JP2020529754A - サービス検証メッセージを送信するように適合されるue - Google Patents
サービス検証メッセージを送信するように適合されるue Download PDFInfo
- Publication number
- JP2020529754A JP2020529754A JP2019571008A JP2019571008A JP2020529754A JP 2020529754 A JP2020529754 A JP 2020529754A JP 2019571008 A JP2019571008 A JP 2019571008A JP 2019571008 A JP2019571008 A JP 2019571008A JP 2020529754 A JP2020529754 A JP 2020529754A
- Authority
- JP
- Japan
- Prior art keywords
- network
- key
- service verification
- message
- verification message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000010200 validation analysis Methods 0.000 title description 19
- 238000012795 verification Methods 0.000 claims abstract description 58
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000010295 mobile communication Methods 0.000 claims abstract description 4
- 239000013598 vector Substances 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 10
- 230000007246 mechanism Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 9
- 101710205482 Nuclear factor 1 A-type Proteins 0.000 description 5
- 101710170464 Nuclear factor 1 B-type Proteins 0.000 description 5
- 102100022162 Nuclear factor 1 C-type Human genes 0.000 description 5
- 101710113455 Nuclear factor 1 C-type Proteins 0.000 description 5
- 101710140810 Nuclear factor 1 X-type Proteins 0.000 description 5
- 239000013311 covalent triazine framework Substances 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- YSMHTFWPDRJCMN-UHFFFAOYSA-N butan-2-yl carbonochloridate Chemical compound CCC(C)OC(Cl)=O YSMHTFWPDRJCMN-UHFFFAOYSA-N 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/80—Rating or billing plans; Tariff determination aspects
- H04M15/8038—Roaming or handoff
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/66—Policy and charging system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/24—Accounting or billing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Meter Arrangements (AREA)
- Telephonic Communication Services (AREA)
Abstract
本発明は、モバイル通信用のユーザ機器デバイス(UEデバイス)によって実行されるトランザクションを認証する方法であって、UEデバイスは、UEデバイスと移動先ネットワークとの間でセキュアコンテキストを確立するべく、UEデバイスと、移動先ネットワークのモバイル管理エンティティとの間で認証および鍵共有手順を実行済みである方法を提供し、本方法は、サービス検証メッセージをUEデバイスから移動先ネットワークまで送信する段階であって、サービス検証メッセージは、UEデバイスとホームオペレータのネットワークとの間で共有される完全性保障鍵を使用して、UEデバイスによってデジタル署名されている、段階と、サービス検証メッセージを移動先ネットワークからオペレータのホームネットワークまで転送する段階とを備える。
Description
本発明は、モバイル通信システム内のユーザ機器(UE)デバイスを介してサービス検証メッセージを送信することに関する。
GSM(登録商標)、UMTSおよび進化型パケットコア(EPC)ネットワークは、ベアラレベル、サブシステムレベル、およびサービスレベルでオフライン課金機構および/またはオンライン課金機構を実装する機能を提供する。これらの課金機構をサポートするために、ネットワークは、上記3つのレベルでリアルタイムでのリソースの使用の監視を実行し、関連する課金可能イベントを検出する。
オフライン課金では、リソースの使用は、リソースの使用が生じた後にネットワークから課金ドメイン(BD)に報告される。オンライン課金では、要求されたネットワークリソースの使用の許可が与えられる前に、オンライン課金システム(OCS)に配置される加入者アカウントに照会される。
ネットワークリソースの使用の典型的な例は、一定時間のボイスコール、一定のデータ量の伝送、または、一定のサイズのマルチメディアメッセージの送信である。ネットワークリソースの使用の要求は、UEまたはネットワークを介して開始される場合がある。
オフライン課金は、ネットワークリソースの使用の課金情報がそのネットワークリソースの使用と同時に収集されるプロセスである。次いで、課金情報は一連の課金ロジック機能を通して渡される。本プロセスの最後で、課金データ記録(CDR)ファイルがネットワークを介して生成され、次いで課金データ記録は加入者課金および/またはオペレータ間課金用のオペレータのネットワーク課金ドメイン(またはオペレータの自由裁量による追加関数、例えば統計)に転送される。BDは一般的に、オペレータの課金システムまたは課金仲介デバイスなどの後処理モジュールシステムを含む。要するに、オフライン課金は、提供したサービスに課金情報がリアルタイムで影響を与えない機構である。
オンライン課金は、オフライン課金と同じように、ネットワークリソースの使用の課金情報がそのネットワークリソースの使用と同時に収集されるプロセスである。ただし、ネットワークリソースの使用の承認は、実際のリソースの使用が生じる前にネットワークを介して得られる必要がある。このネットワークリソースの使用の承認は、ネットワークから要求されたらすぐにOCSによって与えられる。
ネットワークがネットワークリソースの使用の要求を受信すると、ネットワークは関連する課金情報を収集し、課金イベントをOCSにリアルタイムで生成する。次いでOCSは、リソースの適切な使用の承認を送り返す。リソースの使用の承認はその承認範囲(例えば、データ量または時間)が限定される場合があるため、ユーザがネットワークリソースの使用を持続する限り、リソースの使用の承認は随時更新しなければならない場合がある。
オンライン課金は、提供したサービスに課金情報がリアルタイムで影響を与える可能性があるため、課金機構をネットワークリソースの使用の制御と直接的に相互作用させることが必要となる機構である。
課金トリガ機能(CTF)は、ネットワークリソースの使用を監視することによって課金イベントを生成する。課金データ機能(CDF)は、いわゆるRf基準点を介してCTFから課金イベントを受信する。次いでCDFは、課金イベントに含まれる情報を使用して課金データ記録(CDR)を構築する。CDFによって作り出されたCDRは、いわゆるGa基準点を介して直ちに課金ゲートウェイ機能(CGF)に転送される。CGFは、3GPPネットワークとBD間のゲートウェイの機能を果たす。CGFは、CDRファイルをBDに転送するのにいわゆるBx基準点を使用する。OCFは、2つの異なるモジュール、すなわちセッションベース課金機能(SBCF)およびイベントベース課金機能(EBCF)から構成される。
SBCFは、ネットワークのオンライン課金/ユーザセッション、例えば、ボイスコール、IP CANベアラ、IP CANセッションまたはIMSセッションを担う。
EBCFは、SIPアプリケーションサーバを含む、任意のアプリケーションサーバまたはサービスNEと共にイベントベースオンライン課金を実行する。
レーティング機能(RF)は、OCFの代わりとなるネットワークリソースの使用値(OCFがネットワークから受信する課金イベント内に記載される)を決定する。
オフライン課金システム(OFCS)は、オフライン課金に使用される課金機能のグループ化である。OFCSは、1または複数のCTFから課金イベントを収集および処理し、続いて起こる下流のオフライン課金プロセスのCDRを生成する。
加入者がローミングしている場合および移動先ネットワークによってサービスを提供される場合、(移動先ネットワークおよびホームネットワーク内の)両方の課金システムが別々に加入者に課金することになる。ローミング課金は一般的に、ボイスコール1分あたり(ボイスコールを発信した携帯電話と、終了した携帯電話とで課金が異なる)、SMSあたり、およびメガバイトデータ量あたりである。課金の理由により、両方のネットワークは、課金情報交換手続き(TAP)を介して通信を行う。TAPの転送機構は、モバイルネットワーク拡張ロジック用カスタム化アプリケーション(CAMEL)と呼ばれる機構である。
ホームネットワーク経由でルーティングされ、移動先ネットワークが提供する全てのサービス、例えば、ボイスコール、SMS、IMSの場合、ホームネットワークのオペレータはTAPを介してサービングネットワークから転送される全ての課金を検証することができる。ローカルブレイクアウトによるインターネットアクセス、または局所的にルーティングされるボイスオーバーIP(VoIP)コールなど、ホームネットワーク経由では現時点でルーティングされない幾つかのサービスがすでに存在する。こうした局所的に提供されるサービスが、より一般的になる傾向にある。ホームオペレータは、局所的にルーティングされるサービス用のTAPを介してサービングネットワークから転送される課金を検証する機構がない。現在、オペレータは、ローミング加入者に実際に提供される課金をサービングネットワークが送信するそうした局所的にルーティングされるサービスを互いに信頼しなければならない。ホームオペレータがローミング課金の検証を可能にする機構が必要である。
US2002/0161723A1では、UEの中に記憶される鍵および認証センターを使用して、従来のやり方でUEのアイデンティティを検証する技術を記載する。UEがホームネットワークとは異なるローカルネットワークに接続される場合、ホームネットワークのオペレータおよびUEが共有する共有秘密鍵を使用して、ローカルネットワークのオペレータがUEを検証する。UEのユーザがUEを使用して買い物をし、支払いを承認したい場合、異なる通信ネットワークを利用してメッセージが売り手と交換され、UEが売り手からのメッセージに署名してトランザクションの了承の旨が知らされる。次いで、署名認証ネットワークサービスを使用して署名の確認が行われる。署名確認サービスは、ホームネットワークやローカルネットワークなどと区別される。上記のように、UEおよび署名確認サービスには両方とも署名鍵が提供される。
WO2005/004456では、移動先ネットワークを使用してユーザのUEに課金する機構を記載しており、その機構では、ホームネットワークが、UEに送信される課金証明書を発行することによってUEが課金証明書を移動先ネットワークのサービスプロバイダに提供することが可能となる。
本発明は、モバイル通信用のユーザ機器デバイス(UEデバイス)によって実行されるトランザクションを認証する方法であって、UEデバイスは、UEデバイスと移動先ネットワークとの間でセキュリティコンテキストを確立するべく、UEデバイスと、移動先ネットワークのモバイル管理エンティティとの間で認証および鍵共有手順を実行済みである方法を提供し、本方法は、サービス検証メッセージをUEデバイスから移動先ネットワークまで送信する段階であって、サービス検証メッセージは、UEデバイスとホームネットワークとの間で共有される完全性保障鍵を使用して、UEデバイスによってデジタル署名されている、段階と、サービス検証メッセージを移動先ネットワークからホームネットワークまで転送する段階とを備える。
本発明は、TAPを介して転送されるローミング課金に対してかなりの支配権をホームオペレータに与える機構を提供する。ユーザの同意は本機構の一部になり得る。本機構の一態様は、UEとホームオペレータ間で共有秘密鍵を確立し、この共有秘密鍵を使用して完全性保障サービス検証メッセージを生成することである。共有秘密鍵はさらに、完全性保障サービス検証メッセージ(すなわち、例えば好ましい移動先ネットワークまたは許容移動先ネットワークが掲載されたリスト)をオペレータのホームネットワークからUEまで送信するのに使用することができる。これらの完全性保障サービス検証メッセージをUEからホームオペレータにどのように転送するかに関して幾つかの代替形態を提供する。最も有益な選択肢は移動先ネットワークにおけるCTFを強化することである。その結果、ローミングUE内で生成される完全性保障サービス検証メッセージがサービングネットワーク内の生成されたCDRに追加され、TAPの課金メッセージでホームオペレータに転送される。UEとホームネットワークとの間にあり、移動先ネットワークに知られていない秘密鍵を共有するのに幾つかの代替形態がさらに存在する。選択肢の1つは、認証および鍵共有機能(AKA)を2回実行することであるが、2回目の実行では移動先ネットワークと完全性保障鍵を共有しない。本方法の利点は、既存のSIMカードに与える影響は全くないという点である。将来の段階である5G標準化の段階において、ホームネットワークから移動先ネットワークまでの全てのセッション鍵を得るのに鍵導出機能(KDF)を使用することが可能となる、すなわち、移動先ネットワークは、ホームネットワークの鍵を受信するのではなく、ホームネットワークの鍵から得られる移動先ネットワーク専用の鍵を受信する。この場合、現時点で移動先ネットワークに知られていないホームネットワークの完全性保障鍵を使用することができる。
本発明の特定の態様は、ローミング課金に対する支配権をオペレータに与える、および/またはより信頼できるローミング課金ビジネスの共有を確立することができる。本発明の実装は、信用ではなく技術的手段に基づくことができ、本発明により、ユーザはローミング課金に関連する詐欺を回避することが可能となる。
添付図面を参照しながら例示としてのみ本発明の好ましい実施形態をここで記載する。
第1の実施形態では、2つの異なる完全性鍵を生成するべく、セッション鍵が生成される「認証および鍵共有」(AKA)と呼ばれる周知の最初のチャレンジ応答機構が2回実行される。従来のLTEローミングシナリオでは、AKAが、UEとサービングネットワークのモビリティ管理エンティティ(MME)との間で1回実行される。MMEはホームオペレータから認証ベクトルを要求し、認証ベクトルは、チャレンジと、ルートセッション鍵KASMEと、チャレンジに対する期待される応答とを含む。MMEはチャレンジをUEに送信し、UEは、このチャレンジへの応答および対応するルートセッション鍵を計算する。UEは、当該応答をMMEに返信する。MMEは、期待される応答を用いてこの応答を検証する。生成されたセッション鍵は、UEおよびMME内の識別子KSIASMEと共に記憶され、UEにセキュリティコンテキストを確立するのに使用される。AKA手順は、3GPP TS33.401 v15.0.0で説明される。
この実施形態では、AKA手順を2回実行する。1回目の実行は上記で説明したとおりである。2回目の実行では、チャレンジおよび期待される応答のみをホームネットワークからサービングネットワークに転送する、すなわち、セッションルート鍵KASME2がホームネットワーク内に保持され、サービング(移動先)ネットワークには付与されない。サービングネットワークとUEとの間のセキュリティコンテキスト用のセッション鍵階層のルートは、KASME1であり、サービス確認メッセージ用の完全性保障鍵は、KASME2から得られる。サービングネットワークはKASME2の知識がないため、UEおよびホームオペレータだけが互いに共有する完全性保障鍵で署名される完全性保障サービス検証メッセージは、サービングネットワークによって生成されるのではなく、UEによってのみ生成することができる。サービングネットワークがサービス検証メッセージの中身を変える場合、ホームネットワーク内の完全性の確認は失敗することになる。
図1は、ホームオペレータのネットワークのホーム環境(HE)において、加入者データベースから1または複数の認証ベクトルを要求するMMEを示す。AKA手順が図2で示される(従来技術)。
その後の標準化リリースにおいて、ホームネットワークにおいて知られている現在のセッション鍵は、ホームオペレータからサービングネットワークに転送されないことがあり得る。したがって、第2の実施形態では、ホームオペレータのセッション鍵はホームオペレータのみに存在し、一方サービングネットワーク内で使用されるセッション鍵は、代わりにホームネットワークおよびUEにおける既存鍵から得られることになる。このケースでは、第2のAKA実行の上記手順は時代遅れである。なぜなら、UEおよびホームオペレータはホームオペレータのセッション鍵によってその通信の完全性を保障できるからである。
ホームネットワークが要求している場合において、サービス検証メッセージがUEおよびサービングネットワークによってのみ実行されるオプション機能であるならば、ホームオペレータのネットワークからサービングネットワークに要求をシグナリングすることが必要となる。HEからの認証要求に応答して情報をサービングネットワーク内のMMEに加えることは有益である。第3の実施形態では、ホームオペレータのネットワークが1または複数の専用メッセージ内のサービス検証メッセージをサービングネットワークに要求する。第4の実施形態では、HEは、要求だけではなく1つの認証ベクトルを用いて暗黙に応答することによって、サービングネットワークからサービス認証メッセージを要求する。
さらに、UEは、サービス検証メッセージを生成する要求を受信する。この要求は、認証プロセスにおいてホームオペレータのネットワークまたはサービングネットワークから追加情報として、例えば、非アクセス層(NAS)セキュリティモードコマンドメッセージで送信することができる。別の実施形態では、サービス検証メッセージは、サービングネットワークによって1または複数の専用メッセージでUEに要求される。一実施形態では、サービングネットワークは、接続手続き時、例えば認証プロセス時またはセキュリティコンテキストセットアップ時にサービス検証メッセージを要求する。別の実施形態では、サービングネットワークは、ベアラセットアップ手続き時にベアラ単位に基づいてサービス検証メッセージを要求する。サービングネットワークが、UE内にサービス検証メッセージを生成するために対応する周期性を要求することは有益である。別の実施形態では、UEは、ホームオペレータのネットワークが提供する記憶されたポリシー情報に基づいて周期性を決める。
サービス検証メッセージが要求されるか否か、およびUEがサービス検証メッセージを生成するように要求される周期性は、ホームオペレータの自由裁量による。それは、加入者ポリシーに基づくか、またはアクセスクラスポリシーに基づくか、またはUEの能力に基づいてよい。一実施形態では、サービス検証メッセージポリシーは、ホームオペレータのネットワークのHE内に記憶される。別の実施形態では、サービス検証メッセージポリシーは、ポリシーコントロールおよび課金機能(PCCF)の一部である。
移動先ネットワークを介してUEからホームネットワークに送信されるサービス検証メッセージは、リプレーアタックから保護される必要がある。これは、タイムスタンプまたはメッセージシーケンス番号、またはこの両方を用いて実行することができる。第1のサービス検証メッセージは事前検証であり得る、すなわち、第1のサービス検証メッセージは、重要なサービス提供を検証することなく、サービスのセットアップ、またはセットアップの構成の受信を検証する。この第1のサービス検証メッセージは、例えば1分後、または100キロバイトのローミングデータトラフィックで、または通話の終わりなど、第2の検証メッセージを予想できる場合に、タイムスタンプまたはメッセージシーケンス番号1を含む必要がある。第2のサービス検証メッセージ以降、(各サービスの)メッセージは、ボイスコールの直前の1分間のボイスコールの品質、または最後の100キロバイトのローミングデータトラフィックのデータレートなど、直前のサービス期間に関する追加のフィードバック情報を含むことができる。
以下は、こうしたサービス検証メッセージの一例である。
ID:加入者ID、例えばGUTI(グローバル一意一時ID)
Ver:プロトコルバージョン情報
SEQ:メッセージシーケンス番号、例えば16ビット
TS:タイムスタンプ
P:このサービスのサービス検証メッセージの予想される周期性
SID:サービス識別子(例えば、ローカルブレイクアウトによるデータサービス、ボイスコール、ベアラまたはPDUセッションID)
FB:現在のサービスのフィードバック情報
MAC:共有セッション鍵による完全性保障としてのメッセージ認証コード
Ver:プロトコルバージョン情報
SEQ:メッセージシーケンス番号、例えば16ビット
TS:タイムスタンプ
P:このサービスのサービス検証メッセージの予想される周期性
SID:サービス識別子(例えば、ローカルブレイクアウトによるデータサービス、ボイスコール、ベアラまたはPDUセッションID)
FB:現在のサービスのフィードバック情報
MAC:共有セッション鍵による完全性保障としてのメッセージ認証コード
例示的なメッセージフローチャートが図3で示される。ユーザが外国で自分のUEを作動する。段階1で、UEは、登録手続き中に、ホームオペレータがローミング契約を結ぶサービングネットワークを見つける。ホームオペレータが制御する許容ネットワークのリストがSIM内に記憶される。段階2で、サービングネットワークが、ローミングユーザのホームオペレータから認証ベクトルを要求する。段階3で、サービングネットワークのモビリティ管理エンティティ(MME)が、ホームネットワークのホーム環境(HE)から1または複数の認証ベクトル(AV)を要求する。段階4で、HEが、要求された認証ベクトルおよび1つの追加認証ベクトルを用いて応答する。段階5で、ホームネットワークのMMEが、追加認証ベクトルから得られる完全性保障セッション鍵を課金ゲートウェイ機能に転送する。段階6で、サービングネットワークが2つの認証ベクトル(AV)を受信する。従来技術で知られるように1つ目の認証ベクトルは完全であり、本発明による2つ目のAVには、セッション鍵階層のルート(少なくとも完全性保障のセッション鍵)は含まれない。追加認証ベクトルの受信によって、サービス検証メッセージがオペレータのホームネットワークから要求されたことがサービングネットワークに暗黙にシグナリングされ得る。この要求はさらに、3GPPのTS33.401 に従って、MMEとHEとの間のメッセージ内のNASサービス検証要求で明示的にされ得る。従来技術における、TS33.401 に準拠した認証手順の一部として実行されるAKAはこの図では示されない。次いで段階7で、サービングネットワークは、第2のAKA(または潜在的な後継であるAKA*)手順を実行し、ここでサービングネットワークは、実行されるこの追加のAKAの完全性保障セッション鍵がサービス検証メッセージに署名するのに使用されること、およびこれらのサービス検証メッセージが要求されることをNASセキュリティモードコマンドメッセージでUEにシグナリングする。段階8で、UEは、NASセキュリティモード完全メッセージでサービングネットワークへの要求を確認する。サービス検証メッセージのMACフィールドを生成するべく、実行される第2のAKAによって生じる完全性保障鍵がUE内に記憶される。
ユーザはここで、局所的にルーティングされるボイスコールを開始する。したがって、第1のサービス検証メッセージがUE内に生成され、段階9で、NASサービス検証メッセージがサービングネットワークのサービングモビリティ管理エンティティ(MME)に送信される。第1のサービス検証メッセージは、ユーザのGUTIと、メッセージシーケンス番号「1」と、現在のタイムスタンプと、1分間の予想される周期性と、サービス識別子としての「ローカルボイスコール」と、空のフィードバック情報フィールドと、メッセージの第1の7つのフィールドの有効なメッセージ認証コードと、を含む。
段階10で、サービングネットワークのMMEは、サービス検証メッセージを課金データ機能(CDF)に転送する。段階11で、CDFはさらに、課金トリガ機能(CTF)から課金イベントメッセージを受信し、CDRを生成し、本発明に従ってサービス検証メッセージをCDRに連結する。サービス検証メッセージはUEによって自律的に生成されるため、ホームネットワークまたは移動先ネットワークによって構成される、またはそれらのネットワークから影響を受ける。サービス検証メッセージをCDRと同期することで、結果、対応するサービス検証メッセージが各CDRと連結されることは有益である。しかし、同期的でない解決策も同様に可能であろう。この場合、単一のCDRは、CDR内のメッセージの可用性に応じて、0、1または複数のサービス検証メッセージを含んでもよい。1つより多くのサービス検証メッセージが単一のCDRの中に含まれる場合、サービス検証メッセージを含まなかった前のCDRを検証することができる。
段階12で、CDFによって作り出された(サービス検証メッセージが連結される)CDRが、Ga基準点を介して直ちに課金ゲートウェイ機能(CGF)に転送される。段階13で、CGFは、サービス検証メッセージが含まれているTAP課金メッセージを生成し、TAP課金メッセージは、CAMELインタフェースを介して、SS7で、ホームオペレータのCGFに転送される。段階14で、ホームオペレータのCGFは、課金手続きに進む前に、要求されたサービス検証メッセージを検証する。
上記の代替形態は、トリガに基づいて移動先ネットワークからサービス検証メッセージを生成することである。CDF、または移動先ネットワークの課金システムのその他あらゆるエンティティは、新しいNASメッセージで、または周知のNASメッセージ内の新しい情報でUEをトリガし、TAPのあらゆる課金メッセージが課金サービスを検証する1つのサービス検証メッセージを含むことが確実になるように、サービス検証メッセージを生成することができる。この代替形態では、UEはサービス検証メッセージの生成時間を制御しないので、このサービス検証メッセージは予想される次のサービス検証メッセージに関するあらゆる情報を含まない場合がある、すなわち、周期性情報がない。
移動先(ローミング)ネットワークによるサービスのセットアップまたはサービスの提供を検証するためにUE内でサービス検証メッセージを生成することができる。サービス検証メッセージは、移動先ネットワークによるサービスのセットアップまたはサービスの提供に関するサービス情報、およびホームネットワークへのサービス情報を検証する署名を含むことができる。
本発明は、一態様において、課金されるサービスのセットアップまたはサービスの提供に関する移動先からホームネットワークまでの課金情報(CDR)に関して、サービス検証メッセージをホームネットワークに送信するために移動先ネットワークに送信する。
つまり、本発明は、課金されるサービスのセットアップまたはサービスの提供に関する移動先からホームネットワークまでの課金情報(課金データ記録(CDR))に関して、移動先ネットワークを介してサービス検証メッセージをホームネットワークに送信する。サービス検証メッセージは、UEとホームオペレータとの間で共有される完全性保障鍵と、タイムスタンプまたはメッセージシーケンス番号、もしくはその両方を用いたリプレー保護と、第1の事前のサービス検証メッセージと、第1のメッセージまたは全てのメッセージの中のその後に続くメッセージの予想される周期性と、最後のサービス時間のフィードバックと、サービス、例えば、データトラフィックおよびボイスコールサービス毎のサービス検証メッセージと、移動先ネットワークによってトリガされる、すなわち、移動先ネットワークからオンデマンドで生成されるサービス検証メッセージと、を含むことができる。UEとホームオペレータとの間で共有される完全性保障鍵は、実行される2回目のAKAを介して生成される、または、サービングネットワークの専用セッション鍵を得ることによって獲得される。
Claims (9)
- モバイル通信用のユーザ機器デバイス(UEデバイス)によって実行されるトランザクションを認証する方法であって、前記UEデバイスは、前記UEデバイスと移動先ネットワークとの間でセキュリティコンテキストを確立するべく、前記UEデバイスと、前記移動先ネットワークのモバイル管理エンティティとの間で認証および鍵共有手順を実行済みであり、前記方法は、
サービス検証メッセージを前記UEデバイスから前記移動先ネットワークまで送信する段階であって、前記サービス検証メッセージは、前記UEデバイスとホームネットワークとの間で共有される完全性保障鍵を使用して、前記UEデバイスによってデジタル署名されている、段階と、
前記サービス検証メッセージを前記移動先ネットワークから前記ホームネットワークまで転送する段階と
を備える方法。 - セッション鍵階層のルート、または完全性保障のセッション鍵のいずれも含まない認証ベクトルを前記ホームネットワークが提供する第2の認証および鍵共有手順を実行することによって、前記完全性保障鍵を得る、請求項1に記載の方法。
- チャレンジ、および前記チャレンジに対する期待される応答のみを前記ホームネットワークが前記移動先ネットワークに提供する第2の認証および鍵共有手順を実行することによって、前記完全性保障鍵を得る、請求項1または2に記載の方法。
- 前記ホームネットワークにおける既存の鍵から得られる完全性保障鍵を使用して、前記UEデバイスと前記移動先ネットワークとの間で前記セキュリティコンテキストを確立する、請求項1から3のいずれか一項に記載の方法。
- 前記サービス検証メッセージがタイムスタンプおよびメッセージシーケンス番号のうち少なくとも1つを含む、請求項1から4のいずれか一項に記載の方法。
- 要求に応答して前記サービス検証メッセージが送信される、請求項1から5のいずれか一項に記載の方法。
- 前記要求が非アクセス層メッセージの一部として送信される、請求項6に記載の方法。
- 前記サービス検証メッセージが前記UEデバイスによって自律的に送信される、請求項1から請求項6のいずれか一項に記載の方法。
- 前記サービス検証メッセージが前記移動先ネットワークによって課金データ記録と連結され、連結された前記サービス検証メッセージが前記ホームネットワークの課金ゲートウェイ機能に送信される、請求項1から8のいずれか一項に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17184733.8 | 2017-08-03 | ||
| EP17184733 | 2017-08-03 | ||
| PCT/EP2018/071160 WO2019025603A1 (en) | 2017-08-03 | 2018-08-03 | EU DESIGNED TO TRANSMIT SERVICE VALIDATION MESSAGES |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020529754A true JP2020529754A (ja) | 2020-10-08 |
| JP2020529754A5 JP2020529754A5 (ja) | 2021-04-30 |
Family
ID=59558242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019571008A Pending JP2020529754A (ja) | 2017-08-03 | 2018-08-03 | サービス検証メッセージを送信するように適合されるue |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20200245143A1 (ja) |
| EP (1) | EP3662653B1 (ja) |
| JP (1) | JP2020529754A (ja) |
| CN (2) | CN110999270B (ja) |
| BR (1) | BR112019028219A2 (ja) |
| RU (1) | RU2759264C2 (ja) |
| WO (1) | WO2019025603A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019116377A1 (en) * | 2017-12-11 | 2019-06-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for validating messages in a wireless communications network |
| CN111899029A (zh) * | 2020-08-13 | 2020-11-06 | 北京字节跳动网络技术有限公司 | 用于电子支付的身份验证方法和装置 |
| CN117641339B (zh) * | 2024-01-18 | 2024-04-09 | 中国电子科技集团公司第三十研究所 | 快速应用层认证与密钥协商系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005525733A (ja) * | 2002-05-10 | 2005-08-25 | ノキア コーポレイション | セルラー式電気通信と認可基盤を使った、商品とサービスの安全な認証と請求のシステム及び方法 |
| US20090291666A1 (en) * | 2006-07-04 | 2009-11-26 | Telefonaktiebolaget L M Ericsson (Publ) | Charging Of GPRS Traffic For Roaming Mobiles By Performing Traffic Counting At The User Terminal |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7334127B2 (en) * | 1995-04-21 | 2008-02-19 | Certicom Corp. | Key agreement and transport protocol |
| WO2005004456A1 (en) | 2003-06-18 | 2005-01-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Online charging in mobile networks |
| CN1581183A (zh) * | 2003-07-31 | 2005-02-16 | 上海贝尔阿尔卡特股份有限公司 | 移动环境中匿名微支付及其认证的方法 |
| GB2421874B (en) * | 2004-12-31 | 2008-04-09 | Motorola Inc | Mobile station, system, network processor and method for use in mobile communications |
| WO2007081124A1 (en) * | 2006-01-12 | 2007-07-19 | Samsung Electronics Co., Ltd. | Method and system for user roaming and service roaming in a digital broadcasting system |
| CN101005359B (zh) * | 2006-01-18 | 2010-12-08 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
| CN101047505A (zh) * | 2006-03-27 | 2007-10-03 | 华为技术有限公司 | 一种网络应用push业务中建立安全连接的方法及系统 |
| CN101047978A (zh) * | 2006-03-27 | 2007-10-03 | 华为技术有限公司 | 对用户设备中的密钥进行更新的方法 |
| GB0606692D0 (en) * | 2006-04-03 | 2006-05-10 | Vodafone Plc | Telecommunications networks |
| CN101809982B (zh) * | 2007-09-26 | 2014-07-09 | 朗讯科技公司 | 互联网协议多媒体子系统中的呼叫计费和计费信息路由 |
| CN102026092B (zh) * | 2009-09-16 | 2014-03-12 | 中兴通讯股份有限公司 | 一种移动多媒体广播业务密钥同步的方法及网络 |
| US9112905B2 (en) * | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| US9009475B2 (en) * | 2011-04-05 | 2015-04-14 | Apple Inc. | Apparatus and methods for storing electronic access clients |
| US8855604B2 (en) * | 2012-01-06 | 2014-10-07 | National Cheng Kung University | Roaming authentication method for a GSM system |
| CN104717598A (zh) * | 2013-12-13 | 2015-06-17 | 香港优克网络技术有限公司 | 一种服务分享系统及装置 |
-
2018
- 2018-08-03 RU RU2020109228A patent/RU2759264C2/ru active
- 2018-08-03 WO PCT/EP2018/071160 patent/WO2019025603A1/en unknown
- 2018-08-03 EP EP18746235.3A patent/EP3662653B1/en active Active
- 2018-08-03 US US16/635,929 patent/US20200245143A1/en not_active Abandoned
- 2018-08-03 BR BR112019028219-0A patent/BR112019028219A2/pt not_active IP Right Cessation
- 2018-08-03 CN CN201880050144.4A patent/CN110999270B/zh active Active
- 2018-08-03 CN CN202210685759.2A patent/CN115150513A/zh active Pending
- 2018-08-03 JP JP2019571008A patent/JP2020529754A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005525733A (ja) * | 2002-05-10 | 2005-08-25 | ノキア コーポレイション | セルラー式電気通信と認可基盤を使った、商品とサービスの安全な認証と請求のシステム及び方法 |
| US20090291666A1 (en) * | 2006-07-04 | 2009-11-26 | Telefonaktiebolaget L M Ericsson (Publ) | Charging Of GPRS Traffic For Roaming Mobiles By Performing Traffic Counting At The User Terminal |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2759264C2 (ru) | 2021-11-11 |
| CN115150513A (zh) | 2022-10-04 |
| US20200245143A1 (en) | 2020-07-30 |
| EP3662653A1 (en) | 2020-06-10 |
| RU2020109228A3 (ja) | 2021-09-03 |
| CN110999270A (zh) | 2020-04-10 |
| EP3662653B1 (en) | 2023-08-02 |
| BR112019028219A2 (pt) | 2020-07-07 |
| CN110999270B (zh) | 2022-07-08 |
| WO2019025603A1 (en) | 2019-02-07 |
| RU2020109228A (ru) | 2021-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8108677B2 (en) | Method and apparatus for authentication of session packets for resource and admission control functions (RACF) | |
| US8694772B2 (en) | Method and system for managing network identity | |
| US8666396B2 (en) | Providing user location and time zone information for LTE/IMS charging | |
| US8627064B2 (en) | Flexible system and method to manage digital certificates in a wireless network | |
| US9270700B2 (en) | Security protocols for mobile operator networks | |
| EP2534889B1 (en) | Method and apparatus for redirecting data traffic | |
| US20110219431A1 (en) | System and method of quality of service enablement for over the top applications in a telecommunications system | |
| CN101322428A (zh) | 用于传递密钥信息的方法和设备 | |
| WO2008131689A1 (fr) | Procédé et système de fourniture d'un service de communication d'urgence et dispositifs correspondants | |
| CA2594468A1 (en) | User authentication and authorisation in a communications system | |
| WO2021037263A1 (zh) | 一种漫游计费的处理方法、装置及系统 | |
| CN107113301A (zh) | 用于移动订户的语音和文本数据服务 | |
| CN110999270B (zh) | 适用于发送服务验证消息的用户设备 | |
| US8560408B2 (en) | Mechanism for controlling charging in case of charging client relocation | |
| Kfoury et al. | Secure end-to-end volte based on ethereum blockchain | |
| CN108353259B (zh) | 对匿名化网络服务利用进行计费记录鉴别的方法和装置 | |
| US10299121B2 (en) | System and method for providing differential service scheme | |
| EP1320236A1 (en) | Access control for network services for authenticating a user via separate link | |
| KR102003694B1 (ko) | 이동통신시스템에서 세션 설정 방법 및 장치 | |
| US20230422030A1 (en) | Trustful Service Traffic Handling in a Core Network Domain | |
| CN112865975A (zh) | 消息安全交互方法和系统、信令安全网关装置 | |
| CN105791256A (zh) | 一种获取用户信息的方法、装置及系统 | |
| US20240223547A1 (en) | Network Supported Authentication | |
| Tsakountakis et al. | SIPA: generic and secure accounting for SIP | |
| KR102109822B1 (ko) | 데이터 세션 정보 동기화 방법 및 이를 위한 과금 메세지 분석 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210317 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210317 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220420 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220531 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220823 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230104 |