JP6598225B2 - モバイル通信方法、装置、およびデバイス - Google Patents

モバイル通信方法、装置、およびデバイス Download PDF

Info

Publication number
JP6598225B2
JP6598225B2 JP2018553275A JP2018553275A JP6598225B2 JP 6598225 B2 JP6598225 B2 JP 6598225B2 JP 2018553275 A JP2018553275 A JP 2018553275A JP 2018553275 A JP2018553275 A JP 2018553275A JP 6598225 B2 JP6598225 B2 JP 6598225B2
Authority
JP
Japan
Prior art keywords
nas
mme
message
security mode
mac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018553275A
Other languages
English (en)
Other versions
JP2019501608A (ja
Inventor
▲ジン▼ ▲陳▼
▲チ▼ 李
林 舒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2019501608A publication Critical patent/JP2019501608A/ja
Application granted granted Critical
Publication of JP6598225B2 publication Critical patent/JP6598225B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/125Protection against power exhaustion attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Description

本発明は、モバイル通信技術、詳細には、モバイル通信方法、装置、およびデバイスに関する。
モバイル通信の接続手順において、ユーザ機器(UE)は、発展型ノードB(eNB)を使用することによって接続要求メッセージをモビリティ管理エンティティ(MME)へ送信する。接続要求メッセージは、ネットワーク能力およびセキュリティ能力のようなUE能力情報を搬送する。MMEは、受信されたUE能力に従ってUEのためにサービスを提供する。接続要求メッセージが完全性保護を有しない、たとえば、UEが初めてネットワークに登録するシナリオにおいて接続要求メッセージが完全性保護を有しないとき、攻撃者が中間者攻撃を実施して、UEによってMMEへ送信されたUE能力情報を改変する場合、MMEは、改変されたUE能力情報に基づいてUEのためにサービスを提供する。したがって、UEは、おそらく、いくつかのサービスを使用することができない。たとえば、攻撃者は、UE能力情報の中のボイス領域選好およびUE使用設定を除去し、追加更新タイプ-SMSオンリーパラメータを追加する。その結果、UEは、SMSメッセージサービスのみ使用でき、音声呼出しサービスを使用することができない。
本発明の実施形態は、MMEが正しいUE能力情報を取得することを保証するために、モバイル通信方法、装置、およびデバイスを提供する。
第1の態様によれば、本発明の一実施形態は、
モビリティ管理エンティティMMEから非アクセス層NASセキュリティモード・コマンドメッセージをユーザ機器UEによって受信するステップであって、NASセキュリティモード・コマンドメッセージが、MMEによって受信されたUE能力情報を検証するために使用される第1の検証整合情報を搬送する、ステップと、
第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを、UEによって決定するステップと、
MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、NASセキュリティモード完了メッセージをMMEへUEによって送信するステップと、
を含む、モバイル通信方法を提供する。
任意選択で、第1の検証整合情報は、MMEがNASセキュリティモード・コマンドメッセージをUEへ送信する前にMMEによって受信されている接続要求メッセージの第1のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1の非アクセス層メッセージ認証コードNAS-MACをさらに含み、
UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第2のNAS-MACを計算し、
UEは、第2のNAS-MACが第1のNAS-MACと一致するかどうかを決定し、
第2のNAS-MACが第1のNAS-MACと一致する場合、UEは、UEによってMMEへ送信された接続要求メッセージの第2のハッシュ値をハッシュアルゴリズムに従って計算し、
UEは、第2のハッシュ値が第1のハッシュ値と一致するかどうかを決定し、
第2のハッシュ値が第1のハッシュ値と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって返送されるUEセキュリティ能力をさらに含み、
UEは、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し、
それに対応して、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージをMMEへUEによって送信するステップは、
第2のハッシュ値が第1のハッシュ値と一致し、第2のNAS-MACが第1のNAS-MACと一致し、かつMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージをMMEへUEによって送信するステップを含む。
任意選択で、方法は、
第2のハッシュ値、第2のNAS-MAC、およびMMEによって返送されるUEセキュリティ能力のうちの少なくとも1つが検証に失敗する場合、NASセキュリティモード拒否メッセージをMMEへUEによって送信するステップ、または
第2のNAS-MACが第1のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつ第2のハッシュ値が第1のハッシュ値と一致しない場合、NASセキュリティモード完了メッセージをMMEへUEによって送信するステップであって、NASセキュリティモード完了メッセージは、接続要求メッセージを搬送する、ステップ、をさらに含む。
任意選択で、第1の検証整合情報は、MMEによって受信されたUE能力情報の第3のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含み、
UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第4のNAS-MACを計算し、UEは、第4のNAS-MACが第3のNAS-MACと一致するかどうかを決定し、
第4のNAS-MACが第3のNAS-MACと一致する場合、UEは、UEによってMMEへ送信されたUE能力情報の第4のハッシュ値をハッシュアルゴリズムに従って計算し、
UEは、第4のハッシュ値が第3のハッシュ値と一致するかどうかを決定し、
第4のハッシュ値が第3のハッシュ値と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって返送されるUEセキュリティ能力をさらに含み、
UEは、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し、
それに対応して、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージをMMEへUEによって送信するステップは、
第4のハッシュ値が第3のハッシュ値と一致し、第4のNAS-MACが第3のNAS-MACと一致し、かつMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージをMMEへUEによって送信するステップを含む。
任意選択で、方法は、
第4のハッシュ値、第4のNAS-MAC、およびMMEによって返送されるUEセキュリティ能力のうちの少なくとも1つが検証に失敗する場合、NASセキュリティモード拒否メッセージをMMEへUEによって送信するステップ、または
第4のNAS-MACが第3のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつ第4のハッシュ値が第3のハッシュ値と一致しない場合、NASセキュリティモード完了メッセージをMMEへUEによって送信するステップであって、NASセキュリティモード完了メッセージは、UE能力情報を搬送する、ステップ、をさらに含む。
任意選択で、第1の検証整合情報は、MMEによって受信されたUE能力情報であり、NASセキュリティモード・コマンドメッセージは、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第5のNAS-MACをさらに含み、
UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第6のNAS-MACを計算し、
UEは、第6のNAS-MACが第5のNAS-MACと一致するかどうかを決定し、
第6のNAS-MACが第5のNAS-MACと一致する場合、UEは、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定し、
MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
任意選択で、UEは、第6のNAS-MACが第5のNAS-MACと一致するかどうかを決定し、
第6のNAS-MACが第5のNAS-MACと一致する場合、UEは、MMEによって受信されたUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し、
MMEによって受信されたUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、UEは、MMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致するかどうかを決定し、
MMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
任意選択で、方法は、
MMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致しない場合、NASセキュリティモード完了メッセージをMMEへUEによって送信するステップであって、NASセキュリティモード完了メッセージは、UE能力情報を搬送する、ステップ、をさらに含む。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第7のNAS-MACを含み、
UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第8のNAS-MACを計算し、
UEは、第8のNAS-MACが第7のNAS-MACと一致するかどうかを決定し、
第8のNAS-MACが第7のNAS-MACと一致する場合、UEは、MMEによって受信されたUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し、
MMEによって受信されたUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信し、ここで、NASセキュリティモード完了メッセージは、第2の検証整合情報、およびNASセキュリティモード完了メッセージのNAS-MACを搬送する。
任意選択で、第2の検証整合情報は、
UEによってMMEへ送信された接続要求メッセージのハッシュ値、または
UEによってMMEへ送信されたUE能力情報のハッシュ値を含む。
任意選択で、第2の検証整合情報は、UEのUE能力情報を含む。
任意選択で、NASセキュリティモード完了メッセージをMMEへUEによって送信した後、方法は、
MMEによって送信されたダウンリンクNASトランスポートメッセージをUEによって受信するステップであって、ダウンリンクNASトランスポートメッセージが、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送するステップと、
アップリンク情報転送メッセージをMMEへUEによって送信するステップであって、アップリンク情報転送メッセージが、UE能力情報または接続要求メッセージを搬送する、ステップと、をさらに含む。
任意選択で、NASセキュリティモード完了メッセージをMMEへUEによって送信した後、方法は、
MMEによって送信されたUE情報要求メッセージをUEによって受信するステップであって、UE情報要求メッセージが、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送する、ステップ、をさらに含み、
UEは、UE情報応答メッセージをMMEへ送信し、ここで、UE情報応答メッセージは、UE能力情報または接続要求メッセージを搬送する。
第2の態様によれば、本発明の一実施形態は、
UEが、第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定し、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、UEが、NASセキュリティモード完了メッセージをMMEへ送信するように、NASセキュリティモード・コマンドメッセージをUEへMMEによって送信するステップであって、NASセキュリティモード・コマンドメッセージは、第1の検証整合情報を搬送する、ステップ、を含む、モバイル通信方法を提供する。
任意選択で、第1の検証整合情報は、MMEによって受信された接続要求メッセージの第1のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1の非アクセス層メッセージ認証NAS-MACをさらに含む。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力をさらに含む。
任意選択で、方法は、
UEによって生成されたNASセキュリティモード・コマンドメッセージの第2のNAS-MACが第1のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつUEによって生成された接続要求メッセージの第2のハッシュ値が第1のハッシュ値と一致しないとき、UEによって送信されたNASセキュリティモード完了メッセージをMMEによって受信するステップであって、NASセキュリティモード完了メッセージは、接続要求メッセージを搬送する、ステップ、をさらに含む。
任意選択で、第1の検証整合情報は、MMEによって受信されたUE能力情報の第3のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含む。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力をさらに含む。
任意選択で、方法は、
UEによって生成されたNASセキュリティモード・コマンドメッセージの第4のNAS-MACが第3のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつUEによって生成されたUE能力情報の第4のハッシュ値が第3のハッシュ値と一致しないとき、UEによって送信されたNASセキュリティモード完了メッセージをMMEによって受信するステップであって、NASセキュリティモード完了メッセージは、UE能力情報を搬送する、ステップ、をさらに含む。
任意選択で、第1の検証整合情報は、MMEによって受信されたUE能力情報であり、NASセキュリティモード・コマンドメッセージは、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第5のNAS-MACをさらに含む。
任意選択で、方法は、
UEによって生成されたNASセキュリティモード・コマンドメッセージの第6のNAS-MACが第5のNAS-MACと一致し、MMEによって返送されるUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつMMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致しないとUEが決定するとき、UEによって送信されたNASセキュリティモード完了メッセージをMMEによって受信するステップであって、NASセキュリティモード完了メッセージは、UE能力情報を搬送する、ステップ、をさらに含む。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第7のNAS-MACを含む。
任意選択で、方法は、
UEによって送信されたNASセキュリティモード完了メッセージをMMEによって受信するステップであって、NASセキュリティモード完了メッセージは、第2の検証整合情報、およびNASセキュリティモード完了メッセージのNAS-MACを搬送する、ステップ、をさらに含む。
任意選択で、第2の検証整合情報は、
UEによってMMEへ送信された接続要求メッセージのハッシュ値、または
UEによってMMEへ送信されたUE能力情報のハッシュ値を含む。
任意選択で、第2の検証整合情報は、UEのUE能力情報を含む。
任意選択で、方法は、
MMEによって受信されたUE能力情報がUEによって送信されたものと一致しないとMMEが決定する場合、ダウンリンクNASトランスポートメッセージをUEへMMEによって送信するステップであって、ダウンリンクNASトランスポートメッセージが、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送する、ステップと、
UEによって送信されたアップリンク情報転送メッセージをMMEによって受信するステップであって、アップリンク情報転送メッセージが、UE能力情報または接続要求メッセージを搬送する、ステップと、をさらに含む。
任意選択で、方法は、
MMEによって受信されたUE能力情報がUEによって送信されたものと一致しないとMMEが決定する場合、UE情報要求メッセージをUEへMMEによって送信するステップであって、UE情報要求メッセージが、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送する、ステップと、
UEによって送信されたUE情報応答メッセージをMMEによって受信するステップであって、UE情報応答メッセージが、UE能力情報または接続要求メッセージを搬送する、ステップと、をさらに含む。
第3の態様によれば、本発明の一実施形態は、モバイル通信装置を提供する。装置はUEの中に配備され、
モビリティ管理エンティティMMEから非アクセス層NASセキュリティモード・コマンドメッセージを受信するように構成された受信モジュールであって、NASセキュリティモード・コマンドメッセージが、MMEによって受信されたUE能力情報を検証するために使用される第1の検証整合情報を搬送する、受信モジュールと、
第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定するように構成された検証モジュールと、
MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するとき、NASセキュリティモード完了メッセージをMMEへ送信するように構成された第1の送信モジュールと、を含む。
任意選択で、第1の検証整合情報は、MMEがNASセキュリティモード・コマンドメッセージをUEへ送信する前にMMEによって受信されている接続要求メッセージの第1のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1の非アクセス層メッセージ認証コードNAS-MACをさらに含み、
検証モジュールは、具体的には、
UEによって受信されたNASセキュリティモード・コマンドメッセージの第2のNAS-MACを計算し、
第2のNAS-MACが第1のNAS-MACと一致するかどうかを決定し、
第2のNAS-MACが第1のNAS-MACと一致する場合、UEによってMMEへ送信された接続要求メッセージの第2のハッシュ値をハッシュアルゴリズムに従って計算し、
第2のハッシュ値が第1のハッシュ値と一致するかどうかを決定するように構成され、
第1の送信モジュールは、具体的には、第2のハッシュ値が第1のハッシュ値と一致し、かつ第2のNAS-MACが第1のNAS-MACと一致するとき、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって返送されるUEセキュリティ能力をさらに含み、
検証モジュールは、
MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定するようにさらに構成され、
第1の送信モジュールは、具体的には、
第2のハッシュ値が第1のハッシュ値と一致し、第2のNAS-MACが第1のNAS-MACと一致し、かつMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
任意選択で、第1の送信モジュールは、
第2のハッシュ値、第2のNAS-MAC、およびMMEによって返送されるUEセキュリティ能力のうちの少なくとも1つが検証に失敗する場合、NASセキュリティモード拒否メッセージをMMEへ送信するようにさらに構成され、または
第2のNAS-MACが第1のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつ第2のハッシュ値が第1のハッシュ値と一致しない場合、NASセキュリティモード完了メッセージをMMEへ送信するようにさらに構成され、ここで、NASセキュリティモード完了メッセージは、接続要求メッセージを搬送する。
任意選択で、第1の検証整合情報は、MMEによって受信されたUE能力情報の第3のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含み、
検証モジュールは、具体的には、
UEによって受信されたNASセキュリティモード・コマンドメッセージの第4のNAS-MACを計算し、
第4のNAS-MACが第3のNAS-MACと一致するかどうかを決定し、
第4のNAS-MACが第3のNAS-MACと一致する場合、UEによってMMEへ送信されたUE能力情報の第4のハッシュ値をハッシュアルゴリズムに従って計算し、
第4のハッシュ値が第3のハッシュ値と一致するかどうかを決定するように構成され、
第1の送信モジュールは、具体的には、第4のハッシュ値が第3のハッシュ値と一致する場合、NASセキュリティモード完了メッセージをMMEへUEのために送信するように構成される。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって返送されるUEセキュリティ能力をさらに含み、
検証モジュールは、
MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定するようにさらに構成され、
第1の送信モジュールは、具体的には、
第4のハッシュ値が第3のハッシュ値と一致し、第4のNAS-MACが第3のNAS-MACと一致し、かつMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
任意選択で、第1の送信モジュールは、
第4のハッシュ値、第4のNAS-MAC、およびMMEによって返送されるUEセキュリティ能力のうちの少なくとも1つが検証に失敗する場合、NASセキュリティモード拒否メッセージをMMEへUEのために送信するようにさらに構成され、または
第1の送信モジュールは、第4のNAS-MACが第3のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつ第4のハッシュ値が第3のハッシュ値と一致しない場合、NASセキュリティモード完了メッセージをMMEへUEのために送信するようにさらに構成され、ここで、NASセキュリティモード完了メッセージは、UE能力情報を搬送する。
任意選択で、第1の検証整合情報は、MMEによって受信されたUE能力情報であり、NASセキュリティモード・コマンドメッセージは、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第5のNAS-MACをさらに含み、
検証モジュールは、具体的には、
UEによって受信されたNASセキュリティモード・コマンドメッセージの第6のNAS-MACを計算し、
第6のNAS-MACが第5のNAS-MACと一致するかどうかをUEのために決定し、
MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定するように構成され、
第1の送信モジュールは、具体的には、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
任意選択で、検証モジュールは、具体的には、
第6のNAS-MACが第5のNAS-MACと一致するかどうかを決定し、
第6のNAS-MACが第5のNAS-MACと一致する場合、MMEによって受信されたUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し、
MMEによって受信されたUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、MMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致するかどうかをUEのために決定するように構成され、
第1の送信モジュールは、具体的には、MMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
任意選択で、第1の送信モジュールは、
MMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致しない場合、NASセキュリティモード完了メッセージをMMEへ送信するようにさらに構成され、ここで、NASセキュリティモード完了メッセージは、UE能力情報を搬送する。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第7のNAS-MACを含み、
検証モジュールは、具体的には、
UEによって受信されたNASセキュリティモード・コマンドメッセージの第8のNAS-MACを計算し、
第8のNAS-MACが第7のNAS-MACと一致するかどうかを決定し、第8のNAS-MACが第7のNAS-MACと一致する場合、MMEによって受信されたUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定するように構成され、
第1の送信モジュールは、具体的には、MMEによって受信されたUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成され、ここで、NASセキュリティモード完了メッセージは、第2の検証整合情報、およびNASセキュリティモード完了メッセージのNAS-MACを搬送する。
任意選択で、第2の検証整合情報は、
UEによってMMEへ送信された接続要求メッセージのハッシュ値、または
UEによってMMEへ送信されたUE能力情報のハッシュ値を含む。
任意選択で、第2の検証整合情報は、UEのUE能力情報を含む。
任意選択で、受信モジュールは、第1の送信モジュールがNASセキュリティモード完了メッセージをMMEへ送信した後、MMEによって送信されたダウンリンクNASトランスポートメッセージを受信するようにさらに構成され、ここで、ダウンリンクNASトランスポートメッセージは、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送し、
第1の送信モジュールは、アップリンク情報転送メッセージをMMEへ送信するようにさらに構成され、ここで、アップリンク情報転送メッセージは、UE能力情報または接続要求メッセージを搬送する。
任意選択で、受信モジュールは、
第1の送信モジュールがNASセキュリティモード完了メッセージをMMEへ送信した後、MMEによって送信されたUE情報要求メッセージを受信するようにさらに構成され、ここで、UE情報要求メッセージは、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送し、
第1の送信モジュールは、UE情報応答メッセージをMMEへ送信するようにさらに構成され、ここで、UE情報応答メッセージは、UE能力情報または接続要求メッセージを搬送する。
第4の態様によれば、本発明の一実施形態は、モバイル通信装置を提供する。装置はMMEの中に配備され、
UEが、第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定し、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、UEが、NASセキュリティモード完了メッセージをMMEへ送信するように、NASセキュリティモード・コマンドメッセージをUEへ送信するように構成された第2の送信モジュールであって、NASセキュリティモード・コマンドメッセージは、第1の検証整合情報を搬送する、第2の送信モジュールを含む。
任意選択で、第1の検証整合情報は、MMEによって受信された接続要求メッセージの第1のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1の非アクセス層メッセージ認証NAS-MACをさらに含む。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力をさらに含む。
任意選択で、装置は、
UEによって生成されたNASセキュリティモードコマンドの第2のNAS-MACが第1のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつUEによって生成された接続要求メッセージの第2のハッシュ値が第1のハッシュ値と一致しないとき、UEによって送信されたNASセキュリティモード完了メッセージを受信するように構成された第1の受信モジュールであって、NASセキュリティモード完了メッセージは、接続要求メッセージを搬送する、第1の受信モジュールをさらに含む。
任意選択で、第1の検証整合情報は、MMEによって受信されたUE能力情報の第3のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含む。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力をさらに含む。
任意選択で、装置は、
UEによって生成されたNASセキュリティモード・コマンドメッセージの第4のNAS-MACが第3のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつUEによって生成されたUE能力情報の第4のハッシュ値が第3のハッシュ値と一致しないとき、UEによって送信されたNASセキュリティモード完了メッセージを受信するように構成された第2の受信モジュールであって、NASセキュリティモード完了メッセージは、UE能力情報を搬送する、第2の受信モジュールをさらに含む。
任意選択で、第1の検証整合情報は、MMEによって受信されたUE能力情報であり、NASセキュリティモード・コマンドメッセージは、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第5のNAS-MACをさらに含む。
任意選択で、装置は、
UEによって生成されたNASセキュリティモード・コマンドメッセージの第6のNAS-MACが第5のNAS-MACと一致し、MMEによって受信されたUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつMMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致しないとUEが決定するとき、UEによって送信されたNASセキュリティモード完了メッセージを受信するように構成された第3の受信モジュールであって、NASセキュリティモード完了メッセージは、UE能力情報を搬送する、第3の受信モジュールをさらに含む。
任意選択で、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第7のNAS-MACを含む。
任意選択で、装置は、UEによって送信されたNASセキュリティモード完了メッセージを受信するように構成された第4の受信モジュールであって、NASセキュリティモード完了メッセージは、第2の検証整合情報、およびNASセキュリティモード完了メッセージのNAS-MACを搬送する、第4の受信モジュールをさらに含む。
任意選択で、第2の検証整合情報は、
UEによってMMEへ送信された接続要求メッセージのハッシュ値、または
UEによってMMEへ送信されたUE能力情報のハッシュ値を含む。
任意選択で、第2の検証整合情報は、UEのUE能力情報を含む。
任意選択で、第2の送信モジュールは、MMEによって受信されたUE能力情報がUEによって送信されたものと一致しない場合、ダウンリンクNASトランスポートメッセージをUEへ送信するようにさらに構成され、ここで、ダウンリンクNASトランスポートメッセージは、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送し、
第4の受信モジュールは、UEによって送信されたアップリンク情報転送メッセージを受信するようにさらに構成され、ここで、アップリンク情報転送メッセージは、UE能力情報または接続要求メッセージを搬送する。
任意選択で、第2の送信モジュールは、MMEによって受信されたUE能力情報がUEによって送信されたものと一致しないとMMEが決定する場合、UE情報要求メッセージをUEへ送信するようにさらに構成され、ここで、UE情報要求メッセージは、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送し、
第4の受信モジュールは、UEによって送信されたUE情報応答メッセージを受信するようにさらに構成され、ここで、UE情報応答メッセージは、UE能力情報または接続要求メッセージを搬送する。
第5の態様によれば、本発明の一実施形態は、モバイル通信デバイスを提供する。デバイスはUEの中に配備され、
通信インターフェース、メモリ、プロセッサ、および通信バスを含み、ここで、通信インターフェース、メモリ、およびプロセッサは、通信バスを使用することによって通信し、
メモリは、プログラムを記憶するように構成され、プロセッサは、メモリの中に記憶されたプログラムを実行するように構成され、モバイル通信デバイスが動作するとき、プロセッサはプログラムを動作させ、プログラムは、
モビリティ管理エンティティMMEから非アクセス層NASセキュリティモード・コマンドメッセージを受信することであって、NASセキュリティモード・コマンドメッセージが、MMEによって受信されたUE能力情報を検証するために使用される第1の検証整合情報を搬送する、前記受信することと、
第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定することと、
MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信することとを含む。
第6の態様によれば、本発明の一実施形態は、モバイル通信デバイスを提供する。デバイスはMMEの中に配備され、
通信インターフェース、メモリ、プロセッサ、および通信バスを含み、ここで、通信インターフェース、メモリ、およびプロセッサは、通信バスを使用することによって通信し、
メモリは、プログラムを記憶するように構成され、プロセッサは、メモリの中に記憶されたプログラムを実行するように構成され、モバイル通信デバイスが動作するとき、プロセッサはプログラムを動作させ、プログラムは、
UEが、第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定し、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、UEが、NASセキュリティモード完了メッセージをMMEへ送信するように、NASセキュリティモード・コマンドメッセージをUEへ送信することであって、NASセキュリティモード・コマンドメッセージは、第1の検証整合情報を搬送する、前記送信することを含む。
本発明の実施形態における方法によれば、UEは、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを、受信された第1の検証整合メッセージに基づいて検証する。本発明の実施形態では、MMEが正しいUE能力情報を所有することを保証するために、MMEが検証整合メッセージを返送し、UEがMMEによって受信されたUE能力情報を検証することが知られ得る。これは、接続手順において、接続要求メッセージがNASセキュリティコンテキストによって保護されず、攻撃者がUE能力情報を改変することが可能であり、MMEが正しいUE能力情報を取得できないことによって引き起こされる、DoS攻撃問題を解決する。DoSはDenial of Service、すなわち、サービス妨害の略語であり、DoSを引き起こす攻撃挙動はDoS攻撃と呼ばれる。
本発明の実施形態1によるモバイル通信方法のフローチャートである。 本発明の実施形態2によるモバイル通信方法のフローチャートである。 本発明の実施形態3によるモバイル通信方法のフローチャートである。 本発明の実施形態4によるモバイル通信方法のフローチャートである。 本発明の実施形態5によるモバイル通信方法のフローチャートである。 本発明の実施形態6によるモバイル通信方法のフローチャートである。 本発明の実施形態7によるモバイル通信方法のフローチャートである。 本発明の実施形態8によるモバイル通信方法のフローチャートである。 本発明の実施形態9によるモバイル通信方法のフローチャートである。 本発明の実施形態10によるモバイル通信方法のフローチャートである。 本発明の実施形態11によるモバイル通信方法のフローチャートである。 本発明の実施形態12によるモバイル通信方法のフローチャートである。 本発明の実施形態15によるモバイル通信方法のフローチャートである。 本発明の実施形態16によるモバイル通信方法のフローチャートである。 本発明の実施形態1によるモバイル通信装置の概略構造図である。 本発明の実施形態2によるモバイル通信装置の概略構造図である。 本発明の実施形態1によるモバイル通信デバイスの概略構造図である。 本発明の実施形態2によるモバイル通信デバイスの概略構造図である。
図1は、本発明の実施形態1によるモバイル通信方法のフローチャートである。図1に示すように、本発明の実施形態1は、以下のメイン処理ステップを含む。
ステップS11:UEが、MMEから非アクセス層(NAS)セキュリティモード・コマンドメッセージを受信し、ここで、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUE能力情報を検証するために使用される第1の検証整合情報を搬送する。
UEの接続手順において、UEは、eNBを使用することによって接続要求メッセージをMMEへ送信し、ここで、接続要求メッセージは、UE能力情報を搬送する。
具体的には、UE能力情報は、UEネットワーク能力を含み、ここで、UEネットワーク能力は、UEセキュリティ能力、移動局(MS)ネットワーク能力、移動局分類番号2、移動局分類番号3、サポートされるコーデック、追加更新タイプ、ボイス領域選好およびUE使用設定、ならびに移動局ネットワーク機能サポートを含む。
UEによってMMEへ送信される接続要求メッセージが完全性保護を有しないことがあるので、接続要求メッセージは中間者攻撃を受けることがある。したがって、MMEによって受信された接続要求メッセージの中のUE能力情報は、UEによってMMEへ送信されたものと一致しない。その結果、MMEは、正しいUE能力情報を取得することができない。
MMEが正しいUE能力情報を取得できることを保証するために、MMEは、NASセキュリティ起動手順においてNASセキュリティモード・コマンドメッセージを使用することによって、第1の検証整合情報をUEへ送信し、それによって、UEは、第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによって送信されたものと一致するかどうかを決定する。
ステップS12:UEは、第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定する。
ステップS13:MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
本発明のこの実施形態における方法によれば、UEは、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを、受信された第1の検証整合メッセージに基づいて検証する。本発明のこの実施形態では、MMEが正しいUE能力情報を所有することを保証するために、MMEが検証整合メッセージを返送し、UEがMMEによって受信されたUE能力情報を検証することが知られ得る。これは、接続手順において、接続要求メッセージがNASセキュリティコンテキストによって保護されず、攻撃者がUE能力情報を改変することが可能であり、MMEが正しいUE能力を取得できないことによって引き起こされる、DoS攻撃問題を解決する。DoSはDenial of Serviceの略語であり、DoSを引き起こす攻撃挙動はDoS攻撃と呼ばれる。
本発明の実施形態1の上記の方法において、第1の検証整合情報は複数の異なる方式で実施されてよく、具体的な実施形態を参照して以下で説明が提供される。
図2は、本発明の実施形態2によるモバイル通信方法のフローチャートである。この方法では、MMEは、受信された接続要求メッセージに対してハッシュ計算を実行して接続要求メッセージのハッシュ値を取得し、NASセキュリティモード・コマンドメッセージを使用することによって接続要求メッセージのハッシュ値をUEへ送信し、それによって、UEは、接続要求メッセージのハッシュ値を検証して、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたものと一致するかどうかを決定する。図2に示すように、この方法は、以下のメイン処理ステップを含む。
ステップS21:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージの中で搬送される第1の検証整合メッセージは、接続手順において受信された接続要求メッセージの第1のハッシュ値であり、ここで、第1のハッシュ値は、接続要求メッセージに対してハッシュ計算を実行することによりMMEによって取得され、NASセキュリティモード・コマンドメッセージは、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用された(任意選択で搬送される)ハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1の非アクセス層メッセージ認証コード(NAS-MAC)をさらに含む。第1のNAS-MACは、NASセキュリティモード・コマンドメッセージの完全性を保護するために使用される。
さらに、NASセキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される国際モバイル機器識別情報(IMEI)要求、およびアイドル・モバイル・セキュリティ・コンテキストのマッピングのために使用され任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよく、ここで、NONCEUEはUEによって選択される乱数であり、NONCEMMEはMMEによって選択される乱数である。
ステップS22:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第2のNAS-MACを計算する。
このステップにおいて、UEは、送信されるNASセキュリティモード・コマンドメッセージに対してMMEが完全性保護を実行する方式で、UEによって受信されたNASセキュリティモード・コマンドメッセージに対して計算を実行して、第2のNAS-MACを取得する。
NASセキュリティモード・コマンドメッセージが送信手順において中間者攻撃を受けない場合、第1のNAS-MACは第2のNAS-MACと一致する。
ステップS23:UEは、第2のNAS-MACが第1のNAS-MACと一致するかどうかを決定し、第2のNAS-MACが第1のNAS-MACと一致する場合、ステップS24を実行し、または第2のNAS-MACが第1のNAS-MACと一致しない場合、ステップS27を実行する。
ステップS24:UEは、UEによってMMEへ送信された接続要求メッセージの第2のハッシュ値をハッシュアルゴリズムに従って計算する。
UEは、ハッシュアルゴリズムを使用することによって、接続手順においてUEによってMMEへ送信された接続要求メッセージに対してハッシュ計算を実行する。接続手順において接続要求メッセージが中間者攻撃を実行する攻撃者によって改変されていない場合、UEによって計算される第2のハッシュ値は、NASセキュリティモード・コマンドメッセージの中の第1のハッシュ値と一致する。
さらに、本発明のこの実施形態では、接続要求メッセージの長さを短縮し情報送信レートを改善するように、接続要求メッセージのハッシュ値がNASセキュリティモード・コマンドメッセージの中で搬送される。
ステップS25:UEは、第2のハッシュ値が第1のハッシュ値と一致するかどうかを決定し、第2のハッシュ値が第1のハッシュ値と一致する場合、ステップS26を実行し、そうでなければステップS27を実行する。
ステップS26:UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
NASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS27:UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
この実施形態では、UEは、受信されたNASセキュリティモード・コマンドメッセージの完全性、およびMMEによって受信された接続要求メッセージのハッシュ値を検証する。第2のハッシュ値が第1のハッシュ値と一致し、かつ第2のNAS-MACが第1のNAS-MACと一致するとき、UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージが改変されておらず、UE接続手順においてMMEによって受信された接続要求メッセージがUEによってMMEへ送信されたものと一致すると決定し、それによって、MMEによって受信された接続要求メッセージの中のUE能力情報がUEによって送信されたUE能力情報と一致することを保証する。
接続要求メッセージのハッシュ値およびNAS-MACの完全性のうちの少なくとも一方が検証に失敗するとき、それは、MMEによって受信された接続要求メッセージ、およびNASセキュリティモード・コマンドメッセージのうちの少なくとも一方が、攻撃を受けており改変されていることを示す。この場合、UEは、NAS security mode rejectメッセージをMMEへ送信する。
この実施形態では、UEは、MMEの接続要求メッセージのハッシュ値を検証することによって、MMEによって受信されたUE能力情報を検証する。これは、MMEによって受信されたUE能力情報が正しいUE能力情報であることを保証する。
この実施形態では、第1の検証整合メッセージは、従来の仕様においてMMEによってUEセキュリティ能力を返送するために使用される情報要素(IE)を占有することによって送信されてよく、または新たなIEを使用することによって送信されてもよい。
図3は、本発明の実施形態3によるモバイル通信方法のフローチャートである。この方法では、MMEは、NASセキュリティモード・コマンドメッセージを使用することによって、受信されたUEセキュリティ能力、および受信された接続要求メッセージのハッシュ値をUEへ送信し、それによって、UEは、接続要求メッセージのハッシュ値、およびUEセキュリティ能力を検証して、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたものと一致するかどうかを決定する。図3に示すように、この方法は、以下のメイン処理ステップを含む。
ステップS31:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージの中で搬送される第1の検証整合メッセージは、接続手順において受信された接続要求メッセージの第1のハッシュ値であり、ここで、第1のハッシュ値は、MMEが接続要求メッセージに対してハッシュ計算を実行した後に取得され、NASセキュリティモード・コマンドメッセージは、接続手順においてMMEによって受信されたUEセキュリティ能力、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用された(任意選択で搬送される)ハッシュアルゴリズム、MMEとUEの両方によってサポートされる完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1のNAS-MACをさらに含む。第1のNAS-MACは、NASセキュリティモード・コマンドメッセージの完全性を保護するために使用される。
さらに、セキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される[IMEI要求]、および任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよく、ただし、NONCEUEはUEによって選択される乱数であり、NONCEMMEはMMEによって選択される乱数である。
ステップS32:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第2のNAS-MACを計算する。
このステップにおいて、UEは、送信されるNASセキュリティモード・コマンドメッセージに対してMMEが完全性保護を実行する方式で、UEによって受信されたNASセキュリティモード・コマンドメッセージに対して計算を実行して、第2のNAS-MACを取得する。
NASセキュリティモード・コマンドメッセージが送信手順において中間者攻撃を受けない場合、第1のNAS-MACは第2のNAS-MACと一致する。
ステップS33:UEは、第2のNAS-MACが第1のNAS-MACと一致するかどうかを決定し、第2のNAS-MACが第1のNAS-MACと一致する場合、ステップS34を実行し、または第2のNAS-MACが第1のNAS-MACと一致しない場合、ステップS36を実行する。
ステップS34:UEは、UEによってMMEへ送信された接続要求メッセージの第2のハッシュ値をハッシュアルゴリズムに従って計算し、第2のハッシュ値が第1のハッシュ値と一致するかどうか、およびMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し(ハッシュ値の計算、ハッシュ値の決定、およびUEセキュリティ能力の決定の順序は限定されない)、第2のハッシュ値が第1のハッシュ値と一致し、かつMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、ステップS35を実行し、そうでなければステップS36を実行する。
UEは、ハッシュアルゴリズムを使用することによって、接続手順においてUEによってMMEへ送信された接続要求メッセージに対してハッシュ計算を実行し、接続要求メッセージが接続手順において中間者攻撃を実行する攻撃者によって改変されていない場合、UEによって計算される第2のハッシュ値は、NASセキュリティモード・コマンドメッセージの中の第1のハッシュ値と一致する。
さらに、本発明のこの実施形態では、接続要求メッセージの長さを短縮し情報送信レートを改善するように、接続要求メッセージのハッシュ値がNASセキュリティモード・コマンドメッセージの中で搬送される。
ステップS35:UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
NASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS36:UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
本発明のこの実施形態では、UEは、MMEによって受信されたUE能力情報が正しいUE能力情報であることを保証するために、MMEによって受信された接続要求メッセージのハッシュ値、およびUEセキュリティ能力を検証することによって、MMEによって受信されたUE能力を検証する。
本発明のこの実施形態では、第1の検証整合メッセージは、新たなIEを使用することによってのみ送信され得る。
図4は、本発明の実施形態4によるモバイル通信方法のフローチャートである。この方法では、MMEは、NASセキュリティモード・コマンドメッセージを使用することによって、受信されたUEセキュリティ能力、および受信された接続要求メッセージのハッシュ値をUEへ送信し、それによって、UEは、接続要求メッセージのハッシュ値、およびUEセキュリティ能力を検証して、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたものと一致するかどうかを決定する。図4に示すように、この方法は、以下のメイン処理ステップを含む。
ステップS41:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージの中で搬送される第1の検証整合メッセージは、接続手順において受信された接続要求メッセージの第1のハッシュ値であり、ここで、第1のハッシュ値は、MMEが接続要求メッセージに対してハッシュ計算を実行した後に取得され、NASセキュリティモード・コマンドメッセージは、接続手順においてMMEによって受信されたUEセキュリティ能力、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用された(任意選択で搬送される)ハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1のNAS-MACをさらに含む。第1のNAS-MACは、NASセキュリティモード・コマンドメッセージの完全性を保護するために使用される。
さらに、セキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される[IMEI要求]、および任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよく、ここで、NONCEUEはUEによって選択される乱数であり、NONCEMMEはMMEによって選択される乱数である。
ステップS42:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第2のNAS-MACを計算する。
ステップS43:UEは、第2のNAS-MACが第1のNAS-MACと一致するかどうかを決定し、第2のNAS-MACが第1のNAS-MACと一致する場合、ステップS44を実行し、または第2のNAS-MACが第1のNAS-MACと一致しない場合、ステップS48を実行する。
ステップS44:UEは、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、ステップS45を実行し、そうでなければステップS48を実行する。
ステップS45:UEは、第2のハッシュ値が第1のハッシュ値と一致するかどうかを決定し、第2のハッシュ値が第1のハッシュ値と一致する場合、ステップS46を実行し、または第2のハッシュ値が第1のハッシュ値と一致しない場合、ステップS47を実行する。
本発明のこの実施形態では、第2のハッシュ値の計算は、上記の実施形態におけるものと同じであり、詳細はここで再び説明されない。
ステップS46:UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
NASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS47:UEは、NASセキュリティモード完了メッセージをMMEへ送信し、ここで、メッセージは、接続要求メッセージまたはUE能力を搬送する。接続要求メッセージを搬送することに加えて、このステップにおいて送信されるNASセキュリティモード完了メッセージは、さらに、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS48:UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
この実施形態では、UEセキュリティ能力とNAS-MACの両方の完全性が検証に成功した後、UEとMMEとの間にNASセキュリティコンテキストが実際にセットアップされる。したがって、接続要求メッセージのハッシュ値の完全性が検証に失敗するとき、attach requestコンテンツは、完全性保護を有するNAS security mode completeメッセージに再び直接アップロードされる。これは、また、この実施形態と実施形態3との間の差異である。実施形態3において使用される方式は、UE security capabilitiesおよびNAS-MACの完全性が検証に成功し、かつUEとMMEとの間にNASセキュリティコンテキストがセットアップされても、attach requestメッセージのハッシュ値の完全性が検証に失敗する場合、UEは、NAS security mode rejectメッセージを送信する必要がある、ということである。
本発明のこの実施形態では、第1の検証整合メッセージは、新たなIEのみを使用することによって送信され得る。
図5は、本発明の実施形態5によるモバイル通信方法のフローチャートである。この方法では、MMEは、受信されたUE能力情報に対してハッシュ計算を実行してUE能力のハッシュ値を取得し、NASセキュリティモード・コマンドメッセージを使用することによってUE能力情報のハッシュ値をUEへ送信し、それによって、UEは、UE能力のハッシュ値を検証して、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたものと一致するかどうかを決定する。図5に示すように、この方法は、以下のメイン処理ステップを含む。
ステップS51:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージの中で搬送される第1の検証整合メッセージは、接続手順において受信されたUE能力情報の第3のハッシュ値であり、ここで、第3のハッシュ値は、MMEがUE能力情報に対してハッシュ計算を実行した後に取得される。NASセキュリティモード・コマンドメッセージは、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用された(任意選択で搬送される)ハッシュアルゴリズム、MMEとUEの両方によってサポートされる完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含み、ここで、第3のNAS-MACは、NASセキュリティモード・コマンドメッセージの完全性を保護するために使用される。
さらに、セキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される[IMEI要求]、および任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよく、ここで、NONCEUEはUEによって選択される乱数であり、NONCEMMEはMMEによって選択される乱数である。
ステップS52:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第4のNAS-MACを計算する。
このステップにおいて、UEは、送信されるNASセキュリティモード・コマンドメッセージに対してMMEが完全性保護を実行する方式で、UEによって受信されたNASセキュリティモード・コマンドメッセージに対して計算を実行して、第4のNAS-MACを取得する。
NASセキュリティモード・コマンドメッセージが送信手順において中間者攻撃を受けていない場合、第3のNAS-MACは第4のNAS-MACと一致する。
ステップS53:UEは、第4のNAS-MACが第3のNAS-MACと一致するかどうかを決定し、第4のNAS-MACが第3のNAS-MACと一致する場合、ステップS54を実行し、そうでなければステップS57を実行する。
ステップS54:UEは、UEによってMMEへ送信されたUE能力情報の第4のハッシュ値をハッシュアルゴリズムに従って計算する。
UEは、ハッシュアルゴリズムを使用することによって、接続手順においてUEによってMMEへ送信されたUE能力情報に対してハッシュ計算を実行し、UE能力情報が接続手順において中間者攻撃を実行する攻撃者によって改変されていない場合、UEによって計算される第4のハッシュ値は、NASセキュリティモード・コマンドメッセージの中の第3のハッシュ値と一致する。
さらに、本発明のこの実施形態では、UE能力情報の長さを短縮し情報送信レートを改善するように、UE能力情報のハッシュ値がNASセキュリティモード・コマンドメッセージの中で搬送される。
ステップS55:UEは、第4のハッシュ値が第3のハッシュ値と一致するかどうかを決定し、第4のハッシュ値が第3のハッシュ値と一致する場合、ステップS56を実行し、そうでなければステップS57を実行する。
ステップS56:UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
NASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS57:UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
この実施形態では、UEは、受信されたNASセキュリティモード・コマンドメッセージの完全性、およびMMEによって受信されたUE能力情報のハッシュ値を検証する。第4のハッシュ値が第3のハッシュ値と一致し、かつ第4のNAS-MACが第3のNAS-MACと一致するとき、UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージが改変されておらず、UE接続手順においてMMEによって受信されたUE能力情報がUEによってMMEへ送信されたものと一致すると決定し、それによって、MMEによって受信されたUE能力情報がUEによって送信されたUE能力情報と一致することを保証する。
UE能力情報のハッシュ値およびNAS-MACの完全性のうちの少なくとも一方が検証に失敗するとき、それは、MMEによって受信されたUE能力情報、およびNASセキュリティモード・コマンドメッセージのうちの少なくとも一方が、攻撃を受けており改変されていることを示す。この場合、UEは、NAS security mode rejectメッセージをMMEへ送信する。
この実施形態では、UEは、MMEによって受信されたUE能力情報が正しいUE能力情報であることを保証するために、MMEのUE能力情報のハッシュ値を検証することによって、MMEによって受信されたUE能力情報を検証する。
この実施形態では、第1の検証整合メッセージは、従来の仕様においてMMEによって返送されるUEセキュリティ能力用のIEを占有することによって送信されてよく、または新たなIEを使用することによって送信されてもよい。
図6は、本発明の実施形態6によるモバイル通信方法のフローチャートである。この方法では、MMEは、NASセキュリティモード・コマンドメッセージを使用することによって、受信されたUEセキュリティ能力、および受信されたUE能力情報のハッシュ値をUEへ送信し、それによって、UEは、UE能力情報のハッシュ値、およびUEセキュリティ能力を検証して、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定する。図6に示すように、この方法は、以下のメイン処理ステップを含む。
ステップS61:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージの中で搬送される第1の検証整合メッセージは、接続手順において受信されたUE能力情報の第3のハッシュ値であり、ここで、第3のハッシュ値は、MMEがUE能力情報に対してハッシュ計算を実行した後に取得される。NASセキュリティモード・コマンドメッセージは、接続手順においてMMEによって受信されたUEセキュリティ能力、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用された(任意選択で搬送される)ハッシュアルゴリズム、MMEとUEの両方によってサポートされる完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含み、ここで、第3のNAS-MACは、NASセキュリティモード・コマンドメッセージの完全性を保護するために使用される。
さらに、セキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される[IMEI要求]、および任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよく、ここで、NONCEUEはUEによって選択される乱数であり、NONCEMMEはMMEによって選択される乱数である。
ステップS62:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第4のNAS-MACを計算する。
このステップにおいて、UEは、送信されるNASセキュリティモード・コマンドメッセージに対してMMEが完全性保護を実行する方式で、UEによって受信されたNASセキュリティモード・コマンドメッセージに対して計算を実行して、第4のNAS-MACを取得する。
NASセキュリティモード・コマンドメッセージが送信手順において中間者攻撃を受けていない場合、第3のNAS-MACは第4のNAS-MACと一致する。
ステップS63:UEは、第4のNAS-MACが第3のNAS-MACと一致するかどうかを決定し、第4のNAS-MACが第3のNAS-MACと一致する場合、ステップS64を実行し、そうでなければステップS66を実行する。
ステップS64:UEは、UEによってMMEへ送信されたUE能力情報の第4のハッシュ値をハッシュアルゴリズムに従って計算し、第4のハッシュ値が第3のハッシュ値と一致するかどうか、およびMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し(ハッシュ値の計算、ハッシュ値の決定、およびUEセキュリティ能力の決定の順序は指定されない)、第4のハッシュ値が第3のハッシュ値と一致し、かつMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、ステップS65を実行し、そうでなければステップS66を実行する。
ステップS65:UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
NASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS66:UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
本発明のこの実施形態では、UEは、MMEによって受信されたUE能力情報が正しいUE能力情報であることを保証するために、MMEのUE能力情報のハッシュ値、およびUEセキュリティ能力を検証することによって、MMEによって受信されたUE能力を検証する。本発明のこの実施形態では、第1の検証整合メッセージは、新たなIEのみを使用することによって送信され得る。
図7は、本発明の実施形態7によるモバイル通信方法のフローチャートである。この方法では、MMEは、NASセキュリティモード・コマンドメッセージを使用することによって、受信されたUEセキュリティ能力、および受信されたUE能力情報のハッシュ値をUEへ送信し、それによって、UEは、UE能力情報のハッシュ値、およびUEセキュリティ能力を検証して、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定する。図7に示すように、この方法は、以下のメイン処理ステップを含む。
ステップS71:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージの中で搬送される第1の検証整合メッセージは、接続手順において受信されたUE能力情報の第3のハッシュ値であり、ここで、第3のハッシュ値は、MMEがUE能力情報に対してハッシュ計算を実行した後に取得される。NASセキュリティモード・コマンドメッセージは、接続手順においてMMEによって受信されたUEセキュリティ能力、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用された(任意選択で搬送される)ハッシュアルゴリズム、MMEとUEの両方によってサポートされる完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含み、ここで、第3のNAS-MACは、NASセキュリティモード・コマンドメッセージの完全性を保護するために使用される。
さらに、セキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される[IMEI要求]、および任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよい。
ステップS72:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第4のNAS-MACを計算する。
ステップS73:UEは、第4のNAS-MACが第3のNAS-MACと一致するかどうかを決定し、第4のNAS-MACが第3のNAS-MACと一致する場合、ステップS74を実行し、そうでなければステップS78を実行する。
ステップS74:UEは、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、ステップS75を実行し、そうでなければステップS78を実行する。
ステップS75:UEは、第4のハッシュ値が第3のハッシュ値と一致するかどうかを決定し、第4のハッシュ値が第3のハッシュ値と一致する場合、ステップS76を実行し、または第4のハッシュ値が第3のハッシュ値と一致しない場合、ステップS77を実行する。
ステップS76:UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
NASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS77:UEは、NASセキュリティモード完了メッセージをMMEへ送信し、ここで、メッセージはUE能力情報を搬送する。
UE能力情報を搬送することに加えて、このステップにおいて送信されるNASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS78:UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
本発明のこの実施形態では、第1の検証整合メッセージは、新たなIEのみを使用することによって送信され得る。
図8は、本発明の実施形態8によるモバイル通信方法のフローチャートである。この方法では、MMEは、UEを使用することによってUE能力情報を検証するように、NASセキュリティモード・コマンドメッセージを使用することによって、接続手順において受信されたUE能力情報をUEへ送信する。図8に示すように、この方法は、以下のメイン処理ステップを含む。
ステップS81:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージの中で搬送される第1の検証整合メッセージは、接続手順においてMMEによって受信されたUE能力情報である。NASセキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第5のNAS-MACをさらに含む。
さらに、セキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される[IMEI要求]、および任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよく、ここで、NONCEUEはUEによって選択される乱数であり、NONCEMMEはMMEによって選択される乱数である。
ステップS82:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第6のNAS-MACを計算する。
ステップS83:UEは、第6のNAS-MACが第5のNAS-MACと一致するかどうかを決定し、第6のNAS-MACが第5のNAS-MACと一致する場合、ステップS84を実行し、そうでなければステップS86を実行する。
ステップS84:UEは、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定する。
ステップS85:MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
NASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS86:第6のNAS-MACが第5のNAS-MACと一致せず、またはMMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致しない場合、UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
この実施形態では、第1の検証整合メッセージは、従来の仕様においてMMEによって返送されるUEセキュリティ能力のIEを占有することによって送信されてよく、または新たなIEを使用することによって送信されてもよく、あるいは第1の検証整合メッセージの中のUEセキュリティ能力以外の第1の検証整合メッセージの中のUE能力が、新たなIEを使用することによって送信される。
図9は、本発明の実施形態9によるモバイル通信方法のフローチャートである。この方法では、MMEは、UEを使用することによってUE能力情報を検証するように、NASセキュリティモード・コマンドメッセージを使用することによって、接続手順において受信されたUE能力情報をUEへ送信する。図9に示すように、この方法は、以下のメイン処理ステップを含む。
ステップS91:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージの中で搬送される第1の検証整合メッセージは、接続手順においてMMEによって受信されたUE能力情報である。NASセキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第5のNAS-MACをさらに含む。
さらに、セキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される[IMEI要求]、および任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよく、ここで、NONCEUEはUEによって選択される乱数であり、NONCEMMEはMMEによって選択される乱数である。
ステップS92:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第6のNAS-MACを計算する。
ステップS93:UEは、第6のNAS-MACが第5のNAS-MACと一致するかどうかを決定し、第6のNAS-MACが第5のNAS-MACと一致する場合、ステップS94を実行し、そうでなければステップS98を実行する。
ステップS94:UEは、MMEによって返送されるUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し、MMEによって返送されるUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、ステップS95を実行し、そうでなければステップS98を実行する。
ステップS95:UEは、MMEによって返送されるUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致するかどうかを決定し、MMEによって返送されるUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致する場合、ステップS96を実行し、そうでなければステップS97を実行する。
ステップS96:UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
NASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS97:UEは、NASセキュリティモード完了メッセージをMMEへ送信し、ここで、NASセキュリティモード完了メッセージはUE能力を搬送する。
UE能力情報を搬送することに加えて、このステップにおいて送信されるNASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
ステップS98:UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
この実施形態では、第1の検証整合メッセージは、従来の仕様においてMMEによって返送されるUEセキュリティ能力のIEを占有することによって送信されてよく、または新たなIEを使用することによって送信されてもよく、あるいは第1の検証整合メッセージの中のUEセキュリティ能力以外の第1の検証整合メッセージの中のUE能力が、新たなIEを使用することによって送信される。
図10は、本発明の実施形態10によるモバイル通信方法のフローチャートである。この方法では、UEは、NASセキュリティモード完了メッセージの中で第2の検証整合情報をMMEへ送信する。図10に示すように、本発明の実施形態10の方法は、以下のメイン処理ステップを含む。
ステップS101:MMEは、UEからNASセキュリティモード完了メッセージを受信し、ここで、NASセキュリティモード完了メッセージは、MMEによって受信されたUE能力情報を検証するために使用される第2の検証整合情報を搬送する。
ステップS102:MMEは、第2の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定する。
本発明の実施形態10の上記の方法において、第2の検証整合情報は複数の異なる方式で実施されてよく、具体的な実施形態を参照して以下で説明が提供される。
図11は、本発明の実施形態11によるモバイル通信方法のフローチャートである。この方法では、MMEは、NASセキュリティモード・コマンドメッセージを使用することによって、接続手順において受信されたUEセキュリティ能力情報をUEへ送信する。図11に示すように、本発明の実施形態11の方法は、以下のメイン処理ステップを含む。
ステップS111:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージは、接続手順においてMMEによって受信されたUEセキュリティ能力、MMEによって使用される完全性アルゴリズムおよび任意選択で搬送されるHashアルゴリズム、鍵識別子、ならびにNASセキュリティモード・コマンドメッセージの第7のNAS-MACを搬送する。
さらに、NASセキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される[IMEI要求]、および任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよく、ここで、NONCEUEはUEによって選択される乱数であり、NONCEMMEはMMEによって選択される乱数である。
ステップS112:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第8のNAS-MACを計算する。
ステップS113:UEは、第8のNAS-MACが第7のNAS-MACと一致するかどうかを決定し、第8のNAS-MACが第7のNAS-MACと一致する場合、ステップS114を実行し、そうでなければステップS116を実行する。
ステップS114:UEは、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定する。
ステップS115:MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信し、ここで、NASセキュリティモード完了メッセージは、MMEによって受信されたUE能力情報を検証するために使用される第2の検証整合情報、およびNASセキュリティモード完了メッセージのNAS-MACを搬送する。
本発明のこの実施形態では、UEセキュリティ能力とNASセキュリティモード・コマンドメッセージの両方の完全性が検証に成功するとき、第2の検証整合情報がMMEへ送信され、MMEは、MMEが正しいUE能力情報を取得することを保証するように、受信された第2の検証整合情報を使用することによって、接続手順において受信されたUE能力情報を検証し得る。
UEによってMMEへ送信される第2の検証整合情報は、さらに、接続手順においてUEによってMMEへ送信された接続要求メッセージのハッシュ値、または接続手順においてUEによってMMEへ送信されたUE能力情報のハッシュ値であってよい。加えて、NASセキュリティモード完了メッセージは、任意選択で、UEによって使用される(任意選択で搬送される)ハッシュアルゴリズムおよび[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送する。
接続要求メッセージのハッシュ値またはUEによって送信されたUE能力情報のハッシュ値を受信した後、MMEは、ハッシュアルゴリズムを使用することによって、接続手順において受信された接続要求メッセージまたはUE能力情報に対してハッシュ計算を実行し、計算結果を使用することによって、接続手順においてMMEによって受信された接続要求メッセージまたはUE能力情報がUEによって送信されたものと一致するかどうかを決定する。
接続手順においてMMEによって受信された接続要求メッセージまたはUE能力情報がUEによって送信されたものと一致しない場合、NASセキュリティ起動の後、MMEは、以下の具体的な実装においてUE能力情報または接続要求コンテンツを再送するようにUEに要求する。
実装1:
(1)MMEは、ダウンリンクNASトランスポートメッセージをeNBへ送信し、ここで、ダウンリンクNASトランスポートメッセージは、UE能力要求メッセージまたは接続要求コンテンツ要求メッセージを含む。
(2)eNBは、ダウンリンク情報転送メッセージをUEへ送信し、ここで、ダウンリンク情報転送メッセージは、UE能力要求メッセージまたは接続要求コンテンツ要求メッセージを含む。
(3)UEは、アップリンク情報転送メッセージをeNBへ送信し、ここで、メッセージは、UE能力または接続要求メッセージコンテンツ(Attach request contents)を含む。
(4)eNBは、アップリンクNASトランスポートメッセージをMMEへ送信し、ここで、メッセージは、UE能力または接続要求コンテンツを含む。
実装2:
(1)MMEは、UE情報要求メッセージをeNBへ送信し、ここで、UE情報要求メッセージは、UE能力要求メッセージまたは接続要求コンテンツ要求メッセージを含む。
(2)eNBは、UE情報要求メッセージをUEへ送信する。
(3)UEは、UE情報応答メッセージをeNBへ送信し、ここで、UE情報応答メッセージは、UE能力または接続要求メッセージ搬送コンテンツ(Attach request contents)を搬送する。
(4)eNBは、UE情報応答メッセージをMMEへ送信し、ここで、UE情報応答メッセージは、UE能力または接続要求メッセージコンテンツ(Attach request contents)を搬送する。
ステップS116:第8のNAS-MACが第7のNAS-MACと一致せず、またはMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致しない場合、UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
図12は、本発明の実施形態12によるモバイル通信方法のフローチャートである。この方法では、MMEは、NASセキュリティモード・コマンドメッセージを使用することによって、接続手順において受信されたUEセキュリティ能力情報をUEへ送信する。図12に示すように、本発明の実施形態12は、以下のメイン処理ステップを含む。
ステップS121:UEが、MMEからNASセキュリティモード・コマンドメッセージを受信する。
NASセキュリティモード・コマンドメッセージは、接続手順においてMMEによって受信されたUEセキュリティ能力、MMEとUEの両方によってサポートされる完全性アルゴリズム、任意選択で搬送されるHashアルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第7のNAS-MACを搬送する。
さらに、NASセキュリティモード・コマンドメッセージは、MMEとUEの両方によってサポートされる暗号化アルゴリズム、任意選択で搬送される[IMEI要求]、および任意選択で搬送される[NONCEUE、NONCEMME]をさらに含んでよい。
ステップS122:UEは、UEによって受信されたNASセキュリティモード・コマンドメッセージの第8のNAS-MACを計算する。
ステップS123:UEは、第8のNAS-MACが第7のNAS-MACと一致するかどうかを決定し、第8のNAS-MACが第7のNAS-MACと一致する場合、ステップS124を実行し、そうでなければステップS126を実行する。
ステップS124:UEは、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定する。
ステップS125:MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信し、ここで、NASセキュリティモード完了メッセージは、UE能力情報、およびNASセキュリティモード完了メッセージのNAS-MACを搬送する。
本発明のこの実施形態では、UEセキュリティ能力とNASセキュリティモード・コマンドメッセージの両方の完全性が検証に成功するとき、UE能力情報がMMEへ送信される。
さらに、NASセキュリティモード完了メッセージは、任意選択で、[IMEI]を搬送し、NASセキュリティモード完了メッセージに対してセキュリティ保護を実行するためにNAS-MACを搬送し、それによって、NASセキュリティモード完了メッセージの中のUE能力情報が改変されていないことを保証する。これは、MMEが正しいUE能力情報を取得することを保証する。
ステップS126:第8のNAS-MACが第7のNAS-MACと一致せず、またはMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致しない場合、UEは、NASセキュリティモード拒否メッセージをMMEへ送信する。
この実施形態では、UE能力情報は、第2の検証整合情報IEの中に配置され、送信されてよいが、MMEは、UE能力情報を直接記憶し、UE能力情報が、受信された接続要求におけるUE能力情報と同じであるかどうかを再び検証しない。
本発明は、モバイル通信方法の実施形態13をさらに提供する。この実施形態の方法は、以下のメイン処理ステップを含み、すなわち、MMEは、NASセキュリティモード・コマンドメッセージをUEへ送信し、ここで、NASセキュリティモード・コマンドメッセージは、第1の検証整合情報を搬送し、それによって、UEは、第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定し、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、UEは、NASセキュリティモード完了メッセージをMMEへ送信する。
実施形態13に基づいて、実施形態13の一実装では、第1の検証整合情報は、MMEによって受信された接続要求メッセージの第1のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用された(任意選択で搬送される)ハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1の非アクセス層メッセージ認証NAS-MACをさらに含む。
実施形態13に基づいて、実施形態13の一実装では、方法は、以下のステップをさらに含む。
UEによって生成されたNASセキュリティモード・コマンドメッセージの第2のNAS-MACが第1のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつUEによって生成された接続要求メッセージの第2のハッシュ値が第1のハッシュ値と一致しないとき、MMEは、UEによって送信されたNASセキュリティモード完了メッセージを受信し、ここで、NASセキュリティモード完了メッセージは、接続要求メッセージまたはUE能力を搬送する。
実施形態13に基づいて、実施形態13の一実装では、第1の検証整合情報は、MMEによって受信されたUE能力情報の第3のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用された(任意選択で搬送される)ハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含む。
実施形態13に基づいて、実施形態13の一実装では、方法は、以下のステップをさらに含む。
UEによって生成された第4のNAS-MACが第3のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつUEによって生成されたUE能力情報の第4のハッシュ値が第3のハッシュ値と一致しないとき、MMEは、UEによって送信されたNASセキュリティモード完了メッセージを受信し、ここで、NASセキュリティモード完了メッセージは、UE能力情報を搬送する。
実施形態13に基づいて、実施形態13の一実装では、第1の検証整合情報は、MMEによって受信されたUE能力情報であり、NASセキュリティモード・コマンドメッセージは、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第5のNAS-MACをさらに含む。
実施形態13に基づいて、実施形態13の一実装では、方法は、以下のステップをさらに含む。
UEによって生成された第6のNAS-MACが第5のNAS-MACと一致し、MMEによって受信されたUE能力情報の中のUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつMMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致しないとき、UEは、NASセキュリティモード完了メッセージをMMEへ送信し、ここで、NASセキュリティモード完了メッセージは、UE能力情報を搬送する。
本発明は、モバイル通信方法の実施形態14をさらに提供する。この実施形態は、以下のメイン処理ステップを含む。
(1)MMEは、UEからNASセキュリティモード完了メッセージを受信し、ここで、NASセキュリティモード完了メッセージは、MMEによって受信されたUE能力情報を検証するために使用される第2の検証整合情報を搬送する。
(2)MMEは、第2の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定する。
実施形態14に基づいて、実施形態14の一実装では、第2の検証整合情報は、
UEによってMMEへ送信された接続要求メッセージのハッシュ値、または
UEによってMMEへ送信されたUE能力情報のハッシュ値を含む。
実施形態14に基づいて、実施形態14の一実装では、第2の検証整合情報は、UEによってMMEへ送信されたUE能力情報を含む。
実施形態14に基づいて、実施形態14の一実装では、方法は、以下のステップをさらに含む。
接続手順においてMMEによって受信された接続要求メッセージまたはUE能力情報がUEによって送信されたものと一致しない場合、MMEは、ダウンリンクNASトランスポートメッセージをUEへ送信し、ここで、ダウンリンクNASトランスポートメッセージは、UE能力情報要求メッセージまたは接続要求コンテンツ要求メッセージを搬送し、
MMEは、UEによって送信されたアップリンク情報転送メッセージを受信し、ここで、アップリンク情報転送メッセージは、UE能力情報または接続要求コンテンツを搬送する。
実施形態14に基づいて、実施形態14の一実装では、方法は、以下のステップをさらに含む。
接続手順においてMMEによって受信された接続要求メッセージまたはUE能力がUEによって送信されたものと一致しない場合、MMEは、UE情報要求メッセージをUEへ送信し、ここで、UE情報要求メッセージは、UE能力情報要求メッセージまたは接続要求コンテンツ要求メッセージを搬送し、
MMEは、UEによって送信されたUE情報応答メッセージを受信し、ここで、UE情報応答メッセージは、UE能力情報または接続要求コンテンツを搬送する。
図13は、本発明の実施形態15によるモバイル通信方法のフローチャートである。この方法では、NASセキュリティ起動手順(図13におけるステップ7に対応する)は、従来の方法に従って実行される。NASセキュリティ起動の後、MMEは、ダウンリンクNASトランスポートメッセージを使用することによって、UE能力または接続要求コンテンツを再びアップロードするようにUEに要求し、UEは、アップリンクNASトランスポートメッセージを使用することによって、UE能力または接続要求コンテンツをアップロードし、それによって、MMEは正しいUE能力を取得する。
図13に示すように、この実施形態の実行プロセスは、以下のステップを含む。
1.無線リソース制御アイドル(RRC_IDLE)状態におけるUEが、attach手順を実行する。UEは、まず、ランダムアクセス手順を開始し、すなわち、第1のランダムアクセスメッセージMSG1を送信する。
2.MSG1メッセージを検出した後、eNBは、ランダムアクセス応答メッセージ、すなわち、MSG2メッセージをUEへ送信する。
3.ランダムアクセス応答メッセージを受信した後、UEは、MSG2の中のタイミングアドバンス(TA)に基づいてアップリンク送信機会を調整し、RRC接続要求メッセージをeNBへ送信する。
4.eNBは、RRC接続更新(RRC Connection Setup)メッセージをUEへ送信し、ここで、メッセージは、シグナリング無線ベアラ1(SRB1)および無線リソースをセットアップするための構成情報を含む。
5.SRB1ベアラおよび無線リソースの構成を完了した後、UEは、RRC接続更新完了(RRC Connection Setup Complete)メッセージをeNBへ送信し、ここで、RRC接続更新完了メッセージは、NAS接続要求メッセージを含む。
6.eNBは、MMEを選択し、初期UEメッセージをMMEへ送信し、ここで、初期UEメッセージは、NAS接続要求メッセージを含む。
7.UEおよびMMEは、AKA手順およびNASセキュリティ起動手順を実行する。
8.MMEは、ダウンリンクNASトランスポートメッセージをeNBへ送信し、ここで、ダウンリンクNASトランスポートメッセージは、UE能力要求メッセージまたは接続要求コンテンツ要求メッセージを含む。
9.eNBは、ダウンリンク情報転送メッセージをUEへ送信し、ここで、ダウンリンク情報転送メッセージは、UE能力要求メッセージまたは接続要求メッセージコンテンツ要求メッセージを含む。
10.UEは、アップリンク情報転送メッセージをeNBへ送信し、ここで、メッセージは、UE能力または接続要求メッセージコンテンツを含む。
11.eNBは、アップリンクNASトランスポートメッセージをMMEへ送信し、ここで、メッセージは、UE能力または接続要求コンテンツを含む。
12.MMEは、デフォルトベアラをセットアップするように要求するために、初期コンテキストセットアップ要求メッセージをeNBへ送信し、ここで、初期コンテキストセットアップ要求メッセージは、NAS接続要求(Attach Accept)メッセージおよび起動デフォルト発展型パケットコア(EPC)ベアラコンテキスト要求メッセージを含
13.eNBが初期コンテキストセットアップ要求メッセージを受信した後、初期コンテキストセットアップ要求メッセージがUE能力情報を含まない場合、eNBは、UE能力について問い合わせるために、UE能力照会メッセージをUEへ送信する。
14.UEは、UE能力情報を報告するために、UE能力情報メッセージをeNBへ送信する。
15.eNBは、MMEのUE能力情報を更新するために、UE能力情報指示メッセージをMMEへ送信する。
16.eNBは、セキュリティ起動を実行するために、初期コンテキストセットアップ要求メッセージの中のUEサポートセキュリティ情報に基づいて、セキュリティモード・コマンドメッセージをUEへ送信する。
17.UEは、セキュリティ起動が完了したことを示すために、セキュリティモード完了メッセージをeNBへ送信する。
18.eNBは、SRB1再構成および無線リソース構成を含むUEリソース再構成を実行し、SRB2、データ無線ベアラ(DRB)(デフォルトベアラを含む)などをセットアップするために、初期コンテキスト設定要求メッセージの中の発展型無線アクセスベアラ(ERAB)セットアップ情報に基づいて、RRC接続再構成メッセージをUEへ送信する。
19.UEは、リソース構成が完了したことを示すために、RRC接続再構成完了メッセージをeNBへ送信する。
20.eNBは、UEコンテキストセットアップが完了したことを示すために、初期コンテキスト設定応答メッセージをMMEへ送信する。
21.UEは、アップリンク情報転送メッセージをeNBへ送信し、ここで、メッセージは、NAS接続完了メッセージおよび起動デフォルト発展型パケットコア・ベアラコンテキスト受付メッセージを含む。
22.eNBは、アップリンクNASトランスポートメッセージをMMEへ送信し、ここで、メッセージは、NAS接続完了メッセージおよび起動デフォルト発展型パケットコア・ベアラコンテキスト受付メッセージを含む。
本発明のこの実施形態におけるステップ7は、NASセキュリティ起動手順に対応し、本発明のこの実施形態における改善されたステップ8から11は、NASセキュリティ起動手順の後に実行される。
図14は、本発明の実施形態16によるモバイル通信方法のフローチャートである。この方法では、NASセキュリティ起動手順(図14におけるステップ7に対応する)は、従来の方法に従って実行される。attach手順において、NASセキュリティ起動の後、MMEは、新たに規定されたUE情報要求メッセージを使用することによって、UE能力情報または接続要求コンテンツを再びアップロードするようにUEに要求し、UEは、UE情報応答メッセージを使用することによって、UE能力または接続要求コンテンツをアップロードし、それによって、MMEは正しいUE能力を取得する。
図14に示すように、この実施形態の実行プロセスは、以下のステップを含む。
1.RRC_IDLE状態におけるUEが、attach手順を実行し、まず、ランダムアクセス手順を開始し、すなわち、第1のランダムアクセスメッセージMSG1を送信する。
2.MSG1メッセージを検出した後、eNBは、ランダムアクセス応答メッセージ、すなわち、MSG2メッセージをUEへ送信する。
3.ランダムアクセス応答メッセージを受信した後、UEは、MSG2の中のタイミングアドバンス(TA)に基づいてアップリンク送信機会を調整し、RRC接続要求メッセージをeNBへ送信する。
4.eNBは、RRC接続更新(RRC Connection Setup)メッセージをUEへ送信し、ここで、メッセージは、SRB1および無線リソースをセットアップするための構成情報を含む。
5.SRB1ベアラおよび無線リソースの構成を完了した後、UEは、RRC接続更新完了(RRC Connection Setup Complete)メッセージをeNBへ送信し、ここで、RRC更新完了メッセージは、NAS接続要求メッセージを含む。
6.eNBは、MMEを選択し、初期UEメッセージをMMEへ送信し、ここで、初期UEメッセージは、NAS接続要求メッセージを含む。
7.UEおよびMMEは、AKA手順およびNASセキュリティ起動手順を実行する。
8.MMEは、UE情報要求メッセージをeNBへ送信する。
9.eNBは、UE情報要求メッセージをUEへ送信する。
10.UEは、UE情報応答メッセージをeNBへ送信し、ここで、UE情報応答メッセージは、UE能力または接続要求メッセージ搬送コンテンツ(Attach request contents)を搬送する。
11.eNBは、UE情報応答メッセージをMMEへ送信し、ここで、UE情報応答メッセージは、UE能力または接続要求メッセージ搬送コンテンツを搬送する。
12.MMEは、デフォルトベアラをセットアップするように要求するために、初期コンテキストセットアップ要求メッセージをeNBへ送信し、ここで、初期コンテキストセットアップ要求メッセージは、NAS接続要求(Attach Accept)メッセージおよび起動デフォルト発展型パケットコア(EPC)ベアラコンテキスト要求メッセージを含
13.eNBが初期コンテキストセットアップ要求メッセージを受信した後、初期コンテキストセットアップ要求メッセージがUE能力情報を含まない場合、eNBは、UE能力について問い合わせるために、UE能力照会メッセージをUEへ送信する。
14.UEは、UE能力情報を報告するために、UE能力情報メッセージをeNBへ送信する。
15.eNBは、MMEのUE能力情報を更新するために、UE能力情報指示メッセージをMMEへ送信する。
16.eNBは、セキュリティ起動を実行するために、初期コンテキスト設定要求メッセージの中のUEサポートセキュリティ情報に基づいて、セキュリティモード・コマンドメッセージをUEへ送信する。
17.UEは、セキュリティ起動が完了したことを示すために、セキュリティモード完了メッセージをeNBへ送信する。
18.eNBは、SRB1再構成および無線リソース構成を含むUEリソース再構成を実行し、SRB2、DRB(デフォルトベアラを含む)などをセットアップするために、初期コンテキスト設定要求メッセージの中の発展型無線アクセスベアラ(ERAB)セットアップ情報に基づいて、RRC接続再構成メッセージをUEへ送信する。
19.UEは、リソース構成が完了したことを示すために、RRC接続再構成完了メッセージをeNBへ送信する。
20.eNBは、UEコンテキストセットアップが完了したことを示すために、初期コンテキスト設定応答メッセージをMMEへ送信する。
21.UEは、アップリンク情報転送メッセージをeNBへ送信し、ここで、メッセージは、NAS接続完了メッセージおよび起動デフォルト発展型パケットコア・ベアラコンテキスト受付メッセージを含む。
22.eNBは、アップリンクNASトランスポートメッセージをMMEへ送信し、ここで、メッセージは、NAS接続完了メッセージおよび起動デフォルト発展型パケットコア・ベアラコンテキスト受付メッセージを含む。
本発明のこの実施形態におけるステップ7は、NAS起動手順に対応し、本発明のこの実施形態における改善されたステップ8から11は、NAS起動手順の後に実行される。
図15は、本発明の実施形態1によるモバイル通信装置の概略構造図である。装置はUEの中に配備され、受信モジュール1201、検証モジュール1202、および第1の送信モジュール1203を含む。
受信モジュール1201は、モビリティ管理エンティティMMEから非アクセス層NASセキュリティモード・コマンドメッセージを受信するように構成され、ここで、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUE能力情報を検証するために使用される第1の検証整合情報を搬送する。
検証モジュール1202は、第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定するように構成される。
第1の送信モジュール1203は、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するとき、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
上記の実施形態では、第1の検証整合情報は、MMEがNASセキュリティモード・コマンドメッセージをUEへ送信する前にMMEによって受信されている接続要求メッセージの第1のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1の非アクセス層メッセージ認証コードNAS-MACをさらに含む。
検証モジュール1202は、具体的には、
UEによって受信されたNASセキュリティモード・コマンドメッセージの第2のNAS-MACを計算し、
第2のNAS-MACが第1のNAS-MACと一致するかどうかを決定し、
第2のNAS-MACが第1のNAS-MACと一致する場合、UEによってMMEへ送信された接続要求メッセージの第2のハッシュ値をハッシュアルゴリズムに従って計算し、
第2のハッシュ値が第1のハッシュ値と一致するかどうかを決定するように構成される。
第1の送信モジュール1203は、具体的には、第2のハッシュ値が第1のハッシュ値と一致し、かつ第2のNAS-MACが第1のNAS-MACと一致するとき、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
上記の実施形態では、NASセキュリティモード・コマンドメッセージは、MMEによって返送されるUEセキュリティ能力をさらに含む。
検証モジュール1202は、
MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定するようにさらに構成される。
第1の送信モジュール1203は、具体的には、
第2のハッシュ値が第1のハッシュ値と一致し、第2のNAS-MACが第1のNAS-MACと一致し、かつMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
上記の実施形態では、第1の送信モジュール1203は、
第2のハッシュ値、第2のNAS-MAC、およびMMEによって返送されるUEセキュリティ能力のうちの少なくとも1つが検証に失敗する場合、NASセキュリティモード拒否メッセージをMMEへ送信するようにさらに構成され、または
第2のNAS-MACが第1のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつ第2のハッシュ値が第1のハッシュ値と一致しない場合、NASセキュリティモード完了メッセージをMMEへ送信するようにさらに構成され、ここで、NASセキュリティモード完了メッセージは、接続要求メッセージを搬送する。
上記の実施形態では、第1の検証整合情報は、MMEによって受信されたUE能力情報の第3のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含む。
検証モジュール1202は、具体的には、
UEによって受信されたNASセキュリティモード・コマンドメッセージの第4のNAS-MACを計算し、
第4のNAS-MACが第3のNAS-MACと一致するかどうかを決定し、
第4のNAS-MACが第3のNAS-MACと一致する場合、UEによってMMEへ送信されたUE能力情報の第4のハッシュ値をハッシュアルゴリズムに従って計算し、
第4のハッシュ値が第3のハッシュ値と一致するかどうかを決定するように構成される。
第1の送信モジュール1203は、具体的には、第4のハッシュ値が第3のハッシュ値と一致する場合、NASセキュリティモード完了メッセージをMMEへUEのために送信するように構成される。
上記の実施形態では、NASセキュリティモード・コマンドメッセージは、MMEによって返送されるUEセキュリティ能力をさらに含む。
検証モジュール1202は、
MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定するようにさらに構成される。
第1の送信モジュール1203は、具体的には、
第4のハッシュ値が第3のハッシュ値と一致し、第4のNAS-MACが第3のNAS-MACと一致し、かつMMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
上記の実施形態では、第1の送信モジュール1203は、
第4のハッシュ値、第4のNAS-MAC、およびMMEによって返送されるUEセキュリティ能力のうちの少なくとも1つが検証に失敗する場合、NASセキュリティモード拒否メッセージをMMEへUEのために送信するようにさらに構成され、
または
第1の送信モジュール1203は、第4のNAS-MACが第3のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつ第4のハッシュ値が第3のハッシュ値と一致しない場合、NASセキュリティモード完了メッセージをMMEへUEのために送信するようにさらに構成され、ここで、NASセキュリティモード完了メッセージは、UE能力情報を搬送する。
上記の実施形態では、第1の検証整合情報は、MMEによって受信されたUE能力情報であり、NASセキュリティモード・コマンドメッセージは、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第5のNAS-MACをさらに含む。
検証モジュール1202は、具体的には、
UEによって受信されたNASセキュリティモード・コマンドメッセージの第6のNAS-MACを計算し、
第6のNAS-MACが第5のNAS-MACと一致するかどうかをUEのために決定し、
MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定するように構成される。
第1の送信モジュール1203は、具体的には、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
上記の実施形態では、検証モジュール1202は、具体的には、
第6のNAS-MACが第5のNAS-MACと一致するかどうかを決定し、
第6のNAS-MACが第5のNAS-MACと一致する場合、MMEによって受信されたUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定し、
MMEによって受信されたUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致する場合、MMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致するかどうかをUEのために決定するように構成される。
第1の送信モジュール1203は、具体的には、MMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成される。
上記の実施形態では、第1の送信モジュール1203は、
MMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致しない場合、NASセキュリティモード完了メッセージをMMEへ送信するようにさらに構成され、ここで、NASセキュリティモード完了メッセージは、UE能力情報を搬送する。
上記の実施形態では、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第7のNAS-MACを含む。
検証モジュール1202は、具体的には、
UEによって受信されたNASセキュリティモード・コマンドメッセージの第8のNAS-MACを計算し、
第8のNAS-MACが第7のNAS-MACと一致するかどうかを決定し、第8のNAS-MACが第7のNAS-MACと一致する場合、MMEによって受信されたUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致するかどうかを決定するように構成される。
第1の送信モジュール1203は、具体的には、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するように構成され、ここで、NASセキュリティモード完了メッセージは、第2の検証整合情報、およびNASセキュリティモード完了メッセージのNAS-MACを搬送する。
上記の実施形態では、第2の検証整合情報は、
UEによってMMEへ送信された接続要求メッセージのハッシュ値、または
UEによってMMEへ送信されたUE能力情報のハッシュ値を含む。
上記の実施形態では、第2の検証整合情報は、UEのUE能力情報を含む。
上記の実施形態では、受信モジュール1201は、第1の送信モジュール1203がNASセキュリティモード完了メッセージをMMEへ送信した後、MMEによって送信されたダウンリンクNASトランスポートメッセージを受信するようにさらに構成され、ここで、ダウンリンクNASトランスポートメッセージは、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送する。
第1の送信モジュール1203は、アップリンク情報転送メッセージをMMEへ送信するようにさらに構成され、ここで、アップリンク情報転送メッセージは、UE能力情報または接続要求メッセージを搬送する。
上記の実施形態では、受信モジュール1201は、
第1の送信モジュール1203がNASセキュリティモード完了メッセージをMMEへ送信した後、MMEによって送信されたUE情報要求メッセージを受信するようにさらに構成され、ここで、UE情報要求メッセージは、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送する。
第1の送信モジュール1203は、UE情報応答メッセージをMMEへ送信するようにさらに構成され、ここで、UE情報応答メッセージは、UE能力情報または接続要求メッセージを搬送する。
図16は、本発明の実施形態2によるモバイル通信装置の概略構造図である。装置はMMEの中に配備され、
UEが、第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定し、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、UEが、NASセキュリティモード完了メッセージをMMEへ送信するように、NASセキュリティモード・コマンドメッセージをUEへ送信するように構成された第2の送信モジュール1301であって、NASセキュリティモード・コマンドメッセージは、第1の検証整合情報を搬送する、第2の送信モジュール1301を含む。
上記の実施形態では、第1の検証整合情報は、MMEによって受信された接続要求メッセージの第1のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信された接続要求メッセージに対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第1の非アクセス層メッセージ認証NAS-MACをさらに含む。
上記の実施形態では、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力をさらに含む。
図16に示すように、装置は、
UEによって生成されたNASセキュリティモードコマンドの第2のNAS-MACが第1のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつUEによって生成された接続要求メッセージの第2のハッシュ値が第1のハッシュ値と一致しないとき、UEによって送信されたNASセキュリティモード完了メッセージを受信するように構成された第1の受信モジュール1302であって、NASセキュリティモード完了メッセージは、接続要求メッセージを搬送する、第1の受信モジュール1302をさらに含む。
上記の実施形態では、第1の検証整合情報は、MMEによって受信されたUE能力情報の第3のハッシュ値であり、NASセキュリティモード・コマンドメッセージは、受信されたUE能力情報に対してハッシュ計算を実行するためにMMEによって使用されたハッシュアルゴリズム、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第3のNAS-MACをさらに含む。
上記の実施形態では、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力をさらに含む。
図16に示すように、装置は、
UEによって生成されたNASセキュリティモード・コマンドメッセージの第4のNAS-MACが第3のNAS-MACと一致し、MMEによって返送されるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつUEによって生成されたUE能力情報の第4のハッシュ値が第3のハッシュ値と一致しないとき、UEによって送信されたNASセキュリティモード完了メッセージを受信するように構成された第2の受信モジュール1303であって、NASセキュリティモード完了メッセージは、UE能力情報を搬送する、第2の受信モジュール1303をさらに含む。
図16に示すように、第1の検証整合情報は、MMEによって受信されたUE能力情報であり、NASセキュリティモード・コマンドメッセージは、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第5のNAS-MACをさらに含む。
図16に示すように、装置は、
UEによって生成されたNASセキュリティモード・コマンドメッセージの第6のNAS-MACが第5のNAS-MACと一致し、MMEによって受信されたUE能力情報の中に含まれるUEセキュリティ能力がUEによってMMEへ送信されたUEセキュリティ能力と一致し、かつMMEによって受信されたUE能力情報の中のUEセキュリティ能力以外の能力がUEによってMMEへ送信された能力と一致しないとUEが決定するとき、UEによって送信されたNASセキュリティモード完了メッセージを受信するように構成された第3の受信モジュール1304であって、NASセキュリティモード完了メッセージは、UE能力情報を搬送する、第3の受信モジュール1304をさらに含む。
上記の実施形態では、NASセキュリティモード・コマンドメッセージは、MMEによって受信されたUEセキュリティ能力、MMEによって使用される完全性アルゴリズム、鍵識別子、およびNASセキュリティモード・コマンドメッセージの第7のNAS-MACを含む。
上記の実施形態では、装置は、UEによって送信されたNASセキュリティモード完了メッセージを受信するように構成された第4の受信モジュール1305であって、NASセキュリティモード完了メッセージは、第2の検証整合情報、およびNASセキュリティモード完了メッセージのNAS-MACを搬送する、第4の受信モジュール1305をさらに含む。
上記の実施形態では、第2の検証整合情報は、
UEによってMMEへ送信された接続要求メッセージのハッシュ値、または
UEによってMMEへ送信されたUE能力情報のハッシュ値を含む。
上記の実施形態では、第2の検証整合情報は、UEのUE能力情報を含む。
上記の実施形態では、第2の送信モジュール1301は、MMEによって受信されたUE能力情報がUEによって送信されたものと一致しない場合、ダウンリンクNASトランスポートメッセージをUEへ送信するようにさらに構成され、ここで、ダウンリンクNASトランスポートメッセージは、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送する。
第4の受信モジュール1305は、UEによって送信されたアップリンク情報転送メッセージを受信するようにさらに構成され、ここで、アップリンク情報転送メッセージは、UE能力情報または接続要求メッセージを搬送する。
上記の実施形態では、第2の送信モジュール1301は、MMEによって受信されたUE能力情報がUEによって送信されたものと一致しないとMMEが決定する場合、UE情報要求メッセージをUEへ送信するようにさらに構成され、ここで、UE情報要求メッセージは、UE能力情報要求メッセージ、または接続要求メッセージを再送するようにUEに要求するための要求メッセージを搬送する。
第4の受信モジュール1305は、UEによって送信されたUE情報応答メッセージを受信するようにさらに構成され、ここで、UE情報応答メッセージは、UE能力情報または接続要求メッセージを搬送する。
図17は、本発明の実施形態1によるモバイル通信デバイス1400の概略構造図である。モバイル通信デバイス1400は、通信インターフェース1401、メモリ1403、およびプロセッサ1402を含む。通信インターフェース1401、プロセッサ1402、およびメモリ1403は、バス1404を使用することによって互いに接続されている。バス1404は、周辺構成要素相互接続(PCI)バス、拡張業界標準アーキテクチャ(EISA)バスなどであってよい。バスは、アドレスバス、データバス、制御バスなどに分類され得る。表現の便宜のため、図14における表現のために1つのみの太線が使用されているが、それは1つのバスまたは1種類のバスのみがあることを示すものでない。
通信インターフェース1401は、送信端と通信するように構成される。メモリ1403は、プログラムを記憶するように構成される。具体的には、プログラムはプログラムコードを含んでよく、プログラムコードはコンピュータ動作命令を含む。メモリ1403は、ランダム・アクセス・メモリ(RAM)を含んでよく、または少なくとも1つの磁気ディスクストレージのような不揮発性メモリをさらに含んでよい。
プロセッサ1402は、メモリ1403の中に記憶されたプログラムを実行して、本発明の上記の方法の実施形態における方法、すなわち、
モビリティ管理エンティティMMEから非アクセス層NASセキュリティモード・コマンドメッセージを受信するステップであって、NASセキュリティモード・コマンドメッセージが、MMEによって受信されたUE能力情報を検証するために使用される第1の検証整合情報を搬送する、ステップと、
第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定するステップと、
MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、NASセキュリティモード完了メッセージをMMEへ送信するステップと、を実施する。
プロセッサ1402は、中央処理ユニット(CPU)、ネットワークプロセッサ(NP)などを含む、汎用プロセッサであってよく、あるいはデジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲートアレイ(FPGA)、または別のプログラマブル論理デバイス、個別ゲートもしくはトランジスタ論理デバイス、または個別ハードウェア構成要素であってよい。
図18は、本発明の実施形態2によるモバイル通信デバイスの概略構造図である。モバイル通信デバイス1500は、通信インターフェース1501、メモリ1503、およびプロセッサ1502を含む。通信インターフェース1501、プロセッサ1502、およびメモリ1503は、バス1504を使用することによって互いに接続されている。バス1504は、周辺構成要素相互接続バ、EISAバスなどであってよい。バスは、アドレスバス、データバス、制御バスなどに分類され得る。表現の便宜のため、図15における表現のために1つのみの太線が使用されているが、それは1つのバスまたは1種類のバスのみがあることを示すものでない。
通信インターフェース1501は、送信端と通信するように構成される。メモリ1503は、プログラムを記憶するように構成される。具体的には、プログラムはプログラムコードを含んでよく、プログラムコードはコンピュータ動作命令を含む。メモリ1503は、ランダム・アクセス・メモリ(RAM)を含んでよく、または少なくとも1つの磁気ディスクストレージのような不揮発性メモリをさらに含んでよい。
プロセッサ1502は、メモリ1503の中に記憶されたプログラムを実行して、本発明の上記の方法の実施形態における方法、すなわち、
MMEによって受信されたUE能力情報を検証するためにUEによって使用される第1の検証整合情報を決定するステップと、
UEが、第1の検証整合情報に基づいて、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを決定し、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致する場合、UEが、NASセキュリティモード完了メッセージをMMEへ送信するように、NASセキュリティモード・コマンドメッセージをUEへ送信するステップであって、NASセキュリティモード・コマンドメッセージは、第1の検証整合情報を搬送する、ステップと、を実施する。
プロセッサ1502は、中央処理ユニット(CPU)、ネットワークプロセッサ(NP)などを含む、汎用プロセッサであってよく、あるいはデジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲートアレイ(FPGA)、または別のプログラマブル論理デバイス、個別ゲートもしくはトランジスタ論理デバイス、または個別ハードウェア構成要素であってよい。
本発明のこの実施形態のモバイル通信デバイスによれば、UEは、MMEによって受信されたUE能力情報がUEによってMMEへ送信されたUE能力情報と一致するかどうかを、受信された第1の検証整合メッセージに基づいて検証する。本発明の実施形態では、MMEが正しいUE能力情報を所有することを保証するために、MMEが検証整合メッセージを返送し、UEがMMEによって受信されたUE能力情報を検証することが知られ得る。これは、接続手順において、接続要求メッセージがNASセキュリティコンテキストによって保護されず、攻撃者がUE能力情報を改変することが可能であり、MMEが正しいUE能力を取得できないことによって引き起こされる、DoS攻撃問題を解決する。DoSはDenial of Service、すなわち、サービス妨害の略語であり、DoSを引き起こす攻撃挙動はDoS攻撃と呼ばれる。
方法の実施形態のステップのうちの全部または一部が、関連するハードウェアに命令するプログラムによって実施され得ることを、当業者は理解し得る。プログラムは、コンピュータ可読記憶媒体の中に記憶され得る。プログラムが動作するとき、方法の実施形態のステップが実行される。上記の記憶媒体は、ROM、RAM、磁気ディスク、または光ディスクのような、プログラムコードを記憶できる任意の媒体を含む。
最後に、上記の実施形態が、本発明を限定するのでなく、単に、本発明の技術的解決策を説明するように意図されることが留意されるべきである。上記の実施形態を参照して本発明が詳細に説明されているが、当業者は、本発明の実施形態の技術的解決策の範囲から逸脱することなく、上記の実施形態で説明した技術的解決策にさらに修正を加えてよく、またはそれらのいくつかの技術的特徴に等価な置き換えを行ってよいことを理解すべきである。
1201 受信モジュール
1202 検証モジュール
1203 第1の送信モジュール
1301 第2の送信モジュール
1302 第1の受信モジュール
1303 第2の受信モジュール
1304 第3の受信モジュール
1305 第4の受信モジュール
1400 モバイル通信デバイス
1401 通信インターフェース
1402 プロセッサ
1403 メモリ
1404 バス

Claims (11)

  1. モバイル通信方法であって、
    モビリティ管理エンティティから非アクセス層(NAS)セキュリティモード・コマンドメッセージをユーザ機器(UE)によって受信するステップであって、前記NASセキュリティモード・コマンドメッセージが、第1の検証整合情報、前記モビリティ管理エンティティによって使用される完全性アルゴリズム、鍵識別子、前記NASセキュリティモード・コマンドメッセージの第1の非アクセス層メッセージ認証コード(NAS-MAC)、および前記モビリティ管理エンティティによって返送されるUEセキュリティ能力を搬送し、前記第1の検証整合情報が、前記モビリティ管理エンティティによって前記UEから受信された接続要求メッセージの第1のハッシュ値を含む、ステップと、
    前記モビリティ管理エンティティから受信された前記NASセキュリティモード・コマンドメッセージの第2のNAS-MAC、および前記UEによって前記モビリティ管理エンティティへ送信された接続要求メッセージの第2のハッシュ値を前記UEによって計算するステップと、
    前記第2のハッシュ値が前記第1のハッシュ値と一致し、前記第2のNAS-MACが前記第1のNAS-MACと一致し、かつ前記モビリティ管理エンティティによって返送される前記UEセキュリティ能力が前記UEによって前記モビリティ管理エンティティへ送信されたUEセキュリティ能力と一致するかどうかを、前記UEによって決定するステップと、
    前記第2のハッシュ値が前記第1のハッシュ値と一致し、前記第2のNAS-MACが前記第1のNAS-MACと一致し、かつ前記モビリティ管理エンティティによって返送される前記UEセキュリティ能力が前記UEによって前記モビリティ管理エンティティへ送信された前記UEセキュリティ能力と一致する場合、NASセキュリティモード完了メッセージを前記モビリティ管理エンティティへ前記UEによって送信するステップと、
    を備えるモバイル通信方法。
  2. 記第2のNAS-MACが前記第1のNAS-MACと一致し、前記モビリティ管理エンティティによって返送される前記UEセキュリティ能力が前記UEによって前記モビリティ管理エンティティへ送信された前記UEセキュリティ能力と一致し、かつ前記第2のハッシュ値が前記第1のハッシュ値と一致しない場合、前記NASセキュリティモード完了メッセージを前記モビリティ管理エンティティへ前記UEによって送信するステップであって、前記NASセキュリティモード完了メッセージが、前記接続要求メッセージを搬送する、ステップをさらに備える、請求項1に記載の方法。
  3. 記第1のNAS-MAC、または前記モビリティ管理エンティティによって返送される前記UEセキュリティ能力が検証に失敗する場合、NASセキュリティモード拒否メッセージを前記モビリティ管理エンティティへ前記UEによって送信するステップをさらに備える、請求項1に記載の方法。
  4. モバイル通信方法であって、
    ユーザ機器(UE)から接続要求メッセージをモビリティ管理エンティティによって受信するステップであって、前記モビリティ管理エンティティによって受信された前記接続要求メッセージがUEセキュリティ能力を含む、ステップと、
    アクセス層(NAS)セキュリティモード・コマンドメッセージを前記UEへ前記モビリティ管理エンティティによって送信するステップであって、前記NASセキュリティモード・コマンドメッセージが、前記モビリティ管理エンティティによって受信された前記接続要求メッセージの第1のハッシュ値、前記モビリティ管理エンティティによって使用される完全性アルゴリズム、鍵識別子、前記NASセキュリティモード・コマンドメッセージの第1のNASメッセージ認証コード(NAS-MAC)、および検証整合情報を含み、前記検証整合情報が、前記UEセキュリティ能力または前記UEセキュリティ能力のハッシュ値を含む、ステップ
    を備える、モバイル通信方法。
  5. 記UEによって生成された前記NASセキュリティモード・コマンドメッセージの第2のNAS-MACが前記第1のNAS-MACと一致し、前記モビリティ管理エンティティによって返送されるUEセキュリティ能力が前記UEによって前記モビリティ管理エンティティへ送信されたUEセキュリティ能力と一致し、かつ前記UEによって生成された前記接続要求メッセージの第2のハッシュ値が前記第1のハッシュ値と一致しないとき、前記UEによって送信された前記NASセキュリティモード完了メッセージを前記モビリティ管理エンティティによって受信するステップであって、前記NASセキュリティモード完了メッセージが、前記接続要求メッセージを搬送する、ステップをさらに備える、請求項4に記載の方法。
  6. 前記第1のNAS-MAC、前記UEセキュリティ能力、および前記第1のハッシュ値のすべてが前記UEによって検証に成功するとき、第2のNASセキュリティモード完了メッセージを前記UEから前記モビリティ管理エンティティによって受信するステップであって、完全性保護を有する前記第2のNASセキュリティモード完了メッセージが前記接続要求メッセージを含まない、ステップをさらに備える、請求項4に記載の方法。
  7. 前記UEセキュリティ能力または前記第1のNAS-MACが前記UEによって検証に失敗する場合、NASセキュリティモード拒否メッセージを前記UEから前記モビリティ管理エンティティによって受信するステップをさらに備える、請求項4に記載の方法。
  8. モバイル通信装置であって、前記装置が、UEの中に配備され、請求項1から3のいずれかに記載の方法のステップを実行するように構成された、モバイル通信装置。
  9. モバイル通信装置であって、前記装置が、モビリティ管理エンティティの中に配備され、請求項4から7のいずれかに記載の方法のステップを実行するように構成された、モバイル通信装置。
  10. コンピュータによって実行されるとき、請求項1から7のいずれかに記載の方法をコンピュータに実行させる命令を備える、コンピュータ読み取り可能な記憶媒体。
  11. 請求項1から7のいずれかに記載の方法をコンピュータに実行させるプログラム。
JP2018553275A 2016-01-05 2016-01-05 モバイル通信方法、装置、およびデバイス Active JP6598225B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2016/070182 WO2017117721A1 (zh) 2016-01-05 2016-01-05 移动通信方法、装置及设备

Publications (2)

Publication Number Publication Date
JP2019501608A JP2019501608A (ja) 2019-01-17
JP6598225B2 true JP6598225B2 (ja) 2019-10-30

Family

ID=59273185

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018553275A Active JP6598225B2 (ja) 2016-01-05 2016-01-05 モバイル通信方法、装置、およびデバイス

Country Status (8)

Country Link
US (4) US10419938B2 (ja)
EP (3) EP3393159B1 (ja)
JP (1) JP6598225B2 (ja)
KR (1) KR102125826B1 (ja)
CN (5) CN113271594A (ja)
BR (1) BR112018013812A2 (ja)
RU (1) RU2706173C1 (ja)
WO (1) WO2017117721A1 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10555177B2 (en) * 2015-10-05 2020-02-04 Telefonaktiebolaget Lm Ericsson (Publ) Method of operation of a terminal device in a cellular communications network
RU2706173C1 (ru) * 2016-01-05 2019-11-14 Хуавей Текнолоджиз Ко., Лтд. Способ, аппаратура и устройство мобильной связи
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
CA3051938C (en) 2017-01-30 2023-02-14 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications
CN109756451B (zh) * 2017-11-03 2022-04-22 华为技术有限公司 一种信息交互方法及装置
KR102405412B1 (ko) * 2018-04-06 2022-06-07 삼성전자주식회사 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법
CN112602343A (zh) * 2018-08-09 2021-04-02 Oppo广东移动通信有限公司 能力上报的方法和设备
US10798745B2 (en) 2018-09-28 2020-10-06 Verizon Patent And Licensing Inc. Determining device locations based on random access channel signaling
KR102460418B1 (ko) * 2018-11-21 2022-10-31 한국전자통신연구원 통신 시스템에서 제어 메시지의 송수신 방법 및 장치
KR102582321B1 (ko) * 2019-01-15 2023-09-22 텔레폰악티에볼라겟엘엠에릭슨(펍) 무선 장치의 무선 액세스 능력
US11470473B2 (en) * 2019-01-18 2022-10-11 Qualcomm Incorporated Medium access control security
CN111866884B (zh) * 2019-04-26 2022-05-24 华为技术有限公司 一种安全保护方法及装置
CN112087747A (zh) * 2019-06-14 2020-12-15 苹果公司 改善的rrc过程安全性
WO2021051974A1 (zh) * 2019-09-16 2021-03-25 华为技术有限公司 一种空口信息的安全保护方法及装置
US20210105611A1 (en) * 2019-10-04 2021-04-08 Qualcomm Incorporated User equipment radio capability protection
US11617077B2 (en) * 2019-10-07 2023-03-28 Intel Corporation Secure user equipment capability transfer for user equipment with no access stratum security
EP4084516A4 (en) * 2019-12-27 2023-09-20 Ntt Docomo, Inc. BASE STATION AND WIRELESS COMMUNICATION METHOD
CN114208240B (zh) * 2020-01-22 2024-01-30 华为技术有限公司 数据传输方法、装置及系统
EP4104080A1 (en) * 2020-02-14 2022-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Protecting capability information transfer in a wireless communication network
KR102279293B1 (ko) * 2020-08-07 2021-07-20 한국인터넷진흥원 비암호화 채널 탐지 방법 및 장치
US11522767B2 (en) 2020-10-22 2022-12-06 Bank Of America Corporation System for real-time imitation network generation using artificial intelligence
KR20220135792A (ko) * 2021-03-31 2022-10-07 삼성전자주식회사 데이터 보호를 위한 nas 메시지 이용 방법 및 장치
WO2023180907A1 (en) * 2022-03-24 2023-09-28 Four Drobotics Corporation System and method for detection of cybersecurity threats

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101061373B1 (ko) * 2005-04-11 2011-09-02 삼성전자주식회사 푸쉬투토크 오버 셀룰러 망의 미디어 저장 서비스 수행 방법과 PoC 서버 및 PoC 클라이언트
CN101022330A (zh) * 2006-02-13 2007-08-22 华为技术有限公司 提高密钥管理授权消息安全性的方法和模块
CN101011330A (zh) 2006-12-14 2007-08-08 成都死海盐疗健康馆服务有限公司 矿物盐沐浴露
CN101242629B (zh) * 2007-02-05 2012-02-15 华为技术有限公司 选择用户面算法的方法、系统和设备
CN101378591B (zh) 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN103220674B (zh) * 2007-09-03 2015-09-09 华为技术有限公司 一种终端移动时防止降质攻击的方法、系统及装置
US9247420B2 (en) * 2007-12-12 2016-01-26 Lg Electronics Inc. Method of managing user equipment capabilities
US8503460B2 (en) 2008-03-24 2013-08-06 Qualcomm Incorporated Dynamic home network assignment
US8965338B2 (en) * 2008-06-09 2015-02-24 Apple Inc Network access control methods and apparatus
CN101686233B (zh) * 2008-09-24 2013-04-03 电信科学技术研究院 Ue与网络安全算法不匹配的处理方法、系统及装置
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
CN101848464B (zh) * 2009-03-28 2012-11-21 华为技术有限公司 实现网络安全的方法、装置及系统
US8605904B2 (en) * 2009-08-14 2013-12-10 Industrial Technology Research Institute Security method in wireless communication system having relay node
CN102025685B (zh) * 2009-09-21 2013-09-11 华为技术有限公司 认证处理方法及装置
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
KR101683883B1 (ko) * 2009-12-31 2016-12-08 삼성전자주식회사 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템
CN101790168B (zh) * 2010-02-01 2015-05-20 中兴通讯股份有限公司 Nas和as初始安全模式命令过程的方法
CN101835156B (zh) * 2010-05-21 2014-08-13 中兴通讯股份有限公司南京分公司 一种用户接入安全保护的方法及系统
KR101737425B1 (ko) * 2010-06-21 2017-05-18 삼성전자주식회사 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
CN102624759B (zh) * 2011-01-28 2017-03-29 中兴通讯股份有限公司 一种实现会话中数据迁移的方法和节点
CN102307091B (zh) * 2011-10-09 2014-10-29 大唐移动通信设备有限公司 Nas层信令的保护方法和设备
CN102905265B (zh) * 2012-10-11 2016-02-10 大唐移动通信设备有限公司 一种实现移动设备附着的方法及装置
CN102917332B (zh) * 2012-10-11 2015-06-03 大唐移动通信设备有限公司 一种实现移动设备附着的方法及装置
JP2016500977A (ja) * 2013-01-10 2016-01-14 日本電気株式会社 Ue及びネットワーク両者でのキー導出のためのmtcキー管理
CN110087272B (zh) * 2013-02-22 2021-10-08 三星电子株式会社 在多个e节点b和用户设备间提供同时连接的方法和系统
CN104427584B (zh) * 2013-08-19 2019-08-16 南京中兴软件有限责任公司 安全上下文处理方法及装置
KR101746193B1 (ko) * 2013-11-13 2017-06-20 한국전자통신연구원 보안 도우미 서비스 제공장치 및 서비스 제공방법
WO2015157942A1 (zh) * 2014-04-16 2015-10-22 华为终端有限公司 接入无线网络的装置及方法
US10560846B2 (en) * 2014-09-08 2020-02-11 Blackberry Limited Method and apparatus for authenticating a network entity using unlicensed wireless spectrum
US10142840B2 (en) * 2015-01-29 2018-11-27 Motorola Mobility Llc Method and apparatus for operating a user client wireless communication device on a wireless wide area network
US9717003B2 (en) * 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
CN104967984B (zh) * 2015-04-29 2019-04-05 大唐移动通信设备有限公司 一种获取用户设备的信息的方法和系统
EP3304856A1 (en) * 2015-06-05 2018-04-11 Convida Wireless, LLC Unified authentication for integrated small cell and wi-fi networks
CN104967934A (zh) 2015-06-12 2015-10-07 苏州佑克骨传导科技有限公司 适用于小功率骨传导耳机的振子
US10567964B2 (en) * 2015-11-24 2020-02-18 Futurewei Technologies, Inc. Security for proxied devices
EP3384698B1 (en) * 2015-12-03 2022-09-14 Telefonaktiebolaget LM Ericsson (publ) Multi-rat access stratum security
RU2706173C1 (ru) * 2016-01-05 2019-11-14 Хуавей Текнолоджиз Ко., Лтд. Способ, аппаратура и устройство мобильной связи

Also Published As

Publication number Publication date
RU2706173C1 (ru) 2019-11-14
US11736519B2 (en) 2023-08-22
CN113271595A (zh) 2021-08-17
CN108702624B (zh) 2021-02-23
US20210194920A1 (en) 2021-06-24
BR112018013812A2 (pt) 2018-12-11
US10419938B2 (en) 2019-09-17
EP3393159B1 (en) 2020-09-30
WO2017117721A1 (zh) 2017-07-13
US20240098112A1 (en) 2024-03-21
CN109729096B (zh) 2020-06-16
CN109729096A (zh) 2019-05-07
EP3393159A4 (en) 2018-12-19
CN108702624A (zh) 2018-10-23
JP2019501608A (ja) 2019-01-17
CN113271595B (zh) 2022-03-08
EP3873122A1 (en) 2021-09-01
US20190387404A1 (en) 2019-12-19
US20180324594A1 (en) 2018-11-08
EP3800914A1 (en) 2021-04-07
KR102125826B1 (ko) 2020-06-23
US10944786B2 (en) 2021-03-09
US11310266B2 (en) 2022-04-19
EP3393159A1 (en) 2018-10-24
EP3800914B1 (en) 2024-05-01
US20220321599A1 (en) 2022-10-06
CN113055888A (zh) 2021-06-29
KR20180100365A (ko) 2018-09-10
CN113271594A (zh) 2021-08-17
CN113055888B (zh) 2022-03-08

Similar Documents

Publication Publication Date Title
JP6598225B2 (ja) モバイル通信方法、装置、およびデバイス
JP6313858B2 (ja) モバイルデバイスの同時複数セル接続のためのセキュリティ鍵生成
CN113132334B (zh) 授权结果的确定方法及装置
JP7157827B2 (ja) 通信方法及び通信装置
JP7255949B2 (ja) 通信方法および装置
CN106105131B (zh) 对多个装置配对的电子装置、方法、装置和计算机介质
US20190349406A1 (en) Method, Apparatus, And System For Protecting Data
JP6775683B2 (ja) 次世代システムの認証
US11722934B2 (en) Device for wireless communication handover
CN111182546A (zh) 接入无线网络的方法、设备及系统
CN109803456B (zh) 一种请求恢复连接的方法及装置
CN112019489B (zh) 验证方法及装置
US9609578B2 (en) Method, apparatus and system for transmitting gateway address
US12003533B2 (en) Mobile communication method, apparatus, and device
EP3506699B1 (en) Data transmission methods, radio access network device and mobile terminal for configuring a preset data bearer
CN114830705A (zh) 认证方法、装置及系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180810

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190516

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190527

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190827

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190909

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190925

R150 Certificate of patent or registration of utility model

Ref document number: 6598225

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250