JP2019533344A - 拡張可能認証プロトコル(eap)手順の実施に基づいてセルラーネットワークに対するセキュリティ鍵を導出するための技法 - Google Patents

拡張可能認証プロトコル(eap)手順の実施に基づいてセルラーネットワークに対するセキュリティ鍵を導出するための技法 Download PDF

Info

Publication number
JP2019533344A
JP2019533344A JP2019513988A JP2019513988A JP2019533344A JP 2019533344 A JP2019533344 A JP 2019533344A JP 2019513988 A JP2019513988 A JP 2019513988A JP 2019513988 A JP2019513988 A JP 2019513988A JP 2019533344 A JP2019533344 A JP 2019533344A
Authority
JP
Japan
Prior art keywords
network
authentication
procedure
parameters
authenticator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019513988A
Other languages
English (en)
Other versions
JP7008690B2 (ja
JP2019533344A5 (ja
Inventor
ス・ボム・イ
アナンド・パラニゴウンダー
エイドリアン・エドワード・エスコット
Original Assignee
クアルコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クアルコム,インコーポレイテッド filed Critical クアルコム,インコーポレイテッド
Publication of JP2019533344A publication Critical patent/JP2019533344A/ja
Publication of JP2019533344A5 publication Critical patent/JP2019533344A5/ja
Application granted granted Critical
Publication of JP7008690B2 publication Critical patent/JP7008690B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ワイヤレス通信のための技法について説明する。ユーザ機器(UE)におけるワイヤレス通信のための方法は、オーセンティケータを介して認証サーバを用いて拡張可能認証プロトコル(EAP)手順を実行するステップを含む。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づく。方法はまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくマスタセッション鍵(MSK)および拡張マスタセッション鍵(EMSK)を、EAP手順を実行することの一部として導出するステップと、オーセンティケータに関連付けられたネットワークタイプを決定するステップと、オーセンティケータを用いて少なくとも1つの認証手順を、決定されたネットワークタイプに少なくとも部分的に基づいて実行するステップとを含む。少なくとも1つの認証手順は、MSKまたはEMSKと決定されたネットワークタイプとの関連に基づく。

Description

相互参照
本特許出願は、各々が本出願の譲受人に譲渡される、2017年4月17日に出願された「Techniques For Deriving Security Keys For A Cellular Network Based On Performance of an Extensible Authentication Protocol (EAP) Procedure」と題する、Leeらによる米国特許出願第15/489,670号、および2016年9月19日に出願された「Techniques For Deriving Security Keys For A Cellular Network Based On Performance of an Extensible Authentication Protocol (EAP) Procedure」と題する、Leeらによる米国仮特許出願第62/396,791号の優先権を主張する。
本開示は、たとえば、ワイヤレス通信システムに関し、より詳細には、拡張可能認証プロトコル(EAP)手順の実施に基づいてセルラーネットワークに対するセキュリティ鍵を導出するための技法に関する。
ワイヤレス通信システムは、音声、ビデオ、パケットデータ、メッセージング、ブロードキャストなどの、様々なタイプの通信コンテンツを提供するために広く展開されている。これらのシステムは、利用可能なシステムリソース(たとえば、時間、周波数、および電力)を共有することによって、複数のユーザとの通信をサポートすることが可能な多元接続システムであり得る。そのような多元接続システムの例は、符号分割多元接続(CDMA)システム、時分割多元接続(TDMA)システム、周波数分割多元接続(FDMA)システム、および直交周波数分割多元接続(OFDMA)システムを含む。
いくつかの例では、ワイヤレス多元接続通信システムは、セルラーネットワークであってもよく、またはそれを含んでもよい。セルラーネットワークは、各々がユーザ機器(UE)としても知られている複数の通信デバイスのための通信を同時にサポートする、いくつかのネットワークアクセスデバイスを含み得る。第4世代(4G)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、またはLTE-Advanced(LTE-A)ネットワークでは、ネットワークアクセスデバイスは、拡張ノードB(eNB)の形態を取ってもよく、各eNBは1つまたは複数の基地局のセットを含む。第5世代(5GまたはNextGen)ネットワークでは、ネットワークアクセスデバイスは、ネットワークアクセスデバイスコントローラ(たとえば、アクセスノードコントローラ(ANC)と通信中のスマートレディオヘッド(SRH:smart radio heads)またはgノードB(gNB)の形態を取ってもよく、そこにおいて、ネットワークアクセスデバイスコントローラと通信中の1つまたは複数のネットワークアクセスデバイスのセットが、ネットワークノードを規定する。eNB、gNB、またはネットワークノードは、(たとえば、eNB、gNB、またはネットワークノードからUEへの送信用の)ダウンリンクチャネル上および(たとえば、UEからeNB、gNB、またはネットワークノードへの送信用の)アップリンクチャネル上でUEのセットと通信し得る。
UEがセルラーネットワークにアクセスするとき、UEまたはセルラーネットワークは、UEがそれ自体をセルラーネットワークのオーセンティケータに対して認証することを可能にし、オーセンティケータがセルラーネットワークをUEに対して認証することを可能にする、1つまたは複数の手順を開始し得る。いくつかの例では、認証手順はEAP手順を含んでもよく、オーセンティケータとのセキュアな接続を有する認証サーバは、UEを認証し、UEがそれ自体をオーセンティケータに対して認証するために1つまたは複数のセキュリティ鍵を導出することを可能にし、オーセンティケータがセルラーネットワークをUEに対して認証することを可能にするためにセキュアな接続を介してオーセンティケータに送信される1つまたは複数のセキュリティ鍵を導出する。
いくつかの場合には、セルラーネットワークは、異なるタイプのアクセスネットワークを介してセルラーネットワークへのアクセスを可能にしてもよく、アクセスネットワークのうちのいくつかは攻撃に対して多少は脆弱である場合があり、アクセスネットワークのうちのいくつかは多少はセルラーネットワークの事業者の制御下にある場合がある。たとえば、セルラーネットワークは、セルラーアクセスネットワークまたは非セルラーアクセスネットワーク(たとえば、ワイヤレスローカルエリアネットワーク(WLAN))を介してセルラーネットワークへのアクセスを可能にする場合がある。同じEAP手順が異なるアクセスネットワークに関連付けられたオーセンティケータによってサポートされるとき、同じマスタセッション鍵(MSK)が、セルラーアクセスネットワークに関連付けられたオーセンティケータまたは非セルラーアクセスネットワークに関連付けられたオーセンティケータを介してEAP手順を実行した結果として導出される場合がある。したがって、同じMSKまたはMSKから導出される同じセキュリティ鍵が、セルラーアクセスネットワークに関連付けられたオーセンティケータまたは非セルラーアクセスネットワークに関連付けられたオーセンティケータに与えられる場合がある。非セルラーアクセスネットワークが攻撃者によって不正アクセスされた場合、MSKまたはMSKから導出されたセキュリティ鍵への攻撃者のアクセスは、攻撃者が、UEへのセルラーアクセスネットワークになりすますために非セルラーアクセスネットワークを使用することを可能にする場合があり、そのことが、UEおよび/またはUE上で動作しているアプリケーションのセキュリティを危うくする。本開示で説明する技法は、オーセンティケータに関連付けられたネットワークのタイプを決定すること、およびネットワークのタイプに関連付けられたEAPセッション鍵(たとえば、MSKまたは拡張MSK(EMSK))のタイプに基づいてオーセンティケータを用いて認証手順を実行すること(またはオーセンティケータに対するセキュリティ鍵を導出すること)によって、そのような脅威を緩和するのに役立つ。いくつかの例では、MSKは、オーセンティケータが非セルラーアクセスネットワークに関連付けられているときに使用されてもよく、EMSKは、オーセンティケータがセルラーアクセスネットワークに関連付けられているときに使用されてもよい。
一例では、UEにおけるワイヤレス通信のための方法が説明される。方法は、オーセンティケータを介して認証サーバを用いてEAP手順を実行するステップを含み得る。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。方法はまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出するステップと、オーセンティケータに関連付けられたネットワークタイプを決定するステップと、オーセンティケータを用いて少なくとも1つの認証手順を、決定されたネットワークタイプに少なくとも部分的に基づいて実行するステップとを含み得る。少なくとも1つの認証手順は、MSKまたはEMSKと決定されたネットワークタイプとの関連に基づき得る。
一例では、UEにおけるワイヤレス通信のための装置が説明される。装置は、オーセンティケータを介して認証サーバを用いてEAP手順を実行するための手段を含み得る。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。装置はまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出するための手段と、オーセンティケータがセルラーネットワークに関連付けられていると決定するための手段と、オーセンティケータを用いて少なくとも1つの認証手順を実行するための手段とを含み得る。少なくとも1つの認証手順は、MSKまたはEMSKと決定されたネットワークタイプとの関連に基づき得る。
一例では、UEにおけるワイヤレス通信のための別の装置が説明される。装置は、プロセッサと、プロセッサと電子通信しているメモリとを含み得る。プロセッサおよびメモリは、オーセンティケータを介して認証サーバを用いてEAP手順を実行するように構成され得る。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。プロセッサおよびメモリはまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出することと、オーセンティケータに関連付けられたネットワークタイプを決定することと、オーセンティケータを用いて少なくとも1つの認証手順を、決定されたネットワークタイプに少なくとも部分的に基づいて実行することとを行うように構成され得る。少なくとも1つの認証手順は、MSKまたはEMSKと決定されたネットワークタイプとの関連に基づき得る。
一例では、UEにおけるワイヤレス通信のためのコンピュータ実行可能コードを記憶する非一時的コンピュータ可読媒体が説明される。コードは、オーセンティケータを介して認証サーバを用いてEAP手順を実行することをプロセッサによって実行可能である。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。コードはまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出することと、オーセンティケータに関連付けられたネットワークタイプを決定することと、オーセンティケータを用いて少なくとも1つの認証手順を、決定されたネットワークタイプに少なくとも部分的に基づいて実行することとを行うことをプロセッサによって実行可能である。少なくとも1つの認証手順は、MSKまたはEMSKと決定されたネットワークタイプとの関連に基づき得る。
上記で説明した方法、装置、および非一時的コンピュータ可読媒体のいくつかの例では、決定されたネットワークタイプはセルラーネットワークタイプを含んでもよく、オーセンティケータを用いて少なくとも1つの認証手順を実行することは、セルラーネットワークに対する第1のセキュリティ鍵を導出することを含み得る。第1のセキュリティ鍵は、EMSKおよびパラメータの第2のセットに少なくとも部分的に基づき得る。いくつかの例では、パラメータの第2のセットは、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UEとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
上記で説明した方法、装置、および非一時的コンピュータ可読媒体のいくつかの例では、オーセンティケータを用いて少なくとも1つの認証手順を実行することは、セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出することであって、第2のセキュリティ鍵が第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づく、導出することと、第2のセキュリティ鍵に少なくとも部分的に基づいてネットワークノードを介してセルラーネットワークと通信することとを含み得る。これらの例のいくつかにおいて、パラメータの第3のセットは、ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、UEとネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
上記で説明した方法、装置、および非一時的コンピュータ可読媒体のいくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。
上記で説明した方法、装置、または非一時的コンピュータ可読媒体のいくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。
上記で説明した方法、装置、および非一時的コンピュータ可読媒体のいくつかの例では、決定されたネットワークタイプは非セルラーネットワークタイプを含んでもよく、オーセンティケータを用いて少なくとも1つの認証手順を実行することは、非セルラーネットワークに対する第1のセキュリティ鍵を導出することを含み得る。第1のセキュリティ鍵は、MSKおよびパラメータの第2のセットに少なくとも部分的に基づき得る。
一例では、認証サーバにおけるワイヤレス通信のための方法は、オーセンティケータを介してUEを用いてEAP手順を実行するステップを含み得る。EAP手順は、認証サーバとUEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。方法はまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出するステップと、オーセンティケータに関連付けられたネットワークタイプを決定するステップと、MSKまたはEMSKとネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、決定されたネットワークタイプに対するセキュリティ鍵を導出するステップと、セキュリティ鍵をセキュアなチャネルを介してオーセンティケータに送信するステップとを含み得る。
一例では、認証サーバにおけるワイヤレス通信のための装置が説明される。装置は、オーセンティケータを介してUEを用いてEAP手順を実行するための手段を含み得る。EAP手順は、認証サーバとUEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。装置はまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出するための手段と、オーセンティケータに関連付けられたネットワークタイプを決定するための手段と、MSKまたはEMSKとネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、決定されたネットワークタイプに対するセキュリティ鍵を導出するための手段と、セキュリティ鍵をセキュアなチャネルを介してオーセンティケータに送信するための手段とを含み得る。
一例では、認証サーバにおけるワイヤレス通信のための別の装置が説明される。装置は、プロセッサと、プロセッサと電子通信しているメモリとを含み得る。プロセッサおよびメモリは、オーセンティケータを介してUEを用いてEAP手順を実行するように構成され得る。EAP手順は、認証サーバとUEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。プロセッサおよびメモリはまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出することと、オーセンティケータに関連付けられたネットワークタイプを決定することと、MSKまたはEMSKと決定されたネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、決定されたネットワークタイプに対するセキュリティ鍵を導出することと、セキュリティ鍵をセキュアなチャネルを介してオーセンティケータに送信することとを行うように構成され得る。
一例では、認証サーバにおけるワイヤレス通信のためのコンピュータ実行可能コードを記憶する非一時的コンピュータ可読媒体が説明される。コードは、オーセンティケータを介してUEを用いてEAP手順を実行することをプロセッサによって実行可能である。EAP手順は、認証サーバとUEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。コードはまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出することと、オーセンティケータに関連付けられたネットワークタイプを決定することと、MSKまたはEMSKと決定されたネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、決定されたネットワークタイプに対するセキュリティ鍵を導出することと、セキュリティ鍵をセキュアなチャネルを介してオーセンティケータに送信することとを行うことをプロセッサによって実行可能である。
上記で説明した方法、装置、および非一時的コンピュータ可読媒体のいくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。
上記で説明した方法、装置、および非一時的コンピュータ可読媒体のいくつかの例では、決定されたネットワークタイプはセルラーネットワークタイプを含んでもよく、パラメータの第2のセットはセルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、認証サーバとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
上記で説明した方法、装置、または非一時的コンピュータ可読媒体のいくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。
一例では、セルラーネットワークにおけるワイヤレス通信のための方法が説明される。方法は、EMSKおよびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信するステップを含み得る。EMSKは、認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき得る。認証クレデンシャルは、EAP手順の間にUEと認証サーバとの間で交換され得る。方法はまた、第1のセキュリティ鍵に少なくとも部分的に基づいてUEを用いて少なくとも1つの認証手順を実行するステップを含み得る。
一例では、セルラーネットワークにおけるワイヤレス通信のための装置が説明される。装置は、EMSKおよびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信するための手段を含み得る。EMSKは、認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき得る。認証クレデンシャルは、EAP手順の間にUEと認証サーバとの間で交換され得る。装置はまた、第1のセキュリティ鍵に少なくとも部分的に基づいてUEを用いて少なくとも1つの認証手順を実行するための手段を含み得る。
一例では、セルラーネットワークにおけるワイヤレス通信のための別の装置が説明される。装置は、プロセッサと、プロセッサと電子通信しているメモリとを含み得る。プロセッサおよびメモリは、EMSKおよびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信するように構成され得る。EMSKは、認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき得る。認証クレデンシャルは、EAP手順の間にUEと認証サーバとの間で交換され得る。プロセッサおよびメモリはまた、第1のセキュリティ鍵に少なくとも部分的に基づいてUEを用いて少なくとも1つの認証手順を実行するように構成され得る。
一例では、セルラーネットワークにおけるワイヤレス通信のためのコンピュータ実行可能コードを記憶する非一時的コンピュータ可読媒体が説明される。コードは、EMSKおよびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信することをプロセッサによって実行可能である。EMSKは、認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき得る。認証クレデンシャルは、EAP手順の間にUEと認証サーバとの間で交換され得る。コードはまた、第1のセキュリティ鍵に少なくとも部分的に基づいてUEを用いて少なくとも1つの認証手順を実行することを実行可能である。
上記で説明した方法、装置、および非一時的コンピュータ可読媒体のいくつかの例では、UEを用いて少なくとも1つの認証手順を実行することは、セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出することであって、第2のセキュリティ鍵が第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づく、導出することと、第2のセキュリティ鍵に少なくとも部分的に基づいてネットワークノードを介してUEと通信することとを含み得る。いくつかの例では、パラメータの第3のセットは、ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、UEとネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
上記で説明した方法、装置、および非一時的コンピュータ可読媒体のいくつかの例では、パラメータの第2のセットはセルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UEとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
上記で説明した方法、装置、および非一時的コンピュータ可読媒体のいくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。
上記で説明した方法、装置、または非一時的コンピュータ可読媒体のいくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。
上記は、以下の発明を実施するための形態がより良く理解され得るように、本開示による例の技法および技術的利点をかなり広く概説している。追加の技法および利点が以下で説明される。開示する概念および具体例は、本開示の同じ目的を遂行するための他の構造を修正または設計するための基礎として容易に利用され得る。そのような均等な構成は、添付の特許請求の範囲から逸脱しない。本明細書で開示する概念の特性、それらの編成と動作方法の両方が、関連する利点とともに、添付の図に関して検討されると以下の説明からより良く理解されよう。図の各々は、例示および説明のために提供され、特許請求の範囲の限定の定義として提供されるものではない。
本発明の本質および利点のさらなる理解は、以下の図面を参照することによって実現され得る。添付の図面において、類似の構成要素または機能は、同じ参照符号を有することがある。さらに、同じタイプの様々な構成要素は、参照符号の後に、ダッシュと、類似の構成要素を区別する第2の符号とを続けることによって、区別されることがある。第1の参照符号のみが本明細書において使用される場合、説明は、第2の参照符号にかかわらず、同じ第1の参照符号を有する類似の構成要素のうちのいずれにも適用可能である。
本開示の様々な態様による、ワイヤレス通信システムの一例を示す図である。 本開示の様々な態様による、ワイヤレス通信システムの一例を示す図である。 本開示の様々な態様による、ワイヤレス通信システムに対する鍵階層構造の一例を示す図である。 本開示の様々な態様による、ワイヤレス通信システムの一例を示す図である。 本開示の様々な態様による、UEと、セルラーネットワークと、認証サーバとの間の例示的なメッセージフローを示す図である。 本開示の様々な態様による、UEのブロック図である。 本開示の様々な態様による、ワイヤレス通信マネージャのブロック図である。 本開示の様々な態様による、ワイヤレス通信システムの図である。 本開示の様々な態様による、認証サーバのブロック図である。 本開示の様々な態様による、認証サーバのブロック図である。 本開示の様々な態様による、ネットワークノードのブロック図である。 本開示の様々な態様による、通信マネージャのブロック図である。 本開示の様々な態様による、ネットワークノードの図である。 本開示の様々な態様による、ワイヤレス通信のための方法を示すフローチャートである。 本開示の様々な態様による、ワイヤレス通信のための方法を示すフローチャートである。 本開示の様々な態様による、ワイヤレス通信のための方法を示すフローチャートである。 本開示の様々な態様による、ワイヤレス通信のための方法を示すフローチャートである。 本開示の様々な態様による、ワイヤレス通信のための方法を示すフローチャートである。
本開示で説明する技法は、UEが、異なるタイプのアクセスネットワークに関連付けられたオーセンティケータを介して認証サーバを用いてEAP手順を実行することを可能にする。オーセンティケータを介してEAP手順の実行が成功すると、UEおよび認証サーバは、オーセンティケータに関連付けられたネットワークのタイプに少なくとも部分的に基づいて、オーセンティケータのためのセキュリティ鍵を導出し得る。いくつかの例では、UEおよび認証サーバは、オーセンティケータが非セルラーアクセスネットワークに関連付けられているときにMSKに基づいてオーセンティケータに対するセキュリティ鍵を導出してもよく、オーセンティケータがセルラーアクセスネットワークに関連付けられているときにEMSKに基づいてオーセンティケータに対するセキュリティ鍵を導出してもよい。
以下の説明は例を提供するものであり、特許請求の範囲に記載される範囲、適用可能性、または例を限定するものではない。本開示の範囲から逸脱することなく、説明される要素の機能および構成に変更が加えられてよい。様々な例は、様々な手順または構成要素を適宜に省略してよく、置換してよく、または追加してよい。たとえば、説明される方法は、説明される順序とは異なる順序で実行されてよく、様々なステップが追加されてよく、省略されてよく、または組み合わされてよい。また、いくつかの例に関して説明する特徴が、いくつかの他の例では組み合わせられてよい。
図1は、本開示の様々な態様によるワイヤレス通信システム100の一例を示す。ワイヤレス通信システム100は、ネットワークアクセスデバイス(たとえば、分散ネットワークアクセスデバイス、分散ユニット、gNB、レディオヘッド(RH)、SRH、送信/受信ポイント(TRP)、エッジノード、エッジユニット、など)105、UE115、ネットワークアクセスデバイスコントローラ(たとえば、集中型ネットワークアクセスデバイス、中心ノード、中心ユニット、アクセスノードコントローラ(ANC)、など)125、およびコアネットワーク130を含み得る。コアネットワーク130は、ユーザ認証、アクセス許可、トラッキング、インターネットプロトコル(IP)接続、および他のアクセス機能、ルーティング機能、またはモビリティ機能を提供してもよい。ネットワークアクセスデバイスコントローラ125は、バックホールリンク132(たとえば、S1、S2など)を通じてコアネットワーク130とインターフェースすることができ、UE115との通信のために無線構成およびスケジューリングを実行することができる。様々な例では、ネットワークアクセスデバイスコントローラ125は、直接または間接的に(たとえば、コアネットワーク130を通じて)のいずれかで、有線またはワイヤレスの通信リンクであってよいバックホールリンク134(たとえば、X1、X2など)を介して互いに通信してよい。各ネットワークアクセスデバイスコントローラ125はまた、いくつかのネットワークアクセスデバイス(たとえば、RH)105を通していくつかのUE115と通信してもよい。ワイヤレス通信システム100の代替構成では、ネットワークアクセスデバイスコントローラ125の機能は、ネットワークアクセスデバイス105によって与えられてもよく、またはネットワークノード(たとえば、アクセスノード、新しい無線基地局(NR BSなど)135のネットワークアクセスデバイス105にわたって分散されてもよい。ワイヤレス通信システム100の別の代替構成では、ネットワークノード135がeNBによって置き換えられてもよく、ネットワークアクセスデバイス105が基地局と置き換えられてもよく、ネットワークアクセスデバイスコントローラ125が基地局コントローラ(またはコアネットワーク130へのリンク)によって置き換えられてもよい。
ネットワークアクセスデバイスコントローラ125は、1つまたは複数のネットワークアクセスデバイス105を介してUE115と通信してもよく、各ネットワークアクセスデバイス105は、いくつかのUE115とワイヤレスに通信するために1つまたは複数のアンテナを有する。ネットワークノード135の各々は、それぞれの地理的カバレージエリア110の通信カバレージを提供してもよく、1つまたは複数のネットワークアクセスデバイス105に関連する1つまたは複数の遠隔トランシーバを提供してもよい。ネットワークアクセスデバイス105は、LTE/LTE-A基地局の機能のうちの多くを実行し得る。いくつかの例では、ネットワークアクセスデバイスコントローラ125は、分散された形態で実装されてもよく、ネットワークアクセスデバイスコントローラ125の一部は、各ネットワークアクセスデバイス105内に設けられる。ネットワークノード135に対する地理的カバレージエリア110は、カバレージエリア(図示せず)の一部のみを構成するセクタに分割されてもよく、いくつかの例では、ネットワークノード135に対する地理的カバレージエリア110は、ネットワークノード135(図示せず)に関連するネットワークアクセスデバイス105のセットに対する地理的カバレージエリアのセットから形成されてもよい。いくつかの例では、ネットワークアクセスデバイス105は、トランシーバ基地局、無線基地局、アクセスポイント、無線トランシーバ、ノードB、eNB、ホームノードB、ホームeノードB、gNBなどの、代替ネットワークアクセスデバイスと置き換えられてもよい。ワイヤレス通信システム100は、様々なタイプ(たとえば、マクロセルネットワークアクセスデバイスおよび/またはスモールセルネットワークアクセスデバイス)のネットワークアクセスデバイス105(または、基地局もしくは他のネットワークアクセスデバイス)を含み得る。ネットワークアクセスデバイス105および/またはネットワークノード135の地理的カバレージエリアは重複してもよい。いくつかの例では、異なるネットワークアクセスデバイス105は、異なる無線アクセス技術に関連してよい。
いくつかの例では、ワイヤレス通信システム100は、5Gネットワークを含み得る。他の例では、ワイヤレス通信システム100は、LTE/LTE-Aネットワークを含み得る。ワイヤレス通信システム100は、場合によっては、異なるタイプのネットワークアクセスデバイス105またはネットワークノード135が様々な地理的領域にカバレージを提供する異種ネットワークであり得る。たとえば、各ネットワークアクセスデバイス105またはネットワークノード135は、マクロセル、スモールセル、および/または他のタイプのセルに通信カバレージを提供し得る。「セル」という用語は、文脈に応じて、基地局、RH、基地局もしくはRHに関連付けられるキャリアもしくはコンポーネントキャリア、またはキャリアもしくは基地局のカバレージエリア(たとえば、セクタなど)を表すために使用され得る。
マクロセルは、比較的大きい地理的エリア(たとえば、半径数キロメートル)をカバーし得、ネットワークプロバイダのサービスに加入しているUE115によるアクセスを可能にし得る。スモールセルは、マクロセルと比較すると、低電力のRHまたは基地局を含むことがあり、マクロセルと同じまたは異なる周波数帯域で動作することがある。スモールセルは、様々な例によれば、ピコセル、フェムトセル、およびマイクロセルを含み得る。ピコセルは、比較的小さい地理的エリアをカバーし得、ネットワークプロバイダのサービスに加入しているUE115による無制限アクセスを可能にし得る。フェムトセルも、比較的小さい地理的エリア(たとえば、自宅)をカバーし得、フェムトセルとの関連性を有するUE115(たとえば、限定加入者グループ(CSG:closed subscriber group)の中のUE、自宅内のユーザのためのUEなど)による制限付きアクセスを提供し得る。マクロセル用のネットワークアクセスデバイスは、マクロネットワークアクセスデバイスと呼ばれることがある。スモールセル用のネットワークアクセスデバイスは、スモールセルネットワークアクセスデバイス、ピコネットワークアクセスデバイス、フェムトネットワークアクセスデバイス、またはホームネットワークアクセスデバイスと呼ばれることがある。ネットワークアクセスデバイスは、1つまたは複数の(たとえば、2つ、3つ、4つなどの)セル(たとえば、コンポーネントキャリア)をサポートしてもよい。
ワイヤレス通信システム100は、同期動作または非同期動作をサポートし得る。同期動作の場合、ネットワークノード135またはネットワークアクセスデバイス105は、同様のフレームタイミングを有してもよく、異なるネットワークアクセスデバイス105からの送信は、時間的にほぼ整合され得る。非同期動作の場合、ネットワークノード135またはネットワークアクセスデバイス105は、異なるフレームタイミングを有してもよく、異なるネットワークアクセスデバイス105からの送信は、時間的に整合されないことがある。本明細書で説明される技法は、同期動作または非同期動作のいずれかに使用されてよい。
開示する様々な例のうちのいくつかに適合し得る通信ネットワークは、階層化されたプロトコルスタックに従って動作するパケットベースネットワークであり得る。ユーザプレーンでは、ベアラまたはパケットデータコンバージェンスプロトコル(PDCP:Packet Data Convergence Protocol)レイヤにおける通信は、IPベースであってよい。無線リンク制御(RLC:Radio Link Control)レイヤは、場合によっては、論理チャネルを介して通信するために、パケットのセグメント化および再アセンブリを実行し得る。媒体アクセス制御(MAC)レイヤは、優先度処理、およびトランスポートチャネルへの論理チャネルの多重化を実行し得る。MACレイヤはまた、MACレイヤにおける再送信を行ってリンク効率を改善するために、ハイブリッドARQ(HARQ)を使用し得る。制御プレーンでは、無線リソース制御(RRC)プロトコルレイヤは、UE115と、ネットワークデバイス105、ネットワークアクセスデバイスコントローラ125、またはユーザプレーンデータのための無線ベアラをサポートするコアネットワーク130との間のRRC接続の確立、構成、および保守を行い得る。物理(PHY)レイヤにおいて、トランスポートチャネルは、物理チャネルにマッピングされ得る。
UE115は、ワイヤレス通信システム100全体にわたって分散され得、各UE115は固定またはモバイルであり得る。UE115は、移動局、加入者局、モバイルユニット、加入者ユニット、ワイヤレスユニット、リモートユニット、モバイルデバイス、ワイヤレスデバイス、ワイヤレス通信デバイス、リモートデバイス、モバイル加入者局、アクセス端末、モバイル端末、ワイヤレス端末、リモート端末、ハンドセット、ユーザエージェント、モバイルクライアント、クライアント、または何らかの他の好適な用語をも含むか、あるいはそのように当業者によって呼ばれることもある。UE115は、セルラーフォン、携帯情報端末(PDA)、ワイヤレスモデム、ワイヤレス通信デバイス、ハンドヘルドデバイス、タブレットコンピュータ、ラップトップコンピュータ、コードレスフォン、ワイヤレスローカルループ(WLL)局、インターネットオブエブリシング(IoE:Internet of Everything)デバイス、自動車、アプライアンス、またはワイヤレス通信インターフェースを有する他の電子デバイスであってよい。UEは、スモールセルノード、中継ノードなどを含む、様々なタイプのネットワークノード135またはネットワークアクセスデバイス105と通信することが可能であり得る。UEはまた、(たとえば、ピアツーピア(P2P:peer-to-peer)プロトコルを使用して)他のUEと直接通信できる場合がある。
ワイヤレス通信システム100に示す通信リンク122は、UE115からネットワークアクセスデバイス105へのアップリンク(UL)チャネル、および/またはネットワークアクセスデバイス105からUE115へのダウンリンク(DL)チャネルを含んでよい。ダウンリンクチャネルは、順方向リンクチャネルと呼ばれることもあり、アップリンクチャネルは、逆方向リンクチャネルと呼ばれることもある。
各通信リンク122は、1つまたは複数のキャリアを含み得、ここで、各キャリアは、1つまたは複数の無線アクセス技術に従って変調された複数のサブキャリアまたはトーン(たとえば、異なる周波数の波形信号)から構成された信号であり得る。各被変調信号は、異なるサブキャリア上で送信されてよく、制御情報(たとえば、基準信号、制御チャネルなど)、オーバーヘッド情報、ユーザデータなどを搬送してよい。通信リンク122は、(たとえば、ペアにされたスペクトルリソースを使用する)周波数分割複信(FDD)技法、または(たとえば、ペアにされていないスペクトルリソースを使用する)時分割複信(TDD)技法を使用して、双方向通信を送信し得る。FDD用のフレーム構造(たとえば、フレーム構造タイプ1)およびTDD用のフレーム構造(たとえば、フレーム構造タイプ2)が規定され得る。
ワイヤレス通信システム100のいくつかの例では、ネットワークアクセスデバイス105および/またはUE115は、ネットワークアクセスデバイス105とUE115との間の通信品質および信頼性を改善するために、アンテナダイバーシティ方式を採用するための複数のアンテナを含み得る。追加または代替として、ネットワークアクセスデバイス105および/またはUE115は、マルチパス環境を利用して、同じかまたは異なるコード化データを搬送する複数の空間レイヤを送信し得る、多入力多出力(MIMO)技法を採用し得る。
ワイヤレス通信システム100は、複数のセル上またはキャリア上での動作、すなわち、キャリアアグリゲーション(CA:carrier aggregation)またはマルチキャリア動作と呼ばれることがある機能をサポートし得る。キャリアは、コンポーネントキャリア(CC:component carrier)、レイヤ、チャネルなどと呼ばれることもある。「キャリア」、「コンポーネントキャリア」、「セル」、および「チャネル」という用語は、本明細書で互換的に使用されることがある。ue115は、キャリアアグリゲーションのために、複数のダウンリンクCCと1つまたは複数のアップリンクCCとで構成され得る。キャリアアグリゲーションは、FDDコンポーネントキャリアとTDDコンポーネントキャリアの両方とともに使用され得る。
UE115のうちの1つまたは複数は、ワイヤレス通信マネージャ140を含み得る。いくつかの例では、ワイヤレス通信マネージャ140は、コアネットワーク130に関連付けられたオーセンティケータを介して認証サーバを用いてEAP手順を実行するために使用され得る。認証サーバは、図2に関して説明したコアネットワーク130を介してアクセスされ得る。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。ワイヤレス通信マネージャ140はまた、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順(EAP方法または認証方法と総称される)を実行することの一部として導出することと、オーセンティケータがセルラーネットワークに関連付けられていると決定することと、EMSKに少なくとも部分的に基づいてセルラーネットワークを用いて少なくとも1つの認証手順を実行することとを行うために使用され得る。いくつかの例では、ワイヤレス通信マネージャ140は、図6〜図8に関して説明したワイヤレス通信マネージャの態様の一例であり得る。
図2は、本開示の様々な態様によるワイヤレス通信システム200の一例を示す。ワイヤレス通信システム200は、UE115-aのホームセルラーネットワーク205とUE115-aによって訪問されるセルラーネットワーク(すなわち、訪問先セルラーネットワーク205-a)とを含み得る。
ホームセルラーネットワーク205は、第1のオーセンティケータ235(たとえば、ホームセキュリティアンカー機能(H-SEAF)を与えるサーバまたはデバイス)と、ホームユーザプレーンゲートウェイ(H-UP-GW)210とを含み得る。ホームセルラーネットワーク205はまた、他の機能(図示せず)を与える他のサーバまたはデバイスを含み得ることは、当業者には諒解されよう。訪問先セルラーネットワーク205-aは、第2のオーセンティケータ235-a(たとえば、訪問するSEAF(V-SEAF)を与えるサーバまたはデバイス)と、訪問先UP-GW(V-UP-GW)210-aと、訪問先セルラーネットワーク制御プレーンコアネットワーク機能(V-CP-CN)215と、無線アクセスネットワーク(RAN)220とを含み得る。いくつかの例では、RAN220は、図1に関して説明したネットワークノード135、ネットワークアクセスデバイス105、およびネットワークアクセスデバイスコントローラ125のうちの1つまたは複数を含み得る。第1のオーセンティケータ235、H-UP-GW210、第2のオーセンティケータ235-a、V-UP-GW210-a、およびV-CP-CN215は、図1に関して説明したコアネットワーク130の例示的な構成要素であり得る。
ホームセルラーネットワーク205は、認証サーバ245と通信中であり得る(または認証サーバ245を与え得る)。認証サーバ245は、認証サーバ機能(AUSF)を与え得る。認証サーバ245は、認証クレデンシャルリポジトリおよび処理機能(ARPF)240にアクセスしてもよく、および/またはARPF240を呼び出してもよい。
UE115-aは、RAN220のノード(たとえば、ネットワークアクセスデバイス)を介して訪問先セルラーネットワーク205-aに接続し得る。図2は、UE115-aが、ローミングモードで動作中に、訪問先セルラーネットワーク205-aにアクセスしたものと仮定する。非ローミングシナリオでは、UE115-aは、ホームセルラーネットワーク205のRANを介して、訪問先セルラーネットワーク205-aではなくホームセルラーネットワーク205にアクセスし得る(図2に示さず)。
V-CP-CN215は、対応するセキュリティコンテキストを維持するばかりでなく、UE115-aに対するモビリティ管理(MM)機能および/またはセッション管理(SM)機能の1つまたは複数の態様を含んでもよく、または管理してもよい。第2のオーセンティケータ235-aは、訪問先セルラーネットワーク205-aによってUE115-aの認証を促進および管理してもよく、後続のセキュリティ鍵が導出され得るアンカーセッション鍵を維持してもよい。V-UP-GW210-aは、ユーザプレーンセキュリティがV-UP-GW210-aにおいて終了するとき、UE115-aに対するユーザプレーンセキュリティコンテキスト(たとえば、セキュリティ鍵)を維持し得る。ユーザプレーンセキュリティは、RAN220および/またはV-UP-GW210-aによって終了されてもよく、ネットワークによって構成されてもよい。一般に、UE115-aは、訪問先セルラーネットワーク205-aの各ノードを用いてセキュリティコンテキストを維持し得る。
訪問先セルラーネットワーク205-aにアクセスすると、第2のオーセンティケータ235-aは、UE115-aおよび認証サーバ245によって実行されるEAP手順を促進し得る。第2のオーセンティケータ235-aは、認証サーバ245を用いてEAP手順を実行するためのセキュアなチャネルを、(ホームセルラーネットワーク205の)第1のオーセンティケータ235を介して確立または維持し得る。
UE115-aおよび認証サーバ245によって実行されるEAP手順は、UE115-aと認証サーバ245との間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。EAP手順を実行することの一部として、UE115-aおよび認証サーバ245はそれぞれ、MSKおよびEMSKを導出し得る。MSKおよびEMSKは、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づき得る。いくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。
EAP手順が成功したとき(たとえば、UE115-aおよび認証サーバ245が首尾よく互いに認証したとき)、認証サーバ245は、セッションアンカー鍵(たとえば、第1のセキュリティ鍵)を第2のオーセンティケータ235-aに送信し得る。本開示で説明する技法によれば、セッションアンカー鍵は、EMSKに少なくとも部分的に基づき得る。セッションアンカー鍵はまた、パラメータの第2のセットに少なくとも部分的に基づき得る。パラメータの第2のセットは、訪問先セルラーネットワーク205-aの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UE115-aと第2のセルラーネットワーク205-aとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
UE115-aは、セッションアンカー鍵を単独で導出し得る。第2のセッションアンカー鍵に少なくとも部分的に基づいて、UE115-aおよび第2のオーセンティケータ235-aは、図3に示すように、互いに認証し、追加のセキュリティ鍵(たとえば、第2のセルラーネットワーク205-aの他のノードまたは機能に対するセキュリティ鍵)を導出し得る。
図2に示すものに対する代替において、H-SEAFおよびV-SEAFを与えるサーバまたはデバイスは、UE115-aと認証サーバ245との間で実行されるEAP手順においてオーセンティケータの役割を担うことはなく、代わりに、オーセンティケータは、認証サーバ245(たとえば、AUSFを与えるサーバ)と一緒に置かれてよい。これらの例では、認証サーバ245は、MSKまたはEMSKおよびパラメータの第2のセットに基づいてH-SEAFまたはV-SEAFに対するセッションアンカー鍵を導出し、セッションアンカー鍵を(非ローミングシナリオにおいて)H-SEAFに、または(ローミングシナリオにおいて)V-SEAFに送信し得る。
図3は、本開示の様々な態様による、ワイヤレス通信システムに対する鍵階層構造300の一例を示す。この解法は、EAPサーバ(たとえば、図2に関して説明した認証サーバ245)から伝えられる鍵(たとえば、KSEAF)を導出するためにEMSKを使用することによって一般的なEAPプロトコルに対する3GPPサービングネットワークに供給される鍵に結合するサービングネットワークを提供する。いくつかの例では、鍵階層構造300は、図1および図2に関して説明したワイヤレス通信システム100および200によって使用され得る。たとえば、UEおよび/またはネットワークノードは、図1および図2に関して説明した認証またはセキュリティ機能の1つまたは複数の態様を実装するために鍵階層構造300を使用し得る。
鍵階層構造300は、汎用加入者識別モジュール(USIM)とARPFとの間のセキュリティコンテキストとして使用されるKルート鍵305を含み得る。Kルート鍵305は、認証サーバとUEとの間(たとえば、図2に関して説明した認証サーバ245とUE115-aとの間)のセキュリティコンテキストを与えるためにEAP手順を実行して鍵310(たとえば、MSKおよびEMSK)を導出するためのベースとして使用され得る。Kルート鍵305は、共有鍵ベースのEAP手順を実行するために使用され得るが、1つまたは複数の他の鍵(たとえば、証明書に基づいて導出される鍵)は、証明書ベースのEAP手順を実行するときに使用され得る。EMSKは、オーセンティケータのために(たとえば、図2に関して説明した第2のオーセンティケータ235-aのために)KSEAFアンカーセッション鍵315を導出するために認証サーバ(たとえば、AUSF)およびUEによって使用され得る。EMSK(MSKではない)はKSEAFを導出するために使用されるので、3GPPアクセスに対するクレデンシャルの使用を制限する必要はない。たとえば、非3GPPエンティティがEAP認証に基づくMSKを取得するとき、KSEAFは非3GPPエンティティに知られていないEMSKから導出されるので、非3GPPエンティティはKSEAFを導出することはできない。KSEAFアンカーセッション鍵315は、オーセンティケータおよびUEによって維持され得る。
KSEAFアンカーセッション鍵315は、KCP-CN鍵320およびKUP-GW鍵325を導出するためにオーセンティケータによって使用され得る。KCP-CN鍵320は、CP-CN機能(たとえば、図2に関して説明したV-CP-CN215)およびUEによって維持され得る。KUP-GW鍵325は、UP-GW機能(たとえば、図2に関して説明したV-UP-GW210-a)およびUEによって維持され得る。KUP-GW鍵325は、KUP-GWenc鍵340およびKUP-GWint鍵345を確立するためにUP-GWによって使用され得る。KUP-GWenc鍵340およびKUP-GWint鍵345は、ユーザプレーンパケットの完全性保護および符号化のために使用され得る。
KCP-CN鍵320は、KNASenc鍵330、KNASint鍵335、およびKAN/NH鍵350を導出するためにCP-CN機能によって使用され得る。KAN/NH鍵350は、KUPint鍵355、KUPenc鍵360、KRRCint鍵365、およびKRRCenc鍵370を導出するためにアクセスノードによって使用され得、それらは、RRCおよびユーザプレーンパケットの完全性保護および符号化のために使用され得る。
図4は、本開示の様々な態様によるワイヤレス通信システム400の一例を示す。ワイヤレス通信システム400は、UE115-bのホームセルラーネットワーク205-bとUE115-bによって訪問されるセルラーネットワーク(すなわち、訪問先セルラーネットワーク205-c)とを含み得る。
ホームセルラーネットワーク205-bは、第1のオーセンティケータ235-b(たとえば、H-SEAFを与えるサーバまたはデバイス)とH-UP-GW210-bとを含み得る。ホームセルラーネットワーク205-bはまた、他の機能(図示せず)を与える他のサーバまたはデバイスを含み得る。訪問先セルラーネットワーク205-cは、第2のオーセンティケータ235-c(たとえば、V-SEAFを与えるサーバまたはデバイス)、V-UP-GW210-c、V-CP-CN215-a、およびRAN220-aを含み得る。いくつかの例では、RAN220-aは、図1に関して説明したネットワークノード135、ネットワークアクセスデバイス105、およびネットワークアクセスデバイスコントローラ125のうちの1つまたは複数を含み得る。第1のオーセンティケータ235-b、H-UP-GW210-b、第2のオーセンティケータ235-c、V-UP-GW210-c、およびV-CP-CN215-aは、図1に関して説明したコアネットワーク130の例示的な構成要素であり得る。
ホームセルラーネットワーク205-bは、認証サーバ245-aと通信中であり得る(または認証サーバ245-aを与え得る)。認証サーバ245-aは、AUSFを与え得る。認証サーバ245-aは、ARPF240-aにアクセスしてもよく、および/またはARPF240-aを呼び出してもよい。
第1のオーセンティケータ235-b、H-UP-GW210-b、第2のオーセンティケータ235-c、V-UP-GW210-c、V-CP-CN215-a、RAN220-a、認証サーバ245-a、およびARPF240-aは、図2に関して説明した、同様に番号付けられた構成要素、機能、またはノードの例であり得る。
図4はまた、非セルラーアクセスノード410(たとえば、WLANアクセスポイント(AP)またはワイヤレスLANコントローラ(WLC))を含む非セルラーネットワーク405を示す。図示のように、UE115-bは、RAN220-aまたは非セルラーアクセスノード410に接続されてもよく、各場合において、同じ認証サーバ245-aが、UE115-bを用いてEAP手順を実行し得る。UE115-bがRAN220-aに接続するとき、第2のオーセンティケータ235-cは、UE115-bおよび認証サーバ245-aによって実行されるEAP手順においてオーセンティケータとして役立ち得る。UE115-bが非セルラーアクセスノード410に接続するとき、非セルラーアクセスノード410は、UE115-bおよび認証サーバ245-aによって実行されるEAP手順においてオーセンティケータとして役立ち得る。
UE115-bおよび認証サーバ245-aがともに、同じEAP手順を実行することおよび(たとえば、UE115-bと第2のオーセンティケータ235-cとの間の認証手順を実行するため、またはUE115-bと非セルラーアクセスノード410との間の認証手順を実行するために)同じセッションアンカー鍵を導出することができる場合、非セルラーアクセスノード410を危うくする攻撃者は、非セルラーアクセスノード410からセッションアンカー鍵を取得し、訪問先セルラーネットワーク205-cまたはホームセルラーネットワーク205-bのノードになりすますためにそのセッションアンカー鍵を使用することが可能になる場合がある。前述の問題を解決するために、UE115-bおよび認証サーバ245-aは、オーセンティケータに関連付けられたネットワークのタイプ(たとえば、第2のオーセンティケータ235-cまたは非セルラーアクセスノード410に関連付けられたネットワークのタイプ)を決定し、セッションアンカー鍵を導出する(すなわち、ネットワークのタイプに基づくセッションアンカー鍵を導出する)ために(MSKとEMSKとの間で)どの鍵を使用するかを決定し得る。いくつかの例では、MSKは、オーセンティケータ(たとえば、非セルラーアクセスノード410)が非セルラーアクセスネットワーク(たとえば、非セルラーネットワーク405)に関連付けられているときに使用されてもよく、EMSKは、オーセンティケータ(たとえば、第2のオーセンティケータ235-c)がセルラーアクセスネットワーク(たとえば、訪問先セルラーネットワーク205-c)に関連付けられているときに使用されてもよい。加えて、セルラーネットワークに関連付けられたオーセンティケータのために導出されるセッションアンカー鍵は、セルラーネットワークに関連付けられたパラメータのセットに少なくとも部分的に基づいて導出され得る。たとえば、KSEAF鍵は、鍵導出式(KDF)
KSEAF=KDF(EMSK、PLMN ID、CTX)
に基づいてUE115-bおよび認証サーバ245-aによって導出されてもよく、ここでPLMN IDは、サービング(たとえば、訪問先)セルラーネットワーク205-bに関連付けられたパブリックランドモバイルネットワーク識別子であり、EAP手順の間に認証サーバ245-aに供給され、CTXは、アクセス技術(たとえば、5G(NextGen)、4G、LTE/LTE-A、または3Gのネットワークアクセスなどのセルラーネットワークアクセス)を記述するコンテキスト(context)である。KSEAFはまた、他の好適なパラメータに少なくとも部分的に基づいて導出され得ることは、当業者には諒解されよう。
オーセンティケータに関連付けられたネットワークのタイプに基づいてオーセンティケータのためのセッションアンカー鍵を導出することによって、一ネットワークタイプのネットワークは、別のタイプのネットワークのためのセッションアンカー鍵を取得すること、および異なるネットワークタイプのノードになりすますことができなくなる。それゆえ、同じEAP手順(または認証方法)が、異なるタイプのネットワークのセキュリティに影響を及ぼすことなく、異なるタイプのネットワークのために使用され得る。
図5は、本開示の様々な態様による、UE115-cと、セルラーネットワーク205-dと、認証サーバ245-bとの間の例示的なメッセージフロー500を示す。UE115-cは、図1、図2および図4に関して説明したUE115の態様の一例であってもよい。セルラーネットワーク205-dは、図2および図4に関して説明したセルラーネットワーク205の一例であってもよく、いくつかの場合には、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含んでもよい。認証サーバ245-bは、図2および図4に関して説明した認証サーバ245の態様の一例であってもよい。セルラーネットワーク205-dは、RAN220-bとセルラーCN550とを含み得る。RAN220-bおよびCN550は、図2および図4に関して説明したRAN220およびCNの例であり得る。いくつかの例では、RAN220-bは、図1に関して説明したネットワークノード135、ネットワークアクセスデバイス105、またはネットワークアクセスデバイスコントローラ125のうちの1つまたは複数を含み得る。CN550は、図2および図4に関して説明したオーセンティケータ235の態様の一例であり得る、オーセンティケータ235-d(たとえば、CN550のノード)を含み得る。
505において、UE115-cはセルラーネットワーク205-dにアクセスしてもよく、UE115-cまたはセルラーネットワーク205-dはEAP手順を開始してもよい。いくつかの例では、UE115-cは、RAN220-bのネットワークアクセスデバイス(たとえば、ネットワークノード)を介してセルラーネットワーク205-dにアクセスし得る。RAN220-bは、CN550と通信中であり得る。CN550内部のオーセンティケータ235-dは、EAP手順の実施を促進し得る。セルラーネットワークの代替構成では、オーセンティケータ235-dは、RAN220-bの一部であってもよく、または認証サーバ245-bと一緒に置かれてもよい。
510において、セルラーネットワーク205-dは、EAP手順を実行するための要求を認証サーバ245-bに送信し得る。いくつかの例では、510において送信された要求は、オーセンティケータ235-dと認証サーバ245-bとの間のセキュアなチャネル上で送信され得る(たとえば、要求は、Diameterプロトコルを使用して(たとえば、Diameterカプセル化を使用して)オーセンティケータ235-dと認証サーバ245-bとの間で送信され得る)。
515において、UE115-cおよび認証サーバ245-bは、オーセンティケータ235-dを介してEAP手順を実行してもよく、オーセンティケータ235-dは、UE115-cと認証サーバ245-bとの間で送信されるメッセージに対するトランスポートを与える。EAP手順は、UE115-cと認証サーバ245-bとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。EAP手順を実行することの一部として、UE115-cおよび認証サーバ245-bの各々は、MSKおよびEMSKを導出し得る。MSKおよびEMSKは、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づいて導出され得る。いくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。
505、510、または515における動作の前、途中、または後において、UE115-cおよび認証サーバ245-bはそれぞれ、オーセンティケータ235-dがセルラーネットワーク(すなわち、セルラーネットワーク205-d)に関連付けられたものと決定し得る。
520および525において、UE115-cおよび認証サーバ245-bの各々は、セルラーネットワーク205-dに対する第1のセキュリティ鍵を単独で導出し得る。なぜならば、UE115-cおよび認証サーバ245-bはそれぞれ、オーセンティケータ235-dがセルラーネットワーク205-dに関連付けられているものと決定し、UE115-cおよび認証サーバ245-bの各々は、EMSKに少なくとも部分的に基づいて第1のセキュリティ鍵を導出し得るからである。第1のセキュリティ鍵はまた、パラメータの第2のセットに少なくとも部分的に基づいて導出され得る。いくつかの例では、パラメータの第2のセットは、セルラーネットワーク205-dの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UE115-cもしくは認証サーバ245-bとセルラーネットワーク205-cとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
530において、認証サーバ245-bは、オーセンティケータ235-dと認証サーバ245-bとの間のセキュアなチャネルを介して第1のセキュリティ鍵をオーセンティケータ235-dに送信し得る(たとえば、第1のセキュリティ鍵は、Diameterプロトコルを使用して(たとえば、Diameterカプセル化を使用して)認証サーバ245-bとオーセンティケータ235-dとの間で送信され得る)。
535において、UE115-cおよびセルラーネットワーク205-dは、認証手順を実行し得る。540および545において、535における認証手順を首尾よく実行すると、UE115-cおよびセルラーネットワーク205-dは、セルラーネットワーク205-dの1つまたは複数のネットワークノードに対する1つまたは複数の追加のセキュリティ鍵(たとえば、第2のセキュリティ鍵)を導出し得る。いくつかの例では、第2のセキュリティ鍵は、第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づき得る。いくつかの例では、パラメータの第3のセットは、ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、UE115-cとネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
555において、UE115-cは、導出されたセキュリティ鍵に少なくとも部分的に基づいてセルラーネットワーク205-dと通信し得る。
図6は、本開示の様々な態様による、UE115-dのブロック図600を示す。UE115-dは、図1、図2、図4および図5に関して説明したUE115の態様の一例であり得る。装置115-dは、受信機610、ワイヤレス通信マネージャ620、および送信機630を含み得る。UE115-dはまたプロセッサを含み得る。これらの構成要素の各々は、互いに通信していてよい。
受信機610は、様々なチャネル(たとえば、制御チャネル、データチャネル、ブロードキャストチャネル、マルチキャストチャネル、ユニキャストチャネルなど)に関連付けられた基準信号、制御情報、またはユーザデータなどの信号または情報を受信し得る。受信された信号および情報は、受信機610によって(たとえば、周波数/時間追跡のために)使用されてもよく、またはワイヤレス通信マネージャ620を含むUE115-dの他の構成要素に渡されてもよい。受信機610は、図8に関して説明するトランシーバ825の態様の一例であり得る。受信機610は、単一のアンテナもしくは複数のアンテナを含んでよく、またはそれに関連してよい。
ワイヤレス通信マネージャ620は、UE115-dに対するワイヤレス通信の1つまたは複数の態様を管理するために使用され得る。いくつかの例では、ワイヤレス通信マネージャ620の一部は、受信機610または送信機630の中に組み込まれてよく、またはそれらと共有されてよい。ワイヤレス通信マネージャ620は、EAPマネージャ635、ネットワークタイプ識別器640、およびネットワークオーセンティケータ645を含み得る。これらの構成要素の各々は、(たとえば、1つまたは複数のバスを介して)直接または間接的に互いに通信し得る。
EAPマネージャ635は、図5に関して上記で説明したように、オーセンティケータを介して認証サーバを用いてEAP手順を実行するために使用され得る。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。EAPマネージャ635はまた、図5に関して上記で説明したように、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出するために使用され得る。いくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。
ネットワークタイプ識別器640は、図5に関して上記で説明したように、オーセンティケータに関連付けられたネットワークタイプを決定するために使用され得る。いくつかの例では、決定されたネットワークタイプは、セルラーネットワークタイプまたは非セルラーネットワークタイプ(たとえば、WLANタイプ)を含み得る。
ネットワークオーセンティケータ645は、決定されたネットワークタイプに少なくとも部分的に基づいて、オーセンティケータを用いて少なくとも1つの認証手順を実行するために使用され得る。少なくとも1つの認証手順は、図5に関して上記で説明したように、MSKまたはEMSKと決定されたネットワークタイプとの関連に基づき得る。
送信機630は、ワイヤレス通信マネージャ620を含む、UE115-dの他の構成要素から受信された信号または情報を送信し得る。信号または情報は、たとえば、様々なチャネル(たとえば、制御チャネル、データチャネル、ブロードキャストチャネル、マルチキャストチャネル、ユニキャストチャネルなど)に関連付けられた基準信号、制御情報、またはユーザデータを含み得る。いくつかの例では、送信機630は、トランシーバの中で受信機610と一緒に置かれてよい。送信機630は、図8に関して説明するトランシーバ825の態様の一例であり得る。送信機630は、単一のアンテナもしくは複数のアンテナを含んでよく、またはそれに関連してよい。
図7は、本開示の様々な態様による、ワイヤレス通信マネージャ720のブロック図700を示す。ワイヤレス通信マネージャ720は、図6に関して説明したワイヤレス通信マネージャ620の態様の一例であり得る。
ワイヤレス通信マネージャ720は、EAPマネージャ635-a、ネットワークタイプ識別器640-a、ネットワークオーセンティケータ645-a、およびセルラーネットワーク通信マネージャ715を含み得る。EAPマネージャ635-a、ネットワークタイプ識別器640-a、およびネットワークオーセンティケータ645-aは、図6に関して説明したEAPマネージャ635、ネットワークタイプ識別器640、およびネットワークオーセンティケータ645の例であり得る。ネットワークオーセンティケータ645-aは、ネットワーク鍵導出器(deriver)705およびネットワークノード鍵導出器710を含み得る。これらの構成要素の各々は、(たとえば、1つまたは複数のバスを介して)直接または間接的に互いに通信し得る。
EAPマネージャ635-aは、図5に関して上記で説明したように、オーセンティケータを介して認証サーバを用いてEAP手順を実行するために使用され得る。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。EAPマネージャ635-aはまた、図5に関して上記で説明したように、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出するために使用され得る。いくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。
ネットワークタイプ識別器640-aは、図5に関して上記で説明したように、オーセンティケータに関連付けられたネットワークタイプを決定するために使用され得る。いくつかの例では、決定されたネットワークタイプは、セルラーネットワークタイプまたは非セルラーネットワークタイプ(たとえば、WLANタイプ)を含み得る。
ネットワークオーセンティケータ645-aは、決定されたネットワークタイプに少なくとも部分的に基づいて、オーセンティケータを用いて少なくとも1つの認証手順を実行するために使用され得る。少なくとも1つの認証手順は、MSKまたはEMSKと決定されたネットワークタイプとの関連に基づき得る。
決定されたネットワークタイプがセルラーネットワークタイプを含むとき、ネットワーク鍵導出器705は、図5に関して上記で説明したように、セルラーネットワークに対する第1のセキュリティ鍵を導出するために使用され得る。第1のセキュリティ鍵は、EMSKおよびパラメータの第2のセットに少なくとも部分的に基づき得る。いくつかの例では、パラメータの第2のセットは、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UEとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。決定されたネットワークタイプが非セルラーネットワークタイプを含むとき、ネットワーク鍵導出器705は、非セルラーネットワークに対する第1のセキュリティ鍵を導出するために使用され得る。
決定されたネットワークタイプがセルラーネットワークタイプを含むとき、ネットワークノード鍵導出器710は、図5に関して上記で説明したように、セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出するために使用され得る。第2のセキュリティ鍵は、第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づき得る。いくつかの例では、パラメータの第3のセットは、ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、UEとネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
セルラーネットワーク通信マネージャ715は、図5に関して上記で説明したように、第2のセキュリティ鍵に少なくとも部分的に基づいてネットワークノードを介してセルラーネットワークと通信するために使用され得る。
図8は、本開示の様々な態様による、ワイヤレス通信システム800の図を示す。ワイヤレス通信システム800は、図1、図2および図4〜図6に関して説明したUE115の態様の一例であり得るUE115-eを含み得る。
UE115-eは、ワイヤレス通信マネージャ805、メモリ810、プロセッサ820、トランシーバ825、およびアンテナ830を含み得る。これらの構成要素の各々は、(たとえば、1つまたは複数のバスを介して)直接または間接的に互いに通信し得る。ワイヤレス通信マネージャ805は、図6および図7に関して説明したワイヤレス通信マネージャ620および720の態様の一例であり得る。
メモリ810は、ランダムアクセスメモリ(RAM)または読取り専用メモリ(ROM)を含み得る。メモリ810は、実行されると、プロセッサ820に、ネットワークセキュリティおよび認証に関する機能を含む、本明細書で説明する様々な機能を実行させる命令を含むコンピュータ可読、コンピュータ実行可能ソフトウェア815を記憶し得る。いくつかの場合、ソフトウェア815は、プロセッサ820によって直接実行可能ではないことがあるが、(たとえば、コンパイルされ、実行されると)本明細書で説明する機能をプロセッサ820に実行させ得る。プロセッサ820は、インテリジェントハードウェアデバイス(たとえば、中央処理装置(CPU)、マイクロコントローラ、特定用途向け集積回路(ASIC)など)を含み得る。
トランシーバ825は、本明細書で説明するように、1つまたは複数のアンテナまたは有線リンクを介して、1つまたは複数のネットワークと双方向に通信し得る。たとえば、トランシーバ825は、セルラーネットワーク205-e(またはそれの1つまたは複数のノード)または別のUE115-fと双方向に通信し得る。トランシーバ825は、パケットを変調し、変調されたパケットを送信のためにアンテナに供給するために、かつアンテナから受信されたパケットを復調するために、モデムを含み得る。いくつかの場合、UE115-eは、単一のアンテナ830を含み得る。しかしながら、いくつかの場合、UE115-eは、複数のワイヤレス送信を同時に送信または受信することが可能であり得る複数のアンテナ830を有し得る。
図9は、本開示の様々な態様による、認証サーバ245-cのブロック図900を示す。認証サーバ245-cは、図2、図4および図5に関して説明した認証サーバ245の態様の一例であってもよい。認証サーバ245-cは、受信機910と、通信マネージャ920と、送信機930とを含み得る。認証サーバ245-cはまた、プロセッサを含み得る。これらの構成要素の各々は、互いに通信していてよい。
受信機910は、セルラーネットワーク、WLANなどのノードを含む様々なネットワークノードから認証要求を受信し得る。受信機910はまた、ネットワークノードを介してUEから認証情報を受信し得る。受信された認証要求および認証情報は、認証マネージャ920に渡されてもよい。受信機910は、図10に関して説明する認証インターフェース1025の態様の一例であってよい。受信機910は、1つまたは複数の有線および/またはワイヤレスのインターフェースを含み得る。
認証マネージャ920は、認証サーバ245-cに対するデバイス認証の1つまたは複数の態様を管理するために使用され得る。いくつかの例では、認証マネージャ920の一部は、受信機910または送信機930の中に組み込まれてよく、またはそれらと共有されてよい。認証マネージャ920は、EAPマネージャ935、ネットワークタイプ識別器940、ネットワーク鍵導出器945、およびネットワーク鍵インストーラ950を含み得る。これらの構成要素の各々は、(たとえば、1つまたは複数のバスを介して)直接または間接的に互いに通信し得る。
EAPマネージャ935は、図5に関して上記で説明したように、オーセンティケータを介してUEを用いてEAP手順を実行するために使用され得る。EAP手順は、認証サーバとUEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。EAPマネージャ935はまた、図5に関して上記で説明したように、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出するために使用され得る。いくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。
ネットワークタイプ識別器940は、図5に関して上記で説明したように、オーセンティケータに関連付けられたネットワークタイプを決定するために使用され得る。いくつかの例では、決定されたネットワークタイプは、セルラーネットワークタイプまたは非セルラーネットワークタイプ(たとえば、WLANタイプ)を含み得る。
ネットワーク鍵導出器945は、図5に関して上記で説明したように、MSKまたはEMSKとネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、決定されたネットワークタイプに対するセキュリティ鍵を導出するために使用され得る。決定されたネットワークタイプがセルラーネットワークタイプを含むとき、いくつかの例では、パラメータの第2のセットは、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、認証サーバとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。いくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。
ネットワーク鍵インストーラ950は、図5に関して上記で説明したように、セキュリティ鍵をセキュアなチャネルを介してオーセンティケータに送信するために使用され得る。
送信機930は、認証フィードバックメッセージと、認証マネージャ920を含む認証サーバ245-cの他の構成要素から受信されたセキュリティ鍵とを送信し得る。送信機930は、図10に関して説明する認証インターフェース1025の態様の一例であってよい。送信機930は、1つまたは複数の有線および/またはワイヤレスのインターフェースを含み得る。
図10は、本開示の様々な態様による、認証サーバ245-dのブロック図1000を示す。認証サーバ245-dは、図2、図4、図5および図9に関して説明した認証サーバ245の態様の一例であってもよい。
認証サーバ245-dは、認証マネージャ1005、メモリ1010、プロセッサ1020、および認証インターフェース1025を含み得る。これらの構成要素の各々は、(たとえば、1つまたは複数のバスを介して)直接または間接的に互いに通信し得る。認証マネージャ1005は、図9に関して説明した認証マネージャ920の態様の一例であってもよい。
メモリ1010は、RAMまたはROMを含み得る。メモリ1010は、実行されると、プロセッサ1020に、ネットワークセキュリティおよび認証に関する機能を含む、本明細書で説明する様々な機能を実行させる命令を含むコンピュータ可読、コンピュータ実行可能ソフトウェア1015を記憶し得る。いくつかの場合、ソフトウェア1015は、プロセッサ1020によって直接実行可能ではないことがあるが、(たとえば、コンパイルされ、実行されると)本明細書で説明する機能をプロセッサ1020に実行させ得る。プロセッサ1020は、インテリジェントハードウェアデバイス(たとえば、CPU、マイクロコントローラ、ASICなど)を含み得る。
認証インターフェース1025は、本明細書で説明するように、1つまたは複数のアンテナまたは有線リンクを介して、1つまたは複数のネットワーク、ネットワークノード、またはUEと双方向に通信し得る。いくつかの例では、認証インターフェース1025は、(たとえば、RadiusプロトコルまたはDiameterプロトコルを使用して)ネットワークノードとのセキュアな接続を確立するため、ならびにセキュアな接続およびネットワークノードを介してUEと双方向に通信するために使用され得る。
図11は、本開示の様々な態様による、ネットワークノード1105のブロック図1100を示す。ネットワークノード1105は、図2、図4および図5に関して説明したネットワークノードの態様の一例であってもよく、いくつかの例では、図2、図4および図5に関して説明したオーセンティケータ235の一例であってもよい。ネットワークノード1105は、受信機1110と、通信マネージャ1120と、送信機1130とを含み得る。ネットワークノード1105はまた、プロセッサを含み得る。これらの構成要素の各々は、互いに通信していてよい。
受信機1110は、他のネットワークノード、UE、認証サーバなどから信号または情報を受信し得る。受信された信号および情報は、通信マネージャ1120を含むネットワークノード1105の他の構成要素に渡されてよい。受信機1110は、図13に関して説明する認証インターフェース1325の態様の一例であってよい。受信機1110は、1つまたは複数の有線および/またはワイヤレスのインターフェースを含み得る。
通信マネージャ1120は、ネットワークノード1105のためのワイヤレス通信の1つまたは複数の態様を管理するために使用され得る。いくつかの例では、通信マネージャ1120の一部は、受信機1110または送信機1130の中に組み込まれてよく、またはそれらと共有されてよい。通信マネージャ1120は、ネットワーク鍵マネージャ1135およびUEオーセンティケータ1140を含み得る。これらの構成要素の各々は、(たとえば、1つまたは複数のバスを介して)直接または間接的に互いに通信し得る。
ネットワーク鍵マネージャ1135は、図5に関して上記で説明したように、EMSKおよびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信するために使用され得る。EMSKは、認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき得る。認証クレデンシャルは、EAP手順の間にUEと認証サーバとの間で交換され得る。いくつかの例では、パラメータの第1のセットは、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UEとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。いくつかの例では、パラメータの第2のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。いくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。
UEオーセンティケータ1140は、図5に関して上記で説明したように、第1のセキュリティ鍵に少なくとも部分的に基づいてUEを用いて少なくとも1つの認証手順を実行するために使用され得る。
送信機1130は、通信マネージャ1120を含むネットワークノード1105の他の構成要素から受信された信号または情報を送信し得る。送信機1130は、図13に関して説明する認証インターフェース1325の態様の一例であってよい。受信機1110は、1つまたは複数の有線および/またはワイヤレスのインターフェースを含み得る。
図12は、本開示の様々な態様による、通信マネージャ1220のブロック図1200を示す。通信マネージャ1220は、図11に関して説明した通信マネージャ1120の態様の一例であり得る。
通信マネージャ1220は、ネットワーク鍵マネージャ1135-a、UEオーセンティケータ1140-a、およびUE通信マネージャ1210を含み得る。ネットワーク鍵マネージャ1135-a、およびUEオーセンティケータ1140-aは、図11に関して説明したネットワーク鍵マネージャ1135およびUEオーセンティケータ1140の例であり得る。UEオーセンティケータ1140-aは、ネットワークノード鍵導出器1205を含み得る。これらの構成要素の各々は、(たとえば、1つまたは複数のバスを介して)直接または間接的に互いに通信し得る。
ネットワーク鍵マネージャ1135-aは、図5に関して上記で説明したように、EMSKおよびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信するために使用され得る。EMSKは、認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき得る。認証クレデンシャルは、EAP手順の間にUEと認証サーバとの間で交換され得る。いくつかの例では、パラメータの第1のセットは、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UEとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。いくつかの例では、パラメータの第2のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。いくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。
UEオーセンティケータ1140-aは、図5に関して上記で説明したように、第1のセキュリティ鍵に少なくとも部分的に基づいてUEを用いて少なくとも1つの認証手順を実行するために使用され得る。ネットワークノード鍵導出器1205は、少なくとも1つの認証手順を実行するために使用されてもよく、UEは、セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出する。第2のセキュリティ鍵は、第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づき得る。いくつかの例では、パラメータの第3のセットは、ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、UEとネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。
UE通信マネージャ1210は、図5に関して上記で説明したように、第2のセキュリティ鍵に少なくとも部分的に基づいてネットワークノードを介してUEと通信するために使用され得る。
図13は、本開示の様々な態様による、ネットワークノード1105-aの図1300を示す。ネットワークノード1105-aは、図2、図4、図5および図11に関して説明したネットワークノードの態様の一例であってもよい。
ネットワークノード1105-aは、通信マネージャ1305、メモリ1310、プロセッサ1320、および認証インターフェース1325を含み得る。これらの構成要素の各々は、(たとえば、1つまたは複数のバスを介して)直接または間接的に互いに通信し得る。通信マネージャ1305は、図11または図12に関して説明した通信マネージャの態様の一例であり得る。
メモリ1310は、RAMまたはROMを含み得る。メモリ1310は、実行されると、プロセッサ1320に、ネットワークセキュリティおよび認証に関する機能を含む、本明細書で説明する様々な機能を実行させる命令を含むコンピュータ可読、コンピュータ実行可能ソフトウェア1315を記憶し得る。いくつかの場合、ソフトウェア1315は、プロセッサ1320によって直接実行可能ではないことがあるが、(たとえば、コンパイルされ、実行されると)本明細書で説明する機能をプロセッサ1320に実行させ得る。プロセッサ1320は、インテリジェントハードウェアデバイス(たとえば、CPU、マイクロコントローラ、ASICなど)を含み得る。
認証インターフェース1325は、本明細書で説明するように、1つまたは複数のアンテナまたは有線リンクを介して、1つまたは複数のネットワーク、ネットワークノード、またはUEと双方向に通信し得る。いくつかの例では、認証インターフェース1325は、(たとえば、RadiusプロトコルまたはDiameterプロトコルを使用して)認証サーバとのセキュアな接続を確立するため、およびUEおよび認証サーバによって実行されるEAP手順を促進するために使用され得る。
図14は、本開示の様々な態様による、ワイヤレス通信のための方法1400を示すフローチャートを示す。方法1400の動作は、図1〜図8に関して説明したように、UE115またはそれの構成要素によって実行され得る。いくつかの例では、方法1400の動作は、図6〜図8に関して説明したワイヤレス通信マネージャによって実行され得る。いくつかの例では、UEは、以下で説明する機能を実行するためにUEの機能要素を制御するためのコードのセットを実行し得る。追加または代替として、UEは、専用ハードウェアを使用して、以下で説明する機能の態様を実行し得る。
ブロック1405において、UEは、図5に関して上記で説明したように、オーセンティケータを介して認証サーバを用いてEAP手順を実行し得る。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。いくつかの例では、ブロック1405の動作は、図6および図7に関して説明したEAPマネージャ635を使用して実行され得る。
ブロック1410において、UEは、図5に関して上記で説明したように、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出し得る。いくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。いくつかの例では、ブロック1410の動作は、図6および図7に関して説明したEAPマネージャ635を使用して実行され得る。
ブロック1415において、UEは、図5に関して上記で説明したように、オーセンティケータに関連付けられたネットワークタイプを決定し得る。いくつかの例では、決定されたネットワークタイプは、セルラーネットワークタイプまたは非セルラーネットワークタイプ(たとえば、WLANタイプ)を含み得る。いくつかの例では、ブロック1415の動作は、図6および図7に関して説明したネットワークタイプ識別器640を使用して実行され得る。
ブロック1420において、UEは、決定されたネットワークタイプに少なくとも部分的に基づいて、オーセンティケータを用いて少なくとも1つの認証手順を実行し得る。少なくとも1つの認証手順は、図5に関して上記で説明したように、MSKまたはEMSKと決定されたネットワークタイプとの関連に少なくとも部分的に基づき得る。いくつかの例では、ブロック1420の動作は、図6および図7に関して説明したネットワークオーセンティケータ645を使用して実行され得る。
図15は、本開示の様々な態様による、ワイヤレス通信のための方法1500を示すフローチャートを示す。方法1500の動作は、図1〜図8に関して説明したように、UE115またはそれの構成要素によって実行され得る。いくつかの例では、方法1500の動作は、図6〜図8に関して説明したワイヤレス通信マネージャによって実行され得る。いくつかの例では、UEは、以下で説明する機能を実行するためにUEの機能要素を制御するためのコードのセットを実行し得る。追加または代替として、UEは、専用ハードウェアを使用して、以下で説明する機能の態様を実行し得る。
ブロック1505において、UEは、図5に関して上記で説明したように、オーセンティケータを介して認証サーバを用いてEAP手順を実行し得る。EAP手順は、UEと認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。いくつかの例では、ブロック1505の動作は、図6および図7に関して説明したEAPマネージャ635を使用して実行され得る。
ブロック1510において、UEは、図5に関して上記で説明したように、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出し得る。いくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。いくつかの例では、ブロック1510の動作は、図6および図7に関して説明したEAPマネージャ635を使用して実行され得る。
ブロック1515において、UEは、図5に関して上記で説明したように、オーセンティケータに関連付けられたネットワークタイプを決定し得る。いくつかの例では、決定されたネットワークタイプは、セルラーネットワークタイプまたは非セルラーネットワークタイプ(たとえば、WLANタイプ)を含み得る。いくつかの例では、ブロック1515の動作は、図6および図7に関して説明したネットワークタイプ識別器640を使用して実行され得る。
ブロック1520において、方法1500は、決定されたネットワークタイプがセルラーネットワークタイプを含むかまたは非セルラーネットワークタイプを含むかに応じて、ブロック1525かまたは1540に分岐し得る。決定されたネットワークタイプがセルラーネットワークタイプを含むとき、方法1500はブロック1525に分岐し得る。決定されたネットワークタイプが非セルラーネットワークタイプを含むとき、方法1500はブロック1540に分岐し得る。いくつかの例では、ブロック1520の動作は、図6および図7に関して説明したネットワークタイプ識別器640を使用して実行され得る。いくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。
ネットワークタイプがセルラーネットワークタイプを含むものとUEが決定した場合、ブロック1525および1530において、UEは、決定されたネットワークタイプに少なくとも部分的に基づいて、オーセンティケータを用いて少なくとも1つの認証手順を実行し得る。少なくとも1つの認証手順は、MSKまたはEMSKと決定されたネットワークタイプとの関連に基づき得る。ブロック1525において、UEは、図5に関して上記で説明したように、セルラーネットワークに対する第1のセキュリティ鍵を導出し得る。第1のセキュリティ鍵は、EMSKおよびパラメータの第2のセットに少なくとも部分的に基づき得る。いくつかの例では、パラメータの第2のセットは、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UEとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。いくつかの例では、ブロック1525の動作は、図6および図7に関して説明したネットワークオーセンティケータ645、または図7に関して説明したネットワーク鍵導出器705を使用して実行され得る。
ブロック1530において、UEは、図5に関して上記で説明したように、セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出し得る。第2のセキュリティ鍵は、第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づき得る。いくつかの例では、パラメータの第3のセットは、ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、UEとネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。いくつかの例では、ブロック1530の動作は、図6および図7に関して説明したネットワークオーセンティケータ645、または図7に関して説明したネットワークノード鍵導出器710を使用して実行され得る。
ブロック1535において、UEは、図5に関して上記で説明したように、第2のセキュリティ鍵に少なくとも部分的に基づいてネットワークノードを介してセルラーネットワークと通信し得る。いくつかの例では、ブロック1530の動作は、図7に関して説明したセルラーネットワーク通信マネージャ715を使用して実施され得る。
ネットワークタイプが非セルラーネットワークタイプを含むものとUEが決定した場合、ブロック1540において、UEは、非セルラーネットワークに対する第1のセキュリティ鍵を導出し得る。第1のセキュリティ鍵は、MSKおよびパラメータの第4のセットに少なくとも部分的に基づき得る。いくつかの例では、ブロック1540の動作は、図6および図7に関して説明したネットワークオーセンティケータ645、または図7に関して説明したネットワーク鍵導出器705を使用して実行され得る。
図16は、本開示の様々な態様による、ワイヤレス通信のための方法1600を示すフローチャートを示す。方法1600の動作は、図1〜図5、図9および図10に関して説明したように、認証サーバまたはその構成要素によって実行され得る。いくつかの例では、方法1600の動作は、図9および図10に関して説明した通信マネージャによって実行され得る。いくつかの例では、認証サーバは、以下で説明する機能を実行するように認証サーバの機能要素を制御するためのコードのセットを実行し得る。追加または代替として、認証サーバは、専用ハードウェアを使用して、以下で説明する機能の態様を実行し得る。
ブロック1605において、認証サーバは、図5に関して上記で説明したように、オーセンティケータを介してUEを用いてEAP手順を実行し得る。EAP手順は、認証サーバとUEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づき得る。いくつかの例では、ブロック1605の動作は、図9に関して説明したEAPマネージャ935を使用して実行され得る。
ブロック1610において、認証サーバは、図5に関して上記で説明したように、認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくMSKおよびEMSKを、EAP手順を実行することの一部として導出し得る。いくつかの例では、パラメータの第1のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。いくつかの例では、ブロック1610の動作は、図9に関して説明したEAPマネージャ935を使用して実行され得る。
ブロック1615において、認証サーバは、図5に関して上記で説明したように、オーセンティケータに関連付けられたネットワークタイプを決定し得る。いくつかの例では、決定されたネットワークタイプは、セルラーネットワークタイプまたは非セルラーネットワークタイプ(たとえば、WLANタイプ)を含み得る。いくつかの例では、ブロック1615の動作は、図9に関して説明したネットワークタイプ識別器940を使用して実行され得る。
ブロック1620において、認証サーバは、図5に関して上記で説明したように、MSKまたはEMSKとネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、決定されたネットワークタイプに対するセキュリティ鍵を導出し得る。決定されたネットワークタイプがセルラーネットワークタイプを含むとき、いくつかの例では、パラメータの第2のセットは、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、認証サーバとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。いくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。いくつかの例では、ブロック1620の動作は、図9に関して説明したネットワーク鍵導出器945を使用して実行され得る。
ブロック1625において、認証サーバは、図5に関して上記で説明したように、セキュリティ鍵をセキュアなチャネルを介してオーセンティケータに送信し得る。いくつかの例では、ブロック1625の動作は、図9に関して説明したネットワーク鍵インストーラ950を使用して実行され得る。
図17は、本開示の様々な態様による、ワイヤレス通信のための方法1700を示すフローチャートを示す。方法1700の動作は、図1〜図5および図11〜図13に関して説明したように、セルラーネットワークまたはそれの構成要素によって実行され得る。いくつかの例では、方法1700の動作は、図11〜図13に関して説明した通信マネージャによって実行され得る。いくつかの例では、セルラーネットワーク(またはそれの1つまたは複数のノード)は、以下で説明する機能を実行するように、セルラーネットワークの機能要素を制御するためのコードのセットを実行し得る。追加または代替として、セルラーネットワーク(またはそれの1つまたは複数のノード)は、専用ハードウェアを使用して、以下で説明する機能の態様を実行し得る。
ブロック1705において、セルラーネットワークは、図5に関して上記で説明したように、EMSKおよびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信し得る。EMSKは、認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき得る。認証クレデンシャルは、EAP手順の間にUEと認証サーバとの間で交換され得る。いくつかの例では、パラメータの第1のセットは、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UEとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。いくつかの例では、パラメータの第2のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。いくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。いくつかの例では、ブロック1705の動作は、図11に関して説明したネットワーク鍵マネージャ1135を使用して実行され得る。
ブロック1710において、セルラーネットワークは、図5に関して上記で説明したように、第1のセキュリティ鍵に少なくとも部分的に基づいてUEを用いて少なくとも1つの認証手順を実行し得る。いくつかの例では、ブロック1710の動作は、図11に関して説明したUEオーセンティケータ1140を使用して実行され得る。
図18は、本開示の様々な態様による、ワイヤレス通信のための方法1800を示すフローチャートを示す。方法1800の動作は、図1〜図5および図11〜図13に関して説明したように、セルラーネットワークまたはその構成要素によって実行され得る。いくつかの例では、方法1800の動作は、図11〜図13に関して説明した通信マネージャによって実行され得る。いくつかの例では、セルラーネットワーク(またはそれの1つまたは複数のノード)は、以下で説明する機能を実行するように、セルラーネットワークの機能要素を制御するためのコードのセットを実行し得る。追加または代替として、セルラーネットワーク(またはそれの1つまたは複数のノード)は、専用ハードウェアを使用して、以下で説明する機能の態様を実行し得る。
ブロック1805において、セルラーネットワークは、図5に関して上記で説明したように、EMSKおよびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信し得る。EMSKは、認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき得る。認証クレデンシャルは、EAP手順の間にUEと認証サーバとの間で交換され得る。いくつかの例では、パラメータの第1のセットは、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、UEとセルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。いくつかの例では、パラメータの第2のセットは、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含み得る。いくつかの例では、セルラーネットワークは、5Gネットワーク、4Gネットワーク、LTEネットワーク、LTE-Aネットワーク、3Gネットワーク、またはそれらの組合せのうちの少なくとも1つを含み得る。いくつかの例では、ブロック1805の動作は、図11に関して説明したネットワーク鍵マネージャ1135を使用して実行され得る。
ブロック1810において、セルラーネットワークは、第1のセキュリティ鍵に少なくとも部分的に基づいてUEを用いて少なくとも1つの認証手順を実行し得る。UEを用いて少なくとも1つの認証手順を実行することは、図5に関して上記で説明したように、セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出することを含み得る。第2のセキュリティ鍵は、第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づき得る。いくつかの例では、パラメータの第3のセットは、ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、UEとネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含み得る。いくつかの例では、ブロック1810の動作は、図11に関して説明したUEオーセンティケータ1140、または図12に関して説明したネットワークノード鍵導出器1205を使用して実行され得る。
ブロック1815において、セルラーネットワークは、図5に関して上記で説明したように、第2のセキュリティ鍵に少なくとも部分的に基づいてネットワークノードを介してUEと通信し得る。いくつかの例では、ブロック1815の動作は、図12に関して説明したUE通信マネージャ1210を使用して実行され得る。
上記で説明した方法は、本開示で説明する技法の可能な実装形態を示すことに留意されたい。いくつかの例では、方法の動作は、異なる順序で実行されてもよく、または異なる動作を含んでもよい。
本明細書で説明された技法は、CDMA、TDMA、FDMA、OFDMA、SC-FDMA、および他のシステムなどの様々なワイヤレス通信システムのために使用され得る。「システム」および「ネットワーク」という用語は、しばしば、互換的に使用される。CDMAシステムは、CDMA2000、ユニバーサル地上波無線アクセス(UTRA)などの無線技術を実装してよい。CDMA2000は、IS-2000規格、IS-95規格、およびIS-856規格を対象とする。IS-2000のリリース0およびAは、CDMA2000 1X、1Xなどと呼ばれることがある。IS-856(TIA-856)は、CDMA2000 1xEV-DO、High Rate Packet Data(HRPD)などと呼ばれることがある。UTRAは、広帯域CDMA(WCDMA(登録商標))、およびCDMAの他の変形を含む。TDMAシステムは、Global System for Mobile communications(GSM(登録商標))などの無線技術を実装し得る。OFDMAシステムは、ウルトラモバイルブロードバンド(UMB)、発展型UTRA(E-UTRA)、IEEE802.11(Wi-Fi)、IEEE802.16(WiMAX)、IEEE802.20、Flash-OFDM(商標)などの無線技術を実装してもよい。UTRAおよびE-UTRAは、ユニバーサルモバイルテレコミュニケーションシステム(UMTS)の一部である。3GPP LTEおよびLTE-Aは、E-UTRAを使用するUMTSの新しいリリースである。UTRA、E-UTRA、UMTS、LTE、LTE-A、およびGSM(登録商標)は、3GPPと称する団体からの文書に記載されている。CDMA2000およびUMBは、「第3世代パートナーシッププロジェクト2」(3GPP2)と称する団体からの文書に記載されている。本明細書で説明された技法は、免許不要帯域幅または共有帯域幅を介したセルラー(たとえば、LTE)通信を含む、上述のシステムおよび無線技術、ならびに他のシステムおよび無線技術のために使用され得る。しかしながら、上の説明は、例としてLTE/LTE-Aシステムを説明し、上の説明の大部分においてLTE用語が使用されるが、技法はLTE/LTE-A適用例以外に適用可能である。
添付の図面に関して上記に記載した発明を実施するための形態は、例について説明しており、実装され得る例、または特許請求の範囲内にある例のすべてを表すとは限らない。この説明で使用される場合、「例」および「例示的」という用語は、「例、事例、または例示として機能すること」を意味し、「好ましい」または「他の例よりも有利である」ことを意味しない。発明を実施するための形態は、説明した技法の理解を与えるための具体的な詳細を含む。しかしながら、これらの技法は、これらの具体的な詳細を伴うことなく実践され得る。いくつかの事例では、説明した例の概念を不明瞭にすることを回避するために、よく知られている構造および装置がブロック図の形態で示される。
情報および信号は、様々な異なる技術および技法のいずれかを使用して表されてよい。たとえば、上記の説明全体にわたって言及され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁場もしくは磁気粒子、光場もしくは光粒子、またはそれらの任意の組合せによって表され得る。
本開示に関して説明した様々な例示的なブロックおよび構成要素は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、ASIC、FPGAもしくは他のプログラマブル論理デバイス、個別ゲートもしくはトランジスタ論理、個別ハードウェア構成要素、または本明細書で説明した機能を実行するように設計されたそれらの任意の組合せを用いて実装または実行され得る。汎用プロセッサはマイクロプロセッサであってよいが、代替として、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであってよい。プロセッサはまた、コンピューティングデバイスの組合せ、たとえば、DSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアと連携した1つもしくは複数のマイクロプロセッサ、または任意の他のそのような構成としても実装され得る。
本明細書で説明した機能は、ハードウェア、プロセッサによって実行されるソフトウェア、ファームウェア、またはそれらの任意の組合せとして実装されてよい。プロセッサによって実行されるソフトウェアで実装される場合、機能は、1つもしくは複数の命令またはコードとして、コンピュータ可読媒体上に記憶されてよく、あるいはコンピュータ可読媒体を介して送信されてよい。他の例および実装形態が、本開示および添付の特許請求の範囲内および趣旨内にある。たとえば、ソフトウェアの性質に起因して、上記で説明した機能は、プロセッサによって実行されるソフトウェア、ハードウェア、ファームウェア、ハードワイヤリング、またはこれらのうちのいずれかの組合せを使用して実装することができる。機能を実装する構成要素はまた、異なる物理的ロケーションにおいて機能の部分が実装されるように分散されることを含めて、様々な位置において物理的に配置されてよい。特許請求の範囲内を含む本明細書で使用される場合、「または」という用語は、2つ以上の項目の列挙において使用されるとき、列挙される項目のうちのいずれか1つが単独で採用され得ること、または列挙される項目のうちの2つ以上の任意の組合せが採用され得ることを意味する。たとえば、構成が、構成要素A、B、またはCを含むものとして説明される場合、その構成は、Aのみ、Bのみ、Cのみ、AとBとの組合せ、AとCとの組合せ、BとCとの組合せ、またはAとBとCとの組合せを含むことができる。また、特許請求の範囲内を含む本明細書で使用される場合、項目の列挙(たとえば、「のうちの少なくとも1つ」または「のうちの1つまたは複数」などの句で始まる項目の列挙)の中で使用される「または」は、たとえば、「A、B、またはCのうちの少なくとも1つ」という列挙が、AまたはBまたはCまたはABまたはACまたはBCまたはABC(すなわち、AおよびBおよびC)を意味するような、選言的列挙を示す。
コンピュータ可読媒体は、コンピュータ記憶媒体と、ある場所から別の場所へのコンピュータプログラムの伝達を容易にする任意の媒体を含む通信媒体の両方を含む。記憶媒体は、汎用コンピュータまたは特殊目的コンピュータによってアクセスされ得る任意の使用可能な媒体とされ得る。限定ではなく例として、コンピュータ可読媒体は、RAM、ROM、EEPROM、フラッシュメモリ、CD-ROMもしくは他の光ディスクストレージ、磁気ディスクストレージもしくは他の磁気ストレージデバイス、または、命令もしくはデータ構造の形で所望のプログラムコード手段を担持しまたは記憶するのに使用され得る、汎用コンピュータもしくは特殊目的コンピュータ、もしくは汎用プロセッサもしくは特殊目的プロセッサによってアクセスされ得る任意の他の媒体を含むことができる。また、任意の接続が、適正にコンピュータ可読媒体と呼ばれる。たとえば、ソフトウェアが、同軸ケーブル、光ファイバケーブル、ツイストペア、デジタル加入者回線(DSL)、または赤外線、無線、およびマイクロ波などのワイヤレス技術を使用して、ウェブサイト、サーバ、または他のリモートソースから送信される場合、同軸ケーブル、光ファイバケーブル、ツイストペア、DSL、または赤外線、無線、およびマイクロ波などのワイヤレス技術は、媒体の定義に含まれる。本明細書で使用されるディスク(disk)およびディスク(disc)は、コンパクトディスク(disc)(CD)、レーザーディスク(登録商標)(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピー(登録商標)ディスク(disk)、およびブルーレイディスク(disc)を含み、ディスク(disk)は、通常、データを磁気的に再生し、ディスク(disc)は、レーザーを用いてデータを光学的に再生する。上記のもの組合せも、コンピュータ可読媒体の範囲内に含まれる。
本開示のこれまでの説明は、当業者が本開示を作成または使用できるように与えられる。本開示の様々な修正が当業者に容易に明らかとなり、本明細書で定義される一般原理は、本開示の範囲から逸脱することなく他の変形に適用され得る。したがって、本開示は、本明細書で説明した例および設計に限定されるものではなく、本明細書で開示する原理および新規の技法と一致する最も広い範囲が与えられるべきである。
100 ワイヤレス通信システム
105 ネットワークアクセスデバイス
110 地理的カバレージエリア
115 ユーザ機器(UE)
115-a UE
115-b UE
115-c UE
115-d UE
115-e UE
115-f UE
122 通信リンク
125 ネットワークアクセスデバイスコントローラ
130 コアネットワーク
132 バックホールリンク
134 バックホールリンク
135 ネットワークノード
140 ワイヤレス通信マネージャ
200 ワイヤレス通信システム
205 ホームセルラーネットワーク
205-a 訪問先セルラーネットワーク
205-b ホームセルラーネットワーク
205-c 訪問先セルラーネットワーク
205-d セルラーネットワーク
205-e セルラーネットワーク
210 ホームユーザプレーンゲートウェイ(H-UP-GW)
210-a 訪問先ユーザプレーンゲートウェイ(V-UP-GW)
210-b H-UP-GW
210-c V-UP-GW
215 訪問先セルラーネットワーク制御プレーンコアネットワーク機能(V-CP-CN)
215-a V-CP-CN
220 無線アクセスネットワーク(RAN)
220-a RAN
220-b RAN
235 第1のオーセンティケータ
235-a 第2のオーセンティケータ
235-b 第1のオーセンティケータ
235-c 第2のオーセンティケータ
235-d オーセンティケータ
240 処理機能(ARPF)
240-a ARPF
245 認証サーバ
245-a 認証サーバ
245-b 認証サーバ
245-c 認証サーバ
245-d 認証サーバ
300 鍵階層構造
305 Kルート鍵
310 鍵
315 KSEAFアンカーセッション鍵
320 KCP-CN鍵
325 KUP-GW鍵325
330 KNASenc鍵
335 KNASint鍵
340 KUP-GWenc鍵
345 KUP-GWint鍵
350 KAN/NH鍵
355 KUPint鍵
360 KUPenc鍵
365 KRRCint鍵
370 KRRCenc鍵
400 ワイヤレス通信システム
405 非セルラーネットワーク
410 非セルラーアクセスノード
500 メッセージフロー
505 番号
510 番号
515 番号
520 番号
525 番号
530 番号
535 番号
540 番号
545 番号
550 番号
555 番号
600 ブロック図
610 受信機
620 ワイヤレス通信マネージャ
630 送信機
635 拡張可能認証プロトコル(EAP)マネージャ
635-a EAPマネージャ
640 ネットワークタイプ識別器
640-a ネットワークタイプ識別器
645 ネットワークオーセンティケータ
645-a ネットワークオーセンティケータ
700 ブロック図
705 ネットワーク鍵導出器
710 ネットワークノード鍵導出器
715 セルラーネットワーク通信マネージャ
720 ワイヤレス通信マネージャ
800 ワイヤレス通信システム
805 ワイヤレス通信マネージャ
810 メモリ
815 コンピュータ可読、コンピュータ実行可能ソフトウェア
820 プロセッサ
825 トランシーバ
830 アンテナ
900 ブロック図
910 受信機
920 認証マネージャ
930 送信機
935 EAPマネージャ
940 ネットワークタイプ識別器
945 ネットワーク鍵導出器
950 ネットワーク鍵インストーラ
1000 ブロック図
1005 認証マネージャ
1010 メモリ
1015 コンピュータ可読、コンピュータ実行可能ソフトウェア
1020 プロセッサ
1025 認証インターフェース
1100 ブロック図
1105 ネットワークノード
1105-a ネットワークノード
1110 受信機
1120 通信マネージャ
1130 送信機
1135 ネットワーク鍵マネージャ
1135-a ネットワーク鍵マネージャ
1140 UEオーセンティケータ
1140-a UEオーセンティケータ
1200 ブロック図
1205 ネットワークノード鍵導出器
1210 UE通信マネージャ
1220 通信マネージャ
1300 図
1305 通信マネージャ
1310 メモリ
1315 コンピュータ可読、コンピュータ実行可能ソフトウェア
1320 プロセッサ
1325 認証インターフェース

Claims (42)

  1. ユーザ機器(UE)におけるワイヤレス通信のための方法であって、
    オーセンティケータを介して認証サーバを用いて拡張可能認証プロトコル(EAP)手順を実行するステップであって、前記EAP手順が、前記UEと前記認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づく、ステップと、
    前記認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくマスタセッション鍵(MSK)および拡張マスタセッション鍵(EMSK)を、前記EAP手順を実行することの一部として導出するステップと、
    前記オーセンティケータに関連付けられたネットワークタイプを決定するステップと、
    前記オーセンティケータを用いて少なくとも1つの認証手順を、前記決定されたネットワークタイプに少なくとも部分的に基づいて実行するステップとを含み、前記少なくとも1つの認証手順が、前記MSKまたは前記EMSKと前記決定されたネットワークタイプとの関連に基づく、方法。
  2. 前記決定されたネットワークタイプがセルラーネットワークタイプを含み、前記オーセンティケータを用いて前記少なくとも1つの認証手順を実行するステップが、
    セルラーネットワークに対する第1のセキュリティ鍵を導出するステップを含み、前記第1のセキュリティ鍵が、前記EMSKおよびパラメータの第2のセットに少なくとも部分的に基づく、請求項1に記載の方法。
  3. 前記パラメータの第2のセットが、前記セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、前記UEと前記セルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項2に記載の方法。
  4. 前記オーセンティケータを用いて前記少なくとも1つの認証手順を実行するステップが、
    前記セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出するステップであって、前記第2のセキュリティ鍵が、前記第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づく、ステップと、
    前記第2のセキュリティ鍵に少なくとも部分的に基づいて前記ネットワークノードを介して前記セルラーネットワークと通信するステップとを含む、請求項2に記載の方法。
  5. 前記パラメータの第3のセットが、前記ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、前記UEと前記ネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項4に記載の方法。
  6. 前記パラメータの第1のセットが、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含む、請求項1に記載の方法。
  7. セルラーネットワークが、第5世代(5G)ネットワーク、第4世代(4G)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、LTE-Advanced(LTE-A)ネットワーク、第3世代(3G)ネットワーク、またはそれらの組合せのうちの少なくとも1つを含む、請求項1に記載の方法。
  8. 前記決定されたネットワークタイプが非セルラーネットワークタイプであり、前記オーセンティケータを用いて前記少なくとも1つの認証手順を実行するステップが、
    非セルラーネットワークに対する第1のセキュリティ鍵を導出するステップを含み、前記第1のセキュリティ鍵が、前記MSKおよびパラメータの第2のセットに少なくとも部分的に基づく、請求項1に記載の方法。
  9. ユーザ機器(UE)におけるワイヤレス通信のための装置であって、
    プロセッサと、
    前記プロセッサと電子通信しているメモリとを備え、
    前記プロセッサおよび前記メモリが、
    オーセンティケータを介して認証サーバを用いて拡張可能認証プロトコル(EAP)手順を実行することであって、前記EAP手順が、前記UEと前記認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づく、実行することと、
    前記認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくマスタセッション鍵(MSK)および拡張マスタセッション鍵(EMSK)を、前記EAP手順を実行することの一部として導出することと、
    前記オーセンティケータに関連付けられたネットワークタイプを決定することと、
    前記オーセンティケータを用いて少なくとも1つの認証手順を、前記決定されたネットワークタイプに少なくとも部分的に基づいて実行することとを行うように構成され、前記少なくとも1つの認証手順が、前記MSKまたは前記EMSKと前記ネットワークタイプとの関連に基づく、装置。
  10. ユーザ機器(UE)におけるワイヤレス通信のための装置であって、
    オーセンティケータを介して認証サーバを用いて拡張可能認証プロトコル(EAP)手順を実行するための手段であって、前記EAP手順が、前記UEと前記認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づく、手段と、
    前記認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくマスタセッション鍵(MSK)および拡張マスタセッション鍵(EMSK)を、前記EAP手順を実行することの一部として導出するための手段と、
    前記オーセンティケータに関連付けられたネットワークタイプを決定するための手段と、
    前記オーセンティケータを用いて少なくとも1つの認証手順を、前記決定されたネットワークタイプに少なくとも部分的に基づいて実行するための手段とを含み、前記少なくとも1つの認証手順が、前記MSKまたは前記EMSKと前記決定されたネットワークタイプとの関連に基づく、装置。
  11. 前記決定されたネットワークタイプがセルラーネットワークタイプを含み、前記少なくとも1つの認証手順を実行するための前記手段が、
    セルラーネットワークに対する第1のセキュリティ鍵を導出するための手段を含み、前記第1のセキュリティ鍵が、前記EMSKおよびパラメータの第2のセットに少なくとも部分的に基づく、請求項10に記載の装置。
  12. 前記パラメータの第2のセットが、前記セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、前記UEと前記セルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項11に記載の装置。
  13. 前記少なくとも1つの認証手順を実行するための前記手段が、
    前記セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出するための手段であって、前記第2のセキュリティ鍵が、前記第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づく、手段と、
    前記第2のセキュリティ鍵に少なくとも部分的に基づいて前記ネットワークノードを介して前記セルラーネットワークと通信するための手段とを含む、請求項11に記載の装置。
  14. 前記パラメータの第3のセットが、前記ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、前記UEと前記ネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項13に記載の装置。
  15. 前記パラメータの第1のセットが、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含む、請求項10に記載の装置。
  16. セルラーネットワークが、第5世代(5G)ネットワーク、第4世代(4G)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、LTE-Advanced(LTE-A)ネットワーク、第3世代(3G)ネットワーク、またはそれらの組合せのうちの少なくとも1つを含む、請求項10に記載の装置。
  17. 前記決定されたネットワークタイプが非セルラーネットワークタイプであり、前記少なくとも1つの認証手順を実行するための前記手段が、
    非セルラーネットワークに対する第1のセキュリティ鍵を導出するための手段を含み、前記第1のセキュリティ鍵が、前記MSKおよびパラメータの第2のセットに少なくとも部分的に基づく、請求項10に記載の装置。
  18. ユーザ機器(UE)におけるワイヤレス通信のためのコンピュータ実行可能コードを記憶する非一時的コンピュータ可読記憶媒体であって、前記コードが、プロセッサによって、
    オーセンティケータを介して認証サーバを用いて拡張可能認証プロトコル(EAP)手順を実行することであって、前記EAP手順が、前記UEと前記認証サーバとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づく、実行することと、
    前記認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくマスタセッション鍵(MSK)および拡張マスタセッション鍵(EMSK)を、前記EAP手順を実行することの一部として導出することと、
    前記オーセンティケータに関連付けられたネットワークタイプを決定することと、
    前記オーセンティケータを用いて少なくとも1つの認証手順を、前記決定されたネットワークタイプに少なくとも部分的に基づいて実行することとを行うことを実行可能であり、前記少なくとも1つの認証手順が、前記MSKまたは前記EMSKと前記決定されたネットワークタイプとの関連に基づく、非一時的コンピュータ可読記憶媒体。
  19. 認証サーバにおけるワイヤレス通信のための方法であって、
    オーセンティケータを介してユーザ機器(UE)を用いて拡張可能認証プロトコル(EAP)手順を実行するステップであって、前記EAP手順が、前記認証サーバと前記UEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づく、ステップと、
    前記認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくマスタセッション鍵(MSK)および拡張マスタセッション鍵(EMSK)を、前記EAP手順を実行することの一部として導出するステップと、
    前記オーセンティケータに関連付けられたネットワークタイプを決定するステップと、
    前記MSKまたは前記EMSKと前記ネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、前記決定されたネットワークタイプに対するセキュリティ鍵を導出するステップと、
    前記セキュリティ鍵をセキュアなチャネルを介して前記オーセンティケータに送信するステップとを含む、方法。
  20. 前記パラメータの第1のセットが、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含む、請求項19に記載の方法。
  21. 前記決定されたネットワークタイプがセルラーネットワークタイプを含み、
    前記パラメータの第2のセットが、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、前記認証サーバと前記セルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項19に記載の方法。
  22. 前記セルラーネットワークが、第5世代(5G)ネットワーク、第4世代(4G)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、LTE-Advanced(LTE-A)ネットワーク、第3世代(3G)ネットワーク、またはそれらの組合せのうちの少なくとも1つを含む、請求項21に記載の方法。
  23. 認証サーバにおけるワイヤレス通信のための装置であって、
    プロセッサと、
    前記プロセッサと電子通信しているメモリとを備え、
    前記プロセッサおよび前記メモリが、
    オーセンティケータを介してユーザ機器(UE)を用いて拡張可能認証プロトコル(EAP)手順を実行することであって、前記EAP手順が、前記認証サーバと前記UEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づく、実行することと、
    前記認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくマスタセッション鍵(MSK)および拡張マスタセッション鍵(EMSK)を、前記EAP手順を実行することの一部として導出することと、
    前記オーセンティケータに関連付けられたネットワークタイプを決定することと、
    前記MSKまたは前記EMSKと前記決定されたネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、前記決定されたネットワークタイプに対するセキュリティ鍵を導出することと、
    前記セキュリティ鍵をセキュアなチャネルを介して前記オーセンティケータに送信することとを行うように構成される、装置。
  24. 認証サーバにおけるワイヤレス通信のための装置であって、
    オーセンティケータを介してユーザ機器(UE)を用いて拡張可能認証プロトコル(EAP)手順を実行するための手段であって、前記EAP手順が、前記認証サーバと前記UEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づく、手段と、
    前記認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくマスタセッション鍵(MSK)および拡張マスタセッション鍵(EMSK)を、前記EAP手順を実行することの一部として導出するための手段と、
    前記オーセンティケータに関連付けられたネットワークタイプを決定するための手段と、
    前記MSKまたは前記EMSKと前記決定されたネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、前記決定されたネットワークタイプに対するセキュリティ鍵を導出するための手段と、
    前記セキュリティ鍵をセキュアなチャネルを介して前記オーセンティケータに送信するための手段とを含む、装置。
  25. 前記パラメータの第1のセットが、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含む、請求項24に記載の装置。
  26. 前記決定されたネットワークタイプがセルラーネットワークタイプを含み、
    前記パラメータの第2のセットが、セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、前記認証サーバと前記セルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項24に記載の装置。
  27. セルラーネットワークが、第5世代(5G)ネットワーク、第4世代(4G)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、LTE-Advanced(LTE-A)ネットワーク、第3世代(3G)ネットワーク、またはそれらの組合せのうちの少なくとも1つを含む、請求項24に記載の装置。
  28. 認証サーバにおけるワイヤレス通信のためのコンピュータ実行可能コードを記憶する非一時的コンピュータ可読記憶媒体であって、前記コードが、プロセッサによって、
    オーセンティケータを介してユーザ機器(UE)を用いて拡張可能認証プロトコル(EAP)手順を実行することであって、前記EAP手順が、前記認証サーバと前記UEとの間で交換される認証クレデンシャルのセットに少なくとも部分的に基づく、実行することと、
    前記認証クレデンシャルおよびパラメータの第1のセットに少なくとも部分的に基づくマスタセッション鍵(MSK)および拡張マスタセッション鍵(EMSK)を、前記EAP手順を実行することの一部として導出することと、
    前記オーセンティケータに関連付けられたネットワークタイプを決定することと、
    前記MSKまたは前記EMSKと前記決定されたネットワークタイプとの関連に少なくとも部分的に基づいて、およびパラメータの第2のセットに少なくとも部分的に基づいて、前記決定されたネットワークタイプに対するセキュリティ鍵を導出することと、
    前記セキュリティ鍵をセキュアなチャネルを介して前記オーセンティケータに送信することとを行うことを実行可能である、非一時的コンピュータ可読記憶媒体。
  29. セルラーネットワークにおけるワイヤレス通信のための方法であって、
    拡張マスタセッション鍵(EMSK)およびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信するステップであって、前記EMSKが認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき、前記認証クレデンシャルが拡張可能認証プロトコル(EAP)手順の間にユーザ機器(UE)と前記認証サーバとの間で交換される、ステップと、
    前記第1のセキュリティ鍵に少なくとも部分的に基づいて前記UEを用いて少なくとも1つの認証手順を実行するステップとを含む、方法。
  30. 前記UEを用いて前記少なくとも1つの認証手順を実行するステップが、
    前記セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出するステップであって、前記第2のセキュリティ鍵が、前記第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づく、ステップと、
    前記第2のセキュリティ鍵に少なくとも部分的に基づいて前記ネットワークノードを介して前記UEと通信するステップとを含む、請求項29に記載の方法。
  31. 前記パラメータの第3のセットが、前記ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、前記UEと前記ネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項30に記載の方法。
  32. 前記パラメータの第1のセットが、前記セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、前記UEと前記セルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項29に記載の方法。
  33. 前記パラメータの第2のセットが、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含む、請求項29に記載の方法。
  34. 前記セルラーネットワークが、第5世代(5G)ネットワーク、第4世代(4G)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、LTE-Advanced(LTE-A)ネットワーク、第3世代(3G)ネットワーク、またはそれらの組合せのうちの少なくとも1つを含む、請求項29に記載の方法。
  35. セルラーネットワークにおけるワイヤレス通信のための装置であって、
    プロセッサと、
    前記プロセッサと電子通信しているメモリとを備え、
    前記プロセッサおよび前記メモリが、
    拡張マスタセッション鍵(EMSK)およびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信することであって、前記EMSKが認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき、前記認証クレデンシャルが拡張可能認証プロトコル(EAP)手順の間にユーザ機器(UE)と前記認証サーバとの間で交換される、受信することと、
    前記第1のセキュリティ鍵に少なくとも部分的に基づいて前記UEを用いて少なくとも1つの認証手順を実行することとを行うように構成される、装置。
  36. セルラーネットワークにおけるワイヤレス通信のための装置であって、
    拡張マスタセッション鍵(EMSK)およびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信するための手段であって、前記EMSKが認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき、前記認証クレデンシャルが拡張可能認証プロトコル(EAP)手順の間にユーザ機器(UE)と前記認証サーバとの間で交換される、手段と、
    前記第1のセキュリティ鍵に少なくとも部分的に基づいて前記UEを用いて少なくとも1つの認証手順を実行するための手段とを含む、装置。
  37. 前記UEを用いて前記少なくとも1つの認証手順を実行するための前記手段が、
    前記セルラーネットワークのネットワークノードに対する第2のセキュリティ鍵を導出するための手段であって、前記第2のセキュリティ鍵が、前記第1のセキュリティ鍵およびパラメータの第3のセットに少なくとも部分的に基づく、手段と、
    前記第2のセキュリティ鍵に少なくとも部分的に基づいて前記ネットワークノードを介して前記UEと通信するための手段とを含む、請求項36に記載の装置。
  38. 前記パラメータの第3のセットが、前記ネットワークノードの識別子、少なくとも1つのネットワークノード固有のパラメータ、前記UEと前記ネットワークノードとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項37に記載の装置。
  39. 前記パラメータの第1のセットが、前記セルラーネットワークの識別子、少なくとも1つのセルラーネットワーク固有のパラメータ、前記UEと前記セルラーネットワークとの間で交換される少なくとも1つのパラメータ、またはそれらの組合せを含む、請求項36に記載の装置。
  40. 前記パラメータの第2のセットが、少なくとも1つの識別子、少なくとも1つの乱数、少なくとも1つのネットワークパラメータ、少なくとも1つのUEパラメータ、またはそれらの組合せを含む、請求項36に記載の装置。
  41. 前記セルラーネットワークが、第5世代(5G)ネットワーク、第4世代(4G)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、LTE-Advanced(LTE-A)ネットワーク、第3世代(3G)ネットワーク、またはそれらの組合せのうちの少なくとも1つを含む、請求項36に記載の装置。
  42. セルラーネットワークにおけるワイヤレス通信のためのコンピュータ実行可能コードを記憶する非一時的コンピュータ可読記憶媒体であって、前記コードが、プロセッサによって、
    拡張マスタセッション鍵(EMSK)およびパラメータの第1のセットに少なくとも部分的に基づいて第1のセキュリティ鍵を、認証サーバから受信することであって、前記EMSKが認証クレデンシャルのセットおよびパラメータの第2のセットに少なくとも部分的に基づき、前記認証クレデンシャルが拡張可能認証プロトコル(EAP)手順の間にユーザ機器(UE)と前記認証サーバとの間で交換される、受信することと、
    前記第1のセキュリティ鍵に少なくとも部分的に基づいて前記UEを用いて少なくとも1つの認証手順を実行することとを行うことを実行可能である、非一時的コンピュータ可読記憶媒体。
JP2019513988A 2016-09-19 2017-08-17 拡張可能認証プロトコル(eap)手順の実施に基づいてセルラーネットワークに対するセキュリティ鍵を導出するための技法 Active JP7008690B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201662396791P 2016-09-19 2016-09-19
US62/396,791 2016-09-19
US15/489,670 2017-04-17
US15/489,670 US10433163B2 (en) 2016-09-19 2017-04-17 Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure
PCT/US2017/047355 WO2018052640A1 (en) 2016-09-19 2017-08-17 Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (eap) procedure

Publications (3)

Publication Number Publication Date
JP2019533344A true JP2019533344A (ja) 2019-11-14
JP2019533344A5 JP2019533344A5 (ja) 2020-09-10
JP7008690B2 JP7008690B2 (ja) 2022-01-25

Family

ID=59762061

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019513988A Active JP7008690B2 (ja) 2016-09-19 2017-08-17 拡張可能認証プロトコル(eap)手順の実施に基づいてセルラーネットワークに対するセキュリティ鍵を導出するための技法

Country Status (10)

Country Link
US (3) US10433163B2 (ja)
EP (1) EP3516894B1 (ja)
JP (1) JP7008690B2 (ja)
CN (2) CN109691157B (ja)
AU (1) AU2017328040B2 (ja)
BR (1) BR112019004865A2 (ja)
CA (1) CA3033131A1 (ja)
ES (1) ES2894476T3 (ja)
TW (1) TWI745415B (ja)
WO (1) WO2018052640A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10433163B2 (en) 2016-09-19 2019-10-01 Qualcomm Incorporated Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure
US10609556B2 (en) 2016-10-31 2020-03-31 Telefonaktiebolaget Lm Ericsson (Publ) Authentication for next generation systems
CN109874139B (zh) * 2017-05-05 2020-02-07 华为技术有限公司 锚密钥生成方法、设备以及系统
JP6822577B2 (ja) * 2017-09-27 2021-01-27 日本電気株式会社 通信端末及びコアネットワークノード
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
EP3777276B1 (en) * 2018-04-12 2024-07-17 Qualcomm Incorporated Access stratum (as) security for a centralized radio access network (c-ran)
US11184177B2 (en) * 2018-09-19 2021-11-23 Synaptics Incorporated Method and system for securing in-vehicle ethernet links
US10944796B2 (en) 2018-09-27 2021-03-09 Palo Alto Networks, Inc. Network slice-based security in mobile networks
AU2020204346B2 (en) * 2019-03-28 2021-09-30 Palo Alto Networks, Inc. Multi-access distributed edge security in mobile networks
CN114258693B (zh) * 2019-08-18 2024-02-06 苹果公司 无电子用户身份模块(esim)凭证的移动设备认证
US11032743B1 (en) * 2019-11-30 2021-06-08 Charter Communications Operating, Llc Methods and apparatus for supporting devices of different types using a residential gateway
WO2021165934A1 (en) * 2020-02-20 2021-08-26 Lenovo (Singapore) Pte. Ltd. Re-authentication key generation
BR112022015769A2 (pt) 2020-02-21 2023-03-14 Ericsson Telefon Ab L M Métodos realizados por uma função de âncora, por um servidor de gerenciamento de chaves, por uma função de aplicativo, por uma função de servidor de autenticação e por uma função de gerenciamento de dados unificado, funções de gerenciamento de chave, de aplicativo, de servidor de autenticação e de gerenciamento de dados unificado, meio legível por computador não transitório, e, produto de programa de computador
WO2023229316A1 (en) * 2022-05-23 2023-11-30 Samsung Electronics Co., Ltd. Method and system for designing security protocol for 6g network architecture

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005094758A (ja) * 2003-09-12 2005-04-07 Lucent Technol Inc セルラ・システムに関連付けられたセキュリティ値に基づく無線lanアクセス認証方法
WO2009087006A1 (en) * 2008-01-09 2009-07-16 Nokia Siemens Networks Oy Mechanism for authentication and authorization for network and service access
JP2011509002A (ja) * 2007-12-20 2011-03-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 継続した認証方法の選定
WO2016073607A1 (en) * 2014-11-05 2016-05-12 Qualcomm Incorporated Methods and systems for authentication interoperability

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8630414B2 (en) * 2002-06-20 2014-01-14 Qualcomm Incorporated Inter-working function for a communication system
US20050272466A1 (en) * 2004-05-03 2005-12-08 Nokia Corporation Selection of wireless local area network (WLAN) with a split WLAN user equipment
WO2006000239A1 (en) * 2004-06-24 2006-01-05 Telecom Italia S.P.A. Method and system for controlling access to communication networks, related network and computer program therefor
US7738871B2 (en) * 2004-11-05 2010-06-15 Interdigital Technology Corporation Wireless communication method and system for implementing media independent handover between technologically diversified access networks
WO2007000179A1 (en) * 2005-06-29 2007-01-04 Telecom Italia S.P.A. Short authentication procedure in wireless data communications networks
US20070150723A1 (en) * 2005-12-23 2007-06-28 Estable Luis P Methods and apparatus for increasing security and control of voice communication sessions using digital certificates
US20080313455A1 (en) * 2007-06-12 2008-12-18 Nokia Siemens Networks Oy Key support for password-based authentication mechanisms
US7826427B2 (en) * 2007-08-22 2010-11-02 Intel Corporation Method for secure transfer of data to a wireless device for enabling multi-network roaming
US8131296B2 (en) * 2008-08-21 2012-03-06 Industrial Technology Research Institute Method and system for handover authentication
US8505076B2 (en) * 2009-05-03 2013-08-06 Kabushiki Kaisha Toshiba Proactive authentication
CN101562814A (zh) * 2009-05-15 2009-10-21 中兴通讯股份有限公司 一种第三代网络的接入方法及系统
US8429728B2 (en) * 2009-08-24 2013-04-23 Alcatel Lucent Pre-registration security support in multi-technology interworking
CN102045173A (zh) * 2009-10-12 2011-05-04 华为终端有限公司 用户设备的认证方法、装置和系统
US9093000B2 (en) * 2013-12-03 2015-07-28 Design Display Group, Inc. Product centric merchandiser
US10455414B2 (en) 2014-10-29 2019-10-22 Qualcomm Incorporated User-plane security for next generation cellular networks
US9918225B2 (en) * 2014-11-03 2018-03-13 Qualcomm Incorporated Apparatuses and methods for wireless communication
US10433163B2 (en) 2016-09-19 2019-10-01 Qualcomm Incorporated Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005094758A (ja) * 2003-09-12 2005-04-07 Lucent Technol Inc セルラ・システムに関連付けられたセキュリティ値に基づく無線lanアクセス認証方法
JP2011509002A (ja) * 2007-12-20 2011-03-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 継続した認証方法の選定
WO2009087006A1 (en) * 2008-01-09 2009-07-16 Nokia Siemens Networks Oy Mechanism for authentication and authorization for network and service access
WO2016073607A1 (en) * 2014-11-05 2016-05-12 Qualcomm Incorporated Methods and systems for authentication interoperability

Also Published As

Publication number Publication date
EP3516894B1 (en) 2021-09-15
CN109691157B (zh) 2022-05-03
JP7008690B2 (ja) 2022-01-25
US20180084414A1 (en) 2018-03-22
CN109691157A (zh) 2019-04-26
AU2017328040B2 (en) 2021-01-28
AU2017328040A1 (en) 2019-02-21
BR112019004865A2 (pt) 2019-06-11
US20230031581A1 (en) 2023-02-02
CA3033131A1 (en) 2018-03-22
WO2018052640A1 (en) 2018-03-22
CN114727283A (zh) 2022-07-08
US12022279B2 (en) 2024-06-25
US11463871B2 (en) 2022-10-04
TW201815178A (zh) 2018-04-16
TWI745415B (zh) 2021-11-11
US10433163B2 (en) 2019-10-01
ES2894476T3 (es) 2022-02-14
EP3516894A1 (en) 2019-07-31
US20200029212A1 (en) 2020-01-23

Similar Documents

Publication Publication Date Title
US12022279B2 (en) Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure
TWI724132B (zh) 無線通訊的方法、用於無線通訊的裝置以及用於執行該方法的電腦程式軟體
CN109845333B (zh) 用于经由接入网到核心网的连通性的方法和装置
US11032704B2 (en) Techniques for subscription-based authentication in wireless communications
KR101735256B1 (ko) 네트워크 전개들에서의 크리덴셜들의 프로비저닝을 위한 방법들 및 장치
CN109076086B (zh) 执行认证和密钥协商之前的安全信令
US20170339626A1 (en) Method, apparatus and system
US20160309523A1 (en) Reducing delay in attachment procedure with a network
TW201924289A (zh) 在金鑰產生中合併網路策略
TW202315431A (zh) 5g非無瑕疵無線區域網路卸載
US20220167159A1 (en) Systems and methods for authenticating a wireless device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200729

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200729

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210716

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210823

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220111

R150 Certificate of patent or registration of utility model

Ref document number: 7008690

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150