用於啟用lte移動單元中非接入層(nas)安全性的方法和設備的製作方法

2023-07-22 06:34:31

專利名稱：用於啟用lte移動單元中非接入層(nas)安全性的方法和設備的製作方法
技術領域：
本申請涉及無線通信。
背景技術：
第三代合作夥伴計劃(3GPP)長期演進(LTE)項目的當前努力方向是引進與LTE 設置和配置相關的新技術、新架構和新方法，以提供改進的頻譜效率、減少的延遲、無線電 資源的更好利用，從而以更低的成本帶來更快捷的用戶體驗以及更豐富的應用和服務。LTE層3(L3)架構可以被認為是用於能夠實現通用分組無線電業務(GPRS)的無 線發射/接收單元(WTRU)(即基站)的現有L3架構的演進。LTE定義了新的移動性管理 (MM)概念(例如取代路由區域的跟蹤區域的概念)以及新的匪過程(例如多個跟蹤區域 可以在跟蹤區域更新過程中被分配)。這些新的過程將由新的L3協議(例如演進型移動 性管理(EMM)和演進型會話管理(ESM))來進行更詳細的描述，這將是LTE非接入層(NAS) 的一部分。這些新的協議實體是GPRS移動性管理(GMM)、會話管理(GMM)等等的LTE等價 物。此外，作為這一演進過程的一部分，3GPP將在LTE中使用不同的安全性架構，而不 在通用移動電信系統(UMTS)和用於移動通信(GSM)的全球系統中使用。為了進行比較， UMTS認證和密鑰協議(AKA)過程(在分組交換(PS)區域中)可被認為是用於新的LTE過 程的基準。當前的UMTSAKA過程和新的LTE安全性架構現在將被簡要地描述。UMTS AKA和加密過程被擴展到多個協議層，並使用NAS和無線電資源控制(RRC) 信令兩者來共同完成它們的目標。簡言之，WTRU的識別和認證經由NAS信令來完成。一 旦在NAS級別的認證被完成，加密和/或完整性保護就由網絡使用安全性模式指令來激 活(active)，該安全性模式指令是RRC消息。一旦使用安全性模式指令激活了安全性， WTRU中的NAS層首先使用在GMMAS服務接入點(SAP)(被定義在GMM與AS之間)上的 GMMAS-SECURITY-RESPONSE(GMMAS-安全性-響應)原語向接入層(AS)傳遞加密密鑰(CK) 和完整性密鑰(IK)。RRC接收這些密鑰並使用CRLC-C0NFIG原語(在RRC與RLC之間的 C-SAP上)和CMAC-C0NFIG原語(在RRC與MAC之間的C-SAP上)將所述密鑰傳遞到無線 電鏈路控制(RLC)和媒體接入控制(MAC)上。C-SAP是用於RRC與較低層之間的C-平面 信令的服務接入點。實際的加密和完整性保護通常在RLC中執行，但是在透明的RLC模式 業務的情況中則在MAC中執行。較低層(即MAC/RLC)負責確保供上層使用的消息(例如 L3NAS消息)已經被正確地進行了完整性保護和/或加密。如果沒有，則較低層忽略/丟棄 該消息。針對LTE的用於安全性的完全不同的架構已經被提出。主要區別在於現有兩個安 全級別-NAS安全性和AS安全性，而不是單一的安全性層(即在MAC/RLC中)。NAS安全性 在移動性管理實體(MME)(即核心網絡)中終止，而AS安全性在基站(即e節點-B)中終 止。簡言之，AKA過程在NAS中完成，NAS安全性密鑰在完成後首先被導出，而AS安全性參數以密碼分離的方式(即知道AS密鑰不允許攻擊者確定NAS密鑰)從NAS密鑰導出。這 一決定的理由是在LTE中，一方可能在易受攻擊的位置(例如歸屬節點-B)存在基站，以及 由於RRC(以及由此的安全性)在基站中被終止，這被認為是安全性風險。因此需要兩個安 全性級別。圖1示出了常規LTE L3報頭100的結構。LTE L3報頭100的第一個八比特組包 括事務標識符或跳躍指示符欄位105和協議鑑別符(PD)欄位110。LTE L3報頭100的第二 個八比特組包括消息類型欄位115。LTE L3報頭100的附加八比特組可以包括根據需要的 其它信息元素120。如上所描述，新的L3協議實體已經被提出(例如EMM和ESM)。然而， 當前的LTE L3報頭100不支持這些新的協議。特別地，圖1的LTE L3報頭100中的PD字 段110被增強以根據選項來區分這些新的協議。圖2示出了圖1的LTE L3報頭100的PD欄位110。參見圖1和2，LTEL3報頭100 的第一個八比特組的最後4比特(4321)構成PD欄位110，其由NAS的匪子層中的路由實 體使用以將L3消息路由到合適的NSA實體(例如當前的MM/GMM/SM)，其中該L3消息包括 LTE L3 報頭 100。圖3中示出了僅PS的UMTS WTRU的常規NAS架構300。NAS架構300包括無線電 接入承載管理(RABM)單元305、連接管理(CM)單元310、移動性管理(MM)單元315以及接 入層(AS)子層320。RABM單元305包括多個無線電接入承載(RAB)實體325、330和335， 以及RAB控制單元340。CM單元310包括會話管理(SM)單元345、GPRS短消息服務(GSMS) 實體350以及補充服務(SS)實體355。分組數據協議(PDP) 360被用作CM單元310與MM單 元315之間的接口。MM單元315包括GPRS MM(GMM)單元365和PD單元370。MM單元315 和RABM單元305接口都具有AS子層320，該AS子層320包括無線電資源控制器(RRC) 375、 廣播多播控制器(BMC) 380以及分組數據匯聚協議(PDCP) 385。AS子層320向匪單元315 和RABM單元305提供服務。MM單元315向CM單元310的實體提供服務。RAB控制單元340增加、改變、刪除和/或重新配置RAB實體325、330和335。PD 單元370用於將NAS消息信息元素(IE)路由到不同的NAS實體。SM單元345向RABM單 元305提供服務並使用MM單元315的服務。除了使用來自GMM單元365的服務之外，GSMS 實體350與用於GSM中的GPRS服務的SMS實體相同。除了使用來自PS信令連接的服務之 外，SS實體355與來自非GPRS服務的一方相同。RABM單元305隱藏RAB的概念，當PDP上 下文處於激活狀態時該RAB可以被激活/釋放。如果終端中的上行鏈路(UL)數據將在已 經被釋放的RAB(網絡服務接入點標識符(NSAPI))上被發送，那麼RABM單元305將在GMM 單元365中觸發服務請求過程。通常，NAS消息IE以類型/長度/數值(TLV)格式進行編碼。如圖4所示，NAS消 息IE屬於5種類型的IE 405、410、415、420和425中的一種。如圖4所示，IE 405具有僅 類型(T)格式，IE 410具有僅數值(V)格式，而IE 415具有類型和數值(TV)格式，IE 420 具有長度和數值(LV)格式，而IE 425具有類型、長度和數值(TLV)格式。如圖4所示，IE 指示符(類型)存在於IE 405,415和425中，但不存在於IE 410和420中。長度指示符 存在於IE 420和425中，但不存在於IE 405、410和415中。數值指示符存在於IE 410、 415、420和425中，但不存在於IE 405中。使用圖3的NAS架構300具有的一些問題在於所建議的新的NAS消息不具有為了被識別而被定義的任意消息類型。另外，期望的新的NAS IE中的一些沒有為其編碼而定義 的格式。此外，圖3中示出的NAS實體不支持安全性(即難以使用當前NAS架構來實現LTE NAS中的安全性)。另外，在NAS架構300中，所建議的用於LTE的加密算法是分組加密，即它們通過 使用CK和待加密的協議數據單元(PDU)的長度的指示來產生密鑰流塊來工作，所述密鑰流 塊的長度等於未加密的PDU的長度。然後所述密鑰流塊被逐位增加(通常)到未加密的 PDU，以產生加密的PDU。該過程也被用在接收機以產生用於解密的同樣的密鑰流塊。接著 該密鑰流塊被逐位增加到接收到的加密的PDU。在LTE中，NAS消息的加密已經被認同。因此，NAS層必須向加密算法指示待加密 的L3 NAS PDU的長度。現今並不存在用於NAS進行這一過程的功能性。最後，如果允許MME的再定位，那麼在切換過程中MME再定位可能可以發生。圖5 中示出了用於執行MME的再定位的切換過程的一個實例。當前不存在無線電鏈路失敗和 MME間的切換之後對NAS序列號(SN)和超幀號(HFN)的處理而定義的過程。

發明內容
本申請描述LTE WTRU中的NAS層(L3)的特徵，由此允許所述NAS協議層將層3 消息路由到正確的NAS實體，並對新的NAS消息類型和信息元素進行編碼。提出了啟用NAS 安全性的新架構。當產生NAS消息時，基於所述NAS消息的協議鑑別符(PD)、所述NAS消息 的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據RRC協議的指 示中的至少一者來做出是否對所述NAS消息進行加密、解密和/或完整性檢查的決定。所 述NAS安全性狀態變量用於指示NAS安全性當前是否被激活，並且可以包含一個比特。本發明的有益效果包括允許所述NAS協議層將L3消息路由到正確LTE NAS實體 (例如EMM和ESM)。允許新的NAS消息類型和新的NAS IE的編碼。提供了新的NAS架構 以啟用NAS安全性並允許對用於產生相等長度的加密密鑰流的NAS PDU的長度的確定。此 外，允許所述NAS層在無線電鏈路失敗和切換後處理SN和HFN。


從以下描述中可以更詳細地理解本發明，這些描述是以實例結合附圖的方式給出 的，其中圖1示出了常規LTE L3報頭的結構；圖2示出了圖1的LTE L3報頭的PD欄位；
圖3示出了僅PS的UMTS WTRU的常規NAS架構；圖4示出了 NAS消息IE的類型/長度/數值(TLV)編碼的格式；圖5示出了常規MME間切換過程的一個實例；圖6示出了新的NAS架構的一個實例。
具體實施例方式下文提及的「無線發射/接收單元(WTRU)」包括但不局限於用戶設備(UE)、移動 站、固定或移動用戶單元、傳呼機、蜂窩電話、個人數字助理(PDA)、計算機或能夠在無線環境中操作的任何其它類型的用戶設備。下文提及的「基站」包括但不局限於節點-B、站點控 制器、接入點(AP)或能夠在無線環境中操作的任何其它類型的接口設備。層3協議鑑別符(PD)欄位的增強參見圖1，LTE L3報頭100中的L3PD欄位110可以被增強，以使得L3PD欄位110 中的比特的特定組合指示LTE LE報頭100之後的L3消息是上層LTE L3消息(例如EMM、 ESM)。術語EMM和ESM被用於描述LTE匪和SM實體及協議、以及它們的相關聯的功能。 如果任意附加的實體/協議在用於LTE的NAS層中被定義/修改，它們各自的協議也可以 被增加到L3PD欄位。然而，如圖2中所示，存在很少可以用於這一目的的比特的組合。因 此，下面的選項可以被實現1)定義備用的PD值「0111 」和「 1101 」以標誌EMM和ESM協議(以任意順序)；2)擴展PD欄位為一個八比特組(或者更多)並將(這一增加的PD欄位可以採用 的可用值的)兩個值映射到EMM和ESM協議；3)重新使用一些現有的PD值(例如用於GMM消息的1000)，以指示EMM和ESM協 議。消息類型的增強的描述參見圖1，LTE L3報頭100的第二個八比特組包括消息類型欄位115。這一八比 特組的不同值映射到由協議鑑別符欄位110識別的協議層的不同消息。為了定義期望用於LTE的新的L3NAS消息，消息類型欄位115中的附加值可以被 分配用於如下1)跟蹤區域更新請求；2)跟蹤區域更新接受；3)跟蹤區域更新完成；4)跟蹤區域更新拒絕；5) NAS安全性模式指令；6) NAS安全性模式指令完成；以及
7) NAS安全性模式指令失敗。NAS消息中的新的完整性檢杳(IC)信息元素為了對NAS消息進行完整性檢杳，新的NAS完整性檢杳(IC) IE可以被追加到每個 NAS消息。接收機將該接收到的IE的值與其自身的計算結果進行比較。由於IC比特的長 度可能將被固定(因為它是已知算法的輸出)，IC IE可以被編碼為類型3 NAS消息IE (僅 類型和數值(TV))，因為數值部分的長度是固定的。可替換地，它可以被編碼為類型2或某 些其它類型。新的IE標識符可以被定義以識別NAS IC IE。用於保護NAS層的新的架構以下描述的不同架構用於保護NAS層。用於安全性的NAS實體/協議圖6示出了新的NAS L3架構600的實例，其可以在WTRU(即移動站)內部駐留。 NAS L3架構600包括演進型分組系統承載管理(EPSBM)單元605、CM單元610、MM單元615 以及LTE AS子層620。EPSBM單元605包括多個演進型分組系統(EPS)承載實體625、630
8和635，以及EPS控制單元640。CM單元610包括演進型會話管理(ESM)單元645、演進型 短消息服務(ESMS)實體650、以及補充服務(SS)實體655。PDP 660被用作CM單元610與 匪單元615之間的接口。MM單元615包括演進型移動性管理(E匪)單元665和安全連通 性(SC)單元370。SC單元370包括PD單元375。MM單元615和EPSBM單元605接口兩者 都具有LTE AS子層620，該LTE AS子層620包括RRC 680和PDCP 685。EPS承載實體625、630和635在WTRU與分組數據節點(PDN)網關之間運行，並由 無線電承載(RB)和EPS接入承載的組合組成。EPSBM單元605控制EPS承載的改變和配 置。LTE AS子層620提供服務給MM單元615和EPSBM單元605。ESM單元645提供服務給 EPSBM單元605，並使用MM單元615的服務。除了使用來自EMM單元665的服務之外，ESMS 實體650與用於GSM中的GPRS服務的SMS實體相同。除了使用來自PS信令連接的服務之 外，SS實體655與用於非GPRS的服務的一方相同。SC單元670被使用以使得來自EMM單元665和ESM單元645的所有消息通過SC 單元670被傳遞到LTE AS子層620。如圖6所示，SC單元670可以被視為MM單元615的 子實體，或者它可以被視為與MM單元615分離的L3實體。SC單元670的功能性也可以駐 留在較低層中(例如RRC 680)，並且它還可以被定義為具有其自身的協議。就其功能來說，下面的任意組合可以被實現1)E匪、ESM和其它實體(例如SMS)可以發送消息到SC單元670。2)可以定義SAP和相關聯的原語以用於EMM單元665和SC單元670、以及ESM單 元645和SC單元670。3)SC單元670(或者更一般地NAS)可以定義NAS安全性狀態變量(例如1比特)， 該NAS安全性狀態變量標誌當前的NAS安全性是否處於激活狀態。可能具有兩個這樣的變 量以在加密與完整性保護之間進行區別。注意原語可以在NAS與RRC之間交換以指示加密 的存在或不存在，而不是1比特NAS安全性狀態變量。同樣這一比特也可以被認為是分離 的PDU，該分離的PDU被用於指示加密已經開始(例如分離的NAS消息可以被用於這一目 的)。可替換地，這一比特可以被包括在每個NAS PDU中。4) SC單元670可以在透明模式或非透明模式中操作。在透明模式中，SC單元670 將不對特定的NAS消息進行加密/解密和/或完整性檢查。這一決定可以基於下面因素中 的任意組合消息的協議鑑別符、L3協議報頭中的指示符欄位(指示用於特定PDU的加密 和/或完整性保護的需要)、消息類型、NAS安全性狀態變量、根據上層協議的指示(例如來 自EMM單元665和/或ESM單元645到SC單元670的不對所述消息進行加密/完整性檢 查的指示)。5)在非透明模式中，SC單元670可以對相關的NAS PDU進行加密/解密和/或完 整性檢查。這一決定也可以基於下面因素的任意組合消息的協議鑑別符、L3協議報頭中 的指示符欄位(指示用於特定PDU的加密和/或完整性保護的需要)、消息類型、NAS安全 性狀態變量、根據上層協議的指示(例如來自EMM單元665和/或ESM單元645到SC單元 670的不對所述消息進行加密/完整性檢查的指示)。6)在接收側，SC單元670可以從較低層接收NAS PDU，並且如果在透明模式中操 作，則基於所述消息的協議鑑別符將所述消息路由到正確的上層實體(例如EMM/ESM)。如 果接收SC單元670在非透明模式中進行，則它可以對NAS PDU進行加密和/或完整性檢查、增量其NAS SN和/或NASHFN，然後基於NAS報頭的PD欄位路由所述消息。接收側可以解 密然後檢查消息的完整性，或反之亦然由發射側中的這些操作的順序決定。如上所描述，可能可以具有用於SC單元670的分離的協議。這一協議可以通過具 有在L3報頭中的其自身的協議鑑別符欄位而被區別。屬於這一協議的消息類型可以是涉 及加密、認證、識別和與其它之間的密鑰協定。實例包括1)身份請求；2)身份響應；3)認證請求；4)認證響應；5)認證失敗；6)認證拒絕；7) NAS安全性模式指令；8) NAS安全性模式指令完成；以及9) NAS安全性模式指令失敗。也可能可以定義用於這一實體的狀態機。例如，下面描述可能的狀態(可能可以 應用其它用於這些狀態和其它狀態的名稱)a)SECURITY INACTIVE (安全性不激活(inactive))在這一狀態中，不向網絡認 證WTRU並且在WTRU或網絡中不存在安全性上下文。作為這一狀態(或分離狀態)的子狀 態，一方可以具有標誌正在進行的AKA會話、NAS安全性模式指令交換以及RRC安全性模式 指令交換的狀態。b) SECURITY ACTIVE (安全性激活)在這一狀態中，向網絡認證WTRU並且在WTRU 或網絡中存在安全性上下文。WTRU可以具有某些密鑰(例如Kasme)或所有密鑰。可能還可以以雖然更複雜、但不同的方式來實現這一相同的SCE。例如，在發射側， 具有構建的NAS PDU的上層呼叫實體(例如EMM單元665或ESM單元645)，可以將該構建 的NAS PDU發送到NAS SC單元670。然後NAS SC單元670可以對PDU進行加密和/或完 整性檢查，然後將其返回到呼叫實體。然後呼叫實體可以將所保護的NAS PDU發送到更低 層(即RRC)。這一方法具有重新使用匪單元615與LTE AS子層620之間存在的SAP的優 點。然而在接收側，在可以將消息路由到正確的上層協議之前，對消息進行解密和完整性檢 查。這一功能性可以通過將所有接收到的NAS PDU路由到SC單元670來實現，然後SC單 元670做出路由決定。另一個選項是每個NAS層在其自身的協議中進行消息的加密/完整性保護。從而 EMM單元665可以對EMM消息進行加密/完整性檢查/解密，並且ESM單元645可以對ESM 消息進行加密/完整性檢查/解密，等等。在這種情況中SC單元670的作用可以被限於提 供序列號給EMM和ESM層(以及任意其它層)，以使得正在使用的SN沒有衝突。這一問題 可以通過在每個協議PDU基礎上，而不是在每個NAS PDU基礎上定義要增量的SN而消失。 在這種情況中，每個NAS子層(例如EMM/ESM)可以具有其自身的SN/HFN，該SN/SFN被增量 以用於屬於這一協議的每個NAS PDU。在這一方案中，在接收側，NAS層中的路由實體可以 基於NAS報頭(假設它不被加密)中的協議鑑別符欄位將接收到的NAS PDU路由到正確的 NAS實體，然後各自的協議實體可以對消息進行解密和/或完整性保護。
NAS PDU的長度的確定NAS層可以將NAS PDU(待解密的)的部分的長度提供到加密引擎。以下是用於確 定這一長度的不同選項。1)傳送NAS實體可以包括在L3消息(例如協議報頭中)的長度的指示。這一長 度可以是完整消息、消息的加密部分或允許接收NAS實體確定需要產生的加密流塊的長度 的一些其它值的長度。2)傳送NAS實體可以包括當它傳遞用於傳輸的L3消息時對到RRC的L3消息的長 度的指示。這一長度指示由接收機中的RRC層接收，並被傳遞到接收機NAS實體，這一長度 指示被用於確定待產生的加密流塊的長度。3)當前，NAS層期望完成NAS PDU而無需在NAS層執行重新分段。結果，當接收到 NAS PDU時，接收實體可以確信它是完整的(如果它接收到丟失了期望值的消息，它的行為 是當前丟棄消息)。因而，可能留下NASPDU的長度的確定一直到實現。以下給出接收機中的一個示例實現1)接收到 NAS PDU ；2) NAS PDU被存儲在存儲器/緩衝器或等價物中；3)確定消息的大小(例如被佔據的存儲器/緩衝器空間)；4)通過從消息的大小中減去消息的未加密部分的長度來確定消息的加密部分的 長度。消息的未加密部分的長度可以是固定的或可以以已知模式變化(例如由消息類型/ 協議決定)或者可以由接收NAS實體中的發射NAS實體配置；以及5)加密部分的長度被傳遞到加密算法以確定要用於解密的密鑰流。無線電鏈路失敗和切換後NAS SN和HFN的處理作為這些過程的一部分，有必要確定當前NAS SN和HFN編號如何在網絡中被處理。在切換過程中，下面任意一項可以用當前WTRU和源MME中的NASSN和HFN來執行。1) NAS HFN和NAS SN兩者都可以被復位為預設值。2) NAS HFN可以不被復位但是NAS SN可以被復位。NAS HFN由源MME傳遞到目標 以作為切換(H0)請求的一部分。3)NAS SN可以不被復位，但NAS HFN可以被復位。NAS SN由源MME傳遞到目標以 作為H0請求的一部分。4)NAS HFN和NAS SN兩者都可以不被復位。它們都由源MME傳遞到目標以作為 H0請求的一部分。其它需要回答的問題是參數(NAS SN和/或HFN)中的任意一個是否都被復位，這 一復位何時被觸發以及新的NAS/ASME密鑰如何被傳遞到WTRU。因此，在MME間切換過程中，NAS消息被從源MME觸發到WTRU以提供用於導出新 的NAS和ASME密鑰的必要的參數。可替換地，源MME可以以安全的方式(使用現有的加密 /完整性保護)提供具有新的NAS和ASME密鑰的WTRU。例如，這一消息可以是NAS安全性 模式指令/重配置。這一 NAS消息可以先於切換指令(例如在分離的下行鏈路直接傳遞消 息中)、或者作為切換指令中的L3消息而被發送。作為另一替換實施方式，該信息可以在 RRC消息中直接被發送。
11
NAS SN和/或HFN的復位可以由切換臨近(例如當RRC接收切換指令時)的較低 層指示來觸發，或者由所述分離的NAS消息的接收來觸發。無線電鏈路失敗和e節點-B間切換後NAS SN和HFN的處理由於上行鏈路(UL)和下行鏈路(DL)中的無線電鏈路(RL)失敗和e節點-B間切 換，NAS SN和/或HFN可以被復位。這可以由消息(例如RRC消息)的傳輸和接收來觸發。在NAS處的重傳處理在重傳的情況中，NAS層可以檢測再次被傳送的分組是重複的PDU(已接收到的 PDU)還是新的PDU。重複檢測實體可以是位於EMM或ESM之下、並監控所引入的分組是否之 前已被發送的通用實體。在未接收到用於傳送的NAS PDU的應答的事件中，較低層可以向 NAS層提供這一事件的指示。NAS層可以使用這一指示以重新傳送具有相同SN的PDU(或 發送新的PDU)。在不允許重複檢測的情況中，與傳送具有新的序列號的數據相反，相同的序列號 可以被用於傳送失敗的傳輸情況中的數據。可替換地或另外，NAS事務標識符可以由NAS用以檢測重複消息。這可能需要NAS 事務ID作為NAS報頭的一部分。因而，WTRU能夠讀取這一 ID並丟棄接收到的任意重複消 肩、ο實施例1. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法 包括生成NAS消息；以及基於所述NAS消息的報頭中的指示符欄位來確定是否加密所述NAS消息。2. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法 包括生成NAS消息；以及基於所述NAS消息的協議鑑別符(PD)來確定是否加密所述NAS消息。3. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法 包括生成NAS消息；以及基於所述NAS消息的類型來確定是否加密所述NAS消息。4. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法 包括生成NAS消息；以及基於NAS安全性狀態變量來確定是否加密所述NAS消息。5.根據實施例4所述的方法，其中所述NAS安全性狀態變量用於指示NAS安全性 當前是否被激活。6.根據實施例4所述的方法，其中所述NAS安全性狀態變量包含一個比特。7.根據實施例4所述的方法，其中所述NAS安全性狀態變量包含用於指示加密已 經開始的NAS協議數據單元(PDU)。8. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法包括基於根據無線電資源控制(RRC)協議的指示來確定是否加密所述NAS消息。9. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法 包括生成NAS消息；以及基於所述NAS消息的報頭中的指示符欄位來確定是否對所述NAS消息執行完整性 檢查。10. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方 法包括生成NAS消息；以及基於所述NAS消息的協議鑑別符(PD)來確定是否執行完整性檢查。11. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方 法包括生成NAS消息；以及基於所述NAS消息的類型來確定是否對所述NAS消息執行完整性檢查。12. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方 法包括生成NAS消息；以及基於NAS安全性狀態變量來確定是否對所述NAS消息執行完整性檢查。13.根據實施例12所述的方法，其中所述NAS安全性狀態變量用於指示NAS安全 性當前是否被激活。14.根據實施例13所述的方法，其中所述NAS安全性狀態變量包含一個比特。15.根據實施例13所述的方法，其中所述NAS安全性狀態變量包含用於指示加密 已經開始的NAS協議數據單元(PDU)。16. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方 法包括生成NAS消息；以及基於根據無線電資源控制(RRC)協議的指示來確定是否執行完整性檢查。17. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方 法包括從較低層接收NAS協議數據單元(PDU)，該NAS PDU包含協議鑑別符(PD)欄位；加密所述NAS PDU;增量NAS序列號(SN)和與所述NAS PDU關聯的超幀號(HFN)中的至少一者；以及基於所述PD欄位而將所述NAS PDU路由至上層實體。18. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方 法包括從較低層接收NAS協議數據單元(PDU)，該NAS PDU包含協議鑑別符(PD)欄位；對所述NAS PDU執行完整性檢查；增量NAS序列號(SN)和與所述NAS PDU關聯的超幀號(HFN)中的至少一者；以及
基於所述PD欄位而將所述NAS PDU路由至上層實體。19. 一種無線發射/接收單元(WTRU)，該WTRU包括演進型會話管理(ESM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符( PD)、所述NAS 消息的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資 源控制(RRC)協議的指示中的至少一者來確定是否加密所述NAS消息。20.根據實施例19所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全 性當前是否被激活。21.根據實施例20所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。22.根據實施例20所述的WTRU，其中所述NAS安全性狀態變量包含用於指示加密 已經開始的NAS協議數據單元(PDU)。23.根據實施例19所述的WTRU，其中所述SC單元包含PD單元。24. 一種無線發射/接收單元(WTRU)，該WTRU包括演進型會話管理(ESM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符(PD)、所述NAS 消息的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資 源控制(RRC)協議的指示中的至少一者來確定是否解密所述NAS消息。25.根據實施例24所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全 性當前是否被激活。26.根據實施例25所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。27.根據實施例25所述的WTRU，其中所述SC單元包含PD單元。28. 一種無線發射/接收單元(WTRU)，該WTRU包括演進型會話管理(ESM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符(PD)、所述NAS 消息的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資 源控制(RRC)協議的指示中的至少一者來確定是否對所述NAS消息執行完整性檢查。29.根據實施例28所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全 性當前是否被激活。30.根據實施例29所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。31.根據實施例28所述的WTRU，其中所述SC單元包含PD單元。32. 一種無線發射/接收單元(WTRU)，該WTRU包括演進型移動性管理(EMM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符(PD)、所述NAS 消息的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資 源控制(RRC)協議的指示中的至少一者來確定是否加密所述NAS消息。33.根據實施例32所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全 性當前是否被激活。34.根據實施例33所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。35.根據實施例33所述的WTRU，其中所述NAS安全性狀態變量包含用於指示加密已經開始的NAS協議數據單元(PDU)。 36.根據實施例32所述的WTRU，其中所述SC單元包含PD單元。
37. 一種無線發射/接收單元(WTRU)，該WTRU包括演進型移動性管理(EMM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符(PD)、所述NAS 消息的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資 源控制(RRC)協議的指示中的至少一者來確定是否對所述NAS消息執行完整性檢查。38.根據實施例37所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全 性當前是否被激活。39.根據實施例38所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。40.根據實施例37所述的WTRU，其中所述SC單元包含PD單元。41. 一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方 法包括生成NAS消息；以及基於所述NAS消息中的指示來確定需要產生的密鑰流塊的長度。42.根據實施例41所述的方法，其中所述指示傳達了所述NAS消息的整個長度。43.根據實施例41所述的方法，其中所述指示傳達了允許接收NAS實體確定要產 生的密鑰流塊的長度的值。44. 一種無線發射/接收單元(WTRU)，該WTRU包括演進型移動性管理(EMM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息中的指示來確定需要產生的密 鑰流塊的長度。45.根據實施例44所述的WTRU，其中所述指示傳達了所述NAS消息的整個長度。46.根據實施例44所述的WTRU，其中所述指示傳達了允許接收NAS實體確定要產 生的密鑰流塊的長度的值。雖然本發明的特徵和元素以特定的結合進行了描述，但每個特徵或元素可以在沒 有其它特徵和元素的情況下單獨使用，或在與或不與其它特徵和元素結合的各種情況下 使用。這裡提供的方法或流程圖可以在由通用計算機或處理器執行的電腦程式、軟體 或固件中實施。關於計算機可讀存儲介質的實例包括只讀存儲器(ROM)、隨機存取存儲器 (RAM)、寄存器、緩衝存儲器、半導體存儲設備、內部硬碟和可移動磁碟之類的磁介質、磁光 介質以及CD-ROM磁碟和數字多功能光碟(DVD)之類的光介質。舉例來說，恰當的處理器包括通用處理器、專用處理器、常規處理器、數位訊號處 理器(DSP)、多個微處理器、與DSP核相關聯的一個或多個微處理器、控制器、微控制器、專 用集成電路(ASIC)、現場可編程門陣列(FPGA)電路、任何一種集成電路(IC)和/或狀態 機。與軟體相關聯的處理器可以用於實現一個射頻收發機，以便在無線發射接收單元 (WTRU)、用戶設備(UE)、終端、基站、無線網絡控制器(RNC)或任何主機計算機中加以使用。 WTRU可以與採用硬體和/或軟體形式實施的模塊結合使用，例如相機、攝像機模塊、可視電 話、揚聲器電話、振動設備、揚聲器、麥克風、電視收發機、免提耳機、鍵盤、藍牙 模塊、調頻(FM)無線單元、液晶顯示器(IXD)顯示單元、有機發光二極體(OLED)顯示單元、數位音樂播放器、媒體播放器、視頻遊戲機模塊、網際網路瀏覽器和/或任何無線區域網(WLAN)或超寬帶 (UffB)模塊。
權利要求
一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法包括生成NAS消息；以及基於所述NAS消息的協議鑑別符(PD)、所述NAS消息的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資源控制(RRC)協議的指示中的至少一者來確定是否加密所述NAS消息。
2.根據權利要求1所述的方法，其中所述NAS安全性狀態變量用於指示NAS安全性當 前是否被激活。
3.根據權利要求2所述的方法，其中所述NAS安全性狀態變量包含一個比特。
4.根據權利要求2所述的方法，其中所述NAS安全性狀態變量包含用於指示加密已經 開始的NAS協議數據單元(PDU)。
5.一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法包括生成NAS消息；以及基於所述NAS消息的協議鑑別符(PD)、所述NAS消息的報頭中的指示符欄位、所述NAS 消息的類型、NAS安全性狀態變量以及根據無線電資源控制(RRC)協議的指示中的至少一 者來確定是否對所述NAS消息執行完整性檢查。
6.根據權利要求5所述的方法，其中所述NAS安全性狀態變量用於指示NAS安全性當 前是否被激活。
7.根據權利要求5所述的方法，其中所述NAS安全性狀態變量包含一個比特。
8.一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法包括從較低層接收NAS協議數據單元(PDU)，該NAS PDU包含協議鑑別符(PD)欄位； 加密所述NAS PDU ；增量NAS序列號(SN)和與所述NAS PDU關聯的超幀號(HFN)中的至少一者；以及 基於所述PD欄位而將所述NAS PDU路由至上層實體。
9.一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法包括從較低層接收NAS協議數據單元(PDU)，該NAS PDU包含協議鑑別符(PD)欄位； 對所述NAS PDU執行完整性檢查；增量NAS序列號(SN)和與所述NAS PDU關聯的超幀號(HFN)中的至少一者；以及 基於所述PD欄位而將所述NAS PDU路由至上層實體。
10.一種無線發射/接收單元(WTRU)，該WTRU包括演進型會話管理(ESM)單元，被配置成產生非接入層(NAS)消息；以及 安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符(PD)、所述NAS消息 的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資源控 制(RRC)協議的指示中的至少一者來確定是否加密所述NAS消息。
11.根據權利要求10所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全性 當前是否被激活。
12.根據權利要求11所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。
13.根據權利要求11所述的WTRU，其中所述NAS安全性狀態變量包含用於指示加密已 經開始的NAS協議數據單元(PDU)。
14.根據權利要求10所述的WTRU，其中所述SC單元包含PD單元。
15.一種無線發射/接收單元(WTRU)，該WTRU包括演進型會話管理(ESM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符(PD)、所述NAS消息 的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資源控 制(RRC)協議的指示中的至少一者來確定是否解密所述NAS消息。
16.根據權利要求15所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全性 當前是否被激活。
17.根據權利要求16所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。
18.根據權利要求15所述的WTRU，其中所述SC單元包含PD單元。
19.一種無線發射/接收單元(WTRU)，該WTRU包括演進型會話管理(ESM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符(PD)、所述NAS消息 的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資源控 制(RRC)協議的指示中的至少一者來確定是否對所述NAS消息執行完整性檢查。
20.根據權利要求19所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全性 當前是否被激活。
21.根據權利要求20所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。
22.根據權利要求19所述的WTRU，其中所述SC單元包含PD單元。
23.一種無線發射/接收單元(WTRU)，該WTRU包括演進型移動性管理(EMM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符(PD)、所述NAS消息 的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資源控 制(RRC)協議的指示中的至少一者來確定是否加密所述NAS消息。
24.根據權利要求23所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全性 當前是否被激活。
25.根據權利要求24所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。
26.根據權利要求24所述的WTRU，其中所述NAS安全性狀態變量包含用於指示加密已 經開始的NAS協議數據單元(PDU)。
27.根據權利要求23所述的WTRU，其中所述SC單元包含PD單元。
28.一種無線發射/接收單元(WTRU)，該WTRU包括演進型移動性管理(EMM)單元，被配置成產生非接入層(NAS)消息；以及安全連通性(SC)單元，被配置成基於所述NAS消息的協議鑑別符(PD)、所述NAS消息 的報頭中的指示符欄位、所述NAS消息的類型、NAS安全性狀態變量以及根據無線電資源控 制(RRC)協議的指示中的至少一者來確定是否對所述NAS消息執行完整性檢查。
29.根據權利要求28所述的WTRU，其中所述NAS安全性狀態變量用於指示NAS安全性當前是否被激活。
30.根據權利要求29所述的WTRU，其中所述NAS安全性狀態變量包含一個比特。
31.根據權利要求28所述的WTRU，其中所述SC單元包含PD單元。
32.一種在無線發射/接收單元(WTRU)中處理非接入層(NAS)消息的方法，該方法包括生成NAS消息；以及基於所述NAS消息中的指示來確定需要產生的密鑰流塊的長度。
33.根據權利要求32所述的方法，其中所述指示傳達了所述NAS消息的整個長度。
34.根據權利要求32所述的方法，其中所述指示傳達了允許接收NAS實體確定要產生 的密鑰流塊的長度的值。
35.一種無線發射/接收單元(WTRU)，該WTRU包括演進型移動性管理(EMM)單元，被配置成產生非接入層(NAS)消息；以及 安全連通性(SC)單元，被配置成基於所述NAS消息中的指示來確定需要產生的密鑰流 塊的長度。
36.根據權利要求35所述的WTRU，其中所述指示傳達了所述NAS消息的整個長度。
37.根據權利要求35所述的WTRU，其中所述指示傳達了允許接收NAS實體確定要產生 的密鑰流塊的長度的值。
全文摘要
一種執行長期演進(LTE)無線發射/接收單元(WTRU)中非接入層(NAS)(層3)的處理的方法和設備，所述方法和設備允許NAS協議層將L3消息路由到正確的NAS實體，並為新的NAS消息類型和信息元素進行編碼。提出了啟用NAS安全性的新架構。當產生NAS消息時，基於NAS消息的協議鑑別符(PD)、NAS消息的報頭中的指示符欄位、NAS消息的類型、NAS安全性狀態變量以及根據上層協議的指示中的至少一者來做出是否對NAS消息進行加密、解密和/或完整性檢查的決定。所述NAS安全性狀態變量指示NAS安全性當前是否處於激活狀態並且可以包括一個比特。
文檔編號H04W12/10GK101836470SQ200880113207
公開日2010年9月15日 申請日期2008年10月22日 優先權日2007年10月25日
發明者R·P·穆克吉, S·索馬桑德朗 申請人:交互數字專利控股公司