專利名稱:長(zhǎng)期演進(jìn)無線設(shè)備中實(shí)施非接入層(mas)安全性的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本方法和裝置涉及無線通信�����。尤其地,本方法和裝置涉及長(zhǎng)期演進(jìn)兼容無線設(shè)備
中的安全通信�。
背景技術(shù):
第三代合作伙伴計(jì)劃(3GPP)長(zhǎng)期演進(jìn)(LTE)的當(dāng)前目標(biāo)是給新的LTE設(shè)置和配置帶來新技術(shù)、新體系架構(gòu)和新方法���,以提供改進(jìn)的頻譜效率和減少的延遲時(shí)間�,從而更好的使用無線電資源��,以日益提高的用戶體驗(yàn)和低成本的豐富的應(yīng)用以及服務(wù)���。
作為該演進(jìn)過程的一部分,3GPP組將在LTE中使用與通用移動(dòng)電信系統(tǒng)(UMTS)和全球移動(dòng)通信系統(tǒng)(GSM)中所用的不同的安全性架構(gòu)����。出于對(duì)比目的,假設(shè)在分組交換(PS)域中��,UMTS認(rèn)證和密鑰協(xié)議(AKA)過程為用于所提出的新的LTE過程的基線�����。
圖1示出了 UMTS接入層協(xié)議棧100�。 UMTS AKA和加密過程覆蓋在多個(gè)協(xié)議層上,并且使用非接入層(NAS)和無線電資源控制(RRC)信令二者來達(dá)成其目的���。通常地�����,無線發(fā)射接收單元(WTRU)的標(biāo)識(shí)和認(rèn)證是通過NSA信令來完成的�����。 一旦在NAS級(jí)的認(rèn)證完成��,則加密和/或完整性保護(hù)被網(wǎng)絡(luò)通過使用安全模式命令激活����,該安全模式指令為RRC消息。一旦安全性通過使用RRC層的安全模式命令被激活�,則WTRU通過在G匿AS-SAP (在GPRS移動(dòng)性管理(G匪)和AS之間進(jìn)行定義的)上使用GMMAS-SECURITY-RES原語將加密和完整性密鑰(CK和IK)傳遞至接入層(AS)。在接收到這些密鑰后��,RRC IIO通過使用CRLC-CONFIG原語(在RRC和RLC之間的C-SAP上)禾P CMAC-CONFIG原語(在RRC與MAC之間的C-SAP上)將這些密鑰傳遞給無線電鏈路控制器(RLC) 120和介質(zhì)接入控制(MAC) 130����。 C-SAP(未示出)是用于RRC和較低層之間的C平面信令的服務(wù)接入點(diǎn)。實(shí)際的加密和完整性保護(hù)通常是在RLC 120中執(zhí)行的�����,但在透明的RLC模式通信情況下則是在MAC 130中執(zhí)行的。較低層(即MAC/RLC)用于確保用于上層(如第三層NAS消息)的消息已經(jīng)得到完整性保護(hù)�,和/或得到正確地加密。如果沒有����,則較低層忽略/丟棄該消息。 一旦安全性已經(jīng)被激活��,所有的C平面和U平面安全性在RLC或者M(jìn)AC中得到完成�����。 對(duì)于LTE�,已經(jīng)提出了用于安全性的完全不同的架構(gòu)�����。主要的區(qū)別在于不同于單一的安全層(即在MAC/RLC)��,其采用三層安全性NAS安全性�、RRC安全性和U平面安全性。每一個(gè)層具有其自身的密鑰�。NAS安全性在移動(dòng)性管理實(shí)體(匪E)中結(jié)束,并在NAS層中執(zhí)行�。RRC安全性在演進(jìn)型節(jié)點(diǎn)B(e-NB)中結(jié)束,并在分組數(shù)據(jù)匯聚協(xié)議(PDCP)中執(zhí)行。U平面安全性僅由加密組成(無完整性保護(hù))�,并也是在PDCP中執(zhí)行。簡(jiǎn)而言之�,AKA過程是在NAS中完成的,并且獲得NAS安全密鑰�����。以密碼分離方式從NAS密鑰中獲得RRC/U平面安全性參數(shù)��。RRC/U平面密鑰的內(nèi)容使得攻擊者無法確定NAS密鑰�。該決定的主要基本原理是在LTE中用戶可在易受攻擊的位置,例如家中�,具有eNB。 RRC以及由此的安全性在e-NB中結(jié)束����,因此這被認(rèn)為是安全性隱患。從而在標(biāo)準(zhǔn)中采用兩級(jí)安全性��。
圖2是LTE 200中的密鑰分級(jí)的結(jié)構(gòu)圖�����。如圖2所示����,USIM(在無線發(fā)射/接收單元(WTRU)中)和認(rèn)證中心(AuC) 205共享一個(gè)密鑰K 210����。作為NAS認(rèn)證和密鑰協(xié)議(AKA) 信令(類似于當(dāng)前的UMTS AKA過程)的一部分����,USIM和AuC/HSS獲取加密密鑰(CK)215 和完整性密鑰(IK)220。獲取CK 215和IK 220的方法與UMTS中的類似���,在UMTS中AuC/ HSS獲取認(rèn)證向量��,并且在WTRU所響應(yīng)且HSS/AuC進(jìn)行檢驗(yàn)的NAS消息中向WTRU發(fā)送質(zhì) 詢(challenge)���。但是,不像在UMTS中為MAC/RLC層提供CK 215和IK 220來執(zhí)行加密和 /或完整性保護(hù)那樣����,在LTE中�,CK 215和IK 220用于從主密鑰、即所謂的^����,密鑰225開 始的密鑰分級(jí)中導(dǎo)出剩余的密鑰��。剩余的密鑰通過使用不同的密鑰導(dǎo)出函數(shù)(KDF)和截?cái)?(truncate)從KASME密鑰中導(dǎo)出���。 KeNB 230是WTRU和匪E從KASME 225中導(dǎo)出的密鑰,或是在eNB切換過程中由WTRU 和目標(biāo)eNB從KeNB*中導(dǎo)出的密鑰����。KeNB 230用于獲取RRC通信的密鑰、獲取UP通信的密鑰 或在eNB切換過程中獲取轉(zhuǎn)換密鑰KeNB*�����。 KNASint 235用于以特定的完整性算法來對(duì)NAS信令進(jìn)行完整性保護(hù)�����。該密鑰由 WTRU和匪E 237從KASME 225中導(dǎo)出����,同時(shí)也是用于使用KDF的完整性算法的標(biāo)識(shí)符。
K鵬��,240用于以特定的加密算法來對(duì)NAS信令進(jìn)行加密����。該密鑰由WTRU和匪E 237從Ka�����,225中導(dǎo)出�,同時(shí)也是使用KDF的加密算法的標(biāo)識(shí)符�。 Kup,245用于以特定的加密算法對(duì)UP通信進(jìn)行加密。該密鑰由WTRU和eNB 247 從K觀230中導(dǎo)出�,同時(shí)也是使用KDF的加密算法的標(biāo)識(shí)符。KKKCint 250用于以特定的完整性算法來對(duì)RRC通信進(jìn)行完整性保護(hù)�。KKKCint250由
WTRU和eNB 247從KeNB 230中導(dǎo)出,同時(shí)也是使用KDF的完整性算法的標(biāo)識(shí)符�����。KKKCene255用于以特定的加密算法對(duì)RRC信令進(jìn)行加密��。KKKene255由WTRU和eNB
從K觀230中導(dǎo)出���,同時(shí)也是使用KDF的加密算法的標(biāo)識(shí)符���。 RRC和U平面密鑰可以用C-RNTI作為輸入來導(dǎo)出���。 在現(xiàn)有的UTRAN安全性架構(gòu)中���,正確的加密和/或完整性保護(hù)的檢驗(yàn)是在RLC或 者M(jìn)AC中完成的�。通常����,NAS中唯一的安全性失敗處理情況會(huì)發(fā)生在認(rèn)證失敗的情況下。但 是�����,在NAS中�����,由于加密和完整性保護(hù)過程的分離�,因而期望對(duì)NAS過程進(jìn)行定義,來響應(yīng)于 接收到未經(jīng)正確加密和/或完整性保護(hù)的NAS消息的情況�。 NAS依賴于AS、即RLC或MAC,來檢驗(yàn)任何所接收到的層_3 (L3)消息具有正確的 安全性憑證���,即這些消息都被正確地加密和完整性保護(hù)�。盡管具有獨(dú)立于AS安全性和NAS 的NAS層安全性的新的LTE架構(gòu)�����,對(duì)L3消息的安全性進(jìn)行檢驗(yàn),但是由于NAS安全性的檢 驗(yàn)是作為在NAS行為中所定義的過程的一部分而完成的��,因此該方法并不恰當(dāng)�����。因此����,期望 針對(duì)在失敗的情況下有待定義的NAS執(zhí)行動(dòng)作。 由于NAS密鑰是獨(dú)立于RRC/U平面密鑰(下文中即AS密鑰)����,因而有可能啟動(dòng)/ 重配置獨(dú)立于AS加密/完整性保護(hù)的NAS加密。期望針對(duì)該進(jìn)程具有新的消息和過程����。同 時(shí),密鑰到期也可與WTRU的NAS/RRC狀態(tài)相關(guān)�。期望有用于WTRU密鑰處理的過程。
RRC典型地從NAS接收新的CK和IK�,并將其傳遞至執(zhí)行加密/完整性保護(hù)的MAC 和RLC。但是�,在LTE中,AS加密和完整性保護(hù)可由PDCP來執(zhí)行。因此�,希望出現(xiàn)用于正確 的安全性功能的新的跨層過程和原語���。
發(fā)明內(nèi)容
—種涉及無線通信系統(tǒng)的方法和裝置�,該無線通信系統(tǒng)包括被配置成接收未加密 的和經(jīng)加密的消息的無線發(fā)射接收單元(WTRU)���。未加密的消息可包括身份請(qǐng)求�����、認(rèn)證請(qǐng)求���、 非接入層(NAS)安全性模式指令、以及跟蹤區(qū)域更新響應(yīng)��。經(jīng)加密的消息可來自NAS和無 線電資源控制器(RRC)���。所述消息優(yōu)選地通過使用安全性密鑰進(jìn)行加密�。
從以下描述中可以更詳細(xì)地理解本發(fā)明����,這些描述是以實(shí)施例的方式給出的,并
且可以結(jié)合附圖被理解,其中 圖1是根據(jù)現(xiàn)有技術(shù)的接入層協(xié)議棧����; 圖2是根據(jù)現(xiàn)有技術(shù)的LTE中的密鑰分級(jí)的框圖; 圖3是具體實(shí)施方式
的框圖�,其中代理服務(wù)器可以是LTE NAS中的移動(dòng)性管理等 同層或者安全性的新的子層或者其他某個(gè)代理服務(wù)器,且針對(duì)給定消息所定義的安全參數(shù) 是不正確的���; 圖4是包括NAS序列號(hào)的改進(jìn)的層3協(xié)議報(bào)頭的框圖���; 圖5是示出了從EMM_連接模式轉(zhuǎn)換至EMM_空閑模式后WTRU中密鑰處理過程的 框圖; 圖6是LTE的接入層協(xié)議棧的框圖����;以及 圖7是被配置以用于LTE中加密的和未加密的消息的無線通信系統(tǒng)的框圖。
具體實(shí)施例方式
下文涉及的術(shù)語"無線發(fā)射/接收單元(WTRU)"包括但不局限于用戶設(shè)備(UE)��、 移動(dòng)站����、固定或移動(dòng)用戶單元、尋呼機(jī)��、無線電話���、個(gè)人數(shù)字助理(PDA)���、計(jì)算機(jī)或者能在無 線環(huán)境下操作的任何其它類型的用戶設(shè)備����。下文涉及的術(shù)語"基站"包括但不局限于節(jié)點(diǎn) B���、站點(diǎn)控制器、接入點(diǎn)(AP)或者能在無線環(huán)境下操作的任何其他類型的接口設(shè)備�。
NAS中安全性失敗處理 在某個(gè)其它層中出現(xiàn)安全性問題,例如在PDCP層執(zhí)行RRC加密/完整性保護(hù)中出 現(xiàn)安全性問題的情況下��,則可使用下面所描述的過程����。用于NAS中安全性失敗處理的過程 提供了一組NAS消息,所述NAS消息可在不激活NAS中的加密和/或完整性保護(hù)的情況下 被WTRU接收���。這種列表僅僅針對(duì)UTRAN NAS消息而存在�,所述UTRAN NAS消息不同于LTE NAS消息����,且可在不激活RLC/MAC加密的情況下接收。可在不激活NAS中的加密和/或完整 性保護(hù)的情況下被WTRU接收的一組NAS消息可包括但并不限于
身份請(qǐng)求��;
認(rèn)證請(qǐng)求����; NAS安全性模式指令(NAS中至少完整性保護(hù)被激活,才能接收到該指令)�;以及
跟蹤區(qū)域更新響應(yīng)。 在匪E中�,以下消息可不進(jìn)行加密和/或完整性保護(hù)而被接收到
身份響應(yīng);
認(rèn)證響應(yīng)����;以及
9
跟蹤區(qū)域更新請(qǐng)求。 另外�����,可以確認(rèn)的是�,盡管上述消息可在加密和/或完整性保護(hù)未被激活的情況 下而被接收,但是��,如果加密和/或完整性保護(hù)已被激活�,則這些消息必定被加密和/或完 整性保護(hù)。 如果NAS和RRC安全性均已被激活�,則僅可發(fā)送其他一些NAS消息���。如果NAS安 全性已被激活(獨(dú)立于RRC安全性),則可發(fā)送一些NAS消息�����。 圖3是代理服務(wù)器為L(zhǎng)TE NAS中移動(dòng)性管理等同層或者安全性的新的子層或者其 他某個(gè)代理服務(wù)器的具體實(shí)施方式
的框圖300�����。 一旦NAS消息被接收305�,用于檢驗(yàn)NAS消 息的安全性狀態(tài)的代理服務(wù)器將會(huì)檢驗(yàn)該消息的安全性參數(shù)是否適當(dāng)310��。如果針對(duì)給定 的消息而定義的安全性參數(shù)是不準(zhǔn)確的315��,即完整性檢驗(yàn)失敗或者該消息沒有加密�����,或者 如果消息(根據(jù)報(bào)頭中的協(xié)議辨別符和消息類型字段)應(yīng)當(dāng)被加密和/或完整性保護(hù)而被 接收但實(shí)際上并沒有如此�����,則NAS層���、其子層或者代理服務(wù)器可采用任何順序來執(zhí)行以下 任意一個(gè)或全部的動(dòng)作����。所執(zhí)行的動(dòng)作可有賴于安全性參數(shù)失敗的消息的類型。如果在其 他某個(gè)層中出現(xiàn)安全性問題(如RRC安全性失敗)�����,則也可以使用以下所定義的過程
代理服務(wù)器的動(dòng)作可通過執(zhí)行來定義320 ;
代理服務(wù)器可忽略和/或丟棄所述消息325 ; 代理服務(wù)器可將失敗上報(bào)給其他某個(gè)協(xié)議層(如RRC) ��、WTRU (如USM/UICC)網(wǎng)絡(luò) 中的實(shí)體330����。如果代理服務(wù)器檢驗(yàn)了安全性,并且發(fā)現(xiàn)其可觸發(fā)的錯(cuò)誤���,例如向網(wǎng)絡(luò)發(fā)送 的消息通知網(wǎng)絡(luò)所出現(xiàn)的錯(cuò)誤���。該報(bào)告可包括失敗的原因。如果其他某個(gè)協(xié)議層/實(shí)體已 經(jīng)了解到該失敗����,其響應(yīng)可類似以下所描述的
代理服務(wù)器可以網(wǎng)絡(luò)發(fā)起重新認(rèn)證335 ; 代理服務(wù)器可移動(dòng)至演進(jìn)的分組系統(tǒng)(EPS)移動(dòng)性管理(EMM_空閑)模式或者 EMM_被注銷狀態(tài)340 ; 代理服務(wù)器可記錄失敗的次數(shù),并且緊接著重復(fù)的失敗后進(jìn)行某些動(dòng)作345����。這些
動(dòng)作可以和此處所定義的相同�����; 代理服務(wù)器可嘗試并重新加入網(wǎng)絡(luò)350 ;或 代理服務(wù)器可刪除存儲(chǔ)的某些或所有安全性參數(shù)(密鑰/序列號(hào)/密鑰設(shè)置標(biāo)識(shí) 符)�����,或者可以直接地或經(jīng)由中間物來以信號(hào)通知WTRU中的存儲(chǔ)/管理安全性參數(shù)的實(shí)體 來進(jìn)行上述處理355�����。 如果安全性參數(shù)是正確的��,NAS消息可同針對(duì)特定協(xié)議和消息類型所定義的那樣 來進(jìn)行處理360。舉例而言����,該代理服務(wù)器可以是LTE NAS中的移動(dòng)性管理等同層、或是用 于安全性的新的子層或者某個(gè)其他代理服務(wù)器���。
層3協(xié)議效果 現(xiàn)有的層3協(xié)議報(bào)頭不包含序列號(hào)���。標(biāo)準(zhǔn)L3消息的報(bào)頭是由兩個(gè)八比特組組成���。 該報(bào)頭由三個(gè)主要部分構(gòu)成,分別為協(xié)議辨別符(1/2八比特組)���、消息類型八比特組和半 個(gè)八比特組����。在一些情況下�,該半個(gè)八比特組用作事務(wù)處理標(biāo)識(shí)符,而在其他一些情況下���, 則用作子協(xié)議辨別符����,并且被稱之為跳躍(skip)指示符���。例如��,如果協(xié)議辨別符被設(shè)置為 G匪�����,則其可被用作跳躍指示符�。如果協(xié)議辨別符被設(shè)置為SM,則其可被用作TI或子協(xié)議辨 別符���。如果其被用作跳躍指示符�,則意味著針對(duì)G匪消息���,第一個(gè)4個(gè)比特沒有意義����,且是"被跳過的"����。 協(xié)議辨別符對(duì)移動(dòng)性管理(匪)、GPRS移動(dòng)性管理(G匪)�����、會(huì)話管理(SM)消息和類 似消息進(jìn)行區(qū)分���。當(dāng)消息類型指示消息的種類,如附屬請(qǐng)求或者PDP上下文激活�,事務(wù)處理 標(biāo)識(shí)符允許WTRU中和網(wǎng)絡(luò)中的對(duì)等實(shí)體,來區(qū)分用于給定的協(xié)議辨別符和給定的服務(wù)接 入點(diǎn)(SPA)的至多16個(gè)不同的雙向消息流���。這種消息流被稱為事務(wù)處理���。同時(shí)也定義了 事務(wù)處理標(biāo)識(shí)符(TI)的延伸機(jī)制����。該機(jī)制允許區(qū)分用于給定的協(xié)議辨別符和給定的SPA 的至多256個(gè)不同的雙向消息流�。例如,當(dāng)WTRU試著獲得IP地址時(shí)���,WTRU中和網(wǎng)絡(luò)中存 在SM實(shí)體�。如果WTRU試著獲得另一個(gè)的IP地址時(shí)���,則另一對(duì)SM實(shí)體在WTRU和網(wǎng)絡(luò)中得 以建立��。TI識(shí)別特定的SM消息用于哪一個(gè)事務(wù)處理����,即配對(duì)����。 圖4是包括NAS序列號(hào)410的改進(jìn)的L3協(xié)議報(bào)頭400的框圖。如現(xiàn)有的L3協(xié)議 報(bào)頭,該改進(jìn)的報(bào)頭是由兩個(gè)八比特組組成的���,且由三個(gè)主要部分構(gòu)成�����。該三個(gè)主要部分是 協(xié)議辨別符420(1/2八比特組)��、消息類型八比特組�、以及半個(gè)八比特組���,該半個(gè)八比特組 在一些情況下用作為事務(wù)處理標(biāo)識(shí)符在另一些情況下作為子協(xié)議辨別符����,并且被稱之為跳 躍指示符(skipindicator)����。例如,如果協(xié)議辨別符被設(shè)置為G匪�,則其可被用作跳躍指示 符。如果協(xié)議辨別符被設(shè)置為SM�,則其可被用作TI或者子協(xié)議辨別符。如果其被用作跳躍 指示符���,則意味著針對(duì)G匪消息�,第一個(gè)4位比特沒有意義且是"被跳過的"��。該改進(jìn)的報(bào)頭 包括用于NAS消息410的序列號(hào)�����,在下文中被稱之為NAS SN��。其可被包括在NAS消息的協(xié) 議報(bào)頭中或者作為其內(nèi)容中的信息元素(IE)����。事務(wù)處理標(biāo)識(shí)符也可用作序列號(hào)。NAS SN 可具有預(yù)定或協(xié)商的增加周期��。舉例而言����,其可基于每一個(gè)NAS PDU(即消息)。NAS層可 基于序列號(hào)或使用任何其他使用NAS SN而增加的編號(hào)來執(zhí)行副本檢測(cè)�����,其中接收到的NAS PDU副本被丟棄����。 NAS SN可以每AS信令無線電承載或者每SAP而得到維持�����,而不考慮協(xié)議辨別符或 者消息類型�����。其也可以每TI而得到維持�����。 COUNT (計(jì)數(shù))的值可被用于NAS層中�����。在預(yù)定/協(xié)商的基礎(chǔ)上增大該COUNT值(例 如在每個(gè)L3消息中進(jìn)行增大)可防止重播(r印lay)或者冒名攻擊(impersonation attack)��。 這在有NAS級(jí)加密的情況下是可行的�。單一的COUNT值可針對(duì)所有的SAP進(jìn)行定義���。單一 的C0UNT-C可針對(duì)所有的SAP的加密進(jìn)行定義����,且單一的C0UNT-I可針對(duì)所有的SAP的完整 性保護(hù)進(jìn)行定義。C0UNT-C和/或C0UNT-I的組合和/或單一的COUNT值可針對(duì)SAP進(jìn)行定 義�。該COUNT可由兩個(gè)參數(shù)組成根據(jù)預(yù)定/協(xié)商而增加的NAS序列號(hào)(SN)��,例如關(guān)于給定 SAP的每NAS協(xié)議數(shù)據(jù)單元(PDU)或者每NAS PDU�����,以及NAS超長(zhǎng)幀號(hào)(NAS HFN) �����。 NAS HFN 可為計(jì)數(shù)器��,該計(jì)數(shù)器隨著NAS SN增加每x個(gè)數(shù)目而增加一�����。整體或者部分COUNT參數(shù)可在 初始接入/密鑰導(dǎo)出/認(rèn)證/空閑至激活轉(zhuǎn)換過程中基于START值而得以初始化����。該COUNT 參數(shù)可被用作加密/解密完整性保護(hù)/完整性檢驗(yàn)算法的輸入,以確保安全性��。
該COUNT值需要在NAS安全性激活之前進(jìn)行設(shè)置�����。COUNT-C參數(shù)的長(zhǎng)度可為32比 特,或者由于NAS消息可能不需要大SN��,因而該參數(shù)可減少至較小值��。SN字段和HFN字段 的長(zhǎng)度本身可在COUNT-C參數(shù)中進(jìn)行修改��,以將其最優(yōu)化以用于NAS級(jí)過程?�,F(xiàn)有技術(shù)加 密引擎可用于NAS�。可對(duì)該加密引擎做出適當(dāng)?shù)母淖儊磉m應(yīng)COUNT-C的較小值���,或適應(yīng)SN 和HFN字段的值的變化�?��?商鎿Q地����,假定NAS SN可由RRC加密來得以保護(hù)����,則NAS COUNT值可為NAS SN����,因此其不是開放的�,從而隱蔽HFN不是絕對(duì)必需的。NAS安全性可在不早于RRC安全性之前被 激活�,且NAS SN可緊隨著NAS安全性激活之后得到重置��。另外�,NAS中的副本檢測(cè)可通過 使用NAS COUNT值來得到執(zhí)行。 需要對(duì)代替所述消息或承載ID的長(zhǎng)度的附加參數(shù)進(jìn)行定義�����,所述參數(shù)為加密引 擎的輸入����,或需要在NAS對(duì)附加過程進(jìn)行定義,以當(dāng)NAS層加密該消息時(shí)提取這些參數(shù)�����。
可替換地��,在WTRU —側(cè)��,可使用以RRC和NAS參數(shù)工作的單一的加密引擎,來代替 具有2個(gè)分離的用于RRC和NAS的加密引擎��。 進(jìn)一步地�,在NAS級(jí)的消息的加密是可選的,且WTRU可在其能力信息中指示其是 否支持NAS級(jí)加密����。 從EMM Connected (EMM連接)樽式轉(zhuǎn)換到EMM Idle (EMM宇閑)樽式時(shí)WTRU中 白條牽膽頃 典型地,當(dāng)WTRU從E匪—Connected模式轉(zhuǎn)換至E匪Jdie模式時(shí)����,RRC連接被釋放。 在激活空閑轉(zhuǎn)換后�����,eNB典型地不存儲(chǔ)關(guān)于相應(yīng)的WTRU的狀態(tài)信息�����。eNB典型地從其存儲(chǔ) 器中刪除當(dāng)前密鑰��。 詳細(xì)介紹該實(shí)施方式�,在激活空閑轉(zhuǎn)換后,eNB可以刪除KeNB、 KKKCene�、 KKKCint和KUPenc 中的至少一個(gè)。但是����,匪E可以存儲(chǔ)^,����。 圖5示出了在從EMM_Connected模式轉(zhuǎn)換至EMM_Idle模式時(shí)在WTRU中的密鑰處 理過程500的框圖。迄今�,還沒有定義WTRU過程來響應(yīng)該轉(zhuǎn)換。 一個(gè)可能的過程是一旦轉(zhuǎn) 換至EMM_Idle模式510��,就可以由WTRU向?qū)踩悦荑€存儲(chǔ)在WTRU中的實(shí)體�、如UICC��、 USIM或移動(dòng)設(shè)備提供轉(zhuǎn)換指示520��。另一個(gè)可能的過程是當(dāng)服務(wù)e-NB在EMM_Idle模式 下���、如在小區(qū)重選至不同的e-NB期間變化時(shí)530�,可以由WTRU向存儲(chǔ)實(shí)體提供指示520�����。從 WTRU到存儲(chǔ)實(shí)體的指示可包括e-NB實(shí)體,從而新的e_NB�����、RRC和U平面密鑰可被導(dǎo)出�。舉 例來說,NAS和/或AS可提供指示�。為此目的,包含消息����、IE、接口和指示實(shí)體的協(xié)議層之 間的和/或指示實(shí)體和存儲(chǔ)實(shí)體之間的SAP的預(yù)定原語可以被定義�。應(yīng)當(dāng)理解,所述預(yù)定 原語包含可被使用的新的和現(xiàn)有的原語��。 一接收到這種轉(zhuǎn)換指示�����,在WTRU中的存儲(chǔ)實(shí)體就 將優(yōu)選地刪除合適的密鑰����、例如KeNB、 KKKCen。��、 KKKCint和KUPen�����。中的至少一個(gè)540�����??蛇x擇保留 或者刪除NAS安全性密鑰和ASME密鑰550。 —接收到激活至空閑轉(zhuǎn)換的指示���,存儲(chǔ)實(shí)體就可刪除K �、KKmnt和KUPm�。�,并且當(dāng) 接收到服務(wù)e-NB中的變化指示、如在重選至不同的e-NB過程期間時(shí)��,刪除KeNB��?�?蛇x擇保 留或者刪除NAS安全性密鑰和ASME密鑰。 一通過讀取在廣播信道上的e-NB標(biāo)識(shí)確定重選 至屬于不同的e-NB的小區(qū)���,WTRU就可使用KeNB和"下一躍點(diǎn)(hop)標(biāo)識(shí)符"生成新的K*Enb��。
存儲(chǔ)實(shí)體在從激活轉(zhuǎn)換至空閑時(shí)或者在空閑模式下轉(zhuǎn)換至新的e-NB時(shí)可以不刪 除任何密鑰���,而在從空閑轉(zhuǎn)換至激活時(shí)刪除密鑰。 存儲(chǔ)實(shí)體在從激活轉(zhuǎn)換至空閑時(shí)或者在空閑模式下轉(zhuǎn)換至新的e-NB時(shí)可以不刪 除任何密鑰���。作為代替�,存儲(chǔ)實(shí)體可在產(chǎn)生新的密鑰�����、例如當(dāng)e-NB接收RRC_C0nnecti0n請(qǐng) 求或者新的C-RNTI被分配時(shí)刪除密鑰��。 可向存儲(chǔ)實(shí)體指示服務(wù)小區(qū)ID/C-RNTI中的變化560���。該指示可由NAS和/或 AS.提供���。可替換地�����,密鑰可與相關(guān)的定時(shí)器值一起存儲(chǔ)570。當(dāng)WTRU從空閑至激活�����,或者 從激活至空閑時(shí)����,可控制密鑰在最終被刪除之前保持多長(zhǎng)時(shí)間有效。
12
由于提屮,的加密結(jié)構(gòu)對(duì)PDCP的影響 典型地��,用于RRC和U平面通信的加密可在PDCP層中完成���。這導(dǎo)致在PDCP中很 多架構(gòu)體系改變����。 在該實(shí)施方式中����,PDCP層具有從上層接收RRC密鑰和U平面安全性密鑰的能力����。 原語可按需要來定義���。具體地,RRC或者NAS或者USIM可提供PDCP所需的加密密鑰和所 需的START (開始)或者COUNT (計(jì)算)或HFN或SN值����。PDCP層還具有基于RRC報(bào)頭信息 自己計(jì)算這些值的能力。 參見圖1�, C平面通信沒有穿過PDCP。由于使用不同的COUNT參數(shù)可保護(hù)不同的 無線電承載���,優(yōu)選地��,PDCP層可在不同的通信種類中辨別�����。正因?yàn)榇?����,引入的SDU或者攜帶 SDU的原語可具有關(guān)于目的無線電承載的顯性信息�����。PDCP層可確定用于其自身的信息并隨 后進(jìn)行加密/完整性保護(hù)���。 圖6是LTE接入層協(xié)議棧的框圖600���。參見圖6, C平面通信穿過PDCP層610��。 PDCP層610檢驗(yàn)引入的PDCP PDU的安全性���。如果PDCP層610發(fā)現(xiàn)引入的PDU的安全性參 數(shù)(即被映射至數(shù)據(jù)無線電承載或者信令無線電承載)是不正確的(即如果例如PDCP PDU 的完整性檢驗(yàn)失敗)�,則PDCP層610可以以任何順序執(zhí)行以下動(dòng)作中的至少一個(gè)���。所采取 的動(dòng)作可依賴于安全性參數(shù)失敗類型的消息���。如果在其它一些層中有安全性問題,例如如 果NAS安全性失敗����,還可使用以下定義的過程
通過實(shí)施定義PDCP動(dòng)作;
PDCP可忽略和/或丟棄消息�����; 向其它一些協(xié)議層���、例如WTRU中的RRC實(shí)體報(bào)告失??�;將該失敗通知其它協(xié)議 層���; 維持失敗次數(shù)的計(jì)數(shù)�,且在重復(fù)失敗后采取諸如在此定義的一些動(dòng)作或者其它動(dòng) 作(如在Y個(gè)消息中或單位時(shí)間內(nèi)X次失敗)�; 刪除一些或所有的安全性參數(shù)、如存儲(chǔ)的密鑰和序列號(hào)���,或者可直接或者間接地 以信號(hào)通知WTRU中的實(shí)體存儲(chǔ)或者管理安全性參數(shù)這樣做�����;以及
報(bào)告給其它協(xié)議層的失敗報(bào)告可包含失敗的原因�。PDCP HFN可被用于構(gòu)成COUNT值��。該COUNT值可被用于PDCP的加密和/或完整
性保護(hù)算法中510�����,且可由START值初始化��。有PDCP可以保護(hù)的用于每個(gè)無線電承載的多
個(gè)COUNT值。RRC 620和PDCP層610能交換與COUNT值或者其要素相關(guān)的信息���。 PDCP層610可檢驗(yàn)消息的完整性保護(hù)�����。這符合完整性保護(hù)在PDCP中的假設(shè)610�。
但是�,當(dāng)前附加在消息上的用于識(shí)別消息完整性的消息認(rèn)證碼(MAC)字是在附加在RRC消
息上的RRC 620中計(jì)算的,且被傳遞給RLC630/介質(zhì)訪問控制(MAC) 640�。包含MAC字的整
個(gè)消息是經(jīng)加密的。同樣的����,PDCP層610可能不能確定RRC消息是否需要保護(hù)。 在傳送端����,RRC層620可向PDCP層610指示給定的RRC消息是否需要或者不需要
完整性保護(hù)和/或加密。PDCP層610可使用該指示來確定是否執(zhí)行對(duì)作為PDCP PDU發(fā)送
的RRC消息的加密和/或完整性保護(hù)����。 該指示可以是在RRC使用新的比特發(fā)送給PDCP的每個(gè)RRC消息中由RRC提供給 PDCP層的顯性指示。可替換地或者另外���,該指示是隱性的�,例如����,PDCP中的加密和/或完整 性保護(hù)將經(jīng)常是開啟的����,除非有指示,或者經(jīng)常是關(guān)閉的�,除非由RRC指示。例如���,2個(gè)比特的指示符可由RRC層620使用以指示加密和完整性保護(hù)的任何組合是激活的���。這種指示可 與傳遞給PDCP的每一個(gè)RRC消息一起發(fā)送,或者應(yīng)用于所有的RRC消息�����,且優(yōu)選地如一些 RRC消息不可被加密和/或被完整性保護(hù)一樣���。 可替換地�����,或者另外��,RRC層620可向PDCP層610指示以給定的RRC消息開始的 所有RRC消息將被完整性保護(hù)�。 可替換地,或者另外����,RRC層620可向PDCP層610指示以給定的RRC消息開始的 所有RRC消息將被加密。 可替換地�,或者另外,RRC層620可向PDCP層610指示以給定的RRC消息開始的 所有RRC消息將被加密和被完整性保護(hù)�����。 可替換地�����,或者另外����,RRC層620可向PDCP 610提供通用的RRC消息列表和其相 關(guān)的安全性參數(shù)��。該列表可包括不經(jīng)過加密和/或完整性保護(hù)而接收的消息�、例如RRC連 接重建立�����。該列表可包括經(jīng)過加密和/或完整性保護(hù)而接收的消息���。 可替換地,或者另外�����,可由RRC層620可選地定義加密和/或完整性檢驗(yàn)標(biāo)記����,如 果被設(shè)置,則PDCP層610將加密和/或完整性檢驗(yàn)所有的RRC消息�。PDCP層610因此將在 加密和完整性檢驗(yàn)之前檢驗(yàn)該標(biāo)記。有被設(shè)置用于加密和完整性保護(hù)的單獨(dú)的標(biāo)記����。
對(duì)于上述所有的不同的指示機(jī)制,可在每信令無線電承載(SRB)基礎(chǔ)上提供指 示�,即RRC層620可向PDCP層610指示用于加密和/或完整性保護(hù)的指示應(yīng)用于由PDCP 層610映射至特定的SRB的RRC消息。 對(duì)于將被傳送的消息,PDCP層610可首先進(jìn)行完整性保護(hù)��,然后加密�����,或者首先加 密然后進(jìn)行完整性保護(hù)���。在任一操作之前���,PDCP層610可填充(pad)所述消息,從而達(dá)到用 于加密和/或完整性保護(hù)的最佳長(zhǎng)度�����。在安全性操作之前�,PDCP層610可分配SN。 SN可 以是PDCP SN或者可重使用RRC SN���,或者可使用其它的序列號(hào)����,例如公共序列號(hào)��。在安全性 操作之前,PDCP層610可執(zhí)行用于U平面通信的報(bào)頭壓縮����。 用于完整性保護(hù)的MAC字可在純文本數(shù)據(jù)、加密數(shù)據(jù)和/或所有或部分PDCP報(bào)頭 上計(jì)算�����。 加密可在包含MAC字�、和/或純文本消息和/或其部分的整個(gè)消息上執(zhí)行。
加密還可在所有PDCP報(bào)頭或部分PDCP報(bào)頭�����、例如不包括SN的報(bào)頭上執(zhí)行���。
可包括有效載荷是否已經(jīng)被加密和/或被完整性保護(hù)的指示。例如����,在傳送側(cè)的 PDCP層610可包括指示完整性檢驗(yàn)信息和/或加密被激活的IE。該指示可以是經(jīng)加密的���。 該指示可指示在PDCP層檢驗(yàn)的消息中的MAC字的位置��。在接收側(cè)的PDCP層610可使用該 指示來決定是否解密和/或完整性檢驗(yàn)�����。 PDCP層610和協(xié)議可包括MAC字�,用于接收機(jī)在PDCP報(bào)頭/消息中的預(yù)定位置上 的完整性檢驗(yàn)?�?商鎿Q地�����,MAC字位置可被指示給接收PDCP層610�。這種指示可以是如報(bào) 頭中的偏移字段。 根據(jù)在傳送側(cè)的安全性操作的順序���,接收PDCP將首先解密引入的消息�����,然后檢驗(yàn) 其完整性�����,或者首先檢驗(yàn)完整性��,然后解密所述消息���。接收單元中的安全性操作優(yōu)選地與傳 送單元側(cè)具有相反的順序����。PDCP報(bào)頭/消息中的MAC字的位置可由指示字段輔助�����。
PDCP層610可決定加密和/或完整性保護(hù)對(duì)特定消息是否是不符合要求的�。這是 指PDCP將確定所述消息是否已經(jīng)被正確地加密和/或被完整性保護(hù)。
PDCP層610可指示傳遞給RRC層620的RRC層消息的安全性狀態(tài)�,例如所述消息 是否是經(jīng)加密和/或完整性保護(hù)接收的?�;蜃鳛榱硪粋€(gè)實(shí)例���,完整性保護(hù)檢驗(yàn)是否成功。 所示指示是隱性的�����,也就是說����,僅在發(fā)生錯(cuò)誤��、在完整性保護(hù)檢驗(yàn)失敗時(shí)才被提供�。RRC層 620然后確定特定消息的保護(hù)是否是可接收的����。當(dāng)通知有錯(cuò)誤時(shí),RRC行為可如在第12頁 第9-25行中描述的PDCP那樣進(jìn)行定義�����?��?商鎿Q地���,或者另外,RRC層可通過添加通知網(wǎng)絡(luò) 失敗的信息元素(至發(fā)送給網(wǎng)絡(luò)的RRC消息)來通知網(wǎng)絡(luò)完整性檢驗(yàn)的失敗���。
在出現(xiàn)錯(cuò)誤的情況下�����,PDCP層610可采用上述失敗處理場(chǎng)景中描述的步驟���。如果 RRC消息是ASN. 1編碼的��,且MAC字被包含在RRC層620中����,則PDCP層610可觀察RRC層并 檢驗(yàn)MAC字�����。如果設(shè)置了指示完整性保護(hù)的標(biāo)記�,則PDCP層610將這樣執(zhí)行。
蝶棘性討禾罕 RRC/PDCP層可從NAS層或從USIM接收e-NB/RRC/U平面密鑰���?����?商鎿Q地�,RRC/ PDCP可生成其自己的密鑰�����。舉例來說����,RRC層可使用從RRC信令中的網(wǎng)絡(luò)接收到的參數(shù)以 及從NAS接收的KASME以及從其它協(xié)議層(即WTRU當(dāng)前所屬的或者從物理層可獲得接入的 小區(qū)的物理小區(qū)標(biāo)識(shí))接收到的其它參數(shù)生成e-NB/RRC/U平面密鑰。這些安全密鑰可在 NAS與RRC/PDCP之間����、或者在RRC與使用預(yù)定原語、包括新的或現(xiàn)有原語的PDCP之間�、在新 的或現(xiàn)有的SAP上傳遞。每一層可具有向上/下層指示錯(cuò)誤��、即安全性失敗的能力����。
圖7是被配置為用于LTE中經(jīng)加密的和未經(jīng)加密的消息傳遞的無線通信系統(tǒng)700 的框圖。該系統(tǒng)包括基站705和無線發(fā)射接收單元(WTRU) 710���?���;?05和WTRU 710經(jīng)由 無線通信鏈路通信����。 如圖7中所示,WTRU 710包括發(fā)射機(jī)720、接收機(jī)730和處理器740����。處理器740 被附加在緩沖器750和存儲(chǔ)器760上。處理器740被配置為處理包含使用至少一個(gè)上述技 術(shù)的安全性參數(shù)的NAS消息����。 同樣如圖7所示,基站705包括發(fā)射機(jī)765�����、接收機(jī)770和處理器780���。處理器780 被附加在緩沖器790和存儲(chǔ)器795上���。處理器780被配置為處理包含使用至少一個(gè)上述技 術(shù)的安全性參數(shù)的NAS消息。 雖然本發(fā)明的特征和元素在優(yōu)選的實(shí)施方式中以特定的結(jié)合進(jìn)行了描述���,但每個(gè) 特征或元素可以在沒有所述優(yōu)選實(shí)施方式的其它特征和元素的情況下單獨(dú)使用����,或在與或 不與本發(fā)明的其它特征和元素結(jié)合的各種情況下使用�����。本發(fā)明提供的方法或流程圖可以在 由通用計(jì)算機(jī)或處理器執(zhí)行的計(jì)算機(jī)程序����、軟件或固件中實(shí)施,其中所述計(jì)算機(jī)程序�、軟件 或固件是以有形的方式包含在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中的。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的例子包括 只讀存儲(chǔ)器(ROM)�����、隨機(jī)存取存儲(chǔ)器(RAM)���、寄存器�、緩存存儲(chǔ)器�����、半導(dǎo)體存儲(chǔ)設(shè)備��、諸如內(nèi) 部硬盤和可移動(dòng)磁盤這樣的磁性介質(zhì)��、磁光介質(zhì)和如CD-ROM光盤和數(shù)字通用光盤(DVD)這 樣的光介質(zhì)�����。 舉例來說,恰當(dāng)?shù)奶幚砥靼ㄍㄓ锰幚砥?�、專用處理器�����、傳統(tǒng)處理器��、數(shù)字信號(hào)處 理器(DSP)����、多個(gè)微處理器、與DSP內(nèi)核相關(guān)的一個(gè)或多個(gè)微處理器�、控制器、微控制器�����、專 用集成電路(ASIC)���、現(xiàn)場(chǎng)可編程門陣列(FPGA)電路�、任何一種集成電路(IC)和/或狀態(tài) 機(jī)�����。 與軟件相關(guān)的處理器可以用于實(shí)現(xiàn)一個(gè)射頻收發(fā)機(jī),以便在無線發(fā)射接收單元 (WTRU)���、用戶設(shè)備(UE)、終端����、基站、無線電網(wǎng)絡(luò)控制器(RNC)或者任何主機(jī)計(jì)算機(jī)中加以�。
15WTRU可以與采用硬件和/或軟件形式實(shí)施的模塊結(jié)合使用,例如照相機(jī)�、攝像機(jī)模塊、可視 電話���、揚(yáng)聲器電話����、振動(dòng)設(shè)備�����、揚(yáng)聲器���、麥克風(fēng)����、電視收發(fā)器、免提耳機(jī)��、鍵盤���、藍(lán)牙⑧模塊���、調(diào) 頻(FM)無線單元、液晶顯示器(LCD)顯示單元��、有機(jī)發(fā)光二極管(0LED)顯示單元����、數(shù)字音 樂播放器、媒體播放器�、視頻游戲機(jī)模塊、互聯(lián)網(wǎng)瀏覽器和/或任何無線局域網(wǎng)(WLAN)模 塊����。 實(shí)施例 1、一種被配置成在長(zhǎng)期演進(jìn)(LTE)無線通信中實(shí)施安全性的無線發(fā)射/接收單元 (WTRU)���,該WTRU包括: 接收機(jī)�,該接收機(jī)被配置成接收非接入層(NAS)消息,所述NAS消息包含安全性參 數(shù)��;以及 處理器�,該處理器被配置成 確定所述安全性參數(shù)是否正確;以及 基于所述確定來執(zhí)行安全性過程�����。 2�、根據(jù)實(shí)施例1所述的WTRU�,其中所述處理器包括 加密無線電資源控制器(RRC)引擎;以及 加密NAS引擎��。 3���、根據(jù)實(shí)施例1-2中任一項(xiàng)實(shí)施例所述的WTRU����,其中所述處理器包括
加密引擎�,被配置成以RRC和NAS參數(shù)操作。 4�����、根據(jù)實(shí)施例1所述的WTRU,其中所述安全性過程包括下列各項(xiàng)中的至少一項(xiàng) 忽略所述消息����、丟棄所述消息、向另一協(xié)議層報(bào)告失敗�、發(fā)起重新認(rèn)證、轉(zhuǎn)移到演進(jìn)型分組 系統(tǒng)(EPS)移動(dòng)性管理(EMM_Idle)模式��、轉(zhuǎn)移到EMM_被注銷狀態(tài)�、維持失敗次數(shù)的計(jì)數(shù)、 開始重新連接至網(wǎng)絡(luò)以及刪除所述安全性參數(shù)��。 5�、一種用于在長(zhǎng)期演進(jìn)(LTE)無線設(shè)備中實(shí)施安全性的方法,該方法包括
接收非接入層(NAS)消息�,該NAS消息包含安全性參數(shù);
確定所述安全性參數(shù)是否正確���;以及
基于所述確定來執(zhí)行安全性過程���。 6、根據(jù)實(shí)施例5所述的方法,其中所述安全性過程包括下列各項(xiàng)中的至少一項(xiàng) 忽略所述消息��、丟棄所述消息����、向另一協(xié)議層報(bào)告失敗、發(fā)起重新認(rèn)證���、轉(zhuǎn)移到演進(jìn)型分組 系統(tǒng)(EPS)移動(dòng)性管理(EMM_Idle)模式����、轉(zhuǎn)移到EMM_被注銷狀態(tài)��、維持失敗次數(shù)的計(jì)數(shù)����、 開始重新連接到網(wǎng)絡(luò)以及刪除所述安全性參數(shù)�。 7、根據(jù)實(shí)施例5-6中任一項(xiàng)實(shí)施例所述的方法����,其中所述NAS消息包含協(xié)議報(bào)頭, 該協(xié)議報(bào)頭包含NAS序列號(hào)�����。 8、根據(jù)實(shí)施例5-7中任一項(xiàng)實(shí)施例所述的方法��,該方法還包括
基于所述NAS序列號(hào)執(zhí)行復(fù)本檢測(cè)�。 9、根據(jù)實(shí)施例5-8中任一項(xiàng)實(shí)施例所述的方法�����,其中所述NAS序列號(hào)用作事務(wù)處 理標(biāo)識(shí)符��。 10����、根據(jù)實(shí)施例5-8中任一項(xiàng)實(shí)施例所述的方法,其中所述NAS序列號(hào)包含預(yù)定義 的增加周期�。 11、根據(jù)實(shí)施例5-8中任一項(xiàng)實(shí)施例所述的方法���,其中所述NAS序列號(hào)包含協(xié)商的增加周期��。 12��、根據(jù)實(shí)施例5-11中任一項(xiàng)實(shí)施例所述的方法���,其中所述NAS消息與COUNT值 相關(guān)���。 13、根據(jù)實(shí)施例12所述的方法����,其中所述COUNT值用于加密(C0UNT-C)。 14����、根據(jù)實(shí)施例11-12中任一項(xiàng)實(shí)施例所述的方法,其中所述COUNT值用于完整性
保護(hù)(C0UNT-I)�����。 15��、根據(jù)實(shí)施例11-14中任一項(xiàng)實(shí)施例所述的方法����,其中所述COUNT值是C0UNT-C 和C0UNT-I的組合�����。 16、根據(jù)實(shí)施例11-15中任一項(xiàng)實(shí)施例所述的方法�,其中所述COUNT值包括
NAS序列號(hào)(SN);以及
NAS超幀號(hào)(HFN)。 17���、根據(jù)實(shí)施例11-16中任一項(xiàng)實(shí)施例所述的方法�,其中所述NAS HFN是計(jì)數(shù)器�。
18、根據(jù)實(shí)施例12-17中任一項(xiàng)實(shí)施例所述的方法�����,其中所述COUNT值被用作加密 完整性保護(hù)算法的輸入�。 19、根據(jù)實(shí)施例12-18所述的方法���,其中所述COUNT值被用作解密完整性保護(hù)算法 的輸入����。 20��、根據(jù)實(shí)施例12-19中任一項(xiàng)實(shí)施例所述的方法�����,其中所述COUNT值在NAS安全 性激活之前被配置。 21���、根據(jù)實(shí)施例12-20中任一項(xiàng)實(shí)施例所述的方法��,其中所述COUNT值是32比特 或者更少比特�。 22��、根據(jù)實(shí)施例16-21中任一項(xiàng)實(shí)施例所述的方法���,其中所述SN和所述HFN是可 配置的���。 23、根據(jù)實(shí)施例12-22中任一項(xiàng)實(shí)施例所述的方法��,其中所述COUNT值是所述NAS 序列號(hào)(SN)�,并且使用所述COUNT值來執(zhí)行副本檢測(cè)。 24�、根據(jù)實(shí)施例5-23中任一項(xiàng)實(shí)施例所述的方法,其中所述NAS消息指示無線發(fā) 射/接收單元(WTRU)能力信息�����。 25��、根據(jù)實(shí)施例24所述的方法�����,其中所述WTRU能力信息指示對(duì)NAS級(jí)加密的支 持��。 26�����、一種在長(zhǎng)期演進(jìn)(LTE)無線設(shè)備中實(shí)施安全性的方法���,該方法包括 接收分組數(shù)據(jù)匯聚協(xié)議(PDCP)協(xié)議數(shù)據(jù)單元(PDU)����,所述PDCP PDU包含安全性參
數(shù)��; 確定所述安全性參數(shù)是否正確�����;以及 基于所述確定來執(zhí)行安全性過程�。 27、根據(jù)實(shí)施例26所述的方法�,該方法還包括 從無線電資源控制器(RRC)層發(fā)送指示至PDCP層以指示RRC消息是否需要完整 性保護(hù)和加密中的至少一項(xiàng)����。 28���、根據(jù)實(shí)施例26-27中任一項(xiàng)實(shí)施例所述的方法����,該方法還包括 從所述RRC層發(fā)送指示至所述PDCP層以指示待傳送的RRC消息不需要完整性保
護(hù)和加密中的至少一項(xiàng)���。
29�����、根據(jù)實(shí)施例27-28中任一項(xiàng)實(shí)施例所述的方法�����,該方法還包括 向PDCP層指示所有以預(yù)定RRC消息開始的RRC消息將被加密或被進(jìn)行完整性保護(hù)�。 30�����、根據(jù)實(shí)施例27-29中任一項(xiàng)實(shí)施例所述的方法���,該方法還包括 向PDCP層指示所有以預(yù)定RRC消息開始的RRC消息將被加密和被進(jìn)行完整性保護(hù)�。 31����、根據(jù)實(shí)施例27-30中任一項(xiàng)實(shí)施例所述的方法,該方法還包括 在所述RRC設(shè)置加密或完整性檢驗(yàn)標(biāo)記以對(duì)RRC消息進(jìn)行加密或完整性檢驗(yàn)��。 32��、根據(jù)實(shí)施例31所述的方法��,該方法還包括 在設(shè)置了所述加密標(biāo)記的情況下����,在將RRC消息作為PDCP PDU傳送之前在所述
PDCP層對(duì)所述RRC消息進(jìn)行加密,并對(duì)所有接收到的與RRC消息對(duì)應(yīng)的PDCP PDU進(jìn)行解
密�;而在未設(shè)置所述加密標(biāo)記的情況下不執(zhí)行加密和解密。 33���、根據(jù)實(shí)施例31-32中任一項(xiàng)實(shí)施例所述的方法���,該方法還包括 在設(shè)置了所述完整性檢驗(yàn)標(biāo)記的情況下,將消息認(rèn)證碼附加到與所傳送的RRC消
息對(duì)應(yīng)的所述PDCP PDU中并對(duì)所有接收到的被映射至RRC消息的PDCP PDU執(zhí)行完整性檢
驗(yàn)����,而在未設(shè)置所述標(biāo)記的情況下�����,不執(zhí)行附加和完整性檢驗(yàn)����。 34�����、根據(jù)實(shí)施例27-33中任一項(xiàng)實(shí)施例所述的方法����,該方法還包括 在所述RRC設(shè)置加密和完整性檢驗(yàn)標(biāo)記以對(duì)RRC消息進(jìn)行加密和完整性檢驗(yàn)。 35�、根據(jù)實(shí)施例34所述的方法,該方法還包括 在設(shè)置了所述加密和完整性檢驗(yàn)標(biāo)記的情況下�,在將RRC消息作為PDCP PDU傳送 之前對(duì)所述RRC消息進(jìn)行加密,對(duì)接收到的與所述RRC消息對(duì)應(yīng)的PDCP PDU進(jìn)行解密��,將 消息認(rèn)證碼附加到與所傳送的RRC消息對(duì)應(yīng)的PDCP PDU中以及對(duì)所有接收到的被映射至 所述RRC消息的PDCPPDU執(zhí)行完整性檢驗(yàn)�����;而在未設(shè)置所述標(biāo)記的情況下,不執(zhí)行加密��、解 密���、附加和完整性檢驗(yàn)��。 36、根據(jù)實(shí)施例27-35中任一項(xiàng)實(shí)施例所述的方法��,該方法還包括 向所述PDCP提供通用RRC消息列表以及所述RRC消息的相關(guān)的安全性參數(shù)�。 37、根據(jù)實(shí)施例27-36中任一項(xiàng)實(shí)施例所述的方法�,其中所述PDCP層不執(zhí)行RRC
消息的加密或RRC消息的完整性保護(hù)中的至少一者,除非由所述RRC指示這樣做���。 38�����、根據(jù)實(shí)施例27-37中任一項(xiàng)實(shí)施例所述的方法���,該方法還包括 對(duì)所述RRC消息進(jìn)行加密;以及 對(duì)所述RRC消息進(jìn)行完整性保護(hù)。 39����、根據(jù)實(shí)施例27-38中任一項(xiàng)實(shí)施例所述的方法,其中所述RRC消息被填充以達(dá) 到用于加密或完整性保護(hù)的最佳長(zhǎng)度���。 40����、根據(jù)實(shí)施例26-39中任一項(xiàng)實(shí)施例所述的方法��,該方法還包括計(jì)算用于在純 文本數(shù)據(jù)�����、經(jīng)加密的數(shù)據(jù)���、部分PDCP報(bào)頭或整個(gè)PDCP報(bào)頭上進(jìn)行完整性保護(hù)的消息認(rèn)證碼 (MAC)字����。 41���、根據(jù)實(shí)施例26-40中任一項(xiàng)實(shí)施例所述的方法�,其中在部分純文本數(shù)據(jù)上執(zhí) 行加密。 42���、根據(jù)實(shí)施例26-41中任一項(xiàng)實(shí)施例所述的方法����,該方法還包括指示有效載荷
18是否被加密或被進(jìn)行完整性保護(hù)�����。 43�����、根據(jù)實(shí)施例26-42中任一項(xiàng)實(shí)施例所述的方法����,該方法還包括 在所述PDCP PDU中的位置對(duì)消息認(rèn)證碼(MAC)字進(jìn)行預(yù)定義���,所述PDCP PDU包
含報(bào)頭��。 44���、根據(jù)實(shí)施例43所述的方法,其中預(yù)定義的MAC字位置在所述PDCPPDU報(bào)頭中。
45����、根據(jù)實(shí)施例26-44中任一項(xiàng)實(shí)施例所述的方法,其中所述安全性過程包括下列各項(xiàng)中的至少一項(xiàng)忽略RRC消息��、丟棄所述消息�����、在失敗報(bào)告中報(bào)告失敗�����、維持失敗次數(shù)的計(jì)數(shù)以及刪除所述安全性參數(shù)����。 46、根據(jù)實(shí)施例45所述的方法���,其中所述失敗報(bào)告包括所述失敗的原因�。
47��、根據(jù)實(shí)施例26-46中任一項(xiàng)實(shí)施例所述的方法����,該方法還包括
使用PDCP超幀號(hào)(HFN)來構(gòu)成COUNT值����。 48���、一種在長(zhǎng)期演進(jìn)(LTE)無線設(shè)備中實(shí)施安全性的方法����,該方法包括
在協(xié)議數(shù)據(jù)匯聚協(xié)議(PDCP)層接收消息��;
對(duì)所述消息進(jìn)行解密�;以及
對(duì)接收到的消息執(zhí)行完整性檢驗(yàn)。 49��、根據(jù)實(shí)施例48所述的方法���,其中對(duì)所接收到的消息的完整性檢驗(yàn)是在對(duì)所述消息進(jìn)行解密之前執(zhí)行的。 50�、根據(jù)實(shí)施例48-49中任一項(xiàng)實(shí)施例所述的方法,該方法還包括 確定消息認(rèn)證碼(MAC)字在所接收到的消息中的位置�。 51、根據(jù)實(shí)施例48-50中任一項(xiàng)實(shí)施例所述的方法�,該方法還包括 確定對(duì)所述消息的加密和完整性保護(hù)是否是符合要求的����。 52��、根據(jù)實(shí)施例48-51中任一項(xiàng)實(shí)施例所述的方法���,該方法還包括 向無線電資源控制器(RRC)層指示所述接收到的消息的安全性狀態(tài)���。 53、根據(jù)實(shí)施例48-52中任一項(xiàng)實(shí)施例所述的方法����,該方法還包括 從所述PDCP層向無線電資源控制器(RRC)層發(fā)送指示以指示對(duì)接收到的RRC消
息的所述完整性檢驗(yàn)是否失敗。 54�����、根據(jù)實(shí)施例48-53中任一項(xiàng)實(shí)施例所述的方法����,該方法還包括 從所述PDCP層向無線電資源控制器(RRC)層發(fā)送指示以指示對(duì)接收到的RRC消
息的所述完整性檢驗(yàn)是否成功。 55��、根據(jù)實(shí)施例48-54中任一項(xiàng)實(shí)施例所述的方法����,該方法還包括 僅在預(yù)定時(shí)間間隔內(nèi)或預(yù)定數(shù)量的接收到的RRC消息中發(fā)生預(yù)定次數(shù)的失敗的
情況下�����,才從所述PDCP層向無線電資源控制器(RRC)層發(fā)送所述完整性檢驗(yàn)失敗的指示��。 56���、根據(jù)實(shí)施例48-55中任一項(xiàng)實(shí)施例所述的方法,該方法還包括 當(dāng)所述接收到的消息是ASN. 1編碼后的消息時(shí)�,檢驗(yàn)所述PDCP的無線電資源控制
器(RRC)層中的消息認(rèn)證碼(MAC)字。 57���、根據(jù)實(shí)施例48-56中任一項(xiàng)實(shí)施例所述的方法����,其中實(shí)施安全性包括下列各項(xiàng)中的至少一項(xiàng)忽略所述消息�、丟棄所述消息、在失敗報(bào)告中報(bào)告失敗�����、維持失敗次數(shù)的計(jì)數(shù)以及刪除安全性參數(shù)���。 58����、根據(jù)實(shí)施例57所述的方法�,其中所述失敗報(bào)告包括所述失敗的原因。
59��、一種用于在從EMM_Connected模式轉(zhuǎn)換到EMM_Idle模式時(shí)在無線發(fā)射/接收單元(WTRU)中進(jìn)行密鑰處理的方法�����,該方法包括
向所述WTRU中的存儲(chǔ)實(shí)體指示所述轉(zhuǎn)換�;以及
刪除第一組密鑰。 60��、根據(jù)實(shí)施例59所述的方法���,該方法還包括
保留NAS安全性密鑰和ASME密鑰��。 61�、根據(jù)實(shí)施例59-60中任一項(xiàng)實(shí)施例所述的方法�,該方法還包括
刪除NAS安全性密鑰和ASME密鑰。 62���、根據(jù)實(shí)施例59-61中任一項(xiàng)實(shí)施例所述的方法���,其中由非接入層(NAS)提供所述指示�。 63�����、根據(jù)實(shí)施例59-62中任一項(xiàng)實(shí)施例所述的方法�����,其中由接入層(NAS)提供所述指示���。 64��、根據(jù)實(shí)施例59-63中任一項(xiàng)實(shí)施例所述的方法����,其中使用預(yù)定的原語來提供所述指示����。 65、根據(jù)實(shí)施例59-65中任一項(xiàng)實(shí)施例所述的方法�����,其中當(dāng)服務(wù)e_NB在EMM_Idle模式下變化時(shí)提供所述指示�����。 66���、根據(jù)實(shí)施例59-66中任一項(xiàng)實(shí)施例所述的方法���,其中所述第一組密鑰包括下列各項(xiàng)中的至少一項(xiàng)K,���、 K
RRCenc �、 KKKCint和K
UPenc Q 67�、根據(jù)實(shí)施例59-67中任一項(xiàng)實(shí)施例所述的方法,其中所述存儲(chǔ)實(shí)體一旦接收到所述指示就刪除K^�����、K
RRCenc �����、 K腦nt和K
UPenc Q 68、根據(jù)實(shí)施例59-68中任一項(xiàng)實(shí)施例所述的方法����,其中所述存儲(chǔ)實(shí)體一旦接收到所述指示就刪除K^。 69���、根據(jù)實(shí)施例59-69中任一項(xiàng)實(shí)施例所述的方法�����,該方法還包括
—旦接收到所述指示就生成第二組密鑰�。 70����、根據(jù)實(shí)施例59-70中任一項(xiàng)實(shí)施例所述的方法,其中所述指示用于指示所述服務(wù)小區(qū)中的變化��。 71��、根據(jù)實(shí)施例59-71中任一項(xiàng)實(shí)施例所述的方法����,其中所述第一組密鑰包含定時(shí)器值��。 72�����、根據(jù)實(shí)施例5-72中任一項(xiàng)實(shí)施例所述的方法,該方法還包括
從NAS層或從USIM接收密鑰�。 73、根據(jù)實(shí)施例72所述的方法���,其中使用預(yù)定的原語將接收到的密鑰在所述非接入(NAS)層與RRC/PDCP之間傳遞���。 74、根據(jù)實(shí)施例73-75所述的方法�����,其中使用預(yù)定的原語將接收到的密鑰在RRC與所述PDCP之間傳遞��。
權(quán)利要求
一種被配置成在長(zhǎng)期演進(jìn)(LTE)無線通信中實(shí)施安全性的無線發(fā)射/接收單元(WTRU)���,該WTRU包括接收機(jī)��,該接收機(jī)被配置成接收非接入層(NAS)消息��,所述NAS消息包含安全性參數(shù)�����;以及處理器���,該處理器被配置成確定所述安全性參數(shù)是否正確�����;以及基于所述確定來執(zhí)行安全性過程�����。
2. 根據(jù)權(quán)利要求1所述的WTRU�����,其中所述處理器包括 加密無線電資源控制器(RRC)引擎�;以及加密NAS引擎��。
3. 根據(jù)權(quán)利要求1所述的WTRU��,其中所述處理器包括 加密引擎����,該加密引擎被配置成以RRC和NAS參數(shù)來操作�����。
4. 根據(jù)權(quán)利要求1所述的WTRU��,其中所述安全性過程包括下列各項(xiàng)中的至少一項(xiàng)忽 略所述消息��、丟棄所述消息、向另一協(xié)議層報(bào)告失敗�����、發(fā)起重新認(rèn)證�����、轉(zhuǎn)移到演進(jìn)型分組系 統(tǒng)(EPS)移動(dòng)性管理(E匪—空閑)模式��、轉(zhuǎn)移到E匪—被注銷狀態(tài)��、維持失敗次數(shù)的計(jì)數(shù)�����、開 始重新連接到網(wǎng)絡(luò)、以及刪除所述安全性參數(shù)�����。
5. —種用于在長(zhǎng)期演進(jìn)(LTE)無線設(shè)備中實(shí)施安全性的方法�����,該方法包括 接收非接入層(NAS)消息���,該NAS消息包含安全性參數(shù)����; 確定所述安全性參數(shù)是否正確���;以及 基于所述確定來執(zhí)行安全性過程�。
6. 根據(jù)權(quán)利要求5所述的方法���,其中所述安全性過程包括下列各項(xiàng)中的至少一項(xiàng)忽 略所述消息�、丟棄所述消息�����、向另一協(xié)議層報(bào)告失敗、發(fā)起重新認(rèn)證����、轉(zhuǎn)移到演進(jìn)型分組系 統(tǒng)(EPS)移動(dòng)性管理(E匪—空閑)模式、轉(zhuǎn)移到E匪—被注銷狀態(tài)��、維持失敗次數(shù)的計(jì)數(shù)�、開 始重新連接至網(wǎng)絡(luò)、以及刪除所述安全性參數(shù)����。
7. 根據(jù)權(quán)利要求5所述的方法,其中所述NAS消息包含協(xié)議報(bào)頭����,該協(xié)議報(bào)頭包含NAS 序列號(hào)��。
8. 根據(jù)權(quán)利要求7所述的方法�����,該方法還包括 基于所述NAS序列號(hào)執(zhí)行復(fù)本檢測(cè)���。
9. 根據(jù)權(quán)利要求8所述的方法���,其中所述NAS序列號(hào)用作事務(wù)處理標(biāo)識(shí)符�。
10. 根據(jù)權(quán)利要求8所述的方法�����,其中所述NAS序列號(hào)包含預(yù)定義的增加周期����。
11. 根據(jù)權(quán)利要求8所述的方法,其中所述NAS序列號(hào)包含協(xié)商的增加周期��。
12. 根據(jù)權(quán)利要求5所述的方法�,其中所述NAS消息與COUNT值相關(guān)。
13. 根據(jù)權(quán)利要求12所述的方法��,其中所述COUNT值用于加密(COUNT-C)����。
14. 根據(jù)權(quán)利要求12所述的方法,其中所述COUNT值用于完整性保護(hù)(COUNT-I)���。
15. 根據(jù)權(quán)利要求12所述的方法��,其中所述COUNT值是COUNT-C和COUNT-I的組合���。
16. 根據(jù)權(quán)利要求12所述的方法�����,其中所述COUNT值包括 NAS序列號(hào)(SN);以及NAS超幀號(hào)(HFN)�。
17. 根據(jù)權(quán)利要求16所述的方法�����,其中所述NAS HFN是計(jì)數(shù)器�。
18. 根據(jù)權(quán)利要求12所述的方法,其中所述COUNT值被用作加密完整性保護(hù)算法的輸入���。
19. 根據(jù)權(quán)利要求12所述的方法����,其中所述COUNT值被用作解密完整性保護(hù)算法的輸入���。
20. 根據(jù)權(quán)利要求12所述的方法,其中所述COUNT值在NAS安全性激活之前被配置���。
21. 根據(jù)權(quán)利要求12所述的方法�,其中所述COUNT值是32比特或者更少比特。
22. 根據(jù)權(quán)利要求16所述的方法��,其中所述SN和所述HFN是可配置的����。
23. 根據(jù)權(quán)利要求12所述的方法,其中所述COUNT值是所述NAS序列號(hào)(SN)�����,并且使 用所述COUNT值來執(zhí)行副本檢測(cè)�。
24. 根據(jù)權(quán)利要求5所述的方法,其中所述NAS消息指示無線發(fā)射/接收單元(WTRU) 能力信息����。
25. 根據(jù)權(quán)利要求24所述的方法,其中所述WTRU能力信息指示對(duì)NAS級(jí)加密的支持�����。
26. —種在長(zhǎng)期演進(jìn)(LTE)無線設(shè)備中實(shí)施安全性的方法�,該方法包括 接收分組數(shù)據(jù)匯聚協(xié)議(PDCP)協(xié)議數(shù)據(jù)單元(PDU),所述PDCP PDU包含安全性參數(shù)����; 確定所述安全性參數(shù)是否正確����;以及 基于所述確定來執(zhí)行安全性過程���。
27. 根據(jù)權(quán)利要求26所述的方法����,該方法還包括從無線電資源控制器(RRC)層發(fā)送指示至PDCP層以指示RRC消息是否需要完整性保 護(hù)和加密中的至少一項(xiàng)���。
28. 根據(jù)權(quán)利要求27所述的方法���,該方法還包括從所述RRC層發(fā)送指示至所述PDCP層以指示待傳送的RRC消息不需要完整性保護(hù)和 加密中的至少一項(xiàng)。
29. 根據(jù)權(quán)利要求27所述的方法����,該方法還包括向PDCP層指示所有以預(yù)定RRC消息開始的RRC消息將被加密或被進(jìn)行完整性保護(hù)。
30. 根據(jù)權(quán)利要求27所述的方法���,該方法還包括向PDCP層指示所有以預(yù)定RRC消息開始的RRC消息將被加密和被進(jìn)行完整性保護(hù)。
31. 根據(jù)權(quán)利要求27所述的方法�����,該方法還包括在所述RRC設(shè)置加密或完整性檢驗(yàn)標(biāo)記以對(duì)RRC消息進(jìn)行加密或完整性檢驗(yàn)。
32. 根據(jù)權(quán)利要求31所述的方法���,該方法還包括在設(shè)置了所述加密標(biāo)記的情況下��,在將RRC消息作為PDCP PDU傳送之前在所述PDCP 層對(duì)所述RRC消息進(jìn)行加密����,并對(duì)所有接收到的與RRC消息對(duì)應(yīng)的PDCP PDU進(jìn)行解密�����;而 在未設(shè)置所述加密標(biāo)記的情況下��,不執(zhí)行加密和解密����。
33. 根據(jù)權(quán)利要求31所述的方法,該方法還包括在設(shè)置了所述完整性檢驗(yàn)標(biāo)記的情況下���,將消息認(rèn)證碼附加到與所傳送的RRC消息對(duì) 應(yīng)的PDCP PDU中��,并對(duì)所有接收到的被映射至RRC消息的PDCP PDU執(zhí)行完整性檢驗(yàn)�����,而在 未設(shè)置所述標(biāo)記的情況下����,不執(zhí)行附加和完整性檢驗(yàn)。
34. 根據(jù)權(quán)利要求27所述的方法�����,該方法還包括在所述RRC設(shè)置加密和完整性檢驗(yàn)標(biāo)記以對(duì)RRC消息進(jìn)行加密和完整性檢驗(yàn)����。
35. 根據(jù)權(quán)利要求34所述的方法,該方法還包括在設(shè)置了所述加密和完整性檢驗(yàn)標(biāo)記的情況下�����,在將RRC消息作為PDCP PDU傳送之前 對(duì)所述RRC消息進(jìn)行加密�,對(duì)接收到的與所述RRC消息對(duì)應(yīng)的PDCP PDU進(jìn)行解密,將消息 認(rèn)證碼附加到與所傳送的RRC消息對(duì)應(yīng)的PDCP PDU中以及對(duì)所有接收到的被映射至所述 RRC消息的PDCPPDU執(zhí)行完整性檢驗(yàn)��;而在未設(shè)置所述標(biāo)記的情況下不執(zhí)行加密�、解密、附 加和完整性檢驗(yàn)��。
36. 根據(jù)權(quán)利要求27所述的方法,該方法還包括向所述PDCP提供通用RRC消息列表以及與所述RRC消息相關(guān)聯(lián)的安全性參數(shù)����。
37. 根據(jù)權(quán)利要求27所述的方法����,其中所述PDCP層不執(zhí)行RRC消息的加密或RRC消息 的完整性保護(hù)中的至少一者,除非由所述RRC指示這樣做�����。
38. 根據(jù)權(quán)利要求27所述的方法��,該方法還包括 對(duì)所述RRC消息進(jìn)行加密�;以及對(duì)所述RRC消息進(jìn)行完整性保護(hù)。
39. 根據(jù)權(quán)利要求38所述的方法����,其中所述RRC消息被填充以達(dá)到用于加密或完整性 保護(hù)的最佳長(zhǎng)度。
40. 根據(jù)權(quán)利要求26所述的方法�����,該方法還包括計(jì)算用于在純文本數(shù)據(jù)�、經(jīng)加密的數(shù)據(jù)��、部分PDCP報(bào)頭或整個(gè)PDCP報(bào)頭上進(jìn)行完整性 保護(hù)的消息認(rèn)證碼(MAC)字�����。
41. 根據(jù)權(quán)利要求40所述的方法�,其中在部分純文本數(shù)據(jù)上執(zhí)行加密�����。
42. 根據(jù)權(quán)利要求26所述的方法�����,該方法還包括 指示有效載荷是否被加密或被進(jìn)行完整性保護(hù)����。
43. 根據(jù)權(quán)利要求26所述的方法,該方法還包括在所述PDCP PDU中的位置對(duì)消息認(rèn)證碼(MAC)字進(jìn)行預(yù)定義��,所述PDCP PDU包含報(bào)頭��。
44. 根據(jù)權(quán)利要求43所述的方法�����,其中所預(yù)定義的MAC字位置在所述PDCP PDU報(bào)頭中。
45. 根據(jù)權(quán)利要求26所述的方法�����,其中所述安全性過程包括下列各項(xiàng)中的至少一項(xiàng) 忽略RRC消息���、丟棄所述消息、在失敗報(bào)告中報(bào)告失敗��、維持失敗次數(shù)的計(jì)數(shù)以及刪除所述 安全性參數(shù)�。
46. 根據(jù)權(quán)利要求45所述的方法,其中所述失敗報(bào)告包括所述失敗的原因�����。
47. 根據(jù)權(quán)利要求26所述的方法�����,該方法還包括 使用PDCP超幀號(hào)(HFN)來構(gòu)成COUNT值�。
48. —種在長(zhǎng)期演進(jìn)(LTE)無線設(shè)備中實(shí)施安全性的方法,該方法包括 在協(xié)議數(shù)據(jù)匯聚協(xié)議(PDCP)層接收消息����; 對(duì)所述消息進(jìn)行解密�;以及 對(duì)所接收到的消息執(zhí)行完整性檢驗(yàn)���。
49. 根據(jù)權(quán)利要求48所述的方法��,其中對(duì)所接收到的消息的完整性檢驗(yàn)是在對(duì)所述消 息進(jìn)行解密之前執(zhí)行的���。
50. 根據(jù)權(quán)利要求48所述的方法,該方法還包括 確定消息認(rèn)證碼(MAC)字在所接收到的消息中的位置���。
51. 根據(jù)權(quán)利要求48所述的方法�����,該方法還包括 確定對(duì)所述消息的加密和完整性保護(hù)是否是符合要求的��。
52. 根據(jù)權(quán)利要求48所述的方法�����,該方法還包括 向無線電資源控制器(RRC)層指示所接收到的消息的安全性狀態(tài)�����。
53. 根據(jù)權(quán)利要求48所述的方法�����,該方法還包括從所述PDCP層向無線電資源控制器(RRC)層發(fā)送指示以指示對(duì)接收到的RRC消息的 所述完整性檢驗(yàn)是否失敗����。
54. 根據(jù)權(quán)利要求48所述的方法,該方法還包括從所述PDCP層向無線電資源控制器(RRC)層發(fā)送指示以指示對(duì)接收到的RRC消息的 所述完整性檢驗(yàn)是否成功�。
55. 根據(jù)權(quán)利要求54所述的方法,該方法還包括僅在預(yù)定時(shí)間間隔內(nèi)或預(yù)定數(shù)量的接收到的RRC消息中發(fā)生預(yù)定次數(shù)的失敗的情況 下�,才從所述PDCP層向無線電資源控制器(RRC)層發(fā)送所述完整性檢驗(yàn)失敗的指示��。
56. 根據(jù)權(quán)利要求48所述的方法����,該方法還包括當(dāng)所述接收到的消息是ASN. 1編碼后的消息時(shí),檢驗(yàn)所述PDCP的無線電資源控制器 (RRC)層中的消息認(rèn)證碼(MAC)字���。
57. 根據(jù)權(quán)利要求48所述的方法����,其中實(shí)施安全性包括下列各項(xiàng)中的至少一項(xiàng)忽略 所述消息�、丟棄所述消息、在失敗報(bào)告中報(bào)告失敗、維持失敗次數(shù)的計(jì)數(shù)以及刪除安全性參 數(shù)����。
58. 根據(jù)權(quán)利要求57所述的方法,其中所述失敗報(bào)告包括所述失敗的原因����。
59. —種用于在從EMM—連接模式轉(zhuǎn)換到EMM—空閑模式時(shí)在無線發(fā)射/接收單元 (WTRU)中進(jìn)行密鑰處理的方法,該方法包括向所述WTRU中的存儲(chǔ)實(shí)體指示所述轉(zhuǎn)換����;以及 刪除第一組密鑰。
60. 根據(jù)權(quán)利要求59所述的方法��,該方法還包括 保留NAS安全性密鑰和ASME密鑰�����。
61. 根據(jù)權(quán)利要求59所述的方法��,該方法還包括 刪除NAS安全性密鑰和ASME密鑰��。
62. 根據(jù)權(quán)利要求59所述的方法�,其中由非接入層(NAS)提供所述指示。
63. 根據(jù)權(quán)利要求59所述的方法��,其中由接入層(NAS)提供所述指示。
64. 根據(jù)權(quán)利要求59所述的方法����,其中使用預(yù)定的原語來提供所述指示。
65. 根據(jù)權(quán)利要求59所述的方法�����,其中當(dāng)服務(wù)e-NB在EMM_空閑模式下變化時(shí)提供所 述指示���。
66. 根據(jù)權(quán)利要求59所述的方法��,其中所述第一組密鑰包括下列各項(xiàng)中的至少一項(xiàng)KeNB����、 K艦enc����、 K艦int和Kupenc ��。
67. 根據(jù)權(quán)利要求59所述的方法�����,其中所述存儲(chǔ)實(shí)體一旦接收到所述指示就刪除KeNB、K服Cenc����、 K艦int和Kupenc 。
68. 根據(jù)權(quán)利要求59所述的方法���,其中所述存儲(chǔ)實(shí)體一旦接收到所述指示就刪除KeNB��。
69. 根據(jù)權(quán)利要求59所述的方法�,該方法還包括一旦接收到所述指示就生成第二組密鑰���。
70. 根據(jù)權(quán)利要求59所述的方法���,其中所述指示用于指示所述服務(wù)小區(qū)中的變化。
71. 根據(jù)權(quán)利要求59所述的方法��,其中所述第一組密鑰包含定時(shí)器值��。
72. 根據(jù)權(quán)利要求5所述的方法���,該方法還包括從NAS層或從USIM接收密鑰��。
73. 根據(jù)權(quán)利要求72所述的方法�����,其中使用預(yù)定的原語將所接收到的密鑰在所述非接入(NAS)層與RRC/PDCP之間傳遞����。
74. 根據(jù)權(quán)利要求72所述的方法,其中使用預(yù)定的原語將所接收到的密鑰在RRC與所述PDCP之間傳遞�����。
全文摘要
一種無線發(fā)射接收單元(WTRU)���,被配置成接收未加密的和經(jīng)加密的消息����。所述未加密的消息包含身份請(qǐng)求��、認(rèn)證請(qǐng)求���、非接入層(NAS)安全性模式命令和跟蹤區(qū)域更新響應(yīng)。所述經(jīng)加密的消息可以來自所述NAS和無線電資源控制器(RRC)����。所述消息是使用安全密鑰來進(jìn)行加密的��。
文檔編號(hào)H04W12/02GK101755469SQ200880024996
公開日2010年6月23日 申請(qǐng)日期2008年7月16日 優(yōu)先權(quán)日2007年7月18日
發(fā)明者M·薩摩爾, P·S·王, R·P·穆克吉, S·索馬桑德朗 申請(qǐng)人:交互數(shù)字技術(shù)公司