当UE同时支持3GPP和非3GPP接入时改进5G NAS安全上下文的处理

本申请根据35U.S.C§119要求于2021年9月7日提交的标题为“当UE同时支持3GPP和非3GPP接入时5G NAS安全上下文的处理”，申请号为63/241,110的美国临时申请以及于2022年5月11日提交的标题为“支持3GPP和非3GPP的UE的5G NAS安全上下文存储处理的改进”，申请号为63/340,484的美国临时申请的优先权，所述两篇美国临时申请的主题通过引用合并于此。

【技术领域】

所公开的实施例总体上涉及无线通信，并且更具体地涉及当UE在下一代移动通信系统中同时支持3GPP和非3GPP时处理非接入层(Non-Access Stratum，NAS)安全上下文的支持方法。

【背景技术】

无线通信网络多年来呈指数增长。长期演进(Long-Term Evolution，LTE)系统提供高峰值数据速率、低延迟、改进的系统容量以及由于简化的网络架构带来的低运营成本。LTE系统，也称为4G系统，还提供与旧无线网络(例如GSM、CDMA和通用移动电信系统(Universal Mobile Telecommunication System，UMTS))的无缝集成。在LTE系统中，演进的通用陆地无线电接入网络(E-UTRAN)包括与被称为用户设备(UE)的多个移动台通信的多个演进的Node-B(eNodeB或eNB)。第三代合作伙伴项目(3GPP)网络通常包括2G/3G/4G系统的混合。随着网络设计的优化，随着各种标准的演进，发展了许多改进。下一代移动网络(Next Generation Mobile Network，NGMN)委员会已决定将未来NGMN活动的重点放在定义5G新无线电(New Radio，NR)系统的端到端要求上。

如规范(specification)中当前规定的，如果UE能够通过3GPP接入和非3GPP接入注册，当UE在3GPP接入或非3GPP接入上发起初始注册过程(initial registrationprocedure)时，或者当UE在3GPP接入和非3GPP接入上因为除了5GMM-NULL之外的任何其他状态离开5GMM-DEREGISTERED状态时，在3GPP接入和非3GPP接入上处于5GMM-DEREGISTERED状态的UE应将USIM上或非易失性存储器中的3GPP接入或非3GPP接入的5G NAS安全上下文标记为无效。否则，当UE发起初始注册过程或UE因为除5GMM-NULL之外的任何其他状态离开5GMM-DEREGISTERED状态时，UE应将USIM上或非易失性存储器中的5G NAS安全上下文标记为无效。

如果UE能够通过3GPP接入和非3GPP接入注册，则仅当UE在3GPP接入和非3GPP接入中从除5GMM-NULL之外的任何其他状态进入5GMM-DEREGISTERED状态时或仅当UE在尚未在3GPP接入和非3GPP接入上离开5GMM-DEREGISTERED状态而中止初始注册过程时，UE应如附件C(annex C)中规定的那样存储3GPP接入和非3GPP接入的当前本地5G NAS安全上下文，并将其标记为有效。否则，仅当UE从除5GMM-NULL之外的任何其他状态进入5GMM-DEREGISTERED状态时或当UE在还没有离开5GMM-DEREGISTERED状态就中止初始注册过程时，UE应按照附件C中的规定的那样存储当前本地5G NAS安全上下文，并将其标记为有效。

当前规定的内容没有考虑存储的3GPP接入的安全上下文和存储的非3GPP接入的安全上下文可能对应不同的PLMN，在这种情况下，UE不能将3GPP和非3GPP安全上下文均标记为无效，而仅能将当时注册了的接入的上下文标记为无效。由于不必要/错误的安全上下文无效操作，UE必须将未受保护(plain)的初始NAS消息发送到网络(未受保护的消息总是存在安全风险)，并且网络需要针对UE处理认证(authentication)和安全模式控制程式以建立安全连接，这导致不必要的信令负载，不必要的功耗。

需寻求解决方案。

【发明内容】

提出了一种用于支持通过3GPP和非3GPP接入类型向不同PLMN进行多个注册的UE的5G NAS安全上下文的处理方法。UE应该类似地处理同一个PLMN的NAS安全上下文，并且应该针对不同的接入类型独立地处理不同PLMN的NAS安全上下文。如果UE通过3GPP或非3GPP注册到PLMN，则3GPP和非3GPP的PLMN的安全上下文都被设置为无效。如果UE已经通过3GPP或非3GPP在PLMN中注册并且已经存储了PLMN的安全上下文，现在通过3GPP或非3GPP从PLMN注销(deregistered)，则PLMN的安全上下文对两种接入类型都变为有效。

在下面的详细描述中描述了其他实施例和优点。该概述并不旨在定义本发明。本发明由权利要求书限定。

【附图说明】

附图中相似的数字表示相似的部件，用于说明本发明的实施例。

图1根据一个新颖方面示出了为支持3GPP接入和非3GPP接入的UE的处理5G NAS安全上下文存储的示例性下一代5G新无线电(NR)网络。

图2根据本发明的一些实施例示出了用户设备(UE)和基站(BS)的简化框图。

图3根据一个新颖方面示出了当UE通过5G系统中的不同接入注册到不同PLMN时对5G NAS安全上下文的处理方法的第一实施例。

图4根据一个新颖方面示出了当UE通过5G系统中的不同接入从不同PLMN注销时对5G NAS安全上下文的处理方法的第二实施例。

图5根据一个新颖方面示出了当UE通过5G系统中的不同接入从不同PLMN注销时对5G NAS安全上下文的处理方法的第三实施例。

图6根据一个新颖方面示出了当UE通过5G系统中的不同接入注册到不同PLMN时对5G NAS安全上下文的处理方法的第四实施例。

图7是根据一个新颖方面的当UE通过5G系统中的不同接入注册到不同PLMN时处理5G NAS安全上下文的方法的流程图。

图8是根据一个新颖方面的当UE通过5G系统的不同接入从不同PLMN注销时处理5GNAS安全上下文的方法的流程图。

【具体实施方式】

现在将详细参考本发明的一些实施例，其示例在附图中示出。

图1根据一个新颖方面示出了为支持3GPP接入和非3GPP接入的UE的处理5G NAS安全上下文存储的示例性下一代5G新无线电(NR)网络100。NR网络100包括用户设备UE 101、3GPP无线电接入网络(Radio Access Network，RAN)102、非3GPP RAN 103、第一公共陆地移动网络(Public Land Mobile Network，PLMN)(PLMNA)和第二PLMN(PLMNB)。无线电接入网络经由无线电接入技术(Radio Access Technology，RAT)，例如3GPP和/或非3GPP，为UE提供无线电接入。UE 101可以配备一个调频(Radio Frequency，RF)收发器或多个RF收发器用于经由不同RAT/CN的不同应用服务。UE 101可以是智慧手机、可穿戴设备、物联网(IoT)设备、平板计算机等。

在核心网(core network)中，接入和移动功能(Access and Mobility Function，AMF)为非接入层(Non-Access Stratum，NAS)安全充当端点。NAS安全的目的是使用NAS安全密钥和NAS算法在控制平面中在UE和AMF之间安全地传送NAS信令消息。AMF可以与保存被访问网络的根密钥(称为锚密钥)的安全锚功能(SEcurity Anchor Function，SEAF)并存。对于移动性管理，AMF启动NAS层安全程序。在切换期间，需要考虑的NAS方面是可能的KAMF更改、可能的NAS算法更改以及可能存在的并行NAS连接。UE可以支持多个记录来存储通过不同的接入类型进行多个注册的多个NAS安全上下文(Security Context，SC)。UE还可以支持通过不同的接入类型向不同PLMN进行多个注册。

例如，UE 101支持多个注册(即，通过3GPP接入和非3GPP接入向不同的PLMN(PLMNA和PLMNB)进行的注册)的多个NAS安全上下文记录。通常，对于3GPP接入和非3GPP接入，存在记录#1(record#1)和记录#2(record#2)。接入类型的记录#1包括当前通过该接入注册的PLMN的安全上下文(例如，3GPP接入的5GS NAS安全上下文)。在第二接入是在与第一接入不同的PLMN中注册的情况下，接入类型的记录#2包括第二接入(例如，非3GPP接入)的安全上下文。

在一个实施例中，UE 101被注销(deregistered)且对于PLMNA包括有效存储的5GS3GPP接入NAS安全上下文，该有效存储的5GS 3GPP接入NAS安全上下文来自通过3GPP接入进行的先前注册，以及UE 101对于PLMNB包括有效的5GS非3GPP接入NAS安全上下文，该有效的5GS非3GPP接入NAS安全上下文来自通过非3GPP接入进行的先前注册。当UE 101通过3GPP接入注册到PLMNA，正确地将PLMNA的安全上下文标记为无效(在3GPP和非3GPP存储器中)。然而，在当前的3GPP规范下，UE也将PLMNB的NAS安全上下文标记为无效(错误地)。PLMNB的早期有效的5GS NAS安全上下文因此被丢弃。最终，当UE通过非3GPP接入发起注册时，UE必须发送未受保护的(plain)REGISTRATION消息(未受保护的消息总是存在安全风险)，并且网络需要针对UE处理认证和安全模式控制程式(这会导致不必要的信令负载和不必要的功耗)。

在另一个实施例中，UE 101支持多个注册(即，通过3GPP接入和非3GPP接入向不同的PLMN进行的注册)的NAS安全上下文的多个记录，并且UE 101通过3GPP接入和非3GPP接入在不同的PLMN中注册(例如，在PLMNA中通过3GPP接入和在PLMNB中通过非3GPP接入)。UE101然后通过3GPP接入执行从PLMNA的注销。在当前规范下，由于UE保持非3GPP接入在PLMNB中的注册，UE无法将PLMNA的NAS安全上下文标记为有效。但是，当UE尝试通过3GPP接入进行注册时，UE必须发送未受保护的(plain)REGISTRATION消息(未受保护的消息总是存在安全风险)，并且网络需要针对UE处理认证和安全模式控制程式(这会导致不必要的信令负载和不必要的功耗)。

根据本发明的一个新颖的方面，提出了一种当UE支持通过3GPP和非3GPP接入类型向不同的PLMN进行多个注册时处理5G NAS安全上下文的方法(110)。UE应该类似地处理不同接入类型的同一个PLMN的NAS安全上下文，并且应该独立地处理不同接入类型的不同PLMN的NAS安全上下文。如果UE通过3GPP注册到PLMNA，则3GPP和非3GPP的PLMNA安全上下文都设置为无效。如果UE通过非3GPP注册到PLMNB，则3GPP和非3GPP的PLMNB安全上下文都设置为无效。如果UE已通过3GPP在PLMNA中注册并存储了PLMNA的安全上下文，并且现在通过3GPP从PLMNA中注销，则PLMNA的安全上下文对两种接入类型都变为有效。如果UE已通过非3GPP在PLMNB中注册并存储了PLMNB的安全上下文，并且现在通过非3GPP从PLMNB中注销，则PLMNB的安全上下文对两种接入类型都变为有效。

在一个实施例中，UE正在通过第一接入和第二接入从第一PLMN注销，并且UE具有为第一接入和第二接入存储的第一PLMN的有效的5GS NAS安全上下文。UE也通过第二接入从第二PLMN注销，并且UE具有为第一接入和第二接入存储的第二PLMN的有效的5GS NAS安全上下文。UE通过第一接入向第一PLMN进行注册，将第一PLMN的5GS NAS安全上下文存储并标记为对第一接入无效和对第二接入无效。UE保持第二接入在第二PLMN中的注销，并且UE将存储的第二PLMN的5GS NAS安全上下文保持为对第一接入有效并且对第二接入有效。

在另一个实施例中，UE通过第一接入注册到第一PLMN并且通过第二接入注册到第二PLMN。UE存储了第一PLMN的5GS NAS安全上下文，并将其标记为对第一接入和第二接入无效。UE还存储了第二PLMN的5GS NAS安全上下文，并将其标记为对第一接入和第二接入无效。然后，UE通过第一接入从第一PLMN注销，并保持第二接入在第二PLMN中的注册。UE存储第一PLMN的5GS NAS安全上下文并将其标记为对第一接入有效和对第二接入有效。UE将存储的第二PLMN的5GS NAS安全上下文保持为对第一接入无效并且对第二接入无效。

图2根据本发明的一些实施例示出了用户设备UE 201和网络实体202的简化框图。网络实体202可以是gNB或AMF或两者。网络实体202可以包括天线226，其可以发送和接收无线电信号。RF收发器模块223与天线耦合，可以接收来自天线226的RF信号，将它们转换成基带信号并将它们发送给处理器222。RF收发器223还可以转换从处理器222接收到的基带信号，将它们转换成RF信号，并且发送到天线226。处理器222可以处理接收到的基带信号并调用不同的功能模块来执行网络实体202中的特征。存储器(memory)221可以存储程序指令和数据224以控制网络实体202的操作。网络实体202还可以包括一组功能模块和控制电路，例如协议栈260、用于控制和配置UE的移动性的控制和配置电路211、用于与UE建立连接和注册的连接和注册处理电路212、以及用于向UE发送切换和系统间更改命令的切换电路213。

类似地，UE 201包括可以发送和接收无线电信号的天线235。与天线耦合的RF收发器模块234，可以从天线235接收RF信号，将它们转换成基带信号并将它们发送到处理器232。RF收发器234还可以转换从处理器232接收到的基带信号，将它们转换成RF信号，并且发送到天线235。处理器232可以处理接收到的基带信号并调用不同的功能模块来执行UE201中的特征。存储器231可以存储程序指令和数据236以控制UE 201的操作。UE 201还可以包括可以执行本发明的功能任务的一组功能模块和控制电路。协议栈260包括与连接到核心网络的AMF/SMF/MME实体通信的非接入层(NAS)层、用于高层配置和控制的无线电资源控制(Radio Resource Control，RRC)层、分组数据汇聚协议/无线电链路控制(Packet DataConvergence Protocol/Radio Link Control，PDCP/RLC)层、媒体访问控制(Media AccessControl，MAC)层和物理(Physical，PHY)层。附着和连接电路291可附着到网络并与服务gNB建立连接，注册电路292可执行向AMF的注册，切换处理电路293可执行切换或系统间更改，以及控制和配置电路294用于控制和配置会话和移动相关的功能。

各种功能模块和控制电路可以通过软件、固件、硬件及其组合来实现和配置。功能模块和电路在由处理器经由包含在存储器中的程序指令执行时相互配合以允许基站和UE在网络中执行实施例和功能任务和特征。每个模块或电路可以包括处理器(例如，222或232)连同对应的程序指令。在一个示例中，UE针对两种接入类型类似地处理同一PLMN的安全上下文。如果UE通过3GPP或非3GPP注册到PLMN，则3GPP和非3GPP的PLMN的安全上下文都设置为无效。如果UE通过3GPP或非3GPP在PLMN中注册并且已经存储了PLMN的安全上下文，现在通过3GPP或非3GPP从PLMN注销，则PLMN的安全上下文对两种接入类型都变为有效。

图3根据一个新颖方面示出了当UE通过5G系统中的不同接入注册到不同PLMN时对5G NAS安全上下文的处理方法的第一实施例。如果UE支持3GPP和非3GPP，并且已在具有本地5G NAS安全上下文的PLMNA中注册，随后通过两种接入方式从PLMNA注销。在这种初始条件310下，UE具有存储如下的安全上下文：记录#1中的EF

如果UE能够通过3GPP接入和非3GPP接入进行注册，当UE通过3GPP接入或非3GPP接入发起初始注册过程时，在3GPP接入和非3GPP接入上处于5GMM-DEREGISTERED状态的UE应将3GPP接入和非3GPP接入的5G NAS安全上下文标记为无效。在图3的实施例中，在步骤1中，UE通过3GPP接入或非3GPP接入发起到PLMNA的注册过程，或者UE为了除5GMM-NULL之外的任意其他状态通过3GPP接入或非3GPP接入在PLMNA中离开5GMM-Deregistered状态(320)。UE将记录#1中PLMNA的5GS 3GPP NAS SC标记为无效(321)，并且UE将记录#1中PLMNA的5GS非3GPP NAS SC标记为无效(322)。但是，UE不应将PLMNB的5GS NAS SC标记为无效。在一个新颖的方面，如果UE保持从PLMNB的注销，则PLMNB的5GS 3GPP NAS SC和PLMNB的5GS非3GPPNAS SC应该保持为有效。

随后，在步骤2中，UE通过非3GPP接入注册到PLMNB并更新NAS SC，与此同时保持3GPP在PLMNA中的注册(330)。PLMNA的5GS 3GPP NAS SC存储在记录#1中并保持为无效(331)。PLMNA的5GS非3GPP NAS SC从记录#1移到记录#2中并保持为无效(334)。PLMNB的5GS3GPP NAS SC存储在记录#2中并标记为无效(332)。PLMNB的5GS非3GPP NAS SC存储在记录#1中并标记为无效(333)。在一个新颖的方面，UE应该类似地处理不同接入类型的相同PLMN的安全上下文，即，如果UE通过3GPP接入注册到PLMNA，则3GPP和非3GPP的PLMNA安全上下文都设置为无效。如果UE通过非3GPP注册到PLMNB，则3GPP和非3GPP的PLMNB安全上下文都设置为无效。

图4根据一个新颖方面示出了当UE通过5G系统中的不同接入从不同PLMN注销时对5G NAS安全上下文的处理方法的第二实施例。在初始条件(410)下，UE通过3GPP接入注册到PLMNA，UE包括公共安全上下文，即存储在记录#1中的EF

随后，UE通过3GPP接入从PLMNA注销并且保持非3GPP接入在PLMNB中的注册(420)。PLMNA的5GS 3GPP NAS SC存储在记录#1中并标记为有效(421)。PLMNA的5GS非3GPP NAS SC存储在记录#2中，也标记为有效(424)。PLMNB的5GS 3GPP NAS SC存储在记录#2中并保持为无效(422)。PLMNB的5GS非3GPP NAS SC存储在记录#1中并保持为无效(423)。如果UE已经通过3GPP在PLMNA中注册并存储了PLMNA的安全上下文，现在通过3GPP从PLMNA注销，则PLMNA的安全上下文对两种接入类型都变为有效，即使UE保持在PLMNB中的注册。

图5根据一个新颖方面示出了当UE通过5G系统中的不同接入从不同PLMN注销时对5G NAS安全上下文的处理方法的第三实施例。在初始条件下(510)，UE通过3GPP接入注册到PLMNA，UE包括公共安全上下文，即存储在记录#1中的EF

随后，UE通过非3GPP接入从PLMNB注销并且保持3GPP接入在PLMNA中的注册(520)。PLMNA的5GS 3GPP NAS SC存储在记录#1中并保持为无效(521)。PLMNA的5GS非3GPP NAS SC存储在记录#2中并保持为无效(524)。PLMNB的5GS 3GPP NAS SC存储在记录#2中并标记为有效(522)。PLMNB的5GS非3GPP NAS SC存储在记录#1中并标记为有效(523)。如果UE已经通过3GPP在PLMNB中注册并存储了PLMNB的安全上下文，现在通过非3GPP从PLMNB注销，则PLMNB的安全上下文对两种接入类型都变为有效，即使UE保持在PLMNA中的注册。

图6根据一个新颖方面示出了当UE通过5G系统中的不同接入注册到不同PLMN时对5G NAS安全上下文的处理方法的第四实施例。如果UE支持3GPP和非3GPP，并且已在具有本地5G NAS安全上下文的PLMNA/PLMNB中注册，然后通过两种接入方式注销。在这种初始条件下(610)，UE具有存储如下的安全上下文：记录#1中的EF

如果UE能够通过3GPP接入和非3GPP接入进行注册，当UE通过3GPP接入或非3GPP接入发起初始注册过程时，在3GPP接入和非3GPP接入上处于5GMM-DEREGISTERED状态的UE应将3GPP接入和非3GPP接入的5G NAS安全上下文标记为无效。在图6中，在步骤1中(620)，UE通过非3GPP接入注册到PLMNB并更新NAS SC，与此同时保持3GPP在PLMNA中的注销。PLMNA的5GS 3GPP NAS SC存储在记录#1中并保持为有效(621)。PLMNA的5GS非3GPP NAS SC存储在记录#2中并保持为有效(624)。PLMNB的5GS 3GPP NAS SC存储在记录#2中并被标记为无效(622)。PLMNB的5GS非3GPP NAS SC存储在记录#1中并被标记为无效(623)。

随后，在步骤2中(630)，UE通过3GPP接入注册到PLMNB并且保持非3GPP接入在PLMNB中的注册。PLMNA的5GS 3GPP NAS SC存储在记录#1中，现在被删除(631)。PLMNA的5GS非3GPP NAS SC存储在记录#2，现在被删除(634)。存储在记录#2中的PLMNB的5GS 3GPP NASSC被移动到记录#1中并被标记为无效(632)。PLMNB的5GS非3GPP NAS SC在记录#1中并被标记为无效(633)。

图7是根据一个新颖方面的当UE通过5G系统中的不同接入注册到不同PLMN时处理5G NAS安全上下文的方法的流程图。在步骤701中，UE存储一个或多个PLMN的5GS非接入层(NAS)安全上下文的多个记录，其中UE通过第一接入和第二接入从第一PLMN注销，其中UE包括为第一接入和第二接入存储的第一PLMN的有效的5GS NAS安全上下文。在步骤702中，UE通过第一接入执行到第一PLMN的注册，其中UE将第一PLMN的5GS NAS安全上下文标记为对第一接入无效并且对第二接入无效。在步骤703中，UE通过第二接入从第二PLMN注销，其中UE包括为第一接入和第二接入存储的第二PLMN的有效的5GS NAS安全上下文。在步骤704中，UE保持第二接入在第二PLMN中的注销，其中UE将所存储的第二PLMN的5GS NAS安全上下文保持为对第一接入有效并且对第二接入有效。

图8是根据一个新颖方面的当UE通过5G系统的不同接入从不同PLMN注销时处理5GNAS安全上下文的方法的流程图。在步骤801中，UE存储一个或多个PLMN的5GS非接入层(NAS)安全上下文的多个记录，其中UE通过第一接入注册到第一PLMN，其中UE已将第一PLMN的5GS NAS安全上下文标记为对第一接入无效以及对第二接入无效。在步骤802中，UE通过第一接入执行从第一PLMN的注销，其中UE将第一PLMN的5GS NAS安全上下文标记为对第一接入有效并且对第二接入有效。在步骤803中，UE通过第二接入注册到第二PLMN，其中UE已经将第二PLMN的5GS NAS安全上下文标记为对第一接入无效并且对第二接入无效。在步骤804中，UE保持第二接入在第二PLMN中的注册，其中UE将所存储的第二PLMN的5GS NAS安全上下文保持为对第一接入无效并且对第二接入无效。

尽管为了说明的目的结合特定的具体实施例描述了本发明，但是本发明不限于此。因此，在不脱离如权利要求书所规定的本发明的范围的情况下，可以对所描述的实施例的各种特征进行各种修改、改编和组合。