JP2024522056A - オンデマンドネットワークにおけるプロビジョニング、認証、認可、ならびにユーザ機器(ue)鍵生成および配布のための方法および装置 - Google Patents
オンデマンドネットワークにおけるプロビジョニング、認証、認可、ならびにユーザ機器(ue)鍵生成および配布のための方法および装置 Download PDFInfo
- Publication number
- JP2024522056A JP2024522056A JP2023568382A JP2023568382A JP2024522056A JP 2024522056 A JP2024522056 A JP 2024522056A JP 2023568382 A JP2023568382 A JP 2023568382A JP 2023568382 A JP2023568382 A JP 2023568382A JP 2024522056 A JP2024522056 A JP 2024522056A
- Authority
- JP
- Japan
- Prior art keywords
- key
- network
- demand network
- key set
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 124
- 238000000034 method Methods 0.000 title claims description 91
- 230000004044 response Effects 0.000 claims abstract description 34
- 238000004891 communication Methods 0.000 claims description 82
- 230000008569 process Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 description 40
- 230000015654 memory Effects 0.000 description 20
- 230000006870 function Effects 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 238000010200 validation analysis Methods 0.000 description 7
- 238000001228 spectrum Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000015572 biosynthetic process Effects 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000009795 derivation Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
実施形態によると、ユーザ機器(UE)は、アクセスクレデンシャルメッセージを受信し、アクセスクレデンシャルメッセージは、UEがアクセスするオンデマンドネットワークのためのアクセスクレデンシャルを指示する。アクセスクレデンシャルメッセージは、アクセスクレデンシャルの有限存続期間をさらに指示する。UEは、オンデマンドネットワークへ認証・認可要求を送信する。認証・認可要求は、アクセスクレデンシャルに関する情報を含む。UEは、オンデマンドネットワークから認証・認可応答を受信する。UEは、認証・認可応答に基づいてオンデマンドネットワークとのセッションを確立する。
Description
関連出願の相互参照
本特許出願は、2021年5月7日に出願された「オンデマンドネットワークにおけるプロビジョニング、認証、および認可のための方法および装置」と題する米国仮出願第63/185,826号、および2021年5月7日に出願された「オンデマンドネットワークにおけるユーザ機器鍵生成および配布のための方法および装置」と題する米国仮出願第63/185,837号の優先権を主張するものであり、これらの出願は、その全体があたかも複製されたかのように参照により本書に組み込まれる。
本特許出願は、2021年5月7日に出願された「オンデマンドネットワークにおけるプロビジョニング、認証、および認可のための方法および装置」と題する米国仮出願第63/185,826号、および2021年5月7日に出願された「オンデマンドネットワークにおけるユーザ機器鍵生成および配布のための方法および装置」と題する米国仮出願第63/185,837号の優先権を主張するものであり、これらの出願は、その全体があたかも複製されたかのように参照により本書に組み込まれる。
本開示は、一般的には、無線通信のための方法および装置に関し、特定の実施形態においては、オンデマンドネットワークにおけるプロビジョニング、認証、認可、ならびにユーザ機器(UE)鍵生成および配布のための方法および装置に関する。
無線ネットワークは、進化するサービスエコシステムの一部として、様々な新しいアプリケーションやサービスを満足する形に進化する必要がある。3GPP(登録商標) SA1 WGは、オンデマンドネットワークに関する新たな研究を開始した。オンデマンドネットワークは、パーソナル・インターネット・オブ・シングス(IoT)ネットワーク(PIN)を含む。PINは、非常に小さなプライベートネットワークに似ているが、より動的かつ柔軟なやりかたで展開できる。ほとんどのPINは、ホームオートメーション、ウェアラブルデバイス、メータなどの消費者用IoTデバイスのために家庭や小規模企業現場で展開でき、持続時間が短い展開のために速やかにセットアップできる。PINとオンデマンドネットワークは、オペレータが異なるUEの参加を可能にする。UEの所有者は、互いに友人である場合があり、または共同体の一部である場合もある。しかしながら、UEがオンデマンドネットワークにアクセスするためにUEを迅速かつ自動的に認証し認可するためのメカニズムが欠けている。さらに、今のところオンデマンドネットワークは、オペレータが異なるUEがオンデマンドネットワークと安全に通信することを、またはオンデマンドネットワーク内の他のUEと通信することを、サポートしていない。
オンデマンドネットワークにおけるプロビジョニング、認証、認可、ならびにユーザ機器(UE)鍵生成および配布のための方法および装置を説明する本開示の実施形態によって、技術的な利点が一般に達成される。
実施形態によると、ユーザ機器(UE)は、アクセスクレデンシャルメッセージを受信し、アクセスクレデンシャルメッセージは、UEがアクセスするオンデマンドネットワークのためのアクセスクレデンシャルを指示する。アクセスクレデンシャルメッセージは、アクセスクレデンシャルの有限存続期間をさらに指示する。UEは、オンデマンドネットワークへ認証・認可要求を送信する。認証・認可要求は、アクセスクレデンシャルに関する情報を含む。UEは、オンデマンドネットワークから認証・認可応答を受信する。UEは、認証・認可応答に基づいてオンデマンドネットワークとのセッションを確立する。
いくつかの実施形態において、オンデマンドネットワークは、UEのホームオペレータとは異なるオペレータに属し得る。いくつかの実施形態において、アクセスクレデンシャルメッセージは、認証および認可を行う1つ以上のエンティティを指示するエンティティ情報をさらに含み得る。認証・認可要求は、エンティティ情報を含み得る。いくつかの実施形態において、1つ以上のエンティティは、オンデマンドネットワークのエンティティ、オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、またはUEのホームネットワークのエンティティのうちの少なくとも1つを含み得る。いくつかの実施形態において、エンティティ情報は、認証を処理する第1のエンティティと認可を処理する第2のエンティティとを指示し得る。第2のエンティティは、第1のエンティティと異なる場合がある。いくつかの実施形態において、アクセスクレデンシャルメッセージは、クレデンシャルタイプとクレデンシャルオーナーをさらに指示できる。クレデンシャルオーナーは、オンデマンドネットワーク、オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、またはUEのホームネットワークのうちの1つであり得る。いくつかの実施形態において、UEは、UEがUEのホームネットワークと認証することを受けて、またはUEがオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバと認証することを受けて、アクセスクレデンシャルメッセージを受信できる。UEは、UEがオンデマンドネットワークにアクセスする前に、またはUEがオンデマンドネットワークにアクセスしている間に、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、UEは、オンデマンドネットワークにアクセスするためにアクセスクレデンシャルに関する情報を得ることを要求せずに、UEのホームネットワークから、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、UEは、オンデマンドネットワークにアクセスするためにアクセスクレデンシャルに関する情報を得ることを要求して、UEのホームネットワークから、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、アクセスクレデンシャルに関する情報は、アクセスクレデンシャル、またはアクセスクレデンシャルの識別子を含み得る。
実施形態によると、オンデマンドネットワークのネットワークエンティティは、アクセスクレデンシャルに関する情報を含む認証・認可要求を受信する。UEは、UEがアクセスするオンデマンドネットワークのためのアクセスクレデンシャルを指示するアクセスクレデンシャルメッセージを受信する。アクセスクレデンシャルメッセージは、アクセスクレデンシャルの有限存続期間をさらに指示する。ネットワークエンティティは、UEへ認証・認可応答を送信する。ネットワークエンティティは、認証・認可応答に基づいてUEとのセッションを確立する。
いくつかの実施形態において、オンデマンドネットワークは、UEのホームオペレータとは異なるオペレータに属し得る。いくつかの実施形態において、アクセスクレデンシャルメッセージは、認証および認可を行う1つ以上のエンティティを指示するエンティティ情報をさらに含み得る。認証・認可要求は、エンティティ情報を含み得る。いくつかの実施形態において、1つ以上のエンティティは、オンデマンドネットワークのエンティティ、オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、またはUEのホームネットワークのエンティティのうちの少なくとも1つを含み得る。いくつかの実施形態において、エンティティ情報は、認証を処理する第1のエンティティと認可を処理する第2のエンティティとを指示し得る。第2のエンティティは、第1のエンティティと異なる場合がある。いくつかの実施形態において、アクセスクレデンシャルメッセージは、クレデンシャルタイプとクレデンシャルオーナーをさらに指示できる。クレデンシャルオーナーは、オンデマンドネットワーク、オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、またはUEのホームネットワークのうちの1つであり得る。いくつかの実施形態において、UEは、UEがUEのホームネットワークと認証することを受けて、またはUEがオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバと認証することを受けて、アクセスクレデンシャルメッセージを受信できる。UEは、UEがオンデマンドネットワークにアクセスする前に、またはUEがオンデマンドネットワークにアクセスしている間に、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、UEは、オンデマンドネットワークにアクセスするためにアクセスクレデンシャルに関する情報を得ることを要求せずに、UEのホームネットワークから、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、UEは、オンデマンドネットワークにアクセスするためにアクセスクレデンシャルに関する情報を得ることを要求して、UEのホームネットワークから、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、アクセスクレデンシャルに関する情報は、アクセスクレデンシャル、またはアクセスクレデンシャルの識別子を含み得る。
実施形態によると、ユーザ機器(UE)は、オンデマンドネットワークから少なくとも1つの鍵セットに関する鍵情報を受信する。少なくとも1つの鍵セットは、オンデマンドネットワークの情報と、オンデマンドネットワークにアクセスするためにUEによって使用されるアクセスクレデンシャルと、オンデマンドネットワークにアクセスするためにUEによって使用されるアクセスクレデンシャルとに基づいて生成される。少なくとも1つの鍵セットは第1の鍵セットを含み得、第1の鍵セットは第1の暗号鍵(cipher key: CK)および第1の完全性鍵(integrity key: IK)を含む第1の鍵ペアを含み得る。UEは、第1の鍵セットを使用して、オンデマンドネットワークと通信し、またオンデマンドネットワーク内の他のUEと通信する。
いくつかの実施形態において、オンデマンドネットワークは、UEのホームオペレータとは異なるオペレータに属し得る。いくつかの実施形態において、少なくとも1つの鍵セットに関する鍵情報は、少なくとも1つの鍵セットを含み得、または少なくとも1つの鍵セットに関する鍵情報は、少なくとも1つの鍵セットを生成するためにUEによって使用される少なくとも1つのパラメータを含み得る。いくつかの実施形態において、少なくとも1つのパラメータは、UEが新しいフレッシュ鍵を生成するためのパラメータを含み得、パラメータは、オンデマンドネットワークによってノンスとして生成される乱数を含む。いくつかの実施形態において、公開鍵は、オンデマンドネットワーク、UEのホームネットワーク、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバによって提供され得る。いくつかの実施形態において、少なくとも1つのパラメータは、少なくとも1つの鍵セットの有限存続期間を含み得る。有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含み得る。いくつかの実施形態において、UEは、リフレッシュメッセージを受信する前に、オンデマンドネットワークへリフレッシュ要求を送信できる。いくつかの実施形態において、鍵情報は、少なくとも1つの鍵セットの有限存続期間をさらに指示できる。いくつかの実施形態において、第1の鍵セット内の第1の鍵ペアは、オンデマンドネットワークの制御プレーンと通信するためにUEによって使用され得る。第1の鍵セットは、オンデマンドネットワークのデータプレーンと通信するためにUEによって使用される第2のCKおよび第2のIKを含む第2の鍵ペアをさらに含み得る。いくつかの実施形態において、少なくとも1つの鍵セットは、オンデマンドネットワーク内でのグループ通信のためにUEによって使用される第3のCKおよび第3のIKを含む第3の鍵セットをさらに含み得、第3の鍵セットはグループ固有である。オンデマンドネットワーク内の第2のUEと通信するためにUEによって使用される第4のCKおよび第4のIKを含む第4の鍵セットをさらに含む少なくとも1つの鍵セット。いくつかの実施形態において、UEは、少なくとも1つの鍵セットをリフレッシュするためのリフレッシュ情報を含む鍵リフレッシュメッセージを受信できる。鍵リフレッシュメッセージには、第1の鍵セットを使用して、暗号化と完全性チェックが行われ得る。鍵リフレッシュメッセージは、少なくとも1つの新しい鍵セットを含み得、または鍵リフレッシュメッセージは、UEが少なくとも1つの新しい鍵セットを生成するための少なくとも1つのリフレッシュパラメータを含み得る。UEは、少なくとも1つの新しい鍵セットを使用してオンデマンドネットワークと通信できる。いくつかの実施形態において、鍵情報を受信する前に、UEは、アクセスクレデンシャルに関する情報を含む認証・認可要求をオンデマンドネットワークへ送信できる。認証・認可要求は、UEの公開鍵をさらに含み得る。少なくとも1つの鍵セットに関する鍵情報は、公開鍵を使用してオンデマンドネットワークによって暗号化され得る。UEは、UEの秘密鍵を使用して少なくとも1つの鍵セットに関する鍵情報を復号できる。
実施形態によると、オンデマンドネットワークのネットワークエンティティは、少なくとも1つの鍵セットに関する鍵情報をユーザ機器(UE)へ送信する。少なくとも1つの鍵セットは、オンデマンドネットワークの情報と、オンデマンドネットワークにアクセスするためにUEによって使用されるアクセスクレデンシャルと、オンデマンドネットワークにアクセスするためにUEによって使用されるアクセスクレデンシャルとに基づいて生成される。少なくとも1つの鍵セットは第1の鍵セットを含み得、第1の鍵セットは第1の暗号鍵(CK)および第1の完全性鍵(IK)を含む第1の鍵ペアを含み得る。ネットワークエンティティは、第1の鍵セットを使用してUEと通信する。
いくつかの実施形態において、オンデマンドネットワークは、UEのホームオペレータとは異なるオペレータに属し得る。いくつかの実施形態において、少なくとも1つの鍵セットに関する鍵情報は、少なくとも1つの鍵セットを含み得、または少なくとも1つの鍵セットに関する鍵情報は、少なくとも1つの鍵セットを生成するためにUEによって使用される少なくとも1つのパラメータを含み得る。いくつかの実施形態において、少なくとも1つのパラメータは、UEが新しいフレッシュ鍵を生成するためのパラメータを含み得、パラメータは、オンデマンドネットワークによってノンスとして生成される乱数を含む。いくつかの実施形態において、公開鍵は、オンデマンドネットワーク、UEのホームネットワーク、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバによって提供され得る。いくつかの実施形態において、少なくとも1つのパラメータは、少なくとも1つの鍵セットの有限存続期間を含み得る。有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含み得る。いくつかの実施形態において、UEは、リフレッシュメッセージを受信する前に、オンデマンドネットワークへリフレッシュ要求を送信できる。いくつかの実施形態において、鍵情報は、少なくとも1つの鍵セットの有限存続期間をさらに指示できる。いくつかの実施形態において、第1の鍵セット内の第1の鍵ペアは、オンデマンドネットワークの制御プレーンと通信するためにUEによって使用され得る。第1の鍵セットは、オンデマンドネットワークのデータプレーンと通信するためにUEによって使用される第2のCKおよび第2のIKを含む第2の鍵ペアをさらに含み得る。いくつかの実施形態において、少なくとも1つの鍵セットは、オンデマンドネットワーク内でのグループ通信のためにUEによって使用される第3のCKおよび第3のIKを含む第3の鍵セットをさらに含み得、第3の鍵セットはグループ固有である。オンデマンドネットワーク内の第2のUEと通信するためにUEによって使用される第4のCKおよび第4のIKを含む第4の鍵セットをさらに含む少なくとも1つの鍵セット。いくつかの実施形態において、UEは、少なくとも1つの鍵セットをリフレッシュするためのリフレッシュ情報を含む鍵リフレッシュメッセージを受信できる。鍵リフレッシュメッセージには、第1の鍵セットを使用して、暗号化と完全性チェックが行われ得る。鍵リフレッシュメッセージは、少なくとも1つの新しい鍵セットを含み得、または鍵リフレッシュメッセージは、UEが少なくとも1つの新しい鍵セットを生成するための少なくとも1つのリフレッシュパラメータを含み得る。UEは、少なくとも1つの新しい鍵セットを使用してオンデマンドネットワークと通信できる。いくつかの実施形態において、鍵情報を受信する前に、UEは、アクセスクレデンシャルに関する情報を含む認証・認可要求をオンデマンドネットワークへ送信できる。認証・認可要求は、UEの公開鍵をさらに含み得る。少なくとも1つの鍵セットに関する鍵情報は、公開鍵を使用してオンデマンドネットワークによって暗号化され得る。UEは、UEの秘密鍵を使用して少なくとも1つの鍵セットに関する鍵情報を復号できる。
本開示の実施形態は、UEがオンデマンドネットワークにアクセスするためにUEを迅速かつ自動的に認証し認可するためのメカニズムを提供する。加えて、本開示の実施形態は、オペレータが異なるUEがオンデマンドネットワークと安全に通信することを、またはオンデマンドネットワーク内の他のUEと通信することを、サポートする。
本開示とその利点をより完全に理解するため、ここで添付の図面と併せて以下の説明を参照する。
以下では、開示されている実施形態の構造および使用を詳細に説明する。しかしながら、本開示が、多種多様な具体的状況で具現され得る適用可能なコンセプトを数多く提供することを理解されたい。説明される具体的な実施形態は、実施形態の具体的な構造および使用を例示するものにすぎず、本開示の範囲を限定するものではない。
図1は、いくつかの実施形態による、2つのオンデマンドPIN 100および110を含む例示的な通信システムを示す。2つのオンデマンドPIN 100および110の各々は、(例えば、ゲームをプレイする)短期間にわたってそれぞれのPIN内で互いに接続される様々なモバイルデバイス(例えば、ユーザ機器(UE))を含む。例えば、オンデマンドPIN 100は、携帯電話110、ウェアラブルデバイス104(例えば、無線イヤホン)、ウェアラブルデバイス106(例えば、無線ゴーグル)、およびウェアラブルデバイス108(例えば、無線腕時計)を含み得、これらは、オンデマンドPIN 100の中で短期間互いに接続される。オンデマンドPIN 110は、携帯電話112、ウェアラブルデバイス114(例えば、無線イヤホン)、ウェアラブルデバイス116(例えば、無線ゴーグル)、およびウェアラブルデバイス118(例えば、無線腕時計)を含み得、これらは、オンデマンドPIN 110の中で短期間互いに接続される。オンデマンドPIN 100および110の各々の中の1つ以上の無線デバイスは、ネットワーク120にも接続され得る(例えば、5G無線ネットワークや4G LTEネットワークなどの公衆回線モバイルネットワーク)。
3GPP SA1は、参照により全体が本書に組み込まれるTR 22.859(パーソナルIoTネットワークに関する3GPP研究)のPIN研究段階で家庭でのオンデマンドPINの動的確立に関する新しいユースケースを受け入れた。PINの展開と、これを新たな付加価値サービスとして利用するためのモバイルオペレータのサポートにより、スマートフォン、タブレット、顧客宅内機器(CPE)などの認可されたモバイルデバイスも、一時的なオンデマンドPINを動的に形成し管理するためのPINゲートウェイとして使用できる。一時的なオンデマンドPINは、近接したデバイスに接続を提供するばかりでなく、PINに接続可能なデバイスの決定や、PIN内でのサービスやトラフィックの管理など、PINを管理するためのさらなる柔軟性と権限をPINユーザに提供する。PINユーザは、短い運用時間(例えば、数時間にわたるパーティーの夜)しか続かないオンデマンドネットワーク(例えば、PIN)を形成することを公衆回線モバイルネットワーク(PLMN)に要求できる。すべてのデバイスは、この運用時間中にのみ形成されたオンデマンドネットワークに接続でき、その後切断される。
TR 22.859に記載されているそのようなオンデマンドネットワーク(PIN)は、小規模ではあるが小規模プライベートネットワークと考えることができ、より迅速かつより動的に展開できる。
3GPP SA1はまた、参照により全体が本書に組み込まれるTR 22.844(ローカライズドサービスにおけるアクセス提供に関する3GPP研究)でオンデマンド型ローカライズドサービスの提供に関する別の研究を開始しており、これは、UEが特定のホストされたサービスのためにローカルネットワークに短期間アクセスすることを可能にする。このローカルネットワークは、オンデマンド型の短期間ネットワークであってもよい。
これら2つの研究により、特定のサービスを提供するために形成され得る新しいタイプのオンデマンドプライベートネットワーク、すなわちパーソナルIoTネットワーク(PIN)が規定されている。UEによってPINが形成され選択されると、そのネットワークからサービスを享受し始めるために、UEを迅速かつ自動的に認証し認可するための新しいメカニズムも必要となる。UEの認証とは、UEの識別情報および真正性を暗号的に検査することを指す。UEの認可とは、認証済みのUEが要求している特定の加入サービスにアクセスすることを許可または認可されていることを検証することを指す。例えば、UEが音声のみのサービスに加入している場合、UEは、データサービスなどの他のサービスへのアクセスを許可または認可されない。
オンデマンドネットワーク(例えば、PIN)を含むオンデマンドネットワークのシナリオでは、PINによって提供されるサービスにアクセスしようとしているUEまたはデバイスは、同じネットワークオペレータに属している場合とそうでない場合とがある。オンデマンドネットワークへのアクセスを可能にするには、これらのUEまたはデバイス(本開示の残りの部分ではUEと総称する)がオンデマンドネットワーク(例えば、PIN)によって認証され認可される必要がある。オンデマンドネットワークにアクセスする1群のUEのうちの少なくとも1つのUE(本書ではホストUEと呼ばれる)は、オンデマンドネットワークのオペレータに属し、容易に認証および認可され得る(例えば、既にプロビジョニングされているクレデンシャルを使用(すなわち、ユニバーサル集積回路カード(UICC)または加入者識別モジュール(SIM)カード内のk))。しかし、オンデマンドネットワークのオペレータに属さない他のUEについては、現在、それらのUEがオンデマンドネットワークにアクセスするためのアクセスクレデンシャルをプロビジョニングされ、認証され、オンデマンドネットワークによって認可されることを可能にするメカニズムは存在しない。本開示ではPINとオンデマンドネットワークという用語が互換的に使用され得る。
現在では、オンデマンドネットワークのオペレータに属するUEのみが有効なユーザサブスクリプションを有する。その結果、オンデマンドネットワークのオペレータと共有される共通のクレデンシャル(すなわち、UICC内の長期鍵)が存在する。オンデマンドネットワークのオペレータと既に共有されているクレデンシャルを利用することで、オンデマンドネットワークアクセスのためにUEを認証し認可することができる。しかしながら、オンデマンドネットワークによってサポートされる多くのユースケースでは、オンデマンドネットワークにアクセスする必要がある多くのUEがオンデマンドネットワークと同じオペレータに属する可能性は低い。したがって、現在の技術は不十分である。オンデマンドネットワークを運営する同じオペレータに属するUEのみがオンデマンドネットワークへのアクセスを得ることができると強制するのは、あまりにも制限的であり、柔軟性がなく、望ましくない。
本開示の実施形態は、オンデマンドネットワークのオペレータに属さないUEが、オンデマンドネットワークにアクセスする目的で、アクセスクレデンシャルをプロビジョニングされ、認証され、認可されることを可能にする様々な方法および装置を提供する。
実施形態では、オンデマンドネットワークにアクセスすることになるUEにアクセスクレデンシャルがプロビジョニングされる。これらのアクセスクレデンシャルは、UEを認証し認可するためにUEとオンデマンドネットワークとによって使用される。
実施形態は、UEがPINにアクセスするための1セットのアクセスクレデンシャルを受信することと、UEがPINへの初期アクセス中に認証および認可されることとを含む。
さらなる実施形態は、「閉じた」グループオンデマンドネットワークの設定を含む(例えば、近接しているユーザ、または見通し線内にいるユーザのためだけにセットアップされたPIN、そのPINをセットアップしたPLMNによってUEへアクセスクレデンシャルが直接送信される)。認可は、UEがアクセスクレデンシャルを得たことをもって暗黙的なものとすることができる。
オンデマンドネットワークアクセスクレデンシャル
それぞれのUEは、オンデマンドネットワークにアクセスするために、オンデマンドネットワークアクセスクレデンシャルを必要とする。オンデマンドアクセスクレデンシャルは、オンデマンドネットワークにアクセスするためにUEを認証し認可するために使用され得る。オンデマンドアクセスクレデンシャルは、1回だけ使用するクレデンシャルであってよく、または複数回使用するクレデンシャルであってもよい。クレデンシャルが複数回使用されるものである場合、クレデンシャルはクレデンシャルと関連付けられた存続期間を有する場合があり、またはクレデンシャルはクレデンシャルと関連付けられたカウンタを有する場合もある(これは、例えばアクセスクレデンシャルが使用されるたびに計数する)。アクセスクレデンシャルは、共有鍵(例えば、UEのUICCとネットワークとに格納され3GPPネットワークでの認証に使用される長期鍵)、公開鍵・秘密鍵ペア、証明書(例えば、X.509証明書)、またはトークンなど、様々な形式をとり得る。アクセスクレデンシャルを持つUEは、アクセスクレデンシャルの形式やアクセスクレデンシャルがプロビジョニングされる方法しだいで様々なエンティティによる認証を必要とする可能性があるので、アクセスクレデンシャルは、認証がローカルで行われない場合にアクセスクレデンシャルをプロビジョニングしたエンティティに認証情報を適切に送り返せるようにするために、例えばプレフィックスの一部として、またはドメインとして、ネットワークルーティング情報を含んでもよい。
それぞれのUEは、オンデマンドネットワークにアクセスするために、オンデマンドネットワークアクセスクレデンシャルを必要とする。オンデマンドアクセスクレデンシャルは、オンデマンドネットワークにアクセスするためにUEを認証し認可するために使用され得る。オンデマンドアクセスクレデンシャルは、1回だけ使用するクレデンシャルであってよく、または複数回使用するクレデンシャルであってもよい。クレデンシャルが複数回使用されるものである場合、クレデンシャルはクレデンシャルと関連付けられた存続期間を有する場合があり、またはクレデンシャルはクレデンシャルと関連付けられたカウンタを有する場合もある(これは、例えばアクセスクレデンシャルが使用されるたびに計数する)。アクセスクレデンシャルは、共有鍵(例えば、UEのUICCとネットワークとに格納され3GPPネットワークでの認証に使用される長期鍵)、公開鍵・秘密鍵ペア、証明書(例えば、X.509証明書)、またはトークンなど、様々な形式をとり得る。アクセスクレデンシャルを持つUEは、アクセスクレデンシャルの形式やアクセスクレデンシャルがプロビジョニングされる方法しだいで様々なエンティティによる認証を必要とする可能性があるので、アクセスクレデンシャルは、認証がローカルで行われない場合にアクセスクレデンシャルをプロビジョニングしたエンティティに認証情報を適切に送り返せるようにするために、例えばプレフィックスの一部として、またはドメインとして、ネットワークルーティング情報を含んでもよい。
アクセスクレデンシャルはまた、アクセスクレデンシャルの識別に役立つ(例えば、複数のクレデンシャルが同時にプロビジョニングされる場合)、または特定の用途の識別に役立つ(例えば、ある特定のオンデマンドネットワークのためにクレデンシャルが作成される場合)、他の識別子を含んでもよい。それぞれのアクセスクレデンシャルは、UEに固有のものであってよい(すなわち、オンデマンドネットワーク内の複数のUEでアクセスクレデンシャルは共有されない)。したがって、UEがオンデマンドネットワークにアクセスするために自身のアクセスクレデンシャルを使用するときには、UEを一意に識別できる。ほとんどの場合、合法的な傍受など、地域や現地の規制要件を遵守するためには、UEの一意の識別が必要とされ得る。
UEホームネットワーク提供のアクセスクレデンシャル
いくつかの実施形態によると、オンデマンドネットワークを運営するオペレータに属さないUEは、オンデマンドネットワーク(例えば、PIN)にアクセスするために、UEのホームオペレータからワンタイムアクセスクレデンシャルを直接得ることができ、オンデマンドネットワークのオペレータはUEのホームオペレータと事業契約を結んでいる。UEのホームオペレータとオンデマンドネットワークのオペレータとの間に事業契約がなければ、これらのアクセスクレデンシャルは、ホームオペレータやオンデマンドネットワークのいずれにも役立たない。UEのホームオペレータとオンデマンドネットワークのオペレータは、UEのホームオペレータによってUEへ安全に送信されるクレデンシャルを使用してUEがオンデマンドネットワークにアクセスできるようにする事業協定(例えば、ローミング協定)を結ぶことができる。UEとそのホームオペレータは相互に認証され、認証の成功(すなわち、正常なネットワークアクセスおよび認証プロセス)を受けてセキュリティアソシエーションがセットアップされるので、UEとそのホームオペレータとの間のその後の通信(すなわち、PINにアクセスするためのアクセスクレデンシャルの送信)は安全が確保される。TS23.501で規定された「UEパラメータ更新」メッセージや「UE構成更新」メッセージなどの制御メッセージを、この例示的な実施形態によって規定されるオンデマンドネットワークのための新しいクレデンシャル情報で改良することによって、または3GPPによって規定されたUEとネットワークとの間の他の既存のセキュリティコンテナ交換メッセージによって、UEがオンデマンドネットワーク(例えば、PIN)のカバレッジに入る前に、またはオンデマンドネットワークのカバレッジ内にある間に、UEのホームネットワークからUEにアクセスクレデンシャルをプロビジョニングできる。
いくつかの実施形態によると、オンデマンドネットワークを運営するオペレータに属さないUEは、オンデマンドネットワーク(例えば、PIN)にアクセスするために、UEのホームオペレータからワンタイムアクセスクレデンシャルを直接得ることができ、オンデマンドネットワークのオペレータはUEのホームオペレータと事業契約を結んでいる。UEのホームオペレータとオンデマンドネットワークのオペレータとの間に事業契約がなければ、これらのアクセスクレデンシャルは、ホームオペレータやオンデマンドネットワークのいずれにも役立たない。UEのホームオペレータとオンデマンドネットワークのオペレータは、UEのホームオペレータによってUEへ安全に送信されるクレデンシャルを使用してUEがオンデマンドネットワークにアクセスできるようにする事業協定(例えば、ローミング協定)を結ぶことができる。UEとそのホームオペレータは相互に認証され、認証の成功(すなわち、正常なネットワークアクセスおよび認証プロセス)を受けてセキュリティアソシエーションがセットアップされるので、UEとそのホームオペレータとの間のその後の通信(すなわち、PINにアクセスするためのアクセスクレデンシャルの送信)は安全が確保される。TS23.501で規定された「UEパラメータ更新」メッセージや「UE構成更新」メッセージなどの制御メッセージを、この例示的な実施形態によって規定されるオンデマンドネットワークのための新しいクレデンシャル情報で改良することによって、または3GPPによって規定されたUEとネットワークとの間の他の既存のセキュリティコンテナ交換メッセージによって、UEがオンデマンドネットワーク(例えば、PIN)のカバレッジに入る前に、またはオンデマンドネットワークのカバレッジ内にある間に、UEのホームネットワークからUEにアクセスクレデンシャルをプロビジョニングできる。
オンデマンドネットワーク提供のアクセスクレデンシャル
いくつかの実施形態によると、オンデマンドネットワークのオペレータは、それぞれのUEがオンデマンドネットワークにアクセスするための1セットの固有のアクセスクレデンシャルと併せて、オンデマンドネットワーク(例えば、PIN)を形成する。オンデマンドネットワーク(例えば、PIN)の形成中には、アクセスクレデンシャル情報を含むUE情報がホストUEによって他のUEに提供され得る。例えば、ホストUEは、PINを形成するためのテンプレートを使用して別のUEの情報(例えば、別のUEの識別子、電子メールなど)を入力する。ひとたびオンデマンドネットワークが形成されると、オンデマンドネットワークは、アクセスクレデンシャルに関する情報を、例えばアクセストークンやアクセスクレデンシャルへのリンク(例えば、SMS、電子メールなどを使用したセキュアサーバへのhttpsリンク)を、テンプレートに入力されたUEへ送信できる。あるいは、オンデマンドネットワークは、ネットワーク登録段階でUEによって提供されるUE識別情報に基づいて、オンデマンドネットワークの形成中に情報テンプレート内のUEを識別し、次いで、TS23.501、TS23.502(いずれも参照によりその全体が本書に組み込まれる)で規定された既存の非公衆ネットワーク(NPN)プロビジョンメカニズムの改良により、UEにアクセスクレデンシャルをプロビジョニングする。あるいは、オンデマンドネットワークはホストUEにスキャンコードをダウンロードすることもできるので、UEは、アクセスクレデンシャルやアクセスクレデンシャルへのリンク(例えば、アクセスクレデンシャルをUEに安全にダウンロードできるセキュアサーバへのhttpsリンク)といったアクセスクレデンシャルに関する情報をホストUEから得ることができる。
いくつかの実施形態によると、オンデマンドネットワークのオペレータは、それぞれのUEがオンデマンドネットワークにアクセスするための1セットの固有のアクセスクレデンシャルと併せて、オンデマンドネットワーク(例えば、PIN)を形成する。オンデマンドネットワーク(例えば、PIN)の形成中には、アクセスクレデンシャル情報を含むUE情報がホストUEによって他のUEに提供され得る。例えば、ホストUEは、PINを形成するためのテンプレートを使用して別のUEの情報(例えば、別のUEの識別子、電子メールなど)を入力する。ひとたびオンデマンドネットワークが形成されると、オンデマンドネットワークは、アクセスクレデンシャルに関する情報を、例えばアクセストークンやアクセスクレデンシャルへのリンク(例えば、SMS、電子メールなどを使用したセキュアサーバへのhttpsリンク)を、テンプレートに入力されたUEへ送信できる。あるいは、オンデマンドネットワークは、ネットワーク登録段階でUEによって提供されるUE識別情報に基づいて、オンデマンドネットワークの形成中に情報テンプレート内のUEを識別し、次いで、TS23.501、TS23.502(いずれも参照によりその全体が本書に組み込まれる)で規定された既存の非公衆ネットワーク(NPN)プロビジョンメカニズムの改良により、UEにアクセスクレデンシャルをプロビジョニングする。あるいは、オンデマンドネットワークはホストUEにスキャンコードをダウンロードすることもできるので、UEは、アクセスクレデンシャルやアクセスクレデンシャルへのリンク(例えば、アクセスクレデンシャルをUEに安全にダウンロードできるセキュアサーバへのhttpsリンク)といったアクセスクレデンシャルに関する情報をホストUEから得ることができる。
アプリケーションサーバ提供のアクセスクレデンシャル
いくつかの実施形態によると、オンデマンドネットワークにアクセスするUEは共通の何かを共有するので(例えば、ゲームサーバなど、同じアプリケーションサーバにアクセスすること)、例えば、UEが初めてアプリケーションにアクセスするために登録するときには、アプリケーションサーバがUEにアクセスクレデンシャルを提供することもできる。
いくつかの実施形態によると、オンデマンドネットワークにアクセスするUEは共通の何かを共有するので(例えば、ゲームサーバなど、同じアプリケーションサーバにアクセスすること)、例えば、UEが初めてアプリケーションにアクセスするために登録するときには、アプリケーションサーバがUEにアクセスクレデンシャルを提供することもできる。
アプリケーションサーバはまた、外部パラメータプロビジョニングのメットワーク公表機能(NEF)公表機能の改良によりUEのホームネットワークの統一データ管理(UDM)にアクセスクレデンシャルを提供し、次いで、UEのホームネットワークに、改良されたUE構成更新メッセージまたはUEパラメータ更新メッセージ(例えば、新しいワンタイムクレデンシャル情報)でUEにクレデンシャルをプロビジョニングさせることもできる。
サードパーティエンティティ提供のアクセスクレデンシャル:
いくつかの実施形態によると、UEがオンデマンドネットワークへのアクセスを得る際に使用するアクセスクレデンシャルをサードパーティエンティティ(例えば、連合識別情報管理(FIM)サーバ、公開鍵基盤の認証局など)が提供することもできる。サードパーティエンティティによって提供されるクレデンシャルは、サードパーティエンティティとの事業関係を持つアプリケーションまたはサービスである限りは、様々なアプリケーションに使用できる。第1のアプリケーション(アプリケーションA)と第2のアプリケーション(アプリケーションB)の両方が属するFIMシステムでは、ユーザは、第1のアプリケーションに対して認証し、次いで、第2のアプリケーションに対して別個のログインまたは認証プロセスを実行せずとも、第2のアプリケーションのリソースにアクセスすることができる。例えば、UEはシングルサインオンを使用して、第2のアプリケーションに対して識別情報または認証情報を再度入力する必要性を解消することができる。
いくつかの実施形態によると、UEがオンデマンドネットワークへのアクセスを得る際に使用するアクセスクレデンシャルをサードパーティエンティティ(例えば、連合識別情報管理(FIM)サーバ、公開鍵基盤の認証局など)が提供することもできる。サードパーティエンティティによって提供されるクレデンシャルは、サードパーティエンティティとの事業関係を持つアプリケーションまたはサービスである限りは、様々なアプリケーションに使用できる。第1のアプリケーション(アプリケーションA)と第2のアプリケーション(アプリケーションB)の両方が属するFIMシステムでは、ユーザは、第1のアプリケーションに対して認証し、次いで、第2のアプリケーションに対して別個のログインまたは認証プロセスを実行せずとも、第2のアプリケーションのリソースにアクセスすることができる。例えば、UEはシングルサインオンを使用して、第2のアプリケーションに対して識別情報または認証情報を再度入力する必要性を解消することができる。
あるいは、サードパーティエンティティは、UEのグループ(例えば、TR 22.859におけるオンデマンドネットワークにアクセスするためにいくつかのUEが集まるユースケースのように、グループセッションに参加することが見込まれるUEのグループ)に基づくアクセスクレデンシャルを提供することもできる。グループに基づくアクセスクレデンシャルは、グループを識別するグループ識別子(ID)を含み得る。UEに提供されるアクセスクレデンシャルがオンデマンドネットワークにアクセスするためのものであるという事前の取り決めまたはサービス契約をサードパーティエンティティとサービングネットワークが結んでいるなら、グループベースのアクセスクレデンシャルを所有するUEが、ローミング料金やアクセス料金を負担することなく、どのサービングネットワークのオンデマンドネットワークにでもアクセスすることは可能であり得る。サードパーティエンティティアクセスクレデンシャルを有することの利点は、サードパーティエンティティがUEにアクセスを提供するサービングネットワークに気付かないことである。
アクセスクレデンシャルを用いたUE認証および認可
アクセスクレデンシャルを用いて初期アクセス要求中に行われる認証および認可は、UEとUEのホームネットワークとの間、UEとアプリケーション機能との間、またはUEとサードパーティエンティティとの間で行われ得る。これらの場合は、アクセスクレデンシャルがオンデマンドネットワークによって提供されないため、オンデマンドネットワークは、UEがどのようなアクセスクレデンシャルを持っているかを知るすべがない。UEとオンデマンドネットワークとの間ではアクセスクレデンシャル(例えば、共有鍵)が共有されない。その後、この認証および認可がオンデマンドネットワークに伝達されて、セキュリティとサービス認可の両面でUEが検査および検証済みであることが指示される。
アクセスクレデンシャルを用いて初期アクセス要求中に行われる認証および認可は、UEとUEのホームネットワークとの間、UEとアプリケーション機能との間、またはUEとサードパーティエンティティとの間で行われ得る。これらの場合は、アクセスクレデンシャルがオンデマンドネットワークによって提供されないため、オンデマンドネットワークは、UEがどのようなアクセスクレデンシャルを持っているかを知るすべがない。UEとオンデマンドネットワークとの間ではアクセスクレデンシャル(例えば、共有鍵)が共有されない。その後、この認証および認可がオンデマンドネットワークに伝達されて、セキュリティとサービス認可の両面でUEが検査および検証済みであることが指示される。
上述した実施形態に基づくと、オンデマンドネットワークのオペレータは、UEのアクセスクレデンシャルを認証し認可する際に、いくつかのオプションを使用できる。
UEホームネットワークがアクセスクレデンシャルを提供し、UEのホームネットワークオペレータがオンデマンドネットワークオペレータと事業協定を結んでいる実施形態では、UEが初期アクセス中にオンデマンドネットワークにアクセスクレデンシャルを提示するときに、オンデマンドネットワークは、UEのホームネットワークオペレータがアクセスクレデンシャルを検査することを要求できる。オンデマンドネットワークは、UEによって提供されるルーティング情報(例えば、サブスクリプションパーマネント識別子(SUPI)などのネットワークルーティング情報を含む識別子)を使用して、UEのホームネットワークオペレータを見つけ、UEのホームネットワークオペレータに要求を送ることができる。検査と検証(すなわち、UEの認証と認可)が成功すると、オンデマンドネットワークはUEにアクセスを認可できる。
オンデマンドネットワークがオンデマンドネットワークを形成するために使用されるテンプレートからの入力に基づいてUEにアクセスクレデンシャルを提供する実施形態では、UEがオンデマンドネットワークにアクセスクレデンシャルを提示すると、オンデマンドネットワークは、UEを直接検査し検証して、UEにアクセスを許可する。任意に選べることとして、オンデマンドネットワークは、アクセスクレデンシャルを持つUEを一種の暗黙的認証と見なすことができる。
アプリケーションサーバがUEにアクセスクレデンシャルを提供する実施形態では、UEが初期アクセス中にオンデマンドネットワークにアクセスクレデンシャルを提示すると、オンデマンドネットワークは、アプリケーションサーバがアクセスクレデンシャルを検査することを要求できる。アクセスクレデンシャルの一部としてアプリケーション識別子を含める方法、またはルーティング情報(例えば、アクセスクレデンシャルの一部としてのドメイン)を用いる方法など、オンデマンドネットワークがアプリケーションサーバを識別できる方法はいくつかあり得る。検査と検証が成功すると、オンデマンドネットワークはUEにアクセスを許可できる。
サードパーティエンティティがUEにアクセスクレデンシャルを提供する実施形態では、UEが初期アクセス中にオンデマンドネットワークにアクセスクレデンシャルを提示すると、オンデマンドネットワークは、サードパーティエンティティがアクセスクレデンシャルを検査することを要求できる。アクセスクレデンシャルの一部としての識別子またはインジケータ、またはルーティング情報(例えば、アクセスクレデンシャルの一部としてのドメイン)を用いる方法、またはデフォルト構成(例えば、オンデマンドネットワークのためにアクセスクレデンシャルを提供するように特別に構成されたデフォルトのサードパーティエンティティ)を用いる方法など、オンデマンドネットワークがサードパーティエンティティを識別できる方法はいくつかあり得る。検査と検証が成功すると、オンデマンドネットワークはUEにアクセスを許可できる。
オンデマンドネットワークでUEを認可する
オンデマンドネットワーク(例えば、PIN)は、場合によっては、オンデマンドネットワークのオペレータによって提供されるリソース(例えば、ライセンススペクトル)を含み、オンデマンドネットワークオペレータは最終的に、オンデマンドネットワークのために割り当てられるリソースの使用が規制または地域要件に準拠していることを保証する責任を負う。例えば、オンデマンドネットワークのオペレータのスペクトルライセンス使用がカリフォルニア州のみを対象とする場合、カリフォルニア州外でのかかるスペクトルの使用はFCCライセンス契約の違反となり、オペレータには罰金やライセンス取り消しなどのペナルティが課せられる。したがって、オンデマンドネットワークのオペレータには、オンデマンドネットワークでリソースにアクセスするUEを認証し認可する責任がある。UEの識別情報を検査するために使用されるUEの認証と、サービスサブスクリプションを検査するために使用されるUEの認可は(例えば、UEは、サービングネットワークのオンデマンドネットワークによって提供されるサービスにアクセスすることを認可される)、上述したように、UEとホームネットワーク(または、アプリケーション機能やサードパーティエンティティなど、サービングネットワークに認証と認可を提供できるエンティティ)との間で行われ得るが、追加の認可が、または第2レベルの認可が、オンデマンドネットワークによって行われる場合もある。
オンデマンドネットワーク(例えば、PIN)は、場合によっては、オンデマンドネットワークのオペレータによって提供されるリソース(例えば、ライセンススペクトル)を含み、オンデマンドネットワークオペレータは最終的に、オンデマンドネットワークのために割り当てられるリソースの使用が規制または地域要件に準拠していることを保証する責任を負う。例えば、オンデマンドネットワークのオペレータのスペクトルライセンス使用がカリフォルニア州のみを対象とする場合、カリフォルニア州外でのかかるスペクトルの使用はFCCライセンス契約の違反となり、オペレータには罰金やライセンス取り消しなどのペナルティが課せられる。したがって、オンデマンドネットワークのオペレータには、オンデマンドネットワークでリソースにアクセスするUEを認証し認可する責任がある。UEの識別情報を検査するために使用されるUEの認証と、サービスサブスクリプションを検査するために使用されるUEの認可は(例えば、UEは、サービングネットワークのオンデマンドネットワークによって提供されるサービスにアクセスすることを認可される)、上述したように、UEとホームネットワーク(または、アプリケーション機能やサードパーティエンティティなど、サービングネットワークに認証と認可を提供できるエンティティ)との間で行われ得るが、追加の認可が、または第2レベルの認可が、オンデマンドネットワークによって行われる場合もある。
ホームネットワーク(またはアプリケーション機能)によって認証され認可されているUEが十分であるとオンデマンドネットワークが考える場合、第2レベルの認可は暗黙的であってよい。そうでない場合は、オンデマンドネットワークが第2レベルの認可を明示的に行うことができる。そのような明示的な認可は、例えば、UEのモデル番号、ビルトバージョン、または他の特性といったUEの能力に基づいて、UEが準拠UEであることをチェックし検査することを含み得る。非準拠UEの一例は、例えば、送信電力がFCCによって許可された閾値を上回るように設定されたUEであり得る。
オンデマンドネットワークによる使用のために割り当てられるスペクトルが許諾されていないいくつかのシナリオでも(例えば、5Gニューラジオアンライセンスト(NR-U)のために非ライセンススペクトルを使用すること、またはワイヤレスフィデリティ(Wi-Fi)を使用すること)、オンデマンドネットワークはオンデマンドネットワークの管理面を維持できる。そのため、干渉管理と輻輳制御のために第2レベルの認可がなお必要とされる場合がある(例えば、ライセンススペクトルとアンライセンススペクトルを切り替えることをUEに命令するため)。
UEのホームネットワークによって提供されるアクセスクレデンシャルによる認証および認可
図2は、いくつかの実施形態による、UEのホームオペレータによって運営されるUEのホームネットワークによるアクセスクレデンシャルのプロビジョニング、認証、および認可のメッセージフローを示す。図2に示されているように、ネットワーク206は、UE 202のホームオペレータによって運営されるUE 202のホームネットワークである。オンデマンドネットワーク204のサービングネットワークは、UE 202のホームネットワーク(ネットワーク206)であってよく、またはUE 202のホームオペレータとは異なる別のオペレータによって運営される別のネットワークであってもよい。
図2は、いくつかの実施形態による、UEのホームオペレータによって運営されるUEのホームネットワークによるアクセスクレデンシャルのプロビジョニング、認証、および認可のメッセージフローを示す。図2に示されているように、ネットワーク206は、UE 202のホームオペレータによって運営されるUE 202のホームネットワークである。オンデマンドネットワーク204のサービングネットワークは、UE 202のホームネットワーク(ネットワーク206)であってよく、またはUE 202のホームオペレータとは異なる別のオペレータによって運営される別のネットワークであってもよい。
作業212では、UE 202がホームネットワーク206のネットワークカバレッジ内にある間に、ネットワーク206とUE 202が(例えば、UE 202とそのホームネットワーク206との間の通常のアクセスおよびセキュリティセットアップ手順の一部として)一次認証を行い、セキュアな接続を確立する。ネットワーク206は、UE 202へセキュアなメッセージでアクセスクレデンシャルを送信できる。ネットワーク206は、オンデマンドネットワーク204が形成される前に、作業212で(例えば、一次認証時に)UE 202へアクセスクレデンシャルを送信できる。
作業214では、オンデマンドネットワーク204のサービングネットワークによってオンデマンドネットワーク204が形成される。
作業216では、UE 202が作業212のときに得られたアクセスクレデンシャルに関する情報(例えば、アクセスクレデンシャルの全部または一部、アクセスクレデンシャル識別子、またはアクセスクレデンシャルを識別するための他の追加情報)を提供することによって、オンデマンドネットワーク204へのアクセスを要求する。
作業218では、オンデマンドネットワーク204が、UE 202によって提供されるルーティング情報に基づいて(例えば、ルーティング情報は、アクセスクレデンシャルの一部、またはUE識別情報であってよい)、アクセスクレデンシャルを検査するためにUE 202のホームネットワーク206に連絡する。ホームネットワーク206は、UE 202のアクセスクレデンシャルとUE 202のサービスサブスクリプションを確証できる。オンデマンドネットワーク204は、ホームネットワーク206から受信した確証に基づいて、オンデマンドネットワーク204へのアクセスのためにUE 202を認証し認可する。
任意に選べることとして、作業220では、UE 202がオンデマンドネットワーク204内のリソースにアクセスするために、上述したように、オンデマンドネットワーク204が第2レベルの認可を行うこともできる(例えば、UE 202の能力または準拠状況をチェックする)。
作業222では、オンデマンドネットワーク204が認証と認可を確証するためにUE 202に応答する。
作業224では、UE 202がオンデマンドネットワーク204とのセッションを開始する。オンデマンドネットワーク204にアクセスするUEが他にもある場合は、他のUEもオンデマンドネットワーク204とのセッションを開始できる。次いで、オンデマンドネットワーク204内のUEは、個別に、またはグループとして、PC5インターフェースを介して相互に通信を開始することもできる。
オンデマンドネットワークによって提供されるアクセスクレデンシャルによる認証および認可
図3は、いくつかの実施形態による、オンデマンドネットワークによるアクセスクレデンシャルのプロビジョニング、認証、および認可のメッセージフローを示す。図3に示されているように、オンデマンドネットワーク304のサービングネットワークは、UE 302のホームオペレータによって運営されるUE 302のホームネットワークに属する場合とそうでない場合とがある。
図3は、いくつかの実施形態による、オンデマンドネットワークによるアクセスクレデンシャルのプロビジョニング、認証、および認可のメッセージフローを示す。図3に示されているように、オンデマンドネットワーク304のサービングネットワークは、UE 302のホームオペレータによって運営されるUE 302のホームネットワークに属する場合とそうでない場合とがある。
作業312では、オンデマンドネットワーク304のサービングネットワークによってオンデマンドネットワーク304が形成される。UE 302の識別情報は、オンデマンドネットワーク304形成テンプレートに予めプロビジョニングされてよい。オンデマンドネットワーク304のサービングネットワークは、UE 302のホームネットワークに属する場合とそうでない場合とがある。
作業314では、UE 302がオンデマンドネットワーク304を発見する。UE 302は、(例えば、オンデマンドネットワーク304によって作成されるQRコード(登録商標)を使用して、またはオンデマンドネットワーク304によって送信されるSMS/電子メールなどにより)オンデマンドネットワーク304からアクセスクレデンシャル(例えば、アクセストークン)を受信する。
作業316では、UE 302が、作業314で得られたアクセスクレデンシャルに関する情報(例えば、アクセスクレデンシャルの全部または一部、アクセスクレデンシャル識別子、またはアクセスクレデンシャルを識別するための他の追加情報)を提供することによって、オンデマンドネットワーク304へのアクセスを要求する。
作業318では、オンデマンドネットワーク304が、オンデマンドネットワーク304へのアクセスのためにUE 302を認証し認可する。
作業320では、オンデマンドネットワーク304が認証と認可を確証するためにUE 302に応答する。
作業322では、UE 302がオンデマンドネットワーク304とのセッションを開始する。オンデマンドネットワーク304にアクセスするUEが他にもある場合は、他のUEもオンデマンドネットワーク304とのセッションを開始する。次いで、オンデマンドネットワーク304内のUEは、個別に、またはグループとして、PC5インターフェースを介して相互に通信を開始することもできる。
アプリケーションサーバによって提供されるアクセスクレデンシャルによる認証および認可
図4は、いくつかの実施形態による、アプリケーションサーバによるアクセスクレデンシャルのプロビジョニング、認証、および認可のメッセージフローを示す。図4に示されているように、オンデマンドネットワーク404のサービングネットワークは、UE 402のホームオペレータによって運営されるUE 402のホームネットワークに属する場合とそうでない場合とがある。
図4は、いくつかの実施形態による、アプリケーションサーバによるアクセスクレデンシャルのプロビジョニング、認証、および認可のメッセージフローを示す。図4に示されているように、オンデマンドネットワーク404のサービングネットワークは、UE 402のホームオペレータによって運営されるUE 402のホームネットワークに属する場合とそうでない場合とがある。
作業412では、UE 402がUE 402のホームネットワークのネットワークカバレッジ内にある間に、アプリケーションサーバ406がUE 402を認証し、UE 402とのセキュアなチャネル(例えば、TLS接続)を確立する。アプリケーションサーバ406は、認証後に、オンデマンドネットワーク404で使用するアクセスクレデンシャルをセキュアなチャネルでUE 402に提供する。アプリケーションサーバ406は、UE 402を認証するために、事前のUE登録を要求する場合がある。アプリケーションサーバ406は、オンデマンドネットワーク404が形成される前に、作業412にて(例えば、アプリケーションサーバ406によるUE 402の認証時に)UE 402にアクセスクレデンシャルを送信できる。
作業414では、オンデマンドネットワーク404のサービングネットワークによってオンデマンドネットワーク404が形成される。
作業416では、UE 402が作業412のときに得られたアクセスクレデンシャル(例えば、アクセスクレデンシャルの全部または一部、アクセスクレデンシャル識別子、またはアクセスクレデンシャルを識別するための他の追加情報)を提供することによって、オンデマンドネットワーク404へのアクセスを要求する。
作業418では、オンデマンドネットワーク404が、UE 402によって提供されるルーティング情報に基づいて(例えば、ルーティング情報は、アクセスクレデンシャルの一部、UE識別情報、またはUE 402がオンデマンドネットワーク404にアクセスしている間にアクセスしようとするデフォルトアプリケーションの一部であってよい)、アクセスクレデンシャルを検査するためにアプリケーションサーバ406に連絡する。アプリケーションサーバ406は、UE 404のアクセスクレデンシャルとUE 404のサービスサブスクリプションを確証できる。オンデマンドネットワーク404は、アプリケーションサーバ406から受信した確証に基づいて、オンデマンドネットワーク404へのアクセスのためにUE 402を認証し認可する。
任意に選べることとして、作業420では、UE 402がオンデマンドネットワーク404内のリソースにアクセスするために、上述したように、オンデマンドネットワーク404が第2レベルの認可を行うこともできる(例えば、UE 402の能力または準拠状況をチェックする)。
作業422では、オンデマンドネットワーク404が認証と認可を確証するためにUE 402に応答する。
作業424では、UE 402がオンデマンドネットワーク404とのセッションを開始する。オンデマンドネットワーク404にアクセスするUEが他にもある場合は、他のUEもオンデマンドネットワーク404とのセッションを開始できる。次いで、オンデマンドネットワーク404内のUEは、個別に、またはグループとして、PC5インターフェースを介して相互に通信を開始することもできる。
サードパーティエンティティによって提供されるアクセスクレデンシャルによる認証および認可。
図5は、いくつかの実施形態による、サードパーティエンティティによるアクセスクレデンシャルのプロビジョニング、認証、および認可のメッセージフローを示す。図5に示されているように、オンデマンドネットワーク504のサービングネットワークは、UE 502のホームオペレータによって運営されるUE 502のホームネットワークに属する場合とそうでない場合とがある。
図5は、いくつかの実施形態による、サードパーティエンティティによるアクセスクレデンシャルのプロビジョニング、認証、および認可のメッセージフローを示す。図5に示されているように、オンデマンドネットワーク504のサービングネットワークは、UE 502のホームオペレータによって運営されるUE 502のホームネットワークに属する場合とそうでない場合とがある。
作業512では、UE 502がUE 502のホームネットワークのネットワークカバレッジ内にある間に、サードパーティエンティティ506がUE 502を認証し、セキュアなチャネル(例えば、TLS接続)を確立する。サードパーティエンティティ506は、認証後に、オンデマンドネットワーク504で使用するアクセスクレデンシャルをセキュアなチャネルでUE 502に提供する。サードパーティエンティティ506は、UE 502を認証するために、事前のUE登録を要求する場合がある。
作業514では、オンデマンドネットワーク504のサービングネットワークによってオンデマンドネットワーク504が形成される。
作業516では、UE 502が作業512のときに得られたアクセスクレデンシャル(例えば、アクセスクレデンシャルの全部または一部、アクセスクレデンシャル識別子、またはアクセスクレデンシャルを識別するための他の追加情報)を提供することによって、オンデマンドネットワーク504へのアクセスを要求する。
作業518では、オンデマンドネットワーク504が、UE 502によって提供されるルーティング情報に基づいて(例えば、ルーティングは、アクセスクレデンシャルの一部、UE識別情報であってよく、またはUE 502がオンデマンドネットワーク504にアクセスしている間にアクセスしようとするデフォルトアプリケーションの一部であってよい)、アクセスクレデンシャルを検査するためにサードパーティエンティティ506に連絡する。サードパーティエンティティ506は、UE 502のアクセスクレデンシャルとUE 502のサービスサブスクリプションを確証できる。オンデマンドネットワーク504は、サードパーティエンティティ506から受信した確証に基づいて、オンデマンドネットワーク504へのアクセスのためにUE 504を認証し認可する。
任意に選べることとして、作業520では、UE 502がオンデマンドネットワーク504内のリソースにアクセスするために、上述したように、オンデマンドネットワーク504が第2レベルの認可を行うこともできる(例えば、UE 502の能力または準拠状況をチェックする)。
作業522では、オンデマンドネットワークが認証と認可を確証するためにUE 502に応答する。
作業522では、UE 502がオンデマンドネットワーク504とのセッションを開始する。オンデマンドネットワーク504にアクセスするUEが他にもある場合は、他のUEもオンデマンドネットワーク504とのセッションを開始する。次いで、オンデマンドネットワーク504内のUEは、個別に、またはグループとして、PC5インターフェースを介して相互に通信を開始することもできる。
オンデマンドネットワーク(例えば、PIN)の運用シナリオでは、オンデマンドネットワークによって提供されるサービスにアクセスすることになるUEには、オンデマンドネットワークにアクセスする前に、またはオンデマンドネットワークにアクセスしている間に、上述した実施形態の技術などの技術を用いて、アクセスクレデンシャルがプロビジョニングされ得る。UEはまた、オンデマンドネットワークにアクセスする過程で、認証と認可のためにプロビジョニングされたアクセスクレデンシャルをオンデマンドネットワークに提示でき、成功した場合は、オンデマンドネットワークへのアクセスがUEに許可される。
UEがオンデマンドネットワークと通信するために、またオンデマンドネットワーク内のUE相互で通信するために、アクセスを許可されるためには、通常の初期ネットワークアクセスの最中にUEとネットワーク(例えば、オンデマンドネットワークまたはUEホームネットワーク)が認証と認可を行う。その後の通信は、UEとオンデマンドネットワークとの間の通信、グループとしてのUE相互の通信、または2つのUE間の通信(例えば、PC5インターフェースを使用)を含み得る。これらの通信は、安全に保護されることが期待される(例えば、暗号化または完全性保護が行われる、またはその両方が行われる)。これらの通信を保護するためには、通信チャネル上でデータ暗号化およびデータ完全性保護を使用できる。データ暗号化はデータのプライバシー保護を提供し、同じ暗号鍵を有する意図されたデータの受信側のみがデータを復元できる(例えば、先進暗号化標準(AES)で使用されるアルゴリズムなどの対称鍵暗号アルゴリズムを使用)。データ完全性保護は、データが転送中に変更されていないことをデータの受信側に保証するという点において、データの完全性を提供する。これらの通信の保護では、UEとオンデマンドネットワークとの間、2つの通信するUE間、またはグループとして通信するUEのグループ内で、セキュリティ鍵を共有する必要がある。
現在、オンデマンドネットワークと安全に通信するために、またはオンデマンドネットワーク内の他のUEと通信するために、オペレータがオンデマンドネットワークのオペレータと異なるUEをサポートするオンデマンドネットワーク(PINなど)は存在しない。オペレータが異なるUEが、UEのホームオペレータとは異なるサービングオンデマンドネットワーク(例えば、PIN)と安全に通信できるようにするローミングソリューションなら存在する。しかしこの場合、UEは、オンデマンドネットワークのサービングネットワークおよびUEのホームネットワークと認証・鍵協定プロトコルを実行した結果として鍵(例えば、暗号鍵と完全性鍵)を得、これは、UEのホームネットワーク認証サーバとのシグナリング交換をともなう。UEが、例えばPC5インターフェース上でデバイス間直接通信を使用して、同じオンデマンドネットワークにアクセスしている別のUEと通信することを望む場合、現在の認証・鍵協定プロトコルは、そのような鍵生成および配布をサポートしない。加えて、UEがローミング料金を負担することが予想される。オンデマンドネットワークでは、UEは、たとえオンデマンドネットワークを運営しているオペレータとは異なるオペレータのものであっても、オンデマンドネットワークを通じて通信している間は、または同じオンデマンドネットワークにアクセスしているUEと通信している間は、ローミング料金を負担することはないと予想される。
認証と認可のためにプロビジョニングされるアクセスクレデンシャルは、上述したように、オンデマンドネットワーク、UEのホームネットワーク、アプリケーションサーバ、またはサードパーティエンティティに属し得る。5G(および以前)で現在使用されている認証・鍵協定(すなわち、5G-AKAまたはEAP-AKA)プロトコルは、アクセスクレデンシャルが事前共有秘密(ネットワーク(例えばUEのホームネットワーク)とUEのUICCまたはSIMカードとで共有される128ビットまたは256ビット鍵の形をとる)のように統一され得なければ、うまく機能しない。UEのホームネットワーク以外のエンティティによって発行されるアクセスクレデンシャルも、5GまたはLTEをサポートするために3GPPで指定された現在の認証・鍵協定方式を使用する鍵生成・配布メカニズムを有することに問題がある。
鍵を生成してUEに配布するBluetoothベースのソリューションもオンデマンドネットワークでうまく機能しない可能性がある。セキュリティのためにユーザがパスコードを入力することを基礎とするBluetoothセキュリティは、中間者攻撃を被る。より安全なBluetoothバージョンもあるが、これらのバージョンは、カメラ対応UEを使用して何か(例えば、生成されてスマートウォッチの表面に表示される画像)をスキャンするなど、より多くの手順を必要とする。また、これらのより安全なBluetoothバージョンは、さらに多くのユーザ入力または介入を必要とする。
安全なBluetoothバージョンでさえ、2つ以上のUEのためにグループ鍵を提供するには十分ではなく、または、2つ以上のUEが存在する場合にかなりの労力を必要とし得る。
さらに、上記で説明したように、オンデマンドネットワーク内のUEは、オンデマンドネットワークと同じネットワークオペレータに属する場合とそうでない場合とがある。これらのUEがオンデマンドネットワークにアクセスできるようにするには、オンデマンドネットワークによってUEが認証され認可される必要がある。グループ内の少なくとも1つのUE(例えば、ホストUE)は、オンデマンドネットワークのオペレータに属し、容易に認証および認可され得るが、オンデマンドネットワークのオペレータに属さない他のUEについては、それらのUEがオンデマンドネットワークによって認証および認可されることを可能にする現在のメカニズムは存在しない。
現在、オペレータに属するUEのみが有効なユーザサブスクリプションを有し、その結果、共通のクレデンシャルがそのオペレータと共有される。オペレータと既に共有されているクレデンシャルを利用して、オンデマンドネットワークアクセスのためにUEが認証され認可され得る。しかしながら、オンデマンドネットワークによってサポートされる多くのユースケースでは、アクセスを望む多くのUEがオペレータに属する可能性は低いため、現在のソリューションで十分である可能性は低くなる。
加えて、ローミングやBluetoothに頼ることはまた、特にUEの数が多い場合に、オンデマンドネットワークでUEを速やかにセットアップできるようにするという点でスケーラブルではなく、そのソリューションは最適ではなく、または非効率的である。
本開示は、オンデマンドネットワークの同じオペレータに属さないUEが安全に通信することを可能にする様々な実施形態の方法および装置を提供する。
いくつかの実施形態では、上述したように、オンデマンドネットワークにアクセスすることになるUEにアクセスクレデンシャルがプロビジョニングされると仮定される。これらのアクセスクレデンシャルは、UEを認証し認可するためにUEとオンデマンドネットワークとによって使用される。オンデマンドネットワークにアクセスするためのUEの認証および認可の後には、すべてのUEがセキュアな通信のためのセキュリティアソシエーション(例えば、暗号化および完全性保護のためのセキュリティ鍵)を確立する。
いくつかの実施形態では、オンデマンドネットワークにアクセスするためのUEの認証および認可の後に、2つ以上の鍵セットがUEに提供される。それぞれの鍵セットは、データのプライバシーおよび真正性を保護するために、暗号鍵(例えば、CK)と完全性鍵(例えば、IK)を含み得る。それぞれの鍵セットは異なる場合がある。
いくつかの実施形態では、UEが、UEとオンデマンドネットワークとの通信に使用される共有鍵セットと、オンデマンドネットワークにアクセスしているUE間の通信に使用される共通鍵セット(例えば、グループ鍵)を受信できる。
鍵セットの説明
いくつかの実施形態において、オンデマンドネットワークによって提供されるサービスおよびリソースにUEがアクセスするシナリオでは、UEとオンデマンドネットワークとの通信とUE間の通信を保護するために、少なくとも2セットの鍵が使用され得る。それぞれの鍵セットは、通信(例えば、制御プレーンデータまたはユーザプレーンデータ)を暗号化するために使用される1つ以上の暗号鍵(例えば、CK)と、通信を完全性保護または完全性検証するために使用される1つ以上の対応する完全性鍵(例えば、IK)とを含む。鍵セットが対応する2ペア以上の暗号鍵および完全性鍵を含む場合、それぞれの鍵ペア(例えば、CKとIK)は、1種類の通信を保護するために使用され得、例えば、ある1つの鍵ペアは制御プレーンデータを保護するために使用され、別の鍵ペアはユーザプレーンデータを保護するために使用される。
いくつかの実施形態において、オンデマンドネットワークによって提供されるサービスおよびリソースにUEがアクセスするシナリオでは、UEとオンデマンドネットワークとの通信とUE間の通信を保護するために、少なくとも2セットの鍵が使用され得る。それぞれの鍵セットは、通信(例えば、制御プレーンデータまたはユーザプレーンデータ)を暗号化するために使用される1つ以上の暗号鍵(例えば、CK)と、通信を完全性保護または完全性検証するために使用される1つ以上の対応する完全性鍵(例えば、IK)とを含む。鍵セットが対応する2ペア以上の暗号鍵および完全性鍵を含む場合、それぞれの鍵ペア(例えば、CKとIK)は、1種類の通信を保護するために使用され得、例えば、ある1つの鍵ペアは制御プレーンデータを保護するために使用され、別の鍵ペアはユーザプレーンデータを保護するために使用される。
UEとオンデマンドネットワークとの通信を保護するため、それぞれのUEとオンデマンドネットワークは、UEとオンデマンドネットワークとで共有される共有鍵セット(例えば、UE-ネットワーク鍵)を使用できる。共有鍵セットは、1ペア以上の暗号鍵および完全性鍵を含み得、ネットワークとUEとの通信を機密保護および完全性保護するためにそれぞれ使用される。共有鍵セットは、ネットワークと通信することを望むそれぞれのUEに固有であり、他のUEと共有されない。
オンデマンドネットワークにアクセスしているUE相互の通信を保護するには、共通鍵セット(例えば、ネットワークグループ鍵)が使用される。共通鍵セットは、オンデマンドネットワークにアクセスしている際にUE相互の通信(例えば、PC5インターフェース上の通信)を機密性保護および完全性保護するために使用される暗号鍵と完全性鍵とを含み得る。このタイプの通信で使用される鍵は、グループ鍵としても一般的に知られている。
オンデマンドネットワークの中で互いに通信するたった2つのUE間で、例えばPC5などの直接通信方法を用いて通信する2つのUE間で、使用され得る、第3の鍵セット(例えば、UE-UE鍵)を生成することも可能であり得る。この鍵セットは、オンデマンドネットワーク内でUE相互のグループ通信に使用される共通鍵セット(例えば、ネットワークグループ鍵)とは異なる。本開示の期間中は、第3の鍵セットの生成および分配が共通鍵セットの生成および分配のそれと同様であり得ると仮定する。
それぞれの通信を異なる鍵で保護する目的のためには、2または3セットの鍵が異なっていなければならない。
アクセスクレデンシャルを使用して共有鍵を生成する
UEがオンデマンドネットワークにアクセスすることを望む場合、UEは、オンデマンドネットワークによって認証され認可される自身のアクセスクレデンシャルを提示する。オンデマンドネットワークは、UEによって提示されるクレデンシャルを検証することによってUEを認証する。UEのアクセスクレデンシャルがどのようにプロビジョニングされるかに応じて、またアクセスクレデンシャルがどのような形式をとるかに応じて、UEがオンデマンドネットワークにアクセスクレデンシャルをどのように提示するかについてはいくつかの方法があり、またアクセスクレデンシャルがどのように検証されるかについてはいくつかの方法がある。例えば、UEは、ある特定のアクセスクレデンシャルに関連付けられた識別子をオンデマンドネットワークに提示でき、これにより、アクセスクレデンシャルは無線で曝露されない。次いで、UEを検証するエンティティ(例えば、UEのホームネットワーク、アプリケーションサーバ、またはFIMサーバなどの外部サードパーティエンティティ)は、識別子に基づいて、(例えば、アクセスクレデンシャル識別子によって索引付けされたアクセスクレデンシャルのルックアップテーブルにて)UEのアクセスクレデンシャルをルックアップできる。それぞれのアクセスクレデンシャルは、オンデマンドネットワークが持続する期間中に、またはアクセスクレデンシャルに関する情報がUEにプロビジョニングされるときにUEに対して指定される期間中に、1回だけ使用され得る。
UEがオンデマンドネットワークにアクセスすることを望む場合、UEは、オンデマンドネットワークによって認証され認可される自身のアクセスクレデンシャルを提示する。オンデマンドネットワークは、UEによって提示されるクレデンシャルを検証することによってUEを認証する。UEのアクセスクレデンシャルがどのようにプロビジョニングされるかに応じて、またアクセスクレデンシャルがどのような形式をとるかに応じて、UEがオンデマンドネットワークにアクセスクレデンシャルをどのように提示するかについてはいくつかの方法があり、またアクセスクレデンシャルがどのように検証されるかについてはいくつかの方法がある。例えば、UEは、ある特定のアクセスクレデンシャルに関連付けられた識別子をオンデマンドネットワークに提示でき、これにより、アクセスクレデンシャルは無線で曝露されない。次いで、UEを検証するエンティティ(例えば、UEのホームネットワーク、アプリケーションサーバ、またはFIMサーバなどの外部サードパーティエンティティ)は、識別子に基づいて、(例えば、アクセスクレデンシャル識別子によって索引付けされたアクセスクレデンシャルのルックアップテーブルにて)UEのアクセスクレデンシャルをルックアップできる。それぞれのアクセスクレデンシャルは、オンデマンドネットワークが持続する期間中に、またはアクセスクレデンシャルに関する情報がUEにプロビジョニングされるときにUEに対して指定される期間中に、1回だけ使用され得る。
オンデマンドネットワークは、アクセスクレデンシャルと追加のパラメータ(例えば、乱数、オンデマンドネットワークの識別子(例えば、PIN識別子)、UEの識別子など)を使用して共有鍵セットを導出できる。いくつかの実施形態において、オンデマンドネットワークは、UEからアクセスクレデンシャルの識別子のみを受信する場合に、UEを検証するエンティティ(例えば、UEのホームネットワーク、オンデマンドネットワーク、アプリケーションサーバ、またはサードパーティエンティティ)からアクセスクレデンシャル全体を得ることができる。共有鍵セット(例えば、UE-ネットワーク鍵)は、1ペア以上の暗号鍵または完全性鍵を含み得る。いくつかの実施形態において、オンデマンドネットワークは、UEに対して認証および認可を確証する一環として、共有鍵を生成するために使用されたパラメータの可変部分(例えば、乱数)をUEへ送信できる。次いで、UEは、同じ鍵導出関数(KDF)に対して同じパラメータ(例えば、アクセスクレデンシャル、乱数、オンデマンドネットワークの識別子、UE識別子など)を使用してオンデマンドネットワークと同じ鍵を導出できる。例えば、鍵導出関数は、TS 33.220の付属書B.2.0で規定されているKDFであってよい。
共有鍵をランダムに生成する
ネットワークは、例えば擬似乱数生成器(PRNG)機能を使用して共有鍵をランダムに生成することもできる。この場合、ネットワークは、オンデマンドネットワーク、UEのホームネットワーク、アプリケーションサーバ、またはサードパーティエンティティであり得る。この代替案では、共有鍵セット(例えば、UE-ネットワーク鍵)がUEへ送信され得る。
ネットワークは、例えば擬似乱数生成器(PRNG)機能を使用して共有鍵をランダムに生成することもできる。この場合、ネットワークは、オンデマンドネットワーク、UEのホームネットワーク、アプリケーションサーバ、またはサードパーティエンティティであり得る。この代替案では、共有鍵セット(例えば、UE-ネットワーク鍵)がUEへ送信され得る。
共通鍵を生成する
ネットワークは、上述の鍵生成方法のいずれかを用いて、例えばPRNG機能を用いて、共通鍵セット(例えば、グループ通信に使用される、またはUE間の直接通信に使用される、ネットワークグループ鍵)を生成する。いくつかの実施形態では、グループ通信などの特定の用途への鍵の結合が望ましい場合がある。鍵結合が使用される場合は、グループ識別子、オンデマンドネットワークの識別子、位置識別子、または鍵の用途に固有のその他のパラメータなどの追加のパラメータもまた、PRNG機能への入力の一部であり得る。共通鍵セットは、UEへ送信され得る。
ネットワークは、上述の鍵生成方法のいずれかを用いて、例えばPRNG機能を用いて、共通鍵セット(例えば、グループ通信に使用される、またはUE間の直接通信に使用される、ネットワークグループ鍵)を生成する。いくつかの実施形態では、グループ通信などの特定の用途への鍵の結合が望ましい場合がある。鍵結合が使用される場合は、グループ識別子、オンデマンドネットワークの識別子、位置識別子、または鍵の用途に固有のその他のパラメータなどの追加のパラメータもまた、PRNG機能への入力の一部であり得る。共通鍵セットは、UEへ送信され得る。
鍵を配布する
セキュリティ上の理由から、UEとオンデマンドネットワークとの間で共有鍵セットを導出するためにアクセスクレデンシャルを使用することが望ましい場合がある。保護なしに共有鍵を無線で送信すると、中間者攻撃者が鍵交換メッセージをリスンして、鍵を傍受するリスクがある。
セキュリティ上の理由から、UEとオンデマンドネットワークとの間で共有鍵セットを導出するためにアクセスクレデンシャルを使用することが望ましい場合がある。保護なしに共有鍵を無線で送信すると、中間者攻撃者が鍵交換メッセージをリスンして、鍵を傍受するリスクがある。
オンデマンドネットワークによって生成される鍵セットの場合、例えば、アクセスクレデンシャルを使用せずに生成される共有鍵セットの場合、またはオンデマンドネットワークによって生成される共通鍵セットの場合、鍵はUEへ安全に送信される必要がある。
アクセスクレデンシャルなしでオンデマンドネットワークによって共有鍵セットが生成される場合、オンデマンドネットワークは、例えば、公開鍵秘密鍵方式を用いて鍵配布を保護できる。オンデマンドネットワークは、公開鍵・秘密鍵ペアのUEの公開鍵を使用して共有鍵セット(例えば、UE-ネットワーク鍵)を暗号化し、暗号化した共有鍵セットをUEへ送信することができる。UEの公開鍵は、オンデマンドネットワークによる認証と認可のときにUEがオンデマンドネットワークにアクセスクレデンシャルを提示する一環としてオンデマンドネットワークへ送信されてよい。UEは、その公開鍵・秘密鍵ペアの秘密鍵を使用して共有鍵セットを復号できる。共通鍵セット(例えば、ネットワークグループ鍵)もまた、本実施形態の技術を用いてネットワークによってUEへ送信され得る。
いくつかの実施形態において、共有鍵セット(例えば、UE-ネットワーク鍵)が利用可能である場合は、共有鍵セットを使用して各UEとオンデマンドネットワークとの間で共通鍵セットの送信が保護され得る。共有鍵セットを使用して共通鍵セットを保護することには、公開鍵暗号操作より対称暗号操作の方が効率的であるという利点がある。一方、共有鍵セットを送信するために公開鍵方式が使用されている場合は、それぞれの鍵セットを別々に送信するより同じ鍵配布プロトコルで共通鍵セットを送信する方が効率的である。
いくつかの実施形態において、認証と認可をサポートするメッセージ交換は、UEとオンデマンドネットワークとの間の初期アクセス中の鍵配布をサポートする形に改良され得る。
鍵をリフレッシュする
オンデマンドネットワークとのUEセッションが一定の閾値を超えると(例えば、期間が満了する、交換されるデータの量が所定の値を超える、またはアクセスクレデンシャルの使用回数が閾値を超える)、UE内の鍵セット(例えば、UE-ネットワーク鍵、ネットワークグループ鍵、またはUE-UE鍵)がリフレッシュされ得る。リフレッシュされる鍵セットは、UEとオンデマンドネットワークとの間で使用される鍵セット(暗号鍵および完全性鍵)、グループ通信のためにUEの間で使用される鍵セット(暗号鍵および完全性鍵)、および任意に選べることとして、(例えば、PC5インターフェース上の通信のために)UE間で使用される鍵セット(暗号鍵および完全性鍵)を含む。鍵リフレッシュは、オンデマンドネットワークが新しい鍵セットを再生成し、失効しようとしている鍵セットを使用してUEへ安全に送信することによって実行され得る。鍵リフレッシュはまた、オンデマンドネットワークがUEへフレッシュパラメータ(例えば、乱数またはノンス)を送信することによって実行されてもよく、これにより、UEは、フレッシュパラメータと現在の失効しようとしている鍵を入力として使用して新しい鍵セットを計算できる。
オンデマンドネットワークとのUEセッションが一定の閾値を超えると(例えば、期間が満了する、交換されるデータの量が所定の値を超える、またはアクセスクレデンシャルの使用回数が閾値を超える)、UE内の鍵セット(例えば、UE-ネットワーク鍵、ネットワークグループ鍵、またはUE-UE鍵)がリフレッシュされ得る。リフレッシュされる鍵セットは、UEとオンデマンドネットワークとの間で使用される鍵セット(暗号鍵および完全性鍵)、グループ通信のためにUEの間で使用される鍵セット(暗号鍵および完全性鍵)、および任意に選べることとして、(例えば、PC5インターフェース上の通信のために)UE間で使用される鍵セット(暗号鍵および完全性鍵)を含む。鍵リフレッシュは、オンデマンドネットワークが新しい鍵セットを再生成し、失効しようとしている鍵セットを使用してUEへ安全に送信することによって実行され得る。鍵リフレッシュはまた、オンデマンドネットワークがUEへフレッシュパラメータ(例えば、乱数またはノンス)を送信することによって実行されてもよく、これにより、UEは、フレッシュパラメータと現在の失効しようとしている鍵を入力として使用して新しい鍵セットを計算できる。
オンデマンドネットワーク鍵生成および配布
図6は、いくつかの実施形態による、オンデマンドネットワーク鍵生成および配布のメッセージフローを示す。図6で、認証サーバ606は、UE 602のホームネットワーク(例えば、図2のホームネットワーク206)、アプリケーションサーバ(例えば、図4のアプリケーションサーバ406)、またはサードパーティエンティティ(例えば、図5のサードパーティエンティティ506)であり得る。いくつかの実施形態において、オンデマンドネットワーク604は、認証サーバに連絡することなく認証と認可を実行でき、認証サーバ606は必要とされなくてもよい。
図6は、いくつかの実施形態による、オンデマンドネットワーク鍵生成および配布のメッセージフローを示す。図6で、認証サーバ606は、UE 602のホームネットワーク(例えば、図2のホームネットワーク206)、アプリケーションサーバ(例えば、図4のアプリケーションサーバ406)、またはサードパーティエンティティ(例えば、図5のサードパーティエンティティ506)であり得る。いくつかの実施形態において、オンデマンドネットワーク604は、認証サーバに連絡することなく認証と認可を実行でき、認証サーバ606は必要とされなくてもよい。
作業612では、UE 602がオンデマンドネットワーク604への初期アクセスを要求する。初期アクセス要求は、図2から図5に関して上述したように、以前に得られたアクセスクレデンシャルを使用する認証・認可要求をも含み得る。使用される鍵生成・配布方式しだいでは、初期アクセスは、UE 602の識別情報、アクセスクレデンシャル識別子、UE 602の公開鍵、および鍵生成に使用される他の何らかのパラメータ(例えば、UE 202の生成された乱数)をも含み得る。
作業614では、認証と認可に使用されるアクセスクレデンシャルのタイプに応じて、オンデマンドネットワーク604が認証サーバ606(例えば、図2および図4から図5に関して説明されているUE 602のホームネットワーク、アプリケーションサーバ、またはサードパーティエンティティ)に連絡できる。認証サーバは、図2および図4から図5に関して説明されている技術を用いてオンデマンドネットワークのためにUE 602を認証し認可する。いくつかの実施形態では、オンデマンドネットワーク604が図3に関して説明されている技術を用いて認証と認可を行い、認証サーバ606は必要とされなくてもよい。
作業616では、オンデマンドネットワーク604がUE 602のために鍵セットを準備する。使用される鍵生成方法しだいでは、いくつかの実施形態において、作業616は、ネットワーク乱数を生成することと、UE 602の乱数、ネットワークの乱数、アクセスクレデンシャル、および/またはアクセスクレデンシャルの一部を組み合わせて鍵生成関数に入力することとを含み得る。いくつかの実施形態において、作業616はまた、UEのために必要な鍵セットのすべてを生成することを含み得る。
作業618では、オンデマンドネットワーク604がアクセス許可メッセージでUE 602にアクセスを許可できる。使用される鍵生成方法しだいでは、アクセス許可メッセージは、鍵の部分セット、鍵の完全セット、またはUE 602が鍵セットを生成するにあたってUE 602によって必要とされるパラメータを含み得る。また、UE 602へ送信される鍵を保護するために使用される方法しだいでは、公開鍵暗号化を用いてアクセス許可メッセージ内の情報が保護され得る(例えば、作業612でUE 602の初期アクセス要求の一部としてオンデマンドネットワーク604へ以前に送信されたUE 602の公開鍵を使用)。
作業620では、鍵生成方法と作業618でのメッセージ保護とに応じて、UE 602がアクセス許可メッセージ内の情報から鍵を構築するか、またはアクセス許可メッセージ内の鍵を取り出すことができる。例えば、アクセス許可メッセージ内の情報がUE 602の公開鍵を使用して暗号化されているなら、UE 602は、アクセス許可メッセージ内の情報を復号できる。
作業622では、オンデマンドネットワーク604内のUEのために通信セッションを開始できる。通信セッションは、UE 602がオンデマンドネットワーク604との通信を開始することと、オンデマンドネットワーク604内の別のUE(図6に図示せず)がオンデマンドネットワークとの通信を開始することと、UE 602と別のUEとが互いに通信を開始することとを含み得る。セッション中のオンデマンドネットワーク604に複数のUEが存在する場合は、同じグループ内のUE相互のグループ通信も始めることができる。
ネットワーク生成鍵を用いたオンデマンドネットワーク鍵リフレッシュ
図7は、いくつかの実施形態による、ネットワーク生成鍵を用いたオンデマンドネットワーク鍵リフレッシュのメッセージフローを示す。
図7は、いくつかの実施形態による、ネットワーク生成鍵を用いたオンデマンドネットワーク鍵リフレッシュのメッセージフローを示す。
作業712では、オンデマンドネットワーク704が、UE 702のための鍵セットがリフレッシュされる必要があると判断する。オンデマンドネットワーク704は、オンデマンドネットワーク704と通信するための暗号鍵および完全性鍵、グループ内の他のUEと通信するための暗号鍵および完全性鍵、ならびに任意に選べることとして、(例えば、PC5インターフェース上で)他のUEと通信するための暗号鍵および完全性鍵を含む、UE 702の鍵セットを生成できる。
作業714では、オンデマンドネットワーク704が鍵リフレッシュメッセージで鍵セットをUE 702へ送信する。鍵リフレッシュメッセージは、UE 702とオンデマンドネットワーク704との通信を保護するために使用される現在の鍵セット(例えば、UE-ネットワーク鍵)からの暗号鍵および完全性鍵を使用して保護され得る。
作業716では、UE 702がオンデマンドネットワークから鍵セットを受信し、受信した鍵セットを使用中としてマークし、古い鍵セットを廃止する。
作業718では、UE 702がオンデマンドネットワーク704か他のUEとの現在のセッションを継続できる。
UEによって生成される鍵を用いたオンデマンドネットワーク鍵リフレッシュ
図8は、いくつかの実施形態による、UEによって生成される鍵を用いたオンデマンドネットワーク鍵リフレッシュのメッセージフローを示す。
図8は、いくつかの実施形態による、UEによって生成される鍵を用いたオンデマンドネットワーク鍵リフレッシュのメッセージフローを示す。
作業812では、オンデマンドネットワーク804が、UE 802の鍵セットがリフレッシュされる必要があると判断する。オンデマンドネットワーク804は、フレッシュパラメータ(例えば、乱数、ノンスなど)を生成できる。加えて、オンデマンドネットワーク804は、オンデマンドネットワーク804と通信するための暗号鍵および完全性鍵、グループ内の他のUEと通信するための暗号鍵および完全性鍵、ならびに任意に選べることとして、(例えば、PC5インターフェース上で)他のUEと通信するための暗号鍵および完全性鍵を含む、UE 802の鍵セットを生成できる。
作業814では、オンデマンドネットワーク804が(生成された新しい鍵セットではなく)フレッシュパラメータを鍵リフレッシュメッセージでUE 802へ。鍵リフレッシュメッセージは、UE 802とオンデマンドネットワーク804との通信を保護するために使用される現在の鍵セット(例えば、UE-ネットワーク鍵)からの暗号鍵および完全性鍵を使用して保護される。
作業816では、UE 802がオンデマンドネットワーク804から鍵リフレッシュメッセージ内のフレッシュパラメータを受信し、フレッシュパラメータを入力として使用する。現在の鍵と共に、UE 802は、オンデマンドネットワーク804と通信するための暗号鍵および完全性鍵、グループ内の他のUEと通信するための暗号鍵および完全性鍵、ならびに任意に選べることとして、(例えば、PC5インターフェース上で)他のUEと通信するための暗号鍵および完全性鍵を含む、新しい鍵セットを生成できる。UE 802は、使用中の新しい鍵セットをマークし、古い鍵セットを廃止する。
図9Aは、いくつかの実施形態による、アクセスクレデンシャルのプロビジョニング、認証、および認可のための方法900のフローチャートを示す。方法900は、ユーザ機器(UE)がアクセスクレデンシャルメッセージを受信する作業902で始まり、アクセスクレデンシャルメッセージは、UEがアクセスするオンデマンドネットワークのためのアクセスクレデンシャルを指示する。アクセスクレデンシャルメッセージは、アクセスクレデンシャルの有限存続期間をさらに指示する。作業904では、UEがオンデマンドネットワークへ認証・認可要求を送信する。認証・認可要求は、アクセスクレデンシャルに関する情報を含む。作業906では、UEがオンデマンドネットワークから認証・認可応答を受信する。作業908では、UEが認証・認可応答に基づいてオンデマンドネットワークとのセッションを確立する。
いくつかの実施形態において、オンデマンドネットワークは、UEのホームオペレータとは異なるオペレータに属し得る。いくつかの実施形態において、アクセスクレデンシャルメッセージは、認証および認可を行う1つ以上のエンティティを指示するエンティティ情報をさらに含み得る。認証・認可要求は、エンティティ情報を含み得る。いくつかの実施形態において、1つ以上のエンティティは、オンデマンドネットワークのエンティティ、オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、またはUEのホームネットワークのエンティティのうちの少なくとも1つを含み得る。いくつかの実施形態において、エンティティ情報は、認証を処理する第1のエンティティと認可を処理する第2のエンティティとを指示し得る。第2のエンティティは、第1のエンティティと異なる場合がある。いくつかの実施形態において、アクセスクレデンシャルメッセージは、クレデンシャルタイプとクレデンシャルオーナーをさらに指示できる。クレデンシャルオーナーは、オンデマンドネットワーク、オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、またはUEのホームネットワークのうちの1つであり得る。いくつかの実施形態において、UEは、UEがUEのホームネットワークと認証することを受けて、またはUEがオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバと認証することを受けて、アクセスクレデンシャルメッセージを受信できる。UEは、UEがオンデマンドネットワークにアクセスする前に、またはUEがオンデマンドネットワークにアクセスしている間に、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、UEは、オンデマンドネットワークにアクセスするためにアクセスクレデンシャルに関する情報を得ることを要求せずに、UEのホームネットワークから、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、UEは、オンデマンドネットワークにアクセスするためにアクセスクレデンシャルに関する情報を得ることを要求して、UEのホームネットワークから、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、アクセスクレデンシャルに関する情報は、アクセスクレデンシャル、またはアクセスクレデンシャルの識別子を含み得る。
図9Bは、いくつかの実施形態による、アクセスクレデンシャルのプロビジョニング、認証、および認可のための方法910のフローチャートを示す。方法910は、オンデマンドネットワークのネットワークエンティティがアクセスクレデンシャルに関する情報を含む認証・認可要求を受信する作業912で始まる。UEは、UEがアクセスするオンデマンドネットワークのためのアクセスクレデンシャルを指示するアクセスクレデンシャルメッセージを受信する。アクセスクレデンシャルメッセージは、アクセスクレデンシャルの有限存続期間をさらに指示する。作業914では、ネットワークエンティティがUEへ認証・認可応答を送信する。作業916では、ネットワークエンティティが認証・認可応答に基づいてUEとのセッションを確立する。
いくつかの実施形態において、オンデマンドネットワークは、UEのホームオペレータとは異なるオペレータに属し得る。いくつかの実施形態において、アクセスクレデンシャルメッセージは、認証および認可を行う1つ以上のエンティティを指示するエンティティ情報をさらに含み得る。認証・認可要求は、エンティティ情報を含み得る。いくつかの実施形態において、1つ以上のエンティティは、オンデマンドネットワークのエンティティ、オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、またはUEのホームネットワークのエンティティのうちの少なくとも1つを含み得る。いくつかの実施形態において、エンティティ情報は、認証を処理する第1のエンティティと認可を処理する第2のエンティティとを指示し得る。第2のエンティティは、第1のエンティティと異なる場合がある。いくつかの実施形態において、アクセスクレデンシャルメッセージは、クレデンシャルタイプとクレデンシャルオーナーをさらに指示できる。クレデンシャルオーナーは、オンデマンドネットワーク、オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、またはUEのホームネットワークのうちの1つであり得る。いくつかの実施形態において、UEは、UEがUEのホームネットワークと認証することを受けて、またはUEがオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバと認証することを受けて、アクセスクレデンシャルメッセージを受信できる。UEは、UEがオンデマンドネットワークにアクセスする前に、またはUEがオンデマンドネットワークにアクセスしている間に、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、UEは、オンデマンドネットワークにアクセスするためにアクセスクレデンシャルに関する情報を得ることを要求せずに、UEのホームネットワークから、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、UEは、オンデマンドネットワークにアクセスするためにアクセスクレデンシャルに関する情報を得ることを要求して、UEのホームネットワークから、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、アクセスクレデンシャルメッセージを受信できる。いくつかの実施形態において、アクセスクレデンシャルに関する情報は、アクセスクレデンシャル、またはアクセスクレデンシャルの識別子を含み得る。
図10Aは、いくつかの実施形態による、オンデマンドネットワーク鍵生成および配布のための方法1000のフローチャートを示す。方法1000は、ユーザ機器(UE)がオンデマンドネットワークから少なくとも1つの鍵セットに関する鍵情報を受信する作業1002で始まる。少なくとも1つの鍵セットは、オンデマンドネットワークの情報と、オンデマンドネットワークにアクセスするためにUEによって使用されるアクセスクレデンシャルと、オンデマンドネットワークにアクセスするためにUEによって使用されるアクセスクレデンシャルとに基づいて生成される。少なくとも1つの鍵セットは第1の鍵セットを含み得、第1の鍵セットは第1の暗号鍵(CK)および第1の完全性鍵(IK)を含む第1の鍵ペアを含み得る。作業1004では、UEが、第1の鍵セットを使用して、オンデマンドネットワークと通信し、またオンデマンドネットワーク内の他のUEと通信する。
いくつかの実施形態において、オンデマンドネットワークは、UEのホームオペレータとは異なるオペレータに属し得る。いくつかの実施形態において、少なくとも1つの鍵セットに関する鍵情報は、少なくとも1つの鍵セットを含み得、または少なくとも1つの鍵セットに関する鍵情報は、少なくとも1つの鍵セットを生成するためにUEによって使用される少なくとも1つのパラメータを含み得る。いくつかの実施形態において、少なくとも1つのパラメータは、UEが新しいフレッシュ鍵を生成するためのパラメータを含み得、パラメータは、オンデマンドネットワークによってノンスとして生成される乱数を含む。いくつかの実施形態において、公開鍵は、オンデマンドネットワーク、UEのホームネットワーク、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバによって提供され得る。いくつかの実施形態において、少なくとも1つのパラメータは、少なくとも1つの鍵セットの有限存続期間を含み得る。有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含み得る。いくつかの実施形態において、UEは、リフレッシュメッセージを受信する前に、オンデマンドネットワークへリフレッシュ要求を送信できる。いくつかの実施形態において、鍵情報は、少なくとも1つの鍵セットの有限存続期間をさらに指示できる。いくつかの実施形態において、第1の鍵セット内の第1の鍵ペアは、オンデマンドネットワークの制御プレーンと通信するためにUEによって使用され得る。第1の鍵セットは、オンデマンドネットワークのデータプレーンと通信するためにUEによって使用される第2のCKおよび第2のIKを含む第2の鍵ペアをさらに含み得る。いくつかの実施形態において、少なくとも1つの鍵セットは、オンデマンドネットワーク内でのグループ通信のためにUEによって使用される第3のCKおよび第3のIKを含む第3の鍵セットをさらに含み得、第3の鍵セットはグループ固有である。オンデマンドネットワーク内の第2のUEと通信するためにUEによって使用される第4のCKおよび第4のIKを含む第4の鍵セットをさらに含む少なくとも1つの鍵セット。いくつかの実施形態において、UEは、少なくとも1つの鍵セットをリフレッシュするためのリフレッシュ情報を含む鍵リフレッシュメッセージを受信できる。鍵リフレッシュメッセージには、第1の鍵セットを使用して、暗号化と完全性チェックが行われ得る。鍵リフレッシュメッセージは、少なくとも1つの新しい鍵セットを含み得、または鍵リフレッシュメッセージは、UEが少なくとも1つの新しい鍵セットを生成するための少なくとも1つのリフレッシュパラメータを含み得る。UEは、少なくとも1つの新しい鍵セットを使用してオンデマンドネットワークと通信できる。いくつかの実施形態において、鍵情報を受信する前に、UEは、アクセスクレデンシャルに関する情報を含む認証・認可要求をオンデマンドネットワークへ送信できる。認証・認可要求は、UEの公開鍵をさらに含み得る。少なくとも1つの鍵セットに関する鍵情報は、公開鍵を使用してオンデマンドネットワークによって暗号化され得る。UEは、UEの秘密鍵を使用して少なくとも1つの鍵セットに関する鍵情報を復号できる。
図10Bは、いくつかの実施形態による、オンデマンドネットワーク鍵生成および配布のための方法1010のフローチャートを示す。方法1010は、オンデマンドネットワークのネットワークエンティティが少なくとも1つの鍵セットに関する鍵情報をユーザ機器(UE)へ送信する作業1012で始まる。少なくとも1つの鍵セットは、オンデマンドネットワークの情報と、オンデマンドネットワークにアクセスするためにUEによって使用されるアクセスクレデンシャルと、オンデマンドネットワークにアクセスするためにUEによって使用されるアクセスクレデンシャルとに基づいて生成される。少なくとも1つの鍵セットは第1の鍵セットを含み得、第1の鍵セットは第1の暗号鍵(CK)および第1の完全性鍵(IK)を含む第1の鍵ペアを含み得る。作業1014では、ネットワークエンティティが第1の鍵セットを使用してUEと通信する。
いくつかの実施形態において、オンデマンドネットワークは、UEのホームオペレータとは異なるオペレータに属し得る。いくつかの実施形態において、少なくとも1つの鍵セットに関する鍵情報は、少なくとも1つの鍵セットを含み得、または少なくとも1つの鍵セットに関する鍵情報は、少なくとも1つの鍵セットを生成するためにUEによって使用される少なくとも1つのパラメータを含み得る。いくつかの実施形態において、少なくとも1つのパラメータは、UEが新しいフレッシュ鍵を生成するためのパラメータを含み得、パラメータは、オンデマンドネットワークによってノンスとして生成される乱数を含む。いくつかの実施形態において、公開鍵は、オンデマンドネットワーク、UEのホームネットワーク、またはオンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバによって提供され得る。いくつかの実施形態において、少なくとも1つのパラメータは、少なくとも1つの鍵セットの有限存続期間を含み得る。有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含み得る。いくつかの実施形態において、UEは、リフレッシュメッセージを受信する前に、オンデマンドネットワークへリフレッシュ要求を送信できる。いくつかの実施形態において、鍵情報は、少なくとも1つの鍵セットの有限存続期間をさらに指示できる。いくつかの実施形態において、第1の鍵セット内の第1の鍵ペアは、オンデマンドネットワークの制御プレーンと通信するためにUEによって使用され得る。第1の鍵セットは、オンデマンドネットワークのデータプレーンと通信するためにUEによって使用される第2のCKおよび第2のIKを含む第2の鍵ペアをさらに含み得る。いくつかの実施形態において、少なくとも1つの鍵セットは、オンデマンドネットワーク内でのグループ通信のためにUEによって使用される第3のCKおよび第3のIKを含む第3の鍵セットをさらに含み得、第3の鍵セットはグループ固有である。オンデマンドネットワーク内の第2のUEと通信するためにUEによって使用される第4のCKおよび第4のIKを含む第4の鍵セットをさらに含む少なくとも1つの鍵セット。いくつかの実施形態において、UEは、少なくとも1つの鍵セットをリフレッシュするためのリフレッシュ情報を含む鍵リフレッシュメッセージを受信できる。鍵リフレッシュメッセージには、第1の鍵セットを使用して、暗号化と完全性チェックが行われ得る。鍵リフレッシュメッセージは、少なくとも1つの新しい鍵セットを含み得、または鍵リフレッシュメッセージは、UEが少なくとも1つの新しい鍵セットを生成するための少なくとも1つのリフレッシュパラメータを含み得る。UEは、少なくとも1つの新しい鍵セットを使用してオンデマンドネットワークと通信できる。いくつかの実施形態において、鍵情報を受信する前に、UEは、アクセスクレデンシャルに関する情報を含む認証・認可要求をオンデマンドネットワークへ送信できる。認証・認可要求は、UEの公開鍵をさらに含み得る。少なくとも1つの鍵セットに関する鍵情報は、公開鍵を使用してオンデマンドネットワークによって暗号化され得る。UEは、UEの秘密鍵を使用して少なくとも1つの鍵セットに関する鍵情報を復号できる。
図11は、例示的な通信システム1100を示す。一般的に、システム1100は、複数の無線または有線ユーザがデータやその他のコンテンツを送受信することを可能にする。システム1100は、符号分割多元接続(CDMA)、時分割多元接続(TDMA)、周波数分割多元接続(FDMA)、直交FDMA(OFDMA)、シングルキャリアFDMA(SC-FDMA)、または非直交多元接続(NOMA)など、1つ以上のチャネルアクセス方法を実施できる。
この例では、通信システム1100は、電子デバイス(ED)1110a~1110c、無線アクセスネットワーク(RAN)1120a~1120b、コアネットワーク1130、公衆交換電話網(PSTN)1140、インターネット1150、および他のネットワーク1160を含む。図11には特定の数のこれらのコンポーネントまたはエレメントが示されているが、システム1100にはいくつものこれらのコンポーネントまたはエレメントが含まれ得る。
ED 1110a~1110cは、システム1100内で動作または通信するように構成される。例えば、ED 1110a~1110cは、無線または有線通信チャネルを通じて送信または受信するように構成される。それぞれのED 1110a~1110cは、何らかの適当なエンドユーザデバイスを表しており、ユーザ機器もしくはデバイス(UE)、無線送受信ユニット(WTRU)、モバイルステーション、固定式もしくは移動式サブスクライバユニット、携帯電話、個人用デジタル補助装置(PDA)、スマートフォン、ラップトップ、コンピュータ、タッチパッド、無線センサ、または家電機器などのデバイスを含み得る(またはそう呼ばれ得る)。
ここでのRAN 1120a~1120bは、基地局1170a~1170bをそれぞれ含む。それぞれの基地局1170a~1170bは、コアネットワーク1130、PSTN 1140、インターネット1150、または他のネットワーク1160へのアクセスを可能にするために、ED 1110 a~1110 cのうちの1つ以上と無線で連結するように構成される。例えば、基地局1170a~1170bは、ベーストランシーバステーション(BTS)、Node-B(NodeB)、進化型NodeB(eNodeB)、次世代(NG)NodeB(gNB)、ホームNodeB、ホームeNodeB、サイトコントローラ、アクセスポイント(AP)、または無線ルータなどのいくつかの周知のデバイスのうちの1つ以上を含み得る(またはそれらであり得る)。ED 1110a~1110cは、インターネット1150と連結し、かつ通信するように構成され、コアネットワーク1130、PSTN 1140、または他のネットワーク1160にアクセスできる。
図11に示されている実施形態では、基地局1170aが、他の基地局、エレメント、またはデバイスを含み得るRAN 1120aの一部を形成している。また、基地局1170bは、他の基地局、エレメント、またはデバイスを含み得るRAN 1120bの一部を形成している。それぞれの基地局1170a~1170bは、「セル」と呼ばれることもある特定の地理的領域または区域内で無線信号を送信または受信するように動作する。いくつかの実施形態において、多入力多出力(MIMO)技術が採用され得、各セルに複数のトランシーバを有する。
基地局1170a~1170bは、無線通信リンクを使用して1つ以上のエアインターフェース1190を介してED 1110a~1110cのうちの1つ以上と通信する。エアインターフェース1190は、何らかの適当な無線アクセス技術を利用できる。
システム1100は、上述したような方式を含む、複数のチャネルアクセス機能を使用できると考えられる。特定の実施形態では、基地局とEDが、5Gニューラジオ(NR)、LTE、LTE-A、またはLTE-Bを実施する。もちろん、他の多元接続方式や無線プロトコルが利用されてもよい。
RAN 1120a~1120bは、ED 1110a~1110cに音声、データ、アプリケーション、ボイス・オーバー・インターネット・プロトコル(VoIP)、またはその他のサービスを提供するために、コアネットワーク1130と通信する。当然ながら、RAN 1120a~1120bまたはコアネットワーク1130は、1つ以上の他のRAN(図示せず)と直接的に、または間接的に、通信できる。コアネットワーク1130はまた、他のネットワーク(PSTN 1140、インターネット1150、および他のネットワーク1160など)のためのゲートウェイアクセスとして機能できる。加えて、ED 1110a~1110cの一部または全部は、様々な無線技術またはプロトコルを使用して様々な無線リンクを通じて様々な無線ネットワークと通信するための機能を含み得る。無線通信の代わりに(またはそれに加えて)、EDは有線通信チャネルを通じてサービスプロバイダまたはスイッチ(図示せず)およびインターネット1150と通信できる。
図11は通信システムの一例を示しているが、図11には様々な変更を加えることができる。例えば、通信システム1100は、いくつものED、基地局、ネットワーク、または他のコンポーネントを含み得る。
図12Aおよび図12Bは、本開示による方法および教示を実施できる例示的なデバイスを示す。特に、図12Aは例示的なED 1210を示し、図12Bは例示的な基地局1270を示している。これらのコンポーネントは、システム1100で、または他の何らかの適当なシステムで、使用され得る。
図12Aに示されているように、ED 1210は少なくとも1つの処理ユニット1200を含む。処理ユニット1200は、ED 1210の様々な処理作業を実施する。例えば、処理ユニット1200は、信号符号化、データ処理、電力制御、入力/出力処理、またはED 1210がシステム1100内で動作することを可能にする他の何らかの機能を実行できる。処理ユニット1200はまた、上記でより詳細に説明されている方法および教示をサポートする。それぞれの処理ユニット1200は、1つ以上の作業を実行するように構成された何らかの適当な処理または計算デバイスを含む。それぞれの処理ユニット1200は、例えば、マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ、フィールドプログラマブルゲートアレイ、または特定用途向け集積回路を含み得る。
ED 1210はまた、少なくとも1つのトランシーバ1202を含む。トランシーバ1202は、少なくとも1つのアンテナまたはNIC(ネットワークインターフェースコントローラ)1204による送信のためにデータまたは他のコンテンツを変調するように構成される。トランシーバ1202はまた、少なくとも1つのアンテナ1204によって受信されるデータまたは他のコンテンツを復調するように構成される。それぞれのトランシーバ1202は、無線または有線送信のために信号を生成するための、または無線または有線で受信される信号を処理するための、何らかの適当な構造を含む。それぞれのアンテナ1204は、無線信号または有線信号を送信または受信するための何らかの適当な構造を含む。ED 1210では1つまたは複数のトランシーバ1202が使用され得、ED 1210では1つまたは複数のアンテナ1204が使用され得る。トランシーバ1202は、単一の機能ユニットとして示されているが、少なくとも1つの送信器と少なくとも1つの別個の受信器とを使用して実装されることもできる。
ED 1210は、1つ以上の入出力デバイス1206またはインターフェース(インターネット1150への有線インターフェースなど)をさらに含む。入出力デバイス1206は、ネットワーク内のユーザまたは他のデバイスとのやり取り(ネットワーク通信)を容易にする。それぞれの入出力デバイス1206は、スピーカ、マイクロフォン、キーパッド、キーボード、ディスプレイ、またはタッチスクリーンなど、ネットワークインターフェース通信を含む、ユーザに情報を提供するための、またはユーザから情報を受け取るための、何らかの適当な構造を含む。
加えて、ED 1210は少なくとも1つのメモリ1208を含む。メモリ1208は、ED 1210によって使用、生成、または収集される命令およびデータを格納する。例えば、メモリ1208は、処理ユニット1200によって実行されるソフトウェアまたはファームウェア命令、および着信信号の干渉を軽減または解消するために使用されるデータを格納できる。それぞれのメモリ1208は、何らかの適当な揮発性または不揮発性記憶・検索装置を含む。ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、ハードディスク、光ディスク、加入者識別モジュール(SIM)カード、メモリスティック、セキュアデジタル(SD)メモリカードなど、何らかの適当なタイプのメモリが使用され得る。
図12Bに示されているように、基地局1270は、少なくとも1つの処理ユニット1250と、送信器および受信器の機能を含む少なくとも1つのトランシーバ1252と、1つ以上のアンテナ1256と、少なくとも1つのメモリ1258と、1つ以上の入出力デバイスまたはインターフェース1266とを含む。処理ユニット1250には、当業者によって理解されるであろうスケジューラが結合される。スケジューラは、基地局1270の中に含まれてよく、または基地局とは別個に操作されてもよい。処理ユニット1250は、信号符号化、データ処理、電力制御、入出力処理、または他の何らかの機能など、基地局1270の様々な処理作業を実施する。処理ユニット1250はまた、上記でより詳細に説明されている方法および教示をサポートできる。それぞれの処理ユニット1250は、1つ以上の作業を実行するように構成された何らかの適当な処理または計算デバイスを含む。それぞれの処理ユニット1250は、例えば、マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ、フィールドプログラマブルゲートアレイ、または特定用途向け集積回路を含み得る。
それぞれのトランシーバ1252は、1つ以上のEDまたは他のデバイスへの無線または有線送信のために信号を生成するための何らかの適当な構造を含む。それぞれのトランシーバ1252は、1つ以上のEDまたは他のデバイスから無線または有線で受信される信号を処理するための何らかの適当な構造をさらに含む。トランシーバ1252として組み合わされて示されているが、送信器と受信器は別個のコンポーネントであってもよい。それぞれのアンテナ1256は、無線信号または有線信号を送信または受信するための何らかの適当な構造を含む。ここでは共通のアンテナ1256がトランシーバ1252に結合されているものとして示されているが、1つ以上のアンテナ1256がトランシーバ1252に結合されてもよく、送信器と受信器が別個のコンポーネントとして装備される場合は、送信器と受信器に別個のアンテナ1256を結合できる。それぞれのメモリ1258は、何らかの適当な揮発性または不揮発性記憶・検索装置を含む。それぞれの入出力デバイス1266は、ネットワーク内のユーザまたは他のデバイスとのやり取り(ネットワーク通信)を容易にする。それぞれの入出力デバイス1266は、ネットワークインターフェース通信を含む、ユーザに情報を提供するための、またはユーザから情報を受信/提供するための、何らかの適当な構造を含む。
図13は、本書で開示されているデバイスおよび方法を実現するために使用され得る計算システム1300のブロック図である。例えば、計算システムは、UE、アクセスネットワーク(AN)、モビリティ管理(MM)、セッション管理(SM)、ユーザプレーンゲートウェイ(UPGW)、またはアクセス層(AS)のいずれかのエンティティであり得る。特定のデバイスが、示されているコンポーネントのすべてを、またはコンポーネントの一部のみを、利用でき、統合レベルはデバイスごとに異なり得る。さらに、デバイスは、複数の処理ユニット、プロセッサ、メモリ、送信器、受信器など、あるコンポーネントの複数のインスタンスを含み得る。計算システム1300は、処理ユニット1302を含む。処理ユニットは、中央処理装置(CPU)1314、メモリ1308を含み、バス1320に接続された大容量記憶装置1304、ビデオアダプタ1310、およびI/Oインターフェース1312をさらに含み得る。
バス1320は、メモリバスまたはメモリコントローラ、周辺バス、またはビデオバスを含む何らかのタイプの数通りのバスアーキテクチャのうちの1つ以上であってよい。CPU 1314は、何らかのタイプの電子データプロセッサを含み得る。メモリ1308は、スタティック・ランダム・アクセス・メモリ(SRAM)、ダイナミック・ランダム・アクセス・メモリ(DRAM)、シンクロナスDRAM(SDRAM)、読み取り専用メモリ(ROM)、またはこれらの組み合わせなど、何らかのタイプの非一時的システムメモリを含み得る。一実施形態において、メモリ1308は、起動時に使用するROMと、プログラムの実行中に使用するプログラムおよびデータ格納用のDRAMとを含み得る。
大容量記憶装置1304は、データ、プログラム、および他の情報を格納し、かつバス1320を通じてデータ、プログラム、および他の情報をアクセス可能にするように構成された、何らかのタイプの非一時的記憶装置を含み得る。大容量記憶装置1304は、例えば、ソリッドステートドライブ、ハードディスクドライブ、磁気式ディスクドライブ、または光学式ディスクドライブのうちの1つ以上を含み得る。
ビデオアダプタ1310とI/Oインターフェース1312は、外部の入力デバイスおよび出力デバイスを処理ユニット1302に結合するためのインターフェースを提供する。図示されているように、入力デバイスおよび出力デバイスの例は、ビデオアダプタ1310に結合されたディスプレイ1318、およびI/Oインターフェース1312に結合されたマウス、キーボード、またはプリンタ1316を含む。処理ユニット1302には他のデバイスが結合されてもよく、追加の、またはより少ない、インターフェースカードが利用されてもよい。例えば、外部デバイスのためのインターフェースを提供するために、ユニバーサルシリアルバス(USB)(図示せず)などのシリアルインターフェースが使用されてよい。
処理ユニット1302はまた、ノードもしくは別のネットワークにアクセスするために、イーサネットケーブルなどの有線リンク、または無線リンクを含み得る、1つ以上のネットワークインターフェース1306を含む。ネットワークインターフェース1306は、処理ユニット1302がネットワークを介してリモートユニットと通信することを可能にする。例えば、ネットワークインターフェース1306は、1つ以上の送信器/送信アンテナと1つ以上の受信器/受信アンテナとを通じて無線通信を提供できる。一実施形態において、処理ユニット1302は、データ処理のために、また他の処理ユニット、インターネット、または遠隔地の記憶設備といったリモートデバイスとの通信のために、ローカルエリアネットワーク1322またはワイドエリアネットワークに結合される。
図14は、いくつかの実施形態による、例示的な通信システム1400を示す。通信システム1400は、カバレッジ1401によりUE 1420などのユーザ機器(UE)にサービスを提供するアクセスノード1410を含む。第1の動作モードでは、UEへの通信とUEからの通信がカバレッジエリア1401を有するアクセスノード1410を通過する。アクセスノード1410は、インターネットへの接続、運用、および管理のためにバックホールネットワーク1415に接続される。第2の動作モードでは、UEへの通信とUEからの通信がアクセスノード1410を通過しないが、アクセスノード1410は通常、一定の条件が満たされたときに通信するためにUEによって使用されるリソースを割り当てる。一対のUE 1420間の通信は、サイドリンク接続(2つの別個の一方向接続1425として図示)を使用できる。図14では、カバレッジエリア1401の中で動作する2つのUE間でサイドライン通信が行われている。しかしながら、サイドリンク通信は通常、UE 1420が両方ともカバレッジエリア1401の外側にあるとき、両方ともカバレッジエリア1401の内側にあるとき、または一方がカバレッジエリア1401の内側にあり他方が外側にあるときに、行われ得る。UEおよびアクセスノードペア間の通信は、片方向通信リンクを上で行われ、UEとアクセスノードとの間の通信リンクはアップリンク1430と呼ばれ、アクセスノードとUEとの間の通信リンクはダウンリンク1435と呼ばれる。
アクセスノードは、一般的に、Node B、進化型Node B(eNB)、次世代(NG)Node B(gNB)、マスタeNB(MeNB)、セカンダリeNB(SeNB)、マスタgNB(MgNB)、セカンダリgNB(SgNB)、ネットワークコントローラ、制御ノード、基地局、アクセスポイント、送信ポイント(TP)、送受信ポイント(TRP)、セル、キャリア、マクロセル、フェムトセル、ピコセルなどと呼ばれることもあり、一方、UEは、一般的に、モバイルステーション、モバイル、端末、ユーザ、サブスクライバ、ステーションなどと呼ばれることもある。アクセスノードは、1つ以上の無線通信プロトコル、例えば、第3世代パートナーシッププロジェクト(3GPP)ロングタームエボリューション(LTE)、LTEアドバンスト(LTE-A)、5G、5G LTE、5G NR、第6世代(6G)、高速パケットアクセス(HSPA)、802.11 a/b/g/n/ac/ad/ax/ay/beなどのIEEE 802.11系規格に従って、無線アクセスを提供できる。通信システムが多数のUEと通信できる複数のアクセスノードを使用できることは理解されているが、簡略化するため、1つのアクセスノードと2つのUEのみが例示されている。
本書で提供されている実施形態の方法の1つ以上のステップが、対応するユニットまたはモジュールによって実行され得ることを理解されたい。例えば、信号は、送信ユニットまたは送信モジュールによって送信されてよい。信号は、受信ユニットまたは受信モジュールによって受信されてよい。信号は、処理ユニットまたは処理モジュールによって処理されてよい。選択ユニットもしくはモジュール、判断ユニットもしくはモジュール、または割り当てユニットもしくはモジュールによって、他のステップが実行されてもよい。それぞれのユニットまたはモジュールは、ハードウェア、ソフトウェア、またはそれらの組み合わせであってよい。例えば、ユニットまたはモジュールのうちの1つ以上は、フィールドプログラマブルゲートアレイ(FPGA)や特定用途向け集積回路(ASIC)などの集積回路であってよい。
本開示とその利点が詳細に説明されているが、添付の特許請求の範囲によって規定される本開示の範囲から逸脱することなく、様々な変更、置換、および改変をここで行うことができることを理解されたい。
100 オンデマンドPIN
104 ウェアラブルデバイス
106 ウェアラブルデバイス
108 ウェアラブルデバイス
110 オンデマンドPIN
112 携帯電話
114 ウェアラブルデバイス
116 ウェアラブルデバイス
118 ウェアラブルデバイス
202 UE
204 オンデマンドネットワーク
206 ホームネットワーク
302 UE
304 オンデマンドネットワーク
402 UE
404 オンデマンドネットワーク
406 アプリケーションサーバ
502 UE
504 オンデマンドネットワーク
506 サードパーティエンティティ
602 UE
604 オンデマンドネットワーク
606 認証サーバ
702 UE
704 オンデマンドネットワーク
802 UE
804 オンデマンドネットワーク
900 方法
910 方法
1000 方法
1010 方法
1100 通信システム
1110a 電子デバイス(ED)
1110b 電子デバイス(ED)
1110c 電子デバイス(ED)
1120a 無線アクセスネットワーク(RAN)
1120b 無線アクセスネットワーク(RAN)
1130 コアネットワーク
1140 公衆交換電話網(PSTN)
1150 インターネット
1160 他のネットワーク
1170a 基地局
1170b 基地局
1190 エアインターフェース
1200 処理ユニット
1202 トランシーバ
1204 アンテナまたはNIC(ネットワークインターフェースコントローラ)
1206 入出力デバイス
1208 メモリ
1210 ED
1250 処理ユニット
1252 トランシーバ
1256 アンテナ
1258 メモリ
1266 入出力デバイスまたはインターフェース
1270 基地局
1300 計算システム
1302 処理ユニット
1304 大容量記憶装置
1306 ネットワークインターフェース
1308 メモリ
1310 ビデオアダプタ
1312 I/Oインターフェース
1314 中央処理装置(CPU)
1316 マウス、キーボード、またはプリンタ
1318 ディスプレイ
1320 バス
1322 ローカルエリアネットワーク
1400 通信システム
1401 カバレッジエリア
1410 アクセスノード
1415 バックホールネットワーク
1420 UE
1425 一方向接続
1430 アップリンク
1435 ダウンリンク
104 ウェアラブルデバイス
106 ウェアラブルデバイス
108 ウェアラブルデバイス
110 オンデマンドPIN
112 携帯電話
114 ウェアラブルデバイス
116 ウェアラブルデバイス
118 ウェアラブルデバイス
202 UE
204 オンデマンドネットワーク
206 ホームネットワーク
302 UE
304 オンデマンドネットワーク
402 UE
404 オンデマンドネットワーク
406 アプリケーションサーバ
502 UE
504 オンデマンドネットワーク
506 サードパーティエンティティ
602 UE
604 オンデマンドネットワーク
606 認証サーバ
702 UE
704 オンデマンドネットワーク
802 UE
804 オンデマンドネットワーク
900 方法
910 方法
1000 方法
1010 方法
1100 通信システム
1110a 電子デバイス(ED)
1110b 電子デバイス(ED)
1110c 電子デバイス(ED)
1120a 無線アクセスネットワーク(RAN)
1120b 無線アクセスネットワーク(RAN)
1130 コアネットワーク
1140 公衆交換電話網(PSTN)
1150 インターネット
1160 他のネットワーク
1170a 基地局
1170b 基地局
1190 エアインターフェース
1200 処理ユニット
1202 トランシーバ
1204 アンテナまたはNIC(ネットワークインターフェースコントローラ)
1206 入出力デバイス
1208 メモリ
1210 ED
1250 処理ユニット
1252 トランシーバ
1256 アンテナ
1258 メモリ
1266 入出力デバイスまたはインターフェース
1270 基地局
1300 計算システム
1302 処理ユニット
1304 大容量記憶装置
1306 ネットワークインターフェース
1308 メモリ
1310 ビデオアダプタ
1312 I/Oインターフェース
1314 中央処理装置(CPU)
1316 マウス、キーボード、またはプリンタ
1318 ディスプレイ
1320 バス
1322 ローカルエリアネットワーク
1400 通信システム
1401 カバレッジエリア
1410 アクセスノード
1415 バックホールネットワーク
1420 UE
1425 一方向接続
1430 アップリンク
1435 ダウンリンク
Claims (92)
- ユーザ機器(UE)によって、アクセスクレデンシャルメッセージを受信するステップであって、前記アクセスクレデンシャルメッセージが、前記UEがアクセスするオンデマンドネットワークのためのアクセスクレデンシャルを指示し、前記アクセスクレデンシャルメッセージが、前記アクセスクレデンシャルの有限存続期間をさらに指示する、ステップと、
前記UEによって、前記オンデマンドネットワークへ前記アクセスクレデンシャルに関する情報を含む認証・認可要求を送信するステップと、
前記UEによって、前記オンデマンドネットワークから認証・認可応答を受信するステップと、
前記UEによって、前記認証・認可応答に基づいて前記オンデマンドネットワークとのセッションを確立するステップと
を含む、方法。 - 前記オンデマンドネットワークは、前記UEのホームオペレータとは異なるオペレータに属する、請求項1に記載の方法。
- 前記アクセスクレデンシャルメッセージは、認証および認可を行う1つ以上のエンティティを指示するエンティティ情報をさらに含み、前記認証・認可要求は、前記エンティティ情報を含む、請求項1に記載の方法。
- 前記1つ以上のエンティティは、前記オンデマンドネットワークのエンティティ、前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、または前記UEのホームネットワークのエンティティのうちの少なくとも1つを含む、請求項3に記載の方法。
- 前記エンティティ情報は、前記認証を処理する第1のエンティティと前記認可を処理する第2のエンティティとを指示し、前記第2のエンティティは前記第1のエンティティとは異なる、請求項3に記載の方法。
- 前記アクセスクレデンシャルメッセージは、クレデンシャルタイプとクレデンシャルオーナーをさらに指示し、前記クレデンシャルオーナーは、前記オンデマンドネットワーク、前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、または前記UEのホームネットワークのうちの1つである、請求項1に記載の方法。
- 前記UEは、前記UEが前記UEのホームネットワークと認証することを受けて、または前記UEが前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバと認証することを受けて、前記アクセスクレデンシャルメッセージを受信し、前記UEは、前記UEが前記オンデマンドネットワークにアクセスする前に、または前記UEが前記オンデマンドネットワークにアクセスしている間に、前記アクセスクレデンシャルメッセージを受信する、請求項1に記載の方法。
- 前記UEは、前記オンデマンドネットワークにアクセスするために前記アクセスクレデンシャルに関する前記情報を得ることを前記UEが要求せずに、前記UEのホームネットワークから、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、前記アクセスクレデンシャルメッセージを受信する、請求項1に記載の方法。
- 前記UEは、前記オンデマンドネットワークにアクセスするために前記アクセスクレデンシャルに関する前記情報を得ることを前記UEが要求して、前記UEのホームネットワークから、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、前記アクセスクレデンシャルメッセージを受信する、請求項1に記載の方法。
- 前記アクセスクレデンシャルに関する前記情報は、前記アクセスクレデンシャル、または前記アクセスクレデンシャルの識別子を含む、請求項1から9のいずれか一項に記載の方法。
- ユーザ機器(UE)によって、オンデマンドネットワークから少なくとも1つの鍵セットに関する鍵情報を受信するステップであって、前記少なくとも1つの鍵セットが、前記オンデマンドネットワークの情報と、前記オンデマンドネットワークにアクセスするために前記UEによって使用されるアクセスクレデンシャルとに基づいて生成され、前記少なくとも1つの鍵セットが、第1の鍵セットを含み、前記第1の鍵セットが、第1の暗号鍵(CK)および第1の完全性鍵(IK)を含む第1の鍵ペアを含む、ステップと、
前記UEによって、前記第1の鍵セットを使用して、前記オンデマンドネットワーク、および前記オンデマンドネットワーク内の他のUEと通信するステップと
を含む、方法。 - 前記オンデマンドネットワークは、前記UEのホームオペレータとは異なるオペレータに属する、請求項11に記載の方法。
- 前記少なくとも1つの鍵セットに関する前記鍵情報は、前記少なくとも1つの鍵セットを含み、または前記少なくとも1つの鍵セットに関する前記鍵情報は、前記少なくとも1つの鍵セットを生成するために前記UEによって使用される少なくとも1つのパラメータを含む、請求項11に記載の方法。
- 前記少なくとも1つのパラメータは、前記UEが新しいフレッシュ鍵を生成するためのパラメータを含み、前記パラメータは、前記オンデマンドネットワークによってノンスとして生成される乱数を含む、請求項13に記載の方法。
- 前記オンデマンドネットワーク、前記UEのホームネットワーク、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバによって、公開鍵が提供される、請求項14に記載の方法。
- 前記少なくとも1つのパラメータは、前記少なくとも1つの鍵セットの有限存続期間を含み、前記有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含む、請求項13に記載の方法。
- 前記UEは、リフレッシュメッセージを受信する前に、前記オンデマンドネットワークへリフレッシュ要求を送信する、請求項13に記載の方法。
- 前記鍵情報は、前記少なくとも1つの鍵セットの有限存続期間をさらに指示する、請求項11に記載の方法。
- 前記少なくとも1つの鍵セットの前記有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含む、請求項18に記載の方法。
- 前記第1の鍵セット内の前記第1の鍵ペアは、前記オンデマンドネットワークの制御プレーンと通信するために前記UEによって使用され、前記第1の鍵セットは、前記オンデマンドネットワークのデータプレーンと通信するために前記UEによって使用される第2のCKおよび第2のIKを含む第2の鍵ペアをさらに含む、請求項11に記載の方法。
- 前記少なくとも1つの鍵セットは、前記オンデマンドネットワーク内でのグループ通信のために前記UEによって使用される第3のCKおよび第3のIKを含む第3の鍵セットをさらに含み、前記第3の鍵セットはグループ固有であり、前記少なくとも1つの鍵セットは、前記オンデマンドネットワーク内の第2のUEと通信するために前記UEによって使用される第4のCKおよび第4のIKを含む第4の鍵セットをさらに含む、請求項20に記載の方法。
- 前記UEによって、前記少なくとも1つの鍵セットをリフレッシュするためのリフレッシュ情報を含む鍵リフレッシュメッセージを受信するステップであって、前記鍵リフレッシュメッセージが、前記第1の鍵セットを使用して暗号化および完全性チェックされ、前記鍵リフレッシュメッセージが、少なくとも1つの新しい鍵セットを含み、または前記鍵リフレッシュメッセージが、前記UEが前記少なくとも1つの新しい鍵セットを生成するための少なくとも1つのリフレッシュパラメータを含む、ステップと、
前記UEによって、前記少なくとも1つの新しい鍵セットを使用して前記オンデマンドネットワークと通信するステップと
をさらに含む、請求項11に記載の方法。 - 前記鍵情報を受信する前記ステップの前に、前記UEによって、前記オンデマンドネットワークへ前記アクセスクレデンシャルに関する情報を含む認証・認可要求を送信するステップであって、前記認証・認可要求が、前記UEの公開鍵をさらに含み、前記少なくとも1つの鍵セットに関する前記鍵情報が、前記公開鍵を使用して前記オンデマンドネットワークによって暗号化され、前記UEが、前記UEの秘密鍵を使用して前記少なくとも1つの鍵セットに関する前記鍵情報を復号する、ステップ
をさらに含む、請求項11から22のいずれか一項に記載の方法。 - オンデマンドネットワークのネットワークエンティティによって、ユーザ機器(UE)からアクセスクレデンシャルに関する情報を含む認証・認可要求を受信するステップであって、前記UEが、前記UEがアクセスする前記オンデマンドネットワークのための前記アクセスクレデンシャルを指示するアクセスクレデンシャルメッセージを受信し、前記アクセスクレデンシャルメッセージが、前記アクセスクレデンシャルの有限存続期間をさらに指示する、ステップと、
前記ネットワークエンティティによって、前記UEへ認証・認可応答を送信するステップと、
前記ネットワークエンティティによって、前記認証・認可応答に基づいて前記UEとのセッションを確立するステップと
を含む、方法。 - 前記オンデマンドネットワークは、前記UEのホームオペレータとは異なるオペレータに属する、請求項24に記載の方法。
- 前記アクセスクレデンシャルメッセージは、認証および認可を行う1つ以上のエンティティを指示するエンティティ情報をさらに含み、前記認証・認可要求は、前記エンティティ情報を含む、請求項24に記載の方法。
- 前記1つ以上のエンティティは、前記オンデマンドネットワークの前記ネットワークエンティティ、前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、または前記UEのホームネットワークのエンティティのうちの少なくとも1つを含む、請求項26に記載の方法。
- 前記エンティティ情報は、前記認証を処理する第1のエンティティと前記認可を処理する第2のエンティティとを指示し、前記第2のエンティティは前記第1のエンティティとは異なる、請求項26に記載の方法。
- 前記アクセスクレデンシャルメッセージは、クレデンシャルタイプとクレデンシャルオーナーをさらに指示し、前記クレデンシャルオーナーは、前記オンデマンドネットワーク、前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、または前記UEのホームネットワークのうちの1つである、請求項24に記載の方法。
- 前記UEは、前記UEが前記UEのホームネットワークと認証することを受けて、または前記UEが前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバと認証することを受けて、前記アクセスクレデンシャルメッセージを受信し、前記UEは、前記UEが前記オンデマンドネットワークにアクセスする前に、または前記UEが前記オンデマンドネットワークにアクセスしている間に、前記アクセスクレデンシャルメッセージを受信する、請求項24に記載の方法。
- 前記UEは、前記オンデマンドネットワークにアクセスするために前記アクセスクレデンシャルに関する前記情報を得ることを前記UEが要求せずに、前記UEのホームネットワークから、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、前記アクセスクレデンシャルメッセージを受信する、請求項24に記載の方法。
- 前記UEは、前記オンデマンドネットワークにアクセスするために前記アクセスクレデンシャルに関する前記情報を得ることを前記UEが要求して、前記UEのホームネットワークから、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、前記アクセスクレデンシャルメッセージを受信する、請求項24に記載の方法。
- 前記アクセスクレデンシャルに関する前記情報は、前記アクセスクレデンシャル、または前記アクセスクレデンシャルの識別子を含む、請求項24から32のいずれか一項に記載の方法。
- オンデマンドネットワークのネットワークエンティティによって、ユーザ機器(UE)へ少なくとも1つの鍵セットに関する鍵情報を送信するステップであって、前記少なくとも1つの鍵セットが、前記オンデマンドネットワークの情報と、前記オンデマンドネットワークにアクセスするために前記UEによって使用されるアクセスクレデンシャルとに基づいて生成され、前記少なくとも1つの鍵セットが、第1の鍵セットを含み、前記第1の鍵セットが、第1の暗号鍵(CK)および第1の完全性鍵(IK)を含む第1の鍵ペアを含む、ステップと、
前記ネットワークエンティティによって、前記第1の鍵セットを使用して前記UEと通信するステップと
を含む、方法。 - 前記オンデマンドネットワークは、前記UEのホームオペレータとは異なるオペレータに属する、請求項34に記載の方法。
- 前記少なくとも1つの鍵セットに関する前記鍵情報は、前記少なくとも1つの鍵セットを含み、または前記少なくとも1つの鍵セットに関する前記鍵情報は、前記少なくとも1つの鍵セットを生成するために前記UEによって使用される少なくとも1つのパラメータを含む、請求項34に記載の方法。
- 前記少なくとも1つのパラメータは、前記UEが新しいフレッシュ鍵を生成するためのパラメータを含み、前記パラメータは、前記オンデマンドネットワークによってノンスとして生成される乱数を含む、請求項36に記載の方法。
- 前記オンデマンドネットワーク、前記UEのホームネットワーク、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバによって、公開鍵が提供される、請求項37に記載の方法。
- 前記少なくとも1つのパラメータは、前記少なくとも1つの鍵セットの有限存続期間を含み、前記有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含む、請求項36に記載の方法。
- 前記UEは、リフレッシュメッセージを受信する前に、前記オンデマンドネットワークへリフレッシュ要求を送信する、請求項36に記載の方法。
- 前記鍵情報は、前記少なくとも1つの鍵セットの有限存続期間をさらに指示する、請求項34に記載の方法。
- 前記少なくとも1つの鍵セットの前記有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含む、請求項41に記載の方法。
- 前記第1の鍵セット内の前記第1の鍵ペアは、前記オンデマンドネットワークの制御プレーンと通信するために前記UEによって使用され、前記第1の鍵セットは、前記オンデマンドネットワークのデータプレーンと通信するために前記UEによって使用される第2のCKおよび第2のIKを含む第2の鍵ペアをさらに含む、請求項34に記載の方法。
- 前記少なくとも1つの鍵セットは、前記オンデマンドネットワーク内でのグループ通信のために前記UEによって使用される第3のCKおよび第3のIKを含む第3の鍵セットをさらに含み、前記第3の鍵セットはグループ固有であり、前記少なくとも1つの鍵セットは、前記オンデマンドネットワーク内の第2のUEと通信するために前記UEによって使用される第4のCKおよび第4のIKを含む第4の鍵セットをさらに含む、請求項43に記載の方法。
- 前記ネットワークエンティティによって、前記少なくとも1つの鍵セットをリフレッシュするためのリフレッシュ情報を含む鍵リフレッシュメッセージを前記UEへ送信するステップであって、前記鍵リフレッシュメッセージが、前記第1の鍵セットを使用して暗号化および完全性チェックされ、前記鍵リフレッシュメッセージが、少なくとも1つの新しい鍵セットを含み、または前記鍵リフレッシュメッセージが、前記UEが前記少なくとも1つの新しい鍵セットを生成するための少なくとも1つのリフレッシュパラメータを含む、ステップと、
前記ネットワークエンティティによって、前記少なくとも1つの新しい鍵セットを使用して前記UEと通信するステップと
をさらに含む、請求項34に記載の方法。 - 前記鍵情報を送信する前記ステップの前に、前記ネットワークエンティティによって、前記UEから前記アクセスクレデンシャルに関する情報を含む認証・認可要求を受信するステップであって、前記認証・認可要求が、前記UEの公開鍵をさらに含み、前記少なくとも1つの鍵セットに関する前記鍵情報が、前記公開鍵を使用して前記オンデマンドネットワークによって暗号化され、前記UEが、前記UEの秘密鍵を使用して前記少なくとも1つの鍵セットに関する前記鍵情報を復号する、ステップ
をさらに含む、請求項34から45のいずれか一項に記載の方法。 - ユーザ機器(UE)であって、
少なくとも1つのプロセッサと、
プログラミングを格納する非一時的コンピュータ可読記憶媒体であって、前記プログラミングは、前記少なくとも1つのプロセッサによって実行されると、前記UEに、
アクセスクレデンシャルメッセージを受信させ、前記アクセスクレデンシャルメッセージが、前記UEがアクセスするオンデマンドネットワークのためのアクセスクレデンシャルを指示し、前記アクセスクレデンシャルメッセージが、前記アクセスクレデンシャルの有限存続期間をさらに指示し、
前記オンデマンドネットワークへ前記アクセスクレデンシャルに関する情報を含む認証・認可要求を送信させ、
前記オンデマンドネットワークから認証・認可応答を受信させ、
前記認証・認可応答に基づいて前記オンデマンドネットワークとのセッションを確立させる
命令を含む、非一時的コンピュータ可読記憶媒体と
を含む、UE。 - 前記オンデマンドネットワークは、前記UEのホームオペレータとは異なるオペレータに属する、請求項47に記載のUE。
- 前記アクセスクレデンシャルメッセージは、認証および認可を行う1つ以上のエンティティを指示するエンティティ情報をさらに含み、前記認証・認可要求は、前記エンティティ情報を含む、請求項47に記載のUE。
- 前記1つ以上のエンティティは、前記オンデマンドネットワークのエンティティ、前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、または前記UEのホームネットワークのエンティティのうちの少なくとも1つを含む、請求項49に記載のUE。
- 前記エンティティ情報は、前記認証を処理する第1のエンティティと前記認可を処理する第2のエンティティとを指示し、前記第2のエンティティは前記第1のエンティティとは異なる、請求項49に記載のUE。
- 前記アクセスクレデンシャルメッセージは、クレデンシャルタイプとクレデンシャルオーナーをさらに指示し、前記クレデンシャルオーナーは、前記オンデマンドネットワーク、前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、または前記UEのホームネットワークのうちの1つである、請求項47に記載のUE。
- 前記UEは、前記UEが前記UEのホームネットワークと認証することを受けて、または前記UEが前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバと認証することを受けて、前記アクセスクレデンシャルメッセージを受信し、前記UEは、前記UEが前記オンデマンドネットワークにアクセスする前に、または前記UEが前記オンデマンドネットワークにアクセスしている間に、前記アクセスクレデンシャルメッセージを受信する、請求項47に記載のUE。
- 前記UEは、前記オンデマンドネットワークにアクセスするために前記アクセスクレデンシャルに関する前記情報を得ることを前記UEが要求せずに、前記UEのホームネットワークから、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、前記アクセスクレデンシャルメッセージを受信する、請求項47に記載のUE。
- 前記UEは、前記オンデマンドネットワークにアクセスするために前記アクセスクレデンシャルに関する前記情報を得ることを前記UEが要求して、前記UEのホームネットワークから、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、前記アクセスクレデンシャルメッセージを受信する、請求項47に記載のUE。
- 前記アクセスクレデンシャルに関する前記情報は、前記アクセスクレデンシャル、または前記アクセスクレデンシャルの識別子を含む、請求項47から55のいずれか一項に記載のUE。
- ユーザ機器(UE)であって、
少なくとも1つのプロセッサと、
プログラミングを格納する非一時的コンピュータ可読記憶媒体であって、前記プログラミングは、前記少なくとも1つのプロセッサによって実行されると、前記UEに、
オンデマンドネットワークから少なくとも1つの鍵セットに関する鍵情報を受信させ、前記少なくとも1つの鍵セットが、前記オンデマンドネットワークの情報と、前記オンデマンドネットワークにアクセスするために前記UEによって使用されるアクセスクレデンシャルとに基づいて生成され、前記少なくとも1つの鍵セットが、第1の鍵セットを含み、前記第1の鍵セットが、第1の暗号鍵(CK)および第1の完全性鍵(IK)を含む第1の鍵ペアを含み、
前記第1の鍵セットを使用して、前記オンデマンドネットワーク、および前記オンデマンドネットワーク内の他のUEと通信させる
命令を含む、非一時的コンピュータ可読記憶媒体と
を含む、UE。 - 前記オンデマンドネットワークは、前記UEのホームオペレータとは異なるオペレータに属する、請求項57に記載のUE。
- 前記少なくとも1つの鍵セットに関する前記鍵情報は、前記少なくとも1つの鍵セットを含み、または前記少なくとも1つの鍵セットに関する前記鍵情報は、前記少なくとも1つの鍵セットを生成するために前記UEによって使用される少なくとも1つのパラメータを含む、請求項57に記載のUE。
- 前記少なくとも1つのパラメータは、前記UEが新しいフレッシュ鍵を生成するためのパラメータを含み、前記パラメータは、前記オンデマンドネットワークによってノンスとして生成される乱数を含む、請求項59に記載のUE。
- 前記オンデマンドネットワーク、前記UEのホームネットワーク、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバによって、公開鍵が提供される、請求項60に記載のUE。
- 前記少なくとも1つのパラメータは、前記少なくとも1つの鍵セットの有限存続期間を含み、前記有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含む、請求項59に記載のUE。
- 前記UEは、リフレッシュメッセージを受信する前に、前記オンデマンドネットワークへリフレッシュ要求を送信する、請求項59に記載のUE。
- 前記鍵情報は、前記少なくとも1つの鍵セットの有限存続期間をさらに指示する、請求項57に記載のUE。
- 前記少なくとも1つの鍵セットの前記有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含む、請求項64に記載のUE。
- 前記第1の鍵セット内の前記第1の鍵ペアは、前記オンデマンドネットワークの制御プレーンと通信するために前記UEによって使用され、前記第1の鍵セットは、前記オンデマンドネットワークのデータプレーンと通信するために前記UEによって使用される第2のCKおよび第2のIKを含む第2の鍵ペアをさらに含む、請求項57に記載のUE。
- 前記少なくとも1つの鍵セットは、前記オンデマンドネットワーク内でのグループ通信のために前記UEによって使用される第3のCKおよび第3のIKを含む第3の鍵セットをさらに含み、前記第3の鍵セットはグループ固有であり、前記少なくとも1つの鍵セットは、前記オンデマンドネットワーク内の第2のUEと通信するために前記UEによって使用される第4のCKおよび第4のIKを含む第4の鍵セットをさらに含む、請求項66に記載のUE。
- 前記プログラミングは、前記UEに、
前記少なくとも1つの鍵セットをリフレッシュするためのリフレッシュ情報を含む鍵リフレッシュメッセージを受信させ、前記鍵リフレッシュメッセージが、前記第1の鍵セットを使用して暗号化および完全性チェックされ、前記鍵リフレッシュメッセージが、少なくとも1つの新しい鍵セットを含み、または前記鍵リフレッシュメッセージが、前記UEが前記少なくとも1つの新しい鍵セットを生成するための少なくとも1つのリフレッシュパラメータを含み、
前記少なくとも1つの新しい鍵セットを使用して前記オンデマンドネットワークと通信させる
命令をさらに含む、請求項57に記載のUE。 - 前記プログラミングは、前記UEに、
前記鍵情報を受信する前に、前記オンデマンドネットワークへ前記アクセスクレデンシャルに関する情報を含む認証・認可要求を送信させ、前記認証・認可要求が、前記UEの公開鍵をさらに含み、前記少なくとも1つの鍵セットに関する前記鍵情報が、前記公開鍵を使用して前記オンデマンドネットワークによって暗号化され、前記UEが、前記UEの秘密鍵を使用して前記少なくとも1つの鍵セットに関する前記鍵情報を復号する、
命令をさらに含む、請求項57から68のいずれか一項に記載のUE。 - ネットワークエンティティであって、
少なくとも1つのプロセッサと、
プログラミングを格納する非一時的コンピュータ可読記憶媒体であって、前記プログラミングは、前記少なくとも1つのプロセッサによって実行されると、前記ネットワークエンティティに、
オンデマンドネットワークの前記ネットワークエンティティによって、ユーザ機器(UE)からアクセスクレデンシャルに関する情報を含む認証・認可要求を受信させ、前記UEが、前記UEがアクセスする前記オンデマンドネットワークのための前記アクセスクレデンシャルを指示するアクセスクレデンシャルメッセージを受信し、前記アクセスクレデンシャルメッセージが、前記アクセスクレデンシャルの有限存続期間をさらに指示し、
前記UEへ認証・認可応答を送信させ、
前記認証・認可応答に基づいて前記UEとのセッションを確立させる
命令を含む、非一時的コンピュータ可読記憶媒体と
を含む、ネットワークエンティティ。 - 前記オンデマンドネットワークは、前記UEのホームオペレータとは異なるオペレータに属する、請求項70に記載のネットワークエンティティ。
- 前記アクセスクレデンシャルメッセージは、認証および認可を行う1つ以上のエンティティを指示するエンティティ情報をさらに含み、前記認証・認可要求は、前記エンティティ情報を含む、請求項70に記載のネットワークエンティティ。
- 前記1つ以上のエンティティは、前記オンデマンドネットワークの前記ネットワークエンティティ、前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、または前記UEのホームネットワークのエンティティのうちの少なくとも1つを含む、請求項72に記載のネットワークエンティティ。
- 前記エンティティ情報は、前記認証を処理する第1のエンティティと前記認可を処理する第2のエンティティとを指示し、前記第2のエンティティは前記第1のエンティティとは異なる、請求項72に記載のネットワークエンティティ。
- 前記アクセスクレデンシャルメッセージは、クレデンシャルタイプとクレデンシャルオーナーをさらに指示し、前記クレデンシャルオーナーは、前記オンデマンドネットワーク、前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバ、サードパーティエンティティ、または前記UEのホームネットワークのうちの1つである、請求項70に記載のネットワークエンティティ。
- 前記UEは、前記UEが前記UEのホームネットワークと認証することを受けて、または前記UEが前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバと認証することを受けて、前記アクセスクレデンシャルメッセージを受信し、前記UEは、前記UEが前記オンデマンドネットワークにアクセスする前に、または前記UEが前記オンデマンドネットワークにアクセスしている間に、前記アクセスクレデンシャルメッセージを受信する、請求項70に記載のネットワークエンティティ。
- 前記UEは、前記オンデマンドネットワークにアクセスするために前記アクセスクレデンシャルに関する前記情報を得ることを前記UEが要求せずに、前記UEのホームネットワークから、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、前記アクセスクレデンシャルメッセージを受信する、請求項70に記載のネットワークエンティティ。
- 前記UEは、前記オンデマンドネットワークにアクセスするために前記アクセスクレデンシャルに関する前記情報を得ることを前記UEが要求して、前記UEのホームネットワークから、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバから、前記アクセスクレデンシャルメッセージを受信する、請求項70に記載のネットワークエンティティ。
- 前記アクセスクレデンシャルに関する前記情報は、前記アクセスクレデンシャル、または前記アクセスクレデンシャルの識別子を含む、請求項70から78のいずれか一項に記載のネットワークエンティティ。
- ネットワークエンティティであって、
少なくとも1つのプロセッサと、
プログラミングを格納する非一時的コンピュータ可読記憶媒体であって、前記プログラミングは、前記少なくとも1つのプロセッサによって実行されると、前記ネットワークエンティティに、
オンデマンドネットワークの前記ネットワークエンティティによって、ユーザ機器(UE)へ少なくとも1つの鍵セットに関する鍵情報を送信させ、前記少なくとも1つの鍵セットが、前記オンデマンドネットワークの情報と、前記オンデマンドネットワークにアクセスするために前記UEによって使用されるアクセスクレデンシャルとに基づいて生成され、前記少なくとも1つの鍵セットが、第1の鍵セットを含み、前記第1の鍵セットが、第1の暗号鍵(CK)および第1の完全性鍵(IK)を含む第1の鍵ペアを含み、
前記第1の鍵セットを使用して前記UEと通信させる
命令を含む、非一時的コンピュータ可読記憶媒体と
を含む、ネットワークエンティティ。 - 前記オンデマンドネットワークは、前記UEのホームオペレータとは異なるオペレータに属する、請求項80に記載のネットワークエンティティ。
- 前記少なくとも1つの鍵セットに関する前記鍵情報は、前記少なくとも1つの鍵セットを含み、または前記少なくとも1つの鍵セットに関する前記鍵情報は、前記少なくとも1つの鍵セットを生成するために前記UEによって使用される少なくとも1つのパラメータを含む、請求項80に記載のネットワークエンティティ。
- 前記少なくとも1つのパラメータは、前記UEが新しいフレッシュ鍵を生成するためのパラメータを含み、前記パラメータは、前記オンデマンドネットワークによってノンスとして生成される乱数を含む、請求項82に記載のネットワークエンティティ。
- 前記オンデマンドネットワーク、前記UEのホームネットワーク、または前記オンデマンドネットワークにアクセスすることによって1つ以上のサービスがUEによって利用されるアプリケーションサーバによって、公開鍵が提供される、請求項83に記載のネットワークエンティティ。
- 前記少なくとも1つのパラメータは、前記少なくとも1つの鍵セットの有限存続期間を含み、前記有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含む、請求項82に記載のネットワークエンティティ。
- 前記UEは、リフレッシュメッセージを受信する前に、前記オンデマンドネットワークへリフレッシュ要求を送信する、請求項82に記載のネットワークエンティティ。
- 前記鍵情報は、前記少なくとも1つの鍵セットの有限存続期間をさらに指示する、請求項80に記載のネットワークエンティティ。
- 前記少なくとも1つの鍵セットの前記有限存続期間は、開始時間または終了時間のうちの少なくとも一方を含む、請求項87に記載のネットワークエンティティ。
- 前記第1の鍵セット内の前記第1の鍵ペアは、前記オンデマンドネットワークの制御プレーンと通信するために前記UEによって使用され、前記第1の鍵セットは、前記オンデマンドネットワークのデータプレーンと通信するために前記UEによって使用される第2のCKおよび第2のIKを含む第2の鍵ペアをさらに含む、請求項80に記載のネットワークエンティティ。
- 前記少なくとも1つの鍵セットは、前記オンデマンドネットワーク内でのグループ通信のために前記UEによって使用される第3のCKおよび第3のIKを含む第3の鍵セットをさらに含み、前記第3の鍵セットはグループ固有であり、前記少なくとも1つの鍵セットは、前記オンデマンドネットワーク内の第2のUEと通信するために前記UEによって使用される第4のCKおよび第4のIKを含む第4の鍵セットをさらに含む、請求項89に記載のネットワークエンティティ。
- 前記プログラミングは、前記ネットワークエンティティに、
前記少なくとも1つの鍵セットをリフレッシュするためのリフレッシュ情報を含む鍵リフレッシュメッセージを前記UEへ送信させ、前記鍵リフレッシュメッセージが、前記第1の鍵セットを使用して暗号化および完全性チェックされ、前記鍵リフレッシュメッセージが、少なくとも1つの新しい鍵セットを含み、または前記鍵リフレッシュメッセージが、前記UEが前記少なくとも1つの新しい鍵セットを生成するための少なくとも1つのリフレッシュパラメータを含み、
前記少なくとも1つの新しい鍵セットを使用して前記UEと通信させる
命令を含む、請求項80に記載のネットワークエンティティ。 - 前記プログラミングは、前記ネットワークエンティティに、
前記鍵情報を送信する前に、前記UEから前記アクセスクレデンシャルに関する情報を含む認証・認可要求を受信させ、前記認証・認可要求が、前記UEの公開鍵をさらに含み、前記少なくとも1つの鍵セットに関する前記鍵情報が、前記公開鍵を使用して前記オンデマンドネットワークによって暗号化され、前記UEが、前記UEの秘密鍵を使用して前記少なくとも1つの鍵セットに関する前記鍵情報を復号する、
命令を含む、請求項80から91のいずれか一項に記載のネットワークエンティティ。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163185826P | 2021-05-07 | 2021-05-07 | |
| US202163185837P | 2021-05-07 | 2021-05-07 | |
| US63/185,826 | 2021-05-07 | ||
| US63/185,837 | 2021-05-07 | ||
| PCT/US2022/026675 WO2022147582A2 (en) | 2021-05-07 | 2022-04-28 | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2024522056A true JP2024522056A (ja) | 2024-06-11 |
Family
ID=81841844
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023568382A Pending JP2024522056A (ja) | 2021-05-07 | 2022-04-28 | オンデマンドネットワークにおけるプロビジョニング、認証、認可、ならびにユーザ機器(ue)鍵生成および配布のための方法および装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20240080316A1 (ja) |
| EP (1) | EP4327505A2 (ja) |
| JP (1) | JP2024522056A (ja) |
| KR (1) | KR20230172603A (ja) |
| WO (1) | WO2022147582A2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117500094A (zh) * | 2022-07-25 | 2024-02-02 | 维沃移动通信有限公司 | 信息查询方法、装置、终端及网络侧设备 |
| US20240106896A1 (en) * | 2022-09-23 | 2024-03-28 | T-Mobile Innovations Llc | Iot device one tap activation |
| CN118042452A (zh) * | 2022-11-04 | 2024-05-14 | 维沃移动通信有限公司 | 操作执行方法、装置、终端及网络功能 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8683562B2 (en) * | 2011-02-03 | 2014-03-25 | Imprivata, Inc. | Secure authentication using one-time passwords |
| CA2939136A1 (en) * | 2014-02-14 | 2015-08-20 | Intertrust Technologies Corporation | Network security systems and methods |
| WO2020185612A1 (en) * | 2019-03-08 | 2020-09-17 | Master Lock Company Llc | Systems and methods for dynamically delivering access credentials for locking systems |
-
2022
- 2022-04-28 JP JP2023568382A patent/JP2024522056A/ja active Pending
- 2022-04-28 KR KR1020237040643A patent/KR20230172603A/ko active Search and Examination
- 2022-04-28 EP EP22725336.6A patent/EP4327505A2/en active Pending
- 2022-04-28 WO PCT/US2022/026675 patent/WO2022147582A2/en active Application Filing
-
2023
- 2023-11-06 US US18/502,943 patent/US20240080316A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4327505A2 (en) | 2024-02-28 |
| WO2022147582A3 (en) | 2022-09-15 |
| US20240080316A1 (en) | 2024-03-07 |
| WO2022147582A2 (en) | 2022-07-07 |
| KR20230172603A (ko) | 2023-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10943005B2 (en) | Secure authentication of devices for internet of things | |
| CN108781366B (zh) | 用于5g技术的认证机制 | |
| US10887295B2 (en) | System and method for massive IoT group authentication | |
| US9240881B2 (en) | Secure communications for computing devices utilizing proximity services | |
| US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
| US11375367B2 (en) | System and method for deriving a profile for a target endpoint device | |
| CN108012264B (zh) | 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案 | |
| KR101499367B1 (ko) | 릴레이 노드 관리 및 인가를 위한 방법 및 장치 | |
| EP3657835B1 (en) | Access method of user equipment, user equipment and computer-readable storage medium | |
| US10694376B2 (en) | Network authentication method, network device, terminal device, and storage medium | |
| US11582233B2 (en) | Secure authentication of devices for Internet of Things | |
| US10588019B2 (en) | Secure signaling before performing an authentication and key agreement | |
| US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
| KR20150139602A (ko) | 보안화 피어-투-피어 및 그룹 통신들 | |
| KR20160078426A (ko) | 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치 | |
| CN109479193B (zh) | 通信系统、订户信息管理设备、信息获取方法、非暂时性计算机可读介质和通信终端 | |
| KR20150051568A (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
| CN116391378A (zh) | 使用验证数字标识的订阅入网 | |
| JP2022043175A (ja) | コアネットワークへの非3gpp装置アクセス | |
| CN114245372B (zh) | 一种认证方法、装置和系统 | |
| CN117203935A (zh) | 用于在按需网络中进行设置、认证、授权和用户设备(ue)密钥生成和分发的方法和装置 | |
| RU2779029C1 (ru) | Доступ не отвечающего спецификациям 3gpp устройства к базовой сети |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231215 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231215 |