多RAT接入层安全性的制作方法

本公开一般涉及安全性上下文设定领域。更具体地说，本公开涉及支持在无线通信网络中的安全性上下文设定的技术。

背景技术：

安全性是如今移动通信系统中至关重要的方面。例如，长期演进（lte）的安全性设计提供区室化（compartmentalization）。区室化主要包括确保如果攻击者破解一个功能的安全性，则仅该功能受到损害。例如，存在用于无线电资源控制（rrc）协议的加密的一个密钥和用于rrc协议的完整性保护的另一密钥。rrc是信令协议，其将更低层用于信令消息的分段和可靠有序输送。rrc适合用于要求可靠输送的任何大小的消息，诸如用户设备（ue）配置。在lte和lte-高级（lte-a）中，rrc涉及到在ue与移动性管理实体（mme）之间的非接入层（nas）消息交换以及在ue和演进nodeb（enodeb或简写enb）两者上提供各种控制平面功能。

接入层（as）安全性由控制平面的完整性保护（即，rrc信令）以及控制和用户平面两者的加密组成。如果攻击者破解rrc加密密钥，则攻击者能够解密和读取所有rrc消息。然而，由于完整性密钥不同于加密密钥，因此，攻击者不能修改或注入rrc消息。已破解rrc加密密钥的攻击者也不能使用该密钥在数据无线电承载（drb）上偷听，因为它们使用单独的加密密钥（且反之亦然）。区室外设计的另一部分是每个enb使用单独的密钥集。基本原理是这确保侵入一个enb的攻击者未获得有关在ue与另一物理上不同的enb之间传送的数据的任何信息。为维持侵入一个物理无线电接入网络（ran）节点（即，enb）对攻击另一ran节点没有帮助的性质，辅助enb应使用与在锚enb中使用的密钥集分离的其自己的密钥集，然而，它能够如在lte双连接性中一样从锚enb被导出。

典型地，在新无线电接入技术（rat）被标准化时，这通过也引入投合该rat的单独核心网络来完成，并且3gpp引入经由核心网络以最小服务中断从一个rat移动到另一rat的机制。因此，在任何情况下，从一个rat移动到另一rat意味着建立朝向目标rat的rrc连接和从源rat去除rrc连接，并且因为这些rrc连接在锚定在不同核心网络的不同逻辑节点中终止（即，是完全单独的ue连接），所以在它们之间没有协同的可能性。

信令承载和/或数据承载建立和/或信令承载和/或数据承载恢复要求大量的信令步骤，导致例如信令开销和/或长的信令持续时间。用于安全性上下文设定的当前信令过程尚未被设计成或至少未被优化成支持如在多rat网络中一样由多个空中接口组成的ran架构。甚至是在ue的第一rat和第二rat连接将朝向相同或换而言之，共享的无线电节点和/或核心网络节点时，情况也是这样。

更进一步，安全性上下文可以对不同rat（尽管紧密集成）或标准版本或ue能力或装置类别是不同的。例如，可对不同rat的安全性密钥有不同的长度要求，或者网络终止可在要求单独的密钥集的单独的节点中。

技术实现要素：

因此，存在对用于支持在多rat无线通信网络中的安全性上下文设定的改进技术的需要。

根据第一方面，提供了一种支持在无线通信网络中的安全性上下文设定的方法。方法包括由无线通信网络的无线电接入网络（ran）元件在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定。

通过此方式，降低了用于第一和第二rat，即多rat环境的as安全性上下文设定的信令。因此，能够简化多rat安全性上下文设定。

术语无线电接入技术（rat）可被理解为用于基于无线电的通信网络的基础物理连接技术。无线电接入网络元件可包括或者被配置为无线电接入网络的基站。

共用信令过程可包括与第一rat和第二rat均有关的一个或多个消息的交换。

方法可包括由ran元件接收来自无线通信网络的核心网络（cn）元件的第一ran密钥材料。第一ran密钥材料使ran元件能发起用于第一rat的as安全性上下文设定。方法进一步包括由ran元件接收来自无线通信网络的cn元件的第二ran密钥材料。第二ran密钥材料使ran元件能发起用于第二rat的as安全性上下文设定。

在此情况下，可向ran发信号通知两个单独的密钥材料，一个用于第一rat和一个用于第二rat。密钥材料可用于设定安全性上下文。从cn接收的密钥材料可以但不是必须在安全性上下文设定中被直接使用，例如，可在以后被使用。

方法可包括由ran元件接收来自无线通信网络的cn元件的第一ran密钥材料。第一ran密钥材料使ran元件能发起用于第一rat的as安全性上下文设定。方法可进一步包括由ran元件从接收的第一ran密钥材料导出第二ran密钥材料。第二ran密钥材料使ran元件能发起用于第二rat的as安全性上下文设定。

在此情况下，用于第一rat的第一ran密钥材料可用于导出用于第二rat的密钥材料。密钥材料可随后用于设定安全性上下文。

发起as安全性上下文设定的步骤可包括直接使用接收的第一ran密钥材料来发起用于第一rat的as安全性上下文设定。备选的是，发起as安全性上下文设定的步骤可包括从接收的第一ran密钥材料导出第三ran密钥材料，并且使用导出的第三ran密钥材料来发起用于第一ran的as安全性上下文设定。例如，从cn接收的第一ran密钥材料可以但不是必须在安全性上下文设定中被直接使用，例如，可在以后被使用。例如，可从第一ran密钥材料导出第三ran密钥材料，并且可将第三ran密钥材料用于设定用于第一rat的安全性上下文。由于第二ran密钥材料是从接收的第一ran密钥材料导出，因此，用于第一和第二rat，即多rat环境的as安全性设定的信令被甚至进一步降低。因此，能够甚至进一步简化多rat安全性上下文设定。

在一个或多个实施例中，发起as安全性上下文设定的步骤可包括由ran元件将用于第一rat和第二rat的共用as安全性模式命令消息传送到无线通信网络的无线通信装置。

方法可包括由ran元件接收as安全性模式完成消息，该消息通知ran元件用于第一rat和第二rat的as安全性上下文设定的完成。

ran元件可对应于实现第一rat的ran元件。进一步，ran元件可对应于或者可不同于实现第二rat的ran元件。

根据第二方面，提供了一种支持在无线通信网络中的安全性上下文设定的方法。方法包括由无线通信网络的核心网络（cn）元件通知无线通信网络的无线电接入网络（ran）元件在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定。

方法可包括由cn元件接收来自无线通信装置的有关关于第一rat和第二rat的无线通信装置的安全性能力的信息。

方法可包括由cn元件在共用信令过程中发起用于第一rat和第二rat的非接入层（nas）安全性上下文设定。

通过此方式，降低了用于第一和第二rat，即多rat环境的nas安全性上下文设定的信令。因此，能够甚至进一步简化多rat安全性上下文设定。

共用信令过程可包括与第一rat和第二rat均有关的一个或多个消息的交换。

发起nas安全性上下文设定的步骤可包括由cn元件请求无线通信装置执行朝向cn元件的鉴权。

方法可包括由cn元件导出使无线通信装置能执行针对第一rat的鉴权和使无线通信装置能执行针对第二rat的鉴权的cn密钥材料。

方法可包括由cn元件向无线通信装置传送cn密钥材料。

方法可包括由cn元件接收来自无线通信装置的鉴权响应消息。

方法可包括由cn元件导出用于nas通信的完整性保护和加密的cn密钥材料。

方法可包括由cn元件向无线通信装置传送用于第一rat和第二rat的nas安全性模式命令消息。nas安全性模式命令消息使无线通信装置导出用于nas通信的完整性保护和加密的cn密钥材料。

方法可包括由cn元件接收来自无线通信装置的用于第一rat和第二rat的nas安全性模式完成消息。

根据第三方面，提供了一种支持在无线通信网络中的安全性上下文设定的方法。方法包括由无线通信网络的无线通信装置在共用信令过程中接收来自无线通信网络的无线电接入网络（ran）元件的使无线通信能设定用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文的信息。方法进一步包括由无线通信装置设定用于第一rat和第二rat的as安全性上下文。

方法可包括由无线通信装置接收来自无线通信网络的ran元件的用于第一rat和第二rat的共用as安全性模式命令消息。

方法可包括由无线通信装置向ran元件传送as安全性模式完成消息。as安全性模式完成消息可通知ran元件用于第一rat和第二rat的as安全性上下文设定的完成。

方法可包括由无线通信装置向无线通信网络的核心网络（cn）元件传送有关关于第一rat和第二rat的无线通信装置的安全性能力的信息。

方法可包括由无线通信装置接收来自cn元件的执行朝向cn元件的鉴权的请求。

方法可包括由无线通信装置向cn元件传送鉴权响应消息。

方法可包括由无线通信装置接收来自cn元件的用于第一rat和第二rat的nas安全性模式命令消息。方法可进一步包括由无线通信装置从接收的nas安全性模式命令消息导出用于第一rat和第二rat的nas通信的完整性保护和加密的cn密钥材料。

方法可包括由无线通信装置向cn元件传送用于第一rat和第二rat的nas安全性模式完成消息。

根据第四方面，提供了一种计算机程序。计算机程序包括程序代码部分，其用于计算机程序在计算机系统上或者在一个或更多计算装置上被运行时促使本文中描述的方法方面的任何一个方面的步骤被执行。计算机程序可被存储在计算机可读记录媒体上或者可作为信号是可下载的。

根据第五方面，提供了一种用于支持在无线通信网络中的安全性上下文设定的无线电接入网络（ran）元件。ran元件包括配置成在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定的发起组件。

ran元件可以是或者包括实现第一rat的无线电接入网络元件和实现第二rat的无线电接入网络元件中的至少之一。

ran元件可配置成执行本文中相对于第一方面描述的任何方法步骤的方法。ran元件可包括或者被配置为无线电基站、无线电网络控制器（rnc）、nodeb、enodeb、5g无线电单元控制器或5g基站，或者是其的一部分。

根据第六方面，提供了一种用于支持在无线通信网络中的安全性上下文设定的核心网络（cn）元件。cn元件包括配置成通知无线通信网络的无线电接入网络（ran）元件在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定的通知组件。

cn元件可配置成执行本文中相对于第二方面描述的任何方法步骤的方法。

根据第七方面，提供了一种用于支持在无线通信网络中的安全性上下文设定的无线通信装置。无线通信装置包括接收组件和设定组件。接收组件配置成在共用信令过程中接收来自无线电接入网络（ran）元件的使无线通信装置能设定用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文的信息。设定组件配置成设定用于第一rat和第二rat的as安全性上下文。

无线通信装置可配置成执行本文中相对于第三方面描述的任何方法步骤的方法。无线通信装置可包括或者被配置为用户设备（ue），或者是其的一部分。

根据第八方面，提供了一种无线通信系统。无线通信系统包括如本文中所描述的ran元件、如本文中所描述的cn元件和诸如用户设备（ue）的一个或多个无线通信装置。无线通信系统可配置成执行如本文中所描述的方法方面的任何一方面的步骤。

通常，本文中描述的方法方面的任何一方面的步骤可同样在一个或多个适合组件、装置或单元中被执行，例如，在ran元件、cn元件、无线通信装置和/或无线通信系统中的适合组件中被执行。

附图说明

在下述内容中，将参照图中所图示的示范实施例进一步描述本公开，其中：

图1是图示了与lte安全性设定有关的信令步骤的流程图；

图2是包括无线通信装置的装置实施例、无线电接入网络元件的装置实施例和核心网络元件的装置实施例的系统的一实施例的示意图；

图3是图示了在图2的系统中执行的方法实施例的流程图；

图4是用于5gran的节点间接口的示意图；

图5是用于5gran中空中接口的协议架构的示意图；

图6是图示了能够在图2的系统中被执行的经由单个rat的组合附连过程的流程图；

图7是以示意图方式图示了无线电接入网络元件或无线通信装置或核心网络元件的一实施例的框图；

图8是以示意图方式图示了无线电接入网络元件的又一实施例的框图；

图9是以示意图方式图示了核心网络元件的又一实施例的框图；以及

图10是以示意图方式图示了无线通信装置的又一实施例的框图。

具体实施方式

在下面的描述中，为便于解释而不是限制，陈述了特定的细节，诸如包括特定网络节点的特定的网络拓扑，以便提供对本公开的详尽理解。本领域技术人员将明白，在脱离这些特定细节的其它实施例中，可实践本公开。例如，虽然主要参照作为用于在无线通信网络中使用的技术的特定示例的长期演进（lte）来描述本公开，但可在使用对应用户设备（ue）的移动或固定用户可附连到的任何网络中实践本公开。例如，本公开适用于诸如全球移动通信系统（gsm）网络、通用移动电信系统（umts）网络、lte-高级（lte-a）网络、5g网络、wifi网络的其它蜂窝网络或无线局域网（wlan）或类似的无线网络以及其的组合。

本领域技术人员将进一步领会，本文中下面解释的功能可使用单独的硬件电路系统，使用结合编程的微处理器或通用计算机运行的软件，使用专用集成电路（asic）和/或使用一个或多个数字信号处理器（dsp）来实现。也将领会的是，在本公开被描述为一种方法时，它也可在计算机处理器和耦合到处理器的存储器中被实施，其中，存储器编码有用来在被处理器执行时促使处理器执行本文中公开的方法的一个或多个程序。

在下面详细解释实施例前，给出了关于ue上下文和安全性设定的一些通用信息。

ue上下文是通用术语，用来指代参数集和/或给定的ue关联的信息和/或朝向给定网络节点的ue连接。在lte的情况中，例如，存在如在ts36.401v12.2.0（2015-03）中所指定的在enb中需要的几个类型的ue关联。在该情况下，“enbue上下文”可用于存储用于在连接状态中ue所需要的所有信息以及在ue与用于s1/x2-apue关联消息的逻辑s1和x2连接之间的关联。

更具体地说，enbue上下文可在3gppts36.401v12.2.0（2015-03）的意义上被理解为在关联到一个活跃ue（例如在rrc_connected状态）的enb中的信息块。信息块可包含维持朝向活跃ue的e-utran服务所要求的必需信息。例如，ue状态信息、安全性信息（例如，算法、安全性密钥和参数）、ue能力信息（例如，载波支持、mimo、传送格式等）、ue身份（例如，c-rnti，s-tmsi）和ue关联的逻辑s1-连接的身份中的一个或多个可被包括在enbue上下文中。在到用于ue的活跃状态的转变被完成时，或者在目标enb中在切换准备期间切换资源分配完成后，例如在到e-utran的切换完成后，enbue上下文的建立可被视为完成。在lte中，当在e-utran与ue之间的专用连接不存在时，无ue上下文信息被存储在e-utran中。这基本上意味着在ue从rrc_connected移动到rrc_idle状态时，enbue上下文被丢弃。

在ue被开启并且附连到网络时，mmeue上下文被创建。mme向ue指派称为sae临时移动订户身份（s-tmsi）的唯一短临时身份，其标识在mme中的ue上下文。该ue上下文保持从归属订户服务器（hss）下载的用户预订信息。在mme中预订数据的本地存储允许诸如承载建立的过程的更快执行，因为它去除了每次咨询hss的需要。另外，ue上下文也保持动态信息，诸如建立的承载的列表和终端能力。

为降低在e-utran中的开销和在ue中的处理，接入网络中所有ue有关信息能够在长期的数据不活动期间被释放。ue随后处在ecm-idle状态中。mme保留ue上下文和有关在这些闲置状态时期期间建立的承载的信息。为允许网络联系ecm-idleue，无论何时ue移出其当前跟踪区域（ta），它便就其当前新地点更新网络；此过程被称为“跟踪区域更新”。当ue处在ecm-idle中时，mme负责跟踪用户地点。在该意义上，能够说在ta级别上的ue地点是在mme的ue上下文的一部分。

在存在需要输送下行链路数据到ecm-idleue时，mme向在其当前ta中所有enb发送寻呼消息，并且enb通过无线电接口寻呼ue。在接收到寻呼消息时，ue执行服务请求过程，其使得将ue移动到ecm-connected状态。ue有关的信息由此在e-utran中被创建，并且承载被重新建立。mme负责无线电承载的重新建立和更新enodeb中的ue上下文。在ue状态之间的此转变被称为“闲置到活跃转变”。

mme负责建立用于ue与核心网络之间的控制信令的安全性。在ue附连到网络时，在ue与mme/hss之间执行ue和网络的相互鉴权。此鉴权功能也建立安全性密钥kasme，其是针对被导出用于在ran中使用的所有随后密钥的基础。

lte的安全性设计提供区室化。区室化主要包括确保如果攻击者破解一个功能的安全性，则仅该功能受到损害。例如，如威胁分析中所解释的，存在用于rrc协议的加密的一个密钥和用于rrc协议的完整性保护的另一密钥。

接入层（as）安全性由控制平面的完整性保护（即，rrc信令）以及控制和用户平面两者的加密组成。完整性保护算法被应用于信令无线电承载（srb）（例如，两个信令无线电承载srb1和srb2）。加密算法被应用于无线电承载（例如，两个信令无线电承载srb1和srb2以及数据无线电承载drb）。另一方面，完整性保护或加密均未被应用于另一信令无线电承载（例如，信令无线电承载srb0）。

如果攻击者破解无线电资源控制（rrc）加密密钥，则攻击者能够解密和读取所有rrc消息。然而，由于完整性密钥不同于加密密钥，因此，攻击者不能修改或注入rrc消息。已破解rrc加密密钥的攻击者也不能使用该密钥在drb上偷听，因为它们使用单独的加密密钥（且反之亦然）。

区室化设计的另一部分是每个enb使用单独的密钥集。基本原理是它确保侵入一个enb的攻击者未获得有关在ue与另一物理上不同的enb之间传送的数据的任何信息。为维持侵入一个物理ran节点（即，enb）对攻击另一ran节点没有帮助的性质，辅助enb应使用与在锚enb中使用的密钥集分离的其自己的密钥集，然而，它能够像在lte双连接性中一样从锚enb被导出。

进一步地解释，在lte中的安全性密钥能够按等级排序，其中在等级中较低级别上的密钥从在相同或更高级别的密钥被导出。顶部级别密钥是k，并且它具有在通用订户身份模块（usim）和hss（鉴权中心，auc）中存储的永久值。从该k，加密密钥（ck）和完整性密钥（ik）在ue与hss/mme之间运行的鉴权过程期间被导出。从ck/ik，ue和hss导出称为kasme的密钥。hss向mee转发kasme。在mme从kasme导出nas（在mme与ue之间）密钥（knasint，knasenc）和kenb。在enb从由mme转发到enb的kenb导出as（在enb与ue之间）安全性密钥（krrcint，krrcenc，kupenc）。

现在相对于图1，描述安全性设计原理的进一步细节。即，下面描述并且在图1中示出用于在epc中安全性配置的不同步骤。

在步骤step1中，ue附连到用于lte服务的mme。为此，mme接收来自ue的附连请求（指示支持的lte安全性算法的ue网络能力，imsi）以获得对网络的初始接入。

在步骤step2中，mme对ue鉴权并且导出kasme。为此，mme通过向auc/hss发送鉴权数据请求，请求与国际移动订户身份（imsi）有关的鉴权向量（av）。在导出随机（rand）、预期响应（xres）、kasme（从ck、ik和plmnid导出）、鉴权令牌（autn）后，auc将它们组合为鉴权向量（av=rand||xres||kasme||autn），并且将它发送到附连在鉴权数据响应内的mme。

随后，mme从av取回kasme、随机（rand）、预期响应（xres）和autn。mme将autn和rand与鉴权请求一起发送到ue。ue通过检查接收的autn来对网络鉴权。随后，它导出ik、ck（和从ck/ik导出kasme）、res、autn和rand。它将响应（res）连同鉴权响应一起发送。在接收res后，mme将它与xres比较，并且如果它匹配，则鉴权被认为是成功的（否则，mme向ue发送鉴权失败）。接着，mme导出knasint、knasenc。到密钥导出的输入是由mme基于在接收的附连请求消息中包括的ue网络能力信息选择的具体nas加密和完整性算法。最后，mme将用于受从此具体kasme导出的密钥保护的nas消息的下行链路nas计数器设置为零，并且在非加密消息中发送nas安全性模式命令（包括kasme标识符（ksiasme）、完整性算法、加密算法、ue安全性能力、nas-mac）。在这里，使用knasint和选择的完整性算法为整个消息的完整性保护生成nas-mac（用于nas的消息鉴权码）。在接收到nas安全性模式命令后，ue将在消息中的kasme标识符（ksiasme）设置为其的ksiasme，并且将它用作当前kasme的标识符；计算kasme、kenb、knasint、knasenc；以及通过xnas-mac来验证安全性模式命令消息的完整性。接着，ue在受完整性保护的消息内(类似地通过nas-mac)向mme发送nas安全性模式完成。

mme从kasme导出kenb，并且向enb发送kenb。ue从kasme导出kenb，以便计算其它安全性密钥和激活安全性。

在步骤step3中，在从ue接收nas安全性模式完成后，mme计算kenb，并且将它与附加ue安全性能力和kenb的s1ap初始上下文设定请求一起发送到enb。在接收到kenb后，enb从其计算krrcint、krrcenc、kupenc。随后，它发送as安全性模式命令，其包括as完整性和加密算法以及通过使用krrcint生成的mac-i（用于完整性的消息鉴权码）。在这里，消息受完整性保护并且未被加密。在接收到as安全性模式命令后，ue识别安全性算法；计算krrcint、krrcenc、kupenc；并且通过xmac-i验证安全性模式命令消息的完整性。最后，ue在采用mac-i进行完整性保护的情况下，将as安全性模式完成发送到enb。

应注意，在上述给定步骤后，除将仅被加密的用户数据外，大多数nas和as消息将受完整性保护并且被加密。

现在将描述用于as安全性密钥的rrc配置。rrc配置与其关联的所有pdcp实体。具体地说，rrc给pdcp实体配置加密密钥和配置数据，诸如要应用哪些安全性算法。enb中的密钥集由如上所讨论的kenb、和kupenc、krrcenc和krrcint组成。rrc给用于用户平面业务（drb）的每个pdcp实体配置加密密钥kupenc，并且给用于控制平面业务（srb）的每个pdcp实体配置一个加密密钥krrcenc和一个完整性保护密钥krrcint。对于用于保护在施主enb与中继节点之间数据的drb，rrc也给drb配置完整性保护密钥kupint。

as安全性激活能够被描述如下。as安全性模式命令过程启动用于在enb与ue之间无线电承载（rb）的安全性。遵循此过程，安全性是活跃的，直至ue或enb终止rrc连接。这暗示在enb经由rrc重新配置过程建立新drb时，安全性已经是活跃的，并且enb和ue将从开始便对在drb上的pdcp分组加密。

如上相对于图1所描述的，当前信令过程尚未被设计成或至少优化成支持由多个空中接口组成的ran架构，其中这些空中接口能够在它们的ue上下文中具有一些不同方面。

一个示例可包括对不同rat（尽管紧密集成）或标准版本或ue能力或装置类别是不同的安全性上下文。例如，可对不同rat的安全性密钥有不同的长度要求，或者网络终止可在要求单独的密钥集的单独的节点中。

如上相对于图1所解释的，信令承载建立和/或数据承载建立和/或信令承载和/或数据承载恢复要求大量的信令步骤，导致例如信令开销和/或长的信令持续时间，特别是在采用多个空中接口的紧密集成时。甚至是在ue的第一rat和第二rat连接将朝向相同或换而言之，共享的无线电节点和/或核心网络节点时，情况也是这样。

图2示出包括无线通信装置100的实施例、无线电接入网络（ran）元件200的实施例和核心网络（cn）元件300的实施例的无线通信系统20的实施例。

无线通信装置100适应于支持在无线通信网络中的安全性上下文设定。无线通信装置100可以是或包括根据lte或lte-a可操作的用户设备（ue），或者是其的一部分。

无线通信装置100包括接收组件120和设定组件140。无线通信装置100可进一步包括传送模块160。接收组件120配置成在共用信令过程中从ran元件（例如ran元件200）接收使无线通信装置100能设定用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文的信息。设定组件140配置成设定用于第一rat和第二rat的as安全性上下文。接收组件120可配置成接收来自例如ran元件200的ran元件和/或例如cn元件300的cn元件的另外信息。传送组件160可配置成向例如ran元件200的ran元件和/或例如cn元件300的cn元件传送信息。

ran元件200适应于支持在无线通信网络中的安全性上下文设定。ran元件200可在lte或lte-a情况下是或包括enodeb，或者是enodeb的一部分。

ran元件200包括发起组件220。ran元件200可进一步包括接收组件240和/或导出组件260。发起组件220配置成在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定。接收组件240可配置成接收来自无线通信装置（例如来自无线通信装置100）或cn元件（例如cn元件300）的信息。导出组件260可配置成例如从接收的信息导出某些信息。

cn元件300适应于支持在无线通信网络中的安全性上下文设定。cn元件300可在lte或lte-a的情况下是或包括移动性管理实体（mme），或是mme的一部分。

cn元件300包括通知组件320。cn元件300可进一步包括接收组件340和导出组件360。通知组件320配置成通知无线通信网络的例如ran元件200的ran元件在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定。接收组件240可配置成接收来自无线通信装置（例如来自无线通信装置100）或ran元件（例如ran元件200）的信息。导出组件360可配置成例如从接收的信息导出某些信息。

下面将相对于图3进一步描述无线通信装置100、ran元件200和cn元件300。

图3示出能够在图2的无线通信系统20中被实现的方法实施例。更详细地说，图3的第一步骤s302示出能够在图2的cn元件300中被实现的方法实施例，图3的第二步骤s304示出能够在图2的ran元件200中被实现的方法实施例，并且图3的第三步骤s306和第四步骤s308示出能够在图2的无线通信装置100中被实现的方法实施例。

图3的方法支持在无线通信网络中的安全性上下文设定，方法包括通知。

在步骤s302中，无线通信网络的例如cn元件300的cn元件通知无线通信网络的例如ran元件200的ran元件在共用信令过程中发起用于第一rat和第二rat的as安全性上下文设定。例如，cn元件300的通知组件320在步骤s302中通知无线通信网络的例如ran元件200的ran元件在共用信令过程中发起用于第一rat和第二rat的as安全性上下文设定。

在步骤s304中，无线通信网络的例如ran元件200的ran元件在共用信令过程中发起用于第一rat和第二rat的as安全性上下文设定。例如，ran元件200的发起组件220在步骤s304中在共用信令过程中发起用于第一rat和第二rat的as安全性上下文设定。

在步骤s306中，无线通信网络的例如无线通信装置100的无线通信装置在共用信令过程中从无线通信网络的例如ran元件200的ran元件接收使例如无线通信装置100的无线通信装置能设定用于第一rat和第二rat的as安全性上下文的信息。例如，无线通信装置100的接收组件120在步骤s306中在共用信令过程中从无线通信网络的例如ran元件200的ran元件接收使例如ue100的无线通信能设定用于第一rat和第二rat的as安全性上下文的信息。在步骤s308中，例如无线通信装置100的无线通信装置设定用于第一rat和第二rat的as安全性上下文。例如，无线通信装置100的设定组件140在步骤s308中设定用于第一rat和第二rat的as安全性上下文。

下面主要在lte的上下文内描述本公开。应理解，本文中描述的问题和解决方案同样适用于实现其它接入技术和标准的无线接入网络和用户设备（ue）。因此，lte被用作示例技术，其中提议的技术是适合的，并且因此在下述内容中使用lte对于理解本文中描述的技术是有用的。因此，在下述内容中，为便于解释而不是限制起见，无线电接入网络元件200将被称为enb200以通过示例说明无线电接入网络元件200能够被配置为基站，并且本文中提议的技术能够在lte中被使用和实现。类似地，无线通信装置100将被称为ue100以通过示例说明本文中提议的技术能够在lte中被使用和实现。类似地，cn元件300将被称为mme300以通过示例说明cn元件300能够被配置为移动性管理实体，并且本文中提议的技术能够在lte中被使用和实现。

类似地，上下文信息将被称为enbue上下文。enbue上下文可在3gppts36.401的意义上被理解为在关联到一个活跃ue的enb中的信息块。信息块可包含维持朝向活跃ue的e-utran服务所要求的必需信息。例如，ue状态信息、安全性信息、ue能力信息和ue关联的逻辑s1-连接的身份中的一个或多个可被包括在enbue上下文中。在到用于ue的活跃状态的转变被完成时，或者在目标enb中在到e-utran的切换完成后，enbue上下文的建立可被视为完成。

下面相对于图6到10，描述关于ue100、enb200、mme300和包括ue100、enb200、mme300的系统20以及在其中执行的方法的进一步示范细节。在解释这些细节前，参见图4和5简要解释有关5gran架构的概念的一些通用信息。

为在数据率和等待时间方面满足5g要求，需要设计成在更高频率中操作的新空中接口（例如，高于6ghz）。与分配到lte的当前频带相比较，存在多得多的挑战传播条件，因此，新空中接口的覆盖能够是参差不齐的。为克服更早强调的传播挑战，具体地说在网络侧的波束成形的广泛使用是高频无线接入的基本部分。尽管有潜在的链路预算增益，但纯粹依赖波束成形和在更高频率中的操作的系统的可靠性可能是具挑战性的（覆盖可能对时间和/或空间变化更敏感）。

为支持要求极低等待时间（大约1ms）的应用（诸如一些超可靠机器类型通信用例），基于更短传送时间间隔（tti）的新时间域结构和与被指定用于lte的带宽相比用于无线电资源块的更宽带宽很可能要被定义用于新5g空中接口。

与5g研究活动平行，3gpp在不断添加新特征到lte，并且可能在5g进入市场时，lte应能解决许多5g要求。除此之外，lte也被预期会被繁重地部署，以及它在带有更佳传播性质的频带中操作的事实使得lte和在更高频带中操作的新空中接口的紧密集成变得极具吸引力。

关于5gran架构，当前在不同参与方之中存在关于用来实现此类紧密集成的架构备选方案的一些在进行的讨论。在一些讨论中，诸如在eu项目metis-ii中，假设与在不同网络接入之间的当前互配不同，将在ran协议栈中存在共用功能性。在当前系统中，与该假设不同，互配依赖用于用户平面（up）和控制平面（cp）两者的节点间接口。例如，在e-utran和utran互配的情况中，mme和s-gw经由s11接口互连。此类架构仅经由用于多个空中接口的硬切换（始终牵涉到核心网络信令）和半独立资源管理，基本上允许覆盖连续性和负载平衡。e-utran与utran之间的互配之间的细节能够在例如ts36.300v13.1.0（2015-09）或其的其它版本中找到。

为实现在lte与新5g空中接口之间的紧密集成，如图5中所示出的，在依赖共用rrc/pdcp协议层的逻辑架构中提议了它（参见“tightintegrationofnew5gairinterfaceandltetofulfill5grequirements”，vtcspring2015-1stinternationalworkshopon5garchitecture，glasgow，scotland）。“ai”表示空中接口，其在下述内容中有时被称为nx、5gnx或简称为5g。

图4中示出了用于共用节点间接口的一可能实施例。

现在在图6中解释图2和3的实施例的进一步细节。更详细地说，如在图6中所图示的，下述内容可由ue100和/或enb200和/或mme300执行。为了说明而不是限制，第一rat（rat1）和第二rat（rat2）由相同enb，即在图6中的enb200支持。然而，这不要被理解为限制。相反，rat1和rat2可由不同enb支持，例如，enb200支持rat1，并且不同enb支持rat2。因此，本公开同样地适用，而与一个bs是否实现两个rat或者所述两个rat是否在不同bs中被单独实现无关。假设对于两个rat，每ue只有一个ran-cn连接。第一rat和第二rat能够在一个bs中被组合，或者能够被分布到两个单独的bs。在对于第一和第二rat为单独bs的情况中，在下面的方法前，第二rat的bs通知第一rat的bs有关用于第二rat的bs的安全性能力。进一步，如上所提及的，在对于第一和第二rat为单独bs的情况中，第二rat的bs不需要到cn的连接。

在下述内容中解释了如何经由共用过程来处理ue安全性上下文（假设带有诸如lte和另一rat的多个空中接口的紧密集成的情况），以便能够实现用于多rat（例如，4g和5g）的快速、有效和安全连接建立，而不论最初在使用的是哪个接入技术（例如，用于附连过程）。在这里，5g可指lte演进或能够被假设为5g的另一rat。

安全性上下文可包括安全性能力、密钥、算法和可用参数。对于一些过程，多rat安全性上下文的子集（例如，安全性密钥、参数或算法）可以（对于不同rat）是相同的，从而最小化上下文开销和处理量。然而，即使有关过程对于不同rat是相同或类似的，情况也可以不是始终如此。例如，如果rat不是被共同放置在安全物理节点中，则即使能够再使用相同类型密钥材料和有关过程，也可需要上下文变换以便不破坏在背景部分中提及的区室化原理。

据此，ue100能够为“仅lte”或“仅5g”或者为“组合的lte和5g”进行附连。在5g和lte组合的附连（例如，经由5grat）的情况中，本文中包括的方法包括如相对于图6在下述内容中所解释的步骤中的一个或多个步骤。

相对于图6，在第一步骤step1中，ue100附连到用于5g和lte服务两者的cn。为此，ue100在它通过rat1附连时向cn300（指处理附连请求的逻辑cn功能和/或cn网络元件，例如mme300）发送（例如，在附连消息中）有关用于rat1和rat2两者的安全性能力的其上下文信息（例如，经由在附连请求中可用的ue网络能力信息的支持的安全性算法）（步骤s602）。相应地，ue100在附连请求内被指示为lte+5gue。换而言之，在向cn300发送初始l3消息（例如，出于cn附连的目的的attachrequest；用于经由第一rat通知cn有关idle模式移动性事件的跟踪区域更新（tau）请求）时，ue100通知cn300（在下述内容中，它将有时指mme300，其通常被称为cn元件或仅简称为cn300）有关在第一rat和第二rat方面的其安全性能力。

如上所陈述的，ue100能够包括用于lte以及用于5g服务的指示符。因此，如本文中所描述的，cn300能够将ran元件200触发到组合的激活。为完成安全性设定描述，ue100能够包括其lte安全性能力。存在用于不同接入类型的支持的加密和完整性算法。附连类型的指示能够对ue在附连消息中包括哪些能力是隐式的。通常，在cn中保持对于ue所支持的所有rat的ue安全性能力以用于将来rat间切换可以是有益的。

在通知cn300有关ue100安全性能力后，在步骤step2中执行用于nas的安全性设定（用于信令的ue-cn）。为此，cn300在nas鉴权请求消息中请求ue100的鉴权（步骤s606），并且导出cn密钥材料（对两个rat是共用的或者对每个rat是单独的）。ue验证鉴权请求的真实性，并且通过鉴权响应消息作出回复（步骤s608），以及导出对应cn密钥材料。换而言之，cn300对用于5g和lte服务两者的ue100进行鉴权，并且导出cn级密钥（例如，kasme）。更详细地说，例如mme300的cn300通过向auc/hss400发送鉴权数据请求，请求与国际移动订户身份（imsi）有关的鉴权向量（av）（步骤s604）。在这里，av能够是与5g和lte两者有关的双向量。此外，auc400认识到ue100是双ratue100。cn从与5g和lte两者有关的双av取回安全性密钥和参数。在步骤s606中，cn300向ue100发送鉴权请求，该鉴权请求对5g和lte两者均是有效的。ue100通过检查接收的安全性参数、导出安全性密钥和其它参数，来对cn300鉴权。该导出针对nx和lte两者来进行。这样，ue100将同时运行共用或单独的鉴权算法，并且在步骤s608中准备单个消息（例如，鉴权响应）。

在ue100发送鉴权响应消息时，以及在cn300接收鉴权响应消息时，ue100和cn300认为鉴权对两个rat被完成。cn300导出用于nas通信的完整性保护和加密的另外cn密钥材料，并且在nas安全性模式命令消息中发送使ue100能导出到ue100的该另外cn密钥材料的信息（步骤s610）。此信息可对应于从中能够导出cn密钥材料、ran密钥材料或两者的某种信息。消息可包括cn和/或ran密钥材料是用于第一rat、第二rat或用于两者的指示。ue100导出该另外cn和ran密钥材料，并且在nas安全性模式命令完成消息中向cn300回复（步骤s612）以向cn300确认过程在ue100成功地被完成。在此方面中，导出密钥材料不一定需要被立即执行，而是典型地在它第一次应被使用时被导出（在第一消息被加密前，加密密钥不需要由发送器计算）。

进一步地解释，cn300对用于5g和lte两者的鉴权进行验证，并且基于能够对两个rat是共用或单独的选择的安全性算法，导出密钥和另外参数。接着，cn300在步骤s610中发送nas安全性命令，带有用于lte和5g两者的相关安全性参数、能力和完整性保护。在接收到对两个rat有效的nas安全性模式命令后，ue100能够导出另外的安全性密钥和参数；并且验证安全性模式命令消息的完整性。接着，ue100在步骤s612中向cn300发送nas安全性模式完成，带有用于lte和5g两者的相关安全性参数、能力和完整性保护。

在导出cn密钥材料后，在步骤step3中执行用于as的安全性设定（用于信令和用户平面的ue-ran）。为此，cn300从cn密钥材料导出ran密钥材料（对两个rat是共用的，或者对每个rat是单独的），并且在步骤s614中向ran元件200（在下述内容中有时也被称为enb200）发送ran密钥材料，例如在s1apue初始上下文设定消息中（在nas级）进行发送。如果enb200尚未接收到用于第二rat的ran密钥材料，则enb200从用于第一rat的ran密钥材料导出此ran密钥材料。随后，enb200例如在as安全性模式命令消息中向ue100发送使ue100能导出ran密钥材料，并且激活用于两个rat的as安全性的信息（步骤s616）。ue100导出此ran密钥材料，并且在其as安全性模式完成消息中通知第一rat的enb200或者第二rat的enb200（例如，在rrc消息中捎带）。如果消息被发送到第二rat的基站，则第二rat的基站向第一rat的基站发送x2ap指示。此指示向第一rat的基站指示为两个rat建立了安全性。

进一步地解释，cn300从共用（例如，kasme）或单独cn级密钥材料导出用于5g和lte安全性两者的共用（例如，kenb）或单独ran级密钥材料，并且向ran元件200发送导出的ran级密钥材料（步骤s614）。ue100也导出相同ran级密钥材料（例如从kasme导出kenb）以便计算其它安全性密钥和激活用于5g和lte服务两者的端对端安全性。在步骤s612中接收来自ue100的nas安全性模式完成后，通过附加ue安全性能力以及lte和5g密钥或用于lte和5g两者的共用ran级密钥材料的s1ap初始上下文设定请求，cn在步骤s614中向ran元件200发送用于lte和5g两者的ran级密钥材料（例如，共用kenb）。这样，cn300向ran元件200给出了双安全性上下文。在接收ran级密钥材料后，ran元件进行完整性检查，并且从其计算用于lte和5g两者的要求的as密钥和参数。随后，在步骤s616中它发送具有用于带有完整性保护的lte和5g两者的要求的安全性参数的共用as安全性模式命令。这样，组合的激活能得以实现。在接收到as安全性模式命令后，ue100识别安全性算法，并且计算用于lte和5g两者的as安全性密钥；并且验证安全性模式命令消息的完整性。最后，在步骤s618中，ue100向带有完整性保护的ran元件发送共用as安全性模式完成。

ran元件200从kenb导出nx密钥，并且使用5g密钥作为用于应在5g上使用的任何加密和完整性密钥的基础。有关上面给出的步骤的一些变化可以是可能的。例如，代替在其中mme300直接导出5g和lte密钥或共用kenb（例如，从共用kasme），并且向ran元件200提供该导出的情况，ran元件200能够也从kenb导出5g密钥，并且能够使用5g密钥作为用于应在5g上使用的任何加密和完整性密钥的基础。特别是在5g和lterat不是被共同放置（由于区室化原理）时，这可以是强制性的。

注意，从cn元件300向ue100发送从中能够导出ran密钥的信息是一个选项。另一个选项是从ran元件200向ue100发送此类信息。也可能两段信息均被发送，并且ran密钥从它们两者中被导出。

如上所述，如果一些步骤被认为对ran是透明的，例如，特别是在共用密钥材料、算法被用于设定多个rat安全性时，则cn可需要向ran明确指示要做什么。类似地，可需要例如经由安全性模式命令，向ue100明确确认要激活哪些rat安全性。能够在ran或cn级上作出对于要创建和激活的as安全性上下文的判定。尽管有ue100的双rat安全性能力的指示，ran元件200或cn元件300可拒绝用于特定rat的安全性设定。在此情况下，mme300或enb200能够通过如图6中所示出的只对一个rat（例如，rat1安全性）作出响应，隐式地确认拒绝安全性设定（例如，rat2安全性）。备选的是，能够在专用信令过程内发信号通知任何拒绝或失败消息。

在图6的变化中，即使mme300能够成功针对两个rat的ue100鉴权，并且创建要求的上下文，但用于某个rat和安全性（例如，用于rat2的as安全性）的安全性激活能够被推迟。这能够是例如由于移动性、业务负载、安全性策略或任何其它原因。

如本文中所解释的，经由共同过程来处理用于安全性的多rat上下文，以便能够实现用于多rat的快速、有效和安全连接建立。据此，ue能请求多rat安全性设定，并且网络（nw）能够运行单个过程（例如，安全性模式命令）来激活用于lte和5g两者的安全性。为了能够这样做，nw可需要从与用于此ue的lte和5g两者有关的另一网络元件获得要求的信息。

在本文中，描述了用于同时信令的机制，该同时信令关于设定在用于两个或更多rat（例如lte、5g）的网络与ue之间的安全性。可以为或可以不为两个ran同时进行安全性的激活。为两个层激活安全性。第一层是在ue与cn节点之间，并且第二层是在ue与ran节点之间。该机制包括借助于第一单个nas过程的在ue与cn之间的相互鉴权。进一步地，第二cn节点通知ue是否将在用于第一nas层的单个过程中同时为两个或更多rat激活安全性。第一和第二cn节点能够是相同的。通知可也指示是否将为第二层激活安全性（用于两个或更多rat的as）。如果通知未应用到as，则ran节点使用as过程，激活用于as的安全性。

在无本文中描述的过程的情况下，对于每个ue到cn连接，可存在在ue与cn之间的安全性设定，并且对于lte，可另外存在单独的as安全性设定。例如，对于lte和3g，将必须运行与图6中步骤step2和step3的信令对应的两个单独过程。在其中ue被连接到一个3gpprat，并且随后被切换到第二rat的情形中，ue和cn节点首先必须运行信令以建立用于第一rat的安全性，并且随后在切换期间，它们需要进一步执行信令以建立用于第二rat的安全性。在其中ue执行从lte到3g的切换的情形中，ue不执行用于3g的安全性建立，而是信任在lte中使用的相同安全性参数。换而言之，没有用于3g的安全性设定。

通过本文中描述的过程，用于有能力采用两个rat的ue的安全性上下文设定能够在每层一个单过程中针对所述两个rat同时地被处理，以降低信令开销。进一步，安全性上下文设定能够包括鉴权过程、nas（cn-ue）激活过程和as激活过程（ran-ue），其中每个过程可为两个rat使用共同过程。进一步，对于两个rat的从bs到ue的单个as安全性模式命令请求可在对于两个rat的ue安全性中进行激活。更进一步地，对于两个rat的从cn到ue的单个nas安全性模式命令请求可在对于所述两个rat的用于cn密钥的ue安全性中进行激活，并且可能通知ue有关as安全性模式命令是否应当应用到rat之一或两者。

在本文中，描述了经由假设有多个空中接口（诸如lte和5g）的紧密集成的情形的共同过程来处理ue安全性上下文的方法。方法可被概括如下：

1.ue附连到用于5g和lte服务两者的cn。

2.cn为5g和lte服务两者对ue鉴权，并且导出cn级密钥（例如，kasme）。

3.a.cn从共用（例如，kasme）或单独cn级密钥材料导出用于5g和lte两者的共用（例如，kenb）或单独ran级密钥材料；以及向ran元件发送导出的ran级密钥材料。ue也类似地导出相同密钥材料（例如从kasme导出kenb）以便计算其它安全性密钥和激活用于nx/5g和lte服务两者的端对端安全性。

b.ran元件从kenb导出nx/5g密钥，并且使用5g密钥作为用于应在5g上使用的任何加密和完整性密钥的基础。

在这里，cn指例如处理附连请求的逻辑cn功能和/或cn网络元件，并且ran元件指示在其中多rat连接（像共用rrc实体）在网络侧被端接的ran节点或逻辑功能。

因此，用于第二rat安全性的信令被降低，例如到最小值。与lte双连接性在相同安全性级别上的ran密钥材料的区室化能够被保证。也就是说，获得用于第二rat的密钥材料的攻击者将没有对用于第一rat的密钥材料的接入权，但获得用于第一rat的密钥材料的攻击者将能导出用于第二rat的密钥材料。

通过本文中描述的技术，提供了处理用于多个rat的安全性上下文和有关安全性过程的更有效方式。因此，其信令开销和能量消耗可被降低。在ue分别在双或多个rat之中设定双或多连接性，以便第二rat的安全性上下文已被准备好时，发生信令降低。用于第二rat的安全性参数能够在为第一rat应用的安全性过程上被捎带提供。

事先为双/多rat创建安全性上下文也意味着在从一个rat切换到另一rat时，用户平面能够更快地被启用。

可相对于图7来概述上面相对于图2到6解释的细节。图7是以示意图方式图示了支持在无线通信网络中的安全性上下文设定的网络元件2的装置实施例的框图。

作为示例，网络元件2被描述成实现根据图2的实施例的无线电接入网络元件200的功能性。无线电接入网络元件2包括相互耦合的存储器4和处理器6。无线电接入网络元件可进一步包括耦合到处理器6的可选接口。存储器4包含由处理器6可执行的控制指令。

处理器6配置成在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定。接口可配置成执行与通信网络的其它组件的任何通信。例如，接口可向通信网络的其它组件传送信息和/或可接收来自通信网络的其它组件的信息。

备选的是，网络元件2被描述成实现根据图2的实施例的核心网络元件300的功能性。无线电接入网络元件2包括相互耦合的存储器4和处理器6。无线电接入网络元件可进一步包括耦合到处理器6的可选接口。存储器4包含由处理器6可执行的控制指令。处理器6配置成通知无线通信网络的无线电接入网络（ran）元件在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定。接口可配置成执行与通信网络的其它组件的任何通信。例如，接口可向通信网络的其它组件传送信息和/或可接收来自通信网络的其它组件的信息。

备选的是，网络元件2被描述成实现根据图1的实施例的无线通信装置100的功能性。无线电接入网络元件2包括相互耦合的存储器4和处理器6。无线电接入网络元件可进一步包括耦合到处理器6的可选接口。存储器4包含由处理器6可执行的控制指令。处理器6配置成在共用信令过程中接收来自无线通信网络的无线电接入网络（ran）元件，使无线通信能设定用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文的信息。处理器进一步配置成设定用于第一rat和第二rat的as安全性上下文。

图8示出根据如上所描述的本公开的原理配置的无线电接入网络元件20的功能框图。网络元件20的功能块可由硬件、软件或硬件和软件的组合实现以执行本公开的原理。本领域技术人员理解，在图8中描述的功能块可被组合在一个或多个块中，或者被分离成子块，用以实现如上所描述的本公开的原理。因此，本文中的描述可支持本文中描述的功能块的任何可能组合或分离或其它定义。

图8的无线电接入网络元件20用于支持在无线通信网络中的安全性上下文设定。网络元件20包括用于在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定的发起模块22。

网络元件20可包括接收模块24。接收模块用于由ran元件接收来自无线通信网络的核心网络（cn）元件的第一ran密钥材料。第一ran密钥材料使ran元件能发起用于第一rat的as安全性上下文设定。接收模块进一步用于由ran元件接收来自无线通信网络的cn元件的第二ran密钥材料。第二ran密钥材料使ran元件能发起用于第二rat的as安全性上下文设定。

接收模块可用于由ran元件接收来自无线通信网络的cn元件的第一ran密钥材料。第一ran密钥材料使ran元件能发起用于第一rat的as安全性上下文设定。网络元件20可进一步包括用于由ran元件从接收的第一ran密钥材料导出第二ran密钥材料的导出模块。第二ran密钥材料使ran元件能发起用于第二rat的as安全性上下文设定。

网络元件20可进一步包括用于由ran元件将用于第一rat和第二rat的共用as安全性模式命令消息传送到无线通信网络的无线通信装置的传送模块26。

接收模块可进一步用于由ran元件接收as安全性模式完成消息，其通知ran元件用于第一rat和第二rat的as安全性上下文设定的完成。

网络元件20可对应于实现第一rat的ran元件，并且可对应于或不同于实现第二rat的ran元件。

图9示出根据如上所描述的本公开的原理配置的核心网络元件40的功能框图。网络元件40的功能块可由硬件、软件或硬件和软件的组合实现以执行本公开的原理。本领域技术人员理解，在图9中描述的功能块可被组合在一个或多个块中，或者被分离成子块，用以实现如上所描述的本公开的原理。因此，本文中的描述可支持本文中描述的功能块的任何可能组合或分离或其它定义。

图9的核心网络元件40支持在无线通信网络中的安全性上下文设定。核心网络元件40包括用于通知无线通信网络的无线电接入网络（ran）元件在共用信令过程中发起用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文设定的通知模块42。

核心网络元件40可包括用于由cn元件接收来自无线通信装置的有关关于第一rat和第二rat的无线通信装置的安全性能力的信息的接收模块44。

核心网络元件40可包括用于由cn元件在共用信令过程中发起用于第一rat和第二rat的非接入层（nas）安全性上下文设定的发起组件46。

发起模块可进一步用于发起nas安全性上下文设定，包括由cn元件请求无线通信装置向cn元件执行鉴权。

核心网络元件40可包括用于由cn元件导出使无线通信装置能为第一rat执行鉴权和使无线通信装置能为第二rat执行鉴权的cn密钥材料的导出模块48。

核心网络元件40可包括用于由cn元件向无线通信装置传送cn密钥材料的传送模块50。

接收模块可进一步用于由cn元件接收来自无线通信装置的鉴权响应消息。

导出模块可进一步用于由cn元件导出用于nas通信的完整性保护和加密的cn密钥材料。

传送模块可进一步用于由cn元件向无线通信装置传送用于第一rat和第二rat的nas安全性模式命令消息，nas安全性模式命令消息使无线通信装置能导出用于nas通信的完整性保护和加密的cn密钥材料。

接收模块可进一步用于由cn元件接收来自无线通信装置的用于第一rat和第二rat的nas安全性模式完成消息。

图10示出根据如上所描述的本公开的原理配置的无线通信装置60的功能框图。无线通信装置6的功能块可由硬件、软件或硬件和软件的组合实现以执行本公开的原理。本领域技术人员理解，在图10中描述的功能块可被组合在一个或多个块中，或者被分离成子块，用以实现如上所描述的本公开的原理。因此，本文中的描述可支持本文中描述的功能块的任何可能组合或分离或其它定义。

图10的无线通信装置60支持在无线通信网络中的安全性上下文设定。无线通信装置60包括用于在共用信令过程中从无线通信网络的无线电接入网络（ran）元件接收使无线通信能设定用于第一无线电接入技术（rat）和第二rat的接入层（as）安全性上下文的信息的接收模块62。无线通信装置60进一步包括用于设定用于第一rat和第二rat的as安全性上下文的设定模块64。

接收模块可进一步用于由无线通信装置接收来自无线通信网络的ran元件的用于第一rat和第二rat的共用as安全性模式命令消息。

无线通信装置60可进一步包括用于由无线通信装置向ran元件传送as安全性模式完成消息的传送模块66，其中as安全性模式完成消息通知ran元件用于第一rat和第二rat的as安全性上下文设定的完成。

传送模块可进一步用于由无线通信装置向无线通信网络的核心网络cn元件传送有关关于第一rat和第二rat的无线通信装置的安全性能力的信息。

接收模块可进一步用于由无线通信装置接收来自cn元件的执行朝向cn元件的鉴权的请求。

传送模块可进一步用于由无线通信装置向cn元件传送鉴权响应消息。

接收模块可进一步用于由无线通信装置接收来自cn元件的用于第一rat和第二rat的nas安全性模式命令消息，以及由无线通信装置从接收的nas安全性模式命令消息导出用于第一rat和第二rat的nas通信的完整性保护和加密的cn密钥材料。

传送模块可进一步用于由无线通信装置向cn元件传送用于第一rat和第二rat的nas安全性模式完成消息。

从前面的描述中，将完全理解本公开的许多优点，并且将明白的是，在不脱离本公开的范围的情况下和/或在不牺牲所有其优点的情况下，可在单元和装置的形式、构造和布置中进行各种更改。由于能够以许多方式改变本公开，因此，将认识到的是，本公开应仅受随附权利要求的范围的限制。