Показать метаданные Скрыть метаданные

(19)

(11)

2 835 941

(13)

(51)

МПК

H04W12/41(2021-01-01)

H04W12/69(2021-01-01)

(21) (22)

Заявка

2024105285, 2022-08-01

(24)

Дата начала отсчета патента

2022-08-01

(22)

дата подачи заявки

2022-08-01

(45)

опубликовано

2025-03-06

(72)

авторы

Ли, ХэУ, Жун

(73)

патентообладатели

Хуавэй Текнолоджиз Ко., Лтд.

(56)

Документы, цитированные в отчете о поиске

СПОСОБ СВЯЗИ И СООТВЕТСТВУЮЩАЯ АППАРАТУРА Российский патент 2025 года по МПК H04W12/41 H04W12/69

Описание патента на изобретение RU2835941C2

ОБЛАСТЬ ТЕХНИКИ

[0001] Эта заявка относится к области технологий связи и в частности к способу связи и соответствующей аппаратуре.

УРОВЕНЬ ТЕХНИКИ

[0002] Поскольку сетевые технологии быстро развиваются, сетевая безопасность становится все более важной задачей. С развитием мобильной связи 5-го поколения (the 5th generation, 5G), двумя способами аутентификации, поддерживаемыми технологиями 5G, являются аутентификация 5G и согласование ключей (5G authentication and key agreement, 5G AKA согласование ключей) и улучшенный способ расширяемого протокола аутентификации для аутентификации и согласования ключей 3-го поколения (improved extensible authentication protocol method for 3rd generation authentication and key agreement, EAP-AKA'). В этих двух способах аутентификации сторона терминального устройства и сторона сетевого устройства отдельно генерируют промежуточный ключ Kausf, используя долгосрочный ключ K.

[0003] Кроме того, сторона терминального устройства и сторона сетевого устройства каждая должны использовать промежуточный ключ Kausf для генерации другого ключа или контекста безопасности (контекст безопасности включает в себя, помимо прочего, ключ, алгоритм, счетчик и другие материалы, используемые для функции безопасности). Дополнительно, при последующей отправке данных на сторону терминального устройства, стороне сетевого устройства также необходимо использовать промежуточный ключ Kausf для обеспечения безопасности данных. Следовательно, как на стороне терминального устройства, так и на стороне сетевого устройства необходимо хранить промежуточный ключ Kausf.

[0004] В настоящее время, как указано в 5G AKA, в процедуре регистрации терминального устройства после приема сообщения команды режима безопасности уровня без доступа (non-access stratum security mode command, NAS SMC), терминальное устройство сохраняет Kausf, соответствующий NAS SMC--сообщению. Как указано в EAP-AKA', после приема сообщения об успешном выполнении EAP расширяемого протокола аутентификации, терминальное устройство сохраняет Kausf, соответствующий сообщению об успешном выполнении EAP. На стороне сетевого устройства функция сервера аутентификации (authentication server function, AUSF), аналогичная терминальному устройству, также должна хранить Kausf.

[0005] В ходе исследования заявитель обнаружил, что в соответствии с существующим стандартом, когда терминальное устройство осуществляет доступ к двум или более наземным мобильным сетям общего пользования (public land mobile networks, PLMNs) одновременно, может возникнуть проблема, заключающаяся в том, что Kausf, хранимый на стороне сетевого устройства, отличается от Kausf, хранимого на стороне терминального устройства, которая также называется рассинхронизацией ключей.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

[0006] Согласно первому аспекту, вариант осуществления данной заявки обеспечивает способ связи. Способ включает в себя: Унифицированное администрирование данных принимает множество сообщений запроса на получение вектора аутентификации от одной или более функций сервера аутентификации для одного и того же терминального устройства, причем множество сообщений запроса на получение вектора аутентификации предназначены для получения векторов аутентификации, соответствующих терминальному устройству; и унифицированное администрирование данных последовательно обрабатывает множество сообщений запроса на получение вектора аутентификации.

[0007] В этом варианте осуществления этой заявки унифицированное администрирование данных (unified data management, UDM) обрабатывает множество сообщений запроса на получение вектора аутентификации в последовательности приема множества сообщений запроса на получение вектора аутентификации. Множество сообщений запроса на получение вектора аутентификации обрабатываются последовательно, чтобы избежать проблемы, связанной с тем, что впоследствии промежуточный ключ Kausf, хранящийся на UE, и промежуточный ключ Kausf, хранящийся на стороне сетевого устройства, не синхронизированы, поскольку UE принимает множество запросов аутентификации, временная последовательность приема которых неуправляема. Вышеупомянутый способ может гарантировать, что промежуточный ключ (Kausf-2), хранящийся в UE, соответствует (согласуется с) промежуточному ключу (Kausf-2), хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[0008] Что касается первого аспекта, то в возможной реализации первого аспекта то, что унифицированное администрирование данных последовательно обрабатывает множество сообщений запроса на получение вектора аутентификации, включает в себя: Унифицированное администрирование данных отправляет первый вектор аутентификации первой функции сервера аутентификации в ответ на первое сообщение запроса на получение вектора аутентификации; и прежде чем унифицированное администрирование данных примет первое сообщение запроса на подтверждение результата аутентификации для первого вектора аутентификации, унифицированное администрирование данных приостанавливает обработку второго сообщения запроса на получение вектора аутентификации, причем первое сообщение запроса на подтверждение результата аутентификации включает в себя идентификатор первой функции сервера аутентификации, и момент времени, в который унифицированное администрирование данных принимает первое сообщение запроса на получение вектора аутентификации, находится раньше, чем момент времени приема второго сообщения запроса на получение вектора аутентификации.

[0009] В этом варианте осуществления этой заявки, когда UDM принимает множество сообщений запроса на получение вектора аутентификации, UDM обрабатывает множество сообщений запроса на получение вектора аутентификации в последовательности приема множества сообщений запроса на получение вектора аутентификации. Перед приемом первого сообщения запроса на подтверждение результата аутентификации, соответствующего первому вектору аутентификации, UDM приостанавливает обработку второго сообщения запроса на получение вектора аутентификации. Множество сообщений запроса на получение вектора аутентификации для UE управляется на UDM, чтобы гарантировать, что процедура аутентификации первой сети связи, ассоциированной с первым сообщением запроса на получение вектора аутентификации, выполняется в первую очередь. В процедуре аутентификации между UE и первой сетью связи как UE, так и сторона сетевого устройства сохраняют первый промежуточный ключ Kausf-1, относящийся к первой сети связи. После приема первого сообщения запроса на подтверждение результата аутентификации для первого вектора аутентификации, UE возобновляет обработку второго сообщения запроса на получение вектора аутентификации, то есть возобновляет выполнение процедуры аутентификации второй сети связи. После завершения процедуры аутентификации промежуточные ключи, наконец, сохраненные на стороне UE и на стороне сетевого устройства, представляют собой второй промежуточный ключ Kausf-2, ассоциированный со второй сетью связи. Вышеупомянутый способ может гарантировать, что промежуточный ключ, хранящийся в UE, всегда соответствует промежуточному ключу, хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[0010] Что касается первого аспекта, в возможной реализации первого аспекта, унифицированное администрирование данных принимает первое сообщение запроса на подтверждение результата аутентификации; и унифицированное администрирование данных сохраняет идентификатор первой функции сервера аутентификации в ответ на первое сообщение запроса на подтверждение результата аутентификации.

[0011] В частности, первая AUSF отправляет первое сообщение запроса на подтверждение результата аутентификации для первого вектора аутентификации в UDM. Первое сообщение запроса на подтверждение результата аутентификации может дополнительно нести одну или более из следующей информации: постоянный идентификатор абонента (subscriber permanent identifier, SUPI, SUPI), временную метку, результат аутентификации, тип аутентификации (authentication type), имя обслуживающей сети, и идентификатор первой AUSF. Необязательно информация о типе аутентификации указывает, что способ аутентификации - 5G AKA. Например, первое сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request».

[0012] Что касается первого аспекта, в возможной реализации первого аспекта унифицированное администрирование данных отправляет второй вектор аутентификации второй функции сервера аутентификации в ответ на второе сообщение запроса на получение вектора аутентификации; унифицированное администрирование данных принимает второе сообщение запроса на подтверждение результата аутентификации для второго вектора аутентификации, причем второе сообщение запроса на подтверждение результата аутентификации включает в себя идентификатор второй функции сервера аутентификации; и унифицированное администрирование данных сохраняет идентификатор второй функции сервера аутентификации в ответ на второе сообщение запроса на подтверждение результата аутентификации.

[0013] В частности, вторая AUSF отправляет в UDM второе сообщение запроса на подтверждение результата аутентификации, соответствующее второму вектору аутентификации. Второе сообщение запроса на подтверждение результата аутентификации несет в себе одну или более из следующей информации: SUPI, временную метку, результат аутентификации, тип аутентификации (authentication type), имя обслуживающей сети и идентификатор второй AUSF. Необязательно, информация о типе аутентификации указывает, что способ аутентификации - 5G AKA. Например, второе сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request».

[0014] Что касается первого аспекта, то в возможной реализации первого аспекта то, что унифицированное администрирование данных сохраняет идентификатор второй функции сервера аутентификации в ответ на второе сообщение запроса на подтверждение результата аутентификации, в частности: Унифицированное администрирование данных заменяет идентификатор первой функции сервера аутентификации идентификатором второй функции сервера аутентификации.

[0015] Необязательно, унифицированное администрирование данных может уведомить первую функцию сервера аутентификации об удалении первого промежуточного ключа Kausf-1. Таким образом, гарантируется, что сторона сетевого устройства хранит только второй промежуточный ключ Kausf-2, тем самым гарантируя, что промежуточный ключ, хранящийся на терминальном устройстве, соответствует промежуточному ключу, хранящемуся на стороне сетевого устройства.

[0016] Что касается первого аспекта, в возможной реализации первого аспекта то, что унифицированное администрирование данных последовательно обрабатывает множество сообщений запроса на получение вектора аутентификации, в частности: Унифицированное администрирование данных последовательно обрабатывает множество сообщений запроса на получение вектора аутентификации в ответ на то, что способом аутентификации терминального устройства является аутентификация 5G и согласование ключей (5G Authentication and Key Agreement, 5G AKA).

[0017] Что касается первого аспекта, в возможной реализации первого аспекта унифицированное администрирование данных определяет на основе информации о подписке терминального устройства, что способом аутентификации, соответствующим терминальному устройству, является 5G AKA. В частности, после приема первого сообщения запроса на получение вектора аутентификации, UDM определяет способ аутентификации UE на основе информации о подписке UE. В этом варианте осуществления UDM выбирает 5G AKA в качестве способа аутентификации UE в ответ на первое сообщение запроса на получение вектора аутентификации.

[0018] Согласно второму аспекту, вариант осуществления данной заявки обеспечивает способ связи. Способ включает в себя: Терминальное устройство принимает первое сообщение запроса на аутентификацию от первой функции администрирования доступа и мобильности (access and mobility management function, AMF) в первой сети связи и второе сообщение запроса на аутентификацию от объекта второй функции администрирования доступа и мобильности во второй связи сеть; и терминальное устройство последовательно обрабатывает первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию.

[0019] В этом варианте осуществления этой заявки, после того как терминальное устройство принимает множество сообщений запроса на аутентификацию (первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию), терминальному устройству необходимо последовательно обработать множество сообщений запроса на аутентификацию, чтобы избежать проблемы, что впоследствии промежуточный ключ Kausf, хранящийся на UE, и промежуточный ключ Kausf, хранящийся на стороне сетевого устройства, не синхронизированы, поскольку UE принимает множество сообщений NAS SMC или сообщений об успешном выполнении EAP, временная последовательность приема которых является неуправляемой. Вышеупомянутый способ может гарантировать, что промежуточный ключ (Kausf-2), хранящийся в UE, соответствует промежуточному ключу (Kausf-2), хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[0020] Необязательно, первая AUSF и вторая AUSF являются одним и тем же объектом AUSF.

[0021] Что касается второго аспекта, то в возможной реализации второго аспекта то, что терминальное устройство последовательно обрабатывает первое сообщение запроса на аутентификацию, и второе сообщение запроса на аутентификацию включает в себя: в ответ на первое сообщение запроса на аутентификацию терминальное устройство выполняет проверку аутентификации в первой сети связи и генерирует первый промежуточный ключ Kausf-1; когда проверка аутентификации, выполненная терминальным устройством, завершается успешно, терминальное устройство отправляет объекту первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно; терминальное устройство принимает первое сообщение NAS SMC команды режима безопасности без доступа от первой функции администрирования доступа и мобильности, где первое сообщение NAS SMC ассоциировано с первым сообщением запроса на аутентификацию; терминальное устройство сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение NAS SMC и выполняет проверку аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерирует второй промежуточный ключ Kausf-2; терминальное устройство принимает второе сообщение NAS SMC команды режима безопасности без доступа от второй функции администрирования доступа и мобильности, где второе сообщение NAS SMC ассоциировано со вторым сообщением запроса на аутентификацию; и терминальное устройство заменяет сохраненный первый промежуточный ключ Kausf-1 вторым промежуточным ключом Kausf-2 в ответ на второе сообщение NAS SMC.

[0022] Понятно, что терминальное устройство может принимать первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию одновременно или в смежные моменты.

[0023] Для понимания «одновременно» можно считать, что UE принимает два сообщения в один и тот же момент или в близкие моменты. В частности, если UE принимает первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию в один и тот же момент, UDM случайным образом выбирает одно из сообщений для обработки. В этой заявке предполагается, что UE выбирает первое сообщение запроса на аутентификацию для обработки. Если UE принимает первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию в близкие моменты, UE обрабатывает первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию в последовательности приема сообщений.

[0024] Конкретное понимание близкого момента таково: когда UE принимает первое сообщение запроса на аутентификацию, UE может только принять сообщение запроса и еще не обработало первое сообщение запроса на получение вектора аутентификации; может принять сообщение запроса и начать обработку, но не отправило ответное сообщение, соответствующее первому сообщению запроса на аутентификацию; или может обработать первое сообщение запроса на получение вектора аутентификации и отправить ответное сообщение, соответствующее первому сообщению запроса на аутентификацию, но не принять сообщение SMC NAS, соответствующее первому сообщению запроса на аутентификацию. Независимо от того, выбирает ли UE сообщение запроса на аутентификацию случайным образом или последовательно обрабатывает сообщения запроса на аутентификацию, можно понимать, что UE сначала обрабатывает одно из сообщений запроса на аутентификацию и приостанавливает другое сообщение запроса на аутентификацию.

[0025] В этом варианте осуществления этой заявки после того, как терминальное устройство принимает множество сообщений запроса на аутентификацию, терминальному устройству необходимо обработать следующее сообщение запроса на аутентификацию после приема сообщения NAS SMC, соответствующего предыдущему сообщению запроса на аутентификацию, чтобы избежать проблемы, того, что впоследствии промежуточный ключ Kausf, хранящийся на UE, и промежуточный ключ Kausf, хранящийся на стороне сетевого устройства, не синхронизированы, поскольку UE принимает множество сообщений NAS SMC или сообщений об успешном выполнении EAP, временная последовательность приема которых является неуправляемой. Вышеупомянутый способ может гарантировать, что промежуточный ключ (Kausf-2), хранящийся в UE, соответствует промежуточному ключу (Kausf-2), хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[0026] Что касается второго аспекта, то в возможной реализации второго аспекта то, что терминальное устройство сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение SMC NAS, включает в себя: Терминальное устройство после приема первого сообщения SMC NAS определяет, ассоциировано ли первое сообщение SMC NAS с первым сообщением запроса на аутентификацию; и когда первое сообщение SMC NAS ассоциировано с первым сообщением запроса на аутентификацию, терминальное устройство сохраняет первый промежуточный ключ Kausf-1 из первого пространства хранения во второе пространство хранения.

[0027] В частности, UE определяет, на основе информации, переносимой в первом сообщении NAS SMC, из первой ли AMF первое сообщение NAS SMC. Сначала определяется, ассоциировано ли первое сообщение SMC NAS с первым сообщением запроса на аутентификацию (из первой AMF). Например, идет ли первое сообщение SMC NAS от первой AMF, определяется на основе информации, переносимой в первом сообщении SMC NAS. В качестве другого примера, идет ли первое сообщение SMC NAS из первой AMF, определяется на основе базового сообщения (например, сообщения RRC или сообщения AP Wi-Fi), которое несет первый SMC NAS. Способ определения не ограничен в этой заявке.

[0028] После того как UE определяет, что первое сообщение SMC NAS ассоциировано с первым сообщением AMF, UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение SMC NAS. Первый промежуточный ключ Kausf-1, сгенерированный UE в ответ на первое сообщение запроса на аутентификацию, сохраняется в буферной области. В этом варианте осуществления этой заявки буферная область, в которой терминальное устройство хранит промежуточный ключ Kausf, называется первым пространством хранения.

[0029] После ответа на второе сообщение NAS SMC, UE сохраняет в пространстве долговременного хранения второй промежуточный ключ Kausf-2, который хранится в первом пространстве хранения (буферной области). Поскольку первый промежуточный ключ Kausf-1 уже сохранен в пространстве долговременного хранения, UE заменяет первый промежуточный ключ Kausf-1 во втором пространстве хранения вторым промежуточным ключом Kausf-2 в первом пространстве хранения. UE выполняет аутентификацию и связь с использованием второго промежуточного ключа Kausf-2 во втором пространстве хранения (пространстве долговременного хранения).

[0030] Что касается второго аспекта, в возможной реализации второго аспекта, до того как терминальное устройство примет первое сообщение SMC NAS, способ дополнительно включает в себя: терминальное устройство приостанавливает обработку второго сообщения запроса на аутентификацию.

[0031] Что касается второго аспекта, в возможной реализации второго аспекта, прежде чем терминальное устройство приостановит обработку второго сообщения запроса на аутентификацию, способ дополнительно включает в себя: терминальное устройство определяет, что способ аутентификации, используемый терминальным устройством для выполнения проверки аутентификации в первой сети связи/второй сети связи, представляет собой аутентификацию 5G и согласование ключей 5G AKA.

[0032] Что касается второго аспекта, то в возможной реализации второго аспекта то, что терминальное устройство последовательно обрабатывает первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию, включает в себя: в ответ на первое сообщение запроса на аутентификацию терминальное устройство выполняет проверку аутентификации в первой сети связи и генерирует первый промежуточный ключ Kausf-1; когда проверка аутентификации, выполненная терминальным устройством, завершается успешно, терминальное устройство отправляет объекту первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно; терминальное устройство принимает первое сообщение об успешном выполнении EAP (EAP-success) расширяемого протокола аутентификации от первой функции администрирования доступа и мобильности, где первое сообщение об успешном выполнении EAP ассоциировано с первым сообщением запроса на аутентификацию; терминальное устройство сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение об успешном выполнении EAP и выполняет проверку аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерирует второй промежуточный ключ Kausf-2; терминальное устройство принимает второе сообщение об успешном выполнении EAP по расширяемому протоколу аутентификации от второй функции администрирования доступа и мобильности, причем второе сообщение об успешном выполнении EAP ассоциировано со вторым сообщением запроса на аутентификацию; и терминальное устройство заменяет сохраненный первый промежуточный ключ Kausf-1 вторым промежуточным ключом Kausf-2 в ответ на второе сообщение об успешном выполнении EAP.

[0033] В частности, UE определяет, на основе информации, переносимой в первом сообщении об успешном выполнении EAP, идет ли первое сообщение об успешном выполнении EAP от первой AMF. Сначала определяется, ассоциировано ли первое сообщение об успешном выполнении EAP с первым сообщением запроса на аутентификацию (от первой AMF). Например, то, идет ли первое сообщение об успешном выполнении EAP от первой AMF, определяется на основе информации, переносимой в первом сообщении об успешном выполнении EAP. В качестве другого примера, идет ли первое сообщение об успешном выполнении EAP от первой AMF, определяется на основе базового сообщения (например, сообщения RRC или сообщения AP Wi-Fi), которое несет первое сообщение об успешном выполнении EAP. Способ определения не ограничен в этой заявке.

[0034] Что касается второго аспекта, в возможной реализации второго аспекта то, что терминальное устройство сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение об успешном выполнении EAP, включает в себя: Терминальное устройство после приема первого сообщения об успешном выполнении EAP определяет, ассоциировано ли первое сообщение об успешном выполнении EAP с первым сообщением запроса на аутентификацию; и когда первое сообщение об успешном выполнении EAP ассоциировано с первым сообщением запроса на аутентификацию, терминальное устройство сохраняет первый промежуточный ключ Kausf-1 из первого пространства хранения во второе пространство хранения.

[0035] После того как UE определяет, что первое сообщение об успешном выполнении EAP ассоциировано с первым AMF, UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение об успешном выполнении EAP. Первый промежуточный ключ Kausf-1, сгенерированный UE в ответ на первое сообщение запроса на аутентификацию, сохраняется в буферной области. В этом варианте осуществления этой заявки буферная область, в которой терминальное устройство хранит промежуточный ключ Kausf, называется первым пространством хранения.

[0036] После ответа на второе сообщение об успешном выполнении EAP, UE сохраняет в пространстве долговременного хранения второй промежуточный ключ Kausf-2, который хранится в первом пространстве хранения (буферной области). Поскольку первый промежуточный ключ Kausf-1 уже сохранен в пространстве долговременного хранения, UE заменяет первый промежуточный ключ Kausf-1 во втором пространстве хранения вторым промежуточным ключом Kausf-2 в первом пространстве хранения. UE выполняет аутентификацию и связь с использованием второго промежуточного ключа Kausf-2 во втором пространстве хранения (пространстве долговременного хранения).

[0037] Что касается второго аспекта, в возможной реализации второго аспекта, прежде чем терминальное устройство примет первое сообщение об успешном выполнении EAP, способ дополнительно включает в себя: Терминальное устройство приостанавливает обработку второго сообщения запроса на аутентификацию.

[0038] Что касается второго аспекта, в возможной реализации второго аспекта, прежде чем терминальное устройство приостановит обработку второго сообщения запроса на аутентификацию, способ дополнительно включает в себя: Терминальное устройство определяет, что способ аутентификации, используемый терминальным устройством для выполнения проверки аутентификации в первой сети связи/второй сети связи, представляет собой улучшенный способ расширяемого протокола аутентификации для аутентификации 3-го поколения и соглашения о ключах EAP-AKA'.

[0039] Что касается второго аспекта, в возможной реализации второго аспекта, UE может определить, путем обнаружения информационного элемента, содержащегося в первом сообщении запроса на аутентификацию, является ли способ аутентификации, соответствующий первому сообщению запроса на аутентификацию, 5G AKA или EAP-АКА’.

[0040] Например, определение выполняется на основе информации указания, содержащейся в первом сообщении запроса на аутентификацию. Информация указания может быть информацией заголовка, и информация заголовка указывает способ аутентификации 5G AKA, способ аутентификации EAP-AKA’ или даже другой способ аутентификации KAP-AKA’. На основе информации указания в информации заголовка, UE определяет, является ли способ аутентификации, соответствующий первому сообщению запроса на аутентификацию, 5G AKA или EAP-AKA’. Информация указания также может быть самим сообщением. Например, если поле EAP отсутствует, используется способ аутентификации 5G AKA; если есть поле EAP, используется способ аутентификации EAP-AKA’. В качестве другого примера обнаруживается один или несколько из следующих информационных элементов (или информации): идентификатор набора ключей в 5G (Key Set Identifier in 5G, ngKSI) или местоположение, переносимое в параметре противодействия атакам на основе понижения уровня безопасности (bidding down) между архитектурами (anti-bidding down between architectures, ABBA). Например, если AV находится в сообщении EAP, используется KAP-AKA’; в противном случае UE определяет, что способом аутентификации, соответствующим первому сообщению запроса на аутентификацию, является 5G AKA.

[0041] Что касается второго аспекта, в возможной реализации второго аспекта терминальное устройство осуществляет доступ к первой системе связи с использованием первой технологии доступа, и терминальное устройство осуществляет доступ ко второй сети связи с использованием второй технологии доступа, где первая технология доступа представляет собой технологию доступа 3GPP, а вторая технология доступа является технологией доступа, отличной от 3GPP; или первая технология доступа является технологией доступа, отличной от 3GPP, а вторая технология доступа представляет собой технологию доступа 3GPP.

[0042] Что касается второго аспекта, то в возможной реализации второго аспекта то, что терминальное устройство последовательно обрабатывает первое сообщение запроса на аутентификацию, и второе сообщение запроса на аутентификацию включает в себя: терминальное устройство генерирует первую запись порядка приема, причем первая запись порядка приема указывает, что первое сообщение запроса на аутентификацию предшествует второму сообщению запроса на аутентификацию; в ответ на первое сообщение запроса на аутентификацию терминальное устройство выполняет проверку аутентификации в первой сети связи и генерирует первый промежуточный ключ Kausf-1; когда проверка аутентификации, выполненная терминальным устройством, завершается успешно, терминальное устройство отправляет первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно; в ответ на второе сообщение запроса на аутентификацию терминальное устройство выполняет проверку аутентификации во второй сети связи и генерирует второй промежуточный ключ Kausf-2; когда проверка аутентификации, выполненная терминальным устройством, завершается успешно, терминальное устройство отправляет второй функции администрирования доступа и мобильности второе ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно; терминальное устройство принимает сообщение NAS SMC команды режима безопасности уровня без доступа; и терминальное устройство обнаруживает источник сообщения SMC NAS на основе первой записи порядка приема; если источником сообщения NAS SMC является первая функция администрирования доступа и мобильности, терминальное устройство пропускает сохранение первого промежуточного ключа Kausf-1 в ответ на сообщение NAS SMC; и если источником сообщения NAS SMC является вторая функция администрирования доступа и мобильности, терминальное устройство сохраняет второй промежуточный ключ Kausf-2 в ответ на сообщение NAS SMC.

[0043] В этом варианте осуществления этой заявки после того, как терминальное устройство принимает множество сообщений запроса на аутентификацию, терминальному устройству необходимо сгенерировать первую запись порядка приема, где первая запись порядка приема указывает порядок приема множества сообщений запроса на аутентификацию, принятых терминальным устройством. После того как терминальное устройство принимает сообщение NAS SMC, терминальное устройство обнаруживает источник сообщения NAS SMC. Когда сообщение SMC NAS идет из второй AMF, поскольку это самое последнее (или самое последнее) сообщение запроса на аутентификацию в первой записи порядка приема идет от второй AMF, UE сохраняет второй промежуточный ключ Kausf-2 в ответ на сообщение SMC NAS. Вышеупомянутый способ может гарантировать, что промежуточный ключ (Kausf-2), хранящийся в UE, соответствует промежуточному ключу (Kausf-2), хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[0044] Согласно третьему аспекту, вариант осуществления данной заявки обеспечивает способ связи. Способ включает в себя:

[0045] Терминальное устройство принимает первое сообщение запроса на аутентификацию от первой функции администрирования доступа и мобильности в первой сети связи и второе сообщение запроса на аутентификацию от второй функции администрирования доступа и мобильности во второй сети связи; в ответ на первое сообщение запроса на аутентификацию терминальное устройство выполняет проверку аутентификации в первой сети связи и генерирует первый промежуточный ключ Kausf-1; когда проверка аутентификации, выполненная терминальным устройством, завершается успешно, терминальное устройство отправляет первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно; в ответ на второе сообщение запроса на аутентификацию терминальное устройство выполняет проверку аутентификации во второй сети связи и генерирует второй промежуточный ключ Kausf-2; когда проверка аутентификации, выполненная терминальным устройством, завершается успешно, терминальное устройство отправляет второй функции администрирования доступа и мобильности второе ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно; терминальное устройство принимает сообщение NAS SMC команды режима безопасности уровня отсутствия доступа; и терминальное устройство сохраняет в ответ на сообщение NAS SMC первый промежуточный ключ Kausf-1 или второй промежуточный ключ Kausf-2, соответствующий сообщению NAS SMC; и терминальное устройство отправляет ответное сообщение для сообщения NAS SMC, где ответное сообщение для сообщения NAS SMC указывает терминальное устройство для хранения первого промежуточного ключа Kausf-1 или второго промежуточного ключа Kausf-2.

[0046] В этом варианте осуществления этой заявки после того, как терминальное устройство принимает сообщение NAS SMC, терминальное устройство сохраняет промежуточный ключ в ответ на сообщение NAS SMC. После того как терминальное устройство сохраняет промежуточный ключ, терминальное устройство уведомляет AMF, которая отправляет сообщение SMC NAS, о промежуточном ключе, хранящемся в терминальном устройстве. Кроме того, AMF уведомляет UDM о необходимости сохранить идентификатор AUSF, соответствующий промежуточному ключу. UDM указывает другой AUSF удалить промежуточный ключ. Вышеупомянутый способ может гарантировать, что промежуточный ключ (Kausf-2), хранящийся в UE, соответствует промежуточному ключу (Kausf-2), хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[0047] Что касается третьего аспекта, в возможной реализации третьего аспекта первое сообщение запроса на аутентификацию предшествует второму сообщению запроса на аутентификацию. То, что терминальное устройство сохраняет в ответ на сообщение NAS SMC первый промежуточный ключ Kausf-1 или второй промежуточный ключ Kausf-2, соответствующий сообщению NAS SMC, включает в себя: терминальное устройство после приема сообщения SMC NAS определяет, ассоциировано ли сообщение SMC NAS со вторым сообщением запроса на аутентификацию; и когда сообщение SMC NAS ассоциировано со вторым сообщением запроса на аутентификацию, терминальное устройство сохраняет второй промежуточный ключ Kausf-2 из первого пространства хранения во второе пространство хранения, где второе пространство хранения является пространством долговременного хранения.

[0048] В частности, UE определяет на основе информации, переносимой в первом сообщении NAS SMC, идет ли первое сообщение NAS SMC от первой AMF. Сначала определяется, ассоциировано ли первое сообщение SMC NAS с первым сообщением запроса на аутентификацию (от первой AMF). Например, идет ли первое сообщение SMC NAS от первой AMF, определяется на основе информации, переносимой в первом сообщении SMC NAS. В качестве другого примера, идет ли первое сообщение SMC NAS от первой AMF, определяется на основе базового сообщения (например, сообщения RRC или сообщения AP Wi-Fi), которое несет первый SMC NAS. Способ определения не ограничен в этой заявке.

[0049] После того как UE определяет, что первое сообщение SMC NAS ассоциировано с первым сообщением AMF, UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение SMC NAS. Первый промежуточный ключ Kausf-1, сгенерированный UE в ответ на первое сообщение запроса на аутентификацию, сохраняется в буферной области. В этом варианте осуществления этой заявки буферная область, в которой терминальное устройство хранит промежуточный ключ Kausf, называется первым пространством хранения.

[0050] После ответа на второе сообщение NAS SMC, UE сохраняет в пространстве долговременного хранения второй промежуточный ключ Kausf-2, который хранится в первом пространстве хранения (буферной области). Поскольку первый промежуточный ключ Kausf-1 уже сохранен в пространстве долговременного хранения, UE заменяет первый промежуточный ключ Kausf-1 во втором пространстве хранения вторым промежуточным ключом Kausf-2 в первом пространстве хранения. UE выполняет аутентификацию и связь с использованием второго промежуточного ключа Kausf-2 во втором пространстве хранения (пространстве долговременного хранения).

[0051] Что касается третьего аспекта, в возможной реализации третьего аспекта то, что терминальное устройство сохраняет, в ответ на сообщение SMC NAS, первый промежуточный ключ Kausf-1 или второй промежуточный ключ Kausf-2, соответствующий сообщению NAS SMC, включает в себя: терминальное устройство сохраняет в ответ на сообщение SMC NAS первый промежуточный ключ или второй промежуточный ключ из первого пространства хранения во второе пространство хранения, где второе пространство хранения является пространством долговременного хранения.

[0052] В частности, UE сохраняет первый промежуточный ключ Kausf-1 или второй промежуточный ключ Kausf-2 в ответ на сообщение SMC NAS. Первый промежуточный ключ Kausf-1 или второй промежуточный ключ Kausf-2, сгенерированные UE в ответ на первое сообщение запроса на аутентификацию, сохраняются в буферной области. В этом варианте осуществления этой заявки буферная область, в которой терминальное устройство хранит промежуточный ключ Kausf, называется первым пространством хранения.

[0053] После ответа на сообщение SMC NAS, UE сохраняет в пространстве долговременного хранения первый промежуточный ключ Kausf-1 или второй промежуточный ключ Kausf-2, который хранится в первом пространстве хранения (буферной области). UE выполняет аутентификацию и связь с использованием промежуточного ключа (Kausf-1 или Kausf-2) во втором пространстве хранения (пространстве долговременного хранения).

[0054] Что касается третьего аспекта, в возможной реализации третьего аспекта терминальное устройство получает доступ к первой системе связи с использованием первой технологии доступа, и терминальное устройство получает доступ ко второй сети связи с использованием второй технологии доступа, где первая технология доступа представляет собой технологию доступа 3GPP, а вторая технология доступа является технологией доступа, отличной от 3GPP; или первая технология доступа является технологией доступа, отличной от 3GPP, а вторая технология доступа представляет собой технологию доступа 3GPP.

[0055] Согласно четвертому аспекту вариант осуществления этой заявки предоставляет аппаратуру связи, включающую в себя:

модуль приемопередатчика, сконфигурированный для приема множества сообщений запроса на получение вектора аутентификации от одной или более функций сервера аутентификации для одного и того же терминального устройства, где множество сообщений запроса на получение вектора аутентификации предназначены для получения векторов аутентификации, соответствующих терминальному устройству; и

модуль обработки, сконфигурированный для последовательной обработки множества сообщений запроса на получение вектора аутентификации.

[0056] В возможной реализации модуль приемопередатчика дополнительно выполнен с возможностью отправки первого вектора аутентификации первой функции сервера аутентификации в ответ на первое сообщение запроса на получение вектора аутентификации.

[0057] Модуль обработки дополнительно сконфигурирован для: до того, как принято первое сообщение запроса на подтверждение результата аутентификации для первого вектора аутентификации, приостанавливать обработку второго сообщения запроса на получение вектора аутентификации, где первое сообщение запроса на подтверждение результата аутентификации включает в себя идентификатор первой функции сервера аутентификации, и момент времени, в который унифицированное администрирование данных принимает первое сообщение запроса на получение вектора аутентификации, находится раньше, чем момент времени приема второго сообщения запроса на получение вектора аутентификации.

[0058] В возможной реализации модуль приемопередатчика дополнительно сконфигурирован для приема первого сообщения запроса на подтверждение результата аутентификации.

[0059] Модуль обработки дополнительно сконфигурирован для сохранения идентификатора первой функции сервера аутентификации в ответ на первое сообщение запроса на подтверждение результата аутентификации.

[0060] В возможной реализации

модуль приемопередатчика дополнительно сконфигурирован для отправки второго вектора аутентификации второй функции сервера аутентификации в ответ на второе сообщение запроса на получение вектора аутентификации.

[0061] Модуль приемопередатчика дополнительно сконфигурирован для приема второго сообщения запроса на подтверждение результата аутентификации для второго вектора аутентификации, причем второе сообщение запроса на подтверждение результата аутентификации включает в себя идентификатор второй функции сервера аутентификации.

[0062] Модуль обработки дополнительно сконфигурирован для сохранения идентификатора второй функции сервера аутентификации в ответ на второе сообщение запроса на подтверждение результата аутентификации.

[0063] В возможной реализации

модуль обработки конкретно сконфигурирован для замены идентификатора первой функции сервера аутентификации на идентификатор второй функции сервера аутентификации.

[0064] В возможной реализации

модуль обработки конкретно сконфигурирован для последовательной обработки множества сообщений запроса на получение вектора аутентификации в ответ на способ аутентификации терминального устройства, являющийся 5G AKA.

[0065] В возможной реализации

модуль обработки дополнительно сконфигурирован для определения на основе информации о подписке терминального устройства, что способом аутентификации, соответствующим терминальному устройству, является 5G AKA.

[0066] Согласно пятому аспекту вариант осуществления этой заявки предоставляет аппаратуру связи, включающую в себя:

модуль приемопередатчика, сконфигурированный для приема первого сообщения запроса на аутентификацию от объекта первой функции администрирования доступа и мобильности в первой сети связи и второго сообщения запроса на аутентификацию от объекта второй функции администрирования доступа и мобильности во второй сети связи; и

модуль обработки, сконфигурированный для последовательной обработки первого сообщения запроса на аутентификацию и второго сообщения запроса на аутентификацию.

[0067] В возможной реализации

модуль обработки конкретно сконфигурирован для: в ответ на первое сообщение запроса на аутентификацию выполнять проверку аутентификации в первой сети связи и генерировать первый промежуточный ключ Kausf-1.

[0068] Модуль приемопередатчика конкретно сконфигурирован для того, чтобы: при успешной проверке аутентификации, выполненной терминальным устройством, отправлять объекту первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[0069] Модуль приемопередатчика конкретно сконфигурирован для приема первого сообщения NAS SMC команды режима безопасности без доступа от первой функции администрирования доступа и мобильности, где первое сообщение NAS SMC ассоциировано с первым сообщением запроса на аутентификацию.

[0070] Модуль обработки конкретно сконфигурирован для: сохранения первого промежуточного ключа Kausf-1 в ответ на первое сообщение NAS SMC, выполнения проверки аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерации второго промежуточного ключа Kausf-2.

[0071] Модуль приемопередатчика конкретно сконфигурирован для приема второго сообщения NAS SMC команды режима безопасности без доступа от второй функции администрирования доступа и мобильности, где второе сообщение NAS SMC ассоциировано со вторым сообщением запроса на аутентификацию.

[0072] Модуль обработки конкретно сконфигурирован для замены сохраненного первого промежуточного ключа Kausf-1 вторым промежуточным ключом Kausf-2 в ответ на второе сообщение NAS SMC.

[0073] В возможной реализации

модуль обработки конкретно сконфигурирован для определения, после приема первого сообщения SMC NAS, ассоциировано ли первое сообщение SMC NAS с первым сообщением запроса на аутентификацию.

[0074] Модуль приемопередатчика конкретно сконфигурирован для: когда первое сообщение SMC NAS ассоциировано с первым сообщением запроса на аутентификацию, сохранять первый промежуточный ключ Kausf-1 из первого пространства хранения во второе пространство хранения.

[0075] В возможной реализации

модуль обработки дополнительно сконфигурирован для приостановки обработки второго сообщения запроса на аутентификацию.

[0076] В возможной реализации

модуль обработки дополнительно сконфигурирован для определения, что способом аутентификации, используемым терминальным устройством для выполнения проверки аутентификации в первой сети связи/второй сети связи, является аутентификация 5G и согласование ключей 5G AKA.

[0077] В возможной реализации

модуль приемопередатчика конкретно сконфигурирован для доступа к первой системе связи с использованием технологии первого доступа.

[0078] Модуль приемопередатчика конкретно сконфигурирован для доступа ко второй сети связи с использованием второй технологии доступа.

[0079] Первая технология доступа представляет собой технологию доступа 3GPP, а вторая технология доступа представляет собой технологию доступа, отличную от 3GPP; или первая технология доступа является технологией доступа, отличной от 3GPP, а вторая технология доступа представляет собой технологию доступа 3GPP.

[0080] Согласно шестому аспекту вариант осуществления этой заявки предоставляет аппаратуру связи, включающую в себя:

модуль приемопередатчика, сконфигурированный для приема первого сообщения запроса на аутентификацию от первой функции администрирования доступа и мобильности в первой сети связи и второго сообщения запроса на аутентификацию от второй функции администрирования доступа и мобильности во второй сети связи; и

[0081] В возможной реализации модуль обработки сконфигурирован для генерации первой записи очереди приема, где первая запись очереди приема указывает, что первое сообщение запроса на аутентификацию предшествует второму сообщению запроса на аутентификацию.

[0082] Модуль обработки дополнительно выполнен с возможностью: в ответ на первое сообщение запроса на аутентификацию выполнять проверку аутентификации в первой сети связи и генерировать первый промежуточный ключ Kausf-1.

[0083] Модуль приемопередатчика дополнительно выполнен с возможностью: при успешной проверке аутентификации отправлять первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[0084] Модуль обработки дополнительно выполнен с возможностью: в ответ на второе сообщение запроса на аутентификацию выполнять проверку аутентификации во второй сети связи и генерировать второй промежуточный ключ Kausf-2.

[0085] Модуль приемопередатчика дополнительно выполнен с возможностью: при успешной проверке аутентификации отправлять с помощью терминального устройства второй функции администрирования доступа и мобильности второе ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[0086] Модуль приемопередатчика дополнительно сконфигурирован для приема сообщения NAS SMC команды режима уровня безопасности без доступа.

[0087] Модуль обработки дополнительно сконфигурирован для: обнаружения источника сообщения SMC NAS на основе первой записи очереди приема;

если источником сообщения NAS SMC является первая функция администрирования доступа и мобильности, пропустить сохранение первого промежуточного ключа Kausf-1 в ответ на сообщение NAS SMC; и

если источником сообщения SMC NAS является вторая функция администрирования доступа и мобильности, сохранить терминальным устройством второй промежуточный ключ Kausf-2 в ответ на сообщение SMC NAS.

[0088] В возможной реализации то, что терминальное устройство сохраняет второй промежуточный ключ Kausf-2 в ответ на сообщение NAS SMC, включает в себя:

модуль приемопередатчика дополнительно сконфигурирован для определения, после приема сообщения SMC NAS, ассоциировано ли сообщение SMC NAS со вторым сообщением запроса на аутентификацию.

[0089] Модуль обработки дополнительно сконфигурирован для: когда сообщение SMC NAS ассоциировано со вторым сообщением запроса на аутентификацию, сохранять второй промежуточный ключ Kausf-2 из первого пространства хранения во второе пространство хранения, где второе пространство хранения является пространством долговременного хранения.

[0090] В возможной реализации модуль обработки конкретно сконфигурирован для того, чтобы: в ответ на первое сообщение запроса на аутентификацию выполнять проверку аутентификации в первой сети связи и генерировать первый промежуточный ключ Kausf-1.

[0091] Модуль приемопередатчика конкретно сконфигурирован, чтобы: когда проверка аутентификации, выполненная терминальным устройством, завершается успешно, отправлять объекту первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[0092] Модуль приемопередатчика конкретно сконфигурирован для приема первого сообщения об успешном выполнении EAP расширяемого протокола аутентификации от первой функции администрирования доступа и мобильности, где первое сообщение об успешном выполнении EAP ассоциировано с первым сообщением запроса на аутентификацию.

[0093] Модуль обработки конкретно сконфигурирован для: сохранения первого промежуточного ключа Kausf-1 в ответ на первое сообщение об успешном выполнении EAP, выполнения проверки аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерации второго промежуточного ключа Kausf- 2.

[0094] Модуль приемопередатчика конкретно сконфигурирован для приема второго сообщения об успешном выполнении EAP расширяемого протокола аутентификации от второй функции администрирования доступа и мобильности, причем второе сообщение об успешном выполнении EAP ассоциировано со вторым сообщением запроса на аутентификацию.

[0095] Модуль обработки конкретно сконфигурирован для замены сохраненного первого промежуточного ключа Kausf-1 вторым промежуточным ключом Kausf-2 в ответ на второе сообщение об успешном выполнении EAP.

[0096] В возможной реализации модуль обработки конкретно сконфигурирован для определения, после приема первого сообщения об успешном выполнении EAP, ассоциировано ли первое сообщение об успешном выполнении EAP с первым сообщением запроса на аутентификацию.

[0097] Модуль приемопередатчика конкретно сконфигурирован для того, чтобы: когда первое сообщение об успешном выполнении EAP ассоциировано с первым сообщением запроса на аутентификацию, сохранять первый промежуточный ключ Kausf-1 из первого пространства хранения во второе пространство хранения.

[0098] В возможной реализации модуль обработки дополнительно сконфигурирован для приостановки обработки второго сообщения запроса на аутентификацию.

[0099] В возможной реализации модуль обработки дополнительно сконфигурирован для определения, что способ аутентификации, используемый терминальным устройством для выполнения проверки аутентификации в первой сети связи/второй сети связи, является улучшенным способом расширяемого протокола аутентификации для аутентификации 3-го поколения и согласования ключей EAP-AKA'.

[00100] В возможной реализации

модуль приемопередатчика дополнительно сконфигурирован для: доступа к первой системе связи с использованием первой технологии доступа и доступа ко второй сети связи с использованием второй технологии доступа.

[00101] Первая технология доступа представляет собой технологию доступа 3GPP, а вторая технология доступа представляет собой технологию доступа, отличную от 3GPP; или первая технология доступа является технологией доступа, отличной от 3GPP, а вторая технология доступа представляет собой технологию доступа 3GPP.

[00102] Согласно седьмому аспекту, вариант осуществления этой заявки предоставляет аппаратуру связи, включающую в себя:

модуль обработки, выполненный с возможностью: в ответ на первое сообщение запроса на аутентификацию выполнять проверку аутентификации в первой сети связи и генерировать первый промежуточный ключ Kausf-1.

[00103] Модуль приемопередатчика дополнительно выполнен с возможностью: при успешной проверке аутентификации, отправлять первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[00104] Модуль обработки дополнительно выполнен с возможностью: в ответ на второе сообщение запроса на аутентификацию выполнять проверку аутентификации во второй сети связи и генерировать второй промежуточный ключ Kausf-2.

[00105] Модуль приемопередатчика дополнительно выполнен с возможностью: при успешной проверке аутентификации отправлять второй функции администрирования доступа и мобильности второе ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[00106] Модуль приемопередатчика дополнительно сконфигурирован для приема сообщения NAS SMC команды режима уровня безопасности без доступа.

[00107] Модуль обработки дополнительно сконфигурирован для сохранения, в ответ на сообщение SMC NAS, первого промежуточного ключа Kausf-1 или второго промежуточного ключа Kausf-2, соответствующего сообщению SMC NAS.

[00108] Модуль приемопередатчика дополнительно сконфигурирован для отправки ответного сообщения для NAS SMC-сообщения, где ответное сообщение для NAS SMC-сообщения указывает терминальное устройство для хранения первого промежуточного ключа Kausf-1 или второго промежуточного ключа Kausf-2.

[00109] В возможной реализации

[00110] Модуль обработки дополнительно сконфигурирован, чтобы: когда сообщение SMC NAS ассоциировано со вторым сообщением запроса на аутентификацию, сохранять второй промежуточный ключ Kausf-2 из первого пространства хранения во второе пространство хранения, где второе пространство хранения является пространством долговременного хранения.

[00111] В возможной реализации

модуль обработки дополнительно сконфигурирован, чтобы сохранять, в ответ на сообщение NAS SMC терминального устройства, первый промежуточный ключ или второй промежуточный ключ Kausf-2 из первого пространства хранения во второе пространство хранения, где вторая область хранения является пространством долговременного хранения.

[00112] В возможной реализации терминальное устройство осуществляет доступ к первой системе связи с использованием технологии доступа 3GPP, и терминальное устройство осуществляет доступ ко второй сети связи с использованием технологии доступа, отличной от 3GPP.

[00113] Согласно восьмому аспекту, вариант осуществления этой заявки предоставляет аппаратуру связи. Аппаратура связи может реализовывать функции, выполняемые терминальным устройством и сетевым устройством в способах в первом аспекте и втором аспекте. Аппаратура связи включает в себя процессор, память, приемник, соединенный с процессором, и передатчик, соединенный с процессором. Память сконфигурирована для хранения программного кода и передачи программного кода в процессор. Процессор сконфигурирован для управления, на основе инструкций в программном коде, приемником и передатчиком для выполнения способов в первом аспекте, втором аспекте и третьем аспекте. Приемник и передатчик по отдельности подключаются к процессору для выполнения операций, выполняемых терминальным устройством и сетевым устройством в способах в предшествующих аспектах. В частности, передатчик может выполнять операцию отправки, а приемник может выполнять операцию приема. Необязательно, приемник и передатчик могут быть радиочастотными схемами, а радиочастотные схемы принимают и отправляют сообщения с помощью антенн. Альтернативно, приемник и передатчик могут быть интерфейсами связи, процессор соединен с интерфейсами связи с помощью шины, а процессор принимает или отправляет сообщения с помощью интерфейсов связи.

[00114] Согласно девятому аспекту, вариант осуществления этой заявки предоставляет аппаратуру связи. аппаратура связи может включать в себя такой объект, как сетевое устройство или микросхема (чип), или аппаратура связи может включать в себя такой объект, как терминальное устройство или микросхема. Аппаратура связи включает в себя процессор и память. Память сконфигурирована для хранения инструкций. Процессор сконфигурирован для выполнения инструкций в памяти, так что аппаратура связи выполняет способ согласно любому из первого аспекта, второго аспекта или третьего аспекта.

[00115] Согласно десятому аспекту, вариант осуществления этой заявки предоставляет машиночитаемый носитель данных, хранящий одну или более машиноисполняемых инструкций. Когда машиноисполняемые инструкции исполняются процессором, процессор выполняет любую из возможных реализаций первого аспекта, второго аспекта или третьего аспекта.

[00116] Согласно одиннадцатому аспекту, вариант осуществления этой заявки предоставляет компьютерный программный продукт (или называемый компьютерной программой), который хранит одну или несколько исполняемых компьютером инструкций. Когда исполняемые компьютером инструкции выполняются процессором, процессор выполняет любую из возможных реализаций первого аспекта, второго аспекта или третьего аспекта.

[00117] Согласно двенадцатому аспекту, эта заявка обеспечивает систему микросхем. Система микросхем включает в себя процессор, сконфигурированный для поддержки компьютерного устройства в реализации функций в вышеупомянутых аспектах. В возможной реализации система микросхем дополнительно включает в себя память. Память предназначена для хранения программных инструкций и данных, которые необходимы компьютерному устройству. Система на микросхеме может включать в себя микросхему или может включать в себя микросхему и другой дискретный компонент.

[00118] Согласно тринадцатому аспекту эта заявка обеспечивает систему связи. Система связи включает в себя аппаратуру связи согласно четвертому аспекту, пятому аспекту, шестому аспекту или седьмому аспекту.

Краткое описание чертежей

[00119] Фиг. 1 представляет собой принципиальную схему сетевой архитектуры системы связи;

[00120] Фиг. 2 представляет собой принципиальную схему аппаратной структуры аппаратуры связи согласно варианту осуществления этой заявки;

[00121] Фиг. 3 представляет собой схематическое представление ключевой архитектуры согласно варианту осуществления этой заявки;

[00122] Фиг. 4 представляет собой схематическое изображение процедуры аутентификации;

[00123] Фиг. 5 представляет собой схематическую диаграмму процедуры SMC NAS согласно варианту осуществления настоящей заявки;

[00124] Фиг. 6А и Фиг. 6B представляет собой схематическое представление процедуры аутентификации терминального устройства в сценарии множественного доступа;

[00125] Фиг. 7А и Фиг. 7B представляет собой схематическое представление варианта осуществления способа связи согласно варианту осуществления этой заявки;

[00126] Фиг. 8А и Фиг. 8B представляет собой схематическое представление варианта осуществления способа связи согласно варианту осуществления этой заявки;

[00127] Фиг. 9А и Фиг. 9B представляет собой схематическое представление варианта осуществления способа связи согласно варианту осуществления этой заявки;

[00128] Фиг. 10А и Фиг. 10B представляет собой схематическое представление варианта осуществления способа связи согласно варианту осуществления этой заявки; и

[00129] Фиг. 11 представляет собой принципиальную схему варианта осуществления аппаратуры связи согласно варианту осуществления этой заявки.

Описание вариантов осуществления

[00130] Нижеследующее ясно и полностью описывает технические решения согласно вариантам осуществления этой заявки со ссылкой на прилагаемые чертежи согласно вариантам осуществления настоящей заявки. Понятно, что описанные варианты осуществления представляют собой лишь некоторые, но не все варианты осуществления данной заявки. В описании, формуле изобретения и сопроводительных чертежах настоящей заявки термины «первый», «второй», соответствующие номера терминов и т.п.предназначены для различения подобных объектов, но не обязательно указывают конкретный порядок или последовательность. Следует понимать, что термины, используемые таким образом, являются взаимозаменяемыми в соответствующих обстоятельствах, что является просто способом распознавания, который используется, когда в вариантах осуществления настоящей заявки описываются объекты, имеющие одинаковый атрибут.Кроме того, термины «включать в себя», «содержать» и любые другие варианты означают неисключительное включение, так что процесс, способ, система, продукт или устройство, включающее в себя ряд блоков, не обязательно ограничивается этими блоками, но могут включать и другие блоки, явно не перечисленные или не присущие такому процессу, способу, системе, продукту или устройству.

[00131] В описаниях этой заявки «/» означает «или», если не указано иное. Например, A/B может обозначать A или B. В этой заявке «и/или» описывает только отношение ассоциации для описания связанных объектов и указывает, что могут существовать три отношения. Например, A и/или B могут обозначать следующие три случая: существует только A, существуют как A, так и B, и существует только B. Кроме того, в описаниях настоящей заявки «по меньшей мере один предмет» означает один или несколько предметов, а «множество предметов» означает два или более предметов. «По меньшей мере, один предмет (часть) из следующего» или подобное выражение означает любую комбинацию этих предметов, в том числе отдельный предмет (часть) или любую комбинацию множественных предметов (частей). Например, по меньшей мере, один элемент (кусок) a, b или c может обозначать a, b, c, a и b, a и c, b и c или a, b и c, где a, b, и c может быть в форме единственного числа или множественного числа.

[00132] Технические решения в вариантах осуществления этой заявки могут быть применены к различным системам связи, например, системе долговременного развития (Long Term Evolution, LTE), системе дуплекса с частотным разделением каналов LTE (frequency division duplex, FDD), системе дуплекса с временным разделением каналов LTE (time division duplex, TDD), универсальная система мобильной связи (universal mobile telecommunications system, UMTS), системе связи всемирной совместимости для микроволнового доступа (worldwide interoperability for microwave access, WiMAX), системе связи 5-го поколения (5th generation, 5G), NR, будущей системе связи 6-го поколения.

[00133] Некоторые из различных систем связи, управляемых оператором, могут называться сетью оператора. Сеть оператора также может называться наземной мобильной сетью общего пользования (public land mobile network, PLMN). Это сеть, созданная и управляемая правительством или утвержденным правительством оператором с целью предоставления услуг наземной мобильной связи для населения, и в основном представляет собой общедоступную сеть, в которой оператор мобильной сети (mobile network operator, MNO) предоставляет пользователю услугу мобильного широкополосного доступа. Сеть оператора или сеть PLMN, описанная в вариантах осуществления этой заявки, может быть сетью, которая соответствует требованию стандарта проекта партнерства 3-го поколения (3rd generation partnership project, 3GPP), который называется сетью 3GPP. Как правило, сеть 3GPP управляется оператором и включает в себя, помимо прочего, сеть мобильной связи 5-го поколения (5th generation, 5G) (сокращенно сеть 5G), мобильную связь 4-го поколения (4th-generation, 4G). сеть (сокращенно сеть 4G) или сеть технологий мобильной связи 3-го поколения (сокращенно сеть 3G). Сеть 3GPP также включает в себя будущую сеть 6G. Для простоты описания в качестве примера для описания в вариантах осуществления данной заявки используется сеть оператора (например, сеть оператора мобильной сети (mobile network operator, MNO)).

[00134] Чтобы облегчить понимание вариантов осуществления этой заявки, архитектура сети 5G, показанная на фиг. 1 используется в качестве примера для описания сценария применения, используемого в этой заявке. Понятно, что архитектура другой сети связи аналогична архитектуре сети 5G, и поэтому подробности не описываются. См. фиг. 1. ФИГ. 1 представляет собой схематическое представление сетевой архитектуры системы связи. Сетевая архитектура может включать в себя терминальное устройство (также называемое частью пользовательского оборудования, частью операторской сети и частью сети передачи данных (data network, DN)).

[00135] Часть терминального устройства включает в себя терминальное устройство 110, и терминальное устройство 110 также может упоминаться как пользовательское оборудование (user equipment, UE). Терминальное устройство 110 в вариантах осуществления этой заявки представляет собой устройство, имеющее функцию беспроводного приемопередатчика, и может осуществлять связь с одной или более базовыми сетями (core networks, CN) посредством использования устройства сети доступа, которое находится в сети (радио)доступа ((radio) access network, (R)AN) 140. Терминальное устройство 110 также может называться терминалом доступа, терминалом, абонентским устройством, абонентской станцией, мобильной станцией, мобильной консолью, удаленной станцией, удаленным терминалом, мобильным устройством, пользовательским терминалом, беспроводным сетевым устройством, пользовательским агентом, пользовательским устройством и т.п.Терминальное устройство 110 может быть развернуто на суше, включая в себя внутреннее устройство, наружное устройство, портативное устройство или устройство, установленное на транспортном средстве; или может быть развернуто на воде (например, на корабле); или может быть развернуто в воздухе (например, самолет, воздушный шар или спутник). Терминальное устройство 110 может представлять собой сотовый телефон (cellular phone), беспроводной телефон, телефон с протоколом инициации сеанса (session initiation protocol, SIP), смартфон (smartphone), мобильный телефон (mobile phone), беспроводную локальную линию (wireless local loop, WLL), или персональный цифровой помощник (personal digital assistant, PDA), или может быть портативным устройством с функцией беспроводной связи, вычислительным устройством или другим устройством, подключенным к беспроводному модему, устройством, установленным на транспортном средстве, носимым устройством, устройством-дроном, терминалом в Интернете вещей или Интернете транспортных средств, терминалом в сети мобильной связи пятого поколения (fifth generation, 5G), терминалом в любой форме в сети будущего, ретрансляционным пользовательским устройством, терминалом в будущей развитой наземной мобильной сети общего пользования (public land mobile network, PLMN) или тому подобным. Ретрансляционным пользовательским устройством может быть, например, резидентный шлюз 5G (residential gateway, RG). Например, терминальное устройство 110 может быть терминалом виртуальной реальности (virtual reality, VR), терминалом дополненной реальности (augmented reality, AR), беспроводным терминалом в промышленном управлении (industrial control), беспроводным терминалом в режиме самостоятельного вождения (self driving), беспроводным терминалом в дистанционной медицинской помощи (remote medical), беспроводным терминалом в интеллектуальной сети (smart grid), беспроводным терминалом в транспортной безопасности (transportation safety), беспроводным терминалом в умном городе (smart city), беспроводным терминалом в умном доме (smart home) или тому подобное. Это не ограничивается вариантами осуществления настоящей заявки. Для простоты описания в вариантах осуществления данной заявки для описания используется пример, в котором терминальное устройство 110 включает в себя беспилотный летательный аппарат и пульт дистанционного управления беспилотным летательным аппаратом.

[00136] Следует отметить, что беспилотный летательный аппарат в вариантах реализации настоящей заявки может дополнительно включать в себя транспортное средство (vehicle), которое может передвигаться автономно, или транспортное средство, которое может перемещаться в соответствии с командами управления дистанционного контроллера, судно (shipping), которое может путешествовать автономно, судно, которое может путешествовать согласно инструкциям управления дистанционного контроллера и т.п.

[00137] Сеть оператора может включать в себя унифицированное администрирование 134 данных (unified data management, UDM), функцию 136 сервера аутентификации (authentication server function, AUSF), функцию 137 администрирования доступа и мобильности (access and mobility management function, AMF), функцию 138 администрирования сеанса (session management function, SMF), функцию 139 плоскости пользователя (user plane function, UPF), (R)AN 140 и т.п.В сети оператора часть, отличная от части (R)AN 140, может называться частью базовой сети (core network, CN). Для простоты описания в вариантах осуществления данной заявки для описания используется пример, в котором (R)AN 140 представляет собой RAN.

[00138] Сеть данных DN 120 также может называться сетью передачи данных по протоколу (protocol data network, PDN) и обычно представляет собой сеть, расположенную вне сети оператора, например, сеть стороннего производителя. Сеть оператора может получить доступ к множеству сетей данных DN 120. Множество услуг может быть развернуто в сети данных DN 120, и сеть данных DN 120 может предоставлять такие услуги, как передача данных и/или голоса, для терминального устройства 110. Например, сеть данных DN 120 может быть частной сетью интеллектуального завода, датчиком, установленным в цехе интеллектуального завода, может быть терминальным устройством 110, сервером управления датчика, развернутым в сети данных DN 120, и сервер управления может предоставлять услугу датчику. Датчик может взаимодействовать с сервером управления, получать инструкции сервера управления, передавать собранные данные датчика на сервер управления в соответствии с инструкциями и так далее. В качестве другого примера сеть данных DN 120 может быть внутренней офисной сетью компании, мобильного телефона или компьютер сотрудника компании может быть терминальным устройством 110, а мобильный телефон или компьютер сотрудника может иметь доступ к информация, ресурсам данных и т.п.во внутренней офисной сети компании.

[00139] Терминальное устройство 110 может установить соединение с сетью оператора через интерфейс (например, N1), предоставляемый сетью оператора, и использовать такие услуги, как передача данных и/или голоса, предоставляемые сетью оператора. Терминальное устройство 110 может дополнительно получить доступ к сети данных DN 120 через сеть оператора и использовать услугу оператора, развернутую в сети данных DN 120, и/или услугу, предоставляемую третьей стороной. Третья сторона может быть поставщиком услуг, отличным от сети оператора и терминального устройства 110, и может предоставлять другую услугу, такую как передача данных и/или голоса, для терминального устройства 110. Конкретная форма представления третьей стороны, в частности, может быть определена на основе фактического сценария применения и в настоящем документе она не ограничена.

[00140] Ниже кратко описываются сетевые функции в сети оператора.

[00141] (R)AN 140 можно рассматривать как подсеть сети оператора, и представляет собой систему реализации между узлом обслуживания в сети оператора и терминальным устройством 110. Чтобы получить доступ к сети оператора, терминальное устройство 110 сначала проходит через (R)AN 140, а затем может быть подключено к узлу обслуживания в сети оператора с помощью (R)AN 140. Устройство сети доступа (RAN device) в вариантах осуществления этой заявки представляет собой устройство, которое обеспечивает функцию беспроводной связи для терминального устройства 110 и также может упоминаться как сетевое устройство. Устройство RAN включает в себя, помимо прочего, узловую базовую станцию следующего поколения (next generation node base station, gNB) в системе 5G, усовершенствованный NodeB (evolved NodeB, eNB) в долгосрочном развитии (long term evolution, LTE), контроллер радиосети (radio network controller, RNC), узел B (NodeB, NB), контроллер базовой станции (base station controller, BSC), базовая приемопередающая станция (base transceiver Station, BTS), домашняя базовая станция (например, домашний развитый NodeB, или домашний NodeB, HNB), блок основной полосы частот (baseband unit, BBU), точка передачи и приема (transmitting andception point, TRP), точка передачи (transmitting point, TP), пико (pico), центр коммутации мобильной связи или сетевое устройство в будущей сети. В системах, использующих разные технологии радиодоступа, устройства с функцией устройства сети доступа могут иметь разные названия. Для простоты описания во всех вариантах осуществления этой заявки вышеупомянутые устройства, которые обеспечивают функцию беспроводной связи для терминального устройства 110, вместе называются устройством сети доступа или для краткости называются RAN или AN. Следует понимать, что конкретный тип устройства сети доступа не ограничен в данном описании.

[00142] Функция 137 администрирования доступа и мобильности AMF (которая также может называться сетевым элементом AMF, сетевой функцией AMF или сетевым функциональным объектом AMF) представляет собой сетевую функцию плоскости управления, предоставляемую сетью оператора, и отвечает за доступ, контроль и управление мобильностью, когда терминальное устройство 110 осуществляет доступ к сети оператора, например, включая такие функции, как управление статусом мобильности, назначение временного идентификатора пользователя, а также аутентификация и авторизация пользователя.

[00143] Функция 138 управления сеансом SMF (которая также может называться сетевым элементом SMF, сетевой функцией SMF или сетевым функциональным объектом SMF) представляет собой сетевую функцию плоскости управления, предоставляемую сетью оператора, и отвечает за администрирование сеанса блока данных протокола (protocol data unit, PDU) терминального устройства 110. Сеанс PDU является каналом для передачи PDU, и терминальному устройству необходимо передать PDU в сеть данных DN 120 через сеанс PDU. Сетевая функция 138 SMF отвечает за установление, поддержание, удаление и т.п.сеанса PDU. Сетевая функция 138 SMF включает в себя функции, связанные с сеансом, такие как администрирование сеанса (например, установление, модификация и освобождение сеанса, в том числе обслуживание туннеля между функцией 139 UPF плоскости пользователя и (R)AN 140), выбор и управление сетевой функцией 139 UPF, выбор режима непрерывности обслуживания и сеанса (service and session continuity, SSC) и роуминг.

[00144] Функция UPF 139 плоскости пользователя (которая также может называться сетевым элементом UPF, сетевой функцией UPF или сетевым функциональным объектом UPF) представляет собой шлюз, предоставляемый оператором, и является шлюзом для связи между сетью оператора и сеть данных DN 120. Сетевая функция 139 UPF включает в себя функции, связанные с плоскостью пользователя, такие как маршрутизация и передача пакетов данных, обнаружение пакетов данных, отчет об использовании услуги, обработка качества обслуживания (quality of service, QoS), законный перехват, обнаружение пакетов данных восходящей линии связи и хранение пакетов данных нисходящей линии связи.

[00145] Элемент UDM 134 унифицированной сети администрирования данных (который также может называться сетевым элементом UDM, сетевой функцией UDM или объектом сетевой функции UDM) представляет собой функцию плоскости управления, предоставляемую оператором, и отвечает за хранение информации, такой как постоянный идентификатор абонента (subscriber permanent identifier, SUPI) в сети оператора, общего идентификатора общедоступной подписки (generic public subscription identifier, GPSI) и удостоверения (учетных данных). SUPI сначала шифруется во время передачи, и зашифрованный SUPI называется скрытым идентификатором подписки (subscription concealed identifier, SUCI). Информация, хранящаяся в UDM 134, может использоваться для аутентификации и авторизации терминального устройства 110 для доступа к сети оператора. Абонентом в сети оператора может быть, в частности, пользователь, использующий услугу, предоставляемую сетью оператора, например, пользователь, использующий SIM-карту China Telecom, или пользователь, использующий SIM-карту China Mobile. Учетные данные абонента могут представлять собой долговременный ключ, хранящийся на SIM-карте, или сохраненный небольшой файл, например, информацию, связанную с шифрованием SIM-карты, для аутентификации и/или авторизации. Следует отметить, что постоянный идентификатор, учетные данные, контекст безопасности, данные аутентификации (файл cookie), токен и другая информация, относящаяся к проверке/аутентификации и авторизации, не дифференцируются и не ограничиваются в вариантах осуществления этой заявки для простоты описания.

[00146] Функция 136 сервера аутентификации (authentication server function, AUSF) (которая также может называться сетевым элементом AUSF, сетевой функцией AUSF или объектом сетевой функции AUSF) представляет собой функцию плоскости управления, предоставляемую оператором, и обычно используется для первичной аутентификации, то есть аутентификации между терминальным устройством 110 (абонентом) и сетью оператора. После приема запроса на аутентификацию, инициированного абонентом, AUSF 136 может выполнить аутентификацию и/или авторизацию абонента, используя информацию аутентификации и/или информацию авторизации, хранящуюся в сетевой функции 134 UDM, или сгенерировать информацию аутентификации и/или авторизации абонента с помощью сетевой функции 134 UDM. Сетевая функция 136 AUSF может возвращать абоненту информацию аутентификации и/или информацию авторизации.

[00147] На Фиг. 1, Nausf, Nudm, Namf, Nsmf, N1, N2, N3, N4 и N6 - порядковые номера интерфейса. Значения этих порядковых номеров интерфейса см. в значениях, определенных в стандартном протоколе 3GPP. Подробности здесь не описаны. Следует отметить, что на фиг. 1, для описания используется только пример, в котором терминальным устройством 110 является UE. Имена интерфейсов между сетевыми функциями на фиг. 1 являются просто примерами. В конкретной реализации имена интерфейсов в архитектуре системы могут быть другими именами. В вариантах осуществления настоящей заявки конкретно это не ограничено.

[00148] Для простоты описания в вариантах осуществления этой заявки для описания используется пример, в котором сетевой функцией администрирования мобильности является сетевая функция 137 AMF. Альтернативно, сетевая функция администрирования мобильности может быть другой сетевой функцией, имеющей функцию сетевой функции 137 AMF в будущей системе связи. Альтернативно, сетевая функция администрирования мобильностью в этой заявке может быть сетевым объектом администрирования мобильности (Mobility Management Entity, MME) в LTE или тому подобное.

[00149] Кроме того, сетевая функция 137 AMF для краткости называется AMF, а терминальное устройство 110 называется UE. Другими словами, в вариантах осуществления этой заявки все описанные ниже AMF могут быть заменены сетевой функцией администрирования мобильности, а все UE могут быть заменены терминальным устройством.

[00150] В вариантах осуществления этой заявки для описания используется пример, в котором функцией сервера аутентификации является AUSF 136. Альтернативно, функция сервера аутентификации может быть другой сетевой функцией, имеющей функцию AUSF 136 в будущей системе связи. Кроме того, AUSF 136 для краткости называется AUSF. Другими словами, все AUSF, описанные ниже в вариантах осуществления этой заявки, могут быть заменены функцией сервера аутентификации.

[00151] В вариантах осуществления этой заявки для описания используется пример, в котором унифицированным администрированием данных является UDM 134. Альтернативно, унифицированное администрирование данных может быть другой сетевой функцией, имеющей функцию UDM 134 в будущей системе связи. Кроме того, UDM 134 для краткости называется UDM. Другими словами, все UDM, описанные ниже в вариантах осуществления этой заявки, могут быть заменены унифицированным администрированием данных.

[00152] Кроме того, варианты осуществления этой заявки также применимы к другой перспективной технологии связи, например, 6G. Сетевая архитектура и сценарий обслуживания, описанные в этой заявке, предназначены для более четкого описания технических решений в этой заявке и не представляют собой ограничения технических решений, представленных в этой заявке. Специалист в данной области техники может знать, что: с развитием сетевой архитектуры и появлением новых сценариев обслуживания сетевые функции в этой заявке могут меняться, и технические решения, представленные в этой заявке, также применимы к аналогичным техническим задачам.

[00153] Фиг. 2 представляет собой принципиальную схему аппаратной структуры аппаратуры связи согласно варианту осуществления этой заявки. Аппаратура связи может быть возможной реализацией сетевого устройства или терминального устройства в вариантах осуществления этой заявки. Как показано на фиг. 2, аппаратура связи включает в себя, по меньшей мере, процессор 204, память 203 и приемопередатчик 202. Память 203 дополнительно сконфигурирована для хранения инструкций 2031 и данных 2032. Необязательно, аппаратура связи может дополнительно включать в себя антенны 206, интерфейс 210 ввода/вывода (input/output, Input/Output) и шину 212. Приемопередатчик 202 дополнительно включает в себя передатчик 2021 и приемник 2022. Кроме того, процессор 204, приемопередатчик 202, память 203 и интерфейс ввода-вывода 210 коммуникационно соединены друг с другом через шину 212, а антенны 206 подключены к приемопередатчику 202.

[00154] Процессор 204 может быть процессором общего назначения, например, помимо прочего, центральным блоком обработки (Central Processing Unit, CPU), или может быть специализированным процессором, например, помимо прочего, процессором цифровых сигналов (Digital Signal Processor, DSP), специализированной интегральной схемой (Application-Specific Integrated Circuit, ASIC) или программируемой пользователем вентильной матрицей (Field Programmable Gate Array, FPGA). Альтернативно, процессор 204 может быть нейронным процессором (neural processing unit, NPU). Кроме того, процессор 204 альтернативно может представлять собой комбинацию множества процессоров. В частности, в технических решениях, предусмотренных в вариантах осуществления этой заявки, процессор 204 может быть сконфигурирован для выполнения связанных этапов способа связи в последующих вариантах осуществления способа. Процессор 204 может быть процессором, который конкретно разработан для выполнения вышеупомянутых этапов и/или операций, или может быть процессором, который выполняет вышеупомянутые этапы и/или операции путем считывания и выполнения инструкций 2031, хранящихся в памяти 203. Процессору 204 может потребоваться использовать данные 2032 в процессе выполнения вышеупомянутых этапов и/или операций.

[00155] Приемопередатчик 202 включает в себя передатчик 2021 и приемник 2022. В дополнительной реализации передатчик 2021 сконфигурирован для отправки сигнала с использованием антенны 206. Приемник 2022 сконфигурирован для приема сигнала с использованием по меньшей мере одной из антенн 206. В частности, в технических решениях, предусмотренных в вариантах осуществления этой заявки, передатчик 2021 может быть конкретно сконфигурирован для выполнения, с использованием по меньшей мере одной из антенн 206, например, операции, выполняемой приемным модулем или передающим модулем в сетевое устройство или терминальное устройство, когда способ связи в последующих вариантах осуществления способа применяется к сетевому устройству или терминальному устройству.

[00156] В этом варианте осуществления этой заявки приемопередатчик 202 сконфигурирован для поддержки аппаратуры связи при выполнении вышеупомянутой функции приема и функции отправки. Процессор, имеющий функцию обработки, рассматривается как процессор 204. Приемник 2022 также может называться входным портом, схемой приемника и т.п.Передатчик 2021 может называться передатчиком, схемой передатчика и т.п.

[00157] Процессор 204 может быть сконфигурирован для выполнения инструкций, хранящихся в памяти 203, для управления приемопередатчиком 202 для приема сообщения и/или отправки сообщения, для выполнения функций аппаратуры связи в вариантах осуществления способа этой заявки. В реализации можно считать, что функция блока 202 приемопередатчика реализуется с использованием схемы приемопередатчика или выделенной микросхемы приемопередатчика. В этом варианте осуществления этой заявки то, что приемопередатчик 202 принимает сообщение, можно понимать как то, что приемопередатчик 202 вводит сообщение, а то, что приемопередатчик 202 отправляет сообщение, можно понимать как то, что приемопередатчик 202 выводит сообщение.

[00158] Память 203 может представлять собой носитель информации различных типов, например, оперативное запоминающее устройство (Random Access Memory, RAM), постоянное запоминающее устройство (Read-Only Memory, ROM), энергонезависимое запоминающее устройство (Non-Volatile RAM), NVRAM), программируемое запоминающее устройство (Programmable ROM, PROM), стираемое PROM (Erasable PROM, EPROM), электрически стираемое PROM (Electrically Erasable PROM, EEPROM), флэш-память, оптическую память и регистр. Память 203 конкретно сконфигурирована для хранения инструкций 2031 и данных 2032. Процессор 204 может выполнять этапы и/или операции в вариантах осуществления способа данной заявки путем считывания и выполнения инструкций 2031, хранящихся в памяти 203. Данные 2032, возможно, потребуется использовать в процессе выполнения операций и/или этапов в вариантах осуществления способа этой заявки.

[00159] Необязательно, аппаратура связи может дополнительно включать в себя интерфейс 210 ввода-вывода. Интерфейс 210 ввода-вывода сконфигурирован для приема инструкций и/или данных от периферийного устройства и вывода инструкций и/или данных на периферийное устройство.

[00160] Ниже описаны определения некоторых терминов в вариантах осуществления этой заявки.

[00161] (1) Ключевая архитектура

[00162] См. фиг. 3. ФИГ. 3 представляет собой схематическое представление ключевой архитектуры согласно варианту осуществления этой заявки. UE (или USIM) и UDM (или функция репозитория и обработки учетных данных аутентификации (Authentication credential Repository and Processing Function, ARPF) или унифицированный репозиторий данных (Unified Data Repository, UDR)) хранят долгосрочный ключ K упомянутого UE.

[00163] На стороне сетевого устройства, UDM или ARPF генерирует ключ CK (ключ шифрования) и ключ IK (ключ целостности) на основе долговременного ключа K UE. Способ генерации промежуточного ключа Kausf варьируется в зависимости от режима аутентификации, выбранного UDM. Когда режим аутентификации, выбранный UDM, представляет собой аутентификацию 5G и согласование ключей (5G Authentication and Key Agreement, 5G AKA), UDM или ARPF генерирует промежуточный ключ Kausf на основе ключа CK и ключа IK. UDM отправляет сгенерированный промежуточный ключ Kausf в AUSF. Когда режим аутентификации, выбранный UDM, представляет собой способ расширяемого протокола аутентификации для аутентификации 3-го поколения и соглашения о ключах (Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement, EAP-AKA'), UDM или ARPF генерирует ключ CK' и ключ IK' на основе ключа СК и ключа IK. UDM отправляет сгенерированные ключи CK' и ключ IK' в AUSF. AUSF генерирует промежуточный ключ Kausf на основе ключа CK' и ключа IK'.

[00164] На основе промежуточного ключа Kausf можно получить множество ключей. В этом варианте осуществления данной заявки, контекст безопасности включает в себя ключ, полученный на основе промежуточного ключа Kausf, алгоритма, счетчика и т.п.Контекст безопасности включает в себя, помимо прочего, Kseaf, Kamf, Kaf, Kakma, K_NASint, K_NASenc, K_gNB, K_RRCint, K_RRCenc или K_N3IWF.

[00165] Например, AUSF генерирует ключ Kseaf на основе промежуточного ключа Kausf и отправляет ключ Kseaf в SEAF. SEAF генерирует ключ Kamf на основе ключа Kseaf и отправляет ключ Kamf в AMF. AMF генерирует ключ уровня без доступа (non-access stratum, NAS) и промежуточный ключ K_gNB уровня доступа (access stratum, AS) на основе ключа Kamf. AMF передает K_gNB набазовую станцию, а базовая станция дополнительно генерирует контекст безопасности AS на основе K_gNB, например,K_RRCint и K_RRCenc.

[00166] На стороне терминального устройства модуль идентификации абонента универсальной системы мобильной связи (universal mobile telecommunications system subscriber identity module, UMTS) сначала генерирует ключ CK и ключ IK на основе долговременного ключа K упомянутого UE. USIM отправляет ключ CK и ключ IK на мобильное оборудование (mobile equipment, ME). Во-вторых, аналогично стороне сетевого устройства, режим генерации промежуточного ключа Kausf отличается в разных режимах аутентификации. Когда используется режим аутентификации 5G AKA, UE генерирует промежуточный ключ Kausf на основе ключа CK и ключа IK. Когда используемым режимом аутентификации является EAP-AKA', UE генерирует ключ CK’ и ключ IK’ на основе ключа CK и ключа IK. UE генерирует промежуточный ключ Kausf на основе ключа CK’ и ключа IK’.

[00167] UE генерирует ключ Kseaf на основе промежуточного ключа Kausf. UE генерирует ключ Kamf на основе ключа Kseaf. UE генерирует ключ NAS и K_gNB на основе ключа Kamf. Затем UE дополнительно генерирует K_RRCint и K_RRCenc на основе K_gNB.

[00168] (2) Процедура аутентификации

[00169] Для простоты понимания обратитесь к фиг. 4. ФИГ. 4 представляет собой схематическое представление процедуры аутентификации.

[00170] Этап 401. Терминальное устройство отправляет сообщение N1 сетевому элементу функции привязки безопасности (security anchor function, SEAF).

[00171] На этапе 401, UE и базовая сеть выполняют процедуру первичной аутентификации (Primary authentication). Вектор аутентификации (authentication vector, AV) требуется в процедуре первичной аутентификации. Вектор аутентификации предназначен для передачи параметра проверки в процедуре первичной аутентификации.

[00172] В этом варианте осуществления данной заявки процедура первичной аутентификации также называется процедурой аутентификации. Это не ограничено здесь.

[00173] На этапе 401 сначала терминальное устройство отправляет сообщение N1 (N1 message) сетевому элементу функции привязки безопасности (security anchor function, SEAF), где сообщение N1 содержит SUCI UE или 5G-глобально уникальный временный идентификатор UE (5G-globally unique temporary UE identity, 5G-GUTI). Понятно, что сообщение N1 может быть сообщением запроса регистрации. SEAF может быть совмещен с AMF (то есть SEAF является частью AMF) или SEAF может быть независимым сетевым элементом.

[00174] Этап 402. SEAF отправляет сообщение запроса на аутентификацию пользователя на AUSF.

[00175] Затем SEAF (или AMF, совмещенный с SEAF) отправляет сообщение запроса на аутентификацию пользователя в AUSF, где сообщением запроса на аутентификацию пользователя является, например, «Nausf_UEAuthentication_Authentication Request». Сообщение содержит SUCI (или SUPI) и имя обслуживающей сети (serving network name, SN-name). Если сообщение N1, принятое SEAF (или AMF, совмещенным с SEAF) от терминального устройства, содержит SUCI, сообщение запроса на аутентификацию пользователя, отправленное SEAF в AUSF, содержит SUCI. Если сообщение N1, принятое SEAF (или AMF, совмещенный с SEAF) от терминального устройства, содержит 5G-GUTI, SEAF сначала получает SUPI на основе 5G-GUTI, а сообщение запроса на аутентификацию пользователя, отправленное SEAF в AUSF несет SUPI.

[00176] Этап 403. AUSF отправляет сообщение запроса на получение вектора аутентификации в UDM.

[00177] На этапе 403 AUSF отправляет сообщение запроса на получение вектора аутентификации в UDM, где сообщением запроса на получение вектора аутентификации является, например, «Numd_UEAuthentication Get Request». Сообщение запроса на получение вектора аутентификации предназначено для запроса вектора аутентификации от UDM. Сообщение запроса на получение вектора аутентификации несет SUPI (или SUCI) и SN-имя. В частности, когда сообщение запроса на аутентификацию пользователя, отправленное SEAF (или AMF, совмещенным с SEAF) в AUSF, несет SUPI, сообщение запроса на получение вектора аутентификации несет SUPI; или когда сообщение запроса на аутентификацию пользователя, отправленное SEAF (или AMF, совмещенным с SEAF) в AUSF, несет SUCI, сообщение запроса на получение вектора аутентификации содержит SUCI.

[00178] SUCI можно понимать как шифровальную форму SUPI. Конкретный способ создания SUCI см. в стандарте 3GPP TS 33.501. Таким образом, часть SUPI, за исключением мобильного кода страны (mobile country code, MCC), может быть зашифрована и вычислена с помощью модуля идентификации абонента универсальной системы мобильной связи (universal mobile telecommunications system subscriber identity module, UMTS) или мобильного оборудования (mobile equipment, ME) для получения зашифрованной части в SUCI. Помимо зашифрованной части, SUCI дополнительно включает в себя индикатор маршрутизации RID (routing indicator, RID), MCC, MNC и другой контент.

[00179] Этап 404. UDM выбирает способ аутентификации.

[00180] В этом варианте осуществления после приема сообщения запроса на получение вектора аутентификации упомянутый UDM выбирает способ аутентификации (или так называемый алгоритм аутентификации). Например, UDM определяет выбрать способ аутентификации 5G AKA или способ аутентификации EAP-AKA’. В частности, UDM выбирает способ аутентификации на основе SUPI в сообщении запроса на получение вектора аутентификации. Когда сообщение запроса на получение вектора аутентификации содержит SUCI, UDM расшифровывает SUCI для получения SUPI.

[00181] Этап 405. AUSF принимает ответное сообщение на получение вектора аутентификации, отправленное упомянутым UDM.

[00182] На этапе 405, после того как UDM принимает сообщение запроса на получение вектора аутентификации на этапе 403, UDM определяет соответствующий вектор аутентификации на основе выбранного способа аутентификации. UDM отправляет ответное сообщение на получение вектора аутентификации в AUSF, где ответное сообщение на получение вектора аутентификации содержит вектор аутентификации. Например, ответное сообщение на получение вектора аутентификации представляет собой «Num_UEAuthentication_Get Response».

[00183] (3) 5G АКА

[00184] В процедуре аутентификации 5G AKA, UDM создает вектор аутентификации (authentication vector, AV). Затем UDM отправляет сообщение запроса на аутентификацию терминальному устройству через AUSF и SEAF (или AMF, где AMF и SEAF совмещены).

[00185] В частности, сообщение запроса на аутентификацию (Authentication Request), отправленное SEAF (или AMF, где AMF и SEAF совмещены) в UE, содержит один или несколько из следующих информационных элементов: идентификатор набора ключей в 5G (Key Set Identifier in 5G, ngKSI) и параметр противодействия атакам на основе понижения уровня безопасности между архитектурами (anti-bidding down between architectures, ABBA).

[00186] После приема сообщения запроса на аутентификацию терминальное устройство завершает локальную аутентификацию. Когда аутентификация успешна, генерируется промежуточный ключ Kausf, и ответное сообщение аутентификации (Authentication response) отправляется в SEAF (или AMF, где AMF и SEAF совмещены).

[00187] После приема ответного сообщения аутентификации от терминального устройства, SEAF генерирует ответ (RES*). SEAF отправляет ответ (RES*) в AUSF.

[00188] AUSF выполняет проверку (verification) на основе ответа (RES*) от SEAF. Если проверка успешна, AUSF сохраняет промежуточный ключ Kausf. Kausf соответствует сообщению запроса на аутентификацию, отправленному SEAF в UE.

[00189] После успешной проверки упомянутая AUSF, отправляет сообщение запроса на подтверждение результата аутентификации в UDM. Сообщение запроса на подтверждение результата аутентификации может дополнительно содержать одну или более из следующей информации: SUPI, временную метку, результат аутентификации, тип аутентификации (authentication type), идентификатор AUSF и имя обслуживающей сети. Информация о типе аутентификации указывает, что способ аутентификации - 5G AKA. Например, сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request».

[00190] UDM сохраняет результат аутентификации терминального устройства на основе сообщения запроса на подтверждение результата аутентификации и отвечает упомянутой AUSF сообщением. Например, ответным сообщением может быть сообщение «Nudm_UEAuthentication_ResultConfirmation Response».

[00191] После приема указания успешной аутентификации от AUSF, AMF выполняет последующую процедуру SMC NAS. Для получения подробной информации обратитесь к разделу «(5) Процедура сохранения промежуточного ключа Kausf» и соответствующему описанию фиг. 5.

[00192] (4) EAP-AKA'

[00193] В процедуре аутентификации EAP-AKA’, UDM создает вектор аутентификации (authentication vector, AV). Затем UDM отправляет сообщение запроса на аутентификацию терминальному устройству через AUSF и SEAF (или AMF, где AMF и SEAF совмещены).

[00194] В частности, сообщение запроса на аутентификацию (Authentication Request), отправленное SEAF (или AMF, где AMF и SEAF совмещены) в UE, несет один или несколько из следующих информационных элементов: «EAP request/AKA'-Challenge», идентификатор набора ключей в 5G (Key Set Identifier in 5G, ngKSI) и параметр противодействия атакам на основе понижения уровня безопасности между архитектурами (ABBA).

[00195] После приема сообщения запроса на аутентификацию терминальное устройство завершает локальную аутентификацию. Когда аутентификация успешна, генерируется промежуточный ключ Kausf, и ответное сообщение аутентификации (Authentication response) отправляется в SEAF (или AMF, где AMF и SEAF совмещены). Ответное сообщение аутентификации содержит один или несколько из следующих информационных элементов: «EAP Response/AKA'-Challenge».

[00196] После приема ответного сообщения аутентификации от терминального устройства, SEAF пересылает принятый информационный элемент «EAP Response/AKA'-Challenge» в AUSF.

[00197] AUSF выполняет проверку (верификацию) (verification) на основе информационного элемента «EAP Response/AKA'-Challenge» из SEAF. Если проверка успешна, AUSF сохраняет промежуточный ключ Kausf. Kausf соответствует сообщению запроса на аутентификацию, отправленному SEAF в UE.

[00198] Процедура аналогична процедуре (3) 5G AKA. После успешной проверки, AUSF отправляет сообщение запроса на подтверждение результата аутентификации в UDM. Сообщение запроса на подтверждение результата аутентификации может дополнительно содержать одну или более из следующей информации: SUPI, временную метку, результат аутентификации, тип аутентификации (authentication type), идентификатор AUSF и имя обслуживающей сети. Информация о типе аутентификации указывает, что способом аутентификации является EAP-AKA’. Например, сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request».

[00199] UDM сохраняет результат аутентификации терминального устройства на основе сообщения запроса на подтверждение результата аутентификации и отвечает упомянутой AUSF сообщением. Например, ответным сообщением может быть сообщение «Nudm_UEAuthentication_ResultConfirmation Response».

[00200] (5) Процедура сохранения промежуточного ключа Kausf

[00201] Kausf генерируется в AUSF при процедуре первичной аутентификации или отправляется в AUSF после генерирования посредством UDM. На стороне UE, UE может генерировать тот же Kausf, используя способ, соответствующий тому, который используется упомянутой AUSF или UDM. После определения, что аутентификация прошла успешно, AUSF сохраняет новый Kausf, и возможность сохранения Kausf на стороне UE зависит от способа аутентификации. Если используется способ аутентификации 5G-AKA, сторона UE сохраняет Kausf после приема сообщения команды режима уровня безопасности без доступа (Non-access stratum security mode command, NAS SMC). Если используется способ аутентификации EAP-AKA’, сторона UE сохраняет Kausf после приема сообщения об успешном выполнении EAP. UDM хранит идентификатор AUSF, например, сохраняет идентификатор (ID) экземпляра (instance ID) AUSF.

[00202] Сначала выполняется процедура первичной аутентификации (например, (2) процедура аутентификации, (3) 5G AKA или (4) EAP-AKA’), а затем выполняется процедура NAS SMC.

[00203] При использовании процедуры 5G-AKA процедура SMC NAS должна обязательно выполняться после процедуры первичной аутентификации, а время простоя между процедурой первичной аутентификации и процедурой SMC NAS должно быть как можно короче. После того, как терминальное устройство принимает сообщение NAS SMC от AMF (для разных способов аутентификации информационные элементы, переносимые в сообщении NAS SMC, могут быть разными), терминальное устройство сохраняет Kausf, сгенерированный после приема сообщения запроса на аутентификацию от SEAF.

[00204] В частности, терминальное устройство выполняет аутентификацию после приема сообщения запроса на аутентификацию от SEAF (или AMF, где AMF и SEAF совмещены) и генерирует Kausf, когда аутентификация успешна. В этом случае Kausf буферизуется в терминальном устройстве. После того как терминальное устройство принимает сообщение NAS SMC от AMF, терминальное устройство сохраняет буферизованный Kausf на мобильном оборудовании (mobile equipment, ME) терминального устройства.

[00205] Сообщение SMC NAS может быть сообщением «NAS security mode command».

[00206] Для способа аутентификации 5G AKA сообщение SMC NAS включает в себя один или несколько из следующих информационных элементов: информационные элементы, такие как выбранный алгоритм шифрования, выбранный алгоритм защиты целостности и возможности безопасности UE.

[00207] Для способа аутентификации EAP-AKA’ сообщение SMC NAS может дополнительно включать в себя один или несколько из следующих информационных элементов: сообщение об успешном выполнении EAP.

[00208] Для простоты понимания обратитесь к фиг. 5. ФИГ. 5 представляет собой схематическую диаграмму процедуры SMC NAS согласно варианту осуществления этой заявки. Процедура NAS SMC включает следующие этапы.

[00209] Этап 501. Запуск защиты целостности.

[00210] На этапе 501 AMF запускает процедуру защиты целостности.

[00211] Этап 502. AMF отправляет сообщение SMC NAS в UE.

[00212] На этапе 502 для разных способов аутентификации сообщение SMC NAS, отправленное AMF в UE, содержит разные информационные элементы. Терминальное устройство может определить используемый в данный момент способ аутентификации на основе информационного элемента, содержащегося в сообщении NAS SMC.

[00213] Для способа аутентификации 5G AKA сообщение SMC NAS включает в себя один или несколько из следующих информационных элементов: информационные элементы, такие как выбранный алгоритм шифрования, выбранный алгоритм защиты целостности и возможности безопасности UE.

[00214] Для способа аутентификации EAP-AKA’ сообщение SMC NAS может дополнительно включать в себя один или несколько из следующих информационных элементов: информация об успешном выполнении EAP.

[00215] Следует отметить, что для способа аутентификации EAP-AKA’ AMF может дополнительно отправлять сообщение об успешном выполнении EAP об успешном выполнении EAP на UE в другом сообщении. В этом случае сообщение об успешном выполнении EAP используется как информационный элемент другого сообщения. UE сохраняет промежуточный ключ Kausf в ответ на другое сообщение.

[00216] Этап 503. Запуск процедуры расшифровки восходящей линии связи.

[00217] На этапе 503, AMF начинает процедуру дешифрования восходящей линии связи.

[00218] Этап 504. Проверка целостности сообщения SMC NAS.

[00219] На этапе 504, UE проверяет целостность сообщения SMC NAS. В частности, если проверка успешна, UE начинает шифрование восходящей линии связи, дешифрование нисходящей линии связи, защиту целостности и т.п.

[00220] Этап 505. UE отправляет полный ответ NAS SMC в AMF.

[00221] На этапе 505, после того как UE завершает проверку сообщения NAS SMC, UE отправляет полный ответ NAS SMC в AMF. Полный ответ SMC NAS может быть сообщением NAS.

[00222] Этап 506. Запустите процедуру шифрования нисходящей линии связи.

[00223] На этапе 506 AMF проверяет целостность сообщения SMC NAS. В частности, если проверка успешна, AMF запускает процедуру шифрования нисходящей линии связи.

[00224] (6) Сценарий множественного доступа

[00225] В сетевой архитектуре 5G поддерживается технология доступа (например, LTE или 5G RAN), определенная стандартной группой 3GPP, для доступа к стороне устройства базовой сети (5G core network), а также доступ не-3GPP (non-3GPP). Также поддерживается технология доступа к устройству базовой сети. Например, технология доступа, отличная от 3GPP, может быть предназначена для доступа к стороне устройства базовой сети с использованием функции взаимодействия не-3GPP (non-3GPP interworking function, N3IWF) или шлюза пакетных данных следующего поколения (next generation packet data gateway, ngPDG)). Радиотехнология, определенная группой стандартов 3GPP, также называется технологией доступа 3GPP.

[00226] В частности, в сценарии множественного доступа терминальное устройство может одновременно получать доступ к различным посещаемым сетям, используя технологию доступа 3GPP и технологию доступа не-3GPP (отличную от 3GPP). Хотя посещаемые сети, к которым осуществляется доступ, различны, домашние сети одинаковы.

[00227] Терминальное устройство может альтернативно получить доступ к одной и той же посещаемой сети, используя технологию доступа 3GPP и технологию доступа не-3GPP.

[00228] Например, в сценарии множественного доступа для описания используется пример, в котором терминальное устройство отдельно осуществляет доступ к первой сети связи и второй сети связи. Сетевая функция, которая предоставляет услугу в первой сети связи, включает в себя первую AMF и первую AUSF, а сетевая функция, которая предоставляет услугу во второй сети связи, включает в себя вторую AMF и вторую AUSF.

[00229] В возможной реализации терминальное устройство устанавливает соединение связи с другой сетевой функцией, такой как первая AMF и первая AUSF, используя RAN. Другими словами, терминальное устройство осуществляет доступ к первой сети связи, используя технологию доступа 3GPP. Терминальное устройство устанавливает соединение связи с другой сетевой функцией, такой как вторая AMF и вторая AUSF, используя N3IWF (или ngPDG). Другими словами, терминальное устройство осуществляет доступ ко второй сети связи, используя технологию доступа, отличную от 3GPP. В этом варианте осуществления данной заявки описанная выше реализация используется в качестве примера для описания. Можно понимать, что первая сеть связи альтернативно может быть сетью связи, доступ к которой осуществляется с использованием технологии доступа не-3GPP, а вторая сеть связи альтернативно может быть сетью связи, доступ к которой осуществляется с использованием технологии доступа 3GPP. Это не ограничено здесь.

[00230] В частности, обратитесь к фиг. 6А и Фиг. 6B. ФИГ. 6А и Фиг. 6B представляет собой схематическое представление процедуры аутентификации терминального устройства в сценарии множественного доступа. Например, первая сеть связи включает в себя первую AMF, а вторая сеть связи включает в себя вторую AMF. Первая сеть связи дополнительно включает в себя еще одну сетевую функцию, и вторая сеть связи дополнительно включает в себя еще одну сетевую функцию. Первая сеть связи и вторая сеть связи одновременно устанавливают соединение связи с UDM. Например, первая сеть связи может быть гостевой наземной мобильной сетью общего пользования (visited plmn, VPLMN), а вторая сеть связи может быть другой VPLMN или домашней общедоступной наземной мобильной сетью (home plmn, HPLMN). Для первой сети связи и второй сети связи терминальное устройство выполняет независимое обслуживание и использует разные контексты безопасности 5G, а каждая сеть связи (PLMN) соответствует одному набору контекстов безопасности 5G. Контекст безопасности 5G, поддерживаемый терминальным устройством, включает в себя полный параметр 5G, а точнее, включает в себя параметр контекста NAS типа 3GPP и параметр контекста NAS типа не-3GPP, каждой PLMN. Например, поддерживаются две пары счетчиков NAS (NAS COUNT), которые предназначены для доступа 3GPP и доступа не-3GPP соответственно. Каждый контекст безопасности 5G необходимо устанавливать отдельно посредством успешной процедуры аутентификации. Следует отметить, что сеть связи здесь представляет собой конкретно VPLMN. Для UE существует только один Kausf. Другими словами, хотя каждая сеть связи (PLMN) терминала соответствует одному набору контекстов безопасности 5G, UE и UDM в конечном итоге сохраняют Kausf только для одной сети связи.

[00231] Можно понимать, что первая AUSF и вторая AUSF могут быть одной и той же AUSF или могут быть разными AUSF.

[00232] Ниже описывается конкретная процедура аутентификации.

[00233] Сначала терминальное устройство отдельно обращается к первой сети связи и второй сети связи, и в тот же момент терминальное устройство устанавливает соединения связи с первой сетью связи и второй сетью связи. Терминальное устройство осуществляет доступ к первой сети связи с использованием первой технологии доступа, и терминальное устройство осуществляет доступ ко второй сети связи с использованием второй технологии доступа. В возможной реализации первая технология доступа представляет собой технологию доступа 3GPP, а вторая технология доступа представляет собой технологию доступа не-3GPP. В другой возможной реализации первая технология доступа является технологией доступа не-3GPP, а вторая технология доступа представляет собой технологию доступа 3GPP.

[00234] Например, терминальное устройство может получить доступ к первой сети связи с помощью RAN, и терминальное устройство может получить доступ ко второй сети связи с помощью N3IWF (или ngPDG).

[00235] Этап 601a. Первая AMF инициирует аутентификацию на UE.

[00236] На этапе 601a первая AMF в первой сети связи инициирует аутентификацию на UE. Первая AMF может инициировать аутентификацию на UE в соответствии с локальной политикой, и аутентификация может произойти в любой момент.Альтернативно первая AMF может инициировать аутентификацию на UE в процедуре запроса услуги. Конкретная процедура аутентификации согласуется с процедурой аутентификации, показанной на фиг. 4, или соответствует этапам с 402 по 405 в процедуре, показанной на фиг. 4. Первая AMF (первая AMF и SEAF совмещены) запрашивает первую AUSF выполнить аутентификацию на UE.

[00237] Этап 601b. Вторая AMF инициирует аутентификацию на UE.

[00238] На этапе 601b вторая AMF во второй сети связи инициирует аутентификацию на UE. Вторая AMF может инициировать аутентификацию на UE в соответствии с локальной политикой, и аутентификация может произойти в любой момент.Вторая AMF альтернативно может инициировать аутентификацию на UE в процедуре запроса услуги. Конкретная процедура аутентификации согласуется с процедурой аутентификации, показанной на фиг. 4, или соответствует этапам с 402 по 405 в процедуре, показанной на фиг. 4. Вторая AMF (вторая AMF и SEAF совмещены) запрашивает вектор аутентификации для запроса на аутентификацию на UE от второй AUSF. В частности, вторая AMF отправляет сообщение запроса на аутентификацию пользователя на вторую AUSF.

[00239] Следует отметить, что в этом варианте осуществления последовательность выполнения этапов 601a и 601b заключается в том, что этап 601a выполняется перед этапом 601b. Однако можно понимать, что этап 601b альтернативно может быть выполнен перед этапом 601a.

[00240] Этап 602a. UDM выбирает способ аутентификации и выполняет аутентификацию на UE; и если аутентификация успешна, первая AUSF сохраняет Kausf-1, а UDM сохраняет идентификатор первой AUSF.

[00241] На этапе 602a, после этапа 601a, первая AUSF отправляет сообщение запроса на получение вектора аутентификации в UDM в ответ на сообщение запроса на аутентификацию пользователя. В ответ на сообщение запроса получения вектора аутентификации первой AUSF, UDM генерирует вектор аутентификации и выбирает способ аутентификации. Затем UDM и другая сетевая функция (например, первая AMF и первая AUSF) первой сети связи завершают аутентификацию на UDM.

[00242] Когда UDM выбирает способ аутентификации 5G AKA, конкретная процедура аутентификации соответствует этапам, описанным в разделе «(3) 5G AKA».

[00243] Когда UDM выбирает способ аутентификации EAP-AKA’, конкретная процедура аутентификации соответствует этапам, описанным в разделе «(4) EAP-AKA’».

[00244] После завершения аутентификации в соответствии с вышеизложенной процедурой, если аутентификация прошла успешно, первая AUSF сохраняет промежуточный ключ Kausf. В этом варианте осуществления данной заявки для простоты описания промежуточный ключ Kausf, сгенерированный в процедуре аутентификации, инициируемой первой сетью связи, называется Kausf-1.

[00245] Если аутентификация успешна, первая AUSF отправляет сообщение запроса на подтверждение результата аутентификации в UDM. Сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request». Сообщение запроса на подтверждение результата аутентификации включает в себя SUPI, временную метку, результат аутентификации, тип аутентификации, идентификатор AUSF, имя обслуживающей сети и т.п.В ответ на сообщение запроса на подтверждение результата аутентификации UDM сохраняет идентификатор первой AUSF. Например, UDM хранит идентификатор экземпляра (ID экземпляра) первой AUSF.

[00246] Этап 602b. UDM выбирает способ аутентификации и выполняет аутентификацию на UE; и если аутентификация успешна, вторая AUSF сохраняет Kausf-2, а UDM сохраняет идентификатор второй AUSF.

[00247] На этапе 602b, после этапа 601b, вторая AUSF отправляет сообщение запроса на получение вектора аутентификации в UDM в ответ на сообщение запроса на аутентификацию пользователя. В ответ на сообщение запроса получения вектора аутентификации второй AUSF, UDM генерирует вектор аутентификации и выбирает способ аутентификации. Затем UDM и другая сетевая функция (например, вторая AMF и вторая AUSF) второй сети связи завершают аутентификацию на UDM.

[00248] Когда UDM выбирает способ аутентификации 5G AKA, конкретная процедура аутентификации соответствует этапам, описанным в разделе «(3) 5G AKA».

[00249] Когда UDM выбирает способ аутентификации EAP-AKA’, конкретная процедура аутентификации соответствует этапам, описанным в разделе «(4) EAP-AKA’».

[00250] После завершения аутентификации в соответствии с вышеизложенной процедурой, если аутентификация успешна, вторая AUSF сохраняет промежуточный ключ Kausf. В этом варианте осуществления этой заявки для простоты описания промежуточный ключ Kausf, сгенерированный в процедуре аутентификации, инициируемой второй сетью связи, называется Kausf-2.

[00251] Если аутентификация успешна, вторая AUSF отправляет сообщение запроса на подтверждение результата аутентификации в UDM. Сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request». Сообщение запроса на подтверждение результата аутентификации включает в себя SUPI, временную метку, результат аутентификации, тип аутентификации, идентификатор AUSF, имя обслуживающей сети и т.п.В ответ на сообщение запроса на подтверждение результата аутентификации, UDM сохраняет идентификатор второй AUSF. Например, UDM хранит идентификатор экземпляра (ID экземпляра) второй AUSF.

[00252] Первая сеть связи сначала выполняет аутентификацию на UE, а затем вторая сеть связи выполняет аутентификацию на UE. Поэтому UDM сначала сохраняет идентификатор первой AUSF, а затем сохраняет идентификатор второй AUSF. Когда UDM сохраняет идентификатор второй AUSF, UDM удаляет идентификатор первой AUSF, а затем сохраняет идентификатор второй AUSF. В этом случае UDM сохраняет только идентификатор второй AUSF, который был сгенерирован последним. Соответственно, если вторая сеть связи сначала выполняет аутентификацию на UE, а затем первая сеть связи выполняет аутентификацию на UE, UDM сначала сохраняет идентификатор второй AUSF, а затем сохраняет идентификатор первой AUSF. Когда UDM сохраняет идентификатор первой AUSF, UDM удаляет идентификатор второй AUSF, а затем сохраняет идентификатор первой AUSF. В этом случае UDM сохраняет только идентификатор первой AUSF, который был сгенерирован последним.

[00253] Ниже отдельно описаны процедуры аутентификации для различных способов аутентификации. Способы аутентификации включают в себя 5G AKA и EAP-AKA’. 5G AKA соответствует этапам 603a и 604a и этапам 603b и 604b. EAP-AKA’ соответствует этапам 605a и 606a и этапам 605b и 606b.

[00254] Во-первых, аутентификация 5G-AKA описывается следующим образом:

[00255] Этап 603A. Первая AMF отправляет первое сообщение SMC NAS в UE.

[00256] На этапе 603a процедура SMC NAS обязательно выполняется после процедуры первичной аутентификации 5G-AKA. Следовательно, когда аутентификация успешна на этапе 602a, первая AMF отправляет сообщение SMC NAS в UE. В этом варианте осуществления этой заявки сообщение SMC NAS, отправленное первой сетью связи, называется первым сообщением SMC NAS.

[00257] Для информационного элемента, передаваемого в первом сообщении SMC NAS, обратитесь к описанию вышеизложенного «(5) процедура сохранения промежуточного ключа Kausf». Подробности здесь повторно не приводятся.

[00258] Этап 604A. UE сохраняет Kausf-1 в ответ на первое сообщение SMC NAS.

[00259] На этапе 604a, в ответ на первое сообщение NAS SMC, UE окончательно сохраняет Kausf-1, который буферизуется на этапе 602a. За подробностями обратитесь к описанию вышеизложенного «(5) Процедура сохранения промежуточного ключа Kausf». Подробности здесь повторно не приводятся.

[00260] Этап 603b. Вторая AMF отправляет второе сообщение SMC NAS в UE.

[00261] На этапе 603b процедура SMC NAS обязательно выполняется после процедуры первичной аутентификации. Следовательно, когда аутентификация успешна на этапе 602b, вторая AMF отправляет сообщение SMC NAS в UE. В этом варианте осуществления этой заявки сообщение SMC NAS, отправленное второй сетью связи, называется вторым сообщением SMC NAS.

[00262] Для разных способов аутентификации информационные элементы, переносимые во втором сообщении NAS SMC, могут быть несоответствующими, и обратитесь к описанию вышеизложенного «(5) Процедура сохранения промежуточного ключа Kausf». Подробности здесь повторно не приводятся.

[00263] Этап 604b. UE сохраняет Kausf-2 в ответ на второе сообщение SMC NAS.

[00264] На этапе 604b, в ответ на второе сообщение NAS SMC, UE окончательно сохраняет Kausf-2, который буферизуется на этапе 602b. За подробностями обратитесь к описанию вышеизложенного «(5) Процедура сохранения промежуточного ключа Kausf». Подробности здесь повторно не приводятся.

[00265] Если UE уже хранит Kausf-1, UE удаляет Kausf-1 и сохраняет новый Kausf-2.

[00266] Затем аутентификация EAP-AKA’ описывается следующим образом:

[00267] Этап 605a. Первая AMF отправляет первое сообщение об успешном выполнении EAP в UE.

[00268] На этапе 605a, когда аутентификация на этапе 602a завершается успешно, первая AMF отправляет сообщение об успешном выполнении EAP на UE. В этом варианте осуществления данной заявки сообщение об успешном выполнении EAP, отправленное первой сетью связи, называется первым сообщением об успешном выполнении EAP.

[00269] Для информационного элемента, переносимого в первом сообщении об успешном выполнении EAP, обратитесь к описанию вышеизложенного «(5) Процедура сохранения промежуточного ключа Kausf». Подробности здесь повторно не приводятся.

[00270] В возможной реализации сообщение об успешном выполнении EAP также является сообщением NAS SMC, а информационный элемент, включенный в сообщение NAS SMC, представляет собой сообщение об успешном выполнении EAP.

[00271] Этап 606a. UE сохраняет Kausf-1 в ответ на первое сообщение об успешном выполнении EAP.

[00272] На этапе 606a, в ответ на первое сообщение об успешном выполнении EAP, UE окончательно сохраняет Kausf-1, который буферизуется на этапе 602a. За подробностями обратитесь к описанию вышеизложенного «(5) Процедура сохранения промежуточного ключа Kausf». Подробности здесь повторно не приводятся.

[00273] Этап 605b. Вторая AMF отправляет второе сообщение об успешном выполнении EAP в UE.

[00274] На этапе 605b процедура успешного выполнения EAP обязательно выполняется после процедуры первичной аутентификации. Следовательно, когда аутентификация успешна на этапе 602b, вторая AMF отправляет сообщение об успешном выполнении EAP в UE. В этом варианте осуществления этой заявки сообщение об успешном выполнении EAP, отправленное второй сетью связи, называется вторым сообщением об успешном выполнении EAP.

[00275] Для разных способов аутентификации информационные элементы, переносимые во вторых сообщениях об успешном выполнении EAP, могут быть несоответствующими, и обратитесь к описанию вышеизложенного «(5) Процедура сохранения промежуточного ключа Kausf». Подробности здесь повторно не приводятся.

[00276] Этап 606b. UE сохраняет Kausf-2 в ответ на второе сообщение об успешном выполнении EAP.

[00277] На этапе 606b, в ответ на второе сообщение об успешном выполнении EAP, UE окончательно сохраняет Kausf-2, который буферизуется на этапе 602b. За подробностями обратитесь к описанию вышеизложенного «(5) Процедура сохранения промежуточного ключа Kausf». Подробности здесь повторно не приводятся.

[00278] Если UE уже хранит Kausf-1, UE удаляет Kausf-1 и сохраняет новый Kausf-2.

[00279] В сценарии, описанном на фиг. 6a и Фиг. 6b, терминальное устройство отдельно принимает сообщение запроса на аутентификацию первой сети связи и сообщение запроса на аутентификацию второй сети связи. Терминальному устройству необходимо выполнить процедуру аутентификации в соответствии с последовательностью приема сообщений запроса на аутентификацию. На стороне сетевого устройства также необходимо выполнить процедуру аутентификации на основе операции аутентификации, инициированной AMF. Например, в сценарии, показанном на фиг. 6a и Фиг. 6b, первая AMF сначала отправляет сообщение 1 запроса на аутентификацию на терминальное устройство, а затем вторая AMF отправляет сообщение 2 запроса на аутентификацию на терминальное устройство. Терминальное устройство сохраняет промежуточный ключ Kausf-1 в ответ на сообщение 1 запроса на аутентификацию, а терминальное устройство сохраняет промежуточный ключ Kausf-2 в ответ на сообщение 2 запроса на аутентификацию. На стороне сетевого устройства в ответ на операцию аутентификации первой AMF первая AUSF сохраняет промежуточный ключ Kausf-1, а UDM сохраняет идентификатор первой AUSF; и в ответ на операцию аутентификации второй AMF, вторая AUSF сохраняет промежуточный ключ Kausf-2, а UDM сохраняет идентификатор второй AUSF. Сторона терминального устройства и сторона сетевого устройства выполняют последующую процедуру.

[00280] Однако, поскольку качество связи на стороне терминального устройства и сетевого устройства может быть нестабильным или возможности работы сетевых функций в разных системах связи различны (например, возможности сетевых функций по обработке сигнализации или сообщений различаются), AUSF соответствующая идентификатору AUSF, хранящемуся в UDM, не согласуется с AUSF, соответствующей промежуточному ключу Kausf, хранящемуся в терминальном устройстве, что также называется рассинхронизацией ключа.

[00281] Ниже в качестве примеров для описания проблемы, вызванной рассинхронизацией ключей, используется процедура управления роумингом (steer of roaming, SoR) и процедура обновления параметров UE (ue parameters update, UPU).

[00282] Когда происходит рассинхронизация ключей (т.е. промежуточный ключ, используемый на стороне сетевого устройства, не согласуется с промежуточным ключом (Kausf), используемым на стороне UE), UDM запускает процедуру SoR и процедуру UPU. После выполнения защиты данных с использованием промежуточного ключа сторона сетевого устройства отправляет результат защиты данных на UE. Промежуточный ключ, хранящийся в UE, не согласуется с промежуточным ключом, используемым на стороне сетевого устройства. Следовательно, UE не может проверить информацию со стороны сетевого устройства или UE не может проанализировать информацию со стороны сетевого устройства. В результате процедура SoR и процедура UPU завершаются неудачно, а конфигурация UE неверна. В этом случае UE может не получить доступ к сети или не сможет получить доступ к сети, как того требует оператор. Это оказывает негативное влияние на оператора и UE. Например, увеличивается плата за роуминг, а оптимизация доступа к сети UE не удается.

[00283] Например, в сценарии, показанном на фиг. 6a и Фиг. 6b, если UDM выбирает способ аутентификации 5G-AKA в обеих двух системах связи, первая AMF в первой системе связи сначала инициирует аутентификацию на UE, и первая AMF отправляет сообщение 1 запроса на аутентификацию на UE. Затем вторая AMF во второй системе связи инициирует аутентификацию на UE, и вторая AMF отправляет сообщение 2 запроса на аутентификацию на UE. В процедуре аутентификации, инициируемой первой системой связи, UDM сохраняет идентификатор первой AUSF в первой системе связи. После процедуры аутентификации, инициированной второй системой связи, UDM окончательно сохраняет идентификатор второй AUSF во второй системе связи. Поскольку качество связи нестабильно, терминальное устройство не получает первое сообщение NAS SMC, отправленное первой AMF. Поэтому первая AMF запускается для повторной отправки первого сообщения SMC NAS на терминальное устройство. На стороне терминального устройства сначала принимается второе сообщение SMC NAS от второй AMF, а затем принимается первое сообщение SMC NAS (первое сообщение SMC NAS повторно отправляется первой AMF), отправленное первой AMF. Следовательно, терминальное устройство, наконец, сохраняет промежуточный ключ Kausf-1, соответствующий первому сообщению SMC NAS. Однако на сторону сетевого устройства нестабильное качество связи не влияет, и идентификатор AUSF, окончательно сохраненный UDM, является идентификатором второй AUSF. В последующей процедуре SoR или UPU промежуточный ключ (Kausf-1), используемый терминальным устройством, не согласуется с промежуточным ключом (Kausf-2), используемым стороной сетевого устройства, что приводит к рассинхронизации ключей и влияет на нормальное выполнение услуги.

[00284] Эта проблема также может возникнуть в процедуре аутентификации EAP-AKA’. Предполагается, что UDM выбирает способ аутентификации EAP-AKA’ в обеих системах связи. Согласно описаниям этапа 9 в разделе 6.1.3.1 стандарта TS 33.501, прежде чем AUSF отправит EAP Success в SEAF, AUSF может обменяться некоторыми дополнительными сообщениями EAP с UE. На стороне UDM, UDM окончательно сохраняет идентификатор второй AUSF во второй системе связи. Однако, поскольку первая AUSF в первой системе связи обменивается необязательным сообщением EAP с UE, но первая AUSF во второй системе связи не обменивается необязательным сообщением EAP с UE, UE сначала принимает EAP Success, отправленное второй системой связи, а затем принимает EAP Success, отправленное посредством AUSF в первой системе связи. Наконец, промежуточный ключ (Kausf-1), используемый UE, не согласуется с промежуточным ключом (Kausf-2), используемым стороной сетевого устройства, что приводит к рассинхронизации ключей и влияет на нормальное выполнение услуги.

[00287] На основании этого варианта осуществления данной заявки обеспечивается способ связи. Обратитесь к фиг. 7a и Фиг. 7b. ФИГ. 7a и Фиг. 7b представляет собой схематическое представление варианта осуществления способа связи согласно варианту осуществления этой заявки. В варианте осуществления, показанном на фиг. 7a и Фиг. 7b, UDM обрабатывает множество сообщений запроса на получение вектора аутентификации в последовательности приема множества сообщений запроса на получение вектора аутентификации. Способ связи, предусмотренный в этом варианте осуществления настоящей заявки, включает в себя следующие этапы.

[00286] Этап 701. UE отправляет первое сообщение N1 в первую AMF.

[00287] На этапе 701 UE получает доступ к первой сети связи, которой принадлежит первая AMF, и запускает процедуру первичной аутентификации для UE. Сначала UE отправляет первое сообщение N1 (N1 message) в AMF (AMF и SEAF совмещены) или SEAF. Первое сообщение N1 содержит SUCI UE или глобально уникальный временный идентификатор UE 5G (5G-globally unique temporary UE identity, 5G-GUTI). Сообщение N1 может быть сообщением запроса услуги или сообщением запроса регистрации.

[00288] Первая сеть связи аналогична первой сети связи в сценарии, показанном на фиг. 6a и Фиг. 6b. Подробности здесь повторно не приводятся.

[00289] Этап 702. Первая AMF отправляет первое сообщение запроса на аутентификацию пользователя на первую AUSF.

[00290] На этапе 702 первая AMF запускает процедуру аутентификации для терминального устройства в ответ на первое сообщение N1, и первая AMF отправляет первое сообщение запроса на аутентификацию пользователя в первую AUSF, где первое сообщение запроса на аутентификацию пользователя предназначено для запроса вектора аутентификации (authentication vector, AV) относительно терминального устройства.

[00291] Например, первым сообщением запроса на аутентификацию пользователя является «Nausf_UEAuthentication_Authentication Request». Сообщение содержит SUCI (или SUPI).

[00294] В возможной реализации, если первое сообщение N1, принятое первой AMF от терминального устройства, содержит SUCI, первое сообщение запроса на аутентификацию пользователя, отправленное первой AMF в AUSF, содержит SUCI. Если сообщение N1, принятое первым AMF от терминального устройства, содержит 5G-GUTI, первая AMF сначала получает SUPI на основе 5G-GUTI, а первое сообщение запроса на аутентификацию пользователя, отправленное первой AMF в AUSF, содержит SUPI.

[00293] Следует отметить, что первая AMF может отправить первое сообщение запроса на аутентификацию пользователя в первую AUSF в ответ на первое сообщение N1, или первая AMF может активно инициировать отправку первого сообщения запроса на аутентификацию пользователя в первую AUSF. Другими словами, этап 701 является необязательным. Это связано с тем, что после приема первого сообщения N1 первая AMF может не инициировать аутентификацию на UE. Следовательно, в этом случае аутентификацию на UE не нужно запускать на основании первого сообщения N1. Кроме того, поскольку AMF может инициировать аутентификацию на UE в любое время в соответствии с политикой, AMF может отправить первое сообщение запроса на аутентификацию пользователя на первую AUSF после приема первого сообщения N1 и до того, как UE вернется в режим ожидания. В этом случае нет прямой связи между первым сообщением N1 на этапе 701 и этапе 702. Другими словами, этап 701 выполняется перед этапом 702, и весьма вероятно, что AMF завершила всю процедуру, соответствующую этапу 701. Например, первая AMF инициирует этап 702 только после отправки сообщения о завершении услуги в UE.

[00294] Этап 703. Первая AUSF отправляет первое сообщение запроса на получение вектора аутентификации в UDM. Соответственно, UDM принимает первое сообщение запроса на получение вектора аутентификации.

[00295] На этапе 703, после того как первая AUSF отвечает на первое сообщение запроса на аутентификацию пользователя от первой AMF, первая AUSF отправляет первое сообщение запроса на получение вектора аутентификации в UDM. Первое сообщение запроса на получение вектора аутентификации предназначено для получения вектора аутентификации UE.

[00296] Например, первое сообщение запроса на получение вектора аутентификации представляет собой «Numd_UEAuthentication Get Request». Первое сообщение запроса на получение вектора аутентификации содержит SUPI (или SUCI). В частности, когда первое сообщение запроса на аутентификацию пользователя, отправленное первой AMF в первую AUSF, содержит SUPI, первое сообщение запроса на получение вектора аутентификации содержит SUPI; или когда первое сообщение запроса на аутентификацию пользователя, отправленное первой AMF в первую AUSF, содержит SUCI, первое сообщение запроса на получение вектора аутентификации содержит SUCI.

[00297] Этап 704. UE отправляет второе сообщение N1 во вторую AMF.

[00298] На этапе 704 UE получает доступ ко второй сети связи, которой принадлежит вторая AMF.

[00299] Вторая сеть связи аналогична сценарию, показанному на фиг. 6a и Фиг. 6b. Подробности здесь повторно не приводятся.

[00300] Этап 705. Вторая AMF отправляет второе сообщение запроса на аутентификацию пользователя на вторую AUSF.

[00301] 706. Вторая AUSF отправляет второе сообщение запроса на получение вектора аутентификации в UDM.

[00302] Соответственно, UDM принимает второе сообщение запроса на получение вектора аутентификации. Этапы с 704 по 706 аналогичны этапам с 701 по 703. Подробности здесь повторно не приводятся.

[00303] Как первое сообщение запроса на получение вектора аутентификации, так и второе сообщение запроса на получение вектора аутентификации являются сообщениями запроса на получение вектора аутентификации для одного и того же UE. Поскольку первая AMF и вторая AMF принадлежат двум разным сетям, этапы с 701 по 703 и этапы с 704 по 706 могут выполняться одновременно или в смежные моменты времени. Следовательно, можно понимать, что UDM может принимать как первое сообщение запроса на получение вектора аутентификации, так и второе сообщение запроса на получение вектора аутентификации.

[00304] Описания «одновременно» и «в близкие моменты» относятся к содержательной части настоящего изобретения. Подробности здесь повторно не приводятся.

[00305] В этой заявке предполагается, что UDM выбирает первое сообщение запроса на получение вектора аутентификации для обработки и выполняет этап 707. Если UDM принимает первое сообщение запроса на получение вектора аутентификации и второе сообщение запроса на получение вектора аутентификации в смежные моменты, UDM обрабатывает первое сообщение запроса на получение вектора аутентификации и второе сообщение запроса на получение вектора аутентификации в последовательности приема сообщений.

[00306] В другой возможной реализации, после приема первого сообщения запроса на получение вектора аутентификации, UDM готовится начать обработку, но не выполнил этап 707.

[00307] В другой возможной реализации, альтернативно, UDM может обработать первое сообщение запроса на получение вектора аутентификации и выполнить этап 707.

[00308] В другой возможной реализации этап 707 мог быть выполнен, но UDM не принял первое сообщение запроса на подтверждение результата аутентификации для первого вектора аутентификации на этапе 714.

[00309] Независимо от того, выбрано ли сообщение запроса вектора аутентификации случайным образом или обрабатывается последовательно, это можно понимать как то, что UDM сначала обрабатывает одно сообщение запроса вектора аутентификации и приостанавливает другое сообщение запроса вектора аутентификации. UDM начинает обрабатывать другое приостановленное сообщение запроса вектора аутентификации только после обработки процедуры первичной аутентификации, соответствующей первому сообщению запроса вектора аутентификации,или определения того, что аутентификация UE прошла успешно. После приема сообщения подтверждения результата аутентификации UDM может считать, что процедура первичной аутентификации завершена или аутентификация UE прошла успешно. Кроме того, при приеме сообщения подтверждения результата аутентификации и определении того, что сообщение относится к другой процедуре первичной аутентификации SUPI, UDM может считать, что процедура первичной аутентификации завершается; или после обновления локально сохраненного статуса аутентификации, соответствующего UE, UDM считает, что процедура первичной аутентификации завершена. В этой заявке конкретно не ограничивается то, как UDM считает, что процедура первичной аутентификации завершается.

[00310] Конкретное содержание обработки первого сообщения запроса на получение вектора аутентификации и второго сообщения запроса на получение вектора аутентификации посредством UDM следующее:

[00311] Этап 707. UDM получает первый вектор аутентификации в ответ на первое сообщение запроса на получение вектора аутентификации.

[00312] На этапе 707, с точки зрения UDM, UDM случайным образом выбирает первое сообщение запроса на получение вектора аутентификации или сначала принимает первое сообщение запроса на получение вектора аутентификации от первой AUSF на этапе 703 (первое сообщение запроса на получение вектора аутентификации связано с первой AMF и рассматривается как сообщение аутентификации, относящееся к первой сети связи). UDM затем принимает второе сообщение запроса на получение вектора аутентификации второй AUSF на этапе 706 (второе сообщение запроса на получение вектора аутентификации относится ко второй AMF и рассматривается как сообщение аутентификации, относящееся ко второй сети связи).

[00313] Как первое сообщение запроса на получение вектора аутентификации, так и второе сообщение запроса на получение вектора аутентификации являются сообщениями запроса на получение вектора аутентификации для одного и того же UE. То, что UDM последовательно обрабатывает множество сообщений запроса на получение вектора аутентификации, включает в себя: UDM обрабатывает первое сообщение запроса на получение вектора аутентификации и второе сообщение запроса на получение вектора аутентификации на основе случайно выбранного метода или способа, основанного на порядке приема. Сначала выполняются этапы с 707 по 714, а затем выполняются этапы с 715 по 719.

[00314] В частности, в ответ на первое сообщение запроса на получение вектора аутентификации UDM выбирает способ аутентификации UE и получает первый вектор аутентификации, относящийся к UE. Конкретный способ аналогичен этапу 404. Подробности здесь повторно не приводятся.

[003015] После приема первого сообщения запроса на получение вектора аутентификации UDM определяет способ аутентификации UE на основе информации о подписке UE. В этом варианте осуществления для описания используется пример, в котором UDM выбирает 5G AKA в качестве способа аутентификации UE в ответ на первое сообщение запроса на получение вектора аутентификации.

[00316] Прежде чем UDM обработает первое сообщение запроса на получение вектора аутентификации и второе сообщение запроса на получение вектора аутентификации на основе случайно выбранного метода или способа на основе порядка приема, UDM сначала необходимо определить, аутентифицирован ли SUPI на стороне сетевого устройства. В частности, когда UDM принимает второе сообщение запроса вектора аутентификации, UDM определяет, аутентифицируется ли SUPI, содержащийся во втором сообщении запроса вектора аутентификации, или соответствующий SUPI, полученный после расшифровки SUCI. Другими словами, когда UDM принимает второе сообщение запроса вектора аутентификации, UDM необходимо проверить на основе SUPI, принимает ли UDM дополнительно первое сообщение запроса вектора аутентификации. UDM может определить, используя следующие способы, аутентифицируется ли UE:

[003017] Способ 1: UDM определяет на основе информации о статусе, хранящейся в базе данных, проходит ли аутентификацию UE.

[00318] Например, если записанный момент времени, в который аутентификация на UE завершена, очень близок к текущему моменту времени в записи UDM, может быть определено, что UE не проходит аутентификацию в текущий момент времени. В качестве другого примера, если список создан для UE в записи UDM, но результат аутентификации UE не помечен, UDM может определить, что UE проходит аутентификацию, и запустить таймер. Только что принятое сообщение запроса на аутентификацию не обрабатывается до истечения таймера. В этом случае UDM обнаруживает принятое впоследствии сообщение подтверждения результата аутентификации. Если SUPI, содержащийся в сообщении подтверждения результата аутентификации, соответствует SUPI, содержащемуся в принятом в данный момент сообщении запроса на аутентификацию, UDM может остановить таймер и начать обработку приостановленного сообщения запроса вектора аутентификации.

[00319] Способ 2: UDM записывает, какие UE аутентифицируются. Например, когда UDM принимает сообщение запроса на аутентификацию, UDM создает список UE, которые проходят аутентификацию, или проверяет на основе уже созданного списка, находится ли SUPI в списке. Если SUPI находится в списке, определяется, что UE проходит аутентификацию. Если SUPI отсутствует в списке, UDM добавляет UE в список и отвечает сообщением запроса вектора аутентификации. UDM удаляет UE из списка, если считает, что процедура первичной аутентификации завершена. Когда UDM определяет, что UE проходит аутентификацию в сети, UDM приостанавливает только что принятое сообщение запроса вектора аутентификации.

[00320] Этап 708. UDM отправляет первое ответное сообщение на получение вектора аутентификации в первую AUSF. Первое ответное сообщение на получение вектора аутентификации содержит первый вектор аутентификации.

[00321] После этапа 707 выполняется этап 708. После определения соответствующего вектора аутентификации на основе выбранного способа аутентификации (5G AKA) UDM отправляет ответное сообщение о получении первого вектора аутентификации в первую AUSF. Первое ответное сообщение на получение вектора аутентификации содержит первый вектор аутентификации. Например, первым ответным сообщением получения вектора аутентификации является «Nudm_UEAuthentication_Get Response».

[00322] Этап 709. Первая AUSF отправляет первое ответное сообщение аутентификации пользователя в первую AMF.

[00323] На этапе 709 первая AUSF отправляет первое ответное сообщение аутентификации пользователя в первую AMF. Первое ответное сообщение аутентификации пользователя содержит первый вектор* аутентификации. Первый вектор* аутентификации может быть частью первого вектора аутентификации или может быть получен путем вычисления посредством AUSF на основе части или всего содержимого первого вектора аутентификации. Это не ограничено здесь.

[00324] Например, первым ответным сообщением аутентификации пользователя является «Nausf_UEAuthentication_Authenticate Response».

[00325] В процедуре аутентификации 5G AKA после повторного приема первого ответного сообщения аутентификации пользователя от первой AUSF первая AMF запускает процедуру NAS SMC, так что UE сохраняет Kausf. Другими словами, осуществляется этап 724. Первая AMF отправляет первое сообщение SMC NAS в UE. Конкретный контент описывается на этапе 724.

[00326] Этап 710. Первая AMF отправляет первое сообщение запроса на аутентификацию на UE.

[00327] На этапе 710 первая AMF отправляет первое сообщение запроса на аутентификацию на UE в ответ на первое ответное сообщение аутентификации пользователя. Первое сообщение запроса на аутентификацию содержит один или несколько следующих информационных элементов: идентификатор набора ключей в 5G (Key Set Identifier in 5G, ngKSI) и параметр противодействия атакам на основе понижения уровня безопасности между архитектурами (ABBA).

[00328] Первое сообщение запроса на аутентификацию может быть сообщением запроса на аутентификацию (Authentication Request).

[00329] Этап 711. В ответ на первое сообщение запроса на аутентификацию UE выполняет проверку аутентификации в первой сети связи и генерирует первый промежуточный ключ Kausf-1.

[00330] На этапе 711 UE локально выполняет проверку аутентификации в первой сети связи в ответ на первое сообщение запроса на аутентификацию, например, сравнивает, согласуется ли код аутентификации сообщения (message Authentication code, MAC), переносимый в первом векторе* аутентификации, с ожидаемым кодом аутентификации сообщения (expected message authentication code, XMAC), указанный UE на основе содержимого в первом векторе* аутентификации. Если коды одинаковы, результат проверки аутентификации указывает, что первая сеть связи реальна, и проверка аутентификации успешна.

[00331] Ответ вычисляется после успешной аутентификации. Когда проверка аутентификации завершается успешно, генерируется промежуточный ключ, соответствующий первой сети связи. В этом варианте осуществления данной заявки промежуточный ключ, соответствующий первой сети связи, называется первым промежуточным ключом. Первым промежуточным ключом может быть Kausf-1.

[00332] Первый промежуточный ключ Kausf-1, сгенерированный UE в ответ на первое сообщение запроса на аутентификацию, сохраняется в буферной области. В этом варианте осуществления этой заявки буферная область, в которой терминальное устройство хранит промежуточный ключ Kausf, называется первым пространством хранения.

[00333] Следует отметить, что первый промежуточный ключ Kausf-1 может быть сгенерирован, когда терминальное устройство успешно выполняет проверку аутентификации, может быть сгенерирован до того, как терминальное устройство выполнит проверку аутентификации, или может быть сгенерирован в процессе, в котором терминальное устройство выполняет проверку аутентификации. В этом варианте осуществления данной заявки случай, когда терминальное устройство генерирует первый промежуточный ключ Kausf-1, не ограничен.

[00334] Можно понимать, что когда терминальное устройство генерирует Kausf-1 перед выполнением проверки аутентификации или генерирует первый промежуточный ключ Kausf-1 в процессе выполнения проверки аутентификации, если проверка аутентификации не удалась, терминальное устройство может дополнительно удалить сгенерирован первый промежуточный ключ Kausf-1.

[00335] Этап 712. UE отправляет первое ответное сообщение аутентификации в первую AMF.

[00336] На этапе 712, когда проверка аутентификации, выполненная UE в первой сети связи, завершается успешно, UE отправляет первое ответное сообщение на аутентификацию в первую AMF, где первое ответное сообщение на аутентификацию может быть «Authentication response».

[00337] Этап 713. Первая AMF отправляет третье сообщение запроса на аутентификацию пользователя, соответствующее первому сообщению ответа на аутентификацию, в первую AUSF.

[00338] На этапе 713 первая AMF отвечает на первое ответное сообщение аутентификации. Например, в процедуре 5G-AKA генерируется ответ (HRES*), и третье сообщение запроса на аутентификацию пользователя, соответствующее первому ответному сообщению аутентификации, отправляется в первую AUSF. Третьим сообщением запроса на аутентификацию пользователя может быть «Nausf_UEAuthentication_Authenticate Request».

[00339] Этап 714. Первая AUSF отправляет первое сообщение запроса на подтверждение результата аутентификации для первого вектора аутентификации в UDM.

[00340] На этапе 714 первая AUSF проверяет третье сообщение запроса на аутентификацию пользователя в ответ на третье сообщение запроса на аутентификацию пользователя, соответствующее первому ответному сообщению на аутентификацию. Если проверка успешна, первая AUSF сохраняет первый промежуточный ключ Kausf-1. Kausf-1 может быть сгенерирован после того, как AUSF успешно проверит сообщение запроса на аутентификацию третьего пользователя, или может быть сгенерирован после того, как AUSF примет первый вектор аутентификации.

[00341] Первая AUSF отправляет третье ответное сообщение на аутентификацию пользователя в первую AMF (или SEAF, ассоциированный с первой AMF), где третье ответное сообщение на аутентификацию пользователя содержит результат проверки (например, указывающий, что проверка аутентификации, выполненная UE, прошла успешно). Третьим ответным сообщением аутентификации пользователя может быть «Nausf_UEAuthentication_Authenticate Response».

[00342] Первая AUSF отправляет первое сообщение запроса на подтверждение результата аутентификации для первого вектора аутентификации в UDM. Первое сообщение запроса на подтверждение результата аутентификации может дополнительно нести одну или более из следующей информации: SUPI, временную метку, результат аутентификации, тип аутентификации (authentication type), имя обслуживающей сети и идентификатор первой AUSF. Необязательно информация о типе аутентификации указывает, что способ аутентификации - 5G AKA. Например, первое сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request».

[00343] Этап 715. UDM сохраняет идентификатор первой AUSF в ответ на первое сообщение запроса на подтверждение результата аутентификации и продолжает обрабатывать второе сообщение запроса на получение вектора аутентификации для получения второго вектора аутентификации.

[00344] На этапе 715 UDM принимает первое сообщение запроса на подтверждение результата аутентификации от первой AUSF и сохраняет идентификатор первой AUSF.

[00345] Прежде чем UDM примет первое сообщение запроса на подтверждение результата аутентификации от первой AUSF, UDM приостанавливает обработку второго сообщения запроса на получение вектора аутентификации. После того как UDM принимает первое сообщение запроса на подтверждение результата аутентификации от первой AUSF, UDM возобновляет обработку второго сообщения запроса на получение вектора аутентификации.

[00346] UDM получает второй вектор аутентификации в ответ на второе сообщение запроса на получение вектора аутентификации. В частности, в ответ на второе сообщение запроса на получение вектора аутентификации UDM выбирает способ аутентификации UE и получает вектор аутентификации, относящийся к UE. Конкретный способ аналогичен этапу 404. Подробности здесь повторно не приводятся.

[00347] В этом варианте осуществления для описания используется пример, в котором UDM выбирает 5G AKA в качестве способа аутентификации UE в ответ на второе сообщение запроса на получение вектора аутентификации.

[00348] Этап 716. UDM отправляет второе ответное сообщение на получение вектора аутентификации во вторую AUSF. Ответное сообщение на получение второго вектора аутентификации включает в себя второй вектор аутентификации.

[00349] Этап 717. Вторая AUSF отправляет второе ответное сообщение аутентификации пользователя на вторую AMF.

[00350] Второе ответное сообщение аутентификации пользователя включает в себя второй вектор* аутентификации. Второй вектор* аутентификации может быть частью второго вектора аутентификации или может быть получен путем вычисления AUSF на основе части или всего содержимого второго вектора аутентификации.

[00351] Этап 718. Вторая AMF отправляет второе сообщение запроса на аутентификацию на UE.

[00352] На этапе 718 вторая AMF отправляет второе сообщение запроса на аутентификацию на UE в ответ на второе ответное сообщение аутентификации пользователя. Второе сообщение запроса на аутентификацию содержит один или несколько из следующих информационных элементов: идентификатор набора ключей в 5G (Key Set Identifier in 5G, ngKSI) и параметр противодействия атакам на основе понижения уровня безопасности между архитектурами (ABBA).

[00353] Второе сообщение запроса на аутентификацию может быть сообщением запроса на аутентификацию (Authentication Request).

[00354] Этап 719. В ответ на второе сообщение запроса на аутентификацию UE выполняет проверку аутентификации во второй сети связи и генерирует второй промежуточный ключ Kausf-2.

[00355] Этап 719 аналогичен этапу 711. Следует отметить, что второй промежуточный ключ Kausf-2 может быть сгенерирован, когда терминальное устройство успешно выполняет проверку аутентификации, может быть сгенерирован до того, как терминальное устройство выполнит проверку аутентификации, или может быть сгенерирован в процессе, в котором терминальное устройство выполняет проверку аутентификации. В этом варианте осуществления данной заявки случай, когда терминальное устройство генерирует второй промежуточный ключ Kausf-2, не ограничен.

[00356] Можно понимать, что когда терминальное устройство генерирует Kausf-2 перед выполнением проверки аутентификации или генерирует промежуточный ключ Kausf-2 в процессе выполнения проверки аутентификации, если проверка аутентификации не удалась, терминальное устройство может дополнительно удалить сгенерированный Kausf-2.

[00357] Этап 720. UE отправляет второе ответное сообщение аутентификации на вторую AMF.

[00358] Этап 721. Вторая AMF отправляет четвертое сообщение запроса на аутентификацию пользователя, соответствующее второму ответному сообщению аутентификации, во вторую AUSF.

[00359] На этапе 721 вторая AMF генерирует ответ в ответ на второе ответное сообщение на аутентификацию и отправляет четвертое сообщение запроса на аутентификацию пользователя, соответствующее второму сообщению ответа на аутентификацию, во второй AUSF. Четвертым сообщением запроса на аутентификацию пользователя может быть «Запрос Nausf_UEAuthentication_Authenticate».

[00360] Этап 722. Вторая AUSF отправляет второе сообщение запроса на подтверждение результата аутентификации для второго вектора аутентификации в UDM.

[00361] На этапе 722 вторая AUSF проверяет четвертое сообщение запроса на аутентификацию пользователя в ответ на четвертое сообщение запроса на аутентификацию пользователя, соответствующее второму ответному сообщению на аутентификацию. Если проверка успешна, вторая AUSF сохраняет второй промежуточный ключ Kausf-2. Kausf-2 может быть сгенерирован после того, как AUSF успешно проверит четвертое сообщение запроса на аутентификацию пользователя, или может быть сгенерирован после того, как AUSF получит второй вектор аутентификации.

[00362] Вторая AUSF отправляет четвертое ответное сообщение аутентификации пользователя на вторую AMF (или SEAF, совмещенный со второй AMF), где четвертое ответное сообщение аутентификации пользователя содержит результат проверки (например, указывающий, что проверка аутентификации, выполненная UE, прошла успешно). Четвертым ответным сообщением аутентификации пользователя может быть «Nausf_UEAuthentication_Authenticate Response».

[00363] Вторая AUSF отправляет второе сообщение запроса на подтверждение результата аутентификации для второго вектора аутентификации в UDM. Второе сообщение запроса на подтверждение результата аутентификации может дополнительно нести одну или более из следующей информации: SUPI, временную метку, результат аутентификации, тип аутентификации (authentication type), имя обслуживающей сети и идентификатор второй AUSF. Например, информация о типе аутентификации указывает, что способ аутентификации - 5G AKA. Например, второе сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request».

[00364] Этап 723. UDM сохраняет идентификатор второй AUSF в ответ на второе сообщение запроса на подтверждение результата аутентификации.

[00365] В частности, UDM принимает второе сообщение запроса подтверждения результата аутентификации от второй AUSF и сохраняет идентификатор второй AUSF. В частности, UDM заменяет идентификатор первой AUSF идентификатором второй AUSF.

[00366] Необязательно, UDM может уведомить первую AUSF об удалении первого промежуточного ключа Kausf-1. Таким образом, гарантируется, что сторона сетевого устройства хранит только второй промежуточный ключ Kausf-2, тем самым гарантируя, что промежуточный ключ, хранящийся на терминальном устройстве, соответствует промежуточному ключу, хранящемуся на стороне сетевого устройства.

[00367] Этап 724. Первая AMF отправляет первое сообщение SMC NAS в UE.

[00368] На этапе 714, после того как первая AMF (или SEAF, совмещенная с первой AMF) принимает третье ответное сообщение аутентификации пользователя от первой AUSF, выполняется этап 724. На этапе 724 первая AMF отправляет первое сообщение SMC NAS в UE, причем первое сообщение SMC NAS включает в себя одну или несколько следующих информаций: идентификатор набора ключей в 5G (ngKSI), возможности безопасности UE (UE sec capabilities), алгоритм шифрования (Ciphering Algorithm), алгоритм целостности (Integrity Algorithm), флаг изменения Kamf (K_AMF_change_flag), параметр ABBA или флаг запроса начального сообщения NAS (request Initial NAS message flag).

[00369] Этап 725. UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение SMC NAS.

[00370] На этапе 725, после приема первого сообщения SMC NAS от первой AMF, UE сохраняет в пространстве долговременного хранения первый промежуточный ключ Kausf-1, который хранится в первом пространстве хранения (буферной области). В этом варианте осуществления данной заявки пространство долговременного хранения терминального устройства называется вторым пространством хранения. Например, второе пространство хранения может быть ME в терминальном устройстве.

[00371] После того как UE сохраняет первый промежуточный ключ Kausf-1 во втором пространстве хранения, UE отправляет ответное сообщение для первого сообщения SMC NAS в первую AMF. Ответное сообщение может быть «NAS Security Mode Complete».

[00372] Необязательно, после приема первого сообщения SMC NAS от первой AMF, UE сначала обнаруживает, ассоциировано ли первое сообщение SMC NAS с первым сообщением запроса на аутентификацию (от первой AMF). В частности, на основе информации, переносимой в первом сообщении NAS SMC, определяется, принято ли первое сообщение NAS SMC от первой AMF. Сначала определяется, ассоциировано ли первое сообщение SMC NAS с первым сообщением запроса на аутентификацию (от первой AMF). Например, то, принадлежит ли первое сообщение SMC NAS от первого AMF, определяется на основе информации, переносимой в первом сообщении SMC NAS. В качестве другого примера, идет ли первое сообщение SMC NAS от первой AMF, определяется на основе базового сообщения (например, сообщения RRC или сообщения AP Wi-Fi), которое несет первый SMC NAS. Способ определения не ограничен в этой заявке. После того как UE определяет, что первое сообщение SMC NAS ассоциировано с первым сообщением AMF, UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение SMC NAS.

[00373] Этап 726. Вторая AMF отправляет второе сообщение SMC NAS в UE.

[00374] На этапе 726, после приема второго сообщения SMC NAS от второй AMF, UE сначала обнаруживает, ассоциировано ли второе сообщение SMC NAS со вторым сообщением запроса на аутентификацию (от второй AMF). Подробную информацию см. в соответствующих описаниях на этапе 725.

[00375] Этап 727. UE заменяет первый промежуточный ключ Kausf-1 вторым промежуточным ключом Kausf-2 в ответ на второе сообщение SMC NAS.

[00376] На этапе 727, после того как UE определяет, что второе сообщение NAS SMC ассоциировано со второй AMF, UE сохраняет второй промежуточный ключ Kausf-2 в ответ на второе сообщение NAS SMC.

[00377] В частности, после ответа на второе сообщение NAS SMC UE сохраняет в пространстве долговременного хранения второй промежуточный ключ Kausf-2, который хранится в первом пространстве хранения (буферной области). Поскольку первый промежуточный ключ Kausf-1 уже сохранен в пространстве долговременного хранения, UE заменяет первый промежуточный ключ Kausf-1 во втором пространстве хранения вторым промежуточным ключом Kausf-2 в первом пространстве хранения. UE выполняет аутентификацию и связь с использованием второго промежуточного ключа Kausf-2 во втором пространстве хранения (пространстве долговременного хранения).

[00378] После того как UE сохраняет второй промежуточный ключ Kausf-2 во второй области хранения, UE отправляет ответное сообщение упомянутого второго сообщения SMC NAS во вторую первую AMF. Ответное сообщение может быть «NAS Security Mode Complete».

[00379] В этом варианте осуществления этой заявки UDM обрабатывает множество сообщений запроса на получение вектора аутентификации в последовательности приема множества сообщений запроса на получение вектора аутентификации. Перед приемом первого сообщения запроса на подтверждение результата аутентификации, соответствующего первому вектору аутентификации, UDM приостанавливает обработку второго сообщения запроса на получение вектора аутентификации. Множество запросов на получение вектора аутентификации для UE управляется на UDM, чтобы гарантировать, что процедура аутентификации первой сети связи, ассоциированной с первым сообщением запроса на получение вектора аутентификации, выполняется в первую очередь. В процедуре аутентификации между UE и первой сетью связи как UE, так и сторона сетевого устройства сохраняют первый промежуточный ключ Kausf-1, относящийся к первой сети связи. После приема первого сообщения запроса на подтверждение результата аутентификации для первого вектора аутентификации UE возобновляет обработку второго сообщения запроса на получение вектора аутентификации, то есть возобновляет выполнение процедуры аутентификации второй сети связи. После завершения процедуры аутентификации промежуточные ключи, окончательно сохраненные на стороне UE и на стороне сетевого устройства, представляют собой второй промежуточный ключ Kausf-2, ассоциированный со второй сетью связи. Вышеупомянутый способ может гарантировать, что промежуточный ключ, хранящийся в UE, всегда согласуется с промежуточным ключом, хранящимся на стороне сетевого устройства, избегая рассинхронизации ключей.

[00380] На основе варианта осуществления, показанного на фиг. 7a и Фиг. 7b, ниже описан сценарий применения, предусмотренный в варианте осуществления этой заявки. Согласно процедуре в варианте осуществления, показанном на фиг. 7a и Фиг. 7b, промежуточный ключ, окончательно сохраненный в терминальном устройстве с помощью второго промежуточного ключа Kausf-2, промежуточный ключ, окончательно сохраненный на стороне сетевого устройства, является вторым промежуточным ключом Kausf-2, и промежуточный ключ, сохраненный в терминальном устройстве, является согласованным с промежуточным ключом, хранящимся на стороне сетевого устройства.

[00381] В сценарии применения, управление роумингом (steer of roaming, SoR) используется в качестве примера для описания. В SoR UDM определяет вторую AUSF на основе идентификатора второй AUSF, хранящегося в UDM. UDM отправляет информацию о выборе роуминговой сети во вторую AUSF, и вторая AUSF сохраняет второй промежуточный ключ Kausf-2. Вторая AUSF выполняет защиту безопасности (например, защиту целостности) информации выбора роуминговой сети посредством использования второго промежуточного ключа Kausf-2. Второй AUSF отправляет результат защиты безопасности в UDM. После приема результата защиты безопасности UDM отправляет результат защиты безопасности в UE через AMF. UE проверяет результат защиты безопасности с помощью второго промежуточного ключа Kausf-2, хранящегося в UE. Поскольку сторона терминального устройства и сторона сетевого устройства используют один и тот же промежуточный ключ (Kausf-2), описанная выше процедура SoR может быть успешно выполнена.

[00382] В другом сценарии применения обновление параметров UE (обновление параметров UE, UPU) используется в качестве примера для описания. Процедура UPU предназначена для обновления данных подписки или данных конфигурации UE, например, обновления политики выбора маршрута UE (политика выбора маршрута UE, URSP). В UPU UDM определяет второй AUSF на основе идентификатора второй AUSF, хранящегося в UDM. UDM отправляет данные подписки или данные конфигурации UE во второй AUSF, и второй AUSF сохраняет второй промежуточный ключ Kausf-2. Второй AUSF выполняет защиту безопасности (к примеру, защиту целостности) данных подписки или данных конфигурации UE посредством использования второго промежуточного ключа Kausf-2. Вторая AUSF отправляет результат защиты безопасности в UDM. После приема результата защиты безопасности UDM отправляет результат защиты безопасности в UE через AMF. UE проверяет результат защиты безопасности с помощью второго промежуточного ключа Kausf-2, хранящегося в UE. Поскольку сторона терминального устройства и сторона сетевого устройства используют один и тот же промежуточный ключ (Kausf-2), описанная выше процедура UPU может быть успешно выполнена.

[00383] В варианте осуществления, показанном на фиг. 7a и Фиг. 7b, конкретный сценарий: первая AUSF и вторая AUSF представляют собой одну и ту же AUSF, то есть первая AUSF и вторая AUSF имеют одинаковую функцию.

[00384] В возможной реализации AUSF последовательно обрабатывает первые сообщения запроса на аутентификацию пользователя от разных AMF. После приема ответа на предыдущее сообщение запроса на аутентификацию пользователя AUSF начинает обрабатывать следующее первое сообщение запроса на аутентификацию пользователя.

[00385] В другой возможной реализации AUSF генерирует запись порядка приема множества принятых сообщений запроса на аутентификацию пользователя. AUSF одновременно обрабатывает множество сообщений запроса на аутентификацию пользователя. Здесь «одновременно» также может означать обработку в конкретной последовательности. Это не ограничено. AUSF последовательно отправляет сообщения запроса на подтверждение результата аутентификации, соответствующие множеству сообщений запроса на аутентификацию пользователя, в UDM на основе записи очереди приема. Вышеупомянутый способ может гарантировать, что промежуточный ключ (Kausf-2), хранящийся в UE, соответствует промежуточному ключу (Kausf-2), хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[00386] Основываясь на вышеизложенном варианте осуществления, обратитесь к фиг. 8a и Фиг. 8b. ФИГ. 8a и Фиг. 8b представляет собой схематическое представление варианта осуществления способа связи согласно варианту осуществления этой заявки. В варианте осуществления, показанном на фиг. 8a и Фиг. 8b, после того как терминальное устройство принимает множество сообщений запроса на аутентификацию, терминальному устройству необходимо обработать следующее сообщение запроса на аутентификацию после приема сообщения NAS SMC или EAP-Success, соответствующего предыдущему сообщению с запросом на аутентификацию. В частности, терминальное устройство отдельно осуществляет доступ к первой сети связи и второй сети связи. Первая сеть связи включает в себя первую AMF, вторая сеть связи включает в себя вторую AMF, а первая сеть связи и вторая сеть связи подобны первой сети связи и второй сети связи, которые показаны на фиг. 6a и Фиг. 6b. Способ связи, предусмотренный в этом варианте осуществления настоящей заявки, включает в себя следующие этапы.

[00387] Этап 801. Первая AMF инициирует аутентификацию на UE.

[00388] На этапе 801 UE получает доступ к первой сети связи, которой принадлежит первая AMF, и запускает процедуру первичной аутентификации для UE. Альтернативно, первая AMF инициирует аутентификацию на UE в соответствии с локальной политикой.

[00389] Процедура этапа 801, в частности, выглядит следующим образом:

[00390] Этап 801a. UE отправляет сообщение N1 (N1 message) в AMF (AMF и SEAF совмещены) или SEAF. Сообщение N1 содержит SUCI UE или глобальный уникальный временный идентификатор UE 5G (5G-globally unique temporary UE identity, 5G-GUTI). Если AMF инициирует аутентификацию на UE в соответствии с локальной политикой, процедура, соответствующая этому этапу, возможно, завершена.

[00391] Этап 801b. Первая AMF отправляет первое сообщение запроса на аутентификацию пользователя на первую AUSF, где первое сообщение запроса на аутентификацию пользователя предназначено для запроса вектора аутентификации (authentication vector, AV) относительно терминального устройства. Этот этап может заключаться в том, что первая AMF инициирует аутентификацию на терминальном устройстве в ответ на сообщение N1 или может быть инициирована в соответствии с локальной политикой.

[00392] Например, первым сообщением запроса на аутентификацию пользователя является «Nausf_UEAuthentication_Authentication Request». Сообщение содержит SUCI (или SUPI) и имя обслуживающей сети (serving network name, SN-name).

[00393] Если сообщение N1, принятое первой AMF от терминального устройства, содержит SUCI, первое сообщение запроса на аутентификацию пользователя, отправленное первой AMF в AUSF, содержит SUCI. Если сообщение N1, принятое первой AMF от терминального устройства, содержит 5G-GUTI, первая AMF сначала получает SUPI на основе 5G-GUTI, а первое сообщение запроса на аутентификацию пользователя, отправленное первой AMF в AUSF, содержит SUPI. Если аутентификация запускается в соответствии с локальной политикой, первое сообщение запроса на аутентификацию пользователя, отправленное AMF, содержит SUPI.

[00394] Этап 801 с. После того как первая AUSF отвечает на первое сообщение запроса на аутентификацию пользователя от первой AMF, первая AUSF отправляет первое сообщение запроса на получение вектора аутентификации в UDM. Первое сообщение запроса на получение вектора аутентификации предназначено для получения вектора аутентификации UE.

[00395] Например, первое сообщение запроса на получение вектора аутентификации представляет собой «Numd_UEAuthentication Get Request». Первое сообщение запроса на получение вектора аутентификации содержит SUPI (или SUCI) и SN-имя. В частности, когда первое сообщение запроса на аутентификацию пользователя, отправленное первой AMF в первую AUSF, содержит SUPI, первое сообщение запроса на получение вектора аутентификации содержит SUPI; или когда первое сообщение запроса на аутентификацию пользователя, отправленное первой AMF в первую AUSF, содержит SUCI, первое сообщение запроса на получение вектора аутентификации содержит SUCI.

[00396] Этап 801d. В ответ на первое сообщение запроса на получение вектора аутентификации UDM выбирает способ аутентификации UE и получает первый вектор аутентификации, относящийся к UE. Конкретный способ аналогичен этапу 404. Подробности здесь повторно не приводятся.

[00397] Этап 801е. После определения соответствующего вектора аутентификации на основе выбранного способа аутентификации (5G AKA) UDM отправляет ответное сообщение о получении первого вектора аутентификации в первую AUSF. Ответное сообщение о получении первого вектора аутентификации содержит первый вектор аутентификации. Например, первым ответным сообщением о получении вектора аутентификации является «Num_UEAuthentication_Get Response».

[00398] Этап 801f. Первая AUSF сохраняет и проверяет ожидаемый ответ (eXpected response, XRES или XRES*) в ответ на ответное сообщение о получении первого вектора аутентификации. Первая AUSF отправляет первое ответное сообщение аутентификации пользователя в первую AMF. Первое ответное сообщение аутентификации пользователя содержит вектор аутентификации, например, «5G SE AV».

[00399] Например, первым ответным сообщением аутентификации пользователя является «Nausf_UEAuthentication_Authenticate Response».

[00400] Этап 802. UE принимает первое сообщение запроса на аутентификацию от первой AMF.

[00401] На этапе 802 первая AMF отправляет первое сообщение запроса на аутентификацию на UE в ответ на первое ответное сообщение аутентификации пользователя. Первое сообщение запроса на аутентификацию содержит один или несколько следующих информационных элементов: идентификатор набора ключей в 5G (Key Set Identifier in 5G, ngKSI) и параметр противодействия атакам на основе понижения уровня безопасности между архитектурами (ABBA).

[00402] Первое сообщение запроса на аутентификацию может быть сообщением запроса на аутентификацию (Authentication Request).

[00403] После этапа 802 выполняется этап 805 или этап 806.

[00404] Этап 803. Вторая AMF инициирует аутентификацию на UE.

[00405] Процедура этапа 803, в частности, выглядит следующим образом:

[00406] Этап 803a. UE отправляет сообщение N1 (N1 message) в AMF (AMF и SEAF совмещены) или SEAF. Сообщение N1 содержит SUCI UE или глобальный уникальный временный идентификатор UE 5G (5G-globally unique temporary UE identity, 5G-GUTI).

[00407] Этап 803b. Вторая AMF инициирует аутентификацию на терминальном устройстве, и вторая AMF отправляет второе сообщение запроса на аутентификацию пользователя на вторую AUSF, где второе сообщение запроса на аутентификацию пользователя предназначено для запроса вектора аутентификации (authentication vector, AV) относительно терминального устройства.

[00408] Например, вторым сообщением запроса на аутентификацию пользователя является «Nausf_UEAuthentication_Authentication Request». Сообщение содержит SUCI (или SUPI) и имя обслуживающей сети (имя обслуживающей сети, SN-имя).

[00409] Если сообщение N1, принятое второй AMF от терминального устройства, содержит SUCI, второе сообщение запроса на аутентификацию пользователя, отправленное второй AMF в AUSF, содержит SUCI. Если сообщение N1, принятое второй AMF от терминального устройства, содержит 5G-GUTI, вторая AMF сначала получает SUPI на основе 5G-GUTI, и второе сообщение запроса на аутентификацию пользователя, отправленное второй AMF в AUSF, содержит SUPI.

[00410] Этап 803 с. После того как вторая AUSF отвечает на второе сообщение запроса на аутентификацию пользователя от второй AMF, вторая AUSF отправляет второе сообщение запроса на получение вектора аутентификации в UDM. Второе сообщение запроса на получение вектора аутентификации предназначено для получения вектора аутентификации UE.

[00411] Например, вторым сообщением запроса на получение вектора аутентификации является «Numd_UEAuthentication Get Request». Второе сообщение запроса на получение вектора аутентификации содержит SUPI (или SUCI) и SN-имя. В частности, когда второе сообщение запроса на аутентификацию пользователя, отправленное второй AMF во вторую AUSF, содержит SUPI, второе сообщение запроса на получение вектора аутентификации несет SUPI; или когда второе сообщение запроса на аутентификацию пользователя, отправленное второй AMF во вторую AUSF, содержит SUCI, второе сообщение запроса на получение вектора аутентификации несет SUCI.

[00412] Этап 803d. В ответ на второе сообщение запроса на получение вектора аутентификации UDM выбирает способ аутентификации UE и получает вектор аутентификации, относящийся к UE. Конкретный метод аналогичен этапу 404. Подробности здесь повторно не приводятся.

[00413] Этап 803е. После определения соответствующего вектора аутентификации на основе выбранного способа аутентификации (5G AKA) UDM отправляет ответное сообщение на получение второго вектора аутентификации во вторую AUSF. Второе ответное сообщение на получение вектора аутентификации содержит вектор аутентификации. Например, вторым ответным сообщением получения вектора аутентификации является «Num_UEAuthentication_Get Response».

[00414] Этап 803f. Вторая AUSF сохраняет и проверяет ожидаемый ответ (eXpected response, XRES или XRES*) в ответ на ответное сообщение на получение второго вектора аутентификации. Вторая AUSF отправляет второе ответное сообщение аутентификации пользователя на вторую AMF. Второе ответное сообщение аутентификации пользователя содержит вектор аутентификации, например, «5G SE AV».

[00415] Например, вторым ответным сообщением аутентификации пользователя является «Nausf_UEAuthentication_Authenticate Response».

[00416] Этап 804. UE принимает второе сообщение запроса на аутентификацию от второй AMF.

[00417] Следует отметить, что этап 802 и этап 804 могут происходить одновременно или в смежные моменты времени. Следовательно, можно понимать, что UE может принимать как первое сообщение запроса на аутентификацию, так и второе сообщение запроса на аутентификацию. Для понимания «одновременно» можно считать, что UE принимает два сообщения в один и тот же момент или в близкие моменты. В частности, если UE принимает первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию в один и тот же момент, UDM случайным образом выбирает одно из сообщений для обработки. В этой заявке предполагается, что UE выбирает первое сообщение запроса на аутентификацию для обработки. Если UE принимает первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию в близкие моменты, UE обрабатывает первое сообщение запроса на аутентификацию и второе сообщение запроса на аутентификацию в последовательности приема сообщений. Конкретное понимание близкого момента таково: Когда UE принимает первое сообщение запроса на аутентификацию, UE может только принять сообщение запроса и еще не обработало первое сообщение запроса на получение вектора аутентификации; может принять сообщение запроса и начать обработку, но не отправило ответное сообщение, соответствующее первому сообщению запроса на аутентификацию; или может обработать первое сообщение запроса на получение вектора аутентификации и отправить ответное сообщение, соответствующее первому сообщению запроса на аутентификацию, но не получить сообщение NAS SMC или EAP-Success, соответствующее первому сообщению запроса на аутентификацию. Независимо от того, выбирает ли UE сообщение запроса на аутентификацию случайным образом или последовательно обрабатывает сообщения запроса на аутентификацию, можно понимать, что UE сначала обрабатывает одно из сообщений запроса на аутентификацию и приостанавливает другое сообщение запроса на аутентификацию.

[00418] В этом варианте осуществления предполагается, что UE сначала принимает первое сообщение запроса на аутентификацию от первого AMF, а затем UE принимает второе сообщение запроса на аутентификацию от второй AMF. То есть сначала выполняется этап 802, а затем выполняется этап 804.

[00419] После того, как UE определяет, что два разных сообщения запроса на аутентификацию приняты с использованием разных технологий доступа (например, технологии доступа 3GPP и технологии доступа не-3GPP), UE не обрабатывает результат сравнения порядковых номеров (sequence number, SQN) в векторе аутентификации или не требуется выполнять сравнение SQN. В частности, если UE сначала принимает сообщение запроса на аутентификацию с большим SQN, а затем принимает сообщение запроса на аутентификацию с меньшим SQN, UE не отбрасывает(не отвергает)второе сообщение запроса на аутентификацию, поскольку SQN сообщения меньше. Однако для двух сообщений запроса на аутентификацию с разными SQN, принятых с использованием одной и той же технологии доступа, если UE сначала принимает сообщение запроса на аутентификацию с большим SQN, а затем принимает сообщение запроса на аутентификацию с меньшим SQN, UE обрабатывает только сообщение запроса на аутентификацию с большим SQN и отбрасывает сообщение запроса на аутентификацию с меньшим SQN. Исходя из этого, независимо от того, принимает ли UE два сообщения запроса на аутентификацию одновременно с использованием разных технологий доступа или одной и той же технологии доступа, если UE сначала принимает сообщение запроса на аутентификацию с меньшим SQN, а затем принимает сообщение запроса на аутентификацию с большим SQN UE может обрабатывать два принятых сообщения запроса на аутентификацию в порядке возрастания SQN.

[00420] Этап 805. UE определяет, является ли способ аутентификации, соответствующий первому сообщению запроса на аутентификацию, 5G AKA или EAP-AKA’.

[00421] В необязательном порядке, если способом аутентификации, соответствующим первому сообщению запроса на аутентификацию, является 5G-AKA, обработка второго сообщения запроса на аутентификацию приостанавливается до того, как будет принят NAS SMC, соответствующий первому сообщению запроса на аутентификацию.

[00422] В необязательном порядке, если способом аутентификации, соответствующим первому сообщению запроса на аутентификацию, является EAP-AKA’, обработка второго сообщения запроса на аутентификацию приостанавливается до того, как будет принято сообщение об успешном выполнении EAP, соответствующее первому сообщению запроса на аутентификацию.

[00423] Когда способом аутентификации, соответствующим первому сообщению запроса на аутентификацию, является 5G AKA, выполняются этапы с 806 по 815.

[00424] Когда способом аутентификации, соответствующим первому сообщению запроса на аутентификацию, является EAP-AKA’, выполняются этапы 806, 807, 808 и 816-822.

[00425] На этапе 805 существует множество сценариев запуска, которые отдельно описаны ниже.

[00426] В возможной реализации, после того как UE принимает первое сообщение запроса на аутентификацию на этапе 802, UE определяет, является ли способ аутентификации, соответствующий первому сообщению запроса на аутентификацию, 5G AKA. Если способом аутентификации является 5G AKA, при приеме сообщения запроса на аутентификацию от другой AMF после приема первого сообщения запроса на аутентификацию, UE приостанавливает обработку сообщения запроса на аутентификацию, которое идет от другой AMF.

[00427] В другой возможной реализации этап 806 и/или этап 807 еще не выполняются после этапа 802. Более конкретно, когда UE не ответило на первое сообщение запроса на аутентификацию, UE принимает второе сообщение запроса на аутентификацию от второй AMF. В этом случае UE запускает этап 805. UE определяет, является ли способ аутентификации, соответствующий первому сообщению запроса на аутентификацию, 5G AKA. Если способом аутентификации является 5G AKA, UE приостанавливает обработку второго сообщения запроса на аутентификацию.

[00428] В другой возможной реализации, в процессе выполнения этапа 807 или когда этап 806 и/или этап 807 были выполнены, но этап 809 не был выполнен, а точнее, в процессе, в котором UE выполняет проверку аутентификации на первой сети связи в ответ на первое сообщение запроса на аутентификацию, если UE принимает второе сообщение запроса на аутентификацию от второй AMF, UE запускает этап 805. UE определяет, является ли способ аутентификации, соответствующий первому сообщению запроса на аутентификацию, 5G AKA или EAP-AKA’. Затем UE определяет, когда отвечать на второе сообщение запроса на аутентификацию. UE может приостановить обработку второго сообщения запроса на аутентификацию перед определением или может приостановить обработку второго сообщения запроса на аутентификацию после определения. Альтернативно, UE может сначала обработать второе сообщение запроса на аутентификацию, но определить, на основе результата определения, когда отправлять ответное сообщение аутентификации, соответствующее второму сообщению запроса на аутентификацию.

[00429] В частности, UE может определить, путем обнаружения информационного элемента, переносимого в первом сообщении запроса на аутентификацию, является ли способ аутентификации, соответствующий первому сообщению запроса на аутентификацию, 5G AKA или EAP-AKA’. Например, определение выполняется на основе информации указания, содержащейся в первом сообщении запроса на аутентификацию. Информация указания может быть информацией заголовка, и информация заголовка указывает способ аутентификации 5G AKA, способ аутентификации EAP-AKA’ или даже другой способ аутентификации KAP-AKA’. На основании информации указания в заголовке? UE определяет, является ли способ аутентификации, соответствующий первому сообщению запроса на аутентификацию, 5G AKA или KAP-AKA’. Информация указания также может быть самим сообщением. Например, если поле EAP отсутствует, используется способ аутентификации 5G AKA; если есть поле EAP, используется способ аутентификации EAP-AKA’. В качестве другого примера обнаруживается один или несколько из следующих информационных элементов (или информации): идентификатор набора ключей в 5G (Key Set Identifier in 5G, ngKSI) или местоположение, переносимое в параметре противодействия атакам на основе понижения уровня безопасности между архитектурами (ABBA). Например, если AV находится в сообщении EAP, используется KAP-AKA’; в противном случае UE определяет, что способом аутентификации, соответствующим первому сообщению запроса на аутентификацию, является 5G AKA.

[00430] Этап 806. В ответ на первое сообщение запроса на аутентификацию UE выполняет проверку аутентификации в первой сети связи и генерирует первый промежуточный ключ Kausf-1.

[00431] Этап 806 соответствует этапу 711. Подробности здесь повторно не приводятся.

[00432] Этап 807. Если проверка аутентификации успешна, UE отправляет первое ответное сообщение аутентификации в первую AMF.

[00433] Первым ответным сообщением аутентификации может быть «Authentication response».

[00434] Этап 808. Инициируют процедуру аутентификации, ассоциированную с первым сообщением запроса на аутентификацию, и UDM сохраняет идентификатор первой AUSF.

[00435] На этапе 808, после приема первого ответного сообщения аутентификации от UE, первая AMF запускает процедуру аутентификации, ассоциированную с первым сообщением запроса на аутентификацию. В этой процедуре UDM сохраняет идентификатор первой AUSF.

[00436] Конкретная процедура аутентификации на этапе 808 выглядит следующим образом:

[00437] Этап 808a. Первая AMF отправляет третье сообщение запроса на аутентификацию пользователя, соответствующее первому ответному сообщению аутентификации, в первую AUSF в ответ на первое ответное сообщение аутентификации, где третьим сообщением запроса на аутентификацию пользователя может быть «Nausf_UEAuthentication_Authenticate Request». Третье сообщение запроса на аутентификацию пользователя содержит параметр для проверки UE сетью.

[00438] Этап 808b. Первая AUSF проверяет, в ответ на третье сообщение запроса на аутентификацию пользователя, соответствующее первому ответному сообщению аутентификации, переносимый параметр для проверки UE сетью. Если проверка успешна, первая AUSF сохраняет первый промежуточный ключ Kausf-1.

[00439] Этап 808 с. Первая AUSF возвращает третье ответное сообщение аутентификации пользователя в первую AMF (или SEAF, ассоциированную с первой AMF), где третье ответное сообщение аутентификации пользователя содержит результат проверки (например, указывающий, что проверка на UE прошла успешно). Третьим ответным сообщением аутентификации пользователя может быть «Nausf_UEAuthentication_Authenticate Response». Третье ответное сообщение аутентификации пользователя является ответным сообщением третьего сообщения запроса на аутентификацию пользователя.

[00440] Этап 808d. Первая AUSF отправляет первое сообщение запроса на подтверждение результата аутентификации для первого вектора аутентификации в UDM. Первое сообщение запроса на подтверждение результата аутентификации может дополнительно нести одну или более из следующей информации: SUPI, временную метку, результат аутентификации, тип аутентификации (authentication type), идентификатор первой AUSF и имя обслуживающей сети. Информация о типе аутентификации указывает, что способ аутентификации - 5G AKA. Например, первое сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request».

[00441] Этап 808e. UDM принимает первое сообщение запроса на подтверждение результата аутентификации от первой AUSF и сохраняет идентификатор первой AUSF.

[00442] Сначала описывается процедура, в которой способом аутентификации, соответствующим первому сообщению запроса на аутентификацию, является 5G AKA.

[00443] Этап 809. Первая AMF отправляет первое сообщение SMC NAS в UE.

[00444] На этапе 801f первая AUSF отправляет первое ответное сообщение аутентификации пользователя в первую AMF. Когда первая AMF принимает первое ответное сообщение аутентификации пользователя, первая AMF отправляет первое сообщение SMC NAS в UE. Первое сообщение SMC NAS включает в себя одну или несколько следующих сведений: идентификатор набора ключей в 5G (ngKSI), функцию безопасности UE (возможности UE sec), алгоритм шифрования (Ciphering Algorithm), алгоритм целостности (Integrity Algorithm), Флаг изменения Kamf (K_AMF_change_flag), параметр ABBA или флаг запроса начального сообщения NAS (флага запроса начального сообщения NAS).

[00445] Этап 810. UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение SMC NAS.

[00446] На этапе 809, после того как UE принимает первое сообщение NAS SMC от первой AMF, UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение NAS SMC.

[00447] В частности, после ответа на первое сообщение SMC NAS, UE сохраняет в пространстве долговременного хранения первый промежуточный ключ Kausf-1, который хранится в первом пространстве хранения (буферной области). В этом варианте осуществления данной заявки пространство долговременного хранения терминального устройства называется вторым пространством хранения. Например, второе пространство хранения может быть ME в терминальном устройстве.

[00448] После того как UE сохраняет первый промежуточный ключ Kausf-1 во второй области хранения, UE отправляет ответное сообщение первого сообщения SMC NAS в первую AMF. Ответное сообщение может быть «NAS Security Mode Complete».

[00449] Необязательно, после приема первого сообщения SMC NAS от первой AMF, UE сначала обнаруживает, ассоциировано ли первое сообщение SMC NAS с первым сообщением запроса на аутентификацию (от первой AMF). В частности, на основе информации, переносимой в первом сообщении NAS SMC, определяется, принято ли первое сообщение NAS SMC от первой AMF. Сначала определяется, ассоциировано ли первое сообщение SMC NAS с первым сообщением запроса на аутентификацию (от первой AMF). Например, то, принадлежит ли первое сообщение SMC NAS от первого AMF, определяется на основе информации, переносимой в первом сообщении SMC NAS. В качестве другого примера, идет ли первое сообщение SMC NAS от первой AMF, определяется на основе базового сообщения (например, сообщения RRC или сообщения AP Wi-Fi), которое несет первый SMC NAS. Способ определения не ограничен в этой заявке. После того как UE определяет, что первое сообщение SMC NAS ассоциировано с первым сообщением AMF, UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение SMC NAS.

[00450] Этап 811. UE принимает первое сообщение SMC NAS и возобновляет обработку второго сообщения запроса на аутентификацию, то есть выполняет проверку аутентификации во второй сети связи и генерирует второй промежуточный ключ Kausf-2.

[00451] На этапе 811, после этапа 809, в ответ на первое сообщение NAS SMC, UE выполняет проверку аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерирует второй промежуточный ключ Kausf-2, то есть возобновляет обработку второе сообщение запроса на аутентификацию.

[00452] Этап 812. Если проверка аутентификации успешна, UE отправляет второе ответное сообщение аутентификации на вторую AMF.

[00453] На этапе 812, если проверка аутентификации успешна, UE отправляет второе ответное сообщение на аутентификацию второй AMF в ответ на второе сообщение запроса на аутентификацию. Второе ответное сообщение аутентификации может быть «Authentication response».

[00454] Этап 813. Инициируют процедуру аутентификации, ассоциированную со вторым сообщением запроса на аутентификацию, и UDM сохраняет идентификатор второй AUSF.

[00455] На этапе 813, после приема второго ответного сообщения аутентификации от UE, вторая AMF запускает процедуру аутентификации, ассоциированную со вторым сообщением запроса на аутентификацию. В этой процедуре UDM сохраняет идентификатор второй AUSF.

[00456] Конкретная процедура аутентификации на этапе 813 выглядит следующим образом:

[00457] Этап 813a. Вторая AMF отвечает на второе ответное сообщение на аутентификацию и отправляет четвертое сообщение запроса на аутентификацию пользователя, соответствующее второму сообщению ответа на аутентификацию, во вторую AUSF. Четвертым сообщением запроса на аутентификацию пользователя может быть «Nausf_UEAuthentication_Authenticate Request». Четвертое сообщение запроса на аутентификацию пользователя содержит параметр для проверки UE сетью.

[00458] Этап 813b. Вторая AUSF проверяет, в ответ на четвертое сообщение запроса на аутентификацию пользователя, соответствующее второму сообщению ответа на аутентификацию, параметр для проверки UE сетью. Если проверка успешна, вторая AUSF сохраняет второй промежуточный ключ Kausf-2.

[00459] Этап 813c. Вторая AUSF возвращает четвертое ответное сообщение аутентификации пользователя на вторую AMF (или SEAF, ассоциированную со второй AMF), где четвертое ответное сообщение аутентификации пользователя несет результат проверки (например, указывающий, что проверка на UE прошла успешно). Четвертым ответным сообщением аутентификации пользователя может быть «Nausf_UEAuthentication_Authenticate Response». Четвертое ответное сообщение на аутентификацию пользователя является ответным сообщением на четвертое сообщение запроса на аутентификацию пользователя.

[00460] Этап 813d. Вторая AUSF отправляет второе сообщение запроса на подтверждение результата аутентификации для второго вектора аутентификации в UDM. Второе сообщение запроса на подтверждение результата аутентификации может дополнительно нести одну или более из следующей информации: SUPI, временную метку, результат аутентификации, тип аутентификации (authentication type), идентификатор второй AUSF и имя обслуживающей сети. Например, информация о типе аутентификации указывает, что способ аутентификации - 5G AKA. Например, второе сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request».

[00461] Этап 813е. UDM принимает второе сообщение запроса на подтверждение результата аутентификации от второй AUSF и сохраняет идентификатор второй AUSF. В частности, UDM заменяет идентификатор первой AUSF идентификатором второй AUSF.

[00462] Необязательно, после того как UDM сохранит идентификатор второй AUSF, UDM может уведомить первую AUSF об удалении первого промежуточного ключа Kausf-1.

[00463] Этап 814. Вторая AMF отправляет второе сообщение SMC NAS в UE.

[00464] На этапе 814, после приема второго сообщения SMC NAS от второй AMF, необязательно, UE сначала обнаруживает, ассоциировано ли второе сообщение SMC NAS со вторым сообщением запроса на аутентификацию (от второй AMF). В частности, на основе информации, переносимой во втором сообщении NAS SMC, определяется, принято ли второе сообщение NAS SMC от второй AMF.

[00465] Второе сообщение NAS SMC включает в себя одну или несколько следующих информаций: идентификатор набора ключей в 5G (ngKSI), функцию безопасности UE (возможности UE sec), алгоритм шифрования (Ciphering Algorithm), алгоритм целостности (Integrity Algorithm), Флаг изменения Kamf (K_AMF_change_flag), параметр ABBA или флаг запроса начального сообщения NAS (request Initial NAS message flag).

[00466] Этап 815. UE заменяет первый промежуточный ключ Kausf-1 вторым промежуточным ключом Kausf-2 в ответ на второе сообщение SMC NAS.

[00467] В частности, после ответа на второе сообщение NAS SMC, UE сохраняет в пространстве долговременного хранения второй промежуточный ключ Kausf-2, который хранится в первом пространстве хранения (буферной области). В этом варианте осуществления данной заявки пространство долговременного хранения терминального устройства называется вторым пространством хранения. Например, второе пространство хранения может быть ME в терминальном устройстве.

[00468] После того как UE сохраняет второй промежуточный ключ Kausf-2 во втором пространстве хранения, UE отправляет ответное сообщение второго сообщения SMC NAS во второй первой AMF. Ответное сообщение может быть «NAS Security Mode Complete».

[00469] Необязательно, после приема второго сообщения SMC NAS от второй AMF, UE сначала обнаруживает, ассоциировано ли второе сообщение SMC NAS со вторым сообщением запроса на аутентификацию (от второй AMF). В частности, на основе информации, переносимой во втором сообщении NAS SMC, определяется, идет ли второе сообщение NAS SMC от второй AMF. Сначала определяется, ассоциировано ли второе сообщение SMC NAS со вторым сообщением запроса на аутентификацию (от второй AMF). Например, на основе информации, переносимой во втором сообщении NAS SMC, определяется, идет ли второе сообщение NAS SMC от второй AMF. В качестве другого примера, то, идет ли второе сообщение SMC NAS от второй AMF, определяется на основе базового сообщения (например, сообщения RRC или сообщения AP Wi-Fi), которое несет второй SMC NAS. Способ определения не ограничен в этой заявке. После того как UE определяет, что второе сообщение NAS SMC ассоциировано со второй AMF, UE сохраняет второй промежуточный ключ Kausf-2 в ответ на второе сообщение NAS SMC. В частности, после ответа на второе сообщение NAS SMC UE сохраняет в пространстве долговременного хранения второй промежуточный ключ Kausf-2, который хранится в первом пространстве хранения (буферной области). Поскольку первый промежуточный ключ Kausf-1 уже сохранен в пространстве долговременного хранения, UE заменяет первый промежуточный ключ Kausf-1 во втором пространстве хранения вторым промежуточным ключом Kausf-2 в первом пространстве хранения.

[00470] Затем описывается процедура, в которой способом аутентификации, соответствующим первому сообщению запроса на аутентификацию, является EAP-AKA’.

[00471] Этап 816. Первая AMF отправляет первое сообщение об успешном выполнении EAP (EAP-success message) в UE.

[00472] На этапе 801f первая AUSF отправляет первое ответное сообщение аутентификации пользователя в первую AMF. Когда первая AMF принимает первое ответное сообщение аутентификации пользователя, первая AMF отправляет первое сообщение об успешном выполнении EAP в UE. Первое сообщение об успешном выполнении EAP указывает на то, что аутентификация прошла успешно.

[00473] Этап 817. UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение об успешном выполнении EAP.

[00474] На этапе 816, после того как UE принимает первое сообщение об успешном выполнении EAP от первой AMF, UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение об успешном EAP.

[00475] В частности, после ответа на первое сообщение об успешном выполнении EAP, UE сохраняет в пространстве долговременного хранения первый промежуточный ключ Kausf-1, который хранится в первом пространстве хранения (буферной области). В этом варианте осуществления данной заявки пространство долговременного хранения терминального устройства называется вторым пространством хранения. Например, второе пространство хранения может быть ME в терминальном устройстве.

[00476] В возможной реализации первое сообщение об успешном выполнении EAP является информационным элементом сообщения SMC NAS. Точнее, первая AMF отправляет первое сообщение об успешном выполнении EAP в UE в сообщении SMC NAS. После того как UE сохраняет второй промежуточный ключ Kausf-2 во второй области хранения, UE отправляет ответное сообщение первого сообщения об успешном выполнении EAP в первую AMF. Ответное сообщение может быть «NAS Security Mode Complete».

[00477] В другой возможной реализации первая AMF отправляет первое сообщение об успешном выполнении EAP в UE, используя сообщение «Authentication result» о результате аутентификации. После того как UE сохраняет первый промежуточный ключ Kausf-1 во второй области хранения, UE может не отправлять ответное сообщение первого сообщения об успешном выполнении EAP в первую AMF.

[00478] Необязательно, после приема первого сообщения об успешном выполнении EAP от первой AMF, UE сначала обнаруживает, ассоциировано ли первое сообщение об успешном выполнении EAP с первым сообщением запроса на аутентификацию (от первой AMF). В частности, на основе информации, содержащейся в первом сообщении об успешном завершении EAP, определяется, пришло ли первое сообщение об успешном EAP от первой AMF. Сначала определяется, ассоциировано ли первое сообщение об успешном выполнении EAP с первым сообщением запроса на аутентификацию (от первой AMF). Например, то, пришло ли первое сообщение об успешном EAP от первой AMF, определяется на основе информации, переносимой в первом сообщении об успешном выполнении EAP. В качестве другого примера, то, является ли первое сообщение об успешном завершении EAP от первой AMF, определяется на основе базового сообщения (например, сообщения RRC или сообщения AP Wi-Fi), которое несет первое сообщение об успешном выполнении EAP. Способ определения не ограничен в этой заявке. После того как UE определяет, что первое сообщение об успешном выполнении EAP ассоциировано с первой AMF, UE сохраняет первый промежуточный ключ Kausf-1 в ответ на первое сообщение об успешном выполнении EAP.

[00479] Этап 818. UE принимает первое сообщение об успешном выполнении EAP и возобновляет обработку второго сообщения запроса на аутентификацию, то есть выполняет проверку аутентификации во второй сети связи и генерирует второй промежуточный ключ Kausf-2.

[00480] На этапе 818, после этапа 816, в ответ на первое сообщение об успешном выполнении EAP, UE выполняет проверку аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерирует второй промежуточный ключ Kausf-2, то есть возобновляет обработку второго сообщения запроса на аутентификацию.

[00481] Этап 819. Если проверка аутентификации успешна, UE отправляет второе ответное сообщение аутентификации на вторую AMF.

[00482] На этапе 819, если проверка аутентификации успешна, UE отправляет второе ответное сообщение на аутентификацию второй AMF в ответ на второе сообщение запроса на аутентификацию. Второе ответное сообщение аутентификации может быть «Authentication response».

[00483] Этап 820. Запускает процедуру аутентификации, ассоциированную со вторым сообщением запроса на аутентификацию, и UDM сохраняет идентификатор второй AUSF.

[00484] На этапе 820, после приема второго ответного сообщения аутентификации от UE, вторая AMF запускает процедуру аутентификации, ассоциированную со вторым сообщением запроса на аутентификацию. В этой процедуре UDM сохраняет идентификатор второй AUSF.

[00485] Конкретная процедура аутентификации на этапе 820 выглядит следующим образом:

[00486] Этап 820a. Вторая AMF отвечает на второе ответное сообщение на аутентификацию и отправляет четвертое сообщение запроса на аутентификацию пользователя, соответствующее второму сообщению ответа на аутентификацию, во вторую AUSF. Четвертым сообщением запроса на аутентификацию пользователя может быть «Запрос Nausf_UEAuthentication_Authenticate». Четвертое сообщение запроса на аутентификацию пользователя содержит параметр для проверки UE сетью.

[00487] Этап 820b. Вторая AUSF проверяет, в ответ на четвертое сообщение запроса на аутентификацию пользователя, соответствующее второму ответному сообщению на аутентификацию, параметр для проверки UE сетью. Если проверка успешна, вторая AUSF генерирует и сохраняет второй промежуточный ключ Kausf-2.

[00488] Этап 820 с. Вторая AUSF возвращает четвертое ответное сообщение аутентификации пользователя на вторую AMF (или SEAF, ассоциированную со второй AMF), где четвертое ответное сообщение аутентификации пользователя несет результат проверки (например, указывающий, что проверка на UE прошла успешно). Четвертым ответным сообщением аутентификации пользователя может быть «Nausf_UEAuthentication_Authenticate Response». Четвертое ответное сообщение на аутентификацию пользователя является ответным сообщением на четвертое сообщение запроса на аутентификацию пользователя.

[00489] Этап 820d. Вторая AUSF отправляет второе сообщение запроса на подтверждение результата аутентификации для второго вектора аутентификации в UDM. Второе сообщение запроса на подтверждение результата аутентификации может дополнительно нести одну или более из следующей информации: SUPI, временную метку, результат аутентификации, тип аутентификации (authentication type), идентификатор второй AUSF и имя обслуживающей сети. Например, информация о типе аутентификации указывает, что способ аутентификации - EAP-AKA’. Например, второе сообщение запроса на подтверждение результата аутентификации может быть сообщением «Nudm_UEAuthentication_ResultConfirmation Request».

[00490] Этап 820e. UDM принимает второе сообщение запроса на подтверждение результата аутентификации от второй AUSF и сохраняет идентификатор второй AUSF. В частности, UDM заменяет идентификатор первой AUSF идентификатором второй AUSF.

[00491] Необязательно, после того как UDM сохранит идентификатор второй AUSF, UDM может уведомить первую AUSF об удалении первого промежуточного ключа Kausf-1.

[00492] Этап 821. Вторая AMF отправляет второе сообщение об успешном выполнении EAP в UE.

[00493] На этапе 821, после приема второго сообщения об успешном выполнении EAP от второй AMF, необязательно, UE сначала обнаруживает, ассоциировано ли второе сообщение об успешном выполнении EAP со вторым сообщением запроса на аутентификацию (от второй AMF). В частности, на основе информации, переносимой во втором сообщении об успешном выполнении EAP, определяется, исходит ли второе сообщение об успешном выполнении EAP от второй AMF.

[00494] Этап 822. UE заменяет первый промежуточный ключ Kausf-1 вторым промежуточным ключом Kausf-2 в ответ на второе сообщение об успешном выполнении EAP.

[00495] В частности, после ответа на второе сообщение об успешном выполнении EAP, UE сохраняет в пространстве долговременного хранения второй промежуточный ключ Kausf-2, который хранится в первом пространстве хранения (буферной области). В этом варианте осуществления данной заявки пространство долговременного хранения терминального устройства называется вторым пространством хранения. Например, второе пространство хранения может быть ME в терминальном устройстве.

[00496] В возможной реализации второе сообщение об успешном выполнении EAP является информационным элементом сообщения SMC NAS. Более конкретно, вторая AMF отправляет второе сообщение об успешном выполнении EAP в UE в сообщении SMC NAS. После того как UE сохраняет второй промежуточный ключ Kausf-2 во второй области хранения, UE отправляет ответное сообщение второго сообщения об успешном выполнении EAP во вторую AMF. Ответное сообщение может быть «NAS Security Mode Complete».

[00497] В другой возможной реализации вторая AMF отправляет второе сообщение об успешном выполнении EAP в UE, используя сообщение «Authentication result» о результате аутентификации. После того как UE сохраняет второй промежуточный ключ Kausf-2 во втором пространстве памяти, UE может не отправлять ответное сообщение второго сообщения об успешном выполнении EAP во вторую AMF.

[00498] Необязательно, после приема второго сообщения об успешном выполнении EAP от второй AMF, UE сначала обнаруживает, ассоциировано ли второе сообщение об успешном выполнении EAP со вторым сообщением запроса на аутентификацию (от второй AMF). В частности, на основе информации, переносимой во втором сообщении об успешном завершении EAP, определяется, исходит ли второе сообщение об успешном выполнении EAP от второй AMF. Сначала определяется, ассоциировано ли второе сообщение об успешном выполнении EAP со вторым сообщением запроса на аутентификацию (от второй AMF). Например, то, идет ли второе сообщение об успешном EAP от второй AMF, определяется на основе информации, переносимой во втором сообщении об успешном выполнении EAP. В качестве другого примера, то, идет ли второе сообщение об успешном выполнении EAP от второй AMF, определяется на основе базового сообщения (например, сообщения RRC или сообщения AP Wi-Fi), которое несет второе сообщение об успешном выполнении EAP. Способ определения не ограничен в этой заявке. После того как UE определяет, что второе сообщение об успешном выполнении EAP ассоциировано со второй AMF, UE сохраняет второй промежуточный ключ Kausf-2 в ответ на второе сообщение об успешном выполнении EAP. В частности, после ответа на второе сообщение об успешном выполнении EAP, UE сохраняет в пространстве долговременного хранения второй промежуточный ключ Kausf-2, который хранится в первом пространстве хранения (буферной области). Поскольку первый промежуточный ключ Kausf-1 уже сохранен в пространстве долговременного хранения, UE заменяет первый промежуточный ключ Kausf-1 во втором пространстве хранения вторым промежуточным ключом Kausf-2 в первом пространстве хранения.

[00499] В этом варианте осуществления этой заявки после того, как терминальное устройство принимает множество сообщений запроса на аутентификацию, терминальному устройству необходимо обработать следующее сообщение запроса на аутентификацию после приема сообщения NAS SMC или EAP-Success, соответствующего предыдущему сообщению с запросом на аутентификацию, чтобы гарантировать что сначала выполняется процедура аутентификации первой сети связи, ассоциированной с первым сообщением запроса на аутентификацию, и UE сначала сохраняет первый промежуточный ключ Kausf-1, относящийся к первой сети связи. Затем выполняется процедура аутентификации второй сети связи, ассоциированной со вторым сообщением запроса на аутентификацию, и UE, наконец, сохраняет второй промежуточный ключ Kausf-2, относящийся ко второй сети связи. Вышеупомянутый способ может гарантировать, что промежуточный ключ (Kausf-2), хранящийся в UE, соответствует промежуточному ключу (Kausf-2), хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[00500] Основываясь на вышеизложенном варианте осуществления, обратитесь к фиг. 9a и Фиг. 9b. ФИГ. 9a и Фиг. 9b представляет собой схематическое представление варианта осуществления способа связи согласно варианту осуществления этой заявки. В варианте осуществления, показанном на фиг. 9a и Фиг. 9b, после того как терминальное устройство принимает множество сообщений запроса на аутентификацию, терминальное устройство генерирует запись порядка приема множества сообщений запроса на аутентификацию. После приема сообщения NAS SMC терминальное устройство обнаруживает источник сообщения NAS SMC на основе записи порядка приема. Когда сообщение SMC NAS идет от AMF, которая отправляет последнее сообщение запроса на аутентификацию, терминальное устройство сохраняет промежуточный ключ Kausf, соответствующий SMC NAS. Способ связи, предусмотренный в этом варианте осуществления настоящей заявки, включает в себя следующие этапы.

[00501] Этап 901. Первая AMF инициирует аутентификацию на UE.

[00502] Этап 902. UE принимает первое сообщение запроса на аутентификацию от первой AMF.

[00503] Этап 903. Вторая AMF инициирует аутентификацию на UE.

[00504] Этап 904. UE принимает второе сообщение запроса на аутентификацию от второй AMF.

[00505] Этапы с 901 по 904 аналогичны этапам с 801 по 804. Подробности здесь повторно не приводятся.

[00506] Этап 905. UE генерирует первую запись порядка приема, где первая запись порядка приема указывает, что первое сообщение запроса на аутентификацию предшествует второму сообщению запроса на аутентификацию.

[00507] На этапе 905 UE генерирует первую запись порядка приема на основе момента времени, в который принимается первое сообщение запроса на аутентификацию, и момента времени, в который принимается второе сообщение запроса на аутентификацию. Первая запись порядка приема указывает, что момент времени, в который UE принимает первое сообщение запроса на аутентификацию, является более ранним, чем момент времени, в который UE принимает второе сообщение запроса на аутентификацию.

[00508] Этап 906. В ответ на первое сообщение запроса на аутентификацию UE выполняет проверку аутентификации в первой сети связи и генерирует первый промежуточный ключ Kausf-1.

[00509] Этап 906 аналогичен этапу 806. Подробности здесь повторно не приводятся.

[00510] Этап 907. Если проверка аутентификации успешна, UE отправляет первое ответное сообщение аутентификации в первую AMF.

[00511] Этап 908. Инициируют процедуру аутентификации, ассоциированную с первым сообщением запроса на аутентификацию, и UDM сохраняет идентификатор первой AUSF.

[00512] Этапы 907 и 908 аналогичны этапам 807 и 808. Подробности здесь повторно не приводятся.

[00513] Этап 909. В ответ на второе сообщение запроса на аутентификацию UE выполняет проверку аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерирует второй промежуточный ключ Kausf-2.

[00514] Этап 910. Если проверка аутентификации успешна, UE отправляет второе ответное сообщение аутентификации на вторую AMF.

[00515] Этап 911. Инициируют процедуру аутентификации, ассоциированную со вторым сообщением запроса на аутентификацию, и UDM сохраняет идентификатор второй AUSF.

[00516] Этапы с 909 по 911 аналогичны этапам с 811 по 813. Подробности здесь повторно не приводятся.

[00517] Этап 912. UE принимает сообщение NAS SMC и обнаруживает источник сообщения NAS SMC на основе первой записи порядка приема.

[0518] На этапе 912, после того как UE принимает сообщение NAS SMC, UE необходимо обнаружить источник сообщения NAS SMC на основе первой записи порядка приема.

[00519] В частности, UE определяет на основе первой записи порядка приема, идет ли сообщение NAS SMC от первой AMF или второй AMF.

[00520] Этап 913. Когда источником SMC NAS является вторая AMF, UE сохраняет второй промежуточный ключ Kausf-2.

[00521] На этапе 913 UE определяет источник сообщения SMC NAS на основе информационного элемента или идентификатора в сообщении SMC NAS. Когда сообщение SMC NAS идет от первой AMF, UE не сохраняет первый промежуточный ключ Kausf-1 в ответ на сообщение SMC NAS.

[00522] Когда сообщение SMC NAS поступает от второй AMF, UE сохраняет второй промежуточный ключ Kausf-2 в ответ на сообщение SMC NAS.

[00523] Другими словами, UE сохраняет второй промежуточный ключ Kausf-2 в ответ на сообщение NAS SMC только тогда, когда сообщение NAS SMC идет от второй AMF (то есть второй AMF, которая отправляет последнее сообщение запроса на аутентификацию в первом порядке приема. В частности, UE сохраняет второй промежуточный ключ Kausf-2 из первого пространства хранения во второе пространство хранения, где вторая область хранения является долговременной областью хранения.

[00524] После того как UE сохраняет второй промежуточный ключ Kausf-2 во второй области хранения, UE отправляет ответное сообщение сообщения SMC NAS во вторую AMF. Ответное сообщение может быть «NAS Security Mode Complete».

[00525] В этом варианте осуществления этой заявки после того, как терминальное устройство принимает множество сообщений запроса на аутентификацию, терминальному устройству необходимо сгенерировать первую запись о порядке приема, где первая запись о порядке приема указывает порядок приема множества сообщений запроса на аутентификацию, принятых терминальным устройством. После того как терминальное устройство принимает сообщение NAS SMC, терминальное устройство обнаруживает источник сообщения NAS SMC. Когда сообщение SMC NAS идет от второй AMF, поскольку самое последнее (или самое последнее) сообщение запроса на аутентификацию в первой записи порядка приема идет от второй AMF, UE сохраняет второй промежуточный ключ Kausf-2 в ответ на сообщение SMC NAS. Вышеупомянутый способ может гарантировать, что промежуточный ключ (Kausf-2), хранящийся в UE, соответствует промежуточному ключу (Kausf-2), хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[00526] Основываясь на вышеизложенном варианте осуществления, обратитесь к фиг. 10a и Фиг. 10b. ФИГ. 10a и Фиг. 10b представляет собой схематическое представление варианта осуществления способа связи согласно варианту осуществления этой заявки. В варианте осуществления, показанном на фиг. 10a и Фиг. 10b, после того, как терминальное устройство принимает сообщение NAS SMC (или сообщение об успешном выполнении EAP), терминальное устройство сохраняет промежуточный ключ Kausf, соответствующий сообщению NAS SMC (или сообщению об успешном выполнении EAP). Терминальное устройство отправляет ответное сообщение в AMF, которая отправляет сообщение NAS SMC (или сообщение об успешном выполнении EAP), где ответное сообщение указывает промежуточный ключ Kausf, хранящийся в терминальном устройстве. После приема ответного сообщения, AMF уведомляет UDM о необходимости сохранить идентификатор AUSF, соответствующий промежуточному ключу. Способ связи, предусмотренный в этом варианте осуществления настоящей заявки, включает в себя следующие этапы.

[00527] Этап 1001. Первая AMF инициирует аутентификацию на UE.

[00528] Этап 1002. UE принимает первое сообщение запроса на аутентификацию от первой AMF.

[00529] Этап 1003. Вторая AMF инициирует аутентификацию на UE.

[00530] Этап 1004. UE принимает второе сообщение запроса на аутентификацию от второй AMF.

[00531] Этапы с 1001 по 1004 аналогичны этапам с 801 по 804. Подробности здесь повторно не приводятся.

[00532] Этап 1005. В ответ на первое сообщение запроса на аутентификацию UE выполняет проверку аутентификации в первой сети связи и генерирует первый промежуточный ключ Kausf-1.

[00533] Этап 1005 аналогичен этапу 806. Подробности здесь повторно не приводятся.

[00534] Этап 1006. Если проверка аутентификации успешна, UE отправляет первое ответное сообщение аутентификации в первую AMF.

[00535] Этап 1007. Инициируют процедуру аутентификации, ассоциированную с первым сообщением запроса на аутентификацию, и UDM сохраняет идентификатор первой AUSF.

[00536] Этапы 1006 и 1007 аналогичны этапам 807 и 808. Подробности здесь повторно не приводятся.

[00537] Этап 1008. В ответ на второе сообщение запроса на аутентификацию UE выполняет проверку аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерирует второй промежуточный ключ Kausf-2.

[00538] Этап 1009. Если проверка аутентификации успешна, UE отправляет второе ответное сообщение аутентификации на вторую AMF.

[00539] Этап 1010. Инициируют процедуру аутентификации, ассоциированную со вторым сообщением запроса на аутентификацию, и UDM сохраняет идентификатор второй AUSF.

[00540] На этом этапе можно считать, что UDM окончательно сохраняет идентификатор второй AUSF.

[00541] Этапы с 1008 по 1010 аналогичны этапам с 811 по 813. Подробности здесь повторно не приводятся.

[00542] Нижеследующее отдельно описывает сценарий (этапы 1011a и 1012a), соответствующий способу аутентификации 5G AKA, и сценарий (этапы 1011b и 1012b), соответствующий способу аутентификации EAP-AKA’.

[00543] Сначала описывается способ аутентификации 5G AKA.

[00544] Этап 1011A. UE принимает сообщение NAS SMC и сохраняет соответствующий промежуточный ключ на основе сообщения NAS SMC.

[00545] На этапе 1011a UE последовательно принимает два сообщения NAS SMC и сохраняет промежуточный ключ Kausf, соответствующий последнему пришедшему сообщению NAS SMC. В частности, UE сохраняет во втором пространстве хранения (пространстве долговременного хранения) Kausf, который буферизуется в первом пространстве хранения на основе сообщения NAS SMC.

[00546] Ниже описывается процедура обработки на примере, в котором последнее пришедшее сообщение SMC NAS поступает от первой AMF. Можно понимать, что когда последнее пришедшее сообщение SMC NAS поступает от второй AMF, процедура обработки аналогична процедуре обработки, когда сообщение SMC NAS идет от первой AMF. Подробности здесь повторно не приводятся.

[00547] Можно понимать, что в другой возможной реализации UE сохраняет соответствующий второй промежуточный ключ Kausf-2 на основе сообщения NAS SMC только после приема сообщения NAS SMC от второй AMF.

[00548] Этап 1012A. Когда UE сохраняет первый промежуточный ключ Kausf-1, UE отправляет ответное сообщение сообщения SMC NAS в первую AMF, где ответное сообщение несет информацию указания, и информация указания указывает, что UE окончательно сохраняет Kausf-1.

[00549] На этапе 1012a, после ответа на первое сообщение NAS SMC, UE сохраняет в пространстве долговременного хранения первый промежуточный ключ Kausf-1, который хранится в первом пространстве хранения (буферной области). В этом варианте осуществления данной заявки пространство долговременного хранения терминального устройства называется вторым пространством хранения. Например, второе пространство хранения может быть ME в терминальном устройстве.

[00550] После того как UE сохраняет первый промежуточный ключ Kausf-1 во второй области хранения, UE отправляет ответное сообщение первого сообщения SMC NAS в первую AMF. Ответное сообщение может быть «NAS Security Mode Complete». Ответное сообщение несет информацию указания, и информация указания указывает, что UE окончательно сохраняет первый промежуточный ключ Kausf-1.

[00551] Например, ответное сообщение содержит идентификатор первого промежуточного ключа, или ответное сообщение содержит информацию указания, и информация указания указывает, что UE хранит первый промежуточный ключ Kausf-1.

[00552] Можно понимать, что UE может дополнительно уведомить, используя другую информацию (сообщение или сигнализацию), первую AMF о том, что промежуточный ключ, сохраненный терминальным устройством во второй области хранения, является первым промежуточным ключом. Это не ограничено здесь.

[00553] Этап 1013 выполняется после этапа 1012а.

[00554] Затем описывается способ аутентификации EAP-AKA’.

[00555] Этап 1011 В. UE принимает сообщение об успешном выполнении EAP и сохраняет соответствующий промежуточный ключ на основе сообщения об успешном выполнении EAP.

[00556] На этапе 1011b UE последовательно принимает два сообщения об успешном выполнении EAP и сохраняет промежуточный ключ Kausf, соответствующий последнему пришедшему сообщению об успешном выполнении EAP. В частности, UE сохраняет во втором пространстве хранения (пространстве долговременного хранения) Kausf, который буферизуется в первом пространстве хранения на основании сообщения об успешном выполнении EAP.

[00557] Ниже описывается процедура обработки на примере, в котором последнее пришедшее сообщение об успешном выполнении EAP идет от первого AMF. Можно понимать, что когда последнее пришедшее сообщение об успешном выполнении EAP идет от второй AMF, процедура обработки аналогична процедуре, когда сообщение об успешном выполнении EAP идет от первой AMF. Подробности здесь повторно не приводятся.

[00558] Можно понимать, что в другой возможной реализации UE сохраняет соответствующий второй промежуточный ключ Kausf-2 на основе сообщения об успешном выполнении EAP только после приема сообщения об успешном выполнении EAP от второй AMF.

[00559] Этап 1012 В. Когда UE сохраняет первый промежуточный ключ Kausf-1, UE отправляет ответное сообщение об успешном выполнении EAP в первую AMF, где ответное сообщение содержит информацию указания, и информация указания указывает, что UE окончательно сохраняет Kausf-1.

[00560] На этапе 1012b, после ответа на первое сообщение об успешном выполнении EAP, UE сохраняет в пространстве долговременного хранения первый промежуточный ключ Kausf-1, который хранится в первом пространстве хранения (буферной области). В этом варианте осуществления данной заявки пространство долговременного хранения терминального устройства называется вторым пространством хранения. Например, второе пространство хранения может быть ME в терминальном устройстве.

[00561] После того как UE сохраняет первый промежуточный ключ Kausf-1 во втором пространстве хранения, UE отправляет ответное сообщение первого сообщения об успешном выполнении EAP в первую AMF. Ответное сообщение несет информацию указания, и информация указания указывает, что UE окончательно сохраняет первый промежуточный ключ Kausf-1.

[00562] В возможной реализации первое сообщение об успешном выполнении EAP является информационным элементом сообщения SMC NAS. Точнее, первая AMF отправляет первое сообщение об успешном выполнении EAP в UE в сообщении SMC NAS. После того как UE сохраняет первый промежуточный ключ Kausf-2 во втором пространстве хранения, UE отправляет ответное сообщение первого сообщения об успешном выполнении EAP в первую AMF. Ответное сообщение может быть «NAS Security Mode Complete».

[00563] Можно понимать, что UE может дополнительно уведомить, используя другую информацию (сообщение или сигнализацию), первую AMF о том, что промежуточный ключ, сохраненный терминальным устройством во втором пространстве хранения, является первым промежуточным ключом. Это не ограничено здесь.

[00564] Например, ответное сообщение содержит идентификатор первого промежуточного ключа, или ответное сообщение содержит информацию указания, и информация указания указывает, что UE хранит первый промежуточный ключ Kausf-1.

[00565] Этап 1013 выполняется после этапа 1012b.

[00566] Этап 1013. Первая AMF отправляет первую информацию указания в UDM, где первая информация указания указывает UE сохранять первый промежуточный ключ Kausf-1.

[00567] В возможной реализации (соответствующей способу аутентификации 5G AKA, этапы 1011a и 1012a) на этапе 1013 первая AMF отправляет первую информацию указания в UDM в ответ на ответное сообщение первого сообщения SMC NAS, где первая информация указания указывает UE на сохранение первого промежуточного ключа Kausf-1.

[00568] В другой возможной реализации (соответствующей способу аутентификации EAP-AKA’, этапы 1011b и 1012b) на этапе 1013 первая AMF отправляет первую информацию указания в UDM в ответ на ответное сообщение первого сообщения SMC NAS, где первая информация указания указывает UE на сохранение первого промежуточного ключа Kausf-1.

[00569] Альтернативно этап 1013 может заключаться в том, что первая AMF отправляет информацию указания в первую AUSF, а первая AUSF отправляет информацию указания в UDM.

[00570] Этап 1014. UDM сохраняет идентификатор первой AUSF в ответ на первую информацию указания.

[00571] На этапе 1014, в возможной реализации, когда UDM уже сохраняет идентификатор второй AUSF, UDM удаляет идентификатор второй AUSF и сохраняет идентификатор первой AUSF.

[00572] Этап 1015. UDM уведомляет вторую AUSF об удалении второго промежуточного ключа.

[00537] На этапе 1015 UDM в ответ на первую информацию указания уведомляет вторую AUSF об удалении второго промежуточного ключа Kausf-2. Таким образом, гарантируется, что сторона сетевого устройства хранит только первый промежуточный ключ Kausf-1, тем самым гарантируя, что промежуточный ключ, хранящийся на терминальном устройстве, соответствует промежуточному ключу, хранящемуся на стороне сетевого устройства.

[00574] Последовательность выполнения этапов 1014 и 1015 здесь не ограничена.

[00575] В этом варианте осуществления этой заявки после того, как терминальное устройство принимает сообщение NAS SMC (или сообщение об успешном выполнении EAP), терминальное устройство сохраняет промежуточный ключ в ответ на сообщение NAS SMC (или сообщение об успешном выполнении EAP). После того как терминальное устройство сохраняет промежуточный ключ, терминальное устройство уведомляет AMF, который отправляет сообщение SMC NAS (или сообщение об успешном выполнении EAP) о промежуточном ключе, хранящемся в терминальном устройстве. Кроме того, AMF уведомляет UDM о необходимости сохранить идентификатор AUSF, соответствующий промежуточному ключу. UDM указывает другой AUSF удалить промежуточный ключ. Вышеупомянутый способ может гарантировать, что промежуточный ключ (Kausf-2), хранящийся в UE, соответствует промежуточному ключу (Kausf-2), хранящемуся на стороне сетевого устройства, избегая рассинхронизации ключей.

[00576] Вышеизложенное в основном описывает решения, предусмотренные в вариантах осуществления данной заявки, с точки зрения упомянутых способов. Понятно, что для реализации вышеизложенных функций аппаратура связи включает в себя соответствующие аппаратные структуры и/или программные модули для выполнения этих функций. Специалисту в данной области техники должно быть известно, что в сочетании с примерами, описанными в вариантах осуществления, раскрытых в этом описании, модули, алгоритмы и этапы могут быть реализованы с помощью аппаратных средств или комбинации аппаратных средств и компьютерного программного обеспечения в этой заявке. Выполняется ли функция аппаратным обеспечением или аппаратным обеспечением, управляемым компьютерным программным обеспечением, зависит от конкретных применений и конструктивных ограничений технических решений. Специалист в данной области может использовать различные способы для реализации описанных функций для каждого конкретного применения, но не следует считать, что такая реализация выходит за рамки объема данной заявки.

[00577] В вариантах осуществления этой заявки аппаратура связи может быть разделена на функциональные модули на основе приведенных выше примеров способов. Например, каждый функциональный модуль может быть получен путем разделения на основе каждой функции, или две или более функции могут быть интегрированы в один модуль приемопередатчика. Интегрированный модуль может быть реализован в виде аппаратного обеспечения или может быть реализован в виде программного функционального модуля. Следует отметить, что в вариантах осуществления этой заявки разделение модулей является примером и представляет собой просто разделение логических функций. При фактической реализации может использоваться другой способ разделения.

[00578] Нижеследующее подробно описывает аппаратуру связи в этой заявке. См. фиг. 11. ФИГ. 11 представляет собой принципиальную схему варианта осуществления аппаратуры связи согласно варианту осуществления этой заявки. Аппаратура связи может быть развернута в сетевом устройстве, микросхеме или системе микросхем. Альтернативно, аппаратура связи может быть развернута в терминальном устройстве, микросхеме или системе микросхем. Аппаратура 1100 связи включает в себя:

модуль 1101 приемопередатчика, сконфигурированный для приема множества сообщений запроса на получение вектора аутентификации от одной или более функций сервера аутентификации для одного и того же терминального устройства, где множество сообщений запроса на получение вектора аутентификации предназначены для получения векторов аутентификации, соответствующих терминальному устройству; и

модуль 1102 обработки, сконфигурированный для последовательной обработки множества сообщений запроса на получение вектора аутентификации.

[00579] В возможной реализации модуль 1101 приемопередатчика дополнительно сконфигурирован для отправки первого вектора аутентификации функции первого сервера аутентификации в ответ на первое сообщение запроса на получение вектора аутентификации.

[00580] Модуль 1102 обработки дополнительно выполнен с возможностью: до того, как будет принято первое сообщение запроса на подтверждение результата аутентификации для первого вектора аутентификации, приостановить обработку второго сообщения запроса на получение вектора аутентификации, где первое сообщение запроса на подтверждение результата аутентификации включает в себя идентификатор первой функции сервера аутентификации, и момент времени, в который унифицированное администрирование данных принимает первое сообщение запроса на получение вектора аутентификации, находится раньше, чем момент времени приема второго сообщения запроса на получение вектора аутентификации.

[00581] В возможной реализации модуль 1101 приемопередатчика дополнительно сконфигурирован для приема первого сообщения запроса на подтверждение результата аутентификации.

[00582] Модуль 1102 обработки дополнительно сконфигурирован для сохранения идентификатора первой функции сервера аутентификации в ответ на первое сообщение запроса на подтверждение результата аутентификации.

[00583] В возможной реализации

модуль 1101 приемопередатчика дополнительно сконфигурирован для отправки второго вектора аутентификации второй функции сервера аутентификации в ответ на второе сообщение запроса на получение вектора аутентификации

[00584] Модуль 1101 приемопередатчика дополнительно сконфигурирован для приема второго сообщения запроса на подтверждение результата аутентификации для второго вектора аутентификации, причем второе сообщение запроса на подтверждение результата аутентификации включает в себя идентификатор второй функции сервера аутентификации.

[00585] Модуль 1102 обработки дополнительно сконфигурирован для сохранения идентификатора второй функции сервера аутентификации в ответ на второе сообщение запроса на подтверждение результата аутентификации.

[00586] В возможной реализации

модуль 1102 обработки конкретно сконфигурирован для замены идентификатора первой функции сервера аутентификации на идентификатор второй функции сервера аутентификации.

[00587] В возможной реализации

модуль 1102 обработки конкретно сконфигурирован для последовательной обработки множества сообщений запроса на получение вектора аутентификации в ответ на способ аутентификации терминального устройства, являющийся 5G AKA.

[00588] В возможной реализации

модуль 1102 обработки дополнительно сконфигурирован для определения на основе информации о подписке терминального устройства, что способом аутентификации, соответствующим терминальному устройству, является 5G AKA.

[00589] В другом примере аппаратура связи включает в себя:

модуль 1101 приемопередатчика, сконфигурированный для приема первого сообщения запроса на аутентификацию от объекта первой функции администрирования доступа и мобильности в первой сети связи и второго сообщения запроса на аутентификацию от объекта второй функции администрирования доступа и мобильности во второй сети связи; и

модуль 1102 обработки, сконфигурированный для последовательной обработки первого сообщения запроса на аутентификацию и второго сообщения запроса на аутентификацию.

[00590] В возможной реализации

модуль 1102 обработки конкретно сконфигурирован для: в ответ на первое сообщение запроса на аутентификацию, выполнения проверки аутентификации в первой сети связи и генерации первого промежуточного ключа Kausf-1.

[00591] Модуль 1101 приемопередатчика конкретно сконфигурирован для того, чтобы: при успешной проверке аутентификации, выполненной терминальным устройством, отправлять объекту первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[00592] Модуль 1101 приемопередатчика конкретно сконфигурирован для приема первого сообщения NAS SMC команды режима безопасности без доступа от первой функции администрирования доступа и мобильности, где первое сообщение NAS SMC ассоциировано с первым сообщением запроса на аутентификацию.

[00593] Модуль 1102 обработки конкретно сконфигурирован для: сохранения первого промежуточного ключа Kausf-1 в ответ на первое сообщение NAS SMC, выполнения проверки аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерации второго промежуточного ключа Kausf- 2.

[00594] Модуль 1101 приемопередатчика конкретно сконфигурирован для приема второго сообщения NAS SMC команды режима безопасности без доступа от второй функции администрирования доступа и мобильности, где второе сообщение NAS SMC ассоциировано со вторым сообщением запроса на аутентификацию.

[00595] Модуль 1102 обработки конкретно сконфигурирован для замены сохраненного первого промежуточного ключа Kausf-1 вторым промежуточным ключом Kausf-2 в ответ на второе сообщение NAS SMC.

[00596] В возможной реализации

модуль 1102 обработки конкретно сконфигурирован для определения после приема первого сообщения SMC NAS, ассоциировано ли первое сообщение SMC NAS с первым сообщением запроса на аутентификацию.

[00597] Модуль 1101 приемопередатчика конкретно сконфигурирован для: когда первое сообщение SMC NAS ассоциировано с первым сообщением запроса на аутентификацию, сохранять первый промежуточный ключ Kausf-1 из первого пространства хранения во второе пространство хранения.

[00598] В возможной реализации

модуль 1102 обработки дополнительно сконфигурирован для приостановки обработки второго сообщения запроса на аутентификацию.

[00599] В возможной реализации

модуль 1102 обработки дополнительно сконфигурирован для определения того, что способ аутентификации, используемый терминальным устройством для выполнения проверки аутентификации в первой сети связи/второй сети связи, представляет собой аутентификацию 5G и согласование ключей 5G AKA.

[00600] В возможной реализации модуль 1102 обработки конкретно сконфигурирован так, чтобы: в ответ на первое сообщение запроса на аутентификацию выполнять проверку аутентификации в первой сети связи и генерировать первый промежуточный ключ Kausf-1.

[00601] Модуль 1101 приемопередатчика конкретно сконфигурирован для того, чтобы: при успешной проверке аутентификации, выполненной терминальным устройством, отправлять объекту первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[00602] Модуль 1101 приемопередатчика конкретно сконфигурирован для приема первого сообщения об успешном выполнении EAP расширяемого протокола аутентификации от первой функции администрирования доступа и мобильности, где первое сообщение об успешном выполнении EAP ассоциировано с первым сообщением запроса на аутентификацию.

[00603] Модуль 1102 обработки конкретно сконфигурирован для: сохранения первого промежуточного ключа Kausf-1 в ответ на первое сообщение об успешном выполнении EAP, выполнения проверки аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерации второго промежуточного ключа Kausf -2.

[00604] Модуль 1101 приемопередатчика конкретно сконфигурирован для приема второго сообщения об успешном выполнении EAP успеха расширяемого протокола аутентификации от второй функции администрирования доступа и мобильности, где второе сообщение об успешном выполнении EAP ассоциировано со вторым сообщением запроса на аутентификацию.

[00605] Модуль 1102 обработки конкретно сконфигурирован для замены сохраненного первого промежуточного ключа Kausf-1 вторым промежуточным ключом Kausf-2 в ответ на второе сообщение об успешном выполнении EAP.

[00606] В возможной реализации модуль 1102 обработки конкретно сконфигурирован для определения после приема первого сообщения об успешном выполнении EAP, ассоциировано ли первое сообщение об успешном выполнении EAP с первым сообщением запроса на аутентификацию.

[00607] Модуль 1101 приемопередатчика конкретно сконфигурирован для: когда первое сообщение об успешном выполнении EAP ассоциировано с первым сообщением запроса на аутентификацию, сохранять первый промежуточный ключ Kausf-1 из первого пространства хранения во второе пространство хранения.

[00608] В возможной реализации модуль 1102 обработки дополнительно сконфигурирован для приостановки обработки второго сообщения запроса на аутентификацию.

[00609] В возможной реализации модуль 1102 обработки дополнительно сконфигурирован для определения того, что способ аутентификации, используемый терминальным устройством для выполнения проверки аутентификации в первой сети связи/второй сети связи, является улучшенным способом расширяемого протокола аутентификации для аутентификации 3-го поколения и согласования ключей EAP-AKA’.

[00610] В возможной реализации

модуль 1101 приемопередатчика конкретно сконфигурирован для доступа к первой системе связи с использованием первой технологии доступа.

[00611] Модуль 1101 приемопередатчика конкретно сконфигурирован для доступа ко второй сети связи с использованием второй технологии доступа.

[00612] Первая технология доступа представляет собой технологию доступа 3GPP, а вторая технология доступа представляет собой технологию доступа, отличную от 3GPP; или первая технология доступа является технологией доступа, отличной от 3GPP, а вторая технология доступа представляет собой технологию доступа 3GPP.

[00613] В другом примере аппаратура связи включает в себя:

модуль 1101 приемопередатчика, сконфигурированный для приема первого сообщения запроса на аутентификацию от первой функции администрирования доступа и мобильности в первой сети связи и второго сообщения запроса на аутентификацию от второй функции администрирования доступа и мобильности во второй сети связи; и

[00614] В возможной реализации модуль 1102 обработки выполнен с возможностью генерировать первую запись порядка приема, причем первая запись порядка приема указывает, что первое сообщение запроса на аутентификацию предшествует второму сообщению запроса на аутентификацию.

[00615] Модуль 1102 обработки дополнительно выполнен с возможностью: в ответ на первое сообщение запроса на аутентификацию выполнять проверку аутентификации в первой сети связи и генерировать первый промежуточный ключ Kausf-1.

[00616] Модуль 1101 приемопередатчика дополнительно выполнен с возможностью: при успешной проверке аутентификации отправлять первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[00617] Модуль 1102 обработки дополнительно выполнен с возможностью: в ответ на второе сообщение запроса на аутентификацию выполнять проверку аутентификации во второй сети связи и генерировать второй промежуточный ключ Kausf-2.

[00618] Модуль 1101 приемопередатчика дополнительно выполнен с возможностью: при успешной проверке аутентификации отправлять, терминальным устройством, второй функции администрирования доступа и мобильности второе ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[00619] Модуль 1101 приемопередатчика дополнительно сконфигурирован для приема сообщения NAS SMC команды режима уровня безопасности без доступа.

[00620] Модуль 1102 обработки дополнительно сконфигурирован для: обнаружения источника сообщения SMC NAS на основе первой записи порядка приема;

[00621] В возможной реализации то, что терминальное устройство сохраняет второй промежуточный ключ Kausf-2 в ответ на сообщение NAS SMC, включает в себя:

модуль 1101 приемопередатчика дополнительно сконфигурирован для определения после приема сообщения SMC NAS, ассоциировано ли сообщение SMC NAS со вторым сообщением запроса на аутентификацию.

[00622] Модуль 1102 обработки дополнительно сконфигурирован для: когда сообщение NAS SMC ассоциировано со вторым сообщением запроса на аутентификацию, сохранять второй промежуточный ключ Kausf-2 из первого пространства хранения во второе пространство хранения, где второе пространство хранения представляет собой пространство долгосрочного хранения.

[00623] В возможной реализации

модуль 1101 приемопередатчика дополнительно сконфигурирован для: доступа к первой системе связи с использованием первой технологии доступа и доступа ко второй сети связи с использованием второй технологии доступа.

[00624] Первая технология доступа представляет собой технологию доступа 3GPP, а вторая технология доступа представляет собой технологию доступа, отличную от 3GPP; или первая технология доступа является технологией доступа, отличной от 3GPP, а вторая технология доступа представляет собой технологию доступа 3GPP.

[00625] В другом примере аппаратура связи включает в себя:

модуль 1102 обработки, выполненный с возможностью: в ответ на первое сообщение запроса на аутентификацию выполнять проверку аутентификации в первой сети связи и генерировать первый промежуточный ключ Kausf-1.

[00626] Модуль 1101 приемопередатчика дополнительно выполнен с возможностью: при успешной проверке аутентификации отправлять первой функции администрирования доступа и мобильности первое ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[00627] Модуль 1102 обработки дополнительно выполнен с возможностью: в ответ на второе сообщение запроса на аутентификацию выполнять проверку аутентификации во второй сети связи и генерировать второй промежуточный ключ Kausf-2.

[00628] Модуль 1101 приемопередатчика дополнительно выполнен с возможностью: при успешной проверке аутентификации отправлять второй функции администрирования доступа и мобильности второе ответное сообщение аутентификации, указывающее, что проверка аутентификации прошла успешно.

[00629] Модуль 1101 приемопередатчика дополнительно сконфигурирован для приема сообщения NAS SMC команды режима уровня безопасности без доступа.

[00630] Модуль 1102 обработки дополнительно сконфигурирован для сохранения в ответ на сообщение SMC NAS первого промежуточного ключа Kausf-1 или второго промежуточного ключа Kausf-2, соответствующего сообщению SMC NAS.

[00631] Модуль 1101 приемопередатчика дополнительно сконфигурирован для отправки ответного сообщения для сообщения NAS SMC, где ответное сообщение для сообщения NAS SMC указывает терминальному устройству сохранять первый промежуточный ключ Kausf-1 или второй промежуточный ключ Kausf-2.

[00632] В возможной реализации

[00633] Модуль 1102 обработки дополнительно сконфигурирован для: когда сообщение NAS SMC ассоциировано со вторым сообщением запроса на аутентификацию, сохранять второй промежуточный ключ Kausf-2 из первого пространства хранения во второе пространство хранения, где второе пространство хранения представляет собой пространство долгосрочного хранения.

[00634] В возможной реализации

модуль 1102 обработки дополнительно сконфигурирован для сохранения, в ответ на сообщение NAS SMC терминального устройства, первый промежуточный ключ или второй промежуточный ключ Kausf-2 из первого пространства хранения во второе пространство хранения, где второе пространство хранения это пространство долгосрочного хранения.

[00635] В возможной реализации терминальное устройство осуществляет доступ к первой системе связи с использованием технологии доступа 3GPP, а терминальное устройство осуществляет доступ ко второй сети связи с использованием технологии доступа, отличной от 3GPP.

[00636] Аппаратура связи в предшествующих вариантах осуществления может быть сетевым устройством или может быть микросхемой, используемой в сетевом устройстве, или другой комбинированной частью, компонентом и т.п., которая может реализовывать функцию сетевого устройства. Когда аппаратура связи является сетевым устройством, модуль приемопередатчика может быть приемопередатчиком. Приемопередатчик может включать в себя антенну, радиочастотную схему и т.п.Модуль обработки может представлять собой процессор, например, микросхему основной полосы частот.Когда аппаратура связи является компонентом, который выполняет функцию сетевого устройства, модуль приемопередатчика может быть радиочастотным блоком, а модуль обработки может быть процессором. Когда аппаратура связи представляет собой систему микросхем, модуль приемопередатчика может быть входным портом системы микросхем, модуль приемопередатчика может быть выходным интерфейсом системы микросхем, а модуль обработки может быть процессором системы микросхем, например, центральным процессором (central processing unit, CPU).

[00637] Аппаратура связи в предшествующих вариантах осуществления может быть терминальным устройством или может быть микросхемой, используемой в терминальном устройстве, или другой комбинированной частью, компонентом и т.п., которая может реализовывать функцию терминального устройства. Когда аппаратура связи является терминальным устройством, модуль приемопередатчика может быть приемопередатчиком. Приемопередатчик может включать в себя антенну, радиочастотную схему и т.п.Модуль обработки может представлять собой процессор, например, микросхему основной полосы частот.Когда аппаратура связи представляет собой компонент, который выполняет функцию терминального устройства, модуль приемопередатчика может быть радиочастотным блоком, а модуль обработки может быть процессором. Когда аппаратура связи представляет собой систему микросхем, модуль приемопередатчика может быть входным портом системы микросхем, модуль приемопередатчика может быть выходным интерфейсом системы микросхем, а модуль обработки может быть процессором системы микросхем, например, центральным процессором.

[00638] Следует отметить, что такой контент, как обмен информацией и процесс выполнения между модулями/компонентами аппаратуры связи, основан на той же концепции, что и варианты осуществления способа, соответствующие фиг. 7a и Фиг. 7b по Фиг. 10a и Фиг. 10b в этой заявке. Для конкретного содержания обратитесь к описаниям в приведенных выше вариантах осуществления способа данной заявки. Подробности здесь повторно не приводятся.

[00639] Следует отметить, что для конкретной реализации аппаратуры связи и полезных эффектов, предоставляемых аппаратурой связи, обратитесь к описаниям вариантов осуществления способа, соответствующих фиг. 7a и Фиг. 7b по Фиг. 10a и Фиг. 10b. Подробности здесь повторно не приводятся.

[00640] Вариант осуществления этой заявки дополнительно обеспечивает аппаратуру обработки. Аппаратура обработки включает в себя процессор и интерфейс.Процессор сконфигурирован для выполнения способа связи согласно любому из предшествующих вариантов осуществления способа.

[00641] Следует понимать, что аппаратура обработки может представлять собой микросхему. Процессор может быть реализован с использованием аппаратного или программного обеспечения. Когда процессор реализован с использованием аппаратных средств, процессор может представлять собой логическую схему, интегральную схему и т.п.Когда процессор реализован с использованием программного обеспечения, процессор может быть процессором общего назначения и реализуется путем считывания программного кода, хранящегося в памяти. Память может быть интегрирована в процессор, а может располагаться вне процессора и существовать независимо.

[00642] Здесь «реализованный аппаратно» означает, что функция вышеупомянутого модуля или блока реализуется посредством схемы аппаратной обработки, которая не имеет функции обработки программных инструкций. Схема аппаратной обработки может включать в себя дискретный аппаратный компонент или может представлять собой интегральную схему. Чтобы уменьшить энергопотребление и размер, для реализации обычно используется интегральная схема. Схема аппаратной обработки может включать в себя специализированную интегральную схему (application-specific integrated circuit, ASIC) или программируемое логическое устройство (programmable logic device, PLD). PLD может дополнительно включать в себя программируемую пользователем вентильную матрицу (field programmable gate array, FPGA), комплексное программируемое логическое устройство (complex programmable logic device, CPLD) и т.п.Эти схемы аппаратной обработки могут представлять собой независимо упакованную полупроводниковую микросхему (например, упакованную в ASIC) или могут быть интегрированы с другой схемой (например, CP или DSP), а затем упакованы в полупроводниковую микросхему. Например, множество аппаратных схем и CP могут быть сформированы на одной кремниевой основе и независимо упакованы в микросхему, причем микросхема также называется SoC; или схема, которая сконфигурирована для реализации функции FPGA, и CP могут быть сформированы на кремниевой основе и независимо упакованы в микросхему, где микросхема также называется SoPC (система на программируемой микросхеме, system-on-a-programmable-chip).

[00643] Эта заявка дополнительно предоставляет систему связи, включающую по меньшей мере один или более из передатчика, приемника и промежуточного узла.

[00644] Вариант осуществления этой заявки дополнительно обеспечивает машиночитаемый носитель данных, включающий в себя инструкции. Когда инструкции выполняются на компьютере, компьютер управляет сетевым устройством для выполнения любой реализации, показанной в предшествующих вариантах осуществления способа.

[00645] Вариант осуществления данной заявки дополнительно обеспечивает компьютерный программный продукт.Компьютерный программный продукт включает в себя компьютерный программный код. Когда код компьютерной программы запускается на компьютере, компьютер выполняет любую реализацию, показанную в предшествующих вариантах осуществления способа.

[00646] Вариант осуществления этой заявки дополнительно предоставляет систему микросхем, включающую в себя память и процессор. Память сконфигурирована для хранения компьютерной программы, а процессор сконфигурирован для вызова компьютерной программы из памяти и запуска компьютерной программы, так что микросхема выполняет любую реализацию, показанную в предшествующих вариантах осуществления способа.

[00647] Вариант осуществления этой заявки дополнительно обеспечивает систему микросхем, включающую в себя процессор. Процессор сконфигурирован для вызова и запуска компьютерной программы, так что микросхема выполняет любую реализацию, показанную в предшествующих вариантах осуществления способа.

[00648] Кроме того, следует отметить, что описанный вариант осуществления аппаратуры является лишь примером. Блоки, описанные как отдельные части, могут быть или не быть физически отдельными, а части, показанные как блоки, могут быть или не быть физическими блоками, другими словами, они могут быть расположены в одном месте или могут быть распределены по множеству сетевых звеньев. Некоторые или все модули могут быть выбраны в соответствии с фактическими потребностями для достижения целей решений вариантов осуществления. Кроме того, на прилагаемых чертежах вариантов осуществления аппаратуры, представленных в настоящей заявке, связи между модулями указывают на то, что модули имеют коммуникационные соединения друг с другом, которые могут быть конкретно реализованы в виде одной или нескольких коммуникационных шин или сигнальных кабелей.

[00649] Основываясь на описании вышеприведенных реализаций, специалист в данной области техники может ясно понять, что эта заявка может быть реализована с помощью программного обеспечения в дополнение к необходимому универсальному аппаратному обеспечению или с помощью специализированного аппаратного обеспечения, включая специализированную интегральную схему, выделенный CP, выделенную память, выделенный компонент и т.п. Как правило, любые функции, которые может выполнять компьютерная программа, могут быть легко реализованы с использованием соответствующего аппаратного обеспечения. Более того, конкретная аппаратная структура, используемая для достижения одной и той же функции, может иметь различные формы, например, в виде аналоговой схемы, цифровой схемы или выделенной схемы. Однако, что касается этой заявки, в большинстве случаев реализация программного обеспечения является лучшей реализацией. На основе такого понимания технические решения этой заявки по существу или часть, способствующая традиционной технологии, могут быть реализованы в форме программного продукта. Компьютерный программный продукт хранится на читаемом носителе информации, например, компьютерной дискете, USB-накопителе, съемном жестком диске, ROM, RAM, магнитном диске или оптическом диске, и включает в себя несколько инструкций для инструктирования компьютера выполнить способы, описанные в вариантах осуществления этой заявки.

[00650] Все или часть вышеизложенных вариантов осуществления могут быть реализованы с использованием программного обеспечения, аппаратных средств, встроенного программного обеспечения или любой их комбинации. Когда для реализации вышеизложенных вариантов реализации используется программное обеспечение, все или часть вышеизложенных вариантов осуществления могут быть реализованы в форме компьютерного программного продукта.

[00651] Компьютерный программный продукт включает в себя одну или более компьютерных инструкций. Когда инструкции компьютерной программы загружаются и выполняются на компьютере, процедура или функции согласно вариантам осуществления этой заявки полностью или частично генерируются. Компьютер может быть компьютером общего назначения, специализированным компьютером, компьютерной сетью или другими программируемыми устройствами. Компьютерные инструкции могут храниться на машиночитаемом носителе данных или могут передаваться с машиночитаемого носителя данных на другой машиночитаемый носитель данных. Например, компьютерные инструкции могут передаваться с веб-сайта, компьютера, аппаратуры связи, вычислительного устройства или центра обработки данных на другой веб-сайт, компьютер, аппаратуру связи, вычислительное устройство или центр обработки данных по проводному (например, коаксиальному кабелю, оптическим волокном, цифровой абонентской линией (DSL)) или беспроводным (например, инфракрасным, радио или микроволновым) способом. Машиночитаемый носитель информации может представлять собой любой пригодный для использования носитель, доступный компьютеру, или устройство хранения данных, такое как аппаратура связи или центр обработки данных, объединяющее один или несколько пригодных для использования носителей. Используемый носитель может представлять собой магнитный носитель (например, дискету, жесткий диск или магнитную ленту), оптический носитель (например, DVD), полупроводниковый носитель (например, твердотельный накопитель (твердотельный накопитель) Solid State Drive, SSD)), или тому подобное.

[00652] Следует понимать, что «один вариант осуществления» или «вариант осуществления», упомянутые во всем описании, не означают, что конкретные признаки, структуры или характеристики, относящиеся к варианту осуществления, включены, по меньшей мере, в один вариант осуществления данной заявки. Следовательно, слова «в одном варианте осуществления» или «в варианте осуществления», встречающиеся в описании, не относятся к одному и тому же варианту осуществления. Кроме того, эти конкретные признаки, структуры или характеристики могут быть объединены в одном или нескольких вариантах осуществления с использованием любого подходящего способа. Следует понимать, что порядковые номера вышеупомянутых процессов не указывают последовательности исполнения в различных вариантах осуществления этой заявки. Последовательность выполнения процессов должна определяться в соответствии с функциями и внутренней логикой процессов и не должна рассматриваться как какое-либо ограничение на реализацию процессов вариантов осуществления настоящей заявки.

[00653] Специалисту в данной области техники может быть известно, что в сочетании с примерами, описанными в вариантах осуществления, раскрытых в этом описании, блоки и этапы алгоритма могут быть реализованы с помощью электронного оборудования, компьютерного программного обеспечения или их комбинации. Чтобы четко описать взаимозаменяемость между аппаратным и программным обеспечением, вышеизложенное в общем описывает составы и этапы каждого примера в соответствии с функциями. Выполнение функций аппаратным или программным обеспечением зависит от конкретных применений и проектных ограничений технических решений. Специалист в данной области может использовать различные способы для реализации описанных функций для каждого конкретного применения, но не следует считать, что такая реализация выходит за рамки объема данной заявки.

[00654] Специалист в данной области техники может четко понимать, что в целях удобного и краткого описания подробного рабочего процесса вышеупомянутой системы, аппаратуры и блока следует обратиться к соответствующему процессу в вышеупомянутых вариантах осуществления способа, и подробности здесь снова не приводятся.

[00655] В нескольких вариантах осуществления, обеспеченных в настоящей заявке, следует понимать, что раскрытые система, аппаратура и способ могут быть реализованы другими способами. Например, описанный вариант осуществления аппаратуры является просто примером. Например, разделение на блоки является просто логическим разделением функций и может быть другим разделением в реальной реализации. Например, множество блоков или компонентов могут быть объединены или интегрированы в другую систему, или некоторые признаки могут игнорироваться или не выполняться. Кроме того, показанные или описанные взаимные связи или прямые связи или коммуникационные соединения могут быть реализованы с использованием некоторых интерфейсов. Непрямые связи или коммуникационные соединения между аппаратурами или блоками могут быть реализованы электрическими, механическими или иметь другие формы.

[00656] Блоки, описанные как отдельные части, могут быть или не быть физически отдельными, а части, показанные как блоки, могут быть или не быть физическими блоками, другими словами, они могут быть расположены в одном месте или могут быть распределены по множеству сетевых звеньев. Некоторые или все блоки могут быть выбраны в соответствии с фактическими потребностями для достижения целей решений вариантов осуществления.

[00657] Кроме того, функциональные блоки в вариантах осуществления настоящей заявки могут быть интегрированы в один блок обработки, каждый из блоков может физически существовать сам по себе, или два или более блоков могут быть объединены в один блок. Интегрированный блок может быть реализован в форме аппаратного обеспечения или может быть реализован в форме программного функционального блока.

[00658] Когда интегрированный блок реализуется в форме программного функционального блока и продается или используется как самостоятельный продукт, интегрированный блок может храниться на машиночитаемом носителе данных. На основании такого понимания технические решения этой заявки по существу или его часть, способствующая традиционной технологии, или все или некоторые технические решения могут быть реализованы в форме программного продукта. Компьютерный программный продукт хранится на носителе данных и включает в себя несколько инструкций для указания компьютерному устройству (которое может быть персональным компьютером, сервером, сетевым устройством и т.п.) выполнить все или некоторые этапы способов в вариантах осуществления этой заявки.

Иллюстрации к изобретению RU 2 835 941 C2

Реферат патента 2025 года СПОСОБ СВЯЗИ И СООТВЕТСТВУЮЩАЯ АППАРАТУРА

Изобретение относится к средствам связи. Технический результат – предотвращение рассинхронизации ключей. Принимают, посредством унифицированного управления данными, первое сообщение запроса на получение вектора аутентификации от первой функции сервера аутентификации, причем первое сообщение запроса на получение вектора аутентификации предназначено для получения вектора аутентификации, соответствующего терминальному устройству. Принимают, посредством унифицированного управления данными, второе сообщение запроса на получение вектора аутентификации от второй функции сервера аутентификации, причем второе сообщение запроса на получение вектора аутентификации предназначено для получения вектора аутентификации, соответствующего терминальному устройству. Осуществляют последовательную обработку, посредством унифицированного управления данными, первого сообщения запроса на получение вектора аутентификации и второго сообщения запроса на получение вектора аутентификации. 5 н. и 12 з.п. ф-лы, 16 ил.

Формула изобретения RU 2 835 941 C2

1. Способ связи, содержащий:

прием, посредством унифицированного управления данными, первого сообщения запроса на получение вектора аутентификации от первой функции сервера аутентификации, причем первое сообщение запроса на получение вектора аутентификации предназначено для получения вектора аутентификации, соответствующего терминальному устройству;

прием, посредством унифицированного управления данными, второго сообщения запроса на получение вектора аутентификации от второй функции сервера аутентификации, причем второе сообщение запроса на получение вектора аутентификации предназначено для получения вектора аутентификации, соответствующего терминальному устройству; и

2. Способ по п.1, в котором упомянутая последовательная обработка, посредством унифицированного управления данными, первого сообщения запроса на получение вектора аутентификации и второго сообщения запроса на получение вектора аутентификации содержит:

отправку, посредством унифицированного управления данными, первого вектора аутентификации в первую функцию сервера аутентификации в ответ на первое сообщение запроса на получение вектора аутентификации; и

отправку, посредством унифицированного управления данными, второго вектора аутентификации во вторую функцию сервера аутентификации в ответ на второе сообщение запроса на получение вектора аутентификации после приема, посредством унифицированного управления данными, первого сообщения запроса на подтверждение результата аутентификации для первого вектора аутентификации;

причем момент времени, в который унифицированное управление данными принимает первое сообщение запроса на получение вектора аутентификации, - раньше, чем момент времени приема второго сообщения запроса на получение вектора аутентификации.

3. Способ по п.2, при этом перед упомянутым приемом, посредством унифицированного управления данных, первого сообщения запроса на подтверждение результата аутентификации для первого вектора аутентификации, способ дополнительно содержит:

приостановку, посредством унифицированного управления данными, обработки второго сообщения запроса на получение вектора аутентификации.

4. Способ по п.2 или 3, при этом первое сообщение запроса на подтверждение результата аутентификации содержит идентификатор первой функции сервера аутентификации, и способ дополнительно содержит:

сохранение, посредством унифицированного управления данными, идентификатора первой функции сервера аутентификации в ответ на первое сообщение запроса на подтверждение результата аутентификации.

5. Способ по п.4, при этом после упомянутой отправки, посредством унифицированного управления данными, второго вектора аутентификации второй функции сервера аутентификации в ответ на второе сообщение запроса на получение вектора аутентификации, способ дополнительно содержит:

прием, посредством унифицированного управления данными, второго сообщения запроса на подтверждение результата аутентификации для второго вектора аутентификации, причем второе сообщение запроса на подтверждение результата аутентификации содержит идентификатор второй функции сервера аутентификации; и

сохранение, посредством унифицированного управления данными, идентификатора второй функции сервера аутентификации в ответ на второе сообщение запроса на подтверждение результата аутентификации;

причем сохранение, посредством унифицированного управления данными, идентификатора второй функции сервера аутентификации в ответ на второе сообщение запроса на подтверждение результата аутентификации, содержит:

замену, посредством унифицированного управления данными, идентификатора первой функции сервера аутентификации на идентификатор второй функции сервера аутентификации.

6. Способ по любому одному из пп.1-5, в котором упомянутая последовательная обработка посредством унифицированного управления данными, первого сообщения запроса на получение вектора аутентификации и второго сообщения запроса на получение вектора аутентификации содержит:

последовательную обработку, посредством унифицированного управления данными, первого сообщения запроса на получение вектора аутентификации и второго сообщения запроса на получение вектора аутентификации в ответ на то, что способ аутентификации, соответствующий терминальному устройству, относится к аутентификации и согласованию ключей 5-го поколения;

причем перед упомянутой последовательной обработкой, посредством унифицированного управления данными, первого сообщения запроса на получение вектора аутентификации и второго сообщения запроса на получение вектора аутентификации способ дополнительно содержит:

определение, посредством унифицированного управления данными, на основе информации подписки терминального устройства, что способ аутентификации, соответствующий терминальному устройству, относится к аутентификации и согласованию ключей 5-го поколения.

7. Способ связи, содержащий:

прием, терминальным устройством, первого сообщения запроса на аутентификацию от первого субъекта функции администрирования доступа и мобильности в первой сети связи и второго сообщения запроса на аутентификацию от второго субъекта функции администрирования доступа и мобильности во второй сети связи; и

последовательную обработку, терминальным устройством, первого сообщения запроса на аутентификацию и второго сообщения запроса на аутентификацию, причем упомянутая последовательная обработка, терминальным устройством, первого сообщения запроса на аутентификацию и второго сообщения запроса на аутентификацию содержит:

в ответ на первое сообщение запроса на аутентификацию, выполнение терминальным устройством проверки аутентификации в первой сети связи и генерирование первого промежуточного ключа;

когда проверка аутентификации, выполненная терминальным устройством, завершается успешно, отправку терминальным устройством, в первый субъект функции администрирования доступа и мобильности, первого ответного сообщения аутентификации, указывающего, что проверка аутентификации прошла успешно;

прием, терминальным устройством, первого сообщения команды режима безопасности уровня без доступа от первого субъекта функции администрирования доступа и мобильности, при этом первое сообщение команды режима безопасности уровня без доступа ассоциировано с первым сообщением запроса на аутентификацию;

в ответ на первое сообщение команды режима безопасности уровня без доступа, сохранение, терминальным устройством, первого промежуточного ключа и выполнение, терминальным устройством, проверки аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерирование, терминальным устройством, второго промежуточного ключа;

прием терминальным устройством второго сообщения команды режима безопасности уровня без доступа от второго субъекта функции администрирования доступа и мобильности, при этом второе сообщение команды режима безопасности уровня без доступа ассоциировано со вторым сообщением запроса на аутентификацию; и

замену, терминальным устройством, сохраненного первого промежуточного ключа на второй промежуточный ключ в ответ на второе сообщение команды режима безопасности уровня без доступа.

8. Способ по п.7, в котором упомянутое сохранение терминальным устройством первого промежуточного ключа в ответ на первое сообщение команды режима безопасности уровня без доступа содержит:

когда первое сообщение команды режима безопасности уровня без доступа ассоциировано с первым сообщением запроса на аутентификацию, перемещение терминальным устройством первого промежуточного ключа из первого пространства хранения во второе пространство хранения.

9. Способ по п.7 или 8, при этом перед упомянутым приемом терминальным устройством первого сообщения команды режима безопасности уровня без доступа способ дополнительно содержит:

приостановку, терминальным устройством, обработки второго сообщения запроса на аутентификацию.

10. Способ по п.9, при этом перед упомянутой приостановкой, терминальным устройством, обработки второго сообщения запроса на аутентификацию способ дополнительно содержит:

определение терминальным устройством того, что способ аутентификации, используемый терминальным устройством для выполнения проверки аутентификации в первой сети связи, относится к аутентификации и согласованию ключей 5-го поколения.

11. Способ по п.7, в котором упомянутая последовательная обработка, терминальным устройством, первого сообщения запроса на аутентификацию и второго сообщения запроса на аутентификацию содержит:

когда проверка аутентификации, выполненная терминальным устройством, завершается успешно, отправку терминальным устройством в первый субъект функции администрирования доступа и мобильности первого ответного сообщения аутентификации, указывающего, что проверка аутентификации прошла успешно;

прием, терминальным устройством, первого сообщения об успешном выполнении, соответствующего расширяемому протоколу аутентификации (EAP), от первого субъекта функции администрирования доступа и мобильности, при этом первое сообщение об успешном выполнении, соответствующее расширяемому протоколу аутентификации, ассоциировано с первым сообщением запроса на аутентификацию;

в ответ на сообщение об успешном выполнении, соответствующее расширяемому протоколу аутентификации, сохранение терминальным устройством первого промежуточного ключа, выполнение терминальным устройством проверки аутентификации во второй сети связи на основе второго сообщения запроса на аутентификацию и генерирование терминальным устройством второго промежуточного ключа;

прием, терминальным устройством, второго сообщения об успешном выполнении, соответствующего расширяемому протоколу аутентификации, от второго субъекта функции администрирования доступа и мобильности, при этом второе сообщение об успешном выполнении, соответствующее расширяемому протоколу аутентификации, ассоциировано со вторым сообщением запроса на аутентификацию; и

замену, терминальным устройством, сохраненного первого промежуточного ключа на второй промежуточный ключ в ответ на второе EAP сообщение об успешном выполнении.

12. Способ по п.11, в котором упомянутое сохранение терминальным устройством первого промежуточного ключа в ответ на первое сообщение об успешном выполнении, соответствующее расширяемому протоколу аутентификации, содержит:

когда первое сообщение об успешном выполнении, соответствующее расширяемому протоколу аутентификации, ассоциировано с первым сообщением запроса на аутентификацию, перемещение терминальным устройством первого промежуточного ключа из первого пространства хранения во второе пространство хранения.

13. Способ по п.11 или 12, при этом перед упомянутым приемом, терминальным устройством, первого сообщения об успешном выполнении, соответствующего расширяемому протоколу аутентификации, способ дополнительно содержит:

приостановку, терминальным устройством, обработки второго сообщения запроса на аутентификацию;

причем перед приостановкой, терминальным устройством, обработки второго сообщения запроса на аутентификацию, способ дополнительно содержит:

определение терминальным устройством того, что способ аутентификации, используемый терминальным устройством для выполнения проверки аутентификации в первой сети связи, является улучшенным способом согласно расширяемому протоколу аутентификации для аутентификации и согласования ключей 3-го поколения.

14. Способ по любому одному из пп.7-13, в котором терминальное устройство осуществляет доступ к первой системе связи с использованием первой технологии доступа, и терминальное устройство осуществляет доступ ко второй сети связи с использованием второй технологии доступа.

15. Устройство связи, включающее в себя по меньшей мере один модуль, выполненный с возможностью реализации способа по любому одному из пп.1-6 или по любому одному из пп.7-14.

16. Машиночитаемый носитель данных, при этом машиночитаемый носитель данных содержит программные инструкции, и когда программные инструкции исполняются непосредственно или опосредованно, реализуется способ по любому одному из пп.1-6 или пп.7-14.

17. Устройство связи, содержащее по меньшей мере один процессор, и процессор сконфигурирован для исполнения компьютерной программы или инструкций, хранящихся в памяти, при этом когда компьютерная программа или инструкции исполняются в по меньшей мере одном процессоре, реализуется способ по любому одному из пп.1-6 или пп.7-14.

Документы, цитированные в отчете о поиске Патент 2025 года RU2835941C2

Переносная печь для варки пищи и отопления в окопах, походных помещениях и т.п.	1921	Богач Б.И.	SU3A1
Способ регенерирования сульфо-кислот, употребленных при гидролизе жиров	1924	Петров Г.С.	SU2021A1
Способ регенерирования сульфо-кислот, употребленных при гидролизе жиров	1924	Петров Г.С.	SU2021A1
СПОСОБ РЕГИСТРАЦИИ В СЕТИ, СПОСОБ ПЕРЕДАЧИ ОБСЛУЖИВАНИЯ В СЕТИ, СЕТЕВОЕ УСТРОЙСТВО И ОКОНЕЧНОЕ УСТРОЙСТВО	2018	Чон, Вэйвэй Ву, Сяобо Синь, Ян	RU2747372C1

RU 2 835 941 C2

Авторы

Ли, Хэ

У, Жун

Даты

2025-03-06—Публикация

2022-08-01—Подача

название	год	авторы	номер документа
СПОСОБ, УСТРОЙСТВО И СИСТЕМА ДЛЯ ОБНОВЛЕНИЯ ПРИВЯЗОЧНОГО КЛЮЧА В СЕТИ СВЯЗИ ДЛЯ ЗАШИФРОВАННОЙ СВЯЗИ С ПРИЛОЖЕНИЯМИ ПРЕДОСТАВЛЕНИЯ УСЛУГ	2020	Ю, Шилин Цай, Цзиянь Лю, Юйцзэ Пэн, Цзинь Юй, Ваньтао Линь, Чжаоцзи Мао, Юйсинь Лю, Цзяньхуа	RU2801267C1
СКРЫТЫЙ ИДЕНТИФИКАТОР ПОДПИСКИ АБОНЕНТА	2018	Торвинен, Веса Накарми, Прайвол, Кумар Бен Хенда, Ноамен Кастельанос Самора, Давид Вифвессон, Моника Сааринен, Пази	RU2722508C1
СПОСОБ ОБРАБОТКИ ПРОЦЕДУРЫ УСТАНОВЛЕНИЯ СЕАНСА СВЯЗИ PDU И УЗЕЛ AMF	2018	Йоун, Миунгдзуне Ким, Лаеянг Ким, Дзаехиун Ким, Хиунсоок Рю, Дзинсоок Парк, Сангмин	RU2727184C1
ВТОРИЧНАЯ АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЬСКОГО УСТРОЙСТВА	2017	Бен Хенда, Ноамен Кастельянос Самора, Давид Торвинен, Веса	RU2755258C2
СПОСОБ ФОРМИРОВАНИЯ КЛЮЧА, ПОЛЬЗОВАТЕЛЬСКОЕ ОБОРУДОВАНИЕ, УСТРОЙСТВО, СЧИТЫВАЕМЫЙ КОМПЬЮТЕРОМ НОСИТЕЛЬ ДАННЫХ И СИСТЕМА СВЯЗИ	2018	У, Жун Чжан, Бо Гань, Лу	RU2781250C2
СИСТЕМЫ И СПОСОБ ЗАЩИТЫ БЕЗОПАСНОСТИ СООБЩЕНИЙ NAS	2019	Лю Дженнифер	RU2772709C1
ЗАЩИТА ИНФОРМАЦИИ НАПРАВЛЕНИЯ В СЕТЬ	2018	Торвинен, Веса Седлачек, Иво Вивессон, Моника	RU2735089C1
СИСТЕМА СВЯЗИ, СПОСОБ И УСТРОЙСТВО	2021	У, Ичжуан Ли, Хэ У, Жун	RU2831353C1
СПОСОБ ОБНОВЛЕНИЯ КЛЮЧА И УСТРОЙСТВО	2019	Ли, Хэ Чэнь, Цзин	RU2783597C2
Способ, устройство и система сетевого роуминга и внутренней связи	2020	Гуо, Хуа Хе, Минджайе Динг, Фухао	RU2804273C2