【技术实现步骤摘要】
使用单独的计数为多个NAS连接提供安全性的方法以及相关的网络节点和无线终端
[0001]本公开一般涉及通信领域,并且更特别地,涉及无线通信以及相关的网络节点和无线终端。
技术介绍
[0002]在5G系统中,UE可以通过3GPP接入(例如,使用LTE或5G接入节点,所述LTE或5G接入节点也称为基站、eNB、gNB等)和非3GPP接入(例如使用WiFi或卫星节点)同时注册到同一PLMN。为此目的,预期无线终端UE和网络AMF(接入管理功能)对于每种接入类型都维持一个连接(即,一个连接用于3GPP接入并且一个连接用于非3GPP NAS连接)。在这种情形下,TS 23.501(称为参考文献[1])进一步描述了AMF中用户上下文的哪些元素将在连接之间被共享,而哪些将不被共享。例如,可以有多个连接管理(CM)和注册管理状态,每个接入类型一个。另一方面,可以使用公共临时标识符。
[0003]如在TS 33.401 [2]中所描述的,传统系统中的安全机制可以为NAS消息提供完整性、保密性和重放保护。NAS安全上下文包括KASME密钥、导出的保护密钥KNASint和KNASenc、密钥集标识符eKSI和一对计数器NAS COUNT(每个方向(上行链路和下行链路)一个)。这些安全参数可以被提供用于NAS连接,并且可以在创建新的KASME时(例如在认证过程之后)被刷新。
[0004]此外,由NAS COUNT部分地实现的重放保护机制可依赖于以下假设:协议是可靠的,并且NAS过程按顺序运行,使得新过程仅在当前过程终止后才开 ...
【技术保护点】
【技术特征摘要】
1.一种在第一通信节点提供与第二通信节点的网络接入层NAS消息的通信的方法,所述方法包括:为所述第一和第二通信节点之间的第一NAS连接提供(1711)第一NAS连接标识;为所述第一和第二通信节点之间的第二NAS连接提供(1713)第二NAS连接标识,其中所述第一和第二NAS连接标识不同,并且其中所述第一和第二NAS连接不同;在所述第一和第二通信节点之间通过所述第一NAS连接传递(1717)第一NAS消息,其中传递所述第一NAS消息包括使用所述第一NAS连接标识对所述第一NAS消息执行完整性保护和/或使用所述第一NAS连接标识对所述第一NAS消息执行保密性保护中的至少一项;以及在所述第一和第二通信节点之间通过所述第二NAS连接传递(1719)第二NAS消息,其中传递所述第二NAS消息包括使用所述第二NAS连接标识对所述第二NAS消息执行完整性保护和/或使用所述第二NAS连接标识对所述第二NAS消息执行保密性保护以进行保密性保护中的至少一项。2.如权利要求1所述的方法,其中所述第一和第二NAS连接共享NAS安全上下文的主密钥,其中传递所述第一NAS消息包括通过基于所述第一NAS连接标识、所述主密钥和所述第一NAS消息生成第一消息认证码来对所述第一NAS消息执行所述完整性保护,以及通过所述第一NAS连接将所述第一NAS消息与所述第一消息认证码一起传送到所述第二通信节点,并且其中传递所述第二NAS消息包括通过基于所述第二NAS连接标识、所述主密钥和所述第二NAS消息生成第二消息认证码来对所述第二NA消息执行所述完整性保护,以及通过所述第二NAS连接将所述第二NAS消息与所述第二消息认证码一起传送到所述第二通信节点。3.如权利要求2所述的方法,其中所述第一NAS连接标识被提供作为生成所述第一消息认证码的输入,并且其中所述第二NAS连接标识被提供作为生成所述第二消息认证码的输入。4.如权利要求2
‑
3中任一项所述的方法,其中对所述第一NAS消息执行完整性保护包括使用5G兼容EIA完整性保护接口对所述第一NAS消息执行完整性保护,并且其中对所述第二NAS消息执行完整性保护包括使用所述5G兼容EIA完整性保护接口对所述第二NAS消息执行完整性保护。5.如权利要求1
‑
4中任一项所述的方法,其中所述第一NAS连接是通过所述第一和第二通信节点之间的3GPP接入节点提供的,并且所述第二NAS连接是通过所述第一和第二通信节点之间的非3GPP接入节点提供的,或者其中所述第一NAS连接是通过所述第一和第二通信节点之间的非3GPP接入节点提供的,并且所述第二NAS连接是通过所述第一和第二通信节点之间的3GPP接入节点提供的。6.如权利要求5所述的方法,其中所述3GPP接入节点包括无线电接入网基站,并且其中所述非3GPP接入节点包括WiFi接入节点和/或卫星接入节点中的至少一个。7.如权利要求1
‑
6中任一项所述的方法,其中在所述第一和第二通信节点之间同时保持所述第一和第二NAS连接。8.如权利要求1
‑
7中任一项所述的方法,其中所述第一通信节点包括无线通信网络的网络节点,并且所述第二通信节点包括无线终端,或者其中所述第一通信节点包括无线终
端,并且所述第二通信节点包括无线通信网络的网络节点。9.如权利要求1
‑
8中任一项所述的方法,所述方法进一步包括:基于所述第一和第二NAS消息建立分组数据单元PDU会话,以在所述第一和第二通信节点之间传递用户平面数据。10.一种第一通信节点,适于提供与第二通信节点的网络接入层NAS消息的通信,其中所述第一通信节点适于:为所述第一和第二通信节点之间的第一NAS连接提供第一NAS连接标识;为所述第一和第二通信节点之间的第二NAS连接提供第二NAS连接标识,其中所述第一和第二NAS连接标识不同,并且其中所述第一和第二NAS连接不同;在所述第一和第二通信节点之间通过所述第一NAS连接传递第一NAS消息,其中传递所述第一NAS消息包括使用所述第一NAS连接标识对所述第一NAS消息执行完整性保护和/或使用所述第一NAS连接标识对所述第一NAS消息执行保密性保护中的至少一项;以及在所述第一和第二通信节点之间通过所述第二NAS连接传递第二NAS消息,其中传递所述第二NAS消息包括使用所述第二NAS连接标识对所述第二NAS消息执行完整性保护和/或使用所述第二NAS连接标识对所述第二NAS消息执行保密性保护以进行保密性保护中的至少一项。11.如权利要求10所述的第一通信节点,其中所述第一和第二NAS连接共享NAS安全上下文的主密钥,其中传递所述第一NAS消息包括通过基于所述第一NAS连接标识、所述主密钥和所述第一NAS消息生成第一消息认证码来对所述第一NAS消息执行所述完整性保护,以及通过所述第一NAS连接将所述第一NAS消息与所述第一消息认证码一起传送到所述第二通信节点,并且其中传递所述第二NAS消息包括通过基于所述第二NAS连接标识、所述主密钥和所述第二NAS消息生成第二消息认证码来对所述第二NA消息执行所述完整性保护,以及通过所述第二NAS连接将所述第二NAS消息与所述第二消息认证码一起传送到所述第二通信节点。12.如权利要求11所述的第一通信节点,其中所述第一NAS连接标识被提供作为生成所述第一消息认证码的输入,并且其中所述第二NAS连接标识被提供作为生成所述第二消息认证码的输入。13.如权利要求11
‑
12中任一项所述的第一通信节点,其中对所述第一NAS消息执行完整性保护包括使用...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。