Updating or refreshing keys for authentication and key management for applications

EP4762799A1Pending Publication Date: 2026-06-24ZTE CORP

Patent Information

Authority / Receiving Office
EP · EP
Patent Type
Applications
Current Assignee / Owner
ZTE CORP
Filing Date
2023-10-30
Publication Date
2026-06-24

AI Technical Summary

Technical Problem

Existing implementations of the Authentication and Key Management Applications (AKMA) service in 5G systems do not provide mechanisms to inform User Equipment (UE) to refresh Application Key (AK) and Key Identifier (A-KID), leading to potential security vulnerabilities and communication disruptions.

Method used

The proposed solution involves mechanisms for updating and refreshing keys and key identifiers by sending relevant information in the Application Session Establishment Response message, allowing the UE to generate new values for the application key and associated key identifiers.

Benefits of technology

This solution ensures the security and integrity of communications by enabling timely refreshment of AK and A-KID, thereby mitigating risks associated with expired keys and enhancing the reliability of 5G wireless communication systems.

✦ Generated by Eureka AI based on patent content.

Smart Images

  • Figure CN2023127864_08052025_PF_FP_ABST
    Figure CN2023127864_08052025_PF_FP_ABST
Patent Text Reader

Abstract

Techniques are described for updating and refreshing keys for authentication and key management applications (AKMA). An example wireless communication method includes receiving, by an application function, an indication of an expiration of an application key, and transmitting, to a wireless device and based on the indication, a message, and where the wireless device is configured to generate, based on the message, a new value for the application key and a key identifier associated with the application key.
Need to check novelty before this filing date? Find Prior Art

Description

UPDATING OR REFRESHING KEYS FOR AUTHENTICATION AND KEY MANAGEMENT FOR APPLICATIONSTECHNICAL FIELD

[0001] This disclosure is directed generally to digital wireless communications.BACKGROUND

[0002] Mobile telecommunication technologies are moving the world toward an increasingly connected and networked society. In comparison with the existing wireless networks, next generation systems and wireless communication techniques will need to support a much wider range of use-case characteristics and provide a more complex and sophisticated range of access requirements and flexibilities.

[0003] Long-Term Evolution (LTE) is a standard for wireless communication for mobile devices and data terminals developed by 3rd Generation Partnership Project (3GPP) . LTE Advanced (LTE-A) is a wireless communication standard that enhances the LTE standard. The 5th generation of wireless system, known as 5G, advances the LTE and LTE-Awireless standards and is committed to supporting higher data-rates, large number of connections, ultra-low latency, high reliability and other emerging business needs.SUMMARY

[0004] Methods, systems, and devices for updating and refreshing keys for Authentication and Key Management Applications (AKMA) are described. In a 5G system, the AKMA service aims at establishing authenticated communications between users and application functions, and ensures the security of communication users and applications. Embodiments of the disclosed technology provide mechanisms for updating and refreshing keys and key identifiers.

[0005] In an example aspect, a wireless communication method includes receiving, by an application function, an indication of an expiration of an application key, and transmitting, to a wireless device and based on the indication, a message, and where the wireless device is configured to generate, based on the message, a new value for the application key and a key identifier associated with the application key.

[0006] In yet another example aspect, the above-described methods are embodied in the form of processor-executable code and stored in a non-transitory computer-readable storage medium.  The code included in the computer readable storage medium when executed by a processor, causes the processor to implement the methods described in this patent document.

[0007] In yet another example aspect, a device that is configured or operable to perform the above-described methods is disclosed.

[0008] The above and other aspects and their implementations are described in greater detail in the drawings, the descriptions, and the claims.

[0009] BRIEF DESCRIPTION OF THE DRAWING

[0010] FIG. 1 shows an example timing diagram for deriving the AKMA Anchor Key (KAKMA) after primary authentication.

[0011] FIG. 2 shows an example timing diagram for the generation of the KAF from KAKMA.

[0012] FIG. 3 shows an example timing diagram for an AKMA Application Key request via a Network Exposure Function (NEF) .

[0013] FIG. 4 shows an example timing diagram for an internal Application Function (AF) sending an error cause to a User Equipment (UE) .

[0014] FIG. 5 shows an example timing diagram for an internal AF sending an error cause and A-KID to the UE.

[0015] FIG. 6 shows an example timing diagram for an internal AF directly sending a normal response to the UE.

[0016] FIG. 7 shows an example timing diagram for modifications that can be made to the examples in FIGS. 4-6 to support an external AF.

[0017] FIG. 8 shows a flowchart of another example method for wireless communications.

[0018] FIG. 9 shows an exemplary block diagram of a hardware platform that may be a part of a network device or a communication device.

[0019] FIG. 10 shows an example of wireless communication including a base station (BS) and user equipment (UE) based on some implementations of the disclosed technology.DETAILED DESCRIPTION

[0020] In 5G New Radio (NR) , the Authentication and Key Management Applications (AKMA) service enables the authentication and generation of application keys based on 3GPP credentials for all User Equipment (UE) types in the 5G NR System, especially Internet of  Things (IoT) devices, thereby ensuring that the security between the UE and the applications in the 5G system can be bootstrapped. Using AKMA, a user can log in to an application service only based on the 3GPP credential which is the permanent key stored in the user’s tamper-resistant smart card (e.g., Universal Integrated Circuit Card (UICC) ) . The application service provider can also delegate the task of user authentication to the mobile network operator by using AKMA. The AKMA architecture and procedures are specified in Technical Specification (TS) 33.535, entitled “Authentication and Key Management for Applications (AKMA) based on 3GPP credentials in the 5G System (5GS) . ”

[0021] According to TS 33.535, the AKMA procedures specify that when the UE needs AKMA services, it will send an Application Session Establishment Request message (that includes A-KID) to the AKMA AF. If the lifetime of KAF expires and AF decides to continue the UE’s access based on its policy, it will request AAnF to get a new KAF. Then, the AAnF requests Unified Data Management (UDM) to trigger a primary (re-) authentication to get KAKMA, which will be further used to generate KAF. After primary authentication, KAKMA, KAF and A-KID will be refreshed, which causes an expiration of A-KID in Application Session Establishment Request message sent by UE. Existing implementations do not consider or provide techniques to inform UE to refresh A-KID and KAF. Embodiments of the disclosed technology provide a mechanism to inform UE to update A-KID and KAF by sending the relevant information in the Application Session Establishment Response message.

[0022] The example headings for the various sections below are used to facilitate the understanding of the disclosed subject matter and do not limit the scope of the claimed subject matter in any way. Accordingly, one or more features of one example section can be combined with one or more features of another example section. Furthermore, 5G terminology is used for the sake of clarity of explanation, but the techniques disclosed in the present document are not limited to 5G technology only, and may be used in wireless systems that implemented other protocols.

[0023] Examples of AKMA protocols in 3GPP TS 33.535

[0024] 3GPP TS 33.535 clause 6.2.1 specifies that there is no separate authentication of the UE to support AKMA functionality. Instead, AKMA reuses the 5G primary authentication procedure executed e.g., during the UE Registration to authenticate the UE. A successful 5G primary authentication results in KAUSF being stored at the AUSF and the UE. FIG. 1 shows the  procedure to derive KAKMA after a successful primary authentication. The operations shown in the timing diagram in FIG. 1 include:

[0025] 1) During the primary authentication procedure, the AUSF interacts with the UDM in order to fetch authentication information such as subscription credentials (e.g. AKA Authentication vectors) and the authentication method using the Nudm_UEAuthentication_Get Request service operation.

[0026] 2) In the response, the UDM may also indicate to the AUSF whether the AKMA Anchor key needs to be generated for the UE. If the AKMA indication is included, the UDM shall also include the RID of the UE.

[0027] 3) If the AUSF receives the AKMA indication from the UDM, the AUSF shall store the KAUSF and generate the AKMA Anchor Key (KAKMA) and the A-KID from KAUSF after the primary authentication procedure is successfully completed.

[0028] The UE shall generate the AKMA Anchor Key (KAKMA) and the A-KID from the KAUSF before initiating communication with an AKMA Application Function.

[0029] 4) After AKMA key material is generated, the AUSF selects the AAnF as defined in clause 6.7, and shall send the generated A-KID and KAKMA to the AAnF together with the SUPI of the UE using the Naanf_AKMA_KeyRegistration Request service operation. The AAnF shall store the latest information sent by the AUSF.

[0030] NOTE 1: The AUSF need not store any AKMA key material after delivery to the AAnF.

[0031] NOTE 1a: When re-authentication runs, the AUSF generates a new A-KID, and a new KAKMA and sends the new generated A-KID and KAKMA to the AAnF. After receiving the new generated A-KID and KAKMA, the AAnF deletes the old A-KID and KAKMA and stores the new generated A-KID and KAKMA.

[0032] 5) The AAnF sends the response to the AUSF using the Naanf_AKMA_AnchorKey_Register Response service operation.

[0033] A-KID identifies the KAKMA key of the UE.

[0034] A-KID shall be in NAI format as specified in clause 2.2 of IETF RFC 7542 [6] , i.e. username@realm. The username part shall include the RID and the A-TID (AKMA Temporary UE Identifier) , and the realm part shall include Home Network Identifier.

[0035] The A-TID shall be derived from KAUSF as specified in Annex A. 3.

[0036] The AUSF shall use the RID received from the UDM as described in step 2 to derive A-KID.

[0037] NOTE 2: The chance of A-TID collision is not zero but practically low as the A-TID derivation is based on KDF specified in Annex B of TS 33.220 [4] . The detection of A-TID collision as well as potential handling of collision is not addressed in the present document.

[0038] KAKMA shall be derived from KAUSF as specified in Annex A. 2. Since KAKMA and A-TID in A-KID are both derived from KAUSF based on primary authentication run, the KAKMA and A-KID can only be refreshed by a new successful primary authentication.

[0039] 3GPP TS 33.535 clause 6.2.1 further specifies the procedure used by the AF to request application function specific AKMA keys from the AAnF, when the AF is located inside the operator's network, and is shown in FIG. 2. Before communication between the UE and the AKMA AF can start, the UE and the AKMA AF need to know whether to use AKMA. This knowledge is implicit to the specific application on the UE and the AKMA AF or indicated by the AKMA AF to the UE (see clause 6.5) . The operations shown in the timing diagram in FIG. 2 include:

[0040] 1. The UE shall generate the AKMA Anchor Key (KAKMA) and the A-KID from the KAUSF before initiating communication with an AKMA Application Function. When the UE initiates communication with the AKMA AF, it shall include the derived A-KID (see clause 6.1) in the Application Session Establishment Request message. The UE may derive KAF before sending the message or afterwards.

[0041] 2. If the AF does not have an active context associated with the A-KID, then the AF selects the AAnF as defined in clause 6.7, and sends a Naanf_AKMA_ApplicationKey_Get request to AAnF with the A-KID to request the KAF for the UE. The AF also includes its identity (AF_ID) in the request.

[0042] AF_ID consists of the FQDN of the AF and the Ua*security protocol identifier (see Annex A.4) . The latter parameter identifies the security protocol that the AF will use with the UE.

[0043] The AAnF shall check whether the AAnF can provide the service to the AF based on the configured local policy or based on the authorization information available in the signalling (i.e., Oauth2.0 token) . If it succeeds, the following procedures are executed.

[0044] Otherwise, the AAnF shall reject the procedure.

[0045] The AAnF shall verify whether the subscriber is authorized to use AKMA based on the presence of the UE specific KAKMA key identified by the A-KID.

[0046] If KAKMA is present in AAnF, the AAnF shall continue with step 3.

[0047] If KAKMA is not present in the AAnF, the AAnF shall continue with step 4 with an error response.

[0048] 3. Once receving the request from the AF, if the AAnF determines this specific AF needs GPSI, according to its local policy, the AAnF sends a Nudm_SDM_Get Request to the UDM to fetch the GPSI of the UE. If the specific AF does not need GPSI, the AAnF shall continue with step 5.

[0049] 4. The UDM responds with the GPSI of the UE. The AAnF shall store the received GPSI as part of UE’s AKMA context.

[0050] 5. The AAnF derives the AKMA Application Key (KAF) from KAKMA if it does not already have KAF.

[0051] The key derivation of KAF shall be performed as specified in Annex A. 4.

[0052] 6. The AAnF sends Naanf_AKMA_ApplicationKey_Get response to the AF with SUPI, KAF and the KAF expiration time. Whether to send SUPI or GPSI is determined by AAnF based on the local policy.

[0053] 7. The AF sends the Application Session Establishment Response to the UE. If the information in step 4 indicates failure of AKMA key request, the AF shall reject the Application Session Establishment by including a failure cause. Afterwards, UE may trigger a new Application Session Establishment request with the latest A-KID to the AKMA AF.

[0054] 3GPP TS 33.535 clause 6.3 specifies the procedure used by the AF to request KAF from the AAnF via NEF, when the AF is located outside the operator's network, and as shown in FIG. 3. The operations shown in the timing diagram in FIG. 3 include:

[0055] 1. When the AF is about to request AKMA Application Key for the UE from the AAnF, e.g. when UE initiates application session establishment request as in clause 6.2.1, the AF discovers the HPLMN of the UE based on the A-KID and sends the request towards the AAnF via NEF service API. The request shall include the A-KID and the AF_ID and optionally UE Id not needed indication.

[0056] NOTE: In the case of architecture without CAPIF support, the AF is locally configured with the API termination points for the service. In the case of architecture with CAPIF support, the AF obtains the service API information from the CAPIF core function via the Availability of service APIs event notification or Service Discover Response as specified in TS 23.222.

[0057] 2. If the AF is authorized by the NEF to request KAF, including the authorization after verification of the AF_ID in step 1, the NEF discovers and selects an AAnF as defined in clause 6.7.

[0058] 3. The NEF sends a Naanf_AKMA_ApplicationKey_Get request to the selected AAnF with the A-KID to request the KAF for the UE.

[0059] The AAnF shall process the request in the same way as specified in clause 6.2.1 with following changes:

[0060] If KAKMA is present in AAnF, the AAnF shall continue with step 4 in this clause.

[0061] If KAKMA is not present in the AAnF, the AAnF shall continue with step 5 in this clause with an error response.

[0062] 4. The AAnF generates the KAF as specified in clause 6.2.1 and sends the response to the NEF with the KAF, the KAF expiration time (KAF exptime) and SUPI.

[0063] 5. The NEF forwards the response to the AF with the KAF, the KAF expiration time (KAF exptime) and optionally GPSI (external ID) . Based on local policy, the NEF uses the Nudm_SubscriberDataManagement service which is specified in TS 29.503 to translate SUPI to GPSI (external ID) and optionally include GPSI (external ID) in the response. If UE Id not needed indication is received in the incoming request, the NEF shall not provide the GPSI (external ID) to AF. The NEF shall not send the SUPI to the AF.

[0064] 3GPP TS 33.535 clause 6.4.3 specifies that there is no support for an explicit KAF refresh procedure in this document. If a primary authentication does not take place, the KAUSF, KAKMA and KAF remain unchanged since the latest primary authentication. The KAF may be refreshed by the KAKMA refresh defined in clause 6.4.4 as decided by AAnF.

[0065] NOTE 1: The AAnF can decide KAKMA refresh based on local policy. Ua*protocol may support refresh of derived session keys from KAF. If the Ua*protocol supports the refresh of derived session keys from KAF, the AF may refresh the KAF at any time using the Ua*protocol.

[0066] NOTE 2: How a fresh key is derived for AKMA is up to Ua*protocol implementation.

[0067] NOTE 3: A session key based on KAF refreshed using the Ua*protocol is only known by UE and AF.

[0068] 3GPP TS 33.535 clause 6.4.4 specifies that as defined in TS 33.501 clause 6.1.5, the AAnF may decide to refresh the KAKMA based on the operator’s local authentication policy by sending the Nudm_UECM_AuthTrigger Request message to the UDM. The UDM may further decide whether to trigger the primary authentication as defined in clause 6.1.5 of TS 33.501.

[0069] Examples of informing the UE to update KAF and A-KID

[0070] Embodiment #1. In some embodiments, and as shown in FIG. 4, an AF that is located inside the operator’s network is configured to send an error cause to the UE. In an example, an AF being located inside the operator’s network is indicative of the AF being a trusted entity in the network. The operations shown in the timing diagram in FIG. 4 include:

[0071] 1. When the UE initiates communication with the AKMA AF, it shall include the derived A-KID in the Application Session Establishment Request message.

[0072] 2. After receiving the request message, the AF checks the status of KAF. If the KAF timer has expired, the AF will request to get a new KAF.

[0073] 3. The AF selects the AAnF and sends a Naanf_AKMA_ApplicationKey_Get request to AAnF with the A-KID to request the KAF for the UE. The AF also includes its identity (AF_ID) in the request.

[0074] 4. If the AAnF decides to refresh the KAKMA based on its local policy, the AAnF sends an authentication request message to the UDM, including the UE’s SUPI. Then, the UDM decides whether to trigger the home network triggered primary authentication based on its policy. If the UDM decides to trigger the home network triggered primary authentication, step 5 will be continued. If the UDM decides not to trigger the home network triggered primary authentication, step 5 will be skipped.

[0075] 5. The UDM starts the home network triggered primary authentication procedure. After the primary authentication is successfully completed, the AUSF shall generate KAKMA and A-KID and send them to AAnF.

[0076] 6. The UDM sends Nudm_UECM_AuthTrigger Response to inform AAnF whether the home network triggered primary authentication is successfully performed. If the home network  triggered primary authentication is failed or is not performed according to UDM’s policy, step 7 will be skipped, and AAnF shall continue with step 8 with an error response.

[0077] 7. The AAnF derives the AKMA Application Key (KAF) from KAKMA.

[0078] 8. The AAnF sends Naanf_AKMA_ApplicationKey_Get response to the AF with SUPI / GPSI, KAF and the KAF expiration time. Whether to send SUPI or GPSI is determined by AAnF based on the local policy. If the information in step 6 indicates the home network triggered primary authentication is failed or not executed, the AAnF shall send Naanf_AKMA_ApplicationKey_Get response to the AF including a failure cause.

[0079] 9. If the information in step 8 indicates failure of AKMA key request, the AF shall reject the Application Session Establishment by including an error cause indicating the KAF is expired, and the home network triggered primary authentication is not successful. If the KAF is refreshed successfully, since the A-KID is also refreshed, the AF shall send an error response to inform UE the A-KID it used is expired, where the error cause value indicates the A-KID and KAF are refreshed. Upon receiving the response, the UE can calculate the new A-KID and KAF. Afterwards, UE may trigger a new Application Session Establishment request with the latest A-KID to the AKMA AF.

[0080] Embodiment #2. In some embodiments, and as shown in FIG. 5, an AF that is located inside the operator’s network is configured to send an error cause and an A-KID to the UE. The operations shown in the timing diagram in FIG. 5 include:

[0081] 1. When the UE initiates communication with the AKMA AF, it shall include the derived A-KID in the Application Session Establishment Request message.

[0082] 2. After receiving the request message, the AF checks the status of KAF. If the KAF timer has expired, the AF will request to get a new KAF.

[0083] 3. The AF selects the AAnF and sends a Naanf_AKMA_ApplicationKey_Get request to AAnF with the A-KID to request the KAF for the UE. The AF also includes its identity (AF_ID) in the request.

[0084] 4. If the AAnF decides to refresh the KAKMA based on its local policy, the AAnF sends an authentication request message to the UDM, including the UE’s SUPI. Then, the UDM decides whether to trigger the home network triggered primary authentication based on its policy. If the UDM decides to trigger the home network triggered primary authentication, step 5 will be continued. If the UDM decides not to trigger the home network triggered  primary authentication, step 5 will be skipped.

[0085] 5. The UDM starts the home network triggered primary authentication procedure. After the primary authentication is successfully completed, the AUSF shall generate KAKMA and A-KID and send them to AAnF.

[0086] 6. The UDM sends Nudm_UECM_AuthTrigger Response to inform AAnF whether the home network triggered primary authentication is successfully performed. If the home network triggered primary authentication is failed or is not performed according to UDM’s policy, step 7 will be skipped, and AAnF shall continue with step 8 with an error response.

[0087] 7. The AAnF derives the AKMA Application Key (KAF) from KAKMA.

[0088] 8. The AAnF sends Naanf_AKMA_ApplicationKey_Get response to the AF with SUPI / GPSI, KAF and the KAF expiration time. Whether to send SUPI or GPSI is determined by AAnF based on the local policy. If the information in step 6 indicates the home network triggered primary authentication is failed or not executed, the AAnF shall send Naanf_AKMA_ApplicationKey_Get response to the AF including a failure cause.

[0089] 9. If the information in step 8 indicates failure of AKMA key request, the AF shall reject the Application Session Establishment by including a error cause indicating the KAF is expired and the home network triggered primary authentication is not successful. If the KAF is refreshed successfully, since the A-KID is also refreshed, the AF shall send an error response to inform UE the A-KID it used is expired, where the error cause value indicates the A-KID or KAF are refreshed. The new A-KID is also included in the message. Upon receiving the response, the UE can calculate the new A-KID and KAF, and compare the calculated A-KID with the received A-KID to check whether it is the latest one. Afterwards, UE may trigger a new Application Session Establishment request with the latest A-KID to the AKMA AF.

[0090] Embodiment #3. In some embodiments, and as shown in FIG. 6, an AF that is located inside the operator’s network is configured to send a normal response to the UE. The operations shown in the timing diagram in FIG. 6 include:

[0091] 1. When the UE initiates communication with the AKMA AF, it shall include the derived A-KID in the Application Session Establishment Request message.

[0092] 2. After receiving the request message, the AF checks the status of KAF. If the KAF timer has expired, the AF can still use the expired KAF to verify the request’s integrity and authenticity. If the request is valid, the AF will request to get a new KAF. If the request is invalid, the AF  will continue with step 9 with an error response.

[0093] 3. The AF selects the AAnF and sends a Naanf_AKMA_ApplicationKey_Get request to AAnF with the A-KID to request the KAF for the UE. The AF also includes its identity (AF_ID) in the request.

[0094] 4. If the AAnF decides to refresh the KAKMA based on its local policy, the AAnF sends an authentication request message to the UDM, including the UE’s SUPI. Then, the UDM decides whether to trigger the home network triggered primary authentication based on its policy. If the UDM decides to trigger the home network triggered primary authentication, step 5 will be continued. If the UDM decides not to trigger the home network triggered primary authentication, step 5 will be skipped.

[0095] 5. The UDM starts the home network triggered primary authentication procedure. After the primary authentication is successfully completed, the AUSF shall generate KAKMA and A-KID and send them to AAnF.

[0096] 6. The UDM sends Nudm_UECM_AuthTrigger Response to inform AAnF whether the home network triggered primary authentication is successfully performed. If the home network triggered primary authentication is failed or is not performed according to UDM’s policy, step 7 will be skipped, and AAnF shall continue with step 8 with an error response.

[0097] 7. The AAnF derives the AKMA Application Key (KAF) from KAKMA.

[0098] 8. The AAnF sends Naanf_AKMA_ApplicationKey_Get response to the AF with SUPI / GPSI, KAF and the KAF expiration time. Whether to send SUPI or GPSI is determined by AAnF based on the local policy. If the information in step 6 indicates the home network triggered primary authentication is failed or not executed, the AAnF shall send Naanf_AKMA_ApplicationKey_Get response to the AF including a failure cause.

[0099] 9. If the information in step 8 indicates failure of AKMA key request, the AF shall reject the Application Session Establishment by including a error cause indicating the KAF is expired and the home network triggered primary authentication is not successful. If the KAF is refreshed successfully, Although the A-KID UE used is expired, the AF can send a normal response to UE and include an indicator to indicate the A-KID should be updated. The new A-KID can also be included in the message. Upon receiving the response, the UE can calculate the new A-KID and KAF, and compare the calculated A-KID with the received A-KID (if received) to check whether it is the latest one. Afterwards, UE can continue the  AKMA session with the AF using the latest KAF.

[0100] Embodiment #4. In some embodiments, and as shown in FIG. 7, an AF that is located outside the operator’s network is configured to implement the methods and techniques shown in FIGS. 4-6, e.g., by replacing the AF that is located inside the network with an AF that is located outside the network in FIGS. 4-6. In an example, an AF being located outside the operator’s network is indicative of the AF being a non-trusted entity in the network. The operations for Step 3 and Step 8 shown in the timing diagram in FIG. 7, and which replace the corresponding operations in FIGS. 4-6, include:

[0101] Step3:

[0102] 3(a) . When the AF is about to request AKMA Application Key for the UE from the AAnF, the AF discovers the HPLMN of the UE based on the A-KID and sends the request towards the AAnF via NEF service API. The request shall include the A-KID and the AF_ID.

[0103] 3(b) . If the AF is authorized by the NEF to request KAF, including the authorization after verification of the AF_ID in step 3 (a) , the NEF discovers and selects an AAnF.

[0104] 3(c) . The NEF sends a Naanf_AKMA_ApplicationKey_Get request to the selected AAnF with the A-KID and the AF_ID to request the KAF for the UE.

[0105] Step8:

[0106] 8(a) . The AAnF sends Naanf_AKMA_ApplicationKey_Get response to the NEF with SUPI, KAF and the KAF expiration time.

[0107] 8(b) . The NEF forwards the response to the AF with the KAF and the KAF expiration time (KAF exptime) and optionally GPSI (external ID) .

[0108] Embodiments of the disclosed technology, as described in the context of FIGS. 4-7, provide mechanisms that enable an AF to inform UE to update A-KID and KAF by sending Application Session Establishment Response message. Specifically, the following three methods for the AF responding to the UE are designed.

[0109] (1) AF sends Application Session Establishment Response to UE with an error cause. In an example, the error cause value indicates the A-KID or KAF are refreshed. Upon receiving the response, the UE can calculate the new A-KID and KAF. Afterwards, UE may trigger a new Application Session Establishment request with the latest A-KID to the AF.

[0110] (2) AF sends Application Session Establishment Response to UE with an error cause and the new A-KID. In an example, the error cause value indicates the A-KID or KAF are  refreshed. Upon receiving the response, the UE can calculate the new A-KID and KAF, and compare the calculated A-KID with the received A-KID to check whether it is the latest one. Afterwards, UE may trigger a new Application Session Establishment request with the latest A-KID to the AF.

[0111] (3) AF sends normal Application Session Establishment Response to UE with an A-KID update indication and optional A-KID. In an example, the AF can use the expired KAF to verify the request sent by UE. If it is valid, the AF can send a normal response to UE and including an indicator to indicate the A-KID should be updated. The new A-KID can also be included in the message. Upon receiving the response, the UE can calculate the new A-KID and KAF, and compare the calculated A-KID with the received A-KID (if received) to check whether it is the latest one. Afterwards, UE can continue the AKMA session with the AF using the latest KAF.

[0112] Example methods and implementations of the disclosed technology

[0113] FIG. 8 shows a flowchart of an example wireless communication method 800. The method 800 includes, at operation 810, receiving, by an application function, an indication of an expiration of an application key. The method 800 includes, at operation 820, transmitting, to a wireless device and based on the indication, a message. In the method 800, the wireless device is configured to generate, based on the message, a new value for the application key and a key identifier associated with the application key.

[0114] The described features can be implemented to further provide one or more of the following technical solutions:

[0115] 1. A wireless communication method, comprising receiving, by an application function, an indication of an expiration of an application key; and transmitting, to a wireless device and based on the indication, a message, wherein the wireless device is configured to generate, based on the message, a new value for the application key and a key identifier associated with the application key. In some examples, the application function transmitting the message to the wireless device corresponds to step 9 in one of Embodiments #1–#4.

[0116] 2. The method of solution 1, wherein the application key is an AKMA (Authentication and Key Management for Applications) Application Key, the application function is an Application Function, the message is an Application Session Establishment Response, and the key identifier is an AKMA Key Identifier (A-KID) . In some examples, the  key identifier is an identifier for the key, and includes at least one of a temporary identifier or an identity of the home network.

[0117] 3. The method of solution 1 or 2, wherein the message comprises an error cause associated with the expiration of the application key, and wherein the error cause indicates the application key or the key identifier is refreshed.

[0118] 4. The method of solution 1 or 2, wherein the message comprises an error cause associated with the expiration of the application key and another value for the key identifier, and wherein the error cause indicates the application key or the key identifier is refreshed.

[0119] 5. The method of solution 4, wherein the wireless device is configured to compare the another value for the key identifier and the new value for the key identifier.

[0120] 6. The method of any of solutions 1 to 5, wherein the wireless device is configured to transmit an Application Session Establishment Request comprising the new value of the key identifier to the application function.

[0121] 7. The method of solution 1 or 2, further comprising receiving, from the wireless device, a request to use the application function; and determining, using an expired value of the application key, a validity of the request, wherein the message comprises an indicator that configures the wireless device to update the key identifier and the application key upon its reception.

[0122] 8. The method of solution 7, wherein the message further comprises another value for the key identifier.

[0123] 9. The method of solution 8, wherein the wireless device is configured to compare the another value for the key identifier and the new value for the key identifier.

[0124] 10. The method of any of solutions 7 to 9, wherein the wireless device is configured to continue an authenticated session with the application function using the new value for the application key.

[0125] 11. The method of any of solutions 1 to 10, wherein the key identifier identifies an anchor key, and wherein the application key is derived from the anchor key.

[0126] 12. The method of solution 1, wherein the anchor key is an AKMA Anchor Key (KAKMA) .

[0127] 13. An apparatus for wireless communication comprising a processor, configured to implement a method recited in one or more of solutions 1 to 12.

[0128] 14. A non-transitory computer readable program storage medium having code stored thereon, the code, when executed by a processor, causing the processor to implement a method recited in one or more of solutions 1 to 12.

[0129] FIG. 9 shows an exemplary block diagram of a hardware platform 900 that may be a part of a network device (e.g., base station) or a communication device (e.g., a user equipment (UE) ) . The hardware platform 900 includes at least one processor 910 and a memory 905 having instructions stored thereupon. The instructions upon execution by the processor 910 configure the hardware platform 900 to perform the operations described in FIGS. 1 to 8 and in the various embodiments described in this patent document. The transmitter 915 transmits or sends information or data to another device. For example, a network device transmitter can send a message to a user equipment. The receiver 920 receives information or data transmitted or sent by another device. For example, a user equipment can receive a message from a network device.

[0130] The implementations as discussed above will apply to a wireless communication. FIG. 10 shows an example of a wireless communication system (e.g., a 5G or NR cellular network) that includes a base station 1020 and one or more user equipment (UE) 1011, 1012 and 1013. In some embodiments, the UEs access the BS (e.g., the network) using a communication link to the network (sometimes called uplink direction, as depicted by dashed arrows 1031, 1032, 1033) , which then enables subsequent communication (e.g., shown in the direction from the network to the UEs, sometimes called downlink direction, shown by arrows 1041, 1042, 1043) from the BS to the UEs. In some embodiments, the BS send information to the UEs (sometimes called downlink direction, as depicted by arrows 1041, 1042, 1043) , which then enables subsequent communication (e.g., shown in the direction from the UEs to the BS, sometimes called uplink direction, shown by dashed arrows 1031, 1032, 1033) from the UEs to the BS. The UE may be, for example, a smartphone, a tablet, a mobile computer, a machine to machine (M2M) device, an Internet of Things (IoT) device, and so on.

[0131] Some of the embodiments described herein are described in the general context of methods or processes, which may be implemented in one embodiment by a computer program product, embodied in a computer-readable medium, including computer-executable instructions, such as program code, executed by computers in networked environments. A computer-readable medium may include removable and non-removable storage devices including, but not limited to, Read Only Memory (ROM) , Random Access Memory (RAM) , compact discs (CDs) , digital  versatile discs (DVD) , etc. Therefore, the computer-readable media can include a non-transitory storage media. Generally, program modules may include routines, programs, objects, components, data structures, etc. that perform particular tasks or implement particular abstract data types. Computer-or processor-executable instructions, associated data structures, and program modules represent examples of program code for executing steps of the methods disclosed herein. The particular sequence of such executable instructions or associated data structures represents examples of corresponding acts for implementing the functions described in such steps or processes.

[0132] Some of the disclosed embodiments can be implemented as devices or modules using hardware circuits, software, or combinations thereof. For example, a hardware circuit implementation can include discrete analog and / or digital components that are, for example, integrated as part of a printed circuit board. Alternatively, or additionally, the disclosed components or modules can be implemented as an Application Specific Integrated Circuit (ASIC) and / or as a Field Programmable Gate Array (FPGA) device. Some implementations may additionally or alternatively include a digital signal processor (DSP) that is a specialized microprocessor with an architecture optimized for the operational needs of digital signal processing associated with the disclosed functionalities of this application. Similarly, the various components or sub-components within each module may be implemented in software, hardware or firmware. The connectivity between the modules and / or components within the modules may be provided using any one of the connectivity methods and media that is known in the art, including, but not limited to, communications over the Internet, wired, or wireless networks using the appropriate protocols.

[0133] While this document contains many specifics, these should not be construed as limitations on the scope of an invention that is claimed or of what may be claimed, but rather as descriptions of features specific to particular embodiments. Certain features that are described in this document in the context of separate embodiments can also be implemented in combination in a single embodiment. Conversely, various features that are described in the context of a single embodiment can also be implemented in multiple embodiments separately or in any suitable sub-combination. Moreover, although features may be described above as acting in certain combinations and even initially claimed as such, one or more features from a claimed combination can in some cases be excised from the combination, and the claimed combination  may be directed to a sub-combination or a variation of a sub-combination. Similarly, while operations are depicted in the drawings in a particular order, this should not be understood as requiring that such operations be performed in the particular order shown or in sequential order, or that all illustrated operations be performed, to achieve desirable results.

[0134] Only a few implementations and examples are described and other implementations, enhancements and variations can be made based on what is described and illustrated in this disclosure.

Claims

1.A wireless communication method, comprising:receiving, by an application function, an indication of an expiration of an application key; andtransmitting, to a wireless device and based on the indication, a message,wherein the wireless device is configured to generate, based on the message, a new value for the application key and a key identifier associated with the application key.2.The method of claim 1, wherein the application key is an AKMA (Authentication and Key Management for Applications) Application Key, the application function is an Application Function, the message is an Application Session Establishment Response, and the key identifier is an AKMA Key Identifier (A-KID) .3.The method of claim 1 or 2, wherein the message comprises an error cause associated with the expiration of the application key, and wherein the error cause indicates the application key or the key identifier is refreshed.4.The method of claim 1 or 2, wherein the message comprises an error cause associated with the expiration of the application key and another value for the key identifier, and wherein the error cause indicates the application key or the key identifier is refreshed.5.The method of claim 4, wherein the wireless device is configured to compare the another value for the key identifier and the new value for the key identifier.6.The method of any of claims 1 to 5, wherein the wireless device is configured to transmit an Application Session Establishment Request comprising the new value of the key identifier to the application function.7.The method of claim 1 or 2, further comprising:receiving, from the wireless device, a request to use the application function; anddetermining, using an expired value of the application key, a validity of the request,wherein the message comprises an indicator that configures the wireless device to update the key identifier and the application key upon its reception.8.The method of claim 7, wherein the message further comprises another value for the key identifier.9.The method of claim 8, wherein the wireless device is configured to compare the another value for the key identifier and the new value for the key identifier.10.The method of any of claims 7 to 9, wherein the wireless device is configured to continue an authenticated session with the application function using the new value for the application key.11.The method of any of claims 1 to 10, wherein the key identifier identifies an anchor key, and wherein the application key is derived from the anchor key.12.The method of claim 1, wherein the anchor key is an AKMA Anchor Key (KAKMA) .13.An apparatus for wireless communication comprising a processor, configured to implement a method recited in one or more of claims 1 to 12.14.A non-transitory computer readable program storage medium having code stored thereon, the code, when executed by a processor, causing the processor to implement a method recited in one or more of claims 1 to 12.