[发明专利]基于密钥刷新的按需网络功能重新认证

说明书

描述了用于无线通信的方法、系统和设备。用户设备(UE)可以确定与网络节点的安全上下文已经被建立了达超过阈值时间段。UE可以基于密钥层级来识别与该网络节点相关联的父网络节点。UE可以向父网络节点发送密钥刷新请求消息，以触发在父网络节点与该网络节点之间的密钥刷新过程。UE可以基于密钥刷新过程，来执行与该网络节点的用于建立新的安全上下文的过程。

交叉引用

本专利申请要求享受Lee等人于2017年4月12日提交的标题为“On-DemandNetwork Function Re-Authentication Based On Key Refresh”的美国专利申请No.15/485,976和Lee等人于2016年9月16日提交的标题为“On-Demand Network Function Re-Authentication Based On Key Refresh”的美国临时专利申请No.62/395,901的优先权，这两份申请中的每一份均已经转让给本申请的受让人。

技术领域

概括地说，下文描述涉及无线通信，具体地说，下文描述涉及基于密钥刷新的按需网络功能重新认证。

背景技术

广泛地部署无线通信系统，以便提供各种类型的通信内容，例如语音、视频、分组数据、消息传送、广播等等。这些系统能够通过共享可用的系统资源(例如，时间、频率和功率)来支持与多个用户进行通信。这类多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统和正交频分多址(OFDMA)系统(例如，长期演进(LTE)系统)。无线多址通信系统可以包括多个基站，每一个基站同时支持针对多个通信设备(或者可以称为用户设备(UE))的通信。

UE可以使用认证过程与基站建立连接。认证过程可以包括建立针对UE和相关联的网络实体的安全上下文，例如，用于生成一个或多个安全密钥的认证和密钥协商(AKA)协议。安全密钥可以用于保护UE与基站之间的空中接口并使其安全，以及用于各种网络实体之间的回程业务保护。当UE最初经由基站连接到核心网时，可以创建安全上下文。随后，安全上下文可以存储在与该连接相关联的每个网络节点处，例如，在基站处、在移动性管理实体(MME)处、在归属用户服务器(HSS)处等等。

在一些情况下，可以将安全上下文存储一段延长的时间。例如，UE或其它移动设备(例如，物联网(IoT)设备)可以建立连接，并且仅不频繁地发送业务。在每次这样的设备需要发送业务时使用资源来建立新的安全上下文是低效的。另外地或替代地，在移动设备上使用相当大的电池功率来根据AKA协议发送和接收消息。此外，在网络节点处维护安全上下文也可能引发安全问题。例如，由于安全密钥泄露，网络节点可能会受到危害。然后，攻击者可以使用泄露的安全密钥来模拟网络节点，从而危害与UE的通信。

发明内容

所描述的技术涉及支持基于密钥刷新的按需网络功能重新认证的改进方法、系统、设备或装置。例如，所描述的技术提供了用户设备(UE)确定已经与网络节点建立了安全上下文达阈值时间段。UE可以基于密钥层级来识别父网络节点，以及向父网络节点发送密钥刷新请求消息。父网络节点可以是UE尝试在密钥层级中重新认证的网络节点的父节点。密钥刷新消息可以触发在父网络节点与该网络节点之间的密钥刷新过程。父网络节点可以使用密钥刷新请求消息来识别网络节点，以及获得用于网络节点的完整性验证信息，例如，执行远程证明过程，从不同的网络实体接收完整性验证等等。基于密钥刷新过程，UE和网络节点可以执行用于建立新安全上下文的过程。在一些示例中，该过程可以是重新认证过程。

描述了无线通信的方法。该方法可以包括：由UE确定与网络节点的安全上下文已经被建立了达超过阈值时间段；至少部分地基于密钥层级，来识别与该网络节点相关联的至少一个父网络节点；从UE向所识别的父网络节点发送密钥刷新请求消息，以触发在所识别的父网络节点与该网络节点之间的密钥刷新过程；以及至少部分地基于该密钥刷新过程，来执行与该网络节点的、用于建立新的安全上下文的过程。