阅读说明：本技术 移动通信中错误ksi处理的改进 (improvement of wrong KSI handling in mobile communication ) 是由 马堤·摩伊沙嫩 雅各·斯托曼尼恩米 马各·塔帕尼·艾克瑟林 贾柯·埃斯凯利宁 马各·纳耶米 于 2019-04-08 设计创作，主要内容包括：描述了与移动通信中的错误密钥集标识符(KSI)处理的改进有关的各种示例。在处理器已经完成与无线网络的认证和密钥协商(AKA)过程之后,装置(例如,用户设备)从无线网络接收认证质询。该装置检测认证质询中的错误并处理认证质询中的错误。例如,该装置可以响应于检测到错误而拒绝认证质询。或者,该装置可以接受认证质询。(various examples are described relating to improvements in error Key Set Identifier (KSI) processing in mobile communications. After the processor has completed an Authentication and Key Agreement (AKA) procedure with the wireless network, the device (e.g., user equipment) receives an authentication challenge from the wireless network. The device detects errors in the authentication challenge and processes the errors in the authentication challenge. For example, the device may reject the authentication challenge in response to detecting the error. Alternatively, the device may accept an authentication challenge.)

移动通信中错误KSI处理的改进

相关申请的交叉引用

本发明是要求分别于2018年4月10日和2018年4月20日提交的申请号为62/655,319和62/660,280的美国专利申请的优先权益的非临时申请的一部分。上述申请的内容通过引用整体并入本发明。

技术领域

本发明一般涉及移动通信，并且更具体地，涉及对移动通信中的错误密钥集标识符(key set identifier，KSI)处理的改进。

背景技术

除非本发明另有说明，否则本部分中描述的方法不是下面列出的权利要求的现有技术，并且包括在本部分中而不被承认为现有技术。

根据第五代(5^th-Generation，5G)新无线电(New Radio，NR)移动通信的当前第三代合作伙伴计划(3^rd-Generation Partnership Project，3GPP)规范，5G安全上下文由用于5G的密钥集标识符(ngKSI)指示。用户设备(user equipment，UE)和网络可以存储有效的本地或映射的5G安全上下文。当建立新的呼叫发起(N1)非接入层(non-access stratum，NAS)信令连接时，其可用于保护NAS消息。

发明内容

以下概述仅是说明性的，并不旨在以任何方式进行限制。也就是说，提供以下概述以介绍本发明描述的新颖和非显而易见的技术的概念、要点、益处和优点。下面在详细描述中进一步描述选择实现。因此，以下发明内容并非旨在标识所要求保护的主题的必要特征，也不旨在用于确定所要求保护的主题的范围。

在一个方面，一种方法可以包括在装置的处理器已经完成与无线网络的认证和密钥协商(authentication and key agreement，AKA)过程之后，处理器从无线网络接收认证质询(authentication challenge)。该方法还可以包括处理器检测认证质询中的错误。该方法还可以包括处理器响应于检测到错误而拒绝认证质询。

在一个方面，一种方法可以包括在装置的处理器已经完成与无线网络的AKA过程之后，处理器从无线网络接收认证质询。该方法还可以包括处理器检测认证质询中的错误。该方法还可以包括处理器接受认证质询。

在一个方面，一种方法可以包括在装置的处理器已经完成与无线网络的AKA过程之后，处理器从无线网络接收认证质询。该方法还可以包括处理器检测认证质询中的错误。该方法还可以包括处理器在认证质询中处理错误。

值得注意的是，尽管这里提供的描述可以在某些无线电接入技术、网络和网络拓扑(例如5G系统中的新无线电(New Radio，NR)或非3GPP接入)的背景下，所提出的概念、方案和任何其变体/衍生物可以在其他类型的无线电接入技术、网络和网络拓扑中实现，例如但不限于，演进分组系统(Evolved Packet System，EPS)、通用地面无线电接入网络(Universal Terrestrial Radio Access Network，UTRAN)、演进UTRAN(Evolved UTRAN，E-UTRAN)、全球移动通信系统(Global System for Mobile communications，GSM)、通用分组无线服务(General Packet Radio Service，GPRS)/全球演进增强数据速率(EnhancedData rates for Global Evolution，EDGE)无线接入网(Enhanced Data rates forGlobal Evolution Radio Access Network，GERAN)、长期演进(Long-Term Evolution，LTE)、LTE-Advanced、LTE-Advanced Pro、物联网(Internet-of-Things，IoT)和窄带物联网(Narrow Band Internet of Things，NB-IoT)。因此，本发明的范围不限于本发明描述的示例。

附图说明

包括如下附图以提供对本发明的进一步理解，并且如下附图被并入并构成本发明的一部分。附图示出了本发明的实施方式，并且与说明书一起用于解释本发明的原理。可以理解的是，附图不一定按比例绘制，因为为了清楚地说明本发明的概念，一些组件可能被示出为与实际实施方式中的尺寸不成比例。

图1是可以实现根据本发明的各种解决方案的示例场景图。

图2是根据本发明的实施方式的示例通信系统的框图。

图3是根据本发明的实施方式的示例进程的流程图。

图4是根据本发明的实施方式的示例进程的流程图。

图5是根据本发明的实施方式的示例进程的流程图。

具体实施方式

本发明公开了所要求保护的主题的详细实施例和实施方式。然而，应该理解的是，所公开的实施例和实施方式仅仅是对要求保护的主题的说明，其可以以各种形式体现。然而，本发明可以以许多不同的形式实施，并且不应该被解释为限于这里阐述的示例性实施例和实施方式。而是，提供这些示例性实施例和实施方式，使得本发明的描述是彻底和完整的，并且将向本领域技术人员充分传达本发明的范围。在以下描述中，可以省略公知特征和技术的细节以避免不必要地模糊所呈现的实施例和实施方式。

概观

根据3GPP规范，在5G移动性管理(5G Mobility Management，5GMM)过程期间如果在初始NAS消息中包含ngKSI，则当网络发起基于5G AKA的主认证和密钥协商过程时，5G NR移动网络将在认证请求消息中包括不同的ngKSI值。此外，根据3GPP规范，如果基于5G AKA的主认证和密钥协商过程已成功完成并且相关的ngKSI存储在网络的5G系统(5G system，5GS)安全上下文中，则当网络启动新的基于5G AKA的主认证和密钥协商过程时，网络将在认证请求消息中包括不同的ngKSI值。

另外，根据3GPP规范，如果UE检测到认证质询参数错误，则UE可以拒绝由网络发送的5G认证质询。也就是说，UE可能由于错误认证质询参数(例如，媒体访问控制(mediumaccess control，MAC)代码失败、不接受非演进分组系统(non-Evolved Packet System，non-EPS)认证(例如，错误的“单独的比特(separate bit)”)、同步失败(例如，SQN失败))而拒绝核心网络。然而，在这种情况下，如果从网络接收的KSI已经在UE中使用，则UE无法拒绝认证。

此外，在本领域中已经检测到在一些情况下，尽管很少，网络可以利用已经在UE中使用的E-UTRAN的密钥集标识符(eKSI)来开始认证质询。如果网络丢失了UE的安全上下文(例如，由于位置更新或网络元件重启中的错误)，则会发生这种情况。在这种情况下，网络无法知道安全上下文是什么或者之前关于UE使用的eKSI。

可以看出，目前UE没有标准化的方式来克服由重叠的KSI引起的错误。因此，在本发明中提出了多种解决方法和/或方案来解决该问题。

图1示出了示例场景100，其中可以实现根据本发明的各种解决方案。如图1所示，场景100可以包括经由基站125(例如，gNB或发送-接收点(transmit-receive point，TRP))与无线网络120(例如，5G NR移动网络)进行无线通信的UE 110。在场景100中，最初UE 110和无线网络120可能已经成功地执行并完成了AKA过程130。随后，UE 110可以执行与无线网络120的过程，该过程导致或以其他方式触发无线网络120经由基站125向UE 110发送认证质询140。在从无线网络120接收到认证质询140时，UE 110可以检测认证质询140中的错误(例如，认证质询140中的错误KSI或者KSI已经被UE 110使用)。作为响应，UE 110可以基于根据本发明的各种解决方案中的一个或多个来处理认证质询140中的错误。例如，在处理错误时，UE 110可以向无线网络120发送响应150以拒绝或接受认证质询140。参考图1提供根据本发明的各种解决方案的以下描述。

在根据本发明的第一提出的解决方案下，在从无线网络120接收到具有错误KSI的认证质询时，UE 110可以通过用具有新原因值的指示认证失败的消息进行响应来拒绝认证质询。新原因值可以指示，例如但不限于，来自无线网络120的认证质询中的KSI是错误，KSI已经被UE 110使用或者安全上下文无效。有利地，这种指示可以使无线网络120以不同的KSI值重新启动认证质询。此外，在第一个提出的解决方案下，在发生认证失败时，尽管KSI错误，UE 110可以存储所接收的认证参数(例如，利用可选的信息元素)。在这种情况下，无线网络120将需要发送新的KSI，而无需无线网络120再次发送相同的认证参数。

在根据本发明的第二提出的解决方案下，在从无线网络120接收到具有错误KSI的认证质询时，UE 110可以以5GMM状态发送对认证质询的响应。5GMM状态可以具有现有原因值或新原因值，现有原因值或新原因值可以指示，例如但不限于，来自无线网络120的认证质询中的KSI是错误的、KSI已经被UE 110使用或者安全上下文无效。

在根据本发明的第三提出的解决方案下，在从无线网络120接收到具有错误KSI的认证质询时，UE 110可以执行一个或多个操作。例如，UE 110可以中止触发认证质询的过程。另外或替代地，UE 110可以删除当前安全上下文。另外或替代地，UE110可以执行以下任一操作：(a)重新启动触发认证质询的过程；(b)启动注册过程，向无线网络120指示没有密钥可用。在删除当前安全上下文(例如，删除ngKSI)时，UE 110可以将ngKSI设置为“无密钥可用”的值并且还考虑关联密钥K_AMF或K'_AMF'、5G NAS加密密钥和5G NAS完整性密钥无效。也就是说，与ngKSI相关联的5G安全上下文可能不再被视为有效。

在根据本发明的第四提出的解决方案下，在从无线网络120接收到具有错误KSI的认证质询时，UE 110可以接受认证质询。例如，UE 110可以清除现有KSI和相关安全上下文。另外，UE 110可以接受由接入和移动性管理功能(Access and Mobility managementFunction，AMF)提供的重叠KSI。在一些情况下，在接受认证质询时，UE 110可以利用新安全上下文执行与无线网络120的安全模式控制(a security mode control，SMC)过程。此外，UE 110可以向无线网络120发送认证响应。

在根据本发明的第五提出的解决方案下，在从无线网络120接收到具有错误KSI的认证质询时，UE 110可以通过拒绝与无线网络120的即将到来的SMC过程来接受认证质询。例如，UE 110可以向无线网络120发送具有指示拒绝即将到来的SMC过程的原因值的响应。

说明性实现

图2示出了根据本发明的实施方式的具有至少示例装置210和示例装置220的示例系统200。装置210和装置220中的每一个可以执行各种功能以实现本发明描述的与移动通信中的错误KSI处理的改进有关的方案、技术、进程和方法，包括上面关于各种提出的设计、概念、方案所描述的各种方案，以及上述描述的系统和方法，包括场景100，以及下面描述的进程300、400和500。

装置210和装置220中的每一个可以是电子装置的一部分，电子装置可以是网络装置或UE(例如，UE 110)，诸如便携式或移动装置、可穿戴装置、无线通信装置或计算装置。例如，装置210和装置220中的每一个可以在智能手机、智能手表、个人数字助理、数码相机或诸如平板计算机、膝上型计算机或笔记本计算机的计算设备中实现。装置210和装置220中的每一个也可以是机器类型装置的一部分，其可以是诸如非移动或固定装置的IoT装置、家庭装置、有线通信装置或计算装置。例如，装置210和装置220中的每一个可以在智能恒温器、智能冰箱、智能门锁、无线扬声器或家庭控制中心中实现。当在网络设备中或作为网络设备实现时，装置210和/或装置220可以在LTE，LTE-Advanced或LTE-Advanced Pro网络中的eNodeB中实现，或者在5G网络、NR网络或IoT网络中的gNB或TRP中实现。

在一些实施方式中，装置210和装置220中的每一个可以以一个或多个集成电路(integrated-circuit，IC)芯片的形式实现，例如但不限于，一个或多个单核处理器，一个或多个多核处理器，或一个或多个复杂指令集计算(complex-instruction-set-computing，CISC)处理器。在上述各种方案中，装置210和装置220中的每一个可以在网络装置或UE中实现或者作为网络装置或UE来实现。装置210和装置220中的每一个可以包括图2中所示的那些组件中的至少一些。例如，分别包括处理器212和处理器222。装置210和装置220中的每一个还可以包括与本发明的提出的方案无关的一个或多个其他组件(例如，内部电源、显示设备和/或用户接口设备)，并且因此为了简单和简洁起见，图2中既未示出装置210和装置220的这些组件也未在下面描述。

在一个方面，处理器212和处理器222中的每一个可以以一个或多个单核处理器，一个或多个多核处理器或一个或多个CISC处理器的形式实现。也就是说，即使这里使用单数术语“处理器”来指代处理器212和处理器222，根据本发明，在一些实施方式中，处理器212和处理器222中的每一个可以包括多个处理器，并且在其他实施方式中，可以包括单个处理器。在另一方面，处理器212和处理器222中的每一个可以以具有电子组件的硬件(以及可选地，固件)的形式实现，所述电子组件包括，例如但不限于，一个或多个晶体管、一个或多个二极管、一个或多个电容器、一个或多个电阻器、一个或多个电感器、一个或多个忆阻器和/或一个或多个变容二极管，其被配置和布置成实现根据本发明的特定目的。换句话说，在至少一些实施方式中，处理器212和处理器222中的每一个是专用机器，其专门设计、布置和配置成执行特定任务，包括与根据本发明的各种实施方式的移动通信中的错误KSI处理的改进有关的任务。

在一些实施方式中，装置210还可以包括耦接到处理器212的收发器216。收发器216能够无线地发送和接收数据。在一些实施方式中，收发器216能够与不同无线电接入技术(radio access technology，RAT)的不同类型的无线网络进行无线通信。在一些实施方式中，收发器216可以配备有多个天线端口(未示出)，例如，四个天线端口。也就是说，收发器216可以配备有用于多输入多输出(multiple-input multiple-output，MIMO)无线通信的多个发射天线和多个接收天线。在一些实施方式中，装置220还可以包括耦接到处理器222的收发器226。收发器226可以包括能够无线发送和接收数据的收发器。在一些实施方式中，收发器226能够与不同RAT的不同类型的UE/无线网络进行无线通信。在一些实施方式中，收发器226可以配备有多个天线端口(未示出)，例如，四个天线端口。也就是说，收发器226可以配备有用于MIMO无线通信的多个发射天线和多个接收天线。

在一些实施方式中，装置210可进一步包含存储器214，存储器214耦接到处理器212并能够由处理器212存取且在其中存储数据。在一些实施方式中，装置220还可以包括存储器224，存储器224耦接到处理器222并能够由处理器222访问且在其中存储数据。存储器214和存储器224中的每一个可以包括一种随机存取存储器(random-access memory，RAM)，例如动态RAM(dynamic RAM，DRAM)、静态RAM(static RAM，SRAM)、晶闸管RAM(thyristorRAM，T-RAM)和/或零电容器RAM(zero-capacitor RAM，Z-RAM)。可替代地或另外地，存储器214和存储器224中的每一个可以包括一种只读存储器(read-only memory，ROM)，诸如掩模ROM，可编程ROM(programmable ROM，PROM)、可擦除可编程ROM(erasable programmableROM，EPROM)和/或电可擦除可编程ROM(electrically erasable programmable ROM，EEPROM)。可替代地或另外地，存储器214和存储器224中的每一个可以包括一种类型的非易失性随机存取存储器(non-volatile random-access memory，NVRAM)，诸如闪存、固态存储器、铁电RAM(ferroelectric RAM，FeRAM)，磁阻RAM(magnetoresistive RAM，MRAM)和/或相变存储器。

装置210和装置220中的每一个可以是能够使用根据本发明的各种提出方案彼此通信的通信实体。出于说明性目的而非限制，下面提供作为UE的装置210和作为无线网络(例如，5G/NR移动网络)的服务小区的基站的装置220的能力的描述。值得注意的是，尽管下面描述的示例实施方式是在UE的背景下提供，但是其可以在基站中实现并由基站执行。因此，尽管以下对示例实施方式的描述涉及作为UE(例如，UE 110)的装置210，但是同样也适用于作为无线网络(例如，无线网络120)，例如5G NR移动网络，的网络节点或基站，诸如gNB，TRP或eNodeB(节点125)的装置220。

在根据本发明的各种提出的解决方案下，在装置210的处理器212已经完成与装置220的AKA过程之后，处理器212可以经由收发器216从装置220接收认证质询。此外，处理器212可以检测认证质询中的错误。此外，处理器212可以处理认证质询中的错误。

在一些实施方式中，在处理认证质询中的错误时，处理器212可以通过经由收发器216向装置220发送指示认证失败的响应来拒绝认证质询。在这种情况下，响应可能包括一个原因值用以指示认证质询中的第一KSI是错误的，或者第一KSI已在使用中。

在一些实施方式中，在处理认证质询中的错误时，尽管认证质询中的第一KSI是错误的或已经在使用，处理器212可以在存储器214中存储与认证质询相关联的一个或多个参数。在一些实施方式中，一个或多个参数可以包括可选的信息元素。

在一些实施方式中，在处理认证质询中的错误时，处理器212可以执行附加操作。例如，处理器212可以经由收发器216从装置220接收具有不同于第一KSI的第二KSI的后续(subsequent)认证质询。此外，处理器212可响应于接收具有第二KSI的后续认证质询而与装置220执行新的AKA过程。

在一些实施方式中，在处理认证质询中的错误时，处理器212可以经由收发器216向装置220发送对具有现有原因值或新原因值的5GMM状态的认证质询的响应，其中现有原因值或新原因值指示认证质询中的KSI是错误的、KSI已在使用或安全上下文无效。

在一些实施方式中，在处理认证质询中的错误时，处理器212可以执行多个操作。例如，处理器212可以中止触发认证质询的过程。另外，处理器212可以删除当前安全上下文。此外，处理器212可以执行以下任一操作：(a)重新启动触发认证质询的过程；或者(b)启动注册过程，向无线网络指示没有密钥可用。

在一些实施方式中，在处理认证质询中的错误时，处理器212可以接受认证质询。在一些实施方式中，在接受认证质询时，处理器212可以执行多个操作。例如，处理器212可以清除现有KSI和相关安全上下文。此外，处理器212可以接受由AMF提供的重叠KSI。此外，处理器212可以经由收发器216向装置220发送认证响应。在一些实施方式中，在接受认证质询时，处理器212还可以利用新安全上下文执行与装置220的SMC过程。

在一些实施方式中，在接受认证质询时，处理器212可以通过经由收发器216向装置220发送具有指示拒绝即将到来的SMC过程的原因值的响应来拒绝与装置220的即将到来的SMC过程。

说明性过程

图3示出了根据本发明的实施方式的示例进程300。进程300可以表示实现上述各种提出的设计、概念、方案、系统和方法的一方面，无论是部分还是全部，包括场景100。更具体地，进程300可以表示所提出的概念和方案的一个方面，其涉及移动通信中的错误KSI处理的改进。进程300可以包括如框310、320和330中的一个或多个所示的一个或多个操作、动作或功能。虽然被示为离散块，但是取决于所需的实施方式，进程300的各种块可以被划分为附加块、组合成更少的块，或删除。此外，进程300的块/子块可以按照图3中所示的顺序执行，或者，可选地以不同的顺序执行。此外，可以迭代地执行进程300的一个或多个块/子块。进程300可以由装置210和装置220实现或在装置210和装置220中实现，由/在其任何变型中实现。仅出于说明性目的而不限制范围，下面在装置210作为UE(例如，UE 110)以及装置220作为无线网络(例如，无线网络120)的网络节点或基站(例如，网络节点125)的背景下描述进程300。进程300可以在框310处开始。

在310处，进程300可以涉及装置210的处理器212在已经完成与装置220的AKA过程之后经由收发器216从装置220接收认证质询。进程300可以从310进行至320。

在320处，进程300可以涉及处理器212检测认证质询中的错误。进程300可以从320进行到330。

在330处，进程300可以涉及处理器212响应于检测到错误而拒绝认证质询。

在一些实施方式中，在拒绝认证质询时，进程300可以涉及处理器212经由收发器216向装置220发送指示认证失败的响应。在一些实施方式中，响应可以包括指示认证质询中的KSI是错误的或者KSI已经在使用的原因值。

在一些实施方式中，进程300可以进一步涉及处理器212在存储器214中存储与认证质询相关联的一个或多个参数，尽管认证质询中的第一KSI是错误的或已经在使用。在一些实施方式中，一个或多个参数可以包括可选的信息元素。

在一些实施方式中，进程300还可以涉及处理器212经由收发器216从装置220接收具有不同于第一KSI的第二KSI的后续认证质询。另外，进程300可以涉及处理器212响应于接收具有第二KSI的后续认证质询而执行新的AKA过程。

图4示出了根据本发明的实施方式的示例进程400。进程400可以表示实现上述各种提出的设计、概念、方案、系统和方法的一个方面，无论是部分还是全部，包括场景100。更具体地，进程400可以表示所提出的概念和方案的一个方面，其涉及移动通信中的错误KSI处理的改进。进程400可以包括如框410、420和430中的一个或多个所示的一个或多个操作、动作或功能。虽然被示为离散块，但是取决于所需的实施，进程400的各种块可以被划分为附加块、组合成更少的块，或删除。此外，进程400的块/子块可以按照图4中所示的顺序执行。或者，可选地以不同的顺序执行。此外，可以迭代地执行进程400的一个或多个块/子块。进程400可以由装置210和装置220实现或在装置210和装置220中实现，及由/在其任何变型中实现。仅出于说明性目的而不限制范围，下面在装置210作为UE(例如，UE 110)以及装置220作为无线网络(例如，无线网络120)的网络节点或基站(例如，网络节点125)的背景下描述进程400。进程400可以在框410处开始。

在410处，进程400可以涉及装置210的处理器212在已经完成与装置220的AKA过程之后经由收发器216从装置220接收认证质询。进程400可以从410进行至420。

在420处，进程400可以涉及处理器212检测认证质询中的错误。进程400可以从420进行到430。

在430处，进程400可以涉及处理器212接受认证质询，尽管存在错误。

在一些实施方式中，在检测认证质询中的错误时，进程400可以涉及处理器212检测认证质询中的KSI是错误的或者KSI已经在使用。

在一些实施方式中，在接受认证质询时，进程400可以涉及处理器212执行多个操作。例如，进程400可以涉及处理器212清除现有KSI和相关安全上下文。另外，进程400可以涉及处理器212接受由AMF提供的重叠KSI。此外，进程400可以涉及处理器212经由收发器216向装置220发送认证响应。

在一些实施方式中，在接受认证质询时，进程400可以进一步涉及处理器212利用新安全上下文执行与装置220的SMC过程。

在一些实施方式中，在接受认证质询时，进程400可以涉及处理器212通过向装置220发送具有指示拒绝即将到来的SMC过程的原因值的响应来拒绝与装置220的即将到来的SMC过程。

图5示出了根据本发明的实施方式的示例进程500。进程500可以表示实现上述各种提出的设计、概念、方案、系统和方法的一方面，无论是部分还是全部，包括场景100。更具体地，进程500可以表示所提出的概念和方案的一个方面，其涉及移动通信中的错误KSI处理的改进。进程500可以包括如框510、520和530中的一个或多个所示的一个或多个操作、动作或功能。尽管被示为离散块，但是取决于所需的实施方式，进程500的各种块可以被划分为附加块、组合成更少的块，或删除。此外，进程500的块/子块可以按照图5中所示的顺序执行。或者，可选地以不同的顺序执行。此外，可以迭代地执行进程500的一个或多个块/子块。进程500可以由装置210和装置220实现或在装置210和装置220中实现，由/在其任何变型中实现。仅出于说明性目的而不限制范围，下面在装置210作为UE(例如，UE 110)以及装置220作为无线网络(例如，无线网络120)的网络节点或基站(例如，网络节点125)的背景下描述进程500。进程500可以在框510处开始。

在510处，进程500可以涉及装置210的处理器212在已经完成与装置220的AKA过程之后经由收发器216从装置220接收认证质询。进程500可以从510进行到520。

在520处，进程500可以涉及处理器212检测认证质询中的错误。进程500可以从520进行到530。

在530处，进程500可以涉及处理器212处理认证质询中的错误。

在一些实施方式中，在处理认证质询中的错误时，进程500可以涉及处理器212通过经由收发器216向装置220发送指示认证失败的响应来拒绝认证质询。在这种情况下，响应可以包括指示认证质询中的第一KSI是错误的或者第一KSI已经在使用的原因值。

在一些实施方式中，在处理认证质询中的错误时，进程500可以进一步涉及处理器212在存储器214中存储与认证质询相关联的一个或多个参数，尽管认证质询中的第一KSI是错误的或已经在使用。在一些实施方式中，一个或多个参数可以包括可选的信息元素。

在一些实施方式中，在处理认证质询中的错误时，进程500可以涉及处理器212执行附加操作。例如，进程500可以涉及处理器212经由收发器216从装置220接收具有不同于第一KSI的第二KSI的后续认证质询。此外，进程500可以涉及处理器212响应于接收具有第二KSI的后续认证质询而执行新的AKA过程。

在一些实施方式中，在处理认证质询中的错误时，进程500可以涉及处理器212经由收发器216向装置220发送对具有现有原因值或新原因值的5GMM状态的认证质询的响应，其中现有原因值或新原因值指示认证质询中的KSI是错误的、KSI已在使用或安全上下文无效。

在一些实施方式中，在处理认证质询中的错误时，进程500可以涉及处理器212执行多个操作。例如，进程500可以涉及处理器212中止触发认证质询的过程。另外，进程500可以涉及处理器212删除当前安全上下文。此外，进程500可以涉及处理器212执行以下任一操作：(a)重新启动触发认证质询的过程；或者(b)启动注册程序，向无线网络指示没有密钥可用。

在一些实施方式中，在处理认证质询中的错误时，进程500可以涉及处理器212接受认证质询。在一些实施方式中，在接受认证质询时，进程500可以涉及处理器212执行多个操作。例如，进程500可以涉及处理器212清除现有KSI和相关安全上下文。此外，进程500可以涉及处理器212接受由AMF提供的重叠KSI。此外，进程500可以涉及处理器212经由收发器216向装置220发送认证响应。在一些实施方式中，在接受认证质询时，进程500还可以涉及处理器212利用新安全上下文执行与装置220的SMC过程。

在一些实施方式中，在接受认证质询时，进程500可以涉及处理器212通过经由收发器216向装置220发送具有指示拒绝即将到来的SMC过程的原因值的响应来拒绝与装置220的即将到来的SMC过程。

补充说明

本发明所描述的主题间或示出不同的组件包含在其他不同的组件内或与其他不同的组件连接。应当理解的是，这样描述的架构仅仅是示例，并且实际上可用能够获取相同功能的许多其他架构实现。在概念意义上，用于实现相同功能的任何组件布置被有效地“关联”，从而实现期望的功能。因此，在此被组合以实现特定功能的任何两个组件可被视为彼此“相关联”，从而实现期望的功能，而与架构或中间组件无关。同样地，如此关联的任何两个组件也可以被视为彼此“可操作地连接”或“可操作地耦接”以实现期望的功能，并且能够如此关联的任何两个组件也可以被视为“可操作地耦接”，相互达成所需的功能。可操作地可耦接的具体示例包括但不限于物理上可配对的和/或物理上交互的组件和/或可无线交互和/或无线交互组件和/或逻辑交互和/或逻辑交互组件。

此外，关于本发明中基本上任何复数和/或单数术语的使用，本领域技术人员可以依据上下文和/或应用适当地将复数转化为单数和/或将单数转化为复数。为了清楚起见，这里可以明确地阐述各种单数/复数置换。

此外，本领域技术人员将会理解，一般而言，本发明所使用的术语，特别是所附权利要求(例如所附权利要求书的主体)中的术语一般意图为“开放”术语，例如，术语“包括”(including)应被解释为“包括但不限于”，术语“具有”应被解释为“至少具有”，术语“包括”(includes)应被解释为“包括但不限于”等等。本领域的技术人员将会进一步理解，如果一引入的权利要求引述的一具体数量是有意图的，则这样的意图将在权利要求中明确记载，并且在没有这样的表述的情况下，不存在这样的意图。例如，为帮助理解，以下所附权利要求可以包含介绍性短语“至少一个”和“一个或多个”的使用以引入权利要求引述。然而，这种短语的使用不应当被解释为暗示由不定冠词“a”或“an”的权利要求引述的提出将包含这种引入的权利要求引述的任何特定权利要求限制到仅包含一个这样的引述的方式，甚至当相同的权利要求包括介绍性短语“一个或多个”或“至少一个”以及诸如“a”或“an”的不定冠词，例如“a”和/或“an”应当解释为意指“至少一个”或“一个或多个”，对于引入用于权利要求引述的定冠词的使用也是如此。另外，本领域技术人员将认识到，即使明确列举了具体数量的引入的权利要求，这样的列举应被解释为至少意味着所列举的数量，例如没有其他修饰语的单调引述“两个引述”，意指至少两个引述，或者两个或多个引述。此外，在一些示例中所使用类似于“A，B和C等中的至少一个”的惯例，通常这样的构造旨在于本领域技术人员能够理解所述惯例的含义，例如，“具有A，B和C中的至少一个的系统”将包括但不限于仅具有A，仅具有B，仅具有C，具有A和B，具有A和C，具有B和C，和/或具有A，B和C的系统。在一些示例中所使用类似于“A，B或C等中的至少一个”的惯例，通常这样的构造旨在本领域技术人员能够理解所述惯例，例如“具有A，B或C中的至少一个的系统”将包括但不限于仅具有A，仅具有B，具有C，具有A和B，具有A和C，具有B和C，和/或具有A，B和C的系统。本领域技术人员将进一步理解，在说明书、权利要求书或附图中，呈现两个或多个替代术语的任何分离的词和/或短语，实际上应理解为考虑可能包括术语中的一个，术语中的任一个或两个术语。例如，短语“A或B”将被理解为可能包括“A”或“B”或“A和B”。

从前述内容可以理解，为了说明的目的，在此已经描述了本发明的各种实施方式，并且可以在不脱离本发明的范围和精神的情况下进行各种修改。因此，本发明所公开的各种实施方式不旨在是限制性的，真实的范围和精神由权利要求指示。