[发明专利]异构网络的统一认证框架

权利要求书

1.一种直接与核心网进行通信的用户设备(User Equipment，UE)，其特征在于，包括：

第一通信设备；

第二通信设备；

认证管理模块；

处理器；

存储介质；

存储在所述存储介质上并且可由所述处理器执行以进行以下操作的指令：

对所述核心网进行第一次认证以获得安全上下文；以及

所述第一和第二通信设备中的一个使用来自所述认证管理模块的所述安全上下文对所述核心网进行第二次认证，以建立与所述核心网的连接。

2.根据权利要求1所述的UE，其特征在于，还包括：

响应于断开所述第一通信设备与所述核心网之间的连接，所述第一通信设备使用获得的所述安全上下文对所述核心网进行再一次认证。

3.根据权利要求1或2所述的UE，其特征在于，对所述核心网进行第一次认证以获得安全上下文的所述指令包括指示所述第一通信设备进行以下操作的指令：

将请求传输给所述认证管理模块以触发所述第一次认证；

接收来自所述认证管理模块的响应，其中，所述响应包括所述安全上下文。

4.根据权利要求3所述的UE，其特征在于，响应于接收来自所述第一通信设备的所述请求，并且所述认证管理模块不包含快速重认证ID，所述指令还包括指示所述认证管理模块进行以下操作的指令：

检索标识(所述UE ID)；

生成包括所述UE ID的请求并将其传输给所述核心网；以及

接收AKA质询消息，包括随机数(random number，RAND)和网络认证令牌(authentication token，AUTN)、快速重认证ID(Fast Re-authentication ID，FRID)和由所述核心网生成的消息认证码(message authentication code，MAC)；

使用下发给所述认证管理模块的密钥(IK)来验证所述MAC的有效性；

响应于所述MAC有效，使用AKA算法来计算认证向量；

通过将所述认证向量中的某些信息与所述AKA质询消息中的某些信息进行比较来确定认证是否成功。

5.根据权利要求4所述的UE，其特征在于，响应于成功认证，所述指令包括指示所述认证管理模块进行以下操作的指令：

生成第一密钥k0；

建立包括所述FRID、计数器和所述k0的所述安全上下文。

6.根据权利要求5所述的UE，其特征在于，响应于成功认证，所述指令包括指示所述认证管理模块进行以下操作的指令：

所述第一通信设备生成第二密钥k1，其中，所述第二密钥使用输入为以下组合中的任意两个或多个的密钥导出函数(key derivation function，KDF)来生成：k0或从k0导出的密钥、计数器、FRID、RAND以及在认证过程中由认证管理模块生成的或从网络接收到的NONCE。

7.根据权利要求1至6中任一项所述的UE，其特征在于，所述指令存储在所述存储介质上并且可由所述处理器执行，以进行以下操作：

将安全上下文从所述认证管理模块传输到所述第一和第二通信设备中的至少一个。