JP6372622B2 - ユーザ装置、iopsを確立する方法 - Google Patents
ユーザ装置、iopsを確立する方法 Download PDFInfo
- Publication number
- JP6372622B2 JP6372622B2 JP2017551401A JP2017551401A JP6372622B2 JP 6372622 B2 JP6372622 B2 JP 6372622B2 JP 2017551401 A JP2017551401 A JP 2017551401A JP 2017551401 A JP2017551401 A JP 2017551401A JP 6372622 B2 JP6372622 B2 JP 6372622B2
- Authority
- JP
- Japan
- Prior art keywords
- iops
- enb
- isolated
- utran
- user device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/90—Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、モバイル通信システム及びモバイル通信方法に関し、特に、バックホールの接続が無いセキュリティに関する。
現在のアーキテクチャでは、例えば、非特許文献1,2に開示されているように、Isolated E−UTRAN(Evolved Universal Terrestrial Radio Access Network)は、EPC(Evolved Packet Core)との接続が無い、又は、EPCとの制限されたバックホール接続がある(with none or limited backhaul connection to EPC)、1以上の(N)eNB((Nomadic) Evolved Node B)を含む。(N)eNBは互いに接続されてIsolated E−UTRANを形成する。
ユーザデータ通信は、Isolated E−UTRANにおける1つのeNBを介して、ローカルにルーティング(routed locally)される。UE(User Equipment:ユーザ装置)は、eNB配下の他のUEに通知されても良い。制限されたバックホールで他のeNBへのUEの移動が発生しても良い。PS(Public Safety)可能なUE(PS enabled UE)(以下、適宜“PS UE”と称す)は、Isolated E−UTRANのエリアに参加/離脱(join/leave)することができる。
3GPP TS 22.346, "Isolated Evolved Universal Terrestrial Radio Access Network (E-UTRAN) operation for public safety; Stage 1 (Release 13)", V13.0.0, 2014-09
3GPP TR 22.897, "Study on Isolated Evolved Universal Terrestrial Radio Access Network (E-UTRAN) Operation for Public Safety (Release 13)", V13.0.0, 2014-06
しかし、この出願の発明者等は、Isolated E−UTRANがEPCへのバックホール無しで動作するケースでは、例えば、以下の脅威(a)〜(f)の可能性があることを見出した。
(a)認証されていないUE(Un-authenticated UE)がIsolated E−UTRANに参加する
(b)認可されていないUE(Un-authorized UE)がIsolated E−UTRANの用法(usage)を使用して、同じエリアの他のUEと通信する
(c)過負荷、eNBへのDoS(Denial of Service)攻撃
(d)傍受、UEと(N)eNBとの間の通信へのMitM(Man in the Middle)攻撃
(e)セッションハイジャック
(f)UEが盗用(盗み見)される(UE being stolen)
(a)認証されていないUE(Un-authenticated UE)がIsolated E−UTRANに参加する
(b)認可されていないUE(Un-authorized UE)がIsolated E−UTRANの用法(usage)を使用して、同じエリアの他のUEと通信する
(c)過負荷、eNBへのDoS(Denial of Service)攻撃
(d)傍受、UEと(N)eNBとの間の通信へのMitM(Man in the Middle)攻撃
(e)セッションハイジャック
(f)UEが盗用(盗み見)される(UE being stolen)
バックホールの接続が無いため、現在のセキュリティメカニズムは適用されない。
そこで、本発明の目的は、バックホールの接続が無いセキュリティを改良する解決法を提供することにある。
上述の目的を達成するために、本発明の態様は、UEがバックホールの接続無しでIsolated E−UTRANに参加及び離脱するときに、UEの認証(authentication)及び認可(authorization)を行うためのモバイル通信システム及びモバイル通信方法の詳細を提供する。MME(Mobility Management Entity)の代わりに、eNBがUEの認証及び認可を行っても良い。(N)eNBは、認可されたPS UEのリストをローカルに管理しても良い。
本発明によれば、バックホールの接続が無いセキュリティを改良する解決法を提供し、それにより、例えば、上述の脅威の少なくとも1つを解決することが可能となる。
以下、本発明に係るモバイル通信システム及びモバイル通信方法の実施の形態について、添付図面を参照して説明する。
図1に示されるように、この実施の形態に係るモバイル通信システムは、EPC(不図示)へのバックホール無しで動作するケースに対処するものである。このモバイル通信システムは、1つ以上のUE10_1〜10_3(以下、適宜、まとめて符号10で示す)と、1つ以上のeNB20_1及び20_2(以下、適宜、まとめて符号20で示す)と、を含む。なお、図1には3つのUE及び2つのeNBが示されているが、モバイル通信システムは、3つよりも少ない又は多い数のUEと、2つよりも少ない又は多い数のeNBと、を備えても良い。このようなケースでも、以下の説明は、同様に適用可能である。
eNB20_1及び20_2は、互いに接続されて、Isolated E−UTRAN1を形成する。eNB20_1及び20_2の各々は、UE10_1〜10_3の少なくとも1つのためのNeNBとしての役割を持つことが可能であり、UE10_1〜10_3の間のユーザデータ通信をローカルにルーティングする。
次に、この実施の形態の動作例について、図2〜図4を参照して説明する。
1.準備(Preparation)
(N)eNB20及びUE10は、UEの認証用の必要情報(necessary information)が必要であり、これを以下の方法の内の1つを用いることで取得することが可能である。
1)NeNB20は、NeNB20がEPCに接続されたときに、必要情報を予め設定したり、(例えば、MMEから)必要情報を受信したりすることが可能である。UE10は、NeNB20と同様に、必要情報を予め設定することが可能である。
2)UE10がアタッチしていた以前のeNBがNeNB20の近隣に位置し、そのeNBがNeNB20に接続可能であれば、NeNB20は、そのeNBからのUEセキュリティコンテキストをリクエストする。
3)誰もが検証(verify)可能なキーで参加することができるようにする。この共有されたキーは、UE10及び(N)eNB20の双方に提供される必要がある。
(N)eNB20及びUE10は、UEの認証用の必要情報(necessary information)が必要であり、これを以下の方法の内の1つを用いることで取得することが可能である。
1)NeNB20は、NeNB20がEPCに接続されたときに、必要情報を予め設定したり、(例えば、MMEから)必要情報を受信したりすることが可能である。UE10は、NeNB20と同様に、必要情報を予め設定することが可能である。
2)UE10がアタッチしていた以前のeNBがNeNB20の近隣に位置し、そのeNBがNeNB20に接続可能であれば、NeNB20は、そのeNBからのUEセキュリティコンテキストをリクエストする。
3)誰もが検証(verify)可能なキーで参加することができるようにする。この共有されたキーは、UE10及び(N)eNB20の双方に提供される必要がある。
2.PS UEがIsolated E−UTRANに参加する
UE10がIsolated E−UTRAN1に参加するときに、(N)eNB20は、まず、UE10がパブリックセーフティ(public safety)可能なUEであるかどうかを検証し、UE10がパブリックセーフティ可能でなければ、参加リクエストを拒否(reject)する。(N)eNB20は、リクエストをしてきたUE10がパブリックセーフティ可能なUEである場合にのみ、認証プロシージャを開始する。UE10が認証されれば、(N)eNB20は、AS(Access Stratum)セキュリティセットアッププロシージャ等で、UE10とのセキュアな接続をセットアップする。
UE10がIsolated E−UTRAN1に参加するときに、(N)eNB20は、まず、UE10がパブリックセーフティ(public safety)可能なUEであるかどうかを検証し、UE10がパブリックセーフティ可能でなければ、参加リクエストを拒否(reject)する。(N)eNB20は、リクエストをしてきたUE10がパブリックセーフティ可能なUEである場合にのみ、認証プロシージャを開始する。UE10が認証されれば、(N)eNB20は、AS(Access Stratum)セキュリティセットアッププロシージャ等で、UE10とのセキュアな接続をセットアップする。
2.1.PS UEがIsolated E−UTRANに最初に参加する
UE10及びNeNB20には、IOPS(Isolated E-UTRAN Operations for Public Safety)グループID(identifier:識別子)及び関連するグループキーが予め設定されていると仮定する。また、NeNB20は、許可されたIOPSグループ(allowed IOPS group)のリストを格納する。
UE10及びNeNB20には、IOPS(Isolated E-UTRAN Operations for Public Safety)グループID(identifier:識別子)及び関連するグループキーが予め設定されていると仮定する。また、NeNB20は、許可されたIOPSグループ(allowed IOPS group)のリストを格納する。
具体的には、図2に示されるステップS10において、パブリックセーフティ可能なUE10には、Isolated E−UTRAN1への認証用の認証情報(credential)が予め設定されている。(N)eNB20は、この(N)eNB20が属するIsolated E−UTRAN1にアクセス可能なUEの許可されたIOPSグループのリストを格納する。UE10及び(N)eNB20の双方は、このIsolated E−UTRAN1用のグループIDに関連するIOPSグループキーを格納する。
ステップS11において、NeNB20は、自身の“Isolated Mode”というステータスを、NeNB IDと共にブロードキャストする。NeNB20は、UE10が検証可能な署名(signature)と共に、ブロードキャストすることが可能である。ブロードキャストはオプションである。
ステップS12において、UE10は、アタッチリクエストメッセージ(Attach Request message)を(N)eNB20に送信する。
UE10が“Isolated Mode”のブロードキャストを受信しなければ、UE10は、1)保護されていないIMSI(International Mobile Subscriber Identity)を含むアタッチリクエストを、又は、2)NAS(Non-Access Stratum)で保護されたGUTI(Globally Unique Temporary Identity)を含むアタッチリクエストを、送信する。その後、以下のステップS13a及びS13bが実行される。
UE10が“Isolated Mode”のブロードキャストを受信すれば、UE10は、自身のIOPS ID及びグループIDと共に、アタッチリクエストメッセージを送信する。このメッセージは、IOPSグループキーで保護されている。
ステップS13aにおいて、(N)eNB20は、NASメッセージを読み取ることができないため、IOPS識別子リクエストメッセージ(IOPS Identity Request message)をUE10に送信することにより、IOPS識別子をリクエストする。ステップS13bにおいて、UE10は、IOPS識別子レスポンスメッセージ(IOPS Identity Response message)でIOPSグループIDを送信する。このメッセージは、IOPSグループキーで保護されている。
ステップS14において、(N)eNB20は、UE10がパブリックセーフティ可能なUEでありかつIOPSサービスへのアクセスが許可されているかどうかを検証する。この検証は、1)許可されたUEリスト(allowed UE list)に対するIOPSグループIDのチェック、2)IOPSグループキーを使用することによるメッセージの完全性検証(integrity verification)によって、行われる。
検証が成功すれば、(N)eNB20は、フレッシュ値、そのフレッシュ値からのセッションキー、及びIOPSグループキーを生成し、現在のUEリストをアップデートする。
ステップS15において、(N)eNB20は、セッションキー導出用のアルゴリズムID(alg-ID)及びフレッシュ値と現在のUEリストと共に、アタッチアクセプトメッセージ(Attach Accept message)を、UE10へ送信する。アタッチアクセプトメッセージは、セッションキーで完全性保護がなされている。
ステップS16において、UE10は、受信されたalg−ID及びフレッシュ値を使用して、セッションキーを生成する。このようにして、UE10は、メッセージの完全性及びNeNBの信頼性(authenticity)を検証することができる。
ステップS17において、UE10及び(N)eNB20は、セキュアな通信を開始する。
2.2.PS UEが以前にIsolated E−UTRANに参加していた
UE10が、ある(N)eNBに以前にアタッチしていたと仮定する。以前のNeNB ID又はその(N)eNBにより割り当てられたトークン(token)は、新規の(N)eNBへのアタッチリクエストメッセージに挿入することが可能である。
UE10が、ある(N)eNBに以前にアタッチしていたと仮定する。以前のNeNB ID又はその(N)eNBにより割り当てられたトークン(token)は、新規の(N)eNBへのアタッチリクエストメッセージに挿入することが可能である。
具体的には、図3に示されるステップS20において、UE10は、以前の(N)eNB20_1にアタッチする。
ステップS21において、UE10は、新規のNeNB20_2にアタッチリクエストメッセージを送信する。UE10は、このメッセージに、以前のNeNB ID又は以前のNeNB20_1に割り当てられたトークンを、挿入することが可能である。
ステップS22aにおいて、新規の(N)eNB20_2が十分な(sufficient)UE情報を持っていなければ、(N)eNB20_2は、UE10が以前にアタッチしていた(N)eNB20_1にUEコンテキストリクエストメッセージ(UE Context Request message)を送信することにより、以前の(N)eNB20_1とコンタクトを取り、ステップS22bにおいて、以前の(N)eNB20_1が近隣に位置していれば、(N)eNB20_1から受信されたUEコンテキストレスポンスメッセージ(UE Context Response message)で必要なUE情報を取り出す(retrieve)。
アタッチリクエストメッセージにトークンが挿入されていれば、新規の(N)eNB20_2は、そのトークンを検証して、UE10を認証することができる。
ステップS23において、UE10及び新規のNeNB20_2はセキュリティを確立する。
ステップS24において、新規のNeNB20_2は、alg−ID、フレッシュ値、及び現在のUEリストと共に、アタッチアクセプトメッセージを、UE10に送信する。
3.PS UEがIsolated E−UTRANを離脱する
UE10がIsolated E−UTRAN1を離脱していれば、(N)eNB20は、PS UEリストをアップデートし、このアップデートされたリストを最新のリストとして使用して、その最新のリストに応じたUE認可を実行する。
UE10がIsolated E−UTRAN1を離脱していれば、(N)eNB20は、PS UEリストをアップデートし、このアップデートされたリストを最新のリストとして使用して、その最新のリストに応じたUE認可を実行する。
具体的には、図4に示されるステップS31において、UE10は、デタッチリクエストメッセージ(Detach Request message)を(N)eNB20に送信する。
ステップS32において、(N)eNB20は、上述のキーを除去(remove)し、PS UEリストをアップデートする。
ステップS33において、(N)eNB20は、デタッチアクセプトメッセージ(Detach Accept message)をUE10に送信する。
なお、本発明は、上述の実施の形態に限られたものではなく、請求項の記述に基づいて当業者が様々な変更をすることができることは明らかである。
上述の実施の形態の全部又は一部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
メッセージフロー自体は新規である。
(付記2)
(N)eNBは、認可されたPS UEがIsolated E−UTRANに参加又は離脱するときに、PS UEリストをアップデートする。
(付記3)
(N)eNBは、予め設定された認証情報に基づいて、UEの認証を実行する。
(付記4)
(N)eNBは、UEが以前にアタッチしていた(N)eNBから情報を取り出す。
(付記5)
(N)eNBは、予め設定されたIOPSグループキーに基づいて、UEとのセキュアな接続を確立する。
メッセージフロー自体は新規である。
(付記2)
(N)eNBは、認可されたPS UEがIsolated E−UTRANに参加又は離脱するときに、PS UEリストをアップデートする。
(付記3)
(N)eNBは、予め設定された認証情報に基づいて、UEの認証を実行する。
(付記4)
(N)eNBは、UEが以前にアタッチしていた(N)eNBから情報を取り出す。
(付記5)
(N)eNBは、予め設定されたIOPSグループキーに基づいて、UEとのセキュアな接続を確立する。
この出願は、2014年12月22日に出願された日本特許出願2014−259141を基礎とする優先権を主張し、その開示の全てをここに取り込む。
1 Isolated E−UTRAN
10,10_1〜10_3 UE
20,20_1,20_2 (N)eNB
10,10_1〜10_3 UE
20,20_1,20_2 (N)eNB
Claims (4)
- バックホールの接続無しで無線アクセスネットワークに接続可能なユーザ装置であって、
IOPS(Isolated E-UTRAN Operations for Public Safety)用のキーと、
IOPS用の識別子と、を備え、
前記IOPS用のキーと前記IOPS用の識別子とを含む認証情報(Credential)を用いて認証されることを特徴とするユーザ装置。 - 請求項1に記載のユーザ装置であって、
前記ユーザ装置は、前記IOPSに係るサービスにアクセスすることを特徴とするユーザ装置。 - バックホールの接続無しで無線アクセスネットワークに接続可能なユーザ装置のためにIOPS(Isolated E-UTRAN Operations for Public Safety)を確立する方法であって、
前記ユーザ装置が、IOPS用のキーとIOPS用の識別子とを備え、
前記ユーザ装置が、前記IOPS用のキーと前記IOPS用の識別子とを含む認証情報(Credential)を用いて認証されることを特徴とする方法。 - 請求項3に記載の前記IOPSを確立する方法であって、さらに
前記ユーザ装置は、前記IOPSに係るサービスにアクセスすることを特徴とする方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014259141 | 2014-12-22 | ||
| JP2014259141 | 2014-12-22 | ||
| PCT/JP2015/006342 WO2016103671A1 (en) | 2014-12-22 | 2015-12-21 | Mobile communication system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018505629A JP2018505629A (ja) | 2018-02-22 |
| JP6372622B2 true JP6372622B2 (ja) | 2018-08-15 |
Family
ID=55182519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017551401A Active JP6372622B2 (ja) | 2014-12-22 | 2015-12-21 | ユーザ装置、iopsを確立する方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20170353856A1 (ja) |
| JP (1) | JP6372622B2 (ja) |
| WO (1) | WO2016103671A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101903560B1 (ko) * | 2015-01-26 | 2018-10-04 | 후지쯔 가부시끼가이샤 | 무선 통신 시스템, 기지국 및 단말기 |
| US10142956B2 (en) * | 2015-12-23 | 2018-11-27 | Acer Incorporated | Apparatuses and methods for providing assistance information for calls under isolated E-UTRAN operation for public safety (IOPS) |
| US11696250B2 (en) * | 2016-11-09 | 2023-07-04 | Intel Corporation | UE and devices for detach handling |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015166099A1 (en) * | 2014-05-02 | 2015-11-05 | Koninklijke Kpn N.V. | Method and system for providing security from a radio access network |
-
2015
- 2015-12-21 US US15/538,484 patent/US20170353856A1/en not_active Abandoned
- 2015-12-21 JP JP2017551401A patent/JP6372622B2/ja active Active
- 2015-12-21 WO PCT/JP2015/006342 patent/WO2016103671A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| US20170353856A1 (en) | 2017-12-07 |
| JP2018505629A (ja) | 2018-02-22 |
| WO2016103671A1 (en) | 2016-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11388594B2 (en) | Mutual authentication between wireless access devices | |
| JP6732095B2 (ja) | 異種ネットワークのための統一認証 | |
| CN102395130B (zh) | 一种lte中鉴权的方法 | |
| JP5977834B2 (ja) | ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント | |
| US20130163762A1 (en) | Relay node device authentication mechanism | |
| CN101552986B (zh) | 一种流媒体业务的接入认证方法及系统 | |
| JP2017535998A5 (ja) | ||
| CN102158860B (zh) | 无线节点入网方法、系统及中继节点 | |
| EP3219069A1 (en) | Method to authenticate peers in an infrastructure-less peer-to-peer network | |
| WO2012031510A1 (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| US10218514B2 (en) | Remote verification of attributes in a communication network | |
| Vanhoef et al. | Operating channel validation: Preventing multi-channel man-in-the-middle attacks against protected Wi-Fi networks | |
| JP5888715B2 (ja) | モバイル端末のハンドオーバを実行する方法及びシステム、並びに無線セルラ通信ネットワークにおいて用いるように意図されたモバイル端末 | |
| EP3513538B1 (en) | A blacklist management method for ibc-based distributed authentication framework | |
| CN104683343B (zh) | 一种终端快速登录WiFi热点的方法 | |
| KR20170074328A (ko) | 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체 | |
| JP6372622B2 (ja) | ユーザ装置、iopsを確立する方法 | |
| Bauer et al. | Mitigating evil twin attacks in 802.11 | |
| CN102088699A (zh) | 一种基于信任列表的系统及方法 | |
| WO2015154555A1 (zh) | 一种数字证书的状态处理方法、装置及系统 | |
| Zisiadis et al. | Enhancing WPS security | |
| CN101909052A (zh) | 一种家庭网关认证方法和系统 | |
| US20140331303A1 (en) | Apparatus and method for authenticating access of a mobile station in a wireless communication system | |
| CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
| CN106714159B (zh) | 网络接入控制方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180619 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180702 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6372622 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |