JP2024508724A - セルラーネットワークにおけるプロビジョニングサーバの選択 - Google Patents

セルラーネットワークにおけるプロビジョニングサーバの選択 Download PDF

Info

Publication number
JP2024508724A
JP2024508724A JP2023548725A JP2023548725A JP2024508724A JP 2024508724 A JP2024508724 A JP 2024508724A JP 2023548725 A JP2023548725 A JP 2023548725A JP 2023548725 A JP2023548725 A JP 2023548725A JP 2024508724 A JP2024508724 A JP 2024508724A
Authority
JP
Japan
Prior art keywords
network
provisioning
network function
remote unit
provisioning server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023548725A
Other languages
English (en)
Other versions
JPWO2022172159A5 (ja
Inventor
アンドレアス・クンズ
シーバ・バッキア・マリー・バスカラン
ゲナディ・ヴェレヴ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Publication of JP2024508724A publication Critical patent/JP2024508724A/ja
Publication of JPWO2022172159A5 publication Critical patent/JPWO2022172159A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

セルラーネットワークにおけるプロビジョニングサーバの選択のための装置、方法、およびシステムが開示される。1つの方法(500)は、ネットワークデバイスにおいて、第1のネットワーク機能を介してリモートユニットと通信する(502)ステップを含む。方法(500)は、第1のネットワーク機能から認証要求を受信する(504)ステップを含む。方法(500)は、オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択する(506)ステップを含む。方法(500)は、応答メッセージを第1のネットワーク機能に送信する(508)ステップを含む。応答メッセージは、プロビジョニングサーバアドレスを含む。

Description

関連出願の相互参照
本出願は、Andreas Kunzの、2021年2月11日に出願された「APPARATUSES, METHODS, AND SYSTEMS FOR NON-PUBLIC NETWORK ONBOARDING AND PROFILE PROVISIONING」という表題の米国特許出願番号第63/148,187号の優先権を主張し、その全体が参照により本明細書に組み込まれる。
本明細書において開示される主題は、全般にワイヤレス通信に関し、より詳細には、セルラーネットワークにおけるプロビジョニングサーバの選択に関する。
いくつかのワイヤレス通信ネットワークでは、セキュリティ証明書が使用されることがある。そのようなネットワークでは、証明書が十分に保護されないことがある。
セルラーネットワークにおけるプロビジョニングサーバの選択のための方法が開示される。装置およびシステムも方法の機能を実行する。方法の一実施形態は、ネットワークデバイスにおいて、第1のネットワーク機能を介してリモートユニットと通信するステップを含む。いくつかの実施形態では、方法は、第1のネットワーク機能から認証要求を受信するステップを含む。ある特定の実施形態では、方法は、オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択するステップを含む。様々な実施形態において、方法は、応答メッセージを第1のネットワーク機能に送信するステップを含む。応答メッセージは、プロビジョニングサーバアドレスを含む。
セルラーネットワークにおけるプロビジョニングサーバの選択のための1つの装置は、ネットワークデバイスを含む。いくつかの実施形態では、装置は、第1のネットワーク機能を介してリモートユニットと通信する送信機を含む。様々な実施形態において、装置は、第1のネットワーク機能から認証要求を受信する受信機を含む。ある特定の実施形態では、装置は、オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択するプロセッサを含む。送信機は、応答メッセージを第1のネットワーク機能に送信する。応答メッセージは、プロビジョニングサーバアドレスを含む。
セルラーネットワークにおけるプロビジョニングサーバの選択のための方法の別の実施形態は、リモートユニットにおいて、第1のネットワーク機能と通信するステップを含む。いくつかの実施形態では、方法は、プロビジョニングサーバアドレスを含む登録受け入れメッセージを受信するステップを含む。ある特定の実施形態では、方法は、リモートユニットのPEI(permanent equipment identifier:永続的機器識別子)を鍵導出関数(KDF)への入力として用いて、マスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出するステップを含む。
セルラーネットワークにおけるプロビジョニングサーバの選択のための別の装置は、リモートユニットを含む。いくつかの実施形態では、装置は、第1のネットワーク機能と通信する送信機を含む。様々な実施形態において、装置は、プロビジョニングサーバアドレスを含む登録受け入れメッセージを受信する受信機を含む。ある特定の実施形態では、装置は、装置のPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いて、マスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出するプロセッサを含む。
上で簡単に説明された実施形態のより具体的な説明は、添付の図面において示される特定の実施形態を参照して行われる。これらの図面はいくつかの実施形態を示すだけであり、したがって範囲を限定するものとしてみなされるべきではないことを理解した上で、添付の図面の使用を通じて、さらなる具体性と詳細と共に実施形態が記述され説明される。
セルラーネットワークにおけるプロビジョニングサーバの選択のためのワイヤレス通信システムの一実施形態を示す概略ブロック図である。 セルラーネットワークにおけるプロビジョニングサーバの選択のために使用され得る装置の一実施形態を示す概略ブロック図である。 セルラーネットワークにおけるプロビジョニングサーバの選択のために使用され得る装置の一実施形態を示す概略ブロック図である。 SNPNとは別のエンティティにより所有される証明書を用いたネットワークアクセス認証のためのシステムの一実施形態を示す概略ブロック図である。 セルラーネットワークにおけるプロビジョニングサーバの選択のための方法の一実施形態を示すフローチャート図である。 セルラーネットワークにおけるプロビジョニングサーバの選択のための方法の別の実施形態を示すフローチャート図である。
当業者により理解されるように、実施形態の態様は、システム、装置、方法、またはプログラム製品として具現化され得る。したがって、実施形態は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)、または、すべてが本明細書では一般に「回路」、「モジュール」、もしくは「システム」と呼ばれることがあるソフトウェアの態様とハードウェアの態様を組み合わせる実施形態の形式をとることがある。さらに、実施形態は、以後コードと呼ばれる、機械可読コード、コンピュータ可読コード、および/またはプログラムコードを記憶する、1つまたは複数のコンピュータ可読記憶デバイスにおいて具現化されるプログラム製品の形式をとることがある。記憶デバイスは、有形、非一時的、および/または非送信であってもよい。記憶デバイスは信号を具現化しなくてもよい。ある特定の実施形態では、記憶デバイスはコードにアクセスするための信号のみを利用する。
本明細書において説明される機能ユニットのいくつかは、実装形態の独立性をより具体的に強調するために、モジュールとして標識されることがある。たとえば、モジュールは、カスタム超大規模集積(「VLSI」)回路もしくはゲートアレイを備えるハードウェア回路、論理チップ、トランジスタ、または他のディスクリートコンポーネントなどの市販の半導体として実装されてもよい。モジュールは、フィールドプログラマブルゲートアレイ、プログラマブルアレイロジック、プログラマブルロジックデバイスなどの、プログラマブルハードウェアデバイスでも実装され得る。
モジュールは、様々なタイプのプロセッサによる実行のために、コードおよび/またはソフトウェアでも実装され得る。コードの特定されるモジュールは、たとえば、オブジェクト、プロシージャ、または関数として編成され得る、実行可能コードの1つまたは複数の物理ブロックまたは論理ブロックを含み得る。それでも、特定されるモジュールの実行可能物は、物理的に一緒に配置されなくてもよいが、一緒に論理的に結合されるとモジュールを含みモジュールの述べられた目的を達成する、異なる位置に記憶された異種の命令を含んでもよい。
実際に、コードのモジュールは、単一の命令、または多数の命令であってもよく、いくつかの異なるコードセグメントにわたって、異なるプログラムの間で、およびいくつかのメモリデバイスにわたって分散していることすらあってもよい。同様に、動作データは、本明細書ではモジュール内にあるものとして特定され示されることがあり、任意の適切な形式で具現化され、任意の適切なタイプのデータ構造内で編成されてもよい。動作データは、単一のデータセットとして収集されてもよく、または、異なるコンピュータ可読記憶デバイスにわたって分散することを含めて、異なる位置に分散していてもよい。モジュールまたはモジュールの部分がソフトウェアで実装される場合、ソフトウェア部分は1つまたは複数のコンピュータ可読記憶デバイスに記憶される。
1つまたは複数のコンピュータ可読媒体の任意の組合せが利用され得る。コンピュータ可読媒体は、コンピュータ可読記憶媒体であり得る。コンピュータ可読記憶媒体は、コードを記憶する記憶デバイスであり得る。記憶デバイスは、たとえば、限定はされないが、電気的な、磁気的な、光学的な、電磁的な、赤外線の、ホログラフィックの、マイクロメカニカルの、もしくは半導体の、システム、装置、またはデバイス、あるいは前述の任意の適切な組合せであり得る。
記憶デバイスのより具体的な例(非網羅的なリスト)は、1つまたは複数のワイヤを有する電気的な接続、ポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ(「RAM」)、読み取り専用メモリ(「ROM」)、消去可能プログラマブル読み取り専用メモリ(「EPROM」もしくはフラッシュメモリ)、ポータブルコンパクトディスク読み取り専用メモリ(「CD-ROM」)、光学記憶デバイス、磁気記憶デバイス、または前述の任意の適切な組合せを含む。本文書の文脈では、コンピュータ可読記憶媒体は、命令実行システム、装置、またはデバイスが使用するための、もしくはそれらに関するプログラムを、格納または記憶することができる任意の有形媒体であり得る。
実施形態の動作を実行するためのコードは、任意の数の行であってもよく、Python、Ruby、Java、Smalltalk、C++などのオブジェクト指向プログラミング言語、「C」プログラミング言語などの従来の手続型プログラミング言語、など、および/またはアセンブリ言語などの機械言語を含む、1つまたは複数のプログラミング言語の任意の組合せで書かれてもよい。コードは、全体がユーザのコンピュータ上で、一部がユーザのコンピュータ上で、スタンドアロンのソフトウェアパッケージとして、一部がユーザのコンピュータ、一部がリモートコンピュータ上で、または全体がリモートコンピュータもしくはサーバ上で実行されてもよい。後者のシナリオでは、リモートコンピュータはローカルエリアネットワーク(「LAN」)もしくはワイドエリアネットワーク(「WAN」)を含む任意のタイプのネットワークを通じてユーザのコンピュータに接続されてもよく、または、外部コンピュータへの接続が(たとえば、インターネットサービスプロバイダを使用してインターネットを通じて)行われてもよい。
本明細書全体にわたる「一実施形態」、「ある実施形態」、または同様の表現への言及は、実施形態に関して説明された具体的な特徴、構造、または特性が少なくとも1つの実施形態に含まれることを意味する。したがって、本明細書全体にわたる「一実施形態では」、「ある実施形態では」という語句、および同様の表現の出現は、必ずしもそうではないが、すべてが同じ実施形態を指すことがあるが、別段明確に指定されない限り「すべてではないが1つまたは複数の実施形態」を意味することがある。「含む」、「備える」、「有する」という用語、およびそれらの変形は、別段明確に指定されない限り、「含むが限定はされない」を意味する。項目の列挙された一覧は、別段明確に示されない限り、項目のいずれかまたはすべてが相互に排他的であることを示唆しない。「a」、「an」、および「the」という用語は、別段明確に指定されない限り、「1つまたは複数」も指す。
さらに、実施形態の説明される特徴、構造、または特性は、任意の適切な方式で組み合わせられてもよい。以下の説明では、実施形態の完全な理解をもたらすために、プログラミング、ソフトウェアモジュール、ユーザ選択、ネットワークトランザクション、データベースクエリ、データベース構造、ハードウェアモジュール、ハードウェア回路、ハードウェアチップなどの例などの、多数の具体的な詳細が与えられる。しかしながら、実施形態は、それらの具体的な詳細の1つまたは複数なしに、または他の方法、コンポーネント、材料などを用いて実践されてもよいことを、当業者は認識するであろう。他の事例では、実施形態の態様を不明瞭にするのを避けるために、よく知られている構造、材料、もしくは動作は示されず、または詳細に説明されない。
実施形態の態様は、実施形態による方法、装置、システム、ならびにプログラム製品の概略フローチャート図および/または概略ブロック図を参照して、以下で説明される。概略フローチャート図および/または概略ブロック図の各ブロック、ならびに概略フローチャート図および/または概略ブロック図におけるブロックの組合せは、コードによって実装され得ることが理解されよう。コンピュータまたは他のプログラマブルデータ処理装置のプロセッサを介して実行される命令が、概略フローチャート図および/または概略ブロック図の1つまたは複数のブロックにおいて指定される機能/行動を実施するための手段を作り出すような機械を生み出すために、コードが、汎用コンピュータ、専用コンピュータ、または他のプログラマブルデータ処理装置のプロセッサに与えられ得る。
記憶デバイスに記憶されている命令が、概略フローチャート図および/または概略ブロック図の1つまたは複数のブロックにおいて指定される機能/行動を実施する命令を含む製造物品を生み出すように、コンピュータ、他のプログラマブルデータ処理装置、または他のデバイスに特定の方式で機能するように指示できるコードも、記憶デバイスに記憶され得る。
コンピュータまたは他のプログラマブル装置上で実行されるコードが、フローチャートおよび/またはブロック図の1つまたは複数のブロックにおいて指定される機能/行動を実施するための処理を提供するような、コンピュータで実施される処理を生み出すように、一連の動作ステップがコンピュータ、他のプログラマブル装置、または他のデバイス上で実行されるようにするためのコードも、コンピュータ、他のプログラマブルデータ処理装置、または他のデバイスにロードされ得る。
図の中の概略フローチャート図および/または概略ブロック図は、様々な実施形態による装置、システム、方法、およびプログラム製品の可能な実装形態のアーキテクチャ、機能、ならびに動作を示す。この点で、概略フローチャート図および/または概略ブロック図の各ブロックは、指定された論理的な機能を実装するためのコードの1つまたは複数の実行可能命令を含む、モジュール、セグメント、またはコードの部分を表し得る。
いくつかの代替の実装形態では、ブロックの中に書かれた機能は、図において書かれたものとは異なる順序で現れてもよいことにも留意されたい。たとえば、関係する機能に応じて、連続して示されている2つのブロックは、実際には実質的に同時に実行されてもよく、または、それらのブロックは時には逆の順序で実行されてもよい。示される図の1つもしくは複数のブロック、またはそれらの一部と、機能、論理、または効果の面で等価である他のステップおよび方法が想起され得る。
様々な矢印のタイプと線のタイプがフローチャートおよび/またはブロック図において利用されることがあるが、それらは対応する実施形態の範囲を限定するものとして理解されない。実際に、一部の矢印または他の接続するものは、図示される実施形態の論理的な流れを示すためだけに使用されることがある。たとえば、矢印は、図示された実施形態の列挙されたステップとステップとの間の、指定されない長さの待機期間または監視期間を示すことがある。ブロック図および/またはフローチャート図の各ブロック、ならびにブロック図および/またはフローチャート図のブロックの組合せは、指定された機能もしくは行動を実行する専用のハードウェアベースのシステム、または専用のハードウェアとコードの組合せによって実装され得ることにも留意されたい。
各図の要素の説明は、先行する図面の要素を参照することがある。同様の番号は、同様の要素の代替の実施形態を含むすべての図面における同様の要素を指す。
図1は、セルラーネットワークにおけるプロビジョニングサーバの選択のためのワイヤレス通信システム100のある実施形態を示す。一実施形態では、ワイヤレス通信システム100は、リモートユニット102およびネットワークユニット104を含む。特定の数のリモートユニット102およびネットワークユニット104が図1に示されているが、任意の数のリモートユニット102およびネットワークユニット104がワイヤレス通信システム100に含まれてもよいことを、当業者は認識するであろう。
一実施形態では、リモートユニット102は、デスクトップコンピュータ、ラップトップコンピュータ、携帯情報端末(「PDA」)、タブレットコンピュータ、スマートフォン、スマートテレビジョン(たとえば、インターネットに接続されるテレビジョン)、セットトップボックス、ゲームコンソール、セキュリティシステム(セキュリティカメラを含む)、車載コンピュータ、ネットワークデバイス(たとえば、ルータ、スイッチ、モデム)、航空機、ドローンなどの、コンピューティングデバイスを含み得る。いくつかの実施形態では、リモートユニット102は、スマートウォッチ、フィットネスバンド、光学ヘッドマウントディスプレイなどの、ウェアラブルデバイスを含む。その上、リモートユニット102は、加入者ユニット、モバイル、移動局、ユーザ、端末、モバイル端末、固定端末、加入者局、UE、ユーザ端末、デバイスとして、または当技術分野において使用される他の用語で言及されることがある。リモートユニット102は、UL通信信号を介してネットワークユニット104の1つまたは複数と直接通信し得る。ある特定の実施形態では、リモートユニット102は、サイドリンク通信を介して他のリモートユニット102と直接通信し得る。
ネットワークユニット104は、地理的領域にわたって分散していてもよい。ある特定の実施形態では、ネットワークユニット104は、アクセスポイント、アクセス端末、ベース、基地局、ロケーションサーバ、コアネットワーク(「CN」)、無線ネットワークエンティティ、Node-B、evolved node-B(「eNB」)、5G node-B(「gNB」)、Home Node-B、中継ノード、デバイス、コアネットワーク、航空サーバ、無線アクセスノード、アクセスポイント(「AP」)、new radio(「NR」)、ネットワークエンティティ、アクセスおよびモビリティ管理機能(「AMF」)、統合データ管理(「UDM」)、統合データリポジトリ(「UDR」)、UDM/UDR、ポリシー制御機能(「PCF」)、無線アクセスネットワーク(「RAN」)、ネットワークスライス選択機能(「NSSF」)、運用、運営、および管理(「OAM」)、セッション管理機能(「SMF」)、ユーザプレーン機能(「UPF」)、アプリケーション機能、認証サーバ機能(「AUSF」)、セキュリティアンカー機能(「SEAF」)、信用される非3GPP(登録商標)ゲートウェイ機能(「TNGF」)、もしくは当技術分野において使用されるあらゆる他の用語のうちの1つまたは複数でも言及されることがあり、ならびに/またはそれらを含むことがある。ネットワークユニット104は一般に、1つまたは複数の対応するネットワークユニット104に通信可能に結合される1つまたは複数のコントローラを含む、無線アクセスネットワークの一部である。無線アクセスネットワークは一般に、1つまたは複数のコアネットワークに通信可能に結合され、1つまたは複数のコアネットワークは、ネットワークの中でもとりわけ、インターネットおよび公衆交換電話網のような他のネットワークに結合されてもよい。無線アクセスおよびコアネットワークのこれらの要素と他の要素は示されていないが、当業者により一般によく知られている。
一実装形態では、ワイヤレス通信システム100は、第3世代パートナーシッププロジェクト(「3GPP(登録商標)」)において標準化されるNRプロトコルに準拠し、ネットワークユニット104は、ダウンリンク(「DL」)でOFDM変調方式を使用して送信し、リモートユニット102は、シングルキャリア周波数分割多元接続(「SC-FDMA」)方式または直交周波数分割多重化(「OFDM」)方式を使用してアップリンク(「UL」)で送信する。しかしながら、より一般的には、ワイヤレス通信システム100は、何らかの他のオープンまたはプロプライエタリ通信プロトコル、たとえば、プロトコルの中でもとりわけ、WiMAX、米国電気電子学会(「IEEE」)802.11の変形、global system for mobile communications (「GSM」)、general packet radio service (「GPRS」)、universal mobile telecommunications system (「UMTS」)、long term evolution (「LTE」)の変形、符号分割多元接続2000(「CDMA2000」)、Bluetooth(登録商標)、ZigBee、Sigfoxxを実装し得る。本開示は、任意の特定のワイヤレス通信システムアーキテクチャまたはプロトコルの実装形態に限定されることは意図されない。
ネットワークユニット104は、ワイヤレス通信リンクを介して、サービングエリア内のある数のリモートユニット102、たとえば、セルまたはセルセクタにサービスし得る。ネットワークユニット104は、時間領域、周波数領域、および/または空間領域においてリモートユニット102にサービスするために、DL通信信号を送信する。
様々な実施形態において、リモートユニット102は、第1のネットワーク機能と通信し得る。いくつかの実施形態では、リモートユニット102は、プロビジョニングサーバアドレスを含む登録受け入れメッセージを受信し得る。ある特定の実施形態では、リモートユニット102は、リモートユニットのPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いて、マスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出し得る。したがって、リモートユニット102は、セルラーネットワークにおけるプロビジョニングサーバの選択のために使用され得る。
ある特定の実施形態では、ネットワークユニット104は、第1のネットワーク機能を介してリモートユニットと通信し得る。いくつかの実施形態では、ネットワークユニット104は、第1のネットワーク機能から認証要求を受信し得る。ある特定の実施形態では、ネットワークユニット104は、オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択し得る。様々な実施形態において、ネットワークユニット104は、応答メッセージを第1のネットワーク機能に送信し得る。応答メッセージは、プロビジョニングサーバアドレスを含む。したがって、ネットワークユニット104は、セルラーネットワークにおけるプロビジョニングサーバの選択のために使用され得る。
図2は、セルラーネットワークにおけるプロビジョニングサーバの選択のために使用され得る装置200の一実施形態を示す。装置200は、リモートユニット102の一実施形態を含む。さらに、リモートユニット102は、プロセッサ202、メモリ204、入力デバイス206、ディスプレイ208、送信機210、および受信機212を含み得る。いくつかの実施形態では、入力デバイス206およびディスプレイ208は、タッチスクリーンなどの単一のデバイスへと組み合わせられる。ある特定の実施形態では、リモートユニット102は、どのような入力デバイス206および/またはディスプレイ208も含まないことがある。様々な実施形態において、リモートユニット102は、プロセッサ202、メモリ204、送信機210、および受信機212のうちの1つまたは複数を含んでもよく、入力デバイス206および/またはディスプレイ208を含まなくてもよい。
一実施形態では、プロセッサ202は、コンピュータ可読命令を実行することが可能な、および/または論理演算を実行することが可能な、あらゆる既知のコントローラを含み得る。たとえば、プロセッサ202は、マイクロコントローラ、マイクロプロセッサ、中央処理装置(「CPU」)、グラフィクス処理装置(「GPU」)、補助処理装置、フィールドプログラマブルゲートアレイ(「FPGA」)、または同様のプログラマブルコントローラであり得る。いくつかの実施形態では、プロセッサ202は、本明細書において説明される方法およびルーチンを実行するために、メモリ204に記憶されている命令を実行する。プロセッサ202は、メモリ204、入力デバイス206、ディスプレイ208、送信機210、および受信機212に通信可能に結合される。
一実施形態では、メモリ204は、コンピュータ可読記憶媒体である。いくつかの実施形態では、メモリ204は揮発性コンピュータ記憶媒体を含む。たとえば、メモリ204は、ダイナミックRAM(「DRAM」)、シンクロナスダイナミックRAM(「SDRAM」)、および/またはスタティックRAM(「SRAM」)を含む、RAMを含み得る。いくつかの実施形態では、メモリ204は不揮発性コンピュータ記憶媒体を含む。たとえば、メモリ204は、ハードディスクドライブ、フラッシュメモリ、または任意の他の適切な不揮発性コンピュータ記憶デバイスを含み得る。いくつかの実施形態では、メモリ204は揮発性コンピュータ記憶媒体と不揮発性コンピュータ記憶媒体の両方を含む。いくつかの実施形態では、メモリ204は、リモートユニット102上で動作するオペレーティングシステムまたは他のコントローラアルゴリズムなどの、プログラムコードおよび関連するデータも記憶する。
一実施形態では、入力デバイス206は、タッチパネル、ボタン、キーボード、スタイラス、マイクロフォンなどを含む、あらゆる既知のコンピュータ入力デバイスを含み得る。いくつかの実施形態では、入力デバイス206は、ディスプレイ208と、たとえばタッチスクリーンまたは同様のタッチ感知ディスプレイとして統合され得る。いくつかの実施形態では、入力デバイス206は、タッチスクリーンに表示される仮想キーボードを使用して、および/またはタッチスクリーンに手書きすることによってテキストを入力できるように、タッチスクリーンを含む。いくつかの実施形態では、入力デバイス206は、キーボードおよびタッチパネルなどの2つ以上の異なるデバイスを含む。
一実施形態では、ディスプレイ208は、あらゆる既知の電気的に制御可能なディスプレイまたは表示デバイスを含み得る。ディスプレイ208は、視覚信号、聴覚信号、および/または触覚信号を出力するように設計され得る。いくつかの実施形態では、ディスプレイ208は、視覚データをユーザに出力することが可能な電子ディスプレイを含む。たとえば、ディスプレイ208は、限定はされないが、液晶ディスプレイ(「LCD」)、発光ダイオード(「LED」)ディスプレイ、有機発光ダイオード(「OLED」)ディスプレイ、プロジェクタ、または、画像、テキストなどをユーザに出力することが可能な同様の表示デバイスを含み得る。別の限定しない例として、ディスプレイ208は、スマートウォッチ、スマートグラス、ヘッドアップディスプレイなどのウェアラブルディスプレイを含み得る。さらに、ディスプレイ208は、スマートフォン、携帯情報端末、テレビジョン、タブレットコンピュータ、ノートブック(ラップトップ)コンピュータ、パーソナルコンピュータ、車両ダッシュボードなどのコンポーネントであり得る。
ある特定の実施形態では、ディスプレイ208は、音を生み出すための1つまたは複数のスピーカーを含む。たとえば、ディスプレイ208は、可聴の警告または通知(たとえば、ビープまたはチャイム)を生み出し得る。いくつかの実施形態では、ディスプレイ208は、振動、動き、または他の触覚フィードバックを生み出すための1つまたは複数のハプティックデバイスを含む。いくつかの実施形態では、ディスプレイ208のすべてまたは一部は、入力デバイス206と統合され得る。たとえば、入力デバイス206およびディスプレイ208は、タッチスクリーンまたは同様のタッチ感知ディスプレイを形成し得る。他の実施形態では、ディスプレイ208は入力デバイス206の近くに位置し得る。
ある特定の実施形態では、送信機210は第1のネットワーク機能と通信する。様々な実施形態において、受信機212は、プロビジョニングサーバアドレスを含む登録受け入れメッセージを受信する。ある特定の実施形態では、プロセッサ202は、装置のPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いて、マスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出する。
1つの送信機210および1つの受信機212だけが示されているが、リモートユニット102は任意の適切な数の送信機210および受信機212を有し得る。送信機210および受信機212は、任意の適切なタイプの送信機および受信機であり得る。一実施形態では、送信機210および受信機212はトランシーバの一部であり得る。
図3は、セルラーネットワークにおけるプロビジョニングサーバの選択のために使用され得る装置300の一実施形態を示す。装置300は、ネットワークユニット104の一実施形態を含む。さらに、ネットワークユニット104は、プロセッサ302、メモリ304、入力デバイス306、ディスプレイ308、送信機310、および受信機312を含み得る。理解され得るように、プロセッサ302、メモリ304、入力デバイス306、ディスプレイ308、送信機310、および受信機312は、それぞれ、リモートユニット102のプロセッサ202、メモリ204、入力デバイス206、ディスプレイ208、送信機210、および受信機212と実質的に同様であり得る。
ある特定の実施形態では、送信機310は、第1のネットワーク機能を介してリモートユニットと通信する。様々な実施形態において、受信機312は、第1のネットワーク機能から認証要求を受信する。ある特定の実施形態では、プロセッサ302は、オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択する。送信機310は、応答メッセージを第1のネットワーク機能に送信する。応答メッセージは、プロビジョニングサーバアドレスを含む。
ある特定の実施形態では、ユーザ機器(「UE」)は、デフォルトの証明書を用いて特別なデフォルト証明書サーバ(「DCS」)にオンボーディングしてもよく、その後で、UEは本物のプロファイルを用いてプロビジョニングされる。UEは、本物のプロファイルを使用して、プロファイルサブスクリプションに従って非公開ネットワーク(「NPN」)にアクセスする。
いくつかの実施形態では、オンボーディングのためのアクセスは(たとえば、緊急サービスのように)保護され、保護されずに実行されることはないとされ得る。そのような実施形態では、UEは、スタンドアロンNPN(「SNPN」)をオンボーディングするためのオンボーディング証明書を用いて事前にプロビジョニングされ得る。さらに、証明書(たとえば、プロビジョニングされるべきプロファイル)は、リモートプロビジョニングの間、機密性が保護され、完全性が保護され、および/またはリプレイから保護され得る。
様々な実施形態において、UEとDCSとの間の事前にプロビジョニングされたオンボーディング証明書は、UEとプロビジョニングサーバとの間でプロファイルのプロビジョニングをより後に保護するための鍵を導出するために使用される。
ある特定の実施形態では、UEは、オンボーディング証明書を用いて事前にプロビジョニングされる。そのような実施形態では、UEは、オンボーディングsubscription concealed identifier (「SUCI」)に基づいてDCSによって識別される。DCSは、SCUIをオンボーディング「SUPI(subscription permanent identifier:加入者永久識別子)」へと非隠匿化してもよく、UEの対応する「PEI(permanent equipment identifier)」を知っていることがある。DCSは、オンボーディング証明書に基づいてUEを認証し、通常の手順によってアクセス層(「AS」)および非アクセス層(「NAS」)のための無線インターフェースを介してセキュリティをセットアップするための認証サーバ機能(「AUSF」)にマスターセッションキー(「MSK」)をプロビジョニングする。DCSおよびUEは、プロビジョニングサーバからプロファイルを保護するために使用されるプロビジョニングキーを導出し得る。
図4は、SNPNとは別のエンティティにより所有される証明書を用いたネットワークアクセス認証のためのシステム400の一実施形態を示す概略ブロック図である。システム400は、UE402、AMFおよび/またはセキュリティアンカー機能(「SEAF」)(「AMF/SEAF」)404、UDM/UDR406、AUSF408、DCS410、およびプロビジョニングサーバ412を含む。システム400の通信の各々は、1つまたは複数のメッセージを含み得る。
第1の通信414において、UE402が、UE402の識別情報としてのDCS410のオンボーディングSUCIと共に、登録要求メッセージをAMF/SEAF404に送信する。
第2の通信416において、AMF/SEAF404が、ネットワークアクセス識別子(「NAI」)の範囲に基づいて、登録要求メッセージがSNPNのサブスクライバからのものではなく、DCS410におけるオンボーディングのためのものであることを検出する。AMF/SEAF404は、NAIの範囲、およびSNPNがこのDCS410との有効な合意を有するかどうかを検証することによって、要求を認証する。AMF/SEAF404は、外部DCS410に向けて送信される要求を扱うために事前構成され得るAUSF408に要求を転送する。
第3の通信418において、AUSF408が、NAIの範囲、およびSNPNがこのDCS410との有効な合意を有するかどうかを検証することによって、登録要求の認可を実行し得る。AUSF408は、DCS410を識別し、認証、認可、および課金(「AAA」)プロキシ(「AAA-Proxy」)の役割を引き受け、関連するAAAメッセージをDCS410に送信する。AUSF408は、オンボーディングSUCIと共に認証要求をDCS410に送信する。AUSF408は、SNPN ID、closed access group (「CAG」)ID、および/またはサービングネットワーク名を認証要求に含め得る。DCS410がDIAMETERまたはRADIUSプロトコルしかサポートしない場合、SBI-DIAMETERインターワーキング機能は、AUSF408もしくはDCS410と同じ位置にあってもよく、または追加の機能の中にあってもよいことに留意されたい。
DCS410は、SUCIをSUPIへと非隠匿化し(420)、ユーザ名に基づいて認証要求を検証する。DCS410は、SUPIに基づいてサブスクライバプロファイルを選択し、第4の通信422において、UE402およびDCS410における事前共有されるオンボーディング証明書を使用して、UE402との拡張可能認証プロトコル(「EAP」)ベースの認証を実行する。DCS410は、オンボーディングSUPIに基づくプロビジョニングサーバ412、またはオンボーディングプロファイルの中の記憶されている事前構成されたプロビジョニングサーバを選択し得る。プロビジョニングサーバ412のアドレスは、プロビジョニングサーバ412のNAI、完全修飾ドメイン名(「FQDN」)、またはインターネットプロトコル(「IP」)アドレスであり得る。
第5の通信424において、認証の成功の後、DCS410が、認証の結果、オンボーディングSUPI、MSK、ならびに/または有効時間およびプロビジョニングサーバ412のアドレスを、認証応答においてAUSF408に返す。
AUSF408は、応答を検証し(426)、MSKおよびKSEAFからKAUSFを導出する。UE402は、それに従って同じ鍵の導出を実行している(428)。
第6の通信430において、AUSF408が、DCS410からの認証結果およびKSEAF、オンボーディングSUPI、ならびに/または有効時間(たとえば、オンボーディングが期限切れになるまでの時間およびプロビジョニングサーバ412のアドレス)を含む、認証応答をAMF/SEAF404に送信する。
第7の通信432において、AMF/SEAF404が、UE402とのNASセキュリティモードコマンド(「SMC」)を実行する。
第8の通信434において、NAS SMC手順の成功の後、AMF/SEAF404が、プロビジョニングサーバ412のアドレスを含む登録受け入れメッセージを送信する。
第9の通信436において、UE402が、通常のプロトコルデータユニット(「PDU」)セッション確立手順を実行して、UPFを介してIP接続性を得る。UE402は、プロビジョニングサーバ412のアドレスを、それが第8の通信434におけるNAS登録受け入れメッセージにおいてプロビジョニングされなかった場合、この時点でSMFから取り出し得る。UE402は、プロビジョニングサーバ412だけへの限られたUPアクセスを有し得る。
UE402およびDCS410は、同じ方法でプロビジョニングキーKProを導出する(438および440)。MSKまたはKAUSFからKProを導出するとき、交換可能な順序で以下のパラメータの1つまたは複数が、KDFへの入力Sを形成するために使用され得る:FC=0xYZ、あらゆる16進数値、P0=<サービングネットワーク名>、L0=<サービングネットワーク名>の長さ、P1=<NPN ID>、L1=<NPN ID>の長さ、P2=<CAG ID>、L2=<CAG ID>の長さ、P3=<オンボーディングSUPI>、L3=<オンボーディングSUPI>の長さ、P4=<プロビジョニングサーバアドレス>、L4=<プロビジョニングサーバアドレス>の長さ、P5=<オンボーディングSUCI>、L5=<オンボーディングSUCI>の長さ、P6=<PEI>、および/またはL6=<PEI>の長さ。入力鍵KEYはMSKまたはKAUSFであり、KAUSFはMSKの上位256ビットである。妥当な入力は、それぞれそれらの長さを含む、オンボーディングSUPI、PEI、および/またはプロビジョニングサーバアドレスであり得ることに留意されたい。鍵の導出は、モバイル機器(「ME」)において、またはオンボーディングプロファイルの汎用加入者識別モジュール(「USIM」)において、または汎用集積回路カード(「UICC」)において行われ得る。
第10の通信442において、DCS410は、プロビジョニング情報オンボーディングSUPIおよびプロビジョニングキーKProをプロビジョニングサーバ412に提供する。プロビジョニングサーバ412の選択は、オンボーディングSUPIにより、DCS410に記憶されているアドレスに基づいて実行され得る。プロビジョニングサーバ412は、DCS410と同じ位置にあり得る。
プロビジョニングサーバ412は、オンボーディングSUPIに基づいてプロファイルを選択する(444)。
第11の通信446において、UE402(またはME)が、KProを使用することによって、プロビジョニングサーバ412とのIPSecセキュリティアソシエーション(「SA」)を確立する。UICCは、プロビジョニングされたプロファイルをUSIMアプリケーションとして直接インストールするために、IPSec接続を開始し得る。IPSecの代わりに、MEまたはUICCは、プロビジョニングサーバ412とのトランスポート層セキュリティ(「TLS」)接続を確立し得る。プロビジョニングサーバ412は、UE402のIPアドレスを取り出すために、およびセキュアな接続(たとえば、IPSecまたはTLS)を開始するために、オンボーディングSUPIを用いてネットワークエクスポージャ機能(「NEF」)に連絡することによって、セキュアな接続の確立を引き起こし得る。そうすると、すべてのメッセージの機密性と完全性が、IPsecトンネルによって保護され得る。UE402は、PEIがKProの導出のための入力として使用されない場合、IPSecトンネルを介してそのPEIをプロビジョニングサーバ412に提供し得る。PEIがKProの導出のための入力として使用され、オンボーディング証明書が悪意のあるUEに漏洩する場合、DCS410に記憶されているPEIは悪意のあるUEのPEIと同じではないことがあるので、そのKProは不一致につながり、プロビジョニングは失敗する。
第12の通信448において、プロビジョニングサーバ412が、IPSecトンネルを介して新しいプロファイルをUE402にプロビジョニングする。
第13の通信450において、プロビジョニングサーバ412が、プロビジョニングの結果(たとえば、成功および/または失敗)をDCS410に認める。プロビジョニングサーバ412は、可能であれば、PEIをDCS410に提供し得る。
PEIがKProの導出への入力として使用されなかった場合、DCS410は、プロビジョニングサーバ412からの受信されたPEIがオンボーディングSUPIの記憶されているPEIと一致するかどうかを検証してもよく(452)、一致する場合、DCS410は、プロビジョニングが成功であれば、オンボーディングSUPIに関するオンボーディングプロファイルを削除または無効化してもよい。PEIがKProキーの導出への入力として使用された場合、DCS410は、プロビジョニングが成功であれば、オンボーディングSUPIに関するオンボーディングプロファイルを無効化または削除してもよい。オンボーディングプロファイルを無効化または削除するかどうか、および新しいオンボーディングプロファイルをどのように再び有効化または作成するか(たとえば、最上位の構成を介して、タイマーに基づいて、など)は、DCS410におけるローカルポリシーに依存する。これは、オンボーディング証明書に脆弱性がある場合、悪意のあるUEからの後続のなりすまし攻撃が正当なプロファイルを用いてプロビジョニングされるのを防ぎ得る。
第14の通信454において、UE402が、オンボーディングネットワークから登録解除され、オンボーディングプロファイルを削除または無効化し得る。
第15の通信456において、UE402が、プロビジョニングされたプロファイルに従ってNPNを選択し、プロビジョニングされたプロファイルを使用してNPNに登録する。選択されたNPNは、オンボーディングNPNとは異なっていてもよく、または同じであってもよい。
図5は、セルラーネットワークにおけるプロビジョニングサーバの選択のための方法500の一実施形態を示すフローチャート図である。いくつかの実施形態では、方法500は、ネットワークユニット104などの装置によって実行される。ある特定の実施形態では、方法500は、プログラムコードを実行するプロセッサ、たとえば、マイクロコントローラ、マイクロプロセッサ、CPU、GPU、補助処理装置、FPGAなどによって実行され得る。
様々な実施形態において、方法500は、第1のネットワーク機能を介してリモートユニットと通信する(502)ステップを含む。いくつかの実施形態では、方法500は、第1のネットワーク機能から認証要求を受信する(504)ステップを含む。ある特定の実施形態では、方法500は、オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択する(506)ステップを含む。様々な実施形態において、方法500は、応答メッセージを第1のネットワーク機能に送信する(508)ステップを含む。応答メッセージは、プロビジョニングサーバアドレスを含む。
ある特定の実施形態では、方法500はさらに、リモートユニットのPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いて、マスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出するステップを含む。いくつかの実施形態では、方法500はさらに、プロビジョニングキーメッセージを第2のネットワーク機能に送信するステップを含み、プロビジョニングキーメッセージは、KProおよびオンボーディングSUPI(subscription permanent identifier)を備える。様々な実施形態において、方法500はさらに、プロビジョニングキーメッセージを送信するステップに基づいて、第2のネットワーク機能から応答メッセージを受信するステップを含む。
一実施形態では、方法500はさらに、成功したプロビジョニングを検証するステップを含み、オンボーディングSUPIに関するオンボーディングプロファイルを無効化または削除する。ある特定の実施形態では、ネットワークデバイスは、デフォルト証明書サーバ(DCS)を備える。いくつかの実施形態では、リモートユニットはユーザ機器を備える。
様々な実施形態において、第1のネットワーク機能は、認証サーバ機能(AUSF)を備える。一実施形態では、第2のネットワーク機能は、プロビジョニングサーバを備える。
図6は、セルラーネットワークにおけるプロビジョニングサーバの選択のための方法600の別の実施形態を示すフローチャート図である。いくつかの実施形態では、方法600は、リモートユニット102などの装置によって実行される。ある特定の実施形態では、方法600は、プログラムコードを実行するプロセッサ、たとえば、マイクロコントローラ、マイクロプロセッサ、CPU、GPU、補助処理装置、FPGAなどによって実行され得る。
様々な実施形態において、方法600は、第1のネットワーク機能と通信する(602)ステップを含む。いくつかの実施形態では、方法600は、プロビジョニングサーバアドレスを含む登録受け入れメッセージを受信する(604)ステップを含む。ある特定の実施形態では、方法600は、リモートユニットのPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いて、マスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出する(606)ステップを含む。
ある特定の実施形態では、方法600はさらに、KProを使用してインターネットプロトコル(IP)セキュリティ(IPSec)トンネルをセットアップするために、第2のネットワーク機能と通信するステップを含む。いくつかの実施形態では、第2のネットワーク機能はプロビジョニングサーバを備える。様々な実施形態において、リモートユニットはユーザ機器(UE)を備える。
一実施形態では、第1のネットワーク機能は、アクセスおよびモビリティ管理機能を備える。ある特定の実施形態では、方法600はさらに、登録受け入れメッセージを受信するステップの前に、登録要求メッセージを送信するステップを含む。
一実施形態では、装置はネットワークデバイスを備える。装置はさらに、第1のネットワーク機能を介してリモートユニットと通信する送信機と、第1のネットワーク機能から認証要求を受信する受信機と、オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択するプロセッサとを備え、送信機は応答メッセージを第1のネットワーク機能に送信し、応答メッセージはプロビジョニングサーバアドレスを備える。
ある特定の実施形態では、プロセッサは、リモートユニットのPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いて、マスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出する。
いくつかの実施形態では、送信機はプロビジョニングキーメッセージを第2のネットワーク機能に送信し、プロビジョニングキーメッセージは、KProおよびオンボーディングSUPI(subscription permanent identifier)を備える。
様々な実施形態において、受信機は、プロビジョニングキーメッセージを送信することに基づいて、第2のネットワーク機能から応答メッセージを受信する。
一実施形態では、プロセッサは、成功したプロビジョニングを検証し、オンボーディングSUPIに関するオンボーディングプロファイルを無効化または削除する。
いくつかの実施形態では、ネットワークデバイスは、デフォルト証明書サーバ(DCS)を備える。
いくつかの実施形態では、リモートユニットはユーザ機器を備える。
様々な実施形態において、第1のネットワーク機能は認証サーバ機能(AUSF)を備える。
一実施形態では、第2のネットワーク機能はプロビジョニングサーバを備える。
一実施形態では、ネットワークデバイスの方法は、第1のネットワーク機能を介してリモートユニットと通信するステップと、第1のネットワーク機能から認証要求を受信するステップと、オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択するステップと、応答メッセージを第1のネットワーク機能に送信するステップとを含み、応答メッセージはプロビジョニングサーバアドレスを備える。
ある特定の実施形態では、方法はさらに、リモートユニットのPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いて、マスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出するステップを含む。
いくつかの実施形態では、方法はさらに、プロビジョニングキーメッセージを第2のネットワーク機能に送信するステップを含み、プロビジョニングキーメッセージは、KProおよびオンボーディングSUPI(subscription permanent identifier)を備える。
様々な実施形態において、方法はさらに、プロビジョニングキーメッセージを送信するステップに基づいて、第2のネットワーク機能から応答メッセージを受信するステップを含む。
一実施形態では、方法はさらに、成功したプロビジョニングを検証するステップを含み、オンボーディングSUPIに関するオンボーディングプロファイルを無効化または削除する。
ある特定の実施形態では、ネットワークデバイスはデフォルト証明書サーバ(DCS)を備える。
いくつかの実施形態では、リモートユニットはユーザ機器を備える。
様々な実施形態において、第1のネットワーク機能は認証サーバ機能(AUSF)を備える。
一実施形態では、第2のネットワーク機能はプロビジョニングサーバを備える。
一実施形態では、装置はリモートユニットを備える。装置はさらに、第1のネットワーク機能と通信する送信機と、プロビジョニングサーバアドレスを備える登録受け入れメッセージを受信する受信機と、装置のPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いてマスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出するプロセッサとを備える。
ある特定の実施形態では、送信機は、KProを使用してインターネットプロトコル(IP)セキュリティ(IPSec)トンネルをセットアップするために、第2のネットワーク機能と通信する。
いくつかの実施形態では、第2のネットワーク機能はプロビジョニングサーバを備える。
様々な実施形態において、リモートユニットはユーザ機器(UE)を備える。
一実施形態では、第1のネットワーク機能は、アクセスおよびモビリティ管理機能を備える。
ある特定の実施形態では、送信機は、登録受け入れメッセージを受信する前に、登録要求メッセージを送信する。
一実施形態では、リモートユニットの方法は、第1のネットワーク機能と通信するステップと、プロビジョニングサーバアドレスを備える登録受け入れメッセージを受信するステップと、リモートユニットのPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いてマスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出するステップとを含む。
ある特定の実施形態では、方法はさらに、KProを使用してインターネットプロトコル(IP)セキュリティ(IPSec)トンネルをセットアップするために、第2のネットワーク機能と通信するステップを含む。
いくつかの実施形態では、第2のネットワーク機能はプロビジョニングサーバを備える。
様々な実施形態において、リモートユニットはユーザ機器(UE)を備える。
一実施形態では、第1のネットワーク機能はアクセスおよびモビリティ管理機能を備える。
ある特定の実施形態では、方法はさらに、登録受け入れメッセージを受信するステップの前に登録要求メッセージを送信するステップを含む。
実施形態は他の特定の形式で実践され得る。説明される実施形態は、限定的ではなく単に例示的であるものとしてすべての態様においてみなされるべきである。したがって、本発明の範囲は、前述の説明によってではなく、添付の特許請求の範囲によって示される。特許請求の範囲の均等性の意図と範囲内になるすべての変更が、それらの範囲内に含まれるものとする。
100 ワイヤレス通信システム
102 リモートユニット
104 ネットワークユニット
200 装置
202 プロセッサ
204 メモリ
206 入力デバイス
208 ディスプレイ
210 送信機
212 受信機
300 装置
302 プロセッサ
304 メモリ
306 入力デバイス
308 ディスプレイ
310 送信機
312 受信機
400 システム
402 UE
404 AMF/SEAF
406 UDM/UDR
408 AUSF
410 DCS
412 プロビジョニングサーバ

Claims (15)

  1. ネットワークデバイスを備える装置であって、
    第1のネットワーク機能を介してリモートユニットと通信する送信機と、
    前記第1のネットワーク機能から認証要求を受信する受信機と、
    オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択するプロセッサとをさらに備え、前記送信機が応答メッセージを前記第1のネットワーク機能に送信し、前記応答メッセージがプロビジョニングサーバアドレスを備える、装置。
  2. 前記プロセッサが、前記リモートユニットのPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いて、マスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出する、請求項1に記載の装置。
  3. 前記送信機が、プロビジョニングキーメッセージを第2のネットワーク機能に送信し、前記プロビジョニングキーメッセージが、前記KProおよびオンボーディングSUPI(subscription permanent identifier)を備える、請求項2に記載の装置。
  4. 前記受信機が、前記プロビジョニングキーメッセージを送信したことに基づいて、前記第2のネットワーク機能から応答メッセージを受信する、請求項3に記載の装置。
  5. 前記プロセッサが、成功したプロビジョニングを検証し、前記オンボーディングSUPIに関するオンボーディングプロファイルを無効化または削除する、請求項4に記載の装置。
  6. 前記ネットワークデバイスがデフォルト証明書サーバ(DCS)を備える、請求項1に記載の装置。
  7. 前記リモートユニットがユーザ機器を備える、請求項1に記載の装置。
  8. 前記第1のネットワーク機能が認証サーバ機能(AUSF)を備える、請求項1に記載の装置。
  9. 第2のネットワーク機能がプロビジョニングサーバを備える、請求項1に記載の装置。
  10. ネットワークデバイスの方法であって、
    第1のネットワーク機能を介してリモートユニットと通信するステップと、
    前記第1のネットワーク機能から認証要求を受信するステップと、
    オンボーディングプロファイルのリモートユニット識別情報に基づいて、事前構成に基づいて、またはそれらの組合せでプロビジョニングサーバを選択するステップと、
    応答メッセージを前記第1のネットワーク機能に送信するステップとを含み、前記応答メッセージがプロビジョニングサーバアドレスを備える、方法。
  11. リモートユニットを備える装置であって、
    第1のネットワーク機能と通信する送信機と、
    プロビジョニングサーバアドレスを備える登録受け入れメッセージを受信する受信機と、
    前記装置のPEI(permanent equipment identifier)を鍵導出関数(KDF)への入力として用いてマスターセッションキー(MSK)からプロビジョニングキー(KPro)を導出するプロセッサとをさらに備える、装置。
  12. 前記送信機が、前記KProを使用してインターネットプロトコル(IP)セキュリティ(IPSec)トンネルをセットアップするために、第2のネットワーク機能と通信し、前記第2のネットワーク機能がプロビジョニングサーバを備える、請求項11に記載の装置。
  13. 前記リモートユニットがユーザ機器(UE)を備える、請求項11に記載の装置。
  14. 前記第1のネットワーク機能がアクセスおよびモビリティ管理機能を備える、請求項11に記載の装置。
  15. 前記送信機が、前記登録受け入れメッセージを受信する前に登録要求メッセージを送信する、請求項11に記載の装置。
JP2023548725A 2021-02-11 2022-02-08 セルラーネットワークにおけるプロビジョニングサーバの選択 Pending JP2024508724A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202163148187P 2021-02-11 2021-02-11
US63/148,187 2021-02-11
PCT/IB2022/051133 WO2022172159A1 (en) 2021-02-11 2022-02-08 Provisioning server selection in a cellular network

Publications (2)

Publication Number Publication Date
JP2024508724A true JP2024508724A (ja) 2024-02-28
JPWO2022172159A5 JPWO2022172159A5 (ja) 2024-03-22

Family

ID=80786835

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023548725A Pending JP2024508724A (ja) 2021-02-11 2022-02-08 セルラーネットワークにおけるプロビジョニングサーバの選択

Country Status (7)

Country Link
US (1) US20240121088A1 (ja)
EP (1) EP4292238A1 (ja)
JP (1) JP2024508724A (ja)
CN (1) CN116830524A (ja)
CA (1) CA3205575A1 (ja)
MX (1) MX2023009286A (ja)
WO (1) WO2022172159A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4395379A1 (en) * 2022-12-26 2024-07-03 Thales Dis France Sas A method for provisioning a user equipment with credentials in a private telecommunication network
EP4395378A1 (en) * 2022-12-26 2024-07-03 Thales Dis France Sas A method for provisioning a user equipment with credentials in a private telecommunication network

Also Published As

Publication number Publication date
EP4292238A1 (en) 2023-12-20
MX2023009286A (es) 2023-08-15
CN116830524A (zh) 2023-09-29
US20240121088A1 (en) 2024-04-11
CA3205575A1 (en) 2022-08-18
WO2022172159A1 (en) 2022-08-18

Similar Documents

Publication Publication Date Title
US10924930B2 (en) Core network attachment through standalone non-3GPP access networks
US20230231851A1 (en) Authenticating a device not having a subscription in a network
CN111448814B (zh) 指示用于远程单元的网络
US20220116769A1 (en) Notification in eap procedure
US20230105597A1 (en) Re-authentication key generation
US20220104165A1 (en) Indicating a network for a remote unit
US20230247423A1 (en) Supporting remote unit reauthentication
US20230224704A1 (en) Using a pseudonym for access authentication over non-3gpp access
CN116391378A (zh) 使用验证数字标识的订阅入网
US12089177B2 (en) Registering with a mobile network through another mobile network
JP2024508724A (ja) セルラーネットワークにおけるプロビジョニングサーバの選択
US20230231720A1 (en) Supporting remote unit reauthentication
CN115943652A (zh) 使用隐藏标识的移动网络认证
CN115699677A (zh) 用于确定认证类型的方法和装置
US20240187856A1 (en) Registration authentication based on a capability
US20240314552A1 (en) Application registration with a network
WO2023175541A1 (en) Authentication and registration of personal internet of things network elements
US20230292114A1 (en) Securing communications between user equipment devices
WO2023175461A1 (en) Establishing an application session corresponding to a pin element
WO2024088552A1 (en) Improving user plane function performance in a wireless communication network
JP2023537729A (ja) Uas認証およびセキュリティ確立
WO2024017486A1 (en) Tunnel establishment for non-seamless wlan offloading

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240311