CN115699834A - 支持远程单元重新认证 - Google Patents
支持远程单元重新认证 Download PDFInfo
- Publication number
- CN115699834A CN115699834A CN202080101660.2A CN202080101660A CN115699834A CN 115699834 A CN115699834 A CN 115699834A CN 202080101660 A CN202080101660 A CN 202080101660A CN 115699834 A CN115699834 A CN 115699834A
- Authority
- CN
- China
- Prior art keywords
- authentication
- message
- domain name
- key
- remote unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于支持远程单元重新认证的装置、方法和系统。一个装置(700)包括接收(905)用于重新认证远程单元的第一认证消息的网络接口(740)和核实(910)第一域名的处理器(705)。第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。这里,第一认证消息包括包含第一用户名和第一域名的NAI。处理器(705)至少使用第一用户名验证(915)第一认证消息并且响应于成功验证第一认证消息而生成(920)第二认证消息。经由网络接口(740),处理器(705)通过发送第二认证消息来响应(925)于第一认证消息。
Description
技术领域
本文中公开的主题总体上涉及利用可信非3GPP网关功能(“TNGF”)支持对UE的重新认证。
背景技术
在此定义以下缩写和首字母缩写,在以下描述中引用其中的至少一些。
第三代合作伙伴计划(“3GPP”)、第五代核心网络(“5GC”)、第五代接入网络(“5G-AN”)、接入和移动性管理功能(“AMF”)、接入点名称(“APN”)、接入层(“AS”)、接入网络信息(“ANI”)、应用编程接口(“API”)、认证和密钥协议(“AKA”)、认证服务器功能(“AUSF”)、认证令牌(“AUTN”)、认证向量(“AV”)、经变换的认证向量(“AV”)、数据网络名称(“DNN”)、下行链路(“DL”)、增强型移动宽带(“eMBB”)、演进节点B(“eNB”)、演进分组核心(“EPC”)、演进UMTS陆地无线电接入网络(“E-UTRAN”)、扩展主会话密钥(“EMSK”)、可扩展认证协议(“EAP”)、EAP重新认证协议(“ERP”)、全球唯一临时UE标识(“GUTI”)、归属网络标识符(“HNID”)、归属订户服务器(“HSS”)、互联网密钥交换(“IKE”)、互联网密钥交换版本2(“IKEv2”)、互联网协议(“IP”)、IP密钥交换(“IPX”)、IP多媒体子系统(“IMS”,又称“IP多媒体核心网子系统”)、IP安全(“IPsec”,即,指的是协议、算法和密钥管理方法)、PLMN间用户平面安全(“IPUPS”)、长期演进(“LTE”)、高级LTE(“LTE-A”)、主会话密钥(“MSK”)、媒体接入控制(“MAC”)、移动网络运营商(“MNO”)、移动性管理实体(“MME”)、非接入层(“NAS”)、窄带(“NB”)、网络功能(“NF”)、网络接入标识符(“NAI”)、下一代(例如,5G)节点B(“gNB”)、下一代(即,第五代)无线电接入网络(“NG-RAN”)、新无线电(“NR”)、策略控制功能(“PCF”)、分组数据网络(“PDN”)、分组数据单元(“PDU”)、PDN网关(“PGW”)、公共陆地移动网络(“PLMN”)、服务质量(“QoS”)、无线电接入网络(“RAN”)、无线电接入技术(“RAT”)、无线电资源控制(“RRC”)、接收(“Rx”)、重新认证完整性密钥(“rIK”)、重新认证主会话密钥(“rMSK”)、重新认证根密钥(“rRK”)、安全锚功能(“SEAF”)、安全模式控制(“SMC”)、单网络切片选择辅助信息(“S-NSSAI”)、服务网关(“SGW”)、服务网络标识符(“SN Id”)、服务网络名称(“SNN”)、序列号(“SEQ”)、会话管理功能(“SMF”)、订阅隐藏标识(“SUCI”)、订阅永久标识(“SUPI”)、订阅标识符去隐藏功能(“SIDF”)、传输控制协议(“TCP”)、发射(“Tx”)、可信非3GPP接入网络(“TNAN”)、可信非3GPP接入点(“TNAP”)、可信非3GPP网关功能(“TNGF”)、统一数据管理(“UDM”)、统一数据存储库(“UDR”)、用户实体/设备(移动终端)(“UE”)、上行链路(“UL”)、用户平面(“UP”)、用户平面功能(“UPF”)、通用移动电信系统(“UMTS”)、通用订户标识模块(“USIM”)、用户数据报协议(“UDP”)、用户位置信息(“ULI”)、无线局域网(“WLAN”)、全球微波接入互操作性(“WiMAX”)以及预期响应(“XRES”)。
在某些实施例中,UE可以经由可信非3GPP接入网络(“TNAN”)中的网关功能接入5g核心(“5GC”)网络。
发明内容
UE的一种方法,例如,用于支持远程单元重新认证,包括向网络功能发送第一认证消息以利用移动通信网络认证远程单元,并且响应于第一认证消息从网络功能接收第二认证消息。这里,第一认证消息包含远程单元支持EAP重新认证协议(“ERP”)的指示符并且第二认证消息包含密钥管理域名,该密钥管理域名指示一组网络功能,其能够共享用于执行ERP的装置的重新认证安全上下文。该方法包括响应于利用移动通信网络的成功认证而导出重新认证安全上下文并且本地存储接收的密钥管理域名和导出的重新认证安全上下文以用于利用移动通信网络的后续重新认证。
TNGF的一种方法,例如,用于支持远程单元重新认证,包括接收用于重新认证远程单元的第一认证消息。这里,第一认证消息包括包含第一用户名和第一域名的NAI,其中该第一用户名包括密钥标识符。该方法包括核实第一域名和至少使用来自由第一用户名标识的安全上下文的重新认证完整性密钥(rIK)验证第一认证消息。这里,第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。该方法包括响应于成功验证第一认证消息而生成第二认证消息并且通过发送第二认证消息来响应第一认证消息。
目标TNGF的一种方法,例如,用于支持远程单元重新认证,包括接收用于重新认证远程单元的第一认证消息。这里,第一认证消息包括包含第一用户名和第一域名的NAI,其中该第一用户名包括密钥标识符。该方法包括核实第一域名并且从被指示为第一域名和第一用户名的一部分的TNGF标识信息确定用于远程单元的重新认证安全上下文由源网关功能持有。这里,第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。该方法包括将第一认证消息转发到源网关功能并且从源网关功能接收重新认证安全上下文。该方法包括响应于接收到重新认证安全上下文生成第二认证消息并且将第二认证消息发送到远程单元。
TNAP的一种方法,例如,用于支持远程单元重新认证,包括在接入点和网关功能之间的关联期间从网关功能接收第一密钥管理域名,该密钥管理域名转发给远程单元以用于重新认证。该方法包括接收用于重新认证远程单元的第一认证消息并且确定密钥管理域名不匹配。这里,第一认证消息包括密钥管理域名不匹配指示符或包含第一用户名和第一域名的NAI,其中该第一域名标识第二密钥管理域名和持有远程单元的重新认证安全上下文的关联网关功能。该方法包括响应于已确定的不匹配而拒绝远程单元的重新认证并且响应于已拒绝的重新认证而触发通过远程单元的初始认证。
附图说明
将通过参考附图中图示的特定实施例来呈现上文简要描述的实施例的更特定描述。应理解,这些附图仅描绘了一些实施例,并且因此不被认为是对范围的限制,将通过使用附图利用附加的特异性和细节来描述和解释实施例,在附图中:
图1是图示用于支持远程单元重新认证的无线通信系统的一个实施例的框图;
图2A是图示通过可信非3GPP接入网络的5G注册过程的一个实施例的信号流程图;
图2B是图2A中描绘的过程的继续;
图2C是图2B中描绘的过程的继续;
图3A是图示用于远程单元重新认证的第一解决方案的一个实施例的信号流程图;
图3B是图3A中描绘的过程的继续;
图4A是图示用于远程单元重新认证的第二解决方案的一个实施例的信号流程图;
图4B是图4A中描绘的过程的继续;
图4C是图4B中描绘的过程的继续;
图5是图示用于远程单元重新认证的第三解决方案的一个实施例的信号流程图;
图6是图示支持远程单元重新认证的用户设备装置的一个实施例的框图;
图7是图示支持远程单元重新认证的网络设备装置的一个实施例的框图;
图8是图示用于支持远程单元重新认证的第一方法的一个实施例的流程图;
图9是图示用于支持远程单元重新认证的第二方法的一个实施例的流程图;
图10是图示用于支持远程单元重新认证的第三方法的一个实施例的流程图;以及
图11是图示用于支持远程单元重新认证的第四方法的一个实施例的流程图。
具体实施方式
如本领域的技术人员将理解的,实施例的各方面可以被体现为系统、装置、方法或程序产品。因此,实施例可以采用完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或者组合软件和硬件方面的实施例的形式。
例如,所公开的实施例可以被实现为包括定制的超大规模集成(“VLSI”)电路或门阵列、诸如逻辑芯片、晶体管或其他分立组件的现成半导体的硬件电路。所公开的实施例还可以被实现在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等的可编程硬件设备中。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理或逻辑框,其例如可以被组织为对象、过程或函数。
此外,实施例可以采用体现在存储下文中被称为代码的机器可读代码、计算机可读代码和/或程序代码的一个或多个计算机可读存储设备中的程序产品的形式。存储设备可以是有形的、非暂时的和/或非传输。存储设备可能不体现信号。在某个实施例中,存储设备仅采用用于接入代码的信号。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是,例如,但不限于电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备、或前述的任何适当的组合。
存储设备的更具体示例(非详尽列表)将包括以下:具有一个或多个线缆的电气连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式光盘只读存储器(“CD-ROM”)、光学存储设备、磁存储设备或前述任何适当的组合。在本文档的上下文中,计算机可读存储介质可以是任何有形介质,其能够包含或存储过程以供指令执行系统、装置或设备使用或与其结合使用。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确指定,否则贯穿本说明书中,短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不必须全部指相同的实施例,而是意指“一个或多个但不是所有实施例”。除非另有明确指定,否则术语“包括”、“包含”、“具有”及其变体意指“包括但不限于”。除非另有明确指定,否则列举的项的列表并不暗示任何或所有项是互斥的。除非另有明确指定,否则术语“一”、“一个”和“该”也指“一个或多个”。
如本文中所使用的,具有“和/或”的连词的列表包括列表中的任何单个项目或列表中的项目组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“中的一个或多个”的列表包括列表中的任何单个项目或列表中的项目的组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“中的一个”的列表包括一个并且仅包括该列表中的任何单个项目中的一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且排除A、B和C的组合。如本文中所使用的,“选自由A、B和C组成的组的成员”包括A、B或C中的一个并且仅一个并且排除A、B和C的组合。如本文中所使用的,“选自由A、B和C及其组合组成的组的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
此外,所描述的实施例的特征、结构或特性可以以任何适当的方式组合。在以下描述中,提供许多具体细节,诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例,以提供对实施例的彻底理解。然而,相关领域的技术人员将认识到,实施例可以在没有一个或多个具体细节的情况下或者利用其他方法、组件、材料等被实践。在其他实例中,未详细示出或描述公知的结构、材料或操作以避免使实施例的各方面模糊。
下面参考根据实施例的方法、装置、系统和程序产品的示意性流程图和/或示意性框图来描述实施例的各方面。将理解,示意性流程图和/或示意性框图的每个框以及示意性流程图和/或示意性框图中的框的组合能够通过代码实现。该代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在示意性流程图和/或示意性框图中指定的功能/动作的手段。
代码还可以被存储在存储设备中,该存储设备能够指引计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得在存储设备中存储的指令产生包括实现在示意性流程图和/或示意性框图中指定的功能/动作的指令的制品。
代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,使得在计算机或其他可编程装置上执行的代码提供用于实现在示意性流程图和/或示意性框图中指定的功能/动作的过程。
附图中的示意性流程图和/或示意性框图示根据各个实施例的装置、系统、方法和程序产品的可能实施方式的架构、功能性和操作。在这方面,示意性流程图和/或示意性框图中的每个框可以表示模块、片段或代码的部分,其包括用于实现(一个或多个)指定的逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实施方式中,框中注释的功能可以不按附图中注释的次序发生。例如,相继示出的两个框实际上可以基本上并发执行,或者这些框有时可以以相反的次序执行,取决于所涉及的功能性。可以设想在功能、逻辑或效果上等同于所图示的附图的一个或多个框或其部分的其他步骤和方法。
每个附图中的元件的描述可以参考前面的附图的元件。在所有附图中,相同的附图标记指代相同的元件,包括相同元件的替代实施例。
公开了用于支持远程单元重新认证的方法、装置和系统。UE可以经由可信非3GPP接入网络(“TNAN”)中的可信非3GPP网关功能(“TNGF”)接入5G核心(“5GC”)网络。当UE想要经由TNAN与5GC交换NAS消息时,在UE与TNGF之间发起EAP-5G会话,并且NAS消息通过EAP-5G会话传输。这使得UE能够经由可信非3GPP接入来执行各种5G NAS过程,诸如注册过程和服务请求过程。
EAP重新认证协议(“ERP”)当前在通信网络中被支持,从而如果UE试图重新连接到相同的服务/归属网络,则利用本地ER服务器(基于先前生成的安全上下文)重新认证UE。但是,如果ER服务器之间有UE移动性,ERP当前不支持在ER服务器当中共享重新认证安全上下文。因此,当UE移动到由不同ER服务器服务的区域时,UE必须利用核心网络执行完全认证,导致UE附着时间的不必要延迟和网络的复杂性。
用于ERP的EAP扩展在IETF RFC 6696中指定。根据RFC 6696,可扩展认证协议(“EAP”)是支持多个认证方法的认证框架。
EAP密钥层次定义了两个要由所有的密钥生成EAP方法导出的密钥:主会话密钥(“MSK”)和扩展MSK(“EMSK”)。在最通常的部署场景中,EAP对等体和EAP服务器通过被称为EAP认证器的第三方彼此认证。EAP认证器或由EAP认证器控制的实体强制进行接入控制。当对等体从一个认证器移动到另一认证器时,期望避免完整EAP认证以支持快速移交。利用EAP方法的另一个运行的完整EAP交换能够占用若干往返和显著时间来完成,导致移交时间增加。跨认证器的密钥共享有时被用作降低移交时间的实际解决方案。然而,在该情况下,一个认证器的妥协导致经由其他认证器建立的关键材料的妥协。
为了实现低延迟移交,本公开指定了EAP重新认证扩展(ERX),以使用EAP进行高效的重新认证。EAP重新认证协议(ERP)支持对具有来自先前执行的EAP认证的有效未过期密钥材料的对等体的重新认证,其独立于所使用的EAP认证方法。
ERP使用rRK(重新认证根密钥),rRK由AUSF(EAP服务器)从EMSK导出并在UE初始认证期间通过隐式引导程序提供给TNGF。如下文进一步详细讨论的,rRK用于导出rIK(重新认证完整性密钥)和至少一个rMSK(重新认证主会话密钥)。在各种实施例中,ERP密钥是在EAP交换期间(即在初始UE完全认证期间)导出的。此外,用于UE重新认证的ERP交换在UE、EAP重新认证认证器(“ER认证器”)和EAP服务器(“ER服务器”)之间进行,如下文在图3至图4中所讨论的。
当UE在相同TNGF的区域内从源TNAP移动到目标TNAP时,不需要执行完全认证。作为代替,UE由TNGF(ER服务器)重新认证,并且新鲜rMSK密钥由TNGF导出并提供给目标/新TNAP,以在UE和目标TNAP之间建立空中安全。在支持ERP的5G系统中,UE执行对等体的角色,TNAP执行ER认证器的角色,并且TNGF执行ER服务器(即,本地ER服务器)的角色。注意的是,在5G系统中,AUSF采取后端认证服务器(即,EAP服务器)的角色。
本公开描述了在两个TNGF(ER服务器)之间的UE移动性期间支持重新认证,以及通过为每个ERP运行引入动态rIK(也称为新鲜rIk)来减轻由于静态rIK泄漏引起的安全漏洞从而完整性保护ERP消息交换的解决方案。本公开描述了使用密钥管理域来控制在一个或多个TNGF或TNAN当中共享UE的重新认证安全上下文的解决方案,由此减少由域特定的根重新认证密钥(DSRK)引起的开销,DRSK要求针对UE在不同ER服务器域之间的导致消息交换开销的每个移动性,EAP服务器参与对UE进行重新认证。
根据第一解决方案,5G系统被增强以支持在5G网络中使用可信非3GPP接入的UE的重新认证。第一解决方案包括下面参考图2A至2C描述的第一阶段,和下面参考图3A至3B和图4A至4C描述的第二阶段。第一阶段是ERP隐式引导程序阶段,发生在初始完全认证期间。第二阶段是使用ERP的重新认证阶段。注意的是,第二阶段考虑两个类型的UE移动性:A)TNGF内重新认证(两个TNAP之间的相同TNGF内的UE移动性)和B)TNGF间重新认证(两个TNGF之间的UE移动性)。TNGF内重新认证在下面参考图3A至3B描述。TNGF间重新认证在下面参考图4A至4C描述。
图1描绘根据本公开的实施例的用于支持远程单元重新认证的无线通信系统100。在一个实施例中,无线通信系统100包括PLMN中的至少一个远程单元105、至少一个可信非3GPP接入网络(“TNAN”)120、以及移动核心网络140。TNAN 120可以由至少一个基础单元121组成。远程单元105可以根据由TNAN 120部署的无线电接入技术使用非3GPP通信链路与TNAN 120通信。尽管图1中描绘了特定数量的远程单元105、基础单元121、TNAN 120和移动核心网络140,但是本领域技术人员将认识到任何数量的远程单元105、基础单元121、TNAN120、以及移动核心网络140可以被包括在无线通信系统100中。
在一个实施方式中,无线通信系统100符合3GPP规范中指定的5G系统。然而,更一般地,无线通信系统100可以实现一些其他开放或专有通信网络,例如LTE/EPC(称为“4G”)或WiMAX以及其他网络。本公开不旨在被限制于任何特定无线通信系统架构或协议的实施方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏控制台、安全系统(包括安全相机)、车载计算机、网络设备(例如,路由器、交换器、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备、或通过本领域中使用的其他术语。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与TNAN 120中的基础单元121中的一个或多个直接通信。此外,UL和DL通信信号可以被承载在通信链路113上。注意,TNAN 120是向远程单元105提供对移动核心网络140的接入的中间网络。
基础单元121可以经由通信链路113服务例如小区或小区扇区的服务区域内的多个远程单元105。基础单元121可以经由通信信号与一个或多个远程单元105直接通信。通常,基础单元121发射DL通信信号以在时间、频率和/或空间的域中服务远程单元105。此外,DL通信信号可以被承载在通信链路113上。通信链路113可以是授权或非授权无线电频谱中的任何合适的载波。通信链路113有助于一个或多个远程单元105和/或一个或多个基础单元121之间的通信。
如上所述,TNAN 120支持安全信令接口和与5G核心网络的互通。TNAN包括至少一个TNGF;在所描绘的实施例中,TNAN 120包括第一TNGF(“TNGF-1”)125和第二TNGF(“TNGF-2”)127。在某些实施例中,TNAN 120支持TNAN 120中的TGNF之间的Tn接口。
基础单元121可以分布在地理区域上。在某些实施例中,基础单元121也可以称为可信非3GPP接入点(“TNAP”)、接入终端、接入点、基地、基站、中继节点、设备或由本领域中使用的任何其他术语。基础单元121通常是无线电接入网络(“RAN”)的一部分,诸如TNAN120,其可以包括可通信地耦合到一个或多个相应的基础单元121的一个或多个控制器。无线电接入网络的这些和其他元件未被图示,但通常被本领域的普通技术人员熟知。基础单元121经由TNAN 120连接到移动核心网络140。
在一些实施例中,远程单元105经由与移动核心网络140的网络连接与应用服务器(或其他通信对等体)通信。例如,远程单元105中的应用(例如,web浏览器、媒体客户端、电话/VoIP应用)可以触发远程单元105以使用TNAN 120与移动核心网络140建立PDU会话(或其他数据连接)。为了建立PDU会话,远程单元105必须向移动核心网络注册。
在一个实施例中,移动核心网络140是5G核心(“5GC”)或演进型分组核心(“EPC”),其可以被耦合到数据网络(诸如互联网和专用数据网络,以及其他数据网络)。远程单元105可以利用移动核心网络140具有订阅或其他账户。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
移动核心网络140包括若干网络功能(“NF”)。如所描绘的,移动核心网络140包括至少一个用户平面功能(“UPF”)141。移动核心网络140还包括多个控制平面功能,包括但不限于接入和移动性管理功能(“AMF”)143、会话管理功能(“SMF”)145、以及策略控制功能(“PCF”)147。在某些实施例中,移动核心网络140还可以包括统一数据管理功能(“UDM”)149、认证服务器功能(“AUSF”)、网络存储库功能(“NRF”)(由各种NF用于通过API发现彼此和与彼此通信)、或为5G核心定义的其他NF。
在各种实施例中,移动核心网络140支持不同类型的移动数据连接和不同类型的网络切片,其中每个移动数据连接利用特定的网络切片。每个网络切片包括CP和UP网络功能集合,其中每个网络切片针对特定类型的服务或业务类别被最优化。为了便于说明,在图1中未示出不同的网络切片,但是它们的支持被假设。在一个示例中,每个网络切片包括SMF和UPF,但是各个网络切片共享AMF 143、PCF 147和UDM。在另一示例中,每个网络切片包括AMF、SMF和UPF。尽管在图1中描绘了特定数量和类型的网络功能,但是本领域技术人员将认识到,在移动核心网络140中可以包括任何数量和类型的网络功能。
在各种实施例中,远程单元105在经由TNAN 120利用移动核心网络140注册/认证时发送ERP支持指示符。因为远程单元105支持ERP,所以TNGF-1 125在初始认证期间执行ERP引导程序,如下面参考图2A至2C所述。之后,随着远程单元105的移动性使其连接到TNAN120中的新基础单元121,远程单元使用ERP重新认证,如下面参考图3A至3B和图4A至4C所述。如果远程单元105离开密钥管理域(即,其中安全密钥能够与不同TNGF共享的区域),则将再次执行初始认证,如下面参考图5所述。
图2A至2C描绘了根据本公开的实施例的用于可信非3GPP接入网络的UE注册和认证的过程200。过程200涉及UE 205(例如,远程单元105的一个实施例)、包括TNAP 211和TNGF 213(例如,TNGF123的一个实施例)的TNAN 210(例如,TNAN 120的一个实施例)以及5G核心网络215(例如,移动核心网络140的一个实施例)。在最典型情况下,可信非3GPP接入网络210是符合IEEE 802.11规范的WLAN接入网络。
过程200从图2A开始,在步骤1中,UE 205通过使用当前在TS23.501,条款6.3.12中指定的可信非3GPP接入网络选择过程来选择PLMN和用于连接到该PLMN的TNAN 210。在该过程期间,UE 205发现TNAN 210利用其支持可信连接(例如,“5G连接”)的PLMN。在UE 205和TNAP 210之间建立层-2(“L2”)连接(参见连接220)。在IEEE 802.11的情况下,该步骤与802.11关联相对应。在PPP的情况下,该步骤与PPP LCP协商相对应。在其他类型的非3GPP接入(例如,以太网)中,可能不需要该步骤。
在步骤2至3,发起EAP认证过程。EAP消息(参见消息传递222、224)可以被封装成层-2分组,例如,封装成IEEE 802.3/802.1x分组、封装成IEEE 802.11/802.1x分组、封装成PPP分组等。UE 205提供触发TNAP 211向TNGF 213发送AAA请求的NAI。注意的是,在TNAP211与TNGF 213之间存在AAA接口。在TNAP 211与TNGF 213之间,EAP分组被封装成AAA消息。
作为步骤4,UE 205从TNGF 213接收L2 EAP-请求/5G-开始消息(参见消息传递226)。在步骤5,UE 205利用L2消息来响应TNGF 213(参见消息传递228)。L2消息封装了包含AN参数(AN-Params)和NAS注册请求(NAS-PDU[注册请求])的EAP-5G响应消息(EAP-响应/5G-NAS)。如果UE 205支持ERP,则L2消息包括与L2消息一起被发送到TNGF 213的‘ERP支持旗标’作为AN消息中的AN参数的一部分或作为AN消息中的单独信息元素。
UE 205包括‘ERP支持旗标’,以向充当ER服务器的TNGF 213指示UE 205支持ERP。在这样的实施例中,TNGF 213可以基于接收到的‘ERP支持旗标’来被确定,并且与EAP认证消息一起发起隐式ERP引导程序,以获取重新认证安全上下文以用于UE 205的后续重新认证。‘ERP支持旗标’的使用防止了在TNGF 213处不必要的ERP隐式引导程序发起,并且如果UE 205不支持ERP则节省网络资源。
在缺失来自UE 205的‘ERP支持旗标’指示的情况下,如果TNGF213支持ERP并且预期支持使用ERP的重新认证,则在不知道UE 205是否能够ERP支持的情况下,TNGF 213利用核心网络发起隐式ERP引导程序,以从5GC 215中的EAP服务器(AUSF 217)接收重新认证安全上下文。如果UE 205不支持ERP,则由认证器(TNAP 211)发送到UE 205的EAP-Initiate/Re-auth-Start消息将被UE 205静默地丢弃,引起资源的进一步浪费。
在步骤6a,TNGF 213选择AMF,即5GC 215中的AMF/SEAF 216,并确定发起ERP引导程序(参见框230)。在步骤6b,TNGF 213向AMF/SEAF 216发送N2消息(参见消息传递232)。如果从UE 205接收到‘ERP支持旗标’并且如果TNGF 213支持ERP,则TNGF 213在N2消息中包括‘ERP密钥请求’以发起隐式引导程序,并将从UE 205接收到的注册请求转发到AMF/SEAF216。可替选地,如果在TNGF 213处没有从UE 205接收到‘ERP支持旗标’或者如果TNGF 213不支持ERP,则在任一个情况下,TNGF 213都不将‘ERP密钥请求’包括在N2消息中并且不执行ERP隐式引导程序。
在步骤7,5GC 215中的UE 205和AMF/SEAF 216通过EAP-5G会话交换附加NAS消息(参见消息传递234)。附加NAS消息的示例包括但不限于涉及UE 205的NAS认证的那些消息。
在步骤8a,5GC 215中的AMF 216将接收到的‘ERP密钥请求’连同AAA接口中的AAA密钥请求/基于服务的接口中的认证请求(“SBI”)一起发送到5GC 215中的AUSF 217(参见消息传递236)。在可选步骤8b中,如果需要,则在UE 205与5GC 215中的AUSF 217之间执行附加EAP消息交换(参见消息传递238)。5GC 215中的AUSF217进一步向5GC 215中的UDM 218发送(参见消息传递237)认证数据请求,并且从5GC 215中的UDM 218接收认证向量(即,EAP-AKA’AV)、认证方法指示和SUPI。EAP-AKA’AV由RAND、AUTN、XRES、CK’和IK’组成。
响应于从5GC 215中的AMF/SEAF 216接收到‘ERP密钥请求’,则5GC 215中的AUSF217生成包括导出rRK、EMSKname和rRK寿命的重新认证安全上下文。由于涉及本文公开的主题,rRK用作重新认证根密钥并且EMSKname(Keyname)用作rRK的密钥标识符。rRK寿命由5GC215中的AUSF 217分配并且定义rRK密钥的有效性或寿命。在rRK寿命到期时,TNAN 210的TNGF 213充当ER服务器,尝试执行完全认证。
rRK是使用密钥导出函数(“KDF”)导出的(参见框250)。在第一选项中,EMSK、SUPI和服务网络名称/归属网络ID(“SNN/HNID”)用作KDF的参数。例如,rRK可以使用密钥导出函数(“KDF”,即加密哈希函数)和以下公式导出:
rRK=KDF(EMSK,SUPI,SNN/HNID|rRK标签|‘\0’|长度)等式1
如本文中所使用,参数“rRK标签”是指字符串(例如,8位ASCII字符串)。rRK标签可以由诸如标准组织的权威机构预先分配。长度字段是指所导出的密钥(即,等式1中的rRK)的长度(例如,以八位字节为单位)。在各种实施例中,长度字段可以如IETF RFC 5295中指定的那样被编码。应注意,(EMSK)、(SUPI)和(SNN/HNID|rRK标签|‘\0’|长度)是KDF的三个输入,其中,‘|’运算符指示连结。这里,值‘\0’可以用于示出各种输入和长度之间的分离。
在第二选项中,KAUSF、SUPI、SNN/HNID被用作KDF的参数。
例如,rRK可以使用密钥导出函数和以下公式导出:
rRK=KDF(KAUSF,SUPI,SNN/HNID|rRK标签|‘\0’|长度)
等式2
注意的是,(KAUSF)、(SUPI)和(SNN/HNID|rRK标签|‘\0’|长度)是对KDF的三个输入,其中,‘|’运算符指示连结。这里,值‘\0’可以用于示出各种输入和长度之间的分离。长度字段是指所导出的密钥(即,等式2中的rRK)的长度(例如,以八位字节为单位)。
在任一实施方式中,归属网络ID(“HNID”)可以包括IMSI/NAI的MCC和MNC。SNN是包含服务网络标识符(“SNID”)和5G代码的服务网络名称。此外,如果rRK是从EMSK生成的,则相应的密钥标识符EMSKname的导出(参见框250)使用KDF来执行,其中EAP会话-ID、SUPI、SNN/HNID和EMSK被用作参数,例如,使用以下公式来导出:
EMSKname=KDF(EAP会话-ID,SUPI,SNN/HNID,“EMSK”|‘\0’|长度)等式3
注意的是,(EAP会话-ID)、(SUPI)、(SNN/HNID)和(EMSK|rRK标签|‘\0’|长度)是KDF的四个输入,其中,‘|’运算符指示连结。这里,值‘\0’可以用于示出各种输入和长度之间的分离。长度字段是指所导出的参数(即,等式3中的EMSKname)的长度(例如,以八位字节为单位)。
如果rRK是从KAUSF导出的,则对应的密钥标识符Kausfname可以使用KDF导出,其中,EAP会话-ID、SUPI、SNN/HNID和“K_AUSF”被用作参数,例如,使用下列公式来导出:
Kausfname=KDF(EAP会话-ID,SUPI,SNN/HNID,“K_AUSF”|‘\0’|长度)等式4
后续的重新认证过程可以相应地使用Keyname Kausfname来代替KeynameEMSKname。注意的是,(EAP会话-ID)、(SUPI)、(SNN/HNID)和(KAUSF|rRK标签|‘\0’|长度)是KDF的四个输入,其中,‘|’运算符指示连结。这里,值‘\0’可以用于示出各种输入和长度之间的分离。长度字段是指所导出的参数(即,等式4中的Kausfname)的长度(例如,以八位字节为单位)。
5GC 215中的AUSF 217向5GC 215中的SEAF提供(参见消息传递240)新鲜生成的重新认证安全上下文(由rRK、EMSKname或Kausfname和rRK寿命组成)连同SEAF密钥以及AAA密钥响应消息中的EAP成功旗标,这里与5GC 215中的AMF并列示出。5GC 215中的SEAF 216基于用于重新认证安全上下文的本地策略向5GC 215中的AMF 216转发重新认证安全上下文,连同(从SEAF密钥导出的)AMF密钥和密钥管理域名。5GC 215中的AMF 216本地存储重新认证安全上下文,直到利用UE 205执行成功的NAS安全模式命令(例如,NAS SMC)过程。
在步骤9,UE 205和5GC 215中的AMF 216通过EAP-5G会话交换附加NAS消息(参见消息传递242至248,图2B)。附加NAS消息的示例包括但不限于涉及NAS认证或重新认证的那些消息。在步骤10,在成功认证之后,在UE 205中和在5GC 215中的AMF 216中创建安全密钥‘KTNGF’。KTNGF在步骤10a中从5GC 215中的AMF 216被传输到TNAN 210中的TNGF 213(在N2初始上下文设置请求内,参见消息传递252)。
附加地,在成功UE认证和NAS SMC之后,5GC 215中的AMF 216发送(参见消息传递252)重新认证安全上下文(例如,rRK、EMSKname、rRK寿命)连同N2初始上下文设置请求消息中的相应密钥管理域名和KTNGF。注意的是,TNGF 213可以已经预先配置有密钥管理域名,在该情况下,N2初始上下文设置请求消息可以排除密钥管理域名。
在步骤10b,TNAN 210中的TNGF 213本地存储(参见框254)接收到的重新认证安全上下文(例如,rRK、EMSKname、rRK寿命)和密钥管理域名(如果由AMF/SEAF提供作为在TNGF处没有可能的预配置)。可替选地,基于TNAN 210中的TNGF与TNAP 211的关联,TNGF 213可以由运营商或者由在本公开的范围之外的其他手段利用密钥管理域名(“KM-域名”)预提供/预配置。
本文中使用的KM-域名指示TNAN 210中的一组TNGF 213和TNAP 211,其可以共享相同的重新认证安全上下文,以对正在经由TNAN 210中的TNGF 213的指定组接入5G核心网络服务215的UE205执行基于ERP的重新认证。KM-域名对于共享相同的重新认证安全上下文的TNAN 210中的所有TNGF 213保持相同。图2A至2C中图示的引导程序过程在控制属于相同密钥管理域的TNAN 210中的TNGF 213当中共享UE的重新认证安全上下文中起主要作用,以确保UE 205重新认证安全上下文的安全水平。
在步骤10a中从5GC 215中的AMF 216接收到TNGF密钥后,TNAN 210中的TNGF 213向UE 205发送(参见消息传递260,图2C)包含“TNGF联系信息”的EAP-请求/5G-通知分组,其包括TNGF 213的IP地址、TNGF-ID以及KM-域名。
TNGF 213使用KDF导出(参见框256)动态重新认证完整性密钥(“rIK”),以安全地交换和核实ERP消息,其中rRK、KM-域名、序列号(SEQ)(在EAP完全认证期间初始化为‘0’或‘1’,并针对每个ERP运行相关的使用递增)以及rRK标签作为参数——例如,使用以下公式导出:
rIK=KDF(rRK,KM-域名,SEQ,rIK标签|‘\0’|加密套件|长度)等式5
应注意,(rRK)、(KM-域名)、(SEQ)和(rIK标签|‘\0’|加密套件|长度)是KDF的四个输入,其中,‘|’运算符指示连结。本文中使用的参数“rIK标签”指的是字符串(例如,8位ASCII字符串)。这里,值‘\0’可以用于示出各种输入和长度之间的分离。长度字段是指所导出的密钥(即,等式5中的rIK)的长度(例如,以八位字节为单位)。
TNAN 210中的TNGF 213向UE上下文本地存储接收到的重新认证安全上下文(例如,rRK、EMSKname、寿命和密钥管理域)连同如果导出的rIK(参见框258)。
UE 205,现在或在步骤10f接收到EAP成功之后,导出重新认证安全上下文,例如,EMSKname、rRK和动态重新认证完整性密钥(“rIK”)(参见框262、264),以使用KDF来安全地交换和核实ERP消息,其中rRK、KM-域名以及rIK标签为参数——例如,使用等式5被导出的,与TNAN 210的TNGF 213类似。
UE 205本地存储接收到的TNGF ID、TNGF IP地址和KM-域名以支持随后的重新认证(参见框266)。TNAN 210中的TNAP 211是可信实体。TNAN 210中的TNGF 213生成如当前在附件A.22中指定的KTNAP,并在步骤10c中将其连同KM-域名从TNGF 213传输到TNAP211(例如,在AAA消息内)。
UE 205向THAN 210中的TNGF 213发送(参见消息传递268)EAP-请求/5G-通知消息。在从UE 205接收到EAP-响应/5G-通知分组之后,TNAN 210中的TNGF 213将包含EAP-成功分组的消息连同TNAP密钥发送(参见消息传递270)到TNAN 210中的TNAP 211。TNAP 211将包含L2消息中的EAP-成功的分组转发(参见消息传递272)到UE205。
在步骤11中,UE 205和TNAN 210中的TNAP 211使用公共TNAP密钥根据所应用的非3-GPP技术导出安全密钥并建立安全关联以保护后续业务。在IEEE 802.11的情况下,例如,KTNAP是成对主钥(“PMK”)并且执行4次握手(参见IEEE 802.11),以在TNAN 210中的TNAP211(例如,WLAN AP)与UE 205之间建立安全上下文,该安全上下文用于保护空中单播和多播业务。UE 205与TNAN 210中的TNAP 211之间的消息从该步骤起被加密和完整性保护。
图3A至3B描绘了根据本公开的实施例的在可信非3GPP接入网络上进行5G重新认证的过程。过程300涉及UE 205(例如,远程单元105的一个实施例)、TNAN 210中的第一/当前TNAP 301、第二/新/目标TNAP 303、以及TNGF 213。
本文中使用的TNGF内移动性被定义为UE 205在被连接到TNAN210中的单个/相同TNGF 213的两个TNAP 301、303之间的移动性。由于UE 205可能先前已经经由相同的TNGF213利用TNAN 210进行了认证,并且TNGF 213拥有重新认证安全上下文,如在ERP隐式引导程序期间导出的,如上文参考图2A至2C中所示的过程200所述,基于ERP的重新认证将足以使网络在不再次执行完全认证的情况下提供对UE 205的接入,由此避免与5GC核心网络215进行多次不同的交互并减少移交延迟。以该方式,下面描述并在图3A至3B中图示的过程300提供了在TNAN 210中减少传统的重新认证复杂性的重新认证。
如图3A中所示,在步骤0中,在UE 205、TNAN 210中的当前TNAP 301、新/目标TNAP303和TNGF 213之间建立IPsec安全关联(“SA”)连接(参见连接309)。在步骤1中,ERP交换由新/目标TNAP303(例如,ER认证器)通过向UE 205发送带有密钥管理域名(“KM-域名”)的EAP-5G开始消息(参见EAP-发起/重新认证开始消息311)来触发。
UE 205和TNGF 213两者都可以具有UE上下文(即,重新认证安全上下文)的本地存储实例,包括EMSKname、rRK、rIK、KM-域名和TNGF ID/IP地址(参见用于UE 205的框305和用于TNGF 213的框306)。因而,在步骤2中,UE 205核实本地存储的KM-域名与从新/目标TNAP303接收的是否相同。如果是,则UE 205将Keyname-NAI形成为EMSKname@Domain-name(参见框313)并且向新/目标TNAP 303(例如,ER认证器)发送(参见消息传递315)EAP-发起/重新认证消息。本文中使用的“Keyname-NAI”是指NAI(即,具有形式“username@realm”),其中,用户名部分是指向安全密钥(例如,指向EMSK的EMSKname)的密钥标识符(即,Keyname)。注意的是,在可替选实施例中,Keyname-NAI可以具有形式Kausfname@Domain-name来代替EMSKname@Domain-name,如上文讨论的。
在Keyname-NAI域中使用的域名(即,Keyname-NAI=Keyname@Domain-name)由UE205使用用于TNGF信息和KM-域名的值如下生成:TNGF-ID.KM-域名(参见框317)。如果UE205包含与KM-域名相关的先前导出的rIK(如上面所解释并在框307中所示而被导出),则其使用rIK来完整性保护UE 205与TNGF213(例如,ER服务器)之间的ERP交换。
如果UE 205不具有先前导出的rIK的本地存储实例,则静态或新鲜rIK(如果UE确定导出新鲜rIK)可以由UE 205导出。静态rIK,例如,对于每个ERP运行都不改变的rIK,可以使用以下公式作为KDF导出:
rIK=KDF(rRK,KM-域名,rIK标签|‘\0’|加密套件|长度)等式6
注意的是,(rRK)、(KM-域名)以及(rIK标签|‘\0’|加密套件|长度)是对KDF的三个输入,其中,‘|’运算符指示连结。这里,值‘\0’可以用于示出各种输入和长度之间的分离。长度字段是指所导出的密钥(即,等式6中的rIK)的长度(例如,以八位字节为单位)。
注意的是,如果使用静态rIK,则rIK泄漏将破坏相同UE与相同或不同TNGF之间的所有后续重新认证安全。因此,可以根据上面的等式5使用KDF导出新鲜rIK,例如,为每个ERP运行生成的rIK。
注意的是,使用序列号(“SEQ”)作为用于为每个ERP运行或在需要时生成新鲜rIK的参数。SEQ在每次使用后作为对密钥导出的输入而递增,以确保密钥的新鲜度。UE 205发送的EAP-发起/重新认证消息(参见消息传递315)包含EMSKname@Domain-name,并且另外包含与rIK、加密套件和认证标签(例如,MAC1)相关联的SEQ。
在步骤3中,新/目标TNAP 303(例如,ER认证器)处理消息并基于NAI的域部分(即,域名)通过转发(参见框319)接收到的EAP-发起/重新认证消息向TNGF 213(例如,ER服务器)发送(参见消息传递321)AAA消息。NAI的域部分(例如,域名)中的TNGF信息(例如,TNGFIP地址或TNGF ID)帮助新/目标TNAP 303将消息转发到正确的TNGF 213,如果它是可到达的。
在步骤4中,TNGF 213(例如,ER服务器)通过检查NAI的用户名部分中的EMSKname并使用与rIK相关联的SEQ进行ERP消息的完整性检查(参见框325,图3B)来核实(参见框323)ERP消息的域名和有效性。如果核实成功,则UE 205被成功地认证。如果TNGF213在其本地存储器中没有rIK,则TNGF 213获取与EMSKname相关联的重新认证安全上下文并且导出rIK(如上面解释的和在框328中图示的)以核实接收到的ERP消息的完整性。
如果重新认证成功,则TNGF 213(例如,ER服务器)生成新鲜rMSK(参见框327和328)并将rMSK连同包含EMSKname@Domain-name、序列号(SEQ)、加密套件和MAC2的EAP-完成/重新认证消息,提供给AAA响应消息(参见步骤5,消息传递329)中的新/目标TNAP 303(例如,ER认证器)。MAC2是用于完整性保护从TNGF 213发送到UE 205的ERP消息的认证标签。rMSK是使用带有rRK、可信接入码、rMSK标签和SEQ作为参数的KDF生成的——例如,使用以下公式导出:
rMSK=KDF(rRK,可信接入码,rMSK标签|‘\0’|SEQ|长度)等式7
注意的是,(rRK)、(可信接入码)和(rMSK标签|‘\0’|SEQ|长度)是对KDF的三个输入,其中,‘|’运算符指示连结。如本文中使用,参数“rMSK标签”是指字符串(例如,8位ASCII字符串)。这里,值‘\0’可以用于示出各种输入和长度之间的分离。长度字段是指所导出的密钥(即,等式7中的rMSK)的长度(例如,以八位字节为单位)。
新/目标TNAP 303(例如,ER认证器)检索rMSK并将EAP-完成/重新认证消息转发(参见消息传递331)到UE 205。
在步骤6中,UE 205使用与rIK相关联的SEQ核实(参见框333)MAC2并导出(参见框335和336)类似于步骤4c中所述的TNGF 213的rMSK。可替选地,UE 205和TNGF 213基于所述实施方式,能够通过使用最近的SEQ号作为如上关于步骤4a至b所述的输入来分别导出和使用用于MAC 1和MAC 2计算的新鲜rIK。当导出并使用rIK时,相关联的SEQ可以在UE 205和TNGF 213处相应地递增。
在步骤7中,UE 205和新/目标TNAP 303(例如,ER认证器)使用新鲜导出的rMSK(例如,TNAP密钥)根据所应用的非3GPP技术导出安全密钥并且建立(参见消息传递337)安全关联,例如,IPsec SA,以保护UE 205、新/目标TNAP 303和TNGF 213之间的后续业务(参见连接339)。
图4A至4C描绘了根据本公开的实施例的通过可信非3GPP接入网络进行5G重新认证的过程。过程400涉及UE 205(例如,远程单元105的一个实施例)、TNAN 210中的第一/当前TNAP 301、第二/新/目标TNAP 303、源TNGF 401以及目标TNGF 403。
TNGF间移动性被定义为UE 205在被连接到两个不同TNGF 401、403的两个TNAP301、303之间的移动性。如果两个TNGF 401、403属于相同运营商的网络,例如,TNAN 210,并且如果源TNGF 401和目标TNGF 403利用Tn接口连接,则UE 205能够基于可供源TNGF 401使用的重新认证安全上下文(参见框402、404)使用ERP来被重新认证。
如图4A至4C中所示,在步骤0中,在UE 205、TNAN 210中的当前TNAP 301、新/目标TNAP 303和源TNGF 401之间建立IPsec安全关联(“SA”)连接(参见连接405)。在步骤1中,ERP交换由新/目标TNAP 303(例如,ER认证器)通过向UE 205发送带有密钥管理域名(“KM-域名”)的EAP-发起/重新认证开始消息(参见消息传递407)来触发。
UE 205和源TNGF 401两者都可以具有UE上下文(即,重新认证安全上下文)的本地存储实例,包括EMSKname、rRK、rIK、KM-域名和TNGF ID/IP地址(参见用于UE 205的框402和用于TNGF 213的框404)。因而,在步骤2中,UE 205验证(参见框409)本地存储的KM-域名与从新/目标TNAP 303接收的是否相同。如果是,则UE 205将Keyname-NAI形成为EMSKname@Domain-name并且向新/目标TNAP 303(例如,ER认证器)发送(参见消息传递411)EAP-发起/重新认证消息。
这里的域名仅包括先前认证/重新认证的TNGFs 401info,即,针对TNGF ID或TNGPIP地址,因为仅TNGF 401包含UE 205的重新认证安全上下文。在NAI域中使用的域名由UE205使用TGF信息和KM-域名的值如下生成:TNGF-ID.KM-域名。如果UE 205包含与KM-域名相关的先前导出的rIK(如上面解释并且在框307中所示而被导出),则其使用rIK来完整性保护UE 205和TNGF 401(例如,ER服务器)之间的ERP交换。
如果UE 205不具有先前导出的rIK的本地存储实例,则静态或新鲜rIK(如果UE确定导出新鲜rIK)可以由UE 205导出。静态rIK,例如,对于每个ERP运行都不改变的rIK,根据上面的等式6使用KDF导出。新鲜rIK,例如,对于每个ERP运行或在需要时生成的rIK,根据上面的等式5使用KDF导出。注意,使用序列号(“SEQ”)作为参数,用于为每个ERP运行或在需要时生成新鲜rIK。SEQ在每次使用后作为对密钥导出的输入而递增,以确保密钥(诸如rIK和会话密钥)的新鲜度。由UE 205发送的EAP-发起/重新认证消息(参见消息传递411)包含EMSKname@Domain-name,并且另外包含与rIK、加密套件和认证标签(例如,MAC1)相关联的SEQ。
在步骤3中,新TNAP 303(例如,ER认证器)处理消息,例如,如在IETF RFC 6696中那样,并且发现在域名中指定的源TNGF 401对于新TNAP 303不可到达(参见框413)。新TNAP303通过转发接收到的EAP-发起/重新认证消息,基于KM-域名向新目标TNGF 403(例如,ER服务器)发送(参见消息传递415)AAA消息。
可替选地,NAI的域部分(例如,域名)中的TNGF信息(例如,TNGP IP地址或ID)帮助新/目标TNAP 303将消息转发到正确的TNGF403,如果它是可到达的,并且在该情况下,过程与上述TNGF内移动性类似。
目标TNGF 403(例如,ER服务器2)核实KM-域名并且基于NAI用户名中的EMSKname,发现TNGF 403在其一侧没有针对UE 205的任何重新认证安全上下文。然而,目标TNGF 403从NAI域部分确定域名包含目标TNGF 403与之具有Tn接口的源TNGF 401的TNGF IP地址和/或TNGF ID。目标TNGF 403确定要通过Tn接口将重新认证数据请求中的EAP-发起/重新认证消息转发(参见消息传递417)到源TNGF 401。
在步骤4中,图4B,源TNGF 401通过检查NAI的用户名部分中的EMSKname并使用与rIK相关联的SEQ对ERP消息进行完整性检查来核实(参见框419)接收到的NAI域部分中的域名并检查ERP消息的有效性(参见框421)。如果基于UE 205和TNGF 401实施方式使用静态rIK,则源TNGF 401使用本地存储的(如上文解释而被导出的)并且与SEQ和EMSKname相关联的静态rIK。
可替选地,新鲜rIK(如上文解释而被导出的)由UE 205和源TNGF401基于运营商的实施方式来被使用,例如,TNAN 210配置/实施方式。源TNGF通过获取与EMSKname相关联的重新认证安全上下文来导出并使用与接收到的SEQ相关联的rIK,从而核实接收到的ERP消息的完整性。
在步骤5中,如果MAC1的核实是成功的,并且如果接收到的KM-域匹配本地存储的KM-域,则源TNGF 401在Tn重新认证数据响应消息(参见消息传递423)中向目标TNGF 403提供重新认证安全上下文(例如,rRK、rIK、SEQ、rRK寿命)。
在步骤6中,如果成功接收到重新认证安全,则目标TNGF 403本地存储重新认证安全上下文(例如,rRK、rIK(能够是新鲜或静态rIK)、EMSKname、寿命、SEQ、更新的域名)。此外,目标TNGF 403(例如,ER认证器)生成或导出(参见框425和426)新鲜rMSK,例如,通过递增SEQ值并使用等式7,如上文所指定的,并利用其TNGF IP地址和/或ID更新(参见框427)KeyName-NAI的域部分,例如,域名。
在步骤7中,目标TNGF 403在AAA响应消息(参见消息传递429)中向新/目标TNAP303(例如,ER认证器)提供新rMSK,连同包含更新的EMSKname@Domain-name(其中,更新的EMSKname@Domain-name包含域名部分中的目标TNGF 403信息,因为其当前保持重新认证安全上下文)、序列号(“SEQ”)、加密套件以及MAC2的EAP-完成/重新认证消息。MAC2是用于完整性保护从目标TNGF 403发送到UE 205的ERP消息的认证标签。
新/目标TNAP 303(例如,ER认证器)检索rMSK并将包含更新的KeyName-NAI:EMSKname@Domain-name、序列号(“SEQ”)、加密套件和MAC2的EAP-完成/重新认证转发(参见消息传递431)到UE 205。如框433示出的,由于rRK现在在TNGF 2中可用,所以EMSKname@Domain-name应指向目标TNGF 403。
在步骤8中,图4C,UE 205使用与rIK相关联的SEQ核实(参见框435)MAC2并且导出与目标TNGF 403类似的rMSK(参见框437和438),例如,使用等式7,如上文指定的。UE 205进一步核实接收到的KeyName.NAI中的域名,并且如果其不同于本地存储的域名,则UE 205将最近接收到的域名连同重新认证安全上下文一起保存,并从其存储器中删除旧的(先前存储的)域名。
可替选地,UE 205和目标TNGF 403基于实施方式,可以通过使用SEQ号作为输入来分别导出和使用用于MAC 1和MAC 2计算的新鲜rIK,如上文解释的。每当导出并使用rIK时,相关联的SEQ在UE205和目标TNGF 403处相应地递增。
在步骤9中,UE 205和新/目标TNAP 303(例如,ER认证器)使用新鲜导出的rMSK(例如,TNAP密钥)来根据所应用的非3GPP技术导出安全密钥并且建立(参见消息传递439)安全关联,例如,IPsec SA,以保护UE 205、新/目标TNAP 303和TNGF 403之间的后续业务(参见连接441)。
图5描绘了根据本公开的实施例的用于在可信非3GPP接入网络上的EAP-5G会话的过程500。过程500涉及UE 205(例如,远程单元105的一个实施例)、包括当前TNAP 301、目标TNAP 303以及TNGF213(例如,TNGF 123的一个实施例)的TNAN 210(例如,TNAN 120的一个实施例),以及5G核心网络215(例如,移动核心网络140的一个实施例)。在最典型情况下,可信非3GPP接入网络210是符合IEEE802.11规范的WLAN接入网络。
如上定义的密钥管理域仅在属于相同密钥管理域的TNGF 213当中控制UE的重新认证安全上下文的共享中起主要作用。如果UE 205移动到被连接到属于不同密钥管理域的新TNGF 213的不同TNAP303,则新TNGF 213将不被其密钥管理域不同的旧TNGF 213提供重新认证安全上下文。
因此,UE 205不能够使用其本地存储的重新认证安全上下文,利用属于不同密钥管理域的新TNGF 213执行重新认证。因此,利用属于不同密钥管理域的新TNAP 303和新TNGF 213触发初始主认证。图5描述了如何可以由TNAN 210和UE 205施加密钥管理域控制,以确保在形成密钥管理域的一组网络功能/实体当中的重新认证安全上下文的安全性和可靠性。
如图5中所示,在步骤0中,在UE 205、TNAN 210中的当前TNAP301、新/目标TNAP303和TNGF 213之间建立IPsec安全关联(“SA”)连接(参见连接503)。在步骤1中,ERP交换由新/目标TNAP 303(例如,ER认证器)通过向UE 205发送带有密钥管理域名(“KM-域名”)的EAP-发起/重新认证开始消息(参见消息传递505)来触发。
UE 205可以具有本地存储的UE上下文(即,UE重新认证安全上下文)的实例(参见框501),包括EMSKname、rRK、rIK、KM-域名和TNGF ID/IP地址。因而,UE 205核实(参见框507)本地存储的KM-域名与从新/目标TNAP 303接收的是否相同。如果否,则UE 205在EAP-发起/重新认证消息(参见消息传递509)中向目标TNAP 303发送‘域不匹配指示符’(可替选地,能够被称为KM-域不匹配指示符/旗标)。
在步骤3中,新/目标TNAP 303响应于接收到的‘域不匹配指示符’,经由相关联的TNGF 213利用5G核心网络215触发(参见框511)针对UE 205的初始EAP完全认证(例如,主认证)。
在步骤4中,新/目标TNAP 303通过L2向UE 205发送EAP-请求/5G-开始消息(参见消息传递513)以发起主认证。在步骤5中,主认证(参见515)遵循上文参考图2A至2C描述的过程200。
图6描绘了根据本公开的实施例的用户设备装置600的一个实施例。用户设备装置600可以是远程单元105和/或UE 205的一个实施例。此外,用户设备装置600可以包括处理器605、存储器610、输入设备615、输出设备620、收发器625。在一些实施例中,输入设备615和输出设备620被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置600不包括任何输入设备615和/或输出设备620。
如所描绘的,收发器625包括至少一个发射器630和至少一个接收器635。这里,收发器625经由接入网络与移动核心网络(例如,5GC)通信。附加地,收发器625可以支持至少一个网络接口640。这里,所述至少一个网络接口640有助于与TNGF的通信(例如,使用“NWt”接口)。附加地,所述至少一个网络接口640可以包括用于与AMF、SMF和/或UPF通信的接口。
在一个实施例中,处理器605可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器605可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器605执行在存储器610中存储的指令以执行本文中所描述的方法和例程。处理器605被通信地耦合到存储器610、输入设备615、输出设备620和收发器625。
在各种实施例中,处理器605控制用户设备装置600以实现上述UE行为。在一些实施例中,处理器605(经由收发器625)将第一认证消息发送到网络功能以与移动通信网络进行认证。这里,第一认证消息包含装置支持ERP的指示符。处理器605响应于第一认证消息(经由收发器625)接收来自网络功能的第二认证消息,其中该第二认证消息包含密钥管理域名,该密钥管理域名指示一组网络功能,该组网络功能能够共享用于执行ERP的装置的重新认证安全上下文。响应于利用移动通信网络的成功认证,处理器605导出重新认证安全上下文,并(在存储器610中)本地存储接收到的密钥管理域名和导出的重新认证安全上下文,用于利用移动通信网络的后续重新认证。
在一些实施例中,网络功能包括移动通信网络的网关功能(即,TNAN中的TNGF),该网关功能获取重新认证安全上下文,用于响应于包括ERP指示符的第一认证消息来对装置的后续重新认证。
在一些实施例中,导出的重新认证安全上下文包括rRK和用于rRK(即,EMSKname和/或Kausfname)的密钥标识符。在这样的实施例中,rRK基于EMSK、SUPI和服务网络名称(即,5G:服务网络ID)使用密钥导出函数被导出。可替选地,rRK基于认证服务器功能密钥(即,AUSF密钥)、SUPI和服务网络名称使用密钥导出函数被导出。
在某些实施例中,响应于基于EMSK导出rRK,处理器605至少基于SUPI和服务网络名称使用密钥导出函数导出用于rRK的密钥标识符(即,“EMSKname”)。在其他实施例中,响应于基于AUSF密钥导出rRK,处理器605基于SUPI、服务网络名称和AUSF密钥使用密钥导出函数导出用于rRK的密钥标识符(即,“Kausfname”),其中,Kausfname被用于后续的重新认证过程。
在一些实施例中,处理器605进一步响应于用户设备装置600连接到TNAN中的新接入点,从移动通信网络的新接入点接收第三认证消息。在此,第三认证消息包括第二密钥管理域名。
在某些实施例中,处理器605导出用于与网络功能安全地交换和核实ERP消息的重新认证完整性密钥(即,“rIK”),其中处理器605至少部分地从密钥管理域名和序列号(即,“SEQ”)导出rIK。在这样的实施例中,处理器605可以在使用SEQ导出rIK之前进一步递增接收到的SEQ。
在某些实施例中,处理器605核实第二密钥管理域名是否匹配与重新认证安全上下文相关联的本地存储的密钥管理域名。在这样的实施例中,处理器605响应于核实第二密钥管理域名匹配本地存储的密钥管理域名,进一步生成NAI并将包含NAI的第四认证消息发送到新接入点,该生成的NAI被本地存储在装置处以供后续参考。
在某些实施例中,NAI是基于用于rRK的密钥标识符(即,“EMSKname”)和域名生成的,该域名是使用用于TNAN中先前被认证的网络网关功能的标识符以及密钥管理域名生成的,使得NAI具有“EMSKname@Domain-name”的形式。
在一些实施例中,处理器605进一步从新接入点接收包括更新的NAI的第五认证消息,并且核实用于更新的NAI的域名匹配本地存储的域名。在某些实施例中,处理器605响应于核实用于更新NAI的域名匹配本地存储的域名,删除当前本地存储的域名并且在本地存储更新的域名和重新认证安全上下文。
在一些实施例中,处理器605响应于验证接收到的密钥管理域名与本地存储的密钥管理域名匹配失败,在EAP-发起/重新认证消息中向新接入点发送域不匹配指示符,以触发装置的初始EAP完全认证。
在一个实施例中,存储器610是计算机可读存储介质。在一些实施例中,存储器610包括易失性计算机存储介质。例如,存储器610可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器610包括非易失性计算机存储介质。例如,存储器610可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器610包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器610存储与支持远程单元重新认证有关的数据,例如,存储安全密钥、IP地址等。在某些实施例中,存储器610还存储程序代码和相关数据,诸如在用户设备装置600上操作的操作系统(“OS”)或其他控制器算法以及一个或多个软件应用。
在一个实施例中,输入设备615可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、触笔、麦克风等。在一些实施例中,输入设备615可以与输出设备620集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备615包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写而被输入。在一些实施例中,输入设备615包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备620可以包括任何已知的电子可控显示器或显示设备。输出设备620可以被设计为输出视觉、可听和/或触觉信号。在一些实施例中,输出设备620包括能够向用户输出视觉数据的电子显示器。例如,输出设备620可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备620可以包括可穿戴显示器,诸如智能手表、智能眼镜、抬头显示器等。此外,输出设备620可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备620包括用于产生声音的一个或多个扬声器。例如,输出设备620可以产生可听警报或通知(例如,哔声或钟声)。在一些实施例中,输出设备620包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备620的全部或部分可以与输入设备615集成。例如,输入设备615和输出设备620可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备620的全部或部分可以位于输入设备615附近。
如在上面所讨论的,收发器625经由一个或多个接入网络与移动通信网络的一个或多个网络功能进行通信。收发器625在处理器605的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器605可以在特殊时间选择性地激活收发器(或其部分)以便于发送和接收消息。
收发器625可以包括一个或多个发射器630和一个或多个接收器635。尽管仅图示了一个发射器630和一个接收器635,但是用户设备装置600可以具有任何合适数量的发射器630和接收器635。此外,发射器630和接收器635可以是任何合适类型的发射器和接收器。在一个实施例中,收发器625包括用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对可以被组合成单个收发器单元,例如,执行与授权和未授权无线电频谱两者使用的功能的单个芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器625、发射器630和接收器635可以被实现为物理上分离的组件,这些组件接入共享的硬件资源和/或软件资源,诸如例如网络接口640。
在各种实施例中,一个或多个发射器630和/或一个或多个接收器635可以被实现和/或集成到单个硬件组件中,诸如,多收发器芯片、片上系统、ASIC或其他类型的硬件组件。在一些实施例中,一个或多个发射器630和/或一个或多个接收器635可以被实现和/或集成到多芯片模块中。在一些实施例中,诸如网络接口640的其他组件或其他硬件组件/电路可以与任何数量的发射器630和/或接收器635集成到单个芯片中。在这样的实施例中,发射器630和接收器635可以被逻辑地配置为使用更多一个常见的控制信号的收发器625,或者被实现为在相同硬件芯片或多芯片模块中实现的模块化发射器630和接收器635。
图7描绘了根据本公开的实施例的网络设备装置700的一个实施例。在一些实施例中,网络设备装置700可以是TNGF(即,TNGF1和/或TNGF2)的一个实施例。在其他实施例中,网络设备装置700可以是AMF的一个实施例。此外,网络设备装置700可以包括处理器705、存储器710、输入设备715、输出设备720、收发器725。在一些实施例中,输入设备715和输出设备720被组合成单个设备,诸如触摸屏。在某些实施例中,网络设备装置700不包括任何输入设备715和/或输出设备720。
如所描绘的,收发器725包括至少一个发射器730和至少一个接收器735。这里,收发器725与一个或多个远程单元105通信。附加地,收发器725可以支持至少一个网络接口740,诸如图1中描绘的NWt、N2和N3接口。在一些实施例中,收发器725支持用于与RAN节点通信的第一接口、用于与移动核心网络(例如,5GC)中的一个或多个网络功能通信的第二接口以及用于与远程单元(例如,UE)通信的第三接口。
在一个实施例中,处理器705可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器705可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器705执行被存储在存储器710中的指令以执行本文中所描述的方法和例程。处理器705被通信地耦合到存储器710、输入设备715、输出设备720和第一收发器725。
在各种实施例中,处理器705控制网络设备装置700以实现上述TNGF行为。在一些实施例中,处理器705接收用于重新认证远程单元(即,UE)的第一认证消息,其中该第一认证消息包括包含第一用户名(例如,Keyname或其他密钥标识符)和第一域名的Keyname-NAI。这里,第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。处理器705核实第一域名并且至少使用来自由第一用户名标识的安全上下文的重新认证完整性密钥(“rIK”)来验证第一认证消息。处理器705响应于成功验证第一认证消息而生成第二认证消息并且通过经由网络接口740发送第二认证消息来响应第一认证消息。
在一些实施例中,第一认证消息包含第一序列号(即,“SEQ”)和第一消息认证码,其中处理器705使用第一消息认证码来认证远程单元。在一些实施例中,第一用户名包括用于重新认证根密钥(即,“rRK”)的密钥标识符。在某些实施例中,处理器705响应于验证第一认证消息而生成新鲜会话密钥,其中该新鲜会话密钥是至少使用rRK和可信非3GPP接入码作为对密钥导出的输入而被导出的。
在一些实施例中,处理器705确定重新认证完整性密钥(即,“rIK”)是否被存储在本地存储器中。在某些实施例中,处理器705响应于rIK未被存储在本地存储器中或接收到比本地存储的SEQ更高值的不同SEQ,至少使用rRK、密钥管理域名和接收到的SEQ号来导出新的rIK,其中该新鲜rIK被用于认证第一消息认证码。在某些实施例中,第二认证消息包含使用新鲜rIK导出的第二消息认证码,其中该远程单元使用第二消息认证码来认证第二装置。
在一些实施例中,第一认证消息是从服务于远程单元的网关功能接收的。在这样的实施例中,第二认证消息包括重新认证安全上下文并且被发送到网关功能。在某些实施例中,重新认证安全上下文包含rRK、rIK、SEQ和rRK寿命参数。在其他实施例中,从服务于远程单元的接入点接收第一认证消息。在这样的实施例中,第二认证消息经由服务接入点被发送到远程单元。
在一些实施例中,处理器705从远程单元接收注册请求,该注册请求指示远程单元支持ERP。在这样的实施例中,处理器705在用于远程单元的注册过程期间向远程单元发送网关标识符和密钥管理域名。
在各种实施例中,处理器705控制网络设备装置700以实现上述TNGF-2行为。在这样的实施例中,处理器705接收用于重新认证远程单元(即,UE)的第一认证消息,其中该第一认证消息包括包含第一用户名(例如,Keyname或其他密钥标识符)和第一域名的Keyname-NAI。这里,第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。处理器705核实第一域名并且从NAI(例如,从被指示为第一域名和第一用户名的一部分的TNGF标识信息)确定用于远程单元的重新认证安全上下文由源网关功能持有(即,TNGF-1)。处理器705基于作为第一域名的一部分可用的关联网关功能联系信息将第一认证消息转发到源网关功能,并从源网关功能接收重新认证安全上下文。处理器705响应于接收到重新认证安全上下文生成第二认证消息,并将第二认证消息发送到远程单元。
在一些实施例中,处理器705响应于接收到重新认证安全上下文更新NAI(例如,Keyname-NAI的域名部分)以指向装置,其中该第二认证消息包括更新的NAI。在一些实施例中,第一用户名包括用于重新认证根密钥(即,“rRK”)的密钥标识符,其中该处理器705响应于接收到重新认证安全上下文而生成新鲜会话密钥,并且其中新鲜会话密钥是至少使用rRK和可信非3GPP接入码作为对密钥导出的输入来导出的。
在一些实施例中,第二认证消息包含使用重新认证安全上下文导出的消息认证码,其中该远程单元使用第二消息认证码来认证装置。在一些实施例中,重新认证安全上下文包括rRK、新鲜重新认证完整性密钥(即,“rIK”)、序列号(即,“SEQ”)和重新认证根密钥寿命参数。
在各种实施例中,处理器705控制网络设备装置700以实现上述TNAP行为。在一些实施例中,处理器705在接入点和网关功能之间的关联期间从网关功能接收第一KM-域名,该第一密钥管理域名被转发到远程单元(即,UE)以用于重新认证。处理器705接收用于重新认证远程单元的第一认证消息。在一个实施例中,第一认证消息包括密钥管理域名不匹配指示符。在另一个实施例中,第一认证消息包括包含第一用户名和第一域名的NAI(即,Keyname-NAI),其中该第一域名标识第二KM-域名和持有远程单元的重新认证安全上下文的关联网关功能。
处理器705基于第一认证消息确定密钥管理域名不匹配。在一些实施例中,处理器705确定密钥管理域名不匹配包括标识第一认证消息包括密钥管理域名不匹配指示符。在其他实施例中,处理器705通过检查Keyname-NAI并标识第二KM-域名与第一KM-域名不匹配来确定密钥管理域名不匹配。
处理器705响应于已确定的不匹配而拒绝远程单元的重新认证并且响应于所拒绝的重新认证而触发与远程单元的初始认证。
在一个实施例中,存储器710是计算机可读存储介质。在一些实施例中,存储器710包括易失性计算机存储介质。例如,存储器710可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器710包括非易失性计算机存储介质。例如,存储器710可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器710包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器710存储与支持远程单元重新认证有关的数据,例如存储安全密钥、IP地址、UE上下文等。在某些实施例中,存储器710还存储程序代码和相关数据,诸如在网络设备装置700上操作的操作系统(“OS”)或其他控制器算法以及一个或多个软件应用。
在一个实施例中,输入设备715可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、触笔、麦克风等。在一些实施例中,输入设备715可以与输出设备720集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备715包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上的手写被输入。在一些实施例中,输入设备715包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备720可以包括任何已知的电子可控显示器或显示设备。输出设备720可以被设计为输出视觉、可听和/或触觉信号。在一些实施例中,输出设备720包括能够向用户输出视觉数据的电子显示器。例如,输出设备720可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备720可以包括可穿戴显示器,诸如智能手表、智能眼镜、抬头显示器等。此外,输出设备720可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备720包括用于产生声音的一个或多个扬声器。例如,输出设备720可以产生可听警报或通知(例如,哔声或钟声)。在一些实施例中,输出设备720包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备720的全部或部分可以与输入设备715集成。例如,输入设备715和输出设备720可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备720的全部或部分可以位于输入设备715附近。
如在上面所讨论的,收发器725可以与一个或多个远程单元和/或与提供对一个或多个PLMN的接入的一个或多个互通功能通信。收发器725还可以与一个或多个网络功能(例如,在移动核心网络140中)通信。收发器725在处理器705的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器705可以在特定时间选择性地激活收发器(或其部分)以便于发送和接收消息。
收发器725可以包括一个或多个发射器730和一个或多个接收器735。在某些实施例中,所述一个或多个发射器730和/或所述一个或多个接收器735可以共享收发器硬件和/或电路。例如,所述一个或多个发射器730和/或所述一个或多个接收器735可以共享天线、天线调谐器、放大器、滤波器、振荡器、混频器、调制器/解调器、电力供应等。在一个实施例中,收发器725使用不同的通信协议或协议栈实现多个逻辑收发器,同时使用公共物理硬件。
图8描绘了根据本公开的实施例的用于支持远程单元重新认证的方法800的一个实施例。在各种实施例中,方法800由诸如上述的远程单元105、UE 205和/或用户设备装置600的UE执行。在一些实施例中,方法800由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法800开始并且向网络功能发送805第一认证消息以利用移动通信网络认证远程单元,该第一认证消息包含远程单元支持ERP的指示符。该方法800包括响应于第一认证消息从网络功能接收810第二认证消息,其中该第二认证消息包含密钥管理域名,该密钥管理域名指示一组网络功能,其能够共享用于执行ERP的装置的重新认证安全上下文。
方法800包括响应于利用移动通信网络的成功认证而导出815重新认证安全上下文。该方法800包括本地存储820所接收的密钥管理域名和导出的重新认证安全上下文,用于利用移动通信网络的后续重新认证。方法800结束。
图9描绘了根据本公开的实施例的用于支持远程单元重新认证的方法900的一个实施例。在各种实施例中,方法900由诸如上述的TNGF-1 115、TNGF-2 117、TNGF 213、TNGF-1 401的TNGF和/或网络设备装置700执行。在一些实施例中,方法900由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法900开始并且接收905用于重新认证远程单元的第一认证消息,其中该第一认证消息包括包含第一用户名和第一域名的NAI。该方法900包括验证910第一域名,其中该第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。
方法900包括至少使用由第一用户名指示的重新认证安全上下文验证915第一认证消息。方法900包括响应于成功验证第一认证消息而生成920第二认证消息。方法900包括通过发送第二认证消息来响应925第一认证消息。方法900结束。
图10描绘了根据本公开的实施例的用于支持远程单元重新认证的方法1000的一个实施例。在各种实施例中,方法1000由诸如上述的TNGF-2 117、TNGF-2 403的目标TNGF和/或网络设备装置700执行。在一些实施例中,方法1000由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器执行。
方法1000开始并且接收1005用于重新认证远程单元的第一认证消息,其中该第一认证消息包括包含第一用户名和第一域名的NAI。方法1000包括核实1010第一域名,其中该第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。
方法1000包括从NAI确定1015用于远程单元的重新认证安全上下文由源网关功能持有。该方法1000包括将第一认证消息转发1020到源网关的功能。该方法1000包括从源网关功能接收1025重新认证安全上下文。
方法1000包括响应于接收到重新认证安全上下文而生成1030第二认证消息。该方法1000包括向远程单元发送1035第二认证消息。方法1000结束。
图11描绘了根据本公开的实施例的用于支持远程单元重新认证的方法1100的一个实施例。在各种实施例中,方法1100由非3GPP接入点执行,诸如上述的基础单元100、TNAP211、TNAP-2 303和/或网络设备装置700。在一些实施例中,方法1100由处理器执行,诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等。
方法1100开始并在接入点和网关功能之间的关联期间从网关功能接收1105第一密钥管理域名,该密钥管理域名被转发到远程单元以用于重新认证。
方法1100包括接收1110用于重新认证远程单元的第一认证消息,其中该第一认证消息包括密钥管理域名不匹配指示符和/或包含第一用户名和第一域名的NAI,其中该第一域名标识第二密钥管理域名和持有远程单元的重新认证安全上下文的关联网关功能。
方法1100包括确定1115密钥管理域名不匹配。方法1100包括响应于已确定的不匹配而拒绝1120对远程单元的重新认证。方法1100包括响应于拒绝的重新认证触发1125利用远程单元的初始认证。方法1100结束。
根据本公开的实施例,本文公开了一种用于支持远程单元重新认证的第一装置。第一装置可以由UE实施,诸如远程单元105、UE 205和/或用户设备装置600。第一装置包括:
收发器,该收发器使用可信非3GPP接入网络TNAN与移动通信网络通信,以及处理器,该处理器向网络功能发送第一认证消息以利用移动通信网络认证,该第一认证消息包含装置支持ERP的指示符。经由收发器,处理器响应于第一认证消息,从网络功能接收第二认证消息,其中,第二认证消息包含密钥管理域名,密钥管理域名指示一组网络功能,该组网络功能可以共享用于执行ERP的装置的重新认证安全上下文。响应于利用移动通信网络的成功认证,处理器导出重新认证安全上下文,并本地存储接收到的密钥管理域名和导出的重新认证安全上下文,用于后续利用移动通信网络进行重新认证。
在一些实施例中,网络功能包括移动通信网络的网关功能,网关功能获取重新认证安全上下文,用于响应于包括ERP指示符的第一认证消息来对装置的后续重新认证。
在一些实施例中,导出的重新认证安全上下文包括重新认证根密钥(即“rRK”)和rRK的密钥标识符。在一个实施例中,rRK基于EMSK、SUPI和服务网络名称/归属网络ID使用密钥导出函数被导出。在另一实施例中,rRK基于AUSF密钥、SUPI和服务网络名称/归属网络ID使用密钥导出函数被导出。
在某些实施例中,响应于基于EMSK导出rRK,至少基于SUPI和服务网络名称/归属网络ID使用密钥导出函数导出用于rRK的密钥标识符(即,“EMSKname”)。在某些实施例中,响应于基于AUSF密钥导出rRK,基于SUPI、服务网络名称/归属网络ID和AUSF密钥使用密钥导出函数导出用于rRK的密钥标识符(即,“Kausfname”),其中,该Kausfname用于后续的重新认证过程。
在一些实施例中,处理器响应于装置连接到TNAN中的新接入点,从移动通信网络的新接入点进一步接收第三认证消息,该第三认证消息包括第二密钥管理域名。
在某些实施例中,处理器进一步导出用于与网络功能安全地交换和验证ERP消息的新鲜重新认证完整性密钥(即,“rIK”),RIK至少部分地从密钥管理域名和序列号(即,“SEQ”)导出。在这样的实施例中,处理器可以在使用SEQ导出新鲜rIK之前进一步递增接收到的SEQ。
在某些实施例中,所述处理器进一步核实第二密钥管理域名是否匹配与重新认证安全上下文相关联的本地存储的密钥管理域名。在这样的实施例中,处理器响应于核实第二密钥管理域名匹配本地存储的密钥管理域名,进一步生成NAI并将包含NAI的第四认证消息发送到新接入点,生成的NAI被本地存储在装置中以供后续参考。
在某些实施例中,Keyname-NAI形式的NAI是基于rRK的密钥标识符(即“EMSKname”)和域名生成的,域名是使用TNAN中先前认证的网络网关功能的标识符以及密钥管理域名生成的,使得NAI具有“EMSKname@Domain-name”的形式。
在一些实施例中,处理器进一步从新接入点接收包括更新的NAI的第五认证消息,并且核实用于更新的NAI的域名匹配本地存储的域名。在某些实施例中,处理器进一步响应于核实用于更新NAI的域名匹配本地存储的域名,删除当前本地存储的域名,并且本地存储更新的域名和重新认证安全上下文。
在一些实施例中,处理器响应于核实接收到的密钥管理域名与本地存储的密钥管理域名匹配失败,在EAP-发起/重新认证消息中向新接入点发送域不匹配指示符,以触发对装置的初始EAP完全认证。
根据本公开的实施例,本文公开的是用于支持远程单元重新认证的第一方法。第一方法可以由UE执行,诸如远程单元105、UE 205和/或用户设备装置600。第一方法包括向网络功能发送第一认证消息以利用移动通信网络认证UE并且响应于第一认证消息从网络功能接收第二认证消息。这里,第一认证消息包含UE支持ERP的指示符并且第二认证消息包含密钥管理域名,该密钥管理域名指示能够共享用于执行ERP的UE的重新认证安全上下文的一组网络功能。第一方法包括响应于利用移动通信网络的成功认证而导出重新认证安全上下文并且本地存储接收到的密钥管理域名和导出的重新认证安全上下文以用于利用移动通信网络的后续重新认证。
在一些实施例中,该网络功能包括移动通信网络的网关功能,该网关功能获取重新认证安全上下文,用于响应于包括ERP指示符的第一认证消息来对装置的后续重新认证。
在一些实施例中,导出的重新认证安全上下文包括重新认证根密钥(即,“rRK”)和用于rRK的密钥标识符。在一个实施例中,rRK基于EMSK、SUPI和服务网络名称/归属网络ID使用密钥导出函数被导出。在另一个实施例中,rRK基于AUSF密钥、SUPI和服务网络名称/归属网络ID使用密钥导出函数被导出。
在某些实施例中,响应于基于EMSK导出rRK,至少基于SUPI和服务网络名称/归属网络ID使用密钥导出函数导出用于rRK的密钥标识符(即,“EMSKname”)。在某些实施例中,响应于基于AUSF密钥导出rRK,基于SUPI、服务网络名称/归属网络ID和AUSF密钥使用密钥导出函数来导出用于rRK的密钥标识符(即,“Kausfname”),其中Kausfname用于后续的重新认证过程。
在一些实施例中,该第一方法进一步包括响应于装置连接到TNAN中的新接入点,从移动通信网络的新接入点接收第三认证消息,该第三认证消息包括第二密钥管理域名。
在某些实施例中,第一方法进一步包括导出用于与网络功能安全地交换和核实ERP消息的新鲜重新认证完整性密钥(即,“rIK”),该rIK至少部分地从密钥管理域名和序列号(即,“SEQ”)被导出。在这样的实施例中,第一方法可以进一步包括在使用SEQ导出新鲜rIK之前递增接收到的SEQ。
在某些实施例中,第一方法进一步包括核实第二密钥管理域名是否与本地存储的与重新认证安全上下文相关联的密钥管理域名匹配。在这样的实施例中,响应于核实第二密钥管理域名与本地存储的密钥管理域名匹配,第一方法进一步包括生成NAI并向新接入点发送包含该NAI的第四认证消息,该生成的NAI被本地存储在装置中以供后续参考。
在某些实施例中,基于用于rRK的密钥标识符(即,“EMSKname”)和域名生成形式Keyname-NAI的NAI,该域名使用用于TNAN中的先前认证的网络网关功能的标识符和密钥管理域名而被生成,使得NAI具有“EMSKname@Domain-name”的形式。
在一些实施例中,第一方法进一步包括从新接入点接收包括更新的NAI的第五认证消息并且核实用于更新的NAI的域名与本地存储的域名匹配。在某些实施例中,响应于核实用于更新的NAI的域名与本地存储的域名匹配,第一方法包括删除当前本地存储的域名并且本地存储更新的域名和重新认证安全上下文。
在一些实施例中,第一方法包括响应于核实接收到的密钥管理域名与本地存储的密钥管理域名匹配失败,在EAP-发起/重新认证消息中向新接入点发送域不匹配指示符,以触发对远程单元的初始EAP完全认证。
根据本公开的实施例,本文公开的是用于支持远程单元重新认证的第二装置。第二装置可以由诸如TNGF-1 115、TNGF-2 117、TNGF213、TNGF-1 401的TNGF和/或网络设备装置700来实现。第二装置包括:网络接口,该网络接口与移动通信网络通信,以及处理器,该处理器接收用于重新认证远程单元(即,UE)的第一认证消息,其中该第一认证消息包括包含第一用户名和第一域名的NAI。该处理器核实第一域名并且至少使用由第一用户名指示的重新认证安全上下文来验证第一认证消息。这里,第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。处理器响应于成功验证第一认证消息而生成第二认证消息并且通过经由网络接口发送第二认证消息来响应第一认证消息。
在一些实施例中,第一认证消息包含第一序列号(即,“SEQ”)和第一消息认证码,其中该处理器使用第一消息认证码来认证远程单元。在一些实施例中,第一用户名包括用于重新认证根密钥(即,“rRK”)的密钥标识符。在某些实施例中,处理器响应于验证第一认证消息而生成新鲜会话密钥,其中至少使用rRK和可信非3GPP接入码作为对密钥导出的输入来导出新鲜会话密钥。
在一些实施例中,处理器确定重新认证完整性密钥(即,“rIK”)是否被存储在本地存储器中。在某些实施例中,处理器响应于rIK未被存储在本地存储器中或接收到比本地存储的SEQ更高值的不同的SEQ,至少使用rRK、密钥管理域名和接收到的SEQ号来导出新鲜rIK,其中新鲜RIK被用于认证第一消息认证码。在某些实施例中,第二认证消息包含使用新鲜rIK导出的第二消息认证码,其中该远程单元使用第二消息认证码来认证第二装置。
在一些实施例中,第一认证消息是从服务远程单元的网关功能接收的。在这样的实施例中,第二认证消息包括重新认证安全上下文并且被发送到网关功能。在某些实施例中,重新认证安全上下文包含rRK、rIK、SEQ和rRK寿命参数。在其他实施例中,从服务于远程单元的接入点接收第一认证消息。在这样的实施例中,第二认证消息经由服务接入点被发送到远程单元。
在一些实施例中,处理器从远程单元接收注册请求,该注册请求指示远程单元支持ERP。在这样的实施例中,处理器在针对远程单元的注册过程期间向远程单元发送网关标识符和密钥管理域名。
根据本公开的实施例,本文公开的是用于支持远程单元重新认证的第二方法。第二方法可以由诸如TNGF-1 115、TNGF-2 117、TNGF213、TNGF-1 401的TNGF和/或网络设备700实现。第二方法包括接收用于重新认证远程单元(即,UE)的第一认证消息。这里,第一认证消息包括包含第一用户名和第一域名的NAI。第二方法包括核实第一域名并且至少使用由第一用户名指示的重新认证安全上下文来验证第一认证消息。这里,第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。第二方法包括响应于成功验证第一认证消息而生成第二认证消息并通过发送第二认证消息来响应第一认证消息。
在一些实施例中,第一认证消息包含第一序列号(即,“SEQ”)和第一消息认证码,其中TNGF使用第一消息认证码来认证远程单元。在一些实施例中,第一用户名包括用于重新认证根密钥(即,“rRK”)的密钥标识符。在某些实施例中,第二方法进一步包括响应于验证第一认证消息而生成新鲜会话密钥,其中新鲜会话密钥是至少使用rRK和可信非3GPP接入码作为对密钥导出的输入被导出。
在一些实施例中,第二方法包括确定重新认证完整性密钥(即,“rIK”)是否被存储在本地存储器中。在某些实施例中,第二方法进一步包括响应于rIK未被存储在本地存储器中或接收到比本地存储的SEQ更高值的不同的SEQ,至少使用rRK、密钥管理域名和接收到的SEQ号来导出新鲜rIK,其中该新鲜rIK被用于认证第一消息认证码。在某些实施例中,第二认证消息包含使用新鲜rIK导出的第二消息认证码,其中该远程单元使用第二消息认证码来认证TNGF。
在一些实施例中,第一认证消息是从服务远程单元的网关功能接收的。在这样的实施例中,第二认证消息包括重新认证安全上下文并且被发送到网关功能。在某些实施例中,重新认证安全上下文包含rRK、rIK、SEQ和rRK寿命参数。在其他实施例中,从服务远程单元的接入点接收第一认证消息。在这样的实施例中,第二认证消息经由服务接入点被发送到远程单元。
在一些实施例中,第二方法进一步包括从远程单元接收注册请求,该注册请求指示远程单元支持ERP。在这样的实施例中,第二方法进一步包括在用于远程单元的注册过程期间向远程单元发送网关标识符和密钥管理域名。
根据本公开的实施例,本文公开的是用于支持远程单元重新认证的第三装置。第三装置可以由诸如TNGF-2 117、TNGF-2 403的目标TNGF和/或网络设备装置700实现。第三装置包括:网络接口,其与移动通信网络通信,以及处理器,其接收用于重新认证远程单元(即,UE)的第一认证消息,其中该第一认证消息包括包含第一用户名和第一域名的NAI。处理器核实第一域名,并且从NAI确定远程单元的重新认证安全上下文由源网关功能持有。这里,第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。该处理器将第一认证消息转发给源网关功能,并且从源网关功能接收重新认证安全上下文。处理器响应于接收到重新认证安全上下文而生成第二认证消息,并将第二认证消息发送到远程单元。
在一些实施例中,处理器更新NAI以响应于接收到重新认证安全上下文而指向装置,其中该第二认证消息包括更新的NAI。在一些实施例中,第一用户名包括用于重新认证根密钥(即,“rRK”)的密钥标识符,其中该处理器响应于接收到重新认证安全上下文而生成新鲜会话密钥,并且其中新鲜会话密钥至少使用rRK和可信非3GPP接入码作为对密钥导出的输入来被导出。
在一些实施例中,第二认证消息包含使用重新认证安全上下文导出的消息认证码,其中该远程单元使用第二消息认证码来认证装置。在一些实施例中,重新认证安全上下文包括rRK、新鲜重新认证完整性密钥(即,“rIK”)、序列号(即,“SEQ”)和重新认证根密钥寿命参数。
根据本公开的实施例,本文公开的是用于支持远程单元重新认证的第三方法。第三方法包括可以由诸如TNGF-2 117、TNGF-2 403的目标TNGF和/或网络设备装置700来实现。第三方法包括接收用于重新认证远程单元的第一认证消息。这里,第一认证消息包括包含第一用户名和第一域名的NAI。第三方法包括核实第一域名并且从NAI确定远程单元的重新认证安全上下文由源网关功能持有。这里,第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。第三方法包括将第一认证消息转发到源网关功能并且从源网关功能接收重新认证安全上下文。第三方法包括响应于接收到重新认证安全上下文而生成第二认证消息并且将第二认证消息发送到远程单元。
在一些实施例中,第三方法包括响应于接收到重新认证安全上下文更新NAI以指向装置,其中第二认证消息包括更新的NAI。在一些实施例中,第一用户名包括用于重新认证根密钥(即,“rRK”)的密钥标识符,其中第三方法包括响应于接收到重新认证安全上下文而生成新鲜会话密钥,并且其中新鲜会话密钥至少使用rRK和可信非3GPP接入码作为对密钥导出的输入来被导出。
在一些实施例中,第二认证消息包含使用重新认证安全上下文导出的消息认证码,其中该远程单元使用第二消息认证码来认证装置。在一些实施例中,重新认证安全上下文包括rRK、新鲜重新认证完整性密钥(即,“rIK”)、序列号(即,“SEQ”)和重新认证根密钥寿命参数。
根据本公开的实施例,本文公开的是用于支持远程单元重新认证的第四装置。第四装置可以由非3GPP接入点来实现,诸如基础单元100、TNAP 211、TNAP-2 303和/或网络设备装置700。第四装置包括:收发器,该收发器与远程单元通信,以及处理器,该处理器在接入点和网关功能之间的关联期间从网关功能接收密钥管理域名,该密钥管理域名被转发到远程单元以用于重新认证。处理器接收用于重新认证远程单元的第一认证消息。这里,第一认证消息包括下述中的一个:密钥管理域名不匹配指示符以及包含第一用户名和第一域名的NAI,其中第一域名标识密钥管理域名以及持有远程单元的重新认证安全上下文的关联网关功能。处理器基于第一认证消息确定密钥管理域名不匹配。该处理器响应于已确定的不匹配而拒绝远程单元的重新认证并且响应于拒绝的重新认证而触发利用远程单元的初始认证。
根据本公开的实施例,本文公开的是用于支持远程单元重新认证的第四方法。第四方法可以由非3GPP接入点实现,诸如基础单元100、TNAP 211、TNAP-2 303和/或网络设备装置700。第四方法包括在接入点和网关功能之间的关联期间从网关功能接收密钥管理域名,该密钥管理域名被转发到远程单元以用于重新认证。第四方法包括接收用于对远程单元重新认证的第一认证消息并且确定密钥管理域名不匹配。这里,第一认证消息包括下述中的一个:密钥管理域名不匹配指示符以及包含第一用户名和第一域名的NAI,其中该第一域名标识密钥管理域名和持有远程单元的重新认证安全上下文的关联网关功能。第四方法包括基于第一认证消息确定密钥管理域名不匹配。第四方法包括响应于已确定的不匹配而拒绝远程单元的重新认证并且响应于拒绝的重新认证而触发利用远程单元的初始认证。
实施例可以以其他特定形式被实践。所描述的实施例在所有方面仅被认为是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由前述说明指示。在权利要求的含义和范围内的所有改变都将被涵盖在其范围内。
Claims (20)
1.一种装置,包括:
网络接口,所述网络接口与移动通信网络通信;以及
处理器,所述处理器:
接收用于重新认证远程单元的第一认证消息,其中,所述第一认证消息包括包含第一用户名和第一域名的网络接入标识符(“NAI”);
核实所述第一域名,其中所述第一域名标识密钥管理域名和持有所述重新认证安全上下文的关联网关功能;
至少使用由所述第一用户名指示的重新认证安全上下文来验证所述第一认证消息;
响应于成功验证所述第一认证消息而生成第二认证消息;以及
通过发送所述第二认证消息来响应所述第一认证消息。
2.根据权利要求1所述的装置,其中,所述第一认证消息包含第一序列号(“SEQ”)和第一消息认证码,其中所述处理器使用所述第一消息认证码来认证所述远程单元。
3.根据权利要求2所述的装置,其中,所述第一用户名包括用于重新认证根密钥(“rRK”)的密钥标识符,其中,所述处理器响应于验证所述第一认证消息而生成新鲜会话密钥,其中,所述新鲜会话密钥至少使用所述rRK和可信非3GPP接入码作为对密钥导出的输入来被导出。
4.根据权利要求2所述的装置,其中,所述处理器确定重新认证完整性密钥(“rIK”)是否存储在本地存储器中,其中,所述处理器响应于所述rIK未被存储在本地存储器中或接收到比本地存储的SEQ更高值的不同的SEQ,至少使用所述rRK、所述密钥管理域名和所接收到的SEQ号来导出新鲜rIK,所述新鲜RIK被用于认证所述第一消息认证码。
5.根据权利要求4所述的装置,其中,所述第二认证消息包含使用所述新鲜rIK导出的消息认证码,其中,所述远程单元使用所述第二消息认证码来认证所述装置。
6.根据权利要求1所述的装置,其中,所述第一认证消息是从服务所述远程单元的接入点接收的,其中,所述第二认证消息经由所述服务接入点被发送到所述远程单元。
7.根据权利要求1所述的装置,其中,所述第一认证消息从服务所述远程单元的网关功能被接收,其中,所述第二认证消息包括重新认证安全上下文并且被发送到所述网关功能。
8.根据权利要求7所述的装置,其中,所述重新认证安全上下文包含重新认证根密钥(“rRK”)、重新认证完整性密钥(“rIK”)、序列号(“SEQ”)和重新认证根密钥寿命参数。
9.根据权利要求1所述的装置,其中,所述处理器从所述远程单元接收注册请求,所述注册请求指示所述远程单元支持EAP重新认证协议(“ERP”),其中,所述处理器在针对所述远程单元的注册过程期间向所述远程单元发送网关标识符和所述密钥管理域名。
10.一种方法,包括:
接收用于重新认证远程单元的第一认证消息,其中,所述第一认证消息包括包含第一用户名和第一域名的网络接入标识符(“NAI”);
核实所述第一域名,其中,所述第一域名标识密钥管理域名和持有所述重新认证安全上下文的关联网关功能;
至少使用由所述第一用户名指示的重新认证安全上下文来验证所述第一认证消息;
响应于成功验证所述第一认证消息而生成第二认证消息;以及
通过发送所述第二认证消息来响应所述第一认证消息。
11.根据权利要求10所述的方法,进一步包括:
确定重新认证完整性密钥(“rIK”)是否被存储在本地存储器中;以及
响应于下述中的一个来导出新鲜rIK:确定所述rIK未被存储在本地存储器中和接收到比本地存储的SEQ更高值的SEQ号,
其中,所述rIK至少使用所述rRK、所述密钥管理域名和所接收到的SEQ号来被导出,所述新鲜rIK被用于认证所述第一消息认证码。
12.一种装置,包括:
网络接口,所述网络接口与移动通信网络通信;以及
处理器,所述处理器:
接收用于重新认证远程单元的第一认证消息,其中所述第一认证消息包括包含第一用户名和第一域名的网络接入标识符(“NAI”);
核实所述第一域名,其中,所述第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能;
从所述NAI确定所述远程单元的所述重新认证安全上下文由源网关功能持有;
将所述第一认证消息转发给所述源网关功能;
从所述源网关功能接收所述重新认证安全上下文;
响应于接收到所述重新认证安全上下文而生成第二认证消息;以及
将所述第二认证消息发送到所述远程单元。
13.根据权利要求12所述的装置,其中,所述处理器响应于接收到所述重新认证安全上下文,来更新所述NAI以指向所述装置,其中,所述第二认证消息包括所更新的NAI。
14.根据权利要求12所述的装置,其中,所述第一用户名包括用于重新认证根密钥(“rRK”)的密钥标识符,其中,所述处理器响应于接收到所述重新认证安全上下文而生成新鲜会话密钥,其中,所述新鲜会话密钥至少使用所述rRK和可信非3GPP接入码作为对密钥导出的输入来被导出。
15.根据权利要求12所述的装置,其中,所述第二认证消息包含使用所述重新认证安全上下文导出的消息认证码,其中,所述远程单元使用所述第二消息认证码来认证所述装置。
16.根据权利要求12所述的装置,其中,所述重新认证安全上下文包括重新认证根密钥(“rRK”)、新鲜重新认证完整性密钥(“rIK”)、序列号(“SEQ”)和重新认证根密钥寿命参数。
17.一种方法,包括:
在目标网关功能处接收用于重新认证远程单元的第一认证消息,其中,所述第一认证消息包括包含第一用户名和第一域名的网络接入标识符(“NAI”);
核实所述第一域名,其中,所述第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能;
从所述NAI确定所述远程单元的所述重新认证安全上下文由源网关功能持有;
将所述第一认证消息转发到所述源网关功能;
从所述源网关功能接收所述重新认证安全上下文;
响应于接收到所述重新认证安全上下文而生成第二认证消息;以及
将所述第二认证消息发送到所述远程单元。
18.根据权利要求17所述的方法,其中,所述处理器响应于接收到所述重新认证安全上下文,来更新所述NAI以指向所述目标网关功能,其中,所述第二认证消息包括所更新的NAI。
19.根据权利要求17所述的方法,其中,所述第一用户名包括用于重新认证根密钥(“rRK”)的密钥标识符,其中,所述处理器响应于接收到所述重新认证安全上下文而生成新鲜会话密钥,其中,所述新鲜会话密钥至少使用所述rRK和可信非3GPP接入码作为对密钥导出的输入来被导出。
20.根据权利要求17所述的方法,其中,所述第二认证消息包含使用所述重新认证安全上下文导出的消息认证码,其中,所述远程单元使用所述第二消息认证码来认证所述目标网关功能,其中,所述重新认证安全上下文包括重新认证根密钥(“rRK”)、新鲜重新认证完整性密钥(“rIK”)、序列号(“SEQ”)和重新认证根密钥寿命参数。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2020/065678 WO2021244757A1 (en) | 2020-06-05 | 2020-06-05 | Supporting remote unit reauthentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115699834A true CN115699834A (zh) | 2023-02-03 |
Family
ID=71069835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080101660.2A Pending CN115699834A (zh) | 2020-06-05 | 2020-06-05 | 支持远程单元重新认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230231720A1 (zh) |
| EP (1) | EP4162712A1 (zh) |
| CN (1) | CN115699834A (zh) |
| WO (1) | WO2021244757A1 (zh) |
-
2020
- 2020-06-05 US US18/008,423 patent/US20230231720A1/en active Pending
- 2020-06-05 CN CN202080101660.2A patent/CN115699834A/zh active Pending
- 2020-06-05 EP EP20731442.8A patent/EP4162712A1/en active Pending
- 2020-06-05 WO PCT/EP2020/065678 patent/WO2021244757A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| US20230231720A1 (en) | 2023-07-20 |
| EP4162712A1 (en) | 2023-04-12 |
| WO2021244757A1 (en) | 2021-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11902783B2 (en) | Core network attachment through standalone non-3GPP access networks | |
| US20240064514A1 (en) | Delegated data connection | |
| US20230179999A1 (en) | Gateway function reauthentication | |
| US20230247423A1 (en) | Supporting remote unit reauthentication | |
| US20220346051A1 (en) | Registering with a mobile network through another mobile network | |
| US20230224704A1 (en) | Using a pseudonym for access authentication over non-3gpp access | |
| US20230188988A1 (en) | Gateway function reauthentication | |
| US20220116769A1 (en) | Notification in eap procedure | |
| JP2023536680A (ja) | 認証タイプの決定 | |
| WO2023198297A1 (en) | Registering with a mobile network after a first authentication with a wlan access network | |
| US20230231720A1 (en) | Supporting remote unit reauthentication | |
| CN115943652A (zh) | 使用隐藏标识的移动网络认证 | |
| EP3523997B1 (en) | Core network attachment through standalone non-3gpp access networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |