用于无线通信的装置和方法与流程
相关申请的交叉引用
本申请要求以下申请的优先权和权益:于2014年11月3日向美国专利商标局提交的题为“apparatusandmethodhavinganimprovedcellularnetworkkeyhierarchy”的临时申请no.62/074,513,以及于2015年10月21日向美国专利商标局提交的题为“apparatusesandmethodsforwirelesscommunication”的非临时申请no.14/919,397,通过引用方式将上述申请的全部公开内容明确地并入本文。
概括地说,本公开内容涉及用于蜂窝网络的改进的密钥层次。
背景技术:
图1中所示的当前蜂窝网络架构100使用移动性管理实体(mme)110来实现用于控制用户设备(ue)120对蜂窝网络的接入的过程。通常,mme110作为核心网102元件由网络服务提供商(系统运营商)拥有和操作,并且位于由网络服务提供商控制的安全位置。核心网102具有包括归属订户服务器(hss)130和mme110的控制平面,以及包括分组数据网络(p-dn)网关(pgw)140和服务网关(s-gw)150的用户平面。mme110连接到无线电接入节点160(例如,演进型节点b(enb))。ran160提供与ue120的无线电接口(例如,无线电资源控制(rrc)180和分组数据汇聚协议(pdcp)/无线电链路控制(rlc)190)。
在未来的蜂窝网络架构中,可以想象到执行mme110的功能中的许多功能的mme110或网络组件将被朝网络边缘推出,在那里它们不太安全,因为它们在物理上更易于访问和/或不与其它网络运营商隔离。当网络功能被移动到例如云端(例如,互联网)时,可以不假设它们是安全的,因为它们可能具有较低级别的物理隔离或者没有物理隔离。此外,网络设备可能不由单个网络服务提供商拥有。作为示例,可以将多个mme实例托管在单个物理硬件设备内。结果,向mme发送的密钥可能需要较频繁地刷新,因此可能不建议向mme转发认证向量(av)。
需要改进的装置和方法,该装置和方法为靠近网络边缘执行mme功能的未来的蜂窝网络架构提供额外的安全性。
技术实现要素:
一个特征提供了一种在网络设备处可操作的方法,所述方法包括:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥;以及向对所述设备进行服务的移动性管理实体(mme)发送所述移动性会话密钥。根据一个方面,所述方法还包括:基于所述认证会话密钥,针对不同的mme生成不同的移动性会话密钥。根据另一个方面,获得所述认证信息包括:确定与所述设备相关联的认证信息没有存储在所述网络设备处;向归属订户服务器发送认证信息请求;以及响应于发送所述认证信息请求,从所述归属订户服务器接收与所述设备相关联的所述认证信息。
根据一个方面,获得所述认证信息包括:确定与所述设备相关联的认证信息存储在所述网络设备处;以及从所述网络设备处的存储器电路取回(retrieve)所述认证信息。根据另一个方面,所述方法还包括:从所述设备接收密钥集标识符;以及基于接收到的所述密钥集标识符来确定与所述设备相关联的所述认证信息存储在所述网络设备处。根据又一个方面,所述方法还包括:在执行与所述设备的认证和密钥协商之前,从所述mme接收源自所述设备的非接入层(nas)消息。
根据一个方面,所述方法还包括:还部分基于标识所述mme的mme标识值来生成所述移动性会话密钥。根据另一个方面,所述mme标识值是全球唯一的mme标识符(gummei)。根据又一个方面,所述mme标识值是mme组标识符(mmegi)。
根据一个方面,所述方法还包括:针对对所述设备进行服务的每个mme,生成不同的移动性管理密钥,所述不同的移动性管理密钥中的每个移动性管理密钥部分基于所述认证会话密钥和与每个mme相关联的不同的mme标识值。根据另一个方面,所述方法还包括:结合mme重定位(relocation)来确定第二mme正试图对所述设备进行服务;部分基于所述认证会话密钥和与所述第二mme相关联的mme标识值来生成第二移动性管理密钥;以及向所述第二mme发送所述第二移动性管理密钥以促进mme重定位。根据又一个方面,所述方法还包括:维持计数器值密钥计数(keycount);以及还部分基于计数器值密钥计数来生成所述移动性会话密钥。根据另一个方面,生成所述移动性会话密钥包括:使用具有下列各项中的至少一项作为输入的密钥导出函数来导出所述移动性会话密钥:所述认证会话密钥、唯一地标识所述mme的mme标识值、和/或计数器值密钥计数。
另一个特征提供了一种网络设备,其包括:适于发送和接收数据的通信接口;以及通信地耦合到所述通信接口的处理电路;所述处理电路适于:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥,以及向对所述设备进行服务的移动性管理实体(mme)发送所述移动性会话密钥。根据一个方面,所述处理电路还适于:基于所述认证会话密钥,针对不同的mme生成不同的移动性会话密钥。根据另一个方面,所述处理电路适于获得所述认证信息包括:确定与所述设备相关联的认证信息没有存储在所述网络设备处;向归属订户服务器发送认证信息请求;以及响应于发送所述认证信息请求,从所述归属订户服务器接收与所述设备相关联的所述认证信息。
根据一个方面,所述处理电路还适于:还部分基于标识所述mme的mme标识值来生成所述移动性会话密钥。根据另一个方面,所述处理电路还适于:在执行与所述设备的认证和密钥协商之前,从所述mme接收源自所述设备的非接入层(nas)消息。根据又一个方面,接收到的所述nas消息包括标识所述设备的设备标识符和标识所述mme的mme标识值。
另一个特征提供了一种网络设备,其包括:用于执行与设备的认证和密钥协商的单元;用于获得与所述设备相关联的认证信息的单元,所述认证信息包括至少认证会话密钥;用于部分基于所述认证会话密钥来生成移动性会话密钥的单元;以及用于向对所述设备进行服务的移动性管理实体(mme)发送所述移动性会话密钥的单元。根据一个方面,所述网络设备还包括:用于基于所述认证会话密钥,针对不同的mme生成不同的移动性会话密钥的单元。
另一个特征提供了一种具有存储在其上、在网络设备处可操作的指令的非临时性计算机可读存储介质,所述指令在由至少一个处理器执行时使得所述处理器进行以下操作:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥;以及向对所述设备进行服务的移动性管理实体(mme)发送所述移动性会话密钥。根据一个方面,所述指令在由所述处理器执行时还使得所述处理器进行以下操作:基于所述认证会话密钥,针对不同的mme生成不同的移动性会话密钥。
另一个特征提供了一种在网络设备处可操作的方法,所述方法包括:从设备接收非接入层(nas)消息;向会话密钥管理实体(skme)设备转发所述nas消息连同标识所述网络设备的网络设备标识值;从所述skme设备接收移动性会话密钥,所述移动性会话密钥部分基于从在所述设备和无线通信网络之间共享的密钥导出的认证会话密钥;以及向所述设备发送密钥导出数据,所述密钥导出数据使得所述设备能够导出所述移动性会话密钥。根据一个方面,从所述skme设备接收的所述移动性会话密钥还部分基于所述网络设备标识值。根据另一个方面,所述网络设备标识值是全球唯一的移动性管理实体标识符(gummei)。
根据一个方面,所述网络设备标识值是移动性管理实体组标识符(mmegi)。根据另一个方面,从所述skme设备接收的所述移动性会话密钥还部分基于在所述skme设备处维持的计数器值密钥计数。根据又一个方面,所述密钥导出数据被包括在向所述设备发送的nas安全模式命令消息中。
根据一个方面,所述密钥导出数据包括所述网络设备标识值。根据另一个方面,所述密钥导出数据包括在所述skme设备处维持的计数器值密钥计数。根据又一个方面,所述方法还包括:确定第二网络设备需要对所述设备进行服务;确定所述第二网络设备与所述网络设备共享公共组标识符;以及向所述第二网络设备发送所述移动性会话密钥。根据又一个方面,所述网络设备和所述第二网络设备是移动性管理实体(mme),并且所述公共组标识符是公共mme组标识符。
另一个特征提供了一种网络设备,其包括:适于发送和接收数据的通信接口;以及处理电路,其通信地耦合到所述通信接口,所述处理电路适于:从设备接收非接入层(nas)消息;向会话密钥管理实体(skme)设备转发所述nas消息连同标识所述网络设备的网络设备标识值;从所述skme设备接收移动性会话密钥,所述移动性会话密钥部分基于从在所述设备和无线通信网络之间共享的密钥导出的认证会话密钥;以及向所述设备发送密钥导出数据,所述密钥导出数据使得所述设备能够导出所述移动性会话密钥。根据一个方面,所述处理电路还适于:确定第二网络设备需要对所述设备进行服务;确定所述第二网络设备与所述网络设备共享公共组标识符;以及向所述第二网络设备发送所述移动性会话密钥。
另一个特征提供了一种网络设备,其包括:用于从设备接收非接入层(nas)消息的单元;用于向会话密钥管理实体(skme)设备转发所述nas消息连同标识所述网络设备的网络设备标识值的单元;用于从所述skme设备接收移动性会话密钥的单元,所述移动性会话密钥部分基于从在所述设备和无线通信网络之间共享的密钥导出的认证会话密钥;以及用于向所述设备发送密钥导出数据的单元,所述密钥导出数据使得所述设备能够导出所述移动性会话密钥。根据一个方面,所述网络设备还包括:用于确定第二网络设备需要对所述设备进行服务的单元;用于确定所述第二网络设备与所述网络设备共享公共组标识符的单元;以及用于向所述第二网络设备发送所述移动性会话密钥的单元。
另一个特征提供了一种具有存储在其上、在网络设备处可操作的指令的非临时性计算机可读存储介质,所述指令在由至少一个处理器执行时使得所述处理器进行以下操作:从设备接收非接入层(nas)消息;向会话密钥管理实体(skme)设备转发所述nas消息连同标识所述网络设备的网络设备标识值;从所述skme设备接收移动性会话密钥,所述移动性会话密钥部分基于从在所述设备和无线通信网络之间共享的密钥导出的认证会话密钥;以及向所述设备发送密钥导出数据,所述密钥导出数据使得所述设备能够导出所述移动性会话密钥。根据一个方面,所述指令在由所述处理器执行时还使得所述处理器进行以下操作:确定第二网络设备需要对所述设备进行服务;确定所述第二网络设备与所述网络设备共享公共组标识符;以及向所述第二网络设备发送所述移动性会话密钥。
另一个特征提供了一种在设备处可操作的方法,所述方法包括:执行与会话密钥管理实体(skme)设备的认证和密钥协商;部分基于与归属订户服务器(hss)共享的秘密密钥来生成认证会话密钥,所述认证会话密钥对于所述skme设备是已知的;部分基于所述认证会话密钥来生成移动性会话密钥,所述移动性会话密钥对于对所述设备进行服务的移动性管理实体(mme)是已知的;以及使用所述移动性会话密钥来以密码方式保护从所述设备向无线通信网络发送的数据。根据一个方面,所述方法还包括:基于所述认证会话密钥,针对不同的mme生成不同的移动性会话密钥。根据另一个方面,所述方法还包括:在与所述skme设备成功认证之后,从所述mme接收密钥导出数据,所述密钥导出数据使得所述设备能够导出所述移动性会话密钥。
根据一个方面,所述密钥导出数据包括标识对所述设备进行服务的所述mme的mme标识值;并且所述方法还包括:还部分基于所述mme标识值来生成所述移动性会话密钥。根据另一个方面,所述密钥导出数据包括在所述skme设备处维持的计数器值密钥计数。根据又一个方面,所述密钥导出数据被包括在从所述mme接收的安全模式命令消息中。
根据一个方面,生成所述移动性会话密钥包括:使用具有下列各项中的至少一项作为输入的密钥导出函数来导出所述移动性会话密钥:所述认证会话密钥、唯一地标识所述mme的mme标识值、和/或计数器值密钥计数。根据另一个方面,所述方法还包括:接收包括唯一地标识试图对所述设备进行服务的第二mme的mme标识符的mme重定位的通知;部分基于所述认证会话密钥和唯一地标识所述第二mme的所述mme标识符来生成第二移动性会话密钥。根据又一个方面,所述方法还包括:部分基于所述移动性会话密钥来导出节点b密钥kenb;以及使用所述节点b密钥kenb来对发送到对所述设备进行服务的无线接入节点的数据进行加密。
另一个特征提供了一种设备,其包括:适于向无线通信网络发送数据以及从无线通信网络接收数据的无线通信接口;以及通信地耦合到所述无线通信接口的处理电路,所述处理电路适于:执行与会话密钥管理实体(skme)设备的认证和密钥协商;部分基于与归属订户服务器(hss)共享的秘密密钥来生成认证会话密钥,所述认证会话密钥对于所述skme设备是已知的;部分基于所述认证会话密钥来生成移动性会话密钥,所述移动性会话密钥对于对所述设备进行服务的移动性管理实体(mme)是已知的;以及使用所述移动性会话密钥来以密码方式保护从所述设备向所述无线通信网络发送的数据。根据一个方面,所述处理电路还适于:基于所述认证会话密钥,针对不同的mme生成不同的移动性会话密钥。根据另一个方面,所述处理电路还适于:在与所述skme设备成功认证之后,从所述mme接收密钥导出数据,所述密钥导出数据使得所述设备能够导出所述移动性会话密钥。根据又一个方面,所述密钥导出数据包括标识对所述设备进行服务的所述mme的mme标识值;并且所述处理电路还适于:还部分基于所述mme标识值来生成所述移动性会话密钥。
根据一个方面,生成所述移动性会话密钥包括:使用具有下列各项中的至少一项作为输入的密钥导出函数来导出所述移动性会话密钥:所述认证会话密钥、唯一地标识所述mme的mme标识值、和/或计数器值密钥计数。根据另一个方面,所述处理电路还适于:接收包括唯一地标识试图对所述设备进行服务的第二mme的mme标识符的mme重定位的通知;部分基于所述认证会话密钥和唯一地标识所述第二mme的所述mme标识符来生成第二移动性会话密钥。
另一个特征提供了一种设备,其包括:用于执行与会话密钥管理实体(skme)设备的认证和密钥协商的单元;用于部分基于与归属订户服务器(hss)共享的秘密密钥来生成认证会话密钥的单元,所述认证会话密钥对于所述skme设备是已知的;用于部分基于所述认证密钥来生成移动性管理密钥的单元,所述移动性管理密钥对于对所述设备进行服务的移动性管理实体(mme)是已知的;以及用于使用所述移动性会话密钥来以密码方式保护从所述设备向无线通信网络发送的数据的单元。根据一个方面,所述设备还包括:用于基于所述认证会话密钥,针对不同的mme生成不同的移动性会话密钥的单元。
另一个特征提供了一种具有存储在其上、在设备处可操作的指令的非临时性计算机可读存储介质,所述指令在由至少一个处理器执行时使得所述处理器进行以下操作:执行与会话密钥管理实体(skme)设备的认证和密钥协商;部分基于与归属订户服务器(hss)共享的秘密密钥来生成认证会话密钥,所述认证会话密钥对于所述skme设备是已知的;部分基于所述认证会话密钥来生成移动性会话密钥,所述移动性会话密钥对于对所述设备进行服务的移动性管理实体(mme)是已知的;以及使用所述移动性会话密钥来以密码方式保护从所述设备向无线通信网络发送的数据。根据一个方面,所述指令在由所述处理器执行时还使得所述处理器进行以下操作:基于所述认证会话密钥,针对不同的mme生成不同的移动性会话密钥。
附图说明
图1是现有技术中给出的无线通信系统的示例的框图。
图2示出了一种无线通信网络。
图3a和图3b示出了在无线通信网络上可操作的过程流程图。
图4和图5示出了用户设备正在漫游并因此在归属网络之外的拜访网络中的场景。
图6示出了无线通信网络的密钥层次的示意图。
图7示出了连接到无线通信网络的ue的附着过程和初始数据传输的流程图。
图8示出了s1切换过程的流程图。
图9a和图9b示出了在ue移动到需要mme重定位的新位置之后的跟踪区域更新过程的流程图。
图10示出了设备的示意性框图。
图11示出了设备处理电路的示意性框图。
图12示出了在设备处可操作的方法。
图13示出了网络设备的示意性框图。
图14示出了网络设备处理电路的第一示例性示意性框图。
图15示出了网络设备处理电路的第二示例性示意性框图。
图16示出了在网络设备处可操作的第一示例性方法。
图17示出了在网络设备处可操作的第二示例性方法。
具体实施方式
本文中使用的“示例性”一词意指“用作示例、实例或说明”。在本文中被描述为“示例性”的任何实施例不一定被解释为优选的或者比其它实施例更有优势。
图2根据本公开内容的一个方面示出了无线通信网络200。无线通信网络200包括核心网202、无线电接入节点(例如,enb)260和无线通信设备(例如,ue)220。除其它事项外,核心网包括会话密钥管理实体(skme)设备205(在本文中可以称为“认证会话密钥锚功能设备”)、mme210、hss230、p-gw240和s-gw250。skme设备205、mme210和hss230包括控制平面,而p-gw240和s-gw250包括用户平面。无线通信网络200的这种架构可以用于第五代(5g)蜂窝网络。
例如,无线电接入节点260可以是演进型节点b(enb),并且可以与mme210和ue220通信。ran260提供与ue220的无线电接口(例如,无线电资源控制(rrc)280和分组数据汇聚协议(pdcp)/无线电链路控制(rlc)290)。
skme205可以是位于无线通信网络200内部深处的信任锚或密钥锚。skme205为其服务的每个mme210导出移动性会话密钥(例如,密钥kasme)。(尽管图2仅示出了一个(1个)mme210,但skme205可以与多个mme进行通信和/或对多个mme进行服务)。因此,当执行mme的功能的mme210和/或网络设备被推至网络的边缘(即,靠近ran或与ran共置),skme205保持在网络200内部的深处,在此处来自外部实体的物理访问被禁止。以这种方式,skme205充当mme210和hss230之间的中介。
hss230基于在ue220和无线通信网络的认证中心(auc)(图2中未示出)之间共享的一个或多个秘密密钥(sk)来生成认证会话密钥(例如,密钥kskme)。共享的一个或多个秘密密钥可以是例如根密钥和/或密码密钥(ck)以及从根密钥导出的完整性密钥(ik)。认证会话密钥kskme被发送到skme205,skme205转而部分基于认证会话密钥kskme来生成移动性会话密钥kskme。然后,skme205将移动性会话密钥kasme发送到生成该密钥所针对的mme210。其它密钥(例如enb密钥kenb)可以从移动性会话密钥kasme导出,并且用于保护ran260与ue220之间的通信。
图3a和图3b根据本公开的一个方面示出了无线通信网络200的过程流程图300。为了清楚起见,已经从图3中省略了网络200的一些组件(例如,ran260、p-gw240、s-gw250)。
参照图3a,该过程可以开始于ue220向mme210发送302非接入层(nas)消息(例如,经由图3a中未示出的ran260)。除其它事项外,nas消息可以是例如附着请求、后续服务请求或跟踪区域更新请求。在一些情况下,nas消息可以包括与ue220相关联的密钥集标识符(ksi)和/或标识ue220的设备标识符(例如,国际移动用户身份(imsi))。然后,mme210可以将nas消息和ksi(如果包括)转发304到skme205。接下来,skme205可以确定306ue220的认证信息是否已经存储在skme205处。如果是,则skme205使用所存储的针对ue220的认证信息(例如,认证向量)来执行312与ue220的认证和密钥协商(aka)。如果不是,则skme205可以向hss230发送308认证信息请求,该认证信息请求请求与ue220相关联的认证信息。作为响应,hss230可以向skme205提供310一个或多个认证向量(例如,认证信息)。所提供的认证向量中的至少一个与ue220相关联,并且可以用于执行312与ue200的aka。认证向量可以包括预期响应(xres)、认证值(autn)、随机数(rand)以及认证会话密钥kskme在本文中可以被称为“第一认证会话密钥kskme”、“第二认证会话密钥kskme”等)。autn可以基于ue220与hss230共享的序列号和密钥。
部分基于ue和网络的auc之间共享的一个或多个秘密密钥,可以在hss处生成认证会话密钥kskme。这些秘密密钥可以包括根密钥和/或密码密钥(ck)以及从根密钥导出的完整性密钥(ik)。为了进一步执行aka,skme205可以向请求认证响应(res)的ue220发送认证请求消息(例如,包括autn和rand)。然后,skme205可以将res与xres进行比较寻求匹配,以确定与ue220的认证是否成功。
在aka312成功完成之后,skme205可以基于由ue220提供的ksi(如果有的话)来识别314用于ue220的适当的认证会话密钥kskme。如果skme205从hss230接收到具有多个认证会话密钥kskme的多个认证向量,则可以这样做。然后,skme205可以导出/生成移动性管理密钥kasme(例如,“第一移动性管理密钥kasme”、“第二移动性管理密钥kasme”、“第三移动性管理密钥kasme”等)。移动性管理密钥kasme可以基于认证会话密钥kasme、mme标识值(例如,全球唯一的mme标识符(gummei)、mme标识符(mmei)、mme组标识符(mmegi)、公共陆地移动网络标识符(plmn)id)、mme代码(mmec)等)和/或计数器值(例如,密钥计数)。因此,kasme可以被导出为kasme=kdf(kskme,mme标识值|密钥计数),其中,kdf是密钥导出函数。计数器值密钥计数是可以由skme205递增的计数器值,以便在每次回到mme210的重定位发生时,使skme205能够针对同一个mme210导出新的kasme密钥。根据一个方面,可以使用一次使用的数字(随机数),而不是计数器值密钥计数。根据另一个方面,如果mme标识值(例如,gummei、mmegi、mmei、mmec、plmnid等)不用于授权特定的mme身份,则其可以省略。例如,如果skme205总是在与它向其提供kasme的mme210相同的网络中,则在密钥导出中包括mme标识值可能是不必要的。因此,根据另一个示例,kasme可以导出为kasme=kdf(kskme,nonce)或kasme=kdf(kskme,密钥计数)。mme标识值可以是网络设备标识值的一个示例。
接下来,skme205可以向其生成所针对的mme210发送318移动性会话密钥kasme。mme210可以向ue220发送320密钥导出数据(kdd),以帮助ue220生成移动性会话密钥kasme。根据一个示例,密钥导出数据可以被包括在非接入层(nas)安全模式命令(smc)中。密钥导出数据可以包括用于生成密钥kasme的mme标识值(例如,gummei、mmegi、mmei、mmec、plmnid等)、计数器值密钥计数和/或随机数。利用该数据,ue220然后可以生成/导出322密钥kasme,并使用它来保护其本身与无线通信网络/服务网络(例如,mme210、skme205等)之间的通信(如数据业务)。mme210和ue220还可以基于移动性管理密钥kasme来生成/导出324随后的密钥(例如,kenb、knasenc、knasint、nk等),并使用它们来保护ue220、mme210、和/或对ue220进行服务的ran(例如,enb)260之间的通信。
根据一个方面,可以使用具有秘密密钥(例如,ck、ik等)和服务网络身份(sn_id)作为输入的第一密钥导出函数来导出认证会话密钥kskme。可以使用第二密钥导出函数来导出移动性会话密钥kasme。第一和第二密钥导出函数可以基于例如密钥散列消息认证码(hmac)hmac-256、hmac-sha-256、hmac-sha-3等。可以使用可扩展认证协议(eap)或特定nas信令来执行认证和密钥协商。移动性会话密钥kasme可以在aka过程(对于当前与ue附着的mme)期间或在涉及mme重定位的切换期间导出。可以由skme205为当前附着的mme定义会话。可以在共享mmegi的一组mme内执行mme重定位。或者,mme重定位可以用具有不同mmegi的另一个mme来执行。根据一个方面,gummei可以基于mmegi和mme代码的组合。
根据本公开内容的一个方面,mme可以通过安全保护的通信信道从skme300接收移动性会话密钥kasme。根据另一方面,如果两个mme属于相同的mme组(例如,二者具有相同的mme组标识符(mmegi)),则mme重定位期间的目标mme可以接收另一个mme使用的密钥kasme。
图4和图5示出了图2所示的ue220正在漫游并因此在归属网络202之外的拜访网络400中的场景。在这种情况下,拜访网络的skme405变为本地密钥锚,并且还与ue220进行相互认证(例如,aka),并且通常遵循上文针对图3描述的过程。类似地,在拜访网络内的mme重定位(例如切换或跟踪区域更新)期间,拜访网络400的本地skme405导出新的kasme并将其提供给目标/新mme。密钥kenb可以从新的kasme导出。在图2、图4和图5中,密钥knas用于保护ue220和mme210之间的控制消息。
图6示出了上述无线通信网络200的密钥层次的示意图。ue的通用用户身份模块(usim)和网络的认证中心(auc)可以存储根密钥。从根密钥可以导出完整性密钥(ik)和密码密钥(ck),并将其提供给hss。根密钥、ck和ik可以被认为是在ue和网络之间共享的共享秘密密钥。
hss可以转而生成认证会话密钥kskme并将其提供给skme。会话密钥kskme在整个认证会话期间有效。skme可以利用kskme来生成移动性会话密钥kasme,并向对ue进行服务的mme提供该密钥。在一个方面中,移动性会话密钥kasme可以仅对特定mme有效。在其它方面中,移动性会话密钥kasme可以在同一组的mme之间共享(例如具有相同的mmegi)。对ue进行服务的mme可以转而基于kasme来生成其它密钥(knasenc、knasint、kenb/nh等)。
附着、切换和跟踪区域更新(tau)过程
在初始附着到网络期间,ue执行与会话密钥管理实体(skme)设备的认证和密钥协商(aka)过程。一旦认证成功,skme就针对ue所附着的mme导出密钥(例如,kasme),并向mme提供密钥。
当ue请求涉及mme重定位的跟踪区域更新(tau)时,接收tau请求的新mme从skme接收新的密钥kasme,并通过执行nassmc过程与ue建立安全关联。类似地,当涉及mme重定位的切换发生时,目标mme还从skme获得新密钥kasme,并与ue建立安全关联。
支持两个跟踪区域的mme可以在ue在跟踪区域之间移动时发起移动性会话密钥kasme的改变。这将隐藏来自ue的网络配置。例如,ue可以仅看到跟踪区域而不是mme。这可能在响应于tau或更改跟踪区域的切换二者时发生。
图7根据本公开内容的一个方面示出了连接到无线通信网络(例如,无线蜂窝网络)的ue的附着过程和初始数据传输的流程图。首先,ue220向ran260发送附着请求702,ran260转而将该请求转发到mme210,mme210转而将该请求(连同可能的ksi信息)转发到skme205。然后,skme205可以向hss230发送认证信息请求704,并且作为响应,其从hss230接收可能包括预期响应(xres)、认证值(autn)、随机数(rand)和认证会话密钥kskme的一个或多个认证向量706。autn可以基于序列号以及ue220与hss230共享的密钥。
一旦skme205具有与ue220相关联的认证向量,则ue220和skme205可以执行708aka。一旦aka成功,则skme205可以基于认证会话密钥kskme、mme标识值(例如,gummei、mmei、mmegi等)和/或计数器值(例如,密钥计数)来导出移动性会话密钥kasme)。因此,kasme可以导出为kasme=kdf(kskme,mme标识值|密钥计数),其中,kdf是密钥导出函数。计数器值密钥计数是可以由skme205递增的计数器值,以便在每次回到mme210的切换发生时,使skme205能够针对同一个mme210导出新的kasme密钥。根据一个方面,可以使用一次使用的数字(随机数),而不是计数器值。根据另一个方面,如果gummei不用于授权特定的mme身份,则其可以省略。例如,如果skme205总是在与它向其提供kasme的mme相同的网络中,则在密钥导出中包括gummei可能是不必要的。因此,根据另一个示例,kasme可以被导出为kasme=kdf(kskme,nonce)。然后向mme210发送710移动性会话密钥kasme。然后mme210可以使用移动性会话密钥kasme来执行712与ue220的nassmc过程。在nassmc过程期间,mme210可以向ue220提供其gummei和/或密钥计数,从而ue220也可以导出kasme。图7中所示的其余步骤714-728可以与4glte蜂窝通信协议中给出的步骤类似。
图8根据本公开内容的一个方面示出了s1切换过程的流程图。首先,源enb260a(即,当前enb)向源mme210a(即,当前mme)发送切换(ho)所需消息802。接下来,源mme210a基于ho所需消息向目标mme210b(即,新mme)发送/转发重定位请求804。目标mme210b可以创建并向目标服务网关(s-gw)250b发送会话请求806,并从目标s-gw250b接收会话响应808。目标mme210b还可以向skme205发送针对移动性会话密钥kasme的密钥请求810。这样做,目标mme210b可以向skme205提供其mme标识值(例如,gummei)。skme205可以转而使用mme的gummei、其先前从hss230接收的认证会话密钥kskme(如上所述)和密钥计数来生成移动性会话密钥kasme。根据一个方面,可以使用一次使用的数字(随机数)而不是密钥计数。根据另一个方面,如果不期望gummei来授权特定的mme身份,则其可以省略。skme205向目标mme210b发送kasme812。根据一个方面,目标mme210b可以向目标s-gw250b发送会话请求806,并在大约相同的时间发送密钥请求810。因此,步骤806和810可以与步骤808和812同时执行。
目标mme210b然后可以向目标enb260b(即,潜在的新enb)发送切换请求814,并且作为响应,目标enb260b发送回切换响应816。切换请求814可以包括由目标mme210b使用kasme导出的密钥kenb。切换响应816指示目标enb260b是否同意接受切换。如果目标enb260b同意接受切换,则目标mme210b向skme205发送密钥(即,kasme)确认消息818。在接收到密钥确认消息时,skme205然后可以递增密钥计数计数器值。发送密钥确认消息818的步骤被延迟,直到接收到切换请求确认816,因为切换请求可能被目标enb260b拒绝。在这样的情况下,新的kasme不需要由ue220导出,并且在该情况下,skme205可能不需要增加密钥计数。在目标mme210b向源mme210a发送重定位响应820之后,源mme210a向源enb260a发送切换命令822(其被转发到ue220)。切换命令822、824可以包括目标mme210b的gummei和密钥计数,使得ue220可以针对目标enb260b导出新的kasme和新的kenb。ue220利用切换确认消息826对目标enb260b进行响应。切换确认消息826可以被完整性保护和加密。
图9a和图9b根据本公开内容的一个方面示出了在ue220移动到需要mme重定位的新位置之后的跟踪区域更新过程的流程图。参照图9a,首先,ue220生成并向ran260(例如,enb)发送902跟踪区域更新请求。enb260转而向将与ue220相关联和/或对ue220进行服务的目标mme210b(例如,“新mme”)转发904跟踪区域更新请求。enb260基于包括ue220的位置的各个准则来确定哪个新的mme210b发送跟踪区域更新请求。跟踪区域更新请求可以包括全球唯一的临时标识符(guti),其包括作为当前与ue220相关联的mme的源mme210a(例如,“旧mme”)的gummei。目标mme210b然后可以在其接收到的跟踪区域更新请求中使用gummei来向源mme210a发送906ue上下文请求消息。源mme210a然后在ue上下文响应消息中以ue上下文信息进行响应908。一旦接收到该响应,就可以从目标mme210b向源mme210a发送910确认。
目标mme210b然后可以向skme205发送912位置更新和密钥请求(即,kasme)。位置更新被转发到hss230,hss230然后向源mme210a发送914位置取消消息。作为响应,源mme210a可以将位置取消确认消息发送916回hss230。skme205可以基于目标mme210b的gummei和/或如前所述的密钥计数计数器值来为目标mme210b生成新的kasme。根据一个方面,可以使用一次使用的数字(随机数)而不是密钥计数。根据另一个方面,如果不期望gummei来授权特定的mme身份,则其可以省略。向目标mme210b发送918新的kasme。在从skme205接收到kasme时,目标mme210b可以用密钥确认消息来对skme205进行回复920。根据一个方面,目标mme210b可以在向skme205发送912mme位置更新和密钥请求的同时向源mme210a发送906ue上下文请求消息。因此,步骤906、908和910可以与步骤912、914、916、918、920同时执行。
参照图9b,一旦目标mme210b已经从skme205接收到kasme,则目标mme210b然后可以执行922、924与ue220的非接入层安全模式命令过程。在安全模式命令过程中,ue220导出目标mme210b使用的密钥kasme,因为目标mme210b向ue220提供其gummei。一旦ue220也具有与目标mme210b相同的kasme,则ue220和目标mme210b可以基于kasme密钥来参与安全通信。例如,目标mme210b可以参与926、928与ue220的跟踪区域更新交换,ue220的通信由kasme或从kasme导出的其它密钥(例如,nas加密和完整性保护密钥)加密。该交换可以包括基于目标mme的gummei从目标mme210b发送到ue220的包括新guti的消息。这样的消息再次由kasme或从kasme导出的另一个密钥加密。
如图9b所示并且如上所述,nassmc922、924之后是跟踪区域更新过程926、928。在本公开内容的一些方面中,可以对nassmc922、924和跟踪区域更新过程926、928进行组合。例如,从目标mme210b发送到ue220的nassmc消息922可以与跟踪区域更新消息926进行组合。在这样做时,只有组合消息的一部分(例如,与跟踪区域更新相关联的部分)可以是加密的,而帮助ue导出kasme的该消息的部分是未加密的。由mme分配的作为guti的一部分的新临时移动用户身份(tmsi)可以是加密的。密钥导出
如上文所讨论的,aka在ue和skme之间运行。密钥kskme由hss导出并发送到skme。从hss的角度来看,认证向量以与4glte相同的方式构建,并发送到skme而不是mme。因此,hss可以连接到skme而无需任何修改。
skme针对给定mme导出移动性会话密钥kasme,因此mme的gummei可以在kasme密钥导出过程中使用。针对新的kasme,nas计数值可以初始化为零(0)。在一个示例中,如果跟踪区域更新未完成,则不会丢弃旧的nas计数值。对于密钥kasme的新鲜度(freshness),ue和skme可以维持密钥计数计数器值并将其用于kasme导出。这样做可以避免在ue移动回到旧的mme的情况下导出相同的kasme。当成功执行初始aka时,密钥计数计数器值可以被初始化为零(0)或某个其它预先确定的值。在某些方面中,可以使用随机数,而不是密钥计数计数器值。在另一个方面中,可以从密钥导出中省略gummei。
用于生成密钥kskme、kasme、kenb、下一跳(nh)等的密钥导出函数(kdf)可以利用hmac-sha-256、hmac-sha-3等。输入串s可以从n+1个输入参数构建。例如,s=[fc||p0||l0||p1||l1||p2||l2||…||pn||ln]。字段代码fc可以是用于区分算法的不同实例的单个八位字节,并且可以使用范围0x50-0x5f中的值。输入参数p0至pn是n+1输入参数编码。p0可以是静态ascii编码字符串。值l0至ln是相应输入参数p0至pn的长度的两个八位字节表示。
kskme导出
kskme=kdf(kck/ik,s)。输入s可以等于[fc||p0||l0||p1||l1],其中,fc=0x50,p0=snid,l0=snid的长度(即,l0=0x000x03),p1=sqnxorak,并且l1=p1的长度(即,l1=0x000x06)。sqn是序列号,ak是匿名密钥,xor是异或运算。值sqnxorak作为认证令牌(autn)的一部分发送到ue。如果不使用ak,则可以根据ts33.102(即,000…0)来对ak进行处理。输入密钥kck/ik是密码密钥(ck)和完整性密钥(ik)的串联,即kck/ik=ck||ik。
kasme导出
kasme=kdf(kskme,s)。输入s可以等于[fc||p0||l0||p1||l1],其中,fc=0x51,p0=gummei,l0=48比特gummei的长度(即,l0=0x000x06),p1=密钥计数,并且l1可以等于p1的长度(即,l1=0x000x08)。这只是可以怎样导出kasme的一个示例。在另一个方面,可以省略gummei,并且可以使用一次使用的随机数字(例如,随机数),而不是使用密钥计数计数器值。
nh导出
nh=kdf(kasme,s)。输入s可以等于[fc||p0||l0],其中,fc=0x52,p0=同步输入,l0=同步输入的长度(即,l0=0x000x20)。同步输入参数可以是针对初始nh导出新导出的kenb,以及针对所有后续导出的之前nh。这导致nh链中的结果,其中,下一个nh总是新的并且是从之前nh导出的。
kenb导出
k’enb=kdf(kx,s)。当出于切换目的从当前的kenb或从新鲜的nh以及第7.2.8节中规定的ue和enb中的目标物理小区标识符导出k’enb时,输入s可以等于[fc||p0||l0||p1||l1],其中,fc=0x53,p0=目标物理小区标识符(pci),l0=pci的长度(例如,l0=0x000x02),p1=earfcn-dl(目标物理小区下行频率),并且l1=p1的长度(例如,l1=0x000x02)。当切换中的索引增加时,输入密钥kx可以是256比特的下一跳(nh)密钥,否则使用当前256比特的kenb。
上面示出和描述的图7-图9假设mme从源向目标mme改变。然而,当单个mme承担两个mme(源mme和目标mme)的角色并且这两个mme之间没有实际接口时,可以使用相同的过程流程图。
图10根据本公开的一个方面示出了设备1000(例如,“用户设备”、“用户装备”、“无线通信设备”)的示意性框图。设备1000可以是集成电路、多个集成电路或者包含一个或多个集成电路的电子设备。设备1000还可以是任何无线通信设备,诸如但不限于:移动电话、智能电话、膝上型计算机、个人数字助理(pda)、平板电脑、计算机、智能手表和头戴式可穿戴计算机(如google
存储器电路1004可以包括一个或多个易失性存储器电路和/或非易失性存储器电路。因此,存储器电路1004可以包括动态随机存取存储器(dram)、静态随机存取存储器(sram)、磁阻随机存取存储器(mram)、电可擦除可编程只读存储器(eeprom)、闪存器等。存储器电路1004可以存储一个或多个密码密钥(cryptographickey)。存储电路1004还可以存储可由处理电路1008执行的指令。i/o设备/电路1006可以包括一个或多个键盘、鼠标、显示器、触摸屏显示器、打印机、指纹扫描仪以及任何其它输入和/或输出设备。
处理电路1008(例如,处理器、中央处理单元(cpu)、应用处理单元(apu)等)可以执行存储在存储器电路1006处的指令和/或存储在通信地耦合到用户设备1000的另一个计算机可读存储介质(例如,硬盘驱动器、光盘驱动器、固态驱动器等)处的指令。处理电路1008可以执行本文中描述的设备1000的步骤和/或过程(包括参考图3a、图3b、图6、图7、图8、图9a、图9b和/或图12讨论的那些)中的任何一个。根据一个方面,处理电路1008可以是通用处理器。根据另一个方面,处理电路可以是硬连线的(例如,其可以是专用集成电路(asic))来执行本文中描述的ue220的步骤和/或过程(包括参考图3a、图3b、图6、图7、图8、图9a、图9b和/或图12讨论的那些)。
图11根据一个方面示出了设备处理电路1008的示意性框图。处理电路1008可以包括授权和密钥协商(aka)执行电路1102、认证会话密钥生成电路1104、移动性会话密钥生成电路1106和/或数据保护电路1108。根据一个方面,这些电路1102、1104、1106、1108可以是asic并且是硬接线的以便执行它们各自的过程。
aka执行电路1102可以是用于执行与skme设备的认证和密钥协商的单元的一个非限制性示例。认证会话密钥生成电路1104可以是用于部分基于与归属订户服务器共享的秘密密钥来生成认证会话密钥的单元的一个非限制性示例。移动性会话密钥生成电路1106可以是用于部分基于认证会话密钥来生成移动性会话密钥的单元的一个非限制性示例。数据保护电路1108可以是用于使用移动性会话密钥以密码方式来保护从设备向无线通信网络发送的数据的单元的一个非限制性示例。
图12示出了在设备1000处可操作的方法1200。首先,执行1202与会话密钥管理实体(skme)设备的认证和密钥协商。接下来,部分基于与归属订户服务器(hss)共享的秘密密钥来生成1204认证会话密钥,该认证会话密钥对于skme设备是已知的。然后,部分基于认证会话密钥来生成1206移动性会话密钥,该移动性会话密钥对于对设备进行服务的移动性管理实体(mme)是已知的。接下来,使用移动性会话密钥来以密码方式保护1208从设备向无线通信网络发送的数据。
图13根据本公开内容的一个方面示出了网络设备1300的示意性框图。网络设备可以是skme、mme、ran、s-gw和/或p-gw等其它网络组件。网络设备1300可以包括下列各项中的至少一个或多个:无线通信接口1302、一个或多个存储器电路1304、一个或多个输入和/或输出(i/o)设备/电路1306和/或可以通信地彼此耦合的一个或多个处理电路1308。例如,接口1302、存储器电路1304、i/o设备1306和处理电路1308可以通过总线1310通信地彼此耦合。无线通信接口1302允许网络设备1300与用户设备102进行无线通信。因此,接口1302允许网络设备1300通过无线广域网(wwan)(如移动电信蜂窝网络)和/或短距离无线局域网(例如,
存储器电路1304可以包括一个或多个易失性存储器电路和/或非易失性存储器电路。因此,存储器电路1304可以包括dram、sram、mram、eeprom、闪存器等。存储器电路1304可以存储一个或多个密码密钥。存储电路1304还可以存储可由处理电路1308执行的指令。i/o设备/电路1306可以包括一个或多个键盘、鼠标、显示器、触摸屏显示器、打印机、指纹扫描仪以及任何其它输入和/或输出设备。
处理电路1308(例如,处理器、中央处理单元(cpu)、应用处理单元(apu)等)可以执行存储在存储器电路1306处的指令和/或存储在通信地耦合到网络设备1300的另一个计算机可读存储介质(例如,硬盘驱动器、光盘驱动器、固态驱动器等)处的指令。处理电路1308可以执行本文中描述的网络设备的步骤和/或过程(包括参考图3a、图3b、图6、图7、图8、图9a、图9b、图16和/或图17讨论的那些)中的任何一个。根据一个方面,处理电路1308可以是通用处理器。根据另一个方面,处理电路1308可以是硬连线的(例如,其可以是专用集成电路(asic))来执行本文中描述的skme205和/或mme210、210a、210b的步骤和/或过程(包括参考图3a、图3b、图6、图7、图8、图9a、图9b、图16和/或图17讨论的那些)。
图14根据一个方面示出了网络设备处理电路1308的示意性框图。处理电路1308可以包括授权和密钥协商(aka)执行电路1402、认证信息获取电路1404、移动性会话密钥生成电路1406和/或移动性会话密钥传输电路1408。根据一个方面,这些电路1402、1404、1406、1408可以是asic并且是硬接线的以便执行它们各自的过程。
aka执行电路1402可以是用于执行与设备的认证和密钥协商的单元的一个非限制性示例。认证信息获取电路1404可以是用于获得与设备相关联的认证信息的单元的一个非限制性示例,该认证信息包括至少认证会话密钥。移动性会话密钥生成电路1406可以是用于部分基于认证会话密钥来生成移动性会话密钥的单元的一个非限制性示例。移动性会话密钥传输电路1408可以是用于向对设备进行服务的移动性管理实体(mme)发送移动性会话密钥的单元的一个非限制性示例。
图15根据另一个方面示出了网络设备处理电路1308的示意性框图。处理电路1308可以包括nas消息接收电路1502、nas消息转发电路1504、移动性会话密钥接收电路1506和/或密钥导出数据传输电路1508。根据一个方面,这些电路1502、1504、1506、1508可以是asic并且是硬接线的以便执行它们各自的过程。
nas消息接收电路1502可以是用于从设备接收非接入层(nas)消息的单元的一个非限制性示例。nas消息转发电路1504可以是用于向会话密钥管理实体(skme)设备转发nas消息连同标识网络设备的网络设备标识值的单元的一个非限制性示例。移动会话密钥接收电路1506可以是用于从skme设备接收移动性会话密钥的单元的一个非限制性示例,该移动性会话密钥部分基于从设备和无线通信网络之间共享的密钥导出的认证会话密钥。密钥导出数据传输电路1508可以是用于向设备发送密钥导出数据的单元的一个非限制性示例,该密钥导出数据使得设备能够导出移动性会话密钥。
图16示出了在网络设备1300处可操作的方法1600。首先,执行1602与设备的认证和密钥协商。接下来,获得1604与设备相关联的认证信息,该认证信息包括至少认证会话密钥。然后,部分基于认证会话密钥来生成1606移动性会话密钥。接下来,向对设备进行服务的移动性管理实体(mme)发送1608移动性会话密钥。
图17示出了在网络设备1300处可操作的方法1700。首先,从设备接收1702非接入层(nas)消息。接下来,向会话密钥管理实体(skme)设备转发1704nas消息连同标识网络设备的网络设备标识值。然后,从skme设备接收1706移动性会话密钥,该移动性会话密钥部分基于从在设备和无线通信网络之间共享的密钥导出的认证会话密钥。接下来,向设备发送1708密钥导出数据,该密钥导出数据使得设备能够导出移动性会话密钥。
可以将图2、图3a、图3b、图4、图5、图6、图7、图8、图9a、图9b、图10、图11、图12、图13、图14、图15、图16和/或图17中示出的组件、步骤、特征和/或功能中的一个或多个重新布置和/或组合成单个组件、步骤、特征或功能,或者体现在若干个组件、步骤、特征或功能中。在不脱离本发明的前提下,也可以添加额外的元素、组件、步骤和/或功能。图2、图3a、图3b、图4、图5、图7、图8、图9a、图9b、图10、图11、图13、图14和/或图15中示出的装置、设备和/或组件可以被配置为执行图2、图3a、图3b、图6、图7、图8、图9a、图9b、图12、图16和/或图17中描述的方法、特征或步骤中的一个或多个。本文中描述的算法还可以在软件中有效地实现和/或嵌入硬件中。
此外,应该指出的是:本公开内容的一些方面可能描述成了被描绘为流程图、流图、结构图、或框图的过程。虽然流程图可以将操作描述为顺序过程,但操作中的许多操作可以并行或并发地执行。此外,可以对这些操作的顺序进行重新布置。当过程的操作完成时,该过程终止。过程可以与方法、函数、过程、子例程、子程序等相对应。当过程与函数相对应时,其终止与函数向调用函数或主函数的返回相对应。
另外,存储介质可以表示用于存储数据的一个或多个设备,其包括:只读存储器(rom)、随机存取存储器(ram)、磁盘存储介质、光存储介质、闪存设备和/或其它机器可读介质和处理器可读介质、和/或用于存储信息的计算机可读介质。术语“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”可以包括但不限于诸如便携式或固定存储设备、光存储设备的非临时性介质,以及能够存储或包含指令和/或数据的各种其它介质。因此,本文中描述的各种方法可以由存储在“机器可读介质”、“计算机可读介质”、和/或“处理器可读介质中”,并由一个或多个处理器、机器和/或设备执行的指令和/或数据完全或部分实现。
另外,本公开内容的一些方面可由硬件、软件、固件、中间件、微代码或它们的任意组合来实现。当在软件、固件、中间件或微代码中实现时,用于执行必要任务的程序代码或代码段可以存储在诸如存储介质或其它存储的机器可读介质中。处理器可以执行必要的任务。代码段可以表示过程、功能、子程序、程序、例程、模块、软件包、类、或者指令、数据结构或程序语句的任意组合。代码段可以通过传递和/或接收信息、数据、自变量、参数或存储器内容来连接到另一个代码段或硬件电路。信息、自变量、参数数据等可经由包括存储器共享、消息传递、令牌传递、网络传输等的任何合适的手段来传递、转发或发送。
利用被设计为执行本文所描述功能的通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意组合,可以实现或执行结合本文公开的示例所描述的各个说明性的逻辑框、模块、电路、单元和/或组件。通用处理器可以是微处理器,或者,处理器可以是任何常规的处理器、控制器、微控制器或者状态机。处理器也可以实现为计算组件的组合,例如,dsp和微处理器的组合、多个微处理器、一个或多个微处理器与dsp内核的结合、或者任何其它这种配置。
结合本文中公开的示例描述的方法或算法可以直接体现为处理单元、程序指令或其它指令的形式的硬件、处理器可执行的软件模块或这二者的组合,并且可以包含在单个设备中或跨越多个设备分布。软件模块可以位于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、移动磁盘、cd-rom、或者本领已知的任何其它形式的存储介质中。可以将存储介质耦合到处理器以使得处理器可以从该存储介质读取信息,并且向该存储介质写入信息。可替换地,存储介质可以是处理器的组成部分。
本领域的技术人员还应当明白,结合本文公开的各个方面所描述的各个说明性的逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或二者的组合。为了清楚地表示硬件和软件之间的该可交换性,上文对各个说明性的组件、框、模块、电路和步骤均围绕其功能进行了总体描述。至于这种功能是实现为硬件还是实现为软件,取决于特定的应用和对整个系统所施加的设计约束。
在不脱离本发明的前提下,本文中描述的本发明的各个特征可以在不同的系统中实现。应该指出的是:上述本公开内容的方面仅仅是示例,并且不应当被解释为对本发明的限制。本公开内容的方面的描述旨在是说明性的,而不是要限制权利要求的范围。因此,本发明的教导可以容易地应用于其它类型的装置,并且许多的替换、修改以及变型对本领域的技术人员来说将是显而易见的。
- 还没有人留言评论。精彩留言会获得点赞!