支持远程单元重新认证的制作方法

技术特征：
1.一种装置，包括：网络接口，所述网络接口与移动通信网络通信；以及处理器，所述处理器：接收用于重新认证远程单元的第一认证消息，其中，所述第一认证消息包括包含第一用户名和第一域名的网络接入标识符(“nai”)；核实所述第一域名，其中所述第一域名标识密钥管理域名和持有所述重新认证安全上下文的关联网关功能；至少使用由所述第一用户名指示的重新认证安全上下文来验证所述第一认证消息；响应于成功验证所述第一认证消息而生成第二认证消息；以及通过发送所述第二认证消息来响应所述第一认证消息。2.根据权利要求1所述的装置，其中，所述第一认证消息包含第一序列号(“seq”)和第一消息认证码，其中所述处理器使用所述第一消息认证码来认证所述远程单元。3.根据权利要求2所述的装置，其中，所述第一用户名包括用于重新认证根密钥(“rrk”)的密钥标识符，其中，所述处理器响应于验证所述第一认证消息而生成新鲜会话密钥，其中，所述新鲜会话密钥至少使用所述rrk和可信非3gpp接入码作为对密钥导出的输入来被导出。4.根据权利要求2所述的装置，其中，所述处理器确定重新认证完整性密钥(“rik”)是否存储在本地存储器中，其中，所述处理器响应于所述rik未被存储在本地存储器中或接收到比本地存储的seq更高值的不同的seq，至少使用所述rrk、所述密钥管理域名和所接收到的seq号来导出新鲜rik，所述新鲜rik被用于认证所述第一消息认证码。5.根据权利要求4所述的装置，其中，所述第二认证消息包含使用所述新鲜rik导出的消息认证码，其中，所述远程单元使用所述第二消息认证码来认证所述装置。6.根据权利要求1所述的装置，其中，所述第一认证消息是从服务所述远程单元的接入点接收的，其中，所述第二认证消息经由所述服务接入点被发送到所述远程单元。7.根据权利要求1所述的装置，其中，所述第一认证消息从服务所述远程单元的网关功能被接收，其中，所述第二认证消息包括重新认证安全上下文并且被发送到所述网关功能。8.根据权利要求7所述的装置，其中，所述重新认证安全上下文包含重新认证根密钥(“rrk”)、重新认证完整性密钥(“rik”)、序列号(“seq”)和重新认证根密钥寿命参数。9.根据权利要求1所述的装置，其中，所述处理器从所述远程单元接收注册请求，所述注册请求指示所述远程单元支持eap重新认证协议(“erp”)，其中，所述处理器在针对所述远程单元的注册过程期间向所述远程单元发送网关标识符和所述密钥管理域名。10.一种方法，包括：接收用于重新认证远程单元的第一认证消息，其中，所述第一认证消息包括包含第一用户名和第一域名的网络接入标识符(“nai”)；核实所述第一域名，其中，所述第一域名标识密钥管理域名和持有所述重新认证安全上下文的关联网关功能；至少使用由所述第一用户名指示的重新认证安全上下文来验证所述第一认证消息；响应于成功验证所述第一认证消息而生成第二认证消息；以及通过发送所述第二认证消息来响应所述第一认证消息。
11.根据权利要求10所述的方法，进一步包括：确定重新认证完整性密钥(“rik”)是否被存储在本地存储器中；以及响应于下述中的一个来导出新鲜rik：确定所述rik未被存储在本地存储器中和接收到比本地存储的seq更高值的seq号，其中，所述rik至少使用所述rrk、所述密钥管理域名和所接收到的seq号来被导出，所述新鲜rik被用于认证所述第一消息认证码。12.一种装置，包括：网络接口，所述网络接口与移动通信网络通信；以及处理器，所述处理器：接收用于重新认证远程单元的第一认证消息，其中所述第一认证消息包括包含第一用户名和第一域名的网络接入标识符(“nai”)；核实所述第一域名，其中，所述第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能；从所述nai确定所述远程单元的所述重新认证安全上下文由源网关功能持有；将所述第一认证消息转发给所述源网关功能；从所述源网关功能接收所述重新认证安全上下文；响应于接收到所述重新认证安全上下文而生成第二认证消息；以及将所述第二认证消息发送到所述远程单元。13.根据权利要求12所述的装置，其中，所述处理器响应于接收到所述重新认证安全上下文，来更新所述nai以指向所述装置，其中，所述第二认证消息包括所更新的nai。14.根据权利要求12所述的装置，其中，所述第一用户名包括用于重新认证根密钥(“rrk”)的密钥标识符，其中，所述处理器响应于接收到所述重新认证安全上下文而生成新鲜会话密钥，其中，所述新鲜会话密钥至少使用所述rrk和可信非3gpp接入码作为对密钥导出的输入来被导出。15.根据权利要求12所述的装置，其中，所述第二认证消息包含使用所述重新认证安全上下文导出的消息认证码，其中，所述远程单元使用所述第二消息认证码来认证所述装置。16.根据权利要求12所述的装置，其中，所述重新认证安全上下文包括重新认证根密钥(“rrk”)、新鲜重新认证完整性密钥(“rik”)、序列号(“seq”)和重新认证根密钥寿命参数。17.一种方法，包括：在目标网关功能处接收用于重新认证远程单元的第一认证消息，其中，所述第一认证消息包括包含第一用户名和第一域名的网络接入标识符(“nai”)；核实所述第一域名，其中，所述第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能；从所述nai确定所述远程单元的所述重新认证安全上下文由源网关功能持有；将所述第一认证消息转发到所述源网关功能；从所述源网关功能接收所述重新认证安全上下文；响应于接收到所述重新认证安全上下文而生成第二认证消息；以及将所述第二认证消息发送到所述远程单元。18.根据权利要求17所述的方法，其中，所述处理器响应于接收到所述重新认证安全上
下文，来更新所述nai以指向所述目标网关功能，其中，所述第二认证消息包括所更新的nai。19.根据权利要求17所述的方法，其中，所述第一用户名包括用于重新认证根密钥(“rrk”)的密钥标识符，其中，所述处理器响应于接收到所述重新认证安全上下文而生成新鲜会话密钥，其中，所述新鲜会话密钥至少使用所述rrk和可信非3gpp接入码作为对密钥导出的输入来被导出。20.根据权利要求17所述的方法，其中，所述第二认证消息包含使用所述重新认证安全上下文导出的消息认证码，其中，所述远程单元使用所述第二消息认证码来认证所述目标网关功能，其中，所述重新认证安全上下文包括重新认证根密钥(“rrk”)、新鲜重新认证完整性密钥(“rik”)、序列号(“seq”)和重新认证根密钥寿命参数。

技术总结
公开了用于支持远程单元重新认证的装置、方法和系统。一个装置(700)包括接收(905)用于重新认证远程单元的第一认证消息的网络接口(740)和核实(910)第一域名的处理器(705)。第一域名标识密钥管理域名和持有重新认证安全上下文的关联网关功能。这里，第一认证消息包括包含第一用户名和第一域名的NAI。处理器(705)至少使用第一用户名验证(915)第一认证消息并且响应于成功验证第一认证消息而生成(920)第二认证消息。经由网络接口(740)，处理器(705)通过发送第二认证消息来响应(925)于第一认证消息。第一认证消息。第一认证消息。


技术研发人员：安德烈亚斯
受保护的技术使用者：联想（新加坡）私人有限公司
技术研发日：2020.06.05
技术公布日：2023/2/3