JP2014533908A - 無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法及び装置 - Google Patents

無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法及び装置 Download PDF

Info

Publication number
JP2014533908A
JP2014533908A JP2014542237A JP2014542237A JP2014533908A JP 2014533908 A JP2014533908 A JP 2014533908A JP 2014542237 A JP2014542237 A JP 2014542237A JP 2014542237 A JP2014542237 A JP 2014542237A JP 2014533908 A JP2014533908 A JP 2014533908A
Authority
JP
Japan
Prior art keywords
base station
terminal
authentication
key
cloud cell
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014542237A
Other languages
English (en)
Other versions
JP6120865B2 (ja
JP2014533908A5 (ja
Inventor
ヒュン−ジョン・カン
ユン−キョ・ベク
ラケシュ・タオリ
ジュン−スー・ジュン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2014533908A publication Critical patent/JP2014533908A/ja
Publication of JP2014533908A5 publication Critical patent/JP2014533908A5/ja
Application granted granted Critical
Publication of JP6120865B2 publication Critical patent/JP6120865B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法を提供する。前記方法は、前記端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルにおいて、前記通信認証のための認証手続を行うことにより、第1の認証キーを獲得する過程と、前記第1の認証キーを用いて生成した第1の暗号化キーを用いて、少なくとも一つのメンバー基地局と通信する過程とを含む。

Description

本発明は、無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法及び装置に関する。
次世代無線通信システムは、大容量のデータサービスを支援するために、例えば、ミリ波(mmW)のような高周波帯域を用いる無線通信システムを考慮している。高周波帯域を用いるシステムの場合、端末と基地局(Base Station)との間の通信可能距離が減るため、基地局のセルの半径が小さくなり、これにより、端末のサービス領域を確保するために設けられる基地局の個数が増加するようになる。また、端末の移動性を考慮する際、基地局のセルの半径が減り、基地局の個数が増加すると、端末セル間のハンドオーバ回数が増えるようになり、端末のハンドオーバによるシステムのオーバーヘッドが増加するようになる。
このように、高周波帯域を用いる無線通信システムでは、単位面積当りの基地局の個数が増加するので、端末の移動の際、当該端末と通信するサービング基地局が頻繁に変更され、変更された基地局と端末との間のデータ送受信のための認証キー又はセキュリティキーを生成し、割り当てる認証手続が、サービング基地局を変更する度に要求される。従って、高周波帯域を用いる無線通信システムにおいて、認証手続を効率よく行うための方案が求められる。
上述した問題を解決するために、本発明の目的は、クラウドセルベースの通信システムにおいて端末の認証及びデータの暗号化のためのセキュリティキーを管理する方法及び装置を提供することにある。
本開示の一態様によれば、通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法が提供される。前記方法は、前記端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルにおいて、前記通信認証のための認証手続を行うことにより、第1の認証キーを獲得する過程と、該第1の認証キーにより生成した第1の暗号化キーを用いて、少なくとも一つのメンバー基地局と通信する過程とを含む。
本開示の別の態様によれば、無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法が提供される。前記方法は、前記端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルにおいて、前記端末と前記通信認証のための認証手続を行うことにより、前記端末の認証コンテキストを獲得する過程と、前記認証コンテキストから獲得した第1の暗号化キーを用いて、前記端末と通信する過程とを含む。
本開示のさらに別の態様によれば、通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法が提供される。前記方法は、前記端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルにおいて、前記マスター基地局とのクラウドセルメンバー基地局加入手続を行い、前記マスター基地局から前記クラウドセルに含まれた端末の認証コンテキストを受信する過程と、前記認証コンテキストが第1の認証キーを含む場合、前記第1の認証キーを用いて、第1の暗号化キーを生成し、該第1の暗号化キーを用いて前記端末と通信する過程とを含む。
本開示のさらに別の態様によれば、通信システムにおける端末との通信認証のためのセキュリティキーを管理する端末が提供される。前記端末は、端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルにおいて、認証手続を行うことにより、第1の認証キーを獲得し、該第1の認証キーにより生成した第1の暗号化キーを用いて、少なくとも一つのメンバー基地局と通信する通信部を含む。
本開示のさらに別の態様によれば、通信システムにおける端末との通信認証のためのセキュリティキーを管理するマスター基地局が提供される。前記マスター基地局は、前記端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルにおいて、前記端末との前記通信認証のための認証手続を行うことにより、前記端末の認証コンテキストを獲得し、前記認証コンテキストから獲得した第1の暗号化キーを用いて前記端末と通信する通信部を含む。
本開示のさらに別の態様によれば、通信システムにおける端末との通信認証のためのセキュリティキーを管理するスレーブ基地局が提供される。前記スレーブ基地局は、前記端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルに含まれたマスター基地局とクラウドセルのメンバー基地局加入手続を行い、前記マスター基地局から前記クラウドセルに含まれた端末の認証コンテキストを受信する通信部と、前記認証コンテキストが第1の認証キーを含む場合、セキュリティキー生成部が、前記第1の認証キーを用いて第1の暗号化キーを生成するように制御し、前記通信部が前記第1の暗号化キーを用いて前記端末と通信するよう制御する制御部とを含む。
本発明によると、一つの端末と、該端末をサービスする複数の基地局とのデータ送受信を支援するクラウドセルベースの無線通信システムにおいて、前記端末の認証とデータ暗号化を、クラウドセルを構成する多数の基地局に対して管理する方案を適用することにより、クラウドセルベースの無線通信システム内の端末と、これをサービスする多数の基地局間の信頼性があり、かつ無欠の通信を提供することができる。
端末の認証及びデータ暗号化を処理する一般の無線通信システムの概略構成図である。 本開示の一実施形態によるクラウドセルの構成を示す図である。 本開示の一実施形態によるクラウドセルにおいて、端末の認証及びデータ暗号化などの認証手続を行う無線通信システムの構成の一例を示す図である。 本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する信号フローチャートである。 本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。 本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。 本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおけるスレーブ基地局の動作を示す図である。 本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおける認証制御局の動作を示す図である。 本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する信号フローチャートである。 本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。 本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。 本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおけるスレーブ基地局の動作を示す図である。 本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおける認証制御局の動作を示す図である。 本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する信号フローチャートである。 本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおけるスレーブ基地局の動作を示す図である。 本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおける認証制御局の動作を示す図である。 本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する動作を示す図である。 本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。 本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。 本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。 本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおけるスレーブ基地局の動作を示す図である。 本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおける認証制御局の動作を示す図である。 本開示の第5の実施形態によるクラウドセルベースの無線通信システムにおいて、クラウドセルを構成する過程の中で端末のセキュリティキーを管理する信号フローチャートである。 本開示の第5の実施形態によるクラウドセルベースの無線通信システムにおいて、クラウドセルにスレーブ基地局が追加される場合、端末のセキュリティキーを管理する信号フローチャートである。 本開示の第6の実施形態によるクラウドセルベースの無線通信システムにおける端末のセキュリティキーを管理する信号フローチャートである。 本開示の第6の実施形態によるクラウドセルベースの無線通信システムにおける端末のセキュリティキーを管理する信号フローチャートである。 本開示の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する装置を示す図である。
以下、本発明による好適な実施形態を、添付の図面を参照して詳細に説明する。後述の説明では、本発明による動作の理解を助けるために必要な部分のみを説明し、この以外の部分の説明は、本発明の要旨を不明瞭にする恐れがあるので、省略することに留意すべきである。
以下、本開示の実施形態においては、多数の基地局が協力して端末に通信サービスを提供するクラウドセルベースの無線通信システムにおけるデータ送受信のための認証手続を提供する。まず、本発明の理解を助けるために、一般の無線通信システムにおいて行われるデータ送受信のための認証手続を説明し、その後、本発明の実施形態によるクラウドセルで行われる認証手続を説明する。
図1は、端末の認証及びデータ暗号化を処理する一般の無線通信システムの構成を示す図である。
図1を参照すると、一般の無線通信システムは、端末106と、アクセス基地局104と、アクセスサービスネットワークゲートウェイ(Access Service Network GateWay、以下、「認証制御局(authenticator)」と称する)102と、認証サーバ(AAA: Authentication、Authorization and Accounting)100とを含む。
端末106は、アクセス基地局104を介して、アクセスサービスネットワークが提供されるサービスを受信し、アクセス基地局104は、端末106の無線リソースを制御し、端末106の通信に必要な無線のアクセスポイントを提供する。
認証制御局102は、端末106と送受信するデータの認証及びデータ暗号化のためのセキュリティキーを管理する。認証制御局102は、端末106についてのアクセスサービスネットワークの動作を制御する機能を行い、端末106のアイドルモード動作を管理するページング制御局としての機能も行う。認証サーバ100は、端末106のアクセスネットワーク認証サービスを提供する。
図1のように、一般の無線通信システムにおいては、一つの端末が一つのアクセス基地局を介して、データサービスを受信するシナリオに従って、認証及びデータ暗号化のためのセキュリティキーを管理する。
以下、本開示の実施形態は、多数の基地局が協力してクラウドセルを形成し、前記クラウドセルを介して、端末とのデータ送受信を行う無線通信システムにおいて、認証及びデータ暗号化のためのセキュリティキーを管理する方案を提供する。
以下、本開示が適用される無線通信システムにおいて用いられる高周波帯域の特性を考慮して、より効率よいサービスをユーザに提供するためのクラウドセルを説明する。本開示において、クラウドセルとは、一つの端末を中心として、前記端末にサービスを提供する多数の基地局から構成される仮想(virtual)のセルを言い、例えば、広帯域サービスを提供できるミリ波(mmW)帯域又は一般のセルラー帯域(Sub 1GHz 又は1.8-2.5GHz 又は3.5-3.6GHz)で動作すると仮定する。
図2Aは、本開示の一実施形態によるクラウドセルの構成を概略的に示す図面である。
図2Aを参照すると、クラウドセル200は、説明の便宜上、端末208と、前記端末208にデータを送信する、例えば、3個の基地局202、204、206とを含むと仮定する。前記クラウドセルを構成する基地局の個数は、可変的であってもよいことに留意すべきである。
マスター基地局202は、端末208に制御信号とデータの両方を送信することができ、残りの基地局、即ち、第2の、第3のスレーブ基地局204、206を管理する。前記第2の、第3のスレーブ基地局204、206は、マスター基地局202から特別の指示を受信していない場合、前記端末208にデータのみを送信してもよい。この際、マスター基地局202と第2の、第3のスレーブ基地局204、206が端末208に送信するデータは、同一であっても、又は異なってもよい。
なお、マスター基地局202と第2の、第3のスレーブ基地局204、206は、コアネットワーク(core network)210に直接的にアクセスされ、相互間に無線又は有線で直接的にアクセスされる。
マスター基地局202と第2の、第3のスレーブ基地局204、206が、いずれも端末208をサービングすることにより、高周波帯域で弱いリンクの信頼性(reliability)を増加させ、端末208に多数個のよいリンクを提供することにより、処理量を増加させることができる。また、セルの端(edge)に位置した端末208のハンドオーバ動作などによる遅延を減少することができる。
上記のクラウドセル200内で、マスター基地局202と第2の、第3のスレーブ基地局204、206は、端末208に同時にデータを送信してもよく、時間をおいてデータを送信してもよい。同様に、端末208は、マスター基地局202と第2の、第3のスレーブ基地局204、206に同時にデータを送信してもよく、時間をおいてデータを送信してもよい。このために、前記端末208は、多重RFチェーン(multiple Radio Frequency chain)を備えてもよい。
前記クラウドセルベースの無線通信システムにおいては、端末が前記クラウドセルに属した多くの基地局とのデータ送受信を行うため、前記端末がクラウドセルに属した基地局内で移動する場合、一般の無線通信システムにおいて、ハンドオーバ動作は要求されない。従って、クラウドセルベースの無線通信システムでは、当該端末の境界のない移動性を管理できるといった長所がある。
一方、本開示の実施形態において、端末は、クラウドセルに属した多くの基地局とのデータ送受信を行うために、前記多くの基地局との認証及びデータ暗号化各々のための認証キー及びデータ暗号化キーを含むセキュリティキーを管理する動作を行う。
図2Bは、本開示の実施形態によりクラウドセルにおける端末の認証及びデータ暗号化などの認証手続を行う無線通信システムの構成の一例を示す図である。
図2Bを参照すると、クラウドセルベースの無線通信システムは、端末232と、クラウドセル224と、認証制御局222と、認証サーバ220とを含む。認証制御局222と認証サーバ220は、図2Bのように、分離されて構成されてもよく、又は図面には示していないが、一つのブロック形態で構成されてもよい。
クラウドセル224は、端末232にアクセスサービスネットワークの無線アクセスポイントを提供するマスター基地局(Cloud master Base Station)226と、スレーブ基地局(Cloud slave Base Station)228、230とを含む。マスター基地局226は、クラウドセル224に属したスレーブ基地局228、230を制御して、端末232にデータサービスを提供する。スレーブ基地局228、230は、クラウドセル224において、マスター基地局226を補助して、端末232とのデータ送受信を行う。認証制御局222は、端末232のデータについての認証及びデータ暗号化のためのセキュリティキーを管理するなどの認証手続を行う。認証制御局222は、端末232のアクセスサービスネットワークの動作を制御する機能を行い、端末232のアイドルモード動作を管理するページング制御局としての機能も行う。認証サーバ220は、端末232のアクセスネットワーク認証サービスを提供する。
以下、本開示の実施形態を概略的に説明すると、次の通りである。
本開示の第1の実施形態では、認証キーの生成のための入力値として、クラウドシード(cloud seed)を用い、端末232とメンバー基地局との間のデータ送受信に必要なデータ暗号化キーの生成の際、前記認証キーが同様に用いられる。ここで、前記メンバー基地局は、端末232が属したクラウドセル224内に含まれたマスター基地局226と、スレーブ基地局228、230とを含む。
以下、本明細書においては、クラウドセル内に含まれたマスター基地局と、スレーブ基地局とを「メンバー基地局」と称する。
前記クラウドシードは、認証制御局222或いは認証サーバ220から生成され、端末232に伝達される値であってもよく、認証制御局222或いは認証サーバ220と端末232とが、予め共有している規則により選択された値であってもよい。また、前記クラウドシードは、クラウドセル224内のメンバー基地局のうちの少なくとも一つのメンバー基地局が削除された場合に変更される。この際、削除されたメンバー基地局は、クラウドセル224内のマスター基地局226であってもよく、スレーブ基地局228、230のうちの一つであってもよい。
本開示の第2の実施形態では、端末232が属したクラウドセル224におけるマスター基地局226の識別子を、認証キーの生成のための入力値として用い、端末232と前記メンバー基地局との間のデータ送受信に必要なデータ暗号化キーの生成時、前記認証キーが同様に用いられる。この際、前記暗号化キーは、認証制御局222又は認証サーバ220又は端末232で生成され、当該状況によって、マスター基地局226又はスレーブ基地局228、230各々で生成されることができる。この際、クラウドセル224のマスター基地局226が、新しいマスター基地局へ変更された場合に、新しいマスター基地局の識別子を用いて、新しい認証キーが生成される。前記新しい認証キーに基づいて、クラウドセル224内に加えられた前記新しいマスター基地局を含むメンバー基地局と前記端末との間のデータ送受信に必要な新しいデータ暗号化キーが生成される。一方、前記クラウドセルのメンバー基地局のうちの任意のスレーブ基地局が追加又は削除される場合、即ち、マスター基地局の変更がない場合、現在使用中のセキュリティキー、即ち、認証キーとデータ暗号化キーを保持する。
本開示の第3の実施形態では、端末232が属したクラウドセル224のメンバー基地局のうちのマスター基地局226とスレーブ基地局228、230各々に個別に認証キーを生成する。即ち、端末232とマスター基地局226との間のデータ暗号化キーの生成の時には、マスター基地局226の識別子を用いて生成した認証キーを使用する。また、端末232と前記メンバー基地局のうちのスレーブ基地局228との間のデータ暗号化キーの生成時には、スレーブ基地局228の識別子を用いて生成した認証キーを使用する。同様に、端末232とスレーブ基地局230との間のデータ暗号化キーの生成時には、スレーブ基地局230の識別子を用いて生成した認証キーを使用する。クラウドセル224のメンバー基地局のうち、削除されたメンバー基地局が存在する場合、削除されたメンバー基地局により生成されたセキュリティキー、即ち、認証キーとデータ暗号化キーは削除される。この際、削除されたメンバー基地局は、マスター基地局又はスレーブ基地局となってもよい。
本開示の第4の実施形態では、端末232が属したクラウドセル224のマスター基地局226の識別子を、認証キーの生成のための入力値として用い、端末232と前記メンバー基地局との間のデータ送受信に必要なデータ暗号化キーの生成時、前記認証キーが用いられる。この際、前記メンバー基地局は、端末232が属したクラウドセル224内に含まれたマスター基地局226と、スレーブ基地局228、230とを含む。前記暗号化キーは、認証制御局222又は認証サーバ220又はマスター基地局226により生成される。前記認証キー及びデータ暗号化キーは、スレーブ基地局228、230が主体となって管理するか、又は使用しない。一方、クラウドセル224のマスター基地局226が新しいマスター基地局に変更された場合、新しいマスター基地局の識別子を用いて、新しい認証キーが生成される。前記新しい認証キーに基づいて、端末232と前記メンバー基地局との間のデータ送受信に必要なデータ暗号化キーが生成される。
本開示の第5の実施形態では、端末232が認証キーの生成のための入力値として、クラウドシードを生成する。端末232は、自らのメンバー基地局、即ち、クラウドセル224内に含まれたマスター基地局226とスレーブ基地局228、230とに、前記クラウドシードを伝達する。クラウドセル224内にメンバー基地局が追加される場合、端末232は、当該メンバー基地局に前記クラウドシードを伝達する。そして、端末232及び該端末232からクラウドシードの伝達を受けたメンバー基地局は各々、前記クラウドシードを入力値として用いて、認証キーを生成する。なお、端末232及び該端末232から前記クラウドシードの伝達を受けたメンバー基地局は各々、前記認証キーを用いてデータ暗号化キーを生成する。一方、クラウドセル224のメンバー基地局のうちの任意のスレーブ基地局が削除された場合、現在使用中のクラウドシードを保持してもよく、又は端末232が新しいクラウドシードを生成し、その新しいクラウドシードをメンバー基地局に伝達してもよい。
本開示の第6の実施形態では、端末232が認証キーの生成ための入力値としてクラウドシードを生成する。そして、マスター基地局226が端末232より伝達されたクラウドシードを自らのメンバー基地局、即ち、スレーブ基地局228、230に伝達する。クラウドセル224内にメンバー基地局が追加される場合、マスター基地局226は、当該メンバー基地局に前記クラウドシードを伝達する。そして、端末232及び該端末232よりクラウドシードの伝達を受けたメンバー基地局は各々、前記クラウドシードを入力値として用いて、認証キーを生成する。また、端末232及び該端末232より前記クラウドシードの伝達を受けたメンバー基地局は各々、前記認証キーを用いてデータ暗号化キーを生成する。一方、クラウドセル224のメンバー基地局のうちの任意のスレーブ基地局が削除された場合、現在使用中のクラウドシードを保持してもよく、又は端末232が新しいクラウドシードを生成してもよい。この場合、マスター基地局226が、前記新しいクラウドシードをメンバー基地局に伝達する。
第1の実施形態
図3は、本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する信号フローチャートである。
図3を参照すると、302ステップにおいて、端末300は、マスター基地局340とのアクセス要請及び機能交渉(「ranging and capability negotiation」とも知られている)手続を行い、304ステップに進む。
304ステップにおいて、端末300とマスター基地局340との間に、端末300についてのアクセスネットワーク認証及びデータ暗号化手続を行い、マスター基地局340と認証制御局360との間に、端末300についてのアクセスネットワーク認証及びデータ暗号化手続を行い、認証制御局360と認証サーバ370との間に、端末300についてのアクセスネットワーク認証及びデータ暗号化手続を行う。端末300とマスター基地局340との間に、マスター基地局340と認証制御局360との間に、及び、認証制御局360と認証サーバ370との間に必要な認証処理情報は、端末300とマスター基地局340との間で交換される認証交渉のメッセージ、マスター基地局340と認証制御局360との間で交換されるアクセスネットワーク認証交渉のメッセージ、及び認証制御局360と認証サーバ370との間で交換される認証のメッセージを介して伝送される。
304ステップにおける認証手続の間、端末300と認証制御局360は、認証サーバ370より伝達されたマスターキーに基づいて、認証コンテキスト、即ち、認証キーを生成する。本開示の第1の実施形態では、前記認証コンテキスト又は認証キーを、下記の数式1を用いて生成する。
認証キー=Dot16KDF(PMK, MSID|Cloud Seed|“AK”, AK_length)...数式1
ここで、PMKは、マスターキーのうちの一例である双方向マスターキー(Pairwise Master Key)を示し、MSID(mobile Station IDentifier)は、端末の識別子を示し、Cloud Seedは、前記端末が属したクラウドセルの認証シードを示し、“AK”は、データ暗号化キーであることを示す文字列であり、Dot16KDFは、双方向マスターキー、端末の識別子、Cloud Seed、“AK”文字列を入力値とするAK_lengthビットの認証キーを生成するアルゴリズムである。
前記端末が属したクラウドセルでは、前記クラウドシードが前記認証キーを生成するための入力値として用いられ、前記クラウドセルに属した全ての基地局と前記端末との全てのデータ送受信に必要なデータ暗号化では、前記クラウドシードにより生成された同一の認証キーを用いる。前記クラウドシードは、認証制御局360或いは認証サーバ370により生成されて、端末300にシグナリングを通じて伝達される値であってもよく、認証制御局360或いは認証サーバ370と端末300とが、予め共有している規則により選択される値であってもよい。
前記クラウドシードは、当該クラウドセル内のメンバー基地局を管理するためのクラウドセルメンバー基地局リストから任意のメンバー基地局が削除される場合に変更されてもよい。この場合、変更されたクラウドシードは、認証制御局360或いは認証サーバ370により新しく生成された値であるか、認証制御局360或いは認証サーバ370と端末300とが予め共有している規則により再び選択される値である。また、304ステップにおいて、認証制御局360は、前記数式1を用いて生成した認証キーをマスター基地局340に伝達する。そうすると、マスター基地局340は、前記認証キーを用いて、端末300とのデータ交換に用いられるデータ暗号化キーを生成する。又は、認証制御局360が、前記認証キーから端末300とマスター基地局340とが用いるデータ暗号化キーを直接生成し、生成されたデータ暗号化キーをマスター基地局340に伝達する。その後、306ステップにおいて、端末300は、マスター基地局340を介して登録手続を行い、マスター基地局340とのデータ送受信を行う。
次に、308ステップにおいて、端末300とマスター基地局340とは、スレーブ基地局350を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、310ステップに進む。以下、本明細書のクラウドセルアップデート手続は、当該クラウドセルのメンバー基地局を管理するクラウドセルメンバー基地局リストに、新しい基地局を追加するか、既存のメンバー基地局を削除するか、既存のマスター基地局をスレーブ基地局へ変更するか、既存のスレーブ基地局をマスター基地局へ変更する動作を含む。
310ステップにおいて、スレーブ基地局350は、マスター基地局340とのクラウドセルメンバー基地局追加手続を行う。スレーブ基地局350が端末300のクラウドセルメンバー基地局リストに追加されると、スレーブ基地局350は、端末300との通信に用いるセキュリティキーの伝達を受ける。そうすると、スレーブ基地局350は、312ステップにおいて、マスター基地局340から認証キーのみを受信するか、或いは314ステップにおいて、認証制御局360から端末300についての認証キーのみを受信する場合、スレーブ基地局350は、前記認証キーを用いて端末300のデータ暗号化キーを直接生成する。
その後、316ステップにおいて、端末300とマスター基地局340とは、前記クラウドセルメンバー基地局リストから任意のメンバー基地局を削除するクラウドセルアップデート手続を行い、318ステップに進む。318ステップにおいて、マスター基地局340は、前記クラウドセルメンバー基地局リストから任意のメンバー基地局が削除されたことを認証制御局360に通報する。そうすると、320ステップにおいて、端末300の認証キーを再生性するためのセキュリティキーアップデート手続を行う。320ステップのセキュリティキーアップデート手続では、端末300の認証キーを再構成するためのクラウドシードを新しく生成し、前記生成された新しいクラウドシード及び前記数式1を用いて、新しい認証キーを生成する。320ステップにおいて、認証制御局360は、前記新しいクラウドシードを用いて生成された新しい認証キーを、マスター基地局340に伝達するか、前記新しい認証キーに基づいて生成された端末300のデータ暗号化キーを、マスター基地局340に伝達する。マスター基地局340が前記新しい認証キーのみを伝達された場合、マスター基地局340が、端末300とのデータ送受信の時に用いる新しいデータ暗号化キーを直接生成する。
322ステップにおいて、マスター基地局340は、スレーブ基地局350にも、クラウドセルメンバー基地局リストから前記メンバー基地局が削除されたことを通報する。そうすると、スレーブ基地局350は、前記通報に基づいて、クラウドセルメンバー基地局リストから前記メンバー基地局を削除するクラウドセルアップデート手続を行う。
324ステップにおいて、マスター基地局340は、前記新しい認証キー或いは新しいデータ暗号化キーを、スレーブ基地局350に伝達する。或いは、326ステップにおいて、認証制御局360が、前記新しい認証キー或いは前記新しいデータ暗号化キーを、スレーブ基地局350に伝達する。この際、スレーブ基地局350がマスター基地局340又は認証制御局360から前記新しい認証キーのみを受信した場合、スレーブ基地局350は、前記新しい認証キーを用いて、新しいデータ暗号化キーを生成する。
316ステップのクラウドセルアップデート手続により、マスター基地局340が前記クラウドセルメンバー基地局リストから削除された場合、新しいマスター基地局が320〜324ステップの手順を行う。
図4A及び図4Bは、本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。
図4Aを参照すると、400ステップにおいて、前記端末は、アクセス基地局についての同期を獲得し、402ステップにおいて、前記アクセス基地局とのアクセス及び機能交渉手続を行い、404ステップに進む。
404ステップにおいて、前記端末は、前記アクセス基地局を介して、認証制御局及び認証サーバとの認証手続を開始し、406ステップに進む。406ステップにおいて、前記端末は、クラウドシードを獲得し、408ステップに進む。前記クラウドシードは、前記認証制御局或いは認証サーバから受信するか、前記端末が前記認証制御局或いは認証サーバと共有している規則により一定に選択される値である。
408ステップにおいて、前記端末は、前記クラウドシードと前記数式1を用いて、前記アクセス基地局とのデータ送受信に用いる認証キーを生成し、前記生成された認証キーを用いて、データ暗号化キーを生成し、410ステップに進む。410ステップにおいて、前記端末は、前記アクセス基地局との登録手続を行い、前記アクセス基地局をクラウドセルのマスター基地局として設定した後、412ステップにおいて、前記データ暗号化キーを用いて、前記マスター基地局とのデータ送受信を行い、414ステップに進む。
414ステップにおいて、前記端末は、前記マスター基地局をクラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、図4Bの416ステップに進む。
図4Bを参照すると、416ステップにおいて、前記端末は、前記クラウドセルのマスター基地局が変更されるかの可否を判断する。その結果、前記マスター基地局が変更される場合、418ステップにおいて、前記端末は、前記マスター基地局がクラウドセルメンバー基地局リストから削除されるか否かを確認する。前記確認の結果、前記マスター基地局が削除されていない場合、420ステップにおいて、前記端末は、新しいマスター基地局を、クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、422ステップに進む。422ステップにおいて、前記端末は、現在使用中の認証キー及び暗号化キーを続けて保持し、424ステップに進む。424ステップにおいて、前記端末は、現在使用中の認証キー及びデータ暗号化キーを用いて、前記クラウドセルのメンバー基地局とデータを送受信する。
418ステップでの確認の結果、前記マスター基地局が削除された場合、426ステップにおいて、前記端末は、前記マスター基地局との通信を終了し、428ステップに進む。428ステップにおいて、前記端末は、新しいマスター基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、430ステップに進む。430ステップにおいて、前記端末は、新しいクラウドシードを獲得し、432ステップに進む。432ステップにおいて、前記新しいクラウドシード及び前記数式1を用いて、新しいセキュリティキーを生成する。前記セキュリティキーは、認証キー及びデータ暗号化キーを含む。その後、前記端末は、432ステップで生成した新しいデータ暗号化キーを用いて、424ステップにおいて、前記クラウドセルのメンバー基地局とデータ送受信を行う。
416ステップにおける判断の結果、前記クラウドセルのマスター基地局が変更されていない場合、前記端末は434ステップに進む。434ステップにおいて、前記端末は、前記クラウドセルのメンバー基地局のうち、追加された新しい基地局が存在するか、又は削除されたメンバー基地局が存在するかを確認する。前記確認の結果、追加された新しい基地局が存在する場合、436ステップにおいて、前記端末は、前記新しい基地局を、クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、438ステップに進む。438ステップにおいて、前記端末は、現在使用中の認証キーを続けて用い、424ステップに進む。424ステップにおいて、前記端末は、前記追加された新しい基地局を含むクラウドセルのメンバー基地局とのデータ送受信を行う。
一方、434ステップでの確認の結果、前記クラウドセルのメンバー基地局のうち、削除されたメンバー基地局が存在する場合、440ステップにおいて、前記端末は、前記クラウドセルメンバー基地局リストから前記削除されたメンバー基地局を削除するクラウドセルアップデート手続を行い、前記削除されたメンバー基地局との通信を終了し、422ステップに進む。422ステップにおいて、前記端末は、新しいクラウドシードを獲得し、444ステップにおいて、前記獲得したクラウドシード及び前記数式1を用いて、新しい認証キーを生成し、前記新しい認証キーに基づいて、新しいデータ暗号化キーを生成する。その後、424ステップにおいて、前記端末は、前記新しいデータ暗号化キーを用いて、前記削除されたメンバー基地局を除いた残りのメンバー基地局とのデータ送受信を行う。
図5A及び図5Bは、本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。
図5Aを参照すると、500ステップにおいて、マスター基地局は、端末のアクセス及び機能交渉手続を行い、502ステップに進む。502ステップにおいて、前記マスター基地局は、前記端末についての認証手続を開始し、504ステップに進む。504ステップにおいて、前記マスター基地局は、認証制御局から前記端末の認証コンテキストを受信する。前記認証コンテキストは、前記端末についての認証キーであるか、前記端末のデータ暗号化キーである。504ステップにおいて受信した前記認証コンテキストが前記端末についての認証キーの場合、506ステップにおいて、前記マスター基地局は、前記認証キーを用いて、前記端末のデータ暗号化キーを生成し、508ステップに進む。508ステップにおいて、前記マスター基地局は、前記端末についての登録手続を行い、510ステップにおいて、前記データ暗号化キーを用いて、前記端末とデータを送受信し、512ステップに進む。
512ステップにおいて、前記マスター基地局は、自らをクラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、図5Bの514ステップに進む。
図5Bを参照すると、514ステップにおいて、前記マスター基地局は、前記クラウドセルのマスター基地局が変更されるかの可否を判断する。
前記判断の結果、前記マスター基地局が変更された場合、516ステップにおいて、前記マスター基地局は、自ら前記クラウドセルメンバー基地局リストから削除されるか否かを確認する。前記確認の結果、前記マスター基地局が、前記クラウドセルメンバー基地局リストから削除された場合、518ステップにおいて、前記マスター基地局は、前記端末との通信を終了する。
前記判断の結果、前記マスター基地局が前記クラウドセルメンバー基地局リストから削除されていない場合、520ステップにおいて、前記マスター基地局は、現在使用中の、前記端末の認証キー及びデータ暗号化キーを続けて用い、522ステップで前記端末との通信を行う。
一方、514ステップでの確認の結果、前記マスター基地局が変更されていない場合、524ステップにおいて、前記マスター基地局は、前記クラウドセルのメンバー基地局に追加された新しい基地局が存在するか、又は削除されたメンバー基地局が存在するかを確認する。前記確認の結果、追加された新しい基地局が存在する場合、526ステップにおいて、前記マスター基地局は、スレーブ基地局に、前記端末の認証コンテキストとして、現在使用中の認証キー或いはデータ暗号化キーを伝達し、528ステップに進む。528ステップにおいて、前記マスター基地局は、現在使用中のデータ暗号化キーを保持し、522ステップにおいて、前記現在使用中のデータ暗号化キーを用いて、前記端末とのデータ送受信を行う。
前記確認の結果、前記クラウドセルメンバー基地局リストから削除されたメンバー基地局が存在する場合、前記マスター基地局は、530ステップにおいて、前記認証制御局から前記端末についての新しい認証コンテキストの伝達を受けて、532ステップに進む。ここで、前記新しい認証コンテキストは、前記端末についての新しい認証キーのみを含むと仮定する。
その後、532ステップにおいて、前記マスター基地局は、前記新しい認証キーを用いて、前記端末のデータ暗号化キーを生成し、534ステップに進む。前記新しい認証コンテキストが前記端末についての新しい暗号化キーを含む場合、532ステップは省略される。534ステップにおいて、前記マスター基地局は、530ステップにおいて受信された前記端末の新しい認証コンテキストをスレーブ基地局に伝達する。この際、前記新しい認証コンテキストは、新しい認証キーと新しい暗号化キーとを含む。その後、522ステップにおいて、前記マスター基地局は、前記新しいデータ暗号化キーを用いて、前記端末とのデータ送受信を行う。
図6は、本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおけるスレーブ基地局の動作を示す図である。
図6を参照すると、600ステップにおいて、スレーブ基地局は、マスター基地局とのクラウドセルメンバー加入手続を行う。602ステップにおいて、前記スレーブ基地局は、前記マスター基地局或いは前記認証制御局から端末の認証コンテキストを受信する。前記認証コンテキストは、前記端末の認証キー或いは前記端末のデータ暗号化キーに該当する。
602ステップから受信した認証コンテキストが、前記端末の認証キーのみを含む場合、604ステップにおいて、前記スレーブ基地局は、前記認証キーを用いて、前記端末のデータ暗号化キーを生成し、606ステップに進む。606ステップにおいて、前記スレーブ基地局は、前記データ暗号化キーを用いて、前記端末との通信を行う。
その後、608ステップにおいて、前記スレーブ基地局は、前記端末についての新しい認証コンテキストを受信するかの可否を確認する。前記確認の結果、前記端末についての新しい認証コンテキストを受信していない場合、前記スレーブ基地局は、606ステップに復帰する。
前記確認の結果、前記端末についての新しい認証コンテキストを受信した場合、前記受信した新しい認証コンテキストが、前記新しい認証キーのみを含むと、604ステップにおいて、前記スレーブ基地局は、前記新しい認証キーを用いて、前記端末についての新しいデータ暗号化キーを生成し、606ステップに進む。
前記受信した新しい認証コンテキストが、前記端末の新しいデータ暗号化キーを含む場合、前記スレーブ基地局は、604ステップを省略し、606ステップにおいて、前記データ暗号化キーを用いて、前記端末とのデータ送受信を行う。
図7は、本開示の第1の実施形態によるクラウドセルベースの無線通信システムにおける認証制御局の動作を示す図である。
図7を参照すると、700ステップにおいて、前記認証制御局は、端末についての認証手続を開始し、702ステップに進む。702ステップにおいて、前記認証制御局は、前記端末の認証キーの生成のためのクラウドシードを生成する。前記クラウドシードは、認証サーバから生成されて伝達されるか、又は前記認証制御局が自ら生成する情報に該当し、前記端末と共有する共通の規則により選択される値であるか、前記認証サーバ或いは前記認証制御局が任意に生成する値である。
704ステップにおいて、前記認証制御局は、前記端末の認証コンテキストを生成する。前記端末の認証コンテキストは、前記端末の認証キー或いは前記端末のデータ暗号化キーを含む。
具体的に、前記認証制御局は、前記クラウドシードと前記数式1を用いて、前記端末についての認証キーを生成し、706ステップに進む。706ステップにおいて、前記認証制御局は、前記認証キーを認証コンテキストとして、前記端末のマスター基地局に伝達し、708ステップに進む。この際、前記認証制御局は、前記認証キーを用いて、前記端末のデータ暗号化キーを生成し、前記認証コンテキストとして前記マスター基地局に伝達してもよい。
708ステップにおいて、前記認証制御局は、前記マスター基地局を介して、前記クラウドセルアップデート情報を獲得し、710ステップに進む。710ステップにおいて、前記認証制御局は、前記クラウドセルアップデート情報を介して、前記クラウドセルメンバー基地局リストを構成するメンバー基地局が、変更されたかの可否を確認する。前記確認の結果、前記クラウドセルアップデート情報が、前記クラウドセルメンバー基地局リストに追加された新しい基地局が存在する場合を示すと、712ステップにおいて、前記認証制御局は、前記新しい基地局に、前記端末の認証キー或いはデータ暗号化キーを前記端末の認証コンテキストとして伝達する。前記マスター基地局が、前記新しい基地局に、前記端末の認証キー或いはデータ暗号化キーを伝達する役割を果す場合、前記認証制御局は、712ステップの動作を行わない。
前記確認の結果、前記クラウドセルアップデート情報が、前記クラウドセルメンバー基地局リストにおいて、削除されたメンバー基地局が存在する場合を示すと、714ステップにおいて、前記認証基地局は、新しくクラウドシードを獲得し、716ステップに進む。716ステップにおいて、前記認証制御局は、前記新しいクラウドシードに基づいて、前記数式1を用いて前記端末についての新しい認証キーのみを生成するか、又は前記新しい認証キーを用いて、新しいデータ暗号化キーをさらに生成し、718ステップに進む。718ステップにおいて、前記認証制御局は、前記新しい認証キー或いは新しいデータ暗号化キーを含む新しい認証コンテキストを、前記マスター基地局に伝達する。前記マスター基地局が、前記新しい認証コンテキストをスレーブ基地局に伝達しない場合、718ステップにおいて、前記認証制御局は、前記新しい認証コンテキストを前記スレーブ基地局に伝達する過程をさらに含む。
上記708ステップで獲得したクラウドセルアップデート情報を介して、マスター基地局が変更されたものの、クラウドセルメンバー基地局リストから前記マスター基地局が削除されていない場合、前記認証制御局は、前記新しいマスター基地局を、マスター基地局として設定するクラウドセルアップデート手続のみを行う。
第2の実施形態
図8は、本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する信号フローチャートである。
図8を参照すると、802ステップにおいて、端末800は、マスター基地局840とのアクセス要請及び機能交渉手続を行い、804ステップに進む。
804ステップにおいて、端末800とマスター基地局840との間に、端末800についてのアクセスネットワーク認証及びデータ暗号化手続を行い、マスター基地局840と認証制御局860との間に、端末800についてのアクセスネットワーク認証及びデータ暗号化手続を行い、認証制御局860と認証サーバ870との間に、端末800についてのアクセスネットワーク認証及び暗号化手続を行う。この際、端末800とマスター基地局840との間に、マスター基地局840と認証制御局860との間に、及び認証制御局860と認証サーバ870との間に必要な認証処理情報は、端末800とマスター基地局840との間で交換される認証交渉メッセージ、マスター基地局840と認証制御局860との間で交換されるアクセスネットワーク認証交渉メッセージ、及び認証制御局860と認証サーバ870との間で交換される認証メッセージを介して伝送される。
804ステップにおける認証手続の間に、端末800と認証制御局860は、認証サーバ870から伝達されたマスターキーに基づいて、認証コンテキスト、即ち、認証キーを生成する。本開示の第2の実施形態においては、前記認証キーは、下記の数式2により生成される。
認証キー=Dot16KDF(PMK, MSID|Master BSID|“AK”, AK_length)...数式2
ここで、PMKは、双方向マスターキーであり、MSIDは、端末の識別子を示し、Master BSIDは、前記端末が属したクラウドセルのマスター基地局の識別子を示し、“AK”は、暗号化キーであることを示す文字列であり、Dot16KDFは、双方向マスターキー、端末の識別子、マスター基地局の識別子、“AK”文字列を入力値として用いて、AK_lengthビットの認証キーを生成するアルゴリズムである。
804ステップにおいて、認証制御局860は、マスター基地局840の識別子と前記数式2とを用いて生成した認証キーを、マスター基地局840に伝達する。マスター基地局840は、前記認証キーを用いて、端末800とのデータ送受信のためのデータ暗号化キーを直接生成する。或いは、認証制御局860が、前記認証キーから端末800とマスター基地局840が用いるデータ暗号化キーを直接生成し、前記生成されたデータ暗号化キーを、マスター基地局840に伝達する。
その後、806ステップにおいて、端末800は、マスター基地局840を介して、登録手続を行い、マスター基地局840とのデータ送受信を行う。
次に、808ステップにおいて、端末800とマスター基地局840は、スレーブ基地局850をクラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、810ステップに進む。
810ステップにおいて、スレーブ基地局850は、マスター基地局840とのクラウドセルメンバー基地局追加手続を行う。スレーブ基地局850が、端末800のクラウドセルメンバー基地局リストに追加されると、スレーブ基地局850は、端末800との通信に用いるセキュリティキーの伝達を受ける。前記セキュリティキーは、端末800の認証キー或いはデータ暗号化キーに該当する。スレーブ基地局850が、812ステップにおいて、マスター基地局840から認証キーのみを受信するか、或いは814ステップにおいて、認証制御局860から端末800についての認証キーのみを受信した場合、スレーブ基地局850は、前記認証キーを用いてデータ暗号化キーを直接生成する。
その後、816ステップにおいて、端末800とマスター基地局840は、クラウドセルアップデート手続を行うことにより、クラウドセルのマスター基地局を変更する手続を行う。即ち、前記クラウドセルアップデート手続を介して、マスター基地局840の代わりに、新しいマスター基地局880を前記クラウドセルのマスター基地局に変更し、818ステップに進む。818ステップにおいて、前記新しいマスター基地局880は、自ら前記クラウドセルのマスター基地局に変更されたことを、認証制御局860に通報する。そうすると、820ステップにおいて、端末800と認証制御局860は、前記新しいマスター基地局880の識別子を用いて、認証キーを再生成するセキュリティキーアップデート手続を行う。820ステップのセキュリティキーアップデート手続においては、前記新しいマスター基地局880が自らの識別子と前記数式2を用いて、端末800の新しい認証キーを生成する。その後、認証制御局860は、前記新しい認証キーを、前記新しいマスター基地局880に伝達するか、又は前記新しい認証キーに基づいて生成した端末800のデータ暗号化キーを、前記新しいマスター基地局880に伝達する。この際、前記新しいマスター基地局880が、端末800の前記新しい認証キーのみを受信する場合、前記新しいマスター基地局880は、前記認証キーを用いて、端末800の新しいデータ暗号化キーを直接生成する。
822ステップにおいて、前記新しいマスター基地局880は、クラウドセルに属したスレーブ基地局850にも、自らクラウドセルのマスター基地局に変更されたことを通報する。そうすると、前記通報を受信したスレーブ基地局850は、マスター基地局840として(又は、その代わりに)前記新しいマスター基地局880を設定するクラウドセルアップデート手続を行う。
824ステップにおいて、前記新しいマスター基地局880は、端末800の前記新しい認証キー或いは端末800の前記新しいデータ暗号化キーを、スレーブ基地局850に伝達する。或いは、826ステップにおいて、認証制御局860が、端末800の前記新しい認証キー或いは端末800の前記新しいデータ暗号化キーを、スレーブ基地局850に伝達する。
クラウドセルアップデート手続に従って、スレーブ基地局850が前記クラウドセルメンバー基地局リストから削除されたが、マスター基地局840が、前記クラウドセルのマスター基地局として保持されている場合には、マスター基地局840の識別子により生成されて、現在使用中のセキュリティキー、即ち、前記認証キー及びデータ暗号化キーを続けて保持する。
図9A及び図9Bは、本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。
図9Aを参照すると、900ステップにおいて、端末は、アクセス基地局についての同期を獲得し、902ステップにおいて、前記アクセス基地局とのアクセス及び機能交渉手続を行い、904ステップに進む。
904ステップにおいて、前記端末は、前記アクセス基地局を介して、認証制御局及び認証サーバとの認証手続を開始し、906ステップに進む。906ステップにおいて、前記端末は、前記アクセス基地局の識別子をマスター基地局の識別子として獲得し、908ステップにおいて、前記数式2を用いて、前記アクセス基地局とのデータ送受信に用いる認証キー及びデータ暗号化キーを生成し、910ステップに進む。910ステップにおいて、前記端末は、前記アクセス基地局との登録手続を行い、その後、前記アクセス基地局を前記クラウドセルのマスター基地局として設定し、912ステップにおいて、前記マスター基地局とのデータ送受信を行い、914ステップに進む。
914ステップにおいて、前記端末は、前記マスター基地局をクラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、図9Bの916ステップに進む。
図9Bを参照すると、916ステップにおいて、前記端末は、前記マスター基地局が変更されるかの可否を判断する。前記判断の結果、前記マスター基地局が変更されない場合、918ステップにおいて、前記端末は、前記クラウドセルのメンバー基地局のうち、追加された新しい基地局が存在するか、又は削除されたメンバー基地局が存在するかを確認する。前記確認の結果、追加された新しい基地局が存在する場合、920ステップにおいて、前記端末は、前記新しい基地局を前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、922ステップに進む。922ステップにおいて、前記端末は、現在使用中のセキュリティキー、即ち、認証キー及びデータ暗号化キーを続けて保持し、924ステップに進む。924ステップにおいて、前記端末は、前記現在使用中のデータ暗号化キーを用いて、前記新しい基地局を含むメンバー基地局とデータを送受信する。
前記918ステップにおける確認の結果、前記クラウドセルメンバー基地局のうち、削除されたメンバー基地局が存在する場合、926ステップにおいて、前記端末は、前記削除されたメンバー基地局をクラウドセルメンバー基地局リストから削除するクラウドセルアップデート手続を行い、前記削除されたメンバー基地局との通信を終了し、928ステップに進む。928ステップにおいて、前記端末は、現在使用中のセキュリティキー、即ち、認証キー及びデータ暗号化キーを保持し、924ステップにおいて、前記現在使用中のデータ暗号化キーを用いて、前記削除されたメンバー基地局を除いた残りのメンバー基地局とのデータ送受信を行う。
16ステップにおける判断の結果、前記マスター基地局が変更された場合、930ステップにおいて、前記端末は、前記マスター基地局がクラウドセルメンバー基地局リストから削除されたか否かを確認する。前記確認の結果、前記マスター基地局が削除された場合、932ステップにおいて、前記端末は、前記マスター基地局との通信を終了し、934ステップに進む。934ステップにおいて、前記端末は、新しいマスター基地局を、クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、この手続を通じて、前記新しいマスター基地局の識別子を獲得した後、936ステップに進む。936ステップにおいて、前記端末は、前記新しいマスター基地局の新しいセキュリティキーを生成する。即ち、前記端末は、前記新しいマスター基地局の識別子及び前記数式2を用いて、新しい認証キーを生成し、前記新しい認証キーを用いて、新しいデータ暗号化キーを生成し、924ステップに進む。その後、924ステップにおいて、前記端末は、前記新しいデータ暗号化キーを用いて、前記新しいマスター基地局を含む前記クラウドセルのメンバー基地局とのデータ送受信を行う。
930ステップにおける確認の結果、前記マスター基地局が前記クラウドセルメンバー基地局リストから削除されていない場合、938ステップにおいて、前記端末は、前記新しいマスター基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、前記新しいマスター基地局の識別子を獲得し、940ステップに進む。940ステップにおいて、前記端末は、前記新しいマスター基地局の新しいセキュリティキーを生成する。即ち、前記端末は、前記新しいマスター基地局の識別子と前記数式2を用いて、新しい認証キーを生成し、前記新しい認証キーを用いて、新しいデータ暗号化キーを生成し、924ステップに進む。924ステップにおいて、前記端末は、前記新しいデータ暗号化キーを用いて、前記新しいマスター基地局を含むクラウドセルのメンバー基地局とのデータ送受信を行う。
図10A及び図10Bは、本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。
図10Aを参照すると、1000ステップにおいて、前記マスター基地局は、前記端末のアクセス及び機能交渉手続を行い、1002ステップに進む。1002ステップにおいて、前記マスター基地局は、前記端末についての認証手続を開始し、1004ステップに進む。1004ステップにおいて、前記マスター基地局は、認証制御局から前記端末についての認証コンテキストを受信し、1006ステップに進む。この際、前記認証コンテキストは、前記端末についての認証キーであるか、前記端末とのデータ送受信の間に用いられるデータ暗号化キーである。1004ステップにおいて受信した前記認証コンテキストが、前記認証キーのみを含む場合、1006ステップにおいて、前記マスター基地局は、前記認証キーを用いて、前記端末のデータ暗号化キーを生成し、1008ステップにおいて、前記端末についての登録手続を行った後、1010ステップにおいて、前記データ暗号化キーを用いて、前記端末とデータを送受信し、1012ステップに進む。
1012ステップにおいて、前記マスター基地局は、自らを前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、図10Bの1014ステップに進む。
図10Bを参照すると、1014ステップにおいて、前記マスター基地局は、前記クラウドセルのマスター基地局が変更されるかの可否を判断する。前記判断の結果、前記マスター基地局が変更された場合、1016ステップに進む。一方、前記判断の結果、前記クラウドセルのマスター基地局が変更されていない場合には、1026ステップに進む。
1016ステップにおいて、前記マスター基地局は、自ら前記クラウドセルメンバー基地局リストから削除されるか否かを確認する。前記確認の結果、前記マスター基地局が前記クラウドセルメンバー基地局リストから削除された場合、1018ステップにおいて、前記マスター基地局は、前記端末との通信を終了する。
1016ステップにおける判断の結果、前記マスター基地局がクラウドセルメンバー基地局リストから削除されていない場合、1020ステップにおいて、前記マスター基地局は、新しいマスター基地局を、クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、前記認証制御局又は前記新しいマスター基地局から前記端末の新しい認証コンテキストを受信し、1020ステップに進む。この際、前記新しい認証コンテキストに含まれた新しい認証キーは、新しいマスター基地局の識別子と前記数式2を用いて生成される。1020ステップにおいて受信された前記新しい認証コンテキストが、前記新しい認証キーのみを含む場合、1022ステップにおいて、前記マスター基地局は、前記新しい認証キーを用いて、前記端末の新しいデータ暗号化キーを生成する。その後、1024ステップにおいて、前記マスター基地局は、前記新しいデータ暗号化キーを用いて、前記端末についてのスレーブ基地局として、前記端末とデータを送受信する。
一方、1026ステップにおいて、前記マスター基地局は、前記クラウドセルのメンバー基地局のうち、追加された新しい基地局が存在するか、又は削除されたメンバー基地局が存在するかを確認する。前記確認の結果、追加された新しい基地局が存在する場合、1028ステップにおいて、前記マスター基地局は、前記追加された新しい基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、前記追加された新しい基地局に、前記端末の認証コンテキストを伝達し、1030ステップに進む。この際、前記認証コンテキストは、現在使用中の前記端末のセキュリティキー、即ち、認証キー或いはデータ暗号化キーに該当する。1030ステップにおいて、前記マスター基地局は、現在使用中のセキュリティキーを保持し、1024ステップにおいて、前記現在使用中のデータ暗号化キーを用いて、前記端末とのデータ送受信を行う。
1026ステップにおける確認の結果、削除されたメンバー基地局が存在する場合、1032ステップにおいて、前記マスター基地局は、前記削除されたメンバー基地局を、前記クラウドセルメンバー基地局リストから削除するクラウドセルアップデート手続を行い、前記1024ステップにおいて、前記端末とのデータ送受信を行う。
図11は、本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおけるスレーブ基地局の動作を示す図である。
図11を参照すると、1100ステップにおいて、スレーブ基地局は、マスター基地局とのクラウドセルメンバー基地局加入手続を行い、1102ステップに進む。1102ステップにおいて、前記スレーブ基地局は、前記端末の認証コンテキストを受信し、1104ステップに進む。この際、前記認証コンテキストは、前記マスター基地局又は認証制御局から受信されてもよく、前記端末の認証キー或いは前記端末のデータ暗号化キーに該当する。
1102ステップにおいて受信した認証コンテキストが、前記端末の認証キーのみを含む場合、1104ステップにおいて、前記スレーブ基地局は、前記認証キーを用いて、前記端末のデータ暗号化キーを生成し、1106ステップにおいて、前記データ暗号化キーを用いて、前記端末とのデータ送受信を行う。その後、1108ステップにおいて、前記スレーブ基地局は、前記端末についての新しい認証コンテキストを受信するか否かを確認する。前記確認の結果、新しい認証コンテキストを受信した場合、前記受信した新しい認証コンテキストが前記端末の新しい認証キーのみを含むと、1104ステップにおいて、前記スレーブ基地局は、前記新しい認証キーを用いて、前記端末についての新しいデータ暗号化キーを生成し、1106ステップに進む。
前記確認の結果、前記端末についての新しい認証コンテキストが、前記端末の新しいデータ暗号化キーを含むと、前記スレーブ基地局は、1104ステップを省略し、1106ステップにおいて、前記新しいデータ暗号化キーを用いて、前記端末とのデータ送受信を行う。
図12は、本開示の第2の実施形態によるクラウドセルベースの無線通信システムにおける認証制御局の動作を示す図である。
図12を参照すると、1200ステップにおいて、前記認証制御局は、端末についての認証手続を開始し、1202ステップに進む。1202ステップにおいて、前記認証制御局は、前記端末のマスター基地局の識別子情報と、前記数式2とを用いて、前記端末についての認証キーを生成し、1204ステップに進む。1204ステップにおいて、前記認証制御局は、前記端末のマスター基地局に前記認証キーを伝達し、1206ステップに進む。この際、前記認証制御局は、前記認証キーを用いて、前記端末のデータ暗号化キーを生成して、そのデータ暗号化キーを前記マスター基地局に伝達することもできる。
1206ステップにおいて、前記認証制御局は、前記マスター基地局を介して、前記クラウドセルアップデート情報を獲得し、1208ステップに進む。1208ステップにおいて、前記認証制御局は、前記クラウドセルのマスター基地局が変更されるかの可否を確認する。前記確認の結果、前記クラウドセルのマスター基地局が変更された場合、1210ステップにおいて、前記認証制御局は、前記新しいマスター基地局の識別子情報及び前記数式2を用いて、前記端末の新しい認証キーを新しく生成し、前記新しい認証キーを用いて、前記端末の新しいデータ暗号化キーを生成し、1212ステップに進む。1212ステップにおいて、前記認証制御局は、前記新しい認証キー或いは新しいデータ暗号化キーを、前記端末の新しい認証コンテキストとして、前記マスター基地局に伝達する。前記マスター基地局が前記新しい認証キー或いは前記新しいデータ暗号化キーを、前記スレーブ基地局に伝達しない場合、1212ステップにおいて、前記認証制御局は、前記新しい認証キー或いは前記新しいデータ暗号化キーを、前記スレーブ基地局に伝達する。
前記1208ステップにおける確認の結果、前記マスター基地局が変更されていない場合、1214ステップにおいて、前記認証制御局は、前記クラウドセルのメンバー基地局のうち、追加された新しい基地局が存在するかを確認する。前記確認の結果、前記新しい基地局が存在しない場合、前記認証制御局は、1206ステップに進む。前記確認の結果、新しい基地局が存在する場合、1216ステップにおいて、前記認証制御局は、前記マスター基地局の識別子及び前記数式2により生成された前記認証キー或いはデータ暗号化キーを、前記新しい基地局に伝達する。この際、前記マスター基地局が、前記新しい基地局に前記端末の認証キー或いはデータ暗号化キーを伝達する場合、前記認証制御局は、前記1216ステップを行わなくてもよい。
第3の実施形態
図13は、本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する信号フローチャートである。
図13を参照すると、1302ステップにおいて、端末1300は、マスター基地局1340とのアクセス要請及び機能交渉手続を行い、1304ステップに進む。1304ステップにおいて、端末1300とマスター基地局1340との間に、端末1300についてのアクセスネットワーク認証及びデータ暗号化手続を行い、マスター基地局1340と認証制御局1360との間に、端末1300についてのアクセスネットワーク認証及びデータ暗号化手続を行い、認証制御局1360と認証サーバ1370との間には、端末1300についてのアクセスネットワーク認証及びデータ暗号化手続を行う。この際、端末1300とマスター基地局1340との間に、マスター基地局1340と認証制御局1360との間に、及び認証制御局1360と認証サーバ1370との間に必要な認証処理情報は、端末1300とマスター基地局1340との間で交換される認証交渉のためのメッセージ、マスター基地局1340と認証制御局1360との間で交換されるアクセスネットワーク認証交渉のためのメッセージ、及び認証制御局1360と認証サーバ1370との間で交換される認証のためのメッセージを介して伝送される。
1304ステップにおける認証手続の間に、端末1300と認証制御局1360は、認証サーバ1370から伝達されたマスターキーに基づいて、認証コンテキストとして認証キーを生成する。本開示の第3の実施形態では、前記認証キーを下記の数式3を用いて生成する。
認証キー=Dot16KDF(PMK, MSID|Member BSID|“AK”, AK_length)...数式3
ここで、PMKは、双方向マスターキーであり、MSIDは、端末の識別子を示し、Member BSIDは、クラウドセルメンバー基地局リストに含まれたメンバー基地局の識別子を示す。本開示の第3の実施形態では、端末1300とマスター基地局1340との間に用いられる認証キーの生成の時には、Member BSIDがマスター基地局1340の識別子を示す。また、端末1300とスレーブ基地局1350との間に用いられる認証キーの生成の時には、Member BSIDがスレーブ基地局1350の識別子を示す。“AK”は、暗号化キーであることを示す文字列であり、Dot16KDFは、双方向マスターキー、端末の識別子、メンバー基地局の識別子、“AK”文字列を入力値として用いて、AK_lengthビットの認証キーを生成するアルゴリズムである。
また、1304ステップにおいて、認証制御局1360は、マスター基地局1340の識別子と前記数式3とを用いて生成した認証キーを、マスター基地局1340に伝達する。そうすると、マスター基地局1340は、前記受信した認証キーを用いて、端末1300のデータ暗号化キーを生成する。そうでないと、認証制御局1360が直接、前記認証キーを用いて端末1300とマスター基地局1340とが用いるデータ暗号化キーを直接生成し、前記生成したデータ暗号化キーをマスター基地局1340に伝達する。
その後、1306ステップにおいて、端末1300は、マスター基地局1340を介して、登録手続を行い、マスター基地局1340とのデータ送受信を行う。
次に、1308ステップにおいて、端末1300とマスター基地局1340は、スレーブ基地局1350を、クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、1310ステップに進む。
1310ステップにおいて、スレーブ基地局1350は、マスター基地局1340とのクラウドセルメンバー基地局追加手続を行う。この際、マスター基地局1340は、スレーブ基地局1350が前記クラウドセルメンバー基地局リストに追加されたという情報と共に、スレーブ基地局1350の識別子を、クラウドセルアップデート情報として、認証制御局1360に伝達する。或いは、スレーブ基地局1350は、認証制御局1360と共に、クラウドセルメンバー基地局として追加されたことを通報する手続を直接行う。前記手続を用いて、認証制御局1360は、スレーブ基地局1350の識別子を獲得する。スレーブ基地局1350が、端末1300のクラウドセルメンバー基地局リストに追加されるクラウドセルアップデート手続が完了されると、1312ステップにおいて、スレーブ基地局1350と端末1300との間にセキュリティキー生成手続が行われる。具体的に、前記セキュリティキー生成手続は、認証制御局1360がスレーブ基地局1350の識別子と前記数式3とを用いて、端末1300とスレーブ基地局1350との間に認証キーを生成し、前記認証キーを用いて、端末1300とスレーブ基地局1350との間にデータ暗号化キーを生成する場合を含む。この場合、認証制御局1360或いはマスター基地局1340を介して、前記生成されたセキュリティキー又はデータ暗号化キーが、スレーブ基地局1350に伝達される。認証制御局1360或いはマスター基地局1340を介して、スレーブ基地局1350に伝達されたセキュリティキーが、前記認証キーのみを含む場合、スレーブ基地局1350は直接、前記認証キーを用いて、端末1300のデータ暗号化キーを生成する。
クラウドセルアップデート手続に従って、マスター基地局1340或いはスレーブ基地局1350が、前記クラウドセルメンバー基地局リストから削除された場合、削除されたマスター基地局或いはスレーブ基地局の識別子を用いて生成されたデータ暗号化キー及び認証キーは、削除される。
図14A及び図14Bは、本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。
図14Aを参照すると、1400ステップにおいて、端末は、アクセス基地局についての同期を獲得し、1402ステップにおいて、前記アクセス基地局とのアクセス及び機能交渉手続を行う。1404ステップにおいて、前記端末は、前記アクセス基地局を介して、前記認証制御局及び認証サーバとの認証手続を開始し、1406ステップに進む。1406ステップにおいて、前記端末は、前記アクセス基地局の識別子に関する情報を獲得し、1408ステップに進む。1408ステップにおいて、前記アクセス基地局の識別子に関する情報と前記数式3とを用いて、セキュリティキーとして、前記アクセス基地局とのデータ送受信のために用いる認証キー及びデータ暗号化キーを生成し、1410ステップに進む。1410ステップにおいて、前記端末は、前記アクセス基地局との登録手続を行うことにより、前記アクセス基地局をクラウドセルのマスター基地局として設定し、1412ステップに進む。1412ステップにおいて、前記端末は、前記設定されたマスター基地局とのデータ送受信を行い、1414ステップに進む。1414ステップにおいて、前記端末は、前記マスター基地局を、クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、図14Bの1416ステップに進む。
図14Bを参照すると、1416ステップにおいて、前記端末は、前記クラウドセルのマスター基地局が変更されるかの可否を判断する。前記確認の結果、前記マスター基地局が変更された場合、前記端末は、1418ステップに進み、前記確認の結果、前記マスター基地局が変更されていない場合、前記端末は、1432ステップに進む。1418ステップにおいて、前記端末は、前記マスター基地局がクラウドセルのメンバー基地局から削除されるかを確認する。前記確認の結果、前記マスター基地局が削除された場合、1420ステップにおいて、前記端末は、前記マスター基地局を前記クラウドセルメンバー基地局リストから削除するクラウドセルアップデート手続を行い、前記マスター基地局とのデータ送受信で用いる認証キー及びデータ暗号化キーを含むセキュリティキーを削除し、1422ステップに進む。1422ステップにおいて、前記端末は、前記マスター基地局との通信を終了する。その後、1424ステップにおいて、前記端末は、新しいマスター基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、前記新しいマスター基地局の識別子と前記数式3とを用いて、新しい認証キーを生成し、前記新しい認証キーを用いて、データ暗号化キーを生成し、1426ステップに進む。新しいマスター基地局が、前記端末のクラウドセルメンバー基地局リストに含まれたスレーブ基地局のうちの一つである場合には、前記新しいマスター基地局の識別子と数式3とを用いて作った認証キー及びデータ暗号化キーを既に用いているので、1424ステップのように、新しいマスター基地局についての新しい認証キー及びデータ暗号化キーを生成する手続をさらに行う必要がない。1426ステップにおいて、前記端末は、前記新しいマスター基地局を含むクラウドセルのメンバー基地局とのデータ送受信を行う。
1418ステップにおける確認の結果、前記マスター基地局がクラウドセルメンバー基地局リストから削除されない場合、1428ステップにおいて、前記端末は、前記マスター基地局をスレーブ基地局として設定するクラウドセルアップデート手続を行い、前記マスター基地局との通信をするために現在使用中のセキュリティキーを保持し、前記マスター基地局との通信のために現在使用中のデータ暗号化キーを用いて、前記マスター基地局とのデータ送受信を続けて行い、1430ステップに進む。1430ステップにおいて、前記端末は、前記新しいマスター基地局を、マスター基地局として設定するクラウドセルアップデート手続を行い、前記新しいマスター基地局との通信のために用いるセキュリティキーを生成する。即ち、前記端末は、前記新しいマスター基地局の識別子と前記数式3とを用いて、前記新しいマスター基地局との通信のために用いる新しい認証キーを生成し、前記新しい認証キーを用いて、新しい暗号化キーを生成し、1426ステップに進む。1426ステップにおいて、前記新しい暗号化キーを用いて、前記端末は、前記新しいマスター基地局を含むメンバー基地局とのデータ送受信を行う。
1424ステップ及び1430ステップにおいて、前記新しいマスター基地局が前記クラウドセルメンバー基地局リストに含まれたスレーブ基地局であることを確認した場合、前記新しいマスター基地局の識別子を用いて作った認証キー及びデータ暗号化キーが既に用いられているので、前記端末は、前記マスター基地局との通信のために現在使用中の暗号化キーを、前記新しいマスター基地局とのデータ送受信に用いる。
1416ステップにおける判断の結果、前記クラウドセルのマスター基地局が変更されていない場合、1432ステップにおいて、前記端末は、前記クラウドセルのメンバー基地局のうち、追加された新しい基地局が存在するか、或いは削除されたメンバー基地局が存在するかを確認する。前記確認の結果、追加された新しい基地局が存在する場合、1434ステップにおいて、前記端末は、前記新しい基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、前記新しい基地局との通信のために用いるセキュリティキーを生成する。即ち、前記端末は、前記新しい基地局の識別子と前記数式3とを用いて、前記新しい基地局の認証キーを生成し、前記認証キーを用いて、前記新しい基地局とのデータ送受信のために用いるデータ暗号化キーを生成し、1426ステップに進む。その後、1426ステップにおいて、前記端末は、前記生成したデータ暗号化キーを用いて、前記追加された新しい基地局とのデータ送受信を行う。
1432ステップにおいて、前記クラウドセルのメンバー基地局のうち、削除されたメンバー基地局が存在する場合、1436ステップにおいて、前記端末は、前記削除されたメンバー基地局を、前記クラウドセルメンバー基地局リストから削除し、前記削除されたメンバー基地局のセキュリティキーを削除し、1438ステップに進む。1438ステップにおいて、前記端末は、前記削除されたメンバー基地局との通信を終了し、1426ステップにおいて削除されたメンバー基地局を除いた残りのメンバー基地局とのデータ送受信を行う。
図15A及び図15Bは、本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。
図15Aを参照すると、1500ステップにおいて、前記マスター基地局は、端末のアクセス及び機能交渉手続を行い、1502ステップにおいて、前記端末についての認証手続を開始し、1504ステップに進む。1504ステップにおいて、前記マスター基地局は、認証制御局から前記端末についての認証コンテキストを受信する。この際、前記認証コンテキストは、前記端末についての認証キーであるか、前記端末のデータ暗号化キーである。前記受信した認証コンテキストが前記認証キーのみを含んだ場合、1506ステップにおいて、前記マスター基地局は、前記認証キーを用いて、前記端末のデータ暗号化キーをセキュリティキーとして生成し、1508ステップに進む。1508ステップにおいて、前記マスター基地局は、前記端末についての登録手続を行い、1510ステップにおいて、前記端末とデータを送受信する。
その後、1512ステップにおいて、前記マスター基地局は、自らを前記クラウドセルメンバー基地局リストに追加する前記端末のクラウドセルアップデート手続を行い、図15Bの1514ステップに進む。
図15Bを参照すると、1514ステップにおいて、前記マスター基地局は、前記クラウドセルのマスター基地局が変更されたかの可否を判断する。前記判断の結果、前記マスター基地局が変更された場合、前記マスター基地局は、1516ステップに進み、前記判断の結果、前記クラウドセルのマスター基地局が変更されていない場合、前記マスター基地局は、1524ステップに進む。
1516ステップにおいて、前記マスター基地局は、自ら前記クラウドセルメンバー基地局リストから削除されるかを確認する。前記確認の結果、前記マスター基地局が前記クラウドセルメンバー基地局リストから削除された場合、1518ステップにおいて、前記マスター基地局は、前記端末との通信を終了する。
前記確認の結果、前記マスター基地局が前記クラウドセルメンバー基地局リストから削除されていない場合、1520ステップにおいて、前記マスター基地局は、新しいマスター基地局を前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、現在使用中のセキュリティキー、即ち、前記端末の認証キー及びデータ暗号化キーを保持し、1522ステップにおいて、前記端末についての前記現在使用中の認証キー及びデータ暗号化キーを用いて、前記端末とのデータ送受信を行う。
一方、1524ステップにおいて、前記マスター基地局は、前記クラウドセルのメンバー基地局のうち、追加された新しい基地局が存在するか、又は削除されたメンバー基地局が存在するかの可否を確認する。前記確認の結果、追加された新しい基地局が存在する場合、1526ステップにおいて、前記マスター基地局は、前記新しい基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、現在使用中のセキュリティキー、即ち、前記端末の認証キー及びデータ暗号化キーを保持し、前記1522ステップにおいて、前記現在使用中の前記端末のデータ暗号化キーを用いて、前記端末とのデータ送受信を行う。
1524ステップにおける確認の結果、削除されたメンバー基地局が存在する場合、1528ステップにおいて、前記マスター基地局は、前記削除されたメンバー基地局を、前記クラウドセルメンバー基地局リストから削除するクラウドセルアップデート手続を行い、現在使用中のセキュリティキー、即ち、前記端末の認証キー及びデータ暗号化キーを続けて保持し、1522ステップに進む。1522ステップにおいて、前記マスター基地局は、前記端末のデータ暗号化キーを用いて、前記端末とのデータ送受信を行う。
図16は、本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおけるスレーブ基地局の動作を示す図である。
図16を参照すると、1600ステップにおいて、前記スレーブ基地局は、マスター基地局とのクラウドセルメンバー加入手続を行い、1602ステップに進む。1602ステップにおいて、前記スレーブ基地局は、前記マスター基地局又は認証制御局から前記端末の認証コンテキストを受信し、1604ステップに進む。前記認証コンテキストは、前記端末の認証キー或いは前記端末のデータ暗号化キーに該当する。1602ステップにおいて受信した認証コンテキストが、前記端末の認証キーのみを含む場合、1604ステップにおいて、前記スレーブ基地局は、自らの識別子と前記数式3とを用いて、セキュリティキーとして前記端末のデータ暗号化キーを生成し、1606ステップに進む。1606ステップにおいて、前記スレーブ基地局は、前記データ暗号化キーを用いて、前記端末とのデータ送受信を行う。
その後、前記スレーブ基地局は、1608ステップにおいて、前記端末についての新しい認証コンテキストを受信するかの可否を確認する。前記確認の結果、前記端末についての新しい認証コンテキストを受信していない場合、1606ステップに進んで、現在使用中のデータ暗号化キーを用いて、前記端末とのデータ送受信を行う。
前記確認の結果、前記端末についての新しい認証コンテキストを受信した場合、前記新しい認証コンテキストが前記端末の新しい認証キーに該当すると、前記スレーブ基地局は、1604ステップに進んで、前記新しい認証キーを用いて、前記端末についての新しいデータ暗号化キーを生成する。一方、前記端末についての新しい認証コンテキストが、前記端末の新しいデータ暗号化キーを含むと、前記スレーブ基地局は、1604ステップを省略し、1606ステップに進んで、前記受信した新しいデータ暗号化キーを用いて、前記端末とのデータ送受信を行う。
図17は、本開示の第3の実施形態によるクラウドセルベースの無線通信システムにおける認証制御局の動作を示す図である。
図17を参照すると、1700ステップにおいて、認証制御局は、端末についての認証手続を開始し、1702ステップに進む。1702ステップにおいて、前記認証制御局は、前記端末が属しているクラウドセルのマスター基地局の識別子情報と、前記数式3とを用いて、前記端末についての認証キーを生成し、1704ステップに進む。
1704ステップにおいて、前記認証制御局は、前記端末のマスター基地局に、前記端末の認証コンテキストとして前記認証キーを伝達し、1706ステップに進む。この際、前記認証制御局は、前記認証キーを用いて、前記端末のデータ暗号化キーを生成し、前記マスター基地局に伝達してもよい。1706ステップにおいて、前記認証制御局は、前記マスター基地局を介して、前記クラウドセルアップデート情報を獲得し、1708ステップに進む。
1708ステップにおいて、前記認証制御局は、前記クラウドセルアップデート情報に基づいて、クラウドセルメンバー基地局リストに新しい基地局が追加されるかの可否を判断する。前記判断の結果、新しい基地局が追加された場合、1710ステップにおいて、前記認証制御局は、前記新しい基地局の識別子と、前記数式3とを用いて生成された新しい認証キー、或いは前記新しい認証キーを用いて生成した新しいデータ暗号化キーを、前記新しい基地局に伝達する。この際、前記新しい基地局と前記端末とが用いる新しい認証キー或いは新しいデータ暗号化キーは、前記マスター基地局を介して、前記新しい基地局に伝達されてもよい。
第4の実施形態
図18は、本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する信号フローチャートである。
図18を参照すると、1802ステップにおいて、端末1800は、マスター基地局1840とのアクセス要請及び機能交渉手続を行い、1804ステップに進む。1804ステップでは、端末1800とマスター基地局1840との間に、端末1800についてのアクセスネットワーク認証及びデータ暗号化手続を行い、マスター基地局1840と認証制御局1860との間に、端末1800についてのアクセスネットワーク認証及びデータ暗号化手続を行い、認証制御局1860と認証サーバ1870との間に、端末1800についてのアクセスネットワーク認証及びデータ暗号化手続を行う。この際、端末1800とマスター基地局1840との間に、マスター基地局1840と認証制御局1860との間に、及び認証制御局1860と認証サーバ1870との間に必要な認証処理情報は、端末1800とマスター基地局1840との間で交換される認証交渉のためのメッセージ、マスター基地局1840と認証制御局1860との間で交換されるアクセスネットワーク認証交渉のためのメッセージ、及び認証制御局1860と認証サーバ1870との間で交換される認証のためのメッセージを介して伝送される。
1804ステップにおける認証手続の間に、端末1800と認証制御局1860は、認証サーバ1870から伝達されたマスターキーに基づいて、認証コンテキスト、即ち、認証キーを生成する。この際、本開示の第4の実施形態では、前記マスター基地局の識別子と前記数式2を用いて、前記認証キーを生成する。
また、1804ステップにおいて、認証制御局1860は、前記数式2を用いて生成した認証キーを、マスター基地局1840に伝達する。マスター基地局1840は、前記受信した認証キーを用いて、端末1800とのデータを暗号化するために用いるデータ暗号化キーを生成する。或いは、認証制御局1860が、前記認証キーから、端末1800とマスター基地局1840とが用いるデータ暗号化キーを直接生成して、前記データ暗号化キーを、マスター基地局1840に伝達する。その後、端末1800は、マスター基地局1840を介して、1806ステップにおいて、登録手続を行い、マスター基地局1840とのデータ送受信を行う。
その後、1808ステップにおいて、端末1800とマスター基地局1840は、スレーブ基地局1850を、クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行う。また、1810ステップにおいて、スレーブ基地局1850は、マスター基地局1840とのクラウドセルメンバー基地局リスト追加手続を行う。
その後、1812ステップにおいて、端末1800とマスター基地局1840は、前記クラウドセルのマスター基地局を変更するクラウドセルアップデート手続を行う。この際、マスター基地局1840の代わりに、新しいマスター基地局1880が、前記クラウドセルのマスター基地局として設定される場合を仮定する。そうすると、1814ステップにおいて、新しいマスター基地局1880は、前記クラウドセルのマスター基地局が変更されたことを知らせる情報を、認証制御局1860に通報する。
その後、1816ステップにおいて、端末1800と認証制御局1860は、新しいマスター基地局1880の識別子を用いて、端末1800のセキュリティキーアップデート手続を行う。即ち、新しいマスター基地局1880の識別子と、前記数式2とを用いて、端末1800の新しい認証キーを生成する。さらに、1816ステップにおいて、認証制御局1860は、前記生成された新しい認証キー或いは前記認証キーに基づいて生成した端末1800の新しいデータ暗号化キーを、端末1800の新しい認証コンテキストとして、新しいマスター基地局1880に伝達する。この際、新しいマスター基地局1880が、前記新しい認証キーのみを受信した場合には、前記新しい認証キーを用いて、端末1800の新しいデータ暗号化キーを直接生成する。
また、1818ステップにおいて、新しいマスター基地局1880は、前記クラウドセルに属したスレーブ基地局1850にも、クラウドセルのマスター基地局が、新しいマスター基地局1880に変更されたことを通報することにより、スレーブ基地局1850が、新しいマスター基地局1880を、前記クラウドセルのマスター基地局として設定するクラウドセルメンバー基地局リストをアップデートするようにする。
図18では、クラウドセルメンバー基地局リストに含まれたメンバー基地局が削除されるか、追加される場合に、マスター基地局が変更されないと、現在使用中の端末1800のセキュリティキーは変更されず、保持される。
図19A及び図19Bは、本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおける端末の動作を示す図である。
図19Aを参照すると、1900ステップにおいて、前記端末は、アクセス基地局についての同期を獲得し、1902ステップにおいて、前記アクセス基地局とのアクセス及び機能交渉手続を行う。そして、1904ステップにおいて、前記端末は、前記アクセス基地局を介して、認証制御局及び認証サーバとの認証手続を開始し、1906ステップに進む。1906ステップにおいて、前記端末は、前記アクセス基地局の識別子に関する情報を獲得し、1908ステップにおいて、前記獲得したアクセス基地局の識別子及び前記数式2を用いて、前記アクセス基地局とのデータ送受信に用いる認証キーを生成し、前記認証キーを用いてデータ暗号化キーを生成する。前記認証キーとデータ暗号化キーは、「セキュリティキー」と通称してもよい。その後、1910ステップにおいて、前記端末は、前記アクセス基地局との登録手続を行うことにより、前記アクセス基地局をクラウドセルのマスター基地局として設定する。
その後、1912ステップにおいて、前記端末は、前記マスター基地局とのデータ送受信を行い、1914ステップに進む。1914ステップにおいて、前記端末は、前記マスター基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、図19Bの1916ステップに進む。
1916ステップにおいて、前記端末は、前記クラウドセルのマスター基地局が変更されるかの可否を判断する。
前記判断の結果、前記マスター基地局が変更された場合、前記端末は、1918ステップに進み、前記判断の結果、前記マスター基地局が変更されていない場合、前記端末は1932ステップに進む。
1918ステップにおいて、前記端末は、前記クラウドセルのメンバー基地局のうち、前記マスター基地局が削除されたか否かを確認する。前記確認の結果、前記マスター基地局が削除された場合、1920ステップにおいて、前記端末は、前記クラウドセルメンバー基地局リストから前記マスター基地局を削除し、前記マスター基地局との通信のために現在使用中のセキュリティキーを削除し、1922ステップにおいて、前記マスター基地局との通信を終了する。そして、1924ステップにおいて、前記端末は、新しいマスター基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、前記新しいマスター基地局との通信のために用いるセキュリティキーを生成する。即ち、前記端末は、前記新しいマスター基地局の識別子と前記数式2とを用いて、新しい認証キーを生成し、前記新しい認証キーを用いて、新しいデータ暗号化キーを生成する。その後、1926ステップにおいて、前記端末は、前記新しいデータ暗号化キーを用いて、前記新しいマスター基地局を含むメンバー基地局とのデータ送受信を行う。
1918ステップにおける確認の結果、前記マスター基地局が削除されていない場合でも、前記マスター基地局が前記新しいマスター基地局に変更されたので、1928ステップにおいて、前記端末は、前記マスター基地局との通信のために現在使用中のセキュリティキーを削除し、1930ステップに進む。1930ステップにおいて、前記端末は、前記新しいマスター基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、前記新しいマスター基地局との通信のために用いるセキュリティキーを生成する。即ち、前記端末は、前記新しいマスター基地局の識別子と前記数式2とを用いて、新しい認証キーを生成し、前記新しい認証キーを用いて、新しいデータ暗号化キーを生成する。そして、1926ステップにおいて、前記端末は、前記新しいデータ暗号化キーを用いて、前記新しいマスター基地局を含むクラウドセルのメンバー基地局とのデータ送受信を行う。
一方、1916ステップにおける判断の結果、前記クラウドセルのマスター基地局が変更されていない場合、1932ステップにおいて、前記端末は、前記クラウドセルのメンバー基地局のうち、追加された新しい基地局が存在するか、或いは削除されたメンバー基地局が存在するかを確認する。前記確認の結果、追加された新しい基地局が存在する場合、1934ステップにおいて、前記端末は、前記新しい基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行う。1936ステップにおいて、前記端末は、現在使用中のセキュリティキーを保持する。即ち、前記端末は、前記マスター基地局との通信のために現在使用中のデータ暗号化キーを用いて、1926ステップにおいて、前記新しい基地局を含むクラウドセルのメンバー基地局とのデータ送受信を行う。
1932ステップにおける確認の結果、削除されたメンバー基地局が存在する場合、1938ステップにおいて、前記端末は、前記削除されたメンバー基地局を、前記クラウドセルメンバー基地局リストから削除するクラウドセルアップデート手続を行い、前記削除されたメンバー基地局との通信を終了する。そして、1940ステップにおいて、前記端末は、前記マスター基地局との通信のために現在使用中のセキュリティキーを保持する。即ち、前記端末は、前記マスター基地局との通信のために現在使用中のデータ暗号化キーを用いて、1926ステップにおいて、前記削除されたメンバー基地局を除いた残りのメンバー基地局とのデータ送受信を行う。
図20A及び図20Bは、本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおけるマスター基地局の動作を示す図である。
図20Aを参照すると、2000ステップにおいて、前記マスター基地局は、端末のアクセス及び機能交渉手続を行い、2002ステップにおいて、前記端末についての認証手続を開始する。次に、2004ステップにおいて、前記マスター基地局は、認証制御局から前記端末についての認証コンテキストを受信する。前記認証コンテキストは、前記端末についての認証キーであるか、前記端末のデータ暗号化キーである。2004ステップにおいて受信した前記認証コンテキストが前記認証キーの場合、2006ステップにおいて、前記マスター基地局は、前記認証キーを用いて、前記端末のデータ暗号化キーを生成する。前記認証キーとデータ暗号化キーは、「セキュリティキー」と通称してもよい。その後、2008ステップにおいて、前記マスター基地局は、前記端末についての登録手続を行い、2010ステップにおいて、前記生成したデータ暗号化キーを用いて、前記端末とデータを送受信する。
その後、2012ステップにおいて、前記マスター基地局は、自らをクラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、図20Bの2014ステップに進む。
図20Bを参照すると、2014ステップにおいて、前記マスター基地局は、前記クラウドセルのマスター基地局が変更されるかの可否を判断する。前記判断の結果、前記マスター基地局が変更された場合、前記マスター基地局は、2016ステップに進み、前記判断の結果、前記マスター基地局が変更されていない場合、前記マスター基地局は、2024ステップに進む。
2016ステップにおいて、前記マスター基地局は、自ら前記クラウドセルメンバー基地局リストから削除されるか否かを確認する。前記確認の結果、前記マスター基地局が前記クラウドセルメンバー基地局リストから削除された場合、2018ステップにおいて、前記マスター基地局は、前記端末との通信を終了する。
2016ステップにおける確認の結果、前記マスター基地局がクラウドセルメンバー基地局リストから削除されていない場合、2020ステップにおいて、前記マスター基地局は、前記新しいマスター基地局を、クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、現在使用中のセキュリティキー、即ち、前記端末の認証キー及びデータ暗号化キーを削除し、2022ステップに進む。
一方、2024ステップにおいて、前記マスター基地局は、前記クラウドセルのメンバー基地局のうち、追加された新しい基地局が存在するか、或いは、削除されたメンバー基地局が存在するかを確認する。前記確認の結果、追加された新しい基地局が存在する場合、2026ステップにおいて、前記マスター基地局は、前記新しい基地局を、前記クラウドセルメンバー基地局リストに追加するクラウドセルアップデート手続を行い、前記端末との通信のために現在使用中のセキュリティキー、即ち、前記端末の認証キー及びデータ暗号化キーを保持し、2022ステップに進む。2022ステップにおいて、前記マスター基地局は、前記現在使用中の前記端末のデータ暗号化キーを用いて、前記端末との通信を行う。
2024ステップにおける確認の結果、削除されたメンバー基地局が存在する場合、2028ステップにおいて、前記マスター基地局は、前記削除されたメンバー基地局を、前記クラウドセルメンバー基地局リストから削除するクラウドセルアップデート手続を行い、前記端末との通信のために現在使用中のセキュリティキー、即ち、前記端末の認証キー及びデータ暗号化キーを保持し、2022ステップに進む。前記2022ステップにおいて、前記マスター基地局は、前記現在使用中の前記端末のデータ暗号化キーを用いて、前記端末とのデータ通信を行う。
図21は、本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおけるスレーブ基地局の動作を示す図である。
図21を参照すると、2100ステップにおいて、前記スレーブ基地局は、マスター基地局とのクラウドセルメンバー加入手続を行い、2102ステップに進む。2102ステップにおいて、前記スレーブ基地局は、端末とのデータ送受信を行う。
次に、2104ステップにおいて、前記スレーブ基地局は、前記クラウドセルのマスター基地局が自らに変更されるか否かを確認する。前記確認の結果、前記スレーブ基地局が前記マスター基地局に変更された場合、2016ステップにおいて、前記スレーブ基地局は、変更されたマスター基地局として動作する。即ち、前記スレーブ基地局は、前記端末についての認証コンテキストを受信する。前記認証コンテキストは、認証制御局から受信することができ、前記スレーブ基地局の識別子と前記数式2により生成された前記端末の認証キー或いは前記端末のデータ暗号化キーに該当する。前記認証コンテキストが前記認証キーのみを含む場合、2018ステップにおいて、前記スレーブ基地局又は前記変更されたマスター基地局は、前記受信した認証キーを用いて、前記端末のデータ暗号化キーを生成する。その後、前記スレーブ基地局は、クラウドセルにおける前記端末のマスター基地局としての役割を果す。
図22は、本開示の第4の実施形態によるクラウドセルベースの無線通信システムにおける認証制御局の動作を示す図である。
図22を参照すると、2200ステップにおいて、前記認証制御局は、端末についての認証手続を開始し、2202ステップにおいて、前記端末が属したクラウドセルのマスター基地局の識別子情報と前記数式2とを用いて、前記端末についての認証キーを生成する。
次に、2204ステップにおいて、前記認証制御局は、前記端末のマスター基地局に前記認証キーを伝達し、2206ステップに進む。この際、前記認証制御局は、前記認証キーを用いて、前記端末のデータ暗号化キーを生成して、前記マスター基地局に伝達することもできる。
その後、2206ステップにおいて、前記認証制御局は、前記マスター基地局を介して、前記クラウドセルアップデート情報を獲得し、2208ステップに進む。2208ステップにおいて、前記認証制御局は、前記クラウドセルアップデート情報に基づいて、前記クラウドセルのマスター基地局が変更されるかの可否を判断する。前記判断の結果、前記クラウドセルのマスター基地局が、新しいマスター基地局に変更された場合、2210ステップにおいて、前記認証制御局は、前記クラウドセルアップデート情報から獲得した前記新しいマスター基地局の識別子情報と前記数式2とを用いて、前記端末の新しい認証キーを生成し、前記新しい認証キーに基づいて、新しいデータ暗号化キーを生成する。次に、前記認証制御局は、前記新しい認証キー或いは新しいデータ暗号化キーを、前記端末の新しい認証コンテキストとして前記新しいマスター基地局に伝達する。
第5の実施形態
図23は、本開示の第5の実施形態によるクラウドセルベースの無線通信システムにおけるクラウドセルを構成する過程の中で、端末のセキュリティキーを管理するための信号フローチャートである。
図23を参照すると、2302ステップにおいて、端末2300は、通信サービスを提供する基地局を選択する手続を行う。前記基地局の選択の過程において、端末2300を中心とするクラウドセルを構成するスレーブ基地局の候補基地局を選択する。2304ステップにおいて、端末2300は、2302ステップを介して選択したマスター基地局2350に、アクセス要請のメッセージを伝送する。前記アクセス要請のメッセージに、前記候補基地局についての情報が含まれている場合、2306ステップにおいて、マスター基地局2350は、前記候補基地局に対応するスレーブ基地局を、前記クラウドセルを構成するメンバー基地局として交渉するクラウドセルメンバー基地局交渉手続を行う。例えば、スレーブ基地局2360が、端末2300により前記候補基地局として選択されると仮定する。マスター基地局2350は、2306ステップにおけるクラウドセルメンバー基地局交渉手続を介して、スレーブ基地局2360をクラウドセルメンバー基地局リストに追加する。その後、2308ステップにおいて、マスター基地局2350は、端末2300のアクセス要請のメッセージに応答して、アクセス応答メッセージを端末2300に伝送する。この際、前記アクセス応答メッセージは、「スレーブ基地局2360が前記端末のクラウドセルメンバー基地局リストに追加されたこと」を指示する情報を含む。このアクセス応答メッセージを受信すると、端末2300は、2310ステップにおいて、スレーブ基地局2360を端末2300のクラウドセルメンバー基地局リストに追加する。
その後、2312ステップにおいて、端末2300は、マスター基地局2350及び認証制御局/認証サーバ2370とのアクセスネットワーク認証及びセキュリティキー生成手続を行う。具体的に、認証制御局/認証サーバ2370は、端末2300についての認証を行い、認証制御局/認証サーバ2370の関与下に、端末2300とマスター基地局2350との間にアクセスリンクを認証し、暗号化するために用いられる、アクセスリンク用セキュリティキーを生成する。
2314ステップにおいて、端末2300は、前記クラウドセル内で、メンバー基地局とのデータ送受信のために用いる通信用セキュリティキーを生成するための入力値のうちの一つであるクラウドシードを生成する。2316ステップにおいて、端末2300は、前記クラウドシードを含むクラウドセルセキュリティコンテキストのメッセージを、マスター基地局2350へ伝送する。この際、前記クラウドセルセキュリティコンテキストのメッセージは、2312ステップにおいて生成したマスター基地局2350と端末2300との間にアクセスリンク用セキュリティキーを用いて暗号化される。
その後、2318ステップにおいて、端末2300は、前記クラウドシードを入力値として用いて、前記クラウドセル内でメンバー基地局とのデータ送受信のために用いる通信用セキュリティキーを生成する。即ち、前記クラウドシードを入力値として用いることにより、前記数式1に応じて、前記クラウドセル内でメンバー基地局とのデータ送受信のために用いる通信用認証キーを生成し、前記生成された通信用認証キーを用いて、通信用データ暗号化キーを生成する。同様に、2320ステップにおいて、マスター基地局2305は、前記クラウドシードを入力値として用いることにより、前記数式1に応じて、前記クラウドセル内でデータ送受信のために用いる通信用認証キーを生成し、前記生成された通信用認証キーを用いて、通信用データ暗号化キーを生成する。
2322ステップにおいて、マスター基地局2350は、端末2300に、クラウドセルセキュリティコンテキスト応答メッセージを伝送する。この際、前記クラウドセルセキュリティコンテキスト応答メッセージは、2320ステップにおいて生成された通信用セキュリティキーを用いて暗号化される。
2324ステップにおいて、端末2300は、認証制御局/認証サーバ2370及びスレーブ基地局2360とのアクセスネットワーク認証及びセキュリティキー生成手続を行う。具体的に、2324ステップにおいて、端末2300とスレーブ基地局2360との間にアクセスリンクを認証し、暗号化するために用いられるアクセスリンク用セキュリティキーを生成する。2326ステップにおいて、端末2300は、スレーブ基地局2360に、クラウドセルセキュリティコンテキストメッセージを伝送する。この際、前記クラウドセルセキュリティコンテキストメッセージは、2318ステップにおいて、端末2300が生成したクラウドシードを含み、2324ステップにおいて生成された、アクセスリンク用セキュリティキーを用いて暗号化される。2328ステップにおいて、前記クラウドシードを入力値として用いて、前記クラウドセル内でメンバー基地局とのデータ送受信のために用いられる通信用セキュリティキーを生成する。即ち、入力値として前記クラウドシードを用いることにより、前記数式1に応じて、前記クラウドセル内でデータ送受信のために用いられる通信用認証キーを生成し、前記生成された通信用認証キーを用いて、通信用データ暗号化キーを生成する。次に、2330ステップにおいて、スレーブ基地局2360は、端末2300に、クラウドセルセキュリティコンテキスト応答メッセージを伝送する。この際、前記クラウドセルセキュリティコンテキスト応答メッセージは、2328ステップにおいて生成された通信用セキュリティキーを用いて暗号化される。
その後、2332ステップにおいて、端末2300は、前記クラウドセルのメンバー基地局とのデータ送受信を行う。ここで、前記通信用セキュリティキーを適用して、端末2300と交換されるデータを処理するクラウドセルのメンバー基地局は、マスター基地局2350であってもよく、マスター基地局2350とスレーブ基地局2360の両方に該当してもよい。
図24は、本開示の第5の実施形態によるクラウドセルベースの無線通信システムにおけるクラウドセルに、スレーブ基地局が追加される場合、端末のセキュリティキーを管理する信号フローチャートである。
図24を参照すると、2402ステップにおいて、端末2400は、前記クラウドセルのメンバー基地局、即ち、マスター基地局2440及び第1のスレーブ基地局2450とのデータ送受信を行う。2404ステップにおいて、マスター基地局2440は、他の隣接の基地局、例えば、第2のスレーブ基地局2460を、前記クラウドセルのスレーブ基地局として追加すると決めた場合を仮定する。ここで、前記クラウドセルのスレーブ基地局の追加を決定する基準は、端末2400の信号強度の測定の結果に該当し、マスター基地局2440及び第1のスレーブ基地局2450のセルロード(load)などに該当する。これらは、本開示の範囲から外れるので、これについての詳細な説明は省略する。2406ステップにおいて、マスター基地局2440は、第2のスレーブ基地局2460とのクラウドセルメンバー基地局交渉手続を行う。具体的に、第2のスレーブ基地局2460を、端末2400のクラウドセルのスレーブ基地局として決める場合、2408ステップにおいて、マスター基地局2440は、端末2400に、クラウドセルアップデートのメッセージを伝送する。即ち、前記クラウドセルアップデートのメッセージは、「第2のスレーブ基地局2460が、端末2400のクラウドセルメンバー基地局リストに追加されたこと」を指示する情報を含む。
2410ステップにおいて、マスター基地局2440は、端末2400のクラウドセルのメンバー基地局又は第1のスレーブ基地局2450に、「第2のスレーブ基地局2460が、端末2400のクラウドセルメンバー基地局リストに追加されたこと」を指示する情報を含むクラウドセルアップデートのメッセージを伝送する。そうすると、2412ステップにおいて、端末2400は、第2のスレーブ基地局2460を、自らのクラウドセルメンバー基地局リストに追加する。
その後、2414ステップにおいて、端末2400は、認証制御局/認証サーバ2470及び第2のスレーブ基地局2460とのアクセスネットワーク認証及びセキュリティキー生成手続を行う。具体的に、2414ステップでは、端末2400と第2のスレーブ基地局2460との間のアクセスリンクを認証し、暗号化するために用いられる、アクセスリンク用セキュリティキーを生成する。そうすると、2416ステップにおいて、端末2400は、前記クラウドセルで用いているクラウドシードを含むクラウドセルセキュリティコンテキストのメッセージを、第2のスレーブ基地局2460に伝送する。一例として、第2のスレーブ基地局2460に伝達されるクラウドシードが、既に生成されたクラウドシードの場合として説明した。しかし、他の実施形態により、端末2400のクラウドセルのメンバー基地局のうち、削除されるメンバー基地局が生じる場合、端末2400が新しいクラウドシードを生成し、新しいクラウドシードをメンバー基地局に伝達する。
前記クラウドセルセキュリティコンテキストのメッセージは、2414ステップにおいて生成したアクセスリンク用セキュリティキーを用いて暗号化される。
2418ステップにおいて、第2のスレーブ基地局2460は、前記クラウドセル内でデータ送受信のために用いる通信用セキュリティキーを生成する。即ち、前記クラウドシードを入力値として用いることにより、前記数式1に応じて前記クラウドセル内でデータ送受信のために用いる通信用認証キーを生成し、前記生成された通信用認証キーを用いて、通信用データ暗号化キーを生成する。次に、2420ステップにおいて、第2のスレーブ基地局2460は、クラウドセルセキュリティコンテキスト応答メッセージを、端末2400に伝送する。ここで、前記クラウドセルセキュリティコンテキスト応答メッセージは、2418ステップにおいて生成された通信用セキュリティキーを用いて暗号化される。
その後、2422ステップにおいて、端末2400は、前記クラウドセルのメンバー基地局とデータを送受信する。ここで、前記通信用セキュリティキーを適用して、端末2400と交換されるデータを処理するクラウドセルのメンバー基地局は、マスター基地局2440であってもよく、又はマスター基地局2440、第1のスレーブ基地局2450及び第2のスレーブ基地局2460の全てに該当してもよい。
第6の実施形態
図25A及び図25Bは、本開示の第6の実施形態によるクラウドセルベースの無線通信システムにおける端末のセキュリティキーを管理する信号フローチャートである。
図25A及び図25Bを参照すると、2502ステップにおいて、端末2500は、通信サービスを提供する基地局選択手続を行う。前記基地局の選択の過程において、端末2500を中心とするクラウドセルを構成するスレーブ基地局の候補基地局を選択する。2504ステップにおいて、端末2500は、2502ステップにおいて選択されたマスター基地局2550に、アクセス要請のメッセージを伝送する。前記アクセス要請のメッセージに、前記候補基地局に関する情報が含まれている場合、2506ステップにおいて、マスター基地局2550は、前記候補基地局に対応するスレーブ基地局を、前記クラウドセルを構成するメンバー基地局として交渉するクラウドセルメンバー基地局交渉手続を行う。例えば、第1のスレーブ基地局2560が、端末2500により前記候補基地局として選択されると仮定する。マスター基地局2550は、2506ステップにおけるクラウドセルメンバー基地局交渉手続を介して、第1のスレーブ基地局2560をクラウドセルメンバー基地局リストに追加する。その後、2508ステップにおいて、マスター基地局2550は、端末2500からアクセス要請のメッセージに応答して、アクセス応答メッセージを端末2500に伝送する。この際、前記アクセス応答メッセージは、「第1のスレーブ基地局2560が、前記端末のクラウドセルメンバー基地局リストに追加されたこと」を指示する情報を含む。このアクセス応答メッセージを受信すると、端末2500は、2510ステップにおいて、第1のスレーブ基地局2560を、端末2500のクラウドセルメンバー基地局リストに追加する。
その後、2512ステップにおいて、端末2500は、マスター基地局2550及び認証制御局/認証サーバ2580とのアクセスネットワーク認証及びセキュリティキー生成手続を行う。具体的に、認証制御局/認証サーバ2580は、端末2500についての認証を行い、認証制御局/認証サーバ2580の関与下に、端末2500とマスター基地局2550との間にアクセスリンクを認証し、暗号化するために用いられる、アクセスリンク用セキュリティキーを生成する。
2514ステップにおいて、端末2500は、前記クラウドセル内でメンバー基地局とのデータ送受信のために用いる通信用セキュリティキーを生成するための入力値のうちの一つであるクラウドシードを生成する。2516ステップにおいて、端末2500は、前記クラウドシードが含まれたクラウドセルセキュリティコンテキストのメッセージを、マスター基地局2550に伝送する。この際、前記クラウドセルセキュリティコンテキストのメッセージは、2512ステップにおいて生成したマスター基地局2550と端末2500との間のアクセスリンクのための前記アクセスリンク用セキュリティキーを用いて暗号化される。
その後、2518ステップにおいて、端末2500は、前記クラウドシードを入力値として用いて、前記クラウドセル内でメンバー基地局とのデータ送受信のために用いる通信用セキュリティキーを生成する。即ち、前記クラウドシードを入力値として用いることにより、前記数式1に応じて、前記クラウドセル内でメンバー基地局とのデータ送受信のために用いる通信用認証キーを生成し、前記生成された通信用認証キーを用いて、通信用データ暗号化キーを生成する。同様に、2520ステップにおいて、マスター基地局2550は、前記クラウドシードを入力値として用いることにより、前記数式1に応じて、前記クラウドセル内でデータ送受信のために用いる通信用認証キーを生成し、前記生成された通信用認証キーを用いて、通信用データ暗号化キーを生成する。
2522ステップにおいて、マスター基地局2550は、端末2500に、クラウドセルセキュリティコンテキスト応答メッセージを伝送する。この際、前記クラウドセルセキュリティコンテキスト応答メッセージは、2520ステップにおいて生成された通信用セキュリティキーを用いて暗号化される。
2524ステップにおいて、マスター基地局2550は、第1のスレーブ基地局2560に、2516ステップにおいて受信されたクラウドシードを伝達する。この際、前記クラウドシードは、マスター基地局2550と第1のスレーブ基地局2560との間のアクセスリンク用セキュリティキーを用いて暗号化される。そうすると、2526ステップにおいて、第1のスレーブ基地局2560は、前記クラウドシードを入力値として用いて、前記クラウドセル内でデータ送受信のために用いる通信用セキュリティキーを生成する。即ち、第1のスレーブ基地局2560は、前記クラウドシードを入力値として用いることにより、前記数式1に応じて、前記クラウドセル内でデータ送受信のために用いる通信用認証キーを生成し、前記生成された通信用認証キーを用いて、通信用データ暗号化キーを生成する。
2528ステップにおいて、マスター基地局2560は、端末2500に、クラウドセルセキュリティコンテキスト応答メッセージを伝送する。この際、前記クラウドセルセキュリティコンテキスト応答メッセージは、2526ステップにおいて生成された通信用セキュリティキーを用いて暗号化される。
その後、端末2500、マスター基地局2550及び第1のスレーブ基地局2560のデータ送受信のうち、マスター基地局2550は、他の隣接の基地局、例えば、第2のスレーブ基地局2570を、端末2500のクラウドセルのスレーブ基地局として追加すると決めた場合を仮定する。ここで、クラウドセルのスレーブ基地局の追加を決定する基準は、端末2500の信号強度の測定の結果に該当し、マスター基地局2550及び第1のスレーブ基地局2560のセルロードなどに該当する。これは本発明の範囲から外れるので、その詳細な説明は省略する。2530ステップにおいて、マスター基地局2550は、第2のスレーブ基地局2570とのクラウドセルメンバー基地局交渉手続を行う。2530ステップを行う過程において、マスター基地局2550は、第2のスレーブ基地局2570に、2516ステップにおいて受信したクラウドシードを伝達する。次に、2532ステップにおいて、マスター基地局2550は、端末2500に、クラウドセルアップデートのメッセージを伝送する。即ち、前記クラウドセルアップデートのメッセージは、「第2のスレーブ基地局2570が、前記端末のクラウドセルメンバー基地局リストに追加されたこと」を指示する情報を含む。
2534ステップにおいて、端末2500は、第2のスレーブ基地局2570を、自らのクラウドセルメンバー基地局リストに追加し、クラウドセルアップデート応答メッセージを、マスター基地局2550に伝送する。そうすると、2536ステップにおいて、マスター基地局2550は、現在、端末2500のクラウドセルのメンバー基地局である第1のスレーブ基地局2560に、「第2のスレーブ基地局2570が、前記端末のクラウドセルメンバー基地局リストに追加されたこと」を指示する情報を含むクラウドセルアップデートのメッセージを伝送する。
その後、2538ステップにおいて、第2のスレーブ基地局2570は、前記クラウドセル内でデータ送受信のために用いる通信用セキュリティキーを生成する。即ち、前記クラウドシードを入力値として用いることにより、前記数式1に応じて、前記クラウドセル内でデータ送受信のために用いる通信用認証キーを生成し、前記生成された通信用認証キーを用いて、通信用データ暗号化キーを生成する。次に、2540ステップにおいて、第2のスレーブ基地局2570は、クラウドセルセキュリティコンテキスト応答メッセージを、端末2500に伝送する。ここで、前記クラウドセルセキュリティコンテキスト応答メッセージは、2538ステップにおいて生成された通信用セキュリティキーを用いて暗号化される。
一方、通信用セキュリティキーを適用して、端末2500と交換するデータを処理するクラウドセルのメンバー基地局は、マスター基地局2550に該当してもよく、マスター基地局2550、第1のスレーブ基地局2560及び第2のスレーブ基地局2570の全てに該当してもよい。
一方、本開示の第5の実施形態及び第6の実施形態においては、端末のクラウドセルを構成するメンバー基地局が削除される場合、前記端末は、新しいクラウドシードを生成し、残りのクラウドセルメンバー基地局との通信に用いる通信用セキュリティキーを再生成してもよい。
具体的に、任意のメンバー基地局が削除される場合を仮定する。そうすると、マスター基地局は、メンバー基地局の削除予定のメッセージを前記端末に伝送し、前記端末は、新しいクラウドシードを生成する。次に、前記端末は、前記新しいクラウドシードを前記マスター基地局に伝送し、この際、前記クラウドシードは、前記端末と前記マスター基地局との間のアクセスリンク用セキュリティキーを用いて暗号化される。前記新しいクラウドシードを受信すると、前記マスター基地局は、また前記新しいクラウドシードを用いて、通信用セキュリティキーを再生成する。また、前記マスター基地局は、スレーブ基地局とのメンバー基地局アップデート手続を行いながら、前記新しいクラウドシードを前記スレーブ基地局に伝達する。次に、前記スレーブ基地局もまた、前記新しいクラウドシードを用いて、前記端末との通信用セキュリティキーを再生成する。
図26は、本開示の実施形態によるクラウドセルベースの無線通信システムにおける認証及びデータ暗号化のためのセキュリティキーを管理する装置の構成を示す。
図26を参照すると、認証及びデータ暗号化のためのセキュリティキー管理装置2600は、通信部2610と、セキュリティキー生成部2620と、クラウドセルメンバー基地局アップデート部2630と、制御部2640とを含む。
セキュリティキー管理装置2600は、本開示の第1の実施形態から第6の実施形態により提供される端末、マスター基地局、スレーブ基地局及び認証制御局の少なくとも一つに含まれ、前述の認証手続を行う。
以下、本開示の実施形態によるセキュリティキー管理装置2600の動作を説明する。
第1に、セキュリティキー管理装置2600が本開示の第1の実施形態から第6の実施形態による端末として動作する場合を説明する。
セキュリティキー管理装置2600が本開示の第1の実施形態により動作する場合、通信部2610は、認証制御局或いは認証サーバからクラウドシードを受信する。前記クラウドシードは、前記端末と認証制御局或いは認証サーバとの間に共有する規則に従って選択された値である。制御部2640が前記クラウドシードの受信を認知すると、セキュリティキー生成部2620は、制御部2640の制御下に、前記クラウドシードと前記数式1とを用いて認証キーを生成する。
クラウドセルメンバー基地局アップデート部2630は、前記端末が属したクラウドセル内のメンバー基地局を含むクラウドセルメンバー基地局リストを管理する。前記クラウドセル内のメンバー基地局が削除されるか、追加される場合、前記クラウドセルメンバー基地局リストをアップデートする手続を行う。さらに、前記クラウドセル内のマスター基地局が変更される場合、前記クラウドセルメンバー基地局リストにおけるマスター基地局についての情報をアップデートする。
制御部2640は、前記クラウドセルメンバー基地局リストから削除されたメンバー基地局が存在することを確認すると、通信部2610が新しいクラウドシードを受信するように制御する。次に、制御部2640は、前記新しいクラウドシードと前記数式1とを用いて、セキュリティキー生成部2620が認証キーを生成するように制御する。
セキュリティキー管理装置2600が、本開示の第2の実施形態、又は第4の実施形態により動作する場合、セキュリティキー生成部2620は、前記マスター基地局の識別子と前記数式2とを用いて、認証キーを生成する。次に、通信部2610は、前記認証キーに基づいて生成されたデータ暗号化キーを用いて、前記マスター基地局及びスレーブ基地局とデータを送受信する。
前記マスター基地局が変更された場合、通信部2610は、変更されたマスター基地局の識別子を受信し、これを認知した制御部2640は、セキュリティキー生成部2620が前記変更されたマスター基地局の識別子と前記数式2とを用いて、新しい認証キーを生成するように制御する。さらに、制御部2640は、通信部2610が前記新しい認証キーに基づいて生成された新しいデータ暗号化キーを用いて、前記新しいマスター基地局を含むメンバー基地局とデータを送受信するように制御する。
クラウドセルメンバー基地局アップデート部2630は、第1の実施形態と同様に動作する。
セキュリティキー管理装置2600が、本開示の第3の実施形態により動作する場合、制御部2640は、現在のクラウドセルのマスター基地局とスレーブ基地局各々の認証キーを個別に生成するようにセキュリティキー生成部2620を制御する。即ち、セキュリティキー生成部2620は、制御部2640の制御下に、前記マスター基地局の識別子と前記数式3とを用いて、前記マスター基地局との通信のために用いる認証キーを用いる。また、セキュリティキー生成部2620は、前記スレーブ基地局各々の識別子と前記数式3とを用いて、当該スレーブ基地局との通信のために用いる認証キーを生成する。
その後、通信部2610は、制御部2640の制御下に、前記マスター基地局との通信の時、前記マスター基地局の識別子を用いて生成された、認証キーに基づいて生成した暗号化キーを用いて、前記マスター基地局とデータを送受信する。また、当該スレーブ基地局との通信時、通信部2610は、前記スレーブ基地局の識別子を用いて生成された、認証キーに基づいて生成した暗号化キーを用いて、前記スレーブ基地局とデータを送受信する。
制御部2640は、暗号化キー生成に用いられたマスター基地局或いはスレーブ基地局が削除された場合、当該暗号化キーを削除する。
クラウドセルメンバー基地局アップデート部2630は、第1の実施形態と同様に動作する。
セキュリティキー管理装置2000が、本開示の第5の実施形態又は第6の実施形態により動作する場合、セキュリティキー生成部2620は、クラウドシードを生成する。さらに、セキュリティキー生成部2620は、前記クラウドシードを用いて通信用セキュリティキーを生成する。本開示の第5の実施形態においては、通信部2610がメンバー基地局に前記クラウドシードを伝達する。そして、現在メンバー基地局から特定のメンバー基地局が削除される場合、セキュリティキー生成部2620は、新しいクラウドシードを生成する。そうすると、セキュリティキー生成部2620は、前記新しいクラウドシードを用いて、通信用セキュリティキーを再生成する。
第2に、セキュリティキー管理装置2600が本開示の第1の実施形態から第6の実施形態によるマスター基地局として動作する場合を説明する。
セキュリティキー管理装置2600が本開示の第1の実施形態により動作する場合、制御部2640は、マスター基地局が変更された場合、自ら前記クラウドセルメンバー基地局リストから削除されたかの可否を確認する。前記確認の結果、前記クラウドセルメンバー基地局リストから削除された場合、制御部2640は、端末との通信を終了し、残りの動作は、前記端末の制御部と同様に動作する。また、クラウドセルメンバー基地局アップデート部2630と通信部2610は、端末のメンバー基地局アップデート部及び通信部各々と同様に動作する。ただし、通信部2610は、前記端末と通信する。
セキュリティキー管理装置2600が本開示の第2の実施形態から第4の実施形態により動作する場合、セキュリティキー管理装置2600は、端末のセキュリティキー管理装置と同様に動作する。ここでも、通信部2610は、端末と通信する。
なお、セキュリティキー管理装置2600が本開示の第5の実施形態により動作する場合、通信部2610は、端末から前記端末が生成したクラウドシードを受信する。そうすると、セキュリティキー生成部2620は、前記クラウドシードを用いて通信用セキュリティキーを生成する。
セキュリティキー管理装置2600が本開示の第6の実施形態により動作する場合、通信部2610は、端末から前記端末が生成したクラウドシードを受信し、前記クラウドシードを他のメンバー基地局に伝達する。そうすると、セキュリティキー生成部2620は、前記クラウドシードを用いて、通信用セキュリティキーを生成する。
第3に、セキュリティキー管理装置2600が本開示の第1の実施形態から第6の実施形態によるスレーブ基地局として動作する場合を説明する。
セキュリティキー管理装置2600が本開示の第1から第6の実施形態により動作する場合、クラウドセルメンバー基地局アップデート部2630は、現在マスター基地局とクラウドセルメンバー基地局への加入手続をさらに行い、クラウドセル内のメンバー基地局を含むクラウドセルメンバー基地局リストを管理する動作は、前記端末と前記マスター基地局のクラウドセルメンバー基地局アップデート部と同様に動作する。
制御部2640もまた、前記端末とマスター基地局のクラウドセルメンバー基地局アップデート部と同様に動作する。ただし、第3の実施形態の場合、制御部2640が自らマスター基地局として設定されたと認知した場合、通信部2610を介して受信した新しい認証コンテキストを用いて、セキュリティキー生成部2620がセキュリティキーを生成するように制御する。
本開示の第5の実施形態及び第6の実施形態により動作する場合、制御部2640は、端末から受信したクラウドシードを用いて、通信用セキュリティキーを生成するようにセキュリティキー生成部2620を制御する。
第4に、セキュリティキー管理装置2600が本開示の第1の実施形態から第4の実施形態による認証制御局として動作する場合、通信部2610が当該実施形態により生成した認証キー或いはデータ暗号化キーを、前記マスター基地局に伝達する動作をさらに含む以外は、残りの構成の動作は、本開示の第1の実施形態から第4の実施形態によるマスター基地局又は端末のセキュリティキー管理装置と同様に動作する。
セキュリティキー管理装置2600が本開示の第5の実施形態及び第6の実施形態により動作する場合、他の実施形態のように通信用セキュリティキーの生成に関与せず、端末及びメンバー基地局間のアクセスリンク用セキュリティキーの生成にのみ関与する。
本発明の詳細な説明では具体的な実施形態について説明したが、本発明の範囲から逸脱しない限度内で様々な変形が可能であることは明らかである。従って、本発明の範囲は、説明された実施形態に限定されず、後述の特許請求の範囲のみならず、この特許請求の範囲と均等なものにより定めるべきである。
100、220、370、870、1370、1870 認証サーバ
102、222、360、860、1360、1860 認証制御局
104 アクセス基地局
106、208、232、300、800、1300、1800、2300、2400、2500 端末
210 コアネットワーク
202、226、340、840、1340、1840、2350、2440、2550 マスター基地局
200、224 クラウドセル
228、230、350、850、1350、1850、2360 スレーブ基地局
2450、2560 第1のスレーブ基地局
204、2460、2570 第2のスレーブ基地局
206 第3のスレーブ基地局
880、1880 新しいマスター基地局
2370、2470、2580 認証制御局/認証サーバ
2610 通信部
2620 セキュリティキー生成部
2630 クラウドセルメンバー基地局アップデート部
2640 制御部

Claims (12)

  1. 通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法であって、
    前記端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルにおいて、前記通信認証のための認証手続を行うことにより、第1の認証キーを獲得する過程と、
    前記第1の認証キーにより生成した第1の暗号化キーを用いて、少なくとも一つのメンバー基地局と通信する過程と、
    を含むことを特徴とする方法。
  2. 前記第1の認証キーを獲得する過程は、
    第1のシードを用いて前記第1の認証キーを生成する過程を含み、
    前記第1のシードは、認証手続を管理する認証サーバ或いは認証制御局と前記端末との間に予め定められた規則により選択される値であるか、又は前記認証サーバ或いは認証制御局から受信された値であることを特徴とする、請求項1に記載の方法。
  3. 前記メンバー基地局のうち、削除されたメンバー基地局が存在する場合、前記認証サーバ或いは認証制御局と前記端末との間に予め定められた規則により、第2のシードを選択するか、又は前記認証サーバ或いは認証制御局から前記第2のシードを受信する過程と、
    前記第2のシードを用いて第2の認証キーを生成する過程と、
    前記第2の認証キーを用いて第2の暗号化キーを生成する過程と、をさらに含むことを特徴とする、請求項2に記載の方法。
  4. 前記第1の認証キーを獲得する過程は、
    第1の認証キーを生成するシードを生成し、前記シードを前記マスター基地局に伝達する過程と、
    前記シードを用いて前記第1の認証キーを生成する過程をさらに含み、
    前記メンバー基地局のうち、削除されたメンバー基地局が存在すると、新しいシードを生成する過程をさらに含むことを特徴とする、請求項1に記載の方法。
  5. 無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法であって、
    前記端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルにおいて、前記端末と前記通信認証のための認証手続を行うことにより、前記端末の認証コンテキストを獲得する過程と、
    前記認証コンテキストから獲得した第1の暗号化キーを用いて、前記端末と通信する過程と、
    を含むことを特徴とする方法。
  6. 前記認証コンテキストが第1の認証キーを含む場合、前記第1の認証キーを用いて前記第1の暗号化キーを生成する過程をさらに含み、
    前記第1の認証キーは、前記端末と前記認証手続を管理する認証サーバ或いは認証 制御局により、第1のシードを用いて生成され、前記第1のシードは、前記認証サーバ或いは前記認証制御局と前記端末との間に予め定められた規則により選択された値であるか、又は前記端末から受信した値であることを特徴とする、請求項5に記載の方法。
  7. 前記メンバー基地局のうち、削除されたメンバー基地局が存在する場合、前記認証制御局から第2の認証キーを受信する過程と、
    前記第2の認証キーを用いて、第2の暗号化キーを生成し、前記第2の暗号化キーを前記削除されたメンバー基地局を除いた残りのスレーブ基地局に伝達する過程とを含み、
    前記第2の認証キーは、前記端末と認証サーバ或いは認証制御局とにより、第2のシードを用いて生成され、前記第2のシードは、前記認証サーバ或いは前記認証制御局と前記端末との間に、予め定められた規則により、前記第1のシードと異なって選択された値であるか、又は前記端末から新しく生成された値であることを特徴とする、請求項6に記載の方法。
  8. 通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法であって、
    前記端末にサービスを提供するマスター基地局と、少なくとも一つのスレーブ基地局とを含むメンバー基地局から構成されるクラウドセルにおいて、前記マスター基地局とのクラウドセルメンバー基地局加入手続を行い、前記マスター基地局から前記クラウドセルに含まれた端末の認証コンテキストを受信する過程と、
    前記認証コンテキストが第1の認証キーを含む場合、前記第1の認証キーを用いて、第1の暗号化キーを生成し、前記第1の暗号化キーを用いて前記端末と通信する過程とを含む方法。
  9. 前記認証コンテキストが、前記端末が生成したシードを含む場合、前記シードを用いて前記第1の認証キーを生成する過程を含み、
    前記シードは、前記端末から直接受信されてもよく、マスター基地局から受信されてもよく、前記メンバー基地局のうち、削除されたメンバー基地局が存在すると、前記端末が生成した新しいシード値が受信されることを特徴とする、請求項8に記載の方法。
  10. 通信システムにおける端末との通信認証のためのセキュリティキーを管理する端末であって、請求項1から請求項4のいずれか一項に記載の方法により実行されることを特徴とする端末。
  11. 通信システムにおける端末との通信認証のためのセキュリティキーを管理するマスター基地局であって、請求項5から請求項7のいずれか一項に記載の方法により実行されることを特徴とするマスター基地局。
  12. 通信システムにおける端末との通信認証のためのセキュリティキーを管理するスレーブ基地局であって、請求項8又は請求項9に記載の方法により実行されることを特徴とするスレーブ基地局。
JP2014542237A 2011-11-17 2012-11-15 無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法及び装置 Active JP6120865B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
KR10-2011-0120533 2011-11-17
KR20110120533 2011-11-17
KR1020120115895A KR101931601B1 (ko) 2011-11-17 2012-10-18 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치
KR10-2012-0115895 2012-10-18
PCT/KR2012/009679 WO2013073869A1 (en) 2011-11-17 2012-11-15 Method and apparatus for managing security keys for communication authentication with mobile station in wireless communication system

Publications (3)

Publication Number Publication Date
JP2014533908A true JP2014533908A (ja) 2014-12-15
JP2014533908A5 JP2014533908A5 (ja) 2016-01-14
JP6120865B2 JP6120865B2 (ja) 2017-04-26

Family

ID=48663602

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014542237A Active JP6120865B2 (ja) 2011-11-17 2012-11-15 無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法及び装置

Country Status (6)

Country Link
US (1) US9380459B2 (ja)
EP (1) EP2781111A4 (ja)
JP (1) JP6120865B2 (ja)
KR (1) KR101931601B1 (ja)
CN (1) CN104025634B (ja)
WO (1) WO2013073869A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018012638A (ja) * 2011-10-05 2018-01-25 ソルヴェイ(ソシエテ アノニム) 沈降炭酸カルシウム粒子及びその使用

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8836601B2 (en) 2013-02-04 2014-09-16 Ubiquiti Networks, Inc. Dual receiver/transmitter radio devices with choke
US9496620B2 (en) 2013-02-04 2016-11-15 Ubiquiti Networks, Inc. Radio system for long-range high-speed wireless communication
KR20140077603A (ko) 2012-12-14 2014-06-24 삼성전자주식회사 무선 통신 시스템에서 이동성을 관리하기 위한 장치 및 방법
US9397820B2 (en) 2013-02-04 2016-07-19 Ubiquiti Networks, Inc. Agile duplexing wireless radio devices
US9373885B2 (en) 2013-02-08 2016-06-21 Ubiquiti Networks, Inc. Radio system for high-speed wireless communication
US10460314B2 (en) * 2013-07-10 2019-10-29 Ca, Inc. Pre-generation of session keys for electronic transactions and devices that pre-generate session keys for electronic transactions
KR102078866B1 (ko) * 2013-08-09 2020-02-19 삼성전자주식회사 듀얼 커넥티비티 지원을 위한 pdcp 분산 구조의 보안 키 생성 및 관리 방안
LT3055930T (lt) 2013-10-11 2020-02-10 Ubiquiti Inc. Belaidės radijo sistemos optimizavimas atliekant nuolatinę spektro analizę
KR101819409B1 (ko) 2014-03-06 2018-01-16 닛본 덴끼 가부시끼가이샤 이중 연결성을 위한 장치, 시스템 및 방법
WO2015134753A1 (en) * 2014-03-07 2015-09-11 Ubiquiti Networks, Inc. Cloud device identification and authentication
US9368870B2 (en) 2014-03-17 2016-06-14 Ubiquiti Networks, Inc. Methods of operating an access point using a plurality of directional beams
CN104981941B (zh) 2014-04-01 2018-02-02 优倍快网络公司 天线组件
GB201410623D0 (en) * 2014-06-13 2014-07-30 Hagan Chris Wireless access point allocation and transfer
CN105993183B (zh) 2014-06-30 2019-08-13 优倍快网络公司 用于在无线电网络的配置中使用功能图协助的方法和工具
PL3187002T3 (pl) 2014-08-31 2021-11-08 Ubiquiti Inc. Sposoby i przyrządy do monitorowania i usprawniania stanu technicznego sieci bezprzewodowej
WO2017053956A1 (en) 2015-09-25 2017-03-30 Ubiquiti Networks, Inc. Compact and integrated key controller apparatus for monitoring networks
US10172001B1 (en) * 2017-10-30 2019-01-01 International Business Machines Corporation Authentication mechanism
US10637655B1 (en) * 2018-01-09 2020-04-28 Amdocs Development Limited System, method, and computer program for providing seamless data access from different internet service providers

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140545A (ja) * 2002-10-17 2004-05-13 Sony Corp 通信端末装置、通信基地局装置、通信中継装置、および方法、並びにコンピュータ・プログラム
JP2004343816A (ja) * 2004-09-10 2004-12-02 Matsushita Electric Ind Co Ltd 鍵共有システム
JP2008511240A (ja) * 2004-08-25 2008-04-10 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート 無線携帯インターネットシステムでeapを利用する保安関係交渉方法
US20080267407A1 (en) * 2007-04-26 2008-10-30 Qualcomm Incorporated Method and Apparatus for New Key Derivation Upon Handoff in Wireless Networks
WO2008155764A2 (en) * 2007-06-18 2008-12-24 Duolink Ltd. Wireless network architecture and method for base station utilization

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19900436B4 (de) * 1999-01-08 2016-12-01 Ipcom Gmbh & Co. Kg Verfahren zum Handover, Mobilstation für ein Handover und Basisstation für ein Handover
US6370380B1 (en) * 1999-02-17 2002-04-09 Telefonaktiebolaget Lm Ericsson (Publ) Method for secure handover
US7028186B1 (en) * 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US20040228491A1 (en) * 2003-05-13 2004-11-18 Chih-Hsiang Wu Ciphering activation during an inter-rat handover procedure
JP2007536786A (ja) * 2004-05-07 2007-12-13 サムスン エレクトロニクス カンパニー リミテッド 広帯域無線接続通信システムにおけるサービス遅延を最小化できるハンドオーバーのためのシステム及び方法
US7558388B2 (en) * 2004-10-15 2009-07-07 Broadcom Corporation Derivation method for cached keys in wireless communication system
JP2006197452A (ja) * 2005-01-17 2006-07-27 Matsushita Electric Ind Co Ltd 無線通信端末装置およびその制御方法
KR100678054B1 (ko) * 2005-01-31 2007-02-02 삼성전자주식회사 무선 통신 시스템에서 핸드오버 방법
JP4715239B2 (ja) * 2005-03-04 2011-07-06 沖電気工業株式会社 無線アクセス装置、無線アクセス方法及び無線ネットワーク
EP1873674B1 (en) * 2005-12-19 2019-09-04 Nippon Telegraph And Telephone Corporation Terminal identification method, authentication method, authentication system, server, terminal, radio base station, program, and recording medium
KR20070098385A (ko) * 2006-03-29 2007-10-05 삼성전자주식회사 통신 시스템에서 핸드오버 시스템 및 방법
JP4804983B2 (ja) * 2006-03-29 2011-11-02 富士通株式会社 無線端末、認証装置、及び、プログラム
US7936878B2 (en) * 2006-04-10 2011-05-03 Honeywell International Inc. Secure wireless instrumentation network system
US20090164788A1 (en) * 2006-04-19 2009-06-25 Seok-Heon Cho Efficient generation method of authorization key for mobile communication
US7865717B2 (en) 2006-07-18 2011-01-04 Motorola, Inc. Method and apparatus for dynamic, seamless security in communication protocols
US8948395B2 (en) * 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems
US8204230B2 (en) * 2007-05-08 2012-06-19 Infineon Technologies Ag Communication device, method for establishing a communication connection and method for using a communication connection
WO2009020789A2 (en) * 2007-08-03 2009-02-12 Interdigital Patent Holdings, Inc. Security procedure and apparatus for handover in a 3gpp long term evolution system
KR100924168B1 (ko) * 2007-08-07 2009-10-28 한국전자통신연구원 주파수 오버레이 기반의 통신 시스템의 인증키 생성 방법및 인증 방식 협상 방법
US20090271626A1 (en) * 2007-09-04 2009-10-29 Industrial Technology Research Institute Methods and devices for establishing security associations in communications systems
CN101217811B (zh) * 2008-01-17 2010-06-02 西安西电捷通无线网络通信有限公司 一种宽带无线多媒体网络广播通信的安全传输方法
US8630415B2 (en) 2008-01-25 2014-01-14 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for authentication service application processes during service reallocation in high availability clusters
US8179860B2 (en) * 2008-02-15 2012-05-15 Alcatel Lucent Systems and method for performing handovers, or key management while performing handovers in a wireless communication system
TWI507059B (zh) * 2008-04-30 2015-11-01 Mediatek Inc 行動台、基地台及流量加密密鑰之產生方法
AU2009251887A1 (en) * 2008-05-28 2009-12-03 Agency For Science, Technology And Research Authentication and key establishment in wireless sensor networks
KR20100047099A (ko) * 2008-10-27 2010-05-07 엘지전자 주식회사 암호화키 생성 및 갱신방법
US20100173610A1 (en) * 2009-01-05 2010-07-08 Qualcomm Incorporated Access stratum security configuration for inter-cell handover
WO2010093200A2 (en) * 2009-02-12 2010-08-19 Lg Electronics Inc. Method and apparatus for traffic count key management and key count management
KR20100097577A (ko) * 2009-02-26 2010-09-03 엘지전자 주식회사 보안성능협상방법 및 tek 관리방법
KR20100109998A (ko) * 2009-04-02 2010-10-12 삼성전자주식회사 무선통신시스템에서 핸드오버 레인징 메시지의 인증 처리 장치 및 방법
US8566593B2 (en) * 2009-07-06 2013-10-22 Intel Corporation Method and apparatus of deriving security key(s)
US20110028150A1 (en) * 2009-08-03 2011-02-03 Mamadou Kone Method of Updating Management Information and Related Communication Device
KR101094094B1 (ko) * 2009-11-20 2011-12-15 아주대학교산학협력단 복수 개의 노드로 구성된 그룹 간의 정보 교환 방법 및 공유키 생성 방법
KR101678814B1 (ko) * 2010-04-12 2016-11-23 삼성전자주식회사 광대역 무선통신 시스템에서 협력적 핸드오버 지원 장치 및 방법
US8792464B2 (en) 2012-02-29 2014-07-29 Harris Corporation Communication network for detecting uncooperative communications device and related methods

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140545A (ja) * 2002-10-17 2004-05-13 Sony Corp 通信端末装置、通信基地局装置、通信中継装置、および方法、並びにコンピュータ・プログラム
JP2008511240A (ja) * 2004-08-25 2008-04-10 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート 無線携帯インターネットシステムでeapを利用する保安関係交渉方法
JP2004343816A (ja) * 2004-09-10 2004-12-02 Matsushita Electric Ind Co Ltd 鍵共有システム
US20080267407A1 (en) * 2007-04-26 2008-10-30 Qualcomm Incorporated Method and Apparatus for New Key Derivation Upon Handoff in Wireless Networks
JP2010525764A (ja) * 2007-04-26 2010-07-22 クゥアルコム・インコーポレイテッド ワイヤレスネットワークにおけるハンドオフ時の新しいキーの導出のための方法および装置
WO2008155764A2 (en) * 2007-06-18 2008-12-24 Duolink Ltd. Wireless network architecture and method for base station utilization

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018012638A (ja) * 2011-10-05 2018-01-25 ソルヴェイ(ソシエテ アノニム) 沈降炭酸カルシウム粒子及びその使用

Also Published As

Publication number Publication date
KR101931601B1 (ko) 2019-03-13
KR20130054911A (ko) 2013-05-27
JP6120865B2 (ja) 2017-04-26
US9380459B2 (en) 2016-06-28
CN104025634B (zh) 2018-08-24
EP2781111A1 (en) 2014-09-24
EP2781111A4 (en) 2015-08-05
WO2013073869A1 (en) 2013-05-23
US20130129091A1 (en) 2013-05-23
CN104025634A (zh) 2014-09-03

Similar Documents

Publication Publication Date Title
JP6120865B2 (ja) 無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法及び装置
JP7207475B2 (ja) 無線通信システム、無線局、無線端末、及びこれらの通信制御方法
US10187370B2 (en) Fast-accessing method and apparatus
CN110945892B (zh) 安全实现方法、相关装置以及系统
JP6292427B2 (ja) ハンドオーバー中の鍵導出に適合した通信システム
EP2663107B1 (en) Key generating method and apparatus
CN102487507B (zh) 一种实现完整性保护的方法及系统
US9654969B2 (en) Method and device for managing security key for communication authentication of subscriber station used in cooperative communication of multiple base station in radio communication system
JP2014531840A (ja) 通信モード切替えの方法および装置
JP2019510432A (ja) 通信方法、ネットワーク側デバイス、およびユーザ端末
EP3457722B1 (en) Radio communication system
CN108810889B (zh) 通信方法、装置及系统
CN106797559B (zh) 一种接入认证方法及装置
WO2016026088A1 (zh) 路径切换方法、移动锚点及基站
CN100558187C (zh) 一种无线接入方法及接入控制器
EP3562185B1 (en) Method and device for joining access node group
CN110167019A (zh) 通信方法及装置
CN101605324B (zh) 算法协商的方法、装置及系统
CN106470389A (zh) 一种通信方法及基站
CN107925874B (zh) 超密集网络安全架构和方法
WO2022094976A1 (zh) 密钥生成方法及装置
WO2024031699A1 (zh) 连接建立方法及设备
CN118647061A (zh) 移动性管理方法及通信装置
CN115334501A (zh) 一种通信的方法、装置及系统
CN117641612A (zh) Pdu会话建立方法、装置及其相关设备

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20141226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151116

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151116

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160720

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160808

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170227

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170328

R150 Certificate of patent or registration of utility model

Ref document number: 6120865

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250