JP2018527819A - アクセス認証の方法および装置 - Google Patents
アクセス認証の方法および装置 Download PDFInfo
- Publication number
- JP2018527819A JP2018527819A JP2018506968A JP2018506968A JP2018527819A JP 2018527819 A JP2018527819 A JP 2018527819A JP 2018506968 A JP2018506968 A JP 2018506968A JP 2018506968 A JP2018506968 A JP 2018506968A JP 2018527819 A JP2018527819 A JP 2018527819A
- Authority
- JP
- Japan
- Prior art keywords
- cellular network
- network access
- access device
- key
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 276
- 230000001413 cellular effect Effects 0.000 claims abstract description 2258
- 238000009795 derivation Methods 0.000 claims description 186
- 238000012545 processing Methods 0.000 claims description 95
- 230000005540 biological transmission Effects 0.000 claims description 74
- 230000011664 signaling Effects 0.000 abstract description 33
- 230000015654 memory Effects 0.000 description 162
- 230000006870 function Effects 0.000 description 94
- 238000005259 measurement Methods 0.000 description 60
- 238000010586 diagram Methods 0.000 description 56
- 230000002776 aggregation Effects 0.000 description 44
- 238000004220 aggregation Methods 0.000 description 44
- 230000008569 process Effects 0.000 description 18
- 238000004590 computer program Methods 0.000 description 14
- 230000004044 response Effects 0.000 description 10
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 8
- 238000004891 communication Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 230000005641 tunneling Effects 0.000 description 8
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 7
- 238000013475 authorization Methods 0.000 description 5
- 239000000523 sample Substances 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000035755 proliferation Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000004984 smart glass Substances 0.000 description 2
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
本発明は、比較的長い認証時間および高いシグナリングオーバーヘッドの従来技術の問題を解決するために、アクセス認証の方法および装置を提供する。方法は、セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップと、セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、ユーザ機器UEに命令するために使用される、ステップとを含む。
Description
関連出願の相互参照
本出願は、参照によりその全体が本明細書に組み込まれる、2015年8月11日に中国特許庁に出願され、「ACCESS AUTHENTICATION METHOD AND APPARATUS」と題する、中国特許出願第PCT/CN2015/086637号の優先権を主張する。
本出願は、参照によりその全体が本明細書に組み込まれる、2015年8月11日に中国特許庁に出願され、「ACCESS AUTHENTICATION METHOD AND APPARATUS」と題する、中国特許出願第PCT/CN2015/086637号の優先権を主張する。
本発明は通信技術の分野に関し、詳細には、アクセス認証の方法および装置に関する。
インテリジェント端末の普及およびモバイルインターネットの発展に起因して、モバイルサービスのデータトラフィックが爆発的に増大している。その結果、第3世代パートナーシッププロジェクト(3rd Generation Partnership Project、略して3GPP)ネットワークが増大するデータトラフィックに対する要件を満たすことがより困難になっている。モバイル事業者は、3GPPネットワークと非3GPPネットワークとの間の連携、たとえば、3GPPネットワークとワイヤレスローカルエリアネットワーク(Wireless Local Area Network、略してWLAN)との間の連携によって、3GPPネットワークのトラフィック圧力を緩和している。
既存のWLANと3GPPネットワークとの間の連携中、3GPPネットワーク内でサービス過負荷が発生すると、WLANのカバレージエリア内のユーザのすべてまたはいくつかのサービスは、WLANにオフロードされる場合がある。WLANと3GPPネットワークとの間の連携が実施されているとき、UEがWLANを使用することによって3GPPと通信するときのセキュリティ問題をさらに考慮する必要がある。したがって、ユーザの利便性のために、WLANと3GPPネットワークとの間の統一認証を実装する必要がある。
現在の解決策は以下の通りである:3GPPプロトコルにおいて規定された認証方式でさらにWLAN認証を実施する。現在、一般的な認証方式は、802.1X拡張認証プロトコル−認証および鍵協約(Extensible Authentication Protocol−Authentication and Key Agreement、略してEAP−AKA)である。EAP−AKA認証方式は、3GPPの認証、認可、および課金(Authentication,Authorization and Accounting、略してAAA)サーバ(Server)の配備を必要とする。ユーザ機器(User Equipment、略してUE)が3GPPネットワークにアクセスし、セキュリティ認証が成功した後、LTE−WLANアグリゲーション(LTE−WLAN Aggregation、略してLWA)データ伝送などのマルチストリームアグリゲーションデータ伝送を実施する必要があるとき、UEがWLANにアクセスしたときにAAAサーバ上でUEに対する識別認証を最初に実施する必要がある。識別認証が成功した後、UEおよびWLAN内のアクセスポイント(Access Point、略してAP)は、AP用にAAAサーバによって決定された鍵を取得する。次いで、UEおよびAPは、取得された鍵に基づいて4方向ハンドシェイク認証を実施する。UEおよびAPは、認証が成功した後のみ、互いに通信することができる。EAP−AKA認証方式では、UEがAPに関連付けられているとき、AAAサーバ上でUEに対する識別認証を最初に実施する必要があり、鍵を交渉する必要があることが、既存の解決策から分かる。次いで、UEおよびAPは、交渉された鍵に基づいて4方向ハンドシェイク認証を実施する。認証プロセス全体において複数回シグナリング対話を実施する必要があり、プロセスは煩雑である。したがって、シグナリングオーバーヘッドが増大し、認証時間は比較的長い。
本発明の実施形態は、比較的長い認証時間および高いシグナリングオーバーヘッドの従来技術の問題を解決するために、アクセス認証の方法および装置を提供する。
第1の態様によれば、本発明の一実施形態は、
セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップと、
セルラーネットワークアクセスデバイスにより、ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに鍵識別子を個別に送信するステップであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、ステップと
を含む、アクセス認証方法を提供する。
セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップと、
セルラーネットワークアクセスデバイスにより、ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに鍵識別子を個別に送信するステップであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、ステップと
を含む、アクセス認証方法を提供する。
第1の態様を参照して、第1の態様の第1の可能な実装形態では、セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定すること
を実施するステップと
を含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信するステップであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定すること
を実施するステップと
を含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信するステップであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含む。
第1の態様を参照して、第1の態様の第2の可能な実装形態では、セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信するステップ
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信するステップ
を含む。
第1の態様、または第1の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第1の態様の第3の可能な実装形態では、方法は、
セルラーネットワークアクセスデバイスにより、鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップ
をさらに含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信するステップ
を含む。
セルラーネットワークアクセスデバイスにより、鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップ
をさらに含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信するステップ
を含む。
第1の態様、または第1の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第1の態様の第4の可能な実装形態では、方法は、
セルラーネットワークアクセスデバイスにより、所定の導出規則に基づいて鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則が、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである、ステップ
をさらに含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信し、UEに鍵識別子を送信するステップ
を含む。
セルラーネットワークアクセスデバイスにより、所定の導出規則に基づいて鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則が、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである、ステップ
をさらに含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信し、UEに鍵識別子を送信するステップ
を含む。
第1の態様の第1から第4の可能な実装形態のうちのいずれか1つを参照して、第1の態様の第5の可能な実装形態では、方法は、
セルラーネットワークアクセスデバイスにより、UEおよび/または非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するステップをさらに含み、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
セルラーネットワークアクセスデバイスにより、UEおよび/または非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するステップをさらに含み、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
第2の態様によれば、本発明の一実施形態は、
ユーザ機器UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、ステップと、
UEにより、鍵識別子に対応する鍵を決定するステップと、
UEにより、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む、アクセス認証方法をさらに提供する。
ユーザ機器UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、ステップと、
UEにより、鍵識別子に対応する鍵を決定するステップと、
UEにより、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む、アクセス認証方法をさらに提供する。
第2の態様を参照して、第2の態様の第1の可能な実装形態では、UEにより、鍵識別子に対応する鍵を決定するステップは、
UEにより、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信するステップ、または
UEにより、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定するステップ、または
UEにより、所定の導出規則に従って、鍵識別子に対応する鍵を決定するステップ
を含む。
UEにより、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信するステップ、または
UEにより、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定するステップ、または
UEにより、所定の導出規則に従って、鍵識別子に対応する鍵を決定するステップ
を含む。
第2の態様または第2の態様の第1の可能な実装形態を参照して、第2の態様の第2の可能な実装形態では、UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップは、
UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するステップであって、鍵識別子リストが、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含み、
UEにより、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップは、
UEにより、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップであって、対象の非セルラーネットワークアクセスデバイスが、UEまたはセルラーネットワークアクセスデバイスによって決定される、実施するステップ
を含む。
UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するステップであって、鍵識別子リストが、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含み、
UEにより、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップは、
UEにより、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップであって、対象の非セルラーネットワークアクセスデバイスが、UEまたはセルラーネットワークアクセスデバイスによって決定される、実施するステップ
を含む。
第3の態様によれば、本発明の一実施形態は、
非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、鍵識別子が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信すると、非セルラーネットワークアクセスデバイスにより、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するステップと
を含む、アクセス認証方法をさらに提供する。
非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、鍵識別子が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信すると、非セルラーネットワークアクセスデバイスにより、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するステップと
を含む、アクセス認証方法をさらに提供する。
第4の態様によれば、本発明の一実施形態は、
鍵識別子を決定するように構成された決定ユニットと、
ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵識別子を個別に送信するように構成された送信ユニットであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、送信ユニットと
を含む、アクセス認証装置をさらに提供する。
鍵識別子を決定するように構成された決定ユニットと、
ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵識別子を個別に送信するように構成された送信ユニットであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、送信ユニットと
を含む、アクセス認証装置をさらに提供する。
第4の態様を参照して、第4の態様の第1の可能な実装形態では、決定ユニットは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施することとを行うように構成され、
送信ユニットは、具体的に、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することを行うように構成される。
送信ユニットは、具体的に、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することを行うように構成される。
第4の態様を参照して、第4の態様の第2の可能な実装形態では、決定ユニットは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することとを行うように構成され、
送信ユニットは、具体的に、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵識別子を個別に送信するように構成される。
送信ユニットは、具体的に、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵識別子を個別に送信するように構成される。
第4の態様、または第4の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第4の態様の第3の可能な実装形態では、決定ユニットは、鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することを行うようにさらに構成され、
送信ユニットは、具体的に、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵および鍵識別子を送信するように構成される。
送信ユニットは、具体的に、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵および鍵識別子を送信するように構成される。
第4の態様、または第4の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第4の態様の第4の可能な実装形態では、決定ユニットは、
所定の導出規則に基づいて鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則が、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである、決定することを行うようにさらに構成され、
送信ユニットは、具体的に、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵および鍵識別子を送信し、UEに鍵識別子を送信するように構成される。
所定の導出規則に基づいて鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則が、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである、決定することを行うようにさらに構成され、
送信ユニットは、具体的に、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵および鍵識別子を送信し、UEに鍵識別子を送信するように構成される。
第4の態様の第1から第4の可能な実装形態のうちのいずれか1つを参照して、第4の態様の第5の可能な実装形態では、送信ユニットは、UEおよび/または非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成され、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成され、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
第5の態様によれば、本発明の一実施形態は、
受信ユニットと、決定ユニットと、認証ユニットと
を含む、アクセス認証装置をさらに提供し、
受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、
決定ユニットは、受信ユニットによって受信された鍵識別子に対応する鍵を決定するように構成され、
認証ユニットは、受信ユニットによって受信された鍵識別子および決定ユニットによって決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成される。
受信ユニットと、決定ユニットと、認証ユニットと
を含む、アクセス認証装置をさらに提供し、
受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、
決定ユニットは、受信ユニットによって受信された鍵識別子に対応する鍵を決定するように構成され、
認証ユニットは、受信ユニットによって受信された鍵識別子および決定ユニットによって決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成される。
第5の態様を参照して、第5の態様の第1の可能な実装形態では、決定ユニットは、具体的に、
受信ユニットが、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信すると、鍵識別子に対応する鍵を決定すること、または、
セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定すること、または、
所定の導出規則に従って、鍵識別子に対応する鍵を決定すること
を行うように構成される。
受信ユニットが、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信すると、鍵識別子に対応する鍵を決定すること、または、
セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定すること、または、
所定の導出規則に従って、鍵識別子に対応する鍵を決定すること
を行うように構成される。
第5の態様または第5の態様の第1の可能な実装形態を参照して、第5の態様の第2の可能な実装形態では、受信ユニットは、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するように構成され、鍵識別子リストは、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含み、
決定ユニットは、対象の非セルラーネットワークアクセスデバイスを決定するようにさらに構成され、
認証ユニットは、具体的に、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、決定ユニットまたはセルラーネットワークアクセスデバイスによって決定される。
決定ユニットは、対象の非セルラーネットワークアクセスデバイスを決定するようにさらに構成され、
認証ユニットは、具体的に、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、決定ユニットまたはセルラーネットワークアクセスデバイスによって決定される。
第6の態様によれば、本発明の一実施形態は、
受信ユニットと、認証ユニットと
を含む、アクセス認証装置をさらに提供し、
受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、アクセス認証装置に関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、
認証ユニットは、認証ユニットが属する非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信ユニットが受信すると、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
受信ユニットと、認証ユニットと
を含む、アクセス認証装置をさらに提供し、
受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、アクセス認証装置に関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、
認証ユニットは、認証ユニットが属する非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信ユニットが受信すると、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
第7の態様によれば、本発明の一実施形態は、
セルラーネットワークアクセスデバイスと、ユーザ機器UEと、少なくとも1つの非セルラーネットワークアクセスデバイスと
を含む、アクセス認証システムをさらに提供し、
セルラーネットワークアクセスデバイスは、鍵識別子を決定することであって、鍵識別子が、鍵識別子に対応する鍵に基づいて少なくとも1つの非セルラーネットワークアクセスデバイスの中の1つの非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、決定することと、UEおよび非セルラーネットワークアクセスデバイスに鍵識別子を個別に送信することとを行い、
UEは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、
非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
セルラーネットワークアクセスデバイスと、ユーザ機器UEと、少なくとも1つの非セルラーネットワークアクセスデバイスと
を含む、アクセス認証システムをさらに提供し、
セルラーネットワークアクセスデバイスは、鍵識別子を決定することであって、鍵識別子が、鍵識別子に対応する鍵に基づいて少なくとも1つの非セルラーネットワークアクセスデバイスの中の1つの非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、決定することと、UEおよび非セルラーネットワークアクセスデバイスに鍵識別子を個別に送信することとを行い、
UEは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、
非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
第7の態様を参照して、第7の態様の第1の可能な実装形態では、システムは、少なくとも1つの非セルラーネットワークアクセスデバイスを管理するように構成された論理機能エンティティをさらに含み、
セルラーネットワークアクセスデバイスは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することと、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施することと、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することとを行うように構成され、
UEは、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するとき、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信することと、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成され、対象の非セルラーネットワークアクセスデバイスは、UEまたはセルラーネットワークアクセスデバイスによって決定される。
セルラーネットワークアクセスデバイスは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することと、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施することと、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することとを行うように構成され、
UEは、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するとき、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信することと、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成され、対象の非セルラーネットワークアクセスデバイスは、UEまたはセルラーネットワークアクセスデバイスによって決定される。
第7の態様を参照して、第7の態様の第2の可能な実装形態では、システムは、少なくとも1つの非セルラーネットワークアクセスデバイスを管理するように構成された論理機能エンティティをさらに含み、
セルラーネットワークアクセスデバイスは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することと、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信することとを行うように構成され、
UEは、具体的に、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、UEまたはセルラーネットワークアクセスデバイスによって決定される。
セルラーネットワークアクセスデバイスは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することと、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信することとを行うように構成され、
UEは、具体的に、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、UEまたはセルラーネットワークアクセスデバイスによって決定される。
第7の態様、または第7の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第7の態様の第3の可能な実装形態では、セルラーネットワークアクセスデバイスは、鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するとき、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信することとを行うようにさらに構成され、
UEは、具体的に、非セルラーネットワークアクセスデバイスによって送信された鍵識別子および鍵識別子に対応する鍵を受信することと、受信された鍵識別子および鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成される。
UEは、具体的に、非セルラーネットワークアクセスデバイスによって送信された鍵識別子および鍵識別子に対応する鍵を受信することと、受信された鍵識別子および鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成される。
第7の態様、または第7の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第7の態様の第4の可能な実装形態では、セルラーネットワークアクセスデバイスは、所定の導出規則に基づいて鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するとき、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信し、UEに鍵識別子を送信することとを行うようにさらに構成され、
非セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信すると、UEは、所定の導出規則に基づいて鍵を決定し、鍵識別子および決定された鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
非セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信すると、UEは、所定の導出規則に基づいて鍵を決定し、鍵識別子および決定された鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
第7の態様、または第7の態様の第1から第4の可能な実装形態のうちのいずれか1つを参照して、第7の態様の第5の可能な実装形態では、セルラーネットワークアクセスデバイスは、UEおよび/または非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成され、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成され、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
本発明のこの実施形態において提供される解決策によれば、セルラーネットワークアクセスデバイスは鍵識別子を決定し、次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を直ちに送信する。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
第8の態様によれば、本発明の一実施形態は、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、セルラーネットワークアクセスデバイスによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、ステップと、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスに決定された鍵を送信するステップと
を含む、アクセス認証方法を提供する。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、セルラーネットワークアクセスデバイスによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、ステップと、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスに決定された鍵を送信するステップと
を含む、アクセス認証方法を提供する。
第8の態様を参照して、第8の態様の第1の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するステップであって、鍵を導出するために使用される導出規則が、あらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである、ステップ
を含む。
セルラーネットワークアクセスデバイスにより、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するステップであって、鍵を導出するために使用される導出規則が、あらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである、ステップ
を含む。
第8の態様を参照して、第8の態様の第2の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するステップ
を含み、
方法は、
セルラーネットワークアクセスデバイスにより、鍵を導出するために使用される導出規則をUEに送信するステップであって、導出規則が、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される、ステップ
をさらに含む。
セルラーネットワークアクセスデバイスにより、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するステップ
を含み、
方法は、
セルラーネットワークアクセスデバイスにより、鍵を導出するために使用される導出規則をUEに送信するステップであって、導出規則が、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される、ステップ
をさらに含む。
第8の態様、または第8の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第8の態様の第3の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定すること
を実施するステップと
を含み、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスに決定された鍵を送信するステップは、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵を送信するステップ
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定すること
を実施するステップと
を含み、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスに決定された鍵を送信するステップは、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵を送信するステップ
を含む。
第8の態様、または第8の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第8の態様の第4の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含む。
第8の態様、または第8の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第8の態様の第5の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが、少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、ステップと、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスグループ用の鍵を決定するステップであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが、少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、ステップと、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスグループ用の鍵を決定するステップであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含む。
第8の態様、または第8の態様の第1から第5の可能な実装形態のうちのいずれか1つを参照して、第8の態様の第6の可能な実装形態では、方法は、
非セルラーネットワークアクセスデバイス用の鍵を決定した後、セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップと、非セルラーネットワークアクセスデバイスに鍵識別子を送信するステップと
をさらに含む。
非セルラーネットワークアクセスデバイス用の鍵を決定した後、セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップと、非セルラーネットワークアクセスデバイスに鍵識別子を送信するステップと
をさらに含む。
第9の態様によれば、本発明の一実施形態はアクセス認証方法を提供し、方法は、
ユーザ機器UEにより、鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと、
UEにより、鍵に対応する鍵識別子を決定するステップと、
UEにより、鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む。
ユーザ機器UEにより、鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと、
UEにより、鍵に対応する鍵識別子を決定するステップと、
UEにより、鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む。
第9の態様を参照して、第9の態様の第1の可能な実装形態では、UEにより、鍵を決定するステップは、
UEにより、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出するステップ
を含み、
導出規則は、セルラーネットワークアクセスデバイスによって送信されるか、または導出規則は、UEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
UEにより、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出するステップ
を含み、
導出規則は、セルラーネットワークアクセスデバイスによって送信されるか、または導出規則は、UEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
第10の態様によれば、本発明の一実施形態はアクセス認証方法を提供し、方法は、
非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵を受信するステップであって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
非セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップと、
非セルラーネットワークアクセスデバイスにより、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するステップと
を含む。
非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵を受信するステップであって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
非セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップと、
非セルラーネットワークアクセスデバイスにより、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するステップと
を含む。
第10の態様を参照して、第10の態様の第1の可能な実装形態では、非セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップは、
非セルラーネットワークアクセスデバイスにより、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップ
を含む。
非セルラーネットワークアクセスデバイスにより、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップ
を含む。
第11の態様によれば、本発明の一実施形態はアクセス認証装置を提供し、装置はセルラーネットワークアクセスデバイスに適用され、
非セルラーネットワークアクセスデバイス用の鍵を決定するように構成された処理ユニットであって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、処理ユニットによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、処理ユニットと、
非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵を送信するように構成されたトランシーバユニットと
を含む。
非セルラーネットワークアクセスデバイス用の鍵を決定するように構成された処理ユニットであって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、処理ユニットによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、処理ユニットと、
非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵を送信するように構成されたトランシーバユニットと
を含む。
第11の態様を参照して、第11の態様の第1の可能な実装形態では、処理ユニットは、具体的に、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するように構成され、鍵を導出するために使用される導出規則は、あらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである。
第11の態様を参照して、第11の態様の第2の可能な実装形態では、処理ユニットは、具体的に、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するように構成され、
トランシーバユニットは、鍵を導出するために使用される導出規則をUEに送信するようにさらに構成され、導出規則は、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために、UEによって使用される。
トランシーバユニットは、鍵を導出するために使用される導出規則をUEに送信するようにさらに構成され、導出規則は、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために、UEによって使用される。
第11の態様、または第11の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第11の態様の第3の可能な実装形態では、処理ユニットは、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定することを実施することと
を行うように構成され、
非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵を送信するとき、トランシーバユニットは、具体的に、
各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、処理ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵を送信すること
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定することを実施することと
を行うように構成され、
非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵を送信するとき、トランシーバユニットは、具体的に、
各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、処理ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵を送信すること
を行うように構成される。
第11の態様、または第11の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第11の態様の第4の可能な実装形態では、処理ユニットは、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
第11の態様、または第11の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第11の態様の第5の可能な実装形態では、処理ユニットは、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、決定することと、
各非セルラーネットワークアクセスデバイスグループ用の鍵を決定することであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、決定することと、
各非セルラーネットワークアクセスデバイスグループ用の鍵を決定することであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
第11の態様、または第11の態様の第1から第5の可能な実装形態のうちのいずれか1つを参照して、第11の態様の第6の可能な実装形態では、処理ユニットは、
非セルラーネットワークアクセスデバイス用の鍵を決定した後、鍵に対応する鍵識別子を決定するようにさらに構成され、
トランシーバユニットは、非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵識別子を送信するようにさらに構成される。
非セルラーネットワークアクセスデバイス用の鍵を決定した後、鍵に対応する鍵識別子を決定するようにさらに構成され、
トランシーバユニットは、非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵識別子を送信するようにさらに構成される。
第12の態様によれば、本発明の一実施形態はアクセス認証装置を提供し、装置はユーザ機器UEに適用され、
鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することとを行うように構成された決定ユニットと、
鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成された認証ユニットと
を含む。
鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することとを行うように構成された決定ユニットと、
鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成された認証ユニットと
を含む。
第12の態様を参照して、第12の態様の第1の可能な実装形態では、鍵を決定するとき、決定ユニットは、具体的に、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出するように構成され、
導出規則は、セルラーネットワークアクセスデバイスによって送信されるか、または導出規則は、UEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
導出規則は、セルラーネットワークアクセスデバイスによって送信されるか、または導出規則は、UEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
第13の態様によれば、本発明の一実施形態はアクセス認証装置を提供し、装置は非セルラーネットワークアクセスデバイスに適用され、
セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成されたトランシーバユニットであって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、トランシーバユニットと、
鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成された処理ユニットと
を含む。
セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成されたトランシーバユニットであって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、トランシーバユニットと、
鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成された処理ユニットと
を含む。
第13の態様を参照して、第13の態様の第1の可能な実装形態では、トランシーバユニットは、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するようにさらに構成される。
本発明の目的、技術的解決策、および利点をより明確にするために、以下で、添付の図面を参照して、本発明を詳細にさらに記載する。明らかに、記載される実施形態は、本発明の実施形態のすべてではなく、いくつかにすぎない。創造的な努力なしに、本発明の実施形態に基づいて当業者によって取得されるすべての他の実施形態は、本発明の保護範囲内に入るべきである。
本発明の実施形態は、比較的長い認証時間および高いシグナリングオーバーヘッドの従来技術の問題を解決するために、アクセス認証の方法および装置を提供する。方法および装置の問題解決原理は同じなので、方法実施形態および装置実施形態に相互参照が行われる場合があり、繰り返される説明は提供されない。
最初に、当業者が理解しやすいように、本明細書において提供されるいくつかの用語が説明される。
(1)「セルラーネットワーク」および「セルラーネットワークアクセスデバイス」
「セルラーネットワーク」には、限定はしないが、以下のシステム:ロングタームエボリューション(Long Term Evolution、略してLTE)システム、またはモバイル通信用グローバルシステム(Global System for Mobile communications、略してGSM(登録商標))、符号分割多元接続(Code Division Multiple Access、略してCDMA)システム、時分割多元接続(Time Division Multiple Access、略してTDMA)システム、高帯域符号分割多元接続(Wideband Code Division Multiple Access Wireless、略してWCDMA(登録商標))システム、周波数分割多元接続(Frequency Division Multiple Addressing、略してFDMA)システム、直交周波数分割多元接続(Orthogonal Frequency−Division Multiple Access、略してOFDMA)システム、単一キャリアFDMA(SC−FDMA)システム、汎用パケット無線サービス(General Packet Radio Service、略してGPRS)システム、または3GPPプロトコルに関係するユニバーサルモバイルテレコミュニケーションシステム(Universal Mobile Telecommunications System、略してUMTS)のうちのいずれか1つにおけるセルラーネットワークが含まれる場合がある。
「セルラーネットワーク」には、限定はしないが、以下のシステム:ロングタームエボリューション(Long Term Evolution、略してLTE)システム、またはモバイル通信用グローバルシステム(Global System for Mobile communications、略してGSM(登録商標))、符号分割多元接続(Code Division Multiple Access、略してCDMA)システム、時分割多元接続(Time Division Multiple Access、略してTDMA)システム、高帯域符号分割多元接続(Wideband Code Division Multiple Access Wireless、略してWCDMA(登録商標))システム、周波数分割多元接続(Frequency Division Multiple Addressing、略してFDMA)システム、直交周波数分割多元接続(Orthogonal Frequency−Division Multiple Access、略してOFDMA)システム、単一キャリアFDMA(SC−FDMA)システム、汎用パケット無線サービス(General Packet Radio Service、略してGPRS)システム、または3GPPプロトコルに関係するユニバーサルモバイルテレコミュニケーションシステム(Universal Mobile Telecommunications System、略してUMTS)のうちのいずれか1つにおけるセルラーネットワークが含まれる場合がある。
「セルラーネットワークアクセスデバイス」は、LTEシステムにおけるeNBなどの基地局デバイス、GSM(登録商標)もしくはCDMAシステムにおけるBTS(Base Transceiver Station、トランシーバ基地局)、またはWCDMA(登録商標)システムにおけるノードB(NodeB)であり得るか、あるいは、LTEシステムにおけるSRC(Single RAN Coordinator、単一RANコーディネータ)、またはUMTSにおけるRNC(Radio Network Controller、無線ネットワークコントローラ)などの制御ノードであり得る。
(2)「非セルラーネットワーク」および「非セルラーネットワークアクセスデバイス」
「非セルラーネットワーク」には、限定はしないが、以下のWLANまたはマイクロ波接続用世界規模相互運用(Worldwide Interoperability for Microwave Access、略してWIMAX)ネットワークが含まれる場合がある。
「非セルラーネットワーク」には、限定はしないが、以下のWLANまたはマイクロ波接続用世界規模相互運用(Worldwide Interoperability for Microwave Access、略してWIMAX)ネットワークが含まれる場合がある。
「非セルラーネットワークアクセスデバイス」は、WLANにおけるアクセスポイント(Access Point、略してAP)もしくはアクセスコントローラ(Access Controller、略してAC)であり得るか、またはWIMAXネットワークにおける基地局(Base Station、略してBS)であり得る。
本発明の実施形態では、非セルラーネットワークがWLANであるとき、「非セルラーネットワークアクセスデバイス」は、具体的に、自律型管理アーキテクチャ(すなわち、「ファット」APアーキテクチャ)、または集中型管理アーキテクチャ(すなわち、「シン」「フィット」APアーキテクチャ)を有する場合がある。
自律型管理アーキテクチャでは、WLAN APは、ユーザ機器のアクセス、ユーザ機器の切断、権限認証、セキュリティポリシー実装、データ転送、データ暗号化、およびネットワーク管理などのタスクに関与し、WLAN APの構成およびワイヤレス機能を自律的に制御する。集中型管理アーキテクチャは、「シン」「フィット」APアーキテクチャとも呼ばれ、管理許可は、一般に、アクセスコントローラ(Access Controller、略してAC)に集中される。ACは、ユーザ機器のIPアドレス、認証、暗号化などを管理する。WLAN APは、暗号化、データ転送、および無線周波機能などの機能のみを有し、独立して動作することができない。ワイヤレスアクセスポイントの制御およびプロビジョニング(Control And Provisioning of Wireless Access Points、略してCAPWAP)プロトコルは、WLAN APとACとの間で使用される。場合によっては、WLAN APおよび基地局は、一体となって配備される場合がある。理解および説明を容易にするために、以下では、自律型管理アーキテクチャ、すなわち、「ファット」APアーキテクチャを例として使用する。このことは本発明では限定されない。
(3)論理機能エンティティ
一般に、セルラーネットワークアクセスデバイスおよび非セルラーネットワークアクセスデバイスは、直接互いに通信することはできないが、論理機能エンティティを使用することによって互いに通信する。具体的には、論理機能エンティティは、セルラーネットワーク内のデバイスであり得るか、または非セルラーネットワーク内のデバイスであり得る。
一般に、セルラーネットワークアクセスデバイスおよび非セルラーネットワークアクセスデバイスは、直接互いに通信することはできないが、論理機能エンティティを使用することによって互いに通信する。具体的には、論理機能エンティティは、セルラーネットワーク内のデバイスであり得るか、または非セルラーネットワーク内のデバイスであり得る。
場合によっては、非セルラーネットワークがWLANであるとき、論理機能エンティティは、WLAN内のデバイスであり得るし、具体的には、WLAN終端(WLAN Termination、略してWT)であり得る。WLANでは、WTおよびAPが一緒に配置される場合があるか、またはWTおよびACが一緒に配置される場合があるか、またはWTはAPおよびACから独立している場合がある。
(4)eNB、WT、AP、およびUEの間の対応関係(または接続関係と呼ばれる)
1つのeNBは1つ以上のWTに接続される場合があり、すなわち、1つのeNBは1つ以上のWTをサポートすることができる。1つのWTは1つ以上のAPグループ(AP Group)をサポートすることができる。1つのAP Groupは1つ以上のAPを含む。一般に、1つのWTは1つのeNBに接続される。特に、複数のeNBの共通カバレージエリア内に位置するWTは、複数のeNBに接続される場合がある。1つのAPは1つ以上のUEに接続される場合がある。
1つのeNBは1つ以上のWTに接続される場合があり、すなわち、1つのeNBは1つ以上のWTをサポートすることができる。1つのWTは1つ以上のAPグループ(AP Group)をサポートすることができる。1つのAP Groupは1つ以上のAPを含む。一般に、1つのWTは1つのeNBに接続される。特に、複数のeNBの共通カバレージエリア内に位置するWTは、複数のeNBに接続される場合がある。1つのAPは1つ以上のUEに接続される場合がある。
一般に、eNBはWTと直接通信し、UEは非セルラーネットワーク内のAPと直接通信する。
(5)マルチストリームアグリゲーション
本明細書に記載される「マルチストリームアグリゲーション」は、セルラーネットワークアクセスデバイスとUEとの間の通信用のいくつかのデータ、すなわち、マルチストリームアグリゲーションを実施するためのデータが、非セルラーネットワークアクセスデバイスを使用することによって伝送され、セルラーネットワークアクセスデバイスとUEとの間の通信用の他のデータ、すなわち、マルチストリームアグリゲーションを実施することに使用されないデータが、セルラーネットワークアクセスデバイスとUEとの間で直接伝送されることを意味する。セルラーネットワークアクセスデバイスおよび非セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することによって互いに通信する。
本明細書に記載される「マルチストリームアグリゲーション」は、セルラーネットワークアクセスデバイスとUEとの間の通信用のいくつかのデータ、すなわち、マルチストリームアグリゲーションを実施するためのデータが、非セルラーネットワークアクセスデバイスを使用することによって伝送され、セルラーネットワークアクセスデバイスとUEとの間の通信用の他のデータ、すなわち、マルチストリームアグリゲーションを実施することに使用されないデータが、セルラーネットワークアクセスデバイスとUEとの間で直接伝送されることを意味する。セルラーネットワークアクセスデバイスおよび非セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することによって互いに通信する。
「マルチストリームアグリゲーション」は、ダウンリンクマルチストリームアグリゲーションおよびアップリンクマルチストリームアグリゲーションを含む。セルラーネットワークはダウンリンクマルチストリームアグリゲーションのみをサポートすることができるか、または、セルラーネットワークはアップリンクマルチストリームアグリゲーションのみをサポートすることができるか、または、セルラーネットワークはダウンリンクマルチストリームアグリゲーションとアップリンクマルチストリームアグリゲーションの両方をサポートすることができる。
(6)UE
本発明におけるUEには、ハンドヘルドデバイス、車載デバイス、ウェアラブルデバイス、ワイヤレス通信機能を有するコンピューティングデバイス、もしくはワイヤレスモデムに接続された別の処理デバイス、または様々な形態のユーザ機器が含まれる場合がある。ユーザ機器には、限定はしないが、ステーション(Station、略してSTA)、移動局(Mobile Station、略してMS)、加入者ユニット(Subscriber Unit)、パーソナルコンピュータ(Personal Computer、略してPC)、ラップトップコンピュータ(Laptop Computer、略してLC)、タブレットコンピュータ(Tablet Computer、略してTC)、ネットブック(Netbook)、端末(Terminal)、携帯情報端末(Personal Digital Assistant、略してPDA)、モバイルWiFiホットスポットデバイス(MiFi Devices)、スマートウォッチ、スマートグラスなどが含まれる。UEは、ネットワーク全体に分散される場合がある。説明を容易にするために、本出願では、これらのデバイスはユーザ機器またはUEと呼ばれる。
本発明におけるUEには、ハンドヘルドデバイス、車載デバイス、ウェアラブルデバイス、ワイヤレス通信機能を有するコンピューティングデバイス、もしくはワイヤレスモデムに接続された別の処理デバイス、または様々な形態のユーザ機器が含まれる場合がある。ユーザ機器には、限定はしないが、ステーション(Station、略してSTA)、移動局(Mobile Station、略してMS)、加入者ユニット(Subscriber Unit)、パーソナルコンピュータ(Personal Computer、略してPC)、ラップトップコンピュータ(Laptop Computer、略してLC)、タブレットコンピュータ(Tablet Computer、略してTC)、ネットブック(Netbook)、端末(Terminal)、携帯情報端末(Personal Digital Assistant、略してPDA)、モバイルWiFiホットスポットデバイス(MiFi Devices)、スマートウォッチ、スマートグラスなどが含まれる。UEは、ネットワーク全体に分散される場合がある。説明を容易にするために、本出願では、これらのデバイスはユーザ機器またはUEと呼ばれる。
(7)本明細書内の「および/または」という用語は、関連するオブジェクトを記述するための関連付け関係のみを記載し、3つの関係が存在する場合があることを示す。たとえば、Aおよび/またはBは、以下の3つのケースを表すことができる:Aのみが存在する、AとBの両方が存在する、およびBのみが存在する。加えて、本明細書内の文字「/」は、一般に、関連するオブジェクト間の「または」関係を表す。
本発明の一実施形態はアクセス認証方法を提供する。図1に示されたように、方法は以下のステップを含む。
ステップ101:セルラーネットワークアクセスデバイスが鍵識別子を決定する。
鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
セルラーネットワークアクセスデバイスは、UEのために、論理機能エンティティによって管理されるすべての非セルラーネットワークアクセスデバイス用に同じ鍵識別子を決定することができるか、または、UEのために、論理機能エンティティ内の各非セルラーネットワークアクセスデバイスグループ内のすべての非セルラーネットワークアクセスデバイス用に同じ鍵識別子を決定することができるか、または、UEのために、論理機能エンティティ内のすべての非セルラーネットワークアクセスデバイスグループ内のすべての非セルラーネットワークアクセスデバイス用に異なる鍵識別子を決定することができる。
鍵識別子は、ハッシュ(HASH)アルゴリズムを使用することにより、UEの識別情報および非セルラーネットワークアクセスデバイスの識別子に基づいて、セルラーネットワークアクセスデバイスによって決定される場合がある。代替として、鍵識別子は、UEの識別情報のみに基づいて決定される場合がある。当然、鍵識別子は、別のアルゴリズムを使用することによって決定される場合があり、鍵識別子を決定するためのアルゴリズムは、本発明のこの実施形態では具体的に限定されない。
ステップ102:セルラーネットワークアクセスデバイスがUEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信し、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
本発明のこの実施形態において提供される解決策によれば、セルラーネットワークアクセスデバイスは鍵識別子を決定し、次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を直ちに送信する。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
場合によっては、セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することにより、非セルラーネットワークアクセスデバイスに鍵識別子を送信する。具体的には、論理機能エンティティおよび非セルラーネットワークアクセスデバイスは、専用インターフェースを使用することによって互いに通信する。このことは本発明では限定されない。
場合によっては、UEに鍵識別子を送信するとき、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスの識別子を鍵識別子と関連付け、非セルラーネットワークアクセスデバイスの識別子および鍵識別子を送信する。具体的には、非セルラーネットワークアクセスデバイスの識別子および鍵識別子は、表の形態で送信される場合がある。代替として、非セルラーネットワークアクセスデバイスの識別子および鍵識別子は、個別に送信される場合がある。たとえば、すべての非セルラーネットワークアクセスデバイス用に決定された鍵識別子が同じ場合、1つの鍵識別子のみがUEに送信される必要がある。
セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに鍵識別子を送信する。UEが非セルラーネットワークアクセスデバイスと関連付けられているとき、非セルラーネットワークアクセスデバイスは、UEによって送信された関連付け要求内で搬送された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであるかどうかを判定するだけでよい。鍵識別子が同じであるとき、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによって4方向ハンドシェイク認証を実施する。
非セルラーネットワークアクセスデバイスの識別子は、非セルラーネットワークアクセスデバイスのサービスセット識別子(Service Set Identifier、略してSSID)、または拡張サービスセット識別子(Extended service set Identifier、略してESSID)、または基本サービスセット識別子(Basic Service Set Identifier、略してBSSID)であり得る。非セルラーネットワークアクセスデバイスのBSSIDは、非セルラーネットワークアクセスデバイスの媒体アクセス制御(Medium Access Control、略してMAC)アドレスでもある。UEの識別情報はUEのWLAN MACアドレスであり得る。
具体的には、セルラーネットワークアクセスデバイスがUEに鍵識別子を送信するとき、鍵識別子は、単独で送信される場合があるか、または送信用の相互マスタ鍵セキュリティ関連付け(Pairwise Master Key Security Association、略してPMKSA)情報に含まれる場合があるか、または送信用のLWAコマンドメッセージに含まれる場合がある。代替として、鍵識別子は、送信用に別に新しく定義されたメッセージに含まれる場合があり、そのメッセージはLWAを実施するようにUEに命令するために使用される。
セルラーネットワークアクセスデバイスが非セルラーネットワークアクセスデバイスに鍵識別子を送信するとき、鍵識別子は単独で送信される場合がある。論理機能エンティティおよび非セルラーネットワークアクセスデバイスが同じノードであるとき、鍵識別子は、送信用に、セルラーネットワークアクセスデバイスによって論理機能エンティティに送信されるGPRSトンネリングプロトコル−ユーザプレーン(User plane of GPRS Tunneling Protocol、略してGTP−U)トンネルセットアップメッセージに含まれる場合があるか、または送信用に別に新しく定義されたメッセージに含まれる場合がある。論理機能エンティティおよび非セルラーネットワークアクセスデバイスが同じノードでないとき、セルラーネットワークアクセスデバイスは、GTP−Uトンネルセットアップメッセージに鍵識別子を追加し、論理機能エンティティにGTP−Uトンネルセットアップメッセージを送信する。次いで、論理機能エンティティは、非セルラーネットワークアクセスデバイスにGTP−Uトンネルセットアップメッセージを送信する。
場合によっては、セルラーネットワークアクセスデバイスは、UEおよび/または非セルラーネットワークアクセスデバイスに、以下の
寿命または認証方式指示情報
のうちの少なくとも1つをさらに送信することができる。
寿命または認証方式指示情報
のうちの少なくとも1つをさらに送信することができる。
寿命は鍵識別子および鍵識別子に対応する鍵の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプ(authentication type)を示すために使用される。認証タイプは、認証および鍵管理プロトコル(Authentication and Key Management Protocol、略してAKMP)において指定された認証タイプ、たとえば、802.1X EAP−AKA方式であり得る。
具体的には、前述の情報のうちの少なくとも1つは、送信用にPMSKAに含まれる場合がある。代替として、鍵識別子および前述の情報のうちの少なくとも1つは、送信用に同じメッセージに含まれる場合がある。
場合によっては、鍵識別子に対応する鍵は、限定はしないが、以下の方式を含む方式で決定される場合がある。
第1の実装形態:
鍵識別子に対応する鍵は、セルラーネットワークアクセスデバイスによって決定される場合がある。鍵を決定した後、セルラーネットワークアクセスデバイスは、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信する。したがって、鍵および鍵識別子は、送信用にPMSKAに含まれる場合があるか、または送信用に同じメッセージに含まれる場合がある。具体的なメッセージについては、前述の説明を参照されたく、本発明のこの実施形態において、詳細は再び本明細書に記載されない。
鍵識別子に対応する鍵は、セルラーネットワークアクセスデバイスによって決定される場合がある。鍵を決定した後、セルラーネットワークアクセスデバイスは、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信する。したがって、鍵および鍵識別子は、送信用にPMSKAに含まれる場合があるか、または送信用に同じメッセージに含まれる場合がある。具体的なメッセージについては、前述の説明を参照されたく、本発明のこの実施形態において、詳細は再び本明細書に記載されない。
セルラーネットワークアクセスデバイスによって決定された鍵は、UEおよびセルラーネットワークアクセスデバイスによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出された鍵であり得る。
鍵識別子は、UEの識別情報および非セルラーネットワークアクセスデバイスの識別子に基づいて、セルラーネットワークアクセスデバイスによって決定される場合があるか、または、UEの識別情報のみに基づいて決定される場合があるか、または、鍵、UEの識別情報、および非セルラーネットワークアクセスデバイスの識別子を使用することによって決定される場合があるか、または、鍵およびUEの識別情報を使用することによって決定される場合がある。
たとえば、PMKID=HMAC−SHA1−128(PMK,”PMK_name”|MAC_AP|MAC_UE)である。
PMKIDは鍵識別子を表し、PMKは鍵を表し、PMK_nameは鍵の名称を表し、MAC_UEはUEの識別情報、すなわち、UEのWLAN MACアドレスを表す。MAC_APは非セルラーネットワークアクセスデバイスの識別子、すなわち、非セルラーネットワークアクセスデバイスのMACアドレスを表す。HMACは、鍵に関するハッシュベースメッセージ認証コード(Hash−based Message Authentication Code)である。SHA1はセキュアハッシュアルゴリズム(Secure Hash Algorithm)である。
第2の実装形態:
鍵識別子に対応する鍵は、所定の導出規則に基づいてセルラーネットワークアクセスデバイスおよびUEによって決定され、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵であり得る。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。所定の導出規則は、交渉により、UEおよびセルラーネットワークアクセスデバイスによってあらかじめ決定される場合がある。
鍵識別子に対応する鍵は、所定の導出規則に基づいてセルラーネットワークアクセスデバイスおよびUEによって決定され、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵であり得る。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。所定の導出規則は、交渉により、UEおよびセルラーネットワークアクセスデバイスによってあらかじめ決定される場合がある。
具体的には、セルラーネットワークアクセスデバイスは、所定の導出規則に基づいて、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定し、次いで、鍵に対応する鍵識別子を決定する。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに鍵識別子および鍵を送信し、UEに鍵識別子を送信する。非セルラーネットワークアクセスデバイスと関連付けられる前に、UEは最初に、所定の導出規則に従って、鍵識別子に対応する鍵を決定する。
UEは、関連付け要求に鍵識別子を追加し、非セルラーネットワークアクセスデバイスに関連付け要求を送信する。次いで、UEによって送信された受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであると非セルラーネットワークアクセスデバイスが判断した場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク手順を実行する。4方向ハンドシェイク認証が成功した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを使用することにより、UEとマルチストリームアグリゲーションデータ伝送を実施することができる。
第3の実装形態:
セルラーネットワークアクセスデバイスは、UEおよびセルラーネットワークアクセスデバイスによって共有される鍵を使用することにより、導出規則に基づいて鍵識別子を導出する。次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに導出規則を送信し、非セルラーネットワークアクセスデバイスに、セルラーネットワークアクセスデバイスおよびUEによって共有される鍵を送信する。鍵識別子を受信した後、UEおよび非セルラーネットワークアクセスデバイスは、共有された鍵に従って同じ導出規則に基づいて、鍵識別子に対応する鍵を導出する。したがって、導出された鍵は同じである。
セルラーネットワークアクセスデバイスは、UEおよびセルラーネットワークアクセスデバイスによって共有される鍵を使用することにより、導出規則に基づいて鍵識別子を導出する。次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに導出規則を送信し、非セルラーネットワークアクセスデバイスに、セルラーネットワークアクセスデバイスおよびUEによって共有される鍵を送信する。鍵識別子を受信した後、UEおよび非セルラーネットワークアクセスデバイスは、共有された鍵に従って同じ導出規則に基づいて、鍵識別子に対応する鍵を導出する。したがって、導出された鍵は同じである。
次いで、UEは、関連付け要求に鍵識別子を追加し、非セルラーネットワークアクセスデバイスに関連付け要求を送信する。次いで、UEによって送信された受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであると非セルラーネットワークアクセスデバイスが判断した場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク手順を実行する。4方向ハンドシェイク認証が成功した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを使用することにより、UEとマルチストリームアグリゲーションデータ伝送を実施することができる。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティは同じノードである。非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードであることは、非セルラーネットワークアクセスデバイスおよび論理機能エンティティの機能が1つのデバイスを使用することによって実装されることであり得るか。または論理機能エンティティが非セルラーネットワークアクセスデバイス内に構築されることであり得る。論理機能エンティティが非セルラーネットワークアクセスデバイス内に構築される場合、論理機能エンティティと非セルラーネットワークアクセスデバイスとの間の内部インターフェースが存在し、論理機能エンティティおよび非セルラーネットワークアクセスデバイスは、内部インターフェースを使用することによって情報を交換する。
セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵識別子を決定することができる。
セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。測定報告は、UEが位置するWLANの信号品質を含む。セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
具体的には、セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。
セルラーネットワークアクセスデバイスは、UEのために選択された非セルラーネットワークアクセスデバイスに対応する鍵識別子を決定する。鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
鍵識別子に対応する鍵を決定する方式については、第1から第3の実装形態のうちのいずれか1つを参照されたく、本発明のこの実施形態において、詳細は再び本明細書に記載されない。
次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに、UEのために選択された非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信する。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵識別子を決定することができる。
セルラーネットワークアクセスデバイスは、UEと関連付けられるべき非セルラーネットワークアクセスデバイスが属する論理機能エンティティを決定する。セルラーネットワークアクセスデバイスは、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスを決定する。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスに対応する鍵識別子を決定することを実施する。鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
UEと関連付けられるべき非セルラーネットワークアクセスデバイスは、UEのためにセルラーネットワークアクセスデバイスによって選択される。関連付けられるべき非セルラーネットワークアクセスデバイスは、論理機能エンティティを決定するために選択され、その結果、論理機能エンティティによって管理されるすべての非セルラーネットワークアクセスデバイスを決定することができる。具体的な選択方式は以下の通りであり得る:セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。たとえば、セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
次いで、セルラーネットワークアクセスデバイスは、以下の方式で、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信する。
セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信する。鍵識別子リストは、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む。
したがって、UEが非セルラーネットワークアクセスデバイスと関連付けられているとき、非セルラーネットワークアクセスデバイスが選択され、選択された非セルラーネットワークアクセスデバイスの識別子が鍵識別子リスト内の非セルラーネットワークアクセスデバイスの識別子と同じであるかどうかが判定される。識別子が同じである場合、その非セルラーネットワークアクセスデバイスが対象の非セルラーネットワークアクセスデバイスとして使用される。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵識別子を決定することができる。
セルラーネットワークアクセスデバイスは、UEと関連付けられるべき非セルラーネットワークアクセスデバイスを決定し、非セルラーネットワークアクセスデバイスに対応する鍵識別子を決定する。鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
UEと関連付けられるべき非セルラーネットワークアクセスデバイスは、UEのためにセルラーネットワークアクセスデバイスによって選択される。具体的な選択方式は以下の通りであり得る:セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。たとえば、セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
次いで、セルラーネットワークアクセスデバイスは、以下の方式で、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信する。
セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスが属する論理機能エンティティを決定する。次いで、セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することにより、非セルラーネットワークアクセスデバイスに、非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに、非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信する。
したがって、非セルラーネットワークアクセスデバイスと関連付けられるとき、UEは、セルラーネットワークアクセスデバイスによって示された非セルラーネットワークアクセスデバイスと関連付けられる。セルラーネットワークアクセスデバイスによって示された非セルラーネットワークアクセスデバイスは、前述の鍵識別子に対応する非セルラーネットワークアクセスデバイスである。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵識別子を決定することができる。
セルラーネットワークアクセスデバイスは、UEと関連付けられるべき非セルラーネットワークアクセスデバイスが属する論理機能エンティティを決定する。論理機能エンティティは、関連付けられるべき非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する。
セルラーネットワークアクセスデバイスは、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定する。少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子は同じであり、鍵識別子は、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
セルラーネットワークアクセスデバイスがUEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信することは、
論理機能エンティティを使用することによってセルラーネットワークアクセスデバイスにより、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信するステップ
を含む。
論理機能エンティティを使用することによってセルラーネットワークアクセスデバイスにより、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信するステップ
を含む。
本発明の一実施形態はアクセス認証方法をさらに提供する。図2に示されたように、方法は以下のステップを含む。
ステップ201:UEがセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。
鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
ステップ202:UEが鍵識別子に対応する鍵を決定する。
ステップ203:UEが、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
場合によっては、UEは、限定はしないが、以下の方式を含む方式で鍵識別子に対応する鍵を決定することができる。
第1の実装形態:
UEは、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信する。
UEは、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信する。
具体的には、セルラーネットワークアクセスデバイスが鍵識別子を送信すると同時に、セルラーネットワークアクセスデバイスは鍵識別子に対応する鍵を送信する。当然、鍵および鍵識別子は個別に送信される場合がある。このことは本発明のこの実施形態では具体的に限定されない。
第2の実装形態:
UEは、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定する。
UEは、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定する。
具体的には、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するとき、UEは、セルラーネットワークアクセスデバイスと交渉して、鍵識別子に対応する鍵を決定する方式を取得することができる。次いで、UEは、決定方式に基づいて鍵識別子に対応する鍵を決定する。代替として、UEは、鍵識別子に対応する鍵を決定するための導出規則を取得する。次いで、UEは、導出規則に基づいて鍵識別子に対応する鍵を決定する。
第3の実装形態:
UEは、所定の導出規則に従って、鍵識別子に対応する鍵を決定する。
UEは、所定の導出規則に従って、鍵識別子に対応する鍵を決定する。
所定の導出規則は、前もってセルラーネットワークアクセスデバイスによって送信される場合がある。代替として、UEは、前もってセルラーネットワークアクセスデバイスと交渉して導出規則を取得し、次いで、UEは導出規則を記憶する。所定の導出規則は、UEのために鍵識別子に対応する鍵を決定するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。所定の導出規則に従って鍵を導出した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに取得された鍵を送信する。
したがって、UEが、非セルラーネットワークアクセスデバイスに、鍵識別子を搬送する関連付け要求を送信すると、非セルラーネットワークアクセスデバイスは、受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであるかどうかを判定する。鍵識別子が同じである場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク認証を実施する。
場合によっては、UEが、セルラーネットワークアクセスデバイスによって送信され、非セルラーネットワークアクセスデバイスと関連付けるためにUEによって使用される鍵識別子を受信することは、
UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するステップあって、鍵識別子リストが、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含む。
UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するステップあって、鍵識別子リストが、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含む。
各非セルラーネットワークアクセスデバイスの識別子は、非セルラーネットワークアクセスデバイスグループ内にあり、セルラーネットワークアクセスデバイスによって示された非セルラーネットワークアクセスデバイスの識別子である。
UEが、受信された鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することは、
UEにより、鍵識別子リストが対象の非セルラーネットワークアクセスデバイスの識別子を含むと判断するステップと、
UEにより、対象の非セルラーネットワークアクセスデバイスの識別子であり、鍵識別子リスト内にある識別子に対応する鍵識別子、および鍵識別子に対応する鍵に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む。
UEにより、鍵識別子リストが対象の非セルラーネットワークアクセスデバイスの識別子を含むと判断するステップと、
UEにより、対象の非セルラーネットワークアクセスデバイスの識別子であり、鍵識別子リスト内にある識別子に対応する鍵識別子、および鍵識別子に対応する鍵に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む。
場合によっては、UEは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、複数の非セルラーネットワークアクセスデバイスの識別子に対応する。各非セルラーネットワークアクセスデバイスの識別子は、非セルラーネットワークアクセスデバイスグループ内にあり、セルラーネットワークアクセスデバイスによって示された非セルラーネットワークアクセスデバイスの識別子である。
UEは、複数の非セルラーネットワークアクセスデバイスの識別子が対象の非セルラーネットワークアクセスデバイスの識別子を含むと判断する。
UEは、対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子、および鍵識別子に対応する鍵に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
場合によっては、UEは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、1つの非セルラーネットワークアクセスデバイスの識別子に対応する。UEは、その非セルラーネットワークアクセスデバイスが対象の非セルラーネットワークアクセスデバイスであると判断する。
UEは、対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子、および鍵識別子に対応する鍵に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
本発明のこの実施形態において提供される解決策によれば、UEはセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。次いで、UEは鍵識別子に対応する鍵を決定する。UEは、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
本発明の一実施形態はアクセス認証方法をさらに提供する。図3に示されたように、方法は以下のステップを含む。
ステップ301:非セルラーネットワークアクセスデバイスがセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたUEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される。
ステップ302:非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信すると、非セルラーネットワークアクセスデバイスが、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施する。
具体的には、UEは、関連付け要求に鍵識別子を追加し、非セルラーネットワークアクセスデバイスに関連付け要求を送信する。次いで、UEによって送信された受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであると非セルラーネットワークアクセスデバイスが判断した場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク手順を実行する。4方向ハンドシェイク認証が成功した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを使用することにより、UEとマルチストリームアグリゲーションデータ伝送を実施することができる。
本発明のこの実施形態において提供される解決策によれば、非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、ユーザ機器UEに命令するために使用される。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
以下で、インスタンスを参照して本発明の実施形態を具体的に記載する。以下のインスタンスでは、セルラーネットワークがLTEネットワークであり、セルラーネットワークアクセスデバイスがeNBであり、非セルラーネットワークがWLANであり、非セルラーネットワークアクセスデバイスがAPであり、論理機能エンティティがWTである例が説明に使用される。
図4Aおよび図4Bを参照すると、図4Aおよび図4Bは、本発明の一実施形態による、オフローディングおよびアグリゲーションネットワークシステムの概略構造図である。この実施形態では、APはLTEデータ伝送をサポートし支援する。加えて、本発明のこの実施形態におけるネットワークシステムは、APを管理するために使用されるWTをさらに含む場合がある。図4Aに示されたように、WTおよびAPは同じノードであり得る。代替として、図4Bに示されたように、WTおよびAPは異なるノードであり得る。UE、eNB、およびWTは、ワイヤレス方式で接続され、たとえば、エアインターフェースを使用することによって通信することができる。WTおよびAPが異なるノードである場合、WTおよびAPは有線方式で接続される。
図5を参照すると、図5は、本発明の一実施形態による、アクセス認証方法の概略図である。図5におけるオプションのステップは破線を使用することによって示される。
ステップ501:eNBがUE用のPMKIDを決定する。
PMKIDは鍵識別子である。PMKIDは、PMKIDに対応するPMKに従ってセキュリティ認証を実施するために、UEおよびAPによって使用される。
ステップ502:eNBがUEにPMKIDを送信する。
PMKIDは、単独で送信される場合があるか、または送信用のPMKSA情報に含まれる場合がある。代替として、PMKIDは、送信用に、eNBによってUEに配信されるLWAコマンドメッセージに含まれる場合があるか、または送信用に別に新しく定義されたメッセージに含まれる場合がある。そのメッセージは、無線リソース制御(Radio Resource Control、略してRRC)接続再構成メッセージ内で搬送され、LWAを実施するようにUEに命令するために使用される場合がある。RRC接続再構成が完了した後、RRC接続再構成完了メッセージがeNBに送信される。
PMKIDに加えて、LWA要求メッセージは、WLAN APの識別子およびWLAN AP groupの識別子をさらに含む場合がある。APの識別子はBSSID/ESSID/SSIDであり得る。AP groupの識別子はWLAN AP識別子リストを含み、APの識別子はBSSID/ESSID/SSIDであり得る。
PMKSA情報は、送信用のLWAコマンドメッセージに含まれる場合があるか、または送信用に別に新しく定義されたメッセージに含まれる場合がある。
本発明のこの実施形態では、PMKIDがPMKSA情報に含まれ、PMKSA情報が送信用のLWAコマンドメッセージに含まれる例が説明に使用される。
PMKSA情報はPMKIDを含み、以下をさらに含む場合がある。
(1)AP/AP groupのMACアドレス。
(2)PMK。PMKはWLAN認証を支援するためにeNBによって使用される鍵である。PMKは、eNBおよびUEによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出された鍵であり得る。PMKはオプションである。
PMKSA情報がPMKを含まない場合、eNBは鍵を導出するための導出規則を前もってUEに送信することができるか、または、eNBおよびUEは共有された鍵をPMKとして使用することに同意する。
(3)PMKIDの有効期間およびPMKの有効期間を示すために使用される寿命(lifetime)。Lifetimeはオプションである。
(4)認証方式指示情報。認証方式指示情報は、UEによって使用される認証タイプを示すために使用される。認証タイプは、AKMP内で指定された認証タイプ、たとえば、802.1X EAP−AKAキャッシング方式であり得る。
(5)UEのWLAN MACアドレス。
PMKIDは、UEの識別情報に基づいてeNBによって決定される場合がある。UEの識別情報はUEのWLAN MACアドレスであり得る。PMKIDは、APの識別子およびUEの識別情報に基づいて決定される場合があるか、またはUEの識別情報のみに基づいて決定される場合があるか、または鍵PMK、UEの識別情報、およびAPの識別子を使用することによって決定される場合があるか、または鍵PMKおよびUEの識別情報を使用することによって決定される場合がある。PMKIDがUEの識別情報に基づいて決定されるとき、eNBは、すべてのUEのPMKIDが異なることを保証するために、UEごとにcounterを保持する。
たとえば、PMKID=HMAC−SHA1−128(PMK,”PMK_name”|MAC_AP|MAC_UE)である。
PMK_nameは鍵の名称を表し、MAC_UEはUEの識別情報、すなわち、UEのWLAN MACアドレスを表す。MAC_APはAPの識別子、すなわち、APのMACアドレスを表す。HMACは、鍵に関するハッシュベースメッセージ認証コード(Hash−based Message Authentication Code)である。SHA1はセキュアハッシュアルゴリズム(Secure Hash Algorithm)である。
場合によっては、ステップ501の前に、方法は、eNBにより、UEの識別情報、たとえば、UEのWLAN MACアドレスを取得することをさらに含む場合がある。具体的には、eNBは、識別情報を報告するようにUEに能動的に要求することができるか、または識別情報は、UE能力報告メッセージ内で搬送される。
場合によっては、ステップ501の前に、方法は以下のステップをさらに含む場合がある。
ステップ501a:eNBがUEに測定構成要求メッセージを送信する。
測定構成要求メッセージは、UEが位置するWLANの信号品質を測定するようにUEに要求するために使用される。UEはWLANの信号品質を測定し、測定結果を取得する。
ステップ501b:UEがeNBに測定結果を報告する。
測定結果は、WLAN内のAPの識別子、およびAPの識別子に対応する信号品質値を含む。
したがって、eNBは、測定結果に従って、LWAデータ伝送を実施するためのWTを決定する。具体的には、測定結果に従って、最も強い信号を提供するAPが、UEに関連付けられるべきAPとして選択される場合がある。次いで、APが属するWTが決定され、そのWTは、LWAデータ伝送を実施するためのWTとして使用される。
ステップ501において、eNBは、UEのために、WT内のすべてのAP用に同じ鍵識別子を決定することができるか、または、UEのために、WT内の各AP group内のすべてのAP用に同じ鍵識別子を決定することができるか、または、UEのために、WT内のすべてのAP group内のすべてのAP用に異なる鍵識別子を決定することができる。加えて、鍵識別子が同じであるとき、鍵も同じである。鍵識別子が異なるとき、鍵も異なる。
ステップ503:eNBがWTにPMKIDを送信する。
WTは、WTとAPとの間の専用インターフェースを使用することにより、APにPMKIDを送信することができる。
PMKIDは単独で送信される場合があるか、またはGTP−Uトンネルセットアップメッセージに含まれ、WTに送信される場合がある。PMKIDがGTP−Uトンネルセットアップメッセージを使用することによって送信される場合、ステップ503はステップ502の前に実施される必要がある。PMKIDが別の方式で送信される場合、ステップ503およびステップ502を実施するための順序は限定されない。
加えて、PMKIDに対応するPMKがWTにさらに送信される場合がある。鍵も、GTP−Uトンネルセットアップメッセージに含まれ、WTに送信される場合がある。
PMKはWLAN認証を支援するためにeNBによって使用される鍵である。PMKは、eNBおよびUEによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出された鍵であり得る。
場合によっては、ステップ503の前に、方法は以下のステップをさらに含む場合がある。
ステップ503a:WTがeNBに鍵要求メッセージを送信し、鍵要求メッセージは鍵およびPMKIDを取得するように要求するために使用される。
ステップ503aとステップ501およびステップ502の各々との間の時間順序は限定されない。図5は例としてのみ使用され、時間順序を限定するものではない。
次いで、ステップ503において、eNBは鍵要求応答メッセージに、PMKIDおよび鍵導出規則、またはPMKIDおよびPMKを追加し、WTに鍵要求応答メッセージを送信する。
当然、eNBは、PMKIDおよび鍵導出規則、またはPMKIDおよびPMKをWTに能動的に送信することができる。
ステップ504:UEがWLAN APに関連付け要求メッセージを送信し、関連付け要求メッセージはPMKIDを搬送する。
具体的には、eNBがUEにAP groupの識別子リストを示す場合、UEはアクセス用にAP groupからAPを自律的に選択する。eNBがUEにAPの識別子を示す場合、UEは示されたAPに直接アクセスする。
WLAN APと関連付ける前に、UEは最初に、有効な対象APのPMKが存在するかどうかを判定する、すなわち、PMKSA情報内のAPのBSSIDが関連付けられるべきAPのBSSIDと一致するかどうかをチェックする。BSSIDが一致する場合、APのBSSIDに対応するPMKが使用される。PMKIDが関連付け要求メッセージに含まれ、WLAN APが関連付け要求メッセージに含まれるPMKIDを受信した後、APは、関連付け要求メッセージに含まれるPMKIDと同じPMKIDがPMKSA情報内に存在するかどうかをチェックする。そのようなPMKIDが存在する場合、UEおよびAPはそのPMKを使用して4方向ハンドシェイク認証を実施する。
場合によっては、方法は以下のステップをさらに含む場合がある。
ステップ505:UEが、LWAが成功したか失敗したかを示すために使用されるメッセージをeNBに送信する。
eNBがUEによって送信されたLWA成功メッセージを受信すると、方法は以下のステップをさらに含む。
ステップ506:eNBがAPを使用することによってUEとのLWAデータ伝送を実施する。
本発明のこの実施形態において提供される解決策によれば、eNBは鍵識別子を決定する。次いで、eNBは、UEおよびAPに決定された鍵識別子を直ちに送信する。UEとAPの両方は鍵識別子を取得する。したがって、UEおよびAPは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図6を参照すると、図6は、本発明の一実施形態による、別のアクセス認証方法の概略図である。
ステップ601:eNBがUEにLWA開始コマンドメッセージを配信する。
たとえば、LWA開始コマンドメッセージは、active APメッセージであり、APにアクセスするようにUEに命令するために使用される場合がある。LWA開始コマンドメッセージは、WLAN APのBSSIDを含む場合がある。LWA開始コマンドメッセージは、UEのセキュリティポリシーをさらに含む場合がある。セキュリティポリシーはLWA typeのセキュリティポリシーであり、LWA typeは新しく追加された認証タイプである。
ステップ601の前に、eNBは、WLAN信号品質を測定し報告するようにUEに命令することができる。eNBは、UEによって送信された測定報告結果に従って、LWAデータ伝送を実施するために適切なWLANを追加することを決定する。一般に、eNBは、セルラーネットワーク負荷および/またはUEの加入情報に従って、WLAN信号品質を測定し報告するようにUEに命令するべきかどうかを判定する。
ステップ602:UEがビーコン(beacon)フレームを聴くこと、またはプローブ(Probe)フレームを送信することにより、指定されたAPを発見する。
APは、beaconまたはProbeの確認応答(Acknowledgement、略してACK)フレームに、ロバストセキュリティネットワーク(Robust Security Network、略してRSN)情報要素を追加する。RSN情報要素は、指定されたAPによってサポートされるセキュリティポリシーを示し、セキュリティポリシーは新しく追加された認証タイプ:LWAタイプのセキュリティポリシーである。
RSN情報要素は自動鍵管理(Automatic Key Management、略してAKM)情報要素を含み、AKM情報要素は認証タイプを示すために使用される。
ステップ602の前に、eNBは、eNBとWLANとの間のXwインターフェースを使用することによってAPに指示情報をさらに送信することができ、指示情報は、MSAタイプが認証タイプとしてのみ使用されることを示すために使用される。
ステップ603:UEおよびAPが認証プロセス(open authentication)を開始する。
ステップ604:UEがAPに関連付け要求(Association request)メッセージを起こす。
関連付け要求メッセージは、UEによって予想されるセキュリティポリシーを含む。たとえば、認証タイプはLWAタイプである。このようにして、UEおよびAPはセキュリティポリシーに関する交渉を完了する。
ステップ605:APがeNBに鍵要求メッセージを送信する。
鍵要求メッセージを受信した後、eNBは、アクセスネットワーク側の鍵および所定の導出規則に従って新しい鍵を導出し、応答メッセージを使用することにより、APに導出された鍵を送信する。
ステップ606:APがUEに関連付け応答メッセージを返信する。
UEおよびAPは関連付けを完了する。
ステップ607:UEが、APから関連付け応答メッセージを受信した後、所定の導出規則に従って鍵を導出する。
次いで、UEおよびAPは、導出された鍵に従ってWLAN 4方向ハンドシェイクセキュリティ認証を完了する。
ステップ608:UEがeNBにLWA確認応答メッセージを送信する。
ステップ609:eNBおよびUEがAPを使用することによってLWAデータ伝送を実施する。
図1に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証装置をさらに提供する。装置は、セルラーネットワークアクセスデバイス内に配置される場合があるか、またはセルラーネットワークアクセスデバイスであり得るか、またはセルラーネットワークアクセスデバイスとは異なるが、セルラーネットワークアクセスデバイスと通信することができる独立した装置であり得る。図7に示されたように、アクセス認証装置は、
鍵識別子を決定するように構成された決定ユニット701と、
UEおよび非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵識別子を個別に送信するように構成された送信ユニット702であって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、送信ユニット702と
を含む。
鍵識別子を決定するように構成された決定ユニット701と、
UEおよび非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵識別子を個別に送信するように構成された送信ユニット702であって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、送信ユニット702と
を含む。
場合によっては、決定ユニット701は以下の方式:
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定すること、および論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施すること
で鍵識別子を決定することができる。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定すること、および論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施すること
で鍵識別子を決定することができる。
送信ユニット702は、具体的に、以下の方式で、UEおよび非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵識別子を個別に送信することができる。方式は、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することを含む。
場合によっては、決定ユニット701は以下の方式:
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定すること、および少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定すること
で鍵識別子を決定することができる。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定すること、および少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定すること
で鍵識別子を決定することができる。
送信ユニット702は、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵識別子を個別に送信する。
場合によっては、決定ユニット701は鍵を決定するようにさらに構成され、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
送信ユニット702は、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵および鍵識別子を送信する。
場合によっては、決定ユニット701は所定の導出規則に基づいて鍵を決定し、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則は、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである。
送信ユニット702は、具体的に、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵および鍵識別子を送信し、UEに鍵識別子を送信するように構成される。
場合によっては、送信ユニット702は、UEおよび/または非セルラーネットワークアクセスデバイスに、以下の
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。認証タイプは、AKMP内で指定された認証タイプ、たとえば、802.1X EAP−AKAキャッシング方式であり得る。
アクセス認証装置、および図1に描写された実施形態において提供されたアクセス認証方法は、同じ発明構想に基づくことに留意されたい。方法および装置の問題解決原理は同様である。したがって、方法および装置の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、セルラーネットワークアクセスデバイスは鍵識別子を決定し、次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を直ちに送信する。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図2に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証装置をさらに提供する。装置はユーザ機器内に配置される場合があるか、またはユーザ機器であり得る。図8に示されたように、装置は、
受信ユニット801と、決定ユニット802と、認証ユニット803と
を含む。
受信ユニット801と、決定ユニット802と、認証ユニット803と
を含む。
受信ユニット801は、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、認証ユニットに命令するために使用される。
決定ユニット802は、受信ユニット801によって受信された鍵識別子に対応する鍵を決定するように構成される。
認証ユニット803は、受信ユニット801によって受信された鍵識別子および決定ユニット802によって決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成される。
場合によっては、決定ユニット802は、具体的に、受信ユニット801が、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信すると、鍵識別子に対応する鍵を決定すること、または、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定すること、または、所定の導出規則に従って、鍵識別子に対応する鍵を決定することを行うように構成される。
場合によっては、受信ユニット801は、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するように構成され、鍵識別子リストは、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む。
決定ユニット802は、対象の非セルラーネットワークアクセスデバイスを決定するようにさらに構成される。
認証ユニット803は、具体的に、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、決定ユニットまたはセルラーネットワークアクセスデバイスによって決定される。
アクセス認証装置、および図2に描写された実施形態において提供されたアクセス認証方法は、同じ発明構想に基づくことに留意されたい。方法および装置の問題解決原理は同様である。したがって、方法および装置の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、UEはセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。次いで、UEは鍵識別子に対応する鍵を決定する。UEは、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図3に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証装置をさらに提供する。装置は、非セルラーネットワークアクセスデバイス内に配置される場合があるか、または非セルラーネットワークアクセスデバイスであり得るか、または非セルラーネットワークアクセスデバイスと通信することができる独立した装置であり得る。図9に示されたように、装置は、
受信ユニット901と、認証ユニット902と
を含む。
受信ユニット901と、認証ユニット902と
を含む。
受信ユニット901は、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、アクセス認証装置に関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用される。
認証ユニット902は、認証ユニットが属する非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信ユニット901が受信すると、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
アクセス認証装置、および図3に描写された実施形態において提供されたアクセス認証方法は、同じ発明構想に基づくことに留意されたい。方法および装置の問題解決原理は同様である。したがって、方法および装置の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、アクセス認証装置に関連付けられたUEとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、鍵識別子は、鍵識別子に対応する鍵に基づいて、認証ユニットが属するアクセス認証装置とセキュリティ認証を実施するように、UEに命令するために使用される。UEとアクセス認証装置の両方が鍵識別子を取得する。したがって、UEおよびアクセス認証装置は、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図1に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はセルラーネットワークアクセスデバイスをさらに提供する。図10に示されたように、デバイスは、トランシーバ1001と、プロセッサ1002と、メモリ1003とを含む。トランシーバ1001、プロセッサ1002、およびメモリ1003は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図10において、メモリ1003、プロセッサ1002、およびトランシーバ1001は、バス1004を使用することによって互いに接続される。図10において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図10において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ1003は、プロセッサ1002によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリ(random−access memory、略してRAM)などの揮発性メモリ(volatile memory)であり得る。代替として、メモリ1003は、読取り専用メモリ(read−only memory、略してROM)、フラッシュメモリ(flash memory)、ハードディスクドライブ(hard disk drive、略してHDD)、または半導体ドライブ(solid−state drive、略してSSD)などの不揮発性メモリ(non−volatile memory)であり得る。代替として、メモリ1003は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ1003は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ1002は、中央処理装置(central processing unit、略してCPU)であり得る。
プロセッサ1002は鍵識別子を決定する。次いで、トランシーバ1001は、UEおよび非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵識別子を個別に送信するように構成される。鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
場合によっては、プロセッサ1002は以下の方式:
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップ、および論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施するステップ
で鍵識別子を決定することができる。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップ、および論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施するステップ
で鍵識別子を決定することができる。
トランシーバ1001は、具体的に、以下の方式で、UEおよび非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵識別子を個別に送信することができる。方式は、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに鍵識別子リストを送信するステップであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップを含む。
場合によっては、プロセッサ1002は以下の方式:
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップ、および少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップ
で鍵識別子を決定することができる。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップ、および少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップ
で鍵識別子を決定することができる。
トランシーバ1001は、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵識別子を個別に送信する。
場合によっては、プロセッサ1002は鍵を決定するようにさらに構成され、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
トランシーバ1001は、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵および鍵識別子を送信する。
場合によっては、プロセッサ1002は所定の導出規則に基づいて鍵を決定し、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則は、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである。
トランシーバ1001は、具体的に、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵および鍵識別子を送信し、UEに鍵識別子を送信するように構成される。
場合によっては、プロセッサ1002は、UEおよび/または非セルラーネットワークアクセスデバイスに、以下の
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。認証タイプは、認証および鍵管理プロトコル内で指定された認証タイプ、たとえば、802.1X EAP−AKAキャッシング方式であり得る。
セルラーネットワークアクセスデバイス、図1に描写された実施形態において提供されたアクセス認証方法、および図7に示されたアクセス認証装置は、同じ発明構想に基づくことに留意されたい。方法、装置、およびデバイスの問題解決原理は同様である。したがって、デバイス、装置、および方法の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
図2に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はユーザ機器をさらに提供する。図11に示されたように、ユーザ機器は、トランシーバ1101と、プロセッサ1102と、メモリ1103とを含む。トランシーバ1101、プロセッサ1102、およびメモリ1103は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図11において、メモリ1103、プロセッサ1102、およびトランシーバ1101は、バス1104を使用することによって互いに接続される。図11において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図11において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ1103は、プロセッサ1102によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリなどの揮発性メモリであり得る。代替として、メモリ1103は、読取り専用メモリ、フラッシュメモリ、ハードディスクドライブ、または半導体ドライブなどの不揮発性メモリであり得る。代替として、メモリ1103は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ1103は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ1102はCPUであり得る。
トランシーバ1101は、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、認証ユニットに命令するために使用される。
プロセッサ1102は、トランシーバ1101によって受信された鍵識別子に対応する鍵を決定し、トランシーバ1101によって受信された鍵識別子およびプロセッサ1102によって決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成される。
場合によっては、プロセッサ1102は、具体的に、トランシーバ1101が、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信すると、鍵識別子に対応する鍵を決定すること、または、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定すること、または、所定の導出規則に従って、鍵識別子に対応する鍵を決定することを行うように構成される。
場合によっては、トランシーバ1101は、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するように構成され、鍵識別子リストは、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む。
プロセッサ1102は、対象の非セルラーネットワークアクセスデバイスを決定し、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するようにさらに構成され、対象の非セルラーネットワークアクセスデバイスは、決定ユニットまたはセルラーネットワークアクセスデバイスによって決定される。
ユーザ機器、図2に描写された実施形態において提供されたアクセス認証方法、および図8に示されたアクセス認証装置は、同じ発明構想に基づくことに留意されたい。方法、装置、およびユーザ機器の問題解決原理は同様である。したがって、ユーザ機器、装置、および方法の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、UEはセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。次いで、UEは鍵識別子に対応する鍵を決定する。UEは、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図3に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態は非セルラーネットワークアクセスデバイスをさらに提供する。図12に示されたように、デバイスは、トランシーバ1201と、プロセッサ1202と、メモリ1203とを含む。トランシーバ1201、プロセッサ1202、およびメモリ1203は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図12において、メモリ1203、プロセッサ1202、およびトランシーバ1201は、バス1204を使用することによって互いに接続される。図12において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図12において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ1203は、プロセッサ1202によって実行されるプログラムコードを記憶するように構成され、RAMなどのvolatile memoryであり得る。代替として、メモリ1203は、ROM、フラッシュメモリ、HDD、またはSSDなどのnon−volatile memoryであり得る。代替として、メモリ1203は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ1203は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ1202はCPUであり得る。
トランシーバ1201は、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用される。
プロセッサ1202は、認証ユニットが属する非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求をトランシーバ1201が受信すると、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
非セルラーネットワークアクセスデバイス、図3に描写された実施形態において提供されたアクセス認証方法、および図9に示されたアクセス認証装置は、同じ発明構想に基づくことに留意されたい。方法、装置、およびデバイスの問題解決原理は同様である。したがって、デバイス、装置、および方法の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、ユーザ機器UEに命令するために使用される。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図13を参照すると、本発明の一実施形態はアクセス認証システムを提供する。システムは、
セルラーネットワークアクセスデバイス1301と、UE1302と、少なくとも1つの非セルラーネットワークアクセスデバイス1303とを含む。セルラーネットワークアクセスデバイス1301、UE1302、および少なくとも1つの非セルラーネットワークアクセスデバイス1303は、ワイヤレス方式で互いに接続される場合がある。図13に示されたシステムが2つの非セルラーネットワークアクセスデバイスを含む例が説明に使用される。図13は一例にすぎず、デバイスの数、デバイスの構造などは具体的に限定されない。
セルラーネットワークアクセスデバイス1301と、UE1302と、少なくとも1つの非セルラーネットワークアクセスデバイス1303とを含む。セルラーネットワークアクセスデバイス1301、UE1302、および少なくとも1つの非セルラーネットワークアクセスデバイス1303は、ワイヤレス方式で互いに接続される場合がある。図13に示されたシステムが2つの非セルラーネットワークアクセスデバイスを含む例が説明に使用される。図13は一例にすぎず、デバイスの数、デバイスの構造などは具体的に限定されない。
セルラーネットワークアクセスデバイス1301が鍵識別子を決定する。鍵識別子は、鍵識別子に対応する鍵に基づいて、少なくとも1つの非セルラーネットワークアクセスデバイスの中の1つの非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するように、UEに命令するために使用される。セルラーネットワークアクセスデバイス1301は、UEおよび非セルラーネットワークアクセスデバイス1303に鍵識別子を個別に送信する。
UE1302は、セルラーネットワークアクセスデバイス1301によって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するように構成される。
非セルラーネットワークアクセスデバイス1303は、セルラーネットワークアクセスデバイス1301によって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいてUE1302とセキュリティ認証を実施するように構成される。
オプションの実施形態では、図13に示されたように、システムは、少なくとも1つの非セルラーネットワークアクセスデバイス、たとえば、図13に示された2つの非セルラーネットワークアクセスデバイス1303を管理するように構成された、論理機能エンティティ1304をさらに含む場合がある。
セルラーネットワークアクセスデバイス1301は、具体的に、非セルラーネットワークアクセスデバイス1303を管理する論理機能エンティティ1304を決定することと、論理機能エンティティ1304によって管理される非セルラーネットワークアクセスデバイス1303ごとに、以下のステップ:各非セルラーネットワークアクセスデバイス1303の識別子に対応する鍵識別子を決定することを実施することと、各非セルラーネットワークアクセスデバイス1303の識別子に対応する非セルラーネットワークアクセスデバイス1303に、各非セルラーネットワークアクセスデバイス1303に対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティ1304によって管理される各非セルラーネットワークアクセスデバイス1303の識別子および各非セルラーネットワークアクセスデバイス1303に対応する鍵識別子を含む、送信することとを行うように構成される。
UE1302は、具体的に、セルラーネットワークアクセスデバイス1301によって送信された鍵識別子を受信するとき、セルラーネットワークアクセスデバイス1301によって送信された鍵識別子リストを受信することと、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成され、対象の非セルラーネットワークアクセスデバイスは、UE1302またはセルラーネットワークアクセスデバイス1301によって決定される。
別のオプションの実施形態では、図13に示されたように、システムは、少なくとも1つの非セルラーネットワークアクセスデバイスを管理するように構成された、論理機能エンティティ1304をさらに含む場合がある。
セルラーネットワークアクセスデバイス1301は、具体的に、非セルラーネットワークアクセスデバイス1303を管理する論理機能エンティティ1304を決定することと、少なくとも1つの非セルラーネットワークアクセスデバイス1303用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイス1303の中のすべての非セルラーネットワークアクセスデバイス1303の識別子に対応する鍵識別子が同じであり、鍵識別子が、UE1302と非セルラーネットワークアクセスデバイス1303の識別子に対応する非セルラーネットワークアクセスデバイス1303との間のセキュリティ認証を実施するために使用される、決定することと、UE1302および各非セルラーネットワークアクセスデバイス1303の識別子に対応する非セルラーネットワークアクセスデバイス1303に、決定された鍵識別子を個別に送信することとを行うように構成される。
UE1302は、具体的に、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、UE1302またはセルラーネットワークアクセスデバイス1301によって決定される。
場合によっては、セルラーネットワークアクセスデバイス1301は、鍵を決定することであって、鍵が、UE1302と非セルラーネットワークアクセスデバイス1303との間のセキュリティ認証を実施するために使用される、決定することと、UE1302および非セルラーネットワークアクセスデバイス1303に決定された鍵識別子を送信するとき、鍵を鍵識別子と関連付けた後、UE1302および非セルラーネットワークアクセスデバイス1303に鍵および鍵識別子を送信することとを行うようにさらに構成される。
UE1302は、具体的に、鍵識別子および非セルラーネットワークアクセスデバイス1303によって送信された鍵識別子に対応する鍵を受信し、受信された鍵識別子および鍵に従って非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するように構成される。
場合によっては、セルラーネットワークアクセスデバイス1301は、所定の導出規則に基づいて鍵を決定することであって、鍵が、UE1302と非セルラーネットワークアクセスデバイス1303との間のセキュリティ認証を実施するために使用される、決定することと、UE1302および非セルラーネットワークアクセスデバイス1303に決定された鍵識別子を送信するとき、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイス1303に鍵および鍵識別子を送信し、UE1302に鍵識別子を送信することとを行うようにさらに構成される。
非セルラーネットワークアクセスデバイス1303によって送信された鍵識別子を受信すると、UE1302は、所定の導出規則に基づいて鍵を決定し、鍵識別子および決定された鍵に基づいて非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施する。
セルラーネットワークアクセスデバイス1301は、UE1302および/または非セルラーネットワークアクセスデバイス1303に、以下の
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUE1302によって使用される認証タイプを示すために使用される。認証タイプは、認証および鍵管理プロトコル内で指定された認証タイプ、たとえば、802.1X EAP−AKAキャッシング方式であり得る。
非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、鍵識別子は、鍵識別子に対応する鍵に基づいて、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、ユーザ機器UEに命令するために使用される。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
本発明のこの実施形態において提供されるアクセス認証システムに含まれるセルラーネットワークアクセスデバイス1301は、図7または図10に対応する実施形態において提供されたセルラーネットワークアクセスデバイスであり得る。UE1302は、図8または図11に対応する実施形態において提供されたUEであり得る。非セルラーネットワークアクセスデバイス1303は、図9または図12に対応する実施形態において提供された非セルラーネットワークアクセスデバイスであり得る。したがって、アクセス認証システム内のセルラーネットワークアクセスデバイス1301に対応する機能については、図7または図10に対応する実施形態を参照されたい。アクセス認証システム内のUE1302に対応する機能については、図8または図11に対応する実施形態を参照されたい。アクセス認証システム内の非セルラーネットワークアクセスデバイス1303に対応する機能については、図9または図12に対応する実施形態を参照されたい。繰り返される説明は提供されない。
本発明の一実施形態はアクセス認証方法をさらに提供する。図14に示されたように、方法は以下のステップを含む。
ステップ1401:セルラーネットワークアクセスデバイスが非セルラーネットワークアクセスデバイス用の鍵を決定し、鍵は、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、セルラーネットワークアクセスデバイスによって鍵を決定する方式は、UEによって鍵を決定する方式と同じである。
セルラーネットワークアクセスデバイスは、UEのために、論理機能エンティティ内のすべての非セルラーネットワークアクセスデバイス用に同じ鍵を決定することができるか、または、UEのために、論理機能エンティティ内の各非セルラーネットワークアクセスデバイスグループ内のすべての非セルラーネットワークアクセスデバイス用に同じ鍵を決定することができるか、または、UEのために、論理機能エンティティ内のすべての非セルラーネットワークアクセスデバイスグループ内のすべての非セルラーネットワークアクセスデバイス用に異なる鍵を決定することができる。
セルラーネットワークアクセスデバイスによって決定された鍵は、UEおよびセルラーネットワークアクセスデバイスによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出規則に基づいて導出された鍵であり得る。
具体的には、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイス用の鍵を決定することができる。
第1の実装形態:
セルラーネットワークアクセスデバイスは、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出する。
セルラーネットワークアクセスデバイスは、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出する。
鍵を導出するために使用される導出規則はあらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである。
第2の実装形態:
セルラーネットワークアクセスデバイスは、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出する。
セルラーネットワークアクセスデバイスは、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出する。
第2の実装形態では、方法は、
セルラーネットワークアクセスデバイスにより、鍵を導出するために使用される導出規則をUEに送信するステップであって、導出規則が、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される、ステップ
をさらに含む場合がある。したがって、導出規則を受信した後、UEは、セルラーネットワークアクセスデバイスと共有される鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために使用される鍵を導出する。
セルラーネットワークアクセスデバイスにより、鍵を導出するために使用される導出規則をUEに送信するステップであって、導出規則が、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される、ステップ
をさらに含む場合がある。したがって、導出規則を受信した後、UEは、セルラーネットワークアクセスデバイスと共有される鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために使用される鍵を導出する。
具体的には、セルラーネットワークアクセスデバイスは、LWAコマンドメッセージまたは別に新しく定義されたメッセージを使用することによってUEに導出規則を送信することができ、メッセージはLWAを実施するようにUEに命令するために使用される。
ステップ1402:セルラーネットワークアクセスデバイスが、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。
場合によっては、セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することにより、非セルラーネットワークアクセスデバイスに鍵を送信する。具体的には、論理機能エンティティおよび非セルラーネットワークアクセスデバイスは、専用インターフェースを使用することによって互いに通信する。このことは本発明では限定されない。
セルラーネットワークアクセスデバイスが非セルラーネットワークアクセスデバイスに鍵を送信するとき、鍵は単独で送信される場合がある。論理機能エンティティおよび非セルラーネットワークアクセスデバイスが同じノードであるとき、鍵は、送信用に、セルラーネットワークアクセスデバイスによって論理機能エンティティに送信されるGPRSトンネリングプロトコル−ユーザプレーン(User plane of GPRS Tunneling Protocol、略してGTP−U)トンネルセットアップメッセージに含まれる場合があるか、または送信用に別に新しく定義されたメッセージに含まれる場合がある。論理機能エンティティおよび非セルラーネットワークアクセスデバイスが同じノードでないとき、セルラーネットワークアクセスデバイスは、GTP−Uトンネルセットアップメッセージに鍵識別子を追加し、論理機能エンティティにGTP−Uトンネルセットアップメッセージを送信する。次いで、論理機能エンティティは、非セルラーネットワークアクセスデバイスにGTP−Uトンネルセットアップメッセージを送信する。
本発明のこの実施形態において提供される解決策によれば、セルラーネットワークアクセスデバイスは鍵を決定し、次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。UEによって鍵を決定する方式は、セルラーネットワークアクセスデバイスによって鍵を決定する方式と同じである。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵を使用することによってセキュリティ認証を直ちに実施することができ、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティは同じノードである。非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードであることは、非セルラーネットワークアクセスデバイスおよび論理機能エンティティの機能が1つのデバイスを使用することによって実装されることであり得るか。または論理機能エンティティが非セルラーネットワークアクセスデバイス内に構築されることであり得る。論理機能エンティティが非セルラーネットワークアクセスデバイス内に構築される場合、論理機能エンティティと非セルラーネットワークアクセスデバイスとの間の内部インターフェースが存在し、論理機能エンティティおよび非セルラーネットワークアクセスデバイスは、内部インターフェースを使用することによって情報を交換する。
セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定することができる。
セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。測定報告は、UEが位置するWLANの信号品質を含む。セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
具体的には、セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。
セルラーネットワークアクセスデバイスは、UEのために選択された非セルラーネットワークアクセスデバイスに対応する鍵を決定し、鍵は、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに、UEのために選択された非セルラーネットワークアクセスデバイスに対応する決定された鍵を送信する。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイス用の鍵を決定することができる。
セルラーネットワークアクセスデバイスは、UEと関連付けられるべき非セルラーネットワークアクセスデバイスが属する論理機能エンティティを決定する。セルラーネットワークアクセスデバイスは、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスを決定する。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスに対応する鍵を決定することを実施する。鍵は、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
UEと関連付けられるべき非セルラーネットワークアクセスデバイスは、UEのためにセルラーネットワークアクセスデバイスによって選択される。関連付けられるべき非セルラーネットワークアクセスデバイスは、論理機能エンティティを決定するために選択され、その結果、論理機能エンティティによって管理されるすべての非セルラーネットワークアクセスデバイスを決定することができる。具体的な選択方式は以下の通りであり得る:セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。たとえば、セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
次いで、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイスに決定された鍵を送信することができる。
セルラーネットワークアクセスデバイスは、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵を送信する。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイス用の鍵を決定することができる。
セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定する。論理機能エンティティは、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する。
セルラーネットワークアクセスデバイスは、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定する。少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵は同じであり、鍵は、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイス用の鍵を決定することができる。
セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定する。論理機能エンティティは、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスは、少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる。すなわち、論理機能エンティティによって管理されるすべての非セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスグループに分類され、各グループは少なくとも1つの非セルラーネットワークアクセスデバイスを含む。
セルラーネットワークアクセスデバイスは、各非セルラーネットワークアクセスデバイスグループ用の鍵を決定する。各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵は同じであり、鍵は、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。異なる非セルラーネットワークアクセスデバイスグループは異なる鍵に対応している。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定した後、セルラーネットワークアクセスデバイスは、鍵に対応する鍵識別子を決定し、次いで、非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信する。
鍵識別子および鍵は、同時に送信される場合があるか、または個別に送信される場合がある。セルラーネットワークアクセスデバイスによって鍵に対応する鍵識別子を決定する方式は、UEによって鍵に対応する鍵識別子を決定する方式と同じである。
具体的には、鍵識別子は、鍵、UEの識別情報、および非セルラーネットワークアクセスデバイスの識別子に基づいて決定される場合があるか、または、鍵およびUEの識別情報に基づいて決定される場合があるか、または、UEの識別情報および非セルラーネットワークアクセスデバイスの識別子を使用することによって決定される場合があるか、または、非セルラーネットワークアクセスデバイスの識別子および鍵を使用することによって決定される場合があるか、または、UEの識別情報のみを使用することによって決定される場合がある。
本発明のこの実施形態における鍵識別子はLWAに使用される。したがって、鍵識別子は、従来のWLANサービスに使用される鍵識別子とは区別することができる。具体的には、従来のWLANサービスがAAAサーバ内で認証される場合、鍵識別子も生成される場合があり、この鍵識別子はLWAに使用される鍵識別子とは異なる。鍵識別子は区別するためにマークされる場合がある。
本発明の一実施形態はアクセス認証方法をさらに提供する。図15に示されたように、方法は以下のステップを含む。
ステップ1501:UEが鍵を決定し、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
場合によっては、UEは以下の方式で鍵を決定することができる。
UEは、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出する。
導出規則はセルラーネットワークアクセスデバイスによって送信される場合がある。具体的には、セルラーネットワークアクセスデバイスは、LWAコマンドメッセージを使用することによってUEに導出規則を送信することができる。
導出規則はUEにおいてあらかじめ構成される場合があり、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。すなわち、導出規則は、UEおよびセルラーネットワークアクセスデバイスにおいてあらかじめ構成される場合がある。
ステップ1502:UEが鍵に対応する鍵識別子を決定する。
鍵識別子は、鍵、UEの識別情報、および非セルラーネットワークアクセスデバイスの識別子に基づいて、セルラーネットワークアクセスデバイスによって決定される場合があるか、または、鍵およびUEの識別情報に基づいて決定される場合があるか、または、UEの識別情報および非セルラーネットワークアクセスデバイスの識別子を使用することによって決定される場合があるか、または、非セルラーネットワークアクセスデバイスの識別子および鍵を使用することによって決定される場合があるか、または、UEの識別情報のみを使用することによって決定される場合がある。
たとえば、PMKID=HMAC−SHA1−128(PMK,”PMK_name”|MAC_AP|MAC_UE)である。
PMKIDは鍵識別子を表し、PMKは鍵を表し、PMK_nameは鍵の名称を表し、MAC_UEはUEの識別情報、すなわち、UEのWLAN MACアドレスを表す。MAC_APは非セルラーネットワークアクセスデバイスの識別子、すなわち、非セルラーネットワークアクセスデバイスのMACアドレスを表す。HMACは、鍵に関するハッシュベースメッセージ認証コードである。SHA1はセキュアハッシュアルゴリズムである。
ステップ1503:UEが、鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
具体的には、UEは非セルラーネットワークアクセスデバイスに関連付け要求を起こし、関連付け要求はUEの識別情報および鍵識別子を搬送する。関連付け要求を受信した後、非セルラーネットワークアクセスデバイスは、UEの識別情報に従って、前もって受信され、セルラーネットワークアクセスデバイスによって送信された鍵に対応する鍵識別子を決定することができるか、またはUEの識別情報および鍵に従って、鍵に対応する鍵識別子を決定することができる。関連付け要求内で搬送された鍵識別子が決定された鍵識別子と同じであるとセルラーネットワークアクセスデバイスが判断した場合、鍵識別子に対応する鍵を使用することにより、UEとの4方向ハンドシェイクセキュリティ認証が実施される。
本発明のこの実施形態における鍵識別子はLWAに使用される。したがって、鍵識別子は、従来のWLANサービスに使用される鍵識別子とは区別することができる。具体的には、従来のWLANサービスがAAAサーバ内で認証される場合、鍵識別子も生成される場合があり、この鍵識別子はLWAに使用される鍵識別子とは異なる。鍵識別子は区別するためにマークされる場合がある。
本発明の一実施形態はアクセス認証方法をさらに提供する。図16に示されたように、方法は以下のステップを含む。
ステップ1601:非セルラーネットワークアクセスデバイスがセルラーネットワークアクセスデバイスによって送信された鍵を受信し、鍵は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される。
ステップ1602:非セルラーネットワークアクセスデバイスが鍵に対応する鍵識別子を決定する。
場合によっては、セルラーネットワークアクセスデバイスは、鍵およびセルラーネットワークアクセスデバイスの識別子に従って、鍵に対応する鍵識別子を決定することができるか、または、UEによって送信され、UEの識別情報を搬送する関連付け要求を受信した後、UEの識別情報および鍵に従って鍵に対応する鍵識別子を決定することができるか、または、UEの識別情報、セルラーネットワークアクセスデバイスの識別子、および鍵に従って、鍵に対応する鍵識別子を決定することができる。
場合によっては、非セルラーネットワークアクセスデバイスは、以下の方式で、鍵に対応する鍵識別子を決定することができる:非セルラーネットワークアクセスデバイスは、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。
ステップ1603:非セルラーネットワークアクセスデバイスが、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施する。
具体的には、UEは非セルラーネットワークアクセスデバイスに関連付け要求を送信する。次いで、UEによって送信された受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであると非セルラーネットワークアクセスデバイスが判断した場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク手順を実行する。4方向ハンドシェイク認証が成功した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを使用することにより、UEとマルチストリームアグリゲーションデータ伝送を実施することができる。
本発明のこの実施形態における鍵識別子はLWAに使用される。したがって、鍵識別子は、従来のWLANサービスに使用される鍵識別子とは区別することができる。具体的には、従来のWLANサービスがAAAサーバ内で認証される場合、鍵識別子も生成される場合があり、この鍵識別子はLWAに使用される鍵識別子とは異なる。鍵識別子は区別するためにマークされる場合がある。
以下で、インスタンスを参照して本発明の実施形態を具体的に記載する。以下のインスタンスでは、セルラーネットワークがLTEネットワークであり、セルラーネットワークアクセスデバイスがeNBであり、非セルラーネットワークがWLANであり、非セルラーネットワークアクセスデバイスがAPであり、論理機能エンティティがWTである例が説明に使用される。
本発明の実施形態は、一例として図4Aおよび図4Bに示されたオフローディングおよびアグリゲーションネットワークシステムを使用することによって具体的に記載される。
図17を参照すると、図17は、本発明の一実施形態による、アクセス認証方法の概略図である。
ステップ1701:eNBがAP用のPMKを決定する。
PMKは鍵を表し、PMKはUEとAPとの間のセキュリティ認証を実施するために使用される。
eNBは、WT内のすべてのAP用に同じ鍵を決定することができるか、またはWT内の各AP group内のすべてのAP用に同じ鍵を決定することができるか、またはWT内のすべてのAP group内のすべてのAP用に異なる鍵を決定することができる。
具体的には、PMKは、eNBおよびUEによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出規則に基づいて導出された鍵であり得る。
ステップ1702:eNBがWTに決定されたPMKを送信する。
WTは各APに、WTとAPとの間の専用インターフェースを使用することにより、各APに対応するPMKを送信することができる。
PMKは単独で送信される場合があるか、または(WT追加要求メッセージなどの)GTP−Uトンネルセットアップメッセージに追加され、WTに送信される場合があるか、または送信用のユーザ定義メッセージに追加される場合がある、などである。
場合によっては、ステップ1701の前に、方法は以下のステップをさらに含む場合がある。
WTがeNBに鍵要求メッセージを送信し、鍵要求メッセージは、WTによって管理される各AP用の鍵を決定するように、eNBに命令するために使用される。
場合によっては、eNBは、PMKに対応するPMKIDをさらに決定し、次いで、WTにPMKIDを送信することができる。本明細書では、eNBによってPMKに対応するPMKIDを決定する方式は、ステップ1704においてUEによってPMKに対応するPMKIDを決定する方式と同じである。WTは、WTとAPとの間の専用インターフェースを使用することにより、APにPMKIDを送信することができる。
ステップ1703:UEがeNBによって送信されたLWAコマンドメッセージを受信する。
LWAコマンドメッセージは、LWA関連構成を実施するためにUEによって使用される。LWAコマンドメッセージは、AP groupについての情報を搬送することができる。LWAコマンドメッセージは、鍵を導出するようにUEに命令するためにeNBによって使用される導出規則を搬送することができる。
LWAコマンドメッセージを受信した後、UEは、導出規則に基づいて、AP groupに含まれる各AP用の鍵を決定することができる。したがって、鍵は各APにeNBによって送信された鍵と同じである。
LWAコマンドメッセージを受信した後、UEは、APグループに含まれるすべてのAPから、対象のAPとして1つのAPを選択することができる。APは最も強い信号を提供するAPであり得る。次いで、UEは、APとセキュリティ認証を実施するために、導出規則に基づいて鍵を決定する。
ステップ1704:UEがPMKに対応するPMKIDを決定する。
PMKIDは、UEの識別情報に基づいてUEによって決定される場合がある。UEの識別情報はUEのWLAN MACアドレスであり得る。PMKIDは、APの識別子に基づいてUEによって決定される場合があるか、またはPMK、UEの識別情報、およびAPの識別子を使用することによって決定される場合があるか、または鍵PMKおよびUEの識別情報を使用することによって決定される場合があるか、またはPMKおよびAPの識別子を使用することによって決定される場合がある。APの識別子はBSSID/ESSID/SSIDであり得る。
たとえば、PMKID=HMAC−SHA1−128(PMK,”PMK_name”|MAC_AP|MAC_UE)である。
PMK_nameは鍵の名称を表し、MAC_UEはUEの識別情報、すなわち、UEのWLAN MACアドレスを表す。MAC_APはAPの識別子、すなわち、APのMACアドレスを表す。HMACは、鍵に関するハッシュベースメッセージ認証コードである。SHA1はセキュアハッシュアルゴリズムである。
ステップ1705:UEがWLAN APに関連付け要求メッセージを送信する。
関連付け要求メッセージはPMKIDを搬送する。
ステップ1706:APがPMKに対応するPMKIDを決定する。
具体的には、PMKIDは、UEの識別情報に基づいてAPによって決定される場合がある。UEの識別情報はUEのWLAN MACアドレスであり得る。PMKIDは、APの識別子に基づいてAPによって決定される場合があるか、またはPMK、UEの識別情報、およびAPの識別子を使用することによって決定される場合があるか、または鍵PMKおよびUEの識別情報を使用することによって決定される場合があるか、またはPMKおよびAPの識別子を使用することによって決定される場合がある。APによってPMKに対応するPMKIDを決定する方式は、UEによってPMKに対応するPMKIDを決定する方式と同じである。
APによって決定され、PMKに対応するPMKIDは、UEによって送信された受信されたPMKIDと同じであり、したがって、PMKIDに対応するPMKは、4方向ハンドシェイクセキュリティ認証を実施するために使用される。APによって決定され、PMKに対応するPMKIDが、UEによって送信された受信されたPMKIDと異なる場合、認証は失敗する。
場合によっては、APは、以下の方式で、PMKに対応するPMKIDを決定することができる:APが、PMKに対応し、APを管理するWTを使用することによりeNBによって送信されたPMKIDを受信する。
場合によっては、方法は以下のステップをさらに含む場合がある。
ステップ1707:UEがeNBにLWA確認応答メッセージを送信し、メッセージはLWAが成功したか失敗したかを示すために使用される。
代替として、LWA確認応答メッセージ(またはWT追加確認応答メッセージ)がWTを使用することによってeNBに送信され、メッセージはLWAが成功したことを示すために使用される。WTは、APを使用することにより、WTの追加に成功したかどうかを通知される場合があり、具体的な実装形態は本発明では限定されない。
eNBがUEまたはWTによって送信されたLWA成功メッセージを受信すると、方法は以下のステップをさらに含む。
ステップ1708:eNBがAPを使用することによってUEとのLWAデータ伝送を実施する。
図14に描写された方法実施形態の発明構想と同じ発明構想に基づいて、図18に示されたように、本発明の一実施形態はアクセス認証装置を提供する。装置は、セルラーネットワークアクセスデバイスに適用され、具体的には、セルラーネットワークアクセスデバイスから独立した装置であり得るか、またはセルラーネットワークアクセスデバイス内に配置された装置であり得るか、またはセルラーネットワークアクセスデバイスによって実装される場合がある。アクセス認証装置は、
非セルラーネットワークアクセスデバイス用の鍵を決定するように構成された処理ユニット1801であって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、処理ユニットによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、処理ユニット1801と、
非セルラーネットワークアクセスデバイスに処理ユニット1801によって決定された鍵を送信するように構成されたトランシーバユニット1802と
を含む。
非セルラーネットワークアクセスデバイス用の鍵を決定するように構成された処理ユニット1801であって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、処理ユニットによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、処理ユニット1801と、
非セルラーネットワークアクセスデバイスに処理ユニット1801によって決定された鍵を送信するように構成されたトランシーバユニット1802と
を含む。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するように構成される。鍵を導出するために使用される導出規則は、あらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するように構成される。
トランシーバユニット1802は、鍵を導出するために使用される導出規則をUEに送信するようにさらに構成され、導出規則は、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定することを実施することと
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定することを実施することと
を行うように構成される。
非セルラーネットワークアクセスデバイスに処理ユニット1801によって決定された鍵を送信するとき、トランシーバユニット1802は、具体的に、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、処理ユニット1801によって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵を送信するように構成される。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、決定することと、
各非セルラーネットワークアクセスデバイスグループ用の鍵を決定することであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、決定することと、
各非セルラーネットワークアクセスデバイスグループ用の鍵を決定することであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
処理ユニット1801は、非セルラーネットワークアクセスデバイス用の鍵を決定した後、鍵に対応する鍵識別子を決定するようにさらに構成される。
トランシーバユニット1802は、非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵識別子を送信するようにさらに構成される。
図15に描写された方法実施形態の発明構想と同じ発明構想に基づいて、図19に示されたように、本発明の一実施形態はアクセス認証装置をさらに提供する。装置はUEに適用され、具体的には、UEから独立した装置であり得るか、またはUE内に配置されたアクセス認証装置であり得るか、またはUEによって実装される場合がある。アクセス認証装置は、
鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することとを行うように構成された決定ユニット1901と、
鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成された認証ユニット1902と
を含む。
鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することとを行うように構成された決定ユニット1901と、
鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成された認証ユニット1902と
を含む。
鍵を決定するとき、決定ユニット1901は、具体的に、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出するように構成される。導出規則はセルラーネットワークアクセスデバイスによって送信されるか、または導出規則はUEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
図16に描写された方法実施形態の発明構想と同じ発明構想に基づいて、図20に示されたように、本発明の一実施形態はアクセス認証装置をさらに提供する。装置は、非セルラーネットワークアクセスデバイスに適用され、具体的には、非セルラーネットワークアクセスデバイスから独立したアクセス認証装置であり得るか、または非セルラーネットワークアクセスデバイス内に配置される場合があるか、または非セルラーネットワークアクセスデバイスによって実装される場合がある。アクセス認証装置は、
セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成されたトランシーバユニット2001であって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、トランシーバユニット2001と、
鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成された処理ユニット2002と
を含む。
セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成されたトランシーバユニット2001であって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、トランシーバユニット2001と、
鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成された処理ユニット2002と
を含む。
トランシーバユニット2002は、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するようにさらに構成される。
図18に描写された装置実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証デバイスをさらに提供する。デバイスは、セルラーネットワークアクセスデバイスから独立したデバイスであり得るか、またはセルラーネットワークアクセスデバイス内に配置されたデバイスであり得るか、またはセルラーネットワークアクセスデバイスによって実装される場合がある。図21に示されたように、デバイスは、トランシーバ2101と、プロセッサ2102と、メモリ2103とを含む。トランシーバ2101、プロセッサ2102、およびメモリ2103は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図21において、メモリ2103、プロセッサ2102、およびトランシーバ2101は、バス2104を使用することによって互いに接続される。図21において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図21において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ2103は、プロセッサ2102によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリ(random−access memory、略してRAM)などの揮発性メモリ(volatile memory)であり得る。代替として、メモリ2103は、読取り専用メモリ(read−only memory、略してROM)、フラッシュメモリ(flash memory)、ハードディスクドライブ(hard disk drive、略してHDD)、または半導体ドライブ(solid−state drive、略してSSD)などの不揮発性メモリ(non−volatile memory)であり得る。代替として、メモリ2103は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ2103は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ2102は、中央処理装置(central processing unit、略してCPU)であり得る。
プロセッサ2102は、非セルラーネットワークアクセスデバイス用の鍵を決定するように構成され、鍵は、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、処理ユニットによって鍵を決定する方式は、UEによって鍵を決定する方式と同じである。
トランシーバ2101は、非セルラーネットワークアクセスデバイスにプロセッサ2102によって決定された鍵を送信するように構成される。
プロセッサ2102は、図18に示された処理ユニット1801によって実行される別の動作をさらに実行することができ、トランシーバ2101は、図18に示されたトランシーバユニット1802によって実行される別の動作をさらに実行することができることに留意されたい。
図19に描写された装置実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証デバイスをさらに提供する。デバイスはUEからの独立したデバイスであり得るか、またはUE内に配置されたデバイスであり得るか、またはUEによって実装される場合がある。図22に示されたように、デバイスは、トランシーバ2201と、プロセッサ2202と、メモリ2203とを含む。トランシーバ2201、プロセッサ2202、およびメモリ2203は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図22において、メモリ2203、プロセッサ2202、およびトランシーバ2201は、バス2204を使用することによって互いに接続される。図22において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図22において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ2203は、プロセッサ2202によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリなどの揮発性メモリであり得る。代替として、メモリ2203は、ROM、flash memory、HDD、またはSSDなどの不揮発性メモリ(non−volatile memory)であり得る。代替として、メモリ2203は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ2203は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ2202はCPUであり得る。
プロセッサ2202は、鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することと、鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成される。
プロセッサ2202は、図19に示された決定ユニット1901および認証ユニット1902によって実行される他の動作をさらに実行することができることに留意されたい。
図20に描写された装置実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証デバイスをさらに提供する。デバイスは、非セルラーネットワークアクセスデバイスから独立したデバイスであり得るか、または非セルラーネットワークアクセスデバイス内に配置されたデバイスであり得るか、または非セルラーネットワークアクセスデバイスによって実装される場合がある。図23に示されたように、デバイスは、トランシーバ2301と、プロセッサ2302と、メモリ2303とを含む。トランシーバ2301、プロセッサ2302、およびメモリ2303は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図23において、メモリ2303、プロセッサ2302、およびトランシーバ2301は、バス2304を使用することによって互いに接続される。図23において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図23において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ2303は、プロセッサ2302によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリなどの揮発性メモリであり得る。代替として、メモリ2303は、ROM、flash memory、HDD、またはSSDなどの不揮発性メモリ(non−volatile memory)であり得る。代替として、メモリ2303は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ2303は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ2302はCPUであり得る。
トランシーバ2301は、セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成され、鍵は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される。
プロセッサ2302は、鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成される。
プロセッサ2302は、図20に示された処理ユニット2002によって実行される別の動作をさらに実行することができ、トランシーバ2301は、図20に示されたトランシーバユニット2001によって実行される別の動作をさらに実行することができることに留意されたい。
本発明の一実施形態はアクセス認証システムをさらに提供する。システムは、セルラーネットワークアクセスデバイスと、非セルラーネットワークアクセスデバイスと、UEとを含む。セルラーネットワークアクセスデバイスは、図18または図21に対応する実施形態において提供されたセルラーネットワークアクセスデバイスであり得る。UEは、図19または図22に対応する実施形態において提供されたUEであり得る。非セルラーネットワークアクセスデバイスは、図20または図23に対応する実施形態において提供された非セルラーネットワークアクセスデバイスであり得る。
アクセス認証システムに含まれるデバイスの数は、本発明のこの実施形態では具体的に限定されないことに留意されたい。
本発明の実施形態は、方法、システム、またはコンピュータプログラム製品として提供される場合があることを当業者なら理解されよう。したがって、本発明は、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、またはソフトウェアとハードウェアの組合せを有する実施形態の形態を使用してもよい。加えて、本発明は、コンピュータ使用可能プログラムコードを含む、(限定はしないが、ディスクメモリ、CD−ROM、光メモリなどを含む)1つ以上のコンピュータ使用可能記憶媒体に実装された、コンピュータプログラム製品の形態を使用してもよい。
本発明は、本発明の実施形態による、方法、デバイス(システム)、およびコンピュータプログラム製品のフローチャートおよび/またはブロック図を参照して記載されている。コンピュータプログラム命令は、フローチャートおよび/またはブロック図内の各プロセスおよび/または各ブロック、ならびにフローチャートおよび/またはブロック図内のプロセスおよび/またはブロックの組合せを実装するために使用される場合があることを理解されたい。これらのコンピュータプログラム命令は、機械を生成するために、汎用コンピュータ、専用コンピュータ、組込み型プロセッサ、または任意の他のプログラマブルデータ処理デバイスのプロセッサに提供される場合があり、その結果、コンピュータまたは任意の他のプログラマブルデータ処理デバイスのプロセッサによって実行される命令は、フローチャート内の1つ以上のプロセス内、および/またはブロック図内の1つ以上のブロック内の特定の機能を実装するための装置を生成する。
これらのコンピュータプログラム命令は、特定の方式で動作するようにコンピュータまたは任意の他のプログラマブルデータ処理デバイスに命令することができるコンピュータ可読メモリに記憶される場合があり、その結果、コンピュータ可読メモリに記憶された命令は、命令装置を含むアーティファクトを生成する。命令装置は、フローチャート内の1つ以上のプロセス内、および/またはブロック図内の1つ以上のブロック内の特定の機能を実装する。
これらのコンピュータプログラム命令は、コンピュータまたは別のプログラマブルデータ処理デバイスにロードされる場合があり、その結果、一連の動作およびステップは、コンピュータまたは別のプログラマブルデータ処理デバイス上で実施され、それにより、コンピュータ実装処理が生成される。したがって、コンピュータまたは別のプログラマブルデータ処理デバイス上で実行される命令は、フローチャート内の1つ以上のプロセス内、および/またはブロック図内の1つ以上のブロック内の特定の機能を実装するためのステップを提供する。
本発明のいくつかの実施形態が記載されたが、当業者は、基本的な発明構想を知ると、これらの実施形態に対して変更および修正を行うことができる。したがって、以下の特許請求の範囲は、本発明の範囲内に入る実施形態ならびにすべての変更および修正を包含するように解釈されるものである。
明らかに、当業者は、本発明の実施形態の趣旨および範囲から逸脱することなく、本発明の実施形態に対して様々な修正および変形を行うことができる。本発明は、以下の特許請求の範囲およびそれらの等価な技術によって定義される保護範囲内に入る、これらの提供された修正および変形を包含するものである。
701 決定ユニット
702 送信ユニット
801 受信ユニット
802 決定ユニット
803 認証ユニット
901 受信ユニット
902 認証ユニット
1001 トランシーバ
1002 プロセッサ
1003 メモリ
1004 バス
1101 トランシーバ
1102 プロセッサ
1103 メモリ
1104 バス
1201 トランシーバ
1202 プロセッサ
1203 メモリ
1204 バス
1301 セルラーネットワークアクセスデバイス
1302 UE
1303 非セルラーネットワークアクセスデバイス
1304 論理機能エンティティ
1801 処理ユニット
1802 トランシーバユニット
1901 決定ユニット
1902 認証ユニット
2001 トランシーバユニット
2002 処理ユニット
2101 トランシーバ
2102 プロセッサ
2103 メモリ
2104 バス
2201 トランシーバ
2202 プロセッサ
2203 メモリ
2204 バス
2301 トランシーバ
2302 プロセッサ
2303 メモリ
2304 バス
702 送信ユニット
801 受信ユニット
802 決定ユニット
803 認証ユニット
901 受信ユニット
902 認証ユニット
1001 トランシーバ
1002 プロセッサ
1003 メモリ
1004 バス
1101 トランシーバ
1102 プロセッサ
1103 メモリ
1104 バス
1201 トランシーバ
1202 プロセッサ
1203 メモリ
1204 バス
1301 セルラーネットワークアクセスデバイス
1302 UE
1303 非セルラーネットワークアクセスデバイス
1304 論理機能エンティティ
1801 処理ユニット
1802 トランシーバユニット
1901 決定ユニット
1902 認証ユニット
2001 トランシーバユニット
2002 処理ユニット
2101 トランシーバ
2102 プロセッサ
2103 メモリ
2104 バス
2201 トランシーバ
2202 プロセッサ
2203 メモリ
2204 バス
2301 トランシーバ
2302 プロセッサ
2303 メモリ
2304 バス
関連出願の相互参照
本出願は、参照によりその全体が本明細書に組み込まれる、2015年8月11日に中国特許庁に出願され、「ACCESS AUTHENTICATION METHOD AND APPARATUS」と題する、中国特許出願第PCT/CN2015/086637号の優先権を主張する。
本出願は、参照によりその全体が本明細書に組み込まれる、2015年8月11日に中国特許庁に出願され、「ACCESS AUTHENTICATION METHOD AND APPARATUS」と題する、中国特許出願第PCT/CN2015/086637号の優先権を主張する。
本発明は通信技術の分野に関し、詳細には、アクセス認証の方法および装置に関する。
インテリジェント端末の普及およびモバイルインターネットの発展に起因して、モバイルサービスのデータトラフィックが爆発的に増大している。その結果、第3世代パートナーシッププロジェクト(3rd Generation Partnership Project、略して3GPP)ネットワークが増大するデータトラフィックに対する要件を満たすことがより困難になっている。モバイル事業者は、3GPPネットワークと非3GPPネットワークとの間の連携、たとえば、3GPPネットワークとワイヤレスローカルエリアネットワーク(Wireless Local Area Network、略してWLAN)との間の連携によって、3GPPネットワークのトラフィック圧力を緩和している。
既存のWLANと3GPPネットワークとの間の連携中、3GPPネットワーク内でサービス過負荷が発生すると、WLANのカバレージエリア内のユーザのすべてまたはいくつかのサービスは、WLANにオフロードされる場合がある。WLANと3GPPネットワークとの間の連携が実施されているとき、UEがWLANを使用することによって3GPPと通信するときのセキュリティ問題をさらに考慮する必要がある。したがって、ユーザの利便性のために、WLANと3GPPネットワークとの間の統一認証を実装する必要がある。
現在の解決策は以下の通りである:3GPPプロトコルにおいて規定された認証方式でさらにWLAN認証を実施する。現在、一般的な認証方式は、802.1X拡張認証プロトコル−認証および鍵協約(Extensible Authentication Protocol−Authentication and Key Agreement、略してEAP−AKA)である。EAP−AKA認証方式は、3GPPの認証、認可、および課金(Authentication,Authorization and Accounting、略してAAA)サーバ(Server)の配備を必要とする。ユーザ機器(User Equipment、略してUE)が3GPPネットワークにアクセスし、セキュリティ認証が成功した後、LTE−WLANアグリゲーション(LTE−WLAN Aggregation、略してLWA)データ伝送などのマルチストリームアグリゲーションデータ伝送を実施する必要があるとき、UEがWLANにアクセスしたときにAAAサーバ上でUEに対する識別認証を最初に実施する必要がある。識別認証が成功した後、UEおよびWLAN内のアクセスポイント(Access Point、略してAP)は、AP用にAAAサーバによって決定された鍵を取得する。次いで、UEおよびAPは、取得された鍵に基づいて4方向ハンドシェイク認証を実施する。UEおよびAPは、認証が成功した後のみ、互いに通信することができる。EAP−AKA認証方式では、UEがAPに関連付けられているとき、AAAサーバ上でUEに対する識別認証を最初に実施する必要があり、鍵を交渉する必要があることが、既存の解決策から分かる。次いで、UEおよびAPは、交渉された鍵に基づいて4方向ハンドシェイク認証を実施する。認証プロセス全体において複数回シグナリング対話を実施する必要があり、プロセスは煩雑である。したがって、シグナリングオーバーヘッドが増大し、認証時間は比較的長い。
本発明の実施形態は、比較的長い認証時間および高いシグナリングオーバーヘッドの従来技術の問題を解決するために、アクセス認証の方法および装置を提供する。
第1の態様によれば、本発明の一実施形態は、
セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップと、
セルラーネットワークアクセスデバイスにより、ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに鍵識別子を個別に送信するステップであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、ステップと
を含む、アクセス認証方法を提供する。
セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップと、
セルラーネットワークアクセスデバイスにより、ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに鍵識別子を個別に送信するステップであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、ステップと
を含む、アクセス認証方法を提供する。
第1の態様を参照して、第1の態様の第1の可能な実装形態では、セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定すること
を実施するステップと
を含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信するステップであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定すること
を実施するステップと
を含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信するステップであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含む。
第1の態様を参照して、第1の態様の第2の可能な実装形態では、セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信するステップ
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信するステップ
を含む。
第1の態様、または第1の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第1の態様の第3の可能な実装形態では、方法は、
セルラーネットワークアクセスデバイスにより、鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップ
をさらに含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信するステップ
を含む。
セルラーネットワークアクセスデバイスにより、鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップ
をさらに含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信するステップ
を含む。
第1の態様、または第1の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第1の態様の第4の可能な実装形態では、方法は、
セルラーネットワークアクセスデバイスにより、所定の導出規則に基づいて鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則が、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである、ステップ
をさらに含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信し、UEに鍵識別子を送信するステップ
を含む。
セルラーネットワークアクセスデバイスにより、所定の導出規則に基づいて鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則が、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである、ステップ
をさらに含み、
セルラーネットワークアクセスデバイスにより、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するステップは、
セルラーネットワークアクセスデバイスにより、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信し、UEに鍵識別子を送信するステップ
を含む。
第1の態様の第1から第4の可能な実装形態のうちのいずれか1つを参照して、第1の態様の第5の可能な実装形態では、方法は、
セルラーネットワークアクセスデバイスにより、UEおよび/または非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するステップをさらに含み、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
セルラーネットワークアクセスデバイスにより、UEおよび/または非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するステップをさらに含み、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
第2の態様によれば、本発明の一実施形態は、
ユーザ機器UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、ステップと、
UEにより、鍵識別子に対応する鍵を決定するステップと、
UEにより、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む、アクセス認証方法をさらに提供する。
ユーザ機器UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、ステップと、
UEにより、鍵識別子に対応する鍵を決定するステップと、
UEにより、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む、アクセス認証方法をさらに提供する。
第2の態様を参照して、第2の態様の第1の可能な実装形態では、UEにより、鍵識別子に対応する鍵を決定するステップは、
UEにより、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信するステップ、または
UEにより、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定するステップ、または
UEにより、所定の導出規則に従って、鍵識別子に対応する鍵を決定するステップ
を含む。
UEにより、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信するステップ、または
UEにより、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定するステップ、または
UEにより、所定の導出規則に従って、鍵識別子に対応する鍵を決定するステップ
を含む。
第2の態様または第2の態様の第1の可能な実装形態を参照して、第2の態様の第2の可能な実装形態では、UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップは、
UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するステップであって、鍵識別子リストが、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含み、
UEにより、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップは、
UEにより、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップであって、対象の非セルラーネットワークアクセスデバイスが、UEまたはセルラーネットワークアクセスデバイスによって決定される、実施するステップ
を含む。
UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するステップであって、鍵識別子リストが、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含み、
UEにより、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップは、
UEにより、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップであって、対象の非セルラーネットワークアクセスデバイスが、UEまたはセルラーネットワークアクセスデバイスによって決定される、実施するステップ
を含む。
第3の態様によれば、本発明の一実施形態は、
非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、鍵識別子が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信すると、非セルラーネットワークアクセスデバイスにより、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するステップと
を含む、アクセス認証方法をさらに提供する。
非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、鍵識別子が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信すると、非セルラーネットワークアクセスデバイスにより、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するステップと
を含む、アクセス認証方法をさらに提供する。
第4の態様によれば、本発明の一実施形態は、
鍵識別子を決定するように構成された決定ユニットと、
ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵識別子を個別に送信するように構成された送信ユニットであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、送信ユニットと
を含む、アクセス認証装置をさらに提供する。
鍵識別子を決定するように構成された決定ユニットと、
ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵識別子を個別に送信するように構成された送信ユニットであって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、送信ユニットと
を含む、アクセス認証装置をさらに提供する。
第4の態様を参照して、第4の態様の第1の可能な実装形態では、決定ユニットは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施することとを行うように構成され、
送信ユニットは、具体的に、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することを行うように構成される。
送信ユニットは、具体的に、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することを行うように構成される。
第4の態様を参照して、第4の態様の第2の可能な実装形態では、決定ユニットは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することとを行うように構成され、
送信ユニットは、具体的に、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵識別子を個別に送信するように構成される。
送信ユニットは、具体的に、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵識別子を個別に送信するように構成される。
第4の態様、または第4の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第4の態様の第3の可能な実装形態では、決定ユニットは、鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することを行うようにさらに構成され、
送信ユニットは、具体的に、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵および鍵識別子を送信するように構成される。
送信ユニットは、具体的に、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵および鍵識別子を送信するように構成される。
第4の態様、または第4の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第4の態様の第4の可能な実装形態では、決定ユニットは、
所定の導出規則に基づいて鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則が、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである、決定することを行うようにさらに構成され、
送信ユニットは、具体的に、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵および鍵識別子を送信し、UEに鍵識別子を送信するように構成される。
所定の導出規則に基づいて鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則が、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである、決定することを行うようにさらに構成され、
送信ユニットは、具体的に、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに、決定ユニットによって決定された鍵および鍵識別子を送信し、UEに鍵識別子を送信するように構成される。
第4の態様の第1から第4の可能な実装形態のうちのいずれか1つを参照して、第4の態様の第5の可能な実装形態では、送信ユニットは、UEおよび/または非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成され、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成され、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
第5の態様によれば、本発明の一実施形態は、
受信ユニットと、決定ユニットと、認証ユニットと
を含む、アクセス認証装置をさらに提供し、
受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、
決定ユニットは、受信ユニットによって受信された鍵識別子に対応する鍵を決定するように構成され、
認証ユニットは、受信ユニットによって受信された鍵識別子および決定ユニットによって決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成される。
受信ユニットと、決定ユニットと、認証ユニットと
を含む、アクセス認証装置をさらに提供し、
受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、
決定ユニットは、受信ユニットによって受信された鍵識別子に対応する鍵を決定するように構成され、
認証ユニットは、受信ユニットによって受信された鍵識別子および決定ユニットによって決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成される。
第5の態様を参照して、第5の態様の第1の可能な実装形態では、決定ユニットは、具体的に、
受信ユニットが、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信すると、鍵識別子に対応する鍵を決定すること、または、
セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定すること、または、
所定の導出規則に従って、鍵識別子に対応する鍵を決定すること
を行うように構成される。
受信ユニットが、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信すると、鍵識別子に対応する鍵を決定すること、または、
セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定すること、または、
所定の導出規則に従って、鍵識別子に対応する鍵を決定すること
を行うように構成される。
第5の態様または第5の態様の第1の可能な実装形態を参照して、第5の態様の第2の可能な実装形態では、受信ユニットは、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するように構成され、鍵識別子リストは、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含み、
決定ユニットは、対象の非セルラーネットワークアクセスデバイスを決定するようにさらに構成され、
認証ユニットは、具体的に、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、決定ユニットまたはセルラーネットワークアクセスデバイスによって決定される。
決定ユニットは、対象の非セルラーネットワークアクセスデバイスを決定するようにさらに構成され、
認証ユニットは、具体的に、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、決定ユニットまたはセルラーネットワークアクセスデバイスによって決定される。
第6の態様によれば、本発明の一実施形態は、
受信ユニットと、認証ユニットと
を含む、アクセス認証装置をさらに提供し、
受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、アクセス認証装置に関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、
認証ユニットは、認証ユニットが属する非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信ユニットが受信すると、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
受信ユニットと、認証ユニットと
を含む、アクセス認証装置をさらに提供し、
受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、アクセス認証装置に関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、
認証ユニットは、認証ユニットが属する非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信ユニットが受信すると、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
第7の態様によれば、本発明の一実施形態は、
セルラーネットワークアクセスデバイスと、ユーザ機器UEと、少なくとも1つの非セルラーネットワークアクセスデバイスと
を含む、アクセス認証システムをさらに提供し、
セルラーネットワークアクセスデバイスは、鍵識別子を決定することであって、鍵識別子が、鍵識別子に対応する鍵に基づいて少なくとも1つの非セルラーネットワークアクセスデバイスの中の1つの非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、決定することと、UEおよび非セルラーネットワークアクセスデバイスに鍵識別子を個別に送信することとを行い、
UEは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、
非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
セルラーネットワークアクセスデバイスと、ユーザ機器UEと、少なくとも1つの非セルラーネットワークアクセスデバイスと
を含む、アクセス認証システムをさらに提供し、
セルラーネットワークアクセスデバイスは、鍵識別子を決定することであって、鍵識別子が、鍵識別子に対応する鍵に基づいて少なくとも1つの非セルラーネットワークアクセスデバイスの中の1つの非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、決定することと、UEおよび非セルラーネットワークアクセスデバイスに鍵識別子を個別に送信することとを行い、
UEは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、
非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
第7の態様を参照して、第7の態様の第1の可能な実装形態では、システムは、少なくとも1つの非セルラーネットワークアクセスデバイスを管理するように構成された論理機能エンティティをさらに含み、
セルラーネットワークアクセスデバイスは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することと、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施することと、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することとを行うように構成され、
UEは、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するとき、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信することと、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成され、対象の非セルラーネットワークアクセスデバイスは、UEまたはセルラーネットワークアクセスデバイスによって決定される。
セルラーネットワークアクセスデバイスは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することと、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施することと、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することとを行うように構成され、
UEは、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するとき、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信することと、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成され、対象の非セルラーネットワークアクセスデバイスは、UEまたはセルラーネットワークアクセスデバイスによって決定される。
第7の態様を参照して、第7の態様の第2の可能な実装形態では、システムは、少なくとも1つの非セルラーネットワークアクセスデバイスを管理するように構成された論理機能エンティティをさらに含み、
セルラーネットワークアクセスデバイスは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することと、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信することとを行うように構成され、
UEは、具体的に、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、UEまたはセルラーネットワークアクセスデバイスによって決定される。
セルラーネットワークアクセスデバイスは、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することと、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信することとを行うように構成され、
UEは、具体的に、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、UEまたはセルラーネットワークアクセスデバイスによって決定される。
第7の態様、または第7の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第7の態様の第3の可能な実装形態では、セルラーネットワークアクセスデバイスは、鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するとき、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信することとを行うようにさらに構成され、
UEは、具体的に、非セルラーネットワークアクセスデバイスによって送信された鍵識別子および鍵識別子に対応する鍵を受信することと、受信された鍵識別子および鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成される。
UEは、具体的に、非セルラーネットワークアクセスデバイスによって送信された鍵識別子および鍵識別子に対応する鍵を受信することと、受信された鍵識別子および鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成される。
第7の態様、または第7の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第7の態様の第4の可能な実装形態では、セルラーネットワークアクセスデバイスは、所定の導出規則に基づいて鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信するとき、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信し、UEに鍵識別子を送信することとを行うようにさらに構成され、
非セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信すると、UEは、所定の導出規則に基づいて鍵を決定し、鍵識別子および決定された鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
非セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信すると、UEは、所定の導出規則に基づいて鍵を決定し、鍵識別子および決定された鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
第7の態様、または第7の態様の第1から第4の可能な実装形態のうちのいずれか1つを参照して、第7の態様の第5の可能な実装形態では、セルラーネットワークアクセスデバイスは、UEおよび/または非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成され、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成され、
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。
本発明のこの実施形態において提供される解決策によれば、セルラーネットワークアクセスデバイスは鍵識別子を決定し、次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を直ちに送信する。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
第8の態様によれば、本発明の一実施形態は、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、セルラーネットワークアクセスデバイスによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、ステップと、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスに決定された鍵を送信するステップと
を含む、アクセス認証方法を提供する。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、セルラーネットワークアクセスデバイスによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、ステップと、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスに決定された鍵を送信するステップと
を含む、アクセス認証方法を提供する。
第8の態様を参照して、第8の態様の第1の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するステップであって、鍵を導出するために使用される導出規則が、あらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである、ステップ
を含む。
セルラーネットワークアクセスデバイスにより、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するステップであって、鍵を導出するために使用される導出規則が、あらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである、ステップ
を含む。
第8の態様を参照して、第8の態様の第2の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するステップ
を含み、
方法は、
セルラーネットワークアクセスデバイスにより、鍵を導出するために使用される導出規則をUEに送信するステップであって、導出規則が、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される、ステップ
をさらに含む。
セルラーネットワークアクセスデバイスにより、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するステップ
を含み、
方法は、
セルラーネットワークアクセスデバイスにより、鍵を導出するために使用される導出規則をUEに送信するステップであって、導出規則が、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される、ステップ
をさらに含む。
第8の態様、または第8の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第8の態様の第3の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定すること
を実施するステップと
を含み、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスに決定された鍵を送信するステップは、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵を送信するステップ
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定すること
を実施するステップと
を含み、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスに決定された鍵を送信するステップは、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵を送信するステップ
を含む。
第8の態様、または第8の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第8の態様の第4の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
セルラーネットワークアクセスデバイスにより、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含む。
第8の態様、または第8の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第8の態様の第5の可能な実装形態では、セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップは、
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが、少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、ステップと、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスグループ用の鍵を決定するステップであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含む。
セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが、少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、ステップと、
セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスグループ用の鍵を決定するステップであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を含む。
第8の態様、または第8の態様の第1から第5の可能な実装形態のうちのいずれか1つを参照して、第8の態様の第6の可能な実装形態では、方法は、
非セルラーネットワークアクセスデバイス用の鍵を決定した後、セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップと、非セルラーネットワークアクセスデバイスに鍵識別子を送信するステップと
をさらに含む。
非セルラーネットワークアクセスデバイス用の鍵を決定した後、セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップと、非セルラーネットワークアクセスデバイスに鍵識別子を送信するステップと
をさらに含む。
第9の態様によれば、本発明の一実施形態はアクセス認証方法を提供し、方法は、
ユーザ機器UEにより、鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと、
UEにより、鍵に対応する鍵識別子を決定するステップと、
UEにより、鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む。
ユーザ機器UEにより、鍵を決定するステップであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと、
UEにより、鍵に対応する鍵識別子を決定するステップと、
UEにより、鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む。
第9の態様を参照して、第9の態様の第1の可能な実装形態では、UEにより、鍵を決定するステップは、
UEにより、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出するステップ
を含み、
導出規則は、セルラーネットワークアクセスデバイスによって送信されるか、または導出規則は、UEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
UEにより、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出するステップ
を含み、
導出規則は、セルラーネットワークアクセスデバイスによって送信されるか、または導出規則は、UEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
第10の態様によれば、本発明の一実施形態はアクセス認証方法を提供し、方法は、
非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵を受信するステップであって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
非セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップと、
非セルラーネットワークアクセスデバイスにより、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するステップと
を含む。
非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵を受信するステップであって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
非セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップと、
非セルラーネットワークアクセスデバイスにより、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するステップと
を含む。
第10の態様を参照して、第10の態様の第1の可能な実装形態では、非セルラーネットワークアクセスデバイスにより、鍵に対応する鍵識別子を決定するステップは、
非セルラーネットワークアクセスデバイスにより、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップ
を含む。
非セルラーネットワークアクセスデバイスにより、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップ
を含む。
第11の態様によれば、本発明の一実施形態はアクセス認証装置を提供し、装置はセルラーネットワークアクセスデバイスに適用され、
非セルラーネットワークアクセスデバイス用の鍵を決定するように構成された処理ユニットであって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、処理ユニットによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、処理ユニットと、
非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵を送信するように構成されたトランシーバユニットと
を含む。
非セルラーネットワークアクセスデバイス用の鍵を決定するように構成された処理ユニットであって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、処理ユニットによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、処理ユニットと、
非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵を送信するように構成されたトランシーバユニットと
を含む。
第11の態様を参照して、第11の態様の第1の可能な実装形態では、処理ユニットは、具体的に、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するように構成され、鍵を導出するために使用される導出規則は、あらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである。
第11の態様を参照して、第11の態様の第2の可能な実装形態では、処理ユニットは、具体的に、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するように構成され、
トランシーバユニットは、鍵を導出するために使用される導出規則をUEに送信するようにさらに構成され、導出規則は、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために、UEによって使用される。
トランシーバユニットは、鍵を導出するために使用される導出規則をUEに送信するようにさらに構成され、導出規則は、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために、UEによって使用される。
第11の態様、または第11の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第11の態様の第3の可能な実装形態では、処理ユニットは、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定することを実施することと
を行うように構成され、
非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵を送信するとき、トランシーバユニットは、具体的に、
各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、処理ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵を送信すること
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定することを実施することと
を行うように構成され、
非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵を送信するとき、トランシーバユニットは、具体的に、
各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、処理ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵を送信すること
を行うように構成される。
第11の態様、または第11の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第11の態様の第4の可能な実装形態では、処理ユニットは、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
第11の態様、または第11の態様の第1もしくは第2の可能な実装形態のうちのいずれか1つを参照して、第11の態様の第5の可能な実装形態では、処理ユニットは、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、決定することと、
各非セルラーネットワークアクセスデバイスグループ用の鍵を決定することであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、決定することと、
各非セルラーネットワークアクセスデバイスグループ用の鍵を決定することであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
第11の態様、または第11の態様の第1から第5の可能な実装形態のうちのいずれか1つを参照して、第11の態様の第6の可能な実装形態では、処理ユニットは、
非セルラーネットワークアクセスデバイス用の鍵を決定した後、鍵に対応する鍵識別子を決定するようにさらに構成され、
トランシーバユニットは、非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵識別子を送信するようにさらに構成される。
非セルラーネットワークアクセスデバイス用の鍵を決定した後、鍵に対応する鍵識別子を決定するようにさらに構成され、
トランシーバユニットは、非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵識別子を送信するようにさらに構成される。
第12の態様によれば、本発明の一実施形態はアクセス認証装置を提供し、装置はユーザ機器UEに適用され、
鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することとを行うように構成された決定ユニットと、
鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成された認証ユニットと
を含む。
鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することとを行うように構成された決定ユニットと、
鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成された認証ユニットと
を含む。
第12の態様を参照して、第12の態様の第1の可能な実装形態では、鍵を決定するとき、決定ユニットは、具体的に、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出するように構成され、
導出規則は、セルラーネットワークアクセスデバイスによって送信されるか、または導出規則は、UEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
導出規則は、セルラーネットワークアクセスデバイスによって送信されるか、または導出規則は、UEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
第13の態様によれば、本発明の一実施形態はアクセス認証装置を提供し、装置は非セルラーネットワークアクセスデバイスに適用され、
セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成されたトランシーバユニットであって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、トランシーバユニットと、
鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成された処理ユニットと
を含む。
セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成されたトランシーバユニットであって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、トランシーバユニットと、
鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成された処理ユニットと
を含む。
第13の態様を参照して、第13の態様の第1の可能な実装形態では、トランシーバユニットは、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するようにさらに構成される。
本発明の目的、技術的解決策、および利点をより明確にするために、以下で、添付の図面を参照して、本発明を詳細にさらに記載する。明らかに、記載される実施形態は、本発明の実施形態のすべてではなく、いくつかにすぎない。創造的な努力なしに、本発明の実施形態に基づいて当業者によって取得されるすべての他の実施形態は、本発明の保護範囲内に入るべきである。
本発明の実施形態は、比較的長い認証時間および高いシグナリングオーバーヘッドの従来技術の問題を解決するために、アクセス認証の方法および装置を提供する。方法および装置の問題解決原理は同じなので、方法実施形態および装置実施形態に相互参照が行われる場合があり、繰り返される説明は提供されない。
最初に、当業者が理解しやすいように、本明細書において提供されるいくつかの用語が説明される。
(1)「セルラーネットワーク」および「セルラーネットワークアクセスデバイス」
「セルラーネットワーク」には、限定はしないが、以下のシステム:ロングタームエボリューション(Long Term Evolution、略してLTE)システム、またはモバイル通信用グローバルシステム(Global System for Mobile communications、略してGSM(登録商標))、符号分割多元接続(Code Division Multiple Access、略してCDMA)システム、時分割多元接続(Time Division Multiple Access、略してTDMA)システム、高帯域符号分割多元接続(Wideband Code Division Multiple Access、略してWCDMA(登録商標))システム、周波数分割多元接続(Frequency Division Multiple Address、略してFDMA)システム、直交周波数分割多元接続(Orthogonal Frequency−Division Multiple Access、略してOFDMA)システム、単一キャリアFDMA(SC−FDMA)システム、汎用パケット無線サービス(General Packet Radio Service、略してGPRS)システム、または3GPPプロトコルに関係するユニバーサルモバイルテレコミュニケーションシステム(Universal Mobile Telecommunications System、略してUMTS)のうちのいずれか1つにおけるセルラーネットワークが含まれる場合がある。
「セルラーネットワーク」には、限定はしないが、以下のシステム:ロングタームエボリューション(Long Term Evolution、略してLTE)システム、またはモバイル通信用グローバルシステム(Global System for Mobile communications、略してGSM(登録商標))、符号分割多元接続(Code Division Multiple Access、略してCDMA)システム、時分割多元接続(Time Division Multiple Access、略してTDMA)システム、高帯域符号分割多元接続(Wideband Code Division Multiple Access、略してWCDMA(登録商標))システム、周波数分割多元接続(Frequency Division Multiple Address、略してFDMA)システム、直交周波数分割多元接続(Orthogonal Frequency−Division Multiple Access、略してOFDMA)システム、単一キャリアFDMA(SC−FDMA)システム、汎用パケット無線サービス(General Packet Radio Service、略してGPRS)システム、または3GPPプロトコルに関係するユニバーサルモバイルテレコミュニケーションシステム(Universal Mobile Telecommunications System、略してUMTS)のうちのいずれか1つにおけるセルラーネットワークが含まれる場合がある。
「セルラーネットワークアクセスデバイス」は、LTEシステムにおけるeNBなどの基地局デバイス、GSM(登録商標)もしくはCDMAシステムにおけるBTS(Base Transceiver Station、トランシーバ基地局)、またはWCDMA(登録商標)システムにおけるノードB(NodeB)であり得るか、あるいは、LTEシステムにおけるSRC(Single RAN Coordinator、単一RANコーディネータ)、またはUMTSにおけるRNC(Radio Network Controller、無線ネットワークコントローラ)などの制御ノードであり得る。
(2)「非セルラーネットワーク」および「非セルラーネットワークアクセスデバイス」
「非セルラーネットワーク」には、限定はしないが、以下のWLANまたはマイクロ波接続用世界規模相互運用(Worldwide Interoperability for Microwave Access、略してWIMAX)ネットワークが含まれる場合がある。
「非セルラーネットワーク」には、限定はしないが、以下のWLANまたはマイクロ波接続用世界規模相互運用(Worldwide Interoperability for Microwave Access、略してWIMAX)ネットワークが含まれる場合がある。
「非セルラーネットワークアクセスデバイス」は、WLANにおけるアクセスポイント(Access Point、略してAP)もしくはアクセスコントローラ(Access Controller、略してAC)であり得るか、またはWIMAXネットワークにおける基地局(Base Station、略してBS)であり得る。
本発明の実施形態では、非セルラーネットワークがWLANであるとき、「非セルラーネットワークアクセスデバイス」は、具体的に、自律型管理アーキテクチャ(すなわち、「ファット」APアーキテクチャ)、または集中型管理アーキテクチャ(すなわち、「シン」「フィット」APアーキテクチャ)を有する場合がある。
自律型管理アーキテクチャでは、WLAN APは、ユーザ機器のアクセス、ユーザ機器の切断、権限認証、セキュリティポリシー実装、データ転送、データ暗号化、およびネットワーク管理などのタスクに関与し、WLAN APの構成およびワイヤレス機能を自律的に制御する。集中型管理アーキテクチャは、「シン」「フィット」APアーキテクチャとも呼ばれ、管理許可は、一般に、アクセスコントローラ(Access Controller、略してAC)に集中される。ACは、ユーザ機器のIPアドレス、認証、暗号化などを管理する。WLAN APは、暗号化、データ転送、および無線周波機能などの機能のみを有し、独立して動作することができない。ワイヤレスアクセスポイントの制御およびプロビジョニング(Control And Provisioning of Wireless Access Points、略してCAPWAP)プロトコルは、WLAN APとACとの間で使用される。場合によっては、WLAN APおよび基地局は、一体となって配備される場合がある。理解および説明を容易にするために、以下では、自律型管理アーキテクチャ、すなわち、「ファット」APアーキテクチャを例として使用する。このことは本発明では限定されない。
(3)論理機能エンティティ
一般に、セルラーネットワークアクセスデバイスおよび非セルラーネットワークアクセスデバイスは、直接互いに通信することはできないが、論理機能エンティティを使用することによって互いに通信する。具体的には、論理機能エンティティは、セルラーネットワーク内のデバイスであり得るか、または非セルラーネットワーク内のデバイスであり得る。
一般に、セルラーネットワークアクセスデバイスおよび非セルラーネットワークアクセスデバイスは、直接互いに通信することはできないが、論理機能エンティティを使用することによって互いに通信する。具体的には、論理機能エンティティは、セルラーネットワーク内のデバイスであり得るか、または非セルラーネットワーク内のデバイスであり得る。
場合によっては、非セルラーネットワークがWLANであるとき、論理機能エンティティは、WLAN内のデバイスであり得るし、具体的には、WLAN終端(WLAN Termination、略してWT)であり得る。WLANでは、WTおよびAPが一緒に配置される場合があるか、またはWTおよびACが一緒に配置される場合があるか、またはWTはAPおよびACから独立している場合がある。
(4)eNB、WT、AP、およびUEの間の対応関係(または接続関係と呼ばれる)
1つのeNBは1つ以上のWTに接続される場合があり、すなわち、1つのeNBは1つ以上のWTをサポートすることができる。1つのWTは1つ以上のAPグループ(AP Group)をサポートすることができる。1つのAP Groupは1つ以上のAPを含む。一般に、1つのWTは1つのeNBに接続される。特に、複数のeNBの共通カバレージエリア内に位置するWTは、複数のeNBに接続される場合がある。1つのAPは1つ以上のUEに接続される場合がある。
1つのeNBは1つ以上のWTに接続される場合があり、すなわち、1つのeNBは1つ以上のWTをサポートすることができる。1つのWTは1つ以上のAPグループ(AP Group)をサポートすることができる。1つのAP Groupは1つ以上のAPを含む。一般に、1つのWTは1つのeNBに接続される。特に、複数のeNBの共通カバレージエリア内に位置するWTは、複数のeNBに接続される場合がある。1つのAPは1つ以上のUEに接続される場合がある。
一般に、eNBはWTと直接通信し、UEは非セルラーネットワーク内のAPと直接通信する。
(5)マルチストリームアグリゲーション
本明細書に記載される「マルチストリームアグリゲーション」は、セルラーネットワークアクセスデバイスとUEとの間の通信用のいくつかのデータ、すなわち、マルチストリームアグリゲーションを実施するためのデータが、非セルラーネットワークアクセスデバイスを使用することによって伝送され、セルラーネットワークアクセスデバイスとUEとの間の通信用の他のデータ、すなわち、マルチストリームアグリゲーションを実施することに使用されないデータが、セルラーネットワークアクセスデバイスとUEとの間で直接伝送されることを意味する。セルラーネットワークアクセスデバイスおよび非セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することによって互いに通信する。
本明細書に記載される「マルチストリームアグリゲーション」は、セルラーネットワークアクセスデバイスとUEとの間の通信用のいくつかのデータ、すなわち、マルチストリームアグリゲーションを実施するためのデータが、非セルラーネットワークアクセスデバイスを使用することによって伝送され、セルラーネットワークアクセスデバイスとUEとの間の通信用の他のデータ、すなわち、マルチストリームアグリゲーションを実施することに使用されないデータが、セルラーネットワークアクセスデバイスとUEとの間で直接伝送されることを意味する。セルラーネットワークアクセスデバイスおよび非セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することによって互いに通信する。
「マルチストリームアグリゲーション」は、ダウンリンクマルチストリームアグリゲーションおよびアップリンクマルチストリームアグリゲーションを含む。セルラーネットワークはダウンリンクマルチストリームアグリゲーションのみをサポートすることができるか、または、セルラーネットワークはアップリンクマルチストリームアグリゲーションのみをサポートすることができるか、または、セルラーネットワークはダウンリンクマルチストリームアグリゲーションとアップリンクマルチストリームアグリゲーションの両方をサポートすることができる。
(6)UE
本発明におけるUEには、ハンドヘルドデバイス、車載デバイス、ウェアラブルデバイス、ワイヤレス通信機能を有するコンピューティングデバイス、もしくはワイヤレスモデムに接続された別の処理デバイス、または様々な形態のユーザ機器が含まれる場合がある。ユーザ機器には、限定はしないが、ステーション(Station、略してSTA)、移動局(Mobile Station、略してMS)、加入者ユニット(Subscriber Unit)、パーソナルコンピュータ(Personal Computer、略してPC)、ラップトップコンピュータ(Laptop Computer、略してLC)、タブレットコンピュータ(Tablet Computer、略してTC)、ネットブック(Netbook)、端末(Terminal)、携帯情報端末(Personal Digital Assistant、略してPDA)、モバイルWiFiホットスポットデバイス(MiFi Devices)、スマートウォッチ、スマートグラスなどが含まれる。UEは、ネットワーク全体に分散される場合がある。説明を容易にするために、本出願では、これらのデバイスはユーザ機器またはUEと呼ばれる。
本発明におけるUEには、ハンドヘルドデバイス、車載デバイス、ウェアラブルデバイス、ワイヤレス通信機能を有するコンピューティングデバイス、もしくはワイヤレスモデムに接続された別の処理デバイス、または様々な形態のユーザ機器が含まれる場合がある。ユーザ機器には、限定はしないが、ステーション(Station、略してSTA)、移動局(Mobile Station、略してMS)、加入者ユニット(Subscriber Unit)、パーソナルコンピュータ(Personal Computer、略してPC)、ラップトップコンピュータ(Laptop Computer、略してLC)、タブレットコンピュータ(Tablet Computer、略してTC)、ネットブック(Netbook)、端末(Terminal)、携帯情報端末(Personal Digital Assistant、略してPDA)、モバイルWiFiホットスポットデバイス(MiFi Devices)、スマートウォッチ、スマートグラスなどが含まれる。UEは、ネットワーク全体に分散される場合がある。説明を容易にするために、本出願では、これらのデバイスはユーザ機器またはUEと呼ばれる。
(7)本明細書内の「および/または」という用語は、関連するオブジェクトを記述するための関連付け関係のみを記載し、3つの関係が存在する場合があることを示す。たとえば、Aおよび/またはBは、以下の3つのケースを表すことができる:Aのみが存在する、AとBの両方が存在する、およびBのみが存在する。加えて、本明細書内の文字「/」は、一般に、関連するオブジェクト間の「または」関係を表す。
本発明の一実施形態はアクセス認証方法を提供する。図1に示されたように、方法は以下のステップを含む。
ステップ101:セルラーネットワークアクセスデバイスが鍵識別子を決定する。
鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
セルラーネットワークアクセスデバイスは、UEのために、論理機能エンティティによって管理されるすべての非セルラーネットワークアクセスデバイス用に同じ鍵識別子を決定することができるか、または、UEのために、論理機能エンティティ内の各非セルラーネットワークアクセスデバイスグループ内のすべての非セルラーネットワークアクセスデバイス用に同じ鍵識別子を決定することができるか、または、UEのために、論理機能エンティティ内のすべての非セルラーネットワークアクセスデバイスグループ内のすべての非セルラーネットワークアクセスデバイス用に異なる鍵識別子を決定することができる。
鍵識別子は、ハッシュ(HASH)アルゴリズムを使用することにより、UEの識別情報および非セルラーネットワークアクセスデバイスの識別子に基づいて、セルラーネットワークアクセスデバイスによって決定される場合がある。代替として、鍵識別子は、UEの識別情報のみに基づいて決定される場合がある。当然、鍵識別子は、別のアルゴリズムを使用することによって決定される場合があり、鍵識別子を決定するためのアルゴリズムは、本発明のこの実施形態では具体的に限定されない。
ステップ102:セルラーネットワークアクセスデバイスがUEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信し、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
本発明のこの実施形態において提供される解決策によれば、セルラーネットワークアクセスデバイスは鍵識別子を決定し、次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を直ちに送信する。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
場合によっては、セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することにより、非セルラーネットワークアクセスデバイスに鍵識別子を送信する。具体的には、論理機能エンティティおよび非セルラーネットワークアクセスデバイスは、専用インターフェースを使用することによって互いに通信する。このことは本発明では限定されない。
場合によっては、UEに鍵識別子を送信するとき、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスの識別子を鍵識別子と関連付け、非セルラーネットワークアクセスデバイスの識別子および鍵識別子を送信する。具体的には、非セルラーネットワークアクセスデバイスの識別子および鍵識別子は、表の形態で送信される場合がある。代替として、非セルラーネットワークアクセスデバイスの識別子および鍵識別子は、個別に送信される場合がある。たとえば、すべての非セルラーネットワークアクセスデバイス用に決定された鍵識別子が同じ場合、1つの鍵識別子のみがUEに送信される必要がある。
セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに鍵識別子を送信する。UEが非セルラーネットワークアクセスデバイスと関連付けられているとき、非セルラーネットワークアクセスデバイスは、UEによって送信された関連付け要求内で搬送された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであるかどうかを判定するだけでよい。鍵識別子が同じであるとき、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによって4方向ハンドシェイク認証を実施する。
非セルラーネットワークアクセスデバイスの識別子は、非セルラーネットワークアクセスデバイスのサービスセット識別子(Service Set Identifier、略してSSID)、または拡張サービスセット識別子(Extended service set Identifier、略してESSID)、または基本サービスセット識別子(Basic Service Set Identifier、略してBSSID)であり得る。非セルラーネットワークアクセスデバイスのBSSIDは、非セルラーネットワークアクセスデバイスの媒体アクセス制御(Medium Access Control、略してMAC)アドレスでもある。UEの識別情報はUEのWLAN MACアドレスであり得る。
具体的には、セルラーネットワークアクセスデバイスがUEに鍵識別子を送信するとき、鍵識別子は、単独で送信される場合があるか、または送信用の相互マスタ鍵セキュリティ関連付け(Pairwise Master Key Security Association、略してPMKSA)情報に含まれる場合があるか、または送信用のLWAコマンドメッセージに含まれる場合がある。代替として、鍵識別子は、送信用に別に新しく定義されたメッセージに含まれる場合があり、そのメッセージはLWAを実施するようにUEに命令するために使用される。
セルラーネットワークアクセスデバイスが非セルラーネットワークアクセスデバイスに鍵識別子を送信するとき、鍵識別子は単独で送信される場合がある。論理機能エンティティおよび非セルラーネットワークアクセスデバイスが同じノードであるとき、鍵識別子は、送信用に、セルラーネットワークアクセスデバイスによって論理機能エンティティに送信されるGPRSトンネリングプロトコル−ユーザプレーン(User plane of GPRS Tunneling Protocol、略してGTP−U)トンネルセットアップメッセージに含まれる場合があるか、または送信用に別に新しく定義されたメッセージに含まれる場合がある。論理機能エンティティおよび非セルラーネットワークアクセスデバイスが同じノードでないとき、セルラーネットワークアクセスデバイスは、GTP−Uトンネルセットアップメッセージに鍵識別子を追加し、論理機能エンティティにGTP−Uトンネルセットアップメッセージを送信する。次いで、論理機能エンティティは、非セルラーネットワークアクセスデバイスにGTP−Uトンネルセットアップメッセージを送信する。
場合によっては、セルラーネットワークアクセスデバイスは、UEおよび/または非セルラーネットワークアクセスデバイスに、以下の
寿命または認証方式指示情報
のうちの少なくとも1つをさらに送信することができる。
寿命または認証方式指示情報
のうちの少なくとも1つをさらに送信することができる。
寿命は鍵識別子および鍵識別子に対応する鍵の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプ(authentication type)を示すために使用される。認証タイプは、認証および鍵管理プロトコル(Authentication and Key Management Protocol、略してAKMP)において指定された認証タイプ、たとえば、802.1X EAP−AKA方式であり得る。
具体的には、前述の情報のうちの少なくとも1つは、送信用にPMSKAに含まれる場合がある。代替として、鍵識別子および前述の情報のうちの少なくとも1つは、送信用に同じメッセージに含まれる場合がある。
場合によっては、鍵識別子に対応する鍵は、限定はしないが、以下の方式を含む方式で決定される場合がある。
第1の実装形態:
鍵識別子に対応する鍵は、セルラーネットワークアクセスデバイスによって決定される場合がある。鍵を決定した後、セルラーネットワークアクセスデバイスは、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信する。したがって、鍵および鍵識別子は、送信用にPMSKAに含まれる場合があるか、または送信用に同じメッセージに含まれる場合がある。具体的なメッセージについては、前述の説明を参照されたく、本発明のこの実施形態において、詳細は再び本明細書に記載されない。
鍵識別子に対応する鍵は、セルラーネットワークアクセスデバイスによって決定される場合がある。鍵を決定した後、セルラーネットワークアクセスデバイスは、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに鍵および鍵識別子を送信する。したがって、鍵および鍵識別子は、送信用にPMSKAに含まれる場合があるか、または送信用に同じメッセージに含まれる場合がある。具体的なメッセージについては、前述の説明を参照されたく、本発明のこの実施形態において、詳細は再び本明細書に記載されない。
セルラーネットワークアクセスデバイスによって決定された鍵は、UEおよびセルラーネットワークアクセスデバイスによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出された鍵であり得る。
鍵識別子は、UEの識別情報および非セルラーネットワークアクセスデバイスの識別子に基づいて、セルラーネットワークアクセスデバイスによって決定される場合があるか、または、UEの識別情報のみに基づいて決定される場合があるか、または、鍵、UEの識別情報、および非セルラーネットワークアクセスデバイスの識別子を使用することによって決定される場合があるか、または、鍵およびUEの識別情報を使用することによって決定される場合がある。
たとえば、PMKID=HMAC−SHA1−128(PMK,”PMK_name”|MAC_AP|MAC_UE)である。
PMKIDは鍵識別子を表し、PMKは鍵を表し、PMK_nameは鍵の名称を表し、MAC_UEはUEの識別情報、すなわち、UEのWLAN MACアドレスを表す。MAC_APは非セルラーネットワークアクセスデバイスの識別子、すなわち、非セルラーネットワークアクセスデバイスのMACアドレスを表す。HMACは、鍵に関するハッシュベースメッセージ認証コード(Hash−based Message Authentication Code)である。SHA1はセキュアハッシュアルゴリズム(Secure Hash Algorithm)である。
第2の実装形態:
鍵識別子に対応する鍵は、所定の導出規則に基づいてセルラーネットワークアクセスデバイスおよびUEによって決定され、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵であり得る。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。所定の導出規則は、交渉により、UEおよびセルラーネットワークアクセスデバイスによってあらかじめ決定される場合がある。
鍵識別子に対応する鍵は、所定の導出規則に基づいてセルラーネットワークアクセスデバイスおよびUEによって決定され、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵であり得る。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。所定の導出規則は、交渉により、UEおよびセルラーネットワークアクセスデバイスによってあらかじめ決定される場合がある。
具体的には、セルラーネットワークアクセスデバイスは、所定の導出規則に基づいて、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定し、次いで、鍵に対応する鍵識別子を決定する。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに鍵識別子および鍵を送信し、UEに鍵識別子を送信する。非セルラーネットワークアクセスデバイスと関連付けられる前に、UEは最初に、所定の導出規則に従って、鍵識別子に対応する鍵を決定する。
UEは、関連付け要求に鍵識別子を追加し、非セルラーネットワークアクセスデバイスに関連付け要求を送信する。次いで、UEによって送信された受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであると非セルラーネットワークアクセスデバイスが判断した場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク手順を実行する。4方向ハンドシェイク認証が成功した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを使用することにより、UEとマルチストリームアグリゲーションデータ伝送を実施することができる。
第3の実装形態:
セルラーネットワークアクセスデバイスは、UEおよびセルラーネットワークアクセスデバイスによって共有される鍵を使用することにより、導出規則に基づいて鍵識別子を導出する。次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに導出規則を送信し、非セルラーネットワークアクセスデバイスに、セルラーネットワークアクセスデバイスおよびUEによって共有される鍵を送信する。鍵識別子を受信した後、UEおよび非セルラーネットワークアクセスデバイスは、共有された鍵に従って同じ導出規則に基づいて、鍵識別子に対応する鍵を導出する。したがって、導出された鍵は同じである。
セルラーネットワークアクセスデバイスは、UEおよびセルラーネットワークアクセスデバイスによって共有される鍵を使用することにより、導出規則に基づいて鍵識別子を導出する。次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに導出規則を送信し、非セルラーネットワークアクセスデバイスに、セルラーネットワークアクセスデバイスおよびUEによって共有される鍵を送信する。鍵識別子を受信した後、UEおよび非セルラーネットワークアクセスデバイスは、共有された鍵に従って同じ導出規則に基づいて、鍵識別子に対応する鍵を導出する。したがって、導出された鍵は同じである。
次いで、UEは、関連付け要求に鍵識別子を追加し、非セルラーネットワークアクセスデバイスに関連付け要求を送信する。次いで、UEによって送信された受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであると非セルラーネットワークアクセスデバイスが判断した場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク手順を実行する。4方向ハンドシェイク認証が成功した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを使用することにより、UEとマルチストリームアグリゲーションデータ伝送を実施することができる。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティは同じノードである。非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードであることは、非セルラーネットワークアクセスデバイスおよび論理機能エンティティの機能が1つのデバイスを使用することによって実装されることであり得るか。または論理機能エンティティが非セルラーネットワークアクセスデバイス内に構築されることであり得る。論理機能エンティティが非セルラーネットワークアクセスデバイス内に構築される場合、論理機能エンティティと非セルラーネットワークアクセスデバイスとの間の内部インターフェースが存在し、論理機能エンティティおよび非セルラーネットワークアクセスデバイスは、内部インターフェースを使用することによって情報を交換する。
セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵識別子を決定することができる。
セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。測定報告は、UEが位置するWLANの信号品質を含む。セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
具体的には、セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。
セルラーネットワークアクセスデバイスは、UEのために選択された非セルラーネットワークアクセスデバイスに対応する鍵識別子を決定する。鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
鍵識別子に対応する鍵を決定する方式については、第1から第3の実装形態のうちのいずれか1つを参照されたく、本発明のこの実施形態において、詳細は再び本明細書に記載されない。
次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに、UEのために選択された非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信する。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵識別子を決定することができる。
セルラーネットワークアクセスデバイスは、UEと関連付けられるべき非セルラーネットワークアクセスデバイスが属する論理機能エンティティを決定する。セルラーネットワークアクセスデバイスは、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスを決定する。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスに対応する鍵識別子を決定することを実施する。鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
UEと関連付けられるべき非セルラーネットワークアクセスデバイスは、UEのためにセルラーネットワークアクセスデバイスによって選択される。関連付けられるべき非セルラーネットワークアクセスデバイスは、論理機能エンティティを決定するために選択され、その結果、論理機能エンティティによって管理されるすべての非セルラーネットワークアクセスデバイスを決定することができる。具体的な選択方式は以下の通りであり得る:セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。たとえば、セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
次いで、セルラーネットワークアクセスデバイスは、以下の方式で、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信する。
セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することにより、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信する。鍵識別子リストは、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む。
したがって、UEが非セルラーネットワークアクセスデバイスと関連付けられているとき、非セルラーネットワークアクセスデバイスが選択され、選択された非セルラーネットワークアクセスデバイスの識別子が鍵識別子リスト内の非セルラーネットワークアクセスデバイスの識別子と同じであるかどうかが判定される。識別子が同じである場合、その非セルラーネットワークアクセスデバイスが対象の非セルラーネットワークアクセスデバイスとして使用される。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵識別子を決定することができる。
セルラーネットワークアクセスデバイスは、UEと関連付けられるべき非セルラーネットワークアクセスデバイスを決定し、非セルラーネットワークアクセスデバイスに対応する鍵識別子を決定する。鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
UEと関連付けられるべき非セルラーネットワークアクセスデバイスは、UEのためにセルラーネットワークアクセスデバイスによって選択される。具体的な選択方式は以下の通りであり得る:セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。たとえば、セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
次いで、セルラーネットワークアクセスデバイスは、以下の方式で、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信する。
セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスが属する論理機能エンティティを決定する。次いで、セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することにより、非セルラーネットワークアクセスデバイスに、非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに、非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信する。
したがって、非セルラーネットワークアクセスデバイスと関連付けられるとき、UEは、セルラーネットワークアクセスデバイスによって示された非セルラーネットワークアクセスデバイスと関連付けられる。セルラーネットワークアクセスデバイスによって示された非セルラーネットワークアクセスデバイスは、前述の鍵識別子に対応する非セルラーネットワークアクセスデバイスである。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵識別子を決定することができる。
セルラーネットワークアクセスデバイスは、UEと関連付けられるべき非セルラーネットワークアクセスデバイスが属する論理機能エンティティを決定する。論理機能エンティティは、関連付けられるべき非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する。
セルラーネットワークアクセスデバイスは、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定する。少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子は同じであり、鍵識別子は、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
セルラーネットワークアクセスデバイスがUEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信することは、
論理機能エンティティを使用することによってセルラーネットワークアクセスデバイスにより、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信するステップ
を含む。
論理機能エンティティを使用することによってセルラーネットワークアクセスデバイスにより、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定された鍵識別子を個別に送信するステップ
を含む。
本発明の一実施形態はアクセス認証方法をさらに提供する。図2に示されたように、方法は以下のステップを含む。
ステップ201:UEがセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。
鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
ステップ202:UEが鍵識別子に対応する鍵を決定する。
ステップ203:UEが、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
場合によっては、UEは、限定はしないが、以下の方式を含む方式で鍵識別子に対応する鍵を決定することができる。
第1の実装形態:
UEは、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信する。
UEは、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信する。
具体的には、セルラーネットワークアクセスデバイスが鍵識別子を送信すると同時に、セルラーネットワークアクセスデバイスは鍵識別子に対応する鍵を送信する。当然、鍵および鍵識別子は個別に送信される場合がある。このことは本発明のこの実施形態では具体的に限定されない。
第2の実装形態:
UEは、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定する。
UEは、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定する。
具体的には、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するとき、UEは、セルラーネットワークアクセスデバイスと交渉して、鍵識別子に対応する鍵を決定する方式を取得することができる。次いで、UEは、決定方式に基づいて鍵識別子に対応する鍵を決定する。代替として、UEは、鍵識別子に対応する鍵を決定するための導出規則を取得する。次いで、UEは、導出規則に基づいて鍵識別子に対応する鍵を決定する。
第3の実装形態:
UEは、所定の導出規則に従って、鍵識別子に対応する鍵を決定する。
UEは、所定の導出規則に従って、鍵識別子に対応する鍵を決定する。
所定の導出規則は、前もってセルラーネットワークアクセスデバイスによって送信される場合がある。代替として、UEは、前もってセルラーネットワークアクセスデバイスと交渉して導出規則を取得し、次いで、UEは導出規則を記憶する。所定の導出規則は、UEのために鍵識別子に対応する鍵を決定するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。所定の導出規則に従って鍵を導出した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに取得された鍵を送信する。
したがって、UEが、非セルラーネットワークアクセスデバイスに、鍵識別子を搬送する関連付け要求を送信すると、非セルラーネットワークアクセスデバイスは、受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであるかどうかを判定する。鍵識別子が同じである場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク認証を実施する。
場合によっては、UEが、セルラーネットワークアクセスデバイスによって送信され、非セルラーネットワークアクセスデバイスと関連付けるためにUEによって使用される鍵識別子を受信することは、
UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するステップあって、鍵識別子リストが、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含む。
UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するステップあって、鍵識別子リストが、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップ
を含む。
各非セルラーネットワークアクセスデバイスの識別子は、非セルラーネットワークアクセスデバイスグループ内にあり、セルラーネットワークアクセスデバイスによって示された非セルラーネットワークアクセスデバイスの識別子である。
UEが、受信された鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することは、
UEにより、鍵識別子リストが対象の非セルラーネットワークアクセスデバイスの識別子を含むと判断するステップと、
UEにより、対象の非セルラーネットワークアクセスデバイスの識別子であり、鍵識別子リスト内にある識別子に対応する鍵識別子、および鍵識別子に対応する鍵に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む。
UEにより、鍵識別子リストが対象の非セルラーネットワークアクセスデバイスの識別子を含むと判断するステップと、
UEにより、対象の非セルラーネットワークアクセスデバイスの識別子であり、鍵識別子リスト内にある識別子に対応する鍵識別子、および鍵識別子に対応する鍵に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を含む。
場合によっては、UEは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、複数の非セルラーネットワークアクセスデバイスの識別子に対応する。各非セルラーネットワークアクセスデバイスの識別子は、非セルラーネットワークアクセスデバイスグループ内にあり、セルラーネットワークアクセスデバイスによって示された非セルラーネットワークアクセスデバイスの識別子である。
UEは、複数の非セルラーネットワークアクセスデバイスの識別子が対象の非セルラーネットワークアクセスデバイスの識別子を含むと判断する。
UEは、対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子、および鍵識別子に対応する鍵に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
場合によっては、UEは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、1つの非セルラーネットワークアクセスデバイスの識別子に対応する。UEは、その非セルラーネットワークアクセスデバイスが対象の非セルラーネットワークアクセスデバイスであると判断する。
UEは、対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子、および鍵識別子に対応する鍵に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
本発明のこの実施形態において提供される解決策によれば、UEはセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。次いで、UEは鍵識別子に対応する鍵を決定する。UEは、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
本発明の一実施形態はアクセス認証方法をさらに提供する。図3に示されたように、方法は以下のステップを含む。
ステップ301:非セルラーネットワークアクセスデバイスがセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたUEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される。
ステップ302:非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信すると、非セルラーネットワークアクセスデバイスが、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施する。
具体的には、UEは、関連付け要求に鍵識別子を追加し、非セルラーネットワークアクセスデバイスに関連付け要求を送信する。次いで、UEによって送信された受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであると非セルラーネットワークアクセスデバイスが判断した場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク手順を実行する。4方向ハンドシェイク認証が成功した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを使用することにより、UEとマルチストリームアグリゲーションデータ伝送を実施することができる。
本発明のこの実施形態において提供される解決策によれば、非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、ユーザ機器UEに命令するために使用される。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
以下で、インスタンスを参照して本発明の実施形態を具体的に記載する。以下のインスタンスでは、セルラーネットワークがLTEネットワークであり、セルラーネットワークアクセスデバイスがeNBであり、非セルラーネットワークがWLANであり、非セルラーネットワークアクセスデバイスがAPであり、論理機能エンティティがWTである例が説明に使用される。
図4Aおよび図4Bを参照すると、図4Aおよび図4Bは、本発明の一実施形態による、オフローディングおよびアグリゲーションネットワークシステムの概略構造図である。この実施形態では、APはLTEデータ伝送をサポートし支援する。加えて、本発明のこの実施形態におけるネットワークシステムは、APを管理するために使用されるWTをさらに含む場合がある。図4Aに示されたように、WTおよびAPは同じノードであり得る。代替として、図4Bに示されたように、WTおよびAPは異なるノードであり得る。UE、eNB、およびWTは、ワイヤレス方式で接続され、たとえば、エアインターフェースを使用することによって通信することができる。WTおよびAPが異なるノードである場合、WTおよびAPは有線方式で接続される。
図5を参照すると、図5は、本発明の一実施形態による、アクセス認証方法の概略図である。図5におけるオプションのステップは破線を使用することによって示される。
ステップ501:eNBがUE用のPMKIDを決定する。
PMKIDは鍵識別子である。PMKIDは、PMKIDに対応するPMKに従ってセキュリティ認証を実施するために、UEおよびAPによって使用される。
ステップ502:eNBがUEにPMKIDを送信する。
PMKIDは、単独で送信される場合があるか、または送信用のPMKSA情報に含まれる場合がある。代替として、PMKIDは、送信用に、eNBによってUEに配信されるLWAコマンドメッセージに含まれる場合があるか、または送信用に別に新しく定義されたメッセージに含まれる場合がある。そのメッセージは、無線リソース制御(Radio Resource Control、略してRRC)接続再構成メッセージ内で搬送され、LWAを実施するようにUEに命令するために使用される場合がある。RRC接続再構成が完了した後、RRC接続再構成完了メッセージがeNBに送信される。
PMKIDに加えて、LWAコマンドメッセージは、WLAN APの識別子およびWLAN AP groupの識別子をさらに含む場合がある。APの識別子はBSSID/ESSID/SSIDであり得る。AP groupの識別子はWLAN AP識別子リストを含む。
PMKSA情報は、送信用のLWAコマンドメッセージに含まれる場合があるか、または送信用に別に新しく定義されたメッセージに含まれる場合がある。
本発明のこの実施形態では、PMKIDがPMKSA情報に含まれ、PMKSA情報が送信用のLWAコマンドメッセージに含まれる例が説明に使用される。
PMKSA情報はPMKIDを含み、以下をさらに含む場合がある。
(1)AP/AP groupのMACアドレス。
(2)PMK。PMKはWLAN認証を支援するためにeNBによって使用される鍵である。PMKは、eNBおよびUEによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出された鍵であり得る。PMKはオプションである。
PMKSA情報がPMKを含まない場合、eNBは鍵を導出するための導出規則を前もってUEに送信することができるか、または、eNBおよびUEは共有された鍵をPMKとして使用することに同意する。
(3)PMKIDの有効期間およびPMKの有効期間を示すために使用される寿命(lifetime)。Lifetimeはオプションである。
(4)認証方式指示情報。認証方式指示情報は、UEによって使用される認証タイプを示すために使用される。認証タイプは、AKMP内で指定された認証タイプ、たとえば、802.1X EAP−AKAキャッシング方式であり得る。
(5)UEのWLAN MACアドレス。
PMKIDは、UEの識別情報に基づいてeNBによって決定される場合がある。UEの識別情報はUEのWLAN MACアドレスであり得る。PMKIDは、APの識別子およびUEの識別情報に基づいて決定される場合があるか、またはUEの識別情報のみに基づいて決定される場合があるか、または鍵PMK、UEの識別情報、およびAPの識別子を使用することによって決定される場合があるか、または鍵PMKおよびUEの識別情報を使用することによって決定される場合がある。PMKIDがUEの識別情報に基づいて決定されるとき、eNBは、すべてのUEのPMKIDが異なることを保証するために、UEごとにcounterを保持する。
たとえば、PMKID=HMAC−SHA1−128(PMK,”PMK_name”|MAC_AP|MAC_UE)である。
PMK_nameは鍵の名称を表し、MAC_UEはUEの識別情報、すなわち、UEのWLAN MACアドレスを表す。MAC_APはAPの識別子、すなわち、APのMACアドレスを表す。HMACは、鍵に関するハッシュベースメッセージ認証コード(Hash−based Message Authentication Code)である。SHA1はセキュアハッシュアルゴリズム(Secure Hash Algorithm)である。
場合によっては、ステップ501の前に、方法は、eNBにより、UEの識別情報、たとえば、UEのWLAN MACアドレスを取得することをさらに含む場合がある。具体的には、eNBは、識別情報を報告するようにUEに能動的に要求することができるか、または識別情報は、UE能力報告メッセージ内で搬送される。
場合によっては、ステップ501の前に、方法は以下のステップをさらに含む場合がある。
ステップ501a:eNBがUEに測定構成要求メッセージを送信する。
測定構成要求メッセージは、UEが位置するWLANの信号品質を測定するようにUEに要求するために使用される。UEはWLANの信号品質を測定し、測定結果を取得する。
ステップ501b:UEがeNBに測定結果を報告する。
測定結果は、WLAN内のAPの識別子、およびAPの識別子に対応する信号品質値を含む。
したがって、eNBは、測定結果に従って、LWAデータ伝送を実施するためのWTを決定する。具体的には、測定結果に従って、最も強い信号を提供するAPが、UEに関連付けられるべきAPとして選択される場合がある。次いで、APが属するWTが決定され、そのWTは、LWAデータ伝送を実施するためのWTとして使用される。
ステップ501において、eNBは、UEのために、WT内のすべてのAP用に同じ鍵識別子を決定することができるか、または、UEのために、WT内の各AP group内のすべてのAP用に同じ鍵識別子を決定することができるか、または、UEのために、WT内のすべてのAP group内のすべてのAP用に異なる鍵識別子を決定することができる。加えて、鍵識別子が同じであるとき、鍵も同じである。鍵識別子が異なるとき、鍵も異なる。
ステップ503:eNBがWTにPMKIDを送信する。
WTは、WTとAPとの間の専用インターフェースを使用することにより、APにPMKIDを送信することができる。
PMKIDは単独で送信される場合があるか、またはGTP−Uトンネルセットアップメッセージに含まれ、WTに送信される場合がある。PMKIDがGTP−Uトンネルセットアップメッセージを使用することによって送信される場合、ステップ503はステップ502の前に実施される必要がある。PMKIDが別の方式で送信される場合、ステップ503およびステップ502を実施するための順序は限定されない。
加えて、PMKIDに対応するPMKがWTにさらに送信される場合がある。鍵も、GTP−Uトンネルセットアップメッセージに含まれ、WTに送信される場合がある。
PMKはWLAN認証を支援するためにeNBによって使用される鍵である。PMKは、eNBおよびUEによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出された鍵であり得る。
場合によっては、ステップ503の前に、方法は以下のステップをさらに含む場合がある。
ステップ503a:WTがeNBに鍵要求メッセージを送信し、鍵要求メッセージは鍵およびPMKIDを取得するように要求するために使用される。
ステップ503aとステップ501およびステップ502の各々との間の時間順序は限定されない。図5は例としてのみ使用され、時間順序を限定するものではない。
次いで、ステップ503において、eNBは鍵要求応答メッセージに、PMKIDおよび鍵導出規則、またはPMKIDおよびPMKを追加し、WTに鍵要求応答メッセージを送信する。
当然、eNBは、PMKIDおよび鍵導出規則、またはPMKIDおよびPMKをWTに能動的に送信することができる。
ステップ504:UEがWLAN APに関連付け要求メッセージを送信し、関連付け要求メッセージはPMKIDを搬送する。
具体的には、eNBがUEにAP groupの識別子リストを示す場合、UEはアクセス用にAP groupからAPを自律的に選択する。eNBがUEにAPの識別子を示す場合、UEは示されたAPに直接アクセスする。
WLAN APと関連付ける前に、UEは最初に、有効な対象APのPMKが存在するかどうかを判定する、すなわち、PMKSA情報内のAPのBSSIDが関連付けられるべきAPのBSSIDと一致するかどうかをチェックする。BSSIDが一致する場合、APのBSSIDに対応するPMKが使用される。PMKIDが関連付け要求メッセージに含まれ、WLAN APが関連付け要求メッセージに含まれるPMKIDを受信した後、APは、関連付け要求メッセージに含まれるPMKIDと同じPMKIDがPMKSA情報内に存在するかどうかをチェックする。そのようなPMKIDが存在する場合、UEおよびAPはそのPMKを使用して4方向ハンドシェイク認証を実施する。
場合によっては、方法は以下のステップをさらに含む場合がある。
ステップ505:UEが、LWAが成功したか失敗したかを示すために使用されるメッセージをeNBに送信する。
eNBがUEによって送信されたLWA成功メッセージを受信すると、方法は以下のステップをさらに含む。
ステップ506:eNBがAPを使用することによってUEとのLWAデータ伝送を実施する。
本発明のこの実施形態において提供される解決策によれば、eNBは鍵識別子を決定する。次いで、eNBは、UEおよびAPに決定された鍵識別子を直ちに送信する。UEとAPの両方は鍵識別子を取得する。したがって、UEおよびAPは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図6を参照すると、図6は、本発明の一実施形態による、別のアクセス認証方法の概略図である。
ステップ601:eNBがUEにLWA開始コマンドメッセージを配信する。
たとえば、LWA開始コマンドメッセージは、active APメッセージであり、APにアクセスするようにUEに命令するために使用される場合がある。LWA開始コマンドメッセージは、WLAN APのBSSIDを含む場合がある。LWA開始コマンドメッセージは、UEのセキュリティポリシーをさらに含む場合がある。セキュリティポリシーはLWA typeのセキュリティポリシーであり、LWA typeは新しく追加された認証タイプである。
ステップ601の前に、eNBは、WLAN信号品質を測定し報告するようにUEに命令することができる。eNBは、UEによって送信された測定報告結果に従って、LWAデータ伝送を実施するために適切なWLANを追加することを決定する。一般に、eNBは、セルラーネットワーク負荷および/またはUEの加入情報に従って、WLAN信号品質を測定し報告するようにUEに命令するべきかどうかを判定する。
ステップ602:UEがビーコン(beacon)フレームを聴くこと、またはプローブ(Probe)フレームを送信することにより、指定されたAPを発見する。
APは、beaconまたはProbeの確認応答(Acknowledgement、略してACK)フレームに、ロバストセキュリティネットワーク(Robust Security Network、略してRSN)情報要素を追加する。RSN情報要素は、指定されたAPによってサポートされるセキュリティポリシーを示し、セキュリティポリシーは新しく追加された認証タイプ:LWAタイプのセキュリティポリシーである。
RSN情報要素は自動鍵管理(Automatic Key Management、略してAKM)情報要素を含み、AKM情報要素は認証タイプを示すために使用される。
ステップ602の前に、eNBは、eNBとWLANとの間のXwインターフェースを使用することによってAPに指示情報をさらに送信することができ、指示情報は、MSAタイプが認証タイプとしてのみ使用されることを示すために使用される。
ステップ603:UEおよびAPが認証プロセス(open authentication)を開始する。
ステップ604:UEがAPに関連付け要求(Association request)メッセージを起こす。
関連付け要求メッセージは、UEによって予想されるセキュリティポリシーを含む。たとえば、認証タイプはLWAタイプである。このようにして、UEおよびAPはセキュリティポリシーに関する交渉を完了する。
ステップ605:APがeNBに鍵要求メッセージを送信する。
鍵要求メッセージを受信した後、eNBは、アクセスネットワーク側の鍵および所定の導出規則に従って新しい鍵を導出し、応答メッセージを使用することにより、APに導出された鍵を送信する。
ステップ606:APがUEに関連付け応答メッセージを返信する。
UEおよびAPは関連付けを完了する。
ステップ607:UEが、APから関連付け応答メッセージを受信した後、所定の導出規則に従って鍵を導出する。
次いで、UEおよびAPは、導出された鍵に従ってWLAN 4方向ハンドシェイクセキュリティ認証を完了する。
ステップ608:UEがeNBにLWA確認応答メッセージを送信する。
ステップ609:eNBおよびUEがAPを使用することによってLWAデータ伝送を実施する。
図1に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証装置をさらに提供する。装置は、セルラーネットワークアクセスデバイス内に配置される場合があるか、またはセルラーネットワークアクセスデバイスであり得るか、またはセルラーネットワークアクセスデバイスとは異なるが、セルラーネットワークアクセスデバイスと通信することができる独立した装置であり得る。図7に示されたように、アクセス認証装置は、
鍵識別子を決定するように構成された決定ユニット701と、
UEおよび非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵識別子を個別に送信するように構成された送信ユニット702であって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、送信ユニット702と
を含む。
鍵識別子を決定するように構成された決定ユニット701と、
UEおよび非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵識別子を個別に送信するように構成された送信ユニット702であって、鍵識別子が、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される、送信ユニット702と
を含む。
場合によっては、決定ユニット701は以下の方式:
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定すること、および論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施すること
で鍵識別子を決定することができる。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定すること、および論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施すること
で鍵識別子を決定することができる。
送信ユニット702は、具体的に、以下の方式で、UEおよび非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵識別子を個別に送信することができる。方式は、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、送信することを含む。
場合によっては、決定ユニット701は以下の方式:
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定すること、および少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定すること
で鍵識別子を決定することができる。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定すること、および少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定すること
で鍵識別子を決定することができる。
送信ユニット702は、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵識別子を個別に送信する。
場合によっては、決定ユニット701は鍵を決定するようにさらに構成され、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
送信ユニット702は、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵および鍵識別子を送信する。
場合によっては、決定ユニット701は所定の導出規則に基づいて鍵を決定し、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則は、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである。
送信ユニット702は、具体的に、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに、決定ユニット701によって決定された鍵および鍵識別子を送信し、UEに鍵識別子を送信するように構成される。
場合によっては、送信ユニット702は、UEおよび/または非セルラーネットワークアクセスデバイスに、以下の
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。認証タイプは、AKMP内で指定された認証タイプ、たとえば、802.1X EAP−AKAキャッシング方式であり得る。
アクセス認証装置、および図1に描写された実施形態において提供されたアクセス認証方法は、同じ発明構想に基づくことに留意されたい。方法および装置の問題解決原理は同様である。したがって、方法および装置の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、セルラーネットワークアクセスデバイスは鍵識別子を決定し、次いで、セルラーネットワークアクセスデバイスは、UEおよび非セルラーネットワークアクセスデバイスに決定された鍵識別子を直ちに送信する。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図2に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証装置をさらに提供する。装置はユーザ機器内に配置される場合があるか、またはユーザ機器であり得る。図8に示されたように、装置は、
受信ユニット801と、決定ユニット802と、認証ユニット803と
を含む。
受信ユニット801と、決定ユニット802と、認証ユニット803と
を含む。
受信ユニット801は、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、認証ユニットに命令するために使用される。
決定ユニット802は、受信ユニット801によって受信された鍵識別子に対応する鍵を決定するように構成される。
認証ユニット803は、受信ユニット801によって受信された鍵識別子および決定ユニット802によって決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成される。
場合によっては、決定ユニット802は、具体的に、受信ユニット801が、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信すると、鍵識別子に対応する鍵を決定すること、または、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定すること、または、所定の導出規則に従って、鍵識別子に対応する鍵を決定することを行うように構成される。
場合によっては、受信ユニット801は、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するように構成され、鍵識別子リストは、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む。
決定ユニット802は、対象の非セルラーネットワークアクセスデバイスを決定するようにさらに構成される。
認証ユニット803は、具体的に、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、決定ユニットまたはセルラーネットワークアクセスデバイスによって決定される。
アクセス認証装置、および図2に描写された実施形態において提供されたアクセス認証方法は、同じ発明構想に基づくことに留意されたい。方法および装置の問題解決原理は同様である。したがって、方法および装置の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、UEはセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。次いで、UEは鍵識別子に対応する鍵を決定する。UEは、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図3に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証装置をさらに提供する。装置は、非セルラーネットワークアクセスデバイス内に配置される場合があるか、または非セルラーネットワークアクセスデバイスであり得るか、または非セルラーネットワークアクセスデバイスと通信することができる独立した装置であり得る。図9に示されたように、装置は、
受信ユニット901と、認証ユニット902と
を含む。
受信ユニット901と、認証ユニット902と
を含む。
受信ユニット901は、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、アクセス認証装置に関連付けられたユーザ機器UEとセキュリティ認証を実施するように、認証ユニットに命令するために使用される。
認証ユニット902は、認証ユニットが属する非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求を受信ユニット901が受信すると、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
アクセス認証装置、および図3に描写された実施形態において提供されたアクセス認証方法は、同じ発明構想に基づくことに留意されたい。方法および装置の問題解決原理は同様である。したがって、方法および装置の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、受信ユニットは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、アクセス認証装置に関連付けられたUEとセキュリティ認証を実施するように、認証ユニットに命令するために使用され、鍵識別子は、鍵識別子に対応する鍵に基づいて、認証ユニットが属するアクセス認証装置とセキュリティ認証を実施するように、UEに命令するために使用される。UEとアクセス認証装置の両方が鍵識別子を取得する。したがって、UEおよびアクセス認証装置は、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図1に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はセルラーネットワークアクセスデバイスをさらに提供する。図10に示されたように、デバイスは、トランシーバ1001と、プロセッサ1002と、メモリ1003とを含む。トランシーバ1001、プロセッサ1002、およびメモリ1003は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図10において、メモリ1003、プロセッサ1002、およびトランシーバ1001は、バス1004を使用することによって互いに接続される。図10において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図10において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ1003は、プロセッサ1002によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリ(random−access memory、略してRAM)などの揮発性メモリ(volatile memory)であり得る。代替として、メモリ1003は、読取り専用メモリ(read−only memory、略してROM)、フラッシュメモリ(flash memory)、ハードディスクドライブ(hard disk drive、略してHDD)、または半導体ドライブ(solid−state drive、略してSSD)などの不揮発性メモリ(non−volatile memory)であり得る。代替として、メモリ1003は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ1003は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ1002は、中央処理装置(central processing unit、略してCPU)であり得る。
プロセッサ1002は鍵識別子を決定する。次いで、トランシーバ1001は、UEおよび非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵識別子を個別に送信するように構成される。鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、UEに命令するために使用される。
場合によっては、プロセッサ1002は以下の方式:
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップ、および論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施するステップ
で鍵識別子を決定することができる。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップ、および論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施するステップ
で鍵識別子を決定することができる。
トランシーバ1001は、具体的に、以下の方式で、UEおよび非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵識別子を個別に送信することができる。方式は、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵識別子を送信し、UEに鍵識別子リストを送信するステップであって、鍵識別子リストが、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む、ステップを含む。
場合によっては、プロセッサ1002は以下の方式:
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップ、および少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップ
で鍵識別子を決定することができる。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップ、および少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定するステップであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、鍵識別子が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップ
で鍵識別子を決定することができる。
トランシーバ1001は、UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵識別子を個別に送信する。
場合によっては、プロセッサ1002は鍵を決定するようにさらに構成され、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
トランシーバ1001は、鍵を鍵識別子と関連付けた後、UEおよび非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵および鍵識別子を送信する。
場合によっては、プロセッサ1002は所定の導出規則に基づいて鍵を決定し、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、所定の導出規則は、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するためにUEによって使用される導出規則と同じである。
トランシーバ1001は、具体的に、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイスに、プロセッサ1002によって決定された鍵および鍵識別子を送信し、UEに鍵識別子を送信するように構成される。
場合によっては、プロセッサ1002は、UEおよび/または非セルラーネットワークアクセスデバイスに、以下の
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUEによって使用される認証タイプを示すために使用される。認証タイプは、認証および鍵管理プロトコル内で指定された認証タイプ、たとえば、802.1X EAP−AKAキャッシング方式であり得る。
セルラーネットワークアクセスデバイス、図1に描写された実施形態において提供されたアクセス認証方法、および図7に示されたアクセス認証装置は、同じ発明構想に基づくことに留意されたい。方法、装置、およびデバイスの問題解決原理は同様である。したがって、デバイス、装置、および方法の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
図2に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はユーザ機器をさらに提供する。図11に示されたように、ユーザ機器は、トランシーバ1101と、プロセッサ1102と、メモリ1103とを含む。トランシーバ1101、プロセッサ1102、およびメモリ1103は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図11において、メモリ1103、プロセッサ1102、およびトランシーバ1101は、バス1104を使用することによって互いに接続される。図11において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図11において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ1103は、プロセッサ1102によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリなどの揮発性メモリであり得る。代替として、メモリ1103は、読取り専用メモリ、フラッシュメモリ、ハードディスクドライブ、または半導体ドライブなどの不揮発性メモリであり得る。代替として、メモリ1103は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ1103は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ1102はCPUであり得る。
トランシーバ1101は、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、プロセッサ1102に命令するために使用される。
プロセッサ1102は、トランシーバ1101によって受信された鍵識別子に対応する鍵を決定し、トランシーバ1101によって受信された鍵識別子およびプロセッサ1102によって決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成される。
場合によっては、プロセッサ1102は、具体的に、トランシーバ1101が、鍵識別子に対応し、セルラーネットワークアクセスデバイスによって送信された鍵を受信すると、鍵識別子に対応する鍵を決定すること、または、セルラーネットワークアクセスデバイスと交渉することにより、鍵識別子に対応する鍵を決定すること、または、所定の導出規則に従って、鍵識別子に対応する鍵を決定することを行うように構成される。
場合によっては、トランシーバ1101は、具体的に、セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するように構成され、鍵識別子リストは、関連付けるためにUEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を含む。
プロセッサ1102は、対象の非セルラーネットワークアクセスデバイスを決定し、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するようにさらに構成され、対象の非セルラーネットワークアクセスデバイスは、プロセッサ1102またはセルラーネットワークアクセスデバイスによって決定される。
ユーザ機器、図2に描写された実施形態において提供されたアクセス認証方法、および図8に示されたアクセス認証装置は、同じ発明構想に基づくことに留意されたい。方法、装置、およびユーザ機器の問題解決原理は同様である。したがって、ユーザ機器、装置、および方法の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、UEはセルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。次いで、UEは鍵識別子に対応する鍵を決定する。UEは、受信された鍵識別子および決定された鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図3に描写された方法実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態は非セルラーネットワークアクセスデバイスをさらに提供する。図12に示されたように、デバイスは、トランシーバ1201と、プロセッサ1202と、メモリ1203とを含む。トランシーバ1201、プロセッサ1202、およびメモリ1203は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図12において、メモリ1203、プロセッサ1202、およびトランシーバ1201は、バス1204を使用することによって互いに接続される。図12において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図12において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ1203は、プロセッサ1202によって実行されるプログラムコードを記憶するように構成され、RAMなどのvolatile memoryであり得る。代替として、メモリ1203は、ROM、フラッシュメモリ、HDD、またはSSDなどのnon−volatile memoryであり得る。代替として、メモリ1203は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ1203は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ1202はCPUであり得る。
トランシーバ1201は、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、プロセッサ1202に命令するために使用される。
プロセッサ1202は、プロセッサ1202が属する非セルラーネットワークアクセスデバイスと関連付けるためにUEによって起こされた関連付け要求をトランシーバ1201が受信すると、鍵識別子に対応する鍵に基づいてUEとセキュリティ認証を実施するように構成される。
非セルラーネットワークアクセスデバイス、図3に描写された実施形態において提供されたアクセス認証方法、および図9に示されたアクセス認証装置は、同じ発明構想に基づくことに留意されたい。方法、装置、およびデバイスの問題解決原理は同様である。したがって、デバイス、装置、および方法の実装形態に対して相互参照が行われる場合があり、繰り返される説明は提供されない。
本発明のこの実施形態において提供される解決策によれば、非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用され、鍵識別子は、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、ユーザ機器UEに命令するために使用される。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
図13を参照すると、本発明の一実施形態はアクセス認証システムを提供する。システムは、
セルラーネットワークアクセスデバイス1301と、UE1302と、少なくとも1つの非セルラーネットワークアクセスデバイス1303とを含む。セルラーネットワークアクセスデバイス1301、UE1302、および少なくとも1つの非セルラーネットワークアクセスデバイス1303は、ワイヤレス方式で互いに接続される場合がある。図13に示されたシステムが2つの非セルラーネットワークアクセスデバイスを含む例が説明に使用される。図13は一例にすぎず、デバイスの数、デバイスの構造などは具体的に限定されない。
セルラーネットワークアクセスデバイス1301と、UE1302と、少なくとも1つの非セルラーネットワークアクセスデバイス1303とを含む。セルラーネットワークアクセスデバイス1301、UE1302、および少なくとも1つの非セルラーネットワークアクセスデバイス1303は、ワイヤレス方式で互いに接続される場合がある。図13に示されたシステムが2つの非セルラーネットワークアクセスデバイスを含む例が説明に使用される。図13は一例にすぎず、デバイスの数、デバイスの構造などは具体的に限定されない。
セルラーネットワークアクセスデバイス1301が鍵識別子を決定する。鍵識別子は、鍵識別子に対応する鍵に基づいて、少なくとも1つの非セルラーネットワークアクセスデバイスの中の1つの非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するように、UEに命令するために使用される。セルラーネットワークアクセスデバイス1301は、UEおよび非セルラーネットワークアクセスデバイス1303に鍵識別子を個別に送信する。
UE1302は、セルラーネットワークアクセスデバイス1301によって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するように構成される。
非セルラーネットワークアクセスデバイス1303は、セルラーネットワークアクセスデバイス1301によって送信された鍵識別子を受信し、鍵識別子に対応する鍵に基づいてUE1302とセキュリティ認証を実施するように構成される。
オプションの実施形態では、図13に示されたように、システムは、少なくとも1つの非セルラーネットワークアクセスデバイス、たとえば、図13に示された2つの非セルラーネットワークアクセスデバイス1303を管理するように構成された、論理機能エンティティ1304をさらに含む場合がある。
セルラーネットワークアクセスデバイス1301は、具体的に、非セルラーネットワークアクセスデバイス1303を管理する論理機能エンティティ1304を決定することと、論理機能エンティティ1304によって管理される非セルラーネットワークアクセスデバイス1303ごとに、以下のステップ:各非セルラーネットワークアクセスデバイス1303の識別子に対応する鍵識別子を決定することを実施することと、各非セルラーネットワークアクセスデバイス1303の識別子に対応する非セルラーネットワークアクセスデバイス1303に、各非セルラーネットワークアクセスデバイス1303に対応する決定された鍵識別子を送信し、UEに鍵識別子リストを送信することであって、鍵識別子リストが、論理機能エンティティ1304によって管理される各非セルラーネットワークアクセスデバイス1303の識別子および各非セルラーネットワークアクセスデバイス1303に対応する鍵識別子を含む、送信することとを行うように構成される。
UE1302は、具体的に、セルラーネットワークアクセスデバイス1301によって送信された鍵識別子を受信するとき、セルラーネットワークアクセスデバイス1301によって送信された鍵識別子リストを受信することと、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、鍵識別子リスト内にある鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成され、対象の非セルラーネットワークアクセスデバイスは、UE1302またはセルラーネットワークアクセスデバイス1301によって決定される。
別のオプションの実施形態では、図13に示されたように、システムは、少なくとも1つの非セルラーネットワークアクセスデバイスを管理するように構成された、論理機能エンティティ1304をさらに含む場合がある。
セルラーネットワークアクセスデバイス1301は、具体的に、非セルラーネットワークアクセスデバイス1303を管理する論理機能エンティティ1304を決定することと、少なくとも1つの非セルラーネットワークアクセスデバイス1303用の鍵識別子を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイス1303の中のすべての非セルラーネットワークアクセスデバイス1303の識別子に対応する鍵識別子が同じであり、鍵識別子が、UE1302と非セルラーネットワークアクセスデバイス1303の識別子に対応する非セルラーネットワークアクセスデバイス1303との間のセキュリティ認証を実施するために使用される、決定することと、UE1302および各非セルラーネットワークアクセスデバイス1303の識別子に対応する非セルラーネットワークアクセスデバイス1303に、決定された鍵識別子を個別に送信することとを行うように構成される。
UE1302は、具体的に、鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するとき、決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子に従って、対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、対象の非セルラーネットワークアクセスデバイスは、UE1302またはセルラーネットワークアクセスデバイス1301によって決定される。
場合によっては、セルラーネットワークアクセスデバイス1301は、鍵を決定することであって、鍵が、UE1302と非セルラーネットワークアクセスデバイス1303との間のセキュリティ認証を実施するために使用される、決定することと、UE1302および非セルラーネットワークアクセスデバイス1303に決定された鍵識別子を送信するとき、鍵を鍵識別子と関連付けた後、UE1302および非セルラーネットワークアクセスデバイス1303に鍵および鍵識別子を送信することとを行うようにさらに構成される。
UE1302は、具体的に、鍵識別子および非セルラーネットワークアクセスデバイス1303によって送信された鍵識別子に対応する鍵を受信し、受信された鍵識別子および鍵に従って非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施するように構成される。
場合によっては、セルラーネットワークアクセスデバイス1301は、所定の導出規則に基づいて鍵を決定することであって、鍵が、UE1302と非セルラーネットワークアクセスデバイス1303との間のセキュリティ認証を実施するために使用される、決定することと、UE1302および非セルラーネットワークアクセスデバイス1303に決定された鍵識別子を送信するとき、鍵を鍵識別子と関連付けた後、非セルラーネットワークアクセスデバイス1303に鍵および鍵識別子を送信し、UE1302に鍵識別子を送信することとを行うようにさらに構成される。
非セルラーネットワークアクセスデバイス1303によって送信された鍵識別子を受信すると、UE1302は、所定の導出規則に基づいて鍵を決定し、鍵識別子および決定された鍵に基づいて非セルラーネットワークアクセスデバイス1303とセキュリティ認証を実施する。
セルラーネットワークアクセスデバイス1301は、UE1302および/または非セルラーネットワークアクセスデバイス1303に、以下の
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成される。
寿命は鍵および鍵識別子の有効期間を示すために使用され、認証方式指示情報はUE1302によって使用される認証タイプを示すために使用される。認証タイプは、認証および鍵管理プロトコル内で指定された認証タイプ、たとえば、802.1X EAP−AKAキャッシング方式であり得る。
非セルラーネットワークアクセスデバイスは、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信し、鍵識別子は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用され、鍵識別子は、鍵識別子に対応する鍵に基づいて、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、ユーザ機器UEに命令するために使用される。UEと非セルラーネットワークアクセスデバイスの両方は、鍵識別子を取得する。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵を使用することによってセキュリティ認証を直ちに実施し、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
本発明のこの実施形態において提供されるアクセス認証システムに含まれるセルラーネットワークアクセスデバイス1301は、図7または図10に対応する実施形態において提供されたセルラーネットワークアクセスデバイスであり得る。UE1302は、図8または図11に対応する実施形態において提供されたUEであり得る。非セルラーネットワークアクセスデバイス1303は、図9または図12に対応する実施形態において提供された非セルラーネットワークアクセスデバイスであり得る。したがって、アクセス認証システム内のセルラーネットワークアクセスデバイス1301に対応する機能については、図7または図10に対応する実施形態を参照されたい。アクセス認証システム内のUE1302に対応する機能については、図8または図11に対応する実施形態を参照されたい。アクセス認証システム内の非セルラーネットワークアクセスデバイス1303に対応する機能については、図9または図12に対応する実施形態を参照されたい。繰り返される説明は提供されない。
本発明の一実施形態はアクセス認証方法をさらに提供する。図14に示されたように、方法は以下のステップを含む。
ステップ1401:セルラーネットワークアクセスデバイスが非セルラーネットワークアクセスデバイス用の鍵を決定し、鍵は、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、セルラーネットワークアクセスデバイスによって鍵を決定する方式は、UEによって鍵を決定する方式と同じである。
セルラーネットワークアクセスデバイスは、UEのために、論理機能エンティティ内のすべての非セルラーネットワークアクセスデバイス用に同じ鍵を決定することができるか、または、UEのために、論理機能エンティティ内の各非セルラーネットワークアクセスデバイスグループ内のすべての非セルラーネットワークアクセスデバイス用に同じ鍵を決定することができるか、または、UEのために、論理機能エンティティ内のすべての非セルラーネットワークアクセスデバイスグループ内のすべての非セルラーネットワークアクセスデバイス用に異なる鍵を決定することができる。
セルラーネットワークアクセスデバイスによって決定された鍵は、UEおよびセルラーネットワークアクセスデバイスによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出規則に基づいて導出された鍵であり得る。
具体的には、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイス用の鍵を決定することができる。
第1の実装形態:
セルラーネットワークアクセスデバイスは、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出する。
セルラーネットワークアクセスデバイスは、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出する。
鍵を導出するために使用される導出規則はあらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである。
第2の実装形態:
セルラーネットワークアクセスデバイスは、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出する。
セルラーネットワークアクセスデバイスは、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出する。
第2の実装形態では、方法は、
セルラーネットワークアクセスデバイスにより、鍵を導出するために使用される導出規則をUEに送信するステップであって、導出規則が、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される、ステップ
をさらに含む場合がある。したがって、導出規則を受信した後、UEは、セルラーネットワークアクセスデバイスと共有される鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために使用される鍵を導出する。
セルラーネットワークアクセスデバイスにより、鍵を導出するために使用される導出規則をUEに送信するステップであって、導出規則が、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される、ステップ
をさらに含む場合がある。したがって、導出規則を受信した後、UEは、セルラーネットワークアクセスデバイスと共有される鍵に従って、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために使用される鍵を導出する。
具体的には、セルラーネットワークアクセスデバイスは、LWAコマンドメッセージまたは別に新しく定義されたメッセージを使用することによってUEに導出規則を送信することができ、メッセージはLWAを実施するようにUEに命令するために使用される。
ステップ1402:セルラーネットワークアクセスデバイスが、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。
場合によっては、セルラーネットワークアクセスデバイスは、論理機能エンティティを使用することにより、非セルラーネットワークアクセスデバイスに鍵を送信する。具体的には、論理機能エンティティおよび非セルラーネットワークアクセスデバイスは、専用インターフェースを使用することによって互いに通信する。このことは本発明では限定されない。
セルラーネットワークアクセスデバイスが非セルラーネットワークアクセスデバイスに鍵を送信するとき、鍵は単独で送信される場合がある。論理機能エンティティおよび非セルラーネットワークアクセスデバイスが同じノードであるとき、鍵は、送信用に、セルラーネットワークアクセスデバイスによって論理機能エンティティに送信されるGPRSトンネリングプロトコル−ユーザプレーン(User plane of GPRS Tunneling Protocol、略してGTP−U)トンネルセットアップメッセージに含まれる場合があるか、または送信用に別に新しく定義されたメッセージに含まれる場合がある。論理機能エンティティおよび非セルラーネットワークアクセスデバイスが同じノードでないとき、セルラーネットワークアクセスデバイスは、GTP−Uトンネルセットアップメッセージに鍵を追加し、論理機能エンティティにGTP−Uトンネルセットアップメッセージを送信する。次いで、論理機能エンティティは、非セルラーネットワークアクセスデバイスにGTP−Uトンネルセットアップメッセージを送信する。
本発明のこの実施形態において提供される解決策によれば、セルラーネットワークアクセスデバイスは鍵を決定し、次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。UEによって鍵を決定する方式は、セルラーネットワークアクセスデバイスによって鍵を決定する方式と同じである。したがって、UEおよび非セルラーネットワークアクセスデバイスは、鍵を使用することによってセキュリティ認証を直ちに実施することができ、その結果、認証時間は短く、シグナリングオーバーヘッドは低い。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティは同じノードである。非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードであることは、非セルラーネットワークアクセスデバイスおよび論理機能エンティティの機能が1つのデバイスを使用することによって実装されることであり得るか。または論理機能エンティティが非セルラーネットワークアクセスデバイス内に構築されることであり得る。論理機能エンティティが非セルラーネットワークアクセスデバイス内に構築される場合、論理機能エンティティと非セルラーネットワークアクセスデバイスとの間の内部インターフェースが存在し、論理機能エンティティおよび非セルラーネットワークアクセスデバイスは、内部インターフェースを使用することによって情報を交換する。
セルラーネットワークアクセスデバイスは、以下の方式で、UEを非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定することができる。
セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。測定報告は、UEが位置するWLANの信号品質を含む。セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
具体的には、セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。
セルラーネットワークアクセスデバイスは、UEのために選択された非セルラーネットワークアクセスデバイスに対応する鍵を決定し、鍵は、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに、UEのために選択された非セルラーネットワークアクセスデバイスに対応する決定された鍵を送信する。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイス用の鍵を決定することができる。
セルラーネットワークアクセスデバイスは、UEと関連付けられるべき非セルラーネットワークアクセスデバイスが属する論理機能エンティティを決定する。セルラーネットワークアクセスデバイスは、論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスを決定する。次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスに対応する鍵を決定することを実施する。鍵は、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
UEと関連付けられるべき非セルラーネットワークアクセスデバイスは、UEのためにセルラーネットワークアクセスデバイスによって選択される。関連付けられるべき非セルラーネットワークアクセスデバイスは、論理機能エンティティを決定するために選択され、その結果、論理機能エンティティによって管理されるすべての非セルラーネットワークアクセスデバイスを決定することができる。具体的な選択方式は以下の通りであり得る:セルラーネットワークアクセスデバイスによって送信された測定構成要求メッセージを受信した後、UEは、UEが位置するWLANの信号品質を測定し、セルラーネットワークアクセスデバイスに、測定結果から生成された測定報告を送信することができる。セルラーネットワークアクセスデバイスは、UEによって送信された測定報告に従って、UEが関連付けられる必要がある非セルラーネットワークアクセスデバイスを決定する。たとえば、セルラーネットワークアクセスデバイスは、UEのために、比較的高い信号品質を有するWLAN内の非セルラーネットワークアクセスデバイスを選択する。
次いで、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイスに決定された鍵を送信することができる。
セルラーネットワークアクセスデバイスは、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する決定された鍵を送信する。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイス用の鍵を決定することができる。
セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定する。論理機能エンティティは、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する。
セルラーネットワークアクセスデバイスは、少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定する。少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵は同じであり、鍵は、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
次いで、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスに決定された鍵を送信する。
一実施形態では、非セルラーネットワークアクセスデバイスおよび論理機能エンティティが同じノードでない場合、セルラーネットワークアクセスデバイスは、以下の方式で、非セルラーネットワークアクセスデバイス用の鍵を決定することができる。
セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定する。論理機能エンティティは、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスは、少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる。すなわち、論理機能エンティティによって管理されるすべての非セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスグループに分類され、各グループは少なくとも1つの非セルラーネットワークアクセスデバイスを含む。
セルラーネットワークアクセスデバイスは、各非セルラーネットワークアクセスデバイスグループ用の鍵を決定する。各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵は同じであり、鍵は、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。異なる非セルラーネットワークアクセスデバイスグループは異なる鍵に対応している。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定した後、セルラーネットワークアクセスデバイスは、鍵に対応する鍵識別子を決定し、次いで、非セルラーネットワークアクセスデバイスに決定された鍵識別子を送信する。
鍵識別子および鍵は、同時に送信される場合があるか、または個別に送信される場合がある。セルラーネットワークアクセスデバイスによって鍵に対応する鍵識別子を決定する方式は、UEによって鍵に対応する鍵識別子を決定する方式と同じである。
具体的には、鍵識別子は、鍵、UEの識別情報、および非セルラーネットワークアクセスデバイスの識別子に基づいて決定される場合があるか、または、鍵およびUEの識別情報に基づいて決定される場合があるか、または、UEの識別情報および非セルラーネットワークアクセスデバイスの識別子を使用することによって決定される場合があるか、または、非セルラーネットワークアクセスデバイスの識別子および鍵を使用することによって決定される場合があるか、または、UEの識別情報のみを使用することによって決定される場合がある。
本発明のこの実施形態における鍵識別子はLWAに使用される。したがって、鍵識別子は、従来のWLANサービスに使用される鍵識別子とは区別することができる。具体的には、従来のWLANサービスがAAAサーバ内で認証される場合、鍵識別子も生成される場合があり、この鍵識別子はLWAに使用される鍵識別子とは異なる。鍵識別子は区別するためにマークされる場合がある。
本発明の一実施形態はアクセス認証方法をさらに提供する。図15に示されたように、方法は以下のステップを含む。
ステップ1501:UEが鍵を決定し、鍵はUEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される。
場合によっては、UEは以下の方式で鍵を決定することができる。
UEは、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出する。
導出規則はセルラーネットワークアクセスデバイスによって送信される場合がある。具体的には、セルラーネットワークアクセスデバイスは、LWAコマンドメッセージを使用することによってUEに導出規則を送信することができる。
導出規則はUEにおいてあらかじめ構成される場合があり、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。すなわち、導出規則は、UEおよびセルラーネットワークアクセスデバイスにおいてあらかじめ構成される場合がある。
ステップ1502:UEが鍵に対応する鍵識別子を決定する。
鍵識別子は、鍵、UEの識別情報、および非セルラーネットワークアクセスデバイスの識別子に基づいて、UEによって決定される場合があるか、または、鍵およびUEの識別情報に基づいて決定される場合があるか、または、UEの識別情報および非セルラーネットワークアクセスデバイスの識別子を使用することによって決定される場合があるか、または、非セルラーネットワークアクセスデバイスの識別子および鍵を使用することによって決定される場合があるか、または、UEの識別情報のみを使用することによって決定される場合がある。
たとえば、PMKID=HMAC−SHA1−128(PMK,”PMK_name”|MAC_AP|MAC_UE)である。
PMKIDは鍵識別子を表し、PMKは鍵を表し、PMK_nameは鍵の名称を表し、MAC_UEはUEの識別情報、すなわち、UEのWLAN MACアドレスを表す。MAC_APは非セルラーネットワークアクセスデバイスの識別子、すなわち、非セルラーネットワークアクセスデバイスのMACアドレスを表す。HMACは、鍵に関するハッシュベースメッセージ認証コードである。SHA1はセキュアハッシュアルゴリズムである。
ステップ1503:UEが、鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する。
具体的には、UEは非セルラーネットワークアクセスデバイスに関連付け要求を起こし、関連付け要求はUEの識別情報および鍵識別子を搬送する。関連付け要求を受信した後、非セルラーネットワークアクセスデバイスは、UEの識別情報に従って、前もって受信され、セルラーネットワークアクセスデバイスによって送信された鍵に対応する鍵識別子を決定することができるか、またはUEの識別情報および鍵に従って、鍵に対応する鍵識別子を決定することができる。関連付け要求内で搬送された鍵識別子が決定された鍵識別子と同じであるとセルラーネットワークアクセスデバイスが判断した場合、鍵識別子に対応する鍵を使用することにより、UEとの4方向ハンドシェイクセキュリティ認証が実施される。
本発明のこの実施形態における鍵識別子はLWAに使用される。したがって、鍵識別子は、従来のWLANサービスに使用される鍵識別子とは区別することができる。具体的には、従来のWLANサービスがAAAサーバ内で認証される場合、鍵識別子も生成される場合があり、この鍵識別子はLWAに使用される鍵識別子とは異なる。鍵識別子は区別するためにマークされる場合がある。
本発明の一実施形態はアクセス認証方法をさらに提供する。図16に示されたように、方法は以下のステップを含む。
ステップ1601:非セルラーネットワークアクセスデバイスがセルラーネットワークアクセスデバイスによって送信された鍵を受信し、鍵は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される。
ステップ1602:非セルラーネットワークアクセスデバイスが鍵に対応する鍵識別子を決定する。
場合によっては、非セルラーネットワークアクセスデバイスは、鍵およびセルラーネットワークアクセスデバイスの識別子に従って、鍵に対応する鍵識別子を決定することができるか、または、UEによって送信され、UEの識別情報を搬送する関連付け要求を受信した後、UEの識別情報および鍵に従って鍵に対応する鍵識別子を決定することができるか、または、UEの識別情報、セルラーネットワークアクセスデバイスの識別子、および鍵に従って、鍵に対応する鍵識別子を決定することができる。
場合によっては、非セルラーネットワークアクセスデバイスは、以下の方式で、鍵に対応する鍵識別子を決定することができる:非セルラーネットワークアクセスデバイスは、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する。
ステップ1603:非セルラーネットワークアクセスデバイスが、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施する。
具体的には、UEは非セルラーネットワークアクセスデバイスに関連付け要求を送信する。次いで、UEによって送信された受信された鍵識別子が非セルラーネットワークアクセスデバイスによって記憶された鍵識別子と同じであると非セルラーネットワークアクセスデバイスが判断した場合、UEおよび非セルラーネットワークアクセスデバイスは、鍵識別子に対応する鍵に基づいて4方向ハンドシェイク手順を実行する。4方向ハンドシェイク認証が成功した後、セルラーネットワークアクセスデバイスは、非セルラーネットワークアクセスデバイスを使用することにより、UEとマルチストリームアグリゲーションデータ伝送を実施することができる。
本発明のこの実施形態における鍵識別子はLWAに使用される。したがって、鍵識別子は、従来のWLANサービスに使用される鍵識別子とは区別することができる。具体的には、従来のWLANサービスがAAAサーバ内で認証される場合、鍵識別子も生成される場合があり、この鍵識別子はLWAに使用される鍵識別子とは異なる。鍵識別子は区別するためにマークされる場合がある。
以下で、インスタンスを参照して本発明の実施形態を具体的に記載する。以下のインスタンスでは、セルラーネットワークがLTEネットワークであり、セルラーネットワークアクセスデバイスがeNBであり、非セルラーネットワークがWLANであり、非セルラーネットワークアクセスデバイスがAPであり、論理機能エンティティがWTである例が説明に使用される。
本発明の実施形態は、一例として図4Aおよび図4Bに示されたオフローディングおよびアグリゲーションネットワークシステムを使用することによって具体的に記載される。
図17を参照すると、図17は、本発明の一実施形態による、アクセス認証方法の概略図である。
ステップ1701:eNBがAP用のPMKを決定する。
PMKは鍵を表し、PMKはUEとAPとの間のセキュリティ認証を実施するために使用される。
eNBは、WT内のすべてのAP用に同じ鍵を決定することができるか、またはWT内の各AP group内のすべてのAP用に同じ鍵を決定することができるか、またはWT内のすべてのAP group内のすべてのAP用に異なる鍵を決定することができる。
具体的には、PMKは、eNBおよびUEによって共有される鍵、たとえば、KeNB、KRRCint、KRRCenc、KUPenc、KUPintなどのうちの1つの鍵であり得るか、または前述の鍵のうちの1つ以上に従って導出規則に基づいて導出された鍵であり得る。
ステップ1702:eNBがWTに決定されたPMKを送信する。
WTは各APに、WTとAPとの間の専用インターフェースを使用することにより、各APに対応するPMKを送信することができる。
PMKは単独で送信される場合があるか、または(WT追加要求メッセージなどの)GTP−Uトンネルセットアップメッセージに追加され、WTに送信される場合があるか、または送信用のユーザ定義メッセージに追加される場合がある、などである。
場合によっては、ステップ1701の前に、方法は以下のステップをさらに含む場合がある。
WTがeNBに鍵要求メッセージを送信し、鍵要求メッセージは、WTによって管理される各AP用の鍵を決定するように、eNBに命令するために使用される。
場合によっては、eNBは、PMKに対応するPMKIDをさらに決定し、次いで、WTにPMKIDを送信することができる。本明細書では、eNBによってPMKに対応するPMKIDを決定する方式は、ステップ1704においてUEによってPMKに対応するPMKIDを決定する方式と同じである。WTは、WTとAPとの間の専用インターフェースを使用することにより、APにPMKIDを送信することができる。
ステップ1703:UEがeNBによって送信されたLWAコマンドメッセージを受信する。
LWAコマンドメッセージは、LWA関連構成を実施するためにUEによって使用される。LWAコマンドメッセージは、AP groupについての情報を搬送することができる。LWAコマンドメッセージは、鍵を導出するようにUEに命令するためにeNBによって使用される導出規則を搬送することができる。
LWAコマンドメッセージを受信した後、UEは、導出規則に基づいて、AP groupに含まれる各AP用の鍵を決定することができる。したがって、鍵は各APにeNBによって送信された鍵と同じである。
LWAコマンドメッセージを受信した後、UEは、APグループに含まれるすべてのAPから、対象のAPとして1つのAPを選択することができる。APは最も強い信号を提供するAPであり得る。次いで、UEは、APとセキュリティ認証を実施するために、導出規則に基づいて鍵を決定する。
ステップ1704:UEがPMKに対応するPMKIDを決定する。
PMKIDは、UEの識別情報に基づいてUEによって決定される場合がある。UEの識別情報はUEのWLAN MACアドレスであり得る。PMKIDは、APの識別子に基づいてUEによって決定される場合があるか、またはPMK、UEの識別情報、およびAPの識別子を使用することによって決定される場合があるか、または鍵PMKおよびUEの識別情報を使用することによって決定される場合があるか、またはPMKおよびAPの識別子を使用することによって決定される場合がある。APの識別子はBSSID/ESSID/SSIDであり得る。
たとえば、PMKID=HMAC−SHA1−128(PMK,”PMK_name”|MAC_AP|MAC_UE)である。
PMK_nameは鍵の名称を表し、MAC_UEはUEの識別情報、すなわち、UEのWLAN MACアドレスを表す。MAC_APはAPの識別子、すなわち、APのMACアドレスを表す。HMACは、鍵に関するハッシュベースメッセージ認証コードである。SHA1はセキュアハッシュアルゴリズムである。
ステップ1705:UEがWLAN APに関連付け要求メッセージを送信する。
関連付け要求メッセージはPMKIDを搬送する。
ステップ1706:APがPMKに対応するPMKIDを決定する。
具体的には、PMKIDは、UEの識別情報に基づいてAPによって決定される場合がある。UEの識別情報はUEのWLAN MACアドレスであり得る。PMKIDは、APの識別子に基づいてAPによって決定される場合があるか、またはPMK、UEの識別情報、およびAPの識別子を使用することによって決定される場合があるか、または鍵PMKおよびUEの識別情報を使用することによって決定される場合があるか、またはPMKおよびAPの識別子を使用することによって決定される場合がある。APによってPMKに対応するPMKIDを決定する方式は、UEによってPMKに対応するPMKIDを決定する方式と同じである。
APによって決定され、PMKに対応するPMKIDは、UEによって送信された受信されたPMKIDと同じであり、したがって、PMKIDに対応するPMKは、4方向ハンドシェイクセキュリティ認証を実施するために使用される。APによって決定され、PMKに対応するPMKIDが、UEによって送信された受信されたPMKIDと異なる場合、認証は失敗する。
場合によっては、APは、以下の方式で、PMKに対応するPMKIDを決定することができる:APが、PMKに対応し、APを管理するWTを使用することによりeNBによって送信されたPMKIDを受信する。
場合によっては、方法は以下のステップをさらに含む場合がある。
ステップ1707:UEがeNBにLWA確認応答メッセージを送信し、メッセージはLWAが成功したか失敗したかを示すために使用される。
代替として、LWA確認応答メッセージ(またはWT追加確認応答メッセージ)がWTを使用することによってeNBに送信され、メッセージはLWAが成功したことを示すために使用される。WTは、APを使用することにより、WTの追加に成功したかどうかを通知される場合があり、具体的な実装形態は本発明では限定されない。
eNBがUEまたはWTによって送信されたLWA成功メッセージを受信すると、方法は以下のステップをさらに含む。
ステップ1708:eNBがAPを使用することによってUEとのLWAデータ伝送を実施する。
図14に描写された方法実施形態の発明構想と同じ発明構想に基づいて、図18に示されたように、本発明の一実施形態はアクセス認証装置を提供する。装置は、セルラーネットワークアクセスデバイスに適用され、具体的には、セルラーネットワークアクセスデバイスから独立した装置であり得るか、またはセルラーネットワークアクセスデバイス内に配置された装置であり得るか、またはセルラーネットワークアクセスデバイスによって実装される場合がある。アクセス認証装置は、
非セルラーネットワークアクセスデバイス用の鍵を決定するように構成された処理ユニット1801であって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、処理ユニットによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、処理ユニット1801と、
非セルラーネットワークアクセスデバイスに処理ユニット1801によって決定された鍵を送信するように構成されたトランシーバユニット1802と
を含む。
非セルラーネットワークアクセスデバイス用の鍵を決定するように構成された処理ユニット1801であって、鍵が、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、処理ユニットによって鍵を決定する方式が、UEによって鍵を決定する方式と同じである、処理ユニット1801と、
非セルラーネットワークアクセスデバイスに処理ユニット1801によって決定された鍵を送信するように構成されたトランシーバユニット1802と
を含む。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するように構成される。鍵を導出するために使用される導出規則は、あらかじめ構成され、UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、UEと共有される鍵に基づいて非セルラーネットワークアクセスデバイス用の鍵を導出するように構成される。
トランシーバユニット1802は、鍵を導出するために使用される導出規則をUEに送信するようにさらに構成され、導出規則は、鍵を導出して非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するためにUEによって使用される。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定することを実施することと
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定することを実施することと
を行うように構成される。
非セルラーネットワークアクセスデバイスに処理ユニット1801によって決定された鍵を送信するとき、トランシーバユニット1802は、具体的に、各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、処理ユニット1801によって決定され、各非セルラーネットワークアクセスデバイスに対応する鍵を送信するように構成される。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定することであって、少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
場合によっては、非セルラーネットワークアクセスデバイス用の鍵を決定するとき、処理ユニット1801は、具体的に、
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、決定することと、
各非セルラーネットワークアクセスデバイスグループ用の鍵を決定することであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、論理機能エンティティが、その非セルラーネットワークアクセスデバイスを含む少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、少なくとも1つの非セルラーネットワークアクセスデバイスが少なくとも1つの非セルラーネットワークアクセスデバイスグループに含まれる、決定することと、
各非セルラーネットワークアクセスデバイスグループ用の鍵を決定することであって、各非セルラーネットワークアクセスデバイスグループに含まれるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、鍵が、UEと非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される。
処理ユニット1801は、非セルラーネットワークアクセスデバイス用の鍵を決定した後、鍵に対応する鍵識別子を決定するようにさらに構成される。
トランシーバユニット1802は、非セルラーネットワークアクセスデバイスに処理ユニットによって決定された鍵識別子を送信するようにさらに構成される。
図15に描写された方法実施形態の発明構想と同じ発明構想に基づいて、図19に示されたように、本発明の一実施形態はアクセス認証装置をさらに提供する。装置はUEに適用され、具体的には、UEから独立した装置であり得るか、またはUE内に配置されたアクセス認証装置であり得るか、またはUEによって実装される場合がある。アクセス認証装置は、
鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することとを行うように構成された決定ユニット1901と、
鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成された認証ユニット1902と
を含む。
鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することとを行うように構成された決定ユニット1901と、
鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成された認証ユニット1902と
を含む。
鍵を決定するとき、決定ユニット1901は、具体的に、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって鍵を導出するように構成される。導出規則はセルラーネットワークアクセスデバイスによって送信されるか、または導出規則はUEにおいてあらかじめ構成され、非セルラーネットワークアクセスデバイス用の鍵を導出するためにセルラーネットワークアクセスデバイスによって使用される導出規則と同じである。
図16に描写された方法実施形態の発明構想と同じ発明構想に基づいて、図20に示されたように、本発明の一実施形態はアクセス認証装置をさらに提供する。装置は、非セルラーネットワークアクセスデバイスに適用され、具体的には、非セルラーネットワークアクセスデバイスから独立したアクセス認証装置であり得るか、または非セルラーネットワークアクセスデバイス内に配置される場合があるか、または非セルラーネットワークアクセスデバイスによって実装される場合がある。アクセス認証装置は、
セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成されたトランシーバユニット2001であって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、トランシーバユニット2001と、
鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成された処理ユニット2002と
を含む。
セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成されたトランシーバユニット2001であって、鍵が、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される、トランシーバユニット2001と、
鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成された処理ユニット2002と
を含む。
トランシーバユニット2001は、鍵に対応し、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するようにさらに構成される。
図18に描写された装置実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証デバイスをさらに提供する。デバイスは、セルラーネットワークアクセスデバイスから独立したデバイスであり得るか、またはセルラーネットワークアクセスデバイス内に配置されたデバイスであり得るか、またはセルラーネットワークアクセスデバイスによって実装される場合がある。図21に示されたように、デバイスは、トランシーバ2101と、プロセッサ2102と、メモリ2103とを含む。トランシーバ2101、プロセッサ2102、およびメモリ2103は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図21において、メモリ2103、プロセッサ2102、およびトランシーバ2101は、バス2104を使用することによって互いに接続される。図21において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図21において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ2103は、プロセッサ2102によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリ(random−access memory、略してRAM)などの揮発性メモリ(volatile memory)であり得る。代替として、メモリ2103は、読取り専用メモリ(read−only memory、略してROM)、フラッシュメモリ(flash memory)、ハードディスクドライブ(hard disk drive、略してHDD)、または半導体ドライブ(solid−state drive、略してSSD)などの不揮発性メモリ(non−volatile memory)であり得る。代替として、メモリ2103は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ2103は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ2102は、中央処理装置(central processing unit、略してCPU)であり得る。
プロセッサ2102は、非セルラーネットワークアクセスデバイス用の鍵を決定するように構成され、鍵は、ユーザ機器UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、プロセッサ2102によって鍵を決定する方式は、UEによって鍵を決定する方式と同じである。
トランシーバ2101は、非セルラーネットワークアクセスデバイスにプロセッサ2102によって決定された鍵を送信するように構成される。
プロセッサ2102は、図18に示された処理ユニット1801によって実行される別の動作をさらに実行することができ、トランシーバ2101は、図18に示されたトランシーバユニット1802によって実行される別の動作をさらに実行することができることに留意されたい。
図19に描写された装置実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証デバイスをさらに提供する。デバイスはUEからの独立したデバイスであり得るか、またはUE内に配置されたデバイスであり得るか、またはUEによって実装される場合がある。図22に示されたように、デバイスは、トランシーバ2201と、プロセッサ2202と、メモリ2203とを含む。トランシーバ2201、プロセッサ2202、およびメモリ2203は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図22において、メモリ2203、プロセッサ2202、およびトランシーバ2201は、バス2204を使用することによって互いに接続される。図22において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図22において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ2203は、プロセッサ2202によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリなどの揮発性メモリであり得る。代替として、メモリ2203は、ROM、flash memory、HDD、またはSSDなどの不揮発性メモリ(non−volatile memory)であり得る。代替として、メモリ2203は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ2203は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ2202はCPUであり得る。
プロセッサ2202は、鍵を決定することであって、鍵が、UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、鍵に対応する鍵識別子を決定することと、鍵および鍵識別子を使用することにより、非セルラーネットワークアクセスデバイスとセキュリティ認証を実施することとを行うように構成される。
プロセッサ2202は、図19に示された決定ユニット1901および認証ユニット1902によって実行される他の動作をさらに実行することができることに留意されたい。
図20に描写された装置実施形態の発明構想と同じ発明構想に基づいて、本発明の一実施形態はアクセス認証デバイスをさらに提供する。デバイスは、非セルラーネットワークアクセスデバイスから独立したデバイスであり得るか、または非セルラーネットワークアクセスデバイス内に配置されたデバイスであり得るか、または非セルラーネットワークアクセスデバイスによって実装される場合がある。図23に示されたように、デバイスは、トランシーバ2301と、プロセッサ2302と、メモリ2303とを含む。トランシーバ2301、プロセッサ2302、およびメモリ2303は互いに接続される。前述の構成要素間の具体的な接続媒体は、本発明のこの実施形態では限定されない。本発明のこの実施形態では、図23において、メモリ2303、プロセッサ2302、およびトランシーバ2301は、バス2304を使用することによって互いに接続される。図23において、バスは太線を使用することによって表される。他の構成要素間の接続の方式は一例にすぎず、限定されない。バスは、アドレスバス、データバス、制御バスなどに分類される場合がある。表現を容易にするために、表現としてただ1つの太線が図23において使用されているが、それは、ただ1つのバスまたは1つのタイプのバスが存在することを示していない。
本発明のこの実施形態におけるメモリ2303は、プロセッサ2302によって実行されるプログラムコードを記憶するように構成され、ランダムアクセスメモリなどの揮発性メモリであり得る。代替として、メモリ2303は、ROM、flash memory、HDD、またはSSDなどの不揮発性メモリ(non−volatile memory)であり得る。代替として、メモリ2303は、コマンドまたはデータ構造の形態の予想されるプログラムコードを搬送または記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体である。しかしながら、このことは限定されない。メモリ2303は前述のメモリの組合せであり得る。
本発明のこの実施形態におけるプロセッサ2302はCPUであり得る。
トランシーバ2301は、セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成され、鍵は、非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、非セルラーネットワークアクセスデバイスに命令するために使用される。
プロセッサ2302は、鍵に対応する鍵識別子を決定し、鍵識別子および鍵を使用することにより、UEとセキュリティ認証を実施するように構成される。
プロセッサ2302は、図20に示された処理ユニット2002によって実行される別の動作をさらに実行することができ、トランシーバ2301は、図20に示されたトランシーバユニット2001によって実行される別の動作をさらに実行することができることに留意されたい。
本発明の一実施形態はアクセス認証システムをさらに提供する。システムは、セルラーネットワークアクセスデバイスと、非セルラーネットワークアクセスデバイスと、UEとを含む。セルラーネットワークアクセスデバイスは、図18または図21に対応する実施形態において提供されたセルラーネットワークアクセスデバイスであり得る。UEは、図19または図22に対応する実施形態において提供されたUEであり得る。非セルラーネットワークアクセスデバイスは、図20または図23に対応する実施形態において提供された非セルラーネットワークアクセスデバイスであり得る。
アクセス認証システムに含まれるデバイスの数は、本発明のこの実施形態では具体的に限定されないことに留意されたい。
本発明の実施形態は、方法、システム、またはコンピュータプログラム製品として提供される場合があることを当業者なら理解されよう。したがって、本発明は、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、またはソフトウェアとハードウェアの組合せを有する実施形態の形態を使用してもよい。加えて、本発明は、コンピュータ使用可能プログラムコードを含む、(限定はしないが、ディスクメモリ、CD−ROM、光メモリなどを含む)1つ以上のコンピュータ使用可能記憶媒体に実装された、コンピュータプログラム製品の形態を使用してもよい。
本発明は、本発明の実施形態による、方法、デバイス(システム)、およびコンピュータプログラム製品のフローチャートおよび/またはブロック図を参照して記載されている。コンピュータプログラム命令は、フローチャートおよび/またはブロック図内の各プロセスおよび/または各ブロック、ならびにフローチャートおよび/またはブロック図内のプロセスおよび/またはブロックの組合せを実装するために使用される場合があることを理解されたい。これらのコンピュータプログラム命令は、機械を生成するために、汎用コンピュータ、専用コンピュータ、組込み型プロセッサ、または任意の他のプログラマブルデータ処理デバイスのプロセッサに提供される場合があり、その結果、コンピュータまたは任意の他のプログラマブルデータ処理デバイスのプロセッサによって実行される命令は、フローチャート内の1つ以上のプロセス内、および/またはブロック図内の1つ以上のブロック内の特定の機能を実装するための装置を生成する。
これらのコンピュータプログラム命令は、特定の方式で動作するようにコンピュータまたは任意の他のプログラマブルデータ処理デバイスに命令することができるコンピュータ可読メモリに記憶される場合があり、その結果、コンピュータ可読メモリに記憶された命令は、命令装置を含むアーティファクトを生成する。命令装置は、フローチャート内の1つ以上のプロセス内、および/またはブロック図内の1つ以上のブロック内の特定の機能を実装する。
これらのコンピュータプログラム命令は、コンピュータまたは別のプログラマブルデータ処理デバイスにロードされる場合があり、その結果、一連の動作およびステップは、コンピュータまたは別のプログラマブルデータ処理デバイス上で実施され、それにより、コンピュータ実装処理が生成される。したがって、コンピュータまたは別のプログラマブルデータ処理デバイス上で実行される命令は、フローチャート内の1つ以上のプロセス内、および/またはブロック図内の1つ以上のブロック内の特定の機能を実装するためのステップを提供する。
本発明のいくつかの実施形態が記載されたが、当業者は、基本的な発明構想を知ると、これらの実施形態に対して変更および修正を行うことができる。したがって、以下の特許請求の範囲は、本発明の範囲内に入る実施形態ならびにすべての変更および修正を包含するように解釈されるものである。
明らかに、当業者は、本発明の実施形態の趣旨および範囲から逸脱することなく、本発明の実施形態に対して様々な修正および変形を行うことができる。本発明は、以下の特許請求の範囲およびそれらの等価な技術によって定義される保護範囲内に入る、これらの提供された修正および変形を包含するものである。
701 決定ユニット
702 送信ユニット
801 受信ユニット
802 決定ユニット
803 認証ユニット
901 受信ユニット
902 認証ユニット
1001 トランシーバ
1002 プロセッサ
1003 メモリ
1004 バス
1101 トランシーバ
1102 プロセッサ
1103 メモリ
1104 バス
1201 トランシーバ
1202 プロセッサ
1203 メモリ
1204 バス
1301 セルラーネットワークアクセスデバイス
1302 UE
1303 非セルラーネットワークアクセスデバイス
1304 論理機能エンティティ
1801 処理ユニット
1802 トランシーバユニット
1901 決定ユニット
1902 認証ユニット
2001 トランシーバユニット
2002 処理ユニット
2101 トランシーバ
2102 プロセッサ
2103 メモリ
2104 バス
2201 トランシーバ
2202 プロセッサ
2203 メモリ
2204 バス
2301 トランシーバ
2302 プロセッサ
2303 メモリ
2304 バス
702 送信ユニット
801 受信ユニット
802 決定ユニット
803 認証ユニット
901 受信ユニット
902 認証ユニット
1001 トランシーバ
1002 プロセッサ
1003 メモリ
1004 バス
1101 トランシーバ
1102 プロセッサ
1103 メモリ
1104 バス
1201 トランシーバ
1202 プロセッサ
1203 メモリ
1204 バス
1301 セルラーネットワークアクセスデバイス
1302 UE
1303 非セルラーネットワークアクセスデバイス
1304 論理機能エンティティ
1801 処理ユニット
1802 トランシーバユニット
1901 決定ユニット
1902 認証ユニット
2001 トランシーバユニット
2002 処理ユニット
2101 トランシーバ
2102 プロセッサ
2103 メモリ
2104 バス
2201 トランシーバ
2202 プロセッサ
2203 メモリ
2204 バス
2301 トランシーバ
2302 プロセッサ
2303 メモリ
2304 バス
Claims (42)
- セルラーネットワークアクセスデバイスにより、鍵識別子を決定するステップと、
前記セルラーネットワークアクセスデバイスにより、ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに前記鍵識別子を個別に送信するステップであって、前記鍵識別子が、前記鍵識別子に対応する鍵に基づいて前記非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、前記UEに命令するために使用される、ステップと
を備える、アクセス認証方法。 - セルラーネットワークアクセスデバイスにより、鍵識別子を決定する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
前記セルラーネットワークアクセスデバイスにより、前記論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定すること
を実施するステップと
を備え、
前記セルラーネットワークアクセスデバイスにより、前記UEおよび前記非セルラーネットワークアクセスデバイスに前記決定された鍵識別子を送信する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの前記識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する前記決定された鍵識別子を送信し、前記UEに鍵識別子リストを送信するステップであって、前記鍵識別子リストが、前記論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの前記識別子および各非セルラーネットワークアクセスデバイスに対応する前記鍵識別子を備える、ステップ
を備える、請求項1に記載の方法。 - セルラーネットワークアクセスデバイスにより、鍵識別子を決定する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
前記セルラーネットワークアクセスデバイスにより、前記少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定するステップであって、前記少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、前記鍵識別子が、前記UEと非セルラーネットワークアクセスデバイスの識別子に対応する前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を備え、
前記セルラーネットワークアクセスデバイスにより、前記UEおよび前記非セルラーネットワークアクセスデバイスに前記決定された鍵識別子を送信する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、前記決定された鍵識別子を個別に送信するステップ
を備える、請求項1に記載の方法。 - 前記方法が、
前記セルラーネットワークアクセスデバイスにより、鍵を決定するステップであって、
前記鍵が、前記UEと前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップ
をさらに備え、
前記セルラーネットワークアクセスデバイスにより、前記UEおよび前記非セルラーネットワークアクセスデバイスに前記決定された鍵識別子を送信する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記鍵を前記鍵識別子と関連付けた後、前記UEおよび前記非セルラーネットワークアクセスデバイスに前記鍵および前記鍵識別子を送信するステップ
を備える、請求項1から3のいずれか一項に記載の方法。 - 前記方法が、
前記セルラーネットワークアクセスデバイスにより、所定の導出規則に基づいて鍵を決定するステップであって、前記鍵が、前記UEと前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、前記所定の導出規則が、前記UEを前記非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するために前記UEによって使用される導出規則と同じである、ステップ
をさらに備え、
前記セルラーネットワークアクセスデバイスにより、前記UEおよび前記非セルラーネットワークアクセスデバイスに前記決定された鍵識別子を送信する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記鍵を前記鍵識別子と関連付けた後、前記非セルラーネットワークアクセスデバイスに前記鍵および前記鍵識別子を送信し、前記UEに前記鍵識別子を送信するステップ
を備える、請求項1から3のいずれか一項に記載の方法。 - 前記方法が、
前記セルラーネットワークアクセスデバイスにより、前記UEおよび/または前記非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するステップをさらに備え、
前記寿命が前記鍵および前記鍵識別子の有効期間を示すために使用され、前記認証方式指示情報が前記UEによって使用される認証タイプを示すために使用される、
請求項2から5のいずれか一項に記載の方法。 - ユーザ機器UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、前記鍵識別子が、前記鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、前記UEに命令するために使用される、ステップと、
前記UEにより、前記鍵識別子に対応する前記鍵を決定するステップと、
前記UEにより、前記受信された鍵識別子および前記決定された鍵に従って、前記非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を備える、アクセス認証方法。 - 前記UEにより、前記鍵識別子に対応する前記鍵を決定する前記ステップが、
前記UEにより、前記鍵識別子に対応し、前記セルラーネットワークアクセスデバイスによって送信された前記鍵を受信するステップ、または
前記UEにより、前記セルラーネットワークアクセスデバイスと交渉することにより、前記鍵識別子に対応する前記鍵を決定するステップ、または
前記UEにより、所定の導出規則に従って、前記鍵識別子に対応する前記鍵を決定するステップ
を備える、請求項7に記載の方法。 - UEにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信する前記ステップが、
前記UEにより、前記セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するステップであって、前記鍵識別子リストが、関連付けるために前記UEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を備える、ステップ
を備え、
前記UEにより、前記受信された鍵識別子および前記決定された鍵に従って、前記非セルラーネットワークアクセスデバイスとセキュリティ認証を実施する前記ステップが、
前記UEにより、前記決定された鍵、および対象の非セルラーネットワークアクセスデバイスの識別子に対応し、前記鍵識別子リスト内にある鍵識別子に従って、前記対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップであって、前記対象の非セルラーネットワークアクセスデバイスが、前記UEまたは前記セルラーネットワークアクセスデバイスによって決定される、ステップ
を備える、請求項7または8に記載の方法。 - 非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するステップであって、
前記鍵識別子が、前記非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、前記非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
前記非セルラーネットワークアクセスデバイスと関連付けるために前記UEによって起こされた関連付け要求を受信すると、
前記非セルラーネットワークアクセスデバイスにより、前記鍵識別子に対応する鍵に基づいて前記UEとセキュリティ認証を実施するステップと
を備える、アクセス認証方法。 - 鍵識別子を決定するように構成された決定ユニットと、
ユーザ機器UEおよび非セルラーネットワークアクセスデバイスに、前記決定ユニットによって決定された前記鍵識別子を個別に送信するように構成された送信ユニットであって、前記鍵識別子が、前記鍵識別子に対応する鍵に基づいて前記非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、前記UEに命令するために使用される、送信ユニットと
を備える、アクセス認証装置。 - 前記決定ユニットが、具体的に、前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、前記論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子を決定することを実施することとを行うように構成され、
前記送信ユニットが、具体的に、各非セルラーネットワークアクセスデバイスの前記識別子に対応する非セルラーネットワークアクセスデバイスに、前記決定ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する前記鍵識別子を送信し、前記UEに鍵識別子リストを送信することであって、前記鍵識別子リストが、前記論理機能エンティティによって管理される各非セルラーネットワークアクセスデバイスの前記識別子および各非セルラーネットワークアクセスデバイスに対応する前記鍵識別子を備える、送信することを行うように構成される、
請求項11に記載の装置。 - 前記決定ユニットが、具体的に、前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、前記少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵識別子を決定することであって、前記少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵識別子が同じであり、前記鍵識別子が、前記UEと非セルラーネットワークアクセスデバイスの識別子に対応する前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することとを行うように構成され、
前記送信ユニットが、具体的に、前記UEおよび各非セルラーネットワークアクセスデバイスの識別子に対応する非セルラーネットワークアクセスデバイスに、前記決定ユニットによって決定された前記鍵識別子を個別に送信するように構成される、
請求項11に記載の装置。 - 前記決定ユニットが、鍵を決定することであって、前記鍵が、前記UEと前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することを行うようにさらに構成され、
前記送信ユニットが、具体的に、前記鍵を前記鍵識別子と関連付けた後、前記UEおよび前記非セルラーネットワークアクセスデバイスに、前記決定ユニットによって決定された前記鍵および前記鍵識別子を送信するように構成される、
請求項11から13のいずれか一項に記載の装置。 - 前記決定ユニットが、所定の導出規則に基づいて鍵を決定することであって、前記鍵が、前記UEと前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、前記所定の導出規則が、前記UEを前記非セルラーネットワークアクセスデバイスと関連付けるための鍵を決定するために前記UEによって使用される導出規則と同じである、決定することを行うようにさらに構成され、
前記送信ユニットが、具体的に、前記鍵を前記鍵識別子と関連付けた後、前記非セルラーネットワークアクセスデバイスに、前記決定ユニットによって決定された前記鍵および前記鍵識別子を送信し、前記UEに前記鍵識別子を送信するように構成される、
請求項11から13のいずれか一項に記載の装置。 - 前記送信ユニットが、前記UEおよび/または前記非セルラーネットワークアクセスデバイスに以下の、
寿命または認証方式指示情報
のうちの少なくとも1つを送信するようにさらに構成され、
前記寿命が前記鍵および前記鍵識別子の有効期間を示すために使用され、前記認証方式指示情報が前記UEによって使用される認証タイプを示すために使用される、
請求項12から15のいずれか一項に記載の装置。 - 受信ユニットと、決定ユニットと、認証ユニットと
を備える、アクセス認証装置であって、
前記受信ユニットが、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、前記鍵識別子が、前記鍵識別子に対応する鍵に基づいて非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように、前記認証ユニットに命令するために使用され、
前記決定ユニットが、前記受信ユニットによって受信された前記鍵識別子に対応する前記鍵を決定するように構成され、
前記認証ユニットが、前記受信ユニットによって受信された前記鍵識別子および前記決定ユニットによって決定された前記鍵に従って、前記非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成される、
装置。 - 前記決定ユニットが、具体的に、
前記受信ユニットが、前記鍵識別子に対応し、前記セルラーネットワークアクセスデバイスによって送信された前記鍵を受信すると、前記鍵識別子に対応する前記鍵を決定すること、または、
前記セルラーネットワークアクセスデバイスと交渉することにより、前記鍵識別子に対応する前記鍵を決定すること、または、
所定の導出規則に従って、前記鍵識別子に対応する前記鍵を決定すること
を行うように構成される、請求項17に記載の装置。 - 前記受信ユニットが、具体的に、前記セルラーネットワークアクセスデバイスによって送信された鍵識別子リストを受信するように構成され、前記鍵識別子リストが、関連付けるために前記UEによって選択されるべき各非セルラーネットワークアクセスデバイスの識別子、および各非セルラーネットワークアクセスデバイスに対応する鍵識別子を備え、
前記決定ユニットが、対象の非セルラーネットワークアクセスデバイスを決定するようにさらに構成され、
前記認証ユニットが、具体的に、前記決定された鍵、および前記対象の非セルラーネットワークアクセスデバイスの識別子に対応し、前記鍵識別子リスト内にある鍵識別子に従って、前記対象の非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成され、前記対象の非セルラーネットワークアクセスデバイスが、前記決定ユニットまたは前記セルラーネットワークアクセスデバイスによって決定される、
請求項17または18に記載の装置。 - 受信ユニットと、認証ユニットと
を備える、アクセス認証装置であって、
前記受信ユニットが、セルラーネットワークアクセスデバイスによって送信された鍵識別子を受信するように構成され、
前記鍵識別子が、前記アクセス認証装置に関連付けられたユーザ機器UEとセキュリティ認証を実施するように、前記認証ユニットに命令するために使用され、
前記認証ユニットが、前記認証ユニットが属する非セルラーネットワークアクセスデバイスと関連付けるために前記UEによって起こされた関連付け要求を前記受信ユニットが受信すると、
前記鍵識別子に対応する鍵に基づいて前記UEとセキュリティ認証を実施するように構成される、
装置。 - セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、前記鍵が、ユーザ機器UEと前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、前記セルラーネットワークアクセスデバイスによって鍵を決定する方式が、前記UEによって鍵を決定する方式と同じである、ステップと、
前記セルラーネットワークアクセスデバイスにより、前記非セルラーネットワークアクセスデバイスに前記決定された鍵を送信するステップと
を備える、アクセス認証方法。 - セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記UEと共有される鍵に基づいて前記非セルラーネットワークアクセスデバイス用の前記鍵を導出するステップであって、
前記鍵を導出するために使用される導出規則が、あらかじめ構成され、前記UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである、ステップ
を備える、請求項21に記載の方法。 - セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記UEと共有される鍵に基づいて前記非セルラーネットワークアクセスデバイス用の前記鍵を導出するステップ
を備え、
前記方法が、
前記セルラーネットワークアクセスデバイスにより、前記鍵を導出するために使用される導出規則を前記UEに送信するステップであって、前記導出規則が、鍵を導出して前記非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために前記UEによって使用される、ステップ
をさらに備える、請求項21に記載の方法。 - セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、
前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
前記セルラーネットワークアクセスデバイスにより、前記論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:
各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定すること
を実施するステップと
を備え、
前記セルラーネットワークアクセスデバイスにより、前記非セルラーネットワークアクセスデバイスに前記決定された鍵を送信する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスの前記識別子に対応する非セルラーネットワークアクセスデバイスに、各非セルラーネットワークアクセスデバイスに対応する前記決定された鍵を送信するステップ
を備える、請求項21から23のいずれか一項に記載の方法。 - セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、ステップと、
前記セルラーネットワークアクセスデバイスにより、前記少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定するステップであって、前記少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、前記鍵が、前記UEと非セルラーネットワークアクセスデバイスの識別子に対応する前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を備える、請求項21から23のいずれか一項に記載の方法。 - セルラーネットワークアクセスデバイスにより、非セルラーネットワークアクセスデバイス用の鍵を決定する前記ステップが、
前記セルラーネットワークアクセスデバイスにより、前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定するステップであって、前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、前記少なくとも1つの非セルラーネットワークアクセスデバイスが、少なくとも1つの非セルラーネットワークアクセスデバイスグループに備えられる、ステップと、
前記セルラーネットワークアクセスデバイスにより、各非セルラーネットワークアクセスデバイスグループ用の鍵を決定するステップであって、各非セルラーネットワークアクセスデバイスグループに備えられるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、前記鍵が、前記UEと非セルラーネットワークアクセスデバイスの識別子に対応する前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと
を備える、請求項21から23のいずれか一項に記載の方法。 - 前記方法が、
前記非セルラーネットワークアクセスデバイス用の前記鍵を決定した後、前記セルラーネットワークアクセスデバイスにより、前記鍵に対応する鍵識別子を決定するステップと、前記非セルラーネットワークアクセスデバイスに前記鍵識別子を送信するステップと
をさらに備える、請求項21から26のいずれか一項に記載の方法。 - ユーザ機器UEにより、鍵を決定するステップであって、前記鍵が、前記UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、ステップと、
前記UEにより、前記鍵に対応する鍵識別子を決定するステップと、
前記UEにより、前記鍵および前記鍵識別子を使用することにより、前記非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するステップと
を備える、アクセス認証方法。 - UEにより、鍵を決定する前記ステップが、
前記UEにより、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって前記鍵を導出するステップを備え、
前記導出規則が、前記セルラーネットワークアクセスデバイスによって送信されるか、または前記導出規則が、前記UEにおいてあらかじめ構成され、前記非セルラーネットワークアクセスデバイス用の鍵を導出するために前記セルラーネットワークアクセスデバイスによって使用される導出規則と同じである、
請求項28に記載の方法。 - 非セルラーネットワークアクセスデバイスにより、セルラーネットワークアクセスデバイスによって送信された鍵を受信するステップであって、前記鍵が、前記非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、前記非セルラーネットワークアクセスデバイスに命令するために使用される、ステップと、
前記非セルラーネットワークアクセスデバイスにより、前記鍵に対応する鍵識別子を決定するステップと、
前記非セルラーネットワークアクセスデバイスにより、前記鍵識別子および前記鍵を使用することにより、前記UEとセキュリティ認証を実施するステップと
を備える、セキュリティ認証方法。 - 前記非セルラーネットワークアクセスデバイスにより、前記鍵に対応する鍵識別子を決定する前記ステップが、
前記非セルラーネットワークアクセスデバイスにより、前記鍵に対応し、前記セルラーネットワークアクセスデバイスによって送信された前記鍵識別子を受信するステップ
を備える、請求項30に記載の方法。 - アクセス認証装置であって、前記装置がセルラーネットワークアクセスデバイスに適用され、
非セルラーネットワークアクセスデバイス用の鍵を決定するように構成された処理ユニットであって、前記鍵が、ユーザ機器UEと前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用され、前記処理ユニットによって鍵を決定する方式が、前記UEによって鍵を決定する方式と同じである、処理ユニットと、
前記非セルラーネットワークアクセスデバイスに前記処理ユニットによって決定された前記鍵を送信するように構成されたトランシーバユニットと
を備える、装置。 - 前記処理ユニットが、具体的に、前記UEと共有される鍵に基づいて前記非セルラーネットワークアクセスデバイス用の前記鍵を導出するように構成され、前記鍵を導出するために使用される導出規則が、あらかじめ構成され、前記UEにおいてあらかじめ構成され鍵を導出するために使用される導出規則と同じである、請求項32に記載の装置。
- 前記処理ユニットが、具体的に、前記UEと共有される鍵に基づいて前記非セルラーネットワークアクセスデバイス用の前記鍵を導出するように構成され、
前記トランシーバユニットが、前記鍵を導出するために使用される導出規則を前記UEに送信するようにさらに構成され、前記導出規則が、鍵を導出して前記非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するために、前記UEによって使用される、
請求項32に記載の装置。 - 前記処理ユニットが、具体的に、
前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
前記論理機能エンティティによって管理される非セルラーネットワークアクセスデバイスごとに、以下のステップ:各非セルラーネットワークアクセスデバイスの識別子に対応する鍵を決定することを実施することと
を行うように構成され、
前記非セルラーネットワークアクセスデバイスに前記処理ユニットによって決定された前記鍵を送信するとき、前記トランシーバユニットが、具体的に、
各非セルラーネットワークアクセスデバイスの前記識別子に対応する非セルラーネットワークアクセスデバイスに、前記処理ユニットによって決定され、各非セルラーネットワークアクセスデバイスに対応する前記鍵を送信すること
を行うように構成される、請求項32から34のいずれか一項に記載の装置。 - 前記処理ユニットが、具体的に、
前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理する、決定することと、
前記少なくとも1つの非セルラーネットワークアクセスデバイス用の鍵を決定することであって、前記少なくとも1つの非セルラーネットワークアクセスデバイスの中のすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、前記鍵が、前記UEと非セルラーネットワークアクセスデバイスの識別子に対応する前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される、請求項32から34のいずれか一項に記載の装置。 - 前記処理ユニットが、具体的に、
前記非セルラーネットワークアクセスデバイスを管理する論理機能エンティティを決定することであって、前記論理機能エンティティが、前記非セルラーネットワークアクセスデバイスを備える少なくとも1つの非セルラーネットワークアクセスデバイスを管理し、前記少なくとも1つの非セルラーネットワークアクセスデバイスが、少なくとも1つの非セルラーネットワークアクセスデバイスグループに備えられる、決定することと、
各非セルラーネットワークアクセスデバイスグループ用の鍵を決定することであって、各非セルラーネットワークアクセスデバイスグループに備えられるすべての非セルラーネットワークアクセスデバイスの識別子に対応する鍵が同じであり、前記鍵が、前記UEと非セルラーネットワークアクセスデバイスの識別子に対応する前記非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと
を行うように構成される、請求項32から34のいずれか一項に記載の装置。 - 前記処理ユニットが、前記非セルラーネットワークアクセスデバイス用の前記鍵を決定した後、前記鍵に対応する鍵識別子を決定するようにさらに構成され、
前記トランシーバユニットが、前記非セルラーネットワークアクセスデバイスに前記処理ユニットによって決定された前記鍵識別子を送信するようにさらに構成される、
請求項32から37のいずれか一項に記載の装置。 - アクセス認証装置であって、前記装置がユーザ機器UEに適用され、
鍵を決定することであって、前記鍵が、前記UEと非セルラーネットワークアクセスデバイスとの間のセキュリティ認証を実施するために使用される、決定することと、前記鍵に対応する鍵識別子を決定することとを行うように構成された決定ユニットと、
前記鍵および前記鍵識別子を使用することにより、前記非セルラーネットワークアクセスデバイスとセキュリティ認証を実施するように構成された認証ユニットと
を備える、装置。 - 前記鍵を決定するとき、前記決定ユニットが、具体的に、セルラーネットワークアクセスデバイスと共有される鍵に基づいて、導出規則を使用することによって前記鍵を導出するように構成され、
前記導出規則が、前記セルラーネットワークアクセスデバイスによって送信されるか、または前記導出規則が、前記UEにおいてあらかじめ構成され、前記非セルラーネットワークアクセスデバイス用の鍵を導出するために前記セルラーネットワークアクセスデバイスによって使用される導出規則と同じである、
請求項39に記載の装置。 - アクセス認証装置であって、前記装置が非セルラーネットワークアクセスデバイスに適用され、
セルラーネットワークアクセスデバイスによって送信された鍵を受信するように構成されたトランシーバユニットであって、前記鍵が、前記非セルラーネットワークアクセスデバイスに関連付けられたユーザ機器UEとセキュリティ認証を実施するように、前記非セルラーネットワークアクセスデバイスに命令するために使用される、トランシーバユニットと、
前記鍵に対応する鍵識別子を決定し、前記鍵識別子および前記鍵を使用することにより、前記UEとセキュリティ認証を実施するように構成された処理ユニットと
を備える、装置。 - 前記トランシーバユニットが、前記鍵に対応し、前記セルラーネットワークアクセスデバイスによって送信された前記鍵識別子を受信するようにさらに構成される、請求項41に記載の装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNPCT/CN2015/086637 | 2015-08-11 | ||
| CN2015086637 | 2015-08-11 | ||
| PCT/CN2015/090766 WO2017024662A1 (zh) | 2015-08-11 | 2015-09-25 | 一种接入认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018527819A true JP2018527819A (ja) | 2018-09-20 |
| JP6702595B2 JP6702595B2 (ja) | 2020-06-03 |
Family
ID=57982993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018506968A Active JP6702595B2 (ja) | 2015-08-11 | 2015-09-25 | アクセス認証の方法および装置 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US20180167811A1 (ja) |
| EP (1) | EP3328106B1 (ja) |
| JP (1) | JP6702595B2 (ja) |
| KR (1) | KR102022813B1 (ja) |
| CN (1) | CN106797559B (ja) |
| BR (1) | BR112018002544A2 (ja) |
| RU (1) | RU2699403C1 (ja) |
| WO (1) | WO2017024662A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108449755A (zh) * | 2018-04-03 | 2018-08-24 | 新华三技术有限公司 | 一种终端接入方法和装置 |
| US11121871B2 (en) * | 2018-10-22 | 2021-09-14 | International Business Machines Corporation | Secured key exchange for wireless local area network (WLAN) zero configuration |
| US11197154B2 (en) * | 2019-12-02 | 2021-12-07 | At&T Intellectual Property I, L.P. | Secure provisioning for wireless local area network technologies |
| EP4002766B1 (en) * | 2020-11-18 | 2024-04-24 | Deutsche Telekom AG | Method and system for reachability of services specific to one specific network access over a different network access and system thereof |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0669882A (ja) * | 1992-08-19 | 1994-03-11 | Nippon Telegr & Teleph Corp <Ntt> | 移動通信方式における認証方法 |
| JP2006262371A (ja) * | 2005-03-18 | 2006-09-28 | Sanyo Electric Co Ltd | 移動端末、及び、この移動端末に適用されるプログラム |
| JP2010536273A (ja) * | 2007-08-08 | 2010-11-25 | クゥアルコム・インコーポレイテッド | パケットデータ収束プロトコルヘッダにおけるキー識別子 |
| US20150082393A1 (en) * | 2012-05-23 | 2015-03-19 | Huawei Technologies Co., Ltd. | Secure establishment method, system and device of wireless local area network |
| JP2017535088A (ja) * | 2014-03-24 | 2017-11-24 | インテル アイピー コーポレーション | 無線ローカルエリアネットワークにおいてユーザ機器(ue)の通信をセキュアにする装置、システム及び方法 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6920559B1 (en) * | 2000-04-28 | 2005-07-19 | 3Com Corporation | Using a key lease in a secondary authentication protocol after a primary authentication protocol has been performed |
| WO2003092218A1 (en) * | 2002-04-26 | 2003-11-06 | Thomson Licensing S.A. | Transitive authentication authorization accounting in interworking between access networks |
| US7103359B1 (en) * | 2002-05-23 | 2006-09-05 | Nokia Corporation | Method and system for access point roaming |
| US20050138355A1 (en) * | 2003-12-19 | 2005-06-23 | Lidong Chen | System, method and devices for authentication in a wireless local area network (WLAN) |
| US7606370B2 (en) * | 2005-04-05 | 2009-10-20 | Mcafee, Inc. | System, method and computer program product for updating security criteria in wireless networks |
| JP5014608B2 (ja) * | 2005-09-30 | 2012-08-29 | 富士通株式会社 | グループ通信方法、利用装置および管理装置 |
| US7339915B2 (en) * | 2005-10-11 | 2008-03-04 | Cisco Technology, Inc. | Virtual LAN override in a multiple BSSID mode of operation |
| US8374122B2 (en) * | 2005-12-21 | 2013-02-12 | Cisco Technology, Inc. | System and method for integrated WiFi/WiMax neighbor AP discovery and AP advertisement |
| US20070224988A1 (en) * | 2006-03-24 | 2007-09-27 | Interdigital Technology Corporation | Method and apparatus for performing a handover procedure between a 3gpp lte network and an alternative wireless network |
| EP2041910A4 (en) * | 2006-07-06 | 2013-05-22 | Apple Inc | WIRELESS ACCESS POINT SECURITY FOR MULTIHOP NETWORKS |
| US8073428B2 (en) * | 2006-09-22 | 2011-12-06 | Kineto Wireless, Inc. | Method and apparatus for securing communication between an access point and a network controller |
| US8667151B2 (en) * | 2007-08-09 | 2014-03-04 | Alcatel Lucent | Bootstrapping method for setting up a security association |
| EP3079298B1 (en) * | 2007-11-30 | 2018-03-21 | Telefonaktiebolaget LM Ericsson (publ) | Key management for secure communication |
| US8898474B2 (en) * | 2008-11-04 | 2014-11-25 | Microsoft Corporation | Support of multiple pre-shared keys in access point |
| KR101556906B1 (ko) * | 2008-12-29 | 2015-10-06 | 삼성전자주식회사 | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 |
| US20100246416A1 (en) * | 2009-03-25 | 2010-09-30 | Amit Sinha | Systems and methods for remote testing of wireless lan access points |
| EP2410788B1 (en) * | 2009-04-10 | 2013-07-31 | Huawei Technologies Co., Ltd. | Handover method and device |
| CN102045714B (zh) * | 2009-10-10 | 2013-07-10 | 上海贝尔股份有限公司 | 提供3gpp网络与无线局域网互通安全的方法和装置 |
| US8630416B2 (en) * | 2009-12-21 | 2014-01-14 | Intel Corporation | Wireless device and method for rekeying with reduced packet loss for high-throughput wireless communications |
| US9009801B2 (en) * | 2010-12-30 | 2015-04-14 | Interdigital Patent Holdings, Inc. | Authentication and secure channel setup for communication handoff scenarios |
| US20140171029A1 (en) * | 2011-07-08 | 2014-06-19 | Nokia Corporation | Method and apparatus for authenticating subscribers to long term evolution telecommunication networks or universal mobile telecommunications system |
| CN103026745B (zh) * | 2011-07-29 | 2015-10-21 | 华为技术有限公司 | 一种简化无线局域网认证的方法、装置及系统 |
| US8837741B2 (en) * | 2011-09-12 | 2014-09-16 | Qualcomm Incorporated | Systems and methods for encoding exchanges with a set of shared ephemeral key data |
| US9143937B2 (en) * | 2011-09-12 | 2015-09-22 | Qualcomm Incorporated | Wireless communication using concurrent re-authentication and connection setup |
| US8594628B1 (en) * | 2011-09-28 | 2013-11-26 | Juniper Networks, Inc. | Credential generation for automatic authentication on wireless access network |
| EP2777239A1 (en) * | 2011-11-07 | 2014-09-17 | Option | Establishing a communication session |
| CN103609154B (zh) * | 2012-06-08 | 2017-08-04 | 华为技术有限公司 | 一种无线局域网接入鉴权方法、设备及系统 |
| WO2014028691A1 (en) * | 2012-08-15 | 2014-02-20 | Interdigital Patent Holdings, Inc. | Enhancements to enable fast security setup |
| US8923880B2 (en) * | 2012-09-28 | 2014-12-30 | Intel Corporation | Selective joinder of user equipment with wireless cell |
| WO2014182270A1 (en) * | 2013-05-05 | 2014-11-13 | Intel IP Corporation | Apparatus, system and method of communicating location-enabling information for location estimation |
| KR20140142677A (ko) * | 2013-06-04 | 2014-12-12 | 삼성전자주식회사 | 그룹키 사용하여 무선 도킹 기반 서비스를 위한 방법 및 장치 |
| EP3257296B1 (en) * | 2015-02-12 | 2018-08-15 | Telefonaktiebolaget LM Ericsson (publ) | Wireless communications involving a fast initial link setup, fils, discovery frame for network signaling |
| US9769661B2 (en) * | 2015-04-06 | 2017-09-19 | Qualcomm, Incorporated | Wireless network fast authentication / association using re-association object |
| EP3281456B1 (en) * | 2015-04-10 | 2019-04-24 | Telefonaktiebolaget LM Ericsson (publ) | Autonomous lte-wlan interface setup and information exchange |
| CN107683621A (zh) * | 2015-05-26 | 2018-02-09 | 英特尔Ip公司 | 针对lte/wlan聚合的wlan移动 |
-
2015
- 2015-09-25 CN CN201580001274.5A patent/CN106797559B/zh active Active
- 2015-09-25 BR BR112018002544-5A patent/BR112018002544A2/pt not_active IP Right Cessation
- 2015-09-25 JP JP2018506968A patent/JP6702595B2/ja active Active
- 2015-09-25 WO PCT/CN2015/090766 patent/WO2017024662A1/zh active Application Filing
- 2015-09-25 EP EP15900857.2A patent/EP3328106B1/en active Active
- 2015-09-25 KR KR1020187006457A patent/KR102022813B1/ko active IP Right Grant
- 2015-09-25 RU RU2018108000A patent/RU2699403C1/ru active
-
2018
- 2018-02-09 US US15/892,817 patent/US20180167811A1/en not_active Abandoned
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0669882A (ja) * | 1992-08-19 | 1994-03-11 | Nippon Telegr & Teleph Corp <Ntt> | 移動通信方式における認証方法 |
| JP2006262371A (ja) * | 2005-03-18 | 2006-09-28 | Sanyo Electric Co Ltd | 移動端末、及び、この移動端末に適用されるプログラム |
| JP2010536273A (ja) * | 2007-08-08 | 2010-11-25 | クゥアルコム・インコーポレイテッド | パケットデータ収束プロトコルヘッダにおけるキー識別子 |
| US20150082393A1 (en) * | 2012-05-23 | 2015-03-19 | Huawei Technologies Co., Ltd. | Secure establishment method, system and device of wireless local area network |
| JP2017535088A (ja) * | 2014-03-24 | 2017-11-24 | インテル アイピー コーポレーション | 無線ローカルエリアネットワークにおいてユーザ機器(ue)の通信をセキュアにする装置、システム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6702595B2 (ja) | 2020-06-03 |
| EP3328106B1 (en) | 2020-08-12 |
| EP3328106A1 (en) | 2018-05-30 |
| CN106797559B (zh) | 2020-07-28 |
| KR102022813B1 (ko) | 2019-09-18 |
| US20180167811A1 (en) | 2018-06-14 |
| BR112018002544A2 (pt) | 2018-09-18 |
| RU2699403C1 (ru) | 2019-09-05 |
| KR20180038493A (ko) | 2018-04-16 |
| CN106797559A (zh) | 2017-05-31 |
| EP3328106A4 (en) | 2018-08-29 |
| WO2017024662A1 (zh) | 2017-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3494759B1 (en) | Techniques for establishing a secure connection between a wireless device and a local area network via an access node | |
| JP6329993B2 (ja) | Staとieee802.11ネットワークのアクセスポイントの間の加速されたリンクセットアップのための方法および装置 | |
| US10841302B2 (en) | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system | |
| US11356844B2 (en) | WWAN-WLAN aggregation security | |
| JP2017538345A (ja) | 方法、装置およびシステム | |
| US9883439B2 (en) | Offloading method and apparatus | |
| US20180167811A1 (en) | Access authentication method and apparatus | |
| JP2018506224A (ja) | ネットワークシグナリングのための高速初期リンクセットアップ(fils)ディスカバリフレームに関与するワイヤレス通信 | |
| KR101873391B1 (ko) | Ap에 접속된 sta에 대한 재연관 시간 감소 | |
| US20160337922A1 (en) | RAN-WLAN Traffic Steering | |
| US20190058993A1 (en) | Wlan authentication for lwa connection with legacy wi-fi deployment | |
| EP3046362B1 (en) | Distribution method, base station and user equipment | |
| US20240155439A1 (en) | Securing communications at a change of connection | |
| TWI602446B (zh) | 處理認證程序的裝置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180323 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180323 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190128 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190419 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190917 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200406 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200427 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6702595 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |