在UE配置更新过程期间向UE参数提供完整性保护的过程的制作方法

在ue配置更新过程期间向ue参数提供完整性保护的过程
技术领域
1.本公开涉及使用控制面信令在漫游引导以及ue参数更新过程期间向ue参数提供完整性保护的过程。更具体地，该方法提供当ue登记到多于一个plmn(公共陆地移动网络)并且网络中存在多于一个安全密钥时选择安全密钥以完整性保护ue参数的机制。


背景技术：

2.当ue经由3gpp接入和非3gpp接入登记到不是等效plmn的两个不同plmn时，ue登记到属于各个plmn的两个不同amf(接入和移动性管理功能)。在该场景中，ue维持两个独立的5g安全上下文(k
amf
和密钥层级中较低的密钥)，各个服务plmn一个。当ue经由3gpp接入和非3gpp接入登记到相同plmn或等效plmn时，ue登记到单个amf并维持一个安全上下文。
3.当udm(统一数据管理)在ue登记到受访plmn时决定向ue更新优选plmn列表或rat(无线电接入技术)时，udm发起漫游引导(sor)过程以传送用于plmn选择的引导信息(plmn或rat的优选列表)。在ausf(认证服务器功能)处使用安全密钥k
ausf
对漫游信息的引导进行完整性保护。当ue接收到引导信息时，ue使用k
ausf
来验证完整性保护。使用udm控制面过程将类似过程应用于更新ue参数。
4.[引用列表]
[0005]
[非专利文献]
[0006]
非专利文献1：3gpp tr 21.905:“vocabulary for 3gpp specifications”.v15.0.0(2018-03).
[0007]
非专利文献2：3gpp ts 23.501:“system architecture for the 5g system；stage 2”.v15.4.0(2019-01).
[0008]
非专利文献3：3gpp ts 23.502:“procedures for the 5g system；stage 2”v15.4.0(2019-01).
[0009]
非专利文献4：3gpp ts 24.501:“non-access-stratum(nas)protocol stage 3”v15.2.1(2019-01).
[0010]
非专利文献5：3gpp ts 33.501:“security architecture and procedures for5g system”v15.3.1(2018-12)


技术实现要素：

[0011]
发明要解决的问题
[0012]
问题陈述1：
[0013]
当ue经由3gpp接入和非3gpp接入登记到不是等效plmn的两个不同plmn时，ue在各个网络节点处具有两个5g安全上下文(例如安全密钥)。在该场景下，ausf具有一个k
ausf
，即由最新认证产生的k
ausf
。在一个接入网络上的登记过程期间，如果udm决定向ue发送引导信息，并发送包含引导信息和请求ausf向引导信息提供完整性保护的消息，则ausf使用由最新认证产生的k
ausf
计算用于消息的完整性保护的mac-i。然后，如果ue接收到消息，则ue不
清楚ausf使用哪个k
ausf
计算了用于漫游引导消息的完整性保护的mac-i。
[0014]
在另一场景中，当ue登记到不等效的两个不同plmn并且udm决定向ue发送引导信息时，udm处不清楚在两个登记的plmn中选择哪个plmn来发送引导信息。
[0015]
问题陈述2：
[0016]
当ue经由3gpp接入和非3gpp接入登记到不是等效plmn的两个不同plmn时，ue在各个网络节点处具有两个5g安全上下文(例如安全密钥)。在该场景下，当udm决定使用控制面信令来进行ue参数更新过程以更新ue配置(例如，路由标识)时，不清楚在两个登记的plmn中udm将选择哪个plmn来发送更新的ue配置。
[0017]
用于解决问题的方案
[0018]
在本公开的第一方面，一种用户设备即ue中的方法，所述方法包括：存储安全密钥，其中，所述安全密钥中的各个安全密钥对应于无线电接入技术即rat；从通信设备接收包括与所述ue通信的第一rat的信息的消息；以及基于所述第一rat的信息来确定所述安全密钥中的第一安全密钥，所述第一安全密钥用于验证所述消息的完整性。
[0019]
在本公开的第二方面，一种第一通信设备中的方法，所述方法包括：存储安全密钥，其中，所述安全密钥中的各个安全密钥对应于无线电接入技术即rat；从第二通信设备接收与ue通信的第一rat的信息；以及基于所述第一rat的信息来确定所述安全密钥中的第一安全密钥。
[0020]
在本公开的第三方面，一种用户设备即ue，包括：存储器，其被配置为存储安全密钥，其中，所述安全密钥中的各个安全密钥对应于无线电接入技术即rat；收发器，其被配置为从通信设备接收包括与所述ue通信的第一rat的信息的消息；以及控制器，其被配置为基于所述第一rat的信息来确定所述安全密钥中的第一安全密钥，所述第一安全密钥用于验证所述消息的完整性。
[0021]
在本公开的第四方面，一种第一通信设备，包括，存储器，其被配置为存储安全密钥，其中，所述安全密钥中的各个安全密钥对应于无线电接入技术即rat；收发器，其被配置为从第二通信设备接收与ue通信的第一rat的信息；以及控制器，其被配置为基于所述第一rat的信息来确定所述安全密钥中的第一安全密钥。
附图说明
[0022]
图1是示出根据本公开的第一实施例的过程的图。
[0023]
图2是示出根据本公开的第一实施例的变型的过程的图。
[0024]
图3是示出根据本公开的第二实施例的过程的图。
[0025]
图4是示出根据本公开的第三实施例的过程的图。
[0026]
图5是示出根据本公开的第一实施例的变型1a的过程的图。
[0027]
图6是示出根据本公开的第四实施例的过程的图。
[0028]
图7是示出根据本公开的第四实施例的变型的过程的图。
[0029]
图8是示出ue的主要组件的框图。
[0030]
图9是示出示例性(r)an节点的主要组件的框图。
[0031]
图10是示出amf的主要组件的框图。
[0032]
图11是示出ausf的主要组件的框图。
[0033]
图12是示出udm的主要组件的框图。
具体实施方式
[0034]
缩写
[0035]
就本文档而言，非专利文献1中的缩写和以下内容适用。本文档中定义的缩写优先于非专利文献1中相同缩写(如果有)的定义。
[0036]
5gc 5g核心网络
[0037]
5gs 5g系统
[0038]
5g-an 5g接入网络
[0039]
5g-guti 5g全球唯一临时标识符
[0040]
5g s-tmsi 5g s-临时移动订阅
[0041]
5qi 5g qos标识符
[0042]
af 应用功能
[0043]
amf 接入和移动性管理功能
[0044]
an 接入节点
[0045]
as 接入层
[0046]
ausf 认证服务器功能
[0047]
cm 连接管理
[0048]
cp 控制面
[0049]
csfb 电路切换(cs)回退
[0050]
dl 下行链路
[0051]
dn 数据网络
[0052]
dnai dn接入标识符
[0053]
dnn 数据网络名称
[0054]
edt 早期数据发送
[0055]
eps 演进分组系统
[0056]
epc 演进分组核心
[0057]
fqdn 全限定域名
[0058]
gfbr 保证流比特率
[0059]
gmlc 网关移动位置中心
[0060]
gpsi 通用公共订阅标识符
[0061]
guami 全球唯一amf标识符
[0062]
hr 家用路由(漫游)
[0063]
i-rnti i-无线电网络临时标识符
[0064]
ladn 本地数据网络
[0065]
lbo 本地疏导(漫游)
[0066]
lmf 位置管理功能
[0067]
lrf 位置检索功能
[0068]
mac 介质接入控制
[0069]
mfbr 最大流比特率
[0070]
mico 仅移动发起连接
[0071]
mme 移动性管理实体
[0072]
n3iwf 非3gpp互通功能
[0073]
nai 网络接入标识符
[0074]
nas 非接入层
[0075]
nef 网络开放功能
[0076]
nf 网络功能
[0077]
ng-ran 下一代无线电接入网络
[0078]
nr 新空口
[0079]
nrf 网络存储库功能
[0080]
nsi id 网络切片实例标识符
[0081]
nssai 网络切片选择辅助信息
[0082]
nssf 网络切片选择功能
[0083]
nssp 网络切片选择策略
[0084]
pcf 策略控制功能
[0085]
pei 永久设备标识符
[0086]
per 分组错误率
[0087]
pfd 分组流描述符
[0088]
plmn 公共陆地移动网络
[0089]
ppd 寻呼策略差异化
[0090]
ppi 寻呼策略指示
[0091]
psa pdu会话锚
[0092]
qfi qos流标识符
[0093]
qoe 体验质量
[0094]
(r)an (无线电)接入网络
[0095]
rlc 无线电链路控制
[0096]
rm 登记管理
[0097]
rqa 反射qos属性
[0098]
rqi 反射qos指示
[0099]
rrc 无线电资源控制
[0100]
sa nr 独立组网新空口
[0101]
sba 基于服务的架构
[0102]
sbi 基于服务的接口
[0103]
sd 切片差分器
[0104]
sdap 服务数据自适应协议
[0105]
seaf 安全锚功能
[0106]
sepp 安全边缘保护代理
[0107]
smf 会话管理功能
[0108]
s-nssai 单一网络切片选择辅助信息
[0109]
ssc 会话和服务连续
[0110]
sst 切片/服务类型
[0111]
suci 订阅隐藏标识符
[0112]
supi 订阅永久标识符
[0113]
sor 漫游引导
[0114]
udsf 非结构化数据存储功能
[0115]
uicc 通用集成电路卡
[0116]
ul 上行链路
[0117]
ul cl 上行链路分类器
[0118]
usim 通用订户标识模块
[0119]
upf 用户面功能
[0120]
udr 统一数据存储库
[0121]
ursp ue路由选择策略
[0122]
sms 短消息服务
[0123]
smsf sms功能
[0124]
mt 移动终止
[0125]
uac 统一接入控制
[0126]
odacd 运营商定义的接入类别定义
[0127]
os 操作系统
[0128]
定义
[0129]
就本文档而言，在非专利文献1和以下内容中给出的术语和定义适用。在本文档中定义的术语优先于在非专利文献1中相同术语(如果有)的定义。
[0130]
实施例
[0131]
现在将参考附图来描述示例性实施例。然而，本发明可以以许多不同的形式体现，并且不应被解释为限于本文所阐述的实施例；相反，提供这些实施例以使得本发明将是全面和完整的，并且将向本领域技术人员充分传达其范围。附图中所示出的特定示例性实施例的详细描述中所使用的术语不旨在是限制性的。在附图中，相同的数字表示相同的元素。
[0132]
然而，应当注意，权利要求中的附图标记仅示出本主题的典型实施例，因此不应被视为限制其范围，这是因为本主题可允许其它等同有效的实施例。
[0133]
说明书可能在几个位置中提及“a”、“一个”或“一些”实施例。这不一定暗示各个这样的参考是针对相同的实施例，或者该特征仅适用于单个实施例。也可以组合不同实施例的单个特征以提供其它实施例。
[0134]
如在本文中使用的，单数形式“a”、“an”和“the”旨在也包括复数形式，除非另有明确说明。将进一步理解的是，当在本说明书中使用术语“包括(includes)”、“包括(comprises)”、“包括(including)”和/或“包括(comprising)”时，其指定所述特征、整数、步骤、操作、元件和/或组件的存在，但是不排除一个或多个其它特征、整数、步骤、操作、元件、组件和/或其组的存在或添加。将理解的是，当元件被称为“连接”或“耦接”至另一元件时，其可以直接连接或耦接至另一元件或者可以存在中间元件。此外，如本文所使用的，“连
接”或“耦接”可以包括可操作地连接或耦接。如本文中所使用的，术语“和/或”包括一个或多个相关联的列出项的任何和所有组合和安排。
[0135]
除非另外定义，否则本文所使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域的普通技术人员通常理解的相同的含义。将进一步理解，术语(诸如在常用字典中定义的术语)应被解释为具有与其在相关领域的上下文中的含义一致的含义，并且将不会以理想化或过于正式的意义进行解释，除非本文明确如此定义。
[0136]
附图描绘了仅示出一些元件和功能实体的简化结构，所有元件和功能实体都是逻辑单元，其实现可以不同于所示出的。所示出的连接是逻辑连接；实际的物理连接可以不同。对本领域的技术人员明显的是，结构还可以包括其它功能和结构。
[0137]
此外，附图中描述和描绘的所有逻辑单元包括单元起作用所需的软件和/或硬件组件。进一步地，各个单元可以在其自身内包括隐含地理解的一个或多个组件。这些组件可以可操作地彼此耦接并且被配置为彼此通信以进行所述单元的功能。
[0138]
第一实施例(解决问题陈述1的解决方案1)：
[0139]
在登记过程期间指示plmn标识或rat来选择安全密钥以在sor传输过程中向sor提供完整性保护。
[0140]
图1是示出根据本公开的第一实施例的过程的图。
[0141]
当ue经由两个不同的rat登记到两个不同的plmn或者经由两个不同的5g-an登记到相同的plmn时，将sor传递到ue的详细步骤。
[0142]
0.ue在第一5g接入网络(5g-an)上登记到第一受访plmn。在认证过程期间，ausf存储ue的第一k
ausf
，并将第一plmn标识和第一5g-an与该k
ausf
一起存储。因此，ausf不仅保持k
ausf
和ue标识符(诸如supi(订阅永久标识符)等)，还保持plmn id和相关rat。在完成认证过程时，ue也将k
ausf
、与该k
ausf
相关联的plmn id和rat存储在ue中的存储中。
[0143]
1.ue通过发送登记请求消息，在第二5g-an上发起向第二受访plmn的第二登记过程。该登记过程可以是初始登记过程、登记更新过程或定期登记更新过程。
[0144]
2.amf决定发起认证过程。amf/seaf执行如实施例中所述的认证过程。根据现有技术，ausf将在认证过程期间覆写存储中的k
ausf
。在该实施例中，ausf将存储除了第一k
ausf
之外的第二k
ausf
以及在认证期间使用的接入网络的plmn id和接入网络的rat。当认证完成时，ue也存储第二k
ausf
并将第二接入网络的plmn id与第二k
ausf
相关联，就像ausf做的那样。ue现在具有包括k
ausf
和plmn id的两个元组的存储。例如，如果ue附接到第三接入网络并且新的认证运行完成，则可以针对到新网络的认证的各个进一步运行来扩展该存储。
[0145]
3.网络执行安全模式控制过程。
[0146]
3-a.amf向udm发送nudm_uecm_registration以通知正在使用的无线电接入技术(rat)。
[0147]
4.amf向udm发送消息nudm_sdm_get以获得订户数据。
[0148]
5.udm决定经由第二plmn向ue发送引导信息。udm发送包含信息元素，参数supi、sor头部、第二plmn标识和所选择的无线电接入技术(rat)其中至少之一的消息nausf_sorprotection。udm可以发送第二plmn标识或第二plmn标识的rat、或这两者。
[0149]
6.当ausf接收到nausf_sorprotection消息时，ausf从存储中检索与ue标识和nausf_sorprotection消息中指示的plmn标识或指示的rat相关的k
ausf
，并选择其用于完整
性保护。ausf使用所选择的k
ausf
根据非专利文献5中指定的机制计算sor-mac-iausf和可选的sor-mac-iue，所述机制为：
[0150]
sor-mac-i
ausf
＝kdf(sor头部,plmn id接入技术列表,k
ausf
)。
[0151]
kdf是密钥导出函数，其是诸如hmac-sha256等的加密单向函数。也可以使用其它加密散列函数。括号之间指示的字段指示明文部分，并且最后的字段指示k
ausf
用作kdf的输入密钥。在sor机制用于与发送plmn id接入列表不同的目的的情况下，明文输入字段将改变，但是输入密钥将保持相同。此外，如本领域技术人员将理解的，还可以使用不同的输入密钥，例如，从k
ausf
导出的专门用于该目的的密钥或由较早的认证运行产生的另一密钥。
[0152]
7.ausf向udm发送包含sor-mac-iausf、countersor和可选的sor-xmac-iue的nausf_sorprotection_response消息。
[0153]
8.udm向amf发送包含列表、sor-mac-i和sor-counter的nudm_sdm_get_response。
[0154]
9.amf向ue发送包含参数列表、sor头部、sor-mac-i和sor-counter其中至少之一的登记接受消息。
[0155]
10.在接收到消息时，ue首先验证哪个5g-an或plmn被用于发送消息。然后，ue从存储中检索与5g-an或plmn标识相关联的k
ausf
，并选择该密钥用于验证由ausf应用的完整性保护。ue随后通过验证应用于消息的sor-mac-i
ausf
来验证完整性保护，并且如果正确，则ue可以向udm返回登记确认消息。如果ue向udm返回登记确认消息，则将通过使用与被选择用于验证sor-mac-i
ausf
的k
ausf
相同的k
ausf
计算sor-mac-i
ue
来对消息进行完整性保护。
[0156]
在第五实施例中进一步定义了nausf_sorprotection和nausf_sorprotection_response消息。
[0157]
第一实施例的变型。
[0158]
图2是示出根据本公开的第一实施例的变型的过程的图。
[0159]
当ue经由不同的5g-an登记到plmn或者经由不同的5g-an登记到不同的plmn时，传递sor的详细步骤：
[0160]
0.ue在第一5g-an上登记到第一plmn，并且在第二5g-an上登记到第二plmn。根据第一实施例，ue和ausf这两者都保持具有与接入网络相关联的至少两个k
ausf
的存储。因此，ausf具有用于该特定ue的两个k
ausf
，一个用于第一plmn，并且另一个用于第二plmn。ue类似地具有两个k
ausf
，一个与第一plmn相关联，并且一个与第二plmn相关联。
[0161]
1.udm决定通知引导信息(优选plmn/接入技术组合的列表)的改变。基于例如以下因素，udm在第一plmn和第二plmn不同并且不是等效plmn时从第一plmn和第二plmn中选择plmn，或者在第一plmn和第二plmn是相同plmn或等效plmn时从第一5g-an和第二5g-an中选择rat：
[0162]
i)ue处于plmn上的连接状态，(例如，udm经由ue处于连接状态的plmn递送sor)。
[0163]
ii)5g-an类型(例如，3gpp接入优于非3gpp接入)。
[0164]
iii)plmn中的拥塞(例如，通过最不拥塞或不拥塞的plmn发送)。
[0165]
iv)ue最近认证的plmn(一些ue可能不支持存储多个k
ausf
的特征，这意味着udm应该决定使用最近的)
[0166]
2-4.执行第一实施例的步骤5、6和7。
[0167]
5.udm向在步骤2中选择的plmn或选择的rat的amf发起nudm_sdm_
updatenotification消息。
[0168]
如果当第一plmn和第二plmn是相同或等效plmn时ue登记到相同的amf，则udm在nudm_sdm_updatenotification消息中包括所选择的rat。
[0169]
在amf由多个plmn共享时的核心网络共享的情况下，udm还在nudm_sdm_updatenotification消息中包括所选择的plmn标识。
[0170]
6.amf使用dl nas传输消息经由nudm_sdm_updatenotification消息中存在的rat或者经由与nudm_sdm_updatenotification消息中存在的plmn标识相对应的网络来递送sor。
[0171]
7.amf向ue发送dl nas传输消息。然后，执行第一实施例的步骤10。
[0172]
在一个示例中，如果udm确认ue具有两个相关联的amf(即，两个plmn)(一个用于3gpp接入，并且另一个用于非3gpp接入)，则udm可以向两个amf发送包含sor信息、sor头部、sor-mac-i
ausf
、counter
sor
的两个nudm_udm_notification消息。
[0173]
第二实施例(解决问题陈述2的解决方案2)
[0174]
在使用控制面解决方案的ue参数更新过程中选择plmn和相应的安全密钥以向ue配置数据提供完整性保护。
[0175]
图3是示出根据本公开的第二实施例的过程的图。
[0176]
下面描述使用控制面过程的详细ue参数更新：
[0177]
0.ue在第一5g-an上登记到第一plmn，并且在第二5g-an上登记到第二plmn。ausf已经生成两个k
ausf
并存储在密钥存储中，一个用于第一plmn，并且另一个用于第二plmn。类似地，ue已经存储两个k
ausf
，一个与第一plmn相关联，并且一个与第二plmn相关联。
[0178]
1.udm决定进行使用控制面过程的ue参数更新过程(upu)。udm基于以下因素其中至少之一，当第一plmn和第二plmn不同并且不是等效plmn时，从第一plmn和第二plmn中选择plmn，或者当第一plmn和第二plmn是相同plmn或等效plmn时，从第一5g-an和第二5g-an中选择rat：
[0179]
i)ue处于plmn上的连接状态，(例如，ue经由ue处于连接状态的plmn递送sor)。
[0180]
ii)5g-an类型(例如，3gpp接入优于非3gpp接入)。
[0181]
iii)plmn中的拥塞(例如，通过最不拥塞或不拥塞的plmn发送)。
[0182]
iv)ue最近认证的plmn(一些ue可能不支持存储多个k
ausf
的特征，这意味着udm应该决定使用最近的)
[0183]
2.udm向ausf发送包含supi、upu数据以及可选的选择的rat或所择的plmn id其中至少之一的ack指示的nausf_upuprotection消息。
[0184]
3-4.ausf根据实施例1或2中的描述选择与在nausf_upuprotection消息中发送的rat或plmn相对应的k
ausf
。ausf使用所选择的k
ausf
来计算upu-mac-iausf、counterupu或upu-xmac-iue。ausf发送包含upu-mac-iausf或upu-xmac-iue或counterupu的nausf_upuprotection响应。
[0185]
5.udm向所选择的plmn的amf发送包含(upu数据、upu-mac-iausf、counterupu)的nudm_sdm_notification消息。udm还将如步骤2中所述的所选择的rat包括在nudm_sdm_notification消息中。udm可以将新参数“需要订户数据重新加载”包括在nudm_sdm_notification消息中。
[0186]
在udm确认ue具有两个相关联的amf(即，两个登记的plmn)(一个用于3gpp接入，并且另一个用于非3gpp接入)的情况下，udm可以向两个amf发送两个nudm_udm_notification消息。
[0187]
可替代地，udm在nudm_sdm_notification消息中指示amf需要从udm重新加载订户数据。如果amf接收到具有参数“需要订户数据重新加载”的nudm_sdm_notification消息。amf将新标志“需要订户数据重新加载”设置为激活，并且amf向ue发送具有参数“需要重新登记”的dl nas传输消息，使得ue可以进行两个登记过程，一个用于3gpp接入，并且另一个用于非3gpp接入。当amf从ue接收到登记请求消息并且amf具有激活的标志“需要订户数据重新加载”时，amf向udm调用nudm_sdm_get过程以从udm获取最新的订户数据，即使当amf具有订户数据时也是如此。一旦amf进行nudm_sdm_get过程，则amf将标志“需要订户数据重新加载”设置为未激活。
[0188]
可替代地，udm在nudm_sdm_notification消息中指示amf需要从udm重新加载订户数据。如果amf接收到具有参数“需要订户数据重新加载”的nudm_sdm_notification消息，则amf向ue发送具有新参数“订户数据重新加载所需的重新登记”的dl nas传输消息，使得ue可以进行两个登记过程，一个用于3gpp接入，并且另一个用于非3gpp接入。当amf从ue接收到具有参数“订户数据重新加载所需的重新登记”的登记请求消息时，amf向udm调用nudm_sdm_get过程，以从udm获取最新的订户数据，即使当amf具有订户数据时也是如此。
[0189]
在udm确认ue具有两个相关联的amf但是新更新的ue配置数据仅影响一个amf的情况下，udm可以仅向受该更新影响的amf发送一个nudm_udm_notification消息。
[0190]
6.amf经由所选择的plmn或经由所选择的rat，在dl nas传输消息中将upu数据、upu-mac-iausf、counterupu递送到ue。
[0191]
7.根据实施例1，ue从存储中选择适当的密钥，即，这是因为ue检测到哪个an被用于发送sor消息，或者因为ue读取了sor消息中指示an的字段(或其它密钥标识信息)。使用所选择的密钥，ue进行完整性保护，并且可选地返回使用相同机制进行完整性保护的消息。
[0192]
ue配置数据可以是ue订阅数据(即存储在amf或smf处的订阅数据(5g订阅、订阅的s-nssai、允许或不允许的跟踪区域))或ue订户数据(即存储在me存储或usim中的数据(例如，路由标识、默认配置的nssai))。
[0193]
在第五实施例中进一步定义了nausf_upuprotection消息和nausf_upuprotection响应消息。
[0194]
一个示例，可能存在udm需要请求ue或amf进行认证过程的情形。例如，ue进行从eps到5gs的切换，并且在5gs中发生任何基于5g的认证。在这种情况下，ue和网络可以以所谓的“映射”安全上下文结束。这意味着ue先前被认证到另一网络类型，例如epc/lte，并且ue已经完成了先前网络类型和当前网络类型之间的切换过程(例如，从epc到5gc的切换)。为了维持服务连续性，来自先前网络类型的安全上下文被映射到来自下一网络类型的安全上下文。例如，在epc到5gc切换中，这意味着k
amf
(在成功认证之后在ue和amf之间共享的5g密钥)是从k
asme
(其是在成功认证之后在mme和ue之间共享的epc密钥)导出的。从“映射的”k
amf
进一步导出所有其它密钥，如nas密钥、gnb密钥、rrc密钥和up密钥。在非映射或自然安全上下文中，k
amf
是从密钥层级中更高的密钥(即k
seaf
)导出的，k
seaf
又是从k
ausf
导出的，k
ausf
又是从ck和ik或者ck’和ik’导出的。因此，映射的安全上下文的存在意味着没有与安全上
下文相对应的k
seaf
或k
ausf
，这是因为没有经由5gc进行认证。在该情况下，由于ausf没有任何有效的k
ausf
，因此sor过程失败。类似地，由于seaf和ue没有k
seaf
，取决于k
seaf
的过程也将失败。一旦seaf和amf是分离的实体，则该问题变得更加紧迫，并且引入基于k
seaf
刷新k
amf
的过程。在该情形下，图3中的步骤5和步骤6如下所示进行。以下过程将适用于sor传输机制和ue配置机制。
[0195]
步骤5：udm在nudm_sdm_notification消息中向amf指示新参数“需要认证”。如果amf接收到具有参数“需要认证”的nudm_sdm_notification消息，则amf进行如非专利文献5中的第6.1.3.1节或第6.1.3.2.0节中所述的认证过程。
[0196]
可替代地，
[0197]
在步骤5中，udm在nudm_sdm_notification消息中向amf指示新参数“需要认证”。
[0198]
在步骤6中，如果amf接收到具有参数“需要认证”的nudm_sdm_notification消息，则amf向ue发送具有新参数“需要认证”的dl nas传输消息。如果ue接收到具有参数“需要认证”的dl nas传输消息，则ue进行如非专利文献5中的第6.1.2节和第6.1.3.1节或第6.1.2节和第6.1.3.2.0节中所述的认证过程。在一个示例中，ue可以通过发送包含被设置为“没有密钥可用”的参数suci和ngksi其中至少之一的登记请求消息来发起登记过程。在接收到登记请求消息时，amf向ausf发起认证过程。
[0199]
替代解决方案是，在ue在从eps切换到5gs之后以映射的安全上下文结束的情形下，ue可以触发向5g网络的注销过程。在这种情况下，5g网络和ue将在注销时删除当前映射的安全上下文，并且当ue再次向网络登记时将需要新的认证。该解决方案具有服务连续性失败的缺点。因此，如果是下面的情况，ue可以对应地决定动作：
[0200]-归属网络已经在ue中配置了该行为。在这种情况下，归属网络可以在usim上设置标志或在ue配置中设置标志，该标志表示每当ue具有映射的安全上下文时ue应该重新登记(例如，这样的参数可以是“避免映射的安全上下文”并且设置＝1)。在启动时，ue将读取该参数，并且如果存在并设置，则将默认为这里描述的行为。
[0201]-仅在设置了前述参数(避免映射的安全上下文＝1)并且ue尚未从amf接收到重新认证请求的情况下，ue将这样做。后者指示ue连接到可能不支持新引入的参数“需要认证”的amf。因此，ue推断需要重新登记以触发认证。
[0202]
第三实施例(解决问题陈述1和2的解决方案3)
[0203]
将ausf处的安全密钥与rat相关联。
[0204]
图4是示出根据本公开的第三实施例的过程的图。
[0205]
1.ue向amf发送包含suci或5g-guti的nas消息。
[0206]
2.amf/seaf决定调用认证过程(例如，在初始登记过程期间)。amf/seaf发送nausf_ueauthentication_authenticate请求消息，该消息包含与当前nas信令连接相关联的suci或supi、sn-name(服务网络(plmn)mcc和mnc)和rat其中至少之一。
[0207]
3-4.ausf在接收到nausf_ueauthentication_authenticate请求消息时，存储接收到的rat和sn-name(mcc和mnc)，并且ausf向udm发送包含suci或supi、sn-name和rat其中至少之一的nudm_ueauthentication_get请求。
[0208]
5-6.udm在接收到nausf_ueauthentication_authenticate请求消息时，将suci去隐藏为supi，并生成supi的认证向量(av)。udm向ausf发送nudm_authentication_get响应
消息，该消息包含与发起认证过程的当前nas信令相关联的5g he av、supi和rat其中至少之一。
[0209]
7.在接收到nudm_authentication_get响应消息时，ausf存储k
ausf
与服务网络名称和rat。
[0210]
在第五实施例中定义了nausf_ueauthentication_authenticate消息。
[0211]
第三实施例的变型1a(解决问题陈述1和2的解决方案3)
[0212]
将ausf处的安全密钥与rat相关联。
[0213]
图5是示出根据本公开的第一实施例的变型1a的过程的图。
[0214]
1.ue向amf发送包含suci或5g-guti的nas消息。在该消息中，ue指示支持存储多个k
ausf
和相关联的rat。该多个k
ausf
能力指示符(mkci)可以包括在：
[0215]-传输到udm的suci中的字段。这可以是新字段，或者是现有字段(诸如routingid或密钥标识符)的一部分。该字段还可以例如通过包括指示对某些特征的支持的附加数字而被附加到受保护的supi。该字段也可以是被包括在suci的隐藏或非隐藏部分中的单独的新字段。
[0216]-nas消息本身中的新字段。
[0217]
2.amf/seaf决定调用认证过程(例如，在初始登记过程期间)。amf/seaf发送nausf_ueauthentication_authenticate请求消息，该消息包含与当前nas信令连接相关联的suci或supi、sn-name(服务网络(plmn)的mcc和mnc)和rat其中至少之一。如果ue在初始nas消息中包括mkci，则amf还将其包括在至ausf的消息中。
[0218]
3-4.ausf在接收到nausf_ueauthentication_authenticate请求消息时，存储接收到的rat和sn-name(mcc和mnc)，并且ausf向udm发送包含suci或supi、sn-name和rat其中至少之一的nudm_ueauthentication_get请求。如果包括mkci参数，则ausf将该ue标记为能够存储多个k
ausf
。如果不包括该指示符，则ausf将ue标记为不能存储多个k
ausf
。这允许ausf确定其应该针对哪个ue使用由认证产生的最新k
ausf
或者其可以针对哪个从存储中的k
ausf
中选择k
ausf
。
[0219]
5-6.udm在接收到nausf_ueauthentication_authenticate请求消息时，将suci去隐藏为supi，并生成supi的认证向量(av)。udm向ausf发送包含与发起认证过程所针对的当前nas信令相关联的5g he av、supi和rat其中至少一个的nudm_authentication_get响应消息。
[0220]
7.在接收到nudm_authentication_get响应消息时，ausf存储k
ausf
以及服务网络名称和rat，并且对于已经指示与mkci不兼容的ue，ausf将存储认证的时间。ausf可以在选择k
ausf
以与sor过程、upu过程或k
ausf
的其它用途(诸如依赖于k
ausf
或者归属网络和ue之间的进一步通信的认证服务或自举服务等)一起使用的稍后时间使用存储的信息。
[0221]
如果ue已经包括mkci，则这意味着其能够根据先前实施例存储多个k
ausf
。在完成认证运行之后，ue将k
ausf
与plmn id和rat一起存储在用于密钥的存储中。
[0222]
在第五实施例中定义了nausf_ueauthentication_authenticate消息。
[0223]
第三实施例的变型1b(解决问题陈述1和2的解决方案3)
[0224]
变型1a的一个缺点是ue预先不知道归属网络是否与存储多个密钥的选项兼容。因此，需要一种机制来向ue通知归属网络与存储多个密钥兼容。此外，归属网络甚至可以不使
用sor或upu过程，使得k
ausf
的存储无论如何都不是必需的。
[0225]
在该实施例中，附加参数存储在usim上，该附加参数向ue指示归属网络与存储多个k
ausf
兼容。这将如下工作：
[0226]
1.ue启动并读取usim上的文件系统。检查归属网络可以存储多个k
ausf
的设置的存在。如果找到设置，则将读取参数，并且如果设置为真，则ue假设需要存储多个k
ausf
。
[0227]
2.ue将在suci中设置mkci，这将向归属网络指示ue与存储多个k
ausf
兼容。
[0228]
该变型如具有mkci设置的先前变型那样继续。
[0229]
另外，usim可以包含能够被设置为用信号通知ue以下内容的两个参数或一个参数：
[0230]-无论如何都不需要k
ausf
的存储
[0231]-仅可以存储一个k
ausf
(存储最新的一个)
[0232]-可以存储多个k
ausf
[0233]
该实施例的一个优点是与多个k
ausf
的存储不兼容的ue将不会读取参数，并且将不向网络指示兼容性。在这种情况下，udm将必须采用回退机制来决定可以使用哪个k
ausf
。
[0234]
第三实施例的变型1c(解决问题陈述1和2的解决方案3)
[0235]
变型1a的一个缺点是ue预先不知道归属网络是否与存储多个密钥的选项兼容。因此，需要一种机制来向ue通知归属网络与存储多个密钥兼容。此外，归属网络甚至可以不使用sor或upu过程，使得k
ausf
的存储无论如何都不是必需的。
[0236]
为了解决登记过程期间的这个问题，amf在nas消息(例如，登记接受消息或认证请求消息或安全模式命令消息或其它nas消息)中指示ausfk
ausf
存储能力。这工作如下：ausf首先向amf/seaf指示该能力，或者首先，amf通过操作和管理过程确定该能力。其次，网络例如通过nas消息向ue指示这一点。可替代地，网络可以使用例如系统信息块或mib或任何系统信息来广播该能力。网络k
ausf
存储能力可以指示以下网络k
ausf
存储能力中的任何一个：
[0237]-无论如何都不需要k
ausf
的存储
[0238]-仅可以存储一个k
ausf
(存储最新的一个)
[0239]-可以存储多个k
ausf
。
[0240]
在接收到该能力时，ue相应地存储k
ausf
，例如，如果没有指示k
ausf
的存储，则ue可以不存储任何k
ausf
，如果指示仅可以存储一个k
ausf
，则ue可以仅存储一个k
ausf
，或者在可以存储多个k
ausf
的情况下，ue可以存储多个k
ausf
。当ue接收到该能力时，ue可以通过发送nas消息来确认对该能力的接收。
[0241]
第三实施例的变型1d(解决问题陈述1和2的解决方案3)
[0242]
变型1a的一个缺点是ue预先不知道归属网络是否与存储多个密钥的选项兼容。在网络似乎与存储多个k
ausf
不兼容的情况下，ue可以如下动作：
[0243]-存储多个k
ausf
，并假设网络能够存储多个k
ausf
[0244]-每当ue从利用k
ausf
保护的网络接收到消息时，ue进行以下操作：
[0245]
》如果消息格式包括密钥标识信息(诸如rat或plmn等)，则ue默认为先前实施例的行为。例如，ue查找适当的密钥，并且使用针对该消息找到的相关密钥来处理消息。
[0246]
》如果消息格式不包括显式密钥信令，则ue将尝试检测隐式信令。如在第一实施例中所述，ue可以验证经由哪个rat发送消息并且找到针对该rat的适当密钥。然后，ue验证由
ausf应用于消息的完整性保护，并且如果是正确的，则ue如所描述的那样处理消息。因此，将更新ue参数，将有效载荷转发到usim，或者更新优选漫游plmn的列表。然而，如果验证不正确，则ue进行以下操作：
[0247]
*ue假设网络不能存储多个k
ausf
。
[0248]
*ue从存储器检索最新的k
ausf
。
[0249]
*ue使用从存储器检索的k
ausf
处理消息，并且如果完整性保护失败，则丢弃该消息。如果完整性保护没有失败，则将如前所述处理消息。
[0250]
第四实施例(解决问题陈述1&2的解决方案4)
[0251]
固定plmn和rat以存储相应的安全密钥和通信
[0252]
图6是示出根据本公开的第四实施例的过程的图。
[0253]
在图6中，示出根据非专利文献5的eap aka’交换。步骤1-8在非专利文献5中详细描述，并且为了完整起见，下面仅概述。非专利文献5中不存在步骤9-13。
[0254]
1.udm生成用于eap aka’的av。
[0255]
2.udm使用nudm_ueauthenticate_get响应向ausf发送eap aka’av。
[0256]
3.ausf使用nausf_ueauthentication_authenticate响应向amf/seaf发送eap请求/aka
’‑
challenge。
[0257]
4.amf/seaf向ue发送eap请求/aka
’‑
challenge。
[0258]
5.在ue内部，usim从me(移动设备)接收aka
’‑
challenge，并计算针对质询的响应res，并将res、ck和ik输出到me。在接收到ck和ik之后，me从ck和ik导出ck’和ik’，并且随后从ck’和ik’导出k
ausf
。me还可以计算其它密钥(诸如来自k
ausf
的k
seaf
和k
amf
等)。
[0259]
6.ue将res返回到amf/seaf。
[0260]
7.amf/seaf使用nausf_ueauthentication_authenticate请求将res返回到ausf。
[0261]
8.在接收到res时，ausf通过将res与包括在从udm接收的av中的xres进行比较来验证res。如果正确，则ausf可以决定通过执行k
ausf
密钥设置过程将从该认证得到的密钥标记为将用于后续过程的k
ausf
。因此，ausf执行步骤9。如果ausf确定不需要新的k
ausf
，例如，由于在存储中具有一个k
ausf
，或者由于ue正在非3gpp an上进行认证，则ausf可以省略ausf密钥设置过程。
[0262]kausf
密钥设置过程利用了来自现有技术的在步骤8之后发送可选eap消息的可能性的优点。因此，可以在保持与现有amf/seaf的向后兼容性的同时在该时间点执行该过程。
[0263]kausf
密钥设置过程具有以下步骤(9-13)，之后ausf返回到现有技术中定义的行为。
[0264]
9.ausf向amf发送eap消息，该eap消息可以包含以下任一项：
[0265]-标识请求消息。利用该消息，ausf向ue发送标识请求。该请求的目标是要求ue用k
ausf
的标识进行响应。然而，与该过程不兼容的ue可以用suci进行响应，该suci向ausf告知ue不兼容。k
ausf
的标识可以例如计算为kid＝kdf(supi，k
ausf
)。
[0266]-通知消息。该消息可以包含指示当前k
ausf
将是用于进一步过程的k
ausf
的消息。
[0267]-请求：例如，包含用于ue计算和证明拥有k
ausf
的质询的eap请求消息。该消息还可以包含认证令牌，使得ue知道质询来自合法源。请求消息还可以包含来自ausf的k
ausf
的质询或拥有证明。这样的拥有证明可以由ausf使用kdf从随机数和k
ausf
本身计算(例如，
proof_of_possession＝kdf(rand,k
ausf
))。
[0268]
10.amf/seaf将消息转发给ue
[0269]
11.ue根据消息的类型生成对消息的响应消息：
[0270]-标识响应消息：如果传入消息是标识请求消息，则ue现在可以用从k
ausf
和散列函数构造的消息进行响应，例如所请求的标识＝kdf(supi,k
ausf
)，其中ue使用supi作为所请求的标识计算的输入参数之一。ue还可以使用plmn rat组合、suci或与ausf共享的其它参数。
[0271]-通知消息：ue可以确认通知消息并将该k
ausf
标记为当前k
ausf
。
[0272]-请求：如果请求包含质询，则ue使用ausf用于计算预期响应的相同函数(例如res＝kdf(质询,k
ausf
))来计算响应。如果质询包含拥有密钥的证明，则ue可以首先通过进行与ausf相同的计算(proof_of_possession＝kdf(rand,k
ausf
))并且验证ue的计算结果与在消息中找到的拥有证明相匹配来验证拥有密钥的证明。
[0273]
在计算响应之后，ue存储ausf并将其标记为用于未来过程的密钥。
[0274]
12.ue用在步骤11中生成的消息进行响应。
[0275]
13.amf/seaf将ue的响应转发到ausf。
[0276]
14.ausf从ue接收消息，并且根据消息的种类，将采取以下动作：
[0277]-标识响应消息：ausf验证预期标识与ue提供的标识匹配。如果正确，则ausf将存储新密钥并将其标记为用于后续过程的密钥。如果ue以错误响应(例如，由于ue尚未实现该特征)，则ausf将ue标记为没有密钥固定特征的ue，并存储k
ausf
以用于后续过程。这也意味着对于后续认证，ausf将在认证完成之后继续覆写k
ausf
，这是因为ausf将尝试匹配ue行为。如果ausf发现标识不匹配，则ausf将必须中止认证，这是因为显然错误地计算了密钥。
[0278]-通知确认消息：如果接收到通知确认，则ausf推断ue支持该特征，并且将密钥标记为用于未来过程。如果接收到错误，则ausf推断ue不支持该特征，并且将该ue标记为不支持该特征(并因此存储k
ausf
)。
[0279]-响应：ausf验证响应，并且如果响应与预期响应匹配，则ausf推断ue已经成功计算了密钥并支持密钥固定的特征。ausf存储密钥并对其进行标记以供未来使用。如果ausf接收到错误消息，则ausf将推断ue不支持该特征。ausf将ue标记为与特征不兼容并存储k
ausf
。
[0280]
认证过程可以如非专利文献5中所指定的那样进一步继续。
[0281]
在一些情况下，ue将与该特征兼容，但是ausf可能不兼容。ue不能推断ausf是否兼容，但是可以通过使用来自该实施例的过程在ausf用信号通知兼容性之前采取以下缓解措施：
[0282]-如果ue附接到第二plmn以进行非3gpp接入，则ue将存储第二k
ausf
，而不是覆写k
ausf
。只要不进行上述过程，ue就将保持存储其所附接到的每个接入的至少一个k
ausf
。如果ue接收到需要使用k
ausf
来验证完整性的漫游引导消息或ue参数更新消息，则ue将首先使用最新的k
ausf
来验证完整性，并且如果本次验证失败，则使用下一k
ausf
(与另一接入相关联)来验证完整性。如果第二次验证成功，则ue将使用该k
ausf
来完整性保护返回消息(如果有的话)。
[0283]
第四实施例的变型
[0284]
在认证之后固定plmn和rat以供存储相应的安全密钥和通信。
[0285]
由于eap aka’中的附加eap消息的可选性，第四实施例仅适用于eapaka’。因此，对于使用5g aka’的运营商，需要开发另一方法来固定k
ausf
。
[0286]
图7是示出根据本公开的第四实施例的变型的过程的图。
[0287]
在图7中，示出使用dl nas传输的密钥固定过程。该过程可以在登记到特定网络之后直接执行，以确保k
ausf
被固定以供未来使用。如果ue在此之后附接到另一接入，则udm可以选择不使用该过程，这是因为可以依赖于与先前登记相关联的密钥。该过程如下工作：
[0288]
1.ue向接入网络、非3gpp或3gpp接入登记。
[0289]
2.amf/seaf发起与ausf的认证过程。
[0290]
3.在认证过程完成之后，amf/seaf运行安全模式命令过程，并且ue现在向rat登记。因此，ue和ausf在存储中具有其可以用于后续过程的k
ausf
。然而，在该实施例中，ue和ausf不标记该密钥以在后续过程中使用，直到完成以下步骤为止。
[0291]
3-a.amf向udm发送nudm_uecm_registration以通知正在使用的无线电接入技术(rat)。
[0292]
4.amf向udm发送消息nudm_sdm_get以获得订户数据。
[0293]
5.udm决定将该plmn/rat用于后续过程，诸如upu和sor等。因此，udm向ausf发送“nausf_kausf_pinning”消息。该消息可以包含当前登记的plmn rat组合、supi和对确认的请求。
[0294]
6.ausf如下使用当前k
ausf
计算当前plmn rat的kpin-mac-iausf：
[0295]
kpin-mac-iausf＝kdf(supi,plmn,rat,ack指示符,k
ausf
)，其中k
ausf
是密钥导出函数kdf的输入密钥。此外，kdf可以包括计数器以避免密钥重复。可替代地，也可以包括随机数。在需要确认的情况下，ausf还可以计算预期响应。该预期响应可以计算如下：
[0296]
kpin-mac-iue＝kdf(supi,plmn,rat,“acknowledgement”,k
ausf
)，其中k
ausf
是kdf的输入密钥，并且文本“acknowledgement”指示ue具有将使用密钥的确认。
[0297]
ausf将临时存储kpin-xmac-iue(如果计算出的话)。
[0298]
7.ausf在nausf_kausf_pinning响应消息中将kpin-mac-iausf返回到udm。该消息还可以包括kpin-xmac-iue和计数器(如果使用的话)。
[0299]
8.在nudm_sdm_get_response消息中，udm包括用于ue固定密钥和kpin-mac-iausf的指示符以及可选的ack指示符(如果它在步骤5的消息中被发送到ausf的话)。
[0300]
9.amf/seaf将k
ausf
固定指示符、确认指示符和kpin-mac-iausf转发到ue。
[0301]
在接收到消息之后，ue首先通过使用与ausf已经使用的相同的密钥导出函数和输入值计算期望值来计算kpin-mac-iausf的有效性。如果正确，则ue将使用k
ausf
并将其标记为用于后续过程。如果需要确认，则ue将如步骤6所述计算kpin-mac-iue，并在nas ul传输消息中将kpin-mac-iue发送到amf/seaf。
[0302]
如果amf/seaf接收到这样的消息，则将其转发到udm。当udm接收到消息时，将做两件事：
[0303]-将该特定plmn/rat组合标记为后续过程的优选路径(即，如果已经在另一接入上登记，则在尝试将upu或sor的消息发送到同一ue之前，首先使用该路径发送upu或sor的消息)
[0304]-将消息发送到ausf
[0305]
ausf将在接收到消息之后存储k
ausf
并将该k
ausf
标记为用于后续过程。
[0306]
第五实施例(解决问题陈述1和2的解决方案4)。
[0307]
在所有上述实施例中的一个示例中，第一5g-an是3gpp接入，并且第二5g-an是非3gpp接入。
[0308]
在所有上述实施例中的另一示例中，第一5g-an是非3gpp接入，并且第二5g-an是3gpp接入。
[0309]
在一个示例中，所有上述实施例也适用于第一plmn和第二plmn相同或等效并且在ue和网络功能(ausf/amf/seaf)中存在两个5g nas安全上下文的情况。
[0310]
在一个示例中，所有上述实施例适用于ue在属于归属plmn的hplmn(即5gs(所有网络功能(nf)、5g-an、amf))中登记的场景。
[0311]
在所有第一实施例和第一实施例的变型的一个示例中，如果由于ue计算的sor-mac-i
ausf
与第一vplmn发送的sor-mac-i
ausf
不匹配而在ue处安全检查失败，则ue发送包括指示mac失败(即，ue计算的sor-mac-i
ausf
与网络发送的sor-mac-i
ausf
不匹配)的原因值的nas消息(例如，实施例1中的登记完成或实施例1的变型的ul nas传输消息)，amf/seaf在包含supi的消息中将该原因传递给ausf。当ausf在来自amf/seaf的消息中接收到supi和原因值时，在消息中将这些参数传递到udm。在接收到这些参数之后，udm尝试使用第二登记的plmn发送sor。
[0312]
在所有第二实施例和第二实施例的变型的一个示例中，如果由于ue计算的sor-mac-i
ausf
与第一vplmn发送的sor-mac-i
ausf
不匹配而在ue处安全检查失败，则ue发送包括指示mac失败(即，ue计算的sor-mac-i
ausf
与网络发送的sor-mac-i
ausf
不匹配)的原因值的nas消息(例如，实施例1中的登记完成或实施例1的变型的ul nas传输消息)，amf/seaf在包含supi的消息中将该原因传递给ausf。当ausf在来自amf/seaf的消息中接收到supi和原因值时，在消息中将这些参数传递到udm。在接收到这些参数之后，udm尝试使用第二登记的plmn发送sor。
[0313]
在网络共享的情况下，即一个网络功能(nf)(例如，amf、smf等)由多个plmn共享并且ue同时(例如，通过3gpp接入和非3gpp接入)登记到这些plmn的情况下，nf可以在发送到不同nf的消息中包括相关plmn的plmn标识。例如，当amf在plmn 1和plmn 2之间共享并且ue登记到这两个plmn(例如，经由3gpp登记到一个plmn并且经由非3gpp接入登记到另一plmn)时，smf在与plmn 1相关的消息中包括plmn 1的plmn标识，并将该消息发送到amf。amf使用plmn 1的plmn标识和supi来在amf中寻找与plmn 1相关的ue上下文。
[0314]
ausf向网络功能提供以下服务。
[0315]
以下描述基于非专利文献5。
[0316]
1nausf_ueauthentication服务
[0317]
服务操作名称：nausf_ueauthentication_authenticate。
[0318]
描述：认证ue并提供相关的密钥材料。
[0319]
输入，必需：以下选项之一。
[0320]
1.在初始认证请求中：supi或suci，服务网络名称。
[0321]
2.根据验证方法，在后续验证请求中：
[0322]
a.5g aka：如条款6.1.3.2中所述的具有res*的认证确认消息或同步失败指示和相关信息(即rand/auts)。
[0323]
b.eap-aka’：如rfc 4187[21]和rfc 5448[12]以及附录f中所述的eap分组。
[0324]
输入，可选：无。
[0325]
输出，必需：以下选项之一。
[0326]
1.根据标识验证方法：
[0327]
a.5g aka：如条款6.1.3.2中所述的认证向量或认证认可确认消息。
[0328]
b.eap-aka’：如rfc 4187[21]和rfc 5448[12]以及附录f中所述的eap分组。
[0329]
2.认证结果，以及成功的情况下amf用于导出nas安全密钥的主密钥和其它安全密钥。
[0330]
输出，可选：用suci发起认证的情况下的supi。
[0331]
2nausf_sorprotection服务
[0332]
下表示出ausf提供的sor的安全相关服务。
[0333]
表1：ausf提供的sor的nf服务
[0334]
服务名称服务操作操作语义示例消费者nausf_sorprotection保护请求/响应udm
[0335]
服务操作名称：nausf_sorprotection。
[0336]
描述：ausf使用ue特定归属密钥(k
ausf
)以及从请求方nf接收的引导信息来计算如本文档的附件a.17中所指定的sor-mac-i
ausf
，并将sor-mac-i
ausf
和counter
sor
递送到请求方nf。如果存在ack指示输入，则ausf将计算sor-xmac-i
ue
，并在响应中返回计算出的sor-xmac-i
ue
。在ts 24.501[35]中指定了sor头部的细节。
[0337]
输入，必需：请求方id、supi、服务名称、sor头部。
[0338]
输入，可选：ack指示，优选plmn/接入技术组合的列表。
[0339]
输出，必需：sor-mac-i
ausf
，counter
sor
或错误(counter_wrap)。
[0340]
输出，可选：sor-xmac-iue(如果存在ack指示输入，则应计算并返回sor-xmac-i
ue
)。
[0341]
3nausf_upuprotection服务
[0342]
下表示出ausf提供的用于ue参数更新的安全相关服务。
[0343]
表2：ausf提供的ue参数更新的nf服务
[0344]
服务名称服务操作操作语义示例消费者nausf_upuprotection保护请求/响应udm
[0345]
服务操作名称：nausf_upuprotection。
[0346]
描述：ausf使用ue特定归属密钥(k
ausf
)以及从请求方nf接收的ue参数更新数据来计算如本文的附录a.19中指定的upu-mac-i
ausf
，并将upu-mac-i
ausf
和counter
upu
递送到请求方nf。如果存在ack指示输入，则ausf将计算upu-xmac-i
ue
，并在响应中返回计算出的upu-xmac-i
ue
。ue参数更新数据的细节在ts 24.501[35]中指定。
[0347]
输入，必需：请求方id、supi、服务名称、ue参数更新数据。
[0348]
输入，可选：ack指示。
[0349]
输出，必需：upu-mac-i
ausf
，counter
upu
或错误(counter_wrap)。
[0350]
输出，可选：upu-xmac-i
ue
(如果存在ack指示输入，则将计算并返回upu-xmac-i
ue
)。
[0351]
udm向网络功能提供以下服务。
[0352]
4nudm_ueauthentication_get服务操作
[0353]
服务操作名称：nudm_ueauthentication_get
[0354]
描述：请求方nf从udm获得认证数据。对于基于aka的认证，该操作还可以用于从同步失败情形中恢复。如果包括suci，则该服务操作返回supi。
[0355]
输入，必需：supi或suci，服务网络名称。
[0356]
输入，可选：同步失败指示和相关信息(即rand/auts)。
[0357]
输出，必需：由supi或suci输入识别的特定ue的认证方法和相应的认证数据。
[0358]
输出，可选：在suci用作输入的情况下的supi。
[0359]
5nudm_ueauthentication_resultconfirmation服务操作
[0360]
服务操作名称：ueauthentication_resultconfirmation
[0361]
描述：请求方nf向udm通知关于与ue的认证过程的结果。
[0362]
输入，必需：supi，认证的时间戳，认证类型(例如，eap方法或5g-aka)和服务网络名称。
[0363]
输入，可选：无。
[0364]
输出，必需：无。
[0365]
输出，可选：无。
[0366]
其它实施例
[0367]
本公开中的用户设备(或“ue”、“移动站”、“移动装置”或“无线装置”)是经由无线接口连接到网络的实体。
[0368]
应当注意，本说明书中的ue不限于专用通信装置，并且可应用于在本说明书中描述的具有作为ue的通信功能的任何装置，如在以下段落中解释的。
[0369]
术语“用户设备”或“ue”(如3gpp所使用的术语)、“移动站”、“移动装置”和“无线装置”通常旨在彼此同义，并且包括独立的移动站，诸如终端、蜂窝电话、智能电话、平板计算机、蜂窝iot装置、iot装置和机器等。
[0370]
应当理解，术语“ue”和“无线装置”还包括长时间保持静止的装置。
[0371]
ue可以例如是用于生产或制造的设备项和/或能量相关机械项(例如，诸如：锅炉；发动机；涡轮机；太阳能面板；风力涡轮机；水力发电机；热力发电机；核能发电机；电池；核系统和/或相关设备；重型电气机械；泵，包括真空泵；压缩机；风扇；鼓风机；液压设备；气动设备；金属加工机械；操纵器；机器人和/或其应用系统；工具；模或模具；辊；传送设备；升降设备；材料处理设备；纺织机械；缝纫机；印刷和/或相关机械；纸张转换机械；化学机械；采矿和/或建筑机械和/或相关设备；用于农业、林业和/或渔业的机械和/或机具；安全和/或环境保存设备；拖拉机；精密轴承；链；齿轮；动力传输设备；润滑设备；阀；管道配件；和/或任何前述设备或机械的应用系统等的设备或机械)。
[0372]
例如，ue可以是运输设备项(例如，诸如：轮车；机动运载工具；摩托车；自行车；火车；公共汽车；手推车；人力车；船舶和其它水运工具；飞机；火箭；卫星；无人机；气球等的运输设备)。
[0373]
ue可以例如是信息和通信设备项(例如，诸如：电子计算机和相关设备；通信和相关设备；电子组件等的信息和通信设备)。
[0374]
ue可以例如是制冷机、制冷机应用产品、交易物品和/或服务工业设备、自动售货机、自动服务机、办公机器或设备、消费电子和电子设备(例如，诸如：音频设备；视频设备；扬声器；收音机；电视；微波炉；电饭锅；咖啡机；洗碗机；洗衣机；干燥机；电子风扇或相关设备；清洁器等的消费电子设备)。
[0375]
ue例如可以是电应用系统或设备(例如，诸如：x射线系统；粒子加速器；放射性同位素设备；音响设备；电磁应用设备；电子电力应用设备等的电应用系统或设备)。
[0376]
ue例如可以是电子灯、灯具、测量仪器、分析器、测试仪或测量或感测仪器(例如，诸如：烟雾报警器；人体报警传感器；运动传感器；无线标签等的测量或感测仪器)、手表或时钟、实验室仪器、光学设备、医疗设备和/或系统、武器、餐具物品或手工具等。
[0377]
例如，ue可以是装备有无线的个人数字助理或相关设备(诸如被设计成附接到或插入到其它电子装置(例如个人计算机、电测量机器)的无线卡或模块等)。
[0378]
ue可以是使用各种有线和/或无线通信技术提供下文描述的关于“物联网(iot)”的应用、服务和解决方案的装置或系统的一部分。
[0379]
物联网装置(或“物”)可以装备有适当的电子设备、软件、传感器和/或网络连接性等，其使得这些装置能够彼此收集和交换数据以及与其它通信装置收集和交换数据。iot装置可以包括遵循存储在内部存储器中的软件指令的自动化设备。iot装置可以在不需要人工监督或交互的情况下操作。iot装置也可能长时间保持静止和/或不活动。iot装置可以实现为(通常)静止的设备的一部分。iot装置也可以嵌入在非静止的设备(例如运载工具)中，或者附接到要监视/跟踪的动物或人。
[0380]
应当理解，iot技术可以在可以连接到用于发送/接收数据的通信网络的任何通信装置上实现，而不管这种通信装置是由人输入控制还是由存储在存储器中的软件指令控制。
[0381]
应当理解，iot装置有时也被称为机器类型通信(mtc)装置或机器到机器(m2m)通信装置或窄带-iot ue(nb-iot ue)。应当理解，ue可以支持一个或多个iot或mtc应用。mtc应用的一些示例列于表3(来源：3gpp ts 22.368，附录b，其内容通过引用并入本文)。该列表并非详尽无遗，并且旨在指示机器类型通信应用的一些示例。
[0382]
表3：机器类型通信应用的一些示例
[0383]
[0384]
[0385][0386]
应用、服务和解决方案可以是mvno(移动虚拟网络运营商)服务、紧急无线电通信系统、pbx(专用分支exchange)系统、phs/数字无绳电信系统、pos(销售点)系统、广告呼叫系统、mbms(多媒体广播和多播服务)、v2x(运载工具到万物)系统、列车无线电系统、位置相关服务、灾难/紧急无线通信服务、社区服务、视频流服务、毫微微小区应用服务、volte(lte上的语音)服务、计费服务、无线电点播服务、漫游服务、活动监视服务、电信承载/通信nw选择服务、功能限制服务、poc(概念证明)服务、个人信息管理服务、ad-hoc网络/dtn(延迟容忍网络)服务等。
[0387]
此外，上述ue类别仅仅是本文件中描述的技术思想和示例性实施例的应用的示例。不用说，这些技术思想和实施例不限于上述ue，并且可以对其进行各种修改。
[0388]
用户设备(ue)
[0389]
图8是示出ue的主要组件的框图。如图所示，ue包括收发器电路，该收发器电路可经由一个或多个天线向连接的节点发送信号并从连接的节点接收信号。信号可以是rrc或nas消息。例如，nas消息可以是登记请求消息、登记接受消息、nas dl消息、auth-req消息和auth-resp消息。尽管不一定在图8中示出，但是ue当然将具有传统移动装置的所有常规功能(例如用户接口)，并且这可以适当地由硬件、软件和固件中的任何一种或任何组合来提供。例如，软件可以预先安装在存储器中以及/或者可以经由电信网络或从可移除数据存储装置(rmd)下载。
[0390]
控制器根据存储器中所存储的软件来控制ue的操作。例如，控制器可以由中央处理单元(cpu)来实现。软件包括操作系统和至少具有收发器控制模块的通信控制模块等。通信控制模块(使用其收发器控制子模块)负责处理(生成/发送/接收)ue与其它节点(诸如基站/(r)an节点、mme、amf(以及其它核心网络节点))之间的信令和上行链路/下行链路数据分组。这样的信令可以包括例如与连接建立和维护有关的适当格式化的信令消息(例如，rrc消息)、诸如周期性位置更新相关消息(例如，跟踪区域更新、寻呼区域更新、位置区域更新)等的nas消息。
[0391]
(r)an节点
[0392]
图9是示出示例性(r)an节点的主要组件的框图，该节点例如是基站(lte中的
‘
enb’，5g中的
‘
gnb’)。如图所示，(r)an节点包括收发器电路，该收发器电路可操作以经由一个或多个天线向连接的ue发送信号并从连接的ue接收信号，以及经由网络接口(直接地或间接地)向其它网络节点发送信号并从其它网络节点接收信号。信号可以是rrc或nas消息。例如，nas消息可以是登记请求消息、登记接受消息、nas dl消息、auth-req消息和auth-resp消息。(r)an节点可以从节点接收nas消息并且将该nas消息透传到另一节点。控制器根据存储器中所存储的软件来控制(r)an节点的操作。例如，控制器可以由中央处理单元(cpu)来实现。例如，软件可以预先安装在存储器中以及/或者可以经由电信网络或从可移除数据存储装置(rmd)下载。软件包括操作系统和至少具有收发器控制模块的通信控制模块等。
[0393]
通信控制模块(使用其收发器控制子模块)负责处理(生成/发送/接收)(r)an节点与其它节点(诸如，ue、mme、amf等)之间的信令(例如直接地或间接地)。该信令可以包括例如与无线电连接和定位过程相关的适当格式化的信令消息(针对特定ue)并且特别是与连接建立和维护相关的适当格式化的信令消息(例如，rrc连接建立和其它rrc消息)、周期性位置更新相关消息(例如，跟踪区域更新、寻呼区域更新、位置区域更新)、s1 ap消息和ng ap消息(即，利用n2参考点的消息)等。在发送情况下，这样的信令还可以包括例如广播信息(例如，主信息和系统信息)。
[0394]
控制器还被配置为(通过软件或硬件)处理相关任务，诸如实现时的ue移动性估计和/或移动轨迹估计。
[0395]
amf
[0396]
图10是示出amf的主要组件的框图。amf包括在5gc中。如图所示，amf包括收发器电路，其可操作以经由网络接口向其它节点(包括ue)发送信号并从其它节点(包括ue)接收信号。信号可以是消息，例如，nudm_uecm_registration、nudm_sdm_get、nudm_sdm_get_response、nudm_smd_notification、nausf_ueauthentication_authenticate请求、nausf_ueauthentication_authenticate响应。控制器根据存储器中存储的软件来控制amf的操作。例如，控制器可以由中央处理单元(cpu)来实现。例如，软件可以预先安装在存储器中以及/或者可以经由电信网络或从可移除数据存储装置(rmd)下载。软件包括操作系统和至少具有收发器控制模块的通信控制模块等。
[0397]
通信控制模块(使用其收发器控制子模块)负责处理(生成/发送/接收)amf和其它节点(诸如，ue、基站/(r)an节点(例如，“gnb”或“enb”)等)之间的信令(直接地或间接地)。这样的信令可以包括例如与本文描述的过程相关的适当格式化的信令消息，例如，用以传送来自ue、及至ue的nas消息的ng ap消息(即，利用n2参考点的消息)等。
[0398]
ausf
[0399]
图11是示出ausf的主要组件的框图。如图所示，ausf包括收发器电路，该收发器电路可操作以经由网络接口向其它节点(包括ue)发送信号和从其它节点(包括ue)接收信号。这些信号可以是消息，例如，nausf sorpprotection、nausf sorpprotection响应、nausf_ueauthentication_get请求、nausf_ueauthentication_get响应、nausf_kausf_pinning、nausf_kausf_pinning响应、nausf_ueauthentication_authenticate请求和nausf_ueauthentication_authenticate响应。控制器根据存储在存储器中的软件控制ausf的操作。例如，控制器可以由中央处理单元(cpu)实现。例如，软件可以预先安装在存储器中以及/或者可以经由电信网络或从可移除数据存储装置(rmd)下载。软件包括操作系统和具有至少收发器控制模块的通信控制模块等。
[0400]
通信控制模块(使用其收发器控制子模块)负责处理(生成/发送/接收)ausf与其它节点(诸如amf和udm等)之间的信令。
[0401]
udm
[0402]
图12是示出udm的主要组件的框图。如图所示，udm包括收发器电路，该收发器电路可操作以经由网络接口向其它节点(包括ue)发送信号和从其它节点(包括ue)接收信号。这些信号可以是消息，例如，nausf sorpprotection、nausf sorpprotection响应、nudm_uecm_registration、nudm_sdm_get、nudm_sdm_get_response、nausf_ueauthentication_
get请求、nausf_ueauthentication_get响应、nausf_kausf_pinning和nausf_kausf_pinning响应。控制器根据存储在存储器中的软件控制amf的操作。例如，控制器可以由中央处理单元(cpu)实现。例如，软件可以预先安装在存储器中以及/或者可以经由电信网络或从可移除数据存储装置(rmd)下载。软件包括操作系统和具有至少收发器控制模块的通信控制模块等。
[0403]
通信控制模块(使用其收发器控制子模块)负责处理(生成/发送/接收)udm和其它节点(诸如ausf等)之间的信令。
[0404]
如本领域技术人员将理解的，本发明可体现为方法和系统。因此，本发明可以采取完全硬件实施例、软件实施例或者组合软件和硬件方面的实施例的形式。
[0405]
应当理解，框图中的各个框可以通过计算机程序指令来实现。这些计算机程序指令可以被提供给通用计算机、专用计算机或其它可编程数据处理设备的处理器以产生机制，使得经由计算机或其它可编程数据处理设备的处理器执行的指令创建用于实现流程图和/或框图(一个或多个)框中指定的功能/动作的部件。通用处理器可以是微处理器，但是在替代方案中，处理器可以是任何常规处理器、控制器、微控制器或状态机。处理器还可以实现为计算装置的组合，例如多个微处理器、一个或多个微处理器或任何其它这样的配置。
[0406]
结合本文公开的示例描述的方法或算法可以直接以硬件、由处理器执行的软件模块或两者的组合来实现。软件模块可以驻留在ram存储器、闪速存储器、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移除盘、cd-rom或本领域已知的任何其它形式的存储介质中。存储介质可以耦接到处理器，使得处理器可以从存储介质读取信息以及将信息写入到存储介质。在替代方案中，存储介质可以是处理器不可缺少的一部分。处理器和存储介质可以驻留在asic中。
[0407]
提供所公开实施例的先前描述以使本领域技术人员能够进行或使用本发明。对这些示例的各种修改对于本领域技术人员来说将是明显的，并且在不脱离本发明的精神或范围的情况下，本文限定的通用原理可应用于其它示例。因此，本发明不旨在限于本文所示的示例，而是要符合与本文公开的原理和新颖特征一致的最宽范围。
[0408]
本技术基于并要求于2019年4月8日提交的第201941014041号印度专利申请的优先权，其公开内容通过引用整体并入本文。