使用单独的计数为多个NAS连接提供安全性的方法以及相关的网络节点和无线终端技术

第一通信节点可以为第一和第二通信节点之间的相应第一和第二NAS连接提供第一和第二NAS连接标识，其中第一和第二NAS连接标识不同，并且第一和第二NAS连接不同。可以在第一和第二通信节点之间通过第一NAS连接传递第一NAS消息，包括使用第一NAS连接标识对第一NAS消息执行完整性保护和/或使用第一NAS连接标识对第一NAS消息执行保密性保护。可以在第一和第二通信节点之间通过第二NAS连接传递第二NAS消息，包括使用第二NAS连接标识对第二NAS消息执行完整性保护和/或使用第二NAS连接标识对第二NAS消息执行保密性保护以进行保密性保护。

【技术实现步骤摘要】
【国外来华专利技术】使用单独的计数为多个NAS连接提供安全性的方法以及相关的网络节点和无线终端
本公开一般涉及通信领域，并且更特别地，涉及无线通信以及相关的网络节点和无线终端。
技术介绍
在5G系统中，UE可以通过3GPP接入（例如，使用LTE或5G接入节点，所述LTE或5G接入节点也称为基站、eNB、gNB等）和非3GPP接入（例如使用WiFi或卫星节点）同时注册到同一PLMN。为此目的，预期无线终端UE和网络AMF（接入管理功能）对于每种接入类型都维持一个连接（即，一个连接用于3GPP接入并且一个连接用于非3GPPNAS连接）。在这种情形下，TS23.501（称为参考文献[1]）进一步描述了AMF中用户上下文的哪些元素将在连接之间被共享，而哪些将不被共享。例如，可以有多个连接管理（CM）和注册管理状态，每个接入类型一个。另一方面，可以使用公共临时标识符。如在TS33.401[2]中所描述的，传统系统中的安全机制可以为NAS消息提供完整性、保密性和重放保护。NAS安全上下文包括KASME密钥、导出的保护密钥KNASint和KNASenc、密钥集标识符eKSI和一对计数器NASCOUNT（每个方向（上行链路和下行链路）一个）。这些安全参数可以被提供用于NAS连接，并且可以在创建新的KASME时（例如在认证过程之后）被刷新。此外，由NASCOUNT部分地实现的重放保护机制可依赖于以下假设：协议是可靠的，并且NAS过程按顺序运行，使得新过程仅在当前过程终止后才开始。这可以提供/保证NAS消息的有序递送，使得UE和MME都仅需要存储NASCOUNT的两个值，每个方向一个（即，一个NASCOUNT用于上行链路，并且一个NASCOUNT用于下行链路）。这些将是下一个并且仅有的预期/接受的值。然而，对于经由3GPP和非3GPP接入的多个连接，经由不同连接的NAS消息的有序递送可能是不可靠的。
技术实现思路
根据专利技术构思的一些实施例，在第一通信节点的方法可以提供与第二通信节点的网络接入层（NAS）消息的通信。可以为第一和第二通信节点之间的第一NAS连接提供第一NAS连接标识，并且可以为第一和第二通信节点之间的第二NAS连接提供第二NAS连接标识。而且，第一和第二NAS连接标识可以是不同的，并且第一和第二NAS连接可以是不同的。可以在第一和第二通信节点之间通过第一NAS连接传递第一NAS消息，并且传递第一NAS消息可以包括执行使用第一NAS连接标识来生成用于第一NAS消息的完整性认证的消息认证码和/或使用第一NAS连接标识来加密/解密第一NAS消息中的至少一项。可以在第一和第二通信节点之间通过第二NAS连接传递第二NAS消息，并且传递第二NAS消息可以包括执行使用第二NAS连接标识来生成用于第二NAS消息的完整性认证的消息认证码和/或使用第二NAS连接标识来加密/解密第二NAS消息中的至少一项。根据专利技术构思的一些其它实施例，在第一通信节点的方法可以提供与第二通信节点的网络接入层（NAS）消息的通信。可以在第一和第二通信节点之间提供第一NAS连接，并且可以在第一和第二通信节点之间提供第二NAS连接。而且，第一和第二NAS连接可以是不同的。可以分配NAS计数域，使得NAS计数域的第一部分被分配用于通过第一NAS连接传递的NAS消息，并且使得NAS计数域的第二部分被分配用于通过第二NAS连接传递的NAS消息。而且，NAS计数域的第一和第二部分可以是互斥的。NAS消息可以使用先前尚未用于通过第一NAS连接传递的每个NAS消息的来自NAS计数域的第一部分的最低NAS计数值来通过第一NAS连接被传递。NAS消息可以使用先前尚未用于通过第二NAS连接传递的每个NAS消息的来自NAS计数域的第二部分的最低NAS计数值来通过第二NAS连接被传递。根据本文公开的专利技术构思的一些实施例，可以改进并行NAS连接的管理。附图说明被包括以提供本公开的进一步理解并且并入本申请并构成本申请一部分的附图图示了专利技术构思的某些非限制性实施例。在附图中：图1是图示受安全保护的NAS消息的消息组织的示例的图解；图2是图示图1的受安全保护的NAS消息的安全报头类型的表格；图3A和3B图示了使用128位完整性EIA过程来认证消息的完整性；图4A和4B图示了使用128位加密EEA过程来加密消息的数据；图5是图示根据专利技术构思的一些实施例的在核心网络节点和无线终端之间的多个NAS连接的框图；图6是图示根据专利技术构思的一些实施例的无线终端UE的元件的框图；图7是图示根据专利技术构思的一些实施例的网络节点的元件的框图；图8和9是分别图示了根据专利技术构思的一些实施例的在图5和图7的网络节点处以及在图5和图6的无线终端处的NAS安全功能的框图；图10A、10B、12A和12B图示了根据专利技术构思的一些实施例使用完整性过程来认证NAS消息的完整性；图11A、11B、13A和13B图示了根据专利技术构思的一些实施例使用加密/解密过程来加密/解密NAS消息的数据；图14图示了根据专利技术构思的一些实施例可以使用的过程类型区分符（distinguisher）；图15和16图示了根据专利技术构思的一些实施例可以使用的密钥导出；图17A和18A是图示根据专利技术构思的一些实施例的通过多个NAS连接传递NAS消息的操作的流程图；以及图17B和18B是图示根据专利技术构思的一些实施例的分别对应于图17A和18A的操作的存储器模块的框图。具体实施方式现在将在下文参考附图更全面地描述专利技术构思，附图中示出了专利技术构思的实施例的示例。然而，专利技术构思可以以许多不同的形式来被实施，并且不应该被解释为局限于本文阐述的实施例。而是，提供这些实施例使得本公开将是详尽且完整的，并且这些实施例将向本领域技术人员全面地传达本专利技术构思的范围。还应该指出，这些实施例不是互斥的。来自一个实施例的组件可被默许地假定为存在于/用在另一个实施例中。以下描述呈现了所公开主题的各种实施例。这些实施例被呈现为教导示例，并且不被构造为限制所公开主题的范围。例如，在不脱离所描述主题的范围的情况下，所描述的实施例的某些细节可以被修改、省略或扩充。图5是图示根据专利技术构思的一些实施例的在核心网络节点501（提供接入管理）和无线终端UE505之间的多个NAS连接的框图。如所示，可以通过3GPP接入节点（例如，基站、eNB、eNodeB、gNB、gNodeB）提供第一NAS连接，可以通过第一非3GPP接入节点（例如，WiFi接入节点）提供第二NAS连接，并且可以通过第二非3GPP接入节点（例如，卫星节点）提供第三NAS连接。在通过不同技术的不同接入节点提供的不同NAS连接的情况下，可能降低接收节点（是下行链路中的无线终端505或者是上行链路中的核心网络节点501）依序接收所有NAS消息的可能性。图6是图示根据专利技术构思的实施例的配置成提供无线通信的无线终端UE505（也称为无线装置、无线通信装置、无线本文档来自技高网...

【技术保护点】
1.一种在第一通信节点提供与第二通信节点的网络接入层NAS消息的通信的方法，所述方法包括：/n为所述第一和第二通信节点之间的第一NAS连接提供（1711）第一NAS连接标识；/n为所述第一和第二通信节点之间的第二NAS连接提供（1713）第二NAS连接标识，其中所述第一和第二NAS连接标识不同，并且其中所述第一和第二NAS连接不同；/n在所述第一和第二通信节点之间通过所述第一NAS连接传递（1717）第一NAS消息，其中传递所述第一NAS消息包括使用所述第一NAS连接标识对所述第一NAS消息执行完整性保护和/或使用所述第一NAS连接标识对所述第一NAS消息执行保密性保护中的至少一项；以及/n在所述第一和第二通信节点之间通过所述第二NAS连接传递（1719）第二NAS消息，其中传递所述第二NAS消息包括使用所述第二NAS连接标识对所述第二NAS消息执行完整性保护和/或使用所述第二NAS连接标识对所述第二NAS消息执行保密性保护以进行保密性保护中的至少一项。/n

【技术特征摘要】
【国外来华专利技术】20170508 US 62/502,9661.一种在第一通信节点提供与第二通信节点的网络接入层NAS消息的通信的方法，所述方法包括：
为所述第一和第二通信节点之间的第一NAS连接提供（1711）第一NAS连接标识；
为所述第一和第二通信节点之间的第二NAS连接提供（1713）第二NAS连接标识，其中所述第一和第二NAS连接标识不同，并且其中所述第一和第二NAS连接不同；
在所述第一和第二通信节点之间通过所述第一NAS连接传递（1717）第一NAS消息，其中传递所述第一NAS消息包括使用所述第一NAS连接标识对所述第一NAS消息执行完整性保护和/或使用所述第一NAS连接标识对所述第一NAS消息执行保密性保护中的至少一项；以及
在所述第一和第二通信节点之间通过所述第二NAS连接传递（1719）第二NAS消息，其中传递所述第二NAS消息包括使用所述第二NAS连接标识对所述第二NAS消息执行完整性保护和/或使用所述第二NAS连接标识对所述第二NAS消息执行保密性保护以进行保密性保护中的至少一项。


2.如权利要求1所述的方法，
其中所述第一和第二NAS连接共享NAS安全上下文的主密钥，
其中传递所述第一NAS消息包括通过基于所述第一NAS连接标识、所述主密钥和所述第一NAS消息生成第一消息认证码来对所述第一NAS消息执行所述完整性保护，以及通过所述第一NAS连接将所述第一NAS消息与所述第一消息认证码一起传送到所述第二通信节点，并且
其中传递所述第二NAS消息包括通过基于所述第二NAS连接标识、所述主密钥和所述第二NAS消息生成第二消息认证码来对所述第二NA消息执行所述完整性保护，以及通过所述第二NAS连接将所述第二NAS消息与所述第二消息认证码一起传送到所述第二通信节点。


3.如权利要求2所述的方法，其中所述第一NAS连接标识被提供作为生成所述第一消息认证码的输入，并且其中所述第二NAS连接标识被提供作为生成所述第二消息认证码的输入。


4.如权利要求2-3中任一项所述的方法,其中对所述第一NAS消息执行完整性保护包括使用5G兼容EIA完整性保护接口对所述第一NAS消息执行完整性保护，并且其中对所述第二NAS消息执行完整性保护包括使用所述5G兼容EIA完整性保护接口对所述第二NAS消息执行完整性保护。


5.如权利要求1-4中任一项所述的方法，其中所述第一NAS连接是通过所述第一和第二通信节点之间的3GPP接入节点提供的，并且所述第二NAS连接是通过所述第一和第二通信节点之间的非3GPP接入节点提供的，或者其中所述第一NAS连接是通过所述第一和第二通信节点之间的非3GPP接入节点提供的，并且所述第二NAS连接是通过所述第一和第二通信节点之间的3GPP接入节点提供的。


6.如权利要求5所述的方法，其中所述3GPP接入节点包括无线电接入网基站，并且其中所述非3GPP接入节点包括WiFi接入节点和/或卫星接入节点中的至少一个。


7.如权利要求1-6中任一项所述的方法，其中在所述第一和第二通信节点之间同时保持所述第一和第二NAS连接。


8.如权利要求1-7中任一项所述的方法，其中所述第一通信节点包括无线通信网络的网络节点，并且所述第二通信节点包括无线终端，或者其中所述第一通信节点包括无线终端，并且所述第二通信节点包括无线通信网络的网络节点。


9.如权利要求1-8中任一项所述的方法，所述方法进一步包括：
基于所述第一和第二NAS消息建立分组数据单元PDU会话，以在所述第一和第二通信节点之间传递用户平面数据。


10.一种第一通信节点，适于提供与第二通信节点的网络接入层NAS消息的通信，其中所述第一通信节点适于：
为所述第一和第二通信节点之间的第一NAS连接提供第一NAS连接标识；
为所述第一和第二通信节点之间的第二NAS连接提供第二NAS连接标识，其中所述第一和第二NAS连接标识不同，并且其中所述第一和第二NAS连接不同；
在所述第一和第二通信节点之间通过所述第一NAS连接传递第一NAS消息，其中传递所述第一NAS消息包括使用所述第一NAS连接标识对所述第一NAS消息执行完整性保护和/或使用所述第一NAS连接标识对所述第一NAS消息执行保密性保护中的至少一项；以及
在所述第一和第二通信节点之间通过所述第二NAS连接传递第二NAS消息，其中传递所述第二NAS消息包括使用所述第二NAS连接标识对所述第二NAS消息执行完整性保护和/或使用所述第二NAS连接标识对所述第二NAS消息执行保密性保护以进行保密性保护中的至少一项。


11.如权利要求10所述的第一通信节点，
其中所述第一和第二NAS连接共享NAS安全上下文的主密钥，
其中传递所述第一NAS消息包括通过基于所述第一NAS连接标识、所述主密钥和所述第一NAS消息生成第一消息认证码来对所述第一NAS消息执行所述完整性保护，以及通过所述第一NAS连接将所述第一NAS消息与所述第一消息认证码一起传送到所述第二通信节点，并且
其中传递所述第二NAS消息包括通过基于所述第二NAS连接标识、所述主密钥和所述第二NAS消息生成第二消息认证码来对所述第二NA消息执行所述完整性保护，以及通过所述第二NAS连接将所述第二NAS消息与所述第二消息认证码一起传送到所述第二通信节点。


12.如权利要求11所述的第一通信节点，其中所述第一NAS连接标识被提供作为生成所述第一消息认证码的输入，并且其中所述第二NAS连接标识被提供作为生成所述第二消息认证码的输入。


13.如...

【专利技术属性】
技术研发人员：N本恒达，M维夫沃森，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典;SE