用于启用LTE移动单元中非接入层(NAS)安全性的方法和设备

摘要

一种执行长期演进(LTE)无线发射/接收单元(WTRU)中非接入层(NAS)(层3)的处理的方法和设备，所述方法和设备允许NAS协议层将L3消息路由到正确的NAS实体，并为新的NAS消息类型和信息元素进行编码。提出了启用NAS安全性的新架构。当产生NAS消息时，基于NAS消息的协议鉴别符(PD)、NAS消息的报头中的指示符字段、NAS消息的类型、NAS安全性状态变量以及根据上层协议的指示中的至少一者来做出是否对NAS消息进行加密、解密和/或完整性检查的决定。所述NAS安全性状态变量指示NAS安全性当前是否处于激活状态并且可以包括一个比特。

说明书

技术领域

本申请涉及无线通信。

背景技术

第三代合作伙伴计划(3GPP)长期演进(LTE)项目的当前努力方向是引进与LTE设置和配置相关的新技术、新架构和新方法，以提供改进的频谱效率、减少的延迟、无线电资源的更好利用，从而以更低的成本带来更快捷的用户体验以及更丰富的应用和服务。

LTE层3(L3)架构可以被认为是用于能够实现通用分组无线电业务(GPRS)的无线发射/接收单元(WTRU)(即基站)的现有L3架构的演进。LTE定义了新的移动性管理(MM)概念(例如取代路由区域的跟踪区域的概念)以及新的MM过程(例如多个跟踪区域可以在跟踪区域更新过程中被分配)。这些新的过程将由新的L3协议(例如演进型移动性管理(EMM)和演进型会话管理(ESM))来进行更详细的描述，这将是LTE非接入层(NAS)的一部分。这些新的协议实体是GPRS移动性管理(GMM)、会话管理(GMM)等等的LTE等价物。

此外，作为这一演进过程的一部分，3GPP将在LTE中使用不同的安全性架构，而不在通用移动电信系统(UMTS)和用于移动通信(GSM)的全球系统中使用。为了进行比较，UMTS认证和密钥协议(AKA)过程(在分组交换(PS)区域中)可被认为是用于新的LTE过程的基准。当前的UMTSAKA过程和新的LTE安全性架构现在将被简要地描述。

UMTS AKA和加密过程被扩展到多个协议层，并使用NAS和无线电资源控制(RRC)信令两者来共同完成它们的目标。简言之，WTRU的识别和认证经由NAS信令来完成。一旦在NAS级别的认证被完成，加密和/或完整性保护就由网络使用安全性模式指令来激活(active)，该安全性模式指令是RRC消息。一旦使用安全性模式指令激活了安全性，WTRU中的NAS层首先使用在GMMAS服务接入点(SAP)(被定义在GMM与AS之间)上的GMMAS-SECURITY-RESPONSE(GMMAS-安全性-响应)原语向接入层(AS)传递加密密钥(CK)和完整性密钥(IK)。RRC接收这些密钥并使用CRLC-CONFIG原语(在RRC与RLC之间的C-SAP上)和CMAC-CONFIG原语(在RRC与MAC之间的C-SAP上)将所述密钥传递到无线电链路控制(RLC)和媒体接入控制(MAC)上。C-SAP是用于RRC与较低层之间的C-平面信令的服务接入点。实际的加密和完整性保护通常在RLC中执行，但是在透明的RLC模式业务的情况中则在MAC中执行。较低层(即MAC/RLC)负责确保供上层使用的消息(例如L3NAS消息)已经被正确地进行了完整性保护和/或加密。如果没有，则较低层忽略/丢弃该消息。

针对LTE的用于安全性的完全不同的架构已经被提出。主要区别在于现有两个安全级别-NAS安全性和AS安全性，而不是单一的安全性层(即在MAC/RLC中)。NAS安全性在移动性管理实体(MME)(即核心网络)中终止，而AS安全性在基站(即e节点-B)中终止。简言之，AKA过程在NAS中完成，NAS安全性密钥在完成后首先被导出，而AS安全性参数以密码分离的方式(即知道AS密钥不允许攻击者确定NAS密钥)从NAS密钥导出。这一决定的理由是在LTE中，一方可能在易受攻击的位置(例如归属节点-B)存在基站，以及由于RRC(以及由此的安全性)在基站中被终止，这被认为是安全性风险。因此需要两个安全性级别。

图1示出了常规LTE L3报头100的结构。LTE L3报头100的第一个八比特组包括事务标识符或跳跃指示符字段105和协议鉴别符(PD)字段110。LTE L3报头100的第二个八比特组包括消息类型字段115。LTE L3报头100的附加八比特组可以包括根据需要的其它信息元素120。如上所描述，新的L3协议实体已经被提出(例如EMM和ESM)。然而，当前的LTE L3报头100不支持这些新的协议。特别地，图1的LTE L3报头100中的PD字段110被增强以根据选项来区分这些新的协议。

图2示出了图1的LTE L3报头100的PD字段110。参见图1和2，LTEL3报头100的第一个八比特组的最后4比特(4321)构成PD字段110，其由NAS的MM子层中的路由实体使用以将L3消息路由到合适的NSA实体(例如当前的MM/GMM/SM)，其中该L3消息包括LTE L3报头100。

图3中示出了仅PS的UMTS WTRU的常规NAS架构300。NAS架构300包括无线电接入承载管理(RABM)单元305、连接管理(CM)单元310、移动性管理(MM)单元315以及接入层(AS)子层320。RABM单元305包括多个无线电接入承载(RAB)实体325、330和335，以及RAB控制单元340。CM单元310包括会话管理(SM)单元345、GPRS短消息服务(GSMS)实体350以及补充服务(SS)实体355。分组数据协议(PDP)360被用作CM单元310与MM单元315之间的接口。MM单元315包括GPRS MM(GMM)单元365和PD单元370。MM单元315和RABM单元305接口都具有AS子层320，该AS子层320包括无线电资源控制器(RRC)375、广播多播控制器(BMC)380以及分组数据汇聚协议(PDCP)385。AS子层320向MM单元315和RABM单元305提供服务。MM单元315向CM单元310的实体提供服务。

RAB控制单元340增加、改变、删除和/或重新配置RAB实体325、330和335。PD单元370用于将NAS消息信息元素(IE)路由到不同的NAS实体。SM单元345向RABM单元305提供服务并使用MM单元315的服务。除了使用来自GMM单元365的服务之外，GSMS实体350与用于GSM中的GPRS服务的SMS实体相同。除了使用来自PS信令连接的服务之外，SS实体355与来自非GPRS服务的一方相同。RABM单元305隐藏RAB的概念，当PDP上下文处于激活状态时该RAB可以被激活/释放。如果终端中的上行链路(UL)数据将在已经被释放的RAB(网络服务接入点标识符(NSAPI))上被发送，那么RABM单元305将在GMM单元365中触发服务请求过程。

通常，NAS消息IE以类型/长度/数值(TLV)格式进行编码。如图4所示，NAS消息IE属于5种类型的IE 405、410、415、420和425中的一种。如图4所示，IE 405具有仅类型(T)格式，IE 410具有仅数值(V)格式，而IE 415具有类型和数值(TV)格式，IE 420具有长度和数值(LV)格式，而IE 425具有类型、长度和数值(TLV)格式。如图4所示，IE指示符(类型)存在于IE 405、415和425中，但不存在于IE 410和420中。长度指示符存在于IE 420和425中，但不存在于IE 405、410和415中。数值指示符存在于IE 410、415、420和425中，但不存在于IE 405中。

使用图3的NAS架构300具有的一些问题在于所建议的新的NAS消息不具有为了被识别而被定义的任意消息类型。另外，期望的新的NAS IE中的一些没有为其编码而定义的格式。此外，图3中示出的NAS实体不支持安全性(即难以使用当前NAS架构来实现LTE NAS中的安全性)。

另外，在NAS架构300中，所建议的用于LTE的加密算法是分组加密，即它们通过使用CK和待加密的协议数据单元(PDU)的长度的指示来产生密钥流块来工作，所述密钥流块的长度等于未加密的PDU的长度。然后所述密钥流块被逐位增加(通常)到未加密的PDU，以产生加密的PDU。该过程也被用在接收机以产生用于解密的同样的密钥流块。接着该密钥流块被逐位增加到接收到的加密的PDU。

在LTE中，NAS消息的加密已经被认同。因此，NAS层必须向加密算法指示待加密的L3 NAS PDU的长度。现今并不存在用于NAS进行这一过程的功能性。

最后，如果允许MME的再定位，那么在切换过程中MME再定位可能可以发生。图5中示出了用于执行MME的再定位的切换过程的一个实例。当前不存在无线电链路失败和MME间的切换之后对NAS序列号(SN)和超帧号(HFN)的处理而定义的过程。

发明内容

本申请描述LTE WTRU中的NAS层(L3)的特征，由此允许所述NAS协议层将层3消息路由到正确的NAS实体，并对新的NAS消息类型和信息元素进行编码。提出了启用NAS安全性的新架构。当产生NAS消息时，基于所述NAS消息的协议鉴别符(PD)、所述NAS消息的报头中的指示符字段、所述NAS消息的类型、NAS安全性状态变量以及根据RRC协议的指示中的至少一者来做出是否对所述NAS消息进行加密、解密和/或完整性检查的决定。所述NAS安全性状态变量用于指示NAS安全性当前是否被激活，并且可以包含一个比特。

本发明的有益效果包括：允许所述NAS协议层将L3消息路由到正确LTE NAS实体(例如EMM和ESM)。允许新的NAS消息类型和新的NAS IE的编码。提供了新的NAS架构以启用NAS安全性并允许对用于产生相等长度的加密密钥流的NAS PDU的长度的确定。此外，允许所述NAS层在无线电链路失败和切换后处理SN和HFN。

附图说明

从以下描述中可以更详细地理解本发明，这些描述是以实例结合附图的方式给出的，其中：

图1示出了常规LTE L3报头的结构；

图2示出了图1的LTE L3报头的PD字段；

图3示出了仅PS的UMTS WTRU的常规NAS架构；

图4示出了NAS消息IE的类型/长度/数值(TLV)编码的格式；

图5示出了常规MME间切换过程的一个实例；

图6示出了新的NAS架构的一个实例。

具体实施方式

下文提及的“无线发射/接收单元(WTRU)”包括但不局限于用户设备(UE)、移动站、固定或移动用户单元、传呼机、蜂窝电话、个人数字助理(PDA)、计算机或能够在无线环境中操作的任何其它类型的用户设备。下文提及的“基站”包括但不局限于节点-B、站点控制器、接入点(AP)或能够在无线环境中操作的任何其它类型的接口设备。

层3协议鉴别符(PD)字段的增强

参见图1，LTE L3报头100中的L3PD字段110可以被增强，以使得L3PD字段110中的比特的特定组合指示LTE LE报头100之后的L3消息是上层LTE L3消息(例如EMM、ESM)。

术语EMM和ESM被用于描述LTE MM和SM实体及协议、以及它们的相关联的功能。如果任意附加的实体/协议在用于LTE的NAS层中被定义/修改，它们各自的协议也可以被增加到L3PD字段。然而，如图2中所示，存在很少可以用于这一目的的比特的组合。因此，下面的选项可以被实现：

1)定义备用的PD值“0111”和“1101”以标志EMM和ESM协议(以任意顺序)；

2)扩展PD字段为一个八比特组(或者更多)并将(这一增加的PD字段可以采用的可用值的)两个值映射到EMM和ESM协议；

3)重新使用一些现有的PD值(例如用于GMM消息的1000)，以指示EMM和ESM协议。

消息类型的增强的描述

参见图1，LTE L3报头100的第二个八比特组包括消息类型字段115。这一八比特组的不同值映射到由协议鉴别符字段110识别的协议层的不同消息。

为了定义期望用于LTE的新的L3NAS消息，消息类型字段115中的附加值可以被分配用于如下：

1)跟踪区域更新请求；

2)跟踪区域更新接受；

3)跟踪区域更新完成；

4)跟踪区域更新拒绝；

5)NAS安全性模式指令；

6)NAS安全性模式指令完成；以及

7)NAS安全性模式指令失败。

NAS消息中的新的完整性检查(IC)信息元素

为了对NAS消息进行完整性检查，新的NAS完整性检查(IC)IE可以被追加到每个NAS消息。接收机将该接收到的IE的值与其自身的计算结果进行比较。由于IC比特的长度可能将被固定(因为它是已知算法的输出)，IC IE可以被编码为类型3 NAS消息IE(仅类型和数值(TV))，因为数值部分的长度是固定的。可替换地，它可以被编码为类型2或某些其它类型。新的IE标识符可以被定义以识别NAS IC IE。

用于保护NAS层的新的架构

以下描述的不同架构用于保护NAS层。

用于安全性的NAS实体/协议

图6示出了新的NAS L3架构600的实例，其可以在WTRU(即移动站)内部驻留。NAS L3架构600包括演进型分组系统承载管理(EPSBM)单元605、CM单元610、MM单元615以及LTE AS子层620。EPSBM单元605包括多个演进型分组系统(EPS)承载实体625、630和635，以及EPS控制单元640。CM单元610包括演进型会话管理(ESM)单元645、演进型短消息服务(ESMS)实体650、以及补充服务(SS)实体655。PDP 660被用作CM单元610与MM单元615之间的接口。MM单元615包括演进型移动性管理(EMM)单元665和安全连通性(SC)单元370。SC单元370包括PD单元375。MM单元615和EPSBM单元605接口两者都具有LTE AS子层620，该LTE AS子层620包括RRC 680和PDCP 685。

EPS承载实体625、630和635在WTRU与分组数据节点(PDN)网关之间运行，并由无线电承载(RB)和EPS接入承载的组合组成。EPSBM单元605控制EPS承载的改变和配置。LTE AS子层620提供服务给MM单元615和EPSBM单元605。ESM单元645提供服务给EPSBM单元605，并使用MM单元615的服务。除了使用来自EMM单元665的服务之外，ESMS实体650与用于GSM中的GPRS服务的SMS实体相同。除了使用来自PS信令连接的服务之外，SS实体655与用于非GPRS的服务的一方相同。

SC单元670被使用以使得来自EMM单元665和ESM单元645的所有消息通过SC单元670被传递到LTE AS子层620。如图6所示，SC单元670可以被视为MM单元615的子实体，或者它可以被视为与MM单元615分离的L3实体。SC单元670的功能性也可以驻留在较低层中(例如RRC 680)，并且它还可以被定义为具有其自身的协议。

就其功能来说，下面的任意组合可以被实现：

1)EMM、ESM和其它实体(例如SMS)可以发送消息到SC单元670。

2)可以定义SAP和相关联的原语以用于EMM单元665和SC单元670、以及ESM单元645和SC单元670。

3)SC单元670(或者更一般地NAS)可以定义NAS安全性状态变量(例如1比特)，该NAS安全性状态变量标志当前的NAS安全性是否处于激活状态。可能具有两个这样的变量以在加密与完整性保护之间进行区别。注意原语可以在NAS与RRC之间交换以指示加密的存在或不存在，而不是1比特NAS安全性状态变量。同样这一比特也可以被认为是分离的PDU，该分离的PDU被用于指示加密已经开始(例如分离的NAS消息可以被用于这一目的)。可替换地，这一比特可以被包括在每个NAS PDU中。

4)SC单元670可以在透明模式或非透明模式中操作。在透明模式中，SC单元670将不对特定的NAS消息进行加密/解密和/或完整性检查。这一决定可以基于下面因素中的任意组合：消息的协议鉴别符、L3协议报头中的指示符字段(指示用于特定PDU的加密和/或完整性保护的需要)、消息类型、NAS安全性状态变量、根据上层协议的指示(例如来自EMM单元665和/或ESM单元645到SC单元670的不对所述消息进行加密/完整性检查的指示)。

5)在非透明模式中，SC单元670可以对相关的NAS PDU进行加密/解密和/或完整性检查。这一决定也可以基于下面因素的任意组合：消息的协议鉴别符、L3协议报头中的指示符字段(指示用于特定PDU的加密和/或完整性保护的需要)、消息类型、NAS安全性状态变量、根据上层协议的指示(例如来自EMM单元665和/或ESM单元645到SC单元670的不对所述消息进行加密/完整性检查的指示)。

6)在接收侧，SC单元670可以从较低层接收NAS PDU，并且如果在透明模式中操作，则基于所述消息的协议鉴别符将所述消息路由到正确的上层实体(例如EMM/ESM)。如果接收SC单元670在非透明模式中进行，则它可以对NAS PDU进行加密和/或完整性检查、增量其NAS SN和/或NASHFN，然后基于NAS报头的PD字段路由所述消息。接收侧可以解密然后检查消息的完整性，或反之亦然由发射侧中的这些操作的顺序决定。

如上所描述，可能可以具有用于SC单元670的分离的协议。这一协议可以通过具有在L3报头中的其自身的协议鉴别符字段而被区别。属于这一协议的消息类型可以是涉及加密、认证、识别和与其它之间的密钥协定。实例包括：

1)身份请求；

2)身份响应；

3)认证请求；

4)认证响应；

5)认证失败；

6)认证拒绝；

7)NAS安全性模式指令；

8)NAS安全性模式指令完成；以及

9)NAS安全性模式指令失败。

也可能可以定义用于这一实体的状态机。例如，下面描述可能的状态(可能可以应用其它用于这些状态和其它状态的名称)：

a)SECURITY INACTIVE(安全性不激活(inactive))：在这一状态中，不向网络认证WTRU并且在WTRU或网络中不存在安全性上下文。作为这一状态(或分离状态)的子状态，一方可以具有标志正在进行的AKA会话、NAS安全性模式指令交换以及RRC安全性模式指令交换的状态。

b)SECURITY ACTIVE(安全性激活)：在这一状态中，向网络认证WTRU并且在WTRU或网络中存在安全性上下文。WTRU可以具有某些密钥(例如K_asme)或所有密钥。

可能还可以以虽然更复杂、但不同的方式来实现这一相同的SCE。例如，在发射侧，具有构建的NAS PDU的上层呼叫实体(例如EMM单元665或ESM单元645)，可以将该构建的NAS PDU发送到NAS SC单元670。然后NAS SC单元670可以对PDU进行加密和/或完整性检查，然后将其返回到呼叫实体。然后呼叫实体可以将所保护的NAS PDU发送到更低层(即RRC)。这一方法具有重新使用MM单元615与LTE AS子层620之间存在的SAP的优点。然而在接收侧，在可以将消息路由到正确的上层协议之前，对消息进行解密和完整性检查。这一功能性可以通过将所有接收到的NAS PDU路由到SC单元670来实现，然后SC单元670做出路由决定。

另一个选项是每个NAS层在其自身的协议中进行消息的加密/完整性保护。从而EMM单元665可以对EMM消息进行加密/完整性检查/解密，并且ESM单元645可以对ESM消息进行加密/完整性检查/解密，等等。在这种情况中SC单元670的作用可以被限于提供序列号给EMM和ESM层(以及任意其它层)，以使得正在使用的SN没有冲突。这一问题可以通过在每个协议PDU基础上，而不是在每个NAS PDU基础上定义要增量的SN而消失。在这种情况中，每个NAS子层(例如EMM/ESM)可以具有其自身的SN/HFN，该SN/SFN被增量以用于属于这一协议的每个NAS PDU。在这一方案中，在接收侧，NAS层中的路由实体可以基于NAS报头(假设它不被加密)中的协议鉴别符字段将接收到的NAS PDU路由到正确的NAS实体，然后各自的协议实体可以对消息进行解密和/或完整性保护。

NAS PDU的长度的确定

NAS层可以将NAS PDU(待解密的)的部分的长度提供到加密引擎。以下是用于确定这一长度的不同选项。

1)传送NAS实体可以包括在L3消息(例如协议报头中)的长度的指示。这一长度可以是完整消息、消息的加密部分或允许接收NAS实体确定需要产生的加密流块的长度的一些其它值的长度。

2)传送NAS实体可以包括当它传递用于传输的L3消息时对到RRC的L3消息的长度的指示。这一长度指示由接收机中的RRC层接收，并被传递到接收机NAS实体，这一长度指示被用于确定待产生的加密流块的长度。

3)当前，NAS层期望完成NAS PDU而无需在NAS层执行重新分段。结果，当接收到NAS PDU时，接收实体可以确信它是完整的(如果它接收到丢失了期望值的消息，它的行为是当前丢弃消息)。因而，可能留下NASPDU的长度的确定一直到实现。

以下给出接收机中的一个示例实现：

1)接收到NAS PDU；

2)NAS PDU被存储在存储器/缓冲器或等价物中；

3)确定消息的大小(例如被占据的存储器/缓冲器空间)；

4)通过从消息的大小中减去消息的未加密部分的长度来确定消息的加密部分的长度。消息的未加密部分的长度可以是固定的或可以以已知模式变化(例如由消息类型/协议决定)或者可以由接收NAS实体中的发射NAS实体配置；以及

5)加密部分的长度被传递到加密算法以确定要用于解密的密钥流。

无线电链路失败和切换后NAS SN和HFN的处理

作为这些过程的一部分，有必要确定当前NAS SN和HFN编号如何在网络中被处理。

在切换过程中，下面任意一项可以用当前WTRU和源MME中的NASSN和HFN来执行。

1)NAS HFN和NAS SN两者都可以被复位为缺省值。

2)NAS HFN可以不被复位但是NAS SN可以被复位。NAS HFN由源MME传递到目标以作为切换(HO)请求的一部分。

3)NAS SN可以不被复位，但NAS HFN可以被复位。NAS SN由源MME传递到目标以作为HO请求的一部分。

4)NAS HFN和NAS SN两者都可以不被复位。它们都由源MME传递到目标以作为HO请求的一部分。

其它需要回答的问题是参数(NAS SN和/或HFN)中的任意一个是否都被复位，这一复位何时被触发以及新的NAS/ASME密钥如何被传递到WTRU。

因此，在MME间切换过程中，NAS消息被从源MME触发到WTRU以提供用于导出新的NAS和ASME密钥的必要的参数。可替换地，源MME可以以安全的方式(使用现有的加密/完整性保护)提供具有新的NAS和ASME密钥的WTRU。例如，这一消息可以是NAS安全性模式指令/重配置。这一NAS消息可以先于切换指令(例如在分离的下行链路直接传递消息中)、或者作为切换指令中的L3消息而被发送。作为另一替换实施方式，该信息可以在RRC消息中直接被发送。

NAS SN和/或HFN的复位可以由切换临近(例如当RRC接收切换指令时)的较低层指示来触发，或者由所述分离的NAS消息的接收来触发。

无线电链路失败和e节点-B间切换后NAS SN和HFN的处理

由于上行链路(UL)和下行链路(DL)中的无线电链路(RL)失败和e节点-B间切换，NAS SN和/或HFN可以被复位。这可以由消息(例如RRC消息)的传输和接收来触发。

在NAS处的重传处理

在重传的情况中，NAS层可以检测再次被传送的分组是重复的PDU(已接收到的PDU)还是新的PDU。重复检测实体可以是位于EMM或ESM之下、并监控所引入的分组是否之前已被发送的通用实体。在未接收到用于传送的NAS PDU的应答的事件中，较低层可以向NAS层提供这一事件的指示。NAS层可以使用这一指示以重新传送具有相同SN的PDU(或发送新的PDU)。

在不允许重复检测的情况中，与传送具有新的序列号的数据相反，相同的序列号可以被用于传送失败的传输情况中的数据。

可替换地或另外，NAS事务标识符可以由NAS用以检测重复消息。这可能需要NAS事务ID作为NAS报头的一部分。因而，WTRU能够读取这一ID并丢弃接收到的任意重复消息。

实施例

1.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于所述NAS消息的报头中的指示符字段来确定是否加密所述NAS消息。

2.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于所述NAS消息的协议鉴别符(PD)来确定是否加密所述NAS消息。

3.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于所述NAS消息的类型来确定是否加密所述NAS消息。

4.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于NAS安全性状态变量来确定是否加密所述NAS消息。

5.根据实施例4所述的方法，其中所述NAS安全性状态变量用于指示NAS安全性当前是否被激活。

6.根据实施例4所述的方法，其中所述NAS安全性状态变量包含一个比特。

7.根据实施例4所述的方法，其中所述NAS安全性状态变量包含用于指示加密已经开始的NAS协议数据单元(PDU)。

8.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

基于根据无线电资源控制(RRC)协议的指示来确定是否加密所述NAS消息。

9.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于所述NAS消息的报头中的指示符字段来确定是否对所述NAS消息执行完整性检查。

10.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于所述NAS消息的协议鉴别符(PD)来确定是否执行完整性检查。

11.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于所述NAS消息的类型来确定是否对所述NAS消息执行完整性检查。

12.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于NAS安全性状态变量来确定是否对所述NAS消息执行完整性检查。

13.根据实施例12所述的方法，其中所述NAS安全性状态变量用于指示NAS安全性当前是否被激活。

14.根据实施例13所述的方法，其中所述NAS安全性状态变量包含一个比特。

15.根据实施例13所述的方法，其中所述NAS安全性状态变量包含用于指示加密已经开始的NAS协议数据单元(PDU)。

16.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于根据无线电资源控制(RRC)协议的指示来确定是否执行完整性检查。

17.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

从较低层接收NAS协议数据单元(PDU)，该NAS PDU包含协议鉴别符(PD)字段；

加密所述NAS PDU；

增量NAS序列号(SN)和与所述NAS PDU关联的超帧号(HFN)中的至少一者；以及

基于所述PD字段而将所述NAS PDU路由至上层实体。

18.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

从较低层接收NAS协议数据单元(PDU)，该NAS PDU包含协议鉴别符(PD)字段；

对所述NAS PDU执行完整性检查；

增量NAS序列号(SN)和与所述NAS PDU关联的超帧号(HFN)中的至少一者；以及

基于所述PD字段而将所述NAS PDU路由至上层实体。

19.一种无线发射/接收单元(WTRU)，该WTRU包括：

演进型会话管理(ESM)单元，被配置成产生非接入层(NAS)消息；以及

安全连通性(SC)单元，被配置成基于所述NAS消息的协议鉴别符(PD)、所述NAS消息的报头中的指示符字段、所述NAS消息的类型、NAS安全性状态变量以及根据无线电资源控制(RRC)协议的指示中的至少一者来确定是否加密所述NAS消息。

20.根据实施例19所述的WTRU，其中所述NAS安全性状态变量用于指示NAS安全性当前是否被激活。

21.根据实施例20所述的WTRU，其中所述NAS安全性状态变量包含一个比特。

22.根据实施例20所述的WTRU，其中所述NAS安全性状态变量包含用于指示加密已经开始的NAS协议数据单元(PDU)。

23.根据实施例19所述的WTRU，其中所述SC单元包含PD单元。

24.一种无线发射/接收单元(WTRU)，该WTRU包括：

演进型会话管理(ESM)单元，被配置成产生非接入层(NAS)消息；以及

安全连通性(SC)单元，被配置成基于所述NAS消息的协议鉴别符(PD)、所述NAS消息的报头中的指示符字段、所述NAS消息的类型、NAS安全性状态变量以及根据无线电资源控制(RRC)协议的指示中的至少一者来确定是否解密所述NAS消息。

25.根据实施例24所述的WTRU，其中所述NAS安全性状态变量用于指示NAS安全性当前是否被激活。

26.根据实施例25所述的WTRU，其中所述NAS安全性状态变量包含一个比特。

27.根据实施例25所述的WTRU，其中所述SC单元包含PD单元。

28.一种无线发射/接收单元(WTRU)，该WTRU包括：

演进型会话管理(ESM)单元，被配置成产生非接入层(NAS)消息；以及

安全连通性(SC)单元，被配置成基于所述NAS消息的协议鉴别符(PD)、所述NAS消息的报头中的指示符字段、所述NAS消息的类型、NAS安全性状态变量以及根据无线电资源控制(RRC)协议的指示中的至少一者来确定是否对所述NAS消息执行完整性检查。

29.根据实施例28所述的WTRU，其中所述NAS安全性状态变量用于指示NAS安全性当前是否被激活。

30.根据实施例29所述的WTRU，其中所述NAS安全性状态变量包含一个比特。

31.根据实施例28所述的WTRU，其中所述SC单元包含PD单元。

32.一种无线发射/接收单元(WTRU)，该WTRU包括：

演进型移动性管理(EMM)单元，被配置成产生非接入层(NAS)消息；以及

安全连通性(SC)单元，被配置成基于所述NAS消息的协议鉴别符(PD)、所述NAS消息的报头中的指示符字段、所述NAS消息的类型、NAS安全性状态变量以及根据无线电资源控制(RRC)协议的指示中的至少一者来确定是否加密所述NAS消息。

33.根据实施例32所述的WTRU，其中所述NAS安全性状态变量用于指示NAS安全性当前是否被激活。

34.根据实施例33所述的WTRU，其中所述NAS安全性状态变量包含一个比特。

35.根据实施例33所述的WTRU，其中所述NAS安全性状态变量包含用于指示加密已经开始的NAS协议数据单元(PDU)。

36.根据实施例32所述的WTRU，其中所述SC单元包含PD单元。

37.一种无线发射/接收单元(WTRU)，该WTRU包括：

演进型移动性管理(EMM)单元，被配置成产生非接入层(NAS)消息；以及

安全连通性(SC)单元，被配置成基于所述NAS消息的协议鉴别符(PD)、所述NAS消息的报头中的指示符字段、所述NAS消息的类型、NAS安全性状态变量以及根据无线电资源控制(RRC)协议的指示中的至少一者来确定是否对所述NAS消息执行完整性检查。

38.根据实施例37所述的WTRU，其中所述NAS安全性状态变量用于指示NAS安全性当前是否被激活。

39.根据实施例38所述的WTRU，其中所述NAS安全性状态变量包含一个比特。

40.根据实施例37所述的WTRU，其中所述SC单元包含PD单元。

41.一种在无线发射/接收单元(WTRU)中处理非接入层(NAS)消息的方法，该方法包括：

生成NAS消息；以及

基于所述NAS消息中的指示来确定需要产生的密钥流块的长度。

42.根据实施例41所述的方法，其中所述指示传达了所述NAS消息的整个长度。

43.根据实施例41所述的方法，其中所述指示传达了允许接收NAS实体确定要产生的密钥流块的长度的值。

44.一种无线发射/接收单元(WTRU)，该WTRU包括：

演进型移动性管理(EMM)单元，被配置成产生非接入层(NAS)消息；以及

安全连通性(SC)单元，被配置成基于所述NAS消息中的指示来确定需要产生的密钥流块的长度。

45.根据实施例44所述的WTRU，其中所述指示传达了所述NAS消息的整个长度。

46.根据实施例44所述的WTRU，其中所述指示传达了允许接收NAS实体确定要产生的密钥流块的长度的值。

虽然本发明的特征和元素以特定的结合进行了描述，但每个特征或元素可以在没有其它特征和元素的情况下单独使用，或在与或不与其它特征和元素结合的各种情况下使用。这里提供的方法或流程图可以在由通用计算机或处理器执行的计算机程序、软件或固件中实施。关于计算机可读存储介质的实例包括只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、内部硬盘和可移动磁盘之类的磁介质、磁光介质以及CD-ROM磁盘和数字多功能光盘(DVD)之类的光介质。

举例来说，恰当的处理器包括：通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何一种集成电路(IC)和/或状态机。

与软件相关联的处理器可以用于实现一个射频收发机，以便在无线发射接收单元(WTRU)、用户设备(UE)、终端、基站、无线网络控制器(RNC)或任何主机计算机中加以使用。WTRU可以与采用硬件和/或软件形式实施的模块结合使用，例如相机、摄像机模块、可视电话、扬声器电话、振动设备、扬声器、麦克风、电视收发机、免提耳机、键盘、蓝牙模块、调频(FM)无线单元、液晶显示器(LCD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器和/或任何无线局域网(WLAN)或超宽带(UWB)模块。