JP6065124B2 - Ueのmtcグループに対するブロードキャストにおけるグループ認証 - Google Patents
Ueのmtcグループに対するブロードキャストにおけるグループ認証 Download PDFInfo
- Publication number
- JP6065124B2 JP6065124B2 JP2015546273A JP2015546273A JP6065124B2 JP 6065124 B2 JP6065124 B2 JP 6065124B2 JP 2015546273 A JP2015546273 A JP 2015546273A JP 2015546273 A JP2015546273 A JP 2015546273A JP 6065124 B2 JP6065124 B2 JP 6065124B2
- Authority
- JP
- Japan
- Prior art keywords
- group
- gateway
- res
- rand
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Description
本発明は、ブロードキャストにおけるMTC(Machine−Type Communication)のグループ認証のためのセキュリティ・ソリューションに関する。
MTCの3GPP(3rd Generation Partnership Project)アーキテクチャが、非特許文献1に開示されている。
なお、本願において、“UE(User Equipment)”との用語は、MTC及びサービスに対応したUEに対して使用される。説明全体に亘って、“MTC UE”及び“MTCデバイス”との文言は同義である。
3GPP TS 23.682、"Architecture enhancements to facilitate communications with packet data networks and applications (Release 11)"、V11.2.0、2012年9月
3GPP TS 33.401、"3GPP System Architecture Evolution(SAE); Security architecture (Release 12)"、V12.5.1、2012年10月
本願の発明者らは、MTC UEに対し次の通りに幾つかの課題があることを見出した。
1)同時発生する認証が、ネットワークへ過負荷を掛け得る。
2)MTC UEは、個別にだけでは無くグループメンバとしても、ネットワークに対する相互認証を有する必要がある。
3)ネットワークキーが、グループメッセージ交換を保護するために必要である。
1)同時発生する認証が、ネットワークへ過負荷を掛け得る。
2)MTC UEは、個別にだけでは無くグループメンバとしても、ネットワークに対する相互認証を有する必要がある。
3)ネットワークキーが、グループメッセージ交換を保護するために必要である。
従って、本発明の目的は、少なくとも、ブロードキャストによりグループ認証を行って、ネットワーク使用量を抑えることにある。
上記の目的を達成するため、本発明に対し、次の通りに幾つかの前提及び事前設定を行う。
1)SCS(Service Capability Server)は、外部グループID(identifier)を知見しており、外部グループIDを用いて、グループをアクティブ化し、MTC UEのグループと通信することが可能である。
2)UEは、自身が属し且つこれを介して通信するローカルグループID、及びグループキーKgrを用いて事前設定される。
3)グループGW(gateway)は、Kgr及びKgwを用いて設定される。Kgr及びKgwを、同一のキーとすることが可能である。
4)HSS(Home Subscriber Server)は、契約(subscription)に関連したデータ、(オプションとして)グループIDを含むホワイトリスト(whitelist)、及びグループに属するUE IDを記憶する。
1)SCS(Service Capability Server)は、外部グループID(identifier)を知見しており、外部グループIDを用いて、グループをアクティブ化し、MTC UEのグループと通信することが可能である。
2)UEは、自身が属し且つこれを介して通信するローカルグループID、及びグループキーKgrを用いて事前設定される。
3)グループGW(gateway)は、Kgr及びKgwを用いて設定される。Kgr及びKgwを、同一のキーとすることが可能である。
4)HSS(Home Subscriber Server)は、契約(subscription)に関連したデータ、(オプションとして)グループIDを含むホワイトリスト(whitelist)、及びグループに属するUE IDを記憶する。
なお、本願の説明において、MME(Mobility Management Entity)を一例として用いるが、SGSN(Serving GPRS(General Packet Radio Service) Support Node)及びMSC(Mobile Switching Centre)に対するメカニズムも同様にすべきである。
UEに設定されるグループキーKgrは、3GPP通信用のルートキーKから導出可能であるか、或いは他のキーであり得る。
HSSは、同一のKgr及びKgwを記憶する。HSSは、キーを用いてXRES(Expected Response)を算出し、非特許文献2と同様にして、XRESをMMEへ送信することが可能である。
グループGWは、特許文献1の独立した発明において提案されている。グループGWは、グループメッセージを受信して、MTCデバイスへ送信する。グループGWは、任意のネットワークノードへインストールされる論理機能であるか、又はネットワークにおける若しくはUE側へインストールされる独立したノードであり得る。
本発明によれば、上述した課題の少なくとも一つを解決し、以て少なくとも、ブロードキャストによりグループ認証を行って、ネットワーク使用量を抑えることが可能である。
以下、本発明の実施の形態を、図面を参照して説明する。
本実施の形態においては、大略、ネットワーク使用量を抑えるべく、ブロードキャストによりグループ認証を実行するネットワークのための2つのソリューションを提案する。
図1に示すように、本実施の形態に係る通信システムは、コアネットワーク(3GPPネットワーク)と、RAN(Radio Access Network)を介してコアネットワークへ接続する複数のMTC UE 10と、を含む。図示を省略するが、RANは、複数の基地局(すなわち、eNB(evolved Node Bs))によって形成される。
MTC UE 10は、コアネットワークへアタッチする。MTC UE 10は、1又は複数のMTCアプリケーションをホスト(host)することが可能である。対応MTCアプリケーションは、SCS 60上でホストされる。SCS 60は、コアネットワークへ接続して、MTC UE 10と通信する。
また、コアネットワークは、ネットワークノードとして、MME 30と、HSS 40と、MTC−IWF(MTC Inter−Working Function) 50とを含む。MTC−IWF 50は、SCS 60に対するコアネットワークへのゲートウェイとして機能する。HSS 40は、MTC UE 10_1〜10_n(n≧2)のグループに関する契約(subscription)情報を記憶する。MME 30、並びにSGSN及びMSCは、MTC UE 10とMTC−IWF 50との間でトラヒックを中継する。
さらに、図2〜図4の各々に示すグループGW 20は、MTC UE 10に対するコアネットワークへのゲートウェイとして機能する。グループGW 20は、コアネットワーク又はRAN内に設置される独立ノードであっても良いし、或いはeNB、MME、SGSN、MSC、HSS又はMTC−IWFへインストールされる論理機能であっても良い。
次に、本実施の形態における動作を、図2〜図4を参照して説明する。図2〜図4は、ネットワークがブロードキャストメッセージを送信することにより、如何にして認証を実行可能にするかについての詳細なメッセージシーケンスを説明するものである。
図2に示すように、以下のステップS1〜S3が、グループ認証に先立って実行される。
S1:SCS 60は、MTC−IWF 50に対して、activate groupとのトリガタイプを有し、外部グループID、SCS ID及びトリガIDを含むトリガを送信する。
S2:MTC−IWF 50は、特定のグループ用の必要情報、例えばルーティング情報を検索する。
具体的には、MTC−IWF 50は、非特許文献1に開示されるメッセージを再利用して、外部グループID、active group requestとのインジケーション及び送信元SCS IDを含むSubscriber Information Requestを送信する。HSS 40は、外部グループIDが有効か否か、このグループに利用可能なデータは在るか否か、SCSがグループのアクティブ化をトリガ可能であるか否か、グループにマッピングされたローカルグループIDが既に存在するか否かについての検証を行う。適切な検証の後、HSS 40は、ローカルグループID及びサービング(serving) MMEを含むSubscriber Information Responseメッセージを、MTC−IWF 50へ送信する。オプションとして、HSS 40が検証に必要な情報を送信し、MTC−IWF 50が検証を行う。
S3:MTC−IWF 50は、ローカルグループID及びbroadcastとのトリガ方法を含むトリガメッセージを、MME 30へ転送する。
図3に示すように、MME 30がauthentication requestをグループGW 20へブロードキャストする場合、以下のステップS4〜S16が実行される。
S4:MME 30は、HSS 40から、UE契約データ、(オプションである)ホワイトリスト(whitelist)、及びKgwにより算出されたXRESを検索する。
S5:MME 30は、GWに対する認証を示し、ローカルグループIDと、RAND(random number)及びAUTN(authentication token)を含むAV(authentication vector)とを有するトリガをブロードキャストする。
S6:グループGW 20は、ローカルグループIDと一致するものを有する場合、自身に設定されたキーKgwを用いて、RANDに関するRES(authentication response)を算出する。
S7:グループGW 20は、RESをMME 30へ送信し、オプションとして、whitelist requestを送信する。
S8:MME 30は、XRESをチェックすることにより、RESを検証する。
S9:ステップS8で検証に通過(pass)した場合、MME 30は、(オプションである)ホワイトリストを含むbroadcast ACKをグループGW 20へ送信して、グループGW 20がブロードキャストメッセージをUE 10へ送信可能である旨を指示する。
S10:グループGW 20は、グループID及びRAND値を含むAuthentication Requestを、UE 10へブロードキャストする。
S11:MTC UE 10_1〜10_nの各々は、Authentication Requestを受信すると、以下のステップS11a及びS11bの如く、Authentication Requestに含まれるグループIDを検証する。
S11a:異なるグループIDを有するUEは、ブロードキャストを無視する。
S11b:同一のグループIDが設定されたUEは、事前設定されたKgrを用いてRESを算出し、またAUTNをチェックする。
S12:UEは、RESを含むAuthentication Responseを、グループGW 20へ送信する。
S13:グループGW 20は、RESをチェックし、UE IDが有効であるかホワイトリストと照合する(ホワイトリストの照合はオプションである)。
S14:グループGW 20は、認証したUE IDを含むauthentication reportを、MME 30へ送信する。
S15:MME 30は、UEがグループメンバとして認証されたことを確認する。
S16:MME 30は、もしあれば、認証失敗をMTC−IWF 50へ報告し、MTC−IWF 50が、この認証失敗をSCS 60へ転送することができる。
或いは、図4に示すように、MME 30がauthentication requestをUE 10へブロードキャストする場合、以下のステップS24〜S29が実行される。
S24:MME 30は、HSS 40から、UE契約データ、(オプションである)ホワイトリスト、並びに(Kgrにより算出された)XRES1、(Kasme(Key Access Security Management Entity)により算出された)XRES2を検索する。
S25:MME 30は、ローカルグループIDと、RAND及びAUTNを含むAVとを有するAuthentication Requestを、UE 10へブロードキャストする。
S26:同一のグループIDを有するUEは、AUTNをチェックし、事前設定されたグループキーKgrを用いてRES1を算出し、3GPP AKA(Authentication and Key Agreement)手順と同様にKasmeを用いてRES2を算出する。
S27:UEは、RES1及びRES2を含むAuthentication Responseを、MME 30へ送信する。
S28:MME 30は、RES1及びRES2を、XRES1及びXRES2と照合することによって検証する。よって、MME 30は、UEを、1)RES1を検証することによりグループメンバとして、2)RES2を検証することにより個別に認証できる。
S29:MME 30は、もしあれば、認証失敗をMTC−IWF 50へ報告し、MTC−IWF 50が、この認証失敗をSCS 60へ転送することができる。
なお、上記のステップで説明した通り、ホワイトリストはオプションとすることができる。
次に、本実施の形態に係るMTC UE 10、グループGW 20及びMME 30の構成例を、図5〜図7を参照して説明する。なお、SGSN及びMSCは、MME 30と同様に構成できる。また、以降の説明においては、本実施の形態に特有の構成要素のみを記載する。但し、当然のことながら、MTC UE 10、グループGW 20及びMME 30は、それぞれ、一般的なMTC UE、ゲートウェイ及びMMEとして機能するための構成要素も含む。
図5に示すように、MTC UE 10は、少なくとも、コアネットワークとグループメンバとの間の相互認証のためのグループキーKgrを記憶する記憶部11、を含む。図3に示した動作を実行する場合、MTC UE 10は、受信部12、算出部13及び送信部14を含むことができる。図3のステップS10に示したように、受信部12は、グループGW 20から、RAND等を含むAVを受信する。ステップS11に示したように、算出部13は、グループキーKgrを用いて、RANDに関するRESを算出する。ステップS12に示したように、送信部14は、RESをグループGW 20へ送信する。一方、図4に示した動作を実行する場合、受信部12は、MME 30から、RANDを含むAVを受信する。図4のステップS26に示したように、算出部13は、グループキーKgrを用いてRES1を算出し、Kasmeを用いてRES2を算出する。ステップS27に示したように、送信部14は、RES1及びRES2をMME 30へ送信する。なお、これらのユニット11〜14は、例えば、RANを介してコアネットワークと通信するトランシーバと、このトランシーバを制御するCPU(Central Processing Unit)等のコントローラと、トランシーバ及び/又はコントローラにより使用されるメモリと、で構成できる。
図6に示すように、グループGW 20は、少なくとも、グループキーKgr及びKgwを記憶可能な記憶部21、を含む。グループGW 20は、受信部22、算出部23、送信部24、ブロードキャスト部25、認証部26及び報告部27を含むことができる。図3のステップS5に示したように、受信部22は、MME 30から、RAND等を含むAVを受信する。ステップS6に示したように、算出部23は、グループキーKgwを用いて、RANDに関するRESを算出する。ステップS7に示したように、送信部24は、RESをMME 30へ送信する。ステップS10に示したように、ブロードキャスト部25は、RAND等を含むAVを、MTC UE 10_1〜10_nへブロードキャストする。ステップS13に示したように、認証部26は、MTC UE 10_1〜10_nの各々から受信したRESをチェックすることによって、MTC UE 10_1〜10_nの各々を認証する。ステップS14に示したように、報告部27は、認証したMTC UEのIDをMME 30へ報告する。なお、これらのユニット21〜27は、バス等を介して相互接続される。これらのユニット21〜27は、例えば、MTC UE 10と通信するトランシーバと、MME 30と通信するトランシーバと、これらのトランシーバを制御するCPU等のコントローラと、トランシーバ及び/又はコントローラにより使用されるメモリと、で構成できる。
図7に示すように、MME 30は、少なくとも判定部31を含む。例えば、判定部31は、図3のステップS5〜S9に示した動作を実行し、以てグループGW 20にAuthentication RequestメッセージをMTC UE 10_1〜10_nへブロードキャストすることを許可するか否か判定する。この場合、MMEは、ブロードキャスト部32及び受信部33を含むことができる。ステップS5に示したように、ブロードキャスト部32は、RAND等を含むAVをグループGW 20へブロードキャストする。ステップS7に示したように、受信部33は、グループGW 20から、RANDに関するRESを受信する。ステップS8に示したように、判定部31は、判定に際して、RESを検証する。図4に示した動作を実行する場合、MME 30は、認証部34をさらに含むことができる。この場合、図4のステップS25に示したように、ブロードキャスト部32は、RAND等を含むAVをMTC UE 10_1〜10_nへブロードキャストする。ステップS27に示したように、受信部33は、MTC UE 10_1〜10_nの各々から、RES1及びRES2を受信する。ステップS28に示したように、認証部34は、RES1及びRES2を検証することによって、MTC UE 10_1〜10_nの各々を、グループメンバとして且つ個別に認証する。なお、これらのユニット31〜34は、バス等を介して相互接続される。これらのユニット31〜34は、例えば、RANを介してMTC UE 10と通信するトランシーバと、このトランシーバを制御するCPU等のコントローラと、で構成できる。
上記の説明に基づき、次の通りに、ソリューションが3GPP TR 33.868へ提案されるであろう。
UEは、グループメンバとして通信するために、1)(33.401に記載されるよう)個別に且つ2)グループメンバとしてネットワークに対し認証されるべきである。2)に関して、現行のTRは、5.7.4.4に、グループ認証の2つのオプションを示している。しかしながら、如何にして認証を実行可能にするかは、未だ提案されていない。
ネットワークは、UEのグループを同時に認証する必要があり得て、またUEを個別に認証する必要もあり得る。本書では、種々のケースにおいて、グループ認証のためのソリューションを議論する。
[1].同一グループの全てのUEに対する同時認証
例えば、SCSがUEのグループを初めてアクティブ化し且つ設定する場合、或いはSCSがネットワークへ再接続される場合、ネットワークは、同時にグループ認証を実行する必要があり得る。このことは、ネットワークに、UEを一つずつ認証することに代えて、認証を実行するための効率的な手段を有することを要求する(この時、UEは、ネットワークに対し既に認証されていても、認証されていなくても良い)。
例えば、SCSがUEのグループを初めてアクティブ化し且つ設定する場合、或いはSCSがネットワークへ再接続される場合、ネットワークは、同時にグループ認証を実行する必要があり得る。このことは、ネットワークに、UEを一つずつ認証することに代えて、認証を実行するための効率的な手段を有することを要求する(この時、UEは、ネットワークに対し既に認証されていても、認証されていなくても良い)。
1)ブロードキャストメッセージにおける認証
UE認証のAKA手順において、AVはUE毎に異なる。しかしながら、MTCグループに関しては、同一グループのUEが同一のグループID及びグループキーを共有し、以てAVがグループメンバのUE全てに対し同一であり得る。
UE認証のAKA手順において、AVはUE毎に異なる。しかしながら、MTCグループに関しては、同一グループのUEが同一のグループID及びグループキーを共有し、以てAVがグループメンバのUE全てに対し同一であり得る。
ネットワークが、グループID及びRESを含むAuthentication RequestメッセージをターゲットグループのUEへブロードキャストすることを提案する。UEは、グループキーと、自身が属するローカルグループIDとを用いて事前設定される。詳細を、以下に説明する。
1.MMEは、UE契約データ及び認証用のAVを検索する。
2.MMEは、グループID及びAVを含むAuthentication Requestを、ターゲットグループのUEへ向けてブロードキャストする。
3.同一のグループIDを記憶するUEは、自身に事前設定されたグループキーKgrを用いてRES1を算出し、既にKasmeを有している場合、Kasmeを用いてRES2を算出する。
4.UEは、RES1及び(オプションである)RES2を含むAuthentication Responseを送信する。
5.MMEは、自身で検索したXRES1及びXRES2を用いて、RES1及び(オプションである)RES2をチェック可能である。
2.MMEは、グループID及びAVを含むAuthentication Requestを、ターゲットグループのUEへ向けてブロードキャストする。
3.同一のグループIDを記憶するUEは、自身に事前設定されたグループキーKgrを用いてRES1を算出し、既にKasmeを有している場合、Kasmeを用いてRES2を算出する。
4.UEは、RES1及び(オプションである)RES2を含むAuthentication Responseを送信する。
5.MMEは、自身で検索したXRES1及びXRES2を用いて、RES1及び(オプションである)RES2をチェック可能である。
注記:グループキーKgrは、認証目的のものである。このキーKgrは、後述するグループメッセージ交換のためのグループキーとは異なる。
2)連結メッセージにおける認証
上記のソリューションは、MMEにグループ認証の責任を負うことを要求するものであり、UEが同一の期間にAuthentication Responseを送信する場合に、MMEへ過負荷を掛け得る。オプションは、(TR 23.887、節8.1.3.3に記載される)UE GWを用いて、認証用のメッセージを中継することである。
上記のソリューションは、MMEにグループ認証の責任を負うことを要求するものであり、UEが同一の期間にAuthentication Responseを送信する場合に、MMEへ過負荷を掛け得る。オプションは、(TR 23.887、節8.1.3.3に記載される)UE GWを用いて、認証用のメッセージを中継することである。
UE GWが、MME及びUEから/へ連結されたメッセージを受信し且つ分配することを提案する。MMEは、全てのグループメンバに対するAuthentication Requestメッセージを含む連結されたAuthentication Requestを送信する。UE GWは、メッセージをターゲットUEへ分配し、UEからAuthentication Responseメッセージを受信した場合には、連結されたAuthentication ResponseをMMEへ送信できる。
[2].UEに対する個別認証
同時にアクティブ化されない又はアクティブ化できないグループメンバが存在し得るか、或いはUEが既存グループへ加入する。ネットワークは、グループの特徴(features)をブロードキャストする。一致する特徴を有するデバイスは、グループへの加入要求を送信することによって、ブロードキャストへ応答できる。そして、ネットワークは、UEに対する認証を実行できる。
同時にアクティブ化されない又はアクティブ化できないグループメンバが存在し得るか、或いはUEが既存グループへ加入する。ネットワークは、グループの特徴(features)をブロードキャストする。一致する特徴を有するデバイスは、グループへの加入要求を送信することによって、ブロードキャストへ応答できる。そして、ネットワークは、UEに対する認証を実行できる。
[3].SCS承認(authorization)
TR 23.887、節8.1.3.2.1.1のステップ2及び3は、SCS承認に使用でき、必ずしもMBMSベースのグループメッセージ交換のみとは限らない。
TR 23.887、節8.1.3.2.1.1のステップ2及び3は、SCS承認に使用でき、必ずしもMBMSベースのグループメッセージ交換のみとは限らない。
[4].他のメッセージからのグループメッセージの区別
グループメッセージ中のグループIDは、グループメッセージを他のメッセージから区別するために使用できる。
グループメッセージ中のグループIDは、グループメッセージを他のメッセージから区別するために使用できる。
[5].グループメッセージ保護(及びキー管理)
グループメッセージに対するコンフィデンシャリティ(confidentiality:機密性)、インテグリティ(integrity:完全性)及びリプレイ保護を提供するため、コンフィデンシャリティ・キー及びインテグリティ・キーを含む一対のグループキーを提案する。
グループメッセージに対するコンフィデンシャリティ(confidentiality:機密性)、インテグリティ(integrity:完全性)及びリプレイ保護を提供するため、コンフィデンシャリティ・キー及びインテグリティ・キーを含む一対のグループキーを提案する。
一対のグループキーは、HSSで導出して、MMEへ送信することができる。UEがグループメンバとしてネットワークに対し認証された後、MMEは、UEに対してグループキーを、NASメッセージ、例えばNAS SMCメッセージ又はAttach Acceptメッセージにおいて送信できる。送信の間、グループキーは、そのコンフィデンシャル及びインテグリティがNASセキュリティコンテキストで保護されるべきである。(TR 23.887に記載されるUE GWのような)グループGWを配置する場合、グループGWは、グループキーを連結メッセージにおいて分配できる。
UEとSCSとの間のエンド・ツー・エンド(end−to−end)なセキュリティのみが必要な場合、一対のグループキーをUE及びSCSの間で共有できる。MTC−IWFのようなネットワークエレメントは、保護されたグループメッセージを転送するのみである。
グループGWが、グループメッセージをブロードキャスト又はマルチキャストする出発点であり、eNB、MME又はMTC−IWF上に配置可能であるとすると、一対のグループキーは、UE及びグループGWの間で共有できる。グループGWとSCSの間を転送するグループメッセージは、IPsec又は他の既存のネットワークセキュリティソリューションによって保護できる。グループGWは、グループキーを用いてグループメッセージを保護し、グループメッセージをターゲットグループUEへブロードキャスト/マルチキャストする。
出願人の過去の特許出願において、グループキーを、HSS又はGWで導出して、1)UE及びGWの間、2)UE及びSCSの間、並びに3)UE、GW及びSCSの間で共有できる。
[6].ローカルグループID
外部グループ識別子及びローカルグループ識別子は、TR 23.887の節8.4.3に記載されている。
外部グループ識別子及びローカルグループ識別子は、TR 23.887の節8.4.3に記載されている。
なお、本発明は、上記の実施の形態によって限定されるものではなく、特許請求の範囲の記載に基づき、当業者によって種々の変更が可能なことは明らかである。
上記の実施の形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)
UEは、グループ認証のために、グループキーKgrを用いて設定される。
UEは、グループ認証のために、グループキーKgrを用いて設定される。
(付記2)
グループGWは、グループ認証のために、グループキーKgr及びオプションとしてKgwを用いて設定される。
グループGWは、グループ認証のために、グループキーKgr及びオプションとしてKgwを用いて設定される。
(付記3)
MMEは、グループ認証用のトリガをグループGWへブロードキャストし、このトリガは、ローカルグループID及びAV(RAND、AUTN)を含む。
MMEは、グループ認証用のトリガをグループGWへブロードキャストし、このトリガは、ローカルグループID及びAV(RAND、AUTN)を含む。
(付記4)
グループGWは、事前設定されたキーKgwを用いて応答RESを算出し、このキーKgwは、グループキーKgrと同一にすることが可能である。
グループGWは、事前設定されたキーKgwを用いて応答RESを算出し、このキーKgwは、グループキーKgrと同一にすることが可能である。
(付記5)
MMEは、グループGWから受信したRESを検証することによって、グループを認証する。
MMEは、グループGWから受信したRESを検証することによって、グループを認証する。
(付記6)
グループGWは、Authentication RequestをUEへブロードキャストし、このAuthentication Requestは、ローカルグループID及びAVを含む。
グループGWは、Authentication RequestをUEへブロードキャストし、このAuthentication Requestは、ローカルグループID及びAVを含む。
(付記7)
グループGWは、UEから受信したRESと、設定されたKgrを用いて同一のRANDに関し算出した値とを比較することによって、UEを認証する。
グループGWは、UEから受信したRESと、設定されたKgrを用いて同一のRANDに関し算出した値とを比較することによって、UEを認証する。
(付記8)
グループGWは、認証したUE IDをMMEへ報告する。
グループGWは、認証したUE IDをMMEへ報告する。
(付記9)
MMEは、ローカルグループID及びAVを含むAuthentication Requestを、UEへブロードキャストする。
MMEは、ローカルグループID及びAVを含むAuthentication Requestを、UEへブロードキャストする。
(付記10)
UEは、受信したRANDに関する2つの応答を算出し、応答の一つは、事前設定されたグループキーKgrを用いたグループ認証のためのものであり、応答の他の一つは、Kasmeを用いた個別認証のためのものである。
UEは、受信したRANDに関する2つの応答を算出し、応答の一つは、事前設定されたグループキーKgrを用いたグループ認証のためのものであり、応答の他の一つは、Kasmeを用いた個別認証のためのものである。
(付記11)
UEは、2つの応答(RES1及びRES2)を含むAuthentication Responseを送信する。
UEは、2つの応答(RES1及びRES2)を含むAuthentication Responseを送信する。
(付記12)
MMEは、UEから受信した2つの応答を検証することによって、UEに関するグループメンバとして且つ個別の認証を同時に実行する。
MMEは、UEから受信した2つの応答を検証することによって、UEに関するグループメンバとして且つ個別の認証を同時に実行する。
この出願は、2013年1月10日に出願された日本出願特願2013−002982を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10, 10_1〜10_n MTC UE
11, 21 記憶部
12, 22, 33 受信部
13, 23 算出部
14, 24 送信部
20 グループGW
25, 32 ブロードキャスト部
26, 34 認証部
27 報告部
30 MME
31 判定部
40 HSS
50 MTC−IWF
60 SCS
11, 21 記憶部
12, 22, 33 受信部
13, 23 算出部
14, 24 送信部
20 グループGW
25, 32 ブロードキャスト部
26, 34 認証部
27 報告部
30 MME
31 判定部
40 HSS
50 MTC−IWF
60 SCS
Claims (5)
- ネットワークを介してサーバと通信するMTCデバイスのグループと、
前記MTCデバイスに対する前記ネットワークへのゲートウェイと、
前記ゲートウェイと前記サーバとの間でトラヒックを中継し、前記ネットワークを形成しているネットワークノードと、を備え、
前記ネットワークノードは、少なくとも第1のRAND(random number)を含むAV(authentication vector)を、前記ゲートウェイへブロードキャストし、
前記ゲートウェイは、第1のグループキー及び第2のグループキーを記憶しており、前記第2のグループキーを用いて、前記第1のRANDに関する第1のRES(authentication response)を算出して、前記算出した第1のRESをホワイトリスト要求に含めて前記ネットワークノードへ送信し、
前記ネットワークノードは、前記ゲートウェイから送信された第1のRESを検証することにより、前記ゲートウェイを認証し、該認証が成功したときに、前記ホワイトリスト要求に対応するホワイトリストを含み且つ前記ゲートウェイによる前記MTCデバイスのグループについての認証処理の実行を許可するメッセージを前記ゲートウェイに送信し、
前記ゲートウェイは、前記メッセージを受信すると、少なくとも第2のRANDを含むAVを、前記MTCデバイスに向けてブロードキャストし、
前記グループの各MTCデバイスは、前記第1のグループキーを記憶しており、前記第1のグループキーを用いて、前記第2のRANDに関する第2のRESを算出して、前記算出した第2のRESを前記ゲートウェイへ送信し、
前記ゲートウェイは、前記第1のグループキーを用いて、前記第2のRANDに関する第2のRESを算出し、前記算出した第2のRESと一致する第2のRESの送信元MTCデバイスの識別情報のうちで、前記ホワイトリストにエントリされている識別情報と一致するものを前記ネットワークノードに報告する、
ことを特徴とする通信システム。 - ネットワークを介してサーバと通信するMTCデバイスのグループに対する、前記ネットワークへのゲートウェイであって、
第1のグループキー及び第2のグループキーを記憶する記憶手段と、
前記ゲートウェイと前記サーバとの間でトラヒックを中継し且つ前記ネットワークを形成している、ネットワークノードから送信された、少なくとも第1のRANDを含むAVを受信する受信手段と、
前記第2のグループキーを用いて、前記第1のRANDに関する第1のRESを算出する算出手段と、
前記算出された第1のRESをホワイトリスト要求に含めて前記ネットワークノードへ送信する送信手段と、
を備えたゲートウェイ。 - 前記受信手段は、前記ネットワークノードにおいて前記第1のRESを検証することにより前記ゲートウェイの認証に成功したとき、前記ネットワークノードから送信され、前記ホワイトリスト要求に対応するホワイトリストを含み、且つ、前記ゲートウェイによる前記MTCデバイスのグループについての認証処理の実行を許可する、メッセージを受信し、
前記ゲートウェイは、
前記メッセージが受信されたときに、少なくとも第2のRANDを含むAVを、前記MTCデバイスに向けてブロードキャストするブロードキャスト手段と、
前記MTCデバイスの各々から受信した、前記第2のRANDに関する第2のRESと、前記算出手段によって前記第1のグループキーを用いて算出された、前記第2のRANDに関する第2のRESとを比較することによって、前記MTCデバイスの各々を認証する認証手段と、
をさらに備えた、
請求項2記載のゲートウェイ。 - 前記認証手段による前記比較において前記受信された第2のRESと一致する第2のRESの送信元MTCデバイスの識別情報のうちで、前記ホワイトリストにエントリされている識別情報と一致するものを、前記ネットワークノードへ報告する報告手段、
をさらに備えた請求項3に記載のゲートウェイ。 - ネットワークを介してサーバと通信するMTCデバイスのグループと、前記MTCデバイスに対する前記ネットワークへのゲートウェイと、前記ゲートウェイと前記サーバとの間でトラヒックを中継し、前記ネットワークを形成しているネットワークノードとを備える通信システムのための方法であって、
前記ネットワークノードは、少なくとも第1のRANDを、前記ゲートウェイへブロードキャストし、
前記ゲートウェイは、第1のグループキー及び第2のグループキーを記憶しており、前記第2のグループキーを用いて、前記第1のRANDに関する第1のRESを算出して、前記算出した第1のRESをホワイトリスト要求に含めて前記ネットワークノードへ送信し、
前記ネットワークノードは、前記ゲートウェイから送信された第1のRESを検証することにより、前記ゲートウェイを認証し、該認証が成功したときに、前記ホワイトリスト要求に対応するホワイトリストを含み且つ前記ゲートウェイによる前記MTCデバイスのグループについての認証処理の実行を許可するメッセージを前記ゲートウェイに送信し、
前記ゲートウェイは、前記メッセージを受信すると、少なくとも第2のRANDを含むAVを、前記MTCデバイスに向けてブロードキャストし、
前記グループの各MTCデバイスは、前記第1のグループキーを記憶しており、前記第1のグループキーを用いて、前記第2のRANDに関する第2のRESを算出して、前記算出した第2のRESを前記ゲートウェイへ送信し、
前記ゲートウェイは、前記第1のグループキーを用いて、前記第2のRANDに関する第2のRESを算出し、前記算出した第2のRESと一致する第2のRESの送信元MTCデバイスの識別情報のうちで、前記ホワイトリストにエントリされている識別情報と一致するものを前記ネットワークノードに報告する、
ことを特徴とした方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015546273A JP6065124B2 (ja) | 2013-01-10 | 2013-12-04 | Ueのmtcグループに対するブロードキャストにおけるグループ認証 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013002982 | 2013-01-10 | ||
| JP2013002982 | 2013-01-10 | ||
| JP2015546273A JP6065124B2 (ja) | 2013-01-10 | 2013-12-04 | Ueのmtcグループに対するブロードキャストにおけるグループ認証 |
| PCT/JP2013/083272 WO2014109168A2 (en) | 2013-01-10 | 2013-12-04 | GROUP AUTHENTICATION IN BROADCASTING FOR MTC GROUP OF UEs |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016501488A JP2016501488A (ja) | 2016-01-18 |
| JP6065124B2 true JP6065124B2 (ja) | 2017-01-25 |
Family
ID=49885352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015546273A Active JP6065124B2 (ja) | 2013-01-10 | 2013-12-04 | Ueのmtcグループに対するブロードキャストにおけるグループ認証 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20150358816A1 (ja) |
| EP (1) | EP2944107A2 (ja) |
| JP (1) | JP6065124B2 (ja) |
| KR (1) | KR20150103734A (ja) |
| CN (1) | CN105144766A (ja) |
| WO (1) | WO2014109168A2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104581704B (zh) * | 2013-10-25 | 2019-09-24 | 中兴通讯股份有限公司 | 一种实现机器类通信设备间安全通信的方法及网络实体 |
| CN104936306B (zh) * | 2014-03-17 | 2020-01-14 | 中兴通讯股份有限公司 | Mtc设备组小数据安全传输连接建立方法、hss与系统 |
| JP6425107B2 (ja) * | 2015-09-24 | 2018-11-21 | 日本電気株式会社 | 通信処理システム、グループメッセージ処理方法、通信処理装置およびその制御方法と制御プログラム |
| CN106899923A (zh) * | 2015-12-18 | 2017-06-27 | 阿尔卡特朗讯 | 一种用于实现mtc组消息传送的方法与设备 |
| US10887295B2 (en) * | 2016-10-26 | 2021-01-05 | Futurewei Technologies, Inc. | System and method for massive IoT group authentication |
| US10136305B2 (en) * | 2016-12-01 | 2018-11-20 | At&T Intellectual Property I, L.P. | Method and apparatus for using mobile subscriber identification information for multiple device profiles for a device |
| CN108513296A (zh) * | 2018-02-23 | 2018-09-07 | 北京信息科技大学 | 一种mtc架构的切换认证方法及系统 |
| JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
| US10924893B2 (en) * | 2019-04-16 | 2021-02-16 | Verizon Patent And Licensing Inc. | Group message delivery using multicast |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143491B (zh) * | 2010-01-29 | 2013-10-09 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
| KR101824987B1 (ko) * | 2010-02-11 | 2018-02-02 | 엘지전자 주식회사 | 이동통신 시스템에서의 다운링크 mtc 데이터 전송 방법 |
| WO2011098993A1 (en) * | 2010-02-15 | 2011-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | M2m group based addressing using cell broadcast service |
| EP2369890A1 (en) * | 2010-03-26 | 2011-09-28 | Panasonic Corporation | Connection peak avoidance for machine-type-communication (MTC) devices |
| CN102215474B (zh) * | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| US9450928B2 (en) * | 2010-06-10 | 2016-09-20 | Gemalto Sa | Secure registration of group of clients using single registration procedure |
| WO2012018130A1 (en) | 2010-08-05 | 2012-02-09 | Nec Corporation | Group security in machine-type communication |
| WO2012097883A1 (en) * | 2011-01-17 | 2012-07-26 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for authenticating a communication device |
| US20120252481A1 (en) * | 2011-04-01 | 2012-10-04 | Cisco Technology, Inc. | Machine to machine communication in a communication network |
| WO2012159272A1 (en) * | 2011-05-26 | 2012-11-29 | Nokia Corporation | Performing a group authentication and key agreement procedure |
| JP2013002982A (ja) | 2011-06-17 | 2013-01-07 | Sanyo Electric Co Ltd | 案内情報出力装置 |
| CN102843233B (zh) * | 2011-06-21 | 2017-05-31 | 中兴通讯股份有限公司 | 一种机器到机器通信中组认证的方法和系统 |
| KR101860440B1 (ko) * | 2011-07-01 | 2018-05-24 | 삼성전자주식회사 | 기기 간 통신 시스템에서 멀티캐스트 데이터 암호화 키 관리 방법, 장치 그리고 시스템 |
| FR2990094A1 (fr) * | 2012-04-26 | 2013-11-01 | Commissariat Energie Atomique | Methode et systeme d'authentification des noeuds d'un reseau |
| CN104396283A (zh) * | 2012-06-29 | 2015-03-04 | 日本电气株式会社 | 用于m2m中的基于组的特征的安全性的更新 |
| US9241364B2 (en) * | 2012-07-03 | 2016-01-19 | Telefonaktiebolaget L M Ericsson (Publ) | Method for revocable deletion of PDN connection |
-
2013
- 2013-12-04 KR KR1020157021171A patent/KR20150103734A/ko not_active Application Discontinuation
- 2013-12-04 US US14/760,319 patent/US20150358816A1/en not_active Abandoned
- 2013-12-04 WO PCT/JP2013/083272 patent/WO2014109168A2/en active Application Filing
- 2013-12-04 EP EP13814653.5A patent/EP2944107A2/en not_active Withdrawn
- 2013-12-04 JP JP2015546273A patent/JP6065124B2/ja active Active
- 2013-12-04 CN CN201380070144.8A patent/CN105144766A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| KR20150103734A (ko) | 2015-09-11 |
| WO2014109168A2 (en) | 2014-07-17 |
| JP2016501488A (ja) | 2016-01-18 |
| CN105144766A (zh) | 2015-12-09 |
| EP2944107A2 (en) | 2015-11-18 |
| WO2014109168A3 (en) | 2014-09-18 |
| US20150358816A1 (en) | 2015-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6065124B2 (ja) | Ueのmtcグループに対するブロードキャストにおけるグループ認証 | |
| KR101675088B1 (ko) | Mtc에서의 네트워크와의 상호 인증 방법 및 시스템 | |
| JP2016502767A (ja) | Mtcのためのグループ認証及びキー管理 | |
| EP2421292B1 (en) | Method and device for establishing security mechanism of air interface link | |
| JP6632713B2 (ja) | 直接通信キーの確立のための方法および装置 | |
| EP2529566B1 (en) | Efficient terminal authentication in telecommunication networks | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| US10271208B2 (en) | Security support method and system for discovering service and group communication in mobile communication system | |
| KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
| CN102934470A (zh) | 用于在通信系统中将订户认证与设备认证绑定的方法和装置 | |
| WO2011091751A1 (zh) | 对mtc设备的认证方法、mtc网关及相关设备 | |
| JP2016500977A (ja) | Ue及びネットワーク両者でのキー導出のためのmtcキー管理 | |
| CN101951590B (zh) | 认证方法、装置及系统 | |
| WO2012174959A1 (zh) | 一种机器到机器通信中组认证的方法、系统及网关 | |
| US8842832B2 (en) | Method and apparatus for supporting security in muliticast communication | |
| EP3446538A1 (en) | System and method for device identification and authentication | |
| US10382955B2 (en) | Security method and system for supporting prose group communication or public safety in mobile communication | |
| KR102119586B1 (ko) | 통신 네트워크를 통해 데이터를 릴레이하는 시스템 및 방법 | |
| JP2017098986A (ja) | Mtcのためのシステム、コアネットワーク、及び方法 | |
| JP2024507208A (ja) | セルラネットワークを動作させるための方法 | |
| CN101867931A (zh) | 实现无线通信系统中的非接入层的装置和方法 | |
| CN1997212A (zh) | 无线通信网络中实现位置更新的方法 | |
| CN116918300A (zh) | 用于操作蜂窝网络的方法 | |
| CN116830533A (zh) | 用于分发多播加密密钥的方法和设备 | |
| CN103249030A (zh) | 业务签约信息处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160420 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160510 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160630 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161122 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161205 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6065124 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |