用于NAS消息的安全保护的系统和方法与流程

用于nas消息的安全保护的系统和方法
1.相关申请
2.本非临时专利申请要求2018年9月24日提交的第62/735,732号美国临时专利申请的优先权，所述美国临时专利申请如同完全提供一般以引用的方式并入本文。
技术领域
3.本公开涉及通信系统领域，且具体地，涉及网络中的安全性。


背景技术：

4.服务提供商或运营商实施移动网络，以向通常被称为用户设备(ue)的移动电话或其他移动装置/终端的最终用户提供大量语音和数据服务。语音服务的一些示例是语音呼叫、呼叫转移、呼叫等待等。数据服务的一些示例是因特网访问、流媒体音频、流媒体视频、在线游戏、因特网协议电视(ip
‑
tv)等。移动网络是到最终用户的最后链接为无线的一种网络类型。移动网络通常包括核心网络以及通过无线电接口与ue交换信令和数据的一个或多个无线电接入网(ran)。典型的移动网络在逻辑上分为用户平面和控制平面。用户平面是负责承载通过网络发送的用户数据的逻辑平面，而控制平面是负责承载用于为ue建立通信的信令的逻辑平面。第三代合作伙伴计划(3gpp)规范将蜂窝协议分为两个层次：非接入层(nas)和接入层(as)。as由ue与ran(例如，enodeb)之间经由射频(rf)信道发生的通信组成。nas由ue与核心网络(例如，用于lte的移动性管理实体(mme)或用于网络生成网络的接入和移动性管理功能(amf))之间的非无线电信令流量组成。3gpp已经实施了安全过程来保护控制平面消息(例如，nas消息)免受各种攻击。然而，有利的是识别为控制平面消息提供进一步保护的增强的安全过程。


技术实现要素：

5.本文描述的实施方案为nas消息提供增强的保护。nas过程(例如，ue的注册)包括携带信息的信息元素(ie)集。以下描述的实施方案阐述了保护在nas消息中发送的ie或ie的子集的方式。因此，ie中携带的信息不太容易受到恶意攻击。
6.一个实施方案包括移动网络的网络元件。所述网络元件包括处理器和存储器，所述存储器包括可由处理器执行的计算机程序代码。处理器被配置成使网络元件在多个阶段中执行nas过程，以在网络元件与ue之间建立nas通信会话。对于nas过程的第一阶段，处理器进一步被配置成使网络元件从ue接收初始nas消息，其中所述初始nas消息用来自用于nas过程的nas协议ie的指定用于安全相关处理的nas协议ie的子集填充。处理器进一步被配置成使网络元件处理nas协议ie的子集以确定对于ue不存在nas安全上下文，选择用于nas安全上下文的nas安全算法，并且向ue发送指示nas安全上下文的nas安全算法以及安全密钥集标识符的响应。对于nas过程的第二阶段，处理器进一步被配置成使网络元件从ue接收具有nas消息容器的后续nas消息，所述nas消息容器包含基于nas安全算法加密的初始nas消息；并对后续nas消息的nas消息容器进行解密，其中包含在后续nas消息的nas消息容
器中的初始nas消息用用于nas过程的每个nas协议ie填充。
7.在另一个实施方案中，对于第一阶段，使用用于ue的归属公共陆地移动网络(hplmn)的公钥来对初始nas消息中的nas协议ie的子集进行加密。处理器进一步被配置成使网络元件发起对nas协议ie的子集的解密。
8.在另一个实施方案中，网络元件包括移动网络的接入和移动性管理功能(amf)元件。
9.在另一个实施方案中，处理器进一步被配置成使网络元件将已加密的nas协议ie的子集发送至统一数据管理(udm)元件，以基于hplmn的私钥来对nas协议ie的子集进行解密。
10.在另一个实施方案中，初始nas消息包括注册请求消息。被指定用于安全相关处理的nas协议ie的子集由以下项组成：ue的移动身份、指示ue支持的一种或多种nas安全算法的ue安全能力、注册类型，以及nas安全上下文的安全密钥集标识符。
11.在另一个实施方案中，响应包括指示nas安全算法和安全密钥集标识符的安全模式命令消息，并且从ue接收的后续nas消息包括安全模式完成消息，所述安全模式完成消息具有包含基于nas安全算法加密的初始nas消息的nas消息容器。
12.在另一个实施方案中，移动网络包括第五代(5g)网络。
13.另一个实施方案包括一种执行nas过程以在ue与移动网络的网络元件之间建立nas通信会话的方法。对于nas过程的第一阶段，所述方法包括在网络元件处从ue接收初始nas消息，其中所述初始nas消息用来自用于nas过程的nas协议ie的指定用于安全相关处理的nas协议ie的子集填充。进一步对于第一阶段，所述方法包括：在网络元件处处理nas协议ie的子集以确定对于ue不存在nas安全上下文，在网络元件处选择用于nas安全上下文的nas安全算法，以及从网络元件向ue发送指示nas安全上下文的nas安全算法以及安全密钥集标识符的响应。对于nas过程的第二阶段，所述方法包括在网络元件处从ue接收具有nas消息容器的后续nas消息，所述nas消息容器包含基于nas安全算法加密的初始nas消息；并在网络元件处对后续nas消息的nas消息容器进行解密，其中包含在后续nas消息的nas消息容器中的初始nas消息用用于nas过程的每个nas协议ie填充。
14.在另一个实施方案中，对于第一阶段，使用用于ue的hplmn的公钥来对初始nas消息中的nas协议ie的子集进行加密，并且所述方法进一步包括发起对nas协议ie的子集的解密。
15.在另一个实施方案中，网络元件包括移动网络的amf元件，并且发起对nas协议ie的子集的解密的步骤包括：将已加密的nas协议ie的子集发送至udm元件，以基于hplmn的私钥来对nas协议ie的子集进行解密。
16.在另一个实施方案中，初始nas消息包括注册请求消息，并且被指定用于安全相关处理的nas协议ie的子集由以下项组成：ue的移动身份、指示ue支持的一种或多种nas安全算法的ue安全能力、注册类型，以及nas安全上下文的安全密钥集标识符。
17.在另一个实施方案中，响应包括指示nas安全算法和安全密钥集标识符的安全模式命令消息，并且从ue接收的后续nas消息包括安全模式完成消息，所述安全模式完成消息具有包含基于nas安全算法加密的初始nas消息的nas消息容器。
18.在另一个实施方案中，对于nas过程的第一阶段，所述方法在ue处包括以下步骤：
识别用于nas过程的指定用于安全相关处理的nas协议ie的子集，将nas协议ie的子集插入初始nas消息中，将初始nas消息从ue发送至网络元件，以及从网络元件接收指示nas安全上下文的nas安全算法以及安全密钥集标识符的响应。对于nas过程的第二阶段，所述方法在ue处包括以下步骤：将用于nas过程的nas协议ie插入初始nas消息中，将初始nas消息插入后续nas消息的nas消息容器中，使用nas安全算法对后续nas消息的nas消息容器进行加密，以及将后续nas消息从ue发送至网络元件。
19.在另一个实施方案中，对于第一阶段，所述方法进一步包括在ue处使用用于ue的hplmn的公钥来对初始nas消息中的nas协议ie的子集进行加密。
20.另一个实施方案包括一种ue，所述ue包括处理器和存储器，所述存储器包括可由处理器执行的计算机程序代码。处理器被配置成使ue在多个阶段中发起nas过程，以在ue与移动网络的网络元件之间建立nas通信会话。对于nas过程的第一阶段，处理器进一步被配置成使ue从用于nas过程的nas协议ie中识别指定用于安全相关处理的nas协议ie的子集。处理器进一步被配置成使ue将nas协议ie的子集插入初始nas消息中，将初始nas消息发送至网络元件，以及从网络元件接收指示nas安全上下文的nas安全算法以及安全密钥集标识符的响应。对于nas过程的第二阶段，处理器进一步被配置成使ue将用于nas过程的nas协议ie插入初始nas消息中，将初始nas消息插入后续nas消息的nas消息容器中，使用nas安全算法对后续nas消息的nas消息容器进行加密，以及将后续nas消息发送至网络元件。
21.在另一个实施方案中，对于第一阶段，处理器进一步被配置成使ue使用用于ue的hplmn的公钥来对初始nas消息中的nas协议ie的子集进行加密。
22.在另一个实施方案中，处理器进一步被配置成：当ue在umts订户标识模块(usim)上编程了公钥时，使ue使用公钥对初始nas消息中的nas协议ie的子集进行加密；以及当ue未在usim上编程公钥时，使ue将初始nas消息发送至网络元件而不对初始nas消息中的nas协议ie的子集进行加密。
23.在另一个实施方案中，初始nas消息包括注册请求消息，并且被指定用于安全相关处理的nas协议ie的子集由以下项组成：ue的移动身份、指示ue支持的一种或多种nas安全算法的ue安全能力、注册类型，以及nas安全上下文的安全密钥集标识符。
24.在另一个实施方案中，处理器被配置成：当注册类型不指示紧急时，使ue使用用于ue的hplmn的公钥来对初始nas消息中的nas协议ie的子集进行加密；以及当注册类型指示紧急时，使ue将初始nas消息发送至网络元件而不对初始nas消息中的nas协议ie的子集进行加密。
25.在另一个实施方案中，响应包括指示nas安全算法和安全密钥集标识符的安全模式命令消息，并且后续nas消息包括安全模式完成消息，所述安全模式完成消息具有包含基于nas安全算法加密的初始nas消息的nas消息容器。
26.另一个实施方案包括移动网络的网络元件。所述网络元件包括用于使网络元件在多个阶段中执行nas过程以在网络元件与ue之间建立nas通信会话的构件。对于nas过程的第一阶段，网络元件包括用于从ue接收初始nas消息的构件，其中所述初始nas消息用来自用于nas过程的nas协议ie的指定用于安全相关处理的nas协议ie的子集填充。网络元件进一步包括用于处理nas协议ie的子集以确定对于ue不存在nas安全上下文的构件，用于选择用于nas安全上下文的nas安全算法的构件，以及用于向ue发送指示nas安全上下文的nas安
全算法以及安全密钥集标识符的响应的构件。对于nas过程的第二阶段，网络元件进一步包括用于从ue接收具有nas消息容器的后续nas消息的构件，所述nas消息容器包含基于nas安全算法加密的初始nas消息；以及用于对后续nas消息的nas消息容器进行解密的构件，其中包含在后续nas消息的nas消息容器中的初始nas消息用用于nas过程的每个nas协议ie填充。
27.上面的概述提供了对说明书某些方面的基本理解。此概述不是对本说明书的详尽概述。它既不旨在识别本说明书的关键或重要元素，也不旨在描述本说明书的特定实施方案的任何范围或权利要求的任何范围。其唯一目的是以简化形式呈现本说明书的一些概念，以作为稍后所呈现的更详细描述的序言。
附图说明
28.现将通过仅示例的方式并且参照附图来描述本发明的一些实施方案。在所有附图上，相同的附图标记表示相同的元件或相同类型的元件。
29.图1示出了说明性实施方案中的移动网络。
30.图2示出了演进分组核心(epc)网络。
31.图3示出了下一代网络的非漫游架构。
32.图4示出了下一代网络的漫游架构。
33.图5示出了无线电协议栈。
34.图6是说明性实施方案中的ue的框图。
35.图7是说明性实施方案中的网络元件的框图。
36.图8是示出说明性实施方案中在ue中执行nas过程的方法的流程图。
37.图9是示出说明性实施方案中在网络元件中执行nas过程的方法的流程图。
38.图10是示出在说明性实施方案中当ue没有安全上下文时的nas过程的消息图。
39.图11是示出另一个说明性实施方案中在ue 110中执行nas过程的方法的流程图。
40.图12是示出另一个说明性实施方案中在网络元件中执行nas过程的方法的流程图。
41.图13是示出在说明性实施方案中当ue没有安全上下文时的nas过程的消息图。
42.图14是示出另一个说明性实施方案中在ue中执行nas过程的方法的流程图。
43.图15是示出另一个说明性实施方案中在网络元件中执行nas过程的方法的流程图。
44.图16是示出在说明性实施方案中当ue具有有效安全上下文时的nas注册过程的消息图。
45.图17是示出在说明性实施方案中当ue具有有效安全上下文时的nas服务请求过程的消息图。
46.图18是示出在说明性实施方案中当ue具有有效安全上下文时的nas注销过程的消息图。
47.图19a至图19b是示出说明性实施方案中在ue中执行nas过程的方法的流程图。
48.图20是示出说明性实施方案中在网络元件中执行nas过程的方法的流程图。
49.图21是示出在说明性实施方案中当ue具有nas安全上下文，但nas安全上下文无效
或未找到时的nas注册过程的消息图。
50.图22是示出在说明性实施方案中当ue具有nas安全上下文，但nas安全上下文无效或未找到时的nas服务请求过程的消息图。
具体实施方式
51.附图和以下描述示出了具体的示例性实施方案。因此应了解，本领域的技术人员将能够设想各种布置，虽然这些布置未在本文中明确地描述或展示，但是它们体现了实施方案的原理并且包括在实施方案的范围内。此外，本文中描述的任何示例旨在帮助理解实施方案的原理，并且应解释为不限于这些具体列举的示例和条件。因此，一个或多个发明构思不限于以下描述的特定实施方案或示例，而是由权利要求书及其等同物来限定。
52.图1示出了说明性实施方案中的移动网络100。移动网络100(也称为蜂窝网络)是最后一条链路为无线的一种网络类型，并且向多个装置提供语音和/或数据服务。移动网络100可以是第三代(3g)、第四代(4g)和/或下一代网络(例如，第五代(5g))。
53.移动网络100被示为向ue 110(以及未示出的其他ue)提供通信服务。可以使ue 110获得语音服务、数据服务、机器对机器(m2m)或机器类型通信(mtc)服务和/或其他服务。ue 110可以是例如移动电话(例如，智能电话)、平板计算机或pda、具有移动宽带适配器的计算机等最终用户装置。
54.移动网络100包括通过无线电接口122与ue 110进行通信的一个或多个无线电接入网(ran)120。ran 120可以支持演进型umts陆地无线接入网(e
‑
utran)接入、无线局域网(wlan)接入、固定接入、卫星无线电接入、新无线电接入技术(rat)等。作为示例，ran 120可以包括e
‑
utran或下一代ran(ng
‑
ran)，其包括分散在地理区域上的一个或多个基站124。基站124可以包括使用无线电通信技术在许可频谱上与ue进行通信并且使ue与核心网络介接的实体。e
‑
utran中的基站124被称为演进型nodeb(enodeb)。ng
‑
ran中的基站124被称为gnodeb(nr基站)和/或ng
‑
enodeb(支持5g核心网的lte基站)。作为另一示例，ran 120可以包括wlan，所述wlan包括一个或多个无线接入点(wap)125。wlan是其中ue能够通过无线(无线电)连接而连接至局域网(lan)的网络。wap 125是使用无线电通信技术以通过非许可频谱与ue进行通信并提供对核心网络的ue访问的节点。wap 125的一个示例是在2.4ghz或5ghz无线电频段上运行的wifi接入点。如本文所使用的术语“基站”可以指enodeb、gnodeb、ng
‑
enodeb、wap等。
55.ue 110能够附接至ran 120的小区126以访问核心网络130。因此，ran 120代表ue 110与核心网络130之间的无线电接口。核心网络130是移动网络100的中心部分，其向通过ran 120所连接的客户提供各种服务。核心网络130的一个示例是由3gpp针对lte建议的演进分组核心(epc)网络。核心网络130的另一个示例是3gpp建议的5g核心网络。核心网络130包括网络元件132，其可以包括为ue 110提供服务的服务器、装置、设备或装备(包括硬件)。epc网络中的网络元件132可以包括移动性管理实体(mme)、服务网关(s
‑
gw)、分组数据网络网关(p
‑
gw)等。5g网络中的网络元件132可以包括访问和移动性管理功能(amf)、会话管理功能(smf)、策略控制功能(pcf)、应用功能(af)、用户平面功能(upf)等。
56.图2示出了演进分组核心(epc)网络200，其是用于lte的核心网络。epc网络200包括移动性管理实体(mme)214、服务网关(s
‑
gw)215、分组数据网络网关(p
‑
gw)216、归属订户
服务器(hss)217以及策略和计费规则功能(pcrf)218，但也可以包括其他未显示的元件，例如ip多媒体子系统(ims)应用服务器。在epc网络200内，用户数据(也称为“用户平面”)和信令(也称为“控制平面”)是分开的。mme 214处理epc网络200中的控制平面。例如，mme 214处理与用于e
‑
utran接入的移动性和安全性有关的信令。mme 214负责跟踪和寻呼空闲模式下的ue 110。s
‑
gw 215和p
‑
gw 216处理用户平面。s
‑
gw 215和p
‑
gw 216在ue 110与外部数据网络240(dn或分组数据网络(pdn))之间传输数据流量。s
‑
gw 215是无线电侧与epc网络200之间的互连点，并且通过路由传入和传出ip分组来为ue 110服务。s
‑
gw 215也是lte内移动性的锚点(即，在enodeb之间进行切换的情况下)，并且在lte与其他3gpp接入之间。p
‑
gw 216是epc网络200与外部数据网络240之间的互连点(即，数据网络240的入口点或出口点)，并将分组路由到数据网络240和从所述数据网络路由分组。hss 217是存储与用户有关和与订户有关的信息的数据库。pcrf 218在epc网络200中提供策略和计费控制(pcc)解决方案，并且是epc网络200的为最终用户请求的服务制定pcc规则的节点或实体。
57.mme 214通过s1
‑
mme接口连接至ran 120(即，enodeb)，并且s
‑
gw 215通过s1
‑
u接口连接至ran 120。mme 214通过s11接口连接至s
‑
gw 215，并且通过s6a接口连接至hss 217。pcrf 218通过gx接口连接至p
‑
gw 216，所述接口将策略和计费规则从pcrf 218传输到p
‑
gw 216中的策略和计费执行功能(pcef)。pcrf 218通过gxx接口连接至s
‑
gw 215，并且s
‑
gw 215通过s5接口连接至p
‑
gw 216。
58.图3示出了下一代网络的非漫游架构300。图3中的架构是参考点表示，如在如同完全包含在本文中以引用方式并入的3gpp ts 23.501(v15.3.0)中进一步描述。架构300包括用于核心网络的网络功能(nf)，并且用于控制平面的网络功能与用户平面分开。核心网络的控制平面包括认证服务器功能(ausf)310、统一数据管理(udm)312、网络片选择功能(nssf)313、接入和移动性管理功能(amf)314、会话管理功能(smf)316、策略控制功能(pcf)318和应用功能(af)320。核心网络的用户平面包括与数据网络240通信的一个或多个用户平面功能(upf)324。ue 110能够通过(r)an 120访问核心网络的控制平面和用户平面。
59.ausf 310被配置成支持ue 110的认证。udm 312被配置成存储ue 110的订阅数据/信息。udm 312可以存储三种类型的用户数据：订阅、策略和与会话有关的上下文(例如，ue位置)。amf 314被配置成提供基于ue的认证、授权、移动性管理等。smf 316被配置成提供以下功能性：会话管理(sm)、ue因特网协议(ip)地址分配和管理、upf的选择和控制、朝向pcf 318的接口的终止、策略执行和服务质量(qos)的控制部分、合法拦截、nas消息的sm部分的终止、下行链路数据通知(dnn)、漫游功能性、处理本地执行以对服务水平协议(sla)应用qos、计费数据收集和计费接口等。如果ue 110具有多个会话，则可以将不同的smf分配给每个会话以分别管理它们，并可能在每个会话提供不同的功能性。pcf 318被配置成支持统一策略框架以管理网络行为，并提供策略规则来控制平面功能以用于qos执行、计费、接入控制、流量路由等。af 320将有关分组流的信息提供给pcf 318。基于所述信息，pcf 318被配置成确定关于移动性和会话管理的策略规则，以使amf 314和smf 316正常运行。
60.upf 324支持各种用户平面操作和功能性，例如分组路由和转发、流量处理(例如qos执行)、rat内/rat间移动性的锚点(适用时)、分组检查和策略规则执行、合法拦截(up收集)、流量统计和报告等。数据网络240不是核心网络的一部分，并且提供因特网访问、运营商服务、第三方服务等。例如，国际电信联盟(itu)将5g移动网络服务分为三类：增强型移动
宽带(embb)、超可靠和低延迟通信(urllc)，以及大规模机器类型通信(mmtc)或大规模物联网(miot)。embb专注于具有高带宽要求的服务，例如hd视频、虚拟现实(vr)和增强现实(ar)。urllc专注于对延迟敏感的服务，例如自动驾驶和远程管理。mmtc和miot专注于对连接密度要求很高的服务，例如智慧城市和智慧农业。数据网络240可以被配置成提供这些和其他服务。
61.架构300包括以下参考点。n1参考点在ue 110与amf 314之间实现。n2参考点在(r)an 120与amf 314之间实现。n3参考点在(r)an 120与upf 324之间实现。n4参考点在smf 316与upf 324之间实现。n5参考点在pcf 318与af 320之间实现。n6参考点在upf 324与数据网络240之间实现。n7参考点在smf 316与pcf 318之间实现。n8参考点在udm 312与amf 314之间实现。n9参考点在两个upf 324之间实现。n10参考点在udm 312与smf 316之间实现。n11参考点在amf 314与smf 316之间实现。n12参考点在amf 314与ausf 310之间实现。n13参考点在udm 312与ausf 310之间实现。n14参考点在两个amf之间实现。n15参考点在非漫游场景下在pcf 318与amf 314之间实现。n22参考点在nssf 313与amf 314之间实现。
62.图4示出了下一代网络的漫游架构400。图4中的架构是参考点表示中的本地疏导场景，如在3gpp ts 23.501(v15.3.0)中进一步描述的。在漫游场景中，示出了拜访公共陆地移动网络(vplmn)402和归属plmn(hplmn)404。hplmn 404识别其中保存了移动订户的简档的plmn。vplmn是移动订户在离开其hplmn时漫游的plmn。漫游到其他网络的用户将从hplmn 404接收订阅信息。在本地疏导场景中，pcf 318(hpcf)、udm 312和ausf 310位于ue 110的hplmn 404中。包括访问的pcf(vpcf)418在内的其他网络功能位于vplmn 402中。
63.图5示出了例如用于无线电接口122的无线电协议栈500。如本文描述的，用户平面512包括用于通过网络传输实际用户数据的一组协议，并且控制平面514包括用于控制和建立网络内的用户连接和承载的协议。对于用户平面512和控制平面514，无线电协议栈500包括物理(phy)层501，媒体接入控制(mac)层502、无线电链路控制(rlc)层503和分组数据汇聚协议(pdcp)层504。控制平面514另外包括无线电资源控制(rrc)层505和非接入层(nas)层506。
64.物理层501在无线电接口上承载来自mac传输信道的所有信息。数据和信令消息承载于物理层501的不同层级之间的物理信道上。物理信道分为物理数据信道和物理控制信道。物理数据信道可以包括物理下行链路共享信道(pdsch)、物理广播信道(pbch)、物理组播信道(pmch)、物理上行链路共享信道(pusch)和物理随机接入信道(prach)。物理控制信道可以包括物理控制格式指示符信道(pcfich)、物理混合arq指示符信道(phich)、物理下行链路控制信道(pdcch)和物理上行链路控制信道(pucch)。
65.mac层502负责逻辑信道与传输信道之间的映射；将来自一个或不同逻辑信道的mac服务数据单元(sdu)多路复用到要在传输信道上传递到物理层的传输块(tb)上；从在传输信道上从物理层传递的传输块解复用来自一个或不同逻辑信道的mac sdu；调度信息报告；通过混合自动重传请求(harq)进行纠错；借助于动态调度在ue之间进行优先级处理；在一个ue的逻辑信道之间进行优先级处理；以及逻辑信道优先化。rlc层503负责上层协议数据单元(pdu)的传输，通过arq进行纠错，以及rlc sdu的级联、分段和重组。rlc层503还负责rlc数据pdu的重新分段、rlc数据pdu的重新排序、复制检测、rlc sdu丢弃、rlc重建以及协议错误检测。pdcp层504负责ip数据的报头压缩和解压缩；数据(用户平面或控制平面)的传
输；pdcp序列号(sn)的维护；在重建下层时上层pdu的按顺序传递；在重建下层用于rlc确认模式(am)上映射的无线电承载时下层sdu的复制删除；用户平面数据和控制平面数据的加密和解密；控制平面数据的完整性保护和完整性验证；基于计时器的丢弃；重复丢弃等。rrc层505负责与nas有关的系统信息的广播；与接入层(as)有关的系统信息的广播；ue与ran之间的rrc连接的寻呼、建立、维护和释放；包括点对点无线电承载(rb)的密钥管理、建立、配置、维护和释放在内的安全功能。nas层506表示ue与核心网络之间的控制平面514的最高层(例如mme/amf)，并且支持ue的移动性和会话管理程序以建立和维持ue与核心网络之间的ip连接。
66.网络的目标之一是提高整体系统安全性。一个特别关注的领域是nas消息的安全保护。在本文描述的实施方案中，ue 110和网络元件132被增强以提供对nas消息的附加安全保护。
67.图6是说明性实施方案中的ue 110的框图。ue 110包括无线电接口组件602、一个或多个处理器604、存储器606、用户接口组件608和电池610。无线电接口组件602是表示ue 110的本地无线电资源的硬件组件，例如rf单元620(例如，收发器)和一个或多个天线622，其用于经由无线电或“空中”信号与基站(例如，基站124)进行无线通信。处理器604表示提供ue 110的功能的内部电路系统、逻辑、硬件、软件等。处理器604可以被配置成对加载到存储器606中的软件执行指令640。取决于特定的实现方式，处理器604可以包括一个或多个处理器的集合，或者可以包括多处理器核心。存储器606是用于数据、指令640、应用程序等的计算机可读存储介质，并且可由处理器604访问。存储器606是能够临时和/或永久地存储信息的硬件存储装置。存储器606可以包括随机存取存储器或任何其他易失性或非易失性存储装置。用户接口组件608是用于与最终用户进行交互的硬件组件。例如，用户接口组件608可以包括显示器650、屏幕、触摸屏等(例如，液晶显示器(lcd)、发光二极管(led)显示器等)。用户接口组件608可以包括键盘或小键盘652、跟踪装置(例如，轨迹球或触控板)、扬声器、麦克风等。ue 110还包括通用集成电路卡(uicc)660，其是为ue 110提供安全和完整性功能的硬件装置。uicc 660可以托管通用订户标识模块(usim)662，所述usim存储或指示用于ue 110的hplmn的一个或多个公钥以及其他凭证。ue 110可以包括图6中未具体示出的各种其他组件。
68.处理器604可以实现一个或多个应用程序630。这些应用程序630可以通过ran 120和核心网络130访问下行链路(dl)数据，并且还可以生成用于通过ran 120和核心网络130传输到目的地的上行链路(ul)数据。处理器604还实现被配置成控制nas过程的nas控制器634，如下面更详细地描述。
69.图7是说明性实施方案中的网络元件132的框图。网络元件132是处理ue的安全和注册的服务器、装置、设备、装备(包括硬件)、系统、构件等。例如，网络元件132可以包括lte网络中的mme 214、下一代网络的amf元件314等。在此实施方案中，网络元件132包括在一个或多个平台上运行的以下子系统：网络接口组件702、安全管理器704和注册管理器706。网络接口组件702可以包括被配置成与其他网络元件和/或ue(例如，通过ran 120)交换控制平面消息或信令的电路系统、逻辑、硬件、构件等。网络接口组件702可以使用多种协议(包括nas协议)或参考点进行操作。安全管理器704可以包括电路系统、逻辑、硬件、构件等，其被配置成处理ue的认证和/或安全过程，例如创建nas安全上下文，选择用于nas安全上下文
的nas安全算法等。注册管理器706可以包括被配置成处理ue的注册的电路系统、逻辑、硬件、构件等。
70.网络元件132的一个或多个子系统可以在由模拟和/或数字电路系统组成的硬件平台上实现。网络元件132的一个或多个子系统可以在执行存储器732中存储的指令的处理器730上实现。处理器730包括被配置成执行指令的集成硬件电路，并且存储器732是用于数据、指令、应用程序等的非暂时性计算机可读存储介质，且可由处理器730访问。
71.网络元件132可以包括图7中未具体示出的各种其他组件。
72.当ue与接入安全管理实体(例如amf、mme等)之间已经存在nas安全上下文时，可以执行或调用nas过程。nas安全的目的是使用nas安全密钥在控制平面中在ue与接入安全管理实体之间安全地传递nas消息。每次对ue执行认证时，都会生成nas安全密钥。在完成nas安全设置之后，ue和接入安全管理实体将共享nas加密密钥和nas完整性密钥，这两个密钥分别用于nas消息传输之前的加密和完整性保护。当不存在nas安全上下文时，也可以执行或调用nas过程。首先描述这种场景。
73.示例1：无安全上下文
74.图8是示出说明性实施方案中在ue 110中执行nas过程的方法800的流程图。将参考图6中的ue 110来描述方法800的步骤，但是本领域技术人员将理解，方法800可以在其他网络或架构中执行。而且，本文描述的流程图的步骤也不是全部包括在内，且可以包括未示出的其他步骤，并且这些步骤可以按可替代的顺序执行。
75.对于此实施方案，可以假设在ue 110与网络元件132之间不存在nas通信会话。可以进一步假设ue 110处于非连接模式(例如，空闲模式)，并且正在转变为连接模式。ue 110中的nas控制器634发起nas过程以在ue 110与网络元件132之间建立nas通信会话(步骤802)。例如，nas过程可以包括注册过程。每个nas过程包括强制性nas协议ie集，并且还可以包括用于传输信息的可选nas协议ie集。因此，nas控制器634可以识别用于nas过程的nas协议ie(强制性和可选的)。
76.在此实施方案中，nas过程在多个阶段831至832中执行。对于nas过程的第一阶段831，nas控制器634识别指定用于安全相关处理的nas协议ie的子集(步骤804)。指定用于安全相关处理的nas协议ie的子集是指用于为ue创建或建立nas安全上下文的ie。可能期望在第一阶段831中提供最少的信息，因此nas协议ie的子集可以包括用于nas过程的用于建立nas安全上下文的最小数量的ie。对于注册过程，在一个示例中，nas协议ie的子集可以由以下项组成：ue的移动身份(例如5g
‑
guti或订阅隐藏标识符(suci))、指示ue支持的一种或多种安全算法的ue安全能力、注册类型(例如，初始、移动性、周期性、紧急情况等)，以及ue的nas安全上下文的安全密钥集标识符(例如，ngksi、eksi等)。
77.nas控制器634可以格式化或生成用于nas过程的初始nas消息，例如类型为“初始”的注册请求。初始nas消息是指在ue从非连接模式(例如，空闲模式)转变为连接模式之后发送的第一nas消息。nas控制器634将nas协议ie的子集包括在或插入初始nas消息中(步骤806)。在第一阶段831中，用nas协议ie的子集填充初始nas消息，并且在初始nas消息中填充的ie被限制为选择用于安全相关处理的nas协议ie的子集(即，仅由其组成或唯一地由其组成)。因为初始nas消息不包括用于nas过程的所有强制性nas协议ie，所以在第一阶段831中，初始nas消息被视为“部分”消息。从子集中排除的其他强制性nas协议ie将包括在另一
个nas消息中(作为第二阶段832的一部分)。然后，nas控制器634将初始nas消息发送至网络元件132(步骤810)。
78.在发送初始nas消息之前，nas控制器634可以可选地使用用于ue 110的hplmn的公钥来对初始nas消息中的nas协议ie的子集进行加密(可选步骤808)。每个hplmn可以根据椭圆曲线整体加密方案(ecies)分配公钥。根据保护方案，可能会有多个公钥。hplmn的公钥通常在ue 110的usim 662上提供。因此，nas控制器634能够对在初始nas消息中为第一阶段831识别的nas协议ie的子集进行加密。关于是否使用公钥对nas协议ie的子集进行加密的决定可以基于策略或标准。例如，当注册类型不指示紧急时(例如，注册类型＝初始)，nas控制器634可以对nas协议ie的子集进行加密，而当注册类型指示紧急时，所述nas控制器可以发送未加密的初始nas消息。在另一示例中，当ue 110在其usim 662上编程了公钥时，nas控制器634可以对nas协议ie的子集进行加密，而当ue 110未在usim 662上编程公钥时，所述nas控制器可以发送未加密的初始nas消息。
79.图9是示出说明性实施方案中在网络元件132中执行nas过程的方法900的流程图。将参考图7中的网络元件132来描述方法900的步骤，但是本领域技术人员将理解，方法900可以在其他网络或架构中执行。
80.对于第一阶段831，网络元件132的网络接口组件702从ue 110接收初始nas消息(步骤902)。在接收到初始nas消息之后，安全管理器704可以可选地处理初始nas消息，以确定是否使用hplmn的公钥来对信息进行加密。当初始nas消息被加密时，安全管理器704可以发起对初始nas消息中的nas协议ie的子集的解密(可选步骤904)。在一个示例中，安全管理器704可以被配置成在内部对nas协议ie的子集进行解密。在另一个示例中，安全管理器704可以将nas协议ie的子集发送至另一个网络元件(例如，udm元件312)以对nas协议ie的子集进行解密。
81.安全管理器704处理nas协议ie的子集，并确定对于ue 110不存在nas安全上下文(步骤906)。因为不存在nas安全上下文，所以安全管理器704可以发起认证过程以认证ue 110(步骤908)。认证过程(例如，认证和密钥协商(aka))用于在ue 110与移动网络100之间执行相互认证。尽管认证过程可能不同，但是通常，安全管理器704可以通过网络接口组件702将认证请求连同认证令牌一起发送至ue 110(可选步骤910)。响应于认证请求，ue 110在其终端处理认证步骤，并尝试验证认证令牌(参见图8的步骤812)。如果成功，则ue 110将移动网络100视为已认证。ue 110计算响应令牌，并发送带有响应令牌的认证响应，安全管理器704通过网络接口组件702接收所述响应令牌(可选步骤912)。然后，安全管理器704(或另一个网络元件)可以确定响应令牌是否有效(例如，将响应令牌与预期响应令牌进行比较)。如果响应令牌有效，则安全管理器704将ue 110视为已认证。
82.在ue 110已验证的情况下，安全管理器704发起nas安全过程以建立nas安全上下文(步骤914)。对于nas安全过程，安全管理器704为nas安全上下文选择一种或多种nas安全算法(步骤916)，并导出一个或多个nas安全密钥(例如，k
amf
、k
asme
等)。nas安全算法可以包括nas加密算法和完整性保护算法。然后，安全管理器704通过网络接口组件702向ue发送响应，所述响应指示或包括为nas安全上下文选择的nas安全算法和安全密钥集标识符(步骤918)。响应可以包括安全模式命令，所述安全模式命令包括nas安全算法、安全密钥集标识符(例如，ngksi、eksi等)以及其他信息。
83.在图8中，ue 110的nas控制器634从网络元件132接收指示nas安全算法和安全密钥集标识符的响应(步骤814)。利用在来自网络元件132的响应中提供的信息，在ue 110与网络元件132之间建立nas安全上下文。因此，可以使用nas安全上下文来保护ue 110与网络元件132之间的后续nas消息。
84.对于nas过程的第二阶段832，nas控制器634将用于nas过程的nas协议ie包括在或插入初始nas消息中(步骤816)。初始nas消息是先前在第一阶段831中发送至网络元件132的初始nas消息的副本、复制或相同类型。在此步骤中，初始nas消息包括用于nas过程的整个nas协议ie集(强制性和可选的(如果需要))。因为初始nas消息包括用于nas过程的每个强制性nas协议ie，所以在第二阶段832中，将初始nas消息视为“完成的”nas消息。
85.ue 110的nas控制器634可以格式化或生成用于nas过程的后续nas消息。例如，后续nas消息可以包括安全模式完成消息。nas控制器634将初始nas消息包括在或插入后续nas消息的nas消息容器中(步骤818)。nas消息容器是一种用于封装普通nas消息的ie。nas控制器634使用nas安全算法对后续nas消息的nas消息容器进行加密(步骤820)。因此，在后续nas消息的nas消息容器中对完成的初始nas消息进行加密。然后，nas控制器634将后续nas消息发送至网络元件132(步骤822)。
86.在图9中，对于第二阶段832，网络接口组件702从ue 110接收后续nas消息(步骤920)。安全管理器704使用nas安全算法对后续nas消息的nas消息容器进行解密(步骤922)，以访问完成的初始nas消息。然后，安全管理器704或网络元件132的其他子系统可以处理来自完成的初始nas消息的nas协议ie，以进一步执行nas过程。例如，注册管理器706可以将注册接受消息发送至ue 110，并且从ue 110接收注册完成消息(可选步骤924)。此过程的一个技术益处是，仅建立nas安全上下文所需的nas协议ie根据部分初始nas消息中的hplmn公钥以未加密或加密的形式发送，而完成的初始nas消息在后续nas消息中加密，这提供进一步的安全保护。
87.图10是示出在说明性实施方案中当ue没有安全上下文时的nas过程的消息图。图10所示的nas过程是注册过程，但是类似的概念可以应用于其他nas过程。此示例以5g网络示出，其中网络元件132包括amf元件314。
88.此nas过程再次以多个阶段执行。对于第一阶段，ue 110生成或格式化针对nas注册过程的初始注册请求。nas注册过程具有用于传输信息的nas协议ie集(强制性和可选的)。在此实施方案中，ue 110在第一阶段中不使用完整nas协议ie集填充初始注册请求。而是，ue 110识别对于建立nas安全上下文必不可少的nas协议ie。因此，ue 110识别指定用于安全相关处理的nas协议ie的子集。在此示例中，nas协议ie的子集可以由5g全球唯一临时身份(5g
‑
guti)、ue安全能力、注册类型和ngksi组成。ue 110将nas协议ie的子集插入初始注册请求中。因为初始注册请求不包括用于nas注册过程的所有强制性nas协议ie，所以初始注册请求在第一阶段是“部分”请求。ue 110还可以将其他信息插入初始注册请求中，例如由ue 110生成的suci。在此示例中，ue 110使用hplmn公钥对nas协议ie的子集进行加密，并且将初始注册请求发送至amf元件314(s1)。用于加密的保护方案和公钥标识符与suci中指示的保护方案和公钥标识符相同。然而，如上所述，使用hplmn公钥对nas协议ie的子集进行加密是可选的。如果suci的保护方案为null，则不对nas协议ie的子集进行加密。
89.响应于接收到初始注册请求，amf元件314基于ue的plmn id和路由id将信息路由
到ue的归属udm以进行解密。因此，amf元件314格式化或生成认证请求(即，nausf_ueauthentication_authenticate请求)，并将加密的nas协议ie的子集与其他信息(例如，suci和服务网络名称)一起插入认证请求中。然后，amf元件314将认证请求发送至ausf元件310(s2)。响应于接收到认证请求，ausf元件310格式化或生成认证请求(即，nudm_ueauthentication_get请求)，并将nas协议ie的加密子集连同其他信息一起插入认证请求中。然后，ausf元件310将认证请求发送至udm元件312(s3)。
90.响应于认证请求，udm元件312使用hplmn私钥(即，使用根据为suci选择的保护方案的信息)对nas协议ie的子集进行解密，使得nas协议ie的子集是可读的。udm元件312还托管与认证凭证存储库和处理功能(arpf)有关的功能，所述功能选择认证方法并为ausf元件310计算认证数据和密钥材料(例如，令牌)(如果需要)。udm元件312格式化或生成针对ausf元件310的认证响应(即，nudm_ueauthentication_get响应)，并将解密的nas协议ie的子集、认证矢量(av)和其他信息插入认证响应中。然后，udm元件312将认证响应发送至ausf元件310(s4)。响应于接收到认证响应，ausf元件310格式化或生成针对amf元件314的认证响应(即，nuasf
‑
_ueauthentication_authenticate响应)，并将解密的nas协议ie的子集、av和其他信息插入认证响应中。然后，ausf元件310将认证响应发送至amf元件314(s5)。
91.amf元件314被配置成使用由udm/ausf提供的信息来执行对ue 110的认证过程。例如，amf元件314将认证请求连同来自av的认证令牌(s6)一起发送至ue 110，并且ue110尝试验证认证令牌。如果成功，则ue 110计算响应令牌，并发送带有所述响应令牌的认证响应，所述响应令牌由amf元件314接收(s7)。amf元件314格式化或生成另一个认证请求(即，nausf_ueauthentication_authenticate请求)，并将来自ue 110的响应令牌连同其他信息一起插入认证请求中。然后，amf元件314将认证请求发送至ausf元件310(s8)。ausf元件310验证来自ue 110的响应令牌是否与期望的响应令牌匹配，并且向amf元件314发送指示认证成功/失败的认证响应(即，nausf_ueauthentication_authenticate响应)。
92.当ue 110被认证到网络时，amf元件314发起nas安全过程以建立nas安全上下文。amf元件314选择用于加密和完整性保护的nas安全算法(或多种算法)。amf元件314格式化或生成安全模式命令消息，并且将nas安全算法的指示符、ngksi和其他信息插入安全模式命令消息中。然后，amf元件314将安全模式命令消息发送至ue 110(s10)。
93.对于nas过程的第二阶段，ue 110使用ngksi和nas安全算法来导出用于保护后续nas消息的对应密钥。因此，在ue 110与amf元件314之间建立了nas安全上下文。ue 110将用于nas注册过程的nas协议ie包括在或插入初始注册请求中，所述初始注册请求是先前在第一阶段中发送的初始注册请求的消息的副本、复制或相同类型。初始注册请求包括所有强制性nas协议ie，以及用于传输信息的任何可选的nas协议ie。附加的nas协议ie可以包括：非当前本机nas密钥集标识符、5g移动管理(mm)能力、请求的网络片选择辅助信息(nssai)、上次访问的注册跟踪区域标识符(tai)、s1 ue网络能力、上行链路数据状态、pdu会话状态、仅移动发起连接(mico)指示、ue状态、附加guti、允许的pdu会话状态、ue的使用设置、请求的不连续接收(drx)参数、eps nas消息容器，以及有效载荷容器。因此，初始注册请求在第二阶段是“完成的”请求，因为它包括所有强制性nas协议ie。ue 110格式化或生成安全模式完成消息，并将完成的初始注册请求插入安全模式完成消息的nas消息容器中。ue 110使用nas安全上下文的nas安全算法来对安全模式完成消息的nas消息容器进行加密。因此，在安
全模式完成消息的nas消息容器中对完成的初始注册请求进行加密。然后，ue 110将安全模式完成消息发送至amf元件314(s11)。
94.amf元件314从ue 110接收安全模式完成消息，并对安全模式完成消息的nas消息容器进行解密以根据完成的初始注册请求访问nas协议ie。然后，amf元件314例如通过将注册接受消息发送至ue 110来继续注册过程(s12)。ue 110以注册完成消息来回复amf元件314(s13)，这时ue 110向网络注册以访问服务。
95.示例2：无安全上下文
96.在不存在安全上下文时的nas过程的另一示例中，图11是示出说明性实施方案中在ue 110中执行nas过程的方法1100的流程图。ue 110中的nas控制器634发起nas过程以在ue 110与网络元件132之间建立nas通信会话(步骤1102)。nas控制器634识别用于nas过程的nas协议ie(强制性和可选的)(步骤1104)。nas控制器634可以格式化或生成用于nas过程的第一初始nas消息，并将nas协议ie包括在或插入第一初始nas消息中(步骤1106)。在此步骤中，第一初始nas消息包括用于nas过程的整个nas协议ie集(强制性和可选的(如果需要))。因为第一初始nas消息包括用于nas过程的每个强制性nas协议ie，所以将第一初始nas消息视为“完成的”nas消息。
97.nas控制器634还格式化或生成作为第一初始nas消息的复制的第二初始nas消息(步骤1108)。复制消息是指用于nas过程的相同类型的消息。例如，如果第一初始nas消息是注册请求，则第二初始nas消息也是注册请求。然而，复制消息中填充的ie可能与原始消息不同。nas控制器634将第一初始nas消息包括在或插入第二初始nas消息的nas消息容器中(步骤1110)。nas控制器634使用用于ue 110的hplmn的公钥对第二初始nas消息的nas消息容器进行加密(步骤1112)。因此，在第二初始nas消息的nas消息容器中对完成的第一初始nas消息进行加密。然后，nas控制器634将第二初始nas消息发送至网络元件132(步骤1114)。
98.图12是示出说明性实施方案中在网络元件132中执行nas过程的方法1200的流程图。网络元件132的网络接口组件702从ue 110接收第二初始nas消息(步骤1202)。当如此示例中那样对nas消息容器进行加密时，安全管理器704发起对nas消息容器的解密(步骤1204)以访问第一初始nas消息。在一个示例中，安全管理器704可以被配置成对nas消息容器进行解密。在另一个示例中，安全管理器704可以将nas消息容器发送至另一个网络元件(例如，udm元件312)以对nas消息容器进行解密。
99.在nas消息容器被解密的情况下，安全管理器704可以访问第一初始nas消息。用用于nas过程的nas协议ie填充第一初始nas消息。安全管理器704可以处理nas协议ie，并确定对于ue 110不存在nas安全上下文(步骤1206)。因为不存在nas安全上下文，所以安全管理器704可以发起认证过程以认证ue 110(步骤1208)。对于认证过程，安全管理器704可以通过网络接口组件702将认证请求连同认证令牌一起发送至ue 110(可选步骤1210)。响应于认证请求，ue 110在其终端处理认证步骤，并尝试验证认证令牌(参见图11的步骤1116)。如果成功，则ue 110将移动网络100视为已认证。ue 110计算响应令牌，并发送带有响应令牌的认证响应，安全管理器704通过网络接口组件702接收所述响应令牌(可选步骤1212)。然后，安全管理器704(或另一个网络元件)可以确定响应令牌是否有效(例如，将响应令牌与预期响应令牌进行比较)。如果响应令牌有效，则安全管理器704将ue 110视为已认证。
100.在ue 110已验证的情况下，安全管理器704发起nas安全过程以建立nas安全上下文(步骤1214)。对于nas安全过程，安全管理器704为nas安全上下文选择一种或多种nas安全算法(步骤1216)，并导出一个或多个nas安全密钥(例如，k
amf
、k
asme
等)。然后，安全管理器704格式化或生成安全模式命令，并通过网络接口组件702将安全模式命令发送至ue 110，所述安全模式命令指示或包括为nas安全上下文选择的nas安全算法和安全密钥集标识符(步骤1218)。
101.在图11中，ue 110的nas控制器634从网络元件132接收指示nas安全算法的安全模式命令(步骤1118)。利用在安全模式命令中提供的信息，在ue 110与网络元件132之间建立nas安全上下文。因此，可以使用nas安全上下文来保护ue 110与网络元件132之间的后续nas消息。然后，ue 110的nas控制器634可以格式化或生成安全模式完成消息，并将安全模式完成消息发送至网络元件132(步骤1120)。在图12中，网络接口组件702从ue 110接收安全模式完成(步骤1220)。安全管理器704可以使用nas安全算法对任何后续nas消息进行解密。此过程的一个技术益处是，仅建立nas安全上下文所需的nas协议ie在部分初始nas消息中以未加密的形式插入，而完成的初始nas消息在部分初始nas消息中加密，这提供进一步的安全保护。
102.图13是示出在说明性实施方案中当ue没有安全上下文时的nas过程的消息图。图13所示的nas过程是注册过程，但是类似的概念可以应用于其他nas过程。ue 110生成或格式化针对nas注册过程的注册请求。在此实施方案中，ue 110用整个nas协议ie集填充注册请求。因此，注册请求是完成的注册请求。
103.ue 110还生成或格式化另一个注册请求，所述另一个注册请求是完成的注册请求的复制。另一个注册请求的类型为“初始”，因此是初始注册请求。代替对完成的注册请求中的每个强制性nas协议ie进行填充，ue 110将完成的注册请求插入初始注册请求的nas消息容器中。ue 110还可以将其他信息插入初始注册请求中，例如由ue 110生成的suci。在此示例中，ue 110使用hplmn公钥对初始注册请求的nas消息容器进行加密，并将初始注册请求发送至amf元件314(s1)。
104.响应于接收到初始注册请求，amf元件314基于ue的plmn id和路由id将信息路由到ue的归属udm以进行解密。因此，amf元件314格式化或生成认证请求(即，nausf_ueauthentication_authenticate请求)，并将初始注册请求的加密的nas消息容器连同其他信息一起插入认证请求中。然后，amf元件314将认证请求发送至ausf元件310(s2)。响应于接收到认证请求，ausf元件310格式化或生成认证请求(即，nudm_ueauthentication_get请求)，并将加密的nas消息容器连同其他信息一起插入认证请求中。然后，ausf元件310将认证请求发送至udm元件312(s3)。
105.响应于认证请求，udm元件312使用hplmn私钥对加密的nas消息容器进行解密，使得完成的注册请求是可读的。udm元件312还选择认证方法，并为ausf元件310计算认证数据和密钥材料(例如，令牌)(如果需要)。udm元件312格式化或生成针对ausf元件310的认证响应(即，nudm_ueauthentication_get响应)，并将解密的nas消息容器、认证矢量(av)和其他信息插入认证响应中。然后，udm元件312将认证响应发送至ausf元件310(s4)。响应于接收到认证响应，ausf元件310格式化或生成针对amf元件314的认证响应(即，nuasf
‑
_ueauthentication_authenticate响应)，并将解密的nas消息容器、av和其他信息插入认证
响应中。然后，ausf元件310将认证响应发送至amf元件314(s5)。
106.amf元件314被配置成使用由udm/ausf提供的信息来执行对ue 110的认证过程。例如，amf元件314将认证请求连同来自av的认证令牌(s6)一起发送至ue 110，并且ue 110尝试验证认证令牌。如果成功，则ue 110计算响应令牌，并发送带有所述响应令牌的认证响应，所述响应令牌由amf元件314接收(s7)。amf元件314格式化或生成另一个认证请求(即，nausf_ueauthentication_authenticate请求)，并将来自ue 110的响应令牌连同其他信息一起插入认证请求中。然后，amf元件314将认证请求发送至ausf元件310(s8)。ausf元件310验证来自ue 110的响应令牌是否与期望的响应令牌匹配，并且向amf元件314发送指示认证成功/失败的认证响应(即，nausf_ueauthentication_authenticate响应)。
107.当ue 110被认证到网络时，amf元件314发起nas安全过程以建立nas安全上下文。amf元件314选择用于加密和完整性保护的nas安全算法(或多种算法)。amf元件314格式化或生成安全模式命令消息，并且将nas安全算法的指示符、ngksi和其他信息插入安全模式命令消息中。然后，amf元件314将安全模式命令消息发送至ue 110(s10)。ue 110使用ngksi和nas安全算法来导出用于保护后续nas消息的相应密钥。因此，在ue 110与amf元件314之间建立了安全上下文。ue 110格式化或生成安全模式完成消息，并将安全模式完成消息发送至amf元件314(s11)。
108.amf元件314例如通过将注册接受消息发送至ue 110来继续注册过程(s12)。ue 110以注册完成消息来回复amf元件314(s13)，这时ue 110向网络注册以访问服务。
109.示例3：存在安全上下文
–
安全上下文有效
110.在另外的示例中，当ue与接入安全管理实体(例如amf、mme等)之间已经存在nas安全上下文时，可以执行或调用nas过程。以下提供存在nas安全上下文时nas过程的示例。
111.图14是示出说明性实施方案中在ue 110中执行nas过程的方法1400的流程图。ue110中的nas控制器634发起nas过程以在ue 110与网络元件132之间建立(或重新建立)nas通信会话(步骤1402)。nas控制器634识别指定用于安全相关处理的nas协议ie的子集(步骤1404)。nas控制器634格式化或生成用于nas过程的第一nas消息，例如类型为“移动性”、“周期性”等的注册请求。nas控制器634将nas协议ie的子集包括在或插入第一nas消息中(步骤1406)。
112.nas控制器634还格式化或生成作为第一nas消息的复制的第二nas消息。nas控制器634将用于nas过程的nas协议ie包括在或插入第二nas消息中(步骤1408)。在此步骤中，第二nas消息包括用于nas过程的整个nas协议ie集(强制性和可选的(如果需要))。因为第二nas消息包括用于nas过程的每个强制性nas协议ie，所以将第二nas消息视为“完成的”nas消息。
113.nas控制器634将第二nas消息包括在或插入第一nas消息的nas消息容器中(步骤1410)。nas控制器634使用nas安全上下文的nas安全算法对第一nas消息的nas消息容器进行加密(步骤1412)。因此，在第一nas消息的nas消息容器中对完成的第二nas消息进行加密。然后，nas控制器634将第一nas消息发送至网络元件132(步骤1414)。
114.图15是示出说明性实施方案中在网络元件132中执行nas过程的方法1500的流程图。网络元件132的网络接口组件702从ue 110接收第一nas消息(步骤1502)。安全管理器704处理第一nas消息中的nas协议ie的子集，以识别用于ue 110的nas安全上下文(步骤
1504)。然后，安全管理器704使用nas安全上下文对第一nas消息的nas消息容器进行解密，以访问包含在nas消息容器中的第二nas消息(步骤1506)。在第一nas消息中的nas消息容器被解密的情况下，安全管理器704可以访问已解密的第二nas消息。用用于nas过程的nas协议ie填充第二nas消息。因此，安全管理器704可以处理第二nas消息中的nas协议ie，以继续对nas过程的进一步处理(步骤1508)。此过程的一个技术益处是，仅识别nas安全上下文所需的nas协议ie在第一nas消息中以未加密的形式发送，而完成的第二nas消息在第一nas消息中加密，这提供进一步的安全保护。
115.图16是示出在说明性实施方案中当ue具有有效安全上下文时的nas注册过程的消息图。ue 110生成或格式化针对nas注册过程的第一注册请求。在此实施方案中，ue 110用指定用于安全相关处理的nas协议ie的子集填充第一注册请求。此信息用于向amf元件314指示nas安全上下文。例如，nas协议ie的子集可以包括5g
‑
guti、注册类型和ngksi。ue 110还格式化或生成第二注册请求，所述第二注册请求是第一注册请求的复制。ue 110将用于nas注册过程的nas协议ie包括在或插入第二注册请求中。在此步骤中，第二注册请求包括用于nas注册过程的整个nas协议ie集(强制性和可选的(如果需要))。因为第二注册请求包括用于nas注册过程的每个强制性nas协议ie，所以将第二注册请求视为“完成的”注册请求。
116.ue 110将第二注册请求包括在或插入第一注册请求的nas消息容器中，并且使用nas安全上下文的nas安全算法对第一注册请求的nas消息容器进行加密。因此，在第一注册请求的nas消息容器中对完成的第二注册请求进行加密。然后，ue 110将第一注册请求发送至amf元件314(s1)。
117.响应于接收到第一注册请求，amf元件314基于包括在第一注册请求中的nas协议ie的子集来识别或检索nas安全上下文。然后，amf元件314使用nas安全上下文对第一注册请求的加密的nas消息容器进行解密，使得第二注册请求是可读的。因此，amf元件314能够处理用于nas注册过程的整个nas协议ie集，并且继续对nas注册过程的处理。例如，amf元件314将注册接受消息发送至ue 110(s2)。ue 110以注册完成消息来回复amf元件314(s3)，这时ue 110向网络注册以访问服务。
118.图17是示出在说明性实施方案中当ue具有有效安全上下文时的nas服务请求过程的消息图。ue 110生成或格式化针对nas服务请求过程的第一服务请求。在此实施方案中，ue 110用指定用于安全相关处理的nas协议ie的子集填充第一服务请求，所述nas协议ie的子集用于向amf元件314指示nas安全上下文。在此示例中，nas协议ie的子集可以包括5g
‑
s
‑
tmsi和ngksi。ue 110还格式化或生成第二服务请求，所述第二服务请求是第一服务请求的复制。ue 110将用于nas服务请求过程的nas协议ie包括在或插入第二服务请求中。在此步骤中，第二服务请求包括用于nas服务请求过程的整个nas协议ie集(强制性和可选的(如果需要))。因为第二服务请求包括用于nas服务请求过程的每个强制性nas协议ie，所以将第二服务请求视为“完成的”服务请求。
119.ue 110将第二服务请求包括在或插入第一服务请求的nas消息容器中，并且使用nas安全上下文的nas安全算法对第一服务请求的nas消息容器进行加密。因此，在第一服务请求的nas消息容器中对完成的第二服务请求进行加密。然后，ue 110将第一服务请求发送至amf元件314(s1)。
120.响应于接收到第一服务请求，amf元件314基于包括在第一服务请求中的nas协议ie的子集来识别或检索nas安全上下文。然后，amf元件314使用nas安全上下文对第一服务请求的加密的nas消息容器进行解密，使得第二服务请求是可读的。因此，amf元件314能够处理用于nas服务请求过程的整个nas协议ie集，并且继续对nas服务请求过程的处理。例如，amf元件314将服务接受消息发送至ue 110(s2)。
121.图18是示出在说明性实施方案中当ue具有有效安全上下文时的nas注销过程的消息图。ue 110生成或格式化针对nas注销过程的第一注销请求。在此实施方案中，ue 110用指定用于安全相关处理的nas协议ie的子集填充第一注销请求，所述nas协议ie的子集用于向amf元件314指示nas安全上下文。在此示例中，nas协议ie的子集可以包括5g
‑
s
‑
tmsi和ngksi。ue 110还格式化或生成第二注销请求，所述第二注销请求是第一注销请求的复制。ue 110将用于nas注销过程的nas协议ie包括在或插入第二注销请求中。在此步骤中，第二注销请求包括用于nas注销过程的整个nas协议ie集(强制性和可选的(如果需要))。因为第二注销请求包括用于nas注销过程的每个强制性nas协议ie，所以将第二注销请求视为“完成的”注销请求。
122.ue 110将第二注销请求包括在或插入第一注销请求的nas消息容器中，并且使用nas安全上下文的nas安全算法对第一注销请求的nas消息容器进行加密。因此，在第一注销请求的nas消息容器中对完成的第二注销请求进行加密。然后，ue 110将第一注销请求发送至amf元件314(s1)。
123.响应于接收到第一注销请求，amf元件314基于包括在第一注销请求中的nas协议ie的子集来识别或检索nas安全上下文。然后，amf元件314使用nas安全上下文对第一注销请求的加密的nas消息容器进行解密，使得第二注销请求是可读的。因此，amf元件314能够处理用于nas注销过程的整个nas协议ie集，并且继续对nas注销过程的处理。例如，amf元件314将注销接受消息发送至ue 110(s2)。
124.示例4：存在安全上下文
–
安全上下文无效或找不到
125.图19a至图19b是示出说明性实施方案中在ue 110中执行nas过程的方法1900的流程图。ue 110中的nas控制器634发起nas过程以在ue 110与网络元件132之间建立(或重新建立)nas通信会话(步骤1902)。对于nas过程的第一阶段1931，nas控制器634识别指定用于安全相关处理的nas协议ie的子集(步骤1904)。nas控制器634格式化或生成用于nas过程的第一nas消息，并将nas协议ie的子集包括在或插入第一nas消息中(步骤1906)。
126.nas控制器634还格式化或生成作为第一nas消息的复制的第二nas消息。nas控制器634将用于nas过程的nas协议ie包括在或插入第二nas消息中(步骤1908)。在此步骤中，第二nas消息包括用于nas过程的整个nas协议ie集(强制性和可选的(如果需要))。因为第二nas消息包括用于nas过程的每个强制性nas协议ie，所以将第二nas消息视为“完成的”nas消息。
127.nas控制器634将第二nas消息包括在或插入第一nas消息的nas消息容器中(步骤1910)。nas控制器634使用nas安全上下文的nas安全算法对第一nas消息的nas消息容器进行加密(步骤1912)。因此，在第一nas消息的nas消息容器中对完成的第二nas消息进行加密。然后，nas控制器634将第一nas消息发送至网络元件132(步骤1914)。
128.图20是示出说明性实施方案中在网络元件132中执行nas过程的方法2000的流程
图。对于nas过程的第一阶段1931，网络元件132的网络接口组件702从ue 110接收第一nas消息(步骤2002)。安全管理器704处理第一nas消息中的nas协议ie的子集，并且未能识别用于ue 110的有效nas安全上下文(步骤2004)。例如，即使存在nas安全上下文，安全管理器704也可能无法基于第一nas消息中提供的nas协议ie的子集来识别nas安全上下文，基于nas协议ie的子集识别的nas安全上下文无效等。因为没有找到有效nas安全上下文，所以安全管理器704发起认证过程以认证ue 110(步骤2006)。即使可能先前已经执行认证过程，但是当没有找到有效nas安全上下文时，安全管理器704会再次执行认证过程。作为认证过程的一部分，安全管理器704可以通过网络接口组件702将认证请求连同认证令牌一起发送至ue 110(可选步骤2008)。响应于认证请求，ue 110尝试验证认证令牌(参见图19a的步骤1916)。如果成功，则ue 110将移动网络100视为已认证。ue 110计算响应令牌，并发送带有响应令牌的认证响应，安全管理器704通过网络接口组件702接收所述响应令牌(可选步骤2010)。然后，安全管理器704(或另一个网络元件)可以确定响应令牌是否有效(例如，将响应令牌与预期响应令牌进行比较)。如果响应令牌有效，则安全管理器704将ue 110视为已认证。
129.在ue 110已验证的情况下，安全管理器704发起nas安全过程以建立新的nas安全上下文(步骤2012)。对于nas安全过程，安全管理器704为新的nas安全过程选择一种或多种nas安全算法(步骤2014)，并导出一个或多个nas安全密钥。然后，安全管理器704通过网络接口组件702向ue 110发送响应(步骤2016)，所述响应指示或包括为新的nas安全上下文选择的nas安全算法和安全密钥集标识符。响应可以包括安全模式命令，所述安全模式命令包括nas安全算法、安全密钥集标识符(例如，ngksi、eksi等)以及其他信息。
130.在图19a中，nas控制器634从网络元件132接收指示nas安全算法和安全密钥集标识符的响应(步骤1918)。利用在来自网络元件132的响应中提供的信息，在ue 110与网络元件132之间建立新的nas安全上下文。因此，可以使用新的nas安全上下文来保护ue 110与网络元件132之间的后续nas消息。
131.对于图19b中的nas过程的第二阶段1932，ue 110的nas控制器634然后可以格式化或生成用于nas过程的后续nas消息。例如，后续nas消息可以包括安全模式完成消息。nas控制器634将用于nas过程的第二nas消息包括或插入后续nas消息的nas消息容器中(步骤1920)。如上所述，第二nas消息包括用于nas过程的整个nas协议ie集(强制性和可选的(如果需要))，并且被视为“完成的”nas消息。nas控制器634使用新的nas安全上下文的nas安全算法对后续nas消息的nas消息容器进行加密(步骤1922)。然后，nas控制器634将后续nas消息发送至网络元件132(步骤1924)。
132.在图20中，对于第二阶段1932，网络接口组件702从ue 110接收后续nas消息(步骤2018)。安全管理器704使用新nas安全上下文的nas安全算法对后续nas消息的nas消息容器进行解密(步骤2020)，以访问完成的第二nas消息。然后，安全管理器704或网络元件132的其他子系统可以处理来自完成的第二nas消息的nas协议ie，以提供对nas过程的进一步处理。此过程的一个技术益处是，仅识别nas安全上下文所需的nas协议ie在第一nas消息中以未加密的形式发送。当找不到有效的nas安全上下文时，建立新的nas安全上下文，并根据新的nas安全上下文在后续nas消息中对完成的nas消息进行加密，从而提供进一步的安全保护。
133.图21是示出在说明性实施方案中当ue具有nas安全上下文，但nas安全上下文无效或未找到时的nas注册过程的消息图。对于nas过程的第一阶段，ue 110生成或格式化针对nas注册过程的第一注册请求。在此实施方案中，ue 110用指定用于安全相关处理的nas协议ie的子集填充第一注册请求。此信息用于向amf元件314指示nas安全上下文。例如，nas协议ie的子集可以包括5g
‑
guti、注册类型和ngksi。ue 110还格式化或生成第二注册请求，所述第二注册请求是第一注册请求的复制。ue 110将用于nas注册过程的nas协议ie包括在或插入第二注册请求中。在此步骤中，第二注册请求包括用于nas注册过程的整个nas协议ie集(强制性和可选的(如果需要))。因为第二注册请求包括用于nas注册过程的每个强制性nas协议ie，所以将第二注册请求视为“完成的”注册请求。
134.ue 110将第二注册请求包括在或插入第一注册请求的nas消息容器中，并且使用nas安全上下文的nas安全算法对第一注册请求的nas消息容器进行加密。因此，在第一注册请求的nas消息容器中对完成的第二注册请求进行加密。然后，ue 110将第一注册请求发送至amf元件314(s1)。
135.响应于接收到第一注册请求，amf元件314基于包括在第一注册请求中的nas协议ie的子集来尝试识别或检索nas安全上下文。在此示例中，amf元件314无法识别用于ue 110的有效nas安全上下文。因此，amf元件314无法对第一注册请求的nas消息容器进行解密。为了允许安全通信，amf元件314发起新的认证过程以创建新的nas安全上下文。amf元件314格式化或生成认证请求(即，nausf_ueauthentication_authenticate请求)，并将认证请求发送至ausf元件310(s2)。响应于接收到认证请求，ausf元件310格式化或生成认证请求(即，nudm
‑
_ueauthentication_get请求)，并将认证请求发送至udm元件312(s3)。
136.响应于认证请求，udm元件312使suci去隐藏，并将认证响应(即，nudm_ueauthentication_get响应)发送至ausf元件310(s4)。响应于接收到认证响应，ausf元件310格式化或生成用于amf元件314的认证响应(即，nuasf
‑
_ueauthentication_authenticate响应)，并将认证响应发送至amf元件314(s5)。
137.amf元件314被配置成使用由udm/ausf提供的信息来执行对ue 110的认证过程。例如，amf元件314将认证请求连同认证令牌一起发送至ue 110(s6)，并且ue 110尝试验证认证令牌。如果成功，则ue 110计算响应令牌，并发送带有所述响应令牌的认证响应，所述响应令牌由amf元件314接收(s7)。amf元件314格式化或生成另一个认证请求(即，nausf_ueauthentication_authenticate请求)，并将来自ue 110的响应令牌连同其他信息一起插入认证请求中。然后，amf元件314将认证请求发送至ausf元件310(s8)。ausf元件310验证来自ue 110的响应令牌是否与期望的响应令牌匹配，并且向amf元件314发送指示认证成功/失败的认证响应(即，nausf_ueauthentication_authenticate响应)。
138.当ue 110被认证到网络时，amf元件314发起nas安全过程以建立新的nas安全上下文。amf元件314选择用于加密和完整性保护的nas安全算法(或多种算法)。amf元件314格式化或生成安全模式命令消息，并且将nas安全算法的指示符、ngksi和其他信息插入安全模式命令消息中。然后，amf元件314将安全模式命令消息发送至ue 110(s10)。
139.对于nas过程的第二阶段，ue 110使用ngksi和nas安全算法来导出用于保护后续nas消息的对应密钥。因此，在ue 110与amf元件314之间建立了新的nas安全上下文。ue 110格式化或生成安全模式完成消息，并将第二注册请求插入安全模式完成消息的nas消息容
器中。如上所述，第二注册请求包括用于nas注册过程的整个nas协议ie集(强制性和可选的(如果需要))，并且被视为“完成的”nas消息。ue 110使用新的nas安全上下文的nas安全算法来对安全模式完成消息的nas消息容器进行加密。因此，在安全模式完成消息的nas消息容器中对第二注册请求进行加密。然后，ue 110将安全模式完成消息发送至amf元件314(s11)。
140.amf元件314从ue 110接收安全模式完成消息，并对安全模式完成消息的nas消息容器进行解密以根据第二注册请求访问nas协议ie。然后，amf元件314例如通过将注册接受消息发送至ue 110来继续nas注册过程(s12)。ue 110以注册完成消息来回复amf元件314(s13)，这时ue 110向网络注册以访问服务。
141.图22是示出在说明性实施方案中当ue具有nas安全上下文，但nas安全上下文无效或未找到时的nas服务请求过程的消息图。对于nas过程的第一阶段，ue 110生成或格式化用于nas服务请求过程的第一服务请求。在此实施方案中，ue 110用指定用于安全相关处理的nas协议ie的子集填充第一服务请求。此信息用于向amf元件314指示nas安全上下文。例如，nas协议ie的子集可以包括5g
‑
s
‑
tmsi和ngksi。ue 110还格式化或生成第二服务请求，所述第二服务请求是第一服务请求的复制。ue 110将用于nas服务请求过程的nas协议ie包括在或插入第二服务请求中。在此步骤中，第二服务请求包括用于nas服务请求过程的整个nas协议ie集(强制性和可选的(如果需要))。因为第二服务请求包括用于nas服务请求过程的每个强制性nas协议ie，所以将第二服务请求视为“完成的”服务请求。
142.ue 110将第二服务请求包括在或插入第一服务请求的nas消息容器中，并且使用nas安全上下文的nas安全算法对第一服务请求的nas消息容器进行加密。因此，在第一服务请求的nas消息容器中对完成的第二服务请求进行加密。然后，ue 110将第一服务请求发送至amf元件314(s1)。
143.响应于接收到第一服务请求，amf元件314基于包括在第一服务请求中的nas协议ie的子集来尝试识别或检索nas安全上下文。在此示例中，amf元件314无法识别用于ue 110的有效nas安全上下文。因此，amf元件314无法对第一服务请求的nas消息容器进行解密。为了允许安全通信，amf元件314发起新的认证过程以创建新的nas安全上下文。amf元件314格式化或生成认证请求(即，nausf_ueauthentication_authenticate请求)，并将认证请求发送至ausf元件310(s2)。响应于接收到认证请求，ausf元件310格式化或生成认证请求(即，nudm
‑
_ueauthentication_get请求)，并将认证请求发送至udm元件312(s3)。
144.响应于认证请求，udm元件312使suci去隐藏，并将认证响应(即，nudm_ueauthentication_get响应)发送至ausf元件310(s4)。响应于接收到认证响应，ausf元件310格式化或生成用于amf元件314的认证响应(即，nuasf
‑
_ueauthentication_authenticate响应)，并将认证响应发送至amf元件314(s5)。
145.amf元件314被配置成使用由udm/ausf提供的信息来执行对ue 110的认证过程。例如，amf元件314将认证请求连同认证令牌一起发送至ue 110(s6)，并且ue 110尝试验证认证令牌。如果成功，则ue 110计算响应令牌，并发送带有所述响应令牌的认证响应，所述响应令牌由amf元件314接收(s7)。amf元件314格式化或生成另一个认证请求(即，nausf_ueauthentication_authenticate请求)，并将来自ue 110的响应令牌连同其他信息一起插入认证请求中。然后，amf元件314将认证请求发送至ausf元件310(s8)。ausf元件310验证来
自ue 110的响应令牌是否与期望的响应令牌匹配，并且向amf元件314发送指示认证成功/失败的认证响应(即，nausf_ueauthentication_authenticate响应)。
146.当ue 110被认证到网络时，amf元件314发起nas安全过程以建立新的nas安全上下文。amf元件314选择用于加密和完整性保护的nas安全算法(或多种算法)。amf元件314格式化或生成安全模式命令消息，并且将nas安全算法的指示符、ngksi和其他信息插入安全模式命令消息中。然后，amf元件314将安全模式命令消息发送至ue 110(s10)。
147.对于nas过程的第二阶段，ue 110使用ngksi和nas安全算法来导出用于保护后续nas消息的对应密钥。因此，在ue 110与amf元件314之间建立了新的nas安全上下文。ue 110格式化或生成安全模式完成消息，并将第二服务请求插入安全模式完成消息的nas消息容器中。如上所述，第二服务请求包括用于nas服务请求过程的整个nas协议ie集(强制性和可选的(如果需要))，并且被视为“完成的”nas消息。ue 110使用新的nas安全上下文的nas安全算法来对安全模式完成消息的nas消息容器进行加密。因此，在安全模式完成消息的nas消息容器中对第二服务请求进行加密。然后，ue 110将安全模式完成消息发送至amf元件314(s11)。
148.amf元件314从ue 110接收安全模式完成消息，并对安全模式完成消息的nas消息容器进行解密以根据第二服务请求访问nas协议ie。然后，amf元件314例如通过将注册接受消息发送至ue 110来继续nas服务请求过程(s12)。ue 110用注册完成消息来答复amf元件314(s13)。
149.附图中所示或本文描述的各种元件或模块中的任何一个可以被实现为硬件、软件、固件或这些的某种组合。例如，元件可以被实现为专用硬件。专用硬件元件可以被称为“处理器”、“控制器”或一些类似的术语。当由处理器提供时，功能可以由单个专用处理器、单个共享处理器或多个单独的处理器提供，其中一些可以共享。此外，对术语“处理器”或“控制器”的明确使用不应解释为专门指代能够执行软件的硬件，并且可以隐含包括但不限于数字信号处理器(dsp)硬件、网络处理器、专用集成电路(asic)或其他电路系统、现场可编程门阵列(fpga)、用于存储软件的只读存储器(rom)、随机存取存储器(ram)、非易失性存储装置、逻辑或某些其他物理硬件组件或模块。
150.而且，元件可以被实现为可由处理器或计算机执行以执行所述元件的功能的指令。指令的一些示例是软件、程序代码和固件。指令在由处理器执行时是可操作的，以指导处理器执行元件的功能。指令可以存储在处理器可读的存储装置上。存储装置的一些示例是数字或固态存储器，例如磁盘和磁带的磁存储介质、硬盘驱动器或光学可读数字数据存储介质。
151.如本申请中使用，术语“电路系统”可以指以下各项中的一者或多者或全部：
152.(a)纯硬件电路实现方式(例如仅模拟电路和/或数字电路系统中的实现方式)；
153.(b)硬件电路和软件的组合，例如(如适用)：
154.(i)模拟硬件电路和/或数字硬件电路与软件/固件的组合；和
155.(ii)具有软件的硬件处理器的任何部分(包括一起工作以使例如移动电话或服务器的设备执行各种功能的数字信号处理器、软件和存储器)；以及
156.(c)硬件电路和或处理器，例如微处理器或微处理器的一部分，其需要软件(例如，固件)进行操作，但在操作不需要所述软件时可不存在所述软件。
[0157]“电路系统”的这个定义适用于此术语在本申请、包括在任何权利要求中的所有用途。作为另一示例，如在本申请中所使用，术语“电路系统”还涵盖仅硬件电路或处理器(或多个处理器)的实现方式或硬件电路或处理器和其(或它们的)相伴软件和/或固件的部分的实现方式。术语“电路系统”还涵盖(例如并且在适用于特定权利要求要素的情况下)移动装置的基带集成电路或处理器集成电路或服务器、蜂窝网络装置或其他计算或网络装置中的类似集成电路。
[0158]
尽管本文描述了特定实施方案，但是本公开的范围不限于那些特定实施方案。本公开的范围由所附权利要求及其任何等同形式限定。