JP2023515139A - セッション確立方法及び関連装置 - Google Patents
セッション確立方法及び関連装置 Download PDFInfo
- Publication number
- JP2023515139A JP2023515139A JP2022550863A JP2022550863A JP2023515139A JP 2023515139 A JP2023515139 A JP 2023515139A JP 2022550863 A JP2022550863 A JP 2022550863A JP 2022550863 A JP2022550863 A JP 2022550863A JP 2023515139 A JP2023515139 A JP 2023515139A
- Authority
- JP
- Japan
- Prior art keywords
- application
- certificate
- signing certificate
- network
- descriptor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 92
- 238000004891 communication Methods 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 29
- 238000011161 development Methods 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 19
- 238000013497 data interchange Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 238000009434 installation Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 230000001105 regulatory effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/48—Security arrangements using identity modules using secure binding, e.g. securely binding identity modules to devices, services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/79—Radio fingerprint
Abstract
本出願の実施形態において、セッション確立方法及び関連製品が提供され、当該方法は、ユーザ機器(UE)がネットワーク接続を実行する際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを取得することと、UEが第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたUEルート選択ポリシー(URSP)ルールにおけるアプリケーション記述子とを照合し、UEが第1のアプリケーションのセッションを確立することとを含む。本出願の実施形態に係る方法によって、ネットワークの信頼性を向上させることができる。【選択図】図2
Description
本出願は通信技術分野に関し、特に、セッション確立方法及び関連装置に関する。
従来の通信システムにおいて、アップリンクデータはセッション確立の方法で伝送される。第3世代パートナーシッププロジェクト(3rd generation partnership project、3GPP)プロトコルのユーザ機器ルート選択ポリシー(UE route selection policy、URSP)ルールにおいて、トラフィック記述子(Traffic descriptor)でアプリケーション記述子(application descriptor)が定義された。当該アプリケーション記述子は5Gコア(5G core、5GC)ネットワーク構成とのマッチングを実現することができるが、従来のアプリケーション記述子が改ざんされ又は偽造される可能性があるため、セッション確立に混乱をもたらし、ネットワークの信頼性に影響を与える結果になる。
本出願の実施形態において、セッション確立方法が開示されており、それによって、アプリケーション記述子への有効管理、及びセッション確立を実現し、ネットワークの信頼性を向上させることができる。
本出願の実施形態の第一態様において、セッション確立方法が開示されている。当該方法は、ユーザ機器(user equipment、UE)がネットワーク接続を実行する際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを取得することと、UEが第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたUEルート選択ポリシー(URSP)ルールにおけるアプリケーション記述子とを照合し、UEが第1のアプリケーションのセッションを確立することと、を含む。
本出願の実施形態の第二態様において、セッション通信方法が開示されている。当該方法は、ネットワーク装置がユーザ機器(UE)に、第1のアプリケーションに対応するアプリケーション記述子を含むURSPメッセージを送信するステップと、ネットワーク装置が、UEによって送信されたセッション要求を受信し、セッション要求に基づいて第1のアプリケーションのセッションを確立するステップと、を含む。
本出願の実施形態の第三態様において、端末が開示されている。当該端末はプロセッサ、メモリ、通信インターフェース及び1つ又は複数のプログラムを含む。上記1つ又は複数のプログラムは、上記メモリに記憶されており、上記プロセッサによって実行されるように構成されており、上記プログラムは、第一態様に記載の方法における操作又は第二態様に記載の方法における操作を実行するための命令を含む。
本出願の実施形態の第四態様において、コンピュータ可読記憶媒体が開示されている。当該コンピュータ可読記憶媒体は、電子データ交換のために用いられるコンピュータプログラムを記憶するように構成されている。コンピュータプログラムは、コンピュータが第一態様又は第二態様に記載の方法を実行することを、可能にする。
本出願の実施形態の第五態様において、コンピュータプログラム製品が開示されている。上記コンピュータプログラム製品は、コンピュータプログラムを記憶している非一時的なコンピュータ可読記憶媒体を含む。コンピュータプログラムは、コンピュータが本出願の実施形態の第一態様又は第二態様に記載の方法における操作の一部又は全部を実行することを、可能にするよう動作することができる。当該コンピュータプログラム製品は、ソフトウェアインストールパッケージであり得る。
本出願の実施形態を実施することによって、本出願に係る技術的解決策に基づいてセッションが確立される際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントが読み取られる。UEは第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合する。UEは第1のアプリケーションのセッションを確立する。アプリケーション記述子がオペレーターによって管理されるため、他のアプリケーション又はプログラムによるアプリケーション記述子への改ざんが回避され、アプリケーション記述子の安全性とネットワークの安定性が確保される。また、本出願の技術的解決策はハードウェアに依存しない。アプリケーション開発者はオペレーターに登録する。アプリケーションの署名証明書をアプリケーション記述子とするようオペレーターによって管理されたり規制されたりするため、オペレーターによるアプリケーションの権限管理が実現され、ユーザに差別化された付加価値サービス及び技術的なサポートが提供されることができる。端末システムの実現の複雑さが低いため、スマートデバイスの従来の証明書署名メカニズムが直接に利用されることができる。アプリケーションの配布段階及びインストール段階で、アプリケーション記述子が改ざん又は偽造されるリスクが排除される。アプリケーションはデータサービスを使用する前に、ネットワークにアクセスせず認証されたアプリケーション記述子を実現することができる。
本出願の実施形態の技術的解決策をより明確に説明するために、以下、実施形態の説明に必要な図面を簡単に紹介する。明らかに、説明される図面は本出願のいくつかの実施形態に過ぎず、当業者にとって、創造的な努力なしに、これらの図面によって他の図面を得ることができる。
図1は、本出願の実施形態に係る通信システムの構造を示す概略図である。
図2は、本出願の実施形態に係るセッション確立の送信方法である。
図3は、本出願の実施形態に係るセッション通信の送信方法である。
図4は、本出願の実施形態に係るセッション確立の送信方法である。
図5は、本出願の実施形態に係るユーザ機器の送信方法である。
図6は、本出願の実施形態に係るネットワーク装置の構造を示す概略図である。
図7は、本出願の実施形態に係るデバイスの構造を示す概略図である。
本出願の実施形態に使用される用語は、本出願の具体的な実施形態を説明するのみに用いられ、本出願を限定するものではない。本出願の明細書と請求項及び図面における「第一」「第二」「第三」「第四」などの用語は、特定のシーケンスの説明のためではなく、異なる対象を区別するために用いられる。また、「含む」、「有する」及び他のいかなるバリアントなどの用語は非排他的な含みをカバーすることを意図する。
以下、本出願の実施形態の図面を参照しながら、本出願の実施形態について説明する。
本出願では、用語「及び/又は」は単に関連対象の関連関係を説明するものであり、3種類の関係が存在することを示す。例えば、A及び/又はBの場合は、Aのみが存在すること、AとBが同時に存在すること、Bのみが存在することという3つの状況を示す。また、本明細書では、符号「/」は前後の関連対象が「又は」の関係にあることを示す。
本出願の実施形態に現れる「複数」は、2つ以上を意味する。本出願の実施形態における「第一」「第二」などの記述は本出願の実施形態を限定するものでもない。ただ例を挙げ、記述の対象を区別するために用いられ、順序の説明のためではなく、本出願の実施形態におけるデバイスの数への特別な限定でもない。本出願の実施形態に現れる「接続」は、デバイス間の通信を実現するための直接接続、間接接続など様々な接続様態を意味し、本出願の実施形態では、それについて限定されない。
図1を参照すると、図1は、本出願の実施形態に係る通信システムの構造を示す概略図である。当該通信システムは、基地局10及びユーザ機器(UE)20を含む。基地局とUEは無線通信を介して接続されている。当該無線通信は、ロングタームエボリューション(long term evolution、LTE)接続、ニューラジオ(new radio、NR)接続を含むが、これらに限定されない。当然ながら、実際の応用では、他の接続様態も可能であり、本出願の実施形態では、上記接続の具体的な様態が限定されない。上記基地局は、進化型ノードB(evolved Node B、eNodeB)であってもよく、NR基地局、又はアクセスポイント(access point、AP)であってもよい。
本出願の実施形態における端末は、各種類のUE、アクセス端末、ユーザユニット、ユーザステーション、モバイルステーション(mobile station、MS)、リモートステーション、リモート端末、モバイルデバイス、ユーザ端末、端末装置(terminal equipment)、無線通信デバイス、ユーザエージェント、又はユーザデバイスを指すことができる。端末装置は、セルラー電話、コードレス電話、セッション初期化プロトコル(session initiation protocol、SIP)電話、無線ローカルループ(wireless local loop、WLL)ステーション、パーソナルデジタルアシスタント(personal digital assistant、PDA)、無線通信機能を備えたハンドヘルドデバイス、コンピューティングデバイス、又はワイヤレスモデムに接続されている他の処理デバイス、車載デバイス、ウェアラブルデバイス、将来の5Gネットワークにおける端末装置又は将来の進化のパブリックランドモバイルネットワーク(public land mobile network、PLMN)における端末装置などであり得、本出願の実施形態では、それについて限定されない。
5GCネットワークは、ネットワークによって配られたUEルート選択ポリシー(URSP)ルールに基づいてアップリンク送信データのルートマッチング及び選択を行うよう端末に要求する。URSPルールに基づいて、確立されたプロトコルデータユニット(protocol data unit、PDU)セッションが多重化され、又は、新しいPDUセッションが確立されることができる。3GPPプロトコルのURSPルールにおいて、トラフィック記述子でアプリケーション記述子が定義される。端末はネットワークによって配られたURSPルールに基づいて、アプリケーション記述子を介して、アップリンクデータルートとマッチングする。URSPルールにおけるアプリケーション記述子は、異なるアプリケーションに対して、差別化されたサービス品質(Quality of Service、QoS)を提供するためにネットワークオペレーターによって使用されることができ、それによって、差別化されたトラフィック制御ポリシー又は有料サービスが生まれる。3GPPプロトコルにおいて、URSPルール及び選択可能なアプリケーション記述子が定義されており、アプリケーション記述子を如何に割り当て又は取得するかが具体的に規定されておらず、具体的に、オペレーターがアプリケーションの割り当てられたアプリケーション識別子(App Id)と5GCネットワーク構成とをマッチングする過程を如何に制御するか、端末がURSPルールを評価し及び選択する際にアプリケーションのApp Idを如何に取得するか、及びアプリケーションの配布段階、インストール段階、及び端末のオペレーティングシステムにおいて、アプリケーションのApp Idが改ざんされ又は偽造されることを如何に回避するかが規定されていない。
具体的に、3GPPのネットワーク接続において、異なる技術的なシナリオに基づいて異なるアプリケーションに対して異なるPDUセッションが確立される。異なるアプリケーションが異なるQoSを有する可能性がある。端末がURSPルールを評価し及び選択する際に取得したアプリケーションのアプリケーション記述子(例えば、App Id)に基づいて、PDUセッションが確立される。アプリケーションのプリケーション記述子が改ざんされ又は偽造されれば、セッション確立に混乱をもたらし、ネットワークの信頼性に影響を与える。
図2を参照すると、図2は、本出願の実施形態に係るセッション確立方法である。当該方法は、図1に示された通信システムにおいて実行され、以下のステップを含むが、これらに限定されない。
ステップS200:UEはネットワーク接続を実行する際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを取得する。
具体的に、1つの選択可能な方案において、上記セッションはPDUセッションである。
本出願に係るアプリケーション記述子は具体的に、3GPPプロトコルにおけるトラフィック記述子によって定義されたアプリケーション記述子であり得る。
具体的に、上記アプリケーション記述子は、オペレーティングシステム識別子(operating system identifier、OSId)及びオペレーティング・システム・アプリケーション識別子(operating system application identifier、OSAppId)を含む。1つの選択可能な方案において、上記OSAppIdは複数ある場合に、OSAppId(s)と表記されてもよい。
ステップS201:UEは、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合する。UEは第1のアプリケーションのセッションを確立する。
具体的に、1つの選択可能な方案において、UEはアプリケーション記述子1を、URSPルールにおけるアプリケーション記述子としてマッチングし、その後、UEルート選択PDUセッションを作成し、又は多重化する。
具体的に、ステップS200の前に、上記方法は、UEが、第1のアプリケーションの署名証明書を含む第1のアプリケーションを取得すること、をさらに含むことができる。
1つの選択可能な方案において、上記UEはローカルに第1のアプリケーションを取得することができる。例えば、UEは有線又は無線の手段で他のデバイス(パソコン、他のUEを含むが、これらに限定されない)から当該第1のアプリケーションを取得する。
もう1つの選択可能な方案において、上記UEはネットワークを介して第1のアプリケーションを取得することもできる。例えば、UEは、第1のアプリケーションを取得するための要求メッセージをネットワーク装置に送信し、ネットワーク装置によって返された第1のアプリケーションのインストールファイル又はインストールパッケージを受信する。
具体的に、上記方法は、UEがオペレーターサーバによって配られたUPSPルールにおけるアプリケーション記述子を受信することを、さらに含むことができる。
本出願の実施形態において、上記第1のアプリケーションの署名証明書のデジタルフィンガープリントは、一方向暗号化アルゴリズムによって暗号化された文字列である。上記一方向暗号化アルゴリズムは、ハッシュアルゴリズム、セキュアハッシュアルゴリズム1(secure hash algorithm、SHA-1)、又は、セキュアハッシュアルゴリズム256(SHA-256)を含むが、これらに限定されない。
具体的に、1つの選択可能な方案において、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子が一致する場合に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子がマッチングしたと確定し、
第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子が異なる場合に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子がマッチングしていないと確定する。
第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子が異なる場合に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子がマッチングしていないと確定する。
本出願に係る技術的解決策に基づいてセッションが確立される際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントが読み取られる。UEは第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合する。UEは第1のアプリケーションのセッションを確立する。アプリケーション記述子がオペレーターによって管理されるため、他のアプリケーション又はプログラムによるアプリケーション記述子への改ざんが回避され、アプリケーション記述子の安全性とネットワークの安定性が確保される。また、本出願の技術的解決策はハードウェアに依存しない。アプリケーション開発者はオペレーターに登録する。アプリケーションの署名証明書をアプリケーション記述子とするようオペレーターによって管理されたり規制されたりするため、オペレーターによるアプリケーションの権限管理が実現され、ユーザに差別化された付加価値サービス及び技術的なサポートが提供されることができる。端末システムの実現の複雑さが低いため、スマートデバイスの従来の証明書署名メカニズムが直接に利用されることができる。アプリケーションの配布段階及びインストール段階で、アプリケーション記述子が改ざん又は偽造されるリスクが排除される。アプリケーションはデータサービスを使用する前に、ネットワークにアクセスせず認証されたアプリケーション記述子を実現することができる。
図3を参照すると、図3は、本出願の実施形態に係るセッション通信方法である。当該方法は、図1に示されたネットワークシステムにおいて実現される。図1に言及されたUEは、アプリケーション開発者のUEであり得る。当該方法は、図3に示されたように、以下のステップを含む。
ステップS300:ネットワーク装置はUEに、第1のアプリケーションに対応するアプリケーション記述子を含むURSPメッセージを送信する。
ステップS301:ネットワーク装置は、UEによって送信されたセッション要求を受信し、セッション要求に基づいて第1のアプリケーションのセッションを確立する。
具体的に、1つの選択可能な方案において、ネットワーク装置は、アプリケーション開発ユーザによって送信された第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを受信し、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを、URSPルールにおけるアプリケーション記述子とする。
選択的に、1つの選択可能な方案において、ネットワーク装置は、アプリケーション開発ユーザによって送信された第1のアプリケーションを受信し、第1のアプリケーションは開発者の署名証明書を含む。
ネットワーク装置は、第1のアプリケーションに再署名することによって、第1のアプリケーションのネットワーク署名を取得し、ネットワーク署名は、第1のアプリケーションのネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを含む。
ネットワーク装置は、ネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを、UPSPルールにおけるアプリケーション記述子とする。
ネットワーク装置は、第1のアプリケーションに再署名することによって、第1のアプリケーションのネットワーク署名を取得し、ネットワーク署名は、第1のアプリケーションのネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを含む。
ネットワーク装置は、ネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを、UPSPルールにおけるアプリケーション記述子とする。
具体的に、1つの選択可能な方案において、ネットワーク装置は、アプリケーション開発ユーザによって送信されたアプリケーション開発者の署名証明書を受信する。
ネットワーク装置は、署名証明書に再署名することによって、再署名証明書を取得する。
ネットワーク装置は、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、UPSPルールにおけるアプリケーション記述子とするよう指示する。
ネットワーク装置は、署名証明書に再署名することによって、再署名証明書を取得する。
ネットワーク装置は、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、UPSPルールにおけるアプリケーション記述子とするよう指示する。
具体的に、1つの選択可能な方案において、ネットワーク装置は、アプリケーション開発ユーザによって送信された登録要求を受信し、登録要求は、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを含む。
ネットワーク装置は、登録要求に基づいて、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを登録する。
ネットワーク装置は、登録要求に基づいて、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを登録する。
本出願に係る技術的解決策によって、図2に示されたセッション確立方法の実現がサポートされ、ネットワークの安定性が向上することができる。
図4を参照すると、図4は、本出願の実施形態に係るセッション確立方法である。当該方法は、図1に示されたネットワークアーキテクチャにおいて実現される。当該方法におけるUEは2つある。説明の便利のために、UE1とUE2で区別をつける。UE1は利用者のUEであり得、UE2はアプリケーション開発者のUEであり得る。図4を参照すると、図4に係る方法は以下のステップを含む。
ステップS400:UE2は、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを送信する。
ステップS401:ネットワーク装置は、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを受信し、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントをURSPルールにおけるアプリケーション記述子とする。
ステップS402:UE2は第1のアプリケーションをリリースする。第1のアプリケーションは、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを含む。
ステップS403、UE1は第1のアプリケーションを取得し、第1のアプリケーションをインストールする。
ステップS404:UE1は、ネットワーク装置によって配られたURSPルールにおけるアプリケーション記述子を受信する。
ステップS405:UE1は第1のアプリケーションから、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを取得する。
ステップS406:第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合する。成功にマッチングした後、UEは第1のアプリケーションのセッションを確立する。
本出願に係る技術的解決策に基づいてセッションが確立される際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントが読み取られる。UEは第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合する。UEは第1のアプリケーションのセッションを確立する。アプリケーション記述子がオペレーターによって管理されるため、他のアプリケーション又はプログラムによるアプリケーション記述子への改ざんが回避され、アプリケーション記述子の安全性とネットワークの安定性が確保される。また、本出願の技術的解決策はハードウェアに依存しない。アプリケーション開発者はオペレーターに登録する。アプリケーションの署名証明書をアプリケーション記述子とするようオペレーターによって管理されたり規制されたりするため、オペレーターによるアプリケーションの権限管理が実現され、ユーザに差別化された付加価値サービス及び技術的なサポートが提供されることができる。端末システムの実現の複雑さが低いため、スマートデバイスの従来の証明書署名メカニズムが直接に利用されることができる。アプリケーションの配布段階及びインストール段階で、アプリケーション記述子が改ざん又は偽造されるリスクが排除される。アプリケーションはデータサービスを使用する前に、ネットワークにアクセスせず認証されたアプリケーション記述子を実現することができる。
具体的に、1つの選択可能な方案において、図4に示されたステップS401は、以下のステップに取り替えられることができる。
ステップS401-1:ネットワーク装置は、第1のアプリケーションに再署名することによって、第1のアプリケーションのネットワーク署名を取得し、当該ネットワーク署名は、第1のアプリケーションのネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを含む。ネットワーク装置は、ネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを、UPSPルールにおけるアプリケーション記述子とする。
具体的に、もう1つの選択可能な方案において、図4に示された実施形態のステップS400とステップS401は、以下のステップに取り替えられることができる。
ステップS400-2:ネットワーク装置は、アプリケーション開発ユーザによって送信されたアプリケーション開発者の署名証明書を受信する。
ステップS401-2:ネットワーク装置は、署名証明書に再署名することによって再署名証明書を取得し、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、UPSPルールにおけるアプリケーション記述子とするよう指示する。
ステップS400-2:ネットワーク装置は、アプリケーション開発ユーザによって送信されたアプリケーション開発者の署名証明書を受信する。
ステップS401-2:ネットワーク装置は、署名証明書に再署名することによって再署名証明書を取得し、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、UPSPルールにおけるアプリケーション記述子とするよう指示する。
この技術的解決策に基づいて、アプリケーション開発ユーザが署名されたため、アプリケーション開発ユーザが変わらない限り、当該アプリケーション開発ユーザの署名は変わらない。こうすれば、同じアプリケーション開発ユーザが複数のアプリケーションを開発する場合に署名と認証を重複する過程が回避される。
図5を参照すると、図5はユーザ機器(UE)50を示す。上記UEは取得ユニット501及び処理ユニット502を含むことができる。取得ユニット501は、ネットワーク接続を実行する際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを取得するように構成されている。処理ユニット502は、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合し、第1のアプリケーションのセッションを確立するように構成されている。
具体的に、1つの選択可能な方法において、上記セッションはPDUセッションである。
具体的に、1つの選択可能な方法において、上記アプリケーション記述子は、3GPPプロトコルにおけるトラフィック記述子によって定義されたアプリケーション記述子である。
具体的に、1つの選択可能な方法において、上記アプリケーション記述子は、オペレーティングシステム識別子(OSId)及びオペレーティング・システム・アプリケーション識別子(OSAppId)を含む。
具体的に、1つの選択可能な方法において、UEは、配られた第1のアプリケーションを受信するように構成された通信ユニット503をさらに含む。第1のアプリケーションは、第1のアプリケーションの署名証明書を含む。
具体的に、1つの選択可能な方法において、第1のアプリケーションの署名証明書のデジタルフィンガープリントは、一方向暗号化アルゴリズムによって暗号化された文字列である。
具体的に、1つの選択可能な方法において、通信ユニット503は、オペレーターサーバによって配られたUPSPルールにおけるアプリケーション記述子を受信するようにさらに構成されている。
具体的に、1つの選択可能な方法において、処理ユニット502は具体的に以下のように構成されている。第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子が一致する場合に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子がマッチングしたと確定する。第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子が異なる場合に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと上記アプリケーション記述子がマッチングしていないと確定する。
本出願に係る技術的解決策に基づいてセッションが確立される際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントが読み取られる。UEは第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合する。UEは第1のアプリケーションのセッションを確立する。アプリケーション記述子がオペレーターによって管理されるため、他のアプリケーション又はプログラムによるアプリケーション記述子への改ざんが回避され、アプリケーション記述子の安全性とネットワークの安定性が確保される。また、本出願の技術的解決策はハードウェアに依存しない。アプリケーション開発者はオペレーターに登録する。アプリケーションの署名証明書をアプリケーション記述子とするようオペレーターによって管理されたり規制されたりするため、オペレーターによるアプリケーションの権限管理が実現され、ユーザに差別化された付加価値サービス及び技術的なサポートが提供されることができる。端末システムの実現の複雑さが低いため、スマートデバイスの従来の証明書署名メカニズムが直接に利用されることができる。アプリケーションの配布段階及びインストール段階で、アプリケーション記述子が改ざん又は偽造されるリスクが排除される。アプリケーションはデータサービスを使用する前に、ネットワークにアクセスせず認証されたアプリケーション記述子を実現することができる。
図6を参照すると、図6はネットワーク装置60を示す。ネットワーク装置は通信ユニット601及び処理ユニット602を含むことができる。通信ユニット601は、第1のアプリケーションに対応するアプリケーション記述子を含むURSPメッセージをUEに送信し、前記UEによって送信されたセッション要求を受信するように構成されている。処理ユニット602は、セッション要求に基づいて第1のアプリケーションのセッションを確立するように構成されている。
具体的に、1つの選択可能な方案において、通信ユニット601は、アプリケーション開発ユーザによって送信された第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを受信するようにさらに構成されている。処理ユニット602は、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを、URSPルールにおけるアプリケーション記述子とするようにさらに構成されている。
具体的に、1つの選択可能な方案において、通信ユニット601は、アプリケーション開発ユーザによって送信された第1のアプリケーションを受信するようにさらに構成されている。第1のアプリケーションは開発者の署名証明書を含む。処理ユニット602は、第1のアプリケーションに再署名することによって、第1のアプリケーションのネットワーク署名を取得ようにさらに構成されており、上記ネットワーク署名は、第1のアプリケーションのネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを含み、処理ユニット602は、ネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを、UPSPルールにおけるアプリケーション記述子とするようにさらに構成されている。
具体的に、1つの選択可能な方案において、通信ユニット601は、アプリケーション開発ユーザによって送信されたアプリケーション開発者の署名証明書を受信するようにさらに構成されている。処理ユニット602は、署名証明書に再署名することによって再署名証明書を取得し、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、UPSPルールにおけるアプリケーション記述子とするよう指示する、ようにさらに構成されている。
具体的に、1つの選択可能な方案において、通信ユニット601は、アプリケーション開発ユーザによって送信された登録要求を受信ようにさらに構成されており、登録要求は、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを含む。処理ユニット602は、登録要求に基づいて、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを登録するようにさらに構成されている。
図7を参照すると、図7は、本出願の実施形態に係るデバイス70の構造を示す概略図である。デバイス70はプロセッサ701、メモリ702及び通信インターフェース703を含む。プロセッサ701、メモリ702及び通信インターフェース703は、バス704を介して互いに接続されている。
メモリ702は、ランダムアクセスメモリ(random access memory、RAM)、読み取り専用メモリ(read only memory、ROM)、消去可能なプログラム可能な読み取り専用メモリ(erasable programmable ROM、EPROM)、又は携帯用コンパクトディスク読み取り専用メモリ(portable compact disk ROM、CD-ROM)を含むが、これらに限定されない。メモリ702は、関連コンピュータプログラム及びデータを記憶するために用いられる。通信インターフェース703は、データの受送信のために用いられる。
プロセッサ701は、1つ又は複数の中央処理装置(central processing unit、CPU)であることができる。プロセッサ701は1つのCPUである場合に、当該CPUはシングルコアCPUであってもよく、マルチコアGPUであってもよい。
デバイス70におけるプロセッサ701は、メモリ702に記憶されたコンピュータプログラムコードを読み取り、以下の操作を実行するように構成されている。
ネットワーク接続を実行する際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを取得する。第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合し、第1のアプリケーションのセッションを確立する。
ネットワーク接続を実行する際に、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントを取得する。第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合し、第1のアプリケーションのセッションを確立する。
なお、各操作の実現については、図2、図3、図4に示された方法実施形態に対応する説明を参照することができることに留意されたい。
本出願の実施形態において、チップシステムがさらに提供される。当該チップシステムは、少なくとも1つのプロセッサ、メモリ及びインターフェース回路を含む。メモリ、トランシーバー及び少なくとも1つのプロセッサは、ラインを介して互いに接続されている。少なくとも1つのメモリにコンピュータプログラムが記憶されている。コンピュータプログラムは、プロセッサによって実行される場合に、図2、図3、図4に示された方法が実現される。
本出願の実施形態において、コンピュータ可読記憶媒体がさらに提供される。当該コンピュータ可読記憶媒体にコンピュータプログラムが記憶されている。コンピュータプログラムが、ネットワーク装置上で実行される場合に、図2、図3、図4に示された方法が実現される。
本出願の実施形態において、コンピュータプログラム製品がさらに提供される。当該コンピュータプログラム製品が端末上で実行される場合に、図2、図3、図4に示された方法が実現される。
本出願の実施形態において、端末がさらに提供される。当該端末はプロセッサ、メモリ、通信インターフェース及び1つ又は複数のプログラムを含む。1つ又は複数のプログラムはメモリに記憶されており、且つプロセッサによって実行されるように構成されている。プログラムは、図2、図3、図4に示された実施形態の方法における操作を実行するための命令を含む。
以上は、主に方法の実施プロセスの角度から本出願の実施形態の方案を紹介した。上記機能を実現するために、電子デバイスは各機能を実行する対応のハードウェア構造、及び/又はソフトウェアモジュールを含む。本明細書に係る実施形態に記載された各例示的なユニット及びアルゴリズム操作と結びつけて、本出願がハードウェア、又はハードウェアとコンピュータソフトウェアとの組み合わせにより実現され得ることは、当業者にとって明らかである。これらの機能が、ハードウェアにより実行されるかコンピュータソフトウェアにより実行されるかについては、技術的解決策の特定の応用場合や設計の制限条件などによって決められる。当業者は、特定応用ごとに異なる方法を使用して記載される機能を実現できるが、これらの実現は、本出願の範囲を超えると見なされるべきではない。
本出願の実施形態において、上記例示的な方法に基づいて電子デバイスに対して機能ユニットの分割を行うことができる。例えば、機能ごとに機能ユニットを分割してもよく、2つ以上の機能を1つの処理ユニットに集積してもよい。上記集積ユニットは、ハードウェア又はソフトウェア機能モジュールの形式で実現されることができる。なお、本出願の実施形態において、ユニットの分割は例示的なものであり、ロジック機能の分割に過ぎず、実際に実現される場合に、別の分割形態を有してもよい。
本出願の実施形態において、コンピュータ可読記憶媒体がさらに提供される。当該コンピュータ可読記憶媒体は、電子データ交換(electronic data interchange、EDI)のために用いられるコンピュータプログラムを記憶している。当該コンピュータプログラムは、コンピュータが上記方法実施形態に記載された任意の方法における操作の一部又は全部を実行することを、可能にする。上記コンピュータは電子デバイスを含む。
本出願の実施形態において、コンピュータプログラム製品がさらに提供される。上記コンピュータプログラム製品は、コンピュータプログラムを記憶している非一時的なコンピュータ可読記憶媒体を含む。上記コンピュータプログラムは動作可能で、コンピュータが上記方法実施形態に記載された任意の方法における操作の一部又は全部を実行することを、可能にする。当該コンピュータプログラム製品はソフトウェアインストールパッケージであることができる。上記コンピュータは電子デバイスを含む。
簡略化のために、前記各方法実施形態は、一連の動作の組み合わせと表現されていることに留意されたい。しかしながら、本出願は説明された動作の順序に限定されず、本出願に基づいて、ある操作が他の順序に従い、又は同時に実行されることができるということを当業者に理解されるべきである。また、明細書に記載された実施形態はいずれも好適な実施形態であり、係る動作とモジュールは必ずしも本出願に必要なものであるとは限らないということを当業者に理解されるべきである。
上記実施形態では、各実施形態の説明にはそれぞれ焦点がある。ある実施形態において、詳しく説明されなかった部分については、他の実施形態の関連説明を参照することができる。
本出願に係るいくつかの実施形態において、開示される装置は、他の形態により実現され得ると理解されるべきである。例えば、上記装置の実施形態は、例示的なものに過ぎない。例えば、上記ユニットの分割はロジック機能の分割に過ぎず、実際に実現される場合に、別の分割形態を有してもよい。例えば、複数のユニット又はコンポーネントを組み合わせ、又は別のシステムに集積させ、又はその若干の特徴を無視し、又は実行しなくてもよい。さらに、示される又は検討される相互間の結合や直接結合や通信接続は、いくつかのインターフェース、装置、又はユニットによる間接結合や通信接続であってもよく、電気、又は他の形態であってもよい。
分離コンポーネントとして記載されたユニットは、物理的に分離してもよく、分離しなくてもよい。ユニットとして表示されるコンポーネントは、物理的なユニットであってもよく、物理的なユニットではなくてもよい。即ち、一つの場所に位置してもよく、複数のネットワークユニットに配置されてもよい。実際のニーズに応じて一部又は全部のユニットを選択して本実施形態の技術的解決策の目的を実現することができる。
また、本出願の各実施形態に係る各機能ユニットは、1つの処理ユニットに集積されてもよいし、各ユニットは単独に物理的に存在してもよいし、2つ以上のユニットは1つのユニットに集積されてもよい。上記集積ユニットは、ハードウェア又はソフトウェア機能モジュールの形式で実現されることができる。
上記集積ユニットは、ソフトウェア機能モジュールとして実現され、且つ独立の製品として販売されたり使用されたりする場合に、コンピュータ可読記録媒体に記憶されてもよい。この理解によれば、本出願の技術的解決策について、本質的な部分、又は従来技術に貢献できた部分、又は当該技術的解決策の全部又は一部は、ソフトウェア製品として表現され得る。このコンピュータソフトウェア製品は、メモリに記憶されており、1つのコンピュータデバイス(パソコン、サーバ、又はネットワーク装置などであってもよい)が本出願の各実施形態に記載の方法の全部又は一部の操作を実行することを可能にするための複数の命令を含む。前記メモリは、ユニバーサルシリアルバス(universal serial bus、USB)フラッシュディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、モバイルハードディスク、磁気ディスク又は光ディスクなどのプログラムコードを記憶可能な各種類の媒体を含む。
上記実施形態の各方法における操作の一部又は全部は、プログラムが関連ハードウェアを指示することによって完成され得るということを、当業者は理解できる。当該プログラムはコンピュータ可読記憶媒体に記憶されることができる。記憶媒体は、フラッシュメモリ、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク又は光ディスクなどを含むことができる。
以上は本出願の実施形態の詳しい説明である。本明細書では、具体的な例を用いて本出願の原理及び実施形態を説明した。上記実施形態の説明はただ本出願の方法及び中核となる思想の理解を助けるために用いられる。同時に、当業者にとって、本出願の思想に基づいて、具体的な実施形態及び応用範囲はいずれも変わるところがある。上記のように、本明細書は本出願を限定するものと理解されるべきではない。
本出願の実施形態の技術的解決策をより明確に説明するために、以下、実施形態の説明に必要な図面を簡単に紹介する。明らかに、説明される図面は本出願のいくつかの実施形態に過ぎず、当業者にとって、創造的な努力なしに、これらの図面によって他の図面を得ることができる。
図1は、本出願の実施形態に係る通信システムの構造を示す概略図である。
図2は、本出願の実施形態に係るセッション確立方法を示すフローチャートである。
図3は、本出願の実施形態に係るセッション通信方法を示すフローチャートである。
図4は、本出願の実施形態に係るセッション確立方法を示すフローチャートである。
図5は、本出願の実施形態に係るユーザ機器の構造を示す概略図である。
図6は、本出願の実施形態に係るネットワーク装置の構造を示す概略図である。
図7は、本出願の実施形態に係るデバイスの構造を示す概略図である。
図2を参照すると、図2は、本出願の実施形態に係るセッション確立方法を示すフローチャートである。当該方法は図1に示された通信システムにおいて実行され、以下のステップを含むが、これらに限定されない。
具体的に、上記方法は、UEがオペレーターサーバによって配られたURSPルールにおけるアプリケーション記述子を受信することを、さらに含むことができる。
図3を参照すると、図3は、本出願の実施形態に係るセッション通信方法を示すフローチャートである。当該方法は、図1に示された通信システムにおいて実現される。図1に言及されたUEは、アプリケーション開発者のUEであり得る。当該方法は、図3に示されたように、以下のステップを含む。
選択的に、1つの選択可能な方案において、ネットワーク装置は、アプリケーション開発ユーザによって送信された第1のアプリケーションを受信し、第1のアプリケーションは開発者の署名証明書を含む。
ネットワーク装置は、第1のアプリケーションに再署名することによって、第1のアプリケーションのネットワーク署名を取得し、ネットワーク署名は、第1のアプリケーションのネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを含む。
ネットワーク装置は、ネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを、URSPルールにおけるアプリケーション記述子とする。
ネットワーク装置は、第1のアプリケーションに再署名することによって、第1のアプリケーションのネットワーク署名を取得し、ネットワーク署名は、第1のアプリケーションのネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを含む。
ネットワーク装置は、ネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを、URSPルールにおけるアプリケーション記述子とする。
具体的に、1つの選択可能な方案において、ネットワーク装置は、アプリケーション開発ユーザによって送信されたアプリケーション開発者の署名証明書を受信する。
ネットワーク装置は、署名証明書に再署名することによって、再署名証明書を取得する。
ネットワーク装置は、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、URSPルールにおけるアプリケーション記述子とするよう指示する。
ネットワーク装置は、署名証明書に再署名することによって、再署名証明書を取得する。
ネットワーク装置は、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、URSPルールにおけるアプリケーション記述子とするよう指示する。
図4を参照すると、図4は、本出願の実施形態に係るセッション確立方法を示すフローチャートである。当該方法は、図1に示されたネットワークアーキテクチャにおいて実現される。当該方法におけるUEは2つある。説明の便利のために、UE1とUE2で区別をつける。UE1は利用者のUEであり得、UE2はアプリケーション開発者のUEであり得る。図4を参照すると、図4に係る方法は以下のステップを含む。
ステップS406:UE1は、第1のアプリケーションの署名証明書又は署名証明書のデジタルフィンガープリントと、ネットワーク側によって配られたURSPルールにおけるアプリケーション記述子とを照合する。成功にマッチングした後、UE1は第1のアプリケーションのセッションを確立する。
ステップS401-1:ネットワーク装置は、第1のアプリケーションに再署名することによって、第1のアプリケーションのネットワーク署名を取得し、当該ネットワーク署名は、第1のアプリケーションのネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを含む。ネットワーク装置は、ネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを、URSPルールにおけるアプリケーション記述子とする。
具体的に、もう1つの選択可能な方案において、図4に示された実施形態のステップS400とステップS401は、以下のステップに取り替えられることができる。
ステップS400-2:ネットワーク装置は、アプリケーション開発ユーザによって送信されたアプリケーション開発者の署名証明書を受信する。
ステップS401-2:ネットワーク装置は、署名証明書に再署名することによって再署名証明書を取得し、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、URSPルールにおけるアプリケーション記述子とするよう指示する。
ステップS400-2:ネットワーク装置は、アプリケーション開発ユーザによって送信されたアプリケーション開発者の署名証明書を受信する。
ステップS401-2:ネットワーク装置は、署名証明書に再署名することによって再署名証明書を取得し、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、URSPルールにおけるアプリケーション記述子とするよう指示する。
具体的に、1つの選択可能な方法において、通信ユニット503は、オペレーターサーバによって配られたURSPルールにおけるアプリケーション記述子を受信するようにさらに構成されている。
具体的に、1つの選択可能な方案において、通信ユニット601は、アプリケーション開発ユーザによって送信された第1のアプリケーションを受信するようにさらに構成されている。第1のアプリケーションは開発者の署名証明書を含む。処理ユニット602は、第1のアプリケーションに再署名することによって、第1のアプリケーションのネットワーク署名を取得ようにさらに構成されており、上記ネットワーク署名は、第1のアプリケーションのネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを含み、処理ユニット602は、ネットワーク署名証明書又はネットワーク署名証明書のデジタルフィンガープリントを、URSPルールにおけるアプリケーション記述子とするようにさらに構成されている。
具体的に、1つの選択可能な方案において、通信ユニット601は、アプリケーション開発ユーザによって送信されたアプリケーション開発者の署名証明書を受信するようにさらに構成されている。処理ユニット602は、署名証明書に再署名することによって再署名証明書を取得し、再署名証明書をアプリケーション開発ユーザに送信し、アプリケーション開発ユーザに再署名証明書をアプリケーション開発者の署名証明書として第1のアプリケーション内に搬送し、URSPルールにおけるアプリケーション記述子とするよう指示する、ようにさらに構成されている。
Claims (18)
- セッション確立方法であって、
ユーザ機器(UE)がネットワーク接続を実行する際に、第1のアプリケーションの署名証明書又は前記署名証明書のデジタルフィンガープリントを取得することと、
前記UEが前記第1のアプリケーションの前記署名証明書又は前記署名証明書の前記デジタルフィンガープリントと、ネットワーク側によって配られたUEルート選択ポリシー(URSP)ルールにおけるアプリケーション記述子(application descriptor)とを照合し、前記UEが前記第1のアプリケーションのセッションを確立することと、を含む、
ことを特徴とするセッション確立方法。 - 前記セッションは、プロトコルデータユニット(PDU)セッションである、
ことを特徴とする請求項1に記載の方法。 - 前記アプリケーション記述子は、第3世代パートナーシッププロジェクト(3GPP)におけるトラフィック記述子(Traffic descriptor)によって定義されたアプリケーション記述子である、
ことを特徴とする請求項1に記載の方法。 - 前記アプリケーション記述子は、オペレーティングシステム識別子(OSId)及びオペレーティング・システム・アプリケーション識別子(OSAppId)を含む、
ことを特徴とする請求項1に記載の方法。 - 前記UEがネットワーク接続を実行する前に、前記方法は、
前記UEが配られた前記第1のアプリケーションを受信することを、さらに含み、前記第1のアプリケーションは、前記第1のアプリケーションの前記署名証明書を含む、
ことを特徴とする請求項1~2のいずれか一項に記載の方法。 - 前記第1のアプリケーションの前記署名証明書の前記デジタルフィンガープリントは、一方向暗号化アルゴリズムによって暗号化された文字列である、
ことを特徴とする請求項5に記載の方法。 - 前記方法は、
前記UEがオペレーターサーバによって配られた前記UPSPルールにおける前記アプリケーション記述子を受信すること、をさらに含む、
ことを特徴とする請求項1に記載の方法。 - 前記UEが前記第1のアプリケーションの前記署名証明書又は前記署名証明書の前記デジタルフィンガープリントと、前記ネットワーク側によって配られた前記URSPルールにおける前記アプリケーション記述子とを照合することは、具体的に、
前記第1のアプリケーションの前記署名証明書又は前記署名証明書の前記デジタルフィンガープリントと前記アプリケーション記述子が一致する場合に、前記第1のアプリケーションの前記署名証明書又は前記署名証明書の前記デジタルフィンガープリントと前記アプリケーション記述子がマッチングしたと確定すること、
前記第1のアプリケーションの前記署名証明書又は前記署名証明書の前記デジタルフィンガープリントと前記アプリケーション記述子が異なる場合に、前記第1のアプリケーションの前記署名証明書又は前記署名証明書の前記デジタルフィンガープリントと前記アプリケーション記述子がマッチングしていないと確定すること、を含む、
ことを特徴とする請求項7に記載の方法。 - セッション通信方法であって、
ネットワーク装置がユーザ機器(UE)に、第1のアプリケーションに対応するアプリケーション記述子(application descriptor)を含むUEルート選択ポリシー(URSP)メッセージを送信することと、
前記ネットワーク装置が、前記UEによって送信されたセッション要求を受信し、前記セッション要求に基づいて前記第1のアプリケーションのセッションを確立することと、を含む、
ことを特徴とするセッション通信方法。 - 前記ネットワーク装置が、アプリケーション開発ユーザによって送信された前記第1のアプリケーションの署名証明書又は前記署名証明書のデジタルフィンガープリントを受信し、
前記ネットワーク装置が、前記第1のアプリケーションの前記署名証明書又は前記署名証明書の前記デジタルフィンガープリントを、URSPルールにおけるアプリケーション記述子とする、
ことを特徴とする請求項9に記載の方法。 - 前記ネットワーク装置が、アプリケーション開発ユーザによって送信された前記第1のアプリケーションを受信し、前記第1のアプリケーションが、開発者の署名証明書を含み、
前記ネットワーク装置が、前記第1のアプリケーションに再署名することによって、前記第1のアプリケーションのネットワーク署名を取得し、前記ネットワーク署名が、前記第1のアプリケーションのネットワーク署名証明書又は前記ネットワーク署名証明書のデジタルフィンガープリントを含み、
前記ネットワークが、前記ネットワーク署名証明書又は前記ネットワーク署名証明書の前記デジタルフィンガープリントを、UPSPルールにおけるアプリケーション記述子とする、
ことを特徴とする請求項9に記載の方法。 - 前記方法は、
前記ネットワーク装置が、アプリケーション開発ユーザによって送信されたアプリケーション開発者の署名証明書を受信することと、
前記ネットワーク装置が、前記署名証明書に再署名することによって、再署名証明書を取得することと、
前記ネットワーク装置が、前記再署名証明書を前記アプリケーション開発ユーザに送信し、前記アプリケーション開発ユーザに前記再署名証明書を前記アプリケーション開発者の前記署名証明書として前記第1のアプリケーション内に搬送し、UPSPルールにおけるアプリケーション記述子とするよう指示することと、をさらに含む、
ことを特徴とする請求項7に記載の方法。 - 前記方法は、
前記ネットワーク装置が、アプリケーション開発ユーザによって送信された登録要求を受信することであって、前記登録要求が、前記第1のアプリケーションの署名証明書又は前記署名証明書のデジタルフィンガープリントを含むことと、
前記ネットワーク装置が前記登録要求に基づいて、前記第1のアプリケーションの前記署名証明書又は前記署名証明書の前記デジタルフィンガープリントを登録することと、をさらに含む、
ことを特徴とする請求項7に記載の方法。 - ユーザ機器(UE)であって、
ネットワーク接続を実行する際に、第1のアプリケーションの署名証明書又は前記署名証明書のデジタルフィンガープリントを取得するように構成された取得ユニットと、
前記第1のアプリケーションの前記署名証明書又は前記署名証明書の前記デジタルフィンガープリントと、ネットワーク側によって配られたUEルート選択ポリシー(URSP)ルールにおけるアプリケーション記述子(application descriptor)とを照合し、前記第1のアプリケーションのセッションを確立するように構成された処理ユニットと、を含む、
ことを特徴とするユーザ機器。 - ネットワーク装置であって、
ユーザ機器(UE)に、第1のアプリケーションに対応するアプリケーション記述子(application descriptor)を含むUEルート選択ポリシー(URSP)メッセージを送信し、前記UEによって送信されたセッション要求を受信するように構成された通信ユニットと、
前記セッション要求に基づいて前記第1のアプリケーションのセッションを確立するように構成された処理ユニットと、を含む、
ことを特徴とするネットワーク装置。 - 端末であって、
プロセッサ、メモリ、通信インターフェース及び1つ又は複数のプログラムを含み、
前記1つ又は複数のプログラムは、前記メモリに記憶されており、前記プロセッサによって実行されるように構成されており、
前記プログラムは、請求項1~8のいずれか一項又は請求項9~13のいずれか一項に記載の方法における操作を実行するための命令を含む、
ことを特徴とする端末。 - コンピュータ可読記憶媒体であって、
電子データ交換のために用いられるコンピュータプログラムを記憶しており、
前記コンピュータプログラムは、コンピュータが請求項1~8のいずれか一項又は請求項9~13のいずれか一項に記載の方法を実行することを、可能にする、
ことを特徴とするコンピュータ可読記憶媒体。 - コンピュータプログラム製品であって、
前記コンピュータプログラム製品は、コンピュータプログラムを記憶している非一時的なコンピュータ可読記憶媒体を含み、
前記コンピュータプログラムは、コンピュータが請求項1~8のいずれか一項又は請求項9~13のいずれか一項に記載の方法を実行することを、可能にするよう動作することができる、
ことを特徴とするコンピュータプログラム製品。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010110499.7A CN111314475B (zh) | 2020-02-21 | 2020-02-21 | 会话创建方法及相关设备 |
| CN202010110499.7 | 2020-02-21 | ||
| PCT/CN2020/087044 WO2021164125A1 (zh) | 2020-02-21 | 2020-04-26 | 会话创建方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023515139A true JP2023515139A (ja) | 2023-04-12 |
| JP7457144B2 JP7457144B2 (ja) | 2024-03-27 |
Family
ID=71147668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022550863A Active JP7457144B2 (ja) | 2020-02-21 | 2020-04-26 | セッション確立方法及び関連装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20230099322A1 (ja) |
| EP (1) | EP4109839A4 (ja) |
| JP (1) | JP7457144B2 (ja) |
| KR (1) | KR20230026982A (ja) |
| CN (1) | CN111314475B (ja) |
| WO (1) | WO2021164125A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114080054A (zh) * | 2020-08-13 | 2022-02-22 | 华为技术有限公司 | 一种pdu会话建立方法、终端设备和芯片系统 |
| CN114630316A (zh) * | 2020-12-10 | 2022-06-14 | 中国电信股份有限公司 | 终端外发业务数据的路由选择方法、系统和终端 |
| CN116711350A (zh) * | 2021-01-05 | 2023-09-05 | 联想(新加坡)私人有限公司 | 基于数字证书信息选择数据连接 |
| CN116033429A (zh) * | 2021-03-09 | 2023-04-28 | 中国联合网络通信集团有限公司 | 切片路由规则防篡改方法、网元及介质 |
| WO2023147888A1 (en) * | 2022-02-04 | 2023-08-10 | Lenovo (Singapore) Pte. Ltd | Updating route selection policy rules having digital certificate information therein |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101980232A (zh) * | 2010-10-13 | 2011-02-23 | 中兴通讯股份有限公司 | Java应用程序的试用方法、系统和装置 |
| EP2824963B1 (en) * | 2012-03-08 | 2020-08-12 | Samsung Electronics Co., Ltd. | Method and device for controlling radio access network traffic in radio communication system |
| US9270674B2 (en) | 2013-03-29 | 2016-02-23 | Citrix Systems, Inc. | Validating the identity of a mobile application for mobile application management |
| US9755837B2 (en) | 2015-03-17 | 2017-09-05 | Qualcomm Incorporated | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
| CN104778393A (zh) * | 2015-04-16 | 2015-07-15 | 电子科技大学 | 一种智能终端的安全指纹识别方法 |
| KR102478442B1 (ko) * | 2017-08-11 | 2022-12-15 | 후아웨이 테크놀러지 컴퍼니 리미티드 | Pdu 유형 설정 방법, ue 정책 설정 방법 및 관련 엔티티 |
| CN109743766B (zh) * | 2018-02-13 | 2020-06-16 | 华为技术有限公司 | 一种数据路由选择的方法及装置 |
| CN110474840B (zh) * | 2018-05-09 | 2022-05-10 | 华为技术有限公司 | 数据传输方法、装置和可读存储介质 |
| US11496573B2 (en) * | 2018-06-22 | 2022-11-08 | Huawei Technologies Co., Ltd. | Optimizing user equipment operation by conditioning multiple policies on information elements |
| US11039369B2 (en) | 2018-08-10 | 2021-06-15 | Mediatek Inc. | Handling 5G QoS rules on QoS operation errors |
| CN111988828B (zh) * | 2018-11-23 | 2021-08-10 | 腾讯科技(深圳)有限公司 | 路由选择策略的获取方法、装置及设备 |
| CN110166577B (zh) * | 2019-07-01 | 2022-02-08 | 中国工商银行股份有限公司 | 分布式应用群组会话处理系统及方法 |
-
2020
- 2020-02-21 CN CN202010110499.7A patent/CN111314475B/zh active Active
- 2020-04-26 JP JP2022550863A patent/JP7457144B2/ja active Active
- 2020-04-26 US US17/801,026 patent/US20230099322A1/en active Pending
- 2020-04-26 EP EP20920074.0A patent/EP4109839A4/en active Pending
- 2020-04-26 WO PCT/CN2020/087044 patent/WO2021164125A1/zh unknown
- 2020-04-26 KR KR1020227032299A patent/KR20230026982A/ko unknown
Also Published As
| Publication number | Publication date |
|---|---|
| EP4109839A1 (en) | 2022-12-28 |
| US20230099322A1 (en) | 2023-03-30 |
| EP4109839A4 (en) | 2023-08-02 |
| JP7457144B2 (ja) | 2024-03-27 |
| CN111314475A (zh) | 2020-06-19 |
| CN111314475B (zh) | 2021-05-04 |
| KR20230026982A (ko) | 2023-02-27 |
| WO2021164125A1 (zh) | 2021-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7457144B2 (ja) | セッション確立方法及び関連装置 | |
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| JP5199405B2 (ja) | 通信システムにおける認証 | |
| US20170161721A1 (en) | Method and system for opening account based on euicc | |
| CN110830989B (zh) | 一种通信方法和装置 | |
| US9154955B1 (en) | Authenticated delivery of premium communication services to trusted devices over an untrusted network | |
| CN109936529B (zh) | 一种安全通信的方法、装置和系统 | |
| RU2009138223A (ru) | Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи | |
| US11246033B2 (en) | Authentication method, and related device and system | |
| CN113115332B (zh) | 一种upf确定方法及装置 | |
| US20190007835A1 (en) | Profile installation based on privilege level | |
| WO2019096279A1 (zh) | 一种安全通信方法和装置 | |
| CN112019489A (zh) | 验证方法及装置 | |
| WO2021227254A1 (zh) | 路由访问方法、装置、电子设备及存储介质 | |
| CN113938880A (zh) | 一种应用的验证方法及装置 | |
| WO2014201783A1 (zh) | 一种自组网的加密鉴权方法、系统及终端 | |
| JP7403676B2 (ja) | セッション確立方法及び関連装置 | |
| EP4362601A1 (en) | Device and method for providing communication service for accessing ip network, and program therefor | |
| JP7076050B1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
| JP7076051B1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
| CN114979237A (zh) | 一种长连接验证方法、装置、设备及可读存储介质 | |
| CN116847402A (zh) | 会话处理方法、装置、设备及介质 | |
| CN112437080A (zh) | 一种业务鉴权方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220907 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220907 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230821 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230829 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231128 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240213 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240314 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7457144 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |