CN109906624B - 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 - Google Patents

Abstract

无线通信网络中的一些方法可以包括提供第一认证密钥，以及基于第一认证密钥导出第二认证密钥，其中第二认证密钥与无线终端相关联。响应于导出第二认证密钥，可以发送包括第二认证密钥和/或EAP‑Finish/Re‑auth消息的密钥响应消息。无线通信网络中的一些其他方法可以包括接收包括核心网移动性管理认证密钥和EAP‑Finish/Re‑auth消息的密钥响应消息。响应于接收到密钥响应消息，网络可以发起响应于密钥响应消息从无线通信网络向无线终端传输EAP‑Finish/Re‑auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数。还讨论了相关的无线终端方法。

Description

支持无线通信网络中的认证的方法以及相关网络节点和无线 终端

技术领域

本公开大体上涉及通信，并且更具体地涉及无线通信以及相关方法、网络节点和无线终端。

背景技术

3GPP正在探索将EAP认证框架用作下一代通信(称为5G或第五代通信)的统一认证方法的机会。

根据TR 23.799[参考文献1]，可以提供如图1所示的可能的下一代架构。

3GPP SA3 TR 33.899[参考文献2]中还定义了许多安全功能，包括：

-ARPF；ARPF存储UE的简档和UE的安全相关信息。ARPF与AUSF交互。

-AUSF；一种认证功能，它与ARPF交互并端接来自SEAF的请求。AUSF应驻留在运营商网络或第三方系统的安全环境中，不会暴露于未经授权的物理访问。

-SEAF；核心网中的认证功能，其与AUSF和NG-UE交互，并且从AUSF接收由于NG-UE认证过程而建立的中间密钥。SEAF还例如在初始附着期间与移动性管理(MM)功能交互，且与SCMF交互。SEAF应驻留在运营商网络的安全环境中，不会暴露于未经授权的物理访问。在漫游情况下，SEAF驻留在访问网络中。发送给访问网络中的SEAF的中间密钥应特定于该访问网络。

-SCMF；SCMF从SEAF接收用于导出其他(例如，特定于接入网络的)密钥的密钥。

这些安全功能已映射到图1中的架构。

如图2所示，可以提供SA3 TR 33.899[参考文献2]中提出的密钥层次结构。TR33.899[参考文献2]中的3GPP SA3研究正在研究如何将EAP与3GPP协议集成。

将EAP与3GPP协议集成的当前实践可以是图3中所示的MulteFire中性主机协议提议的一部分。NAS协议用于在NAS上层透明地传输EAP分组。图3示出了用于EAP认证的MulteFire中性主机协议栈。

在协议级别，MulteFire解决方案重新使用TS 33.402中描述的用于非3GPP接入(例如，可信或不可信的WLAN接入)的过程。图4A-图4C示出了对利用MulteFire的EAP-AKA的使用。更具体地，图4A-图4C示出了用于EAP认证的MulteFire中性主机协议栈(重新使用TS33.402中描述的过程)。

当在TR 33.821[参考文献3]中评估时对使用EAP-AKA和EAP框架的争论与切换和空闲模式移动性有关。据认为，没有重新认证的密钥材料传递与EAP密钥框架相矛盾。不允许将EAP密钥材料传输给另一个实体(即，在MME之间传输)。在CN-MM实体之外划分安全上下文和密钥管理功能的一个原因可能是为了允许在这种情况下更快的重新认证。

早期工作的重点仅在于评估EAP-AKA，并将方法特定的快速重新认证视为改进/优化过程的一个选项。IETF在用于重新认证的EAP方法独立框架方面取得了进一步的进展，该进展应该从下一代的角度进一步分析。RFC 6696[参考文献4]规定了EAP重新认证协议(ERP)的EAP扩展。ERP对于所有基于EAP的认证方法都很常见，并且可用于对等方和EAP重新认证服务器之间高效的重新认证。重新认证服务器可以位于访问网络中。

可以在NextGen系统中使用ERP来提供更快的重新认证，例如，如果/当网络侧的安全端点(即CN-MM)正在改变时。在图5中，SCKM与CN-MM分离。图5示出了使用ERP的重新认证。然而，对于未来使用的当前提议可能效率低下。

可以要求保护上述的方法，但是其不一定是之前已经构思或要求保护的方法。因此，除非在本文中另有指示，否则上述方法不是本申请中的实施例的现有技术，并且不因包含于上而被承认为现有技术。

发明内容

根据发明构思的一些实施例，可以在支持与无线终端的通信的无线通信网络中提供方法。该方法可以包括提供第一认证密钥并基于第一认证密钥导出第二认证密钥。第二认证密钥可以与无线终端相关联。响应于导出第二认证密钥，可以发送包括第二认证密钥和/或可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息的密钥响应消息。

根据发明构思的一些其他实施例，可以在支持与无线终端的通信的无线通信网络中提供方法。该方法可以包括接收包括核心网移动性管理认证密钥和可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息的密钥响应消息。响应于接收到密钥响应消息，可以发起响应于密钥响应消息从无线通信网络向无线终端传输EAP-Finish/Re-auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数。

根据发明构思的又一些实施例，可以提供一种操作无线终端的方法，该无线终端被配置为使用无线通信网络提供通信。该方法可以包括从无线通信网络接收安全模式命令(SMC)消息。此外，SMC消息可以包括可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数。

根据发明构思的又一些实施例，无线通信网络的节点可以支持与无线终端的通信。特别地，该节点可以适于提供第一认证密钥，并且基于第一认证密钥导出第二认证密钥，其中第二认证密钥与无线终端相关联。该节点还可以适于响应于导出第二认证密钥来发送包括第二认证密钥和/或可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息的密钥响应消息。

根据发明构思的更多实施例，无线通信网络的节点可以支持与无线终端的通信。该节点可以适于接收包括核心网移动性管理认证密钥和可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息的密钥响应消息。该节点还可以被配置为发起响应于密钥响应消息从无线通信网络向无线终端传输EAP-Finish/Re-auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数，其中该传输是响应于接收到密钥响应消息而发起的。

根据发明构思的更多实施例，无线终端可以被配置为使用无线通信网络提供通信。无线终端可以适于从无线通信网络接收安全模式命令(SMC)消息，并且SMC消息可以包括可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数。

根据发明构思的更多实施例，无线通信网络的节点可以包括适于提供与无线通信网络的其他节点的通信的网络接口和耦接到网络接口的处理器。处理器可以被配置为通过网络接口发送和/或接收通信。处理器还可以被配置为提供第一认证密钥，并且基于第一认证密钥导出第二认证密钥，其中第二认证密钥与无线终端相关联。处理器还可以被配置为响应于导出第二认证密钥来发送包括第二认证密钥和/或可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息的密钥响应消息。

根据发明构思的另一些实施例，无线通信网络的节点可以包括适于提供与无线通信网络的其他节点的通信的网络接口和耦接到网络接口的处理器。处理器可以被配置为通过网络接口发送和/或接收通信。另外，处理器可以被配置为接收包括核心网移动性管理认证密钥和可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息的密钥响应消息。处理器还可以被配置为发起响应于密钥响应消息从无线通信网络向无线终端传输EAP-Finish/Re-auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数，其中该传输是响应于接收到密钥响应消息而发起的。

根据发明构思的又一些实施例，无线终端可以被配置为使用无线通信网络提供通信。无线终端可以包括适于通过无线电接口提供与无线通信网络的通信的无线通信接口以及耦接到无线通信接口的处理器。处理器可以被配置为通过无线通信接口发送和/或接收通信。此外，处理器可以被配置为从无线通信网络接收安全模式命令(SMC)消息，其中SMC消息包括可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数。

根据本文公开的一些实施例，可以在网络消息传递往返和/或延迟方面和/或在能量消耗方面改进性能。

附图说明

附图示出了发明构思的某些非限制性实施例，该附图被包括以提供对本公开的进一步理解，且被并入并构成本申请的一部分。附图中：

图1是示出可能的下一代通信架构的框图；

图2是示出在SA3 TR 33.899中提出的可能的密钥层次结构的框图；

图3是示出用于EAP认证的MulteFire中性主机协议栈的图；

图4A、图4B和图4C提供了示出用于EAP认证的MulteFire中性主机协议栈的消息图(重新使用TS33.402中描述的过程)；

图5是示出使用ERP的重新认证的消息图；

图6A、图6B和图6C提供了示出根据发明构思的一些实施例的重新认证的消息图；

图7A和图7B是示出根据发明构思的一些实施例使用的认证密钥导出的图；

图8A、图8B和图8C提供了示出根据发明构思的一些实施例的使用新鲜度参数的重新认证的消息图；

图9A-图9C提供了示出根据发明构思的一些实施例的重新认证的消息图，该重新认证使用UE能力指示来支持ERP；

图10是示出根据发明构思的一些实施例的网络节点的框图；

图11是示出根据发明构思的一些实施例的无线终端(UE)的框图；

图12是示出图10的网络节点的操作的流程图，以及图13是示出根据发明构思的一些实施例的相关模块的框图；

图14是示出图10的网络节点的操作的流程图，以及图15是示出根据发明构思的一些实施例的相关模块的框图；以及

图16是示出图11的无线终端的操作的流程图，以及图17是示出根据发明构思的一些实施例的相关模块的框图。

具体实施方式

在下文将参照附图更全面地描述发明构思，在附图中示出了发明构思的实施例的示例。然而，发明构思可以用多种不同形式来体现，并且不应当被解释为受到本文阐述的实施例的限制。相反，提供这些实施例以使本公开全面和完整，并且将发明构思的范围完全传达给本领域技术人员。还应注意的是，这些实施例并不互相排斥。来自一个实施例的组成部分可以默认为存在于/用于另一实施例中。

仅出于说明和解释的目的，本文在操作于无线通信网络中的背景下描述了发明构思的这些实施例和其他实施例，其中该无线通信网络提供在无线电通信信道上与无线终端(也称为UE)的通信。然而，将理解的是，发明构思不限于这些实施例，并且一般可以具体实现在任何类型的通信网络中。如这里所使用的，无线终端(也称为UE、用户设备节点、移动终端、无线通信设备等)可以包括从通信网络接收数据和/或将数据发送给通信网络的任何设备，并且可以包括但不限于移动电话(“蜂窝”电话)、膝上型/便携式计算机、袖珍计算机、手持式计算机和/或台式计算机。

此外，注意诸如网络节点、网络服务器、基站(也称为eNodeB、eNB等)和无线终端之类的术语应该被认为是非限制性的，并不意味着这些元素之间的某种层级关系。大体上可以认为网络节点是第一设备，并且可以认为无线终端或“UE”是第二设备，以及这两个设备可以通过某个无线电信道彼此通信。

图10是示出根据发明构思的一些实施例的网络节点(也称为网络服务器)的元素的框图。如图所示，网络节点可以包括被配置为提供与其他网络节点的通信的网络接口电路1005(也称为网络接口)、耦接到网络接口电路的处理器电路1003(也称为处理器)以及耦接到处理器电路的存储器电路1007。存储器电路1007可以包括计算机可读程序代码/模块，该计算机可读程序代码/模块在由处理器电路1003执行时，使得处理器电路执行根据本文公开的实施例的操作。根据其他实施例，处理器电路1003可以被定义为包括存储器，从而不单独地提供存储器电路。网络节点还可以包括收发机电路1001(也称为收发机)，其被配置为提供与多个无线终端的无线电通信，并且这种收发机可以耦接到处理器1003。例如，如下面关于图6A-图6C、图8A-图8C和/或图9A-图9C所讨论的，权利要求10的网络节点可以被配置为作为CN-MM服务器和/或SEAF服务器操作。

图11是示出无线终端UE(也称为移动终端、移动站、UE、用户设备、用户设备节点、无线设备、无线通信设备等)的元素的框图。如图所示，无线终端UE可以包括被配置为提供与无线通信网络的无线电通信的收发机电路1101(也称为收发机)、耦接到收发机电路的处理器电路1103(也称为处理器)以及耦接到处理器电路的存储器电路1107。存储器电路1107可以包括计算机可读程序代码，其在由处理器电路1103执行时使处理器电路执行根据本文公开的实施例的操作。根据其他实施例，处理器电路303可以被定义为包括存储器，从而不单独地提供存储器电路。例如，如下面关于图6A-图6C、图8A-图8C和/或图9A-图9C所讨论的，图11的无线终端可以被配置为作为UE操作。

在3GPP 5G/NextGen中直接重新使用ERP协议的问题可能是NAS协议和EAP框架包括重叠的功能。就使用ERP协议完成快速认证可能需要的多次往返而言，解决方案可能是次优的。这可能意味着可能在空中接口上使用相同或以其他方式重叠的消息。

EAP和ERP中的有问题的消息可以是RFC 6696[参考文献4]中描述的可扩展认证协议完成/重新认证(EAP-Finish/Re-auth)消息，其公开内容通过引用整体并入本文。EAP-Finish/Re-auth消息是RFC6696中定义的ERP协议的一部分，且归属ER(可以对应于5G架构中的访问PLMN(公共陆地移动网络)或归属PLMN中的AUSF服务器)发送EAP-Finish/Re-auth消息(RFC6696)，作为对来自对等方(UE)的接收到的EAP-Initiate/Re-auth(EAP-发起/重新认证)消息的响应，其中，该接收到的EAP-Initiate/Re-auth消息被归属ER(对应于5G架构中的访问PLMN(VPLMN)或归属PLMN中的AUSF服务器)成功验证并视为有效消息。

此消息可能与传统NAS协议消息NAS安全模式命令(SMC)具有重叠的功能。如果在NAS协议中透明地携带EAP-Finish/Re-auth消息，并且NAS不知道它，则可能保留重叠功能，而且快速重新认证过程可能仍然是低效的。

另一个问题可能是SEAF(例如，SEAF服务器)将从AUSF(例如，AUSF服务器)接收密钥。根据SA3 TR 33.899[参考文献2]中的密钥层次结构和对安全功能的定义，SCMF或SEAF可能需要从K-SEAF密钥导出另一个密钥(即图2中的K-CN-MM密钥)。可能需要新鲜度参数作为输入以从K-SEAF密钥导出K-CN-MM密钥。该新鲜度参数也可能需要被传输给UE，使得UE可以执行与SCMF或SEAF相同的密钥导出。没有规定如何将该新鲜度参数传输给UE。在下面的详细描述中，该新鲜度参数被称为“第二新鲜度参数”。

可以通过将EAP-Finish/Re-auth消息和NAS安全模式命令消息一起发送来减少/移除它们之间的重叠行为。因此，NAS协议在此消息上变得为EAP所知。

另一个密钥(即图2中的K-CN-MM密钥)可能需要从SCMF或SEAF中的K-SEAF密钥导出。可能需要新鲜度参数作为输入以从K-SEAF密钥导出K-CN-MM密钥。该新鲜度参数也可能需要被传输给UE。没有规定如何将该新鲜度参数传输给UE。在下面的详细描述中，该新鲜度参数被称为“第二新鲜度参数”。

为了改善/优化EAP-ERP协议与NAS协议之间的重叠行为，UE可以在其针对网络的UE能力中包括对其支持ERP的指示。可以为此指示添加比特。

根据下面更详细讨论的发明构思的一些实施例，可以在往返、延迟和/或能量消耗方面改善性能。

下面讨论在5G中的NAS协议中的EAP-Finish/Re-auth消息传输。

EAP和ERP中的有问题的消息可能是RFC 6696中描述的EAP-Finish/Re-auth消息。此消息可能与传统NAS协议消息NAS安全模式命令具有重叠的功能。如果在NAS协议中透明地携带EAP-Finish/Re-auth消息，并且NAS不知道它，则可能保留重叠功能，而且快速重新认证过程可能仍然是低效的。

图6A-图6C示出了当将ERP协议用于快速重新认证时的信令/消息流，其中在操作10、11和12中在NAS消息和EAP消息之间存在重叠的功能。根据发明构思的一些实施例，可以省略图6C的操作10，如虚线所示。相反，EAP-Finish/Re-auth消息可以包括在操作11的密钥响应和操作12的SMC消息中。另外，K-cn-mm认证密钥可以包括在操作11的密钥响应中，并且密钥标识符(NG-KSI)可以包括在操作12的SMC消息中。

因此，图6A-图6C示出了在无线终端UE(NG UE)与无线通信网络的各种网络节点之间传输的消息。如图所示，无线终端UE和无线通信网络之间的消息可以经过无线通信网络(包括无线电基站，也称为eNB、eNodeB等)的无线电接入网络(RAN)部分流向无线通信网络的核心网部分的节点。

根据一些实施例，无线终端UE可以例如响应于检测到进入新跟踪区，在操作时将跟踪区更新请求消息发送给新跟踪区的CN-MM网络节点。响应于跟踪区更新请求消息，新CN-MM网络节点可以在操作2处将信息请求消息发送给旧跟踪区的旧CN-MM网络节点。在操作2B处对跟踪区更新请求消息执行完整性检查之后，旧CN-MM网络节点可以在操作3处向新CN-MM网络节点发送信息响应消息，并且新CN-MM网络节点可以在操作4处将信息肯定应答消息发送给旧CN-MM网络节点。

在操作5处，新CN-MM网络节点可以向SEAF网络节点发送密钥请求消息。响应于密钥请求消息，SEAF网络节点可以在操作6处向无线终端UE发送包括EAP-initiate/Re-auth-Start(EAP发起/重新认证开始)消息的eNAS-EAP消息，并且在操作7处，无线终端UE可以包括EAP-initiate/Re-auth/Bootstrap(EAP发起/重新认证/引导)消息的eNAS-EAP消息作为响应。在操作8处，SEAF网络节点可以向AUSF网络节点发送包括EAP-initiate/Re-auth/Bootstrap消息的AAA-EAP消息，其中可以如关于图7A和/或图7B所讨论的在操作8B处导出rMSK认证密钥。

在操作9处，AUSF网络节点可以向SEAF网络节点发送包括rMSK认证密钥和EAP-Finish/Re-auth消息的AAA-EAP消息。SEAF网络节点可以在操作9B处将rMSK认证密钥存储在存储器中，并且在操作9C处基于rMSK认证密钥导出新K-cn-mm认证密钥。此外，SEAF网络节点可以省略发送包括EAP-Finish/Re-auth消息的eNAS-EAP消息，且相反，SEAF网络节点可以在操作11处发送包括新k-cn-mm认证密钥并且包括EAP-Finish/Re-auth消息的密钥响应消息。更具体地，密钥响应消息可以从SEAF网络节点发送给新CN-MM网络节点。

在操作12处，响应于密钥响应消息，新cn-mm网络节点可以通过无线电接入网络向无线终端UE发送包括密钥标识符(NG-KSI)并且包括EAP-Finish/Re-auth消息的SMC消息。在操作13处，无线终端可以用操作13处的SMC完成消息进行回复。然后，新cn-mm网络节点可以在块14处发送跟踪区更新接受消息，并且在块15处，无线终端UE可以发送跟踪区更新完成消息。

虽然图6A-图6C的块是通过作为网络节点(可以是服务器)的示例方式来讨论的，但是可以以不同于上面讨论的方式组合和/或划分这些块的操作/功能。

ERP协议对于所有其他消息中的NAS可以是透明的，但是在操作11和12中EAP-Finish/Re-auth消息可以在NAS安全模式命令(SMC)消息中传输。步骤12中的新消息还可以额外在SEAF或SCMF与CN-MM之间传递EAP-Finish/Re-auth消息。

在ERP协议中，在图7A和图7B中示出了新鲜度参数(即，在发起快速重新认证而不触发完整的AKA认证时，序列号可以用作输入以从EMSK导出新rMSK授权密钥)。如图7A所示，在使用EAP-AKA或EAP-AKA′进行完整认证之后，可以由AUSH网络节点根据ERP协议执行认证密钥导出。如图7B所示，可以使用ERP协议执行快速重新认证。

可能需要将新鲜度参数(即，提供用于导出新rMSK的第一新鲜度输入的序列号或一些其他参数)传递给UE。rMSK认证密钥可以映射到图2中所示的密钥层次结构中的K-SEAF密钥。

可以在包含AUSF功能、SEAF功能、SCMF或CN-MM功能或5G中的一些其他功能的网络节点中从K-SEAF导出另一认证密钥。然后，“第二新鲜度参数”(例如，序列号、计数器、随机数或提供第二新鲜度输入以从K-SEAF(例如，rMSK或从rMSK导出的密钥或一些其他密钥)导出新CN-MM密钥的一些其他参数)也可能需要被传递给UE。例如，新K-CN-MM密钥可以推导如下：

新K-CN-MM密钥＝KDF(rMSK，第二新鲜度参数，......)；或者

新K-CN-MM密钥＝KDF(从rMSK导出的密钥，第二新鲜度参数，......)；或者

新K-CN-MM密钥＝KDF(K-SEAF密钥，第二新鲜度参数，......)。

该第二新鲜度参数应被包括在5G接入中的NAS安全模式命令消息中。

当无线终端UE接收到该NAS安全模式命令消息时，它应该：

1)使用第一新鲜度参数作为输入来根据ERP协议所述导出K-SEAF(例如，rMSK)，该第一新鲜度参数包括在EAP-Finish/Re-auth消息或NAS安全模式命令中；以及然后

2)UE应使用第二新鲜度参数作为输入从K-SEAF密钥(例如，rMSK、从rMSK导出的密钥、或在上面的步骤1中导出的一些其他密钥)导出新K-CN-MM密钥，该第二新鲜度参数包括在NAS安全模式命令消息中。

图8A-图8B示出了当ERP协议用于快速重新认证时的消息/信令流程，其中，在被从SEAF或SCMF传递给CN-MM和UE时，第二新鲜度参数被包括在操作12中以及也在操作11中的NAS安全模式命令(SMC)消息中。将第二新鲜度参数包含在NAS安全模式命令消息中不依赖于是否使用ERP协议。ERP协议的使用仅是在不运行例如完整的AKA过程的情况下可如何进行重新认证的一个示例。

还要注意，第二新鲜度参数不包括在EAP-Finish/Re-auth消息本身中并且不是EAP-Finish/Re-auth消息本身的一部分，该EAP-Finish/Re-auth消息在操作12中在NAS安全模式命令消息中传输。图8A-图8C示出了使用ERP的重新认证，其中第二新鲜度参数包括在NAS安全模式命令消息中。特别地，除了操作11和12之外，图8A-图8C的操作与以上关于图6A-图6C所讨论的操作相同。在图8C中，除了新K-cn-mm认证密钥和EAP-Finish/RE-auth消息之外，操作11的密钥响应消息还包括第二新鲜度参数。在图8C中，除了密钥标识符和EAP-Finis/Re-auth消息之外，操作12的SMC消息还包括第二新鲜度参数。

对ERP的支持可以包括在从UE到网络的能力指示中。为了改善/优化EAP-ERP协议与NAS协议之间的重叠行为，无线终端(UE)可以在其UE能力中包括向网络指示其支持ERP。可以为该指示添加比特并将比特包括在UE发起的NAS消息中，例如5G NAS ATTACH REQUEST(5G NAS附着请求)消息，5G NAS TRACKING AREA UPDATE REQUEST(5G NAS跟踪区更新请求)消息(操作1)或在上行链路中从UE发送给网络的任何其他5G NAS消息。

可以在受完整性保护的消息(例如，操作12的SMC消息)中将该ERP支持指示从网络重放回UE，使得UE能够检查用于指示ERP支持的比特是否尚未被空中接口上的攻击者改变。

用于支持ERP的UE能力指示可以/应该被转发给SEAF网络节点和/或SCMF网络节点。

在图9A中的操作1中，无线终端UE可以在5G Attach Request(5G附着请求)或5GTracking Area Update Request(5G跟踪区更新请求)消息中包括其针对ERP支持的UE能力指示。类似的指示也可以包括在操作5的密钥请求消息中以及操作12的SMC消息中。因此，CN-MM网络节点可以在图9A中的操作5中将针对ERP支持的无线终端UE能力指示转发给SEAF网络节点和/或SCMF网络节点。在图9C的操作12中，CN-MM网络节点或SCMF网络节点或SEAF网络节点可以在5G NAS安全模式命令中用针对ERP支持的UE能力指示来回复UE。图9A-图9C的其他操作可以与以上关于图6A-图6C和/或图8A-图8C所讨论的相同。

如上所述，NAS协议和ERP可以具有重叠功能，但是根据发明构思的一些实施例，可以减少/移除两个协议之间的重叠功能。

在图6A-图6C、图8A-图8C和图9A-图9C中的每一幅图中，可以响应于在操作1处从无线终端到无线通信网络的跟踪区更新请求消息来发起操作。根据一些其他实施例，操作可以由另一消息发起，例如来自无线终端UE的附着请求消息。

现在将参考图12的流程图和图13的模块讨论SEAF网络节点的操作。例如，图13的模块可以存储在图10的网络节点存储器1007中，并且这些模块可以提供指令，使得当处理器1003执行模块的指令时，处理器1003执行图12的流程图的相应操作。如图10所示，网络节点可以使用网络接口1005与无线通信网络的其他节点进行通信。

图12的流程图示出了支持与无线终端(UE)通信的SEAF网络节点操作。在方框1201，处理器1003可以通过网络接口1005接收密钥请求消息，如上面关于操作5所时论的(例如，使用密钥请求接收模块1301)。密钥请求消息可以包括对无线终端支持EAP重新认证协议(ERP)的指示。根据一些实施例，密钥请求消息可以响应于来自无线终端的跟踪区更新请求消息，并且跟踪区更新请求消息可以包括对无线终端支持ERP的指示。根据一些其他实施例，密钥请求消息可以响应于来自无线终端的附着请求消息，并且附着请求消息可以包括对无线终端支持ERP的指示。

在方框1203处，如上面参考操作9所讨论的(例如，使用第一认证密钥提供模块1303)，处理器1003可以提供第一认证密钥(例如，rMSK认证密钥)，并且可以响应于密钥请求消息来提供第一认证密钥。提供第一认证密钥可以包括在无线通信网络的第一节点(例如，SEAF网络节点)处从无线通信网络的第二节点(例如，AUSF网络节点)接收第一认证密钥。

在方框1205，如上面关于操作9C所讨论的(例如，使用第二认证密钥导出模块1305)，处理器1003可以基于第一认证密钥导出第二认证密钥(例如，new-K-cn-mm认证密钥(新K-cB-mm认证密钥))，并且第二认证密钥可以与无线终端相关联。

在方框1207，如上面关于操作11所讨论的(例如，使用密钥响应传输模块1307)，处理器1003可以响应于导出第二认证密钥来发送包括第二认证密钥(新K-cn-mm)和/或EAP-Finish/Re-auth消息的密钥响应消息。密钥响应消息可以包括用于导出第二认证密钥的新鲜度参数，并且可以将EAP-Finish/Re-auth消息与用于导出第二认证密钥的新鲜度参数一起发送给无线终端。发送密钥响应消息可以包括将密钥响应消息从第一节点(例如，SEAF网络节点)发送给无线通信网络的第三节点(例如，NG RAN网络节点)。

密钥响应消息可以包括第二认证密钥(例如，新K-cn-mm授权密钥)和EAP-Finish/Re-auth消息，密钥响应消息可以包括第二认证密钥(没有EAP-Finish/Re-auth消息)，或密钥响应消息可以包括EAP-Finish/Re-auth消息(没有第二认证密钥)。

根据一些实施例，响应于密钥响应消息，可以(从cn-mm网络节点)向无线终端发送EAP-Finish/Re-auth消息和/或对无线终端支持ERP的指示。此外，响应于密钥响应消息，可以向无线终端发送对无线终端支持ERP的指示。

根据一些实施例，响应于密钥响应消息，可以将安全模式命令(SMC)消息(从CN-MM网络节点)发送给无线终端，并且SMC消息可以包括响应于密钥响应消息发送给无线终端的EAP-Finish/Re-auth消息。SMC消息还可以包括与第二认证密钥(新K-cn-mm认证密钥)相关联的密钥标识符(NG-KSI)。此外，可以向无线终端发送SMC消息而不发送第二认证密钥(新K-cn-mm)。

在方框1209处，处理器1003可以使用无线通信网络和cn-mm认证密钥来支持无线终端的无线通信。例如，处理器1003可以支持无线下行链路通信(例如，语音通信、数据通信、文本通信等)的发送和/或无线上行链路通信的接收(例如，语音通信、数据通信、文本通信等)。

关于网络节点和相关方法的一些实施例，图12的各种操作和/或图13的模块可以是可选的。关于示例实施例1的方法(如下所述)，例如，图12的方框1201和1209的操作可以是可选的，并且图13的模块1301和1309可以是可选的。

现在将参考图14的流程图和图15的模块讨论CN-MM网络节点的操作。例如，图15的模块可以存储在图10的网络节点存储器1007中，并且这些模块可以提供指令，使得当处理器1003执行模块的指令时，处理器1003执行图14的流程图的相应操作。如图10所示，网络节点可以使用网络接口1005与无线通信网络的其他节点进行通信。

图14的流程图示出了支持与无线终端UE通信的CN-MM网络节点操作。在方框1401处，如上面关于操作1所讨论的(例如，使用发起消息接收模块1501)，处理器1003可以通过网络接口1005从无线终端(UE)接收发起消息。发起消息可以是附着请求消息或跟踪区更新请求消息。此外，发起消息可以包括对无线终端支持EAP重新授权协议(ERP)的指示。

在方框1403处，如上面关于操作5(例如，使用密钥请求发送模块1503)所讨论的，处理器1003可以响应于发起消息，通过网络接口1005发送密钥请求消息。此外，发起消息和密钥请求消息中的每一个可以包括对无线终端支持EAP重新认证协议(ERP)的指示。

在方框1405，如上面关于操作11所讨论的(例如，使用密钥响应接收模块1505)，处理器1003可以接收密钥响应消息，该密钥响应消息包括核心网移动性管理认证密钥(新K-cn-mm认证密钥)和EAP-Finish/Re-auth消息。此外，密钥响应消息可以响应于方框1403的密钥请求消息。

在方框1409，如上面关于操作12所讨论的(例如，使用传输发起模块1509)，处理器1003可以发起从无线通信网络(通过网络接口1005)向无线终端传输EAP-Finish/Re-auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数，并且传输可以是响应于接收到密钥响应消息而发起的。在方框1409处发起传输可以进一步包括：发起响应于密钥响应消息向无线终端传输对无线终端支持ERP的指示。

发起传输可以包括：发起响应于密钥响应消息从无线通信网络向无线终端传输安全模式命令(SMC)消息。SMC消息可以包括EAP-Finish/Re-auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数，其中核心网移动性管理认证密钥被响应于密钥响应消息发送给无线终端。SMC消息可以包括与核心网移动性管理认证密钥(新K-cn-mm认证密钥)相关联的密钥标识符(NG-KSI)。可以向无线终端发送SMC消息而不发送核心网移动性管理认证密钥(新K-cn-mm认证码)。在方框1409处，例如，处理器1003可以通过网络接口1005并且通过至少一个NG RAN节点(例如，基站)向无线终端UE发送SMC消息。

可以基于rMSK认证密钥导出核心网移动性管理认证密钥。

发起传输可以包括发起响应于密钥响应消息从无线通信网络向无线终端传输EAP-Finish/Re-auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数(例如，作为SMC消息的元素)。

例如，发起传输可以包括：响应于接收到密钥响应消息，发起从无线通信网络向无线终端传输用于导出核心网移动性管理认证密钥的新鲜度参数，并且密钥响应消息可以包括用于导出核心网移动性管理认证密钥的新鲜度参数。

发起传输可以包括：响应于接收到密钥响应消息，发起从无线通信网络向无线终端传输EAP-Finish/Re-auth消息。

在方框1405处接收密钥响应消息可以包括在第一节点(例如，新CN-MM网络节点)处从第二节点(例如，SEAF网络节点)接收密钥响应消息，并且在方框1409处发起传输可以包括发起从第一节点向无线终端的传输EAP-Finish/Re-auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数。

在方框1411处，处理器1003可以使用无线通信网络和核心网移动性管理认证密钥来支持无线终端的无线通信。例如，处理器1003可以支持无线下行链路通信(例如，语音通信、数据通信、文本通信等)的发送和/或无线上行链路通信的接收(例如，语音通信、数据通信、文本通信等)。

关于网络节点和相关方法的一些实施例，图14的各种操作和/或图15的模块可以是可选的。关于示例实施例21(如下所述)的方法，例如，图14的方框1401、1403和1411的操作可以是可选的，并且图15的模块1501、1503和1511可以是可选的。

现在将参考根据一些其他实施例的图16的流程图和图17的模块来讨论无线终端UE的操作。例如，图17的模块可以存储在图11的无线终端存储器1107中，并且这些模块可以提供指令，使得当模块的指令由无线终端处理器1103执行时，处理器1103执行图16的流程图的相应操作。如图11所示，无线终端UE可以使用收发机1101通过无线接口与无线通信网络进行通信。虽然为了简明起见未在图11中示出，无线终端UE还可以包括与处理器1103耦接以接受用户输入的用户接口(例如，小键盘、触敏显示器、指针设备等)并提供用户输出(例如，显示器、扬声器等)。

图16的流程图示出了提供与无线通信网络的通信的无线终端UE操作。在方框1601处，如上面关于操作1所讨论的(例如，使用发起消息发送模块1701)，处理器1103可以通过收发机1101向无线通信网络发送发起消息。例如，发起消息可以是跟踪区更新请求消息或附着请求消息。

在方框1603处，如上面关于操作12所讨论的(例如，使用SMC消息接收模块1703)，处理器1103可以从无线通信网络接收安全模式命令(SMC)消息，并且SMC消息可以包括EAP-Finish/Re-auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数。SMC消息可以响应于发起消息。此外，SMC消息和发起消息可以包括对无线终端支持EAP重新认证协议(ERP)的指示。

SMC消息可以包括与核心网移动性管理认证密钥(新K-cn-mm认证密钥)相关联的密钥标识符(NG-KSI)。可以接收SMC消息但没有核心网移动性管理认证密钥(新K-cn-mm认证密钥)，和/或可以基于rMSK认证密钥导出核心网移动性管理认证密钥。SMC消息可以包括用于导出核心网移动性管理参数的新鲜度参数，和/或SMC消息可以包括EAP-Finish/Re-auth消息。

在方框1605，处理器1103可以(例如，使用认证密钥导出模块1705来)基于SMC消息中的信息导出核心网移动性管理认证密钥。在方框1607，处理器1103可以(例如，使用无线通信提供模块1707来)使用核心网移动性管理认证密钥通过无线通信网络提供无线通信。例如，处理器1103可以支持通过收发机1101发送无线上行链路通信(例如，语音通信、数据通信、文本通信等)和/或通过收发机1101接收无线下行链路通信(例如，语音通信、数据通信、文本通信)。

关于无线终端和相关方法的一些实施例，图16的各种操作和/或图17的模块可以是可选的。关于示例实施例42(如下所述)的方法，例如，图16的方框1601、1605和1607的操作可以是可选的，并且图17的模块1701、1705和1707可以是可选的。

示例实施例：

1、一种支持与无线终端通信的无线通信网络中的方法，所述方法包括：提供(1203)第一认证密钥(rMSK)；基于所述第一认证密钥导出(1205)第二认证密钥(新-K-cn-mm)，其中，所述第二认证密钥与所述无线终端相关联；以及响应于导出所述第二认证密钥，发送(1207)包括所述第二认证密钥(新K-cn-mm)和/或EAP-Finish/Re-auth消息的密钥响应消息。

2、如实施例1的方法，其中，响应于所述密钥响应消息，将所述EAP-Finish/Re-auth消息从所述无线通信网络发送给所述无线终端。

3、如实施例2的方法，其中，响应于所述密钥响应消息，向所述无线终端发送安全模式命令SMC消息，其中，所述SMC消息包括响应于所述密钥响应消息发送给所述无线终端的所述EAP-Finish/Re-auth消思。

4、如实施例3的方法，其中，所述SMC消息包括与所述第二认证密钥(新K-cn-mm)相关联的密钥标识符(NG-KSI)。

5、如实施例3至4中任一实施例的方法，其中，向所述无线终端发送所述SMC消息而不发送所述第二认证密钥(新K-cn-mm)。

6、如实施例1至5中任一实施例的方法，其中，所述密钥响应消息包括用于导出所述第二认证密钥的新鲜度参数。

7、如实施例6的方法，其中，将所述EAP-Finish/Re-auth消息与用于导出所述第二认证密钥的所述新鲜度参数一起发送给所述无线终端。

8、如实施例1至7中任一项的方法，还包括：接收(1201)密钥请求消息，其中，响应于所述密钥请求消息来提供所述第一认证密钥。

9、如实施例8的方法，其中，所述密钥请求消息包括对所述无线终端支持EAP重新认证协议(ERP)的指示。

10、如实施例9的方法，其中，所述密钥请求消息响应于来自所述无线终端的跟踪区更新请求消息，其中，所述跟踪区更新请求消息包括对所述无线终端支持ERP的指示。

11、如实施例9的方法，其中，所述密钥请求消息响应于来自所述无线终端的附着请求消息，其中，所述附着请求消息包括对所述无线终端支持ERP的指示。

12、如实施例9至11中任一实施例的方法，其中，响应于所述密钥响应消息，将EAP-Finish/Re-auth消息和对所述无线终端支持ERP的指示发送给所述无线终端。

13、如实施例9至11中任一实施例的方法，其中，响应于所述密钥响应消息，将所述EAP-Finish/Re-auth消息发送给所述无线终端。

14、如实施例9至11中任一实施例的方法，其中，响应于所述密钥响应消息，将对所述无线终端支持ERP的指示发送给所述无线终端。

15、如实施例1至14中任一实施例的方法，其中，提供所述第一认证密钥包括在所述无线通信网络的第一节点(SEAF)处从所述无线通信网络的第二节点(AUSF)接收所述第一认证密钥，并且其中，发送所述密钥响应消息包括将所述密钥响应消息从所述第一节点(SEAF)发送给所述无线通信网络的第三节点(NG RAN)。

16、如实施例1至15中任一个的方法，其中，所述第一认证密钥包括rMSK密钥。

17、如实施例1至16中任一实施例的方法，其中，所述第二认证密钥包括核心网移动性管理认证密钥(新K-cn-mm)。

18、如实施例1至17中任一实施例的方法，其中，所述密钥响应消息包括所述第二认证密钥(新K-cn-mm)和EAP-Finish/Re-auth消息。

19、如实施例1至17中任一个的方法，其中，所述密钥响应消息包括所述第二认证密钥(新K-cn-mm)。

20、如实施例1至17中任一实施例的方法，其中，所述密钥响应消息包括EAP-Finish/Re-auth消息。

21、一种支持与无线终端通信的无线通信网络中的方法，所述方法包括：接收(1405)包括核心网移动性管理认证密钥(新K-cn-mm)和EAP-Finish/Re-auth消息的密钥响应消息；以及响应于接收到所述密钥响应消息，发起(1409)响应于所述密钥响应消息从所述无线通信网络向所述无线终端传输EAP-Finish/Re-auth消息和/或用于导出所述核心网移动性管理认证密钥的新鲜度参数。

22、如实施例21的方法，其中，发起传输包括：发起响应于所述密钥响应消息从所述无线通信网络向所述无线终端传输安全模式命令SMC消息，其中，所述SMC消息包括所述EAP-Finish/Re-auth消息和/或用于导出所述核心网移动性管理认证密钥的新鲜度参数，所述核心网移动性管理认证密钥被响应于所述密钥响应消息发送给所述无线终端。

23、如实施例22的方法，其中，所述SMC消息包括与所述核心网移动性管理认证密钥认证密钥(新K-cn-mm)相关联的密钥标识符(NG-KSI)。

24、如实施例22至23中任一实施例的方法，其中，向所述无线终端发送所述SMC消息而不发送所述核心网移动性管理认证密钥(新K-cn-mm)。

25、如实施例21至24中任一实施例的方法，其中，基于rMSK密钥导出所述核心网移动性管理认证密钥。

26、如实施例21至25的方法，其中，发起传输包括：响应于接收到所述密钥响应消息，发起从所述无线通信网络向所述无线终端传输所述EAP-Finish/Re-auth消息和用于导出所述核心网移动性管理认证密钥的所述新鲜度参数。

27、如实施例21至25的方法，其中，发起传输包括：响应于接收到所述密钥响应消息，发起从所述无线通信网络向所述无线终端传输用于导出所述核心网移动性管理认证密钥的所述新鲜度参数。

28、如实施例26至27中任一实施例的方法，其中，所述密钥响应消息包括用于导出所述核心网移动性管理认证密钥的所述新鲜度参数。

29、如实施例21至25的方法，其中，发起传输包括：响应于接收到所述密钥响应消息，发起从所述无线通信网络向所述无线终端传输所述EAP-Finish/Re-auth消息。

30、如实施例21至29中任一项的方法，还包括：

发送(1403)密钥请求消息，其中，所述密钥响应消息响应于所述密钥请求消息。

31、如实施例30的方法，其中，还包括：从所述无线终端接收(1401)跟踪区更新请求消息，其中，发送所述密钥请求消息包括响应于接收到所述跟踪区更新请求消息而发送所述密钥请求消息。

32、如实施例31的方法，其中，所述跟踪区更新请求消息和所述密钥请求消息中的每一个包括对所述无线终端支持EAP重新认证协议(ERP)的指示。

33、如实施例32的方法，其中，发起传输包括：发起响应于所述密钥响应消息向所述无线终端传输对所述无线终端支持ERP的指示。

34、如实施例30的方法，其中，还包括：从所述无线终端接收(1401)附连请求消息，其中，发送所述密钥请求消息包括响应于接收到所述附着请求消息而发送所述密钥请求消息。

35、如实施例34的方法，其中，所述附着请求消息和所述密钥请求消息中的每一个包括对所述无线终端支持EAP重新认证协议(ERP)的指示。

36、如实施例35的方法，其中，发起传输包括：发起响应于所述密钥响应消息向所述无线终端传输对所述无线终端支持ERP的指示。

37、如实施例21至36中任一实施例的方法，其中，接收所述密钥响应消息包括：在第一节点(新CN-MM)处从第二节点(SEAF)接收所述密钥响应消息，以及其中，发起传输包括：发起从所述第一节点向所述无线终端传输所述EAP-Finish/Re-auth消息和/或用于导出所述核心网移动性管理认证密钥的新鲜度参数。

38、如实施例1至37中任一项的方法，还包括：使用所述无线通信网络和所述核心网移动性管理认证密钥支持所述无线终端的无线通信(1209，1411)。

39、一种无线通信网络的节点，其中，所述节点适于根据实施例1至38中的任一个来执行。

40、一种无线通信网络的节点，所述节点包括：网络接口(1005)，适于提供与所述无线通信网络的其他节点的通信；以及处理器(1003)，耦接到所述网络接口，其中，所述处理器被配置为执行根据实施例1至27中任一实施例的操作，其中，所述处理器被配置为通过所述网络接口发送和/或接收通信。

41、一种无线通信网络的节点，所述节点包括适于根据实施例1至38中任一实施例执行的模块。

42、一种操作无线终端的方法，所述无线终端被配置为使用无线通信网络提供通信，所述方法包括：接收(1603)来自所述无线通信网络的安全模式命令SMC消息，其中，所述SMC消息包括：EAP-Finish/Re-auth消息和/或用于导出核心网移动性管理认证密钥的新鲜度参数。

43、如实施例42的方法，其中，所述SMC消息包括与核心网移动性管理认证密钥(新K-cn-mm)相关联的密钥标识符(NG-KSI)。

44、如实施例42至43中任一实施例的方法，其中，接收所述SMC消息，但没有核心网移动性管理认证密钥(新K-cn-mm)。

45、如实施例43至44中任一实施例的方法，其中，基于rMSK密钥导出所述核心网移动性管理认证密钥。

46、如实施例42至45中任一实施例的方法，其中，所述SMC消息包括用于导出所述核心网移动性管理参数的新鲜度参数。

47、如实施例42至46中任一实施例的方法，其中，所述SMC消息包括EAP-Finish/Re-auth消息。

48、如实施例42至47中任一项的方法，还包括：

基于所述SMC消息中的信息导出(1605)核心网移动性管理认证密钥。

49、如实施例48的方法，还包括：使用所述核心网移动性管理认证密钥来通过所述无线通信网络提供(1607)无线通信。

50、根据实施例42-49中任一项所述的方法，还包括：向所述无线通信网络发送(1601)跟踪区更新请求消息，其中，所述SMC消息响应于所述跟踪区更新请求消息。

51、如实施例50的方法，其中，所述跟踪区更新请求消息和所述SMC消息中的每一个包括对所述无线终端支持EAP重新认证协议(ERP)的指示。

52、如实施例42-49中任一项的方法，还包括：向所述无线通信网络发送(1601)附着请求消息，其中，所述SMC消息响应于所述附着请求消息。

53、如实施例52的方法，其中，所述附着请求消息和所述SMC消息中的每一个包括对所述无线终端支持EAP重新认证协议(ERP)的指示。

54、一种无线终端(UE)，被配置为使用无线通信网络提供通信，其中，所述无线终端适于根据实施例42至53中的任一个来执行。

55、一种无线终端UE，被配置为使用无线通信网络提供通信，所述无线终端包括：无线通信接口(1101)，适于通过无线电接口提供与所述无线通信网络的通信；以及处理器(1103)，耦接到所述无线通信接口，其中，所述处理器被配置为执行根据实施例42至53中任一实施例的操作，其中，所述处理器被配置为通过所述无线通信接口发送和/或接收通信。

56、一种无线终端，被配置为使用无线通信网络提供通信，所述无线终端包括适于根据实施例42至53中任一实施例执行的模块。

当单元被称为″连接到″、″耦接到″、″响应于″另一单元或其变型时，单元可以直接连接、耦接到或响应于该另一单元或可能存在的一个或更多个中间单元。相反，当元素被称作相对于另一元素进行“直接连接”、“直接耦接”、“直接响应”或其变形时，不存在中间元素。相同的编号始终表示类似的节点/元素。此外，本文使用的“耦接”、“连接”、“响应”或其变型可以包括无线耦接、连接或响应。如本文中使用的，单数形式“一”，“一个”和“所述”意在还包括复数形式，除非上下文明确地给出相反的指示。为了简洁和/或清楚，可不对周知的功能或结构进行详细描述。术语“和/或”(缩写为“/”)包括一个或多个相关所列项目的任何和所有组合。

如这里所使用的，术语″包括″、″包含″、″具有″或其变体是无限制的，并且包括一个或多个所述特征、整数、节点、步骤、部件或功能，但是不排除存在或者附着一个或多个其他特征、整数、节点、步骤、部件、功能或组。此外，如本文的使用，常用缩写“e.g.(例如)”来自于拉丁短语“exempli gratia”，其可以用于介绍或指定之前提到的项目的一般示例，而不意图作为该项目的限制。常用缩写“即(i.e)”来自于拉丁短语“id est”，可以用于指定更一般引述的具体项目。

将理解，虽然本文中可以使用术语第一、第二、第三等来描述各元素/操作，但是这些元素/操作不应被这些术语限制。这些术语仅用于将一个元素/操作与另一个元素/操作相区分。因此，在一些实施例中的第一元素/操作可以在其他实施例中称作第二元素/操作，而不会脱离发明构思的教导。在此解释和说明的发明构思的方面的实施例的示例包括它们的互补对应物。贯穿说明书，相同的附图标记或相同的参考符号表示相同或类似的元素。

这里参考计算机实现的方法、设备(系统和/或装置)和/或计算机程序产品的框图和/或流程图说明描述了示例实施例。应当理解的是，可以通过由一个或多个计算机电路执行的计算机程序指令来实现框图和/或流程图图示的框以及框图和/或流程图图示中的框的组合。可以将这些计算机程序指令提供给通用计算机电路、专用计算机电路和/或其他可编程数据处理电路的处理器电路(也称作处理器)以产生机器，使得经由计算机和/或其他可编程数据处理设备的处理器执行的指令转换和控制晶体管、在存储器位置中存储的值以及这种电路内部的其他硬件部件，以实现在框图和/或流程图模块中规定的功能/动作，从而产生用于实现在框图和/或流程模块中规定的功能/动作的装置(功能)。

这些计算机程序指令也可以存储在有形计算机可读介质中，所述有形计算机可读介质可以指导计算机或其他可编程数据处理装置按照具体的方式作用，使得在计算机可读介质中存储的指令产生制品，所述制品包括实现在所述框图和/或流程图的框中指定的功能/动作的指令。

有形非暂时计算机可读介质可以包括电子、磁性、光学、电磁或者半导体数据存储系统、装置或设备。计算机可读介质的更具体的示例将包括以下各项：变形计算机磁盘、随机存取存储器(RAM)电路、只读存储器(ROM)电路、可擦除可编程只读存储器(EPROM或闪存)电路、便携紧凑盘只读存储器(CD-ROM)、以及便携数字视频盘只读存储器(DVD/蓝光)。

计算机程序指令也可以加载到计算机和/或其他可编程数据处理装置，以使得在计算机和/或其他可编程装置上执行一系列操作步骤，以产生计算机实现的处理，使得在计算机或其他可编程设备上执行的指令提供用于实现在框图和/或流程模块中指定的功能/动作的步骤。因此，发明构思的实施例可以在硬件和/或在诸如数字信号处理器之类的处理器上运行的软件(包括固件、贮存软件、微代码等)上实现，所述吹起可以统称为″电路″、″模块″或其变体。

还应当注意的是，在一些备选实施例中，在框中标记的功能/动作可以不以流程图中标记的顺序发生。例如依赖于所涉及的功能/动作，连续示出的两个方框实际上可以实质上同时执行，或者方框有时候可以按照相反的顺序执行。此外，可以将流程图和/或框图中的给定模块的功能分离成多个框和/或流程图的两个或更多框的功能和/或可以至少部分地集成框图。最后，示出了在方框之间添加/插入的其它方框。此外，尽管一些图包括关于通信路径的箭头来指示通信的主要方向，但是应当理解的是，通信可以以与所指示的箭头的相反方向发生。

结合以上描述和附图，这里公开了许多不同实施例。将理解的是，逐字地描述和说明这些实施例的每个组合和子组合将会过分冗余和混淆。因此，将诠释本说明书(包括附图)，来构建实施例的各种示例组合和子组合和制造和使用它们的方法和过程的完整书面说明，并且将支持主张任意这种组合或子组合的权益。

在浏览本发明附图和描述时，根据发明构思实施例的其他网络元素、通信装置和/或方法对于本领域普通技术人员将是清楚明白的。所有这些附着的网络元素、装置和/或方法易于包括在这种描述中、落在发明构思的范围内。此外，意图是本文公开的所有实施例可以单独实施或以任何方式和/或组合组合。

以下提供对本文使用的缩写的解释。

ARPF 认证凭据存储库和处理功能

AUSF 认证服务器功能

SEAF 安全锚功能

EAP 可扩展认证协议

ERP EAP重新认证协议

CN-MM 核心网-移动性管理

SCMF 安全上下文管理功能

本文提及的参考文献在下文中标出。

3GPP TR 23.799 Technical Specification Group Services and SystemAspects；Study on Architecture for Next Generation System(Release 14)version0.8.0：

3GPP TR 23.799 Technical Specification Group Services and SystemAspects；Study on the security aspects of the next generation system (Release14)version 0.8.0；

3GPP TR 23.799 Technical Specification Group Services and SystemAspects；Rationale and track of security decisions in Long Term Evolved(LTE)RAN/3GPP System Architecture EVolution(SAE)(Release 9)；

RFC 6696，Z.Cao，et al.，EAP Extensions for the EAP Re-authenticationProtocol(ERP)，July 2012。

Claims (7)

1.一种操作无线终端UE的方法，所述UE被配置为使用无线通信网络提供通信，所述方法包括：

向所述无线通信网络中的第一核心网节点发送请求消息；

在向所述第一核心网节点发送所述请求消息之后，接收从不同于所述第一核心网节点的第二核心网节点发送的可扩展认证协议EAP重新认证协议ERP触发消息，所述ERP触发消息用于触发ERP交换；

响应于接收用于触发ERP交换的所述ERP触发消息，发送用于发起ERP交换的ERP发起消息；以及

在发送所述ERP发起消息之后，接收从所述第一核心网节点发送的安全模式命令SMC消息，其中，所述SMC消息包括终止所述ERP交换的ERP完成消息。

2.如权利要求1所述的方法，其中，所述SMC消息还包括与核心网移动性管理认证密钥相关联的密钥标识符(NG-KSI)。

3.如权利要求1所述的方法，其中，所述SMC消息还包括用于导出核心网移动性管理参数的新鲜度参数。

4.如权利要求1所述的方法，其中，所述请求消息包括对所述UE支持ERP的指示。

5.如权利要求1至4中任一项所述的方法，还包括：

基于所述SMC消息中的信息导出核心网移动性管理认证密钥。

6.如权利要求5所述的方法，还包括：

使用所述核心网移动性管理认证密钥来通过所述无线通信网络提供无线通信。

7.一种无线终端UE，被配置为使用无线通信网络提供通信，其中，所述无线终端包括：

处理器；以及

存储器，存储计算机可读程序代码，所述计算机可读程序代码在由所述处理器执行时，使所述处理器：

向所述无线通信网络中的第一核心网节点发送请求消息；

在向所述第一核心网节点发送所述请求消息之后，接收从不同于所述第一核心网节点的第二核心网节点发送的可扩展认证协议EAP重新认证协议ERP触发消息，所述ERP触发消息用于触发ERP交换；

响应于接收用于触发ERP交换的所述ERP触发消息，发送用于发起ERP交换的ERP发起消息；以及

在发送所述ERP发起消息之后，接收从所述第一核心网节点发送的安全模式命令SMC消息，其中，所述SMC消息包括终止所述ERP交换的ERP完成消息。