CN115997475A - 通信终端的方法、通信终端、核心网设备的方法和核心网设备 - Google Patents

通信终端的方法、通信终端、核心网设备的方法和核心网设备 Download PDF

Info

Publication number
CN115997475A
CN115997475A CN202180053419.1A CN202180053419A CN115997475A CN 115997475 A CN115997475 A CN 115997475A CN 202180053419 A CN202180053419 A CN 202180053419A CN 115997475 A CN115997475 A CN 115997475A
Authority
CN
China
Prior art keywords
authentication
message
kausf
key
communication terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180053419.1A
Other languages
English (en)
Inventor
昆丹·提瓦利
田村利之
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of CN115997475A publication Critical patent/CN115997475A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/90Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/50Connection management for emergency connections

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Emergency Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Public Health (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

公开了用以在UE和网络中建立最新安全密钥的过程。更具体地,该过程定义了用以在UE和网络中建立最新Kausf并且使UE和网络在各种安全过程中使用相同的Kausf的各种方法。

Description

通信终端的方法、通信终端、核心网设备的方法和核心网设备
技术领域
本发明通常涉及无线电信,并且在特定实施例中,涉及认证过程期间的安全密钥的处理。
背景技术
如非专利文献5中所规定的,主认证和密钥协商过程的目的是使得能够在UE和网络之间进行相互认证,并且提供可以在随后的安全过程中在UE和网络之间使用的建钥材料。在认证过程成功之后生成密钥KAUSF、KSEAF和KAMF
定义了主认证和密钥协商过程的两个方法:
a)基于EAP的主认证和密钥协商过程。
b)基于5G AKA的主认证和密钥协商过程。
UE和AMF应支持基于EAP的主认证和密钥协商过程以及基于5G AKA的主认证和密钥协商过程这两者。当在网络中认证过程失败时,AMF然后向UE返回认证拒绝消息。
图1示出认证过程的发起和认证方法的选择。要应用于UE的认证方法可以通过UDM来选择。
图2示出基于5G AKA的主认证和密钥协商过程。
如非专利文献5中所规定的,将在UE和AUSF中创建的KAUSF(Kausf)用于漫游引导(SoR)过程中的安全机制以及经由UDM控制面过程安全机制的UE参数更新。
图3示出用于在注册期间在VPLMN(访问公共陆地移动网络)中引导UE的过程。
在漫游引导过程中,使用Kausf在UE和AUSF中推导出SoR-MAC-Iausf。当UE从网络接收到SoR-MAC-Iausf时,UE计算SoR-MAC-Iausf并与从网络接收到的SoR-MAC-Iausf进行比较。如果在UE中SoR-MAC-Iausf一致,则UE确定为通过了SoR传输的安全检查,并且UE将引导列表(即,优选PLMN/接入技术组合的列表)存储在UE中。
图4示出用于在注册之后提供优选PLMN/接入技术组合的列表的过程。
在经由UDM控制面过程的UE参数更新中,当UE从网络接收到UPU-MAC-Iausf时,UE计算UPU-MAC-Iausf并与从网络接收到的UPU-MAC-Iausf进行比较。如果在UE中UPU-MAC-Iausf一致,则UE确定为通过经由UDM控制面过程的UE参数更新的UE参数传输是安全的,并将通过UDM发送的UE参数存储在UE中。
另外,Kausf还用于生成AKMA(应用的认证和密钥协商)密钥。在UE被注册到两个不同的PLMN(例如,经由3GPP接入的一个PLMN和经由非3GPP接入的另一PLMN)的情况下,UE和AUSF将仅存储最新Kausf。在UE和网络中的各种安全过程中使用该最新Kausf。
引文列表
非专利文献
非专利文献1:3GPP TR 21.905:“Vocabulary for 3GPP Specifications”。V16.0.0(2019-06)
非专利文献2:3GPP TS 23.501:“System architecture for the 5G System(5GS)”。V16.6.0(2020-09)
非专利文献3:3GPP TS 23.502:“Procedures for the 5G System(5G"S)”。V16.6.0(2020-09)
非专利文献4:3GPP TS 24.501:“Non-Access-Stratum(NAS)protocol for 5GSystem(5GS);Stage 3”。V16.6.0(2020-09)
非专利文献5:3GPP TS 33.501:“Security architecture and procedures for5G system”。V16.4.0(2020-09)
非专利文献6:3GPP TS 33.102:“3G Security;Security architecture”。V16.0.0(2020-07)。
发明内容
发明要解决的问题
非专利文献5中定义的认证和密钥协商过程仍然不明确。如背景技术中所述,由于Kausf信息被各种安全过程所使用,因此在UE和网络之间同步Kausf信息对于5GS非常重要。如果在UE和网络之间Kausf失同步,则5GS不应通过5GS提供任何服务,因为安全性非常重要且由此不会妥协。
用于解决问题的方案
在本发明的第一方面,一种通信终端的方法,所述方法包括:从第一核心网设备接收认证请求消息;计算第一安全密钥和第一认证响应;将认证响应消息中的所述第一认证响应返回到所述第一核心网设备;以及从所述第一核心网设备接收NAS消息。
在本发明的第二方面,一种第一核心网设备的方法,所述方法包括:向第二核心网设备发送第一认证请求消息以发起与通信终端的认证;向所述通信终端发送第二认证请求消息;从所述通信终端接收第一认证响应消息中的第一认证响应;从所述第二核心网设备接收与所述第一认证请求消息相对应的第二认证响应消息;以及向所述通信终端发送NAS消息,以用所述通信终端所计算出的第一安全密钥替换第二安全密钥。
在本发明的第三方面,一种第一核心网设备的方法,包括:向第二核心网设备发送第一认证请求消息以发起与通信终端的认证;向所述通信终端发送第二认证请求消息;从所述通信终端接收第二第一认证响应消息中的第一认证响应;从所述第二核心网设备接收与所述第一认证请求消息相对应的第二认证响应消息;以及向所述通信终端发送NAS消息,其中,在所述NAS消息选择用以指示空加密和空密码算法的信息的情况下,所述第一安全密钥不存储在所述通信终端中,其中所述通信终端设置与紧急会话相关的会话。
在本发明的第四方面,一种通信终端,包括:用于从第一核心网设备接收认证请求消息的部件;用于计算第一安全密钥和第一认证响应的部件;用于将认证响应消息中的所述第一认证响应返回到所述第一核心网设备的部件;以及用于从所述第一核心网设备接收NAS消息的部件。
在本发明的第五方面,一种第一核心网设备,包括:用于向第二核心网设备发送第一认证请求消息以发起与通信终端的认证的部件;用于向所述通信终端发送第二认证请求消息的部件;用于从所述通信终端接收第二认证响应消息中的第一认证响应的部件;用于从所述第二核心网设备接收与所述第一认证请求消息相对应的认证响应消息的部件;以及用于向所述通信终端发送NAS消息以用所述通信终端所计算出的第一安全密钥替换第二安全密钥的部件。
在本发明的第六方面,一种第一核心网设备,包括:用于向第二核心网设备发送第一认证请求消息以发起与通信终端的认证的部件;用于向所述通信终端发送第二认证请求消息的部件;用于从所述通信终端接收第二第一认证响应消息中的第一认证响应的部件;用于从所述第二核心网设备接收与所述第一认证请求消息相对应的第二认证响应消息的部件;以及用于向所述通信终端发送NAS消息的部件,其中,在所述NAS消息选择用以指示空加密和空密码算法的信息的情况下,所述第一安全密钥不存储在所述通信终端中,其中所述通信终端设置与紧急会话相关的会话。
附图说明
图1是示出认证过程的发起和认证方法的选择的传统信令图。
图2是示出5G AKA的认证过程的传统信令图。
图3是示出用于在VPLMN中的注册期间提供优选PLMN/接入技术组合的列表的过程的传统信令图。
图4是示出UE参数更新的过程的传统信令图。
图5是示出用于在UE中建立最新Kausf的过程的实施例的信令图。
图6是示出用于在UE和网络中建立最新Kausf的过程的实施例的信令图。
图7是示出用于在UE和网络中创建最新Kausf的过程的实施例的信令图。
图8是示出用于在UE和网络中创建最新Kausf的过程的实施例的信令图。
图9是示出在UE和网络中建立最新Kausf的实施例的信令图。
图10是示意性示出UE的框图。
图11是示意性示出(R)AN的框图。
图12是示意性示出AMF的框图。
图13是认证过程的发起和认证方法的选择的图。
图14是5G AKA的认证过程的图。
图15是5G AKA的认证过程的图。
图16是基于5G AKA的主认证和密钥协商过程期间的认证失败的图。
具体实施方式
本发明公开了用以在UE和网络中建立最新安全密钥的过程。更具体地,该过程定义了用以在UE和网络中建立最新Kausf并使UE和网络在各种安全过程中使用相同的Kausf的各种方法。
为了进一步阐明本发明的优点和特征,以下将通过参考在附图中示出的本发明的具体实施例来进行本发明的更具体说明。应理解,这些附图仅描绘本发明的典型实施例,因此不应被视为在范围上是限制性的。
本发明将利用附图通过附加的独特性和细节来说明和解释。
此外,本领域技术人员将理解,附图中的元件是为简单起见而示出的,并且可能不一定是按比例绘制的。此外,就装置的构造而言,装置的一个或多于一个组件可能已在附图中由传统符号表示,并且附图可能仅示出与理解本发明的实施例相关的具体细节,以使得不会因本领域技术人员受益于本文的说明而将容易明白的细节而使附图变模糊。
为了促进对本发明的原理的理解的目的,现在将参考附图中所示的实施例,并且将使用特定的语言来说明这些实施例。然而,将理解,并不旨在限制本发明的范围。所示系统中的这种更改和进一步修改以及本领域技术人员通常会想到的本发明的原理的这种进一步应用将被解释为在本发明的范围内。
术语“包括(comprises)”、“包括(comprising)”或其任何其他变形旨在涵盖非排他性包含,使得包括一系列步骤的处理或方法不是仅包括这些步骤,而是可以包括未明确列出的或这种处理或方法固有的其他步骤。类似地,前接“包括…(comprises…a)”的一个或多于一个装置或实体或子系统或元件或结构或组件在无更多约束的情况下,不排除其他装置、子系统、元件、结构体、组件、附加装置、附加子系统、附加元件、附加结构体或附加组件的存在。在整个本说明书中出现短语“在实施例中”、“在另一实施例中”和类似语言可以但没有必要一定全部指代相同的实施例。
除非另外定义,否则本文所使用的所有技术和科学术语具有与本发明所属领域的技术人员通常理解的含义相同的含义。本文所提供的系统、方法和示例仅是例示性的,而不是旨在限制。
在以下的说明书和权利要求书中,将引用许多术语,这些术语应定义为具有以下含义。除非上下文另外明确规定,否则单数形式“a”、“an”和“the”包括复数引用。
如本文所使用的,信息与数据和知识相关联,因为数据是有意义的信息并且表示归因于参数的值。进一步的知识意味着对抽象或具体概念的理解。注意,该示例系统被简化以便于描述所公开的主题,并且不旨在限制本发明的范围。除系统之外或者代替系统,可以使用其他装置、系统和配置来实现本文公开的实施例,并且所有这些实施例都被认为在本发明的范围内。
<问题陈述的示例1:>
该问题陈述1适用于基于5G AKA的主认证和密钥协商过程。
在UE已成功注册到PLMN时,在UE和AUSF(认证服务器功能)中推导出有效的Kausf。网络可以根据非专利文献5随时发起认证过程。在UE接收到包含5G认证向量(5G SE AV)的认证请求消息时,UE通过验证接收到的AUTN(认证令牌)来对网络进行认证。在AUTN的验证成功之后,UE创建新Kausf和RES*,并向网络发送包含RES*的认证响应。此时,UE有两个Kausf,一个Kausf是旧Kausf并且另一Kausf是新Kausf。基于AMF(接入和移动性管理功能)或AUSF处的RES*的验证,UE的认证在网络中可能成功或失败。在认证过程成功的情况下,网络将不向UE发送任何NAS消息。因此,在没有从网络接收到任何显式消息的情况下,UE不确定新Kausf何时变得有效并且可以用在各种过程(例如,漫游引导安全机制和经由UDM控制面过程安全机制的UE参数更新)中。
<问题陈述的示例2:>
该问题陈述2适用于基于EAP的主认证和密钥协商过程以及基于5G AKA的主认证和密钥协商过程这两者。
在UE已成功注册到PLMN时,在UE和AUSF中推导出有效的Kausf。网络可以根据非专利文献5随时发起认证过程。在认证过程期间,在UE和网络之间可能发生无线链路失败,并且认证过程可能中止。例如,当AMF在接收到认证响应消息之前检测到无线链路失败时,AMF将中止认证过程。在这种情况下,对于在UE和网络中正在使用的最新Kausf,UE和网络不同步。在一些情况下,UE将具有多于一个Kausf(旧Kausf和新Kausf),并且UE不确定哪个Kausf将在网络中用在涉及Kausf的各种安全过程(例如,漫游引导安全机制和经由UDM控制面过程安全机制的UE参数更新)中。
<综述>
将在以下实施例中创建的最新Kausf用在以下安全过程(安全机制)中。
i)如非专利文献5中所定义的,在漫游引导安全机制中,计算UE和AUSF中的SoR-MAC-Iausf和SoR-MAC-Iue。
ii)如非专利文献5中所定义的,经由UDM控制面过程安全机制的UE参数更新计算UE和AUSF中的UPU-MAC-Iausf和UPU-MAC-Iue。
iii)如非专利文献5中所定义的,推导出AKMA密钥。
在以下实施例中,当UE将新Kausf作为最新Kausf时,UE应将CounterSoR或CounterUPU初始化为0x00 0x00。在CounterSoR或CounterUPU被推导出时,UE可以不将CounterSoR或CounterUPU初始化为0x00 0x00,而是在使新Kausf最新或有效时进行该初始化。在以下实施例中,当在UE和AUSF中使新Kausf有效时,这意味着新Kausf是最新Kausf。
针对5G AKA定义的实施例也可应用于EAP-AKA,反之亦然。另外,在以下实施例中,术语“AMF”可被解释为“SEAF(安全锚功能)”。此外,在以下实施例中,术语“UDM”可被解释为“ARPF(认证凭证存储和处理功能)”。以下实施例不限于5GS,并且以下实施例也可应用于5GS以外的通信系统。
如果在漫游引导(SoR)过程或UE参数更新(UPU)过程中安全检查失败,则UE应将SoR过程或UPU过程的安全认证过程中所使用的Kausf包括在NAS消息中(例如,包括在向AMF的注册完成消息或UL NAS传输消息中)以向AMF通知该Kausf。AMF将该Kausf转发到UDM。在这种情况下,UDM具有两个选项,在UDM或AUSF中执行Kausf比较。
-选项1UDM进行Kausf比较:UDM从AUSF提取SoR过程或UPU过程中所使用的Kausf,并将从UE接收到的Kausf与SoR或UPU过程中所使用的从AUSF接收到的Kausf进行比较。
-选项2AUSF进行Kausf比较:UDM将从AMF接收到的Kausf转发到AUSF。然后,AUSF将从UDM接收到的Kausf与SoR或UPU过程所使用的最新Kausf进行比较。然后,AUSF将比较结果通知给UDM。
如果针对UE接收到的Kausf不同于AUSF中所存储的Kausf,则UDM向UE发起新认证过程。
在一个示例中,在UDM针对UE从AMF接收到任何信令时,UDM将请求AMF发起新认证过程。可替代地,UDM可以请求AMF针对UE发起重新注册过程。在这种情况下,AMF在注册过程期间进行新认证过程。在认证过程成功之后,在UE和网络之间同步最新Kausf。
<第一示例实施例(解决方案1):>
如果UE没有接收到认证拒绝消息,则UE启动计时器,并且在计时器到期之后,新Kausf变为有效。
本实施例适用于基于5G AKA的主认证和密钥协商过程以及基于EAP的主认证和密钥协商过程这两者。
图5示出用于基于UE中的计时器在UE中建立最新Kausf的过程。
以下说明该实施例的详细处理。
0.将UE成功地注册到PLMN,并且在UE和网络中创建Kausf。也就是说,UE和网络分别具有(或维持或保持或存储)Kausf。如果UE尚未注册到任何PLMN,则UE没有任何有效的Kausf。
1.网络(例如,AMF)发起基于5G AKA的主认证和密钥协商过程或基于EAP的主认证和密钥协商过程,并向UE发送认证请求消息。AUSF存储在认证过程期间从UDM接收到的新Kausf以及(步骤0中创建的)旧Kausf。
2.如非专利文献6中所规定的,UE验证在认证请求消息中接收到的AUTN参数。在AUTN参数的验证成功之后,如非专利文献5中所规定的,UE基于在认证请求消息中接收到的参数以及USIM参数来计算(或创建或生成)新Kausf(或新Kausf参数)。UE将具有(步骤0中创建的)旧Kausf和(该步骤中创建的)新Kausf这两者。
3.UE向网络传输包含RES*的认证响应消息。
4.UE启动计时器T1并存储旧Kausf和新Kausf这两者。在计时器T1正在运行时,UE可以将旧Kausf视为最新Kausf并将旧Kausf用在涉及Kausf的安全机制中,或者UE可以将新Kausf视为最新Kausf并将新Kausf用在涉及Kausf的安全机制中。例如,在UE发送包含RES*的认证响应消息的同时或者在UE发送包含RES*的认证响应消息之后,UE启动计时器T1。也就是说,启动计时器T1的原因是包含RES*的认证响应消息的传输。
5.对于基于5G AKA的主认证和密钥协商过程,在接收到包含RES*的认证响应消息时,如非专利文献5中所规定的,AMF和AUSF分别验证HRES*和RES*。在HRES*和RES*的验证成功之后,AMF和AUSF将Kausf视为成功并且AUSF将开始使用在AUSF中创建的新Kausf。在这种情况下,情况1(即,步骤6a)在步骤5之后发生。
当在AMF或AUSF中HRES*或RES*验证失败时,AMF发送注册拒绝消息。AUSF将旧Kausf视为最新且有效的Kausf,并用在涉及Kausf的安全机制中。在这种情况下,情况2(即,步骤6b和步骤7b)在步骤5之后发生。
对于基于EAP的主认证和密钥协商过程,情况3(即,步骤6c和步骤7c)在步骤5之后发生。
6a.在UE没有接收到认证拒绝消息并且计时器T1到期时,UE应认为基于5G AKA的主认证和密钥协商过程成功,并且删除旧Kausf并将新Kausf作为最新有效的Kausf,并将新Kausf用在涉及Kausf的安全机制中。
6b.在计时器T1正在运行时,UE从AMF接收到认证拒绝消息。
7b.UE停止计时器T1,并且UE应删除新Kausf并使用旧Kausf,并将旧Kausf视为最新且有效的Kausf。
6c.在计时器T1正在运行时,UE从AMF接收到NAS消息。NAS消息包括EAP成功或EAP失败。
7c.UE停止计时器T1。如果在步骤6c中接收到EAP成功,则UE应删除旧Kausf并使用新Kausf,并将新Kausf视为最新且有效的Kausf。如果在步骤6c中接收到EAP失败,则UE应删除新Kausf并使用旧Kausf,并将旧Kausf视为最新且有效的Kausf。
在一个示例中,如果在计时器T1正在运行时在任何步骤中发生无线链路失败并且由UE检测到无线链路失败(例如,NG-RAN向UE指示在建立下一N1NAS信令连接期间或者在建立下一N1 NAS信令连接之后、UE无线电接触丢失),则在建立了N1 NAS信令连接时,UE应重新启动计时器T1。计时器T1以剩余值或以原始值启动。在这种情况下,在建立N1 NAS信令连接时,如果由于认证过程失败的原因而拒绝初始NAS过程(例如,具有原因#3(非法UE)的注册拒绝或具有原因#3非法UE的服务拒绝),则UE应删除新Kausf,并将旧Kausf视为最新且有效的Kausf,并将旧Kausf用在后续的涉及Kausf的安全机制中。
在一个示例中,如果紧接在网络(例如,AMF)发送认证拒绝消息之后发生无线链路失败并且该网络检测到无线链路失败,则网络可以再次向UE发送认证拒绝消息。例如,NG-RAN通过NGAP消息向AMF指示UE无线电接触丢失。
在一个示例中,UE可以不保留(或不维持或不保持或不存储或不具有)旧Kausf。例如,在UE第一次刚通电时或者在UE发起初始注册过程之前,UE可以不保留旧Kausf。
在这种情况下,本实施例中的旧Kausf变为有效的所有情形都意味着UE没有有效的Kausf。例如,本实施例中的“UE应删除新Kausf,并将旧Kausf视为最新且有效的Kausf,并将旧Kausf用在后续的涉及Kausf的安全机制中”意味着“UE应删除新Kausf并且UE没有有效的Kausf”。在这种情况下,UE可以在删除新Kausf之后发起注册过程。例如,本实施例中的“(UE应)删除旧Kausf并将新Kausf作为最新有效的Kausf并将新Kausf用在涉及Kausf的安全机制中”意味着“(UE应)将新Kausf作为最新有效的Kausf并将新Kausf用在涉及Kausf的安全机制中”。
<第一实施例的变形例:>
在计时器T1正在运行时,UE维持旧Kausf和新Kausf,并将它们视为最新且有效的Kausf。UE应将旧Kausf和新Kausf用在涉及Kausf的安全机制中。如果使用这些密钥其中之一通过了安全机制,则UE应将该密钥视为最新且有效,并删除其他密钥。例如,如果使用旧Kausf通过了安全机制,则UE应将旧Kausf视为最新且有效,并删除新Kausf。另外,例如,如果使用新Kausf通过了安全机制,则UE应将新Kausf视为最新且有效,并删除旧Kausf。
<第二示例实施例(解决方案2)>
在AMF中认证过程成功之后,AMF发送认证结果。
本实施例适用于基于5G AKA的主认证和密钥协商过程。
图6示出用于利用显式NAS信令在UE和网络中建立最新Kausf的过程。
以下说明本实施例的详细处理。UE和AUSF分别具有(或维持或保持或存储)旧Kausf。
1.对于作为对基于5G AKA的主认证和密钥协商过程的触发的注册过程,UE发送包含第一信息元素(IE)的注册请求消息,该第一IE向网络指示UE支持由网络在认证过程成功时发送的确认消息(例如,认证结果)的接收。该能力的发送在注册请求消息中是可选的,即该能力也可以在其他现有NAS消息(例如,认证响应)中发送,或者可以在任何NAS过程期间在新NAS消息中发送。注册过程可以是初始注册过程或者周期性注册或移动性注册过程。网络(例如,AMF)存储该UE能力。
2.AMF向AUSF/UDM发送UE认证和授权请求,以发起基于5G AKA的主认证和密钥协商过程。
3.UDM生成AV(认证向量)。然后在AUSF中创建新Kausf。此时AUSF维持旧Kausf和新Kausf这两者。
4.AUSF/UDM向AMF发送UE认证和授权响应。
5.AMF向UE发送认证请求消息。认证请求消息可以包含用以在基于5G AKA的主认证和密钥协商过程成功完成时发送NAS确认消息的网络能力。UE在其接收到认证请求消息时存储该能力。该能力的发送在认证请求消息中是可选的,即该能力也可以在其他现有NAS消息(例如,注册接受)中发送,或可以在任何NAS过程期间在新NAS消息中发送。例如,如果UE向AMF指示了其支持由网络在基于5G AKA的主认证和密钥协商过程成功时发送的NAS确认消息的接收,则AMF向UE发送认证请求消息。
6.在接收到认证请求消息时,如非专利文献6中所规定的,UE验证AUTN。在AUTN的验证成功之后,UE计算(或创建或生成)新Kausf和RES*。UE存储旧Kausf(在该步骤之前创建的最新Kausf)和新Kausf这两者。UE仍将旧Kausf作为最新且有效的Kausf用在任何涉及Kausf的安全过程中。
如果网络先前指示其支持在认证过程成功时确认消息(例如,认证结果)的发送,则UE等待NAS确认消息,并且在任何后续的涉及Kausf的安全过程中不使用新Kausf,直到指示认证过程成功的NAS确认消息到来为止。
7.UE向AMF发送包含RES*的认证响应消息。
8.AMF进行HRES*和HXRES*比较。
9.当在AMF处HRES*的验证成功时,AMF向AUSF/UDM发送UE认证和授权请求。
10.AUSF进行RES*和XRES*比较。
11.在AUSF处RES*的验证成功时,AUSF将新Kausf视为有效并删除旧Kausf。AUSF开始将新Kausf作为最新且有效的Kausf用在后续的涉及Kausf的安全过程中。
12.AUSF/UDM向AMF发送UE认证和授权响应。
13.如果UE向AMF指示了其支持由网络在基于5G AKA的主认证和密钥协商过程成功时发送的NAS确认消息的接收,则AMF发送现有NAS消息或指示基于5G AKA的主认证和密钥协商过程成功的新NAS消息,否则AMF不发送指示基于5G AKA的主认证和密钥协商过程成功的NAS确认消息。例如,AMF向UE发送指示基于5G AKA的主认证和密钥协商过程成功的认证结果。
14.在接收到NAS确认消息时,UE删除旧Kausf,并开始将新Kausf作为最新且有效的Kausf用在涉及Kausf的安全过程中。
在一个示例中,UE可以不保留(或不维持或不保持或不存储或不具有)旧Kausf。例如,在UE第一次刚通电时或者在UE发起初始注册过程之前,UE可以不保留旧Kausf。
例如,本实施例中的“UE删除旧Kausf并且开始将新Kausf作为最新且有效的Kausf用在涉及Kausf的安全过程中”意味着“UE开始将新Kausf作为最新且有效的Kausf用在涉及Kausf的安全过程中”。
<第二实施例的变形例1>
在步骤14之后,UE可以向AMF发送认证确认消息,以向AMF指示UE认证过程成功。在AMF接收到来自UE的认证确认消息时,AMF确认出UE认证过程成功,并且AMF向AUSF/UDM发送UE认证和授权通知以指示UE认证过程成功。在AUSF/UDM接收到指示UE认证过程成功的UE认证和授权通知时,AUSF将新Kausf视为有效并删除旧Kausf。AUSF开始将新Kausf作为最新Kausf且作为有效用在后续的涉及Kausf的安全过程中。在该变形例中,在AUSF中步骤11不发生,即,在步骤11中,AUSF不将新Kausf视为有效。
在一个示例中,当在步骤13中AMF发送现有NAS消息或新NAS消息时,AMF启动计时器T3以等待来自UE的认证确认消息。如果计时器T3到期,则如步骤13所指示的,AMF可以重新发送现有NAS消息或指示基于5G AKA的主认证和密钥协商过程成功的新NAS消息。
在一个示例中,UE和网络在不交换和检查用于接收认证结果或发送认证结果消息的能力的情况下,执行第二实施例中定义的步骤。
<第二实施例的变形例2:>
如果UE具有紧急服务的PDU会话或建立了紧急服务的PDU会话、并且UE在发送认证响应消息之后接收到具有空加密和空密码算法(NIA0和NEA0)的安全模式命令消息,则UE不应将在认证过程期间创建的Kausf作为最新,即UE不应将Kausf用在任何涉及Kausf的安全过程中。UE可以删除Kausf。在一个示例中,在与紧急服务相关的PDU会话被释放/去激活或者UE进入5GMM DEREGISTERED(5GMM注销)状态之后,UE删除Kausf。
在一个示例中,如果认证结果指示认证过程失败并且UE接收到安全模式命令消息,则UE应将在最近一次认证过程中创建的Kausf变为无效。如果UE具有在安全过程中正在使用的旧Kausf,则UE应保持将该Kausf用在安全过程中。该过程可应用于5G AKA和EAP AKA这两者或者5GS中所使用的其他认证方法。
<第三示例实施例(解决方案3):>
UE发起用以建立最新Kausf的过程。
本实施例适用于基于5G AKA的主认证和密钥协商过程和基于EAP的主认证和密钥协商过程这两者。
图7示出用于在UE和网络中创建最新Kausf的过程。
以下说明实施例的详细处理。
0.将UE成功地注册到PLMN,并且在UE和网络中创建Kausf。也就是说,UE和网络分别具有(或维持或保持或存储)Kausf。如果UE尚未注册到任何PLMN,则UE没有任何有效的Kausf。
1.网络(例如,AMF)发起基于5G AKA的主认证和密钥协商过程或基于EAP的主认证和密钥协商过程,并向UE发送认证请求消息。AUSF存储在认证过程期间从UDM接收到的新Kausf以及(步骤0中创建的)旧Kausf。在UE在基于5G AKA的主认证和密钥协商过程以及基于EAP的主认证和密钥协商过程期间检测到无线链路失败的情况下,在步骤7中,认证请求消息可以包含用以接收第一NAS消息的网络能力。UE在其接收到认证请求消息时存储该能力。该能力的发送在认证请求消息中是可选的,即,该能力也可以在其他现有NAS消息(例如,注册接受)中发送,或者可以在任何NAS过程中在新NAS消息中发送。
2.如非专利文献6中所规定的,UE验证在认证请求消息中接收到的AUTN参数。在AUTN参数的验证成功之后,如非专利文献5中所规定的,UE基于在认证请求消息中接收到的参数以及USIM参数来计算(或创建或生成)新Kausf(或新Kausf参数)。UE将具有(步骤0中创建的)旧Kausf和该步骤中创建的新Kausf这两者。
3.UE向网络传输包含RES*的认证响应消息。
4.UE存储旧Kausf和步骤2中创建的新Kausf这两者。
5.网络基于UDM所进行的选择来进行基于5G AKA的主认证和密钥协商过程或基于EAP的主认证和密钥协商过程。
6.对于基于5G AKA的主认证和密钥协商过程,在接收到包含RES*的认证响应消息时,如非专利文献5中所规定的,AMF和AUSF分别验证HRES*和RES*。在HRES*和RES*的验证成功之后,AMF和AUSF将Kausf视为成功,并且AUSF将开始使用在AUSF中创建的新Kausf。在这种情况下,AMF向UE发送指示基于5G AKA的主认证和密钥协商过程成功的认证结果消息。当在AMF或AUSF中HRES*或RES*验证失败时,AMF向UE发送注册拒绝消息。
对于基于EAP的主认证和密钥协商过程,AMF向UE发送NAS消息。注意,在基于EAP的主认证和密钥协商过程期间,AMF可以向UE发送多个NAS消息。
在该步骤中,由于网络和UE之间的无线链路失败,认证结果消息或认证拒绝消息或NAS消息可能丢失。
7.在UE在基于5G AKA的主认证和密钥协商过程或基于EAP的主认证和密钥协商过程中检测到无线链路失败的情况下,UE在建立下一N1 NAS信令连接期间向AMF发送第一NAS消息。例如,当UE发送认证响应时UE启动计时器,并且当在步骤6中UE没有接收到认证结果消息或认证拒绝消息或NAS消息并且计时器到期时,UE检测到无线链路失败。
例如,NG-RAN可以在建立下一N1 NAS信令连接期间向AMF发送第一NAS消息之前向UE指示发生了无线链路失败。第一NAS消息可以是新NAS消息或现有NAS消息(例如,在发起注册过程时为注册请求消息或者在发起服务请求过程时为服务请求消息)。第一NAS消息包括如下的信息元素(IE),该IE向AMF指示UE没有完成基于5G AKA的主认证和密钥协商过程或基于EAP的主认证和密钥协商过程,即,如果发生了基于5G AKA的主认证和密钥协商过程,则尚未接收到认证结果消息或认证拒绝消息。如果发生了基于EAP的主认证和密钥协商过程,则尚未接收到携带基于EAP的主认证和密钥协商过程所用的下一EAP消息的NAS消息。UE还可以将ngKSI(5G中的密钥集标识符)包括在第一NAS消息中。在接收到第一NAS消息时,AMF进行情况1(步骤8a)或情况2(步骤8b)。
在步骤4之后,在发生N1 NAS信令连接建立过程的情况下,如果UE接收到包含与同新Kausf相关联的ngKSI一致的ngKSI的安全模式命令消息,则UE应删除旧Kausf并将新Kausf作为最新且有效的Kausf,并且开始使用最新Kausf。UE可以作出这一决定,因为从AMF接收到的安全模式命令消息中的ngKSI可以是AMF维持新Kausf作为最新且有效的Kausf的证据。
8a.AMF发起新认证过程。在认证过程成功完成时,UE和AUSF开始使用在认证过程期间创建的最新Kausf。
8b.AMF向UE发送第二NAS消息。第二NAS消息可以是步骤6中的消息(即,包含EAP消息的认证结果消息、认证拒绝消息或NAS消息)。第二NAS消息可以是包含最近一次执行的基于EAP的主认证和密钥协商过程的结果的DL NAS传输消息、注册接受消息或服务接受消息。如果在步骤7中从UE接收到ngKSI,则AMF发送与接收到的ngKSI相对应的基于EAP的主认证和密钥协商过程的结果。
9.对于基于5G AKA的主认证和密钥协商过程,在UE接收到认证结果消息作为第二NAS消息时,UE删除旧Kausf,并将新Kausf作为最新且有效的Kausf,并且开始将新Kausf用在后续的涉及Kausf的安全过程中。在UE接收到认证拒绝消息作为第二NAS消息时,UE删除新Kausf,并保持将旧Kausf作为最新且有效的Kausf用在涉及Kausf的安全过程中。
对于基于EAP的主认证和密钥协商过程,当UE接收到包含认证结果(EAP消息)的第二NAS消息时,如果EAP认证结果包含EAP失败消息,则UE删除新Kausf,并保持将旧Kausf作为最新且有效的Kausf用在涉及Kausf的安全过程中。如果认证结果包括EAP成功,则UE删除旧Kausf并将新Kausf作为最新且有效的Kausf,并且开始将新Kausf用在后续的涉及Kausf的安全过程中。如果第二消息包含ngKSI,则UE使用接收到的ngKSI来在UE中查找关联的Kausf。UE将所找到的Kausf作为最新且有效的Kausf用在后续的涉及Kausf的安全过程中。
在一个示例中,UE可以不保留(或不维持或不保持或不存储或不具有)旧Kausf。例如,在UE第一次刚通电时或者在UE发起初始注册过程之前,UE可以不保留旧Kausf。
在这种情况下,本实施例中的旧Kausf变为有效的所有情形都意味着UE没有有效的Kausf。例如,本实施例中的“UE删除新Kausf并保持将旧Kausf作为最新且有效的Kausf用在涉及Kausf的安全过程中”意味着“UE删除新Kausf并且UE没有有效的Kausf”。在这种情况下,UE可以在删除新Kausf之后发起注册过程。例如,本实施例中的“UE应删除旧Kausf并将新Kausf作为最新且有效的Kausf并且开始使用最新Kausf”意味着“UE应将新Kausf作为最新且有效的Kausf并开始使用最新Kausf”。
<第三实施例的变形例1>
在本实施例的步骤7中,UE包括UE维持的Kausf的列表(例如,旧Kausf或新Kausf)。AMF验证AUSF正在使用列表中的哪个Kausf。然后,AMF将AUSF正在使用的匹配Kausf在第二NAS消息中返回到UE。UE应将接收到的Kausf作为最新且有效的Kausf,并且开始将该Kausf用在后续的需要Kausf的安全机制中。在一个示例中,UE不包括Kausf的列表,然后AMF从AUSF提取最新Kausf并将该Kausf在第二NAS消息中发送到UE。
在一个示例中,UE和AMF或AUSF维持Kausf和ngKSI之间的关联。在步骤7中,UE发送与UE在第一NAS消息中维持的Kausf相关联的ngKSI的列表。网络(AMF或AUSF)将接收到的ngKSI与最新Kausf的ngKSI匹配。AMF将AUSF正在使用的匹配ngKSI返回到UE。UE应将与接收到的ngKSI相关联的Kausf作为最新且有效的Kausf,并且开始将该Kausf用在需要Kausf的安全过程中。
如果在第一NAS消息中没有发送ngKSI列表,则AMF应在第二NAS消息中发送AUSF正在使用的最新Kausf的ngKSI。在接收到第二NAS消息时,UE应使与ngKSI相对应的Kausf作为最新且有效的Kausf。
<第三实施例的变形例2>
在本实施例中,UE所检测到的无线链路失败可被视为向AMF发送第一NAS消息的触发。
作为该触发的变形例,当UE向AMF发送认证响应消息时,如实施例1中所述,UE可以启动计时器T1。如果计时器T1到期,则UE可以将该计时器到期视为向AMF发送第一NAS消息的触发。因此,当计时器T1到期时,UE将第一NAS消息发送到AMF。
当UE接收到第二消息时,UE停止计时器T1。
<第四示例实施例(解决方案4)>
本实施例适用于基于5G AKA的主认证和密钥协商过程以及基于EAP的主认证和密钥协商过程这两者。
在第一实施例、第二实施例和第三实施例中,在UE具有多于一个Kausf时、UE在注册接受消息或配置更新命令消息中接收到漫游引导信息的情况下,UE应使用各Kausf进行漫游引导的安全检查。如果使用Kausf通过了安全检查,则UE应将该Kausf作为最新且有效的Kausf,并且开始将该Kausf用在后续的需要Kausf的安全过程中。UE将对UE参数更新过程的情况应用相同的处理。例如,在UE进行安全过程或安全机制(例如,漫游引导或UE参数更新过程)的安全检查并且UE具有两个Kausf(例如,旧Kausf和新Kausf)的情况下,如果使用旧Kausf通过了(或成功完成了)安全检查,则UE应将旧Kausf作为最新且有效的Kausf,并开始将旧Kausf用在后续的需要Kausf的安全过程中,并且可以删除新Kausf。另外,在UE进行安全检查并且UE具有两个Kausf(例如,旧Kausf和新Kausf)的情况下,如果使用新Kausf通过了安全检查,则UE应将新Kausf作为最新且有效的Kausf,并开始将新Kausf用在后续的需要Kausf的安全过程中,并且可以删除旧Kausf。
此外,例如,在UE进行安全检查并且UE具有两个Kausf的情况下,首先UE可以使用这两个Kausf中的一个Kausf来进行安全检查。如果使用该一个Kausf通过了安全检查,则UE应将该一个Kausf作为最新且有效的Kausf,并开始将该一个Kausf用在后续的需要Kausf的安全过程中,并且可以删除另一Kausf。如果使用该一个Kausf没有通过安全检查,则UE可以使用两个Kausf中的另一Kausf来进行安全检查。如果使用该另一Kausf通过了安全检查,则UE应将该另一Kausf作为最新且有效的Kausf,并开始将将该另一Kausf用在后续的需要Kausf的安全过程中,并且可以删除该一个Kausf。
在一个示例中,UE可以不保留(或不维持或不保持或不存储或不具有)旧Kausf。例如,在UE第一次刚通电时或者在UE发起初始注册过程之前,UE可以不保留旧Kausf。
在这种情况下,如果在UE具有一个Kausf并且UE没有接收到认证结果消息时、UE在注册接受消息或配置更新命令消息中接收到漫游引导信息,则UE应使用Kausf进行漫游引导的安全检查。如果使用该Kausf通过了安全检查,则UE应将该Kausf作为最新且有效的Kausf,并开始将该Kausf用在后续的需要Kausf的安全过程中。
<第五示例实施例(解决方案5)>
在当AMF正在等待验证响应消息时在AMF中检测到无线链路失败的情况下,重新发送验证请求消息。
本实施例适用于基于5G AKA的主认证和密钥协商过程和基于EAP的主认证和密钥协商过程这两者。
图8示出用于在UE和网络中创建最新Kausf的过程。
以下说明实施例的详细处理。UE和AUSF分别具有(或维持或保持或存储)旧Kausf。
1.对于作为对UE认证过程的触发的注册过程,UE发送包含第一信息元素(IE)的注册请求消息,该第一IE向网络指示UE支持由网络在UE认证过程期间发送的认证相关消息(例如,认证结果、认证拒绝、DL NAS传输消息)的重复接收。该能力的发送在注册请求消息中是可选的,即,该能力也可以在其他现有NAS消息中发送,或者可以在任何NAS过程期间在新NAS消息中发送。注册过程可以是初始注册过程或者周期性注册或移动性注册过程。网络(例如,AMF)存储该UE能力。
2.AMF向AUSF/UDM发送UE认证和授权请求以发起基于5G AKA的主认证和密钥协商过程或基于EAP的主认证和密钥协商过程。
3.UDM生成AV。然后,在AUSF中创建新Kausf。此时AUSF维持旧Kausf和新Kausf这两者。
4.AUSF/UDM向AMF发送UE认证和授权响应。
5.AMF向UE发送认证请求消息。如果在UE和AMF之间认证相关消息丢失,则认证请求消息可以包含用以重复发送认证相关消息(例如,认证结果、认证拒绝和DL NAS传输消息)的网络能力。UE在其接收到认证请求消息时存储该能力。该能力的发送在认证请求消息中是可选的,即,该能力也可以在其他现有NAS消息(例如,注册接受)中发送,或者可以在任何NAS过程中在新NAS消息中发送。
6.AMF启动计时器T2。例如,在AMF发送步骤5的认证请求消息的同时或者在AMF发送步骤5的认证请求消息之后,AMF启动计时器T2。也就是说,启动计时器T2的原因是步骤5的认证请求消息的传输。计时器T2可以是新计时器或现有计时器。T2可以是T3560。
7.在接收到认证请求消息时,如非专利文献6中所规定的,UE验证AUTN。在AUTN的验证成功之后,UE计算(或创建或生成)新Kausf和RES*。UE存储旧Kausf(在该步骤之前创建的最新Kausf)和新Kausf这两者。UE仍将旧Kausf作为最新且有效的Kausf用在任何涉及Kausf的安全过程中。
尽管UE进行了一次处理,但如果网络先前指示了其支持重复发送认证相关消息(例如,认证结果、认证拒绝、DL NAS传输消息),则UE应能够处理任何重复的认证相关消息。
8.UE向AMF发送包含RES*的认证响应消息。但该消息丢失并且无法到达AMF。例如,由于无线链路失败,认证响应消息丢失并且无法到达AMF。
9.在AMF处计时器T2到期。
10.在计时器T2到期时,AMF向UE发送步骤5中所发送的认证相关消息。
在一个示例中,在计时器T2正在运行时AMF检测到无线链路失败的情况下,AMF在检测到无线链路失败时停止计时器T2并立即向UE发送认证请求消息。即,AMF不等待计时器T2到期。例如,NG-RAN通过NGAP消息向AMF指示UE无线电接触丢失,并且AMF基于NGAP消息检测到无线链路失败。另外,例如,在AMF检测到无线链路失败的情况下,AMF可以保持计时器T2运行,然后在计时器T2到期的情况下,AMF将步骤5中所发送的认证相关消息发送到UE。
11.在接收到认证请求消息时,如非专利文献6中所规定的,UE验证AUTN。在AUTN的验证成功之后,UE计算(或创建或生成)新Kausf和RES*。UE存储旧Kausf(在该步骤之前创建的最新Kausf)和新Kausf这两者。UE仍将旧Kausf作为最新且有效的Kausf用在任何涉及Kausf的安全过程中。
12.UE向AMF发送包含RES*的认证响应消息。
13.网络进行UE认证过程。
14.在AMF和AUSF处HRES*和RES*的验证分别成功时,AMF向UE发送认证结果消息。
15.在接收到认证结果消息时,UE删除旧Kausf,并且开始将新Kausf作为最新且有效的Kausf用在涉及Kausf的安全过程中。
在一个示例中,UE可以不保留(或不维持或不保持或不存储或不具有)旧Kausf。例如,在UE第一次刚通电时或者在UE发起初始注册过程之前,UE可以不保留旧Kausf。
在这种情况下,例如,本实施例中的“UE删除旧的Kausf并且开始将新Kausf作为最新且有效的Kausf用在涉及Kausf的安全过程中”意味着“UE开始将新Kausf作为最新且有效的Kausf用在涉及Kausf的安全过程中”。
<实施例5的变形例>
在本实施例中,公开了由于计时器T2到期而导致AMF重复发送认证请求消息。
例如,由计时器T2到期引起的这种重复消息发送机制可用于基于EAP的主认证和密钥协商过程。由于在基于EAP的主认证和密钥协商过程期间存在在UE与AMF之间通信的多个NAS消息,因此本实施例可以使用从AMF到UE的任何认证相关NAS消息来进行NAS消息重新发送。即,在计时器T2到期时,在步骤10中可以由AMF重复发送包含步骤5中的EAP消息的任何NAS消息。
<第六示例实施例(解决方案6)>
AMF在接收到认证响应消息之前检测到无线链路失败时发起新认证过程。
本实施例适用于基于5G AKA的主认证和密钥协商过程以及基于EAP的主认证和密钥协商过程这两者。
图9示出用于在UE和网络中创建最新Kausf的过程。
以下说明实施例的详细处理。UE和AUSF分别具有(或维持或保持或存储)旧Kausf。
1.对于作为对UE认证过程的触发的注册过程,UE发送包含第一信息元素(IE)的注册请求消息,该第一IE向网络指示UE支持由网络在UE认证过程期间发送的认证相关消息(例如,认证结果、认证拒绝、DL NAS传输消息)的重复接收。该能力的发送在注册请求消息中是可选的,即,该能力也可以在其他现有NAS消息中发送,或者可以在任何NAS过程期间在新NAS消息中发送。注册过程可以是初始注册过程或者周期性注册或移动性注册过程。网络(例如,AMF)存储该UE能力。
2.AMF向AUSF/UDM发送UE认证和授权请求以发起基于5G AKA的主认证和密钥协商过程或基于EAP的主认证和密钥协商过程。
3.UDM生成AV。然后,在AUSF中创建新Kausf。此时AUSF维持旧Kausf和新Kausf这两者。
4.AUSF/UDM向AMF发送UE认证和授权响应。
5.AMF向UE发送认证请求消息。如果在UE和AMF之间认证相关消息丢失,则认证请求消息可以包含用以重复发送认证相关消息(例如,认证结果、认证拒绝和DL NAS传输消息)的网络能力。UE在其接收到认证请求消息时存储该能力。该能力的发送在认证请求消息中是可选的,即,该能力也可以在其他现有NAS消息(例如,注册接受)中发送,或者可以在任何NAS过程期间在新NAS消息中发送。
6.AMF启动计时器T2。例如,在AMF发送步骤5的认证请求消息的同时或者在AMF发送步骤5的认证请求消息之后,AMF启动计时器T2。也就是说,启动计时器T2的原因是步骤5的认证请求消息的传输。
7.在接收到认证请求消息时,如非专利文献6中所规定的,UE验证AUTN。在AUTN的验证成功之后,UE计算(或创建或生成)新Kausf和RES*。UE存储旧Kausf(在该步骤之前创建的最新Kausf)和新Kausf这两者。UE仍将旧Kausf作为最新且有效的Kausf用在任何涉及Kausf的安全过程中。
尽管UE进行了一次处理,但如果网络先前指示了其支持重复发送认证相关消息(例如,认证结果、认证拒绝、DL NAS传输消息),则UE应能够处理任何重复的认证相关消息。
8.UE向AMF发送包含RES*的认证响应消息。但该消息丢失并且无法到达AMF。例如,由于无线链路失败,认证响应消息丢失并且无法到达AMF。
9.在AMF处计时器T2到期。
10.在计时器T2到期时,AMF通过如图9的步骤2所示向AUSF/UDM发送UE认证和授权请求来开始新认证过程。在UE和网络之间的UE认证过程成功完成之后,UE和AUSF开始将在该新认证过程期间创建的Kausf用于涉及Kausf的安全过程。
在一个示例中,在计时器T2正在运行时AMF检测到无线链路失败的情况下,AMF开始新认证过程。在这种情况下,AMF停止计时器T2,并且如图9的步骤2所示立即向AUSF/UDM发送UE认证和授权请求。即,AMF不等待计时器T2到期。例如,NG-RAN通过NGAP消息向AMF指示UE无线电接触丢失,并且AMF基于NGAP消息检测到无线链路失败。另外,例如,在AMF检测到无线链路失败的情况下,AMF可以保持计时器T2运行,然后在计时器T2到期的情况下,AMF可以如图9的步骤2所示向AUSF/UDM发送认证和授权请求。
在一个示例中,UE可以不保留旧Kausf。例如,在UE第一次刚通电时或者在UE发起初始注册过程之前,UE可以不保留旧Kausf。
本实施例中的上述处理可以应用于该示例。
<用户设备(UE)>
图10是示出UE(1000)的主要组件的框图。如图所示,UE(1000)包括收发器电路(1002),该收发器电路(1002)可操作以经由一个或多于一个天线(1001)向所连接的(一个或多于一个)节点传输信号和从这些节点接收信号。尽管不一定在图10中示出,但UE当然将具有传统移动装置(诸如用户接口等)的所有常见功能,并且这可以适当地由硬件、软件和固件中的任一个或任何组合来提供。例如,软件可以预先安装在存储器中以及/或者可以经由电信网络或从可移除数据存储装置(RMD)下载。
控制器(1004)根据存储器(1005)中所存储的软件来控制UE的操作。该软件包括操作系统和至少具有收发器控制模块的通信控制模块等。通信控制模块(使用其收发器控制子模块)负责处理(生成/发送/接收)UE与其他节点(诸如基站/(R)AN节点、MME、AMF(和其他核心网节点))之间的信令和上行链路/下行链路数据包。这种信令例如可以包括与连接建立和维持有关的适当格式化的信令消息(例如,RRC连接建立和其他RRC消息)、周期性位置更新相关消息(例如,跟踪区更新、寻呼区更新、位置区更新)等。这种信令例如还可以包括接收情况中的广播信息(例如,主信息和系统信息)。
<(R)AN节点>
图11是示出示例性(R)AN节点(1100)(例如,基站(LTE中的“eNB”、5G中的“gNB”))的主要组件的框图。如图所示,(R)AN节点包括收发器电路(1102),该收发器电路(1102)可操作以经由一个或多于一个天线(1101)向所连接的(一个或多于一个)UE传输信号和从这些UE接收信号,并且经由网络接口(1103)(直接地或间接地)向其他网络节点传输信号和从这些其他网络节点接收信号。控制器(1104)根据存储器(1105)中所存储的软件来控制(R)AN节点的操作。例如,软件可以预先安装在存储器中和/或可以经由电信网络或从可移除数据存储装置(RMD)下载。该软件包括操作系统和至少具有收发器控制模块的通信控制模块等。
通信控制模块(使用其收发器控制子模块)负责(例如,直接地或间接地)处理(生成/发送/接收)(R)AN节点与其他节点(诸如UE、MME、AMF等)之间的信令。信令例如可以包括与(针对特定UE的)无线电连接和位置过程有关并且特别是与连接建立和维持有关的适当格式化的信令消息(例如,RRC连接建立和其他RRC消息)、周期性位置更新相关消息(例如,跟踪区更新、寻呼区更新、位置区更新)、S1 AP消息和NG AP消息(即,通过N2参考点的消息)等。这种信令例如还可以包括发送情况中的广播信息(例如,主信息和系统信息)。
控制器还(通过软件或硬件)被配置为处理相关任务,诸如在被实现时处理UE移动性估计和/或移动轨迹估计等。
<AMF>
图12是示出AMF(1200)的主要组件的框图。AMF包括在5GC(5G核心网)中。如图所示,AMF(1200)包括收发器电路(1201),该收发器电路(1201)可操作以经由网络接口(1204)向(包括UE的)其他节点传输信号和从这些其他节点接收信号。控制器(1202)根据存储器(1203)中所存储的软件来控制AMF(1200)的操作。例如,软件可以预先安装在存储器(1203)中和/或可以经由电信网络或从可移除数据存储装置(RMD)下载。该软件包括操作系统和至少具有收发器控制模块的通信控制模块等。
通信控制模块(使用其收发器控制子模块)负责(直接地或间接地)处理(生成/发送/接收)AMF与其他节点(诸如UE、基站/(R)AN节点(例如,“gNB”或“eNB”))之间的信令。这种信令例如可以包括与本文所述的过程有关的适当格式化的信令消息,例如,用以相对于UE传送NAS消息的NG AP消息(即,通过N2参考点的消息)等。
本发明中的用户设备(或“UE”、“移动站”、“移动装置”或“无线装置”)是经由无线接口连接到网络的实体。应当注意,本说明书中的UE不限于专用通信装置,并且如以下段落中所解释的,可以应用于具有作为本说明书中所述的UE的通信功能的任何装置。
术语“用户设备”或“UE”(如3GPP所使用的术语)、“移动站”、“移动装置”和“无线装置”通常旨在彼此同义,并且包括独立移动站,诸如终端、手机、智能电话、平板电脑、蜂窝IoT装置、IoT装置和机器等。应当理解,术语“UE”和“无线装置”还涵盖长时间段内保持静止的装置。
UE可以例如是一种用于生产或制造的设备和/或能量相关的机械(例如,诸如以下等的设备或机械:锅炉;发动机;涡轮机;太阳能电池板;风力涡轮机;水力发电机;热力发电机;核电发电机;电池;核系统和/或相关设备;重型电气机械;包括真空泵的泵;压缩机;风扇;鼓风机;油压设备;气动设备;金属加工机械;机械手;机器人和/或其应用系统;工具;注塑成型模具或压铸模具;卷轴;输送设备;升降设备;材料处理设备;纺织机械;缝纫机;印刷和/或相关机械;纸张加工机械;化学机械;采矿和/或施工机械和/或相关设备;用于农业、林业和/或渔业的机械和/或机具;安全和/或环境保护设备;拖拉机;精密轴承;链;齿轮;动力传输设备;润滑设备;阀;管配件;和/或任何前述设备或机械的应用系统;等等)。UE例如可以是一种运输设备(例如,诸如以下等的运输设备:机车车辆;机动运载工具;摩托车;自行车;火车;公共汽车;推车;人力车;船舶和其他水运工具;飞机;火箭;卫星;无人机;气球;等等)。
UE可以例如是一种信息和通信设备(例如,诸如以下等的信息和通信设备:电子计算机和相关设备;通信和相关设备;电子组件;等等)。UE可以例如是制冷机、制冷机应用产品、一种贸易和/或服务行业设备、自动售货机、自动服务机、办公机器或设备、消费电子和电子设备(例如,诸如以下等的消费电子设备:音频设备;视频设备;扬声器;收音机;电视;微波炉;电饭锅;咖啡机;洗碗机;洗衣机;烘干机;电子风扇或相关设备;吸尘器;等等)。
UE例如可以是电气应用系统或设备(例如,诸如以下等的电气应用系统或设备:x射线系统;粒子加速器;放射性同位素设备;声波设备;电磁应用设备;电子电力应用设备;等等)。
UE例如可以是电子灯、灯具、测量仪器、分析器、测试仪或测量或感测仪器(例如,诸如以下等的测量或感测仪器:烟雾报警器;人体报警传感器;运动传感器;无线标签;等等)、手表或时钟、实验室仪器、光学设备、医疗设备和/或系统、武器、餐具、手工具、或类似物。
UE例如可以是无线装备的个人数字助理或相关设备(诸如被设计成附接到或插入到另一电子装置(例如个人计算机、电气测量机器)的无线卡或模块等)。
UE可以是使用各种有线和/或无线通信技术提供下文描述的关于“物联网(IoT)”的应用、服务和解决方案的装置或系统的一部分。物联网装置(或“物”)可以装备有适当的电子器件、软件、传感器、网络连接和/或类似物,其使得这些装置能够收集并彼此交换数据以及与其他通信装置交换数据。IoT装置可以包括遵循存储在内部存储器中的软件指令的自动化设备。IoT装置可以在不需要人类监督或交互的情况下操作。IoT装置也可以长时间保持静止和/或非活动。IoT装置可以实现为(通常)固定设备的一部分。IoT装置也可以嵌入在非静止的设备(例如运载工具)中,或者附接到要监测/跟踪的动物或人。
应当理解,IoT技术可以在可以连接到用于发送/接收数据的通信网络的任何通信装置上实现,而不管这种通信装置是由人类输入控制还是由存储在存储器中的软件指令控制。
应当理解,IoT装置有时也被称为机器类型通信(MTC)装置或机器到机器(M2M)通信装置或窄带IoT UE(NB-IoT UE)。应当理解,UE可以支持一个或多于一个IoT或MTC应用。MTC应用的一些示例在表1(来源:3GPP TS22.368,附录B,其内容通过引用而被并入本文)中列出。该列表并非详尽无遗,并且旨在指示机器类型通信应用的一些示例。
表1:机器类型通信应用的一些示例
Figure BDA0004100036080000281
Figure BDA0004100036080000291
应用、服务和解决方案可以是MVNO(移动虚拟网络运营商)服务、紧急无线电通信系统、PBX(专用交换分机)系统、PHS/数字无绳电信系统、POS(销售点)系统、广告呼叫系统、MBMS(多媒体广播和多播服务)、V2X(运载工具到万物)系统、火车无线电系统、位置相关服务、灾难/紧急无线通信服务、社区服务、视频流服务、毫微微小区应用服务、VoLTE(LTE上的语音)服务、计费服务、无线电点播服务、漫游服务、活动监视服务、电信承载商/通信NW选择服务、功能限制服务、PoC(概念证明)服务、个人信息管理服务、ad-hoc网络/DTN(延迟容忍网络)服务等。
此外,上述UE类别仅仅是本文件中描述的技术思想和示例性实施例的应用的示例。不用说,这些技术思想和实施例不限于上述UE,并且可以对其进行各种修改。
尽管已经参考本发明的典型实施例特别示出和描述了本发明,但本发明不限于这些实施例。本领域普通技术人员将理解,在没有背离如本文所定义的本发明的精神和范围的情况下,可以对本发明进行形式和细节的各种改变。例如,上述实施例不限于5GS,并且实施例也可应用于除5GS以外的通信系统。
以上公开的示例实施例的全部或一部分可以被描述为但不限于以下的补充说明。
补充说明1.
一种用户设备即UE的方法,所述UE用于存储第一密钥,所述方法包括:
计算第二密钥;
发送认证响应消息;
基于发送所述认证响应消息而启动计时器;
在所述UE没有接收到认证拒绝消息并且所述计时器到期的情况下,删除所述第一密钥;
在所述UE没有接收到认证拒绝消息并且所述计时器到期的情况下,使所述第二密钥有效;
在所述计时器正在运行时所述UE接收到所述认证拒绝消息的情况下,删除所述第二密钥;以及
在所述计时器正在运行时所述UE接收到所述认证拒绝消息的情况下,使所述第一密钥有效。
补充说明2.
根据补充说明1所述的方法,还包括:
在所述计时器正在运行并且进行预定处理的情况下,将所述第一密钥和所述第二密钥用于所述预定处理。
补充说明3.
根据补充说明2所述的方法,还包括:
在通过使用所述第二密钥通过了所述预定处理的安全检查的情况下,删除所述第一密钥;
在通过使用所述第二密钥通过了所述安全检查的情况下,使所述第二密钥有效;
在通过使用所述第一密钥通过了所述安全检查的情况下,删除所述第二密钥;以及
在通过使用所述第一密钥通过了所述安全检查的情况下,使所述第一密钥有效。
补充说明4.
一种用户设备即UE的方法,所述方法包括:
向网络设备发送第一信息,所述第一信息指示所述UE支持接收消息;
计算第一密钥;
从所述网络设备接收第二信息,其中所述第二信息指示所述网络设备支持发送所述消息;
计算第二密钥;
发送认证响应消息;
在所述UE支持接收所述消息的情况下,接收所述消息;
在接收到所述消息的情况下,删除所述第一密钥;以及
在接收到所述消息的情况下,使所述第二密钥有效。
补充说明5.
一种网络设备的方法,所述方法包括:
从用户设备即UE接收第一信息,其中所述第一信息指示所述UE支持接收消息;
向所述UE发送第二信息,其中所述第二信息指示所述网络设备支持发送所述消息;
接收认证响应消息;以及
在所述UE支持接收所述消息的情况下,发送所述消息以指示密钥的有效性。
补充说明6.
一种用户设备即UE,用于存储第一密钥,所述UE包括:
用于计算第二密钥的部件;
用于发送认证响应消息的部件;
用于基于发送所述认证响应消息而启动计时器的部件;
用于在所述UE没有接收到认证拒绝消息并且所述计时器到期的情况下、删除所述第一密钥的部件;
用于在所述UE没有接收到认证拒绝消息并且所述计时器到期的情况下、使所述第二密钥有效的部件;
用于在所述计时器正在运行时所述UE接收到所述认证拒绝消息的情况下、删除所述第二密钥的部件;以及
用于在所述计时器正在运行时所述UE接收到所述认证拒绝消息的情况下、使所述第一密钥有效的部件。
补充说明7.
根据补充说明6所述的UE,还包括:
用于在所述计时器正在运行并且进行预定处理的情况下、将所述第一密钥和所述第二密钥用于所述预定处理的部件。
补充说明8.
根据补充说明7所述的UE,还包括:
用于在通过使用所述第二密钥通过了所述预定处理的安全检查的情况下、删除所述第一密钥的部件;
用于在通过使用所述第二密钥通过了所述安全检查的情况下、使所述第二密钥有效的部件;
用于在通过使用所述第一密钥通过了所述安全检查的情况下、删除所述第二密钥的部件;以及
用于在通过使用所述第一密钥通过了所述安全检查的情况下、使所述第一密钥有效的部件。
补充说明9.
一种用户设备即UE,所述UE包括:
用于向网络设备发送第一信息的部件,其中所述第一信息指示所述UE支持接收消息;
用于计算第一密钥的部件;
用于从所述网络设备接收第二信息的部件,其中所述第二信息指示所述网络设备支持发送所述消息;
用于计算第二密钥的部件;
用于发送认证响应消息的部件;
用于在所述UE支持接收所述消息的情况下、接收所述消息的部件;
用于在接收到所述消息的情况下、删除所述第一密钥的部件;以及
用于在接收到所述消息的情况下、使所述第二密钥有效的部件。
补充说明10.
一种网络设备,包括:
用于从用户设备即UE接收第一信息的部件,其中所述第一信息指示所述UE支持接收消息;
用于向所述UE发送第二信息的部件,其中所述第二信息指示所述网络设备支持发送所述消息;
用于接收认证响应消息的部件;以及
用于在所述UE支持接收所述消息的情况下、发送所述消息以指示密钥的有效性的部件。
补充说明11.
一种用户设备即UE的的方法,所述方法包括:
计算密钥;
发送认证响应消息;
基于发送所述认证响应消息而启动计时器;
在所述UE没有接收到认证拒绝消息并且所述计时器到期的情况下,使所述密钥有效;以及
在所述计时器正在运行时所述UE接收到所述认证拒绝消息的情况下,删除所述密钥。
补充说明12.
根据补充说明11所述的方法,还包括:
在所述计时器正在运行并且进行预定处理的情况下,将所述密钥用于所述预定处理。
补充说明13.
根据补充说明12所述的方法,还包括:
在通过使用所述密钥没有通过所述预定处理的安全检查的情况下,删除所述密钥;以及
在通过使用所述密钥通过了所述安全检查的情况下,使所述密钥有效。
补充说明14.
一种用户设备即UE的方法,所述方法包括:
向网络设备发送第一信息,其中所述第一信息指示所述UE支持接收消息;
计算密钥;
从所述网络设备接收第二信息,其中所述第二信息指示所述网络设备支持发送所述消息;
发送认证响应消息;
在所述UE支持接收所述消息的情况下,接收所述消息;以及
在接收到所述消息的情况下,使所述密钥有效。
补充说明15.
一种用户设备即UE,包括:
用于计算密钥的部件;
用于发送认证响应消息的部件;
用于基于发送所述认证响应消息而启动计时器的部件;
用于在所述UE没有接收到认证拒绝消息并且所述计时器到期的情况下、使所述密钥有效的部件;以及
用于在所述计时器正在运行时所述UE接收到所述认证拒绝消息的情况下、删除所述密钥的部件。
补充说明16.
根据补充说明15所述的UE,还包括:
用于在所述计时器正在运行并且进行预定处理的情况下、将所述密钥用于所述预定处理的部件。
补充说明17.
根据补充说明16所述的UE,还包括:
用于在通过使用所述密钥没有通过所述预定处理的安全检查的情况下、删除所述密钥的部件;以及
用于在通过使用所述密钥通过了所述安全检查的情况下、使所述密钥有效的部件。
补充说明18.
一种用户设备即UE,包括:
用于向网络设备发送第一信息的部件,其中所述第一信息指示所述UE支持接收消息;
用于计算密钥的部件;
用于从所述网络设备接收第二信息的部件,其中所述第二信息指示所述网络设备支持发送所述消息;
用于发送认证响应消息的部件;
用于在所述UE支持接收所述消息的情况下、接收所述消息的部件;以及
用于在接收到所述消息的情况下、使所述密钥有效的部件。
补充说明19.
一种用户设备即UE的方法,所述UE用于存储第一密钥,所述方法包括:
在认证过程期间计算第二密钥;
发送认证响应消息;
检测无线链路失败;
在检测到所述无线链路失败的情况下,发送用以指示所述认证过程未完成的消息;
进行所述认证过程;
在所述认证过程完成的情况下,删除所述第一密钥;以及
在所述认证过程完成的情况下,使所述第二密钥有效。
补充说明20.
一种用户设备即UE的方法,所述UE用于存储第一密钥,所述方法包括:
在认证过程期间计算第二密钥;
发送认证响应消息;
检测无线链路失败;
在检测到所述无线链路失败的情况下,发送用以指示所述认证过程未完成的第一消息;
接收用以指示所述第一密钥或所述第二密钥是否有效的第二消息;
在所述第二消息指示所述第二密钥有效的情况下,删除所述第一密钥;
在所述第二消息指示所述第二密钥有效的情况下,使所述第二密钥有效;
在所述第二消息指示所述第一密钥有效的情况下,删除所述第二密钥;以及
在所述第二消息指示所述第一密钥有效的情况下,使所述第一密钥有效。
补充说明21.
根据补充说明20所述的方法,其中,所述第一消息包括列表,其中所述列表包括所述第一密钥和所述第二密钥,
所述方法还包括:
在所述第一消息包括所述列表的情况下,接收用以指示所述第一密钥或所述第二密钥是否有效的第三消息;
在所述第三消息指示所述第二密钥有效的情况下,删除所述第一密钥;
在所述第三消息指示所述第二密钥有效的情况下,使所述第二密钥有效;
在所述第三消息指示所述第一密钥有效的情况下,删除所述第二密钥;以及
在所述第三消息指示所述第一密钥有效的情况下,使所述第一密钥有效。
补充说明22.
根据补充说明20所述的方法,其中,所述第一消息包括列表,其中所述列表包括与所述第一密钥相关的第一信息和与所述第二密钥相关的第二信息,所述方法还包括:
在所述第一消息包括所述列表的情况下,接收用以指示所述第一信息或所述第二信息的第三消息;
在所述第三消息指示所述第二信息的情况下,删除所述第一密钥;
在所述第三消息指示所述第二信息的情况下,使所述第二密钥有效;
在所述第三消息指示所述第一信息的情况下,删除所述第二密钥;以及
在所述第三消息指示所述第一信息的情况下,使所述第一密钥有效。
补充说明23.
一种用户设备即UE的方法,所述UE用于存储第一密钥,所述方法包括:
在第一认证过程期间计算第二密钥;
发送认证响应消息;
基于发送所述认证响应消息而启动计时器;
在所述计时器到期的情况下,发送用以指示所述第一认证过程未完成的第一消息;
进行第二认证过程;
在所述第二认证过程完成的情况下,删除所述第一密钥;以及
在所述第二认证过程完成的情况下,使所述第二密钥有效。
补充说明24.
一种接入和移动性管理功能即AMF的方法,所述方法包括:
进行第一认证过程;
接收用以指示所述第一认证过程未完成的消息;以及
在接收到所述消息的情况下,进行第二认证过程以指示密钥的有效性。
补充说明25.
一种接入和移动性管理功能即AMF的方法,所述方法包括:
进行认证的过程;
在所述过程期间发送用以指示密钥的有效性的第一消息;
接收用以指示所述过程未完成的第二消息;以及
在接收到所述第二消息的情况下,发送所述第一消息。
补充说明26.
一种用户设备即UE的方法,所述UE用于存储第一密钥,所述方法包括:
计算第二密钥;
进行基于所述第一密钥的第一处理;
在基于所述第一密钥的第一处理完成的情况下,使所述第一密钥有效;
在基于所述第一密钥的第一处理完成的情况下,删除所述第二密钥;
进行基于所述第二密钥的第二处理;
在基于所述第二密钥的第二处理完成的情况下,使所述第二密钥有效;以及
在基于所述第二密钥的第二处理完成的情况下,删除所述第一密钥。
补充说明27.
一种用户设备即UE的方法,所述UE用于存储第一密钥,所述方法包括:
接收第一认证请求消息;
计算第二密钥;
接收第二认证请求消息;
发送认证响应消息;
接收用以指示所述第二密钥的有效性的消息;
在接收到所述消息的情况下,使所述第二密钥有效;以及
在接收到所述消息的情况下,删除所述第一密钥。
补充说明28.
一种接入和移动性管理功能即AMF的方法,所述方法包括:
发送第一认证请求消息;
基于发送所述第一认证请求消息而启动计时器;
在所述计时器到期的情况下,发送第二认证请求消息;
接收认证响应消息;以及
发送用以指示密钥的有效性的消息。
补充说明29.
根据补充说明28所述的方法,还包括:
检测无线链路失败;以及
在所述计时器正在运行时检测到所述无线链路失败的情况下,发送所述第二认证请求消息。
补充说明30.
一种用户设备即UE的方法,所述UE用于存储第一密钥,所述方法包括:
在第一认证过程期间接收第一认证请求消息;
计算第二密钥;
进行第二认证过程;以及
在所述第二认证过程完成的情况下,使第三密钥有效,其中所述第三密钥是在所述第二认证过程中创建的。
补充说明31.
一种接入和移动性管理功能即AMF的方法,所述方法包括:
在第一认证过程期间发送认证请求消息;
基于发送所述认证请求消息而启动计时器;以及
在所述计时器到期的情况下,进行第二认证过程以指示密钥的有效性。
补充说明32.
一种用户设备即UE,用于存储第一密钥,所述UE包括:
用于在认证过程期间计算第二密钥的部件;
用于发送认证响应消息的部件;
用于检测无线链路失败的部件;
用于在检测到所述无线链路失败的情况下、发送用于指示所述认证过程未完成的消息的部件;
用于进行所述认证过程的部件;
用于在所述认证过程完成的情况下、删除所述第一密钥的部件;以及
用于在所述认证过程完成的情况下、使所述第二密钥有效的部件。
补充说明33.
一种用户设备即UE,用于存储第一密钥,所述UE包括:
用于在认证过程期间计算第二密钥的部件;
用于发送认证响应消息的部件;
用于检测无线链路失败的部件;
用于在检测到所述无线链路失败的情况下、发送用以指示所述认证过程未完成的第一消息的部件;
用于接收用以指示所述第一密钥或所述第二密钥是否有效的第二消息的部件;
用于在所述第二消息指示所述第二密钥有效的情况下、删除所述第一密钥的部件;
用于在所述第二消息指示所述第二密钥有效的情况下、使所述第二密钥有效的部件;
用于在所述第二消息指示所述第一密钥有效的情况下、删除所述第二密钥的部件;以及
用于在所述第二消息指示所述第一密钥有效的情况下、使所述第一密钥有效的部件。
补充说明34.
根据补充说明33所述的UE,其中,所述第一消息包括列表,其中所述列表包括所述第一密钥和所述第二密钥,所述UE还包括:
用于在所述第一消息包括所述列表的情况下、接收用以指示所述第一密钥或所述第二密钥是否有效的第三消息的部件;
用于在所述第三消息指示所述第二密钥有效的情况下、删除所述第一密钥的部件;
用于在所述第三消息指示所述第二密钥有效的情况下、使所述第二密钥有效的部件;
用于在所述第三消息指示所述第一密钥有效的情况下、删除所述第二密钥的部件;以及
用于在所述第三消息指示所述第一密钥有效的情况下、使所述第一密钥有效的部件。
补充说明35.
根据补充说明33所述的UE,其中,所述第一消息包括列表,其中所述列表包括与所述第一密钥相关的第一信息和与所述第二密钥相关的第二信息,所述UE还包括:
用于在所述第一消息包括所述列表的情况下、接收用以指示所述第一信息或所述第二信息的第三消息的部件;
用于在所述第三消息指示所述第二信息的情况下、删除所述第一密钥的部件;
用于在所述第三消息指示所述第二信息的情况下、使所述第二密钥有效的部件;
用于在所述第三消息指示所述第一信息的情况下、删除所述第二密钥的部件;以及
用于在所述第三消息指示所述第一信息的情况下、使所述第一密钥有效的部件。
补充说明36.
一种用户设备即UE,用于存储第一密钥,所述UE包括:
用于在第一认证过程期间计算第二密钥的部件;
用于发送认证响应消息的部件;
用于基于发送认证响应消息而启动计时器的部件;
用于在所述计时器到期的情况下、发送用以指示所述第一认证过程未完成的第一消息的部件;
用于进行第二认证过程的部件;
用于在所述第二认证过程完成的情况下、删除所述第一密钥的部件;以及
用于在所述第二认证过程完成的情况下、使所述第二密钥有效的部件。
补充说明37.
一种接入和移动性管理功能即AMF,包括:
用于进行第一认证过程的部件;
用于接收用以指示所述第一认证过程未完成的消息的部件;以及
用于在接收到所述消息的情况下、进行第二认证过程以指示密钥的有效性的部件。
补充说明38.
一种接入和移动性管理功能即AMF,包括:
用于进行认证的过程的部件;
用于在所述过程期间发送用以指示密钥的有效性的第一消息的部件;
用于接收用以指示所述过程未完成的第二消息的部件;以及
用于在接收到所述第二消息的情况下、发送所述第一消息的部件。
补充说明39.
一种用户设备即UE,用于存储第一密钥,所述UE包括:
用于计算第二密钥的部件;
用于进行基于所述第一密钥的第一处理的部件;
用于在基于所述第一密钥的第一处理完成的情况下、使所述第一密钥有效的部件;
用于在基于所述第一密钥的第一处理完成的情况下、删除所述第二密钥的部件;
用于进行基于所述第二密钥的第二处理的部件;
用于在基于所述第二密钥的第二处理完成的情况下、使所述第二密钥有效的部件;以及
用于在基于所述第二密钥的第二处理完成的情况下、删除所述第一密钥的部件。
补充说明40.
一种用户设备即UE,用于存储第一密钥,所述UE包括:
用于接收第一认证请求消息的部件;
用于计算第二密钥的部件;
用于接收第二认证请求消息的部件;
用于发送认证响应消息的部件;
用于接收用以指示所述第二密钥的有效性的消息的部件;
用于在接收到所述消息的情况下、使所述第二密钥有效的部件;以及
用于在接收到所述消息的情况下、删除所述第一密钥的部件。
补充说明41.
一种接入和移动性管理功能即AMF,包括:
用于发送第一认证请求消息的部件;
用于基于发送所述第一认证请求消息而启动计时器的部件;
用于在所述计时器到期的情况下、发送第二认证请求消息的部件;
用于接收认证响应消息的部件;以及
用于发送用以指示密钥的有效性的消息的部件。
补充说明42.
根据补充说明41所述的AMF,还包括:
用于检测无线链路失败的部件;以及
用于在所述计时器正在运行时检测到所述无线链路失败的情况下、发送所述第二认证请求消息的部件。
补充说明43.
一种用户设备即UE,用于存储第一密钥,所述UE包括:
用于在第一认证过程期间接收第一认证请求消息的部件;
用于计算第二密钥的部件;
用于进行第二认证过程的部件;以及
用于在所述第二认证过程完成的情况下、使第三密钥有效的部件,其中所述第三密钥是在所述第二认证过程中创建的。
补充说明44.
一种接入和移动性管理功能即AMF,包括:
用于在第一认证过程期间发送认证请求消息的部件;
用于基于发送所述认证请求消息而启动计时器的部件;以及
用于在所述计时器到期的情况下、进行第二认证过程以指示密钥的有效性的部件。
补充说明45.
一种用户设备即UE的方法,所述方法包括:
在认证过程期间计算密钥;
发送认证响应消息;
检测无线链路失败;
在检测到所述无线链路失败的情况下,发送用以指示所述认证过程未完成的第一消息;
进行所述所述认证过程;以及
在所述认证过程完成的情况下,使所述密钥有效。
补充说明46.
一种用户设备即UE的方法,所述方法包括:
在认证过程期间计算密钥;
发送认证响应消息;
检测无线链路失败;
在检测到所述无线链路失败的情况下,发送用以指示所述认证过程未完成的第一消息;
接收用以指示所述密钥是否有效的第二消息;
在所述第二消息指示所述密钥无效的情况下,删除所述密钥;以及
在所述第二消息指示所述密钥有效的情况下,使所述密钥有效。
补充说明47.
根据补充说明46所述的方法,其中,所述第一消息包括所述密钥,所述方法还包括:
在所述第一消息包括所述密钥的情况下,接收用以指示所述密钥是否有效的第三消息;
在所述第三消息指示所述密钥无效的情况下,删除所述密钥;以及
在所述第三消息指示所述密钥有效的情况下,使所述密钥有效。
补充说明48.
根据补充说明46所述的方法,其中,所述第一消息包括与所述密钥相关的信息,所述方法还包括:
接收用以指示所述信息的第三消息;
在所述第三消息不指示所述信息的情况下,删除所述密钥;以及
在所述第三消息指示所述信息的情况下,使所述密钥有效。
补充说明49.
一种用户设备即UE的方法,所述方法包括:
在第一认证过程期间计算第一密钥;
发送认证响应消息;
基于发送所述认证响应消息而启动计时器;
在所述计时器到期的情况下,发送用以指示所述第一认证过程未完成的第一消息;
进行第二认证过程;以及
在所述第二认证过程完成的情况下,使第二密钥有效,其中所述第二密钥是在所述第二认证过程中创建的。
补充说明50.
一种用户设备即UE的方法,所述方法包括:
计算密钥;
进行基于所述密钥的处理;
在基于所述密钥的处理完成的情况下,使所述密钥有效;以及
在基于所述密钥的处理完成的情况下,删除所述密钥。
补充说明51.
一种用户设备即UE的方法,所述方法包括:
接收第一认证请求消息;
计算密钥;
发送第一认证响应消息;
接收第二认证请求消息;
发送第二认证响应消息;
接收用以指示所述密钥的有效性的消息;以及
在接收到所述消息的情况下,使所述密钥有效。
补充说明52.
一种用户设备即UE的方法,所述方法包括:
在第一认证过程期间接收第一认证请求消息;
计算第一密钥;
进行第二认证过程;以及
在所述第二认证过程完成的情况下,使第二密钥有效,其中所述第二密钥是在所述第二认证过程中创建的。
补充说明53.
一种用户设备即UE,包括:
用于在认证过程期间计算密钥的部件;
用于发送认证响应消息的部件;
用于检测无线链路失败的部件;
用于在检测到所述无线链路失败的情况下、发送用以指示所述认证过程未完成的第一消息的部件;
用于进行所述所述认证过程的部件;以及
用于在所述认证过程完成的情况下、使所述密钥有效的部件。
补充说明54.
一种用户设备即UE,包括:
用于在认证过程期间计算密钥的部件;
用于发送认证响应消息的部件;
用于检测无线链路失败的部件;
用于在检测到所述无线链路失败的情况下、发送用以指示所述认证过程未完成的第一消息的部件;
用于接收用以指示所述密钥是否有效的第二消息的部件;
用于在所述第二消息指示所述密钥无效的情况下、删除所述密钥的部件;以及
用于在所述第二消息指示所述密钥有效的情况下、使所述密钥有效的部件。
补充说明55.
根据补充说明54所述的UE,其中,所述第一消息包括所述密钥,所述UE还包括:
用于在所述第一消息包括所述密钥的情况下、接收用以指示所述密钥是否有效的第三消息的部件;
用于在所述第三消息指示所述密钥无效的情况下、删除所述密钥的部件;以及
用于在所述第三消息指示所述密钥有效的情况下、使所述密钥有效的部件。
补充说明56.
根据补充说明54所述的UE,其中,所述第一消息包括与所述密钥相关的信息,所述UE还包括:
用于接收用以指示所述信息的第三消息的部件;
用于在所述第三消息不指示所述信息的情况下、删除所述密钥的部件;以及
用于在所述第三消息指示所述信息的情况下、使所述密钥有效的部件。
补充说明57.
一种用户设备即UE,包括:
用于在第一认证过程期间计算第一密钥的部件;
用于发送认证响应消息的部件;
用于基于发送所述认证响应消息而启动计时器的部件;
用于在所述计时器到期的情况下、发送用以指示所述第一认证过程未完成的第一消息的部件;
用于进行第二认证过程的部件;以及
用于在所述第二认证过程完成的情况下、使第二密钥有效的部件,其中所述第二密钥是在所述第二认证过程中创建的。
补充说明58.
一种用户设备即UE,包括:
用于计算密钥的部件;
用于进行基于所述密钥的处理的部件;
用于在基于所述密钥的处理完成的情况下、使所述密钥有效的部件;以及
用于在基于所述密钥的处理完成的情况下、删除所述密钥的部件。
补充说明59.
一种用户设备即UE,所述UE包括:
用于接收第一认证请求消息的部件;
用于计算密钥的部件;
用于发送第一认证响应消息的部件;
用于接收第二认证请求消息的部件;
用于发送第二认证响应消息的部件;
用于接收用以指示所述密钥的有效性的消息的部件;以及
用于在接收到所述消息的情况下、使所述密钥有效的部件。
补充说明60.
一种用户设备即UE,包括:
用于在第一认证过程期间接收第一认证请求消息的部件;
用于计算第一密钥的部件;
用于进行第二认证过程的部件;以及
用于在所述第二认证过程完成的情况下、使第二密钥有效的部件,其中所述第二密钥是在所述第二认证过程中创建的。
以上公开的示例实施例的全部或一部分可以描述为但不限于以下内容。
3GPP TS 33.501v 16.4.0
6.1.2认证的发起和认证方法的选择
在图6.1.2-1中示出主认证的发起(参见本申请的图13)。
根据SEAF的策略,SEAF可以在与UE建立信令连接的任何过程期间发起与UE的认证。UE应在注册请求中使用SUCI或5G-GUTI。如果UE支持认证结果消息的接收,则UE应包括指示其支持认证结果的接收的能力。
每当SEAF希望发起认证时,SEAF应通过向AUSF发送Nausf_UEAuthentication_Authenticate请求消息来调用Nausf_UEAuthentication服务。
Nausf_UEAuthentication_Authenticate请求消息应包含:
-如当前规范中所定义的SUCI,或者
-如TS 23.501[2]中所定义的SUPI。
在SEAF具有有效的5G-GUTI并重新认证UE的情况下,SEAF应将SUPI包括在Nausf_UEAuthentication_Authenticate请求消息中。否则,SUCI包括在Nausf_UEAuthentication_Authenticate请求中。SUPI/SUCI结构是阶段3协议设计的一部分。
Nausf_UEAuthentication_Authenticate请求还应包含:
-如本文件的子条款6.1.1.4中所定义的服务网络名称。
注2:针对认证方法的选择的本地策略不需要以各UE为单位,而是可以针对所有UE是相同的。
在接收到Nausf_UEAuthentication_Authenticate请求消息时,AUSF应通过将服务网络名称与预期服务网络名称进行比较来检查服务网络中的请求SEAF是否有权使用Nausf_UEAuthentication_Authenticate请求中的服务网络名称。AUSF应暂时存储接收到的服务网络名称。如果服务网络未被授权使用服务网络名称,则AUSF应在Nausf_UEAuthentication_Authenticate响应中用“服务网络未被授权”进行响应。
从AUSF向UDM发送的Nudm_UEAuthentication_Get请求包括以下信息:
-SUCI或SUPI;
-服务网络名称。
在接收到Nudm_UEAuthentication_Get请求时,如果接收到SUCI,则UDM应调用SIDF。SIDF应在UDM可以处理该请求之前取消SUCI的隐藏以获得SUPI。
基于SUPI,UDM/ARPF应选择认证方法。
注3:在条款6.1.3中,作为对Nudm_UEAuthentication_Get请求的回复的Nudm_UEAuthentication_Get响应和作为对Nausf_UEAuthentication_Authenticate请求消息的回复的Nausf_UEAuthentication_Authenticate响应消息被描述为认证过程的一部分。
3GPP TS 33.501v 16.4.0
6.1.3.2.0 5G AKA
5G AKA通过向归属网络提供来自被访网络的UE的成功认证的证明来增强EPS AKA[10]。该证明由被访网络在认证确认消息中发送。
在本文件的子条款6.1.2中描述使用5G AKA的选择。
注1:5G AKA不支持请求多个5G AV,SEAF也不支持从归属网络预提取5G AV以供将来使用。
图6.1.3.2-1:5G AKA的认证过程(参见本申请的图14。)
5G AKA的认证过程如下工作,同样参阅图6.1.3.2-1(参见本申请的图14。):
1.对于各Nudm_Authenticate_Get请求,UDM/ARPF应创建5G HE AV。如TS 33.102[9]中所定义的,UDM/ARPF通过生成认证管理字段(AMF)分离位被设置为“1”的AV来实现这一点。然后,UDM/ARPF应推导KAUSF(按照附录A.2)并计算XRES*(按照附录A.4)。最后,UDM/ARPF应根据RAND、AUTN、XRES*和KAUSF来创建5G HE AV。
2.UDM随后应将5G HE AV连同Nudm_UEAuthentication_Get响应中的、5G HE AV将用于5G AKA的指示一起返回至AUSF。在SUCI包括在Nudm_UEAuthentication_Get请求中的情况下,UDM将在SIDF取消SUCI的隐藏之后将SUCI包括在Nudm_UEAuthentication_Get响应中。
如果订户具有AKMA订阅,则UDM应将AKMA指示包括在Nudm_UEAuthentication_Get响应中。
3.AUSF应将XRES*连同接收到的SUCI或SUPI一起暂时存储。
4.AUSF随后应通过(根据附录A.5)从XRES*计算HXRES*并且(根据附录A.6)从KAUSF计算KSEAF、并且在从UDM/ARPF接收到的5G HE AV中用HXRES*替换XRES*并用KSEAF替换KAUSF,根据5G HE AV来生成5G AV。
5.AUSF随后应移除KSEAF,并在Nausf_UEAuthentication_Authenticate响应中将5G SE AV(RAND、AUTN、HXRES*)返回到SEAF。
6.SEAF应在NAS消息认证请求中向UE发送RAND、AUTN。该消息还应包括由UE和AMF将用来识别KAMF的ngKSI以及在认证成功的情况下创建的部分本地安全上下文。该消息还应包括ABBA参数。如附录A.7.1中所定义的,SEAF应设置ABBA参数。ME应将NAS消息认证请求中接收到的RAND和AUTN转发到USIM。
注2:包括了ABBA参数以启用安全特征的降维保护(bidding down protection)。
7.在接收到RAND和AUTN时,USIM应通过如TS 33.102[9]中所述检查AUTN是否可被接受来验证接收到的值的新鲜度。如果为“是”,则USIM计算响应RES。USIM应将RES、CK、IK返回到ME。如果USIM使用如TS 33.102[9]中所述的转换函数c3来从CK和IK计算Kc(即,GPRSKc)并将其发送到ME,则ME应忽略这样的GPRS Kc并且不将GPRS Kc存储在USIM上或ME中。然后ME应根据附录A.4从RES中计算RES*。ME应根据条款A.2从CK||IK计算KAUSF。ME应根据条款A.6从KAUSF计算KSEAF。访问5G的ME应在认证期间检查出AUTN的AMF字段中的“分离位”被设置为1。“分离位”是AUTN的AMF字段的位0。
注3:如TS 33.102[9]、附录F所述,AUTN的AMF字段中的该分离位不能再用于运营商特定用途。
8.UE应在NAS消息认证响应中向SEAF返回RES*。
9.然后,SEAF应根据附录A.5从RES*计算HRES*,并且SEAF应比较HRES*和HXRES*。如果这两者一致,则SEAF应从服务网络的角度将认证视为成功。如果这两者不一致,则SEAF如子条款6.1.3.2.2所述继续进行。如果没有到达UE并且SEAF从未接收到RES*,则SEAF应将认证视为失败,并向AUSF指示失败。
10.SEAF应将Nausf_UEAuthentication_Authenticate请求消息中的从UE接收到的RES*发送到AUSF。
11.当AUSF接收到包括RES*的Nausf_UEAuthentication_Authenticate请求消息作为认证确认时,AUSF可以验证5G AV是否到期。如果5G AV到期,则AUSF可以从归属网络的角度将认证视为不成功。在认证成功时,AUSF应存储KAUSF。AUSF应将接收到的RES*与所存储的XRES*进行比较。如果RES*和XRES*相等,则AUSF应从归属网络的角度将认证视为成功。AUSF应向UDM通知认证结果(参见本文件中的用于与认证确认链接的子条款6.1.4)。
12.AUSF应在Nausf_UEAuthentication_Authenticate响应中向SEAF指示从归属网络的角度来看认证是否成功。如果认证成功,则应在Nausf_UEAuthentication_Authenticate响应中将KSEAF发送至SEAF。在AUSF在认证请求中接收到来自SEAF的SUCI(参见本文件的子条款6.1.2)的情况下,如果认证成功,则AUSF还应将SUPI包括在Nausf_UEAuthentication_Authenticate响应消息中。
如果认证成功,则如本文件的子条款6.2中所规定的,在Nausf_UEAuthentication_Authenticate响应消息中接收到的密钥KSEAF应成为密钥层次结构意义上的锚密钥。然后,SEAF应根据附录A.7从KSEAF、ABBA参数和SUPI来推导KAMF。SEAF应将ngKSI和KAMF提供到AMF。
如果SUCI被用于该认证,则SEAF应在其接收到包含KSEAF和SUPI的Nausf_UEAuthentication_Authenticate响应消息之后仅将ngKSI和KAMF提供到AMF;将不向UE提供通信服务,直到服务网络知道SUPI为止。
在本文件的子条款6.1.4中描述AUSF在认证过程之后采取的进一步步骤。
3GPP TS 33.501
6.1.3.2.0 5G AKA
5G AKA通过向归属网络提供来自被访网络的UE的成功认证的证明来增强EPS AKA[10]。该证明由被访网络在认证确认消息中发送。
在本文件的子条款6.1.2中描述使用5G AKA的选择。
注1:5G AKA不支持请求多个5G AV,SEAF也不支持从归属网络预提取5G AV以供将来使用。
图6.1.3.2-1:5G AKA的认证过程(参见本申请的图15。)
5G AKA的认证过程如下工作,还参阅图6.1.3.2-1(参见本申请的图15。):
1.对于各Nudm_Authenticate_Get请求,UDM/ARPF应创建5G HE AV。如TS 33.102[9]中所定义的,UDM/ARPF通过生成认证管理字段(AMF)分离位被设置为“1”的AV来实现这一点。然后,UDM/ARPF应推导KAUSF(按照附录A.2)并计算XRES*(按照附录A.4)。最后,UDM/ARPF应根据RAND、AUTN、XRES*和KAUSF来创建5G HE AV。
2.UDM随后应将5G HE AV连同Nudm_UEAuthentication_Get响应中的、5G HE AV将用于5G AKA的指示一起返回至AUSF。在SUCI包括在Nudm_UEAuthentication_Get请求中的情况下,UDM将在SIDF取消SUCI的隐藏之后将SUCI包括在Nudm_UEAuthentication_Get响应中。
如果订户具有AKMA订阅,则UDM应将AKMA指示包括在Nudm_UEAuthentication_Get响应中。
3.AUSF应将XRES*连同接收到的SUCI或SUPI一起暂时存储。
4.AUSF随后应通过(根据附录A.5)从XRES*计算HXRES*并且(根据附录A.6)从KAUSF计算KSEAF、并且在从UDM/ARPF接收到的5G HE AV中用HXRES*替换XRES*并用KSEAF替换KAUSF,根据5G HE AV来生成5G AV。
5.AUSF随后应移除KSEAF,并在Nausf_UEAuthentication_Authenticate响应中将5G SE AV(RAND、AUTN、HXRES*)返回到SEAF。
6.SEAF应在NAS消息认证请求中向UE发送RAND、AUTN。该消息还应包括由UE和AMF被用来识别KAMF的ngKSI以及在认证成功的情况下创建的部分本地安全上下文。该消息还应包括ABBA参数。如附录A.7.1中所定义的,SEAF应设置ABBA参数。ME应将NAS消息认证请求中接收到的RAND和AUTN转发到USIM。
注2:包括了ABBA参数以启用安全特征的降维保护。
7.在接收到RAND和AUTN时,USIM应通过如TS 33.102[9]中所述检查AUTN是否可被接受来验证接收到的值的新鲜度。如果为“是”,USIM计算响应RES。USIM应将RES、CK、IK返回到ME。如果USIM使用如TS 33.102[9]中所述的转换函数c3来从CK和IK计算Kc(即,GPRS Kc)并将其发送到ME,则ME应忽略这样的GPRS Kc并且不将GPRS Kc存储在USIM上或ME中。然后ME应根据附录A.4从RES中计算RES*。ME应根据条款A.2从CK||IK计算KAUSF。ME应根据条款A.6从KAUSF计算KSEAF。访问5G的ME应在认证期间检查出AUTN的AMF字段中的“分离位”被设置为1。“分离位”是AUTN的AMF字段的位0。
注3:如TS 33.102[9]、附录F所述,AUTN的AMF字段中的该分离位不能再用于运营商特定用途。
8.UE应在NAS消息认证响应中将RES*返回到SEAF。UE应启动计时器T。在计时器T正在运行时,步骤7中所创建的KAUSF不被认为是最新KAUSF,并且不应将该KAUSF用在任何涉及KAUSF的安全相关过程中。当计时器T到期并且UE没有接收到任何NAS消息(例如,指示认证过程失败的认证拒绝)时,UE应将KAUSF作为最新KAUSF,并将该KAUSF用在后续的涉及KAUSF的安全过程中。在计时器到期之前UE遇到无线链路失败的情况下,UE停止计时器,并且UE不应使用KAUSF。当成功建立了下一NAS信令连接时,UE应开始使用KAUSF并将KAUSF作为最新KAUSF。当由于上一个认证过程失败而导致下一NAS信令连接建立失败(例如,UE从AMF接收到指示认证过程失败的NAS消息(5GMM原因#3非法UE))时,UE应将KAUSF视为无效并且UE应删除KAUSF
9.然后,SEAF应根据附录A.5从RES*计算HRES*,并且SEAF应比较HRES*和HXRES*。如果这两者一致,则SEAF应从服务网络的角度将认证视为成功。如果这两者不一致,则SEAF如子条款6.1.3.2.2所述继续进行。如果没有到达UE并且SEAF从未接收到RES*,则SEAF应将认证视为失败,并向AUSF指示失败。
10.SEAF应将Nausf_UEAuthentication_Authenticate请求消息中的从UE接收到的RES*发送到AUSF。
11.当AUSF接收到包括RES*的Nausf_UEAuthentication_Authenticate请求消息作为认证确认时,AUSF可以验证5G AV是否到期。如果5G AV到期,则AUSF可以从归属网络的角度将认证视为不成功。在认证成功时,AUSF应存储KAUSF。AUSF应将接收到的RES*与所存储的XRES*进行比较。如果RES*和XRES*相等,则AUSF应从归属网络的角度将认证视为成功。AUSF应向UDM通知认证结果(参见本文件中的用于与认证确认链接的子条款6.1.4)。
12.AUSF应在Nausf_UEAuthentication_Authenticate响应中向SEAF指示从归属网络的角度来看认证是否成功。如果认证成功,则应在Nausf_UEAuthentication_Authenticate响应中将KSEAF发送至SEAF。在AUSF在认证请求中接收到来自SEAF的SUCI(参见本文件的子条款6.1.2)的情况下,如果认证成功,则AUSF还应将SUPI包括在Nausf_UEAuthentication_Authenticate响应消息中。
如果认证成功,则如本文件的子条款6.2中所规定的,在Nausf_UEAuthentication_Authenticate响应消息中接收到的密钥KSEAF应成为密钥层次结构意义上的锚密钥。然后,SEAF应根据附录A.7从KSEAF、ABBA参数和SUPI推导KAMF。SEAF应将ngKSI和KAMF提供到AMF。
如果SUCI被用于该认证,则SEAF应在其接收到包含KSEAF和SUPI的Nausf_UEAuthentication_Authenticate响应消息之后仅将ngKSI和KAMF提供到AMF;将不向UE提供通信服务,直到服务网络知道SUPI为止。
在本文件的子条款6.1.4中描述AUSF在认证过程之后采取的进一步步骤。
3GPP TS 24.501
5.4.1.3.7异常情况
a)下层失败。
在接收到到认证响应(AUTHENTICATION RESPONSE)消息之前检测到下层失败时,如果计时器T3560正在运行,则网络应继续运行计时器T3560。
b)计时器T3560到期。
网络应在计时器T3560第一次到期时重新传输认证请求(AUTHENTICATIONREQUEST)消息,并且应重置并启动计时器T3560。将该重新传输重复四次,即在计时器T3560第五次到期时,网络应中止基于5G AKA的主认证和密钥协商过程以及任何正在进行的5GMM特定过程,并且释放N1 NAS信令连接。
c)认证失败(5GMM原因#20“MAC失败”)。
UE应将具有根据子条款5.4.1.3.6的5GMM原因#20“MAC失败”的认证失败(AUTHENTICATION FAILURE)消息发送到网络,并且启动计时器T3520(参见图5.4.1.3.7.1中的示例)。此外,UE应停止正在运行的任何重新传输计时器(例如,T3510、T3517或T3521)。在第一次接收到来自UE的具有5GMM原因#20“MAC失败”的认证失败消息时,网络可以发起子条款5.4.3中所述的识别过程。这是为了使得网络能够从UE获得SUCI。然后,网络可以检查出5G认证挑战中原本使用的5G-GUTI对应于正确的SUPI。在从网络接收到标识请求(IDENTITY REQUEST)消息时,UE应按照子条款5.4.3.3的规定继续进行。
注1:在接收到来自UE的具有5GMM原因#20“MAC失败”的认证失败消息时,网络还可以终止基于5G AKA的主认证和密钥协商过程(参见子条款5.4.1.3.5)。
如果网络中5G-GUTI向SUPI的映射不正确,则网络应通过向UE发送新认证请求消息来进行响应。在从网络接收到新认证请求消息时,如果计时器T3520正在运行,则UE应停止计时器T3520,然后照常处理5G挑战信息。如果网络中5G-GUTI向SUPI的映射正确,则网络应通过发送认证拒绝(AUTHENTICATION REJECT)消息来终止基于5G AKA的主认证和密钥协商过程(参见子条款5.4.1.3.5)。
如果成功地验证了网络(接收到包含有效的SQN和MAC的认证请求消息),则用户应将认证响应消息发送到网络,并且在任何重新传输计时器(例如,T3510、T3517或T3521)正在运行且在UE接收到第一个失败的认证请求消息时停止的情况下,应启动这些重新传输计时器。
如果UE接收到第二个认证请求消息并且不能解析MAC值,则UE应从头开始遵循本子条款(项c)中所规定的过程,或者如果消息包含UMTS认证挑战,则UE应遵循项d中所指定的过程。如果SQN无效,则UE应按照项f中的规定继续进行。
图5.4.1.3.7.1:基于5G AKA的主验证和密钥协商过程期间的认证失败(参见本申请的图16。)
d)认证失败(5GMM原因#26“非5G认证不可接受”)。
UE应向网络发送具有5GMM原因#26“非5G认证不可接受”的认证失败消息,并且启动计时器T3520(参见图5.4.1.3.7.1中的示例)。此外,UE应停止正在运行的任何重新传输计时器(例如,T3510、T3517或T3521)。
在第一次接收到来自UE的具有5GMM原因#26“非5G认证不可接受”的认证失败消息时,网络可以发起子条款5.4.3中所述的识别过程。这是为了使得网络能够从UE获取SUCI。然后,网络可以检查出5G认证挑战中原本使用的5G-GUTI对应于正确的SUPI。在从网络接收到标识请求消息时,UE应按照子条款5.4.3.3的规定继续进行。
注2:在接收到来自UE的具有5GMM原因#26“非5G认证不可接受”的认证失败消息时,网络还可以终止基于5G AKA的主认证和密钥协商过程(参见子条款5.4.1.3.5)。
如果网络中5G-GUTI向SUPI的映射不正确,则网络应通过向UE发送新认证请求消息来进行响应。在从网络接收到新认证请求消息时,如果计时器T3520正在运行,则UE应停止计时器T3520,然后照常处理5G挑战信息。如果网络中5G-GUTI向SUPI的映射正确,则网络应通过发送认证拒绝消息来终止基于5G AKA的主认证和密钥协商认证过程(参见子条款5.4.1.3.5)。
如果成功地验证了网络(接收到包含有效的5G认证挑战的认证请求消息),则用户应将认证响应消息发送到网络,并且在任何重新传输计时器(例如,T3510、T3517或T3521)正在运行且在UE接收到第一个失败的认证请求消息时停止的情况下,应启动这些重新传输计时器。
e)认证失败(5GMM原因#71“ngKSI已在使用中”)。
UE应向网络发送具有5GMM原因#71“ngKSI已在使用中”的认证失败消息,并且启动计时器T3520(参见图5.4.1.3.7.1中的示例)。此外,UE应停止正在运行的任何重新传输计时器(例如,T3510、T3517或T3521)。在第一次接收到来自UE的具有5GMM原因#71“ngKSI已在使用中”的认证失败消息时,网络进行所需的动作以选择新ngKSI并将相同的5G认证挑战发送到UE。
注3:在接收到来自UE的具有5GMM原因#71“ngKSI已在使用中”的认证失败消息时,网络还可以重新发起基于5G AKA的主认证和密钥协商过程(参见子条款5.4.1.3.2)。
在从网络接收到新认证请求消息时,如果计时器T3520正在运行,则UE应停止计时器T3520,然后照常处理5G挑战信息。
如果成功地验证了网络(接收到包含有效的ngKSI、SQN和MAC的认证请求消息),则UE应将认证响应消息发送到网络,并且在任何重新传输计时器(例如,T3510、T3517或T3521)正在运行且在UE接收到第一个失败的认证请求消息时停止的情况下,应启动这些重新传输计时器。
f)认证失败(5GMM原因#21“同步失败”)。
UE应向网络发送具有5GMM原因#21“同步失败”的认证失败消息,并且启动计时器T3520(参见图5.4.1.3.7.1中的示例)。此外,UE应停止正在运行的任何重新传输计时器(例如,T3510、T3517或T3521)。在第一次接收到来自UE的具有5GMM原因#21“同步失败”的认证失败消息时,网络应使用从认证失败消息中的认证失败参数IE返回的AUTS参数来重新同步。重新同步过程要求AMF删除该SUI的所有未使用的认证向量,并从UDM/AUSF获得新向量。在重新同步完成时,网络应发起基于5G AKA的主认证和密钥协商过程。在接收到认证请求消息时,如果计时器T3520正在运行,则UE应停止计时器T3520。
注4:在接收到来自UE的具有5GMM原因#21“同步失败”的两个连续认证失败消息时,网络可以通过发送认证拒绝消息来终止基于5G AKA的主认证和密钥协商过程。
如果在T3520正在运行时成功地验证了网络(接收到包含有效的SQN和MAC的新认证请求消息),则用户应将认证响应消息发送到网络,并且在任何重新传输计时器(例如,T3510、T3517或T3521)正在运行且在UE接收到第一个失败的认证请求消息时停止的情况下,应启动这些重新传输计时器。
在接收到认证拒绝消息时,UE应按照子条款5.4.1.3.5中的规定进行动作。
g)网络未通过认证检查。
如果UE认为网络未通过认证检查,则应请求RRC在本地释放RRC连接,并将活动小区视为禁止(参见3GPP TS 38.304[28])。在任何重新传输计时器(例如,T3510、T3517或T3521)正在运行且在UE接收到包含导致认证失败的不正确认证挑战数据的第一个认证请求消息时停止的情况下,应启动这些重新传输计时器。
h)来自较低层的认证响应消息或认证失败消息指示的传输失败(在基于5G AKA的主认证和密钥协商过程被移动性和周期性注册更新的注册过程触发的情况下)。
如果计时器T3520正在运行,则UE应停止计时器T3520,并且重新发起移动性和周期性注册更新的注册过程。
i)来自较低层的具有TAI改变的认证响应消息或认证失败消息指示的传输失败(在基于5G AKA的主认证和密钥协商过程被服务请求过程触发的情况下)。
如果计时器T3520正在运行,则UE应停止计时器T3520。
如果当前TAI不在TAI列表中,则应中止基于5G AKA的主认证和密钥协商过程,并且应发起移动性和周期性注册更新的注册过程。
如果当前TAI仍是TAI列表的一部分,则如何重新运行触发基于5G AKA的主认证和密钥协商过程的正在进行的过程,这取决于UE实现。
j)来自较低层的无TAI改变的认证响应消息或认证失败消息指示的传输失败(在认证过程被服务请求过程触发的情况下)。
如果计时器T3520正在运行,则UE应停止计时器T3520。如何重新运行触发基于5GAKA的主认证和密钥协商过程的正在进行的过程,这取决于UE实现。
k)由于切换而导致的未传递NAS PDU的较低层指示。
如果由于AMF内切换而导致不能传递认证请求消息并且目标TA包括在TAI列表中,则在AMF内切换成功完成时,AMF应重新传输认证请求消息。如果较低层报告了切换过程失败并且存在N1 NAS信令连接,则AMF应重新传输认证请求消息。
l)小区改变为新跟踪区。
如果在发送认证响应消息之前发生向不在TAI列表中的新跟踪区的小区改变,则UE可以放弃向网络发送认证响应消息,并继续发起如子条款5.5.1.3.2中所述的移动性和周期性注册的注册过程。
对于项c、d、e和f,UE是否被注册用于紧急服务:
如果计时器T3520正在运行并且UE进入5GMM-IDLE(空闲)模式(例如,在检测到较低层失败、N1 NAS信令连接的释放时、或者作为5GMM-CONNECTED(连接)模式从N1模式向S1模式的系统间改变的结果),则UE应停止计时器T3520。
如果发生以下情况中的任何情况,则UE应认为网络未通过认证检查或者假定认证不是真的并且如以上在项g所述那样继续进行:
-计时器T3520到期;
-UE检测到5G认证失败的任何组合:在连续三次认证挑战期间,5GMM原因#20“MAC失败”、#21“同步失败”、#26“非5G认证不可接受”或#71“ngKSI已在使用中”。当在先前5G认证失败之后启动的计时器T3520正在运行时,如果UE接收到导致第二次和第三次5G认证失败的5G认证挑战,则5G认证挑战应仅被视为连续的。
对于项c、d、e和f:
根据对紧急服务的本地要求或运营商偏好,如果UE建立了紧急PDU会话或正在建立紧急PDU会话,则AMF无需遵循本子条款中规定的针对认证失败所指定的过程。AMF可以通过发起选择“空完整性保护算法”5G-IA0、“空密码算法”5G-EA0的安全模式控制过程来对认证失败消息进行响应,或者可以中止基于5G AKA的主认证和密钥协商过程,并继续使用当前安全上下文(如果有的话)。AMF应通过发起PDU会话释放过程来释放所有非紧急PDU会话(如果有的话)。如果存在正在进行的PDU会话建立过程,则AMF应在PDU会话建立过程完成时释放所有非紧急PDU会话。网络应表现得仿佛UE被注册用于紧急服务一样。
如果用户建立了紧急PDU会话或正在建立紧急PDU会话、并且向AMF发送具有适合于这些情况(分别为#20、#21、#26或#71)的5GMM原因的认证失败消息并在计时器T3520超时之前接收到安全模式命令(SECURITY MODE COMMAND)消息,则UE应分别认为网络成功通过了认证检查并停止计时器T3520,并且执行安全模式控制过程。
如果当计时器T3520到期时UE建立了紧急PDU会话或正在建立紧急PDU会话,则UE不应认为网络未通过认证检查并且没有表现得如项g中所述那样。相反,UE应继续使用当前安全上下文(如果有的话),通过发起UE请求的PDU会话释放过程来释放所有非紧急PDU会话(如果有的话)。如果存在正在进行的PDU会话建立过程,则UE应在PDU会话建立过程完成时释放所有非紧急PDU会话。如果发生以下情况,则UE应启动任何重新传输计时器(例如,T3510、T3517或T3521):
-这些重新传输计时器正在运行,并且在UE接收到认证请求消息并检测到认证失败时停止;
-与这些计时器关联的过程尚未完成。
UE应表现得仿佛UE被注册用于紧急服务一样。
<缩写>
为本文件的目的,适用非专利文献1和以下所给出的缩写。本文件中定义的缩写优先于非专利文献1中的相同缩写(如果有的话)的定义。
5GC 5G核心网
5GLAN 5G局域网
5GS 5G系统
5G-AN 5G接入网络
5G-AN PDB 5G接入网络分组延迟预算
5G-EIR 5G设备标识寄存器
5G-GUTI 5G全球唯一临时标识符
5G-BRG 5G宽带家庭网关
5G-CRG 5G线缆家庭网关
5G GM 5G主时钟
5G-RG 5G家庭网关
5G-S-TMSI 5G S-临时移动订阅标识符
5G VN 5G虚拟网络
5QI 5G QoS标识符
AF 应用功能
AKMA 应用的认证和密钥协商
AMF 接入和移动性管理功能
ARPF 认证凭证存储和处理功能
AS 接入层
ATSSS 接入业务引导、切换、拆分
ATSSS-LL ATSSS低层
AUSF 认证服务器功能
AUTN 认证令牌
AV 认证向量
BMCA 最佳主时钟算法
BSF 绑定支持功能
CAG 封闭接入组
CAPIF 3GPP北向API的通用API框架
CHF 计费功能
CN PDB 核心网分组延迟预算
CP 控制面
DAPS 双激活协议栈
DL 下行链路
DN 数据网络
DNAI DN接入标识符
DNN 数据网络名称
DRX 非连续接收
DS-TT 装置侧TSN转换器
ePDG 演进型分组数据网关
EBI EPS承载标识
EUI 扩展唯一标识符
FAR 转发动作规则
FN-BRG 固网宽带家庭网关
FN-CRG 固网线缆家庭网关
FN-RG 固网家庭网关
FQDN 全限定域名
GFBR 保证流比特率
GMLC 网关移动位置重心
GPSI 通用公共订阅标识符
GUAMI 全局唯一AMF标识符
HR 归属路由(漫游)
IAB 集成接入与回传
IMEI/TAC IMEI类型分配码
IPUPS PLMN间UP安全
I-SMF 中间SMF
I-UPF 中间UPF
LADN 局域数据网络
LBO 本地分流(漫游)
LMF 位置管理功能
LoA 自动化程度
LPP LTE定位协议
LRF 位置检索功能
MCX 关键任务服务
MDBV 最大数据突发量
MFBR 最大流比特率
MICO 仅移动终端发起连接
MPS 多媒体优先级业务
MPTCP 多路径TCP协议
N3IWF 非3GPP互通功能
N5CW WLAN侧不具有5G能力
NAI 网络接入标识符
NEF 网络开放功能
NF 网络功能
NGAP 下一代应用协议
NID 网络标识符
NPN 非公共网络
NR 新空口
NRF 网络存储功能
NSI ID 网络切片实例标识符
NSSAA 网络切片特定的认证和授权
NSSAAF 网络切片特定的认证和授权功能
NSSAI 网络切片选择辅助信息
NSSF 网络切片选择功能
NSSP 网络切片选择策略
NW-TT 网络侧TSN转换器
NWDAF 网络数据分析功能
PCF 策略控制功能
PDB 分组延迟预算
PDR 分组检测规则
PDU 协议数据单元
PEI 永久设备标识符
PER 误包率
PFD 包流描述
PNI-NPN 公共网络集成的非公共网络
PPD 寻呼策略差分
PPF 寻呼过程标记
PPI 寻呼策略指示符
PSA PDU会话锚
PTP 精确时间协议
QFI QoS流标识符
QoE 体验质量
RACS 无线能力信令优化
IAN (无线)接入网络
RG 家庭网关
RIM 远程干扰管理
RQA 反射QoS属性
RQI 反射QoS指示
RSN 冗余序列号
SA NR 独立新空口
SBA 基于服务的体系结构
SBI 基于服务的接口
SCP 服务通信代理
SD 切片区分标识
SEAF 安全锚功能
SEPP 安全边缘保护代理
SMF 会话管理功能
SMSF 短消息服务功能
SN 序列号
SNPN 独立非公共网络
S-NSSAI 单个网络切片选择辅助信息
SSC 会话和服务连续
SSCMSP 会话和服务连续模式选择策略
SST 切片/服务类型
SUCI 订阅隐藏标识符
SUPI 订阅永久标识符
SV 软件版本
TNAN 可信非3GPP接入网络
TNAP 可信非3GPP接入点
TNGF 可信非3GPP网关功能
TNL 传输网络层
TNLA 传输网络层关联
TSC 时间敏感通信
TSCAI TSC辅助信息
TSN 时间敏感网络
TSN GM TSN主时钟
TSP 流量引导策略
TT TSN转换器
TWIF 可信WLAN互联功能
UCMF UE无线能力管理功能
UDM 统一数据管理
UDR 统一数据存储
UDSF 非结构化数据存储功能
UL 上行链路
UL CL 上行链路分类器
UPF 用户面功能
URLLC 超可靠低时延通信
URRP-AMF AMF的UE可达性请求参数
URSP UE路由选择策略
VID VLAN标识符
VLAN 虚拟局域网
W-5GAN 有线5G接入网络
W-5GBAN 有线BBF接入网络
W-5GCAN 有线5G线缆接入网络
W-AGF 无线接入网关功能
<定义>
为了本文件的目的,适用非专利文献1和以下所给出的术语和定义。本文件中定义的术语优先于非专利文献1中的相同术语(如果有的话)的定义。
尽管已经参考本发明的示例实施例具体示出和描述了本发明,但本发明不限于这些实施例。本领域普通技术人员将理解,在没有背离如权利要求书所限定的本发明的精神和范围的情况下,可以对本发明进行形式和细节的各种改变。
本申请基于并要求2020年10月16日提交的印度临时专利申请202011045154的优先权,其公开内容通过引用而被整体并入本文。
[附图标记列表]
1000 UE
1001 天线
1002 收发器电路
1003 用户接口
1004 控制器
1005 存储器
1100 (R)AN节点
1101 天线
1102 收发器电路
1103 网络接口
1104 控制器
1105 存储器
1200 AMF
1201 收发器电路
1202 控制器
1203 存储器
1204 网络接口

Claims (26)

1.一种通信终端的方法,所述方法包括:
从第一核心网设备接收认证请求消息;
计算第一安全密钥和第一认证响应;
将认证响应消息中的所述第一认证响应返回到所述第一核心网设备;以及
从所述第一核心网设备接收NAS消息。
2.根据权利要求1所述的方法,包括:
在接收到所述NAS消息时,用所述第一安全密钥替换第二安全密钥。
3.根据权利要求1所述的方法,包括:
设置与紧急会话相关的会话,其中在所述NAS消息选择用以指示空加密和空密码算法的信息的情况下,所述第一安全密钥不存储在所述通信终端中。
4.根据权利要求1所述的方法,包括:
建立与紧急会话相关的协议数据单元会话即PDU会话,其中在所述NAS消息选择用以指示空加密和空密码算法的信息的情况下,所述第一安全密钥不存储在所述通信终端中。
5.根据权利要求1至4中任一项所述的方法,其中,所述通信终端在接收到所述NAS消息时,将认证视为成功。
6.根据权利要求1至5中任一项所述的方法,其中,所述第一安全密钥是新Kausf。
7.根据权利要求1至6中任一项所述的方法,其中,所述第二安全密钥是旧Kausf。
8.根据权利要求1至7中任一项所述的方法,其中,所述第一核心网设备是接入和移动性管理功能即AMF。
9.一种第一核心网设备的方法,所述方法包括:
向第二核心网设备发送第一认证请求消息以发起与通信终端的认证;
向所述通信终端发送第二认证请求消息;
从所述通信终端接收第一认证响应消息中的第一认证响应;
从所述第二核心网设备接收与所述第一认证请求消息相对应的第二认证响应消息;以及
向所述通信终端发送NAS消息,以用所述通信终端所计算出的第一安全密钥替换第二安全密钥。
10.一种第一核心网设备的方法,包括:
向第二核心网设备发送第一认证请求消息以发起与通信终端的认证;
向所述通信终端发送第二认证请求消息;
从所述通信终端接收第二第一认证响应消息中的第一认证响应;
从所述第二核心网设备接收与所述第一认证请求消息相对应的第二认证响应消息;以及
向所述通信终端发送NAS消息,
其中,在所述NAS消息选择用以指示空加密和空密码算法的信息的情况下,所述第一安全密钥不存储在所述通信终端中,其中所述通信终端设置与紧急会话相关的会话。
11.根据权利要求9或10所述的方法,其中,所述第一安全密钥是新Kausf。
12.根据权利要求9至11中任一项所述的方法,其中,所述第二安全密钥是旧Kausf。
13.根据权利要求9至12中任一项所述的方法,其中,所述第一核心网设备是接入和移动性管理功能即AMF。
14.一种通信终端,包括:
用于从第一核心网设备接收认证请求消息的部件;
用于计算第一安全密钥和第一认证响应的部件;
用于将认证响应消息中的所述第一认证响应返回到所述第一核心网设备的部件;以及
用于从所述第一核心网设备接收NAS消息的部件。
15.根据权利要求14所述的通信终端,包括:
用于在接收到所述NAS消息时用所述第一安全密钥替换第二安全密钥的部件。
16.根据权利要求14所述的通信终端,包括:
用于设置与紧急会话相关的会话的部件,其中在所述NAS消息选择用以指示空加密和空密码算法的信息的情况下,所述第一安全密钥不存储在所述通信终端中。
17.根据权利要求14所述的通信终端,包括:
建立与紧急会话相关的协议数据单元会话即PDU会话,其中在所述NAS消息选择用以指示空加密和空密码算法的信息的情况下,所述第一安全密钥不存储在所述通信终端中。
18.根据权利要求14至17中任一项所述的通信终端,其中,所述通信终端在接收到所述NAS消息时将认证视为成功。
19.根据权利要求14至18中任一项所述的通信终端,其中,所述第一安全密钥是新Kausf。
20.根据权利要求14至19中任一项所述的通信终端,其中,所述第二安全密钥是旧Kausf。
21.根据权利要求14至20中任一项所述的通信终端,其中,所述第一核心网设备是接入和移动性管理功能即AMF。
22.一种第一核心网设备,包括:
用于向第二核心网设备发送第一认证请求消息以发起与通信终端的认证的部件;
用于向所述通信终端发送第二认证请求消息的部件;
用于从所述通信终端接收第二认证响应消息中的第一认证响应的部件;
用于从所述第二核心网设备接收与所述第一认证请求消息相对应的认证响应消息的部件;以及
用于向所述通信终端发送NAS消息以用所述通信终端所计算出的第一安全密钥替换第二安全密钥的部件。
23.一种第一核心网设备,包括:
用于向第二核心网设备发送第一认证请求消息以发起与通信终端的认证的部件;
用于向所述通信终端发送第二认证请求消息的部件;
用于从所述通信终端接收第二第一认证响应消息中的第一认证响应的部件;
用于从所述第二核心网设备接收与所述第一认证请求消息相对应的第二认证响应消息的部件;以及
用于向所述通信终端发送NAS消息的部件,
其中,在所述NAS消息选择用以指示空加密和空密码算法的信息的情况下,所述第一安全密钥不存储在所述通信终端中,其中所述通信终端设置与紧急会话相关的会话。
24.根据权利要求22或23所述的第一核心网设备,其中,所述第一安全密钥是新Kausf。
25.根据权利要求22至24中任一项所述的第一核心网设备,其中,所述第二安全密钥是旧Kausf。
26.根据权利要求22至25中任一项所述的第一核心网设备,其中,所述第一核心网设备是接入和移动性管理功能即AMF。
CN202180053419.1A 2020-10-16 2021-10-12 通信终端的方法、通信终端、核心网设备的方法和核心网设备 Pending CN115997475A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IN202011045154 2020-10-16
IN202011045154 2020-10-16
PCT/JP2021/037750 WO2022080371A1 (en) 2020-10-16 2021-10-12 Method of communication terminal, communication terminal, method of core network apparatus, and core network apparatus

Publications (1)

Publication Number Publication Date
CN115997475A true CN115997475A (zh) 2023-04-21

Family

ID=81208059

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180053419.1A Pending CN115997475A (zh) 2020-10-16 2021-10-12 通信终端的方法、通信终端、核心网设备的方法和核心网设备

Country Status (6)

Country Link
US (1) US20230262456A1 (zh)
EP (1) EP4154675A4 (zh)
JP (1) JP2023529914A (zh)
CN (1) CN115997475A (zh)
TW (1) TWI847066B (zh)
WO (1) WO2022080371A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118450378A (zh) * 2023-09-20 2024-08-06 荣耀终端有限公司 一种异常处理方法、装置、设备、介质及产品

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760628B (zh) * 2022-06-15 2022-08-30 中国铁道科学研究院集团有限公司通信信号研究所 一种铁路宽带集群通信系统终端安全接入方法
CN117882413A (zh) * 2022-08-12 2024-04-12 北京小米移动软件有限公司 终端设备能力指示方法及装置
WO2024159431A1 (zh) * 2023-01-31 2024-08-08 哲库科技(北京)有限公司 移动性注册方法、装置、设备、存储介质及程序产品

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200092720A1 (en) * 2018-09-13 2020-03-19 Qualcomm Incorporated Extensible authentication protocol (eap) implementation in new radio (nr)
US20220167157A1 (en) * 2019-04-08 2022-05-26 Nec Corporation Procedure to provide integrity protection to a ue parameter during ue configuration update procedure

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118450378A (zh) * 2023-09-20 2024-08-06 荣耀终端有限公司 一种异常处理方法、装置、设备、介质及产品

Also Published As

Publication number Publication date
US20230262456A1 (en) 2023-08-17
EP4154675A1 (en) 2023-03-29
TWI847066B (zh) 2024-07-01
WO2022080371A1 (en) 2022-04-21
TW202234853A (zh) 2022-09-01
EP4154675A4 (en) 2023-12-06
JP2023529914A (ja) 2023-07-12

Similar Documents

Publication Publication Date Title
WO2022080388A1 (en) Method of ue, and ue
US10856250B2 (en) Method and system for transmission of SUSI in the NAS procedure
JP7452600B2 (ja) 通信端末装置及びその方法
JP7452736B2 (ja) 端末及び端末の方法
WO2022080371A1 (en) Method of communication terminal, communication terminal, method of core network apparatus, and core network apparatus
JP7505627B2 (ja) ノード及び方法
JP7484970B2 (ja) コアネットワーク装置、通信端末、コアネットワーク装置の方法、プログラム、及び通信端末の方法
JP2024073517A (ja) ユーザ装置の方法及びユーザ装置
WO2022092238A1 (en) Method of communication apparatus, method of ue, communication apparatus, and ue
JP2023080266A (ja) モビリティ管理ノード、ユーザ機器、及びこれらの方法
US20220286820A1 (en) Communication system, user equipment, communication method and computer readable medium
US20240064847A1 (en) A method of a radio access network (ran) node, a method of a core network node, a radio access network (ran) node, and a core network node
WO2023187610A1 (en) Network initiated primary authentication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination