1. Способ защиты информации направления в сеть, выполняемый пользовательским оборудованием (UE), содержащий этапы, на которых:

передают запрос регистрации в гостевую наземную сеть мобильной связи общего пользования (VPLMN);

после успешной первичной аутентификации генерируют корневой ключ домашней сети;

принимают от первого узла сети защищенное сообщение, содержащее информацию направления в сеть, защищенную с использованием корневого ключа домашней сети и первого кода аутентификации сообщения (MAC-1);

верифицируют MAC-1;

на основе корневого ключа домашней сети и MAC-1 верифицируют, что VPLMN не изменила информацию направления в сеть; и

передают сообщение подтверждения в домашнюю наземную сеть мобильной связи общего пользования (HPLMN), при этом сообщение подтверждения защищено с помощью второго кода аутентификации сообщения (MAC-2).

2. Способ по п. 1, в котором корневым ключом домашней сети является Kausf.

3. Способ по п. 1, в котором первый узел сети содержит функцию сервера аутентификации (AUSF).

4. Способ по п. 1, в котором информация направления в сеть генерируется вторым узлом сети и защищается функцией сервера аутентификации (AUSF).

5. Способ по п. 4, в котором информация направления в сеть генерируется посредством управления пользовательскими данными (UDM).

6. Способ по п. 1, в котором третий узел сети, расположенный в VPLMN, содержит функцию мобильности доступа/функцию привязки безопасности (AMF/SEAF), которая пересылает упомянутое защищенное сообщение, содержащее информацию направления в сеть, от второго узла сети.

7. Способ по п. 6, в котором упомянутое защищенное сообщение является конфиденциально защищенным по беспроводной связи с помощью безопасности уровня без доступа (NAS).

8. Способ по п. 1, в котором упомянутое защищенное сообщение встраивается в сообщение одобрения регистрации.

9. Пользовательское оборудование (UE), содержащее:

память, приспособленную для хранения инструкций; и

схему обработки, выполненную с возможностью исполнения инструкций, чтобы предписывать UE:

передавать запрос регистрации в гостевую наземную сеть мобильной связи общего пользования (VPLMN);

после успешной первичной аутентификации генерировать корневой ключ домашней сети;

принимать от первого узла сети защищенное сообщение, содержащее информацию направления в сеть, защищенную с помощью корневого ключа домашней сети и первого кода аутентификации сообщения (MAC-1);

верифицировать MAC-1;

на основе корневого ключа домашней сети и MAC-1 верифицировать, что VPLMN не изменила информацию направления в сеть; и

передавать сообщение подтверждения в домашнюю наземную сеть мобильной связи общего пользования (HPLMN), при этом сообщение подтверждения защищено с помощью второго кода аутентификации сообщения (MAC-2).

10. UE по п. 9, при этом корневым ключом домашней сети является Kausf.

11. UE по п. 9, при этом первый узел сети содержит функцию сервера аутентификации (AUSF).

12. UE по п. 9, при этом информация направления в сеть генерируется вторым узлом сети и защищается функцией сервера аутентификации (AUSF).

13. UE по п. 12, при этом информация направления в сеть генерируется посредством управления пользовательскими данными (UDM).

14. UE по п. 9, при этом третий узел сети, расположенный в VPLMN, содержит функцию мобильности доступа/функцию привязки безопасности (AMF/SEAF), которая пересылает упомянутое защищенное сообщение, содержащее информацию направления в сеть, от второго узла сети.

15. UE по п. 14, при этом упомянутое защищенное сообщение является конфиденциально защищенным по беспроводной связи с помощью безопасности уровня без доступа (NAS).

16. UE по п. 9, при этом упомянутое защищенное сообщение встраивается в сообщение одобрения регистрации.

17. Способ защиты информации направления в сеть, выполняемый первым узлом сети, работающим в качестве функции сервера аутентификации (AUSF), причем способ содержит этапы, на которых:

генерируют корневой ключ домашней сети;

принимают информацию направления в сеть от второго узла сети;

генерируют защищенное сообщение, содержащее информацию направления в сеть, при этом защищенное сообщение защищено с помощью корневого ключа домашней сети и первого кода аутентификации сообщения (MAC-1);

передают защищенное сообщение, содержащее информацию направления в сеть, в пользовательское оборудование (UE);

принимают от UE сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщения (MAC-2), причем данное подтверждение указывает, что VPLMN не изменила информацию направления в сеть; и

пересылают сообщение подтверждения, указывающее, что VPLMN не изменила информацию направления в сеть, во второй узел сети.

18. Способ по п. 17, в котором корневым ключом домашней сети является Kausf.

19. Способ по п. 17, в котором упомянутое защищенное сообщение встраивается в сообщение одобрения регистрации.

20. Способ по п. 17, в котором второй узел сети работает в качестве по меньшей мере одного из функции централизованной координации (PCF) и управления пользовательскими данными (UDM).

21. Первый узел сети, работающий в качестве функции сервера аутентификации (AUSF), для защиты информации направления в сеть, причем узел сети содержит:

память, приспособленную для хранения инструкций; и

схему обработки, выполненную с возможностью исполнения инструкций, чтобы предписывать узлу сети:

генерировать корневой ключ домашней сети;

принимать информацию направления в сеть от второго узла сети;

генерировать защищенное сообщение, содержащее информацию направления в сеть, при этом защищенное сообщение защищено с помощью корневого ключа домашней сети и первого кода аутентификации сообщения (MAC-1);

передавать защищенное сообщение, содержащее информацию направления в сеть, в пользовательское оборудование (UE);

принимать от UE сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщения (MAC-2), причем данное подтверждение указывает, что VPLMN не изменила информацию направления в сеть; и

пересылать сообщение подтверждения, указывающее, что VPLMN не изменила информацию направления в сеть, во второй узел сети.

22. Первый узел сети по п. 21, при этом корневым ключом домашней сети является Kausf.

23. Первый узел сети по п. 21, при этом упомянутое защищенное сообщение встраивается в сообщение одобрения регистрации.

24. Первый узел сети по п. 21, при этом второй узел сети работает в качестве по меньшей мере одного из функции централизованной координации (PCF) и управления пользовательскими данными (UDM).

25. Способ защиты информации направления в сеть, выполняемый первым узлом сети, причем способ содержит этапы, на которых:

передают информацию направления в сеть во второй узел сети, работающий в качестве функции сервера аутентификации (AUSF), для защиты информации направления в сеть с помощью корневого ключа домашней сети и первого кода аутентификации сообщения (MAC-1);

принимают от UE сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщения (MAC-2), причем данное подтверждение указывает, что VPLMN не изменила информацию направления в сеть;

верифицируют MAC-2; и

определяют на основе упомянутого подтверждения, что VPLMN не изменила информацию направления в сеть.

26. Способ по п. 25, в котором корневым ключом домашней сети является Kausf.

27. Способ по п. 25, в котором первый узел сети работает в качестве управления пользовательскими данными (UDM).

28. Способ по п. 25, в котором первый узел сети работает в качестве функции централизованной координации (PCF).

29. Способ по п. 25, дополнительно содержащий этапы, на которых:

принимают от второго узла сети, работающего в качестве AUSF, MAC-1 и третий MAC-2;

сохраняют третий MAC-2.

30. Способ по п. 29, в котором:

упомянутая верификация MAC-2 содержит этап, на котором сравнивают сохраненный третий MAC-2 с MAC-2, защищающим сообщение подтверждения от UE,

и упомянутое определение на основе подтверждения, что VPLMN не изменила информацию направления в сеть, содержит этап, на котором определяют, что сохраненный третий MAC-2 совпадает с MAC-2, защищающим сообщение подтверждения.

31. Способ по п. 25, в котором упомянутое защищенное сообщение встраивается в сообщение одобрения регистрации.

32. Первый узел сети для защиты информации направления в сеть, причем узел сети содержит:

память, приспособленную для хранения инструкций; и

схему обработки, выполненную с возможностью исполнения инструкций, чтобы предписывать узлу сети:

передавать информацию направления в сеть во второй узел сети, работающий в качестве функции сервера аутентификации (AUSF), для защиты информации направления в сеть с помощью корневого ключа домашней сети и первого кода аутентификации сообщений (MAC-1);

принимать от пользовательского оборудования (UE) сообщение подтверждения, защищенное с помощью второго кода аутентификации сообщений (MAC-2), причем данное подтверждение указывает, что VPLMN не изменила информацию направления в сеть;

верифицировать MAC-2; и

определять на основе упомянутого подтверждения, что VPLMN не изменила информацию направления в сеть.

33. Первый узел сети по п. 32, при этом корневым ключом домашней сети является Kausf.

34. Первый узел сети по п. 32, при этом первый узел сети работает в качестве управления пользовательскими данными (UDM).

35. Первый узел сети по п. 32, при этом первый узел сети работает в качестве функции централизованной координации (PCF).

36. Первый узел сети по п. 32, в котором схема обработки выполнена с возможностью:

принимать от второго узла сети, работающего в качестве AUSF, MAC-1 и третий MAC-2;

сохранять третий MAC-2.

37. Первый узел сети по п. 36, в котором:

упомянутая верификация MAC-2 содержит сравнение сохраненного третьего MAC-2 с MAC-2, защищающим сообщение подтверждения от UE,

и упомянутое определение на основе подтверждения, что VPLMN не изменила информацию направления в сеть, содержит определение того, что сохраненный третий MAC-2 совпадает с MAC-2, защищающим сообщение подтверждения.

38. Первый узел сети по п. 32, при этом упомянутое защищенное сообщение встраивается в сообщение одобрения регистрации.