JP2008061276A

JP2008061276A - ハンドオーバー後の暗号化通信を確実にするシステム

Info

Publication number: JP2008061276A
Application number: JP2007271107A
Authority: JP
Inventors: Jukka Vialen; ビアレン，ユッカ; Valterri Niemi; ニエミ，バルッテリ
Original assignee: Nokia Oyj
Current assignee: Nokia Oyj
Priority date: 2000-11-28
Filing date: 2007-10-18
Publication date: 2008-03-13
Anticipated expiration: 2021-10-09
Also published as: DK1338164T3; US20020066011A1; US20080267405A1; CN1185903C; JP5714789B2; JP5937664B2; FI20010282A; KR100906996B1; CA2424496A1; EP1338164B1; JP2015053733A; EP1338164A1; KR20030062412A; CN1478365A; KR20080065701A; BR0115330A; US8121293B2; FI20010282A0; AU2001295633A1; FI111423B

Abstract

【課題】不正侵入者は、マルチモード移動局が暗号化アルゴリズムに関する情報を含む保護されていない最初のシグナリングメッセージを無線インターフェイスを介して移動通信システムに送信する際に、この暗号化アルゴリズムに関する情報を除去することによって通話を盗聴することができるが、これを防止することである。
【解決手段】第１の無線アクセスネットワークとの接続確立の際に、マルチモード移動局は、第２の無線アクセスネットワークにおける通信の際に当該移動局がサポートする暗号化アルゴリズムに関する情報を含む保護されていない最初のシグナリングメッセージを送信し、第１の無線アクセスネットワークは、この情報の一部又は全てを保存し、第２の無線アクセスネットワークでマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を含む完全性が保護されたメッセージを作成して送信する。
【選択図】図６

Description

本発明は、通信ネットワークにおける完全性の保護に関する。

第３世代移動通信システムは、欧州ではＵＭＴＳ（Universal Mobile Telecommunications System：ユニバーサル移動通信システム）と呼ばれている。これは国際電気通信連合のＩＭＴ−２０００の一部であり、ＵＭＴＳ／ＩＭＴ−２０００は、既存の移動体ネットワークよりも高速の伝送速度（２Ｍｂｉｔ／Ｓ）を提供するグローバル無線マルチメディアシステムである。

図１は、ＧＳＭ（Global System for Mobile communication：移動通信用グローバルシステム）ネットワークとＵＭＴＳネットワークを簡単なブロックダイアグラムで示している。このネットワークの主な構成要素は、ユーザー端末１００とネットワーク部であり、ネットワーク部は、ＧＳＭ基地局サブシステムＢＳＳ１０５、ＵＭＴＳ地上無線アクセスネットワークＵＴＲＡＮ１０１（３ＧＰＰ：第三世代パートナーシッププロジェクトが現在仕様策定中の広帯域多元接続無線ネットワーク）、及びコアネットワークＣＮ１０４から構成されている。ユーザー端末とＵＴＲＡＮ間の無線インターフェイスはＵｕと呼ばれ、ＵＴＲＡＮと３Ｇコアネットワーク間のインターフェイスはｌｕと呼ばれている。ＧＳＭ基地局サブシステムＢＳＳと汎用パケット無線サービスＧＰＲＳコアネットワーク間のインターフェイスはＧｂと呼ばれ、ＧＳＭ基地局サブシステムＢＳＳとＧＳＭコアネットワーク間のインターフェイスはＡと呼ばれている。ユーザー端末は、少なくとも２つの無線アクセス技術で動作可能なマルチモード端末であって、この例ではＵＭＴＳとＧＳＭである。ＵＴＲＡＮは無線ネットワークサブシステムＲＮＳ１０２から構成されており、ＲＮＳは無線ネットワークコントローラＲＮＣ１０３と１つ又は複数のノードＢ（図１には示されていない）から構成されている。２つのＲＳＮ間のインターフェイスはｌｕｒと呼ばれており、ユーザー端末とＧＳＭ基地局サブシステムＢＳＳ間のインターフェイスは、単に「無線インターフェイス」と呼ばれている。ＧＳＭ基地局サブシステムＢＳＳは、基地局コントローラＢＳＣ１０６と無線基地局ＢＴＳ１０７から構成されている。コアネットワークノード（例：（ＧＳＭ）移動交換局ＭＳＣと（ＧＰＲＳ）サービングＧＰＲＳサポートノードＳＧＳＮ）は、両方のタイプの無線アクセスネットワーク（ＵＴＲＡＮ及びＢＳＳ）を制御する能力を有している。別のネットワーク構成例としては、それぞれの無線アクセスネットワーク（ＵＴＲＡＮとＢＳＳ）が独自の制御コアネットワークノードＭＳＣ及びＳＧＳＮをそれぞれ有し（２ＧＭＳＣ／２ＧＳＧＳＮ及び３ＧＭＳＣ／３ＧＳＧＳＮ）、すべての静的ユーザー情報を格納する単一で同一のホームロケーションレジスタＨＬＲ（図１には示されていない）にそれらすべてのコアネットワーク要素が接続されているものが可能である（この場合には、例えば、ユーザー端末が複数の異なる無線アクセスネットワークを介して動作可能な場合にも単一の場所でユーザーの請求処理を制御することができる）。

無線ベアラサービスのセットアップ、再構成、及び解放のために必要な無線インターフェイスプロトコルについて簡単に説明する。アクセス層における無線インターフェイスプロトコルアーキテクチャは３つの異なるプロトコルレイヤから構成されており、これらは、上から下に、無線ネットワークレイヤ（Ｌ３）、データリンクレイヤ（Ｌ２）、及び物理レイヤ（Ｌ１）である。これらレイヤにおけるプロトコルエンティティは、次のとおりである。まず、無線ネットワークレイヤを構成するのは１つのプロトコルのみであり、これは、ＵＭＴＳ無線インターフェイスの場合にはＲＲＣ（Radio Resource Control：無線リソース制御）と呼ばれ、２ＧのＧＳＭ無線インターフェイスの場合にはＲＲ（Radio Resource protocol：無線リソースプロトコル）と呼ばれている。データリンクレイヤは、ＵＭＴＳ無線インターフェイスの場合は、ＰＤＣＰ（Packet Data Convergence Protocol：パケットデータコンバージェンスプロトコル）、ＢＭＣ（Broadcast Multicast Control protocol：ブロードキャストマルチキャスト制御プロトコル）、ＲＬＣ（Radio Link Control protocol：無線リンク制御プロトコル）、及びＭＡＣ（Medium Access Control protocol：メディアアクセス制御プロトコル）と呼ばれるいくつかのプロトコルから構成されている。一方、ＧＳＭ／ＧＰＲＳ無線インターフェイスの場合には、このレイヤ２プロトコルは、ＬＬＣ（Logical Link Control：論理リンク制御）、ＬＡＰＤｍ（Link Access protocol on the Dm channel：Ｄｍチャネル上のリンクアクセスプロトコル）、ＲＬＣ（Radio Link Control：無線リンク制御）、及びＭＡＣ（Medium Access Control protocol：メディアアクセス制御プロトコル）である。そして、物理レイヤは、単一の「プロトコル」のみであって、これは特別な名称を有していない。尚、前述のすべての無線インターフェイスプロトコルは、それぞれの無線アクセス技術に固有のものであり、これは、即ち、これらが、例えば、ＧＳＭ無線インターフェイスとＵＭＴＳのＵｕインターフェイスでは異なることを意味している。

ＵＭＴＳの場合には、ＲＲＣレイヤは、ユーザー端末側の上位プロトコルとＵＴＲＡＮ側のｌｕのＲＡＮＡＰ（Radio Access Network Application Part ：無線アクセスネットワークアプリケーションパート）プロトコルが使用するサービスアクセスポイントを介して上位のレイヤ（即ち、非アクセス層ＮＡＳ）にサービスを提供する。すべての上位レイヤのシグナリング（モビリティ管理、通話制御、セッション管理など）は、ＲＲＣメッセージにカプセル化され、無線インターフェイスによって伝送される。

すべての通信は、「受信した情報が、送信者を装う他のだれかではなく権限を有する送信者が送信したものであることをどのように確認するか」という問題点を有している。無線インターフェイスは、離れたところからでも、上位の伝送レベルを使用することによって盗聴や伝送内容の置換を容易に実行できるプラットフォームであるため、特にセルラー通信システムにおいて、この問題は顕著である。この問題に対する基本的な解決策は、通信者（送信者／受信者）の認証である。認証プロセスが目的とするところは、それぞれの通信者がもう一方の通信者の身元に関する情報を受領し、その識別結果が信頼するに足りるものになるよう、両側の通信者の身元を検出しチェックすることであって、認証は、通常、接続の開始時点で特定の手順によって実行される。しかしながら、このような認証によっても、認可されていない操作、挿入、及び削除から以降のメッセージを十分に保護することはできない。即ち、伝送するそれぞれのメッセージを別個に認証するニーズが存在しているのであり、この後者の課題は、伝送終了時点でメッセージに対してメッセージ認証コード（ＭＡＣ−Ｉ）を付加すると共に、受信側でこのＭＡＣ−Ｉ値をチェックすることによって達成することができる。

ＭＡＣ−Ｉは、通常、所定の方法で保護対象のメッセージとメッセージの送信者及び受信者の両方が認知する秘密キーに基づいた比較的短いビット列である。秘密キーは、通常、接続の開始時点で認証手順との関連で生成及び合意されるものであり、秘密キーとメッセージに基づいたＭＡＣ−Ｉの算出に使用するアルゴリズムが秘密になっている場合もあるが、通常はそうではない。

単一メッセージの認証プロセスは、しばしば「完全性の保護」と呼ばれる。シグナリングの完全性を保護するために、送信者は、所定のアルゴリズムを使用し送信対象のメッセージと秘密キーに基づいてＭＡＣ−Ｉ値を算出し、メッセージと共にこのＭＡＣ−Ｉ値を送信する。受信者は、所定のアルゴリズムに従ってメッセージと秘密キーに基づいてＭＡＣ−Ｉ値を再算出し、受信したＭＡＣ−Ｉと算出したＭＡＣ−Ｉを比較する。そして、２つのＭＡＣ−Ｉ値が一致した場合に、受信者は、当該メッセージの完全性が保持されており、権限を有する送信者から送信されたものであることを信用することができる。

図２は、ＵＴＲＡＮにおけるメッセージ認証コードの算出方法を示しており、ＵＴＲＡＮで使用するＭＡＣ−Ｉの長さは３２ビットである。

ブロック２００で使用するＵＭＴＳ完全性アルゴリズムは、図２に示された入力パラメータに基づいてメッセージ認証コード（ＭＡＣ−Ｉ）を算出する一方通行の暗号関数であり、この一方通行の関数とは、１つを除いてすべての入力パラメータが判明している場合であっても、その未知の入力パラメータをＭＡＣ−Ｉから導出できないということを意味している。

ＭＡＣ−Ｉを算出するための入力パラメータは、送信対象の実際のシグナリングメッセージ（エンコード後のもの）、秘密の完全性キー、完全性を保護する対象メッセージのシーケンス番号ＣＯＵＮＴ−Ｉ、伝送方向を示す値（即ち、メッセージがアップリング（ユーザー端末からネットワークへ）或いはダウンリンク（ネットワークからユーザー端末へ）のいずれの方向に伝送されるのか）、及びネットワークによって生成されるランダムな番号（ＦＲＥＳＨ）である。尚、ＣＯＵＮＴ−Ｉは、短いシーケンス番号ＳＮと、ハイパーフレーム番号ＨＦＮと呼ばれる長いシーケンス番号から構成されており、通常、メッセージと共に送信されるのは短いシーケンス番号のみであり、ＨＦＮはそれぞれの通信者においてローカルに更新される。

算出ブロック２００は前述の各パラメータを完全性アルゴリズムに適用することによってメッセージ認証コードを算出するが、３ＧＰＰリリース’９９規格では、この完全性アルゴリズムはｆ９アルゴリズムと呼ばれている。新規格の将来のリリースで更なるアルゴリズムが提供される可能性がある。完全性の保護を開始するに当たり、ユーザー端末はネットワークに対して自分がサポートしている完全性アルゴリズムを通知し、ネットワークは、それらの中から接続に使用する１つのアルゴリズムを選択する。尚、サポートしているアルゴリズムに関する同様のメカニズムは、暗号化においても使用される。

図３は、無線インターフェイスなどで伝送されるメッセージを示している。このメッセージは、レイヤＮのプロトコルデータユニット（ＰＤＵ）３００であり、レイヤＮ−１のＰＤＵ３０１のペイロードとして転送される。この例では、レイヤＮは無線インターフェイスの無線リソース制御（ＲＲＣ）プロトコルを表し、レイヤＮ−１は無線リンク制御（ＲＬＣ）レイヤを表している。レイヤＮ−１のＰＤＵは、通常、サイズが固定されており、このサイズは、使用する物理レイヤ（最下位レイヤであって図２には示されてない）のチャネルタイプとパラメータ（例：変調、チャネル符号化、インターリービング）によって異なる。レイヤＮのＰＤＵのサイズがレイヤＮ−１が提供するペイロードのサイズと正確に一致しない場合にも（通常、このような状態になる）、レイヤＮ−１は、分割、連結、及びパディングのような機能を利用してレイヤＮ−１のＰＤＵを常に固定サイズに維持することができる。本アプリケーションでは、実際のシグナリングデータと完全性チェック情報から構成されるレイヤＮのＰＤＵを対象としており、完全性チェック情報は、ＭＡＣ−Ｉと、もう一方の側でＭＡＣ−Ｉの再算出に必要なメッセージシーケンス番号ＳＮと、から構成されている。従って、このメッセージの合計長は、シグナリングデータビットと完全性チェック情報の和となる。

図４は、無線アクセスネットワークからＧＳＭ基地局サブシステムへのシステム間ハンドオーバーを示している。わかりやすくするために、図４に示されているのは１つの移動交換局のみであるが、これは実際にはＧＳＭ（２Ｇ、即ち、第二世代）移動交換局ＭＳＣとＵＭＴＳ（３Ｇ、即ち、第三世代）移動交換局から構成され、これらは物理的に１つであるか、或いは２つの別個のＭＳＣであってもよい。尚、本発明の観点では、それら２つの移動交換局間（２つの別個のエンティティである場合）のやり取りは重要ではないため、本明細書においては説明を省略する。

ユーザー端末と無線アクセスネットワーク（この例では、ＵＴＲＡＮ）間には、開始時点で接続が存在している。無線アクセスネットワークは、様々なパラメータ（例：隣接セルのロード情報、ユーザー端末からの計測値、及び近隣エリアにおけるＧＳＭセルの存在、並びに（ＧＳＭモードをもサポートする）ユーザー端末機能の存在）に基づいて基地局サブシステムＢＳＳへのシステム間ハンドオーバーを開始する。まず、ＵＴＲＡＮは、システム間固有パラメータを格納する計測制御（MEASUREMENT CONTROL ）メッセージ４００を送信することにより、ＧＳＭキャリア上でシステム間計測を開始するようにユーザー端末に対して要求する。計測レポートを送信するための基準（MEASUREMENT CONTROL メッセージに規定されている）を満足すると、ユーザー端末は計測レポート（MEASUREMENT REPORT）４０１を送信する。この結果、ＵＴＲＡＮにおいてシステム間ハンドオーバーが決定され、この決定の後に、ＵＴＲＡＮに存在するサービング無線ネットワークコントローラＳＲＮＣがｌｕインターフェイスを介してリロケーション要求（RELOCATION REQUIRED ）４０２を移動交換局（３ＧのＭＳＣ）に対して送信する。このメッセージを受信すると、移動交換局（２ＧのＭＳＣ）は、ターゲットの基地局サブシステムに対してハンドオーバー要求（HANDOVER REQUEST）メッセージ４０３を送信するが、このメッセージには、接続に使用する暗号化アルゴリズム及び暗号化キー、並びにＭＳクラスマーク情報（これは、例えば、ユーザー端末がサポートしている暗号化アルゴリズムを示す）などの情報が格納されている。従って、移動交換局ＭＳＣは、暗号化アルゴリズムを選択しその選択したアルゴリズムのみを基地局サブシステムＢＳＳに示すことも可能であり、或いは又、使用可能な暗号化アルゴリズムの一覧を基地局サブシステムＢＳＳに送信しＢＳＳが最終的な選択を行うようにすることもできる。尚、ＭＳクラスマーク情報は、（ＵＭＴＳ）接続の開始始点でユーザー端末から移動交換局ＭＳＣに送信されている。（ＵＭＴＳ）接続の開始時点でユーザー端末からＵＭＴＳ無線アクセスネットワーク（ＵＴＲＡＮ）にＭＳクラスマーク情報を送信することも可能であり、ＵＭＴＳからＧＳＭへのシステム間ハンドオーバーがトリガーされた際に、このＭＳクラスマーク情報がＵＴＲＡＮからＭＳＣに転送される。ハンドオーバー要求（HANDOVER REQUEST）メッセージを受信すると、ＧＳＭ基地局コントローラは、提示されたＧＳＭセルの予約を行うと共に、要求されたハンドオーバーを基地局サブシステムＢＳＳでサポート可能であること並びにユーザー端末をダイレクトするべき無線チャネルを示すハンドオーバー要求アクノリッジ（HANDOVER REQUEST ACK）メッセージ４０４を送信することによって応答する。このハンドオーバー要求アクノリッジ（HANDOVER REQUEST ACK）４０４は、要求されたハンドオーバーアルゴリズムを受け入れたこと、或いは、ハンドオーバー要求（HANDOVER REQUEST）４０３に複数のアルゴリズムが格納されている場合には、どのハンドオーバーアルゴリズムを選択したのかを示している。一方、提示された暗号化アルゴリズムの中に基地局サブシステムＢＳＳがサポートできるものがない場合には、ハンドオーバー失敗（HANDOVER FAILURE）メッセージが（４０４の代わりに）返され、移動交換局ＭＳＣはＵＴＲＡＮにハンドオーバーの失敗を通知する。段階４０２においてＵＴＲＡＮのサービング無線ネットワークコントローラから送信されたメッセージに対し、段階４０５において、移動交換局（３ＧのＭＳＣ）はｌｕインターフェイスを介してリロケーションコマンド（RELOCATION COMMAND）メッセージで応答する。このリロケーションコマンド（RELOCATION COMMAND）は、例えば、暗号モード情報と共にターゲットのＧＳＭチャネルに関する情報をペイロードとして保持している。ＵＴＲＡＮは、ターゲットのＧＳＭ用のチャネル情報を含むシステム間ハンドオーバーコマンド（INTERSYSTEM HANDOVER COMMAND）４０６を送信することにより、ハンドオーバーを実行するようにユーザー端末に命令する。これに加えて、少なくともＧＳＭ接続で使用する暗号化アルゴリズムを示すＧＳＭ暗号モード設定情報などのその他の情報を含めることも可能である。割り当てられたＧＳＭチャネルに切り換わると、移動局は、通常、メインＤＣＣＨ上で４つの連続したレイヤ１フレームによってハンドオーバーアクセス（HANDOVER ACCESS ）メッセージ４０７を４回送信する。これらのメッセージは、暗号化されていないＧＳＭアクセスバーストによって送信される。尚、システム間ハンドオーバーコマンド（INTERSYSTEM HANDOVER COMMAND）４０６に不要であることが示されている場合には、これらのハンドオーバーアクセス（HANDOVER ACCESS ）メッセージを送信する必要はない。端末は、ハンドオーバーアクセス（HANDOVER ACCESS）メッセージに対する応答として物理情報（PHYSICAL INFORMATION）４０８メッセージを受信する。この物理情報（PHYSICAL INFORMATION ）メッセージに格納されているのはＧＳＭタイミング先行情報のみであり、物理情報（PHYSICAL INFORMATION）メッセージを受信すると、端末はアクセスバーストの送信を停止する。ハンドオーバーアクセス（HANDOVER ACCESS ）メッセージによって（使用されている場合）、基地局システムのＧＳＭ基地局コントローラがトリガーされ、状況がハンドオーバー検出（HANDOVER DETECT ）メッセージ４０９によって移動交換局（２Ｇ）に通知される。

下位レイヤの接続確立に成功すると、移動局は、ハンドオーバー完了（HANDOVER COMPLETE ）メッセージ４１０をメインＤＣＣＨ上でＧＳＭ基地局サブシステムに返す。ネットワークは、このハンドオーバー完了（HANDOVER COMPLETE ）メッセージ４１０を受信すると古いチャネル（この例では、ＵＴＲＡＮチャネル）を解放する。図４には、この解放手順における３つのメッセージが示されているが、実際には、ネットワーク要素間で図４に示されていないその他の多くのメッセージが必要となる。これらの３つのメッセージは、まずＧＳＭ基地局サブシステムから移動交換局へのハンドオーバー完了（HANDOVER COMPLETE ）メッセージ４１１であり、次に、ｌｕインターフェイスを介したＵＴＲＡＮ（より正確には、サービング無線ネットワークコントローラ）へのｌｕ解放コマンド（lu RELEASE COMMAND）Ｄ４１２であり、３番目のメッセージは、ｌｕ解放完了（lu ERLEASE COMPLETE）メッセージ４１３である。

システム間ハンドオーバー後に使用する暗号化キーは、ハンドオーバーの前にＵＴＲＡＮで使用されていた暗号化キーから変換関数によって導出される。この変換関数は、移動局と移動交換局の両方に存在しているため、無線インターフェイス上での更なる手順は不要である。前述のように、システム間ハンドオーバーの後に使用されるＧＳＭ暗号化アルゴリズムは、ＭＳＣ又はＢＳＳのいずれかによって選択され、（メッセージ４０５及び４０６で）移動局に通知される。ＧＳＭ暗号化アルゴリズム機能（ＧＳＭのＭＳクラスマーク情報要素に含まれているもの）は、現在の仕様ではＵＴＲＡＮに対してトランスペアレントである。しかしながら、ＧＳＭのＭＳクラスマーク情報要素は、ＲＲＣ接続確立手順において移動局からＵＴＲＡＮに送信され、後でＧＳＭへのシステム間ハンドオーバーの際にコアネットワークに転送される。

図５は、３ＧＰＰのＵＴＲＡＮで使用される基本接続セットアップ及びセキュリティモードセットアップの手順を示すシグナリングダイアグラムである。この図５には、移動局と一方の無線アクセスネットワークのサービング無線ネットワークコントローラ間、及びこのサービング無線ネットワークコントローラともう一方の移動交換局又はサービングＧＰＲＳサポートノード間における最も重要なシグナリングのみが示されている。

移動局とサービング無線ネットワークコントローラ間の無線リソース制御（ＲＲＣ）接続の確立は、Ｕｕインターフェイス（５００）を介して実行される。このＲＲＣ接続確立の際に、移動局は、暗号化及び完全性保護アルゴリズムに必要なユーザー機器のセキュリティ機能やＳＴＡＲＴ値などの情報を転送可能である。ユーザー機器のセキュリティ機能には、サポートしている（ＵＭＴＳ）暗号化アルゴリズムと（ＵＭＴＳ）完全性アルゴリズムに関する情報が含まれている。これらの値は、後で使用するべく、段階（５０１）においてサービング無線ネットワークコントローラにすべて保存される。又、ＲＲＣ接続確立の際には、ＧＳＭのクラスマーク情報（ＭＳクラスマーク２及びＭＳクラスマーク３）を移動局からＵＴＲＡＮに伝送し、後で使用するべく、サービング無線ネットワークコントローラに保存することもできる。

次に、移動局は、サービング無線ネットワークコントローラを介してｌｕインターフェイスによって移動交換局に最初の上位レイヤメッセージ（これは、例えば、ＣＭサービス要求（CM SERVICE REQUEST）、ロケーション更新要求（LOCATION UPDATING REQUEST）、又はＣＭ再確立要求（CM RE-ESTABLISHMENT REQUEST）であってよい）（５０２）を送信し、これには、例えば、ユーザーの身元情報、キーセット識別子ＫＳＩ、及びＭＳクラスマーク（これは、例えば、ＧＳＭへのシステム間ハンドオーバーを開始する際にサポートされるＧＳＭ暗号化アルゴリズムを示している）が含まれている。そして、ネットワークが認証手順を開始し、この結果、新しいセキュリティキーが生成される（５０３）。次に、ネットワークは、この接続用のＵＩＡ及びＵＥＡをその中から選択するＵＭＴＳ完全性アルゴリズムＵＩＡ及びＵＭＴＳ暗号化アルゴリズムＵＥＡの組を決定する（５０４）。そして、段階（５０５）において、移動交換局は、セキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージをサービング無線ネットワークコントローラに送信し、使用する暗号化キーＣＫ、完全性キーＩＫ、及び許容されるＵＩＡ及びＵＥＡの組を通知する。

段階（５０１）で保存したユーザー機器のセキュリティ機能と段階（５０５）において移動交換局から受信した使用可能なＵＩＡ及びＵＥＡのリストに基づき、サービング無線ネットワークコントローラは、この接続で使用するアルゴリズムを選択する。更に、サービング無線ネットワークコントローラは、完全性アルゴリズムと暗号化アルゴリズム用の入力パラメータとして使用するランダム値ＦＲＥＳＨの生成も行い（図２）、更には、解読と完全性の保護も開始する（５０６）。

完全性が保護された最初のメッセージであるセキュリティモードコマンド（SECURITY MODE COMMAND ）（５０７）がサービング無線ネットワークコントローラから移動局に対して無線インターフェイスを介して送信される。このメッセージには、使用するＵＥのＦＲＥＳＨパラメータと共に、選択されたＵＩＡ及びＵＥＡが含まれている。更に、このセキュリティモードコマンド（SECURITY MODE COMMAND ）には、ＲＲＣ接続確立（５００）の際にユーザー機器から受信したものと同じＵＥセキュリティ機能が格納されている。この情報をＵＥに戻す理由は、ネットワークがこの情報を正しく受信していることをユーザー機器がチェックできるようにするためである。即ち、ＲＲＣ接続確立（５００）の際に送信されたメッセージは、暗号化及び完全性の保護が行われていないために、このメカニズムが必要なのである。セキュリティモードコマンド（SECURITEY MODE COMMAND）メッセージ（５０７）には、完全性の保護に使用するメッセージ認証コードＭＡＣ−Ｉが付加されている。

段階５０８において、移動局は、受信したＵＥセキュリティ機能がＲＲＣ接続確立手順（５００）で送信したものと同一であるかどうかを比較する。そして、これら２つのＵＥセキュリティ機能が一致すれば、移動局は、ネットワークがセキュリティ機能を正しく受信していると信頼することができる。一方、一致しない場合には、ＵＥはＲＲＣ接続を解放してアイドルモードに入る。

比較の結果、一致した場合には、移動局は、セキュリティモード完了（SECURITY MODE COMPLETE）メッセージ（５０９）によって応答する。このメッセージも完全性が保護されたメッセージであり、従って、このメッセージの送信の前に、移動局はこのメッセージ用のＭＡＣ−Ｉを生成する。

このメッセージを受信すると、サービング無線ネットワークコントローラは、段階（５１０）において、まず、予想されるメッセージ認証コードＸＭＡＣ−Ｉを算出し、次に、この算出したＸＭＡＣ−Ｉと受信したＭＡＣ−Ｉを比較することにより、このメッセージを検証する。２つの値が一致すれば、サービング無線ネットワークコントローラは、セキュリティモード完了（SECURITY MODE COMPLETE）メッセージ（５１１）（これには、例えば、選択されたＵＩＡ及びＵＥＡ情報が含まれている）を移動交換局に送信する。

ＵＴＲＡＮ無線インターフェイスでは、完全性の保護は、ユーザー端末と無線ネットワークコントローラ間の無線リソース制御プロトコルの機能である。すべての上位レイヤのシグナリングは、特定の無線リソース制御メッセージ（例：第一直接転送（INITIAL DIRECT TRANSFER）、アップリンク直接転送（UPLINK DIRECT TRANSFER）、ダウンリンク直接転送（DOWNLINK DIRECT TRANSFER)）のペイロードとして搬送されるため、すべての上位レイヤのシグナリングは、無線リソース制御プロトコルレイヤによって完全性が保護されている。問題は、最初の上位レイヤメッセージ（これは、第一直接転送（INITIAL DIRECT TRANSFER ）によって搬送される）が送信される以前には、認証を実行できないことであり、この結果、最初の上位レイヤ（即ち、非アクセス層）メッセージ（５０２）の完全性を保護することができないということになる。

このＲＲＣ接続の確立（図５の段階５００）において最初のメッセージが送信される時点ではまだ完全性の保護が有効ではないという事実から大きな問題が発生する。即ち、完全性の保護が存在しなければ、段階（５００）において、メッセージに含まれている暗号化アルゴリズム情報を「ＧＳＭ暗号化アルゴリズムは利用不可である」に侵入者が変更するというリスクが常に存在しているのである。ＧＳＭの場合には、この情報をコアネットワークはリロケーション要求（RELOCATION REQUIRED ）メッセージ（図４のメッセージ４０２）に含まれている移動局のクラスマークＣＭ情報要素（ＣＭ２及びＣＭ３）と共に受信する。そして、ユーザー機器が、例えば、ＵＴＲＡＮからＧＳＭ基地局サブシステムＢＳＳへのシステム間ハンドオーバーを実行すると（図４）、移動交換局は、ＵＥがいずれのＧＳＭ暗号化アルゴリズムをもサポートしておらずＧＳＭのＢＳＳにおける接続を暗号化なしにセットアップしなければならないと認識し、この結果、侵入者は簡単に通話を盗聴できるようになる。

（発明の要約）
本発明の目的は、マルチモード移動局が暗号化アルゴリズムに関する情報を格納する保護されていないシグナリングメッセージを無線インターフェイスを介して移動通信システムに送信する際に、この暗号化アルゴリズムに関する情報を除去しようとする不正侵入者の試みを検出する移動通信システムを考案することである。既存の仕様によれば、このシグナリングメッセージは、ＲＲＣ接続セットアップ完了（RRC CONNECTION SETUP COMPLETE ）メッセージである。

本システムは、少なくとも１つのコアネットワークに対するアクセスを移動局に提供する少なくとも２つの無線アクセスネットワークと、マルチモード移動局と、少なくとも１つのコアネットワークと、を有している。第１の無線アクセスネットワークとの接続セットアップの際に、マルチモード移動局は、第２の無線アクセスネットワークでサポートする暗号化アルゴリズムに関する情報を含む少なくとも１つの保護されていないシグナリングメッセージを送信する。コアネットワークは、第２の無線アクセスネットワークへのハンドオーバーがトリガーされた際に（図４のメッセージ４０２）、第１の無線アクセスネットワークを介して暗号化アルゴリズムに関する情報を受信する。発明性のある特徴を有しているのは、第１の無線アクセスネットワークである。即ち、第１の無線アクセスネットワークにおける以降の通信を暗号化するようにマルチモード移動局に対して命令するコアネットワークからのコマンドメッセージを受信すると、第１の無線アクセスネットワークは、第２の無線アクセスネットワークでマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を含む完全性が保護されたコマンドメッセージを作成する。

この保護されたコマンドメッセージはペイロードとメッセージ認証コードを有している。第２の無線アクセスネットワークでサポートされるアルゴリズムに関する情報は、ペイロードとして保持するか、或いは、メッセージ認証コードを算出する際にパラメータとして使用される。

いずれの場合にも、受信した保護されたメッセージにより、マルチモード移動局は、そのメッセージに埋め込まれた情報と以前シグナリングメッセージでマルチモード移動局が送信した情報が一致するかどうかを判定することができる。そして、マルチモード移動局が送信した情報と受信した情報が異なる場合には、不正侵入者が暗号化情報を変更した可能性が高いということであり、この場合には、マルチモード移動局は接続の解放動作を開始する。

（好適な実施例の詳細な説明）
以下に説明する方法の目的は、通信ネットワークにおけるセキュリティを増強することであり、特に、無線インターフェイスを介したシグナリングのセキュリティを増強することである。

尚、「端末」、「ユーザー端末」、「移動局」、及び「ユーザー機器」という用語はすべて同一の機器を意味していることに留意されたい。

ユーザー端末と、例えば、ネットワーク間で送信される大部分のシグナリングメッセージにおいては、その完全性を保護しなければならない。このようなメッセージの例としては、ＲＲＣ、ＭＭ、ＣＣ、ＧＭＭ、及びＳＭメッセージがある。この完全性の保護は、ユーザー端末及びネットワークの両方でＲＲＣレイヤにおいて適用される。

完全性の保護は、普通、すべてのＲＲＣ（無線リソース制御）メッセージに対して実行されるが、いくつかの例外が存在する。これらの例外には、次のものが該当する。
１．複数の受信者に対して割り当てられるメッセージ
２．接続用の完全性キーが作成される前に送信されるメッセージ
３．完全性の保護を必要としない情報を含む頻繁に反復されるメッセージ

セキュリティの観点では、上述の選択肢２に記述されている最初のメッセージ（或いは、少なくともそれらの中の極めて重要な情報要素）の完全性を保護することが特に重要である。前述のように、完全性の保護が存在しない場合、侵入者がメッセージ５００に含まれている暗号化アルゴリズム情報を「暗号化アルゴリズムは利用不可である」に変更するリスクが常に存在している。

セキュリティを増強するのに必要な機能を実装する方法としては、いくつかの異なるものが存在しているが、以下では、それらの中のいくつかのソリューションについて説明することにする。

以下、図６〜図９を参照し、４つの例によって本発明について詳細に説明する。

最初に、ユーザー端末とＵＭＴＳネットワーク間で接続を確立する。その後、ＵＭＴＳネットワークからＧＳＭネットワークへのハンドオーバーを実行する。

図６は、本発明による方法の一実装例をフローチャートとして示している。尚、コアネットワークがメッセージ（５０３）を受信する時点までのシグナリングは図５に示すものと同一であると仮定する。

更に、ユーザー端末は、デュアルモード（ＵＭＴＳ／ＧＳＭ）端末であるものとし、ＵＭＴＳモードでは、最初の非アクセス層メッセージを無線リソース制御第一直接転送（INITIAL DIRECT TRANSFER ）メッセージ（図５のメッセージ（５０２）に対応するもの）によって無線インターフェイスを介して送信する。更に、ＲＲＣ接続の確立（５００）が既に行われており、従って、ユーザー端末はアイドル状態にあり、コアネットワークとの接続をセットアップするための要求が到来した時点でユーザー端末は既存のＲＲＣ接続を有していないものと仮定している。

最初のメッセージ（５０２）により、コアネットワークはユーザー端末（この場合には、移動局）からＧＳＭのクラスマーク情報を受信する。この情報は、ＧＳＭモードで端末がどのＧＳＭ暗号化アルゴリズムをサポートしているのかに関する情報を含む移動局のＧＳＭモードにおける全般的な特性を示すものである。尚、この「クラスマーク」という用語はＧＳＭに固有のものとして理解する必要があり、その他のシステムの場合には別の用語を使用する。コアネットワーク内の移動交換局は、移動局がサポートする暗号化アルゴリズムに関する情報をセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージ（６００）に付加する。そして、このメッセージは、ｌｕインターフェイスによってサービング無線ネットワークコントローラに送信される。サービング無線ネットワークコントローラは、エンコードする前に、このサポートされている暗号化アルゴリズムに関する情報を含む移動局がサポートする暗号化アルゴリズムに関する情報をセキュリティ（SECURITY COMMAND）メッセージに付加する（６０１）。３２ビットのメッセージ認証コードＭＡＣ−Ｉが算出され、エンコードされたメッセージに付加される。

エンコードされたメッセージ以外に、ＭＡＣ−Ｉコードは、いくつかのその他のパラメータにも基づいている。完全性アルゴリズムによる算出には、入力パラメータとして、エンコードされたメッセージ、４ビットのシーケンス番号ＳＮ、２８ビットのハイパーフレーム番号ＨＦＮ、３２ビットのランダム番号ＦＲＥＳＨ、１ビットの方向識別子ＤＩＲ、及び最も重要なパラメータである１２８ビットの完全性キーＩＫが必要である。尚、シリアル完全性シーケンス番号ＣＯＵＮＴ−Ｉは、短いシーケンス番号ＳＮと長いシーケンス番号ＨＦＮによって構成されている。

完全性アルゴリズムと前述のパラメータを使用してメッセージ認証コードを算出する際には、実際の送信者以外には誰も正しいＭＡＣ−Ｉコードをシグナリングメッセージに付加できないことが保証されている。例えば、ＣＯＵＮＴ−Ｉによって同一メッセージの反復的な送信が防止される。更には、同一の理由などによって同一のシグナリングメッセージが反復して送信される場合にも、以前送信されたシグナリングメッセージとはＭＡＣ−Ｉコードが異なっている。この目的とするところは、盗聴者やその他の不正ユーザーからメッセージを可能な限り強力に保護することである。即ち、本発明においては、セキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージ（５０７）に追加される移動局がサポートする暗号化アルゴリズムに関するＧＳＭ情報の完全性が保護されており、この結果、この情報が侵入者によって変更されていないことを移動局が確認できるようになっている点に留意することが重要である。

次に、移動局がセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージを受信すると、このメッセージと共に受信された移動局がサポートする暗号化アルゴリズムに関する情報と、最初のメッセージ（５０２）によって移動局からネットワークに以前送信された移動局がサポートする暗号化アルゴリズムに関する情報が段階（６０２）において比較される。同様に、受信されたＵＥ（ＵＭＴＳ）セキュリティ機能のパラメータと、送信されたＵＥセキュリティ機能のパラメータが従来技術によって比較される。そして、これら両方の比較の結果、一致した場合には、移動局は接続を受け入れ６０４、一致しなければ、接続が解放される（６０３）。

図７は、本方法の第２の実装例をフローチャートとして示している。

段階（７００）において、移動局は、第一直接転送（INITIAL DIRECT TRANSFER ）メッセージ（図５のメッセージ（５０２）に対応するもの）を無線アクセスネットワークのサービング無線ネットワークコントローラを介してコアネットワークに送信する。このメッセージは、ＲＲＣ部と非アクセス層部の２つの主要部分から構成されており、ＲＲＣからはトランスペアレントなペイロードとして見えている。更に、ペイロード部には、ＣＭサービス要求（CM SERVICE REQUEST）、ロケーション更新要求（LOCATION UPDATING REQUEST）、ＣＭ再確立要求（CM RE-ESTABLISHMENT REQUEST）、又はページング応答（PAGING RESPONSE ）メッセージの中の１つが含まれている。

このメッセージを受信すると、サービング無線ネットワークコントローラは、このメッセージを保存すると共に（７０１）、ペイロード部又はＮＡＳ部をｌｕインターフェイスを介してコアネットワークに転送する（７０２）。コアネットワークは、通常のセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージによって応答する（７０３）。以前の例と同様に、移動局へ伝送されるメッセージを保護するべく、メッセージ認証コードＭＡＣ−Ｉが算出され、このコードがメッセージに付加される。このメッセージ認証コードは、所定の方法で保護対象のメッセージに依存しており、この場合には、この算出は、次の連結ビット列をＭＥＳＳＧＥパラメータとして使用し実行される。

MESSAGE=SECURITY MODE COMMAND+RRC CONNECTION REQUEST+RRC INITIAL DIRECT TRANSFER

この後、完全性が保護されたセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージが移動局に対して送信される（７０４）。

このソリューションの場合には、前述のメッセージにＵＥ（ＵＭＴＳ）セキュリティ機能パラメータを含める必要がない点に留意されたい。但し、両セキュリティ関連パラメータ（即ち、ＵＥセキュリティ機能パラメータとＧＳＭクラスマークパラメータ）は、ＭＡＣ−Ｉコード算出の際に入力パラメータとして使用されている。

受信側（即ち、移動局）は、受信したメッセージ認証コードが算出されたコードと同一であることを検証するべく、メッセージ認証コードを算出する同一のアルゴリズムを有している（７０５）。即ち、移動局は、受信したセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージ用のＸＭＡＣ−Ｉを算出するべく、以前送信したメッセージ（ＲＲＣ接続要求（RRC CONNECTION REQUEST）メッセージ（５００）及びＲＲＣ第一直接転送（RRC INITIAL DIRECT TRANSFER ）メッセージ（５０２））を保存している。受信したＭＡＣ−Ｉ値と算出したＸＭＡＣ−Ｉ値が一致すれば、移動局は、ネットワークがセキュリティ機能とＧＳＭクラスマークについて正しい情報を受信しているものと想定し、接続を受け入れる（７０７）。一方、一致しなければ、接続は解放される（７０６）。

このソリューションには１つの欠点がある。それは、セキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージが送／受信されるまで、エンコードされたＲＲＣ接続要求（RRC CONNECTION REQUEST）及びＲＲＣ第一直接転送（RRC INITIAL DIRECT TRANFER）メッセージをサービング無線ネットワークコントローラ及び移動局の両方のメモリに保存しなければならないことである。しかし、その一方で、このソリューションでは、従来技術のセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージにおいてＵＥセキュリティ機能を省略することが可能であり、この結果、このメッセージの３２ビットを節約することができる。

図８は、本方法の第３の実装をフローチャートとして示している。

このソリューションが第２のソリューションと異なっている部分はわずかである（即ち、図７のブロックと異なっているのはブロック（８０１）、（８０４）、及び（８０５）のみである）。従って、以下では、これら２つのブロックについて詳細に説明する。

段階（８０１）において、後で使用するべく、サービング無線ネットワークコントローラは、メッセージ全体を保存する代わりに、メッセージのペイロード部のみを保存する。即ち、サービング無線ネットワークは、ＣＭサービス要求（CM SERVICE REQUEST）、ロケーション更新要求（LOCATION UPDATING REQUEST ）、ＣＭ再確立要求（CM RE-ESTABLISHMENT REQUEST）、又はページング要求（PAGING REQUEST ）メッセージの中の１つを保存するのである。従って、このソリューションの場合は、第２のソリューションに比べ、メモリスペースを節約することができる。

段階８０４において、メッセージを保護するべく、以前保存したペイロードを使用することによってメッセージ認証コードＭＡＣ−Ｉが算出される。この場合には、ＭＥＳＳＡＧＥは次のように形成される。

MESSAGE=SECURITY MODE COMMAND+UE SECURITY CAPABILITY+INITIAL DIRECT TRANSFERメッセージのＮＡＳメッセージ部

そして、セキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージのみがＵｕインターフェイスによって移動局に送信される。これは、ＵＥセキュリティ機能及びＧＳＭのＭＳクラスマークの両セキュリティパラメータは、メッセージ認証コードＭＡＣ−Ｉの算出には使用するが、メッセージには含める必要がないことを意味している。但し、この結果、決してセキュリティが低下することはない。

段階（８０５）において、移動局は、段階（８０４）でネットワークが使用したものと同一のＭＥＳＳＡＧＥパラメータ（即ち、以前保存したＵＥセキュリティ機能（UE Security Capability）及び第一直接転送（INITIAL DIRECT TRANSFER ）メッセージのＮＡＳメッセージ部パラメータ）を使用することによってＸＭＡＣ−Ｉを算出する。

図９は、本方法の第４の実装例をフローチャートとして示している。このソリューションは、第１及び第３のソリューションを組み合わせたものである。

移動局と無線アクセスネットワークのサービング無線ネットワークコントローラ間の接続確立の際に、後者は、ユーザー機器の機能情報ＵＥＣを受信し、後で使用するべく、メモリ内に保存する（９００）。その後、移動局は、例えば、移動局がサポートする暗号化アルゴリズムに関する情報を格納する最初の非アクセス層メッセージをＲＲＣ第一直接転送（RRC INITIAL DIRECT TRANSFER ）メッセージのペイロードとして無線アクセスネットワークに送信し、無線アクセスネットワークは、このＮＡＳメッセージをコアネットワークに転送する（９０１）。コアネットワーク内の移動交換局は、段階（９０２）及び（９０３）において、移動局がサポートする暗号化アルゴリズムに関する情報パラメータをセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージに付加し、このメッセージをｌｕインターフェイスによって無線アクセスネットワークのサービング無線ネットワークコントローラに送信する。

段階（９０４）において、サービング無線ネットワークコントローラは、前述のパラメータにＭＥＳＳＡＧＥパラメータを追加し、前述の方法でＭＡＣ−Ｉコードを算出するが、このＭＥＳＳＡＧＥは次のように形成される。

MESSAGE=SECURITY MODE COMMAND+UE SECURITY CAPABILITY+GSM CLASSMARKS

以前の例と同様に、セキュリティパラメータであるＵＥセキュリティ機能及びＧＳＭクラスマークの両方がメッセージ認証コードＭＡＣ−Ｉの算出用に使用されており、これらをメッセージに含める必要はない。このソリューションの利点は、移動局又は無線ネットワークコントローラに追加メモリが不要なことである。

前述のソリューションではコアネットワークが３Ｇネットワーク要素であることが不可欠であり、少なくともＵＭＴＳ無線アクセスネットワークと、任意選択でＧＳＭ基地局サブシステムを制御している。

以上、いくつかの例を使用して本発明の実装と実施例について説明した。しかしながら、本発明は前述の実施例の細目に限定されるものではなく、当業者であれば、本発明の特徴的な特質を逸脱することなく、多数の変更及び変形を行うことができることに留意されたい。前述の実施例は、例示を目的とするものであり、限定を目的とするものではなく、従って、本発明は、添付の請求項によってのみ限定され、それらの請求項によって定義された代替実施例、並びに等価な実施例も本発明の範囲に含まれる。

例えば、ソースとなる無線アクセスネットワークは、ＵＴＲＡＮ、ＧＳＭ基地局サブシステム、ＧＰＲＳシステム（汎用パケット無線サービス）、ＧＳＭＥｄｇｅ、ＧＳＭ１８００などのシステムであってよい。同様にターゲットとなる無線アクセスネットワークも、例えば、ＵＴＲＡＮ、ＧＳＭ基地局サブシステム、ＧＰＲＳ（汎用パケット無線サービス）、ＧＳＭＥｄｇｅ、ＧＳＭ１８００などのシステムであってよい。

更に、マルチモード移動端末がサポートするＧＳＭセキュリティアルゴリズム（Ａ５／１、Ａ５／２、Ａ５／３など）に関する情報は、ＵＭＴＳの「ＵＥ無線アクセス機能」の一部として付加することができる。或いは、この情報は、別個の情報要素、又はＵＥセキュリティ機能パラメータの一部であってもよい。実際には、この情報は、ＲＲＣ接続確立手順（図５の段階（５００）を参照されたい）、並びにセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージ（図５の段階（５０７）を参照されたい）に付加しなければならない。前述のその他の可能な実装のように、この場合にも、実際の「Ｉｎｔｅｒ−ＲＡＴ無線アクセス機能」情報要素（サポートされているＧＳＭセキュリティアルゴリズムに関する情報を含んでいる）をＲＲＣセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージに付加するのは１つの選択肢に過ぎず、移動体は必ずしもこの情報要素を必要としているわけではなく、ネットワークがこれを正しく受信したことを単純に確認するためのものであり、シグナリングのオーバーヘッドが増加する。以下では、本発明の３つの更なるソリューション（即ち、第５、第６、及び第７の実装例）について説明する。

本方法を実装する第５の例においては、ＧＳＭ暗号化アルゴリズム機能のみを含む新しいＲＲＣ情報要素を定義する。これには７ビットが必要とされ、この情報要素はＲＲＣセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージに付加される。このソリューションの欠点は、新しいこの情報要素を前記メッセージ内にエンコードするべく、ＵＴＲＡＮのＲＲＣプロトコルがＧＳＭクラスマーク２及びクラスマーク３情報要素を先にデコードしなければらないことであり、これらのエンコード／デコード規則はＵＴＲＡＮのＲＲＣプロトコルの一部を構成するものではない。

図１０は、本方法を実装する第６の例を示している。ＵＴＲＡＮ側において、ＲＲＣセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージ１０００用のＭＡＣ−Ｉ（及びＸＭＡＣ−Ｉ）を算出するべく、受信したＧＳＭクラスマーク２及びクラスマーク３情報（ＲＲＣ情報要素「Ｉｎｔｅｒ−ＲＡＴＵＥ無線アクセス機能」（１００１））を「ＵＥセキュリティ機能」１００２（サポートされているＵＴＲＡＮセキュリティアルゴリズムに関する情報を格納している）と共に使用している。これは、ＧＳＭクラスマーク情報（コアネットワーク（９０２）からではなく移動局からのもの）をＲＲＣ接続確立フェーズ（９００）で受信済みでサービング無線ネットワークコントローラに保存していることを除き、本質的に図９と同一のソリューションである。移動局に送信されるセキュリティモードコマンド（SECURITY MODE COMMAND ）には、「ＵＥセキュリティ機能」も「Ｉｎｔｅｒ−ＲＡＴＵＥ無線アクセス機能」も格納されておらず、これらの情報要素は、このメッセージ用のＭＡＣ−Ｉを算出する際にのみ使用される。

この第６の実装の欠点は、ＭＡＣ−Ｉ算出用に使用される余分の情報要素（「ＵＥセキュリティ機能」と「Ｉｎｔｅｒ−ＲＡＴＵＥ無線アクセス機能」）の符号化を明示的に定義しなければならないことである。これを容認できない場合には、更に単純な実装が図１１に示されている（本方法の第７の実装例である）。この場合には、ＲＲＣセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージ（１０００）用のＭＡＣ−Ｉ（及びＸＭＡＣ−Ｉ）を算出する際に、（第６の実装例のように２つの情報要素のみを使用する代わりに）エンコードされたＲＲＣ接続セットアップ完了（CONNECTION SETUP COMPLETE ）メッセージ全体を使用している。実際には、これは、ＲＲＣ接続確立手順において（図５の段階（５００）を参照されたい）ＲＲＣ接続セットアップ完了（CONNECTION SETUP COMPLETE ）メッセージを送信する際にセキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージを受信してその完全性チェックサムのチェックを完了する時点まで、移動局がこのエンコードされたメッセージの複写をメモリ内に保存しておかなければならないことを意味している。ネットワーク側でも（ＵＴＲＡＮの場合には、サービング無線ネットワークコントローラにおいて）、セキュリティモードコマンド（SECURITY MODE COMMAND ）メッセージ用のＭＡＣ−Ｉコードの算出が完了する時点まで、受信した（デコードされていない）ＲＲＣ接続セットアップ完了（CONNECTION SETUP COMPLETE ）メッセージの複写をメモリ内に保持しておかなければならない。実装の観点では、エンコードされたメッセージ全体のメモリへの保存は、エンコードされたメッセージを送信する前の段階で（ＵＥ側）、或いはエンコードされたメッセージを受信しデコーダに渡す前の段階（ＵＴＲＡＮ側）行うのが簡単であろう。従って、セキュリティモードコマンド（SECURITY MODE COMMAND ）用のＭＡＣ−Ｉは、完全性アルゴリズム用のＭＥＳＳＡＧＥ入力パラメータを次のように設定することによって算出される。

MESSAGE=SECURITY MODE COMMAND+RRC CONNECTION SETUP COMPLETE

本方法を実装する第６の例と比べたこの実装例の欠点は、このソリューションの場合には、必要なメモリの量が移動局及びネットワーク側の両方で多少増加することである。ＧＳＭクラスマーク情報には、移動局がサポートする暗号化アルゴリズムが含まれている。

同一のコアネットワークに接続されたＧＳＭ及びＵＭＴＳ無線アクセスネットワークの簡単なブロックダイアグラムである。メッセージ認証コードの算出方法を示す図である。メッセージの構成図である。ＵＭＴＳネットワークからＧＳＭネットワークへのシステム間ハンドオーバーを示すシグナリングチャートである。３ＧＰＰのＵＴＲＡＮで使用される基本接続セットアップ及びセキュリティモードセットアップの手順を示すシグナリングチャートである。本発明による方法を実装する第１の例のフローチャートである。本発明による方法を実装する第２の例のフローチャートである。本発明による方法を実装する第３の例のフローチャートである。本発明による方法を実装する第４の例のフローチャートである。本発明による方法を実装する第５の例のフォーマットである。本発明による方法を実装する第６の例のフォーマットである。

Claims

無線アクセスネットワークであって、
前記無線アクセスネットワークは、
無線インターフェースを介して、更に先の無線アクセスネットワークにおける前記マルチモード移動局がサポートする暗号化アルゴリズムに関する情報を含む非保護シグナリングメッセージをマルチモード移動局から受信し、
更に先の無線アクセスネットワークにおけるマルチモード移動局がサポートする前記暗号化アルゴリズムに関する情報を含む完全性が保護されたコマンドメッセージを作成するものであって、前記完全性が保護されたコマンドメッセージはペイロード及びメッセージ認証コードを有し、
前記完全性が保護されたコマンドメッセージを前記マルチモード移動局に送信するように構成されることを特徴とする無線アクセスネットワーク。
前記更に先の無線アクセスネットワークにおけるマルチモード移動局によりサポートされ、前記非保護シグナリングメッセージで受信される暗号化アルゴリズムに関する情報を前記ペイロードに付加するように構成されることを特徴とする請求項１に記載の無線アクセスネットワーク。
前記非保護シグナリングメッセージを保存し、前記非保護シグナリングメッセージを前記メッセージ認証コードを算出するアルゴリズムにおいて使用するように構成されることを特徴とする請求項１に記載の無線アクセスネットワーク。
前記非保護シグナリングメッセージのペイロードを保存し、前記非保護シグナリングメッセージのペイロードを前記メッセージ認証コードの算出するアルゴリズムにおいて使用するように構成されることを特徴とする請求項１に記載の無線アクセスネットワーク。
接続のセットアップの間に移動局から受信するマルチモード移動局性能に関する性能情報を保存し、前記メッセージ認証コードの算出する際に、コアネットワークから受信した前記コマンドメッセージに埋め込まれた暗号化アルゴリズムに関する情報と共に前記性能情報を使用するように構成されることを特徴とする請求項１に記載の無線アクセスネットワーク。
前記完全性が保護されたコマンドメッセージにおいて、更に先の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報、及び、前記無線アクセスネットワークにおける前記マルチモード移動局のセキュリティ能力（capability）に関する情報を省くように構成されることを特徴とする請求項１、３、４又は５の何れか一項に記載の無線アクセスネットワーク。
前記完全性が保護されたコマンドメッセージにおいて、更に先の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を含むように構成されることを特徴とする請求項１に記載の無線アクセスネットワーク。
マルチモード移動局が接続セットアップの間に更に先の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を送信する場合であって、前記無線アクセスネットワークは暗号化アルゴリズムに関する前記情報を保存し、前記完全性が保護されたコマンドメッセージを作成する際に暗号化アルゴリズムに関する前記情報を使用することを特徴とする請求項１に記載の無線アクセスネットワーク。
更に先の無線アクセスネットワークにおいてマルチモード移動局がサポートする暗号化アルゴリズムに関する情報をコアネットワークに送信することを特徴とする請求項１ないし８の何れか一項に記載の無線アクセスネットワーク。
コアネットワークから移動局に以降の通信を暗号化するように命令するコマンドメッセージを受信するように構成されることを特徴とする請求項１ないし９の何れか一項に記載の無線アクセスネットワーク。
前記コアネットワークから前記コマンドメッセージを受信した後、前記保護されたコマンドを前記マルチモード移動局に送信するように構成された請求項１０に記載の無線アクセスネットワーク。
前記完全性が保護されたコマンドメッセージがマルチモード移動局に以降の通信を暗号化するように命令することを特徴とする請求項１ないし１１の何れか一項に記載の無線アクセスネットワーク。
第１の無線アクセスネットワークに、第２の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を含むシグナリングメッセージを送信し、
前記第１の無線アクセスネットワークから、第２の無線アクセスネットワークにおけるマルチオード移動局がサポートする前記暗号化アルゴリズムに関する情報を含む完全性が保護されたコマンドメッセージを受信するものであって、前記完全性が保護されたコマンドメッセージはメッセージ認証コードを含むペイロードを有し、
前記完全性が保護されたコマンドメッセージにおける前記暗号化アルゴリズムに関する前記情報が前記保護された非保護のシグナリングメッセージにおける前記暗号化アルゴリズムに関する前記情報に対応するか否かを決定するように構成されるマルチモード移動局。
前記ペイロードが暗号化アルゴリズムに関する情報を含み、前記マルチモード移動局が、前記ペイロードにおける受信された暗号化アルゴリズムに関する情報と、前記マルチモード移動局がサポートする前記暗号化アルゴリズムに関する保存された情報とを比較するように構成されることを特徴とする請求項１３に記載のマルチモード移動局。
前記非保護シグナリングメッセージを保存し、前記非保護シグナリングメッセージを完全性が保護されたコマンドメッセージのために予想するメッセージ認証コードを算出するアルゴリズムにおいて使用するように構成されることを特徴とする請求項１３に記載のマルチモード移動局。
前記非保護シグナリングメッセージのペイロードを保存し、前記非保護シグナリングメッセージのペイロードを完全性が保護されたコマンドメッセージのために予想するメッセージ認証コードの算出するアルゴリズムにおいて使用するように構成されることを特徴とする請求項１３に記載のマルチモード移動局。
完全性が保護されたコマンドメッセージのために予想するメッセージ認証コードを算出する際に、第２の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を、前記第１の無線アクセスネットワークで使用されるための暗号化アルゴリズムに関する情報と共に使用するように構成されることを特徴とする請求項１３に記載のマルチモード移動局。
前記完全性が保護されたコマンドメッセージが、第２の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報、及び、前記無線アクセスネットワークにおける前記マルチモード移動局のセキュリティ能力（capability）に関する情報を省くことを特徴とする請求項１３、１５、１６又は１７の何れか一項に記載のマルチモード移動局。
前記完全性が保護されたコマンドメッセージは、第２の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を含むことを特徴とする請求項１３に記載のマルチモード移動局。
接続セットアップの間に前記第２の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を送信するように構成されていることを特徴とする請求項１３に記載のマルチモード移動局。
前記完全性が保護されたコマンドメッセージがマルチモード移動局に以降の通信を暗号化するように命令することを特徴とする請求項１３に記載のマルチモード移動局。
請求項１ないし１２の何れか一項に記載の無線アクセスネットワークを少なくとも１つ有する移動通信システム。
更に先の無線アクセスネットワークにおいてマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を受信するためのコアネットワークを有する請求項２２に記載の移動通信システム。
請求項１３ないし２０の何れか一項に記載のマルチモード移動局を少なくとも１つ有する、請求項２２又は２３に記載の移動通信システム。
ハンドオーバー後に暗号通信を行うための方法であって、
第１の無線アクセスネットワークの無線インターフェースを介して、第２の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を含む非保護シグナリングメッセージをマルチモード移動局から受信するステップと、
前記第２の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を含む完全性が保護されたコマンドメッセージを作成するステップであって、前記完全性が保護されたコマンドメッセージはメッセージ認証コードを含むペイロードを有するステップと、
前記完全性が保護されたコマンドメッセージを前記マルチモード移動局に送信するステップとからなる前記方法。
前記第２の無線アクセスネットワークにおいてマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を送信するステップを有する請求項２５に記載の方法。
前記コアネットワークから、マルチモード移動局に以降の通信を暗号化するように命令するコマンドメッセージを受信するステップを有する請求項２５又は２６記載の方法。
前記完全性が保護されたコマンドメッセージを以ってマルチモード移動局に以降の通信を暗号化するように命令するステップを有する請求項２５ないし２７の何れか一項に記載の方法。
―マルチモード移動局から第１の無線アクセスネットワークに、第２の無線アクセスネットワークにおけるマルチモード移動局がサポートする暗号化アルゴリズムに関する情報を含む非保護のシグナリングメッセージを送信し、
―前記マルチモード受信局において、第２の無線アクセスネットワークにおけるマルチモード移動局によりサポートされる暗号化アルゴリズムに関する情報を含む、完全性が保護されたコマンドメッセージ（但し、完全性が保護されたコマンドメッセージはメッセージ認証コードを含むペイロードを有する）を前記第１の無線アクセスネットワークから受信し、
―前記完全性が保護されたコマンドメッセージにおける前記暗号化アルゴリズムに関する前記情報が、前記非保護のシグナリングメッセージにおける暗号化アルゴリズムに関する情報に対応するかについて結論する、
ことを含む方法。
前記ペイロードが暗号化アルゴリズムに関する情報を有し方法であって、前記ペイロードにおいて受信された暗号化アルゴリズムに関する情報を、マルチモード移動局によりサポートされる前記暗号化アルゴリズムに関する記憶された情報と比較することを含む請求項２９に記載の方法。
非保護シグナリングメッセージを保存し、完全性が保護されたコマンドメッセージのために予想されるメッセージ認証コードを算出するためのアルゴリズムにおける非保護シグナリングメッセージを使用することを含む請求項２９に記載の方法。
非保護のシグナリングメッセージのペイロードを保存し、完全性が保護されたコマンドメッセージのために予想されるメッセージ認証コードを算出するためのアルゴリズムにおける非保護シグナリングメッセージのペイロードを使用することを含む請求項２９に記載の方法。
完全性が保護されたコマンドメッセージに対する予想されるメッセージ認証コードを算出するために、前記第２無線アクセスネットワークにおけるマルチモード移動局によりサポートされる暗号化アルゴリズムに関する情報、及び前記第１無線アクセスネットワークと共に使用するための暗号化アルゴリズムに関する情報を使うことを含む請求項２９に記載の方法。
完全性が保護されたコマンドメッセージが前記更に先の無線アクセスネットワークにおけるマルチモード移動局によりサポートされる暗号化アルゴリズムに関する情報、及び前記無線アクセスネットワークにおける前記マルチモード移動局のセキュリティ能力に関する情報を省く請求項２９に記載の方法、及び、請求項３１乃至３３の何れか一項に記載の方法。
前記完全性が保護されたコマンドメッセージは前記更に先の無線アクセスネットワークにおけるマルチモード移動局によりサポートされる暗号化アルゴリズムに関する情報を含む請求項２９乃至３３の何れか一項に記載の方法。
接続の立上げ時の間に前記第２無線アクセスネットワークにおけるマルチモード移動局によりサポートされる暗号化アルゴリズムに関する前記情報を送信することを含む請求項２９乃至３５の何れか一項に記載の方法。
前記完全性が保護されたコマンドメッセージは更なる通信を暗号化するためにマルチモード移動局に命令する請求項２９乃至３６の何れか一項に記載の方法。