JP2021524167A - 複数の登録のための方法および装置 - Google Patents
複数の登録のための方法および装置 Download PDFInfo
- Publication number
- JP2021524167A JP2021524167A JP2020538542A JP2020538542A JP2021524167A JP 2021524167 A JP2021524167 A JP 2021524167A JP 2020538542 A JP2020538542 A JP 2020538542A JP 2020538542 A JP2020538542 A JP 2020538542A JP 2021524167 A JP2021524167 A JP 2021524167A
- Authority
- JP
- Japan
- Prior art keywords
- network
- key
- user device
- identifier
- count
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
Abstract
第1の鍵に基づいて第1のネットワークとセキュリティコンテキストを有するユーザデバイスは、第2のネットワークとセキュリティコンテキストを確立し得る。方法では、ユーザデバイスは、第1の鍵および第2のネットワークのネットワーク識別子に基づいて鍵識別子を生成し得る。ユーザデバイスは、第1のネットワークが第1のネットワークにおいて第1の鍵を識別することを可能にするために第2のネットワークによって第1のネットワークに転送するための鍵識別子を第2のネットワークに転送し得る。ユーザデバイスは、第2のネットワークから鍵カウントを受信し得る。鍵カウントは、第1のネットワークから第2のネットワークに転送される第2の鍵に関連付けられ得る。ユーザデバイスは、第1の鍵および受信された鍵カウントに基づいて第2の鍵を生成し、それによって、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立し得る。【選択図】図2B
Description
[0001] 本出願は、2019年1月11日に米国特許商標庁に出願された非仮特許出願番号16/246,349と、2018年1月12日に米国特許商標庁に出願された仮特許出願番号62/617,065の優先権および利益を主張し、その全内容が以下に十分に明記するかのように参照によって全ての適用可能な目的で本明細書に組み込まれる。
[0002] 本開示は、一般に、ユーザ機器とワイヤレスネットワークインフラストラクチャとの間にセキュリティコンテキストを確立することに関する。
[0003] ワイヤレス通信システムは、例えば、音声、ビデオ、データ、等のような様々なタイプの通信コンテンツを提供するために広く展開されている。典型的なワイヤレス通信システムは、利用可能なシステムリソース(例えば、帯域幅、伝送電力、等)を共有することで複数のユーザとの通信をサポートすることが可能な多元接続システムであり得る。一般に、ワイヤレス多元接続通信システムは、複数のデバイスのための通信を同時にサポートし得る。サービスされるデバイスは各々、1つまたは複数無線アクセス局と通信し得る。
[0004] ワイヤレス通信ネットワークにアクセスする前に、デバイス(加入者デバイス、ユーザ機器、モバイルデバイス、等とも呼ばれる)が認証され得る。多くのワイヤレス通信ネットワークでは、認証は、移動体通信事業者および/またはサービスプロバイダによって提供される証明書を使用して行われ得る。ゆえに、1つまたは複数の証明書を交換することでワイヤレス通信ネットワークに対してデバイスを認証するためのシステムおよび方法が有益であり得る。
[0005] ユーザ機器(UE)は、異なるタイプの2つ以上のワイヤレスネットワークに登録され得る。ユーザ機器は、各ワイヤレスネットワークとセキュリティコンテキストを確立して維持する。しかしながら、新しいサービングネットワークに登録するたびにUEの完全な認証を実行することは時間を消費するものである。
[0006] 従って、ユーザ機器が1つより多くのワイヤレスネットワークとセキュリティコンテキストを効率的に確立して維持するための技法が必要である。
[0007] 本開示の態様は、第1の鍵に基づいて第1のネットワークとセキュリティコンテキストを有するユーザデバイス/局によって第2のネットワークとセキュリティコンテキストを確立するための方法にあり得、これは、ユーザデバイスによって、第1の鍵および第2のネットワークのネットワーク識別子に基づいて鍵識別子を生成することと、ユーザデバイスによって、第1のネットワークが第1のネットワークにおいて第1の鍵を識別することを可能にするために第2のネットワークによって第1のネットワークに転送するための鍵識別子を第2のネットワークに転送することと、ユーザデバイスによって、第2のネットワークから鍵カウントを受信することと、ここにおいて、鍵カウントは、第1のネットワークから第2のネットワークに転送される第2の鍵に関連付けられている、ユーザデバイスによって、第1の鍵および受信された鍵カウントに基づいて第2の鍵を生成し、それによって、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立することとを含む。
[0008] より詳細な態様において、ユーザデバイスは、ユーザデバイスが第3のネットワークに登録するとき、第1のネットワークと第1の鍵を確立し得る。第1の鍵は、第1のネットワークとの認証および鍵合意プロトコルの実行の一部として、ユーザデバイスと第1のネットワークとの間で確立され得る。ユーザデバイスはモバイルデバイスであり得、第1のネットワークは第1のパブリックランドモバイルネットワークであり得、第2のネットワークは第2のパブリックランドモバイルネットワークであり得る。また、第2のネットワークは、ワイヤレスローカルエリアネットワーク(WLAN)アクセスネットワークまたは固定ブロードバンドアクセスネットワークを備え得る。第3のネットワークは、5G無線アクセスネットワーク(RAN)またはロングタームエボリューション(LTE(登録商標))RANのような3GPP(登録商標)無線アクセスネットワークを備え得る。
[0009] 他のより詳細な態様において、方法は、ユーザデバイスと第2のネットワークとの間の通信を保護するための暗号鍵または完全性鍵のうちの少なくとも1つを生成するために、ユーザデバイスによって、第2の鍵を使用することをさらに備え得る。また、鍵識別子を生成することは、ユーザデバイス識別子および/または関数呼出し値の少なくとも一部分にさらに基づき得る。
[0010] 別の態様は、第2のネットワークとセキュリティコンテキストを確立するためのユーザデバイスにあり得、これは、第1の鍵および第2のネットワークのネットワーク識別子に基づいて鍵識別子を生成するための手段と、ここにおいて、第1のネットワークとユーザデバイスとの間のセキュリティコンテキストは第1の鍵に基づく、第1のネットワークが第1のネットワークにおいて第1の鍵を識別することを可能にするために第2のネットワークによって第1のネットワークに転送するための鍵識別子を第2のネットワークに転送するための手段と、第2のネットワークから鍵カウントを受信するための手段と、ここにおいて、鍵カウントは、第1のネットワークから第2のネットワークに転送される第2の鍵に関連付けられている、第1の鍵および受信された鍵カウントに基づいて第2の鍵を生成し、それによって、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するための手段とを含む。
[0011] 別の態様は、第2のネットワークとセキュリティコンテキストを確立するためのユーザデバイスにあり得、これは、第1の鍵および第2のネットワークのネットワーク識別子に基づいて鍵識別子を生成することと、ここにおいて、第1のネットワークとユーザデバイスとの間のセキュリティコンテキストは第1の鍵に基づく、第1のネットワークが第1のネットワークにおいて第1の鍵を識別することを可能にするために第2のネットワークによって第1のネットワークに転送するための鍵識別子を第2のネットワークに転送することと、第2のネットワークから鍵カウントを受信することと、ここにおいて、鍵カウントは、第1のネットワークから第2のネットワークに転送される第2の鍵に関連付けられている、第1の鍵および受信された鍵カウントに基づいて第2の鍵を生成し、それによって、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立することとを行うように構成されたプロセッサを含む。
[0012] 別の態様は、コンピュータに、第1の鍵および第2のネットワークのネットワーク識別子に基づいて鍵識別子を生成させるためのコードと、ここにおいて、第1のネットワークとユーザデバイスとの間のセキュリティコンテキストは第1の鍵に基づく、コンピュータに、第1のネットワークが第1のネットワークにおいて第1の鍵を識別することを可能にするために第2のネットワークによって第1のネットワークに転送するための鍵識別子を第2のネットワークに転送させるためのコードと、コンピュータに、第2のネットワークから鍵カウントを受信させるためのコードと、ここにおいて、鍵カウントは、第1のネットワークから第2のネットワークに転送される第2の鍵に関連付けられている、コンピュータに、第1の鍵および受信された鍵カウントに基づいて第2の鍵を生成させ、それによって、コンピュータの間にセキュリティコンテキストを確立させるためのコードを含むコンピュータ読取可能な媒体にあり得る。
[0013] さらに別の態様は、第1のネットワークによって、鍵識別子を受信することと、ここにおいて、鍵識別子は、第1の鍵および第2のネットワークのネットワーク識別子に基づく、第1のネットワークによって、鍵識別子および第2のネットワークのネットワーク識別子に基づいて第1の鍵を識別することと、第1のネットワークによって、第1の鍵および鍵カウントに基づいて第2の鍵を生成することと、第1のネットワークによって、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するために第2の鍵および鍵カウントを第2のネットワークに転送することとを含む方法にあり得る。
[0014] 別の態様は、鍵識別子を受信するための手段と、ここにおいて、鍵識別子は、第1の鍵および第2のネットワークのネットワーク識別子に基づく、鍵識別子および第2のネットワークのネットワーク識別子に基づいて第1の鍵を識別するための手段と、第1の鍵および鍵カウントに基づいて第2の鍵を生成するための手段と、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するために第2の鍵および鍵カウントを第2のネットワークに転送するための手段とを含む第1のネットワークにあり得る。
[0015] 別の態様は、鍵識別子を受信することと、ここにおいて、鍵識別子は、第1の鍵および第2のネットワークのネットワーク識別子に基づく、鍵識別子および第2のネットワークのネットワーク識別子に基づいて第1の鍵を識別することと、第1の鍵および鍵カウントに基づいて第2の鍵を生成することと、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するために第2の鍵および鍵カウントを第2のネットワークに転送することとを行うように構成されたプロセッサを含む第1のネットワークにあり得る。
[0016] 別の態様は、コンピュータに、鍵識別子を受信させるためのコードと、ここにおいて、鍵識別子は、第1の鍵および第2のネットワークのネットワーク識別子に基づく、コンピュータに、鍵識別子および第2のネットワークのネットワーク識別子に基づいて第1の鍵を識別させるためのコードと、コンピュータに、第1の鍵および鍵カウントに基づいて第2の鍵を生成させるためのコードと、コンピュータに、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するために第2の鍵および鍵カウントを第2のネットワークに転送させるためのコードとを含むコンピュータ読取可能な媒体にあり得る。
[0017] ある態様は、第1の鍵に基づいて第1のネットワークとセキュリティコンテキストを有するユーザデバイスによって第2のネットワークとセキュリティコンテキストを確立するための方法にあり得、これは、ユーザデバイスによって、第1の鍵およびユーザデバイス識別子の少なくとも一部分に基づいて鍵識別子を生成することと、ユーザデバイスによって、第1のネットワークが第1のネットワークにおいて第1の鍵を識別することを可能にするために第2のネットワークによって第1のネットワークに転送するための鍵識別子を第2のネットワークに転送することと、ユーザデバイスによって、第2のネットワークから鍵カウントを受信することと、ここにおいて、鍵カウントは、第1のネットワークから第2のネットワークに転送される第2の鍵に関連付けられている、ユーザデバイスによって、第1の鍵および受信された鍵カウントに基づいて第2の鍵を生成し、それによって、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立することとを含む。
[0027] 下記説明では、実施形態の完全な理解を提供するために、特定の詳細が提示される。しかしながら、実施形態がこれらの特定の詳細なしに実施され得ることは、当業者によって理解されるであろう。例えば、不必要な詳細でこれらの実施形態をあいまいにしないために、回路はブロック図で示され得る。他の事例では、周知の回路、構造、および技法は、これらの実施形態をあいまいにしないために、詳細には示されない可能性がある。「例示的」という用語は、「実例、事例、または例示として機能する」を意味するために本明細書で使用される。「例示的」として本明細書で説明される任意の実施形態は、必ずしも、他の実施形態よりも好ましいまたは有利であると解釈されるべきではない。
[0028] 図1は、一次認証を回避しつつユーザ機器が複数のサービングネットワークへの複数のネットワーク登録を行い得る例示的なワイヤレスネットワークシステムを例示するブロック図である。このワイヤレスネットワークシステム100では、ユーザデバイス102(例えば、加入者デバイス、携帯電話、ウェアラブルデバイス、車両に組み込まれた通信デバイス、ユーザ機器、等)が、ユーザデバイス102を認証して1つまたは複数の鍵についてユーザデバイス102と合意する役割を果たすホームネットワーク106に、第1の無線アクセスネットワークA(RAN)104上で、第1のサービスプロバイダA(例えば、第1のサービングネットワーク)108を通して通信し得る。ホームネットワーク106とユーザデバイス102との間のこの認証および鍵合意(AKA)プロセスの一部として、ホームネットワーク106およびユーザデバイス102に知られている第1の鍵K1 112aおよび112bが生成される。次いで、この第1の鍵K1(または、K1から導出された別の鍵)は、ユーザデバイス102への/からの通信をセキュアにする役割を果たす第1のセキュリティコンテキストA114を生成するため、および/または、ユーザデバイス102において追加の鍵を生成するために使用される。第1のセキュリティコンテキストA114は、ユーザデバイス102および第1のサービスプロバイダA108の両方で生成され得る。
[0029] その後、ユーザデバイス102は、第2の無線アクセスネットワークB105を介して第2のサービスプロバイダB110(例えば、第2のサービングネットワーク)を通して通信しようとし得る場合。その結果として、それは、第2のサービスプロバイダB(例えば、第2のサービングネットワーク)110とセキュリティコンテキストを確立するために、第2のサービスプロバイダ110に登録することを試み得る。ホームネットワーク106と別のAKAプロセスを行う(これは時間消費する)のではなく、第1の鍵K1を再使用して、第2のネットワークB110との第2のセキュリティコンテキストB116を確立し得る。第2のセキュリティコンテキストB116は、ユーザデバイス102および第2のサービスプロバイダB110の両方で生成され得る。
[0030] 図1では、2つのRAN104および105がサービスプロバイダA108およびB110にサービスするように(すなわち、サービングネットワークと)例示されているが、他の実現形態では、サービスプロバイダA108および/またはB110の両方が単一の無線アクセスネットワークに結合され得ることが企図されることに留意されたい。
[0031] 図2Aおよび図2Bは、1つまたは複数のネットワーク上で通信するユーザデバイス210のための別のセキュリティコンテキストを確立するためにセキュリティ鍵を再使用するための例示的な認証および登録プロセス200のフロー図を例示する。一例において、ユーザデバイス210は、最初に、第3の(サービング)ネットワーク215を介してサービスを取得し得る。第3のネットワーク215を通して通信するために、ユーザデバイス210は、ユーザデバイス210が第3のネットワーク215(例えば、無線アクセスネットワーク)に登録するときに、ホームネットワーク230と第1の鍵K1を確立し得る。様々な例において、ユーザデバイス210は、モバイル局、加入者デバイス、ウェアラブルデバイス、車両に組み込まれた通信デバイス、クライアントデバイス、モバイルデバイス、ワイヤレスデバイス、等であり得る。ホームネットワーク230は、パブリックランドモバイルネットワーク(PLMN)であり得、5G RANまたはLTE RANのような3GPP無線アクセスネットワークを備え得る。いくつかの事例において、ホームネットワーク(例えば、認証ネットワーク、認可ネットワーク、等とも呼ばれる)。同様に、第3のネットワーク215は、第1のパブリックランドモバイルネットワークであり得、ワイヤレスローカルアクセスネットワーク(WLAN)および/または固定ブロードバンドアクセスネットワークを備え得る。
[0032] ユーザデバイス210とホームネットワーク230との間の認証および鍵合意(AKA)プロトコル202の実行の一部として、ホームネットワーク230は、(例えば、一意のデバイス識別子に基づいて)ユーザデバイス210を認証し得、少なくとも1つの鍵が、ホームネットワーク230およびユーザデバイス210において確立され得る。例えば、ユーザデバイスの認証が成功すると、ユーザデバイス210およびホームネットワーク230において第1の鍵K1が確立され得る204。この第1の鍵K1は、例えば、AKA202において交換される情報、秘密ユーザデバイス鍵、一意のユーザデバイス識別子、等に基づいて生成され得る。この第1の鍵K1は、ホームネットワーク230において第3の鍵K3(例えば、アンカ鍵)を生成する206bために使用され得る。この第3の鍵K3は、ホームネットワーク230によって第3のネットワーク215に送られ得る208。第1の鍵K1は、ユーザデバイス210および第1の(ホーム)ネットワーク230にのみ知られているものであり得、第3のネットワーク215には知られていないことに留意されたい。次いで、第3のネットワーク215は、第3の鍵K3(例えば、アンカ鍵K1SEAF)の関数として、ユーザデバイス210のために、第1のセキュリティコンテキストを生成および/または確立し得る212b。第1の鍵K1を確立するために様々な方法が使用され得、それはまた、ホームネットワーク230において一意のユーザデバイス識別子(UID)に関連付けられ得ることが企図される。追加的に、第3の鍵K3を生成または確立するために様々な方法が使用され得ること、ここで、ユーザデバイス210は、ホームネットワーク230および第3のネットワーク215によって使用される方法(例えば、鍵導出関数)を知っているであろう、も企図される。
[0033] 同様に、ホームネットワーク230から認証成功メッセージ/インジケーションを受信すると、ユーザデバイスは、(例えば、ホームネットワーク230と同じ鍵導出関数を使用して)第1の鍵K1のローカルインスタンスを確立し得204a、次いで、(例えば、第3のネットワーク215と同じ鍵導出関数を使用して)第3の鍵K3のローカルインスタンスを生成し得る206a。次いで、ユーザデバイスは、第3のネットワーク215とセキュリティコンテキストを確立する212aために、第3の鍵K3のそのローカルバージョンを使用し得る。
[0034] 第3の鍵K3が第1の鍵K1の関数として導出されるため、セキュリティコンテキスト212aおよび212bは第1の鍵K1の関数として確立されるとも言えることに留意されたい。
[0035] 後続の時間に、ユーザデバイス210は、第2の(サービング)ネットワーク220を通信に使用し得る。すなわち、ユーザデバイス210は、第2のネットワーク220を使用することに切り替え得るか、または第3のネットワーク215と同時に第2のネットワーク220を使用し得る。第2のネットワーク220は、第2のパブリックランドモバイルネットワークであり得、ワイヤレスローカルアクセスネットワーク(WLAN)または固定ブロードバンドアクセスネットワークを備え得る。
[0036] 第2のネットワーク220を通してAKAプロトコルを再度実行する代わりに、ユーザデバイス210は、第2のネットワーク220と第2のセキュリティコンテキストを確立するために第1の鍵K1を再使用し得る。ユーザデバイス210は、第1の鍵K1、第2のネットワーク220の第2のネットワーク識別子またはネットワーク名SN−B、および/または一意のユーザデバイス識別子(UID)に基づいて鍵識別子KeyIDを生成する235ために鍵導出関数(KDF)を使用し得る。このように、第1の鍵K1は、少なくとも2つの異なるサービングネットワークと複数のセキュリティコンテキスト(例えば、第1のセキュリティコンテキスト212および第2のセキュリティコンテキスト272)を確立するための基礎(basis)として利用され得る。
[0037] ユーザデバイス210は、鍵識別子KeyIDを、登録要求240の一部として、第2のネットワーク220に転送し得る。次いで、第2のネットワーク220は、第2のネットワーク識別子/名SN−Bと一意のユーザデバイス識別子UIDとを含む認証要求245をホームネットワーク230に送り得る。次いで、ホームネットワーク230は、第1の鍵K1に基づいてユーザデバイス210を識別し得る。すなわち、一意のユーザデバイス識別子UID、ホームネットワーク230は、第1の鍵K1を確かめることができる。ゆえに、ホームネットワーク230は、AKAプロトコルを再度実行することなく、ユーザデバイス210を認証できる。
[0038] ホームネットワーク230は、第1の鍵K1および鍵カウントCOUNTの関数として第2の鍵K2を生成し得る255。次いで、ホームネットワーク230は、(例えば、一意のユーザデバイス識別子UIDおよび鍵カウントCOUNTも含む認証応答の一部として)第2の鍵K2を第2のネットワーク220に転送し得る260。次に、第2のネットワーク220は、(例えば、セキュリティモードコマンドの一部として)鍵カウントCOUNTをユーザデバイス210に送り得る265。第2の鍵K2を受信すると、次いで、第2のネットワーク220は、第2の鍵K2に基づいて、ユーザデバイス210と、第2のセキュリティコンテキストを生成/確立することができる272b。同様に、ユーザデバイス210はまた、第1の鍵K1および受信された鍵カウントCOUNTに基づいて、第2の鍵K2のローカルインスタンスを生成し得る270。次いで、ユーザデバイス210は、第2のネットワーク220と第2のセキュリティコンテキストを確立する272aために、第2の鍵K2のそのローカルインスタンスを使用し得る。
[0039] 図3は、5G通信システムの例示的な鍵階層構造を例示する図である。この例示的な鍵階層構造300は、ユーザデバイス(UE)302とネットワーク304との間に通信を確立してセキュアにするための様々な鍵を生成する役割を果たし得る。長期秘密鍵(K)306は、ユーザデバイス302に対してユニバーサル加入者識別モジュール(USIM)でプロビジョニングされ得る。ユーザデバイス302およびネットワーク304は、秘密鍵K306の関数として暗号化鍵(CK)および完全性鍵(IK)308を生成し得る。
[0040] 第1の認証鍵KAUSF310は、認証および鍵合意(AKA)プロセス中に、暗号化鍵CKおよび完全性鍵IK308からユーザデバイスおよびネットワーク(例えば、認証証明リポジトリおよび処理機能すなわちARPF)によって導出される。3GPP秘密鍵Kが、拡張認証プロトコルEAPをサポートする無線アクセス技術上での認証に使用される場合、第1の認証鍵KAUSF310’は、EAP AKA’規格に従って導出される。
[0041] ユーザデバイス302とネットワーク304との間の一次認証の成功後、サービングネットワーク固有アンカ鍵(KSEAF)312が第1の認証鍵KAUSF310から導出され得る。
[0042] アンカ鍵KSEAF312から、NASシグナリング、および、制御プレーン(CP)、すなわち無線リソース制御(RRC)メッセージ、と、ユーザプレーン(UP)とからなるアクセス層(AS)のための秘密性および完全性保護鍵が導出される。例えば、アンカ鍵KSEAF312は、セキュリティアンカ機能(SEAF)およびユーザデバイスによってアクセスおよびモビリティ鍵KAMF314を導出するために使用され得る。アクセスおよびモビリティ機能(AMF)は、非アクセス層(NAS)シグナリング保護のために、アクセスおよびモビリティ鍵KAMFから秘密完全性鍵KNASint316および秘密暗号鍵KNASenc318を生成し得る。セキュリティコンテキストは、秘密完全性鍵KNASint316および秘密暗号鍵KNASenc318を含み得る。
[0043] ユーザデバイス312およびAMFはまた、アクセスおよびモビリティ鍵KAMF314からノード鍵KgNB320を生成し得る。ASのための完全性および秘密性鍵、すなわち、UP(KUPintおよびKUPenc)およびRRC(KRRCintおよびKRRCenc)は、ノード鍵KgNBから導出され得る。ハンドオーバ中に転送機密性を提供するために、中間鍵NHも導出され得る。
[0044] 再び図2を参照すると、第1の鍵K1は、図3の鍵階層300における第1の認証鍵KAUSF310または310’と同等であり得る。次いで、第1のアンカ鍵K1SEAFが、第1の鍵K1から生成され得る。例えば、図2を参照すると、(例えば、ユーザデバイス210およびホームネットワーク230のAUSFにおいて)第1の鍵K1を確立した204aおよび204b後、第1のアンカ鍵K1SEAFが、ユーザデバイス210および(ホームネットワーク230の)AUSFにおいて第1の鍵K1(例えば、図3の第1の認証鍵KAUSF310または310’)の関数として生成され得る。次いで、ホームネットワーク230のAUSFが、第1のアンカ鍵K1SEAFを第3のネットワーク215に送り得る。
[0045] その後、第2の登録がユーザデバイス210によって第2のネットワークに対して行われる場合/とき、別の一次認証を行う(これは時間消費する)のではなく、第1の鍵K1(例えば、認証鍵KAUSF310または310’)を使用して、ユーザデバイスを認証するためおよび第2のアンカ鍵K2SEAFを生成し得る。ゆえに、他のサービングネットワークへのユーザデバイスの後続の登録は、一次認証を回避するためおよび追加のアンカ鍵を生成するために、第1の鍵K1(例えば、認証鍵KAUSF310または310’)を利用し得る。例えば、図2を参照すると、第1の鍵K1を使用してユーザデバイスを識別した250後、第2の鍵K2(例えば、第2のアンカ鍵K2SEAF)が、ホームネットワーク230のAUSFによって生成される255)。次いで、この第2の鍵K2(例えば、第2のアンカ鍵K2SEAF)は、ホームネットワーク230のAUSFによって第2のネットワーク220に送られる260。追加的に、鍵カウントCOUNTを受信265した後、ユーザデバイス210はまた、第2の鍵K2のローカルバージョンを生成する270。次いで、ユーザデバイス210と第2のネットワーク220の両方が、第2の鍵K2(例えば、第2のアンカ鍵K2SEAF)に基づいて第2のセキュリティコンテキストを確立し得る272aおよび272b。
[0046] 図4は、複数の登録を行い、複数のセキュリティコンテキストを確立するように構成された例示的なユーザデバイスのブロック図である。ユーザデバイス400は、記憶デバイス/媒体420(例えば、メモリおよび/またはディスクドライブ)、ディスプレイ430、入力デバイス440(例えば、キーパッド、マイクロフォン、等)、および/または1つまたは複数のワイヤレスアンテナ450に結合された通信インターフェース/回路445に結合された処理回路410を備え得る。
[0047] 典型的なデバイス登録では、ユーザデバイスは、あるタイプのアクセス(例えば、3GPP)上で第1のサービングネットワークに登録され得、別のタイプのアクセス(例えば、非3GPP)上で第2のサービングネットワークに登録され得る。そのようなケースでは、ユーザデバイスは、2つの異なる(5G)セキュリティコンテキストを、サービングネットワークごとに1つずつ(すなわち、1つのPLMNネットワークごとに1つずつ)、独立して維持および使用し得る。
[0048] ユーザデバイスが第1のサービングネットワークを介して既に登録されているとき、第2のサービングネットワークと別個の一次認証(例えば、5G AKAまたはEAP−AKA’)を行う代わりに、ユーザデバイス400は、第2のサービングネットワークに対して一次認証を再度行うのをバイパス/回避するために、第1のサービングネットワークと以前に確立された第1の鍵を再使用するように構成され得る。第1のサービングネットワークに対する一次認証中、第1の鍵K1が生成され、ユーザデバイス400のためのホームネットワークの認証サーバ機能(AUSF)に記憶されている。例えば、この第1の鍵K1は、第1の認証鍵KAUSF(図3の310または310’)として知られているであろう。第1の鍵K1は、第2のサービングネットワークを介してさらに別の一次認証を行う必要なしに、第2のサービングネットワークにおいてセキュリティコンテキストを作成するために使用され得る。
[0049] 鍵識別子KeyIDは、第2のサービングネットワークのサービングネットワーク識別子/名SN−Bを組み込むことと、それを(a)ユーザデバイス400とホームネットワークとの間でのオプション機能の使用(すなわち、別個の一次認証実行を回避するための第1の鍵K1の再使用)をネゴシエートするためにおよび(b)セキュリティコンテキストを確立するためホームネットワークのAUSFにおいてコンテキストを識別するために使用することとによって、第1の認証鍵KAUSFから導出され得る。より詳細には、ユーザデバイス400が、第1のサービングネットワークに以前に登録しており、異なる第2のサービングネットワークに登録したいと望み、かつ、記憶された第1の認証鍵KAUSFが利用可能である場合、それは、第1の認証鍵KAUSFから鍵識別子KeyID_AUSFを導出し得、それを登録要求(図2の240)に含め得る。ユーザデバイス400は、サービングネットワーク(PLMN)のサービングネットワーク識別子/名を鍵識別子KeyID_AUSF導出に含め得る。
[0050] 一例では、KeyID(または、KeyID_AUSF)は、以下のように導出され得る:
KeyID_AUSF=KDF(KeyID導出のためのK_AUSF、SN−ID、FC値)、
ここで、KeyID_AUSFは、SHA−256(これは256ビットの出力を有し得る)のような鍵導出関数(KDF)の出力の固定(例えば、32)最下位ビットを用いて識別され得る。K_AUSFは、256ビット長であり得る。サービングネットワーク識別子/名SN−IDは、サービングネットワーク識別子/名(例えば、第2のネットワーク識別子SN−B)であり得、サービングネットワーク識別子/名の構築に関する規格に従って、「5G」に設定されたサービスコードおよび訪問PLMN(VPLMN ID)の連結に等しいであろう。
KeyID_AUSF=KDF(KeyID導出のためのK_AUSF、SN−ID、FC値)、
ここで、KeyID_AUSFは、SHA−256(これは256ビットの出力を有し得る)のような鍵導出関数(KDF)の出力の固定(例えば、32)最下位ビットを用いて識別され得る。K_AUSFは、256ビット長であり得る。サービングネットワーク識別子/名SN−IDは、サービングネットワーク識別子/名(例えば、第2のネットワーク識別子SN−B)であり得、サービングネットワーク識別子/名の構築に関する規格に従って、「5G」に設定されたサービスコードおよび訪問PLMN(VPLMN ID)の連結に等しいであろう。
[0051] ユーザデバイス400は、登録要求(図2の240)において、KeyID_AUSFおよびユーザデバイス識別子(UID)をアクセスおよびモビリティ管理機能(AMF)に転送し得る。様々な例では、UIDは、サブスクリプション隠蔽識別子(SUCI:)またはサブスクリプション永続識別子(SUPI)であり得る。KeyID_AUSFを伴う登録要求を受信すると、AMF内にあり得るセキュリティアンカ機能(SEAF)は、AUSFへの認証開始要求(5G−AIR)メッセージ(図2の245)中にKeyID_AUSFを含め得る。
[0052] 代替の実施形態では、KeyIDを導出するために、ネットワーク識別子/名SN−IDの代わりにユーザデバイス識別子(UID)またはUIDの一部分(例えば、UIDの32最下位ビット)がKDFへの入力として含まれ得る。例えば、KeyIDは、KeyID_AUSF=KDF(KeyID導出のためのK_AUSF、UID、FC値)として導出され得、ここで、UIDは、その全体または任意の一部分(例えば、UIDの32最下位ビット)に含まれる。UIDが、SUCIのようなプライバシ保護サブスクリプション識別子であるとき、UIDの少なくとも一部分を含めることは、生成された鍵識別子が加入者識別子のプライバシを保護することを確実にする。さらに別の実施形態では、UIDまたはUIDの一部が、SN−IDに加えて、KDFへの入力として含められ得る。
[0053] 認証開始要求メッセージ(図2の245)を受信すると、(ホームネットワークの)AUSFがK_AUSF(すなわち、第1の認証鍵KAUSF)を記憶している場合、それを再使用することを決定し得る。それを再使用することを決定すると、AUSFは、ユーザデバイス400と同じ方法でKeyID_AUSFを導出し得、AUSFによって導出されたKeyID_AUSFが受信された値と一致するかどうかを検証する。それらが一致すると、AUSFは、認証をスキップし得、K_AUSF(例えば、図2の第1の鍵K1)およびカウンタAUSF_KDF_COUNTからK_SEAF(すなわち、図2の第2の鍵K2)を導出し得る。SHA−256のような鍵導出関数KDFは、K_SEAF(例えば、図2の第2の鍵K2)を導出するために使用され得る。AUSF_KDF_COUNT(例えば、図2のCOUNT)は、初期値ゼロの単調増加32ビットカウンタであり得る。K_AUSFからの各鍵導出の後、AUSFは、AUSF_KDF_COUNTを1だけ増分する。AUSF_KDF_COUNTは、K_AUSFとともにAUSFによって記憶され得る。AUSF_KDF_COUNTの使用は、K_AUSFから導出された鍵が常に新鮮であることを確実にする。
[0054] (ホームネットワークの)AUSFは、導出されたK_SEAF(例えば、図2の第2の鍵K2)を、AUSF_KDF_COUNTとともに、認証開始応答(5G−AIA)においてSEAFに送り得る(図2の260)。AMFは、ネットワークアクセス層(NAS)セキュリティモードコマンド(SMC)をユーザデバイス400に送ることでユーザデバイス400と別個の5Gセキュリティコンテキストを確立するために、K_SEAFを使用し得る。NAS SMCは、AUSF_KDF_INPUTを含み得る。NAS SMC中のAUSF_KDF_INPUTは、完全性保護されているが、暗号化はされていない可能性がある。ユーザデバイス400は、K_SEAF(図2の第2の鍵K2)を導出するためおよび第2のサービングネットワークにおけるAMFと別個の5Gセキュリティコンテキストを確立するために、NAS SMCにおいて受信されたAUSF_KDF_COUNTを使用するであろう。
[0055] ユーザデバイス400は、NASセキュリティモード完了コマンドをAMFに送り得る(図2の275)。AMF(第2のサービングネットワーク)は、受諾メッセージで応答し得る(図2の280)。
[0056] そうではなく、ホームネットワークのAUSFがK_AUSFの記憶をサポートしない場合またはAUSFがユーザデバイス400の一次認証を行うことを望む場合、AUSFは、Auth−Info−ReqメッセージをUDM/ARPFに送ることで一次認証を開始し得る。UEの認証の成功は、AMFとの別個の5Gセキュリティコンテキストの確立に帰着する。
[0057] ユーザデバイス400の様々な例には、ハンドヘルド電話、加入者デバイス、ユーザ機器(UE)、ウェアラブルコンピューティングデバイス、車両に組み込まれた通信デバイス、および/またはラップトップコンピュータが含まれ得る。ユーザデバイス400のための通信インターフェース/回路445は、符号分割多元接続(CDMA)、時分割多元接続(TDMA)、周波数分割多元接続(FDMA)、空間分割多元接続(SDMA)、偏波分割多元接続(PDMA)、または当技術分野で知られている他の変調技法のような、いくつかの多元接続技法のうちの任意の1つをサポートし得る。
[0058] 図5は、1つの例示的な特徴に係る、ユーザデバイスと第2のネットワークとの間にセキュリティコンテキストを確立するための、ユーザデバイスにおいて動作可能な方法のフロー図である。一例では、この方法は、図4のユーザデバイス400によって実施され得る。鍵識別子KeyIDは、(第1のネットワークのために以前に確立された)第1の鍵K1と、第2のネットワークのネットワーク識別子/名とに基づいて生成され得510(図2の235)、ここにおいて、第1のネットワークとユーザデバイス400との間のセキュリティコンテキストは、第1の鍵K1に基づく。鍵識別子KeyIDは、ホームネットワークが第1の鍵K1を識別することを可能にするために、ホームネットワークに転送するために第2のネットワークに転送され得る/送られ得る520(図2の250)。鍵カウントCOUNTは、第2のネットワークから受信され得530(図2の265)、ここにおいて、鍵カウントは、ホームネットワークから第2のネットワークに転送される第2の鍵K2に関連付けられている。ユーザデバイスにおいて、第2の鍵K2は、第1の鍵K1および受信された鍵カウントに基づいて生成され得540、それによって、第2のネットワークとユーザデバイス400との間にセキュリティコンテキストを確立する(図2の270および272)。
[0059] 再び図4を参照すると、一態様によると、ユーザデバイス400は、第2のネットワーク220(図2)とセキュリティコンテキストを確立するように構成され得、それは、第1の鍵K1(例えば、第1の認証鍵KAUSF)および第2のネットワーク識別子/名SN−Bに基づいて鍵識別子KeyIDを生成するための手段(例えば、処理回路410および/または通信インターフェース/回路445)と、ここにおいて、第3のネットワーク215とユーザデバイス400との間の第1のセキュリティコンテキストは、第1の鍵に基づいて以前に確立されている、ホームネットワークが第1の鍵K1を識別することを可能にするために(すなわち、第1の鍵K1がユーザデバイスによって以前に使用されたかどうかを確かめるために)ホームネットワークに転送するための鍵識別子KeyIDを第2のネットワークに転送する(図2の240)ための手段(例えば、処理回路410および/または通信インターフェース/回路445)と、第2のネットワークから鍵カウントCOUNTを受信する(図2の265)ための手段(例えば、処理回路410および/または通信インターフェース/回路445)と、ここにおいて、鍵カウントは、ホームネットワークから第2のネットワークに転送される第2の鍵K2に関連付けられている、第1の鍵K1および受信された鍵カウントCOUNTに基づいて第2の鍵K2を生成し、それによって、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立する(図2の272)ための手段(例えば、処理回路410)とを備える。
[0060] 別の態様は、コンピュータ読取可能な媒体または記憶デバイス420を提供し得、それは、処理回路410に、(第1のサービングネットワークを通して以前に確立された)第1の鍵K1および第2のサービングネットワークのネットワーク識別子/名に基づいて鍵識別子KeyIDを生成させる(図2の235または図5の510)ためのコードと、ここにおいて、第1のサービングネットワークとユーザデバイス400との間の第1のセキュリティコンテキストは、第1の鍵K1に基づく、処理回路410に、ホームネットワークがホームネットワークにおいて第1の鍵K1を識別することを可能にするためにホームネットワークに転送するための鍵識別子KeyIDを第2のサービングネットワークに転送させる(図2の240または図5の520)ためのコードと、処理回路410に、第2のネットワークから鍵カウントCOUNTを受信させる(図2の265または図5の530)ためのコードと、ここにおいて、鍵カウントは、ホームネットワークから第2のネットワークに転送される第2の鍵K2に関連付けられている、処理回路410に、第1の鍵K1および受信された鍵カウントに基づいて第2の鍵K2を生成させ、それによって、第2のネットワークとユーザデバイス400との間にセキュリティコンテキスト(すなわち、第2のセキュリティコンテキスト)を確立させる(図2の272または図5の540)ためのコードを備える。
[0061] 図6は、一態様に係る、別のセキュリティコンテキストを確立するために鍵カウントを提供することおよび第1の鍵を識別することで効率的なセキュリティコンテキスト生成を容易にするための、ユーザデバイス上で動作可能な別の例示的な方法800のフロー図である。この方法600は、例えば、ユーザデバイス400によって行われ得る。第1の鍵K1は、ユーザデバイスと第1の(ホーム)ネットワークとの間で(例えば、AKAプロシージャの一部として)以前に確立されているであろう。その後、ユーザデバイスが異なる第2のサービングネットワーク上で通信を確立したいと望むとき、ユーザデバイスは、第1の鍵およびユーザデバイス識別子UIDの少なくとも一部分に基づいて鍵識別子KeyIDを生成し得る610(図2の235)。ユーザデバイスは、第1の(ホーム)ネットワークがホームネットワークにおいて第1の鍵を識別することを可能にするためにホームネットワークに転送するための鍵識別子を第2のネットワークに転送し得る620(ステップ240)。ユーザデバイスは、第2のネットワークから鍵カウントCOUNTを受信し得る630(図2の265)。鍵カウントは、第1の(ホーム)ネットワークから第2のネットワークに転送される第2の鍵K2に関連付けられているであろう。ユーザデバイスは、第1の鍵および受信された鍵カウントに基づいて第2の鍵を生成し、それによって、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立し得る640(図2の270)。
[0062] 図7は、1つまたは複数のユーザデバイスにサービスを提供するように構成された例示的なネットワークノード/デバイスのブロック図である。ネットワークノード/デバイス700は、記憶デバイス/媒体720(例えば、メモリおよび/またはディスクドライブ)、ディスプレイ730、入力デバイス740(例えば、キーパッド、マイクロフォン、等)、および/または1つまたは複数のワイヤレスアンテナ750および/またはネットワークに結合された通信インターフェース/回路745に結合された処理回路710を備え得る。様々な例では、ネットワークノード/デバイス700は、図2の第3のネットワーク215、第2のネットワーク220、および/または第1の/ホームネットワーク230であり得、並びに/あるいはこれらのネットワークによって行われる1つまたは複数の機能を行うように構成され得る。例えば、ネットワークノード/デバイス700は、複数の登録を行い、1つまたは複数のユーザデバイスのための複数のセキュリティコンテキストを確立するように構成され得る。
[0063] 図8は、一態様に係る、別のセキュリティコンテキストを確立するために鍵カウントを提供することおよび第1の鍵を識別することで効率的なセキュリティコンテキスト生成を容易にするための、第1の(ホーム)ネットワーク上で動作可能な例示的な方法800のフロー図である。この方法800は、例えば、ホームネットワークノード/デバイス(図2の230)によって行われ得る。鍵識別子KeyIDが受信され得810、ここにおいて、鍵識別子は、第1の鍵K1および第2のネットワークのネットワーク識別子/名SN−Bに基づく。第1の鍵は、鍵識別子および第2のネットワークのネットワーク識別子/名に基づいて識別され得る820。すなわち、ホームネットワークノード/デバイスは、第1の鍵が送信側ユーザデバイスによって以前に確立されているが、異なるサービングネットワークのためのものであることを確かめ得る。次いで、第1の鍵および鍵カウントCOUNTに基づいて、第2の鍵K2が生成される830。次いで、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するために、第2の鍵および鍵カウントが第2のネットワークに転送される840。
[0064] 再び図7を参照すると、別の態様は、ネットワークノード/デバイス700によって実施され得、それは、鍵識別子KeyIDを受信するための手段(例えば、処理回路710および/または通信インターフェース/回路745)と、ここにおいて、鍵識別子は、第1の鍵K1および第2のネットワークのネットワーク識別子/名SN−Bに基づく、鍵識別子および第2のネットワークのネットワーク識別子/名に基づいて第1の鍵を識別するための手段(例えば、処理回路710)と、第1の鍵および鍵カウントCOUNTに基づいて第2の鍵K2を生成するための手段(例えば、処理回路710)と、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するために第2の鍵および鍵カウントを第2のネットワークに転送するための手段(例えば、処理回路710および/または通信インターフェース/回路745)とを備える。
[0065] 別の態様は、コンピュータ読取可能な媒体または記憶デバイス620中にあり得、それは、処理回路710に、鍵識別子keyIDを受信させる(図2の245または図8の810)ためのコードと、ここにおいて、鍵識別子は、第1の鍵K1および第2のネットワークのネットワーク識別子/名SN−Bに基づく、処理回路710に、鍵識別子および第2のネットワークのネットワーク識別子/名に基づいて第1の鍵を識別させる(図2の250または図8の820)ためのコードと、処理回路710に、第1の鍵および鍵カウントCOUNTに基づいて第2の鍵K2を生成させる(図2の255または図8の830)ためのコードと、処理回路710に、第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するために第2の鍵および鍵カウントを第2のネットワークに転送させる(図2の260または図8の840)ためのコードとを備える。
[0066] 図9は、次世代ワイヤレスネットワークインフラストラクチャ(すなわち、5G)の例示的なネットワークアーキテクチャ900を例示する。ユーザ機器(UE)902、例えば、図2のユーザデバイス/局210は、アクセスネットワーク(AN)または無線AN((R)AN)904のいずれか並びにアクセスおよびモビリティ機能(AMF)906に接続され得る。RAN904は、例えば、発展型LTEを使用する基地局またはアクセスノードを表し得、ANは、非3GPPアクセス、例えば、WiーFiを含む一般的な基地局であり得る。コアネットワークは、一般に、AMF906、セッション管理機能(SMF)908、ポリシー制御機能(PCF)910、アプリケーション機能(AF)912、認証サーバ機能(AUSF)914、ユーザプレーン機能(UPF)916、ユーザデータ管理(UDM)918、およびデータネットワーク接続(DN)920を含み得る。これに関する詳細は、3GPP TS23.501の「System Architecture for the 5G System」に記載されているであろう。コアネットワークコンポーネントおよび/または機能のうちの1つまたは複数は、例えば、サービングネットワーク215および/または220並びに/あるいはホームネットワーク230において実施され得る。
[0067] 当業者であれば、情報および信号が多種多様な技術および技法のうちの任意のものを使用して表され得ることを理解するであろう。例えば、上の説明全体にわたって参照され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁場または磁性粒子、光場または光粒子、またはこれらの任意の組合せによって表され得る。
[0068] 当業者であれば、本明細書で開示された実施形態に関連して説明された実例となる様々な論理ブロック、モジュール、回路、およびアルゴリズムステップが、電子ハードウェア、コンピュータソフトウェア、または両方の組合せとして実施され得ることをさらに認識するであろう。このハードウェアとソフトウェアとの互換性を明確に例示するために、実例となる様々なコンポーネント、ブロック、モジュール、回路、およびステップが、概してそれらの機能性の観点から上で説明されている。このような機能性がハードウェアとして実施されるかソフトウェアとして実施されるかは、特定の用途とシステム全体に課せられる設計制約とに依存する。当業者は、説明した機能性を特定の用途ごとに様々な方法で実施し得るが、このような実現形態の決定は、本明細書の説明の範囲からの逸脱をさせるものとして解釈されるべきでない。
[0069] 本明細書に開示された実施形態に関連して説明された実例となる様々な論理ブロック、モジュール、回路は、汎用プロセッサ、デジタルシグナルプロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)または他のプログラマブル論理デバイス、ディスクリートゲートまたはトランジスタ論理、ディスクリートハードウェアコンポーネントまたは本明細書で説明された機能を行うよう設計されたそれらの任意の組合せで実施または行われ得る。汎用プロセッサは、マイクロプロセッサであり得るが、代替的に、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであり得る。プロセッサはまた、コンピューティングデバイスの組合せ、例えば、DSPと、1つのマイクロプロセッサ、複数のマイクロプロセッサ、DSPコアに連結した1つまたは複数のマイクロプロセッサ、または任意の他のそのような構成との組合せとして実施され得る。
[0070] 本明細書で開示された実施形態に関連して説明されたアルゴリズムまたは方法のステップは、直接ハードウェアで、プロセッサによって実行されるソフトウェアモジュールで、または両者の組合せで具現化され得る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROM(登録商標)メモリ、レジスタ、ハードディスク、リムーバブルディスク、CD−ROM、または当技術分野で知られている任意の他の形式の記憶媒体にあり得る。例示的な記憶媒体は、プロセッサが記憶媒体から情報を読み取り、記憶媒体に情報を書き込むことができるように、プロセッサに結合される。代替的に、記憶媒体は、プロセッサに一体化され得る。プロセッサおよび記憶媒体はASIC内にあり得る。ASICはユーザ端末内にあり得る。代替的に、プロセッサおよび記憶媒体は、ユーザ端末においてディスクリートコンポーネントとして存在し得る。
[0071] 1つまたは複数の例示的な実施形態では、説明された機能は、ハードウェア、ソフトウェア、ファームウェアまたはそれらの任意の組合せで実施され得る。コンピュータプログラム製品としてソフトウェアにおいて実施される場合、これら機能は、1つまたは複数の命令またはコードとして、コンピュータ読取可能な媒体上に記憶されるかまたはコンピュータ読取可能な媒体を通して送信され得る。コンピュータ読取可能な媒体は、ある場所から別の場所へのコンピュータプログラムの転送を容易にする任意の媒体を含む通信媒体および非一時的なコンピュータ読取可能な記憶媒体の両方を含む。記憶媒体は、コンピュータによってアクセスされることができる任意の利用可能な媒体であり得る。限定ではなく例として、このようなコンピュータ読取可能な媒体は、RAM、ROM、EEPROM、CD−ROMまたは他の光ディスク記憶装置、磁気ディスク記憶装置または他の磁気記憶デバイス、あるいはデータ構造または命令の形式で所望のプログラムコードを記憶または搬送するために使用されることができかつコンピュータによってアクセスされることができる任意の他の媒体を備えることができる。また、いずれの接続も、厳密にはコンピュータ読取可能な媒体と称される。例えば、ソフトウェアが、ウェブサイト、サーバ、または他のリモートソースから、同軸ケーブル、光ファイバーケーブル、ツイストペア、デジタル加入者回線(DSL)、または赤外線、電波、およびマイクロ波のようなワイヤレス技術を使用して送信される場合、同軸ケーブル、光ファイバーケーブル、ツイストペア、DSL、または赤外線、電波、およびマイクロ波のようなワイヤレス技術は、媒体の定義に含まれる。本明細書で使用される場合、ディスク(disk)およびディスク(disc)は、コンパクトディスク(CD)、レーザーディスク(登録商標)、光ディスク、デジタル多用途ディスク(DVD)、フロッピー(登録商標)ディスク、およびブルーレイディスクを含み、ここで、ディスク(disk)は、通常磁気的にデータを再生し、ディスク(disc)は、レーザーを用いて光学的にデータを再生する。上記の組合せもまた、コンピュータ読取可能な媒体の範囲内に含まれるべきである。
[0072] 開示された実施形態の先の説明は、当業者による本開示の製造または使用を可能にするために提供される。これらの実施形態に対する様々な修正は、当業者には容易に明らかであり、本明細書で定義された包括的な原理は、本開示の精神または範囲から逸脱することなく他の実施形態に適用され得る。ゆえに、本開示は、本明細書に示された実施形態に制限されるよう意図されるのではなく、本明細書で開示された原理および新規な特徴に合致する最も広い範囲が与えられるべきである。
Claims (30)
- 第1のネットワークと以前に確立された第1の鍵を有するユーザデバイスによって第2のネットワークとセキュリティコンテキストを確立するための方法であって、
前記ユーザデバイスによって、前記第1の鍵に基づいて鍵識別子を生成することと、
前記ユーザデバイスによって、前記第1のネットワークが前記第1の鍵を識別することを可能にするために前記第1のネットワークに転送するための前記鍵識別子を前記第2のネットワークに転送することと、
前記ユーザデバイスによって、前記第2のネットワークから鍵カウントを受信することと、ここにおいて、前記鍵カウントは、前記第1のネットワークから前記第2のネットワークに転送される第2の鍵に関連付けられている、
前記ユーザデバイスによって、前記第1の鍵および前記受信された鍵カウントに基づいて前記第2の鍵を生成し、それによって、前記第2のネットワークと前記ユーザデバイスとの間にセキュリティコンテキストを確立することと
を備える方法。 - 前記鍵識別子は、前記第2のネットワークのためのネットワーク識別子にさらに基づく、請求項1に記載の方法。
- 前記ネットワーク識別子が、前記第2のネットワークのネットワーク名の少なくとも一部分にさらに基づく、請求項2に記載の方法。
- 前記ユーザデバイスは、前記ユーザデバイスが第3のネットワークを通して登録するとき、前記第1のネットワークと前記第1の鍵を確立する、請求項1に記載の方法。
- 前記第1の鍵は、前記第1のネットワークとの認証および鍵合意プロトコルの前記実行の一部として、前記ユーザデバイスと前記第1のネットワークとの間で確立される、請求項1に記載の方法。
- 前記ユーザデバイスと前記第2のネットワークとの間の通信を保護するための暗号鍵または完全性鍵のうちの少なくとも1つを生成するために、前記ユーザデバイスによって、前記第2の鍵を使用することと、
をさらに備える、請求項1に記載の方法。 - 前記ユーザデバイスがモバイルデバイスであり、前記第1のネットワークが第1のパブリックランドモバイルネットワークであり、前記第2のネットワークが第2のパブリックランドモバイルネットワークである、請求項1に記載の方法。
- 前記第2のネットワークは、ワイヤレスローカルエリアネットワーク(WLAN)アクセスネットワークを含む、請求項1に記載の方法。
- 前記第2のネットワークは、固定ブロードバンドアクセスネットワークを含む、請求項1に記載の方法。
- 前記鍵識別子を生成することは、ユーザデバイス識別子の少なくとも一部分にさらに基づく、請求項1に記載の方法。
- 前記鍵識別子を生成することは、関数呼出し値にさらに基づく、請求項1に記載の方法。
- 前記第1の鍵は、前記第2のネットワークに知られていない、請求項1に記載の方法。
- 前記第1の鍵は、少なくとも2つの異なるサービングネットワークと複数のセキュリティコンテキストを確立するための基礎として利用される、請求項1に記載の方法。
- 前記ユーザデバイスは、前記第2のネットワークを通して登録するとき、前記第1のネットワークとの認証および鍵合意プロトコルの実行をバイパスする、請求項1に記載の方法。
- 第2のネットワークとセキュリティコンテキストを確立するためのユーザデバイスであって、
1つまたは複数のネットワークと通信するための通信インターフェースと、
前記通信インターフェースに結合された処理回路と
を備え、前記処理回路は、
前記ユーザデバイスと第1のネットワークとの間で以前に確立された第1の鍵に基づいて鍵識別子を生成することと、
前記第1のネットワークが前記第1の鍵を識別することを可能にするために前記第1のネットワークに転送するための前記鍵識別子を前記第2のネットワークに転送することと、
前記第2のネットワークから鍵カウントを受信することと、ここにおいて、前記鍵カウントは、前記第1のネットワークから前記第2のネットワークに転送される第2の鍵に関連付けられている、
前記第1の鍵および前記受信された鍵カウントに基づいて前記第2の鍵を生成し、それによって、前記第2のネットワークと前記ユーザデバイスとの間にセキュリティコンテキストを確立することと
を行うように構成される、ユーザデバイス。 - 前記鍵識別子は、前記第2のネットワークのためのネットワーク識別子にさらに基づく、請求項15に記載のユーザデバイス。
- 前記ユーザデバイスは、前記ユーザデバイスが第3のネットワークを通して登録するとき、前記第1のネットワークと前記第1の鍵を確立する、請求項15に記載のユーザデバイス。
- 前記第1の鍵は、前記第1のネットワークとの認証および鍵合意プロトコルの前記実行の一部として、前記ユーザデバイスと前記第1のネットワークとの間で確立される、請求項15に記載のユーザデバイス。
- 前記ユーザデバイスは、前記第2のネットワークを通して登録するとき、前記第1のネットワークとの認証および鍵合意プロトコルの実行をバイパスする、請求項17に記載のユーザデバイス。
- 前記第1の鍵は、少なくとも2つの異なるサービングネットワークと複数のセキュリティコンテキストを確立するための基礎として利用される、請求項15に記載のユーザデバイス。
- 第1のネットワークによって、鍵識別子を受信することと、ここにおいて、前記鍵識別子は、第1の鍵および第2のネットワークのネットワーク識別子に基づく、
前記第1のネットワークによって、前記鍵識別子および前記第2のネットワークの前記ネットワーク識別子に基づいて前記第1の鍵を識別することと、
前記第1のネットワークによって、前記第1の鍵および鍵カウントに基づいて第2の鍵を生成することと、
前記第1のネットワークによって、前記第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するために前記第2の鍵および前記鍵カウントを前記第2のネットワークに転送することと
を備える方法。 - 前記第1の鍵は、前記第1のネットワークとの認証および鍵合意プロトコルの前記実行の一部として、前記ユーザデバイスと前記第1のネットワークとの間で確立される、請求項21に記載の方法。
- 前記ユーザデバイスが前記第2のネットワークを通して登録するとき、前記第1のネットワークとの別の認証および鍵合意プロトコルの実行がバイパスされる、請求項22に記載のユーザデバイス。
- 前記第1の鍵は、前記ユーザデバイスが第3のネットワークを通して登録したときに前記ユーザデバイスによって事前に確立されている、請求項21に記載の方法。
- 前記第1の鍵は、前記第2のネットワークに知られていない、請求項21に記載の方法。
- 前記第1の鍵は、少なくとも2つの異なるサービングネットワークと複数のセキュリティコンテキストを確立するための基礎として利用される、請求項21に記載の方法。
- 他のネットワークと通信するための通信インターフェースと、
前記通信インターフェースに結合された処理回路と
を備え、前記処理回路は、
鍵識別子を受信することと、ここにおいて、前記鍵識別子は、第1の鍵および第2のネットワークのネットワーク識別子に基づく、
前記鍵識別子および前記第2のネットワークの前記ネットワーク識別子に基づいて前記第1の鍵を識別することと、
前記第1の鍵および鍵カウントに基づいて第2の鍵を生成することと、
前記第2のネットワークとユーザデバイスとの間にセキュリティコンテキストを確立するために前記第2の鍵および前記鍵カウントを前記第2のネットワークに転送することと
を行うように構成される、
第1のネットワークデバイス。 - 前記第1の鍵は、前記第1のネットワークとの認証および鍵合意プロトコルの前記実行の一部として、前記ユーザデバイスと前記第1のネットワークとの間で確立され、前記ユーザデバイスが前記第2のネットワークを通して登録するとき、前記第1のネットワークとの別の認証および鍵合意プロトコルの実行がバイパスされる、請求項27に記載の第1のネットワークデバイス。
- 前記第1の鍵は、前記第2のネットワークに知られていない、請求項27に記載の第1のネットワークデバイス。
- 前記第1の鍵は、少なくとも2つの異なるサービングネットワークと複数のセキュリティコンテキストを確立するための基礎として利用される、請求項27に記載の第1のネットワークデバイス。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862617271P | 2018-01-12 | 2018-01-12 | |
US16/246,349 US11553381B2 (en) | 2018-01-12 | 2019-01-11 | Method and apparatus for multiple registrations |
US16/246,349 | 2019-01-11 | ||
PCT/US2019/013392 WO2019140337A1 (en) | 2018-01-12 | 2019-01-12 | Method and apparatus for multiple registrations |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021524167A true JP2021524167A (ja) | 2021-09-09 |
Family
ID=67219894
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020538542A Pending JP2021524167A (ja) | 2018-01-12 | 2019-01-12 | 複数の登録のための方法および装置 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2021524167A (ja) |
WO (1) | WO2019140337A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115104332A (zh) * | 2020-02-20 | 2022-09-23 | 联想(新加坡)私人有限公司 | 重新认证密钥生成 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101931951B (zh) * | 2009-06-26 | 2012-11-07 | 华为技术有限公司 | 密钥推演方法、设备及系统 |
WO2011137580A1 (en) * | 2010-05-04 | 2011-11-10 | Qualcomm Incorporated | Shared circuit switched security context |
EP3255914A4 (en) * | 2015-02-28 | 2018-02-14 | Huawei Technologies Co. Ltd. | Key generation method, device and system |
-
2019
- 2019-01-12 JP JP2020538542A patent/JP2021524167A/ja active Pending
- 2019-01-12 WO PCT/US2019/013392 patent/WO2019140337A1/en unknown
Also Published As
Publication number | Publication date |
---|---|
WO2019140337A1 (en) | 2019-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11553381B2 (en) | Method and apparatus for multiple registrations | |
US11856621B2 (en) | Station and method for receiving a frame comprising a configuration change counter corresponding to another access point | |
TWI388180B (zh) | 通信系統中之金鑰產生 | |
US10798082B2 (en) | Network authentication triggering method and related device | |
RU2665064C1 (ru) | Беспроводная связь, включающая в себя кадр обнаружения быстрого первоначального установления линии связи, fils, для сетевой сигнализации | |
JP2018532325A (ja) | ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム | |
WO2023280194A1 (zh) | 网络连接管理方法、装置、可读介质、程序产品及电子设备 | |
WO2013174267A1 (zh) | 无线局域网络的安全建立方法及系统、设备 | |
WO2022147803A1 (zh) | 安全通信方法及设备 | |
US20160134610A1 (en) | Privacy during re-authentication of a wireless station with an authentication server | |
WO2022068474A1 (zh) | ProSe通信组的通信方法、装置及存储介质 | |
US20240089728A1 (en) | Communication method and apparatus | |
JP2021524167A (ja) | 複数の登録のための方法および装置 | |
TW202306403A (zh) | 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品 | |
US20230231708A1 (en) | Method and apparatus for multiple registrations | |
US11546339B2 (en) | Authenticating client devices to an enterprise network |