用于在系统间改变期间的安全上下文处理的方法和装置与流程

各种示例实施例涉及系统间改变期间的安全上下文处理。

背景技术：

本部分说明有用的背景信息，而并非承认这里描述的任何技术代表最新的现有技术。

蜂窝电话已经从移动语音传输设备演变为全能计算机。无线数据传输，特别是因特网用途，需要高数据传输容量。这一趋势推动了从具有gsm的2g向5g的新蜂窝电信标准的发展，5g将具有极快的数据传输，并且现在还用作彼此通信的服务。

与前几代一样，在5g中，蜂窝电信的隐私和责任仍然至关重要。这些已经通过使用密码术来认证订户、授权电信(和相关联的收费)以及保护通信而得到了防护。这些措施需要在包含和管理蜂窝网络基础设施的核心网络中的信令，也需要在移动站与蜂窝网络之间的无线电接口上的信令。所有这些信令都伴随着计算成本和有限信令资源的使用。信令资源在无线电接口中特别有价值，在无线电接口中，用于除了传输用户数据之外的每个符号都会降低传输用户数据的容量。

3gpp5g还将通过减小小区大小来提高无线数据传输速度，这在小区之间固有地留下更多间隙。4g技术将作为一种回退，以在5g不可用的情况下提供足够的数据接入。在5g小区的边缘，4g和5g网络之间可能会有重复的切换，因此核心网络和无线电接入中的信令可能都会迅速倍增。此外，5g网络可能不提供应急服务，而4g网络能够支持应急服务，特别是在5g网络部署的早期阶段。在这种情况下，使用4g技术作为回退是可取的。

技术实现要素：

本发明的示例的各个方面在权利要求中被陈述。

根据本发明的第一示例方面，提供了一种用户设备ue中在ue处于单一注册模式下的空闲模式系统间改变的方法，包括：

如果以下条件中的任何一个或多个条件被满足，则在空闲模式系统间改变中从现有安全上下文中得到针对目标网络的新的初始非接入层nas消息的密码保护：

条件a)源蜂窝网络是演进通用陆地无线电接入网络e-utran；并且目标蜂窝网络是5g系统5gs的下一代无线电接入网络ng-ran；并且ue没有有效的本地5gnas安全上下文；并且ue具有用于紧急承载业务的分组数据网络pdn连接；并且ue具有当前演进分组系统eps安全上下文，该当前eps安全上下文包括被设置为空完整性保护算法和空加密算法的nas安全算法；并且ue已经接收到源蜂窝网络不支持在eps和5gs的移动性管理实体之间无信令通道的情况下，与目标蜂窝网络互通的指示。

条件b)源蜂窝网络是ng-ran；并且目标蜂窝网络是e-utran；并且ue已经接收到源蜂窝网络不支持在eps和5gs的移动性管理实体之间无信令通道的情况下，与目标蜂窝网络互通的指示；

条件c)源蜂窝网络是ng-ran；并且目标蜂窝网络是e-utran；并且ue不支持发送附接请求消息，该附接请求消息包含请求类型被设置为“切换”以将协议数据单元pdu会话从n1模式转换到s1模式的pdn连接请求消息；

条件d)源蜂窝网络是ng-ran；并且目标蜂窝网络是e-utran；并且ue已经接收到源蜂窝网络支持在eps和5gs的移动性管理实体之间无信令通道的情况下，与目标蜂窝网络互通的指示；并且ue支持发送附接请求消息，该附接请求消息包含请求类型被设置为“切换”以将pdu会话从n1模式转换到s1模式的pdn连接请求消息；并且ue具有有效的本地eps安全上下文。

第一示例方面的方法可以排除以下条件中的任一项：a)；b)；c)；d)；a)和b)；a)和c)；a)和d)；b)和c)；b)和d)；a)和b)和c)；a)和c)和d)；b)和c)和d)。

s1模式是ue允许经由4g接入网络接入4g核心网络的模式。n1模式是ue允许经由5g接入网络接入5g核心网络的模式。

源蜂窝网络和目标蜂窝网络的移动性管理实体之间的信令通道可以是n26接口。5g网络中的移动性管理实体可以对应于接入和移动性管理功能amf。

在条件a)的情况下，密码保护可以是利用从当前eps安全上下文映射的5gnas安全上下文来完整性保护(以及部分加密，其可以是可选的)注册请求消息。条件a)中定义的指示可以从以下任一项接收：源蜂窝网络；目标蜂窝网络；或源蜂窝网络和目标蜂窝网络两者。空完整性保护算法可以是eia0。空加密算法可以是eea0。

在条件b)的情况下，密码保护可以是利用当前5gnas安全上下文来完整性保护追踪区域更新请求消息。条件b)中定义的指示可以从以下任一项接收：源蜂窝网络；目标蜂窝网络；或源蜂窝网络和目标蜂窝网络两者。

在条件c)的情况下，密码保护可以是利用当前5gnas安全上下文来完整性保护追踪区域更新请求消息。

在条件d)的情况下，密码保护可以是利用有效的本地eps安全上下文来完整性保护附接请求消息。条件d)中定义的指示可以从以下任一项接收：源蜂窝网络；目标蜂窝网络；或源蜂窝网络和目标蜂窝网络两者。

ng-ran可以符合3gpp5g版本15。

根据本发明的第二示例方面，提供了一种接入和移动性管理功能amf中的方法，用于在用户设备ue处于单一注册模式连接时，处理ue从演进通用陆地无线电接入网络e-utran到下一代无线电接入网络ng-ran的空闲模式系统间改变，包括：

如果以下条件中的任何一个或多个条件被满足，则在空闲模式系统间改变中从源蜂窝网络得到经映射的5g非接入层nas安全上下文，经映射的5g非接入层nas安全上下文是由演进分组系统eps的源移动性管理实体维护的eps安全上下文：

条件1)amf已经从ue接收到无完整性保护和加密的注册请求消息；并且注册请求消息包括用于下一代无线电接入网络的密钥集标识符ngksi，该密钥集标识符指示经映射的5gnas安全上下文值“000”；

条件2)在eps和5gs的移动性管理实体之间无信令通道的情况下的互通不被支持；并且从eps的移动性管理实体mme接收到的eps安全上下文包括被设置为空完整性保护算法和空加密算法的nas安全算法，诸如，eia0和eea0；

条件3)在eps和5gs的移动性管理实体之间无信令通道的情况下的互通不被支持；并且从源mme接收的eps安全上下文不包括被设置为空完整性保护算法和空加密算法的nas安全算法；

条件4)在eps和5gs的移动性管理实体之间无信令通道的情况下的互通不被支持；并且从源mme接收的eps安全上下文包括被设置为空完整性保护算法和空加密算法的nas安全算法

该方法可以包括：在得到经映射的安全上下文之前，接收无完整性保护和加密的注册请求消息。

该方法还可以包括：在接收到无完整性保护和加密的注册请求消息之后，amf创建新的经映射的5gnas安全上下文，或者触发主要认证和密钥协商程序以创建新的本地5gnas安全上下文。具体地，如果条件1)和3)被满足，则amf在创建新的经映射的5gnas安全上下文和触发主要认证和密钥协商程序之间选择，以创建新的本地5gnas安全上下文。

第二示例方面的方法可以排除以下条件中的任一项：1)；2)；3)；4)；1)和2)；1)和3)；1)和4)；2)和3)；2)和4)；1)和2)和3)；1)和3)和4)；2)和3)和4)。

根据第三示例方面，提供了一种包括第一示例方面和第二示例方面的过程。

根据第四示例方面，提供了一种用户设备，包括至少一个处理器和包括计算机可执行程序代码的存储器，计算机可执行程序代码在由至少一个处理器执行时，被配置为使用户设备执行第一示例方面的方法。

根据第五示例方面，提供了一种接入和移动性管理功能amf，包括至少一个处理器和包括计算机可执行程序代码的存储器，计算机可执行程序代码在由至少一个处理器执行时，被配置为使amf执行第二示例方面的方法。

根据第六示例方面，提供了一种接入和移动性管理功能amf，被配置为在用户设备ue处于单一注册模式连接时，处理ue从演进通用陆地无线电接入网络e-utran到下一代无线电接入网络ng-ran的空闲模式系统间改变，amf包括：

用于与包括e-utran的演进分组系统eps通信并且用于与ue通信的部件；以及

用于如果以下条件中的任何一个或多个条件被满足，则在空闲模式系统间改变中从源蜂窝网络得到经映射的下一代无线电接入网络ng-ran非接入层nas安全上下文的部件，经映射的ng-ran非接入层nas安全上下文是由演进分组系统eps的源移动性管理实体维护的eps安全上下文：

条件1)amf已经从ue接收到无完整性保护和加密的注册请求消息；并且注册请求消息包括用于下一代无线电接入网络的密钥集标识符ngksi，密钥集标识符指示经映射的5gnas安全上下文值“000”；

条件2)在eps和5gs的移动性管理实体之间无信令通道的情况下的互通不被支持；并且从eps的移动性管理实体mme接收到的eps安全上下文包括被设置为空完整性保护算法和空加密算法的nas安全算法；

条件3)在eps和5gs的移动性管理实体之间无信令通道的情况下的互通不被支持；并且从源mme接收的eps安全上下文不包括被设置为空完整性保护算法和空加密算法的nas安全算法；

条件4)在eps和5gs的移动性管理实体之间无信令通道的情况下的互通不被支持；并且从源mme接收的eps安全上下文包括被设置为空完整性保护算法和空加密算法的nas安全算法。

第五示例方面或第六示例方面的amf可以使用虚拟化来实现。实现amf的至少一些结构可以由虚拟化服务器提供。

第五示例方面或第六示例方面的amf可以使用集群处理来实现。实现amf的至少一些结构可以由集群处理设备提供。

第五示例方面或第六示例方面的amf可以使用云计算来实现。实现amf的至少一些结构可以由云计算系统提供。

根据本发明的第七示例方面，提供了一种包括第四示例方面的ue和第五或第六示例方面的amf的系统。

该系统还可以包括演进通用陆地无线电接入网络的移动性管理实体。

根据本发明的第八示例方面，提供了一种包括计算机可执行程序代码的计算机程序，该计算机可执行程序代码被配置为执行第一或第二示例方面的任何方法。

计算机程序可以存储在计算机可读存储介质中。

任何前述存储介质可以包括数字数据存储器，诸如，数据盘或软盘、光存储设备、磁存储设备、全息存储设备、光磁存储设备、相变存储设备、电阻式随机存取存储器、磁随机存取存储器、固体电解质存储器、铁电随机存取存储器、有机存储器或聚合物存储器。存储介质可以形成到除了存储存储器之外没有其他实质功能的设备中，或者它可以形成为具有其他功能的设备的一部分，包括但不限于计算机的存储器、芯片组和电子设备的子组件。

本发明的不同非绑定示例方面和实施例已在上文中说明。前述实施例仅用于解释可以在本发明的实现中使用的选定方面或步骤。可以仅参考本发明的某些示例方面来呈现一些实施例。应当理解，相应的实施例也可以应用于其他示例方面。

附图说明

为了更完整地理解本发明的示例实施例，现在参考结合附图进行的以下描述，其中：

图1示出了示例实施例的系统的体系结构图；

图2示出了用户设备中的示例实施例的过程的流程图；

图3示出了接入和移动性管理功能中的示例实施例的过程的流程图；

图4示出了示例实施例的装置的框图。

具体实施方式

通过参考附图的图1至图4来理解本发明的示例实施例及其潜在优势。在本文档中，相似的附图标记表示相似的部件或步骤。

图1示出了示例实施例的系统100的体系结构图。图1示出了用于5gs和epc/e-utran之间互通的非漫游体系结构，但是适当地展示了对解释一些示例实施例有用的各种网络部件和接口。图1示出了演进分组系统eps160和第五代系统5gs170的与eps和5gs互通有关的相应部件。应当理解，例如，在实践中，eps和5gs不需要包括彼此的功能，尽管也可以通过共享执行平台来实现共享功能。

在图1中，用户设备110无线电接入各个蜂窝网络，该蜂窝网络包括演进通用陆地无线电接入网络(e-utran)120和下一代无线电接入网络(ng-ran)130。eps包括e-utran120和演进核心网络(epc)部件，诸如，移动性管理实体(mme)140。

5gs170包括ng-ran130和包括例如接入和移动性管理功能(amf)150的5g核心网络。

图2示出了当用户设备(ue)处于单一注册模式时，ue中关于空闲模式系统间改变的示例实施例的过程200的流程图，包括：

如果以下条件中的任何一个或多个条件被满足，则在空闲模式系统间改变中从现有安全上下文中得到210针对目标网络的新的初始非接入层(nas)消息的密码保护：

条件a)220源蜂窝网络是e-utran；并且目标蜂窝网络是ng-ran；并且ue没有有效的本地5gnas安全上下文；并且ue具有用于紧急承载业务的分组数据网络(pdn)连接；并且ue具有包括被设置为空完整性保护算法和空加密算法的nas安全算法的当前eps安全上下文；并且ue已经接收到源蜂窝网络不支持在源和目标蜂窝网络的移动性管理实体之间无信令通道的情况下，与目标蜂窝网络互通的指示。

条件b)230源蜂窝网络是ng-ran；并且目标蜂窝网络是e-utran；并且ue已经接收到源蜂窝网络不支持在源和目标蜂窝网络的移动性管理实体之间无信令通道的情况下，与目标蜂窝网络互通的指示；

条件c)240源蜂窝网络是ng-ran；并且目标蜂窝网络是e-utran；并且ue不支持发送附接请求(attachrequest)消息，该附接请求消息包含请求类型被设置为“切换”以将pdu会话从n1模式转移到s1模式的pdn连接请求(pdnconnectivityrequest)消息；

条件d)250源蜂窝网络是ng-ran；并且目标蜂窝网络是e-utran；并且ue已经接收到源蜂窝网络支持在源和目标蜂窝网络的移动性管理实体之间无信令通道的情况下，与目标蜂窝网络互通的指示；并且ue支持发送附接请求消息，该附接请求消息包含请求类型被设置为“切换”以将pdu会话从n1模式转移到s1模式的pdn连接请求消息；并且ue具有有效的本地eps安全上下文。

图3示出了当ue处于单一注册模式连接时，amf中用于处理ue从e-utran到ng-ran的空闲模式系统间改变的示例实施例的过程的流程图，包括：

如果以下条件中的任何一个或多个条件被满足，则在空闲模式系统间改变中从源蜂窝网络得到310作为由eps的源mme维护的eps安全上下文的经映射的5gnas安全上下文：

条件1)320amf已经从ue接收到没有完整性保护和加密的注册请求(registrationrequest)消息；并且该注册请求消息包括用于下一代无线电接入网络的密钥集标识符(ngksi)，该密钥集标识符指示经映射的5gnas安全上下文值“000”；

条件2)330在eps和5gs的移动性管理实体之间无信令通道的情况下的互通不被支持；并且从eps的mme接收到的eps安全上下文包括被设置为空完整性保护算法和空加密算法的nas安全算法，诸如eia0和eea0；

条件3)340在eps和5gs的移动性管理实体之间无信令通道的情况下的互通不被支持；并且从源mme接收的eps安全上下文不包括被设置为空完整性保护算法和空加密算法的nas安全算法；

条件4)350在eps和5gs的移动性管理实体之间无信令通道的情况下的互通不被支持；并且从源mme接收的eps安全上下文包括被设置为空完整性保护算法和空加密算法的nas安全算法。

该方法可以包括，在得到经映射的安全上下文之前，在没有完整性保护和加密的情况下接收360注册请求消息。

图4示出了根据本发明实施例的装置300的框图。

装置400包括存储器440，存储器440包括永久计算机程序代码450。装置400还包括用于使用计算机程序代码440控制装置400的操作的处理器420、用于与其他节点通信的通信单元410。通信单元410包括例如局域网(lan)端口；无线局域网(wlan)单元；蓝牙单元；蜂窝数据通信单元；或卫星数据通信单元。处理器420包括例如以下各项中的任何一项或多项：主控制单元(mcu)；微处理器；数字信号处理器(dsp)；专用集成电路(asic)；现场可编程门阵列；以及微控制器。该装置还可以包括用户接口(u/i)430。

接下来，在3gppts24.501v15.1.0第4.4.2.5节，建立nas消息的安全交换(establishmentofsecureexchangeofnasmessages)的上下文中描述一些非限制性示例用例。经由nas信令连接的nas消息安全交换通常由amf在注册过程期间通过启动安全模式控制程序来建立。在安全模式控制程序成功完成之后，ue与amf之间交换的所有nas消息在使用当前5g安全算法进行完整性保护的情况下被发送，并且除了诸如注册请求和安全模式命令(securitymodecommand)消息的消息之外，ue与amf之间交换的所有nas消息都在使用当前5g安全算法进行加密的情况下被发送。

在5gmm-连接(5gmm-connected)模式下从s1模式到n1模式的系统间改变期间，通过以下方式在amf与ue之间建立nas消息的安全交换：

a)封装在as信令中的nas安全相关参数从amf传输到ue，触发5gmm-连接模式下的系统间改变。ue使用这些参数生成经映射的5gnas安全上下文；以及

b)在5gmm-连接模式下系统间改变之后，注册请求消息从ue传输到amf。ue应当发送使用经映射的5gnas安全上下文进行完整性保护、但不加密的该消息。从此时起，ue与amf之间交换的所有nas消息都在使用经映射的5gnas安全上下文进行完整性保护的情况下被发送，并且除了诸如注册请求和安全模式命令消息的消息之外，ue与amf之间交换的所有nas消息都在使用经映射的5gnas安全上下文进行加密的情况下被发送。

在5gmm-空闲(5gmm-idle)模式下从s1模式到n1模式的系统间改变期间，如果ue在单一注册模式下操作，并且：

a)如果ue具有有效的本地5gnas安全上下文，则ue应当发送利用本地5gnas安全上下文进行完整性保护的注册请求消息。ue应当在注册请求消息中包括指示本地5gnas安全上下文值的ngksi。

在接收到包括指示本地5gnas安全上下文值的ngksi的注册请求消息之后，amf应当检查该注册请求消息中包括的ngksi是否属于amf中可用的5gnas安全上下文，并且应对该注册请求消息的mac进行验证。如果验证成功，则amf删除从源mme接收到的eps安全上下文(如果有的话)，并且amf通过以下任一方式重新建立nas消息的安全交换：

i)利用注册接受(registrationaccept)消息进行回复，该注册接受消息使用本地5gnas安全上下文进行完整性保护并加密。从此时起，ue与amf之间交换的所有nas消息都在经完整性保护的情况下被发送，并且除了注册请求和安全模式命令消息的消息之外，ue与amf之间交换的所有nas消息都在经加密的情况下被发送；或者

ii)启动安全模式控制程序。amf可以使用它来利用非当前的5gnas安全上下文，或者通过选择新的nas安全算法来修改当前的5gnas安全上下文。

b)如果ue没有有效的本地5gnas安全上下文，并且：

i)如果ue没有用于紧急承载业务的pdn连接，或者ue当前的eps安全上下文不包括被设置为eia0和eea0的nas安全算法，或者ue从网络接收到“支持无n26的互通”指示，则ue应当发送无完整性保护和加密的注册请求消息。

在接收到无完整性保护和加密的注册请求消息之后：

1)如果不支持无n26的互通，则amf应当创建新的经映射的5gnas安全上下文或触发主要认证和密钥协商程序以创建新的本地5gnas安全上下文；或者

2)如果支持无n26的互通，则amf应当触发主要认证和密钥协商程序。

通过启动安全模式控制程序来使用新创建的5gnas安全上下文，并且该上下文成为ue和amf中的当前5gnas安全上下文。这重新建立了nas消息的安全交换；或者

ii)如果ue具有用于紧急承载服务的pdn连接，则ue具有包括被设置为eia0和eea0的nas安全算法的当前eps安全上下文，并且ue从网络接收到“不支持无n26的互通”指示，ue应当从当前eps安全上下文得到经映射的5gnas安全，并发送利用经映射的5gnas安全上下文进行完整性保护的注册请求消息。ue应当在注册请求消息中包括指示经映射的5gnas安全上下文值的ngksi。

在接收到包括指示经映射的5gnas安全上下文值“000”的ngksi的注册请求消息之后，不支持无n26的互通的amf应当从eps安全上下文得到经映射的5gnas安全上下文，并检查包括在注册请求消息中的ngksi是否与经映射的5gnas安全上下文的ngksi匹配。如果检查成功，则amf通过利用注册接受消息进行回复来重新建立nas消息的安全交换，该注册接受消息是进行完整性保护的，并且使用经映射的5gnas安全上下文来加密。

b)如果运行在单一注册模式下的ue没有有效的本地5gnas安全上下文，则ue应当发送无完整性保护和加密的注册请求消息。

在接收到无完整性保护和加密的注册请求消息之后：

i)如果不支持无n26的互通，并且：

1)如果从源mme接收到的eps安全上下文不包括被设置为eia0和eea0的nas安全算法，则amf应当创建新的经映射的5gnas安全上下文或触发主要认证和密钥协商程序以创建新的本地5gnas安全上下文；或者

2)如果从源mme接收到的eps安全上下文包括被设置为eia0和eea0的nas安全算法，则amf应当创建新的经映射的5gnas安全；或者

ii)如果支持无n26的互通，则amf应当触发主要认证和密钥协商程序。

通过启动安全模式控制程序来使用新创建的5gnas安全上下文，并且该上下文成为ue和amf中的当前5gnas安全上下文。这将重新建立nas消息的安全交换。

在5gmm-连接模式下从n1模式到s1模式的系统间切换期间，通过以下方式在mme与ue之间建立nas消息的安全交换：

a)封装在as信令中的nas安全相关参数从amf传输到ue，触发5gmm-连接模式下的系统间改变。ue使用这些参数生成经映射的eps安全上下文；以及

b)在5gmm-连接模式下系统间改变之后，追踪区域更新请求(trackingareaupdaterequest)消息从ue传输到mme。ue应当发送使用经映射的eps安全上下文进行完整性保护、但未加密的该消息。从此时起，ue与amf之间交换的所有nas消息都在使用经映射的eps安全上下文进行完整性保护的情况下被发送，并且除了诸如注册请求和安全模式命令消息的消息之外，ue与amf之间交换的所有nas消息都在使用经映射的eps安全上下文进行加密的情况下被发送。

在5gmm-空闲模式下从n1模式到s1模式的系统间改变期间，如果ue在单一注册模式下操作，并且：

a)如果ue从网络接收到“不支持无n26的互通”指示，或者ue不支持发送附接请求消息，该附接请求消息包含请求类型设置为“切换”以将pdu会话从n1模式转换到s1模式的pdn连接请求消息，则ue应当发送利用当前5gnas安全上下文进行完整性保护的追踪区域更新请求消息，并且ue应当得到经映射的eps安全上下文。ue应当在追踪区域更新请求消息中包括指示经映射的eps安全上下文值的eksi。

在接收到包括eksi的追踪区域更新请求消息之后，mme向源amf转发追踪区域更新请求消息。源amf应当使用eksi值字段来标识amf中可用的5gnas安全上下文，并应当使用5gnas安全上下文验证追踪区域更新请求消息的mac。如果验证成功，amf应从5gnas安全上下文得到经映射的eps安全上下文，并将经映射的eps安全上下文发送给mme。mme通过以下任一方式重新建立nas消息的安全交换：

i)利用追踪区域更新接受消息进行回复，该追踪区域更新接受消息是进行完整性保护的，并且使用经映射的5gnas安全上下文进行加密。从此时起，ue与mme之间交换的所有nas消息都在经完整性保护的情况下被发送，并且除了诸如附接请求和追踪区域更新请求消息的消息之外，ue与mme之间交换的所有nas消息都在经加密的情况下被发送；或者

ii)启动安全模式控制程序。这可以被mme用来使用非当前eps安全上下文，或者通过选择新的nas安全算法来修改当前eps安全上下文。

b)如果ue从网络接收到“支持无n26的互通”指示，并且ue支持发送附接请求消息，该附接请求消息包含请求类型被设置为“切换”以将pdu会话从n1模式转换到s1模式的pdn连接请求消息，并且：

i)如果ue具有有效的本地eps安全上下文，则ue应当发送利用本地eps安全上下文进行完整性保护的附接请求消息。ue应当在附接请求消息中包括指示本地eps安全上下文值的eksi。

ii)如果ue没有有效的本地eps安全上下文，则ue应当发送无完整性保护和加密的附接请求消息。

在接收到附接请求消息之后，mme应继续进行附接程序。

在n1模式到n1模式的切换期间，通过以下方式在amf与ue之间建立nas消息的安全交换：

a)将封装在as信令中的nas安全相关参数从目标amf传输到ue，从而触发n1模式到n1模式的切换。ue使用这些参数创建新的5gnas安全上下文。

nas消息的安全交换应当在n1模式到n1模式的切换之后继续进行。其在5gmm-连接模式下从n1模式到s1模式的系统间改变之后终止或当nas信令连接被释放时终止。

当处于5gmm-空闲模式下的ue建立新的nas信令连接并且具有有效的当前5gnas安全上下文时，ue应当发送利用当前5gnas安全上下文进行完整性保护但未经加密的初始nas消息。ue应当在初始nas消息中包括指示当前5gnas安全上下文值的ngksi。amf应当检查初始nas消息中包括的ngksi是否属于amf中可用的5gnas安全上下文，并应当验证nas消息的mac。如果验证成功，则amf可以重新建立nas消息的安全交换：

a)通过使用当前5gnas安全上下文进行完整性保护并加密的nas消息进行回复。从此时起，ue与amf之间交换的所有nas消息都在经完整性保护的情况下被发送，并且除了诸如注册请求和安全模式命令消息的消息之外，ue与amf之间交换的所有nas消息都在经加密的情况下被发送；或者

b)通过启动安全模式控制程序。amf可以使用它来使用非当前5gnas安全上下文，或者通过选择新的nas安全算法来修改当前5gnas安全上下文。

如在本申请中使用的，术语“电路”可以指以下各项中的一项或多项或全部：

(a)仅硬件电路实现(例如，仅在模拟和/或数字电路中实现)以及；

(b)硬件电路和软件的组合，诸如(如适用)

(i)(多个)模拟和/或数字硬件电路与软件/固件的组合；以及

(ii)具有软件的(多个)硬件处理器的任何部分(包括(多个)数字信号处理器)、软件以及(多个)存储器，它们协同工作以使诸如移动电话或服务器的装置执行各种功能；以及

(c)(多个)硬件电路和/或(多个)处理器，诸如(多个)微处理器或(多个)微处理器的一部分，其需要软件(例如，固件)用于操作，但是当不需要软件用于操作时，软件可以不存在。

电路的该定义适用于本申请中该术语的所有使用，包括在任何权利要求中。作为另一示例，如本申请中使用的，术语电路还涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的一部分及它(或它们)附带的软件和/或固件的实现。术语电路还包括，例如并且如果适用于特定权利要求元素，用于移动设备的基带集成电路或处理器集成电路或者服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。

在不以任何方式限制下面出现的权利要求的范围、解释或应用的情况下，这里公开的一个或多个示例实施例的技术效果是其可以避免启动导致关键呼叫的用户体验恶化的不必要的5gmm程序。这里公开的一个或多个示例实施例的另一个技术效果是可以减少无线电接口和/或核心网络信令。这里公开的一个或多个示例实施例的又一个技术效果是，通过增加使用先前建立的安全上下文来提高安全性，使得可以减少通过无线电接口和/或在一个或多个核心网络中的数据的明文传输。

本发明的实施例可以用软件、硬件、应用逻辑或软件、硬件和应用逻辑的组合来实现。在示例实施例中，应用逻辑、软件或指令集被维护在各种传统计算机可读介质中的任何一个上。在本文档的上下文中，“计算机可读介质”可以是任何非瞬态介质或部件，其可以包含、存储、通信、传播或传输指令，以供指令执行系统、装置或设备(诸如，计算机)使用或与之连接，图4中描述和描绘了计算机的一个示例。计算机可读介质可以包括计算机可读存储介质，该计算机可读存储介质可以是可以包含或存储指令，以供指令执行系统、装置或设备(诸如，计算机)使用或与之连接的任何介质或部件。

如果需要，这里讨论的不同功能可以以不同的顺序和/或彼此同时执行。此外，如果需要，前述功能中的一个或多个可以是可选的或可以组合的。

尽管在独立权利要求中陈述了本发明的各个方面，但是本发明的其他方面包括来自所描述实施例和/或从属权利要求的特征与独立权利要求的特征的其他组合，而不仅仅是权利要求中明确陈述的组合。

这里还应当注意，尽管前文描述了本发明的示例实施例，但这些描述不应被视为限制性的。相反，在不脱离所附权利要求中定义的本发明的范围的情况下，可以进行若干变化和修改。