CN115552942A - 网关功能重新认证 - Google Patents

Abstract

本发明公开用于支持TNGF重新认证的设备、方法及系统。一种设备700设备包含与非3GPP接入网络中的第一接入点建立905连接性的处理器705。所述处理器705发送910含有NAI的第一EAP消息。如果所述NAI指示请求重新认证所述非3GPP接入网络中的网关功能，那么所述处理器705接收915用于认证所述网关功能的第一EAP质询分组。如果所述NAI指示请求启动与移动通信网络的NAS信令程序，那么所述处理器705接收920EAP开始分组。在此，所述EAP开始分组触发所述处理器向所述移动通信网络发送第一NAS消息。所述处理器705完成925由所述第一EAP质询分组及所述EAP开始分组中的一者启动的EAP会话。

Description

网关功能重新认证

技术领域

本文中公开的标的物大体上涉及支持重新认证可信非3GPP网关功能(“TNGF”)。

背景技术

在此定义以下缩写及首字母缩略词，其中的至少一些在以下描述中提到。

第三代合作伙伴项目(“3GPP”)、第五代核心网络(“5GC”)、接入及移动性管理功能(“AMF”)、接入点名称(“APN”)、接入层(“AS”)、接入网络信息(“ANI”)、应用编程接口(“API”)、数据网络名称(“DNN”)、下行链路(“DL”)、增强型移动宽带(“eMBB”)、演进型节点B(“eNB”)、演进型分组核心(“EPC”)、演进型UMTS地面无线电接入网络(“E-UTRAN”)、归属用户服务器(“HSS”)、IP多媒体子系统(“IMS”，又名“IP多媒体核心网络子系统”)、因特网协议(“IP”)、长期演进(“LTE”)、LTE高级(“LTE-A”)、媒体接入控制(“MAC”)、移动网络运营商(“MNO”)、移动性管理实体(“MME”)、非接入层(“NAS”)、窄带(“NB”)、网络功能(“NF”)、网络接入标识符(“NAI”)、下一代(例如5G)节点B(“gNB”)、下一代无线电接入网络(“NG-RAN”)、新无线电(“NR”)、策略控制功能(“PCF”)、分组数据网络(“PDN”)、分组数据单元(“PDU”)、PDN网关(“PGW”)、公用陆地移动网络(“PLMN”)、服务质量(“QoS”)、无线电接入网络(“RAN”)、无线电接入技术(“RAT”)、无线电资源控制(“RRC”)、接收(“Rx”)、安全模式控制(“SMC”)、单网络切片选择辅助信息(“S-NSSAI”)、服务网关(“SGW”)、会话管理功能(“SMF”)、传输控制协议(“TCP”)、发射(“Tx”)、可信非3GPP接入网络(“TNAN”)、可信非3GPP接入点(“TNAP”)、可信非3GPP网关功能(“TNGF”)、统一数据管理(“UDM”)、用户实体/装备(移动终端)(“UE”)、上行链路(“UL”)、用户平面(“UP”)、通用移动电信系统(“UMTS”)、用户数据报协议(“UDP”)、用户位置信息(“ULI”)、无线局域网(“WLAN”)及全球微波接入互操作性(“WiMAX”)。

在某些实施例中，UE可经由可信非3GPP接入网络(“TNAN”)中的网关功能接入5G核心(“5GC”)网络。

发明内容

一种UE(例如用于支持TNGF重新认证)的方法包含与非3GPP接入网络中的第一接入点建立连接性。在此，所述第一接入点启动EAP会话来认证所述UE。所述方法包含发送含有NAI的第一EAP消息。如果所述NAI指示所述UE请求重新认证所述非3GPP接入网络中的网关功能，那么所述方法包含接收用于认证所述网关功能的第一EAP质询分组。如果所述NAI指示所述UE请求启动与移动通信网络的NAS信令程序，那么所述方法包含接收EAP开始分组。在此，所述EAP开始分组触发所述UE向所述移动通信网络发送第一NAS消息。所述方法包含使用具有所述网关功能的第一EAP认证方法完成EAP会话。在此，所述第一EAP认证方法由所述第一EAP质询分组及所述EAP开始分组中的一者启动。

一种TNGF(例如用于支持TNGF重新认证)的方法包含从远程单元(即，UE)接收含有NAI的第一EAP消息及响应于所述NAI指示所述UE请求重新认证所述TNGF而发送第一EAP质询分组。在此，所述第一EAP质询分组用于认证所述UE的所述TNGF。所述方法包含响应于所述NAI指示所述UE请求启动与移动通信网络的NAS信令程序而向所述UE发送EAP开始分组。在此，所述EAP开始分组触发所述UE向所述移动通信网络发送第一NAS消息。所述方法包含使用第一EAP认证方法完成与所述UE的EAP会话。在此，所述第一EAP认证方法由所述第一EAP质询分组及所述EAP开始分组中的一者启动。

一种目标TNGF(例如用于支持TNGF重新认证)的方法包含从远程单元(即，UE)接收含有NAI的第一EAP消息。在此，所述NAI指示所述UE请求重新认证源网关功能。所述方法包含接收所述UE的UE上下文及使用所述UE上下文导出第一EAP质询分组。所述方法包含向所述UE发送所述第一EAP质询分组。在此，所述第一EAP质询分组用于认证所述UE的所述目标TNGF。

一种源TNGF(例如用于支持TNGF重新认证)的方法包含响应于用移动通信网络成功认证远程单元而产生远程单元(即，UE)的UE上下文及从第一网络功能接收对所述UE上下文的第一请求。在此，所述第一请求指示目标网关功能服务于所述UE，其中所述第一请求包含第一组参数。所述方法包含使用所述第一组参数中的至少一者及存储于所述UE上下文中的第二安全密钥导出第一安全密钥。所述方法包含向所述第一网络功能发送经修改UE上下文，所述经修改UE上下文包含所述第一安全密钥。

一种AMF(例如用于支持TNGF重新认证)的方法包含从目标网关功能接收对远程单元(即，UE)的UE上下文的第一请求，所述第一请求识别源网关功能。在此，所述第一请求包含第一组参数。所述方法包含向所述源网关功能发送第二请求，所述第二请求指示所述目标网关功能服务于所述UE。在此，所述第二请求也包含所述第一组参数。所述方法包含从所述源网关功能接收所述UE上下文及将所述UE上下文中继到所述目标网关功能。

附图说明

上文简要描述的实施例的更特定描述将通过参考在附图中说明的特定实施例来呈现。应理解，这些图式仅描绘一些实施例且因此不应被视为限制范围，将通过使用附图来额外特别详细描述及解释实施例，其中：

图1是说明用于支持TNGF重新认证的无线通信系统的一个实施例的图；

图2A是说明可信非3GPP接入网络上EAP-5G程序的一个实施例的信号流程图；

图2B是说明图2A中描绘的NAS信令程序的一个实施例的信号流程图；

图2C是说明图2A中描绘的TNGF重新认证程序的一个实施例的信号流程图；

图3A是说明可信非3GPP接入网络上5G注册程序的一个实施例的信号流程图；

图3B是图3A中描绘的程序的继续；

图3C是图3B中描绘的程序的继续；

图4A是说明用于TNGF重新认证的第一解决方案的一个实施例的信号流程图；

图4B是图4A中描绘的程序的继续；

图4C是图4B中描绘的程序的继续；

图5A是说明用于TNGF重新认证的第二解决方案的一个实施例的信号流程图；

图5B是图5A中描绘的程序的继续；

图5C是图5B中描绘的程序的继续；

图5D是图5C中描绘的程序的继续；

图6A是说明用于TNGF重新认证的第三解决方案的一个实施例的信号流程图；

图6B是图6A中描绘的程序的继续；

图7是说明支持TNGF重新认证的用户装备设备的一个实施例的框图；

图8是说明支持TNGF重新认证的网络装备设备的一个实施例的框图；

图9是说明用于支持TNGF重新认证的第一方法的一个实施例的流程图；

图10是说明用于支持TNGF重新认证的第二方法的一个实施例的流程图；

图11是说明用于支持TNGF重新认证的第三方法的一个实施例的流程图；

图12是说明用于支持TNGF重新认证的第四方法的一个实施例的流程图；及

图13是说明用于支持TNGF重新认证的第五方法的一个实施例的流程图。

具体实施方式

所属领域的技术人员将了解，实施例的方面可体现为系统、设备、方法或程序产品。因此，实施例可采用完全硬件实施例、完全软件实施例(包含固件、常驻软件、微代码等)或组合软件与硬件方面的实施例的形式。

举例来说，所公开的实施例可实施为硬件电路(包括定制超大规模集成(“VLSI”)电路或门阵列)、现成半导体(例如逻辑芯片、晶体管或其它离散组件)。所公开的实施例还可实施于可编程硬件装置中，例如场可编程门阵列、可编程阵列逻辑、可编程逻辑装置或类似物。作为另一实例，所公开的实施例可包含可执行代码的一或多个物理或逻辑块，其可例如组织为对象、程序或功能。

此外，实施例可采用体现于存储机器可读代码、计算机可读代码及/或程序代码(下文称为代码)的一或多个计算机可读存储装置中的程序产品的形式。存储装置可为有形、非暂时及/或非传输的。存储装置可不体现信号。在特定实施例中，存储装置仅采用信号来存取代码。

可利用一或多个计算机可读媒体的任何组合。计算机可读媒体可为计算机可读存储媒体。计算机可读存储媒体可为存储代码的存储装置。存储装置可为例如(但不限于)电子、磁性、光学、电磁、红外线、全息、微机械或半导体系统、设备或装置或前述内容的任何合适组合。

存储装置的更多特定实例(非详尽列表)将包含以下：具有一或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或快闪存储器)、便携式光碟只读存储器(“CD-ROM”)、光学存储装置、磁性存储装置或前述内容的任何合适组合。在本发明的上下文中，计算机可读存储媒体可为任何有形媒体，其可含有或存储用于供或结合指令执行系统、设备或装置使用的程序。

贯穿本说明书参考“一个实施例”、“实施例”或类似语言意味着结合实施例描述的特定特征、结构或特性包含于至少一个实施例中。因此，除非另有明确指定，否则贯穿本说明书出现的短语“在一个实施例中”、“在实施例中”及类似语言可(但不一定)全部指代同一实施例，而是意味着“一或多个但非所有实施例”。除非另有明确指定，否则术语“包含”、“包括”、“具有”及其变化意味着“包含(但不限于)”。除非另有明确指定，否则列举项目列表不暗含任何或所有项目相互排斥。除非另有明确指定，否则术语“一”及“所述”也指代“一或多个”。

如本文中使用，具有“及/或”连词的列表包含列表中的任何单个项目或列表中的项目组合。举例来说，A、B及/或C的列表包括仅A、仅B、仅C、A与B的组合、B与C的组合、A与C的组合或A、B及C的组合。如本文中所用，使用术语“…中的一或多者”的列表包含列表中的任何单个项目或列表中的项目组合。举例来说，A、B及C中的一或多者包含仅A、仅B、仅C、A与B的组合、B与C的组合、A与C的组合或A、B及C的组合。如本文中所用，使用术语“…中的一者”的列表包含列表中任何单个项目的一个且仅一个。例如，“A、B及C中的一者”包含仅A、仅B及仅C且排除A、B及C的组合。如本文中使用，“选自由A、B及C组成的群组的成员”包含A、B或C中的一个且仅一个且排除A、B及C的组合。如本文中使用，“选自由A、B及C及其组合组成的群组的成员”包含仅A、仅B、仅C、A与B的组合、B与C的组合、A与C的组合或A、B及C的组合。

此外，实施例的所描述特征、结构或特性可以任何合适方式组合。在以下描述中，提供众多特定细节以提供实施例的详尽理解，例如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的实例。然而，相关领域的技术人员应认识到，可无需特定细节中的一或多者或用其它方法、组件、材料等等实践实施例。在其它例子中，未展示或详细描述众所周知的结构、材料或操作以免使实施例的方面模糊。

实施例的方面在下文参考根据实施例的方法、设备、系统及程序产品的示意性流程图及/或示意性框图来描述。应理解，示意性流程图及/或示意性框图的每一框及示意性流程图及/或示意性框图中框的组合可由代码实施。此代码可提供到通用计算机、专用计算机或其它可编程数据处理设备的处理器以生产一机器，使得经由计算机或其它可编程数据处理设备的处理器执行的指令创建用于实施示意性流程图及/或示意性框图中指定的功能/动作的构件。

代码还可存储于存储装置中，其可指示计算机、其它可编程数据处理设备或其它装置以特定方式运行，使得存储于存储装置中的指令生产包含实施示意性流程图及/或示意性框图中指定的功能/动作的指令的制品。

代码还可加载到计算机、其它可编程数据处理设备或其它装置上以致使在计算机、其它可编程设备或其它装置上执行一系列操作步骤产生计算机实施过程，使得在计算机或其它可编程设备上执行的代码提供用于实施示意性流程图及/或示意性框图中指定的功能/动作的过程。

图中的示意性流程图及/或示意性框图说明根据各个实施例的设备、系统、方法及程序产品的可能实施方案的架构、功能性及操作。在这方面，示意性流程图及/或示意性框图中的每一框可表示包含用于实施指定逻辑功能的代码的一或多个可执行指令的模块、区段或代码部分。

还应注意，在一些替代实施方案中，框中所述的功能可不按图中所述的顺序发生。举例来说，连续展示的两个框实际上可基本上并发执行，或框有时可按反向顺序执行，取决于涉及的功能性。可设想在功能、逻辑或效应上等效于说明图的一或多个框或其部分的其它步骤及方法。

每一图中元件的描述可指代先前图的元件。相同数字指代所有图中的相同元件，包含相同元件的替代实施例。

公开用于支持TNGF重新认证的方法、设备及系统。UE可经由可信非3GPP接入网络(“TNAN”)中的可信非3GPP网关功能(“TNGF”)接入5G核心(“5GC”)网络。当UE想要经由TNAN与5GC交换NAS消息时，在UE与TNGF之间启动EAP-5G会话，且NAS消息经由EAP-5G会话传送。此使UE能够经由可信非3GPP接入执行各种5G NAS程序，例如注册程序及服务请求程序。根据当前3GPP标准，当TNGF从UE接收AAA请求消息(启动EAP-5G会话的先决条件)时，TNGF隐式地假定UE想要启动NAS程序且用5G开始分组作出响应以触发UE中的NAS层发送第一NAS消息(例如注册请求)。

然而，当EAP-5G会话被启动不是因为UE想要用5GC执行NAS信令而是因为其想要与TNGF重新连接时，存在许多案例。考虑例如移动性案例，其中UE首先经由第一TNAP连接到TNGF及接着决定转变到第二TNAP。在此案例中，第二TNAP启动EAP会话来认证UE。然而，在此情况中，TNGF不应向UE发送5G开始分组，因为这将触发UE中的NAS层发送NAS消息，但NAS层无需发送任何NAS消息。

即使UE用NAS移动性消息(例如，用其中类型＝移动性的注册请求)对5G开始分组作出响应，但此NAS消息将必须中继到5GC，这将在N2接口上创建不必要信令且在5GC中创建不必要处理负载。

本文中公开使TNGF能够知道EAP-5G会话是否被启动的程序，因为UE想要用5GC开始NAS程序或因为UE仅想要与TNGF重新连接且不想用5GC开始NAS程序。本公开定义此方法，即，使UE能够在不发送任何NAS消息且不影响5GC的情况下与TNGF重新连接。在此重新连接期间，UE与TNGF之间必须发生相互重新认证，因此方法称为“TNGF重新认证”。

如下文更详细描述，UE使用NAI用户名发信号通知其是想要开始NAS程序还是无关于NAS程序而与TNGF重新连接。当UE想要与5GC交换NAS信令时，UE将用户名设置为某些值(例如，用户名＝“any_username”)，且因此应触发全EAP-5G程序。当UE尝试注册到5GC(例如初始注册、周期性注册或移动性注册)时，此可发生。在此情况中，UE中的NAS层需要发送注册请求消息。替代地，UE可能想要在尝试从CM-IDLE状态中转到CM-CONNECTED状态时开始NAS程序。在此情况中，UE中的NAS层需要发送NAS服务请求消息。

相比来说，当UE想要重新认证TNGF且与TNGF重新连接时，UE将用户名设置为重新认证标识符(“Reauth-ID”)。当UE从第一TNAP移到第二TNAP且UE尝试经由第二TNAP重新连接到TNGF时，此可发生。注意，当UE提供用户名＝“any_username”时，UE由5GC使用显式或隐式NAS认证(如当前3GPP规范中指定)来认证。相比来说，当UE提供用户名＝Reauth-ID时，UE由TNGF认证，不涉及5GC。

EAP会话携带内部EAP认证方法。因此，我们可用EAP-AKA认证方法进行EAP会话、或用EAP-TLS认证方法进行EAP会话、或用EAP-5G认证方法进行EAP会话等。

在所公开的解决方案中，EAP会话由接入点启动且携带由具有5G开始或5G质询的TNGF启动的EAP认证方法(即，供应商定义的‘EAP-5G’方法)。EAP会话及内部EAP认证方法两者用EAP成功(或EAP失败)分组完成。

图1描绘根据本公开的实施例的用于支持TNGF重新认证的无线通信系统100。在一个实施例中，无线通信系统100包含至少一个远程单元105、至少一个可信非3GPP接入网络(“TNAN”)120及PLMN中的移动核心网络140。TNAN 120可由至少一个基本单元121组成。远程单元105可使用非3GPP通信链路113根据由TNAN 120部署的无线电接入技术与TNAN 120通信。即使图1中描绘特定数目个远程单元105、基本单元121、TNAN 120及移动核心网络140，但所属领域的技术人员应认识到，无线通信系统100中可包含任何数目个远程单元105、基本单元121、TNAN 120及移动核心网络140。

在一个实施方案中，无线通信系统100符合3GPP规范中指定的5G系统。然而，更一般来说，无线通信系统100可实施一些其它开放或专有通信网络，例如LTE/EPC(称为‘4G’)或WiMAX以及其它网络。本公开不希望限于实施任何特定无线通信系统架构或协议。

在一个实施例中，远程单元105可包含计算装置，例如桌面计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如连接到因特网的电视)、智能家电(例如连接到因特网的家电)、机顶盒、游戏机、安全系统(包含监控摄像头)、车载计算机、网络装置(例如路由器、交换机、调制解调器)或类似物。在一些实施例中，远程单元105包含穿戴式装置，例如智能手表、健身手环、光学头戴式显示器或类似物。此外，远程单元105可称为UE、用户单元、移动设备、移动站、用户、终端、移动终端、固定终端、用户站、用户终端、无线发射/接收单元(“WTRU”)、装置或由所属领域中使用的其它术语引用。

远程单元105可经由上行链路(“UL”)及下行链路(“DL”)通信信号与TNAN 120中的基本单元121中的一或多者直接通信。此外，UL及DL通信信号可经由通信链路113载送。注意，TNAN 120是向远程单元105提供对移动核心网络140的接入的中间网络。

基本单元121可经由通信链路113服务于服务区域(例如小区或小区扇区)内的数个远程单元105。基本单元121可经由通信信号与远程单元105中的一或多者直接通信。通常，基本单元121发射DL通信信号以服务于时域、频域及/或空间域中的远程单元105。此外，DL通信信号可经由通信链路113载送。通信链路113可为许可或非许可无线电频谱中的任何合适载体。通信链路113促进远程单元105中的一或多者与基本单元121中的一或多者之间通信。

如上所述，TNAN 120支持安全信令接口及与5G核心网络交互运作。TNAN包含至少一个TNGF；在所描绘的实施例中，TNAN 120包含第一TNGF(“TNGF-1”)125及第二TNGF(“TNGF-2”)127。在某些实施例中，TNAN 120支持TNAN 120中TGNF之间的Tn接口。

基本单元121可分布于一地理区上。在某些实施例中，基本单元121还可称为可信非3GPP接入点(“TNAP”)、接入终端、接入点、基地、基站、中继节点、装置或由所属领域中使用的任何其它术语引用。基本单元121通常是可包含可通信地耦合到一或多个对应基本单元121的一或多个控制器的无线电接入网络(“RAN”)(例如TNAN 120)的部分。未说明无线电接入网络的这些及其它元件，其通常为所属领域的一般技术人员所周知。基本单元121经由TNAN 120连接到移动核心网络140。

在一些实施例中，远程单元105经由与移动核心网络140的网络连接与应用服务器(或其它通信对等体)通信。举例来说，远程单元105中的应用程序(例如网页浏览器、媒体客户端、电话/VoIP应用程序)可触发远程单元105使用TNAN 120与移动核心网络140建立PDU会话(或其它数据连接)。为了建立PDU会话，远程单元105必须在移动核心网络上注册。

在一个实施例中，移动核心网络140是5G核心(“5GC”)或演进型分组核心(“EPC”)，其可耦合到数据网络(例如因特网及专用数据网以及其它数据网络)。远程单元105可具有移动核心网络140的会员或其它账号。本公开不希望限于实施任何特定无线通信系统架构或协议。

移动核心网络140包含若干网络功能(“NF”)。如描绘，移动核心网络140包含至少一个用户平面功能(“UPF”)141。移动核心网络140还包含多个控制平面功能，其包含(但不限于)接入及移动性管理功能(“AMF”)143、会话管理功能(“SMF”)145及策略控制功能(“PCF”)147。在某些实施例中，移动核心网络140还可包含统一数据管理功能(“UDM”)149、认证服务器功能(“AUSF”)、网络存储库功能(“NRF”)(由各种NF用于经由API发现及通信彼此)或针对5G核心定义的其它NF。

在各个实施例中，移动核心网络140支持不同类型的移动数据连接及不同类型的网络切片，其中每一移动数据连接利用特定网络切片。每一网络切片包含一组CP及UP网络功能，其中每一网络切片经优化用于特定类型的服务或流量类。为了便于说明，图1中未展示不同网络切片，但呈现其支持。在一个实例中，每一网络切片包含SMF及UPF，但各种网络切片共享AMF 143、PCF 147及UDM。在另一实例中，每一网络切片包含AMF、SMF及UPF。尽管图1中描绘特定数目及类型的网络功能，但所属领域的技术人员应认识到，移动核心网络140中可包含任何数目及类型的网络功能。

在各个实施例中，远程单元105向TNAN 120发送含有网络接入标识符(“NAI”)的第一EAP消息，其发信号通知远程单元105是想要开始NAS程序还是无关于NAS程序而与TNGF重新连接。

图2A到2C描绘根据本公开的实施例的可信非3GPP接入网络上EAP-5G会话的程序200。程序200涉及UE 205(例如远程单元105的一个实施例)、包括TNAP 211及TNGF213(例如TNGF 123的一个实施例)的TNAN 210(例如TNAN 120的一个实施例)及5G核心网络215(例如移动核心网络140的一个实施例)。在最典型情况中，可信非3GPP接入网络210是符合IEEE802.11规范的WLAN接入网络。

程序200在图2A处开始，在步骤1中，UE 205决定启动与“可信”非3GPP接入网络(此处是TNAN 210)的EAP会话。在一些实施例中，UE 205启动EAP会话以便与5GC 215交换NAS消息传递，例如执行NAS注册程序。在其它实施例中，UE 205启动EAP会话以便在不与5GC 215交换NAS消息传递的情况下与TNAN通信，例如以便与TNGF 213重新连接/重新认证TNGF213。

为了建立EAP-5G会话，UE 205首先与TNAN 210中的可信非3GPP接入点(TNAP)211建立层2(L2)连接(见消息传递221)。在IEEE 802.11WLAN的情况中，此L2连接对应于802.11关联。

在步骤2到3，由TNAP 211启动EAP程序。EAP消息被囊封到层2分组中，例如囊封到IEEE 802.11/802.1x分组中。TNAP 211请求UE标识且UE 205发送网络接入标识符(“NAI”)作为响应(见消息传递223、225)。

如本文中描述，UE 205使用NAI隐式地向TNAN 210指示EAP会话的目的。在一些实施例中，UE 205包含指示UE 205是想要启动与5GC 215的NAS程序还是对TNAN210(例如TNGF213)的重新认证程序的用户名。本公开考虑两种情况：在情况A中，UE 205触发EAP会话与5GC交换NAS消息传递；在情况B中，UE 205触发EAP会话重新认证TNGF 213。注意，UE 205可触发EAP会话用于其它非NAS消息传递程序。

在情况A中，由UE 205提供的NAI指示UE 205请求到特定PLMN的“5G连接性”，例如，NAI＝“<any_username>@nai.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org”。UE205将用户名设置为“any_username”(即，设置为任何非空串)，如当前TS 23.502中指定。在此情况中，启动全EAP-5G程序且实现UE与5GC之间的NAS消息交换。

然而，在情况B中，由UE 205提供的NAI指示UE 205请求对TNGF 213进行“TNGF重新认证”，例如，NAI＝“<Reauth_ID>@nai.5gc.tngf<TNGF-ID>.mnc<MNC>.mcc<MCC>.3gppnetwork.org”。UE205将用户名设置为下文定义的重新认证标识(Reauth-ID)。在此情况中，在UE与TNGF之间启动EAP-5G重新认证程序，也称为TNGF重新认证。

NAI触发TNAP 211选择TNGF(即，TNGF 213，见框227)及向所选择的TNGF 213发送AAA请求(见消息传递229)。在TNAP 211与TNGF 213之间，每一EAP分组被囊封到AAA消息中。针对情况B，如果UE已与TNGF连接(即，UE已具有NWt连接)，那么UE包含此TNGF的标识(TNGF-ID)。在步骤3b中，TNAP 211通过使用接收到的TNGF-ID来选择TNGF，因此其选择已与UE 205连接的TNGF(如果可能)。

TNGF 213检查NAI以确定UE是将尝试启动NAS程序还是TNGF重新认证程序(见框231)。如果NAI指示UE 205想要交换NAS信令(情况A，见框233)，那么TNGF 213启动EAP-5G会话以使UE 205能够与5GC 215交换NAS信令，如下文更详细描述。否则，如果NAI指示UE 205想要重新认证TNGF 213(情况B，见框235)，那么TNGF 213启动EAP-5G会话用于TNGF重新认证，如下文更详细描述。

图2B描绘根据情况A的用于NAS信令的EAP-5G会话233的概述。如果TNGF确定UE想要启动NAS程序，那么其用5G开始分组作出响应且全EAP-5G程序启动。在步骤4，在接收AAA请求之后，TNGF 213用AAA响应消息作出响应，AAA响应消息包含向UE 205指示EAP-5G会话开始的EAP请求/5G开始分组，且UE 205可开始发送囊封于EAP-5G分组内的NAS消息(见消息传递237)。

在步骤5，UE 205发送含有接入网络参数(AN-Params)的EAP响应/5G-NAS分组及注册请求消息(或服务请求消息)(见消息传递239)。TNAP 211在AAA请求消息内将EAP响应/5G-NAS分组转发到TNGF 213。

在步骤6，TNGF 213选择5G核心网络215中的AMF且在N2初始UE 205消息内将从UE205接收的注册请求(或服务请求)转发到所选择的AMF(见消息传递243)。在步骤7，UE 205及5GC 215中的AMF经由EAP-5G会话交换额外NAS消息(见框245)。额外NAS消息的实例包含(但不限于)NAS认证所涉及的消息。

在步骤8，TNGF 213确定EAP-5G会话成功完成且向UE 205发送EAP成功分组(见消息传递247)。此分组可在交换5G通知分组(例如，如TS 23.502中指定)之后发送。EAP成功分组(或EAP失败分组)结束EAP-5G会话。

图2C描绘根据情况B的用于TNGF重新认证的EAP-5G会话235的概述。TNGF重新认证程序(情况B)用于在UE 205与TNGF 213之间执行相互重新认证且仅在UE 205及TNGF 213中存在用先前NAS信令程序创建的共同TNGF密钥之后才可执行。仅在根据情况A的信令已被实施时才可创建TNGF密钥。

在步骤B1，在接收AAA请求(见图2A的步骤3)之后，TNGF 213用AAA响应消息作出响应，AAA响应消息包含向UE 205指示EAP-5G会话开始用于TNGF重新认证程序的第一5G质询分组(即，EAP请求/5G质询分组)(见消息传递249)。

在步骤B2，UE 205使用第一5G质询分组的内容认证TNGF 213(见框251)。如果成功，那么在步骤B3，UE 205通过发送第二5G质询分组(即，EAP响应/5G质询分组，见消息传递253)来对TNGF 213作出响应。在步骤B4，TNGF 213使用第二5G质询分组的内容认证UE 205(见框255)。在步骤B5，TNGF 213通过向UE 205发送EAP成功分组来完成EAP-5G会话(见消息传递257)。5G质询分组及相互认证程序的细节在下文参考图4到6更详细论述。

图3A到3C描绘根据本公开的实施例的可信非3GPP接入网络上5G注册的程序300。程序300涉及UE 205(例如远程单元105的一个实施例)、TNAN 210中的TNAP 211及TNGF 213及5G核心网络215中的AMF 301(例如AMF 143的一个实施例)及AUSF 303。

当UE 205想要首次经由TNAN 210注册到5GC 215(称为初始注册)时，实施图3A到3C中说明的程序。此程序是经修改的常规注册程序，如下文展示及/或描述。需要这些添加来使(a)TNGF-ID提供到UE及(b)导出UE的Reauth-ID。UE在TNGF重新认证程序期间应用TNGF-ID及Reauth-ID，如下文参考图4A到4C、5A到5D及/或6A到6B描述。

在图3A，程序300以步骤1开始为UE 205首先与TNAP 211建立L2连接(见消息传递305)。在步骤2到3，启动EAP程序，TNAP 211请求UE标识且UE 205发送网络接入标识符(“NAI”)作为响应(见消息传递307到309)。

在此，由UE 205提供的NAI指示UE 205请求到特定PLMN的“5G连接性”，例如，NAI＝“<any_username>@nai.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org”。UE 205将用户名设置为“any_username”(即，设置为非空串)，如当前TS 23.502中指定。此NAI触发TNAP向TNGF发送AAA请求，TNGF操作为AAA代理。在TNAP与TNGF之间，EAP分组被囊封到AAA消息中。在此情况中，启动全EAP-5G程序且实现UE与5GC之间的NAS消息交换。

在步骤4，在接收AAA请求之后，TNGF 213用AAA响应消息作出响应，AAA响应消息包含向UE 205指示EAP-5G会话开始的EAP请求/5G开始分组，且UE 205可开始发送囊封于EAP-5G分组内的NAS消息(见消息传递311)。

注意，多个TNGF可部署于TNAN 120中，所有TNGF提供对相同PLMN中的5GC的接入。这些TNGF可支持不同跟踪区及网络切片或可支持相同跟踪区及网络切片。在图2A到2B中展示的实例实施例中，假定所选择的TNGF 213可支持由5G核心网络220允许的网络切片用于UE 205，因此无需将此TNGF重定位到另一TNGF。然而，在其它实施例中，TNGF重定位可作为程序200的部分而发生。

在步骤5，UE 205发送含有接入网络参数(AN-Params)的EAP响应/5G-NAS分组及注册请求消息(或服务请求消息)(见消息传递313)。在此，AN-Params含有UE标识(例如SUCI或5G-GUTI)、所选择的PLMN标识及建立原因。任选地，如果UE 205不在默认NSSAI包含模式D(在3GPP TS 23.502中指定)中操作，那么还可含有所请求的NSSAI。建立原因提供请求与5G核心网络220的信令连接(即，初始注册)的原因。TNAP 211在AAA请求消息内将EAP响应/5G-NAS分组转发到TNGF 213。

在步骤6a，TNGF 213基于接收到的AN-Params及本地策略(例如，如3GPP TS23.501，条款6.3.5中指定)选择所选择的PLMN的5G核心网络215中的AMF(见框315)。在步骤6b，TNGF 213在N2初始UE 205消息内将从UE 205接收的注册请求(或服务请求)转发到所选择的AMF(见消息传递317)。此消息含有包含所选择的PLMN ID及建立原因的N2参数。

在条件步骤7，AMF 301可决定通过向UE 205发送NAS标识请求消息来请求SUCI(见消息传递319)。此NAS消息及所有后续NAS消息发送到UE 205，囊封于EAP/5G-NAS分组内。

在步骤8，AMF 301可确定通过调用AUSF 303来认证UE 205。在此情况中，AMF301基于UE 205的SUPI或SUCI选择AUSF 303。在步骤8a，AMF 301向AUSF发送密钥请求消息(321)。在步骤8b，UE 205及AUSF 303经由TNGF 213及AMF 301执行认证及密钥协商程序(例如EAP-AKA'认证或5G-AKA认证，见消息传递323)。认证分组被囊封于NAS认证消息内且NAS认证消息被囊封于EAP/5G-NAS分组内。

在步骤8c，在成功认证之后，AUSF 303向AMF 301发送锚定密钥(SEAF密钥)，其由AMF 301用于导出NAS安全密钥及用于TNGF 213的安全密钥(TNGF密钥)。注意，UE 205还导出锚定密钥(SEAF密钥)且其从所述密钥导出NAS安全密钥及用于TNGF213的安全密钥(TNGF密钥)。TNGF密钥由UE及N3IWF用于在后续步骤中建立IPsec安全关联。

继续图3B，在步骤9a，AMF 301向UE 205发送NAS安全模式控制(“SMC”)请求以便激活NAS安全(见消息传递327)。如果在步骤8中成功执行认证，那么AMF 301将从AUSF 301接收的EAP成功分组囊封于NAS SMC请求消息内。

在步骤9b，TNGF 213在EAP-Req/5G-NAS分组内将NAS SMC请求消息转发到UE205(见消息传递329)。

在步骤9c，UE 205完成认证程序(如果在步骤8中启动)，创建NAS安全上下文及TNGF密钥，且向AMF 301发送NAS SMC完成消息(在EAP-Res/5G-NAS分组内)(见消息传递331及333)。

在步骤10a，AMF 301向TNGF 213发送包含TNGF密钥的N2初始上下文设置请求消息(见消息传递335)。注意，UE 205独立导出相同TNGF密钥。

在步骤B1，在TNGF 213接收TNGF密钥之后，TNGF 213向UE 205发送含有TNGF213的TNGF地址及TNGF-ID及TNonce的5G通知分组(见消息传递339)。TNGF地址是TNGF 213的IPv4/IPv6地址且稍后由UE用于建立与TNGF 213的NWt连接。TNGF-ID是TNGF 213的标识且TNonce是由TNGF 213产生的伪随机值且在下文进一步论述。在步骤B2，UE 205向TNGF 213发送含有UNonce的5G通知分组(见消息传递341)，UNonce是由UE产生的伪随机值且在下文进一步论述。

TNGF 213使用TNGF密钥导出用于UE 205的TNAP密钥、IPsec密钥及重新认证标识符(Reauth-ID)(见框343)。在各个实施例中，TNAP密钥及IPsec密钥使用3GPP TS33.501中指定的常规方法导出。替代地，TNAP密钥及IPsec密钥可通过还使用TNGF-ID、TNonce及UNonce值来导出。在一个实例中，Reauth-ID可通过使用密钥导出函数(“KDF”，即，密码散列函数)及以下公式来导出：

Reauth-ID＝KDF(TNG密钥,TNGF-ID||TNonce||UNonce)方程式1

注意，(TNGF密钥)及(TNGF-ID||TNonce||UNonce)是KDF的两个输入，其中||符号指示级联。还注意，Reauth-ID在UE 205及TNGF 213中使用相同KDF及相同方程式独立导出。

在步骤10d，TNGF 213向TNAP 211发送TNAP密钥及EAP成功分组，TNAP 211将EAP成功分组转发到UE 205(见消息传递345)。EAP成功分组的递送完成(即，结束)用于NAS信令的EAP-5G会话(即，情况A)。没有另外EAP-5G分组被交换。

继续图3C，UE 205导出TNGF密钥且使用TNGF密钥导出TNAP密钥、IPsec密钥及Reauth-ID(见框347)。在各个实施例中，Reauth-ID可通过使用方程式1来导出。虽然描绘为在EAP-5G会话终止之后发生，但在其它实施例中，UE 205可在接收所需输入之后(例如，在步骤B1之后)的另一时间导出TNGF密钥、TNAP密钥、IPsec密钥及/或Reauth-ID。

在步骤11，使用TNAP密钥在UE 205与TNAP 211之间建立层2安全(即，空中接口安全)(见消息传递349)。在IEEE 802.11情况中，执行4次握手，这在WLAN AP(即，TNAP 211)与UE 205之间建立用于保护空中单播及多播流量的安全上下文。在步骤12，UE 205从TNAN210接收包含IP地址的IP配置(见消息传递351)。

在步骤13，UE 205开始建立与在步骤B1中接收的TNGF地址的NWt连接353(即，作为TNGF发送的接入参数的部分)。此时，UE已成功连接到TNAN且已获得IP配置。首先，在步骤13a，UE 205通过例如根据RFC 7296开始IKE初始交换来向TNGF 213启动IKE程序。在步骤13b及13c，IKE_AUTH请求/响应消息使用AUTH有效负载来交换，AUTH有效负载基于在UE 205及AMF 301中创建的共同IPsec密钥导出。注意，在步骤13b中由TNGF 213接收的UE 205标识(例如5G-GUTI)(在IKE信令的IDi有效负载内)向TNGF 213指示哪一TNGF密钥应用于认证UE205。

在步骤13c中的成功认证之后，在UE 205与TNGF 213之间创建安全IPsec SA。在步骤13d，UE 205与TNGF 213建立TCP连接(如TS 23.502中指定)，其完成UE 205与TNGF 213之间的NWt连接建立。

在步骤14，在UE 205与TNGF 213之间的NWt连接353建立之后，TNGF 213用指示与UE 205的安全连接已建立的初始上下文设置响应消息对AMF 301作出响应(见消息传递355)。在步骤15，AMF 301向TNGF 213发送含有用于UE 205的注册接受消息的DL NAS传输。此消息被转发到经建立NWt连接内的UE 205(见消息传递357)。

在上述信令流之后，UE 205经由可信非3GPP接入注册到5G核心网络220完成且经建立NWt连接用于在UE 205与TNGF 213之间传送另外NAS消息。

图4A到4C描绘根据本公开的实施例的用于支持TNGF重新认证的程序400。程序400说明用于TNGF重新认证的第一解决方案，其涉及UE 205、TNAN 210中的第一TNAP(“TNAP-1”)401、第二TNAP(“TNAP-2”)403及TNGF 213。

程序400表示其中UE 205经由TNAP-1 401连接到TNGF 213且UE决定从TNAP-1401移到TNAP-2 403(例如由于无线电条件)的案例。TNAP-2 403能够与TNGF 213通信，使得TNGF在此移动性程序期间不改变。

在图4A，程序400在步骤0开始为UE 205已经由TNAP-1 401与TNGF 213建立第一NWt连接405且确定移到TNAP-2 403(见框407)。

在步骤1，UE 205首先与TNAP-2 403建立L2连接(见消息传递409)。在步骤2到3，启动EAP程序，TNAP-2 403请求UE标识，且UE 205发送NAI作为响应(见消息传递411到413)。

在此，由UE 205提供的NAI指示UE 205通过含有重新认证标识来请求对TNGF 213进行“TNGF重新认证”，例如NAI＝“<Reauth_ID>@nai.5gc.tngf<TNGF-ID>.mnc<MNC>.mcc<MCC>.3gppnetwork.org”。UE205将用户名设置为如上文参考情况A论述般导出的Reauth-ID，例如使用TNGF 213的TNGF-ID(“TNGF-ID”)、TNonce及UNonce。当UE 205首次连接到TNGF213时(例如，在建立第一NWt连接405之前)，接收用于导出Reauth-ID的参数。如上文论述，UE 205向NAI提供用户名＝Reauth-ID，因为UE 205不想启动与5GC 215的NAS信令，而是想要重新认证TNGF 213。

在步骤4a，TNAP-2 403基于接收到的领域中的TNGF ID选择TNGF 213(见框415)。在步骤4b，TNAP-2 403在AAA请求消息中将NAI转发到TNGF 213(见消息传递417)。

在步骤5，TNGF 213找到含有接收到的Reauth-ID的存储UE上下文，因此其确定UE205是请求重新认证的已知UE。因此，TNGF 213启动以下步骤中指定的情况B信令。如果TNGF213无法找到含有接收到的Reauth-ID的存储UE上下文，那么TNGF 213向UE 205发送错误响应，或其启动上文参考图2B及图3A到3C描述的情况A信令。

UE上下文在UE 205经由TNGF 213执行初始注册时在TNGF 213中创建(见例如图3A到3C)。UE上下文包含与UE 205相关联的信息，例如Reauth-ID、UE标识(例如5G-GUTI)、AMF标识(AMF-ID)、TNGF密钥、TNGF密钥有效期、TNAP密钥、IPsec密钥、关于经建立PDU会话的信息(PDU会话资源列表)等。

继续图4B，在步骤6，TNGF 213通过向UE 205发送5G质询分组来启动情况B信令(即，TNGF重新认证)(见消息传递421)。此分组含有(新)TNonce值及通过使用存储于TNGF213中的TNGF密钥来导出的第一消息认证码(“MAC1”)。作为实例，MAC1可导出下般：

MAC1＝KDF(存储于TNGF中的TNGF密钥,TNonce)方程式2

注意，存储于TNGF 213中的TNGF密钥及新TNonce是KDF的两个输入。额外参数可用于MAC1导出，例如计数器参数，其在TNGF密钥创建时(例如，在图3A到3C中展示的初始注册之后)在UE 205及TNGF 213中初始化且在每个TNGF重新认证程序处在UE 205及TNGF 213中增大。

在步骤7，UE 205使用存储于UE 205中的TNGF密钥导出预期MAC1值(“XMAC1”)(见框423)。作为实例，XMAC1可导出如下：

XMAC1＝KDF(存储于UE中的TNGF密钥,TNonce)方程式3

注意，存储于UE 205中的TNGF密钥及新接收的TNonce是KDF的两个输入。再次，额外参数可用于XMAC1导出，例如上文提到的计数器参数。UE 205比较导出的XMAC1与接收到的MAC1。如果其匹配，那么TNGF 213由UE 205认证，即，TNGF 213存储相同于存储于UE 205中的TNGF密钥的TNGF密钥。否则，认证失败。

在步骤8，UE 205创建(新)UNonce且使用存储于UE 205中的TNGF密钥导出第二消息认证码(“MAC2”)(见框425)。作为实例，MAC2可导出如下：

MAC2＝KDF(存储于UE中的TNGF密钥,UNonce||TNonce)方程式4

注意，(存储于UE中的TNGF密钥)及(UNonce||TNonce)是KDF的两个输入，其中||符号指示级联。在此，额外参数也可用于MAC2导出，例如上文提到的计数器参数。

在步骤9，UE 205用含有UNonce、TNonce及MAC2的5G质询作出响应(见消息传递427)。在步骤10，TNGF 213使用存储于TNGF 213中的TNGF密钥、UNonce及TNonce导出预期MAC2(“XMAC2”)(见框429)。作为实例，XMAC2可导出如下：

XMAC2＝KDF(存储于TNGF中的TNGF密钥,UNonce||TNonce)方程式5

注意，(存储于TNGF中的TNGF密钥)及(UNonce||TNonce)是KDF的两个输入，其中||符号指示级联。再次，额外参数可用于XMAC2导出，例如上文提到的计数器参数。TNGF 213比较导出的XMAC2与接收到的MAC2。如果其匹配，那么UE 205由TNGF213认证，即，UE 203存储相同于存储于TNGF 213中的TNGF密钥的TNGF密钥。否则，认证失败。

在步骤11，TNGF 213导出用于UE 205的新近Reauth-ID，例如通过使用方程式1(见框431)。在此，新TNonce及UNonce值是KDF的输入参数。另外，TNGF 213通过使用存储于TNGF213中的TNGF密钥、TNGF ID及TNonce、UNonce值来导出新TNAP密钥。

继续图4C，在步骤12，TNGF 213通过向UE 205发送EAP成功分组及向TNAP-2 403发送新TNAP密钥来完成EAP-5G会话(见消息传递433)。

在步骤13，UE 205导出新Reauth-ID，例如通过使用方程式1(见框435)。在此，输入参数包含新TNonce及新UNonce。因为UE 205及TNGF 213共享相同TNGF密钥，所以在UE 205及TNGF 213中独立导出的Reauth-ID将相同。另外，UE 205还通过使用在步骤11中由TNGF213使用的相同导出公式来导出新TNAP密钥(用于TNAP-2 403)。

在步骤14a，应用新TNAP密钥在UE 205与TNAP-2 403之间建立空中安全(见消息传递437)。在任选步骤14b，根据需要，UE 205可接收新IP配置信息(例如新IP地址，见消息传递439)。在步骤15，UE使用先前建立的NWt连接405恢复经由TNAp-2 403与TNGF 213通信。

图5A到5D描绘根据本公开的实施例的用于支持TNGF重新认证的程序500。程序500说明用于TNGF重新认证的第二解决方案，其涉及UE 205、TNAN 210中的第一TNAP(“TNAP-1”)401、第二TNAP(“TNAP-2”)403、第一TNGF(“TNGF1”)501及第二TNGF(“TNGF2”)503。

程序500表示其中UE 205经由TNAP-1 401连接到TNGF1 501且UE决定从TNAP-1401移到TNAP-2 403(例如由于无线电条件)的案例。程序500处置其中UE 205移到新TNAP(TNAP-2 403)的案例，新TNAP无法支持与UE 205已与其建立NWt连接505的TNGF1 501的连接性。因为TNAP-2 403无法与TNGF1 501通信，所以在此移动性程序期间需要TNGF重定位。

在图5A，程序500在步骤0开始为UE 205已经由TNAP-1 401与TNGF1 501建立第一NWt连接505且确定移到TNAP-2 403(见框507)。

在步骤1，UE 205首先与TNAP-2 403建立L2连接(见消息传递409)。在步骤2到3，启动EAP程序，TNAP-2 403请求UE标识且UE 205发送NAI作为响应(见消息传递511到513)。

在此，由UE 205提供的NAI指示UE 205请求对TNGF1 501进行“TNGF重新认证”，例如NAI＝“<Reauth_ID>@nai.5gc.tngf<TNGF1-ID>.mnc<MNC>.mcc<MCC>.3gppnetwork.org”。UE205将用户名设置为如上文论述般导出的Reauth-ID(见框435或框347)，例如使用TNGF1(“TNGF1-ID”)401的TNGF-ID、TNonce及UNonce。当UE 205首先连接到TNGF1 401时(例如，在建立第一NWt连接505之前)，接收用于导出Reauth-ID的参数。如上文论述，UE 205向NAI提供用户名＝Reauth-ID，因为UE 205不想启动与5GC 215的NAS信令，而是想要重新认证TNGF1 501。

在步骤4a，TNAP-2 403在检查接收到的领域中的TNGF1-ID且确定其无法支持与TNGF1的连接性之后选择新TNGF(TNGF2 503)(见框515)。在步骤4b，TNAP-2 403在AAA请求消息中将NAI转发到所选择的TNGF2 503(见消息传递517)。

在步骤B1，TNGF2 503从在步骤4b中接收的NAI(其包含TNGF1-ID)确定UE上下文驻留于另一TNGF(TNGF1 501)中且例如使用DNS发现其IP地址。在所描绘案例中，TNGF2 503还确定支持经由Tn接口来与TNGF1 501进行Tn信令(见框519)。在步骤B2，TNGF2 503向TNGF1501发送含有从UE接收的Reauth-ID、TNGF2标识(TNGF2-ID)及TNonce值的“Tn-UE上下文请求”消息(见消息传递521)。

继续图5B，在步骤5，TNGF1 501应用Reauth-ID来找到UE 205的存储UE上下文(见框523)。在找到参考UE上下文之后，TNGF1 501确定UE 205是已知UE。因此，在步骤B2，TNGF1501用含有UE上下文的“Tn-UE上下文响应”消息作出响应(见消息传递525)。注意，如果TNGF1 501无法找到含有接收到的Reauth-ID的存储UE上下文，那么TNGF1 501可向TNGF2503发送错误响应，TNGF2 503接着可启动与UE 205的情况A信令，如上文参考图2B及图3A到3C描述。在所描绘案例中，假定UE 205的UE上下文存储于TNGF1 501中。

Tn-UE上下文响应消息含有UE 205的UE标识(例如5G-GUTI或其它标识)、服务于UE205的AMF 301的标识(AMF-ID)及使用存储于TNGF1 501中的TNGF密钥、TNGF2 503的TNGFID(“TNGF2-ID”)及TNonce导出的经修改TNGF密钥(称为“TNGF*密钥”)。作为实例，TNGF*密钥可导出如下：

TNGF*密钥＝KDF(存储于TNGF1中的TNGF密钥,TNGF2-ID||Tnonce)方程式6

注意，(存储于TNGF1 501中的TNGF密钥)及(TNGF2-ID||TNonce)是KDF的两个输入，其中“||”符号指示级联。另外，Tn-UE上下文响应消息含有PDU会话资源列表，其含有关于由UE 205经由TNGF1 501建立的PDU会话的信息。

在步骤6a，TNGF2 503通过向UE 205发送5G质询分组来启动TNGF重新认证程序(情况B信令)(见消息传递527)。此分组含有步骤B2中包含的TNonce值、第一消息认证码(MAC1)、TNGF2地址及TNGF2-ID。因为UE 205接收TNGF2地址及TNGF2-ID，所以其确定TNGF已改变。

MAC1可例如方程式2中描述般导出，其中TNGF*密钥取代参数TNGF密钥作为KDF的输入。在某些实施例中，由TNGF2 503创建的另一随机数值可用作KDF的输入(例如，与在步骤B2中发送的TNonce级联或取代所述TNonce)。如上文论述，额外参数可用于MAC1导出，例如计数器参数，其在第一TNGF密钥创建时(例如，在图3A到3C中展示的初始注册之后)在UE205及TNGF1 501中初始化且在每个TNGF重新认证程序等处增大。在此类实施例中，计数器参数包含于UE上下文中。

在步骤B4，UE 205应用TNonce(及/或额外参数)以通过使用方程式6通过用存储于UE 205中的TNGF密钥取代参数“存储于TNGF1中的TNGF密钥”来导出新TNGF(TNGF2 503)的新TNGF密钥(即，TNGF*密钥)(见框529)。

在步骤7，UE 205使用存储于UE 205中的TNGF*密钥导出预期MAC1值(“XMAC1”)，例如使用方程式3且TNGF*密钥取代参数TNGF密钥作为KDF的输入(见框531)。

在步骤8，UE 205创建(新)UNonce且使用存储于UE 205中的TNGF*密钥导出第二消息认证码(“MAC2”)，例如根据方程式4且TNGF*密钥取代参数“存储于UE中的TNGF密钥”作为KDF的输入(见框533)。

继续图5C，在步骤9，UE 205用含有UNonce、TNonce及MAC2的5G质询作出响应(见消息传递535)。在步骤10，TNGF2 503使用存储于TNGF2 503中的TNGF*密钥导出预期MAC2(“XMAC2”)，例如根据方程式5且TNGF*密钥取代参数“存储于UE中的TNGF密钥”作为KDF的输入(见框537)。

在步骤11，TNGF2 503导出新密钥及标识符(见框539)。TNGF2例如通过使用方程式1且TNGF*密钥取代参数TNGF密钥作为KDF的输入来导出UE 205的新近Reauth-ID。在此，TNGF2 503的TNGF-ID及新TNonce及UNonce值是KDF的输入参数。另外，TNGF2 503通过使用存储于TNGF2 503中的TNGF*密钥、TNGF ID及TNonce、UNonce值来导出新IPsec密钥及新TNAP密钥。

在步骤12，TNGF2 503通过向UE 205发送EAP成功分组及向TNAP-2 403发送新TNAP密钥来完成EAP-5G会话(见消息传递541)。

在步骤13，UE 205例如通过使用方程式1且TNGF*密钥取代参数TNGF密钥作为KDF的输入来导出新Reauth-ID(见框543)。在此，输入参数包含TNGF2 503的TNGF-ID、新TNonce及新UNonce。因为UE 205及TNGF2 503共享相同TNGF密钥，所以在UE 205及TNGF2 503中独立导出的Reauth-ID将相同。另外，UE 205还通过使用在步骤11中由TNGF2 503使用的相同导出公式来导出新TNAP密钥(用于TNAP-2 403)及新IPsec密钥。

在步骤14a，应用新TNAP密钥在UE 205与TNAP-2 403之间建立空中安全(见消息传递437)。在任选步骤14b，根据需要，UE 205可接收新IP配置信息(例如新IP地址，见消息传递439)。

继续图5D，在步骤15，UE 205开始通过使用接收到的TNGF2地址来与TNGF2 503建立新IPsec SA。步骤15b及15c中的AUTH有效负载通过分别使用UE 205中的IPsec密钥及TNGF2 503中的IPsec密钥来导出。如果这些IPsec密钥匹配，那么UE 205及TNGF2 503相互认证且IPsec SA成功建立。随后，UE 205与TNGF2 503建立TCP连接，且NWt连接建立549完成。

在步骤16，TNGF2 503应用接收到的PDU会话资源列表来设置UE 205的经建立PDU会话的IPsec子SA。在步骤17，通过从TNGF2 503向AMF 301发送路径切换请求来向AMF 301通知TNGF已改变(见消息传递553)。

图6A到6B描绘根据本公开的实施例的用于支持TNGF重新认证的程序600。程序600说明用于TNGF重新认证的第三解决方案，其涉及UE 205、TNAN 210中的第一TNAP(“TNAP-1”)401、第二TNAP(“TNAP-2”)403、第一TNGF(“TNGF1”)501及第二TNGF(“TNGF2”)503及5G核心网络215中的AMF 301。

程序600表示其中UE 205经由TNAP-1 401连接到TNGF1 501且UE决定从TNAP-1401移到TNAP-2 403(例如由于无线电条件)的案例。程序600处置其中TNAP-2 403无法支持与UE 205已与其建立NWt连接601的TNGF1 501的连接性的案例。因为TNAP-2403无法与TNGF1501通信，所以在此移动性程序期间需要TNGF重定位。然而，在此案例中，TNGF1 501与TNGF2503之间不支持Tn信令。

在图6A，程序600在步骤0开始为UE 205已经由TNAP-1 401来与TNGF1 501建立第一NWt连接601且确定移到TNAP-2 403(见框603)。

在步骤1，UE 205首先与TNAP-2 403建立L2连接(见消息传递605)。在步骤2到3，启动EAP程序，TNAP-2 403请求UE标识且UE 205发送NAI作为响应(见消息传递607到609)。

在此，由UE 205提供的NAI指示UE 205请求对TNGF1 501进行“TNGF重新认证”，例如NAI＝“<Reauth_ID>@nai.5gc.tngf<TNGF1-ID>.mnc<MNC>.mcc<MCC>.3gppnetwork.org”。UE205将用户名设置为如上文论述般导出的Reauth-ID。当UE 205首次连接到TNGF1 401时(例如，在建立第一NWt连接601之前)，接收用于导出Reauth-ID的参数。如上文论述，UE 205向NAI提供用户名＝Reauth-ID，因为UE 205不想启动与5GC 215的NAS信令，而是想要重新认证TNGF1 501。

在步骤4a，TNAP-2 403在检查接收到的领域中的TNGF1-ID且确定其无法支持与TNGF1的连接性之后选择新TNGF(TNGF2 503)(见框611)。在步骤4b，TNAP-2 403在AAA请求消息中将NAI转发到所选择的TNGF2 503(见消息传递613)。

在步骤B1，TNGF2 503从在步骤4b中接收的NAI(其包含TNGF1-ID)确定UE上下文驻留于另一TNGF(TNGF1 501)中且例如使用DNS发现其IP地址。在所描绘案例中，TNGF2 503还确定不支持经由Tn接口来与TNGF1 501进行Tn信令(见框615)。

在此情形中，TNGF2 503可实施以下两种替代例中的一者。根据选项1，TNGF2 503向UE发送EAP/5G开始分组，因此触发根据情况A的NAS信令(见步骤C1，消息传递617)。根据选项2，TNGF2 503根据情况B使用5GC 215执行TNGF重新认证以从TNGF1501检索UE上下文，如下文解释。注意，在选项1中，UE 205将发送注册请求消息，TNGF2 503将选择AMF(相同AMF301或不同者)，且发生图3A到3C中展示的注册程序。

然而，关于选项2，在步骤B2a，TNGF2 503选择AMF(见框619)。在此，假定选择由TNGF1 501使用的相同AMF 301；然而，在替代实施例中，可选择5GC 215中的另一AMF。

继续图6B，在步骤B2b，TNGF2 503向AMF 301发送第一N2消息，其含有从UE205接收的Reauth-ID、TNGF2 503的标识(即，“TNGF2-ID”)、TNonce及TNGF1 501的标识(即，“TNGF1-ID”)，在步骤B2a中选择不同AMF时需要TNGF1 501的标识(见消息传递621)。

在步骤B3，AMF 301向TNGF1 501发送第二N2消息(见消息传递623)。AMF 301使用TNGF1-ID参数识别TNGF1 501且转发Reauth-ID、TNGF2-ID及TNonce，类似于图5A中的步骤B2。

在步骤5，TNGF1 501应用Reauth-ID来找到存储UE上下文，如图5B中的步骤5中描述(见框523)。

在步骤B4，TNGF1 501用包含存储UE上下文的第三N2消息作出响应，存储UE上下文含有UE标识、服务于UE的AMF的标识(AMF-ID)及TNGF*密钥，TNGF*密钥使用存储于TNGF1中的TNGF密钥、TNGF2-ID及TNonce导出(见消息传递625)。另外，UE上下文包含PDU会话资源列表，其含有关于由UE 205经由TNGF1 501建立的PDU会话的信息。TNGF*密钥可使用方程式6导出，如图5B中的步骤B3中描述。

在步骤B5，AMF 301将从TNGF1 501接收的UE上下文中继到TNGF2 503(见消息传递627)。注意，步骤B2b、B3、B4及B5中的N2消息是经由使TNGF对接AMF的N2参考点发送的新消息(即，先前未定义)。本公开使用通用术语“N2 msg”来指代这些消息。

在步骤6，TNGF2 503通过向UE 205发送5G质询分组来启动TNGF重新认证程序(情况B信令)(见消息传递629)。此分组含有步骤B2b中包含的TNonce值、第一消息认证码(MAC1)、TNGF2 503的TNGF地址(即，“TNGF2地址”)及TNGF2-ID。因为UE205接收TNGF2地址及TNGF2-ID，所以其确定服务TNGF已改变。MAC1可使用上文方程式2及取代参数“存储于TNGF中的TNGF密钥”作为KDF的输入的TNGF*密钥来导出。再次，额外参数可用于MAC1导出，例如由TNGF2 503创建的另一随机数值或上文提到的计数器参数，计数器参数在每个TNGF重新认证程序等处增大。

在步骤B6，UE 205应用TNonce以通过使用方程式6来导出新TNGF的新TNGF密钥(TNGF*密钥)，其中参数“存储于TNGF1中的TNGF密钥”用存储于UE 205中的TNGF密钥取代(见框631)。在步骤7，UE 205使用TNonce及存储于UE中的TNGF*密钥导出XMAC1，如上文描述(见框531)。如果XMAC1值匹配接收到的MAC1值，那么TNGF2 503由UE 205认证。

在步骤8，UE 205创建新UNonce及使用UNonce、TNonce及存储于UE中的TNGF*密钥导出MAC2值，如上文描述(见框533)。程序600用图5C及5D中展示及上文描述的步骤完成TNGF重新认证程序(情况B信令)及后续NWt建立。换句话说，程序600在图5C继续。

图7描绘根据本公开的实施例的用户装备设备700的一个实施例。用户装备设备700可为远程单元105及/或UE 205的一个实施例。此外，用户装备设备700可包含处理器705、存储器710、输入装置715、输出装置720、收发器725。在一些实施例中，输入装置715及输出装置720经组合到单个装置中，例如触摸屏。在某些实施例中，用户装备设备700不包含任何输入装置715及/或输出装置720。

如描绘，收发器725包含至少一个发射器730及至少一个接收器735。在此，收发器725经由接入网络与移动核心网络(例如7GC)通信。另外，收发器725可支持至少一个网络接口740。在此，至少一个网络接口740促进与TNGF通信(例如，使用“NWt”接口)。另外，至少一个网络接口740可包含用于与AMF、SMF及/或UPF通信的接口。

在一个实施例中，处理器705可包含能够执行计算机可读指令及/或能够执行逻辑运算的任何已知控制器。举例来说，处理器705可为微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、场可编程门阵列(“FPGA”)或类似可编程控制器。在一些实施例中，处理器705执行存储于存储器710中的指令以执行本文中描述的方法及例程。处理器705通信地耦合到存储器710、输入装置715、输出装置720及收发器725。

在各个实施例中，处理器705控制用户装备设备700实施上述UE行为。在一些实施例中，处理器705与非3GPP接入网络中的第一接入点建立连接性。在此，第一接入点启动EAP会话以认证用户装备设备700。

处理器705发送含有NAI的第一EAP消息(例如图2A，步骤3的EAP响应/标识分组)。如果NAI指示用户装备设备700请求重新认证非3GPP接入网络中的TNGF，那么处理器705接收用于认证TNGF的第一EAP质询分组。如果NAI指示用户装备设备700请求启动与移动通信网络的NAS信令程序，那么处理器705接收EAP开始分组。在此，EAP开始分组触发处理器705向移动通信网络发送第一NAS消息。处理器705使用具有TNGF的第一EAP认证方法完成EAP会话。在此，第一EAP认证方法由第一EAP质询分组及EAP开始分组中的一者启动。

在此，EAP会话携带内部EAP认证方法。在一个实施例中，具有内部EAP认证的EAP会话包括具有EAP-AKA认证方法的EAP会话。在另一实施例中，具有内部EAP认证的EAP会话包括具有EAP-TLS认证方法的EAP会话。在其它实施例中，具有内部EAP认证的EAP会话包括具有EAP-5G认证方法的EAP会话。EAP会话及内部EAP认证方法两者用EAP成功(或EAP失败)分组完成。

在一些实施例中，第一EAP消息包括移动通信网络的标识及TNGF的标识。在此，用户装备设备700连接到TNGF且TNGF在用户装备设备700与移动通信网络之间中继NAS消息。在某些实施例中，NAS信令程序包括以下中的一者：NAS注册请求程序及NAS服务请求程序。

在一些实施例中，NAI指示用户装备设备700通过在NAI中包含重新认证标识符来请求重新认证TNGF。在一些实施例中，NAI指示用户装备设备700响应于确定到TNGF的重新连接经由第二接入点建立而请求重新认证TNGF。

在一些实施例中，第一EAP质询分组含有第一组参数(例如TNonce、MAC1)，其中处理器705使用第一组参数及存储于用户装备设备700中的TNGF密钥认证TNGF。在一些实施例中，第一组参数包含第一随机数及用于认证TNGF的第一消息认证码(MAC1)，其中处理器705使用第一随机数(例如TNonce)及存储于存储器710中的TNGF密钥认证第一消息认证码。

在各个实施例中，处理器705响应于成功认证TNGF而发送第二EAP质询分组，其中第二EAP质询分组包含第二随机数(例如UNonce)及通过使用存储于存储器710中的TNGF密钥、第二随机数及第一组参数中的至少一者(例如TNonce)来导出的第二消息认证码(MAC2)。

在某些实施例中，处理器705通过发送第二EAP质询分组及接收EAP成功分组来使用第一EAP认证方法完成EAP会话。在此，TNGF响应于使用第二EAP质询分组成功认证用户装备设备700而发送EAP成功分组。在某些实施例中，处理器705通过发送第二EAP质询分组及接收EAP失败分组来使用第一EAP认证方法完成EAP会话。在此，TNGF响应于使用第二EAP质询分组不成功认证用户装备设备700而发送EAP失败分组。

在一些实施例中，处理器705使用第二随机数及第一组参数中的至少一者导出用户装备设备700的新重新认证标识符，其中处理器705使用第二随机数及第一组参数中的至少一者进一步导出新TNAP密钥，且其中处理器705使用新TNAP密钥来与第二接入点建立安全关联。

在一些实施例中，第一组参数进一步包含TNGF标识(例如TNGF2-ID)及TNGF的网络地址(例如TNGF2地址)，其中TNGF标识及网络地址中的至少一者指示服务TNGF的变化。在某些实施例中，处理器705使用存储于存储器710中的TNGF密钥、第一随机数及用户装备设备700的网络地址导出第二TNGF密钥(例如TNGF*密钥)。在此类实施例中，处理器705使用第一随机数(例如TNonce)及第二TNGF密钥认证第一消息认证码(MAC1)。

在一个实施例中，存储器710是计算机可读存储媒体。在一些实施例中，存储器710包含易失性计算机存储媒体。举例来说，存储器710可包含RAM，包含动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)及/或静态RAM(“SRAM”)。在一些实施例中，存储器710包含非易失性计算机存储媒体。举例来说，存储器710可包含硬盘驱动器、快闪存储器或任何其它合适非易失性计算机存储装置。在一些实施例中，存储器710包含易失性及非易失性计算机存储媒体两者。

在一些实施例中，存储器710存储与支持TNGF重新认证相关的数据，例如存储安全密钥、IP地址及类似物。在某些实施例中，存储器710还存储程序代码及相关数据，例如在用户装备设备700上操作的操作系统(“OS”)或其它控制器算法及一或多个软件应用。

在一个实施例中，输入装置715可包含任何已知计算机输入装置，包含触摸板、按钮、键盘、光笔、麦克风或类似物。在一些实施例中，输入装置715可与输出装置720集成为例如触摸屏或类似触敏显示器。在一些实施例中，输入装置715包含触摸屏，使得文字可使用显示于触摸屏上的虚拟键盘及/或通过在触摸屏上手写来输入。在一些实施例中，输入装置715包含两个或更多个不同装置，例如键盘及触摸板。

在一个实施例中，输出装置720可包含任何已知电子可控显示器或显示器装置。输出装置720可经设计以输出视觉、听觉及/或触觉信号。在一些实施例中，输出装置720包含能够向用户输出视觉数据的电子显示器。举例来说，输出装置720可包含(但不限于)能够向用户输出图像、文字或类似物的LCD显示器、LED显示器、OLED显示器、投影仪或类似显示器装置。作为另一非限制性实例，输出装置720可包含穿戴式显示器，例如智能手表、智能眼镜、头戴式显示器或类似物。此外，输出装置720可为智能电话、个人数字助理、电视、桌面计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板或类似物的组件。

在某些实施例中，输出装置720包含用于产生声音的一或多个扬声器。举例来说，输出装置720可产生听觉警报或通知(例如哔哔声或铃声)。在一些实施例中，输出装置720包含用于产生振动、运动或其它触觉反馈的一或多个触觉装置。在一些实施例中，输出装置720的全部或部分可与输入装置715集成。举例来说，输入装置715及输出装置720可形成触摸屏或类似触敏显示器。在其它实施例中，输出装置720的全部或部分可位于输入装置715附近。

如上文论述，收发器725经由一或多个接入网络与移动通信网络的一或多个网络功能通信。收发器725在处理器705的控制下操作以发射消息、数据及其它信号且还接收消息、数据及其它信号。举例来说，处理器705可在特定时间选择性激活收发器(或其部分)以便发送及接收消息。

收发器725可包含一或多个发射器730及一或多个接收器735。尽管仅说明一个发射器730及一个接收器735，但用户装备设备700可具有任何合适数目个发射器730及接收器735。此外，发射器730及接收器735可为任何合适类型的发射器及接收器。在一个实施例中，收发器725包含用于经由许可无线电频谱与移动通信网络通信的第一发射器/接收器对及用于经由非许可无线电频谱与移动光通信网络通信的第二发射器/接收器对。

在某些实施例中，用于经由许可无线电频谱与移动通信网络通信的第一发射器/接收器对及用于经由非许可无线电频谱与移动通信网络通信的第二发射器/接收器对可组合到单个收发器单元中，例如执行功能以与许可及非许可无线电频谱两者一起使用的单个芯片。在一些实施例中，第一发射器/接收器对及第二发射器/接收器对可共享一或多个硬件组件。举例来说，某些收发器725、发射器730及接收器735可经实施为存取共享硬件资源及/或软件资源的物理分离组件，例如(举例来说)网络接口740。

在各个实施例中，一或多个发射器730及/或一或多个接收器735可经实施及/或集成到单个硬件组件中，例如多收发器芯片、单芯片系统、ASIC或其它类型的硬件组件。在某些实施例中，一或多个发射器730及/或一或多个接收器735可经实施及/或集成到多芯片模块中。在一些实施例中，例如网络接口740或其它硬件组件/电路的其它组件可与任何数目个发射器730及/或接收器735集成到单个芯片中。在此实施例中，发射器730及接收器735可逻辑地经配置为使用一或多个共同控制信号的收发器725或经配置为实施于相同硬件芯片或多芯片模块中的模块化发射器730及接收器735。

图8描绘根据本公开的实施例的用户装备设备800的一个实施例。在一些实施例中，网络装备设备800可为TNGF的一个实施例(即，TNGF1及/或TNGF2)。在其它实施例中，网络装备设备800可为AMF的一个实施例。此外，网络装备设备800可包含处理器805、存储器810、输入装置815、输出装置820、收发器825。在一些实施例中，输入装置815及输出装置820经组合到单个装置中，例如触摸屏。在某些实施例中，网络装备设备800不包含任何输入装置815及/或输出装置820。

如描绘，收发器825包含至少一个发射器830及至少一个接收器835。在此，收发器825与一或多个远程单元105通信。另外，收发器825可支持至少一个网络接口840，例如图1中描绘的NWt、N2及N3接口。在一些实施例中，收发器825支持用于与RAN节点通信的第一接口、用于与移动核心网络(例如8GC)中的一或多个网络功能通信的第二接口及用于与远程单元(例如UE)通信的第三接口。

在一个实施例中，处理器805可包含能够执行计算机可读指令及/或能够执行逻辑运算的任何已知控制器。举例来说，处理器805可为微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、场可编程门阵列(“FPGA”)或类似可编程控制器。在一些实施例中，处理器805执行存储于存储器810中的指令以执行本文中描述的方法及例程。处理器805通信地耦合到存储器810、输入装置815、输出装置820及第一收发器825。

在各个实施例中，处理器805控制网络装备设备800实施上述TNGF1行为。在一些实施例中，处理器805从UE接收含有NAI的第一EAP消息及响应于NAI指示UE请求重新认证TNGF1而发送第一EAP质询分组。在此，第一EAP质询分组用于认证UE的TNGF1。

处理器805响应于NAI指示UE请求启动与移动通信网络的NAS信令程序而向UE发送EAP开始分组。在此，EAP开始分组触发UE向移动通信网络发送第一NAS消息。处理器805使用第一EAP认证方法完成与UE的EAP会话。在此，第一EAP认证方法由第一EAP质询分组及EAP开始分组中的一者启动。

在一些实施例中，第一EAP质询分组含有第一组参数。在此，第一组参数包含第一随机数及通过使用第一随机数(例如TNonce)及存储于存储器810中的TNGF密钥来导出的第一消息认证码(MAC1)。在此类实施例中，UE使用第一消息认证码来认证TNGF1。

在一些实施例中，处理器805从UE接收第二EAP质询分组。在此，UE响应于成功认证第一EAP质询分组而发送第二EAP质询分组。在此类实施例中，第二EAP质询分组包含第二随机数(例如UNonce)及通过使用存储于UE中的TNGF密钥、第二随机数及第一组参数中的至少一者(例如TNonce)来导出的第二消息认证码(MAC2)。

在各个实施例中，处理器805使用第二EAP质询分组进一步认证UE。在某些实施例中，处理器805使用第二EAP质询分组进一步认证UE，其中处理器805通过响应于不成功认证UE而发送EAP失败分组来使用第一EAP认证方法完成EAP会话。

在一些实施例中，处理器805通过响应于成功认证UE而发送EAP成功分组来使用第一EAP认证方法完成EAP会话。在一些实施例中，处理器805响应于使用第二随机数及第一组参数中的至少一者成功认证UE而导出UE的新重新认证标识符。另外，处理器805使用第二随机数及第一组参数中的至少一者导出新TNAP密钥。在此类实施例中，UE使用新TNAP密钥保护空中接口上的通信。

在各个实施例中，NAI指示UE通过在NAI中包含重新认证标识符来请求重新认证TNGF1。

在一些实施例中，UE重新认证不同于网络装备设备800的TNGF。在此类实施例中，处理器805响应于用移动通信网络成功认证UE而产生UE的UE上下文及从第一网络功能(例如TNGF2或AMF)接收对UE上下文的第一请求。在此，第一请求包含第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，第一请求指示目标网关功能(例如TNGF2)服务于UE。

处理器805使用第一组参数中的至少一者及存储于UE上下文中的第二安全密钥(例如TNGF密钥)导出第一安全密钥(例如TNGF*密钥)。处理器805经由网络接口840向第一网络功能发送经修改UE上下文，经修改UE上下文包含第一安全密钥。

在一些实施例中，处理器805响应于用移动通信网络成功认证UE而产生UE的重新认证标识，其中第一组参数包含UE的重新认证标识、第一随机数(例如TNonce)及目标网关功能的网关功能标识。

在一些实施例中，经修改UE上下文进一步包含UE的UE标识、服务于UE的AMF的标识及PDU会话资源列表。在某些实施例中，第一网络功能是目标网关功能。在其它实施例中，第一网络功能是服务于UE的AMF。

在各个实施例中，处理器805控制网络装备设备800实施上述TNGF2行为。在此类实施例中，处理器805从UE接收含有NAI的第一EAP消息(例如图2A，步骤3的EAP响应/标识分组)。在此，NAI指示UE请求重新认证源网关功能(例如TNGF1)。处理器805接收UE的UE上下文及使用UE上下文导出第一EAP质询分组。处理器805经由网络接口840向UE发送第一EAP质询分组。在此，第一EAP质询分组用于认证UE的TNGF2。

在一些实施例中，处理器805确定TNGF2是否支持与源网关功能的信令交换(例如Tn接口)。在一些实施例中，接收UE上下文包含响应于TNGF2支持与源网关功能的信令交换而从源网关功能请求UE的UE上下文。在某些实施例中，处理器805通过向源网关功能发送第一请求来请求UE的UE上下文。在此，第一请求含有第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，包含TNGF2的网关功能标识及重新认证标识。在此类实施例中，重新认证标识用于识别存储于源网关功能中的UE上下文。

在一些实施例中，接收UE上下文包含响应于TNGF2不支持与源网关功能的连接性而从移动通信网络中的AMF请求UE上下文。在某些实施例中，处理器805通过向AMF发送第二请求来请求UE的UE上下文。在此，第二请求含有第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，包含TNGF2的网关功能标识、源网关功能的网关标识及重新认证标识。在此类实施例中，重新认证标识用于识别存储于源网关功能中的UE上下文。

在一些实施例中，NAI指示UE通过在NAI中包含重新认证标识符来请求重新认证网关功能。在一些实施例中，EAP质询分组包含第一组参数且UE上下文包含从存储于源网关功能中的第二TNGF密钥(例如TNGF密钥)及第一组参数中的至少一者导出的源TNGF密钥(例如TNGF*密钥)。

在一些实施例中，第一组参数包含网关功能标识、第一随机数及通过使用第一随机数(例如TNonce)及源TNGF密钥来导出的第一消息认证码(例如MAC1)。在此，UE使用第一消息认证码来认证TNGF2。在某些实施例中，第一EAP质询分组进一步含有TNGF2的网络地址。在此，网关功能标识及网络地址中的至少一者向UE指示服务网关功能的变化。

在某些实施例中，处理器805从UE接收第二EAP质询分组，UE响应于成功认证TNGF2而发送第二EAP质询分组。在此类实施例中，第二EAP质询分组包含第二随机数(例如UNonce)及通过使用UE中的源TNGF密钥、第二随机数及第一组参数中的至少一者(例如TNonce)来导出的第二消息认证码(例如MAC2)。在各个实施例中，处理器805使用第二EAP质询分组进一步认证UE。

在一些实施例中，处理器805通过响应于成功认证UE而发送EAP成功分组来使用第一EAP认证方法完成EAP会话。在此类实施例中，处理器805响应于成功认证UE而进一步导出新TNAP密钥、新IPsec密钥及UE的重新认证标识符。在一个实施例中，处理器805使用第二随机数(例如UNonce)及来自第一组参数的至少一个参数导出TNAP密钥。在一个实施例中，处理器805使用第二随机数(例如UNonce)及来自第一组参数的至少一个参数导出重新认证标识符。在某些实施例中，UE上下文包含PDU会话资源列表。在此类实施例中，处理器使用IPsec密钥与UE建立IPsec连接(例如NWt连接)，且响应于建立IPsec连接而使用PDU会话资源列表与UE建立至少一个子安全关联。

在一些实施例中，处理器805使用第二EAP质询分组进一步认证UE。在此类实施例中，处理器805通过响应于不成功认证UE而发送EAP失败分组来使用第一EAP认证方法完成EAP会话。

在各个实施例中，处理器805控制网络装备设备800实施上述AMF行为。在一些实施例中，处理器805从目标网关功能(例如TNGF2)接收对UE的UE上下文的第一请求，第一请求识别源网关功能(例如TNGF1)。在此，第一请求包含第一组参数。

处理器805向源网关功能发送第二请求，第二请求指示目标网关功能服务于UE。在此，第二请求也包含第一组参数。处理器805经由网络接口840从源网关功能接收UE上下文及将UE上下文中继到目标网关功能。

在一些实施例中，第一组参数包含UE的重新认证标识及目标网关功能的网关功能标识。在一些实施例中，UE上下文包含UE的UE标识、AMF的标识(例如AMF-ID)、第一TNGF密钥及PDU会话资源列表。

在一个实施例中，存储器810是计算机可读存储媒体。在一些实施例中，存储器810包含易失性计算机存储媒体。举例来说，存储器810可包含RAM，包含动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)及/或静态RAM(“SRAM”)。在一些实施例中，存储器810包含非易失性计算机存储媒体。举例来说，存储器810可包含硬盘驱动器、快闪存储器或任何其它合适非易失性计算机存储装置。在一些实施例中，存储器810包含易失性及非易失性计算机存储媒体两者。

在一些实施例中，存储器810存储与支持TNGF重新认证相关的数据，例如存储安全密钥、IP地址、UE上下文及类似物。在某些实施例中，存储器810还存储程序代码及相关数据，例如在网络装备设备800上操作的操作系统(“OS”)或其它控制器算法及一或多个软件应用。

在一个实施例中，输入装置815可包含任何已知计算机输入装置，包含触摸板、按钮、键盘、光笔、麦克风或类似物。在一些实施例中，输入装置815可与输出装置820集成为例如触摸屏或类似触敏显示器。在一些实施例中，输入装置815包含触摸屏，使得文字可使用显示于触摸屏上的虚拟键盘及/或通过在触摸屏上手写来输入。在一些实施例中，输入装置815包含两个或更多个不同装置，例如键盘及触摸板。

在一个实施例中，输出装置820可包含任何已知电子可控显示器或显示器装置。输出装置820可经设计以输出视觉、听觉及/或触觉信号。在一些实施例中，输出装置820包含能够向用户输出视觉数据的电子显示器。举例来说，输出装置820可包含(但不限于)能够向用户输出图像、文字或类似物的LCD显示器、LED显示器、OLED显示器、投影仪或类似显示器装置。作为另一非限制性实例，输出装置820可包含穿戴式显示器，例如智能手表、智能眼镜、头戴式显示器或类似物。此外，输出装置820可为智能电话、个人数字助理、电视、桌面计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板或类似物的组件。

在某些实施例中，输出装置820包含用于产生声音的一或多个扬声器。举例来说，输出装置820可产生听觉警报或通知(例如哔哔声或铃声)。在一些实施例中，输出装置820包含用于产生振动、运动或其它触觉反馈的一或多个触觉装置。在一些实施例中，输出装置820的全部或部分可与输入装置815集成。举例来说，输入装置815及输出装置820可形成触摸屏或类似触敏显示器。在其它实施例中，输出装置820的全部或部分可位于输入装置815附近。

如上文论述，收发器825可与提供对一或多个PLMN的接入的一或多个远程单元及/或一或多个交互运作功能通信。收发器825还可与一或多个网络功能(例如，在移动核心网络140中)通信。收发器825在处理器805的控制下操作以发射消息、数据及其它信号且还接收消息、数据及其它信号。举例来说，处理器805可在特定时间选择性激活收发器(或其部分)以便发送及接收消息。

收发器825可包含一或多个发射器830及一或多个接收器835。在某些实施例中，一或多个发射器830及/或一或多个接收器835可共享收发器硬件及/或电路系统。举例来说，一或多个发射器830及/或一或多个接收器835可共享天线、天线调谐器、放大器、滤波器、振荡器、混合器、调制器/解调器、电力供应器及类似物。在一个实施例中，收发器825使用不同通信协议或协议栈实施多个逻辑收发器，同时使用共同物理硬件。

图9描绘根据本公开的实施例的用于支持TNGF重新认证的方法900的一个实施例。在各个实施例中，方法900由UE执行，例如上述远程单元105、UE 205及/或用户装备设备700。在一些实施例中，方法900由处理器执行，例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似物。

方法900开始且与非3GPP接入网络中的第一接入点建立905连接性。方法900包含发送910含有NAI的第一EAP消息。

方法900包含响应于NAI指示UE请求重新认证非3GPP接入网络中的网关功能而接收915用于认证网关功能的第一EAP质询分组。

方法900包含响应于NAI指示UE请求启动与移动通信网络的NAS信令程序而接收920EAP开始分组。在此，EAP开始分组触发UE向移动通信网络发送第一NAS消息。

方法900包含使用具有网关功能的第一EAP认证方法完成925EAP会话。在此，第一EAP认证方法由第一EAP质询分组及EAP开始分组中的一者启动。方法900结束。

图10描绘根据本公开的实施例的用于支持TNGF重新认证的方法1000的一个实施例。在各个实施例中，方法1000由TNGF执行，例如上述TNGF-1 125、TNGF 213、TNGF1 501及/或网络装备设备800。在一些实施例中，方法1000由处理器执行，例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似物。

方法1000开始且从远程单元(即，UE)接收1005含有NAI的第一EAP消息。方法1000包含响应于NAI指示UE请求重新认证TNGF而发送1010第一EAP质询分组。在此，第一EAP质询分组用于认证UE的TNGF。

方法1000包含响应于NAI指示UE请求启动与移动通信网络的NAS信令程序而向UE发送1015EAP开始分组。在此，EAP开始分组触发UE向移动通信网络发送第一NAS消息。

方法1000包含使用第一EAP认证方法完成1020与UE的EAP会话。在此，第一EAP认证方法由第一EAP质询分组及EAP开始分组中的一者启动。方法1000结束。

图11描绘根据本公开的实施例的用于支持TNGF重新认证的方法1100的一个实施例。在各个实施例中，方法1100由目标TNGF执行，例如上述TNGF-2 127、TNGF 213、TNGF2503及/或网络装备设备800。在一些实施例中，方法1100由处理器执行，例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似物。

方法1100开始且从远程单元(即，UE)接收1105含有NAI的第一EAP消息。在此，NAI指示UE请求重新认证源网关功能。方法1100包含接收1110UE的UE上下文。

方法1100包含使用UE上下文导出1115第一EAP质询分组。方法1100包含向UE发送1120第一EAP质询分组。在此，第一EAP质询分组用于认证UE的目标TNGF。方法1100结束。

图12描绘根据本公开的实施例的用于支持TNGF重新认证的方法1200的一个实施例。在各个实施例中，方法1200由源TNGF执行，例如上述TNGF-1 125、TNGF 213、TNGF1 501及/或网络装备设备800。在一些实施例中，方法1200由处理器执行，例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似物。

方法1200开始且响应于用移动通信网络成功认证远程单元(即，UE)而产生1205UE的UE上下文。方法1200包含从第一网络功能(例如TNGF2或AMF)接收1210对UE上下文的第一请求。在此，第一请求包含第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，第一请求指示目标网关功能(例如TNGF2)服务于UE。

方法1200包含使用第一组参数中的至少一者及存储于UE上下文中的第二安全密钥(例如TNGF密钥)导出1215第一安全密钥(例如TNGF*密钥)。方法1200包含向第一网络功能发送1220经修改UE上下文，经修改UE上下文包含第一安全密钥。方法1200结束。

图13描绘根据本公开的实施例的用于支持TNGF重新认证的方法1300的一个实施例。在各个实施例中，方法1300由AMF执行，例如上述AMF 143、AMF 301及/或网络装备设备800。在一些实施例中，方法1300由处理器执行，例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似物。

方法1300开始且从目标网关功能(例如TNGF2)接收1305对远程单元(即，UE)的UE上下文的第一请求，第一请求识别源网关功能(例如TNGF1)。在此，第一请求包含第一组参数。

方法1300包含向源网关功能发送1310第二请求，第二请求指示目标网关功能服务于UE。在此，第二请求也包含第一组参数。

方法1300包含从源网关功能接收1315UE上下文。方法1300包含将UE上下文中继1320到目标网关功能。方法1300结束。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第一设备。第一设备可由UE实施，例如远程单元105、UE 205及/或用户装备设备700。第一设备包含与非3GPP接入网络通信的收发器及与非3GPP接入网络中的第一接入点建立连接性的处理器。在此，第一接入点启动EAP会话来认证UE。处理器发送含有NAI的第一EAP消息(例如图2A，步骤3的EAP响应/标识分组)。如果NAI指示UE请求重新认证非3GPP接入网络中的网关功能，那么处理器接收用于认证网关功能的第一EAP质询分组。如果NAI指示UE请求启动与移动通信网络的NAS信令程序，那么处理器接收EAP开始分组。在此，EAP开始分组触发处理器向移动通信网络发送第一NAS消息。处理器使用具有网关功能的第一EAP认证方法完成EAP会话。在此，第一EAP认证方法由第一EAP质询分组及EAP开始分组中的一者启动。

在一些实施例中，第一EAP消息包含移动通信网络的标识及网关功能的标识。在此，UE连接到网关功能且网关功能在UE与移动通信网络之间中继NAS消息。在某些实施例中，NAS信令程序包含以下中的一者：NAS注册请求程序及NAS服务请求程序。

在一些实施例中，NAI指示UE通过在NAI中包含重新认证标识符来请求重新认证网关功能。在一些实施例中，NAI指示UE响应于确定到网关功能的重新连接经由第二接入点建立而请求重新认证网关功能。

在一些实施例中，第一EAP质询分组含有第一组参数(例如TNonce、MAC1)，其中处理器使用第一组参数及存储于UE中的TNGF密钥认证网关功能。在一些实施例中，第一组参数包含第一随机数及用于认证网关功能的第一消息认证码(MAC1)，其中处理器使用第一随机数(例如TNonce)及存储于UE中的TNGF密钥认证第一消息认证码。

在各个实施例中，处理器响应于成功认证网关功能而发送第二EAP质询分组，其中第二EAP质询分组包含第二随机数(例如UNonce)及通过使用存储于UE中的TNGF密钥、第二随机数及第一组参数中的至少一者(例如TNonce)来导出的第二消息认证码(MAC2)。

在某些实施例中，处理器通过发送第二EAP质询分组及接收EAP成功分组来使用第一EAP认证方法完成EAP会话。在此，网关功能响应于使用第二EAP质询分组成功认证UE而发送EAP成功分组。在某些实施例中，处理器通过发送第二EAP质询分组及接收EAP失败分组来使用第一EAP认证方法完成EAP会话。在此，网关功能响应于使用第二EAP质询分组不成功认证UE而发送EAP失败分组。

在一些实施例中，处理器使用第二随机数及第一组参数中的至少一者导出UE的新重新认证标识符，其中处理器使用第二随机数及第一组参数中的至少一者进一步导出新TNAP密钥，且其中处理器使用新TNAP密钥与第二接入点建立安全关联。

在一些实施例中，第一组参数进一步包含网关功能标识(例如TNGF2-ID)及网关功能的网络地址(例如TNGF2地址)，其中网关功能标识及网络地址中的至少一者指示服务网关功能的变化。在某些实施例中，处理器使用存储于UE中的TNGF密钥、第一随机数及UE的网络地址导出第二TNGF密钥(例如TNGF*密钥)。在此类实施例中，处理器使用第一随机数(例如TNonce)及第二TNGF密钥认证第一消息认证码(MAC1)。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第一方法。第一方法可由UE执行，例如远程单元105、UE 205及/或用户装备设备700。第一方法包含与非3GPP接入网络中的第一接入点建立连接性。在此，第一接入点启动EAP会话来认证UE。第一方法包含发送含有NAI的第一EAP消息(例如图2A，步骤3的EAP响应/标识分组)。如果NAI指示UE请求重新认证非3GPP接入网络中的网关功能，那么第一方法包含接收用于认证网关功能的第一EAP质询分组。如果NAI指示UE请求启动与移动通信网络的NAS信令程序，那么第一方法包含接收EAP开始分组。在此，EAP开始分组触发UE向移动通信网络发送第一NAS消息。第一方法包含使用具有网关功能的第一EAP认证方法完成EAP会话。在此，第一EAP认证方法由第一EAP质询分组及EAP开始分组中的一者启动。

在一些实施例中，第一EAP消息包含移动通信网络的标识及网关功能的标识。在此，UE连接到网关功能且其中网关功能在UE与移动通信网络之间中继NAS消息。在某些实施例中，NAS信令程序包含以下中的一者：NAS注册请求程序及NAS服务请求程序。

在一些实施例中，NAI指示UE通过在NAI中包含重新认证标识符来请求重新认证网关功能。在一些实施例中，NAI指示UE响应于确定到网关功能的重新连接经由第二接入点建立而请求重新认证网关功能。

在一些实施例中，第一EAP质询分组含有第一组参数(例如TNonce、MAC1)，其中第一方法包含使用第一组参数及存储于UE中的TNGF密钥认证网关功能。在一些实施例中，第一组参数包含第一随机数及用于认证网关功能的第一消息认证码(MAC1)，其中第一方法包含使用第一随机数(例如TNonce)及存储于UE中的TNGF密钥认证第一消息认证码。

在各个实施例中，第一方法包含响应于成功认证网关功能而发送第二EAP质询分组，其中第二EAP质询分组包含第二随机数(例如UNonce)及通过使用存储于UE中的TNGF密钥、第二随机数及第一组参数中的至少一者(例如TNonce)来导出的第二消息认证码(MAC2)。

在某些实施例中，第一方法包含通过发送第二EAP质询分组及接收EAP成功分组来使用第一EAP认证方法完成EAP会话。在此，网关功能响应于使用第二EAP质询分组成功认证UE而发送EAP成功分组。在某些实施例中，第一方法包含通过发送第二EAP质询分组及接收EAP失败分组来使用第一EAP认证方法完成EAP会话。在此，网关功能响应于使用第二EAP质询分组不成功认证UE而发送EAP失败分组。

在一些实施例中，第一方法包含使用第二随机数及第一组参数中的至少一者导出UE的新重新认证标识符，其中第一方法包含使用第二随机数及第一组参数中的至少一者进一步导出新TNAP密钥，且其中第一方法包含使用新TNAP密钥与第二接入点建立安全关联。

在一些实施例中，第一组参数进一步包含网关功能标识(例如TNGF2-ID)及网关功能的网络地址(例如TNGF2地址)，其中网关功能标识及网络地址中的至少一者指示服务网关功能的变化。在某些实施例中，第一方法包含使用存储于UE中的TNGF密钥、第一随机数及UE的网络地址导出第二TNGF密钥(例如TNGF*密钥)。在此类实施例中，第一方法包含使用第一随机数(例如TNonce)及第二TNGF密钥认证第一消息认证码(MAC1)。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第二设备。第二设备可由TNGF实施，例如TNGF-1 125、TNGF 213、TNGF1 501及/或网络装备设备800。第二设备包含与远程单元(即，UE)及移动通信网络通信的网络接口。第二设备包含处理器，其从UE接收含有NAI的第一EAP消息及响应于NAI指示UE请求重新认证TNGF而发送第一EAP质询分组。在此，第一EAP质询分组用于认证UE的TNGF。处理器响应于NAI指示UE请求启动与移动通信网络的NAS信令程序而向UE发送EAP开始分组。在此，EAP开始分组触发UE向移动通信网络发送第一NAS消息。处理器使用第一EAP认证方法完成与UE的EAP会话。在此，第一EAP认证方法由第一EAP质询分组及EAP开始分组中的一者启动。

在一些实施例中，第一EAP质询分组含有第一组参数。在此，第一组参数包含第一随机数及通过使用第一随机数(例如TNonce)及存储于TNGF中的TNGF密钥来导出的第一消息认证码(MAC1)。在此类实施例中，UE使用第一消息认证码来认证TNGF。

在一些实施例中，处理器从UE接收第二EAP质询分组。在此，UE响应于成功认证第一EAP质询分组而发送第二EAP质询分组。在此类实施例中，第二EAP质询分组包含第二随机数(例如UNonce)及通过使用存储于UE中的TNGF密钥、第二随机数及第一组参数中的至少一者(例如TNonce)来导出的第二消息认证码(MAC2)。

在各个实施例中，处理器使用第二EAP质询分组进一步认证UE。在某些实施例中，处理器使用第二EAP质询分组进一步认证UE，其中处理器通过响应于不成功认证UE而发送EAP失败分组来使用第一EAP认证方法完成EAP会话。

在一些实施例中，处理器通过响应于成功认证UE而发送EAP成功分组来使用第一EAP认证方法完成EAP会话。在一些实施例中，处理器响应于使用第二随机数及第一组参数中的至少一者成功认证UE来导出UE的新重新认证标识符。另外，处理器使用第二随机数及第一组参数中的至少一者导出新TNAP密钥。在此类实施例中，UE使用新TNAP密钥保护空中接口上的通信。

在各个实施例中，NAI指示UE通过在NAI中包含重新认证标识符来请求重新认证TNGF。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第二方法。第二方法可由TNGF实施，例如TNGF-1 125、TNGF 213、TNGF1 501及/或网络装备设备800。第二方法包含从远程单元(即，UE)接收含有NAI的第一EAP消息及响应于NAI指示UE请求重新认证TNGF而发送第一EAP质询分组。在此，第一EAP质询分组用于认证UE的TNGF。第二方法包含响应于NAI指示UE请求启动与移动通信网络的NAS信令程序而向UE发送EAP开始分组。在此，EAP开始分组触发UE向移动通信网络发送第一NAS消息。第二方法包含使用第一EAP认证方法完成与UE的EAP会话。在此，第一EAP认证方法由第一EAP质询分组及EAP开始分组中的一者启动。

在一些实施例中，第一EAP质询分组含有第一组参数。在此，第一组参数包含第一随机数及通过使用第一随机数(例如TNonce)及存储于TNGF中的TNGF密钥来导出的第一消息认证码(MAC1)。在此类实施例中，UE使用第一消息认证码来认证TNGF。

在一些实施例中，第二方法包含从UE接收第二EAP质询分组。在此，UE响应于成功认证第一EAP质询分组而发送第二EAP质询分组。在此类实施例中，第二EAP质询分组包含第二随机数(例如UNonce)及通过使用存储于UE中的TNGF密钥、第二随机数及第一组参数中的至少一者(例如TNonce)来导出的第二消息认证码(MAC2)。

在各个实施例中，第二方法包含使用第二EAP质询分组认证UE。在某些实施例中，TNGF通过响应于不成功认证UE而发送EAP失败分组来使用第一EAP认证方法完成EAP会话。

在一些实施例中，TNGF通过响应于成功认证UE而发送EAP成功分组来使用第一EAP认证方法完成EAP会话。在一些实施例中，第二方法包含响应于使用第二随机数及第一组参数中的至少一者成功认证UE而导出UE的新重新认证标识符。另外，第二方法包含使用第二随机数及第一组参数中的至少一者导出新TNAP密钥。在此类实施例中，UE使用新TNAP密钥保护空中接口上的通信。

在各个实施例中，NAI指示UE通过在NAI中包含重新认证标识符来请求重新认证TNGF。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第三设备。第三设备可由目标TNGF实施，例如TNGF-2 127、TNGF 213、TNGF2 503及/或网络装备设备800。第三设备包含与远程单元(即，UE)及移动通信网络通信的网络接口。第三设备包含从UE接收含有NAI的第一EAP消息(例如图2A，步骤3的EAP响应/标识分组)的处理器。在此，NAI指示UE请求重新认证源网关功能。处理器接收UE的UE上下文及使用UE上下文导出第一EAP质询分组。处理器经由网络接口向UE发送第一EAP质询分组。在此，第一EAP质询分组用于认证UE的目标TNGF。

在一些实施例中，处理器确定目标TNGF是否支持与源网关功能的信令交换(例如Tn接口)。在一些实施例中，接收UE上下文包含响应于目标TNGF支持与源网关功能的信令交换而从源网关功能请求UE的UE上下文。在某些实施例中，处理器通过向源网关功能发送第一请求来请求UE的UE上下文。在此，第一请求含有第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，包含目标TNGF的网关功能标识及重新认证标识。在此类实施例中，重新认证标识用于识别存储于源网关功能中的UE上下文。

在一些实施例中，接收UE上下文包含响应于目标TNGF不支持与源网关功能的连接性而从移动通信网络中的AMF请求UE上下文。在某些实施例中，处理器通过向AMF发送第二请求来请求UE的UE上下文。在此，第二请求含有第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，包含目标TNGF网关功能的标识、源网关功能的网关标识及重新认证标识。在此类实施例中，重新认证标识用于识别存储于源网关功能中的UE上下文。

在一些实施例中，NAI指示UE通过在NAI中包含重新认证标识符来请求重新认证网关功能。在一些实施例中，EAP质询分组包含第一组参数且UE上下文包含从存储于源网关功能中的第二TNGF密钥(例如TNGF密钥)及第一组参数中的至少一者导出的源TNGF密钥(例如TNGF*密钥)。

在一些实施例中，第一组参数包含网关功能标识、第一随机数及通过使用第一随机数(例如TNonce)及源TNGF密钥来导出的第一消息认证码(例如MAC1)。在此，UE使用第一消息认证码来认证目标TNGF。在某些实施例中，第一组参数进一步含有目标TNGF的网络地址。在此，网关功能标识及网络地址中的至少一者向UE指示服务网关功能的变化。

在某些实施例中，处理器从UE接收第二EAP质询分组，UE响应于成功认证目标TNGF而发送第二EAP质询分组。在此类实施例中，第二EAP质询分组包含第二随机数(例如UNonce)及通过使用UE中的源TNGF密钥、第二随机数及第一组参数中的至少一者(例如TNonce)来导出的第二消息认证码(例如MAC2)。在各个实施例中，处理器使用第二EAP质询分组进一步认证UE。

在一些实施例中，处理器响应于成功认证UE而发送EAP成功分组。在此类实施例中，处理器使用第二随机数(例如UNonce)及第一组参数中的至少一者进一步导出新TNAP密钥、新IPsec密钥及UE的新重新认证标识符。在某些实施例中，UE上下文包含PDU会话资源列表。在此类实施例中，处理器使用IPsec密钥来与UE建立IPsec连接(例如NWt连接)，且响应于建立IPsec连接而使用PDU会话资源列表与UE建立至少一个子安全关联。

在一些实施例中，处理器使用第二EAP质询分组进一步认证UE。在此类实施例中，处理器响应于不成功认证UE而发送EAP失败分组。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第三方法。第三方法可由目标TNGF实施，例如TNGF-2 127、TNGF 213、TNGF2 503及/或网络装备设备800。第三方法包含从远程单元(即，UE)接收含有NAI的第一EAP消息(例如图2A，步骤3的EAP响应/标识分组)。在此，NAI指示UE请求重新认证源网关功能。第三方法包含接收UE的UE上下文及使用UE上下文导出第一EAP质询分组。第三方法包含向UE发送第一EAP质询分组。在此，第一EAP质询分组用于认证UE的目标TNGF。

在一些实施例中，第三方法包含确定目标TNGF是否支持与源网关功能的信令交换(例如Tn接口)。在一些实施例中，接收UE上下文包含响应于目标TNGF支持与源网关功能的信令交换而从源网关功能请求UE的UE上下文。在某些实施例中，第三方法包含通过向源网关功能发送第一请求来请求UE的UE上下文。在此，第一请求含有第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，包含目标TNGF的网关功能标识及重新认证标识。在此类实施例中，重新认证标识用于识别存储于源网关功能中的UE上下文。

在一些实施例中，接收UE上下文包含响应于目标TNGF不支持与源网关功能的连接性而从移动通信网络中的AMF请求UE上下文。在某些实施例中，第三方法包含通过向AMF发送第二请求来请求UE的UE上下文。在此，第二请求含有第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，包含目标TNGF的网关功能标识、源网关功能的网关标识及重新认证标识。在此类实施例中，重新认证标识用于识别存储于源网关功能中的UE上下文。

在一些实施例中，NAI指示UE通过在NAI中包含重新认证标识符来请求重新认证网关功能。在一些实施例中，EAP质询分组包含第一组参数且UE上下文包含从存储于源网关功能中的第二TNGF密钥(例如TNGF密钥)及第一组参数中的至少一者导出的源TNGF密钥(例如TNGF*密钥)。

在一些实施例中，第一组参数包含网关功能标识、第一随机数及通过使用第一随机数(例如TNonce)及源TNGF密钥来导出的第一消息认证码(例如MAC1)。在此，UE使用第一消息认证码来认证目标TNGF。在某些实施例中，第一组参数进一步含有目标TNGF的网络地址(例如TNGF2地址)。在此，网关功能标识及网络地址中的至少一者向UE指示服务网关功能的变化。

在某些实施例中，第三方法包含从UE接收第二EAP质询分组，UE响应于成功认证目标TNGF而发送第二EAP质询分组。在此类实施例中，第二EAP质询分组包含第二随机数(例如UNonce)及通过使用UE中的源TNGF密钥、第二随机数及第一组参数中的至少一者(例如TNonce)来导出的第二消息认证码(例如MAC2)。在各个实施例中，第三方法包含使用第二EAP质询分组进一步认证UE。

在一些实施例中，第三方法包含响应于成功认证UE而发送EAP成功分组。在此类实施例中，第三方法包含使用第二随机数(例如UNonce)及来自第一组参数的至少一个参数导出新TNAP密钥、新IPsec密钥及新重新认证标识符。在某些实施例中，UE上下文包含PDU会话资源列表。在此类实施例中，第三方法包含使用IPsec密钥来与UE建立IPsec连接(例如NWt连接)及响应于建立IPsec连接而与UE及PDU会话资源列表建立至少一个子安全关联。

在一些实施例中，第三方法包含使用第二EAP质询分组认证UE。在此类实施例中，第三方法包含响应于不成功认证UE而发送EAP失败分组。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第四设备。第四设备可由源TNGF实施，例如TNGF-1 125、TNGF 213、TNGF1 501及/或网络装备设备800。第四设备包含与远程单元(即，UE)及移动通信网络通信的网络接口。第四设备包含处理器，其响应于用移动通信网络成功认证UE而产生UE的UE上下文及从第一网络功能(例如TNGF2或AMF)接收对UE上下文的第一请求。在此，第一请求包含第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，第一请求指示目标网关功能(例如TNGF2)服务于UE。处理器使用第一组参数中的至少一者及存储于UE上下文中的第二安全密钥(例如TNGF密钥)导出第一安全密钥(例如TNGF*密钥)。处理器经由网络接口向第一网络功能发送经修改UE上下文，经修改UE上下文包含第一安全密钥。

在一些实施例中，处理器响应于用移动通信网络成功认证UE而产生UE的重新认证标识，其中第一组参数包含UE的重新认证标识、第一随机数(例如TNonce)及目标网关功能的网关功能标识。

在一些实施例中，经修改UE上下文进一步包含UE的UE标识、服务于UE的AMF的标识及PDU会话资源列表。在某些实施例中，第一网络功能是目标网关功能。在其它实施例中，第一网络功能是服务于UE的AMF。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第四方法。第四方法可由源TNGF实施，例如TNGF-1 125、TNGF 213、TNGF1 501及/或网络装备设备800。第四方法包含响应于用移动通信网络成功认证远程单元(即，UE)而产生UE的UE上下文及从第一网络功能(例如TNGF2或AMF)接收对UE上下文的第一请求。在此，第一请求包含第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)，第一请求指示目标网关功能(例如TNGF2)服务于UE。第四方法包含使用第一组参数中的至少一者及存储于UE上下文中的第二安全密钥(例如TNGF密钥)导出第一安全密钥(例如TNGF*密钥)。第四方法包含向第一网络功能发送经修改UE上下文，经修改UE上下文包含第一安全密钥。

在一些实施例中，第四方法包含响应于用移动通信网络成功认证UE而产生UE的重新认证标识，其中第一组参数包含UE的重新认证标识、第一随机数(例如TNonce)及目标网关功能的网关功能标识。

在一些实施例中，经修改UE上下文进一步包含UE的UE标识、服务于UE的AMF的标识及PDU会话资源列表。在某些实施例中，第一网络功能是目标网关功能。在其它实施例中，第一网络功能是服务于UE的AMF。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第五设备。第五设备可由AMF实施，例如AMF 143、AMF 301及/或网络装备设备800。第五设备包含与至少一个网关功能通信的网络接口。第五设备包含从目标网关功能(例如TNGF2)接收对远程单元(即，UE)的UE上下文的第一请求的处理器，第一请求识别源网关功能(例如TNGF1)。在此，第一请求包含第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)。处理器向源网关功能发送第二请求，第二请求指示目标网关功能服务于UE。在此，第二请求也包含第一组参数。处理器经由网络接口从源网关功能接收UE上下文及将UE上下文中继到目标网关功能。

在一些实施例中，第一组参数包含UE的重新认证标识及目标网关功能的网关功能标识。在一些实施例中，UE上下文包含UE的UE标识、服务于UE的AMF的AMF标识、第一TNGF密钥及PDU会话资源列表。

本文中公开根据本公开的实施例的用于支持TNGF重新认证的第五方法。第五方法可由AMF实施，例如AMF 143、AMF 301及/或网络装备设备800。第五方法包含从目标网关功能(例如TNGF2)接收对远程单元(即，UE)的UE上下文的第一请求，第一请求识别源网关功能(例如TNGF1)。在此，第一请求包含第一组参数(例如Reauth-ID、TNGF2-ID、TNonce)。第五方法包含向源网关功能发送第二请求，第二请求指示目标网关功能服务于UE。在此，第二请求也包含第一组参数。第五方法包含从源网关功能接收UE上下文及将UE上下文中继到目标网关功能。

在一些实施例中，第一组参数包含UE的重新认证标识及目标网关功能的网关功能标识。在一些实施例中，UE上下文包含UE的UE标识、服务于UE的AMF的AMF标识、第一TNGF密钥及PDU会话资源列表。

实施例可以其它特定形式实践。所描述实施例在所有方面应被视为仅具说明性而非限制性。本发明的范围因此由所附权利要求书而非由前述描述指示。在权利要求书的等效意义及范围内的所有变化包含于其范围内。

Claims (21)

1.一种设备，其包括：

收发器，其与非3GPP接入网络通信；及

处理器，其：

与所述非3GPP接入网络中的第一接入点建立连接性，其中所述第一接入点启动EAP会话来认证所述设备；

发送含有网络接入标识符(“NAI”)的第一EAP消息；

响应于所述NAI指示所述设备请求重新认证所述非3GPP接入网络中的网关功能而接收第一EAP质询分组，其中所述第一EAP质询分组用于认证所述网关功能；

响应于所述NAI指示所述设备请求启动与移动通信网络的非接入层(“NAS”)信令程序而接收EAP开始分组，其中所述EAP开始分组触发所述处理器向所述移动通信网络发送第一NAS消息；及

使用具有所述网关功能的第一EAP认证方法完成所述EAP会话，其中所述第一EAP认证方法由所述第一EAP质询分组及所述EAP开始分组中的一者启动。

2.根据权利要求1所述的设备，其中所述第一EAP消息包括用于所述移动通信网络的标识，其中所述第一EAP消息包括所述网关功能的标识，其中所述设备连接到所述网关功能且其中所述网关功能在所述设备与所述移动通信网络之间中继NAS消息。

3.根据权利要求1所述的设备，其中所述NAS信令程序包括以下中的一者：NAS注册请求程序及NAS服务请求程序。

4.根据权利要求1所述的设备，其中所述NAI指示所述设备通过在所述NAI中包含重新认证标识符来请求重新认证所述网关功能。

5.根据权利要求1所述的设备，其中所述NAI指示所述设备响应于确定到所述网关功能的重新连接经由第二接入点建立而请求重新认证所述网关功能。

6.根据权利要求1所述的设备，其中所述第一EAP质询分组含有第一组参数，其中所述处理器使用所述第一组参数及存储于所述设备中的TNGF密钥来认证所述网关功能。

7.根据权利要求6所述的设备，其中所述第一组参数进一步含有网关功能标识及所述网关功能的网络地址，其中所述网关功能标识及所述网络地址中的至少一者指示服务网关功能的变化。

8.根据权利要求7所述的设备，其中所述第一组参数包含第一随机数及用于认证所述网关功能的第一消息认证码，其中所述处理器使用存储于所述设备中的所述TNGF密钥、所述第一随机数及所述设备的所述网络地址导出第二TNGF密钥，其中所述处理器使用所述第一随机数及所述第二TNGF密钥认证所述第一消息认证码。

9.根据权利要求6所述的设备，其中所述第一组参数包含第一随机数及用于认证所述网关功能的第一消息认证码，其中所述处理器使用所述第一随机数及存储于所述设备中的TNGF密钥认证所述第一消息认证码。

10.根据权利要求9所述的设备，其中所述处理器响应于成功认证所述网关功能而发送第二EAP质询分组，其中所述第二EAP质询分组包含第二随机数及通过使用存储于所述设备中的所述TNGF密钥、所述第二随机数及所述第一组参数中的至少一者来导出的第二消息认证码。

11.根据权利要求10所述的设备，其中所述处理器通过发送所述第二EAP质询分组及接收EAP成功分组来使用所述第一EAP认证方法完成所述EAP会话，所述网关功能响应于使用所述第二EAP质询分组成功认证所述设备而发送所述EAP成功分组。

12.根据权利要求10所述的设备，其中所述处理器使用所述第二随机数及第一组参数中的至少一者导出所述设备的新重新认证标识符，其中所述处理器使用所述第二随机数及所述第一组参数中的至少一者进一步导出新TNAP密钥，且其中所述处理器使用所述新TNAP密钥来与所述第二接入点建立安全关联。

13.根据权利要求10所述的设备，其中所述处理器通过发送所述第二EAP质询分组及接收EAP失败分组来使用所述第一EAP认证方法完成所述EAP会话，所述网关功能响应于使用所述第二EAP质询分组不成功认证所述设备而发送所述EAP失败分组。

14.一种方法，其包括：

在远程单元与非3GPP接入网络中的第一接入点之间建立连接性，其中所述第一接入点启动EAP会话来认证所述远程单元；

由所述远程单元发送含有网络接入标识符(“NAI”)的第一EAP消息；

由所述远程单元响应于所述NAI指示所述远程单元请求重新认证所述非3GPP接入网络中的网关功能而接收第一EAP质询分组，其中所述第一EAP质询分组用于认证所述网关功能；

由所述远程单元响应于所述NAI指示所述远程单元请求启动与移动通信网络的非接入层(“NAS”)信令程序而接收EAP开始分组，其中所述EAP开始分组触发所述远程单元向所述移动通信网络发送第一NAS消息；及

使用具有所述网关功能的第一EAP认证方法完成EAP会话，其中所述第一EAP认证方法由所述第一EAP质询分组及所述EAP开始分组中的一者启动。

15.一种设备，其包括：

网络接口，其与远程单元及移动通信网络通信；及

处理器，其：

从所述远程单元接收含有网络接入标识符(“NAI”)的第一EAP消息；

响应于所述NAI指示所述远程单元请求重新认证所述设备而发送第一EAP质询分组，其中所述第一EAP质询分组用于认证所述远程单元的所述设备；

响应于所述NAI指示所述远程单元请求启动与所述移动通信网络的NAS信令程序而向所述远程单元发送EAP开始分组，其中所述EAP开始分组触发所述远程单元向所述移动通信网络发送第一NAS消息；及

使用第一EAP认证方法完成与所述远程单元的EAP会话，其中所述第一EAP认证方法由所述第一EAP质询分组及所述EAP开始分组中的一者启动。

16.根据权利要求15所述的设备，其中所述第一EAP质询分组含有第一组参数，所述第一组参数包括第一随机数及通过使用所述第一随机数及存储于所述设备中的TNGF密钥来导出的第一消息认证码，其中所述远程单元使用所述第一消息认证码来认证所述设备。

17.根据权利要求16所述的设备，其中所述处理器从所述远程单元接收第二EAP质询分组，所述远程单元响应于成功认证所述第一EAP质询分组而发送所述第二EAP质询分组，其中所述第二EAP质询分组包含第二随机数及通过使用存储于所述远程单元中的所述TNGF密钥、所述第二随机数及所述第一组参数中的至少一者来导出的第二消息认证码。

18.根据权利要求17所述的设备，其中所述处理器使用所述第二EAP质询分组进一步认证所述远程单元，其中所述处理器通过响应于成功认证所述远程单元而发送EAP成功分组来使用所述第一EAP认证方法完成所述EAP会话。

19.根据权利要求17所述的设备，其中所述处理器使用所述第二随机数及所述第一组参数中的至少一者导出所述远程单元的新重新认证标识符，其中所述处理器响应于成功认证所述远程单元而使用所述第二随机数及所述第一组参数中的至少一者进一步导出新TNAP密钥。

20.根据权利要求17所述的设备，其中所述处理器使用所述第二EAP质询分组进一步认证所述远程单元，其中所述处理器通过响应于不成功认证所述远程单元而发送EAP失败分组来使用所述第一EAP认证方法完成所述EAP会话。

21.根据权利要求15所述的设备，其中所述NAI指示所述远程单元通过在所述NAI中包含重新认证标识符来请求重新认证所述设备。

Images