Системы и способ для безопасных обновлений параметров конфигурации, обеспеченных в оборудовании пользователя

Родственные заявки

Эта обычная заявка на патент испрашивает приоритет предварительной заявки на патент США №62/742,341, поданной 06 октября 2018 г., которая полностью включена в данный документ посредством ссылки.

Область техники

Это раскрытие относится к области систем связи и, в частности, к обновлению мобильных устройств.

Уровень техники

Поставщики или операторы услуг реализуют мобильные сети, чтобы предлагать многочисленные речевые услуги и услуги передачи данных конечным пользователям мобильных телефонов или других мобильных устройств/терминалов, которые обычно называются оборудованием пользователя (User Equipment - UE). Некоторыми примерами речевых услуг являются речевые вызовы, переадресация вызова, ожидание вызова и т.д. Некоторыми примерами услуг передачи данных являются доступ в Интернет, потоковое аудио, потоковое видео, онлайн-игры, телевидение по протоколу Интернет (Internet Protocol television - IP-TV) и т.д. Мобильная сеть представляет собой тип сети, в которой последняя линия связи к конечному пользователю является беспроводной. Мобильная сеть обычно содержит опорную сеть и одну или большее количество сетей с радиодоступом (Radio Access Network - RAN), которые обмениваются сигнализацией и данными с UE через радиоинтерфейс.

UE обычно обеспечивается международным идентификатором мобильного абонента (International Mobile Subscriber Identity - IMSI), аутентификацией безопасности, информацией о шифровании и другими параметрами конфигурации. Могут быть случаи, когда домашней сети UE необходимо обновить один или большее количество из параметров конфигурации в UE. Например, домашняя сеть UE может обновлять параметры конфигурации, когда происходит изменение подписки, когда есть новое назначение услуги, когда мобильные сети переходят от сетей долгосрочного развития (Long-Term Evolution - LTE) к сетям следующего поколения и т.д. Следовательно, выгодно идентифицировать расширенные процедуры для обновления параметров конфигурации в UE.

Сущность изобретения

Описанные в данном документе варианты осуществления обеспечивают обновления параметров конфигурации UE с использованием сообщений слоя без доступа (Non-Access Stratum - NAS). В общем, мобильные сети, переходящие в сети следующего поколения, могут содержать управление едиными данными (Unified Data Management - UDM) и функцию управления доступом и мобильностью (Access and Mobility Management Function - AMF). UDM, которое находится в домашней сети UE, выполнено с возможностью сборки обновления параметра конфигурации UE для UE с защитой безопасности (например, защищенный пакет, защита целостности и т.д.). UDM отправляет обновление параметра конфигурации UE с защитой безопасности в AMF. AMF, в свою очередь, выполнена с возможностью прозрачной отправки обновления параметра конфигурации UE в UE с применением сообщения NAS. И снова обновление параметра конфигурации UE безопасно защищено в сообщении NAS. UE выполнено с возможностью обновления своих параметров конфигурации UE при приеме сообщения NAS на основе обновления, предоставленного в сообщении NAS. Одно из технических преимуществ этой процедуры состоит в том, что для обновления параметров конфигурации UE обеспечивается межконцевая безопасность. Другое техническое преимущество состоит в том, что для обновления параметров конфигурации UE можно использовать собственные функциональные возможности плоскости управления. Таким образом, не требуется развертывать специализированный сетевой элемент для предоставления обновлений для UE.

Один вариант осуществления содержит элемент AMF мобильной сети. Элемент AMF содержит процессор(ы) и запоминающее устройство, содержащее код компьютерной программы, исполняемый процессором. Процессор выполнен с возможностью предписывания элементу AMF принимать сообщение плоскости управления от элемента UDM, содержащее обновление параметра конфигурации UE для UE. Указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты. Процессор дополнительно выполнен с возможностью предписывания элементу AMF вставить обновление параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения NAS, при этом контейнер предназначен для обновления параметра конфигурации UE. Процессор дополнительно выполнен с возможностью предписывания элементу AMF отправить первое сообщение NAS на UE с контейнером, содержащим обновление параметра конфигурации UE, которое безопасно защищено.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет в соответствии с механизмом защиты.

В другом варианте осуществления обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS UE в соответствии с механизмом защиты.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет, и защищенный пакет целостно защищен с применением контекста безопасности NAS UE в соответствии с механизмом защиты.

В другом варианте осуществления первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на UE во время процедуры регистрации NAS. Процессор дополнительно выполнен с возможностью предписывания элементу AMF принять второе сообщение NAS от UE во время процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что обновление параметра конфигурации UE было принято, и отправлять другое сообщение плоскости управления элементу UDM с подтверждением UE. Второе сообщение NAS, принятое от UE, может содержать сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

В другом варианте осуществления первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS. Процессор дополнительно выполнен с возможностью предписывания элементу AMF принять второе сообщение NAS от UE с контейнером, содержащим подтверждение UE от UE о том, что обновление параметра конфигурации UE было принято, и отправлять другое сообщение плоскости управления элементу UDM с подтверждением UE. Второе сообщение NAS содержит транспортное сообщение NAS восходящей линии связи.

Другой вариант осуществления содержит способ выполнения процедуры обновления для обновления параметров конфигурации UE, обеспеченных в UE. Указанный способ включает в себя прием сообщения плоскости управления в элементе AMF от элемента UDM, которое содержит обновление параметра конфигурации UE для UE. Указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты. Способ дополнительно включает в себя вставку в элементе AMF обновления параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения NAS, при этом контейнер предназначен для обновления параметра конфигурации UE. Способ дополнительно включает в себя отправку первого сообщения NAS от элемента AMF на UE с контейнером, содержащим обновление параметра конфигурации UE, которое безопасно защищено.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет в соответствии с механизмом защиты.

В другом варианте осуществления обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS UE в соответствии с механизмом защиты.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет, и защищенный пакет целостно защищен с применением контекста безопасности NAS UE в соответствии с механизмом защиты.

В другом варианте осуществления первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное от элемента AMF на UE во время процедуры регистрации NAS.

В другом варианте осуществления способ дополнительно включает в себя прием второго сообщения NAS в элементе AMF от UE во время процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что обновление параметра конфигурации UE было принято, и отправку другого сообщения плоскости управления от элемента AMF элементу UDM с подтверждением UE. Второе сообщение NAS может содержать сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

В другом варианте осуществления первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.

В другом варианте осуществления способ дополнительно включает в себя прием второго сообщения NAS в элементе AMF от UE с контейнером, содержащим подтверждение UE от UE о том, что обновление параметра конфигурации UE было принято, и отправку другого сообщения плоскости управления от элемента AMF элементу UDM с подтверждением UE. Второе сообщение NAS содержит транспортное сообщение NAS восходящей линии связи.

В другом варианте осуществления способ дополнительно включает в себя прием первого сообщения NAS в UE от элемента AMF, содержащего контейнер, который содержит обновление параметра конфигурации UE для UE, которое безопасно защищено, выполнение проверки безопасности в UE для проверки обновления параметра конфигурации UE и обновление одного или большего количества из параметров конфигурации UE на основе обновления параметра конфигурации UE, когда обновление параметра конфигурации UE проверено.

В другом варианте осуществления, когда первое сообщение NAS содержит индикатор повторной регистрации, способ дополнительно включает в себя инициирование процедуры регистрации NAS в UE для повторной регистрации с применением обновленных параметров конфигурации UE.

Другой вариант осуществления содержит UE, которое содержит универсальную карту с интегральной схемой (Universal Integrated Circuit Card - UICC), в которой размещается универсальный модуль идентификации абонента (Universal Subscriber Identity Module - USIM), процессор и запоминающее устройство, содержащее код компьютерной программы, исполняемый процессором. Одно или оба из UICC и указанного запоминающего устройства хранят параметры конфигурации UE для UE. Процессор выполнен с возможностью предписывания UE принимать первое сообщение NAS от элемента AMF, содержащего контейнер, который содержит обновление параметра конфигурации UE для UE, которое безопасно защищено в соответствии с механизмом защиты. UICC и/или процессор выполнен с возможностью предписывания UE выполнять проверку безопасности для проверки обновления параметра конфигурации UE и обновления одного или большего количества из параметров конфигурации UE на основе обновления параметра конфигурации UE, когда обновление параметра конфигурации UE проверено.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет в контейнере первого сообщения NAS.

В другом варианте осуществления обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS UE.

В другом варианте осуществления обновление параметра конфигурации UE инкапсулируется в защищенный пакет в контейнере первого сообщения NAS, и защищенный пакет целостно защищен с применением контекста безопасности NAS UE.

В другом варианте осуществления первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на UE во время процедуры регистрации NAS.

В другом варианте осуществления, когда сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, процессор дополнительно выполнен с возможностью предписывания UE отправить второе сообщение NAS элементу AMF с контейнером, содержащим подтверждение UE от UE о том, что обновление параметра конфигурации UE было принято. Второе сообщение NAS может содержать сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

В другом варианте осуществления первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.

В другом варианте осуществления, когда транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, процессор дополнительно выполнен с возможностью предписывания UE отправить транспортное сообщение NAS восходящей линии связи элементу AMF с контейнером, содержащим подтверждение UE от UE о том, что обновление параметра конфигурации UE было принято.

В другом варианте осуществления, когда первое сообщение NAS содержит индикатор повторной регистрации, процессор дополнительно выполнен с возможностью предписывания UE инициировать процедуру регистрации NAS для повторной регистрации с применением обновленных параметров конфигурации UE.

Другой вариант осуществления содержит элемент AMF, который содержит средство для приема сообщения плоскости управления от элемента UDM, содержащее обновление параметра конфигурации UE для UE. Указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты. Элемент AMF дополнительно содержит средство для вставки обновления параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения NAS, и средство для отправки первого сообщения NAS на UE с контейнером, содержащим обновление параметра конфигурации UE, которое безопасно защищено.

Другой вариант осуществления содержит UE, которое содержит средство для хранения параметров конфигурации UE для UE. UE дополнительно содержит средство для приема первого сообщения NAS от элемента AMF, содержащего контейнер, который содержит обновление параметра конфигурации UE для UE, которое безопасно защищено в соответствии с механизмом защиты, средство для выполнения проверки безопасности для проверки обновления параметра конфигурации UE и средство для обновления одного или большего количества из параметров конфигурации UE на основе обновления параметра конфигурации UE, когда обновление параметра конфигурации UE проверено.

Приведенная выше сущность изобретения дает общее представление о некоторых аспектах данного описания изобретения. Эта сущность изобретения не является подробным обзором описания изобретения. Она не предназначена ни для идентификации ключевых или критических элементов описания изобретения, ни для очерчивания какого-либо объема конкретных вариантов осуществления описания изобретения или любого объема формулы изобретения. Ее единственная цель состоит в том, чтобы представить некоторые концепции описания изобретения в упрощенной форме в качестве вводной части к более подробному описанию, изложенному ниже.

Краткое описание графических материалов

Некоторые варианты осуществления данного изобретения теперь будут описаны исключительно в качестве примера со ссылкой на сопроводительные графические материалы. Один и тот же ссылочный номер представляет один и тот же элемент или один и тот же тип элемента на всех графических материалах.

Фиг. 1 иллюстрирует мобильную сеть в иллюстративном варианте осуществления.

Фиг. 2 иллюстрирует сеть с усовершенствованным пакетным ядром (Evolved Packet Core - EPC).

Фиг. 3 иллюстрирует нероуминговую архитектуру сети следующего поколения.

Фиг. 4 иллюстрирует роуминговую архитектуру сети следующего поколения.

Фиг. 5 иллюстрирует стек протоколов радиосвязи.

Фиг. 6 представляет собой блок-схему UE в иллюстративном варианте осуществления.

Фиг. 7 представляет собой функциональную модель для UE в иллюстративном варианте осуществления.

Фиг. 8 представляет собой блок-схему элемента AMF в иллюстративном варианте осуществления.

Фиг. 9 представляет собой блок-схему элемента UDM в иллюстративном варианте осуществления.

Фиг. 10 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры обновления в элементе UDM в иллюстративном варианте осуществления.

Фиг. 11 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры обновления в элементе AMF в иллюстративном варианте осуществления.

Фиг. 12 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры обновления в UE в иллюстративном варианте осуществления.

Фиг. 13 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления.

Фиг. 14 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления.

Фиг. 15 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления.

Фиг. 16 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления.

Фиг. 17 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления.

Фиг. 18 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления.

Описание вариантов осуществления

Указанные фигуры и нижеследующее описание иллюстрируют конкретные представленные в качестве примера варианты осуществления. Таким образом, будет принято во внимание, что специалисты в данной области техники смогут разработать различные устройства, которые, хотя явно не описаны или показаны в данном документе, воплощают принципы вариантов осуществления и включены в объем вариантов осуществления. Кроме того, любые описанные в данном документе примеры предназначены для помощи в понимании принципов вариантов осуществления и должны толковаться как не ограничивающие такие конкретно перечисленные примеры и условия. В результате концепция (идеи) изобретения не ограничивается конкретными вариантами осуществления или примерами, описанными ниже, но формулой изобретения и ее эквивалентами.

Фиг. 1 иллюстрирует мобильную сеть 100 в иллюстративном варианте осуществления. Мобильная сеть 100 (также называемая сотовой сетью) представляет собой тип сети, в которой последняя линия связи является беспроводной, и предоставляет речевые услуги и/или услуги передачи данных совокупности устройств. Мобильная сеть 100 может быть сетью третьего поколения (Third Generation - 3G), четвертого поколения (Fourth Generation - 4G) и/или сетью следующего поколения (например, пятого поколения (5G)).

Мобильная сеть 100 проиллюстрирована как предоставляющая услуги связи для UE 110 (вместе с другими UE, которые не показаны). UE 110 могут быть задействованы для речевых услуг, услуг передачи данных, межмашинных услуг (Machine-to-Machine - M2M) или услуг связи машинного типа (Machine Type Communication - MTC), услуг Интернета вещей (Internet of Things - IoT) и/или других услуг. UE 110 может быть устройством конечного пользователя, таким как мобильный телефон (например, смартфон), планшет или PDA, компьютер с адаптером мобильной широкополосной связи и т.д.

Мобильная сеть 100 содержит одну или большее количество сетей 120 с радиодоступом (RAN), которые обмениваются данными с UE 110 через радиоинтерфейс 122. RAN 120 может поддерживать доступ к сети усовершенствованного универсального наземного радиодоступа (Evolved-UMTS Terrestrial Radio Access Network - E-UTRAN), доступ к беспроводной локальной сети (Wireless Local Area Network - WLAN), фиксированный доступ, спутниковый радиодоступ, новые технологии радиодоступа (Radio Access Technologies - RAT) и т.д. В качестве примера, RAN 120 может содержать E-UTRAN или RAN следующего поколения (Next Generation RAN - NG-RAN), которая содержит одну или большее количество базовых станций 124, рассредоточенных по географической области. Базовая станция 124 может содержать объект, который применяет технологию радиосвязи для связи с UE в лицензированном спектре и сопряжения UE с опорной сетью. Базовые станции 124 в E-UTRAN называются усовершенствованными узлами B (Evolved-NodeBs - eNodeB). Базовые станции 124 в NG-RAN называются как gNodeB (базовые станции NR) и/или ng-eNodeB (базовые станции LTE, поддерживающие опорную сеть 5G). В качестве другого примера RAN 120 может содержать WLAN, которая содержит одну или большее количество точек 125 беспроводного доступа (Wireless Access Points - WAP). WLAN представляет собой сеть, в которой UE может подключаться к локальной сети (Local Area Network - LAN) через беспроводное (радио) соединение. WAP 125 представляет собой узел, который применяет технологию радиосвязи для связи с UE в нелицензированном спектре и обеспечивает доступ UE к опорной сети. Одним из примеров WAP 125 является точка доступа Wi-Fi, которая работает в радиодиапазонах 2,4 ГГц или 5 ГГц. Используемый в данном документе термин «базовая станция» может относиться к eNodeB, gNodeB, ng-eNodeB, WAP и т.д.

UE 110 имеют возможность подключения к соте 126 RAN 120 для доступа к опорной сети 130. Таким образом, RAN 120 представляет собой радиоинтерфейс между UE 110 и базовой сетью 130. Опорная сеть 130 является центральной частью мобильной сети 100, которая предоставляет различные услуги клиентам, подключенным с помощью RAN 120. Одним из примеров опорной сети 130 является сеть с усовершенствованным пакетным ядром (EPC), предложенная 3GPP для LTE. Другим примером опорной сети 130 является опорная сеть 5G, предложенная 3GPP. Опорная сеть 130 содержит сетевые элементы 132, которые могут содержать серверы, устройства, аппараты или оборудование (включая аппаратное обеспечение), которые предоставляют услуги для UE 110. Сетевые элементы 132 в сети EPC могут содержать объект управления мобильностью (MME), обслуживающий шлюз (Serving Gateway - S-GW), шлюз сети пакетной передачи данных (Packet Data Network Gateway - P-GW) и т.д. Сетевые элементы 132 в сети 5G могут содержать функцию управления доступом и мобильностью (AMF), функцию управления сеансом (Session Management Function - SMF), функцию управления политиками (Policy Control Function - PCF), функцию приложения (Application Function - AF), функцию плоскости пользователя (User Plane Function - UPF), и т.д.

Фиг. 2 иллюстрирует сеть 200 с усовершенствованным пакетным ядром (EPC), которая является опорной сетью для LTE. Сеть 200 EPC содержит объект 214 управления мобильностью (MME), обслуживающий шлюз (S-GW) 215, шлюз 216 сети пакетной передачи данных (P-GW), домашний абонентский сервер (Home Subscriber Server - HSS) 217, а также функцию 218 политики и правил тарификации (Policy and Charging Rules Function - PCRF), но может содержать другие не показанные элементы, такие как серверы приложений подсистемы мультимедиа IP (IP Multimedia Subsystem - IMS). В сети 200 EPC данные пользователя (также называемые «плоскостью пользователя») и сигнализация (также называемая «плоскостью управления») разделены. MME 214 обрабатывает плоскость управления в сети 200 EPC. Например, MME 214 обрабатывает сигнализацию, относящуюся к мобильности и безопасности для доступа E-UTRAN. MME 214 отвечает за отслеживание и поисковый вызов UE 110 в режиме ожидания. S-GW 215 и P-GW 216 обрабатывают плоскость пользователя. S-GW 215 и P-GW 216 транспортируют трафик данных между UE 110 и внешними сетями 240 передачи данных (DN или сеть пакетной передачи данных (Packet Data Network - PDN)). S-GW 215 является точкой межсоединения между радиостороной и сетью 200 EPC и обслуживает UE 110 путем маршрутизации входящих и исходящих IP-пакетов. S-GW 215 также является точкой привязки для мобильности внутри LTE (то есть в случае хендовера между eNodeB) и между LTE и другими доступами от 3GPP. P-GW 216 является точкой межсоединения между сетью 200 EPC и внешними сетями 240 передачи данных (то есть точкой входа или выхода для сети 240 передачи данных) и маршрутизирует пакеты в сеть 240 передачи данных и из нее. HSS 217 представляет собой базу данных, в которой хранится информация, относящаяся к пользователям и относящаяся к подписчикам. PCRF 218 обеспечивает решение для управления политикой и тарификацией (Policy and Charging Control - PCC) в сети EPC 200 и является узлом или объектом сети 200 EPC, который формулирует правила PCC для услуг, запрашиваемых конечным пользователем.

MME 214 подсоединяется к RAN 120 (т.е. eNodeB) через интерфейс S1-MME, а S-GW 215 подсоединяется к RAN 120 через интерфейс S1-U. MME 214 подсоединяется к S-GW 215 через интерфейс S11, и подсоединяется к HSS 217 через интерфейс S6a. PCRF 218 подсоединяется к P-GW 216 через интерфейс Gx, который обеспечивает передачу политики и правил тарификации от PCRF 218 к функции принудительного установления политики и тарификации (Policy and Charging Enforcement Function - PCEF) в P-GW 216. PCRF 218 подсоединяется к S-GW 215 через интерфейс Gxx, а S-GW 215 подсоединяется к P-GW 216 через интерфейс S5.

Фиг. 3 иллюстрирует нероуминговую архитектуру 300 сети следующего поколения. Архитектура на фиг. 3 является представлением опорной точки, как дополнительно описано в документе 3GPP TS 23.501 (v15.3.0), который полностью включен в данный документ посредством ссылки. Архитектура 300 состоит из сетевых функций (Network Function - NF) для опорной сети, а сетевые функции для плоскости управления отделены от плоскости пользователя. Плоскость управления опорной сети содержит функцию 310 сервера аутентификации (Authentication Server Function - AUSF), управление 312 едиными данными (UDM), функцию 313 выбора сетевого сегмента (Network Slice Selection Function - NSSF), функцию 314 управления доступом и мобильностью (AMF), функцию 316 управления сеансом (Session Management Function - SMF), функцию 318 управления политикой (PCF) и функцию 320 приложения (AF). Плоскость пользователя опорной сети содержит одну или большее количество функций 324 плоскости пользователя (UPF), которые обмениваются данными с сетью 240 передачи данных. UE 110 может получить доступ к плоскости управления и плоскости пользователя опорной сети через (R)AN 120.

AUSF 310 выполнена с возможностью поддержки аутентификации UE 110. UDM 312 выполнено с возможностью хранения данных/информации подписки для UE 110. UDM 312 может хранить три типа данных пользователя: подписку, политику и контекст, связанный с сеансом (например, местоположение UE). AMF 314 выполнена с возможностью обеспечения аутентификации на основе UE, авторизации, управления мобильностью и т.д. SMF 316 выполнена с возможностью обеспечения следующих функций: управление сеансом (session management - SM), выделение и управление адреса Интернет протокола (Internet Protocol - IP) UE, выбор и управление UPF, завершение интерфейсов к PCF 318, часть управления принудительным установлением политик и качества обслуживания (Quality of Service - QoS), полицейский перехват, завершение SM частей сообщений NAS, уведомление о данных нисходящей линии связи (Downlink Data Notification - DNN), функция роуминга, обработка локального принудительного применения для применения QoS для соглашений об уровне обслуживания (Service Level Agreement - SLA), сбор данных о тарификации и интерфейс тарификации, и т.д. Если UE 110 имеет несколько сеансов, разные SMF могут быть выделены каждому сеансу, чтобы управлять ими индивидуально и, возможно, обеспечивать разные функции для каждого сеанса. PCF 318 выполнена с возможностью поддержки инфраструктуры единой политики для управления поведением сети и предоставления правил политики для функций плоскости управления для принудительного установления QoS, тарификации, управления доступом, маршрутизации трафика и т.д. AF 320 предоставляет информацию о потоке пакетов в PCF 318. PCF 318 выполнена с возможностью определения на основе указанной информации правил политики в отношении мобильности и управления сеансом, чтобы AMF 314 и SMF 316 работали должным образом.

UPF 324 поддерживает различные операции и функции плоскости пользователя, такие как маршрутизация и пересылка пакетов, обработка трафика (например, принудительное установление QoS), точка привязки для мобильности Intra-RAT/Inter-RAT (если применимо), проверка пакетов и принудительное установление правил политики, полицейский перехват (сбор UP), учет трафика и отчетность и т.д. Сеть 240 передачи данных не является частью опорной сети и обеспечивает доступ в Интернет, услуги оператора, услуги 3-их лиц и т.д. Например, Международный союз электросвязи (International Telecommunication Union - ITU) классифицировал услуги мобильной сети 5G по трем категориям: расширенная мобильная широкополосная связь (Enhanced Mobile Broadband - eMBB), сверхнадежная связь с малой задержкой (Ultra-reliable and Low-Latency Communications - uRLLC) и массовая связь машинного типа (Massive Machine Type Communications - mMTC) или массовый Интернет вещей (Massive Internet of Things - MIoT). eMBB фокусируется на услугах, требующих высокой пропускной способности, таких как HD-видео, виртуальная реальность (Virtual Reality - VR) и дополненная реальность (Augmented Reality - AR). uRLLC фокусируется на услугах, чувствительных к задержкам, таких как автоматизированное вождение и удаленное управление. mMTC и MIoT фокусируются на услугах, которые содержат высокие требования к плотности подключения, таких как умный город и умное сельское хозяйство. Сеть 240 передачи данных может быть выполнена с возможностью предоставления этих и других услуг.

Архитектура 300 содержит следующие опорные точки. Опорная точка N1 реализована между UE 110 и AMF 314. Опорная точка N2 реализована между (R)AN 120 и AMF 314. Опорная точка N3 реализована между (R)AN 120 и UPF 324. Опорная точка N4 реализована между SMF 316 и UPF 324. Опорная точка N5 реализована между PCF 318 и AF 320. Опорная точка N6 реализована между UPF 324 и сетью 240 передачи данных. Опорная точка N7 реализована между SMF 316 и PCF 318. Опорная точка N8 реализована между UDM 312 и AMF 314. Опорная точка N9 реализована между двумя UPF 324. Опорная точка N10 реализована между UDM 312 и SMF 316. Опорная точка N11 реализована между AMF 314 и SMF 316. Опорная точка N12 реализована между AMF 314 и AUSF 310. Опорная точка N13 реализована между UDM 312 и AUSF 310. Опорная точка N14 реализована между двумя AMF. Опорная точка N15 реализована между PCF 318 и AMF 314 в случае нероумингового сценария. Опорная точка N22 реализована между NSSF 313 и AMF 314.

Фиг. 4 иллюстрирует роуминговую архитектуру 400 сети следующего поколения. Архитектура на фиг. 4 является сценарием локального прорыва в представлении опорной точки, как дополнительно описано в 3GPP TS 23.501 (v15.3.0). В сценарии роуминга показаны гостевая сеть опорной наземной сети мобильной связи общего пользования (Visited Public Land Mobile Network - VPLMN) 402 и домашняя PLMN (HPLMN) 404. HPLMN 404 идентифицирует PLMN, в которой хранится профиль мобильного абонента. VPLMN представляет собой PLMN, по которой мобильный абонент перешел в роуминг при выходе из своей HPLMN. Пользователи, переходящие в роуминг в другие сети, будут принимать информацию о подписке от HPLMN 404. В сценарии локального прорыва PCF 318 (hPCF), UDM 312 и AUSF 310 находятся в HPLMN 404 для UE 110. Другие сетевые функции, содержащие посещаемый PCF (visited PCF - vPCF) 418, находятся в VPLMN 402.

Фиг. 5 иллюстрирует стек 500 протоколов радиосвязи, например, для радиоинтерфейса 122. Как описано в данном документе, плоскость 512 пользователя содержит набор протоколов, применяемых для передачи фактических данных пользователя через сеть, а плоскость 514 управления содержит протоколы, применяемые для управления и установления пользовательских соединений и каналов в сети. Для плоскости 512 пользователя и плоскости 514 управления стек 500 протоколов радиосвязи содержит физический (PHY) уровень 501, уровень 502 управления доступом к среде передачи (Medium Access Control - MAC), уровень 503 управления линией радиосвязи (Radio Link Control - RLC) и уровень 504 протокола конвергенции пакетных данных (Packet Data Convergence Protocol - PDCP). Плоскость 514 управления дополнительно содержит уровень 505 управления радиоресурсами (Radio Resource Control - RRC) и уровень 506 слоя без доступа (NAS).

Физический уровень 501 переносит всю информацию из транспортных каналов MAC по радиоинтерфейсу. Данные и сообщения сигнализации переносятся по физическим каналам между различными уровнями физического уровня 501. Физические каналы делятся на физические каналы данных и физические каналы управления. Физические каналы данных могут включать в себя физический совместно используемый канал нисходящей линии связи (Physical Downlink Shared Channel - PDSCH), физический канал широковещательной передачи (Physical Broadcast Channel - PBCH), физический многоадресный канал (PMCH), физический совместно используемый канал восходящей линии связи (Physical Uplink Shared Channel - PUSCH) и физический канал произвольного доступа (Physical Random Access Channel - PRACH). Физические каналы управления могут включать в себя физический канал индикатора управления форматом (Physical Control Format Indicator Channel - PCFICH), физический канал индикатора гибридного ARQ (PHICH), физический канал управления нисходящей линией связи (Physical Downlink Control Channel - PDCCH) и физический канал управления восходящей линией связи (Physical Uplink Control Channel - PUCCH).

Уровень 502 MAC отвечает за отображение между логическими каналами и транспортными каналами, мультиплексирование блоков служебных данных (Service Data Unit - SDU) MAC из одного или разных логических каналов в транспортные блоки (transport block - TB), которые будут доставлены на физический уровень по транспортным каналам, демультиплексирование SDU MAC из одного или разных логических каналов из транспортных блоков, доставленных с физического уровня по транспортным каналам, сообщение информации о планировании, исправление ошибок с помощью гибридного автоматического запроса на повторение (Hybrid Automatic Repeat Request - HARQ), обработка приоритетов между UE посредством динамического планирования, обработка приоритетов между логическими каналами одного UE и приоритизация логических каналов. Уровень 503 RLC отвечает за передачу блоков протокольных данных (Protocol Data Unit - PDU) верхнего уровня, исправление ошибок посредством ARQ и конкатенацию, сегментацию и повторную сборку SDU RLC. Уровень 503 RLC также отвечает за повторную сегментацию данных PDU RLC, переупорядочение данных PDU RLC, обнаружение дублирования, сброс SDU RLC, повторное установление RLC и обнаружение ошибок протокола. Уровень 504 PDCP отвечает за сжатие заголовка и декомпрессию IP-данных, передачу данных (плоскость пользователя или плоскость управления), поддержание порядковых номеров (Sequence Number - SN) PDCP, последовательную доставку PDU верхнего уровня при повторном установлении нижних уровней, дублированное устранение SDU нижнего уровня при повторном установлении нижних уровней для радиоканалов, отображенных в режиме подтверждения (Acknowledged Mode - AM) RLC, шифрование и дешифрование данных плоскости пользователя и данных плоскости управления, защита целостности и проверка целостности данных плоскости управления, отбрасывание на основе таймера, дублирование отбрасывания и т.д. Уровень 505 RRC отвечает за широковещательную передачу системной информации, относящейся к NAS, широковещательную передачу системной информации, относящейся к слою доступа (AS), поисковый вызов, установление, поддержание и освобождение соединения RRC между UE и RAN, функции безопасности, включающие управление ключами, установление, конфигурацию, поддержание и освобождение двухточечных радиоканалов (Radio Bearer - RB). Уровень 506 NAS представляет наивысший слой плоскости 514 управления между UE и опорной сетью (например, MME/AMF) и поддерживает мобильность UE и процедуры управления сеансом для установления и поддержания IP-соединения между UE и опорной сетью.

Каждое UE 110, принимающее услуги из мобильной сети, обеспечивается параметрами конфигурации. Домашняя сеть (то есть HPLMN) может захотеть обновить один или большее количество из параметров конфигурации в UE. В предшествующих мобильных сетях обновление параметров конфигурации выполнялось с помощью механизма беспроводной связи (Over-The-Air - OTA). Механизм OTA требовал развертывания специализированного сетевого элемента, называемого шлюзом OTA. Когда обновление параметров конфигурации было выполнено, внутренняя система оператора сети отправляла сервисные запросы на шлюз OTA. Для отправки запроса услуги на UE были указаны разные «каналы» OTA, такие как услуги передачи коротких сообщений (Short Message Services - SMS), неструктурированные дополнительные служебные данные (Unstructured Supplementary Service Data - USSD), протокол передачи гипертекста (HyperText Transfer Protocol - HTTP) и т.д. Шлюз OTA отображал указанные запросы услуги в «каналы» OTA для запросов услуги, которые должны быть отправлены в UE. Например, когда использовался канал SMS, шлюз OTA инкапсулировал обновленные параметры конфигурации в одно или большее количество сообщений SMS. Затем шлюз OTA отправлял сообщения SMS в центр SMS (SMS Center - SMSC), который передавал сообщения SMS в UE. Желательно предоставить собственное решение плоскости управления, которое сетевой оператор может применять для обновления параметров конфигурации UE без необходимости развертывания специализированного сетевого элемента, такого как шлюз OTA. Также желательно предоставить решение, в котором параметры конфигурации UE безопасно защищены.

В вариантах осуществления, описанных в данном документе, сеть прозрачно отправляет безопасно защищенное обновление параметра конфигурации UE в UE через сообщение NAS плоскости управления. Например, обновление параметра конфигурации UE может быть безопасно защищено с применением защищенного пакета, с применением ключа защиты целостности контекста безопасности NAS или обоих. При приеме обновления параметра конфигурации UE в сообщении NAS, UE может обновить свои параметры конфигурации UE. Предлагаемое в данном документе решение описано применительно к сети следующего поколения (например, 5G), но аналогичные решения могут быть обеспечены в сетях более ранних или более поздних поколений. Более подробная информация о вариантах осуществления предоставлена ниже.

Фиг. 6 представляет собой блок-схему UE 110 в иллюстративном варианте осуществления. UE 110 содержит компонент 602 радиоинтерфейса, один или большее количество процессоров 604, запоминающее устройство 606, компонент 608 пользовательского интерфейса и батарею 610. Компонент 602 радиоинтерфейса представляет собой аппаратный компонент, который представляет локальные радиоресурсы UE 110, такие как RF-блок 620 (например, приемопередатчик) и одна или большее количество антенн 622, применяемых для беспроводной связи с базовой станцией (например, базовой станцией 124) через радио или «эфирные» сигналы. Процессор 604 представляет собой внутреннюю схему, логику, аппаратное обеспечение, программное обеспечение и т.д., которые обеспечивают функции UE 110. Процессор 604 может быть выполнен с возможностью исполнения инструкций 640 для программного обеспечения, которые загружаются в запоминающее устройство 606. Процессор 604 может содержать набор из одного или большего количества процессоров или может содержать многопроцессорное ядро, в зависимости от конкретной реализации. Процессор 604 может реализовывать одно или большее количество приложений 630. Эти приложения 630 могут получать доступ к данным нисходящей линии связи (downlink - DL) через RAN 120 и опорную сеть 130, а также могут генерировать данные восходящей линии связи (uplink - UL) для передачи в пункт назначения через RAN 120 и опорную сеть 130. Запоминающее устройство 606 является машиночитаемым носителем для хранения данных, инструкций 640, приложений и т.д. и доступна процессору 604. Запоминающее устройство 606 представляет собой аппаратное устройство хранения данных, способное хранить информацию на временной основе и/или постоянной основе. Запоминающее устройство 606 может содержать оперативную память (Random-Access Memory - RAM) или любое другое энергозависимое или энергонезависимое устройство хранения данных. Компонент 608 пользовательского интерфейса представляет собой аппаратный компонент для взаимодействия с конечным пользователем. Например, компонент 608 пользовательского интерфейса может включать в себя дисплей 650, экран, сенсорный экран и т.п. (например, жидкокристаллический дисплей (Liquid Crystal Display - LCD), светодиодный (Light Emitting Diode - LED) дисплей и т.д.). Компонент 608 пользовательского интерфейса может включать в себя клавиатуру или клавишную панель 652, устройство слежения (например, трекбол или трекпад), динамик, микрофон и т.д.

UE 110 также содержит универсальную карту с интегральной схемой (Universal Integrated Circuit Card - UICC) 660, которая является аппаратным устройством, которое обеспечивает функции безопасности и целостности для UE 110. Хотя это не показано на фиг. 6, UICC 660 может содержать процессор (то есть центральный процессор (Central Processing Unit - CPU)), запоминающее устройство (например, постоянное запоминающее устройство (Read-Only Memory - ROM), RAM, электрически стираемое программируемое постоянное запоминающее устройство (Electrically Erasable Programmable Read-Only Memory - EEPROM)) и схемы ввода/вывода (Input/Output - I/O). UICC 660 может содержать или хранить универсальный модуль идентификации абонента (USIM) 662, который хранит информацию, такую как международный идентификатор мобильного абонента (International Mobile Subscriber Identity - IMSI), информацию безопасности аутентификации и шифрования, а также другую информацию о конфигурации домашнего оператора.

UICC 660 и/или запоминающее устройство 606 могут хранить информацию домашнего оператора, которая используется для конфигурирования UE 110, которая упоминается в данном документе как параметры 664 конфигурации UE. Один или большее количество из параметров 664 конфигурации UE могут использоваться исключительно UICC 660, а один или большее количество из параметров 664 конфигурации UE могут использоваться процессором 604. Параметры 664 конфигурации UE могут включать в себя индикатор маршрутизации, идентификатор домашней сети (например, идентификатор PLMN и информацию MCC/MNC), идентификатор схемы защиты домашней сети, идентификатор открытого ключа домашней сети, открытые сертификаты домашней сети, информацию о выборе сети (например, управляемый оператором селектор PLMN со списком технологий доступа) и/или другую информацию. Параметры 664 конфигурации UE могут представлять данные, предварительно предоставленные оператором сети, или данные, предоставленные сетью, например, посредством процедуры обновления, как описано ниже. UE 110 может содержать различные другие компоненты, специально не проиллюстрированные на фиг. 6.

Фиг. 7 представляет собой функциональную модель для UE 110 в иллюстративном варианте осуществления. UE 110 может быть подразделено на домены, такие как оборудование мобильной связи (Mobile Equipment - ME) 702 и USIM 662. Как описано выше, функции для USIM 662 могут выполняться процессором и запоминающим устройством на UICC 660. Функции для ME 702 могут выполняться процессором 604 и запоминающим устройством 606. ME 702 выполняет радиопередачу и содержит приложения. USIM 662 содержит данные и процедуры, которые однозначно и надежно идентифицируют себя. Эти функции обычно встроены в автономную смарт-карту, такую как UICC 660. Как указано выше, один или большее количество из параметров 664 конфигурации UE могут храниться исключительно в USIM 662 для использования или обработки в UICC 660, а один или большее количество из параметров 664 конфигурации UE могут храниться исключительно в ME 702 для использования или обработки в ME 702.

Фиг. 8 представляет собой блок-схему элемента 314 AMF в иллюстративном варианте осуществления. Как описано выше, элемент 314 AMF выполнен с возможностью обеспечения аутентификации, авторизации, управления мобильностью т.д. на основе UE. В этом варианте осуществления элемент 314 AMF содержит следующие подсистемы: компонент 802 сетевого интерфейса и менеджер 804 обновлений, которые работают на одной или большем количестве платформ. Компонент 802 сетевого интерфейса может содержать схему, логику, аппаратное обеспечение, средство и т.д., выполненные с возможностью обмена сообщениями плоскости управления или сигнализацией с другими сетевыми элементами и/или UE (например, через RAN 120). Компонент 802 сетевого интерфейса может работать с применением множества протоколов (включая протокол NAS) или опорных точек. Менеджер 804 обновлений может содержать схему, логику, аппаратное обеспечение, средства и т.д., выполненные с возможностью обработки обновлений для параметров конфигурации UE на UE. Одна или большее количество из подсистем элемента 314 AMF могут быть реализованы на аппаратной платформе, состоящей из аналоговых и/или цифровых схем. Одна или большее количество из подсистем элемента 314 AMF могут быть реализованы в процессоре 830, который выполняет инструкции, хранящиеся в запоминающем устройстве 832. Процессор 830 содержит интегральную аппаратную схему, выполненную с возможностью выполнения инструкций, а запоминающее устройство 832 является машиночитаемым носителем долговременного хранения информации для данных, инструкций, приложений и т.д. и доступно процессору 830. Элемент 314 AMF может содержать различные другие компоненты, специально не проиллюстрированные на фиг. 8.

Фиг. 9 представляет собой блок-схему элемента 312 UDM в иллюстративном варианте осуществления. Как описано выше, элемент 312 UDM выполнен с возможностью хранения данных подписки на доступ и мобильность для UE. В этом варианте осуществления элемент 312 UDM содержит следующие подсистемы: компонент 902 сетевого интерфейса, репозиторий 904 данных подписчика и менеджер 906 обновлений, которые работают на одной или большем количестве платформ. Компонент 902 сетевого интерфейса может содержать схему, логику, аппаратное обеспечение, средство и т.д., выполненные с возможностью обмена сообщениями уровня управления или сигнализацией с другими сетевыми элементами. Компонент 902 сетевого интерфейса может работать с применением множества протоколов или опорных точек. Репозиторий 904 данных подписчика может содержать схему, логику, аппаратное обеспечение, средство и т.д., выполненные с возможностью хранения данных подписки на доступ и мобильность. Менеджер 906 обновлений может содержать схему, логику, аппаратное обеспечение, средства и т.д., выполненные с возможностью обработки обновлений для параметров конфигурации UE на UE. Одна или большее количество из подсистем элемента 312 UDM могут быть реализованы на аппаратной платформе, состоящей из аналоговых и/или цифровых схем. Одна или большее количество из подсистем элемента 312 UDM могут быть реализованы в процессоре 930, который выполняет инструкции, хранящиеся в запоминающем устройстве 932. Элемент 312 UDM может содержать различные другие компоненты, специально не проиллюстрированные на фиг. 9.

Процедура обновления может выполняться или вызываться, когда UE регистрируется в сети или после того, как UE регистрируется в сети. Фиг. 10-12 иллюстрируют общую процедуру обновления, выполняемую элементом 312 UDM, элементом 314 AMF и UE 110. Дополнительные подробности процедуры обновления описаны в примерах схем сообщений ниже. Следовательно, предоставленные в данном документе схемы последовательности операций могут быть дополнены процедурами обновления, описанными в связи со схемами сообщений.

Фиг. 10 представляет собой схему последовательности операций, иллюстрирующую способ 1000 выполнения процедуры обновления в элементе 312 UDM в иллюстративном варианте осуществления. Этапы способа 1000 будут описаны со ссылкой на элемент 312 UDM на фиг. 9, но специалисты в данной области техники поймут, что способ 1000 может выполняться в других элементах сети или устройствах. Кроме того, описанные в данном документе этапы схем последовательности операций не являются исчерпывающими и могут включать в себя другие этапы, которые не показаны, и этапы могут выполняться в альтернативном порядке.

Для этого варианта осуществления можно предположить, что UE 110 регистрируется в сети через процедуру регистрации NAS или уже зарегистрировано в сети. Менеджер 906 обновлений элемента 312 UDM инициирует процедуру обновления для обновления одного или большего количества из параметров 664 конфигурации UE в UE 110 (этап 1002). Например, менеджер 906 обновлений может обрабатывать информацию конфигурации UE, хранящуюся в репозитории 904 данных подписчика, и определять, требуется или желательно обновление параметров 664 конфигурации UE. Менеджер 906 обновлений собирает обновление параметра конфигурации UE для UE 110 (этап 1004). Обновление параметра конфигурации UE содержит информацию, команду, инструкцию и т.д., используемую для выполнения обновления параметров 664 конфигурации UE в UE 110. Например, обновление параметра конфигурации UE может содержать один или большее количество обновленных параметров конфигурации UE для UE 110 как часть данных подписки на доступ и мобильность.

Менеджер 906 обновлений применяет защиту безопасности к обновлению параметра конфигурации UE (этап 1006) в соответствии с одним или большим количеством механизмов защиты. В одном варианте осуществления механизм защиты может быть защищенный пакет. Таким образом, менеджер 906 обновлений может настраивать или инкапсулировать обновление параметра конфигурации UE в защищенный пакет для применения защиты безопасности (необязательный этап 1008). Как правило, защищенный пакет содержит сообщения приложения, к которым были применены определенные механизмы. Сообщения приложений представляют собой команды или данные, которыми обмениваются сетевой элемент и UICC. Отправитель добавляет заголовок безопасности (заголовок команды) к сообщению приложения, а затем применяет запрошенную безопасность к части заголовка команды и всему сообщению приложения. Результирующая структура называется (защищенным) командным пакетом, который содержит защищенные данные в качестве полезных данных. Менеджер 906 обновлений может получить доступ к локальной библиотеке защищенных пакетов или удаленной библиотеке защищенных пакетов для конфигурирования или инкапсуляции обновления параметра конфигурации UE в защищенный пакет. В другом варианте осуществления механизм защиты может быть защитой целостности. Таким образом, менеджер 906 обновлений может применять защиту целостности в обновлении параметра конфигурации UE с использованием контекста безопасности NAS для UE 110 (необязательный этап 1010). Безопасность NAS используется для безопасной доставки сообщений сигнализации NAS между UE 110 и элементом 314 AMF в плоскости управления с использованием ключей безопасности NAS. Контекст безопасности NAS представляет собой набор ключей безопасности NAS и параметров, используемых для защиты сообщений NAS. Ключи безопасности NAS генерируются, когда UE 110 аутентифицируется в сети. Таким образом, после аутентификации менеджер 906 обновлений может применять защиту целостности в обновлении параметра конфигурации UE с использованием ключа защиты целостности контекста безопасности NAS. В еще одном варианте осуществления менеджер 906 обновлений может использовать как защищенный пакет, так и контекст безопасности NAS для защиты обновления параметра конфигурации UE (необязательный этап 1012). Менеджер 906 обновлений может затем вставить или иным образом включить безопасно защищенное обновление параметра конфигурации UE в сообщение плоскости управления (этап 1014).

Менеджер 906 обновлений также может вставлять или иным образом включать индикатор подтверждения UE в сообщение плоскости управления (необязательный этап 1016). Индикатор подтверждения UE может быть включен, когда домашняя сеть требует подтверждения от UE 110 об успешной проверке безопасности обновления параметра конфигурации UE. Менеджер 906 обновлений также может вставлять или иным образом включать индикатор повторной регистрации в сообщение плоскости управления (необязательный этап 1016). Индикатор повторной регистрации может быть включен, когда домашняя сеть хочет, чтобы UE 110 повторно регистрировалось в сети с обновленными параметрами конфигурации UE. Менеджер 906 обновлений затем отправляет сообщение плоскости управления элементу 314 AMF, которое содержит безопасно защищенное обновление параметра конфигурации UE (этап 1018) и индикатор подтверждения UE и/или индикатор повторной регистрации (если запрошен), через компонент 902 сетевого интерфейса.

Фиг. 11 представляет собой схему последовательности операций, иллюстрирующую способ 1100 выполнения процедуры обновления в элементе 314 AMF в иллюстративном варианте осуществления. Этапы способа 1100 будут описаны со ссылкой на элемент 314 AMF на фиг. 8, но специалисты в данной области техники поймут, что способ 1100 может выполняться в других сетевых элементах или устройствах.

Менеджер 804 обновлений элемента 314 AMF принимает сообщение плоскости управления от элемента 312 UDM, которое содержит безопасно защищенное обновление параметра конфигурации UE (этап 1102) через компонент 802 сетевого интерфейса. Менеджер 804 обновлений вставляет безопасно защищенное обновление параметра конфигурации UE в контейнер сообщения NAS (этап 1104). Передача безопасно защищенного обновления параметра конфигурации UE рассматривается «прозрачной» для элемента 314 AMF. Таким образом, менеджер 804 обновлений запрограммирован для пересылки безопасно защищенного обновления параметра конфигурации UE без модификации или изменения обновления параметра конфигурации UE. Менеджер 804 обновлений может поэтому вставить безопасно защищенное обновление параметра конфигурации UE, принятое в сообщении плоскости управления от элемента 312 UDM, в «прозрачный» контейнер, который предназначен для обновления параметра конфигурации UE. Один из примеров такого прозрачного контейнера более подробно описан ниже.

Тип сообщения NAS, используемого элементом 314 AMF для транспортировки безопасно защищенного обновления параметра конфигурации UE, может зависеть от выполняемой процедуры NAS. Например, когда выполняется процедура регистрации NAS, сообщение NAS может содержать сообщение с подтверждением регистрации NAS. Когда выполняется процедура транспортировки NAS, сообщение NAS может содержать транспортное сообщение NAS DL. Затем менеджер 804 обновлений отправляет сообщение NAS на UE 110 (этап 1106) через компонент 802 сетевого интерфейса.

Фиг. 12 представляет собой схему последовательности операций, иллюстрирующую способ 1200 выполнения процедуры обновления в UE 110 в иллюстративном варианте осуществления. Этапы способа 1200 будут описаны со ссылкой на UE 110 на фиг. 6-7, но специалисты в данной области техники поймут, что способ 1200 может выполняться в других устройствах.

UE 110 (например, через ME 702) принимает сообщение NAS от элемента 314 AMF (этап 1202). ME 702 или USIM 662 выполняет проверку безопасности, чтобы убедиться, что безопасно защищенное обновление параметра конфигурации UE, включенное в контейнер сообщения NAS, предоставляется домашней сетью (то есть HPLMN) для UE 110 (этап 1204). Например, ME 702 или USIM 662 может вычислить контрольную сумму, чтобы определить, совпадает ли принятое безопасно защищенное обновление параметра конфигурации UE с безопасно защищенным обновлением параметра конфигурации UE, отправленным элементом 312 UDM. Когда проверка безопасности не успешна, ME 702 или USIM 662 отбрасывает безопасно защищенное обновление параметра конфигурации UE (этап 1206). Когда проверка безопасности успешна, ME 702 или USIM 662 обновляет один или большее количество параметров 664 конфигурации UE, предоставленных в UE 110, на основе обновления параметра конфигурации UE (этап 1208). Как описано выше, обновление параметра конфигурации UE может быть инкапсулировано в защищенный пакет. В этом сценарии USIM 662 выполнен с возможностью декодирования или распаковки обновления параметра конфигурации UE из защищенного пакета с применением библиотеки защищенных пакетов. Затем USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE локально для USIM 662 на основе обновления параметра конфигурации UE.

Когда сообщение NAS содержит индикатор подтверждения UE, ME 702 или USIM 662 отправляет сообщение NAS элементу 314 AMF с контейнером, содержащим подтверждение UE (необязательный этап 1210). Передача подтверждения UE рассматривается «прозрачной» для элемента 314 AMF. Таким образом, ME 702 или USIM 662 запрограммированы для вставки подтверждения UE в «прозрачный» контейнер, который предназначен для подтверждения UE. Один из примеров такого прозрачного контейнера более подробно описан ниже.

Тип сообщения NAS может зависеть от выполняемой процедуры NAS. Например, когда выполняется процедура регистрации NAS, сообщение NAS может содержать сообщение с подтверждением регистрации NAS или транспортное сообщение NAS UL. Когда выполняется процедура транспортировки NAS, сообщение NAS может содержать транспортное сообщение NAS UL.

На фиг. 11, менеджер 804 обновлений элемента 314 AMF принимает сообщение NAS от UE 110 с контейнером, содержащим подтверждение UE (необязательный этап 1108), через компонент 802 сетевого интерфейса. Затем менеджер 804 обновлений отправляет сообщение плоскости управления элементу 312 UDM с подтверждением UE (необязательный этап 1110) через компонент 802 сетевого интерфейса. На фиг. 10, менеджер 906 обновлений элемента 312 UDM принимает сообщение плоскости управления с подтверждением UE от элемента 314 AMF (необязательный этап 1020) через компонент 902 сетевого интерфейса. Затем менеджер обновлений 906 проверяет, что подтверждение UE предоставлено посредством UE 110 (необязательный этап 1022).

На фиг. 12, когда сообщение NAS от элемента 314 AMF содержит индикатор повторной регистрации, UE 110 (например, через ME 702) инициирует процедуру регистрации NAS для повторной регистрации с использованием обновленных параметров конфигурации UE (необязательный этап 1212). После этого процедура обновления может завершиться.

Ниже представлены примеры выполнения процедуры обновления в дополнительных вариантах осуществления.

Пример 1: Процедура обновления во время регистрации с применением защищенного пакета

Фиг. 13 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 находится в режиме ожидания (например, RRC_ОЖИДАНИЕ). UE 110 инициирует процедуру регистрации NAS, отправляя запрос регистрации NAS элементу 314 AMF (S1). В ответ на запрос регистрации NAS (типа «начальный») элемент 314 AMF может инициировать процедуру аутентификации (S2) для аутентификации UE 110. Для процедуры аутентификации элемент 314 AMF может взаимодействовать с элементом 310 AUSF и элементом 312 UDM. Например, элемент 314 AMF может отправить аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) элементу 310 AUSF. В ответ на прием аутентификационного запроса элемент 310 AUSF может отправить аутентификационный запрос (т.е. запрос Nudm_UEAuthentication_Get Request) элементу 312 UDM. Элемент 312 UDM содержит функции, связанные с функцией репозитория и обработки аутентификационных учетных данных (Authentication Credential Repository and Processing Function - ARPF), которая выбирает способ аутентификации и вычисляет аутентификационные данные и ключевые материалы (например, маркеры) для элемента 310 AUSF (при необходимости). Элемент 312 UDM может отправить аутентификационный ответ (то есть Nudm_UEAuthentication_Get Response) элементу 310 AUSF, который содержит аутентификационный вектор (authentication vector - AV) и другую информацию. Затем элемент 310 AUSF может отправить аутентификационный ответ (то есть Nuasf_UEAuthentication_Authenticate Response) элементу 314 AMF, который содержит AV и другую информацию. Элемент 314 AMF выполнен с возможностью выполнения процедуры аутентификации с помощью UE 110 с применением информации, предоставленной UDM/AUSF. Например, элемент 314 AMF может отправить аутентификационный запрос на UE 110 вместе с аутентификационным маркером от AV, и UE 110 пытается проверить аутентификационный маркер. В случае успеха UE 110 вычисляет ответный маркер и отправляет аутентификационный ответ с ответным маркером, который принимается элементом 314 AMF. Элемент 314 AMF может форматировать или генерировать другой аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) и вставлять ответный маркер от UE 110 в аутентификационный запрос вместе с другой информацией. Затем элемент 314 AMF может отправить аутентификационный запрос элементу 310 AUSF. Элемент 310 AUSF может проверить, совпадает ли ответный маркер от UE 110 с ожидаемым ответным маркером, и отправить аутентификационный ответ (то есть Nausf_UEAuthentication_Authenticate Response) элементу 314 AMF, индицирующий успех/неудачу аутентификации.

После аутентификации, элемент 314 AMF может инициировать процедуру безопасности NAS, чтобы установить контекст безопасности NAS (S3). В рамках процедуры безопасности NAS элемент 314 AMF выбирает алгоритм безопасности NAS (или несколько алгоритмов) для шифрования и защиты целостности. Затем элемент 314 AMF отправляет сообщение с командой режима безопасности на UE 110, которое индицирует алгоритм(ы) безопасности NAS, ngKSI и другую информацию. UE 110 применяет ngKSI и алгоритм безопасности NAS для определения соответствующих ключей для защиты последующих сообщений NAS. Таким образом, между UE 110 и элементом 314 AMF устанавливается контекст безопасности NAS. Затем 110 UE отправляет сообщение о выполнении режима безопасности элементу 314 AMF.

В качестве дополнительной части процедуры регистрации NAS элемент 314 AMF отправляет запрос данных подписки (например, Nudm_SDM_Get message) элементу 312 UDM HPLMN, чтобы получить данные подписки на доступ и мобильность для UE 110, среди другой информации (S4). Когда информация о подписке пользователя индицирует инициирование обновления параметра конфигурации UE (например, обновление ID маршрутизации), элемент 312 UDM инициирует процедуру обновления. Элемент 312 UDM собирает обновление параметра конфигурации UE, которое содержит один или большее количество обновленных параметров конфигурации UE. Затем элемент 312 UDM применяет защиту безопасности к обновлению параметра конфигурации UE, обращаясь к библиотеке защищенных пакетов, чтобы инкапсулировать обновление параметра конфигурации UE в защищенный пакет. Пример защищенных пакетов и структуры защищенных пакетов раскрыт в 3GPP TS 131.115 (v.9.0.0), который включен посредством ссылки, как если бы он был полностью включен в данный документ. Затем элемент 312 UDM отправляет ответ данных подписки (например, Nudm_SDM_Get response) элементу 314 AMF (S5), который содержит защищенный пакет. Элемент 312 UDM также может содержать индикатор подтверждения UE и/или индикатор повторной регистрации в ответе данных подписки.

В качестве еще одной части процедуры регистрации элемент 314 AMF может также отправить сообщение подписки (например, Nudm_SDM_Subscribe) элементу 312 UDM, чтобы подписаться на уведомление об изменениях для параметров конфигурации UE (не показано на фиг. 13).

Элемент 314 AMF выполнен с возможностью прозрачной отправки защищенного пакета на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует сообщение с подтверждением регистрации NAS и вставляет защищенный пакет в контейнер сообщения с подтверждением регистрации NAS. Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер сообщения с подтверждением регистрации NAS. Затем элемент 314 AMF отправляет сообщение с подтверждением регистрации NAS на UE 110 (S6).

В этом варианте осуществления контейнер сообщения с подтверждением регистрации NAS предназначен для обновления параметра конфигурации UE. Таблица 1 иллюстрирует пример содержимого сообщения для сообщения с подтверждением регистрации NAS.

Таблица 1:

В этом примере сообщение с подтверждением регистрации NAS содержит вновь определенный информационный элемент (IE) контейнера обновления параметра конфигурации UE. Дополнительное описание протокола NAS можно найти в 3GPP TS 24.301 (v15.4.0), который полностью включен в данный документ посредством ссылки. Таблица 2 является примером IE контейнера обновления параметра конфигурации UE. Этот контейнер считается прозрачным, поскольку элемент 314 AMF вставляет защищенный пакет в контейнер без изменения защищенного пакета.

Таблица 2:

Таблица 3 иллюстрирует пример заголовка обновления параметра конфигурации UE для IE контейнера обновления параметра конфигурации UE.

Таблица 3:

В заголовке бит RRR может использоваться как индикатор повторной регистрации. Бит ACK UE может использоваться как индикатор подтверждения UE. Бит типа данных может использоваться, чтобы индицировать, используется ли контейнер в сообщении NAS, отправляемом из сети на UE (например, значение = 0), или в сообщении NAS, отправляемом от UE в сеть (например, значение = 1).

При приеме сообщения с подтверждением регистрации NAS, ME 702 может вести себя так, как если бы принято сообщение SMS с идентификатором протокола, установленным на «загрузка данных SIM», схемой кодирования данных, установленной на «сообщение класса 2», и полезными данными SMS в качестве защищенного пакета. ME 702 маршрутизирует или загружает защищенный пакет в USIM 662 (S7). USIM 662 выполняет проверку безопасности, чтобы убедиться, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, USIM 662 отбрасывает обновление параметра конфигурации UE и продолжает процедуру регистрации. Если проверка безопасности прошла успешно, USIM 662 распаковывает обновление параметра конфигурации UE из защищенного пакета, используя библиотеку защищенных пакетов. После проверки целостности защищенного пакета/защиты от повтора USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, USIM 662 может отправить подтверждение UE на ME 702 (S8). ME 702 форматирует или генерирует другое сообщение NAS для передачи подтверждения UE элементу 314 AMF. В примере, показанном на фиг. 13, ME 702 форматирует сообщение о выполнении регистрации NAS и вставляет подтверждение UE в контейнер сообщения о выполнении регистрации NAS. Контейнер сообщения о выполнении регистрации NAS предназначен для подтверждения UE. Таблица 4 иллюстрирует пример содержимого сообщения для сообщения о выполнении регистрации NAS.

Таблица 4:

В этом примере сообщение о выполнении регистрации NAS содержит вновь определенный IE контейнера подтверждения UE. Таблица 5 является примером IE контейнера подтверждения UE.

Таблица 5:

Таблица 6 иллюстрирует пример заголовка подтверждения UE.

Таблица 6:

В другом примере USIM 662 может применять защиту безопасности к подтверждению UE путем доступа к библиотеке защищенных пакетов, чтобы инкапсулировать подтверждение UE в защищенный пакет. Поэтому ME 702 может вставить защищенный пакет в IE контейнера подтверждения UE.

Затем ME 702 отправляет сообщение о выполнении регистрации NAS элементу 314 AMF с контейнером, содержащим подтверждение UE (S9). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с подтверждением UE (S10). Затем элемент 312 UDM может проверить, что подтверждение UE предоставлено посредством UE 110.

В альтернативном варианте, показанном на фиг. 13, ME 702 может использовать другой тип сообщения NAS для отправки подтверждения UE элементу 314 AMF. В этой альтернативе ME 702 форматирует транспортное сообщение NAS UL и вставляет подтверждение UE в контейнер транспортного сообщения NAS UL. Значение типа контейнера полезных данных может быть предназначено для подтверждения UE в IE контейнера полезных данных транспортного сообщения NAS UL. Затем ME 702 отправляет транспортное сообщение NAS UL элементу 314 AMF с контейнером, содержащим подтверждение UE (S9a). Элемент 314 AMF в свою очередь отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с подтверждением UE (S10a).

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS (S11) с использованием обновленных параметров конфигурации UE.

Пример 2: Процедура обновления после регистрации с применением защищенного пакета

Фиг. 14 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 уже зарегистрировано в сети и находится в подсоединенном режиме (то есть RRC-ПОДСОЕДИНЕНО). В какой-то момент после регистрации элемент 312 UDM может принять инструкцию или обработать локальные политики, чтобы определить, что параметры конфигурации UE в UE 110 необходимо обновить. Таким образом, элемент 312 UDM инициирует процедуру обновления и собирает обновление параметра конфигурации UE. Затем элемент 312 UDM применяет защиту безопасности к обновлению параметра конфигурации UE, обращаясь к библиотеке защищенных пакетов, чтобы инкапсулировать обновление параметра конфигурации UE в защищенный пакет. Затем элемент 312 UDM отправляет уведомление об обновлении (например, Nudm_SDM_UpdateNotification) элементу 314 AMF (S1), которое содержит защищенный пакет. Элемент 312 UDM также может содержать индикатор подтверждения UE и/или индикатор повторной регистрации в уведомлении об обновлении.

Элемент 314 AMF выполнен с возможностью прозрачной отправки защищенного пакета на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует транспортное сообщение NAS нисходящей линии связи (DL) и вставляет защищенный пакет в контейнер транспортного сообщения NAS DL. Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер транспортного сообщения NAS DL. В этом варианте осуществления контейнер транспортного сообщения NAS DL предназначен для обновления параметра конфигурации UE. Элемент 314 AMF может установить IE типа контейнера полезных данных в «контейнер параметров конфигурации UE» и установить IE контейнера полезных данных в защищенный пакет. Затем элемент 314 AMF отправляет транспортное сообщение NAS DL на UE 110 (S2).

При приеме транспортного сообщения NAS DL, ME 702 может вести себя так, как если бы принято сообщение SMS с идентификатором протокола, установленным на «загрузка данных SIM», схемой кодирования данных, установленной на «сообщение класса 2», и полезными данными SMS в качестве защищенного пакета. ME 702 маршрутизирует или загружает защищенный пакет в USIM 662 (S3). USIM 662 выполняет проверку безопасности, чтобы убедиться, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, USIM 662 отбрасывает обновление параметра конфигурации UE. Если проверка безопасности прошла успешно, USIM 662 распаковывает обновление параметра конфигурации UE из защищенного пакета, используя библиотеку защищенных пакетов. После проверки целостности защищенного пакета/защиты от повтора USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, USIM 662 может отправить подтверждение UE на ME 702 (S4). ME 702 форматирует или генерирует транспортное сообщение NAS UL и вставляет подтверждение UE в контейнер транспортного сообщения NAS UL. Контейнер транспортного сообщения NAS UL предназначен для подтверждения UE. Затем ME 702 отправляет транспортное сообщение NAS UL элементу 314 AMF с контейнером, содержащим подтверждение UE (S5). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с подтверждением UE (S6). Затем элемент 312 UDM может проверить, что подтверждение UE предоставлено посредством UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).

Пример 3: Процедура обновления во время регистрации с применением ключа безопасности

Фиг. 15 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 инициирует процедуру регистрации NAS, отправляя запрос регистрации NAS элементу 314 AMF (S1). В ответ на запрос регистрации NAS (типа «начальный») элемент 314 AMF может инициировать процедуру аутентификации (S2) для аутентификации UE 110. Когда UE 110 аутентифицируется в сети, элемент 314 AMF может инициировать процедуру безопасности NAS, чтобы установить контекст безопасности NAS (S3). Когда UE 110 аутентифицировано и установлен контекст безопасности NAS, элемент 314 AMF отправляет запрос данных подписки (например, Nudm_SDM_Get message) элементу 312 UDM HPLMN, чтобы получить данные подписки на доступ и мобильность для UE 110, среди другой информации (S4). Когда информация о подписке пользователя индицирует инициирование обновления параметра конфигурации UE (например, обновление ID маршрутизации), элемент 312 UDM инициирует процедуру обновления. Элемент 312 UDM собирает обновление параметра конфигурации UE и применяет защиту целостности к обновлению параметра конфигурации UE, используя контекст безопасности NAS для UE 110. Для этого элемент 312 UDM отправляет запрос защиты (например, Nausf_ParameterProtectionRequest) элементу 310 AUSF с обновлением параметра конфигурации UE (S5). Элемент 310 AUSF идентифицирует счетчик NAS (составленный из порядкового номера NAS) и вычисляет информацию защиты целостности на основе контекста безопасности NAS для UE 110, такого как код аутентификации сообщения (Message Authentication Code - MAC) AUSF для обновления параметра конфигурации UE и счетчика NAS. Элемент 310 AUSF также может вычислять ожидаемый MAC от UE 110 (X-UE-MAC). Затем элемент 310 AUSF отправляет ответ о защите (например, Nausf_ParameterProtectionResponse) с информацией о защите целостности (то есть AUSF-MAC, счетчик NAS и X-UE-MAC) элементу 312 UDM (S6). Затем элемент 312 UDM отправляет ответ данных подписки (например, Nudm_SDM_Get response) элементу 314 AMF (S7), который содержит обновление параметра конфигурации UE и информацию о защите целостности (то есть, AUSF-MAC и счетчик NAS). Элемент 312 UDM также может содержать индикатор подтверждения UE и/или индикатор повторной регистрации в ответе данных подписки.

Элемент 314 AMF выполнен с возможностью прозрачной отправки обновления параметра конфигурации UE на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует сообщение с подтверждением регистрации NAS и вставляет обновление параметра конфигурации UE в контейнер сообщения с подтверждением регистрации NAS вместе с информацией о защите целостности (например, AUSF-MAC и счетчиком NAS). Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер сообщения с подтверждением регистрации NAS. Затем элемент 314 AMF отправляет сообщение с подтверждением регистрации NAS на UE 110 (S8).

В этом примере сообщение с подтверждением регистрации NAS содержит вновь определенный IE контейнера обновления параметра конфигурации UE. Таблица 7 является примером IE контейнера обновления параметра конфигурации UE.

Таблица 7:

Этот контейнер считается прозрачным, поскольку элемент 314 AMF вставляет обновление параметра конфигурации UE в контейнер без изменения обновления параметра конфигурации UE. Как описано в Примере 1, бит ACK UE заголовка обновления параметра конфигурации UE может использоваться для индикации того, что сеть запросила подтверждение от UE, а бит RRR может использоваться для индикации того, что сеть запросила повторную регистрацию.

В ответ на прием сообщения с подтверждением регистрации NAS, ME 702 UE 110 выполняет проверку безопасности, чтобы проверить, что обновление параметра конфигурации UE было отправлено элементом 312 UDM домашней сети. Например, ME 702 вычисляет UE-MAC для обновления параметра конфигурации UE и счетчика NAS и сравнивает UE-MAC с AUSF-MAC. Если указанные MAC совпадают, то проверяется, что обновление параметра конфигурации UE будет из домашней сети, и проверка безопасности успешна. Если проверка безопасности не успешна, ME 702 отбрасывает обновление параметра конфигурации UE и продолжает процедуру регистрации. Если проверка безопасности успешна, то ME 702 и/или USIM 662 обновляют один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, то ME 702 форматирует сообщение о выполнении регистрации NAS и вставляет UE-MAC в контейнер сообщения о выполнении регистрации NAS. Контейнер сообщения о выполнении регистрации NAS предназначен для подтверждения UE. В этом примере сообщение о выполнении регистрации NAS содержит вновь определенный IE контейнера подтверждения UE. Таблица 8 является примером IE контейнера подтверждения UE.

Таблица 8:

Затем ME 702 отправляет сообщение о выполнении регистрации NAS элементу 314 AMF с контейнером, содержащим UE-MAC (S9). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с UE-MAC (S10). Элемент 312 UDM может затем сравнить UE-MAC, вычисленный посредством UE 110, с X-UE-MAC, вычисленный посредством элемента 310 AUSF, чтобы проверить, что подтверждение UE предоставлено посредством UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).

Пример 4: Процедура обновления после регистрации с применением ключа безопасности

Фиг. 16 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 уже зарегистрировано в сети и находится в подсоединенном режиме. В какой-то момент после регистрации элемент 312 UDM может принять инструкцию или обработать локальные политики, чтобы определить, что параметры конфигурации UE в UE 110 необходимо обновить. Таким образом, элемент 312 UDM инициирует процедуру обновления и собирает обновление параметра конфигурации UE. Элемент 312 UDM также применяет защиту целостности к обновлению параметра конфигурации UE, используя контекст безопасности NAS для UE 110. Для этого элемент 312 UDM отправляет запрос защиты (например, Nausf_ParameterProtectionRequest) элементу 310 AUSF с обновлением параметра конфигурации UE (S1). Элемент 310 AUSF идентифицирует счетчик NAS и вычисляет информацию защиты целостности на основе контекста безопасности NAS для UE 110, такого как AUSF-MAC для обновления параметра конфигурации UE и счетчика NAS. Элемент 310 AUSF также может вычислять ожидаемый MAC от UE 110 (X-UE-MAC). Затем элемент 310 AUSF отправляет ответ о защите (например, Nausf_ParameterProtectionResponse) с информацией о защите целостности (то есть AUSF-MAC, счетчик NAS и X-UE-MAC) элементу 312 UDM (S2). Затем элемент 312 UDM отправляет уведомление об обновлении (например, Nudm_SDM_UpdateNotification) элементу 314 AMF (S3), который содержит обновление параметра конфигурации UE и информацию о защите целостности (то есть, AUSF-MAC и счетчик NAS). Элемент 312 UDM также может содержать индикатор подтверждения UE и/или индикатор повторной регистрации в уведомлении об обновлении.

Элемент 314 AMF выполнен с возможностью прозрачной отправки обновления параметра конфигурации UE на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует транспортное сообщение NAS DL и вставляет обновление параметра конфигурации UE в контейнер транспортного сообщения NAS DL вместе с информацией о целостности (например, AUSF-MAC и счетчиком NAS). Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер транспортного сообщения NAS DL. В этом варианте осуществления контейнер транспортного сообщения NAS DL предназначен для обновления параметра конфигурации UE. Затем элемент 314 AMF отправляет транспортное сообщение NAS DL на UE 110 (S4).

В ответ на прием транспортного сообщения NAS DL, ME 702 UE 110 выполняет проверку безопасности, чтобы проверить, что обновление параметра конфигурации UE было отправлено элементом 312 UDM домашней сети. Если проверка безопасности не успешна, ME 702 отбрасывает обновление параметра конфигурации UE. Если проверка безопасности успешна, то ME 702 и/или USIM 662 обновляют один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, то ME 702 форматирует транспортное сообщение NAS UL и вставляет UE-MAC в контейнер транспортного сообщения NAS UL. Контейнер транспортного сообщения NAS UL предназначен для подтверждения UE. Затем ME 702 отправляет транспортное сообщение NAS UL элементу 314 AMF с контейнером, содержащим UE-MAC (S5). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с UE-MAC (S6). Элемент 312 UDM может затем сравнить UE-MAC, вычисленный посредством UE 110, с X-UE-MAC, вычисленный посредством элемента 310 AUSF, чтобы проверить, что подтверждение UE предоставлено посредством UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).

Пример 5: Процедура обновления во время регистрации с применением защищенного пакета и ключа безопасности

Фиг. 17 представляет собой схему сообщения, иллюстрирующую процедуру обновления во время регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 инициирует процедуру регистрации NAS, отправляя запрос регистрации NAS элементу 314 AMF (S1). В ответ на запрос регистрации NAS (типа «начальный») элемент 314 AMF может инициировать процедуру аутентификации (S2) для аутентификации UE 110. После аутентификации UE 110, элемент 314 AMF может инициировать процедуру безопасности NAS, чтобы установить контекст безопасности NAS (S3). Когда UE 110 аутентифицировано и установлен контекст безопасности NAS, элемент 314 AMF отправляет запрос данных подписки (например, Nudm_SDM_Get message) элементу 312 UDM HPLMN, чтобы получить данные подписки на доступ и мобильность для UE 110, среди другой информации (S4). Когда информация о подписке пользователя индицирует инициирование обновления параметра конфигурации UE (например, обновление ID маршрутизации), элемент 312 UDM инициирует процедуру обновления. Элемент 312 UDM собирает обновление параметра конфигурации UE, которое содержит один или большее количество обновленных параметров конфигурации UE. Затем элемент 312 UDM применяет защиту безопасности к обновлению параметра конфигурации UE, обращаясь к библиотеке защищенных пакетов, чтобы инкапсулировать обновление параметра конфигурации UE в защищенный пакет.

Элемент 312 UDM также применяет защиту целостности к защищенному пакету, используя контекст безопасности NAS для UE 110. Для этого элемент 312 UDM отправляет запрос защиты (например, Nausf_ParameterProtectionRequest) элементу 310 AUSF с защищенным пакетом (S5). Элемент 310 AUSF идентифицирует счетчик NAS и вычисляет информацию защиты целостности на основе контекста безопасности NAS для UE 110, такого как AUSF-MAC для защищенного пакета и счетчика NAS. Элемент 310 AUSF также может вычислять ожидаемый MAC от UE 110 (X-UE-MAC). Затем элемент 310 AUSF отправляет ответ о защите (например, Nausf_ParameterProtectionResponse) с информацией о защите целостности (то есть AUSF-MAC, счетчик NAS и X-UE-MAC) элементу 312 UDM (S6). Затем элемент 312 UDM отправляет ответ данных подписки (например, Nudm_SDM_Get response) элементу 314 AMF (S7), который содержит защищенный пакет и информацию о защите целостности (то есть, AUSF-MAC и счетчик NAS). Элемент 312 UDM также может содержать индикатор подтверждения UE и/или запрос повторной регистрации в ответе данных подписки.

Элемент 314 AMF выполнен с возможностью прозрачной отправки защищенного пакета на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует сообщение с подтверждением регистрации NAS и вставляет защищенный пакет в контейнер сообщения с подтверждением регистрации NAS. Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или запрос повторной регистрации (если применимо) в контейнер сообщения с подтверждением регистрации NAS вместе с AUSF-MAC и счетчиком NAS. В этом примере сообщение с подтверждением регистрации NAS содержит вновь определенный IE контейнера обновления параметра конфигурации UE. Таблица 9 является примером IE контейнера обновления параметра конфигурации UE.

Таблица 9:

Этот контейнер считается прозрачным, поскольку элемент 314 AMF вставляет защищенный пакет в контейнер без изменения защищенного пакета. Затем элемент 314 AMF отправляет сообщение с подтверждением регистрации NAS на UE 110 (S8). В ответ на прием сообщения с подтверждением регистрации NAS, ME 702 UE 110 выполняет проверку безопасности, чтобы проверить, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, ME 702 отбрасывает защищенный пакет и продолжает процедуру регистрации. Если проверка безопасности прошла успешно, то ME 702 маршрутизирует или загружает защищенный пакет в USIM 662 (S9). USIM 662 также выполняет проверку безопасности, чтобы проверить, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, USIM 662 отбрасывает обновление параметра конфигурации UE. Если проверка безопасности прошла успешно, USIM 662 распаковывает обновление параметра конфигурации UE из защищенного пакета, используя библиотеку защищенных пакетов. Затем USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE.

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, то ME 702 форматирует сообщение о выполнении регистрации NAS и вставляет UE-MAC в контейнер сообщения о выполнении регистрации NAS. Затем ME 702 отправляет сообщение о выполнении регистрации NAS элементу 314 AMF (S11). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с UE-MAC (S10). Элемент 312 UDM может затем сравнить UE-MAC, вычисленный посредством UE 110, с X-UE-MAC, вычисленный посредством элемента 310 AUSF, чтобы проверить, что подтверждение UE предоставлено посредством UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).

Пример 6: Процедура обновления после регистрации с применением защищенного пакета и ключа безопасности

Фиг. 18 представляет собой схему сообщения, иллюстрирующую процедуру обновления после регистрации в иллюстративном варианте осуществления. В этом варианте осуществления UE 110 уже зарегистрировано в сети и находится в подсоединенном режиме. В какой-то момент после регистрации элемент 312 UDM может принять инструкцию или обработать локальные политики, чтобы определить, что параметры конфигурации UE в UE 110 необходимо обновить. Таким образом, элемент 312 UDM инициирует процедуру обновления и собирает обновление параметра конфигурации UE. Затем элемент 312 UDM применяет защиту безопасности к обновлению параметра конфигурации UE, обращаясь к библиотеке защищенных пакетов, чтобы инкапсулировать обновление параметра конфигурации UE в защищенный пакет.

Элемент 312 UDM также применяет защиту целостности к защищенному пакету, используя контекст безопасности NAS для UE 110. Для этого элемент 312 UDM отправляет запрос защиты (например, Nausf_ParameterProtectionRequest) элементу 310 AUSF с защищенным пакетом (S1). Элемент 310 AUSF идентифицирует счетчик NAS и вычисляет информацию защиты целостности на основе контекста безопасности NAS для UE 110, такого как AUSF-MAC для защищенного пакета и счетчика NAS. Элемент 310 AUSF также может вычислять ожидаемый MAC от UE 110 (X-UE-MAC). Затем элемент 310 AUSF отправляет ответ о защите (например, Nausf_ParameterProtectionResponse) с информацией о защите целостности (то есть AUSF-MAC, счетчик NAS и X-UE-MAC) элементу 312 UDM (S2). Затем элемент 312 UDM отправляет уведомление об обновлении (например, Nudm_SDM_UpdateNotification) элементу 314 AMF (S3), который содержит защищенный пакет и информацию о защите целостности (то есть, AUSF-MAC и счетчик NAS). Элемент 312 UDM также может содержать индикатор подтверждения UE и/или запрос повторной регистрации в уведомлении об обновлении.

Элемент 314 AMF выполнен с возможностью прозрачной отправки защищенного пакета на UE 110 как часть процедуры обновления. Таким образом, элемент 314 AMF форматирует или генерирует транспортное сообщение NAS DL и вставляет защищенный пакет в контейнер транспортного сообщения NAS DL. Элемент 314 AMF также может вставлять индикатор подтверждения UE и/или индикатор повторной регистрации (если применимо) в контейнер транспортного сообщения NAS DL вместе с AUSF-MAC и счетчиком NAS. Затем элемент 314 AMF отправляет транспортное сообщение NAS DL на UE 110 (S4).

В ответ на прием транспортного сообщения NAS DL, ME 702 UE 110 выполняет проверку безопасности, чтобы проверить, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, ME 702 отбрасывает защищенный пакет. Если проверка безопасности прошла успешно, то ME 702 маршрутизирует или загружает защищенный пакет в USIM 662 (S5). USIM 662 также выполняет проверку безопасности, чтобы проверить, что защищенный пакет был отправлен элементом 312 UDM домашней сети. Если проверка безопасности не успешна, USIM 662 отбрасывает обновление параметра конфигурации UE. Если проверка безопасности прошла успешно, USIM 662 распаковывает обновление параметра конфигурации UE из защищенного пакета, используя библиотеку защищенных пакетов. Затем USIM 662 обновляет один или большее количество из параметров 664 конфигурации UE на основе обновления параметра конфигурации UE. USIM 662 также отправляет подтверждение UE на ME 702 (S6).

Если сеть запросила подтверждение от UE 110 и проверка безопасности прошла успешно, то ME 702 форматирует транспортное сообщение NAS UL и вставляет UE-MAC в контейнер транспортного сообщения NAS UL. Затем ME 702 отправляет транспортное сообщение NAS UL элементу 314 AMF (S7). Элемент 314 AMF отправляет информационное сообщение (например, Nudm_SDM_Info message) элементу 312 UDM с UE-MAC (S8). Элемент 312 UDM может затем сравнить UE-MAC, вычисленный посредством UE 110, с X-UE-MAC, вычисленный посредством элемента 310 AUSF, чтобы проверить, что подтверждение UE предоставлено посредством UE 110.

Если сеть индицировала, что для UE 110 требуется повторная регистрация и проверка безопасности прошла успешно, то UE 110 отменяет регистрацию и повторно инициирует новую процедуру регистрации NAS с использованием обновленных параметров конфигурации UE (не показано).

Любой из различных элементов или модулей, показанных на фигурах или описанных в данном документе, может быть реализован как аппаратное обеспечение, программное обеспечение, встроенное программное обеспечение или некоторая их комбинация. Например, элемент может быть реализован как специализированное аппаратное обеспечение. Специализированные аппаратные элементы могут называться «процессорами», «контроллерами» или некоторой подобной терминологией. Когда они предоставляются процессором, функции могут предоставляться одним специализированным процессором, одним совместно используемым процессором или совокупностью отдельных процессоров, некоторые из которых могут использоваться совместно. Более того, явное применение термина «процессор» или «контроллер» не должно толковаться как относящееся исключительно к аппаратному обеспечению, способному выполнять программное обеспечение, и может неявно включать, без ограничения, аппаратное обеспечение процессора цифровых сигналов (digital signal processor - DSP), сетевой процессор, специализированную интегральную схему (application specific integrated circuit - ASIC) или другую схему, программируемую на месте вентильную матрицу (field programmable gate array - FPGA), постоянное запоминающее устройство (ROM) для хранения программного обеспечения, оперативное запоминающее устройство (RAM), энергонезависимое запоминающее устройство, логику или какой-либо другой физический аппаратный компонент или модуль.

Кроме того, элемент может быть реализован как инструкции, выполняемые процессором или компьютером для выполнения функций этого элемента. Некоторыми примерами инструкций являются программное обеспечение, код программы и встроенное программное обеспечение. Инструкции являются работоспособными, когда они выполняются процессором, чтобы указать процессору на выполнение функций элемента. Инструкции могут храниться на устройствах хранения данных, которые могут быть прочитаны процессором. Некоторыми примерами устройств хранения данных являются цифровые или твердотельные запоминающие устройства, магнитные носители данных, такие как магнитные диски и магнитные ленты, жесткие диски или оптически считываемые носители цифровых данных.

Используемый в этой заявке термин «схема» может относиться к одному или большему количеству, или всем из следующего:

(a) реализации схем только на аппаратном уровне (например, реализации только на аналоговых и/или цифровых схемах);

(b) комбинации аппаратных схем и программного обеспечения, такие как (если применимо):

(i) комбинация аналоговой и/или цифровой аппаратной схемы (схем) с программным обеспечением/встроенным программным обеспечением; и

(ii) любые части аппаратного процессора(ов) с программным обеспечением (включая процессор(ы) цифровых сигналов), программным обеспечением и запоминающим устройством(ами), которые работают вместе, чтобы предписывать аппарату, такому как мобильный телефон или сервер, выполнять различные функции; и

(c) аппаратная(ые) схема(ы) и/или процессор(ы), такие как микропроцессор(ы) или часть микропроцессора(ов), которые требуют программного обеспечения (например, встроенного программного обеспечения) для работы, но указанное программное обеспечение может отсутствовать когда это не нужно для работы.

Это определение «схемы» применимо ко всем применениям этого термина в данной заявке, в том числе в любых пунктах формулы изобретения. В качестве дополнительного примера, используемый в этой заявке термин «схема» также охватывает реализацию просто аппаратной схемы или процессора (или нескольких процессоров) или части аппаратной схемы или процессора и ее (или их) сопутствующего программного обеспечения и/или встроенного программного обеспечения. Термин «схема» также охватывает, например, и если применимо к конкретному элементу формулы изобретения, интегральную схему основной полосы частот или интегральную схему процессора для мобильного устройства или аналогичную интегральную схему в сервере, устройстве сотовой сети или другом вычислительном или сетевом устройстве.

Хотя в данном документе были описаны конкретные варианты осуществления, объем раскрытия не ограничивается этими конкретными вариантами осуществления. Объем настоящего раскрытия определяется нижеследующей формулой изобретения и любыми ее эквивалентами.

1. Оборудование пользователя (UE), содержащее:

универсальный модуль идентификации абонента (USIM);

по меньшей мере один процессор; и

по меньшей мере одно запоминающее устройство, содержащее код компьютерной программы;

при этом USIM хранит параметры конфигурации UE для указанного UE, причем указанное по меньшей мере одно запоминающее устройство и указанный код компьютерной программы выполнены с возможностью, с помощью указанного по меньшей мере одного процессора, предписывания указанному UE по меньшей мере:

принять от элемента функции управления доступом и мобильностью (AMF) первое сообщение слоя без доступа (NAS), содержащее контейнер, который содержит обновление параметра конфигурации UE для указанного UE, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет;

выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE; и

направить указанный защищенный пакет в указанный USIM, если указанная первая проверка безопасности успешна, при этом указанный USIM выполнен с возможностью выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и, если указанная вторая проверка безопасности успешна, обновить один или большее количество из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете.

2. UE по п. 1, отличающееся тем, что указанный параметр UE, инкапсулированный в указанном защищенном пакете, представляет собой параметр индикатора маршрутизации.

3. UE по п. 1, отличающееся тем, что указанная первая проверка безопасности проверяет целостность указанного обновления параметра конфигурации UE с применением контекста безопасности NAS указанного UE.

4. UE по п. 1, отличающееся тем, что указанный USIM хранится на универсальной карте с интегральной схемой (UICC) внутри указанного UE.

5. UE по п. 1, отличающееся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.

6. UE по п. 5, отличающееся тем, что:

когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанный процессор дополнительно выполнен с возможностью предписывания указанному UE отправлять второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято,

при этом указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

7. UE по п. 1, отличающееся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS.

8. UE по п. 7, отличающееся тем, что, когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанный процессор дополнительно выполнен с возможностью:

предписывания указанному UE отправлять транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.

9. UE по п. 1, отличающееся тем, что, когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанный процессор дополнительно выполнен с возможностью:

предписывания указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.

10. Способ для безопасных обновлений параметров конфигурации, обеспеченных в оборудовании пользователя (UE), включающий в себя:

прием на указанном UE от элемента функции управления доступом и мобильностью (AMF) первого сообщения слоя без доступа (NAS), содержащего контейнер, который содержит обновление параметра конфигурации UE для указанного UE, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет;

выполнение первой проверки безопасности для проверки указанного обновления параметра конфигурации UE; и

направление указанного защищенного пакета в универсальный модуль идентификации абонента (USIM), выполненный с возможностью связи с указанным UE, если указанная первая проверка безопасности успешна, при этом указанный USIM выполнен с возможностью выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и, если указанная вторая проверка безопасности успешна, обновить один или большее количество из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете.

11. Способ по п. 10, отличающийся тем, что указанный параметр UE, инкапсулированный в указанном защищенном пакете, представляет собой параметр индикатора маршрутизации.

12. Способ по п. 10, отличающийся тем, что указанная первая проверка безопасности проверяет целостность указанного обновления параметра конфигурации UE с применением контекста безопасности NAS указанного UE.

13. Способ по п. 10, отличающийся тем, что указанный USIM хранится на универсальной карте с интегральной схемой (UICC) внутри указанного UE.

14. Способ по п. 10, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.

15. Способ по п. 14, отличающийся тем, что, когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанный способ дополнительно включает в себя:

предписывание указанному UE отправить второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято, при этом указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

16. Способ по п. 10, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS.

17. Способ по п. 16, отличающийся тем, что, когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанный способ дополнительно включает в себя:

предписывание указанному UE отправить транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.

18. Способ по п. 10, отличающийся тем, что, когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанный способ дополнительно включает в себя:

предписывание указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.

19. Элемент функции управления доступом и мобильностью (AMF), содержащий:

по меньшей мере один процессор; и

по меньшей мере одно запоминающее устройство, содержащее код компьютерной программы, причем указанное по меньшей мере одно запоминающее устройство и указанный код компьютерной программы выполнены с возможностью, с помощью указанного по меньшей мере одного процессора, предписывания указанному элементу AMF по меньшей мере:

сгенерировать первое сообщение слоя без доступа (NAS), содержащее контейнер, который содержит обновление параметра конфигурации оборудования пользователя (UE) для указанного UE, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет; и

передать указанное первое сообщение NAS на UE, при этом указанное первое сообщение NAS выполнено с возможностью (i) предписывания указанному UE выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE, (ii) предписывания указанному UE направить указанный защищенный пакет в универсальный модуль идентификации абонента (USIM), выполненный с возможностью связи с указанным UE, если указанная первая проверка безопасности успешна, (iii) предписывания указанному USIM выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и (iv) обновления одного или большего количества из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете, если указанная вторая проверка безопасности успешна.

20. Элемент AMF по п. 19, отличающийся тем, что указанный параметр UE, инкапсулированный в указанном защищенном пакете, представляет собой параметр индикатора маршрутизации.

21. Элемент AMF по п. 19, отличающийся тем, что указанная первая проверка безопасности выполнена с возможностью проверки целостности указанного обновления параметра конфигурации UE с применением контекста безопасности NAS указанного UE.

22. Элемент AMF по п. 19, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.

23. Элемент AMF по п. 22, отличающийся тем, что, когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанное сообщение с подтверждением регистрации NAS дополнительно выполнено с возможностью предписывания указанному UE отправить второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято,

при этом указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

24. Элемент AMF по п. 19, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS.

25. Элемент AMF по п. 24, отличающийся тем, что, когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанное первое сообщение NAS дополнительно выполнено с возможностью предписывания указанному UE отправить транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.

26. Элемент AMF по п. 19, отличающийся тем, что когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанное первое сообщение NAS дополнительно выполнено с возможностью предписывания указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.

27. Элемент AMF по п. 19, отличающийся тем, что указанное по меньшей мере одно запоминающее устройство и указанный код компьютерной программы выполнены с возможностью, с помощью указанного по меньшей мере одного процессора, предписывания указанному элементу AMF по меньшей мере:

принять сообщение плоскости управления от элемента управления едиными данными (UDM), содержащее указанное обновление параметра конфигурации UE для указанного UE; и

вставить указанное обновление параметра конфигурации UE в указанный контейнер указанного первого сообщения NAS.

28. Элемент AMF по п. 27, отличающийся тем, что указанное по меньшей мере одно запоминающее устройство и указанный код компьютерной программы выполнены с возможностью, с помощью указанного по меньшей мере одного процессора, предписывания указанному элементу AMF по меньшей мере:

принять указанное второе сообщение NAS от указанного UE во время указанной процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что указанное обновление параметра конфигурации UE было принято; и

отправить другое сообщение плоскости управления указанному элементу UDM с указанным подтверждением UE, при этом указанное второе сообщение NAS, принятое от указанного UE, содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

29. Способ для безопасных обновлений параметров конфигурации, обеспеченных в оборудовании пользователя (UE), включающий в себя:

генерирование первого сообщения слоя без доступа (NAS), содержащего контейнер, который содержит обновление параметра конфигурации UE для указанного UE, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет; и

передачу указанного первого сообщения NAS на UE, при этом указанное первое сообщение NAS выполнено с возможностью (i) предписывания указанному UE выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE, (ii) предписывания указанному UE направить указанный защищенный пакет в универсальный модуль идентификации абонента (USIM), выполненный с возможностью связи с указанным UE, если указанная первая проверка безопасности успешна, (iii) предписывания указанному USIM выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и (iv) обновления одного или большего количества из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете, если указанная вторая проверка безопасности успешна.

30. Способ по п. 29, отличающийся тем, что указанный параметр UE, инкапсулированный в указанном защищенном пакете, представляет собой параметр индикатора маршрутизации.

31. Способ по п. 29, отличающийся тем, что указанная первая проверка безопасности проверяет целостность указанного обновления параметра конфигурации UE с применением контекста безопасности NAS указанного UE.

32. Способ по п. 29, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.

33. Способ по п. 32, отличающийся тем, что, когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанный способ дополнительно включает в себя:

предписывание указанному UE отправить второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято, при этом указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

34. Способ по п. 29, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS.

35. Способ по п. 34, отличающийся тем, что, когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанный способ дополнительно включает в себя:

предписывание указанному UE отправить транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.

36. Способ по п. 29, отличающийся тем, что, когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанный способ дополнительно включает в себя:

предписывание указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.

37. Способ по п. 29, дополнительно включающий в себя:

прием сообщения плоскости управления от элемента управления едиными данными (UDM), содержащего указанное обновление параметра конфигурации UE для указанного UE; и

вставку указанного обновления параметра конфигурации UE в указанный контейнер указанного первого сообщения NAS.

38. Способ по п. 37, дополнительно включающий в себя:

прием указанного второго сообщения NAS от указанного UE во время указанной процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что указанное обновление параметра конфигурации UE было принято; и

отправку другого сообщения плоскости управления указанному элементу UDM с указанным подтверждением UE, при этом указанное второе сообщение NAS, принятое от указанного UE, содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

39. Элемент функции управления доступом и мобильностью (AMF) мобильной сети, содержащий:

по меньшей мере один процессор; и

по меньшей мере одно запоминающее устройство, содержащее код компьютерной программы, выполняемый указанным процессором, причем указанный процессор выполнен с возможностью предписывания указанному элементу AMF:

принять сообщение плоскости управления от элемента управления едиными данными (UDM), содержащего обновление параметра конфигурации оборудования пользователя (UE) для указанного UE, причем указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты;

вставить указанное обновление параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения слоя без доступа (NAS), при этом указанный контейнер предназначен для обновления параметра конфигурации UE; и

отправить указанное первое сообщение NAS на указанное UE с контейнером, содержащим указанное обновление параметра конфигурации UE, которое безопасно защищено, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет,

при этом указанное первое сообщение NAS выполнено с возможностью предписывания указанному UE:

выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE;

направить указанный защищенный пакет в универсальный модуль идентификации абонента (USIM) указанного UE, если указанная первая проверка безопасности успешна, и

после приема указанного защищенного пакета в USIM указанного UE предписать указанному USIM выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и, если указанная вторая проверка безопасности успешна, предписать указанному USIM обновить один или большее количество из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете.

40. Элемент AMF по п. 39, отличающийся тем, что указанное обновление параметра конфигурации UE инкапсулируется в защищенный пакет в соответствии с механизмом защиты.

41. Элемент AMF по п. 39, отличающийся тем, что указанное обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS указанного UE в соответствии с механизмом защиты.

42. Элемент AMF по п. 39, отличающийся тем, что указанное обновление параметра конфигурации UE инкапсулируется в защищенный пакет, и указанный защищенный пакет целостно защищен с применением контекста безопасности NAS указанного UE в соответствии с механизмом защиты.

43. Элемент AMF по п. 39, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.

44. Элемент AMF по п. 43, отличающийся тем, что указанный процессор дополнительно выполнен с возможностью предписывания указанному элементу AMF:

принять второе сообщение NAS от указанного UE во время процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что указанное обновление параметра конфигурации UE было принято; и

отправить другое сообщение плоскости управления указанному элементу UDM с подтверждением UE, причем указанное второе сообщение NAS, принятое от указанного UE, содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

45. Элемент AMF по п. 39, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.

46. Элемент AMF по п. 45, отличающийся тем, что указанный процессор дополнительно выполнен с возможностью предписывания указанному элементу AMF:

принять второе сообщение NAS от указанного UE с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято; и

отправить другое сообщение плоскости управления указанному элементу UDM с подтверждением UE, причем указанное второе сообщение NAS содержит транспортное сообщение NAS восходящей линии связи.

47. Способ выполнения процедуры обновления для обновления параметров конфигурации оборудования пользователя (UE), обеспеченных в UE, включающий в себя:

прием сообщения плоскости управления в элементе функции управления доступом и мобильностью (AMF) от элемента управления едиными данными (UDM), который содержит обновление параметра конфигурации UE для указанного UE, причем указанное обновление параметра конфигурации UE безопасно защищено в соответствии с механизмом защиты;

вставку в указанном элементе AMF указанного обновления параметра конфигурации UE, которое безопасно защищено, в контейнер первого сообщения слоя без доступа (NAS), при этом указанный контейнер предназначен для указанного обновления параметра конфигурации UE; и

отправку указанного первого сообщения NAS от указанного элемента AMF на указанное UE с контейнером, содержащим указанное обновление параметра конфигурации UE, которое безопасно защищено, причем указанное обновление параметра конфигурации UE содержит параметр UE, инкапсулированный в защищенный пакет,

при этом указанное первое сообщение NAS выполнено с возможностью предписывания указанному UE:

выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE;

направить указанный защищенный пакет в универсальный модуль идентификации абонента (USIM) указанного UE, если указанная первая проверка безопасности успешна, и

после приема указанного защищенного пакета в USIM указанного UE предписать указанному USIM выполнить вторую проверку безопасности для проверки указанного защищенного пакета, и, если указанная вторая проверка безопасности успешна, предписать указанному USIM обновить один или большее количество из указанных параметров конфигурации UE в указанном USIM на основе указанного параметра UE, инкапсулированного в указанном защищенном пакете.

48. Способ по п. 47, отличающийся тем, что указанное обновление параметра конфигурации UE инкапсулируют в защищенный пакет в соответствии с механизмом защиты.

49. Способ по п. 47, отличающийся тем, что указанное обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS указанного UE в соответствии с механизмом защиты.

50. Способ по п. 47, отличающийся тем, что указанное обновление параметра конфигурации UE инкапсулируют в защищенный пакет, и указанный защищенный пакет целостно защищен с применением контекста безопасности NAS указанного UE в соответствии с механизмом защиты.

51. Способ по п. 47, отличающийся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное от указанного элемента AMF на указанное UE во время процедуры регистрации NAS.

52. Способ по п. 51, дополнительно включающий в себя:

прием второго сообщения NAS в указанном элементе AMF от указанного UE во время процедуры регистрации NAS с контейнером, содержащим подтверждение UE о том, что указанное обновление параметра конфигурации UE было принято; и

отправку другого сообщения плоскости управления от указанного элемента AMF указанному элементу UDM с подтверждением UE, причем указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

53. Способ по п. 47, отличающийся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.

54. Способ по п. 53, дополнительно включающий в себя:

прием второго сообщения NAS в указанном элементе AMF от указанного UE с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято; и

отправку другого сообщения плоскости управления от указанного элемента AMF указанному элементу UDM с подтверждением UE, причем указанное второе сообщение NAS содержит транспортное сообщение NAS восходящей линии связи.

55. Способ по п. 47, дополнительно включающий в себя:

прием указанного первого сообщения NAS в указанном UE от указанного элемента AMF, содержащего указанный контейнер, который содержит обновление параметра конфигурации UE для указанного UE, которое безопасно защищено;

выполнение проверки безопасности в указанном UE для проверки указанного обновления параметра конфигурации UE; и

обновление в указанном UE одного или большего количества параметров конфигурации UE на основе указанного обновления параметра конфигурации UE, когда указанное обновление параметра конфигурации UE проверено.

56. Способ по п. 55, дополнительно включающий в себя:

инициирование процедуры регистрации NAS в указанном UE для повторной регистрации с применением указанных обновленных параметров конфигурации UE, когда указанное первое сообщение NAS содержит индикатор повторной регистрации.

57. Оборудование пользователя (UE), содержащее:

универсальную карту с интегральной схемой (UICC), в которой размещается универсальный модуль идентификации абонента (USIM);

по меньшей мере один процессор; и

по меньшей мере одно запоминающее устройство, содержащее код компьютерной программы, исполняемый процессором, причем по меньшей мере одно из указанной UICC и указанного запоминающего устройства хранит параметры конфигурации UE для указанного UE, при этом указанный процессор выполнен с возможностью предписывания указанному UE:

принять первое сообщение слоя без доступа (NAS) от элемента функции управления доступом и мобильностью (AMF), содержащего контейнер, который содержит обновление параметра конфигурации UE для указанного UE, которое безопасно защищено в соответствии с механизмом защиты, причем указанный контейнер предназначен для указанного обновления параметра конфигурации UE;

при этом указанный процессор выполнен с возможностью предписывания указанному UE:

выполнить первую проверку безопасности для проверки указанного обновления параметра конфигурации UE; и

направить указанный контейнер в указанную UICC, если указанная первая проверка безопасности успешна,

при этом указанная UICC выполнена с возможностью предписывания указанному USIM:

после приема указанного защищенного пакета в указанной UICC указанного UE выполнить вторую проверку безопасности для проверки указанного контейнера и, если указанная вторая проверка безопасности успешна, обновить один или большее количество параметров конфигурации UE на основе указанного обновления параметра конфигурации UE.

58. UE по п. 57, отличающееся тем, что указанное обновление параметра конфигурации UE инкапсулируется в защищенный пакет в указанном контейнере указанного первого сообщения NAS.

59. UE по п. 57, отличающееся тем, что указанное обновление параметра конфигурации UE целостно защищено с применением контекста безопасности NAS указанного UE.

60. UE по п. 57, отличающееся тем, что указанное обновление параметра конфигурации UE инкапсулируется в защищенный пакет в указанном контейнере указанного первого сообщения NAS, и указанный защищенный пакет целостно защищен с применением контекста безопасности NAS указанного UE.

61. UE по п. 57, отличающееся тем, что указанное первое сообщение NAS содержит сообщение с подтверждением регистрации NAS, отправленное на указанное UE во время процедуры регистрации NAS.

62. UE по п. 61, отличающееся тем, что, когда указанное сообщение с подтверждением регистрации NAS содержит индикатор подтверждения UE, указанный процессор дополнительно выполнен с возможностью предписывания указанному UE отправить второе сообщение NAS указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято;

причем указанное второе сообщение NAS содержит сообщение о выполнении регистрации NAS или транспортное сообщение NAS восходящей линии связи.

63. UE по п. 57, отличающееся тем, что указанное первое сообщение NAS содержит транспортное сообщение NAS нисходящей линии связи процедуры транспортировки NAS, выполняемой после процедуры регистрации NAS.

64. UE по п. 63, отличающееся тем, что:

когда указанное транспортное сообщение NAS нисходящей линии связи содержит индикатор подтверждения UE, указанный процессор дополнительно выполнен с возможностью предписывания указанному UE отправить транспортное сообщение NAS восходящей линии связи указанному элементу AMF с контейнером, содержащим подтверждение UE от указанного UE о том, что указанное обновление параметра конфигурации UE было принято.

65. UE по п. 57, отличающееся тем, что, когда указанное первое сообщение NAS содержит индикатор повторной регистрации, указанный процессор дополнительно выполнен с возможностью предписывания указанному UE инициировать процедуру регистрации NAS для повторной регистрации с применением указанных обновленных параметров конфигурации UE.