JP2023527442A - 鍵取得方法、鍵取得装置、ユーザ機器、ネットワーク側機器および可読記憶媒体 - Google Patents

鍵取得方法、鍵取得装置、ユーザ機器、ネットワーク側機器および可読記憶媒体 Download PDF

Info

Publication number
JP2023527442A
JP2023527442A JP2022573410A JP2022573410A JP2023527442A JP 2023527442 A JP2023527442 A JP 2023527442A JP 2022573410 A JP2022573410 A JP 2022573410A JP 2022573410 A JP2022573410 A JP 2022573410A JP 2023527442 A JP2023527442 A JP 2023527442A
Authority
JP
Japan
Prior art keywords
key
information
security
network
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022573410A
Other languages
English (en)
Inventor
プー、ウェンチュアン
ヤン、シアオトン
パオ、ウェイ
リウ、シュアンピン
チン、フェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vivo Mobile Communication Co Ltd
Original Assignee
Vivo Mobile Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vivo Mobile Communication Co Ltd filed Critical Vivo Mobile Communication Co Ltd
Publication of JP2023527442A publication Critical patent/JP2023527442A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本願は、鍵取得方法、装置、ユーザ機器及びネットワーク側機器を開示する。該方法は、第1UEはネットワーク側機器に第1鍵情報を送信するステップを含み、前記第1鍵情報は第2UEの第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。

Description

本願は通信技術分野に関し、特に、鍵取得方法、装置、ユーザ機器及びネットワーク側機器に関する。
現在、ユーザ機器(User Equipment,UE)とネットワーク側機器との間でデータ伝送を行う際に、UEとネットワーク側機器間のデータ伝送のセキュリティを高めるために、セキュリティ機能をオン又はアクティブにし、例えば、セキュリティ鍵に基づいて伝送データの暗号化/復号及び完全性保護/検査等のセキュリティ動作を実行することができる。一般に、セキュリティ上の理由から、セキュリティ鍵はエアインタフェースを介して伝送されず、ネットワーク側機器とUEがローカルに記憶された情報に基づいて導出して取得する必要がある。
しかし、一部のUEはセキュリティ鍵を直接導出できない(例えば、SIMカードの欠如、UE能力は計算をサポートしていない等)、又は自UEによりネットワーク側機器で同じセキュリティ鍵を導出できないため、UEとネットワーク側機器間のデータに対するセキュリティ保護ができない。
そこで、このようなUEはネットワーク側機器とのデータ伝送を必要とする場合、これらのデータの伝送セキュリティは保証できず、さらにUEとネットワーク側機器間のデータ伝送の信頼性が低くなってしまう。
本願の実施例の目的は、一部のUEがセキュリティ鍵を取得できない、又は自UEによりネットワーク側機器で同じセキュリティ鍵を導出できないことにより、データ伝送の信頼性が低くなるという問題を解決可能な、鍵取得方法、装置、ユーザ機器及びネットワーク側機器を提供することである。
上記技術問題を解決するために、本願は、次のように実現される。
第1側面において、第1UEに応用され、ネットワーク側機器に第1鍵情報を送信するステップを含み、前記第1鍵情報は第2UEの第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得方法を提供する。
第2側面において、ネットワーク側機器に第1鍵情報を送信するための送信モジュールを備え、前記第1鍵情報は第2ユーザ機器UEの第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得装置を提供する。
第3側面において、第2UEに応用され、第1UEにプロキシ要求を送信するステップと、第1UEからフィードバックされたプロキシ応答を受信すると、前記第1UEに目標鍵情報を送信すると、を含み、前記プロキシ要求は前記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、前記プロキシ応答は前記第1UEが前記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、前記目標鍵情報は前記第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得方法を提供する。
第4側面において、第1UEにプロキシ要求を送信するための送信モジュールを備え、前記送信モジュールはさらに、第1UEからフィードバックされたプロキシ応答を受信すると、前記第1UEに目標鍵情報を送信するために用いられ、前記プロキシ要求は前記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、前記プロキシ応答は前記第1UEが前記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、前記目標鍵情報は前記第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得装置を提供する。
第5側面において、ネットワーク側機器に応用され、第1UEから第1鍵情報を受信するステップを含み、上記第1鍵情報は第2UEの第1鍵を指示するためのものであり、上記第2UEの第1鍵は上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得方法を提供する。
第6側面において、第1UEから第1鍵情報を受信するための受信モジュールを備え、上記第1鍵情報は第2UEの第1鍵を指示するためのものであり、上記第2UEの第1鍵は上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得装置を提供する。
第7側面において、プロセッサと、メモリと、前記メモリに記憶され、前記プロセッサによって実行可能なプログラムもしくは命令とを備え、前記プログラムもしくは命令が前記プロセッサによって実行されると、第1側面又は第3側面に記載の方法のステップが実現される、UEを提供する。
第8側面において、プロセッサと、メモリと、前記メモリに記憶され、前記プロセッサによって実行可能なプログラムもしくは命令とを備え、前記プログラムもしくは命令が前記プロセッサによって実行されると、第5側面に記載の方法のステップが実現される、ネットワーク側機器を提供する。
第9側面において、プログラムもしくは命令が記憶されており、前記プログラムもしくは命令がプロセッサによって実行されると、第1側面又は第3側面又は第5側面に記載の方法のステップが実現される、可読記憶媒体を提供する。
第10側面において、プロセッサ及び通信インタフェースを備え、前記通信インタフェースと前記プロセッサが結合され、前記プロセッサはネットワーク側機器プログラムもしくは命令を実行して、第1側面に記載の方法を実現するか又は第3側面に記載の方法を実現するか又は第5側面に記載の方法を実現するために用いられる、チップを提供する。
本願の実施例において、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第2UEは第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵の全部もしくは一部の情報を報告し、これにより第2UEは該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化/復号及び完全性保護/検査を行うことが可能になり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
本願の実施例で提供される可能な一通信システム構成の模式図である。 本願の実施例で提供される鍵取得方法の手順模式図1である。 本願の実施例で提供される鍵取得方法の手順模式図2である。 本願の実施例で提供される鍵取得装置の構造模式図1である。 本願の実施例で提供される鍵取得装置の構造模式図2である。 本願の実施例で提供される鍵取得装置の構造模式図3である。 本願の実施例で提供される通信機器のハードウェア構造模式図である。 本願の実施例で提供される端末のハードウェア構造模式図である。 本願の実施例で提供されるネットワーク側機器のハードウェア構造模式図である。
以下において、本願の実施例における図面を参照しながら、本願の実施例における技術的解決手段を明確に、完全に説明し、当然ながら、説明される実施例は本願の実施例の一部であり、全ての実施例ではない。本願における実施例に基づき、当業者が創造的な労力を要することなく得られた他の全ての実施例は、いずれも本願の保護範囲に属するものとする。
以下において、本願の実施例の関連用語を説明する。
1、ASセキュリティメカニズム
LTE及びNRシステムにおいて、暗号化と完全性保護機能はそれぞれ、エアインタフェースを介してUEに伝送されるデータ及び/又はシグナリングを盗聴、改ざんから保護するためのものであり、具体的には、DRB、SRB又はそれらにベアラされる情報に対して暗号化及び/又は完全性保護を行うものである。LTE及びNRにおけるAS層の暗号化及び/又は完全性保護はいずれもPDCP層において実現され、RRC層はセキュリティパラメータやセキュリティアルゴリズムの構成、及びセキュリティ機能のアクティブ化を行うためのものである。
2、暗号化
暗号化プロセスは暗号化と復号を含む。送信側機器(下りは基地局、上りはUEである)は暗号化アルゴリズムを用いて鍵ストリームを生成し、鍵ストリームと平文を用いてビット毎の2進加算を行って暗号文を得る。上記鍵ストリームは、128bitの鍵(key)、32bitのCOUNT値、5bitのBEARER(無線ベアラ識別子)、1bitのDIRECTION(該情報の伝送方向が上りか下りかを指示するためのもの)、32bitのLENGTH(鍵ストリームの長さ)といった情報から構成されてもよい。受信側機器は暗号文を受信した後、同じ暗号化アルゴリズム及び他の4つの入力パラメータを用いて同じ鍵ストリームを生成し、鍵ストリーム及び暗号文を用いたビット毎の2進加算によって平文を得ることができる。
3、完全性保護
完全性保護アルゴリズムの入力パラメータは、128bitの鍵、32bitのCOUNT値、5bitのBEARER、1bitのDIRECTION、MESSAGE(伝送するメッセージ)、LENGTH(MESSAGEの長さ)がある。具体的に、完全性保護プロセスは図2を参照することができ、送信側機器は完全性保護アルゴリズムを用いて、一定長のメッセージ完全性検証コードMAC-I(例えばmessage authentication code for integrity)を出力し、伝送するメッセージに付加する。受信側機器は同じ完全性保護アルゴリズムと他の入力パラメータを用いてXMAC-Iを生成し、XMAC-IとMAC-Iを比較することでメッセージの完全性を検査し、同じであれば完全性検査が通過したとされ、同じでなければ失敗とされる。
4、鍵(key)
3GPP(登録商標)プロトコルにおいて、KRRCenc、KUPencはそれぞれSRB(又はRRCシグナリング)、DRB(又はユーザプレーンuser plane)を暗号化するために使用されるkeyである。KRRCint、KUPintはそれぞれSRB、DRBを完全性保護するために使用されるkeyである。基地局(eNB又はgNB)及びUEはいずれも中間鍵KeNB/KgNBに基づいてKRRCenc、KUPenc、KRRCint、KUPintを導出して、ASセキュリティを実行する必要がある。KeNB/KgNBはNAS層の鍵KASME/KAMFに基づいて導出されたものであり、KASME/KAMFはいずれも鍵Kからステップ・バイ・ステップで導出されたものであり、鍵KはSIMカードと認証センタに記憶されている。
5、その他の用語
本願の明細書及び特許請求の範囲における用語「第1」、「第2」等は、特定の順序又は先後順序を記述するためのものではなく、類似する対象を区別するためのものである。このように使用される用語は、本願の実施例がここで図示又は記述される以外の順序で実施できるように、適当な場合において互いに置き換えてもよく、且つ「第1」、「第2」等で区別される対象は通常1群であり、対象の数は限定されないことを理解すべきであり、例えば、第1対象は1つでも、複数でもよい。また、明細書及び特許請求の範囲における「及び/又は」は、接続される対象のうちの少なくとも1つを意味し、符号の「/」は、一般的には前後の関連対象が「又は」という関係にあることを意味する。
以下において、本願の実施例で提供される鍵取得の解決手段に関連する通信システムを説明する。
指摘しておきたいのは、本願の実施例に記載される技術は、ロングタームエボリューション(Long Term Evolution,LTE)/LTEの進化型(LTE-Advanced,LTE-A)システムに限定されず、符号分割多元接続(Code Division Multiple Access,CDMA)、時分割多元接続(Time Division Multiple Access,TDMA)、周波数分割多元接続(Frequency Division Multiple Access,FDMA)、直交周波数分割多元接続(Orthogonal Frequency Division Multiple Access,OFDMA)、シングルキャリア周波数分割多元接続(Single-carrier Frequency-Division Multiple Access,SC-FDMA)及び他のシステム等の他の無線通信システムにおいて使用されてもよい点である。本願の実施例における用語「システム」及び「ネットワーク」は、しばしば、互換的に使用され得る。記載された技術は、上記で言及されたシステム及びラジオ技術に使用され得ると共に、他のシステム及びラジオ技術にも使用され得る。しかしながら、以下の説明は例示を目的にニューラジオ(New Radio,NR)システムについて説明し、以下の説明の多くにおいてNR用語が使用されるが、これらの技術は、例えば第6世代(6th Generation,6G)通信システムのようなNRシステムアプリケーション以外のアプリケーションにも適用され得る。
図1は本願の実施例を応用可能な無線通信システムのブロック図を示す。無線通信システムは端末11とネットワーク側機器12を含む。
上記端末11はプロキシされたUE及びプロキシUEを含む。プロキシされたUEはslave UE(SUEと略称)と称され、プロキシUEはmaster UE(MUEと略称)と称される。例示的に、上記SUEに対応する鍵keyはKsueと略称することができ、上記Ksueは一例に過ぎず、実際の適用には必要に応じて命名することができ、本願は鍵の名称を限定しない。
上記端末11は端末機器又はUEと称されてもよく、端末11は、携帯電話、タブレットパソコン(Tablet Personal Computer)、ラップトップコンピュータ(Laptop Computer)もしくはノートパソコン、携帯情報端末(Personal Digital Assistant,PDA)、パームトップコンピュータ、ネットブック、ウルトラモバイルパーソナルコンピュータ(ultra-mobile personal computer,UMPC)、モバイルインターネット機器(Mobile Internet Device,MID)、ウェアラブル機器(Wearable Device)もしくは車載機器(VUE)、歩行者端末(PUE)等の端末側機器であってよく、ウェアラブル機器は、リストバンド、ヘッドフォン、メガネ等を含む。説明すべきことは、本願の実施例において端末11の具体的な種類が限定されない点である。ネットワーク側機器12は基地局又はコアネットワークであってもよい。基地局はノードB、進化型ノードB、アクセスポイント、トランシーバ基地局(Base Transceiver Station,BTS)、無線基地局、無線トランシーバ、基本サービスセット(Basic Service Set,BSS)、拡張サービスセット(Extended Service Set,ESS)、Bノード、進化型Bノード(eNB)、ホームBノード、ホーム進化型Bノード、WLANアクセスポイント、WiFiノード、送受信ポイント(Transmitting Receiving Point,TRP)又は当分野における他の何らかの適切な用語で呼ばれてもよく、同様な技術効果を達成することができれば、前記基地局は、特定の技術用語に限定されない。説明すべきことは、本願の実施例において、単にNRシステムにおける基地局を例にするが、基地局の具体的な種類が限定されない点である。
以下において、図面を参照しながら、本願の実施例で提供される鍵取得方法を、具体的な実施例及びその応用シーンにより詳しく説明する。
図2は本願の実施例で提供される鍵取得方法の手順模式図を示し、図2に示すように、該鍵取得方法は以下のステップを含んでもよい。
ステップ201で、第1UEはネットワーク側機器に第1鍵情報を送信する。
例示的に、上記第1鍵情報は第2UEの第1鍵を指示するためのものであり、上記第1鍵は第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。上記完全性保護とは、データを伝送又は記憶するプロセスにおいて、データが改ざんさらないことを保証する動作をいう。上記暗号化とは、データを伝送又は記憶するプロセスにおいて、データが盗聴さらないことを保証する動作をいう。
例示的に、上記第1UEはプロキシUE(即ちMUE)であり、上記第2UEはプロキシされたUE(即ちSUE)である。
例示的に、上記第2UEがネットワーク側機器と通信する際のデータは、ユーザプレーンのデータ(例えば1つ又は複数のサービスのサービスデータストリーム、又は1つ又は複数のベアラ上で伝送されるデータ)及び制御プレーンのシグナリングを含む。
一例において、第2UEは上記第1鍵に基づいて第2UEがネットワーク側機器と通信する際のデータに対して完全性保護を行うと、ネットワーク側機器は上記第1鍵に基づいて第2UEがネットワーク側機器と通信する際のデータに対して完全性検証を行う。
別の例において、第2UEは上記第1鍵に基づいて第2UEがネットワーク側機器と通信する際のデータに対して暗号化動作を行うと、ネットワーク側機器は上記第1鍵に基づいて第2UEがネットワーク側機器と通信する際のデータに対して復号動作を行う。
例示的に、上記第1UEが第1鍵情報を送信する前に、第1UEをASセキュリティアクティブ化の状態にする必要がある。一般的に、第1UEのASセキュリティ機能がアクティブ化された後、ローカル及び/又はネットワーク側機器で第1UEのASセキュリティコンテキストが確立される。
例示的に、暗号化プロセスについて、本願の実施例における暗号化プロセスの暗号化アルゴリズムはネットワークによりUEに構成されたものであり、鍵ストリームの5つの入力パラメータのうちのCOUNT、BEARER、DIRECTION、LENGTHは現在のデータから取得することができ、128bitのkeyはネットワーク側機器とUEが一定のルールで導出されたものであり、セキュリティ上の理由から、エアインタフェースを介して伝送されない。
例示的に、完全性保護プロセスについて、本願の実施例における完全性保護アルゴリズムはネットワーク側機器によりUEに構成されたものであり、鍵ストリームの5つの入力パラメータのうちのCOUNT、BEARER、DIRECTION、LENGTH、MESSAGEは現在のデータから取得することができ、128bitのkeyはネットワーク側機器とUEが一定のルールで導出されたものであり、セキュリティ上の理由から、エアインタフェースを介して伝送されない。
本願の実施例で提供される鍵取得方法では、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第2UEは第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告/ネゴシエーションし、これにより第2UEは該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
本願の実施例において、第1UEは少なくとも以下の3つの鍵取得方式で第2UEの第1鍵を取得することができる。
第1の可能な実施形態において、
選択的に、本願の実施例において、第2UEは該第2UEのセキュリティ鍵を生成する能力を有するが、ネットワーク側機器にセキュリティに指示することができない場合、第2UEは第1UEを介して第2UEのセキュリティ鍵をネットワーク側機器に指示することができる。
例示的に、上記ステップ201の前に、本願の実施例で提供される鍵取得方法は、
第1UEは第2UEから該第2UEの第1鍵の全部もしくは一部の情報を取得するステップ201aを含んでもよい。
例示的に、上記第2UEの第1鍵は第2UEにより自ら生成したものであってもよい。
例示的に、第2UEは第1UEに該第2UEの第1鍵を送信する際に、第2UEは該第1鍵の全ての情報を第1UEに送信することを選択してもよく、該第1鍵の一部の情報を第1UEに送信することを選択してもよい(第1UEは該一部の情報に基づいて完全な第1鍵を導出又は取得することができる)。
さらに選択的に、本願の実施例において、上記第1鍵情報は、上記第2UEの第1鍵の全部もしくは一部の情報を含むか、又は上記第2UEの第1鍵の全部もしくは一部の情報及び上記第2UEのUE識別子を含む。なお、本願の実施例における第2UEのUE識別子はネットワーク側機器によって予めSUEに割り当て/記憶されたUE識別子であることに注意すべきである。
例示的に、上記UE識別子は、国際移動加入者識別番号(International Mobile Subscriber Identification Number,IMSI)、ネットワークアクセス識別子(Network Access Identifier,NAI)、SUPI(Subscription permanent identifier)、SUCI(Subscription Concealed Identifier)、5Gのグロバルに唯一の一時的UE識別子(5G Globally Unique Temporary UE Identity,5G GUTI)、GUTI(Globally Unique Temporary UE Identity)、S-TMSI、ng-S-TMSI、5G TMSI、TMSI、C-RNTI、TC-RNTI、I-RNTI、fullI-RNTIのうちの少なくとも1つを含んでもよい。一例において、上記UE識別子はC-RNTI、TC-RNTI、I-RNTI、fullI-RNTI等の識別子の一部(例えばshort I-RNTI)であってもよい。
選択的に、本願の実施例において、特定のシーンでは、セキュリティの問題により、エアインタフェースを介して第2UEの第1鍵を伝送することができず、したがって、第1UEは第2UEに関連する情報を用いて第2UEの第1鍵を算出することができる。
例示的に、上記ステップ201の前に、本願の実施例で提供される鍵取得方法は、
第1UEは目標情報と入力パラメータに基づいて、上記第2UEの第1鍵を計算するステップ201bを含んでもよい。
上記目標情報は、第1情報又は上記第1UEのセキュリティ鍵を含む。
例示的に、上記第1情報は上記第1UEと上記第2UEに保存されている同じパラメータ又は関連パラメータであり、例えば、MUEとSUEが同一のメーカに属する場合のメーカ識別番号のようなMUEとSUEのいずれにも保存されている1ないし複数の同じ又は関連するパラメータである。
例示的に、上記第1UEのセキュリティ鍵は、第1サブ鍵、第2サブ鍵のうちの少なくとも1つを含む。上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、つまり上記第1サブ鍵は第1UEと第1アクセスネットワーク要素間の伝送に用いられる。上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵であり、つまり上記第2サブ鍵は第1UEと第2アクセスネットワーク要素間の伝送に用いられる。なお、上記第1サブ鍵又は上記第2サブ鍵はルート鍵と呼ばれてもよく、KeNB、KgNB、AS(アクセス層)セキュリティ鍵等と呼ばれてもよいことに注意すべきである。
一例において、第1UEと第2UEが二重接続のシーンにある場合、上記第1アクセスネットワーク要素はマスタ基地局であってもよく、つまり、上記第1サブ鍵は第1UEとマスタ基地局間のセキュリティ伝送に用いられ得、これに応じて、上記第2アクセスネットワーク要素はセカンダリ基地局であってもよく、つまり、上記第2サブ鍵は第1UEとセカンダリ基地局間のセキュリティ伝送に用いられ得る。
例示的に、上記入力パラメータは、目標パラメータ、上記第2UEが位置するセルのPCI、上記第2UEが位置するセルの周波数ポイント情報、上記第2UEの機器情報のうちの少なくとも1つを含む。上記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含む。一例において、上記カウンタはSue-counterであり、Ksueを初回計算時に、Sue-counter値は0であり、計算後、Sue-counter値は1になり、且つ以降Ksueが計算される度にインクリメントされる。MUEのkeyが更新されると、Sue-counterの値はリセットされる。なお、本願の実施例はカウンタの名称について限定しないことに注意すべきである。
なお、上記目標パラメータは第1鍵のランダム性を一定程度増大させることができ、これにより第1鍵は更新でき、第1鍵のセキュリティが向上することに注意すべきである。一例において、上記カウンタは上記第1鍵が取得された回数に応じてインクリメントすることができる。
さらに選択的に、本願の実施例において、上記目標情報は上記第1情報である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、上記第1情報のうちの少なくとも1つを含む。上記目標情報は上記セキュリティ鍵である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、第1指示情報のうちの少なくとも1つを含む。上記第1指示情報は、上記セキュリティ鍵を用いて上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである。
選択的に、本願の実施例において、特定のシーンでは、セキュリティの問題により、エアインタフェースを介して第2UEの第1鍵を伝送することができず、したがって、第1UEは該第1UEのセキュリティ鍵を第2UEのために再利用可能である。
例示的に、上記ステップ201の前に、本願の実施例で提供される鍵取得方法は以下のステップ201c1とステップ201c2を含んでもよい。
ステップ201c1で、第1UEは第2UEから鍵要求を受信する。
上記鍵要求は、上記第1UEのセキュリティ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである。上記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵であり。例示的に、二重接続のシーンにおいて、MUEはSCGのセキュリティ鍵をSUEのために再利用可能である。
ステップ201c2で、第1UEは上記鍵要求に応じて、上記第2サブ鍵を上記第2UEの第1鍵とする。
さらに選択的に、本願の実施例において、上記第1鍵情報は、第2指示情報、上記第2UEのUE識別子のうちの少なくとも1つを含む。上記第2指示情報は、上記第1サブ鍵又は上記第2サブ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである。
選択的に、本願の実施例において、図3に示すように、上記ステップ201の前に、本願の実施例で提供される鍵取得方法は、
第2UEは第1UEにプロキシ要求を送信するステップA1と、
第1UEは上記第2UEからプロキシ要求を受信するステップA2と、
第1UEは上記第2UEにプロキシ応答を送信するステップA3と、
第2UEは第1UEからフィードバックされたプロキシ応答を受信すると、第2UEは上記第1UEに目標鍵情報を送信するステップA4と、を含んでもよい。
上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものである。上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものである。上記目標鍵情報は上記第2UEの第1鍵を指示するためのものである。上記第1鍵は、上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
例示的に、上記目標鍵情報は、上記第1鍵の全部もしくは一部の情報、又は、鍵要求を含む。上記鍵要求は、上記第1UEのセキュリティ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである。上記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。
さらに選択的に、本願の実施例において、上記ステップA1の前に、本願の実施例で提供される鍵取得方法は、
第1UEは第2情報を送信するステップB1と、
第2UEは上記第1UEから第2情報を受信するステップB2と、を含んでもよい。上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
一例において、第1UEは第2情報をブロードキャストして、他のUEのセキュリティプロセスをプロキシする能力を有することを近くのUEに通知する。第2UEはセキュリティ鍵取得の能力を有さないため、第2UEは該第2情報を受信した後、第1UEにプロキシ要求を送信して、第1UEがネットワーク側機器に該第1UEのセキュリティ鍵を渡すことを要求する。つまり、上記プロキシ要求は、第2UEが第1UEによりブロードキャストされる第2情報を受信した後に開始される要求であってもよい。
別の例において、SUEはプロキシ要求を近くのUE(近くのUEはMUEを含む)にブロードキャストし、MUEはSUEのプロキシ要求を受信すると、SUEにフィードバック情報を送信して、セキュリティ鍵のプロキシ要求を受け付けたことをSUEに通知し、さらにセキュリティ鍵のプロキシを完了する。
選択的に、本願の実施例において、上記ステップ201の後、本願の実施例で提供される鍵取得方法は、
第1UEは上記第2UEに上記第1鍵情報を送信するステップC1と、
第2UEは上記第1UEから第1鍵情報を受信するステップC2と、を含んでもよい。
上記第1鍵情報は第2UEの第1鍵を指示するためのものである。
例示的に、第1UEと第2UEとの間で鍵情報を渡す際には暗号化動作を使用することができ、例えば、第1UEと第2UEとの間のインタフェースプロトコルのセキュリティ暗号化方法、アプリケーション層暗号化、非3GPP暗号化等を使用することができる。
本願の実施例において、第2UEの第1鍵に変更が生じ又は変更が必要になる場合、第1UE、第2UE及びネットワーク側機器のいずれも鍵更新フローを開始することができる。
選択的に、本願の実施例において、第1UEにより鍵更新フローを開始するプロセスについて、上記ステップ201の後、本願の実施例で提供される鍵取得方法は、
第1条件を満たす場合に、第1UEは上記ネットワーク側機器及び/又は第2UEに第2鍵情報を送信するステップD1を含んでもよい。上記第2鍵情報は更新後の第1鍵を指示するためのものである。
上記第1条件は、第2UEの第1鍵の変更、該第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。例示的に、上記該第2UEの第1鍵を計算するための情報は上述した第1鍵を計算するための全部もしくは一部の情報であってもよく、例えば、第1UEのセキュリティ鍵、上記入力パラメータ、目標情報、鍵要求等であってもよい。
例示的に、入力パラメータのカウンタについて、上記該第2UEの第1鍵を計算するための情報の変更は、Sue-counter wrap around(即ちカウンタによるカウントが最大値を上回ったら0からカウントする)の場合、第2UEの任意のSRB又はDRBのアップリンクもしくはダウンリンクのPDCP COUNT値がまもなく境界値になる場合を含む。例示的に、Sue-counter wrap aroundの場合、第1UEのセキュリティ鍵又は第1情報を更新する必要がある。具体的に、鍵ストリームの5つのパラメータの1つである上記PDCP COUNTの値は境界値になると、0からカウントが再開し、この場合、他の4つのパラメータの値を変化しないと、UEは送信が異なる伝送プロセスにおいて同じ鍵を使用して、セキュリティではない問題になることがあり、この場合は新しい鍵を改めて生成して、データのセキュリティを保証する必要があるう。
例示的に、上記第1UEは新しい第1鍵又は第1鍵の変化量を算出した後、新しい第1鍵又は第1鍵の変化量又は第1鍵を計算するための関連パラメータをネットワーク側機器に通知する。上記第1鍵の変化量は、新第1鍵と旧第1鍵の間の差異(例えばsue-counter値の変化量や、SUEが位置するPCIの変化量、周波数ポイント情報の変化量)であってもよく、更新後の入力パラメータ(例えば新しいsue-counter値、SUEが最後に位置したPCI、周波数ポイント情報)であってもよく、変更された目標情報(例えば、第1鍵を計算するための目標情報として第2サブ鍵を使用することは、第1鍵を計算するための目標情報として第1サブ鍵を使用することに変更された)であってもよく、変更された鍵要求(例えば、第1鍵として第2サブ鍵を使用することは、第1鍵として第1サブ鍵を使用することに変更された)であってもよい。ネットワーク側機器とSUEは取り決めた方法で新しい第1鍵を生成する。
選択的に、本願の実施例において、第2UEにより鍵更新フローを開始するプロセスについて、上記ステップ201の後、本願の実施例で提供される鍵取得方法は、
第1条件を満たす場合に、第2UEはネットワーク側機器に第3鍵情報を送信するステップE1を含んでもよい。上記第3鍵情報は更新後の第1鍵を指示するためのものである。
上記第1条件は、第2UEの第1鍵の変更、該第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。例示的に、上記該第2UEの第1鍵を計算するための情報は上述した第1鍵を計算するための全部もしくは一部の情報であってもよく、例えば、第1UEのセキュリティ鍵、上記入力パラメータ、第1情報等であってもよい。
例示的に、第2UEは直接又は第1UEを介してネットワーク側機器に上記第3鍵情報を送信することができる。
例示的に、SUEは、新しい第1鍵又は第1鍵の変化量又は更新された入力パラメータ又は更新された目標情報をネットワーク側機器に通知することができる(SUEのエアインタフェース又はMUEを介してネットワーク側機器に転送する)。第1鍵の変化量は、新第1鍵と旧第1鍵の間の差異(例えばsue-counter値の変化量や、SUEが位置するPCIの変化量、周波数ポイント情報の変化量)であってもよく、更新後の入力パラメータ(例えば新しいsue-counter値、SUEが最後に位置したPCI、周波数ポイント情報)であってもよく、変更された目標情報(例えば、第1鍵を計算するための目標情報として第2サブ鍵を使用することは、第1鍵を計算するための目標情報として第1サブ鍵を使用することに変更された)であってもよく、変更された鍵要求(例えば、第1鍵として第2サブ鍵を使用することは、第1鍵として第1サブ鍵を使用することに変更された)であってもよい。ネットワーク側機器とSUEは取り決めた方法で新しい第1鍵を生成する。
本願の実施例で提供される鍵取得方法の手順模式図である図2を参照し、ネットワーク側機器側について、該鍵取得方法は、
ネットワーク側機器は第1UEから第1鍵情報を受信するステップ202を含んでもよい。
上記第1鍵情報は第2UEの第1鍵を指示するためのものである。上記第2UEの第1鍵は第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。なお、上記第1鍵情報についての説明は上記記載を参照すればよく、ここでは詳細な説明を省略することに注意すべきである。
選択的に、本願の実施例において、ネットワーク側機器は第1UE又は第2UEから送信した目標鍵情報を受信した後、第2UEの更新後の第1鍵を取得することができる。例示的に、上記ステップ202の後、該方法は、
ネットワーク側機器は目標UEから目標鍵情報を受信するステップ301a1と、
ネットワーク側機器は目標鍵情報に基づいて、更新後の第2UEの第1鍵を決定するステップ301a2と、をさらに含んでもよい。
上記目標UEは第1UE又は第2UEを含む。上記目標鍵情報は更新後の第2UEの第1鍵を指示するためのものである。一例において、上記目標鍵情報は上記実施例における第2鍵情報又は第3鍵情報であってもよい。
選択的に、本願の実施例において、ネットワーク側機器は第2UEの第1鍵を改めて計算することができ、つまり、ネットワーク側機器により鍵更新フローを開始するプロセスについて、例示的に、上記ステップ202の後、該方法は、
第1条件を満たす場合に、ネットワーク側機器は目標UEに第4鍵情報を送信するステップ301b1をさらに含んでもよい。
上記目標UEは第1UE又は第2UEを含む。上記第4鍵情報は該更新後の第2UEの第1鍵を指示するためのものである。
例示的に、上記第1条件は、第2UEの第1鍵の変更、該第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。例示的に、上記該第2UEの第1鍵を計算するための情報は上述した第1鍵を計算するための全部もしくは一部の情報であってもよく、例えば、第1UEのセキュリティ鍵、上記入力パラメータ、第1情報等であってもよい。
例示的に、ネットワーク側機器は新しい第1鍵又は第1鍵の変化量を算出した後、新しい第1鍵又は第1鍵の変化量又は第1鍵を計算するための関連パラメータをSUEに通知する(SUEのエアインタフェース又はMUEを介してSUEに転送する)。上記第1鍵の変化量は、新第1鍵と旧第1鍵の間の差異(例えばsue-counter値の変化量や、SUEが位置するPCIの変化量、周波数ポイント情報の変化量)であってもよく、更新後の入力パラメータ(例えば新しいsue-counter値、SUEが最後に位置したPCI、周波数ポイント情報)であってもよく、変更された目標情報(例えば、第1鍵を計算するための目標情報として第2サブ鍵を使用することは、第1鍵を計算するための目標情報として第1サブ鍵を使用することに変更された)であってもよく、変更された鍵要求(例えば、第1鍵として第2サブ鍵を使用することは、第1鍵として第1サブ鍵を使用することに変更された)であってもよい。ネットワーク側機器とSUEは取り決めた方法で新しい第1鍵を生成する。
選択的に、本願の実施例において、上記ステップ202の後、該方法は、
第2条件を満たす場合に、ネットワーク側機器は第2UEに第3情報を送信するステップ301c1と、
第2UEはネットワーク側機器から第3情報を受信するステップ301c2と、
第2UEはネットワーク側機器に応答情報をフィードバックするステップ301c3と、
ネットワーク側機器は第2UEから応答情報を受信するステップ301c4と、をさらに含んでもよい。
上記第3情報は、第2UEのセキュリティをアクティブ化及び/又は該第2UEのセキュリティ鍵を確認するためのものである。上記応答情報は、第2UEのセキュリティがアクティブ化されたことを指示するためのものである。
例示的に、上記第2条件は、第2UEがRRC接続状態に入ること、ネットワーク側機器が第2UEのセキュリティコンテキストを確立したこと、第2UEのダウンリンクデータが到着し且つセキュリティ状態がアクティブ化されていないことのうちの少なくとも1つを含む。
こうして、ネットワーク側機器は第2UEの第1鍵を取得した後、後続で該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるように、第2UEのセキュリティ状態をアクティブ化することができ、さらに該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
以下において、第1UEはMUEであり、第2UEはSUEであることを例にして、上述した複数種の鍵取得方式について例を挙げて説明する。
例1では、SUEはSUEのkey(Ksueと略称)即ち上記第1鍵を生成する能力を有するが、ネットワークにセキュリティに指示することができず、この場合はMUEを介してネットワークに送信することができる。具体的に以下のステップを含む。
ステップ1で、MUEのASセキュリティをアクティブ化し、gNBとのASセキュリティコンテキストが確立されている。
ステップ2で、SUEはMUEを介してgNBにセキュリティ鍵を渡すことを要求する。
選択的に、以下の2つの方式で要求することができる。
方式1で、SUEは、MUEによりブロードキャストされる情報(該情報はMUEが他のUEとネットワークのASセキュリティプロセスをプロキシできる能力を有することを指示する)を受信した後、要求を開始する。
方式2で、SUEは、セキュリティプロキシ要求を近くのUE(近くのUEはMUEを含む)にブロードキャストする。
ステップ3で、MUEはSUEのプロキシ要求を受信する。
選択的に、MUEはSUEの要求を受信した後、フィードバック(例えばSUEの要求を受け付ける)を送信する。
ステップ4で、SUEはKsueをMUEに送信する。SUEとMUEとの間の伝送は、例えば、非3GPP暗号化、アプリケーション層暗号化等の暗号化の方式を用いることができる。
選択的に、SUEはSUE識別子も併せてMUEに送信する。SUEはgNBでRRC接続確立プロセスを開始し(自SUEのエアインタフェース又はMUEのエアインタフェースを介する)、原因値がセキュリティ鍵のネゴシエーションを確立し、SUEはMsg4を受信した後、msg2において取得されたC-RNTIをSUE識別子とする。MUEとSUEのプロキシネゴシエーションにおいて、MUEはgNBにより生成されたSUEのためのUE識別子を要求する。
ステップ5で、MUEはKsueを受信した後、第1鍵情報をgNBに送信し、該第1鍵情報はKsueを含むか、又はKsue及びSUE識別子を含む。第1鍵情報はMUEのAS鍵を用いて暗号化及び/又は完全性保護を行うことができる。
ステップ6で、gNBは第1鍵情報を受信した後、SUE識別子に基づいてSUEの識別情報を検証し、検証が成功した後、後続でSUEと通信する際のAS暗号化及び/又は完全性保護のためにKsueを保存することができる。
ステップ7で、第1条件を満たす場合、gNBはSUEに第3情報(例えばSMC)を送信する。第3情報はASセキュリティをアクティブ化及び/又はASセキュリティ鍵を確認するためのものである。例示的に、上記第1条件は、SUEがRRC接続状態に入ること、GnbがSUEのASセキュリティコンテキストを確立したこと(コンテキストはSUEのセキュリティ鍵及び関連パラメータを含む)、SUEのダウンリンクデータが到着し且つASセキュリティがアクティブ化されていないことのうちの少なくとも1つを含む。
ステップ8で、SUEは第3情報(自SUEのエアインタフェース又はMUEを介して転送される)を受信すると、ダウンリンクセキュリティはアクティブ化され、SUEはその中の情報を正しく復号した場合、gNBに応答を送信し、その後アップリンクセキュリティはアクティブ化される。
例2では、特定のシーンにおいて、セキュリティ上の理由によりエアインタフェースを介してSUE keyを伝送できないことがあることから、セキュリティを保証するように、root keyとしてMUEのkeyを使用し、SUE counterのみをエアインタフェースを介して送信することができる。具体的には以下のステップを含む。
ステップ1~3は例1と同様であり、ここでは詳細な説明を省略する。
ステップ4で、MUEはMUE root key及びSUE関連パラメータ(即ち上記入力パラメータ)に基づいてKsueを計算する。MUE root keyは、KgNB、S-KgNB(即ちMUEのSCG伝送用の鍵)のいずれか1つ又は複数を含む。SUE関連パラメータは、カウンタ(例えばSue-counter)、SUEが位置するセルのPCI(物理セルID)、周波数ポイント情報、SUEの機器情報(例えばIMEI)等の情報の様々な組合せを含む。
ステップ5で、MUEはMUEとSUEの間のインタフェースを介してKsueをSUEに指示する。MUEとSUEの間の情報伝達に暗号化メカニズムが使用されている場合は、例えばアプリケーション層暗号化、非3GPP暗号化メカニズムを使用する。
ステップ6で、MUEはgNBに第1鍵情報を送信する。第1鍵情報はMUEのAS鍵を用いて暗号化及び/又は完全性保護を行う。第1鍵情報は、Ksue、SUE関連パラメータ、第1指示情報(KgNB又はS-KgNBを用いてKsueを計算することを指示する指示情報)、SUE識別子のうちの少なくとも1つを含む。
ステップ6で、gNBは第1鍵情報を受信した後、SUE識別子に基づいてSUEの識別情報を検証し、検証が成功した後、後続でSUEと通信する際のAS暗号化及び/又は完全性保護のためにKsueを保存する。
ステップ7~8は例1のステップ7~8と同様であり、ここでは詳細な説明を省略する。
説明すべきことは、本例において、プロキシ要求、SUE識別子、sue-counter値についての説明は、特に断りのない限り例1を参照することができ、ここでは詳細な説明を省略する点である。
例3では、特定のシーンにおいて、セキュリティ上の理由によりエアインタフェースを介してSUE keyを伝送できないことがあることから、セキュリティを保証するように、SCGのkeyをSUEのために再利用することができる。具体的には以下のステップを含む。
ステップ1で、MUEのASセキュリティをアクティブ化し、基地局とのASセキュリティコンテキストが確立されている。
ステップ2で、SUEは、MUEのSCG keyを使用することを要求する。
ステップ3で、MUEはSUEの要求を受信する。
ステップ4で、MUEは生成された第2key(例えば、SCGの鍵S-KgNB)をKsueとしてSUEに送信する。MUEはS-KgNBをSUEに送信する際に、MUEとSUEの間の情報伝達の暗号化メカニズム、例えば、アプリケーション層暗号化、非3GPP暗号化メカニズムを使用する。
選択的に、SUEに送信する前に、MUEはgNBに第4情報を送信してネットワークから返した確認情報を受信する。第4情報はSCG鍵を他のUE(SUE)に用いることを要求するためのものである。
ステップ5で、MUEはgNBに第1鍵情報を送信する。第1鍵情報は、第2指示情報(MUEのSCG鍵をSUEに用いることを指示するための情報)、SUE識別子を含む。
ステップ6で、gNBは第1鍵情報を受信した後、SUE識別子に基づいてSUEの識別情報を検証し、検証が成功した後、後続でSUEと通信する際のAS暗号化及び/又は完全性保護のためにS-KgNBを使用する。
ステップ7~8は例1のステップ7~8と同様であり、ここでは詳細な説明を省略する。
説明すべきことは、本例において、プロキシ要求、SUE識別子、sue-counter値についての説明は、特に断りのない限り例1を参照することができ、ここでは詳細な説明を省略する点である。
例4では、MUEは該MUEとSUEに公知の1組のパラメータに基づいて、SUE keyを導出する。具体的には以下のステップを含む。
ステップ1~3は例1と同様であり、ここでは詳細な説明を省略する。
ステップ4で、MUEは目標情報と少なくとも1つの入力パラメータに基づいてKsueを計算する。目標情報はMUEとSUEのいずれにおいても保存されている1ないし複数の同じ又は関連するパラメータであり、例えば、同一のメーカの携帯電話、時計が有する識別番号である。上記入力パラメータは、Sue-counter、乱数、SUEのPCI、周波数ポイント等のうちの1つ又は複数を含む。
ステップ5で、MUEはステップ4の1ないし複数の入力パラメータをSUEに指示し、SUEは目標情報と当該1組の入力パラメータに基づいてKsueを計算する。
ステップ6で、MUEはgNBに第1鍵情報を送信する。該第1鍵情報は、Ksue、上記入力パラメータ、目標情報、SUE識別子のうちの少なくとも1つを含む。
ステップ7で、gNBは第1鍵情報を受信した後、SUE識別子に基づいてSUEの識別情報を検証し、検証が成功した後、後続でSUEと通信する際のAS暗号化及び/又は完全性保護のためにKsueを保存/計算する。
ステップ8で、Ksueに更新が必要になる場合、MUE又はSUEは、更新したKsue又はKsueを計算するための1ないし複数の入力パラメータだけをgNB及び/又はSUEに通知する。
上記フローにおいて、SUEは、目標情報と1ないし複数の入力パラメータに基づいてKsueを算出し、Ksueを計算するための1ないし複数の入力パラメータをMUEに送信し、MUEを介してネットワーク側機器に転送してもよい。
説明すべきことは、本例において、プロキシ要求、SUE識別子、sue-counter値についての説明は、特に断りのない限り例1を参照することができ、ここでは詳細な説明を省略する点である。
例示的に、上記4つの例において、Ksueを計算するためのパラメータに変更が生じた場合、Ksueを更新する必要がある。一例において、第1条件を満たす場合、MUEはKsueを改めて計算する。次に、MUEは新しいKsue又はKsueを導出するのに必要な関連情報をgNBに通知する。別の例において、第1条件を満たす場合、SUEはKsueを改めて計算する。次に、SUEは新しいKsue又はKsueを導出するのに必要な関連情報をgNBに通知する(方式は上記4つの例を参照できる)。説明すべきことは、いずれの場合でも、SUEとgNBは新しいKsueについて、KRRCenc、KUPenc、KRRCint、KUPint鍵を改めて計算する点である。
一例において、上記第1条件は、
KgNB、KeNB、S-KgNB、S-KeNBのうちの1つを用いて計算したKsueの値が変更した場合、
Sue-counter wrap around(最大値を上回ったら0からカウントする)の場合、
SUEのPCI、周波数ポイント情報が変更した場合、
SUEの任意のSRB又はDRBの上り/下りのPDCP COUNTs値がまもなく境界値になる場合、のうちの少なくとも1つを含む。
説明すべきことは、本願の実施例で提供される鍵取得方法の実行主体は鍵取得装置であってもよく、又は該鍵取得装置内の、鍵取得方法を実行するための制御モジュールであってもよく、該鍵取得装置はUEであってもよい点である。本願の実施例において、UEを例にして本願の実施例で提供される鍵取得方法を説明する。
図4は本願の実施例で提供される鍵取得装置の構造模式図を示し、図4に示すように、該鍵取得装置は、ネットワーク側機器に第1鍵情報を送信するための送信モジュール401を備える。上記第1鍵情報は、第2UEの第1鍵を指示するためのものである。上記第1鍵は、上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
選択的に、図4に示すように、該鍵取得装置は、上記第2UEから上記第2UEの第1鍵の全部もしくは一部の情報を取得するための取得モジュール402をさらに備える。
選択的に、上記第1鍵情報は、上記第2UEの第1鍵の全部もしくは一部の情報を含むか、又は上記第2UEの第1鍵の全部もしくは一部の情報及び上記第2UEのUE識別子を含む。
選択的に、図4に示すように、該鍵取得装置は、目標情報と入力パラメータに基づいて、上記第2UEの第1鍵を計算するための計算モジュール403をさらに備える。上記目標情報は、第1情報又は上記第1UEのセキュリティ鍵を含む。上記第1情報は、上記第1UEと上記第2UEに保存されている同じパラメータ又は関連パラメータである。上記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。上記入力パラメータは、目標パラメータ、上記第2UEが位置するセルのPCI、上記第2UEが位置するセルの周波数ポイント情報、上記第2UEの機器情報のうちの少なくとも1つを含む。上記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含む。
選択的に、上記目標情報は上記第1情報である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、上記第1情報のうちの少なくとも1つを含む。又は、上記目標情報は上記セキュリティ鍵である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、第1指示情報のうちの少なくとも1つを含む。上記第1指示情報は、第1UEのセキュリティ鍵を用いて該第2UEの第1鍵を生成することを指示するためのものである。
選択的に、図4に示すように、該鍵取得装置400は、受信モジュール404と処理モジュール405をさらに備える。受信モジュール404は、上記第2UEから鍵要求を受信するために用いられ、上記鍵要求は、上記第1UEの第2鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものであり、上記第2鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。処理モジュール405は、受信モジュール404が受信した上記鍵要求に応じて、上記第2鍵を上記第2UEの第1鍵とするために用いられる。
選択的に、上記第1鍵情報は、第2指示情報、上記第2UEのUE識別子のうちの少なくとも1つを含む。上記第2指示情報は、第1UEのセキュリティ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである。
選択的に、上記受信モジュール404はさらに、上記第2UEからプロキシ要求を受信するために用いられ、上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものである。上記送信モジュール401はさらに、上記第2UEにプロキシ応答を送信するために用いられ、上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものである。
選択的に、上記送信モジュール401はさらに、第2情報を送信するために用いられ、上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
選択的に、上記送信モジュール401はさらに、第1条件を満たす場合に、上記ネットワーク側機器又は第2UEに第2鍵情報を送信するために用いられ、上記第2鍵情報は更新後の第1鍵を指示するためのものである。
選択的に、上記第1条件は、第2UEの第1鍵の変更、第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。
選択的に、上記送信モジュール401はさらに、上記第2UEに上記第1鍵を送信するために用いられる。
本願の実施例で提供される鍵取得装置は、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告し、これにより鍵取得装置は該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
図5は本願の実施例で提供される鍵取得装置の構造模式図を示し、図5に示すように、該鍵取得装置は、第1UEにプロキシ要求を送信するための送信モジュール501を備える。送信モジュール501はさらに、第1UEからフィードバックされたプロキシ応答を受信すると、上記第1UEに目標鍵情報を送信するために用いられ、上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、上記目標鍵情報は、上記第1鍵を指示するためのものであり、上記第1鍵は、上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
選択的に、上記目標鍵情報は、上記第1鍵の全部もしくは一部の情報、又は、鍵要求を含む。上記鍵要求は、上記第1UEの第2鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである。上記第2鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。
選択的に、図5に示すように、該鍵取得装置500は、上記第1UEから第2情報を受信するための受信モジュール502をさらに備え、上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
選択的に、送信モジュール501はさらに、第1条件を満たす場合に、ネットワーク側機器及び/又は上記第1UEに第3鍵情報を送信するために用いられ、上記第3鍵情報は更新後の第1鍵を指示するためのものである。
選択的に、上記第1条件は、第2UEの第1鍵の変更、第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。
選択的に、受信モジュール502はさらに、上記第1UEから第1鍵情報を受信するために用いられ、上記第1鍵情報は第2UEの第1鍵を指示するためのものである。
選択的に、上記受信モジュール502はさらに、ネットワーク側機器から第3情報を受信するために用いられ、上記第3情報は、上記第2UEのセキュリティ状態をアクティブ化及び/又は上記第2UEのセキュリティ鍵を確認するためのものである。上記送信モジュール501はさらに、上記ネットワーク側機器に応答情報をフィードバックするために用いられ、上記応答情報は、上記第2UEのアップリンクセキュリティがアクティブ化されたことを指示するためのものである。
本願の実施例で提供される鍵取得装置は、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第1UEが第2UEのプロキシとして送信した第1鍵情報を取得して、その中から第2UEのセキュリティ鍵を取得することができ、これにより鍵取得装置は該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
図6は本願の実施例で提供される鍵取得装置の構造模式図を示し、図6に示すように、該鍵取得装置600は、第1UEから第1鍵情報を受信するための受信モジュール601を備え、上記第1鍵情報は、第2UEの第1鍵を指示するためのものであり、上記第2UEの第1鍵は、上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
選択的に、図6に示すように、該鍵取得装置600は、決定モジュール602をさらに備える。上記受信モジュール601はさらに、目標UEから目標鍵情報を受信するために用いられ、上記目標UEは第1UE又は第2UEを含む。決定モジュール602は、上記目標鍵情報に基づいて、更新後の上記第2UEの第1鍵を決定するために用いられ、上記目標鍵情報は、上記更新後の上記第2UEの第1鍵を指示するためのものである。
選択的に、図6に示すように、該鍵取得装置600は、第1条件を満たす場合に、目標UEに第4鍵情報を送信するための送信モジュール603をさらに備え、上記目標UEは第1UE又は第2UEを含み、上記目標鍵情報は、上記更新後の上記第2UEの第1鍵を指示するためのものである。
選択的に、上記送信モジュール603はさらに、第2条件を満たす場合に、上記第2UEに第3情報を送信するために用いられる。上記受信モジュール601はさらに、上記第2UEから応答情報を受信するために用いられ、上記第3情報は、上記第2UEのセキュリティをアクティブ化及び/又は上記第2UEのセキュリティ鍵を確認するためのものであり、上記応答情報は、上記第2UEのセキュリティがアクティブ化されたことを指示するためのものであり、上記第2条件は、上記第2UEがRRC接続状態に入ること、上記ネットワーク側機器が上記第2UEのセキュリティコンテキストを確立したこと、上記第2UEのダウンリンクデータが到着し且つセキュリティ状態がアクティブ化されていないことのうちの少なくとも1つを含む。
本願の実施例で提供される鍵取得装置は、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第2UEにプロキシ要求を送信することで、第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告することを要求し、これにより鍵取得装置は該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
上記鍵取得装置は装置であってもよく、UE内のコンポーネント、集積回路、又はチップであってもよい。該装置は、携帯型の端末であっても、又は非携帯型の端末であってもよい。例示的に、携帯型の端末は上記に列挙した端末のタイプを含んでもよいが、これらに限定されない。非携帯型の端末は、サーバ、ネットワーク接続ストレージ(Network Attached Storage,NAS)、パーソナルコンピュータ(personal computer,PC)、テレビジョン(television,TV)、現金自動預払機又はキオスク等であってもよく、本願の実施例では具体的に限定しない。
本願の実施例における鍵取得装置はオペレーティングシステムを有する装置であってもよい。該オペレーティングシステムはアンドロイド(登録商標)(Android(登録商標))オペレーティングシステムであってもよく、IOSオペレーティングシステムであってもよく、他の可能なオペレーティングシステムであってもよく、本願の実施例では具体的に限定しない。
本願の実施例で提供される鍵取得装置は、方法実施例において実現される各プロセスを実現し、同様な技術効果を達成することができる。重複を避けるために、ここでは詳細な説明を省略する。
選択的に、図7に示すように、本願の実施例は通信機器700をさらに提供する。該通信機器700は、プロセッサ701と、メモリ702と、メモリ702に記憶され、上記プロセッサ701によって実行可能なプログラムもしくは命令とを備え、例えば、該通信機器700は端末である場合、該プログラムもしくは命令がプロセッサ701によって実行されると、上記鍵取得方法実施例の各プロセスが実現され、同様な技術効果を達成することができる。該通信機器700はネットワーク側機器である場合、該プログラムもしくは命令がプロセッサ701によって実行されると、上記鍵取得方法実施例の各プロセスが実現され、同様な技術効果を達成することができる。重複を避けるために、ここでは詳細な説明を省略する。
図8は本願の実施例を実現する端末のハードウェア構造模式図である。
該端末100は、高周波ユニット101、ネットワークモジュール102、オーディオ出力ユニット103、入力ユニット104、センサ105、表示ユニット106、ユーザ入力ユニット107、インタフェースユニット108、メモリ109、及びプロセッサ110等の部材を含むが、それらに限定されない。
当業者であれば、端末100は各部材に給電する電源(例えば、電池)をさらに含んでもよく、電源は電源管理システムによってプロセッサ110に論理的に接続し、さらに電源管理システムによって充放電の管理、及び電力消費管理等の機能を実現できることが理解可能である。図8に示す端末構造は端末を限定するものではなく、端末は図示より多く又はより少ない部材、又は一部の部材の組合せ、又は異なる部材配置を含んでもよく、ここでは説明を省略する。
本願の実施例において、入力ユニット104は、ビデオキャプチャモード又は画像キャプチャモードで画像キャプチャ装置(例えば、カメラ)が取得したスチル画像又はビデオの画像データを処理するグラフィックスプロセッシングユニット(Graphics Processing Unit,GPU)1041、及びマイクロホン1042を含んでもよいことを理解すべきである。表示ユニット106は表示パネル1061を含んでもよく、液晶ディスプレイ、有機発光ダイオード等の形態で表示パネル1061を構成することができる。ユーザ入力ユニット107はタッチパネル1071及び他の入力機器1072を含む。タッチパネル1071はタッチスクリーンとも呼ばれる。タッチパネル1071は、タッチ検出装置及びタッチコントローラとの2つの部分を含んでもよい。他の入力機器1072は、物理キーボード、機能ボタン(例えば、音量制御ボタン、スイッチボタン等)、トラックボール、マウス、操作レバーを含んでもよいが、それらに限定されず、ここでは詳細な説明を省略する。
本願の実施例において、高周波ユニット101はネットワーク側機器からのダウンリンクデータを受信した後、プロセッサ110で処理し、また、アップリンクのデータをネットワーク側機器に送信する。通常、高周波ユニット101は、アンテナ、少なくとも1つの増幅器、受送信機、カプラー、低騒音増幅器、デュプレクサ等を含むが、それらに限定されない。
メモリ109は、ソフトウェアプログラムもしくは命令及び様々なデータを記憶するために用いることができる。メモリ109は、オペレーティングシステム、少なくとも1つの機能に必要なアプリケーションもしくは命令(例えば、音声再生機能、画像再生機能等)等を記憶可能なプログラムもしくは命令記憶領域と、データ記憶領域とを主に含んでもよい。また、メモリ109は、高速ランダムアクセスメモリを含んでもよく、非揮発性メモリをさらに含んでもよい。非揮発性メモリは、読み取り専用メモリ(Read-Only Memory,ROM)、プログラマブル読み取り専用メモリ(Programmable ROM,PROM)、消去可能プログラマブル読み取り専用メモリ(Erasable PROM,EPROM)、電気消去可能プログラマブル読み取り専用メモリ(Electrically EPROM,EEPROM)又はラッシュメモリであってもよく、例えば、少なくとも1つのディスク記憶装置、フラッシュメモリ、又は他の非揮発性ソリッドステート記憶装置である。
プロセッサ110は、1つ又は複数の処理ユニットを含んでもよい。選択的に、プロセッサ110に、オペレーティングシステム、ユーザインタフェース及びアプリケーションもしくは命令等を主に処理するアプリケーションプロセッサと、無線通信を主に処理するベースバンドプロセッサのようなモデムプロセッサとを統合することができる。上記モデムプロセッサはプロセッサ110に統合されなくてもよいことが理解可能である。
高周波ユニット101は、ネットワーク側機器に第1鍵情報を送信するために用いられ、上記第1鍵情報は第2UEの第1鍵を指示するためのものであり、上記第1鍵は上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
選択的に、プロセッサ110は、上記第2UEから上記第2UEの第1鍵の全部もしくは一部の情報を取得するために用いられる。
選択的に、上記第1鍵情報は、上記第2UEの第1鍵の全部もしくは一部の情報を含むか、又は上記第2UEの第1鍵の全部もしくは一部の情報及び上記第2UEのUE識別子を含む。
選択的に、プロセッサ110はさらに、目標情報と入力パラメータに基づいて、上記第2UEの第1鍵を計算するために用いられる。上記目標情報は、第1情報又は上記第1UEのセキュリティ鍵を含む。上記第1情報は、上記第1UEと上記第2UEに保存されている同じパラメータ又は関連パラメータである。上記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。上記入力パラメータは、目標パラメータ、上記第2UEが位置するセルのPCI、上記第2UEが位置するセルの周波数ポイント情報、上記第2UEの機器情報のうちの少なくとも1つを含む。上記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含む。
選択的に、上記目標情報は上記第1情報である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、上記第1情報のうちの少なくとも1つを含む。又は、上記目標情報は上記セキュリティ鍵である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、第1指示情報のうちの少なくとも1つを含む。上記第1指示情報は、第1UEのセキュリティ鍵を用いて該第2UEの第1鍵を生成することを指示するためのものである。
選択的に、高周波ユニット101は、上記第2UEから鍵要求を受信するために用いられ、上記鍵要求は、上記第1UEの第2鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものであり、上記第2鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。プロセッサ110は、上記鍵要求に応じて、上記第2鍵を上記第2UEの第1鍵とするために用いられる。
選択的に、上記第1鍵情報は、第2指示情報、上記第2UEのUE識別子のうちの少なくとも1つを含む。上記第2指示情報は、第1UEのセキュリティ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである。
選択的に、上記高周波ユニット101はさらに、上記第2UEからプロキシ要求を受信するために用いられ、上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものである。上記送信モジュール401はさらに、上記第2UEにプロキシ応答を送信するために用いられ、上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものである。
選択的に、上記高周波ユニット101はさらに、第2情報を送信するために用いられ、上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
選択的に、上記高周波ユニット101はさらに、第1条件を満たす場合に、上記ネットワーク側機器又は第2UEに第2鍵情報を送信するために用いられ、上記第2鍵情報は更新後の第1鍵を指示するためのものである。
選択的に、上記第1条件は、第2UEの第1鍵の変更、第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。
選択的に、上記高周波ユニット101はさらに、上記第2UEに上記第1鍵を送信するために用いられる。
本願の実施例で提供されるUEは、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告し、これにより該UEは該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
上記高周波ユニット101は、第1UEにプロキシ要求を送信するために用いられる。上記高周波ユニット101はさらに、第1UEからフィードバックされたプロキシ応答を受信すると、上記第1UEに目標鍵情報を送信するために用いられ、上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、上記目標鍵情報は上記第1鍵を指示するためのものであり、上記第1鍵は、上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
選択的に、上記目標鍵情報は、上記第1鍵の全部もしくは一部の情報、又は、鍵要求を含む。上記鍵要求は、上記第1UEの第2鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである。上記第2鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。
選択的に、上記高周波ユニット101はさらに、上記第1UEから第2情報を受信するために用いられ、上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
選択的に、上記高周波ユニット101はさらに、第1条件を満たす場合に、ネットワーク側機器及び/又は上記第1UEに第3鍵情報を送信するために用いられ、上記第3鍵情報は更新後の第1鍵を指示するためのものである。
選択的に、上記第1条件は、第2UEの第1鍵の変更、第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。
選択的に、上記高周波ユニット101はさらに、上記第1UEから第1鍵情報を受信するために用いられ、上記第1鍵情報は第2UEの第1鍵を指示するためのものである。
選択的に、上記高周波ユニット101はさらに、ネットワーク側機器から第3情報を受信するために用いられ、上記第3情報は、上記第2UEのセキュリティ状態をアクティブ化及び/又は上記第2UEのセキュリティ鍵を確認するためのものである。上記高周波ユニット101はさらに、上記ネットワーク側機器に応答情報をフィードバックするために用いられ、上記応答情報は、上記第2UEのアップリンクセキュリティがアクティブ化されたことを指示するためのものである。
本願の実施例で提供されるUEは、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第2UEにプロキシ要求を送信することで、第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告することを要求し、これにより該UEは該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
具体的に、本願の実施例はネットワーク側機器をさらに提供する。図9に示すように、該ネットワーク側機器900は、アンテナ901、高周波装置902及びベースバンド装置903を含む。アンテナ901は高周波装置902に接続される。アップリンク方向において、高周波装置902は、アンテナ901を介して情報を受信して、受信した情報をベースバンド装置903に送信して処理する。ダウンリンク方向において、ベースバンド装置903は、送信対象となる情報を処理し、高周波装置902に送信し、高周波装置902は、受信した情報を処理してからアンテナ901を介して送信する。
上記帯域処理装置は、ベースバンド装置903内に位置してもよく、以上の実施例においてネットワーク側機器によって実行される方法はベースバンド装置903において実現することができ、該ベースバンド装置903はプロセッサ904及びメモリ905を含む。
ベースバンド装置903は、例えば、少なくとも1つのベースバンドボードを含んでもよく、該ベースバンドボードに複数のチップが設置され、図9に示すように、そのうちの1つのチップは、例えば、メモリ905に接続され、メモリ905内のプログラムを呼び出して以上の方法実施例に示したネットワーク側機器の動作を実行するプロセッサ904である。
該ベースバンド装置903は、高周波装置902と情報を交換するためのネットワークインタフェース906をさらに含んでもよく、該インタフェースは、例えば、共通公衆無線インタフェース(common public radio interface,CPRI)である。
具体的に、本願の実施例のネットワーク側機器は、メモリ905に記憶され、プロセッサ904によって実行可能な命令もしくはプログラムをさらに備え、プロセッサ904はメモリ905内の命令もしくはプログラムを呼び出して図6に示す各モジュールにより実行される方法を実行して、同様な技術効果を達成することができる。重複を避けるために、ここでは詳細な説明を省略する。
本願の実施例は可読記憶媒体をさらに提供する。上記可読記憶媒体には、プログラムもしくは命令が記憶されており、該プログラムもしくは命令がプロセッサによって実行されると、上記鍵取得方法実施例の各プロセスが実現され、同様な技術効果を達成することができる。重複を避けるために、ここでは詳細な説明を省略する。
上記プロセッサは上記実施例に記載の端末内のプロセッサである。上記可読記憶媒体は、コンピュータ読み取り専用メモリ(Read-Only Memory,ROM)、ランダムアクセスメモリ(Random Access Memory,RAM)、磁気ディスク又は光ディスク等のコンピュータ可読記憶媒体を含む。
本願の実施例はチップをさらに提供する。上記チップはプロセッサ及び通信インタフェースを備え、上記通信インタフェースと上記プロセッサが結合され、上記プロセッサはネットワーク側機器プログラムもしくは命令を実行して、上記鍵取得方法実施例の各プロセスを実現するために用いられ、同様な技術効果を達成することができる、重複を避けるために、ここでは詳細な説明を省略する。
本願の実施例で言及したチップはシステムレベルチップ、システムチップ、チップシステム又はシステムオンチップ等と呼ばれてもよいことを理解すべきである。
説明すべきことは、本明細書において、用語「含む」、「からなる」又はその他のあらゆる変形は、非排他的包含を含むように意図され、それにより一連の要素を含むプロセス、方法、物品又は装置は、それらの要素のみならず、明示されていない他の要素、又はこのようなプロセス、方法、物品又は装置に固有の要素をも含む点である。特に断らない限り、語句「1つの……を含む」により限定される要素は、該要素を含むプロセス、方法、物品又は装置に別の同じ要素がさらに存在することを排除するものではない。また、指摘すべきことは、本願の実施形態における方法及び装置の範囲は、図示又は検討された順序で機能を実行することに限定されず、係る機能に応じて実質的に同時に又は逆の順序で機能を実行することも含み得る点であり、例えば、説明されたものと異なる順番で、説明された方法を実行してもよく、さらに様々なステップを追加、省略、又は組み合わせてもよい。また、何らかの例を参照して説明した特徴は他の例において組み合わせられてもよい。
以上の実施形態に対する説明によって、当業者であれば上記実施例の方法がソフトウェアと必要な共通ハードウェアプラットフォームとの組合せという形態で実現できることを明確に理解可能であり、当然ながら、ハードウェアによって実現してもよいが、多くの場合において前者はより好ましい実施形態である。このような見解をもとに、本願の技術的解決手段は実質的に又は従来技術に寄与する部分はソフトウェア製品の形で実施することができ、該コンピュータソフトウェア製品は、記憶媒体(例えばROM/RAM、磁気ディスク、光ディスク)に記憶され、端末(携帯電話、コンピュータ、サーバ、エアコン、又はネットワーク側機器等であってもよい)に本願の各実施例に記載の方法を実行させる複数の命令を含む。
以上、図面を参照しながら本願の実施例を説明したが、本願は上記の具体的な実施形態に限定されず、上記の具体的な実施形態は例示的なものに過ぎず、限定的なものではなく、本願の示唆をもとに、当業者が本願の趣旨及び特許請求の保護範囲から逸脱することなくなし得る多くの形態は、いずれも本願の保護範囲に属するものとする。
〔関連出願の相互参照〕
本出願は、2020年05月27日に中国で出願した中国特許出願番号202010463814.4の優先権を主張し、その全ての内容は引用によって本文に取り込まれる。

Claims (53)

  1. 第1ユーザ機器UEはネットワーク側機器に第1鍵情報を送信するステップを含み、前記第1鍵情報は第2UEの第1鍵を指示するためのものであり、前記第2UEの第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得方法。
  2. 前記第1UEはネットワーク側機器に第1鍵情報を送信する前に、
    前記第1UEは前記第2UEから前記第2UEの第1鍵の全部もしくは一部の情報を取得するステップをさらに含む、請求項1に記載の方法。
  3. 前記第1鍵情報は、前記第2UEの第1鍵の全部もしくは一部の情報を含むか、又は前記第2UEの第1鍵の全部もしくは一部の情報及び前記第2UEのUE識別子を含む、請求項2に記載の方法。
  4. 前記第1UEはネットワーク側機器に第1鍵情報を送信する前に、
    前記第1UEは目標情報と入力パラメータに基づいて、前記第2UEの第1鍵を計算するステップをさらに含み、
    前記目標情報は第1情報又は前記第1UEのセキュリティ鍵を含み、
    前記第1情報は前記第1UEと前記第2UEに保存されている同じパラメータ又は関連パラメータであり、前記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、前記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、前記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵であり、
    前記入力パラメータは、目標パラメータ、前記第2UEが位置するセルのPCI、前記第2UEが位置するセルの周波数ポイント情報、前記第2UEの機器情報のうちの少なくとも1つを含み、前記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含む、請求項1に記載の方法。
  5. 前記目標情報は前記第1情報である場合、前記第1鍵情報は、前記第1鍵、前記入力パラメータ、前記第2UEのUE識別子、前記第1情報のうちの少なくとも1つを含み、又は、
    前記目標情報は前記第1UEのセキュリティ鍵である場合、前記第1鍵情報は、前記第1鍵、前記入力パラメータ、前記第2UEのUE識別子、第1指示情報のうちの少なくとも1つを含み、前記第1指示情報は前記第1UEのセキュリティ鍵を用いて前記第2UEの第1鍵を生成することを指示するためのものである、請求項4に記載の方法。
  6. 前記第1UEはネットワーク側機器に第1鍵情報を送信する前に、
    前記第1UEは前記第2UEから鍵要求を受信するステップであって、前記鍵要求は前記第1UEのセキュリティ鍵を用いて前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものであり、前記セキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、前記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、前記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵であるステップと、
    前記第1UEは前記鍵要求に応じて、前記第1UEのセキュリティ鍵を前記第2UEの第1鍵とするステップと、をさらに含む、請求項1に記載の方法。
  7. 前記第1鍵情報は、第2指示情報、前記第2UEのUE識別子のうちの少なくとも1つを含み、前記第2指示情報は前記第1UEのセキュリティ鍵を用いて前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである、請求項6に記載の方法。
  8. 前記第1UEはネットワーク側機器に第1鍵情報を送信する前に、
    前記第1UEは前記第2UEからプロキシ要求を受信するステップであって、前記プロキシ要求は前記第2UEのセキュリティプロセスのプロキシを要求するためのものであるステップと、
    前記第1UEは前記第2UEにプロキシ応答を送信するステップであって、前記プロキシ応答は前記第1UEが前記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであるステップと、をさらに含む、請求項1に記載の方法。
  9. 前記第1UEは前記第2UEからプロキシ要求を受信する前に、
    前記第1UEは第2情報を送信するステップをさらに含み、前記第2情報は前記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである、請求項8に記載の方法。
  10. 前記第1UEはネットワーク側機器に第1鍵情報を送信した後、
    前記第1UEは第1条件を満たす場合に、前記ネットワーク側機器又は第2UEに第2鍵情報を送信するステップをさらに含み、前記第2鍵情報は更新後の前記第2UEの第1鍵を指示するためのものである、請求項1に記載の方法。
  11. 前記第1条件は、前記第2UEの第1鍵の変更、前記第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む、請求項10に記載の方法。
  12. 前記第1UEはネットワークに第1鍵情報を送信した後、
    前記第1UEは前記第2UEに前記第2UEの第1鍵を送信するステップをさらに含む、請求項4又は6に記載の方法。
  13. 第2UEは第1UEにプロキシ要求を送信するステップと、
    前記第2UEは前記第1UEからフィードバックされたプロキシ応答を受信すると、前記第1UEに目標鍵情報を送信するステップと、を含み、
    前記プロキシ要求は前記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、
    前記プロキシ応答は前記第1UEが前記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、
    前記目標鍵情報は前記第2UEの第1鍵を指示するためのものであり、前記第2UEの第1鍵は前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得方法。
  14. 前記目標鍵情報は、前記第1鍵の全部もしくは一部の情報、又は、鍵要求を含み、
    前記鍵要求は前記第1UEのセキュリティ鍵を用いて前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものであり、前記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、前記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、前記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である、請求項13に記載の方法。
  15. 前記第2UEは第1UEにプロキシ要求を送信する前に、
    前記第2UEは前記第1UEから第2情報を受信するステップをさらに含み、前記第2情報は前記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである、請求項13に記載の方法。
  16. 前記第2UEは第1UEに前記第2UEの第1鍵を送信した後、
    前記第2UEは第1条件を満たす場合に、ネットワーク側機器及び/又は前記第1UEに第3鍵情報を送信するステップをさらに含み、前記第3鍵情報は更新後の前記第2UEの第1鍵を指示するためのものである、請求項13に記載の方法。
  17. 前記第1条件は、前記第2UEの第1鍵の変更、前記第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む、請求項16に記載の方法。
  18. 前記第2UEは前記第1UEから第1鍵情報を受信するステップをさらに含み、前記第1鍵情報は前記第2UEの第1鍵を指示するためのものである、請求項13に記載の方法。
  19. 前記第2UEはネットワーク側機器に第1鍵情報を送信した後、
    前記第2UEはネットワーク側機器から第3情報を受信するステップであって、前記第3情報は前記第2UEのセキュリティ状態をアクティブ化及び/又は前記第2UEのセキュリティ鍵を確認するためのものであるステップと、
    前記第2UEは前記ネットワーク側機器に応答情報をフィードバックするステップであって、前記応答情報は前記第2UEのアップリンクセキュリティがアクティブ化されたことを指示するためのものであるステップと、をさらに含む、請求項13に記載の方法。
  20. ネットワーク側機器は第1UEから第1鍵情報を受信するステップを含み、
    前記第1鍵情報は第2UEの第1鍵を指示するためのものであり、前記第2UEの第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得方法。
  21. 前記ネットワーク側機器は第1UEから第1鍵情報を受信した後、
    前記ネットワーク側機器は目標UEから目標鍵情報を受信するステップであって、前記目標UEは第1UE又は第2UEを含むステップと、
    前記ネットワーク側機器は前記目標鍵情報に基づいて、更新後の前記第2UEの第1鍵を決定するステップと、をさらに含み、
    前記目標鍵情報は前記更新後の前記第2UEの第1鍵を指示するためのものである、請求項20に記載の方法。
  22. 前記ネットワーク側機器は目標UEから目標鍵情報を受信する前に、
    前記ネットワーク側機器は第1条件を満たす場合に、目標UEに第4鍵情報を送信するステップをさらに含み、
    前記目標UEは第1UE又は第2UEを含み、前記目標鍵情報は前記更新後の前記第2UEの第1鍵を指示するためのものである、請求項20に記載の方法。
  23. 前記ネットワーク側機器は目標UEから目標鍵情報を受信する前に、
    前記ネットワーク側機器は第2条件を満たす場合に、前記第2UEに第3情報を送信するステップと、
    前記ネットワーク側機器は前記第2UEから応答情報を受信するステップと、をさらに含み、
    前記第3情報は前記第2UEのセキュリティをアクティブ化及び/又は前記第2UEのセキュリティ鍵を確認するためのものであり、前記応答情報は前記第2UEのセキュリティがアクティブ化されたことを指示するためのものであり、
    前記第2条件は、前記第2UEがRRC接続状態に入ること、前記ネットワーク側機器が前記第2UEのセキュリティコンテキストを確立したこと、前記第2UEのダウンリンクデータが到着し且つセキュリティ状態がアクティブ化されていないことのうちの少なくとも1つを含む、請求項21に記載の方法。
  24. ネットワーク側機器に第1鍵情報を送信するための送信モジュールを備え、前記第1鍵情報は第2ユーザ機器UEの第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得装置。
  25. 前記第2UEから前記第2UEの第1鍵の全部もしくは一部の情報を取得するための取得モジュールをさらに備える、請求項24に記載の装置。
  26. 前記第1鍵情報は、前記第2UEの第1鍵の全部もしくは一部の情報を含むか、又は前記第2UEの第1鍵の全部もしくは一部の情報及び前記第2UEのUE識別子を含む、請求項25に記載の装置。
  27. 目標情報と入力パラメータに基づいて、前記第2UEの第1鍵を計算するための計算モジュールをさらに備え、
    前記目標情報は第1情報又は前記第1UEのセキュリティ鍵を含み、
    前記第1情報は前記第1UEと前記第2UEに保存されている同じパラメータ又は関連パラメータであり、前記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、前記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、前記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵であり、
    前記入力パラメータは、目標パラメータ、前記第2UEが位置するセルのPCI、前記第2UEが位置するセルの周波数ポイント情報、前記第2UEの機器情報のうちの少なくとも1つを含み、前記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含む、請求項24に記載の装置。
  28. 前記目標情報は前記第1情報である場合、前記第1鍵情報は、前記第1鍵、前記入力パラメータ、前記第2UEのUE識別子、前記第1情報のうちの少なくとも1つを含み、又は、
    前記目標情報は前記第1UEのセキュリティ鍵である場合、前記第1鍵情報は、前記第1鍵、前記入力パラメータ、前記第2UEのUE識別子、第1指示情報のうちの少なくとも1つを含み、前記第1指示情報は前記第1UEのセキュリティ鍵を用いて前記第2UEの第1鍵を生成することを指示するためのものである、請求項27に記載の装置。
  29. 前記第2UEから鍵要求を受信するための受信モジュールであって、前記鍵要求は前記第1UEのセキュリティ鍵を用いて前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものであり、前記セキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、前記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、前記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である受信モジュールと、
    前記受信モジュールが受信した前記鍵要求に応じて、前記第1UEのセキュリティ鍵を前記第2UEの第1鍵とするための処理モジュールと、をさらに備える、請求項24に記載の装置。
  30. 前記第1鍵情報は、第2指示情報、前記第2UEのUE識別子のうちの少なくとも1つを含み、前記第2指示情報は前記第1UEのセキュリティ鍵を用いて前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである、請求項29に記載の装置。
  31. 前記第2UEからプロキシ要求を受信するための受信モジュールをさらに備え、前記プロキシ要求は前記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、
    前記送信モジュールはさらに、前記第2UEにプロキシ応答を送信するために用いられ、前記プロキシ応答は前記第1UEが前記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものである、請求項24に記載の装置。
  32. 前記送信モジュールはさらに、
    第2情報を送信するために用いられ、前記第2情報は前記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである、請求項31に記載の装置。
  33. 前記送信モジュールはさらに、
    第1条件を満たす場合に、前記ネットワーク側機器又は第2UEに第2鍵情報を送信するために用いられ、前記第2鍵情報は更新後の前記第2UEの第1鍵を指示するためのものである、請求項24に記載の装置。
  34. 前記第1条件は、前記第2UEの第1鍵の変更、前記第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む、請求項33に記載の装置。
  35. 前記送信モジュールはさらに、
    前記第2UEに前記第2UEの第1鍵を送信するために用いられる、請求項27又は29に記載の装置。
  36. 第1UEにプロキシ要求を送信するための送信モジュールを備え、
    前記送信モジュールはさらに、第1UEからフィードバックされたプロキシ応答を受信すると、前記第1UEに目標鍵情報を送信するために用いられ、
    前記プロキシ要求は前記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、
    前記プロキシ応答は前記第1UEが前記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、
    前記目標鍵情報は前記第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得装置。
  37. 前記目標鍵情報は、前記第1鍵の全部もしくは一部の情報、又は、鍵要求を含み、
    前記鍵要求は前記第1UEのセキュリティ鍵を用いて前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものであり、前記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、前記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、前記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である、請求項36に記載の装置。
  38. 前記第1UEから第2情報を受信するための受信モジュールをさらに備え、前記第2情報は前記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである、請求項36に記載の装置。
  39. 前記送信モジュールはさらに、
    第1条件を満たす場合に、ネットワーク側機器及び/又は前記第1UEに第3鍵情報を送信するために用いられ、前記第3鍵情報は更新後の前記第2UEの第1鍵を指示するためのものである、請求項36に記載の装置。
  40. 前記第1条件は、前記第2UEの第1鍵の変更、前記第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む、請求項39に記載の装置。
  41. 前記第1UEから第1鍵情報を受信するための受信モジュールをさらに備え、前記第1鍵情報は前記第2UEの第1鍵を指示するためのものである、請求項36に記載の装置。
  42. ネットワーク側機器から第3情報を受信するための受信モジュールをさらに備え、前記第3情報は前記第2UEのセキュリティ状態をアクティブ化及び/又は前記第2UEのセキュリティ鍵を確認するためのものであり、
    前記送信モジュールはさらに、前記ネットワーク側機器に応答情報をフィードバックするために用いられ、前記応答情報は前記第2UEのアップリンクセキュリティがアクティブ化されたことを指示するためのものである、請求項36に記載の装置。
  43. 第1UEから第1鍵情報を受信するための受信モジュールを備え、
    前記第1鍵情報は第2UEの第1鍵を指示するためのものであり、前記第2UEの第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得装置。
  44. 前記受信モジュールはさらに、目標UEから目標鍵情報を受信するために用いられ、前記目標UEは第1UE又は第2UEを含み、
    前記受信モジュールが受信した前記目標鍵情報に基づいて、更新後の前記第2UEの第1鍵を決定するための決定モジュールをさらに備え、
    前記目標鍵情報は前記更新後の前記第2UEの第1鍵を指示するためのものである、請求項43に記載の装置。
  45. 第1条件を満たす場合に、目標UEに第4鍵情報を送信するための送信モジュールをさらに備え、
    前記目標UEは第1UE又は第2UEを含み、前記目標鍵情報は前記更新後の前記第2UEの第1鍵を指示するためのものである、請求項43に記載の装置。
  46. 第2条件を満たす場合に、前記第2UEに第3情報を送信するための送信モジュールをさらに備え、
    前記受信モジュールはさらに、前記第2UEから応答情報を受信するために用いられ、
    前記第3情報は前記第2UEのセキュリティをアクティブ化及び/又は前記第2UEのセキュリティ鍵を確認するためのものであり、前記応答情報は前記第2UEのセキュリティがアクティブ化されたことを指示するためのものであり、
    前記第2条件は、前記第2UEがRRC接続状態に入ること、前記ネットワーク側機器が前記第2UEのセキュリティコンテキストを確立したこと、前記第2UEのダウンリンクデータが到着し且つセキュリティ状態がアクティブ化されていないことのうちの少なくとも1つを含む、請求項43に記載の装置。
  47. プロセッサと、メモリと、前記メモリに記憶され、前記プロセッサによって実行可能なプログラムもしくは命令とを備え、前記プログラムもしくは命令が前記プロセッサによって実行されると、請求項1から12のいずれか1項又は請求項13から19のいずれか1項に記載の鍵取得方法のステップが実現されることを特徴とする、UE。
  48. プロセッサと、メモリと、前記メモリに記憶され、前記プロセッサによって実行可能なプログラムもしくは命令とを備え、前記プログラムもしくは命令が前記プロセッサによって実行されると、請求項20から23のいずれか1項に記載の鍵取得方法のステップが実現される、ネットワーク側機器。
  49. プログラムもしくは命令が記憶されており、前記プログラムもしくは命令が前記プロセッサによって実行されると、請求項1から12のいずれか1項又は請求項13から19のいずれか1項又は請求項20から23のいずれか1項に記載の鍵取得方法のステップが実現されることを特徴とする、可読記憶媒体。
  50. 請求項1から12のいずれか1項又は請求項13から19のいずれか1項又は請求項20から23のいずれか1項に記載の鍵取得方法を実行するように構成される、鍵取得装置。
  51. 請求項1から12のいずれか1項又は請求項13から19のいずれか1項に記載の鍵取得方法を実行するように構成される、UE。
  52. 請求項20から23のいずれか1項に記載の鍵取得方法を実行するように構成される、ネットワーク側機器。
  53. プロセッサ及び通信インタフェースを備え、前記通信インタフェースと前記プロセッサが結合され、前記プロセッサはネットワーク側機器プログラムもしくは命令を実行して、請求項1から12のいずれか1項又は請求項13から19のいずれか1項又は請求項20から23のいずれか1項に記載の方法を実現するために用いられる、チップ。
JP2022573410A 2020-05-27 2021-05-27 鍵取得方法、鍵取得装置、ユーザ機器、ネットワーク側機器および可読記憶媒体 Pending JP2023527442A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN202010463814.4 2020-05-27
CN202010463814.4A CN113766494B (zh) 2020-05-27 2020-05-27 密钥获取方法、装置、用户设备及网络侧设备
PCT/CN2021/096533 WO2021239076A1 (zh) 2020-05-27 2021-05-27 密钥获取方法、装置、用户设备及网络侧设备

Publications (1)

Publication Number Publication Date
JP2023527442A true JP2023527442A (ja) 2023-06-28

Family

ID=78745645

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022573410A Pending JP2023527442A (ja) 2020-05-27 2021-05-27 鍵取得方法、鍵取得装置、ユーザ機器、ネットワーク側機器および可読記憶媒体

Country Status (5)

Country Link
US (1) US20230079410A1 (ja)
EP (1) EP4145878A4 (ja)
JP (1) JP2023527442A (ja)
CN (1) CN113766494B (ja)
WO (1) WO2021239076A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016219955A (ja) * 2015-05-18 2016-12-22 株式会社Nttドコモ 無線通信システムおよび無線通信端末
JP2018502529A (ja) * 2014-11-05 2018-01-25 クゥアルコム・インコーポレイテッドQualcomm Incorporated 認証相互運用性のための方法およびシステム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI430674B (zh) * 2009-08-14 2014-03-11 Ind Tech Res Inst 用於具有中繼節點之無線通訊系統的安全性方法
US8776197B2 (en) * 2011-12-09 2014-07-08 Verizon Patent And Licensing Inc. Secure enterprise service delivery
US9338136B2 (en) * 2013-12-05 2016-05-10 Alcatel Lucent Security key generation for simultaneous multiple cell connections for mobile device
CN105103517B (zh) * 2014-01-28 2019-04-05 华为技术有限公司 一种安全密钥更改方法和基站及用户设备
EP3402269B1 (en) * 2016-01-27 2021-01-13 Huawei Technologies Co., Ltd. Communication method and communication device
JP2019511154A (ja) * 2016-02-04 2019-04-18 華為技術有限公司Huawei Technologies Co.,Ltd. セキュリティパラメータ伝送方法及び関係するデバイス
WO2017143541A1 (zh) * 2016-02-24 2017-08-31 华为技术有限公司 一种数据安全保护方法及装置
CN108924829B (zh) * 2017-04-07 2022-05-24 中兴通讯股份有限公司 一种发送、处理上行数据和认证的方法及装置
CN110769418B (zh) * 2018-07-26 2022-06-28 维沃移动通信有限公司 一种密钥更新方法、终端及网络侧设备
US20200037165A1 (en) * 2018-07-30 2020-01-30 Lenovo (Singapore) Pte. Ltd. Security protection for user plane traffic
CN110830993B (zh) * 2018-08-10 2021-08-20 华为技术有限公司 一种数据处理的方法、装置和计算机可读存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018502529A (ja) * 2014-11-05 2018-01-25 クゥアルコム・インコーポレイテッドQualcomm Incorporated 認証相互運用性のための方法およびシステム
JP2016219955A (ja) * 2015-05-18 2016-12-22 株式会社Nttドコモ 無線通信システムおよび無線通信端末

Also Published As

Publication number Publication date
US20230079410A1 (en) 2023-03-16
EP4145878A1 (en) 2023-03-08
CN113766494A (zh) 2021-12-07
EP4145878A4 (en) 2023-11-08
CN113766494B (zh) 2024-06-28
WO2021239076A1 (zh) 2021-12-02

Similar Documents

Publication Publication Date Title
US11025414B2 (en) Key exchange method and apparatus
CN106656476B (zh) 一种密码保护方法、装置及计算机可读存储介质
US11917054B2 (en) Network key processing method and system and related device
EP3657835B1 (en) Access method of user equipment, user equipment and computer-readable storage medium
US20200228977A1 (en) Parameter Protection Method And Device, And System
US10057760B2 (en) Apparatus and methods for Electronic Subscriber Identity Module (ESIM) installation notification
US11564099B2 (en) RRC connection resume method and apparatus
JP7410930B2 (ja) 無線通信ネットワークにおける非アクセス階層通信の保護
JP2009141958A (ja) セキュリティーキー変更を処理する方法及び通信装置
EP3255914A1 (en) Key generation method, device and system
EP4021048A1 (en) Identity authentication method and apparatus
WO2017133021A1 (zh) 一种安全处理方法及相关设备
US20210250762A1 (en) Key generation method, device, and system
CN106465102A (zh) 用于保护无线网络中的设备到设备通信的方法、网络元件、用户装备和系统
WO2021244447A1 (zh) 信息保护方法、系统及通信装置
US20220272511A1 (en) Subscription data management method and apparatus
EP3738331B1 (en) Configuring radio resources
WO2021103772A1 (zh) 数据传输方法和装置
CN106599698A (zh) 一种加密图片、解密图片的方法和装置
WO2023226778A1 (zh) 身份认证方法、装置、电子设备及计算机可读存储介质
CN114503628A (zh) 管理通信系统中的安全密钥
CN110830421B (zh) 数据传输方法和设备
CN113395697A (zh) 传输寻呼信息的方法和通信装置
JP2023527442A (ja) 鍵取得方法、鍵取得装置、ユーザ機器、ネットワーク側機器および可読記憶媒体
EP4231681A1 (en) Trusted relay communication method and apparatus, terminal, and network side device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221128

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240419

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240625