JP6732095B2 - 異種ネットワークのための統一認証 - Google Patents

異種ネットワークのための統一認証 Download PDF

Info

Publication number
JP6732095B2
JP6732095B2 JP2019501459A JP2019501459A JP6732095B2 JP 6732095 B2 JP6732095 B2 JP 6732095B2 JP 2019501459 A JP2019501459 A JP 2019501459A JP 2019501459 A JP2019501459 A JP 2019501459A JP 6732095 B2 JP6732095 B2 JP 6732095B2
Authority
JP
Japan
Prior art keywords
authentication
communication device
network
security context
fast
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019501459A
Other languages
English (en)
Other versions
JP2019527504A (ja
Inventor
ハイグアン・ワン
リチュン・リ
シン・カン
ジエ・シ
Original Assignee
ホアウェイ インターナショナル ピーティーイー. リミテッド
ホアウェイ インターナショナル ピーティーイー. リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ホアウェイ インターナショナル ピーティーイー. リミテッド, ホアウェイ インターナショナル ピーティーイー. リミテッド filed Critical ホアウェイ インターナショナル ピーティーイー. リミテッド
Publication of JP2019527504A publication Critical patent/JP2019527504A/ja
Application granted granted Critical
Publication of JP6732095B2 publication Critical patent/JP6732095B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Description

この発明は、コアネットワークにアクセスするモバイルデバイスの協調的な認証のための統一認証フレームワークのための方法およびシステムに関する。特に、この発明は、モバイルデバイスとコアネットワークの間の協調的な認証のための統一認証フレームワークのための方法およびシステムに関する。
過去数年においてスマートフォンユーザーの数は急増しており、多くのモバイルユーザーがモバイルセルラーネットワークを介してインターネットにアクセスしている。しかし、広帯域符号分割多重アクセス(WCDMA(登録商標))またはロングタームエボリューション(LTE)などの現在のセルラー技術はモバイルインターネットトラフィックの急増に対処できない。モバイルユーザーからの需要を満たすために、電話会社または通信事業者とも呼ばれる通信サービスプロバイダ(CSP)は、容量不足を補うために、ワイヤレスフィディリティ(Wi-Fi)技術の潜在力を活かしている。
Wi-Fi技術はセルラーネットワークにおいてネイティブな技術ではない。したがって、3GPPが規定するセルラーネットワークにWi-Fi技術を統合するために、セキュリティを含むいくつかの仕様が3GPPによって規定されている。図1は、信頼されたWi-Fiと信頼されていないWi-Fiの両方を含むWi-Fiアクセス技術を統合するネットワークアーキテクチャを表わす。この開示の目的のために、信頼されたWi-Fiアクセスは、ユーザー機器(UE)が接続するアクセスポイントが通信事業者自身によって配備される場合を指す。信頼されていないWi-Fiアクセスは、アクセスポイントが通信事業者以外の第三者によって配備される場合を指す。
通常、デバイスとネットワークが本物であることを保証するために、UEがネットワークにアクセスする最初のステップは、ネットワークと相互に認証することである。3GPPネットワークを用いた汎用加入者識別モジュール(USIM)ベースの事前共有鍵認証が採用されている。UE側とネットワーク側の双方で一対の共有鍵が保持される。UE側では、UEに組み込まれた独立デバイスであるUSIMカード内に信用情報が保持される。ネットワーク側では、ホーム加入者システム(HSS)内に信用情報が保持される。認証の間に、保持された信用情報から認証ベクトルまたはマスターセッション鍵が導出される。UEとネットワークは認証ベクトルを使って互いに認証する。
現在の3GPPおよびWi-Fi統合フレームワークを用いて、UEはUSIM内に保持された信用情報を用いてネットワークと認証する。しかし、LTE技術とWi-Fi技術で使われる認証および鍵生成プロトコルは異なる。LTE技術を用いて、UEとネットワークの移動管理エンティティ(MME)サーバーが発展型パケットシステム認証および鍵一致(EPS-AKA)プロトコルを使って相互認証を行う。他方、Wi-Fi技術を用いて、UEとネットワークの認証、許可、およびアカウンティング(AAA)サーバーが(拡張可能認証プロトコル)EAP-AKAまたはEAP-AKA’プロトコルを使って相互認証を行う。既存のフレームワークに基づいて、同じUEが同じネットワークと認証するために、2つの異なるプロトコルを使わなければならない。ネットワーク管理の観点から、これは最適ではなく、設計と実装を複雑にするばかりでなく、ネットワークリソースを浪費し、運営コストを増大させる。
このため、当業者は異種ネットワークのためのより良い認証方法を提供しようと努力している。
本発明による実施形態によって提供されるシステムおよび方法によって上記および他の問題は解決され、この技術分野における進展がなされる。本発明によるシステムおよび方法の実施形態の第1の利点は、UE内の通信デバイスがセキュリティコンテクストを共有してコアネットワークと認証することができることである。これは、通信デバイスの1つがコアネットワークと完全認証を事前に遂行したときに、UEがコアネットワークと認証するためのステップを減らす。本発明によるシステムおよび方法の実施形態の第2の利点は、UEとコアネットワークの間で必要とされる相互作用の数が大幅に減らされるため、認証プロセスが改善されることである。
上記の利点は、少なくとも2つの通信デバイスを有するユーザー機器がコアネットワークのネットワーク認証エンティティと認証するための認証フレームワークのシステムおよび方法の実施形態によって提供される。
本開示の一態様によると、コアネットワークと直接通信するためのユーザー機器(UE)が次のように提供される。UEは、第1の通信デバイスと、第2の通信デバイスと、認証管理モジュールと、プロセッサと、記憶媒体と、記憶媒体に記憶されプロセッサによって実行可能な命令であって、コアネットワークと第1の認証を遂行してセキュリティコンテクストを取得し、認証管理モジュールから第1および第2の通信デバイスの少なくとも一方へセキュリティコンテクストを送信し、認証管理モジュールからのセキュリティコンテクストを使って、コアネットワークと、第1および第2の通信デバイスの一方のための第2の認証を遂行してコアネットワークとの接続を確立するための命令とを含む。この開示の一実施形態によると、命令は、第1の通信デバイスとコアネットワークの間の接続が途絶えたことに応答して、第1の通信デバイスにより、取得されたセキュリティコンテクストを使ってコアネットワークと第2の認証を遂行するための命令をさらに含む。
この開示の一実施形態によると、ネットワーク管理モジュールはEAPベースの認証フレームワークにおける「サプリカント」であることが可能であり、これは端末側の認証管理のための既知のエンティティである。
この開示の一実施形態によると、コアネットワークと第1の認証を遂行してセキュリティコンテクストを取得するための命令は、高速再認証IDの要求を認証管理モジュールへ送信し、認証管理モジュールから応答を受信するように第1の通信デバイスに命令するための命令を含む。
この開示の一実施形態によると、コアネットワークと第1の認証を遂行してセキュリティコンテクストを取得するための命令は、認証管理モジュールへ要求を送信/転送して認証手順をトリガーし、認証管理モジュールからセキュリティコンテクストを受信するように第1の通信デバイスに命令するための命令を含む。
この開示の一実施形態によると、コアネットワークと第1の認証を遂行してセキュリティコンテクストを取得するための命令は、第1の通信デバイスからの要求を受信したことに応答して、識別情報(UEのID)を引き出し、UEのIDを含む要求を生成してコアネットワークへ送信し、乱数(RAND)、ネットワーク認証トークン(AUTN)、高速再認証ID(FRID)、およびコアネットワークによって生成されたメッセージ認証コード(MAC)を含むAKAチャレンジメッセージを受信するように認証管理モジュールに命令するための命令を含む。
この開示の一実施形態によると、コアネットワークと第1の認証を遂行してセキュリティコンテクストを取得するための命令は、AKAチャレンジメッセージを受信したことに応答して、第1の通信デバイスへ前もって発行された鍵(IK)を使ってMACの正当性を検証し、MACが正当であることに応答して、アルゴリズムを使って認証ベクトルを計算してAUTNUE、RES、およびKASMEなどのパラメータを取得し、AUTNUEがAUTNに等しいか否かを判断するように認証管理モジュールに命令するための命令を含む。
この開示の一実施形態によると、コアネットワークと第1の認証を遂行してセキュリティコンテクストを取得するための命令は、AUTNUEがAUTNに等しいことに応答して、第1の秘密鍵k0を生成し、FRID、k0、およびカウンタを含むセキュリティコンテクストを確立し、第1の通信デバイスのための第2の秘密鍵k1を生成するように認証管理モジュールに命令するための命令を含む。この実施形態の一実施形態によると、第1の秘密鍵は、鍵導出関数(KDF)を使って、UEのIDとRAND(またはネットワークから受信されるNONCE)とを含む入力を用いて生成され、一方、第2の秘密鍵は、鍵導出関数(KDF)を使って、k0とカウンタとを含む入力を用いて生成される。この実施形態の一実施形態によると、第2の秘密鍵k1は、鍵導出関数(KDF)を使って、k0とRAND(またはネットワークから受信されるNONCE)とを含む入力を用いて生成される。
この開示の一実施形態によると、コアネットワークと第1の認証を遂行してセキュリティコンテクストを取得するための命令は、RESを含むAKA応答メッセージを生成してコアネットワークへ送信するように認証管理モジュールに命令するための命令をさらに含む。
この開示の一実施形態によると、認証管理モジュールから第1および第2の通信デバイスの少なくとも一方へセキュリティコンテクストを送信するための命令は、第2の通信デバイスから認証の要求を受信し、高速再認証ID(FRID)を含む応答を生成して第2の通信デバイスへ送信するように認証管理モジュールに命令するための命令を含む。
この開示の一実施形態によると、コアネットワークと、第1および第2の通信デバイスの一方のための第2の認証を遂行するための命令は、UEのIDと、FRIDと、任意選択で、FRIDが第2の通信デバイスに属していないという指示を含むフラグとを含む要求を生成してコアネットワークに送信し、コアネットワークから、カウンタ、ノンス、新たなFRID、およびMACを含むAKA再認証要求メッセージを受信し、MACの正しさとカウンタの新しさを検証し、MACが正当であることに応答して、新たなFRIDを新たな高速再認証IDとして認証管理モジュールへ送信し、受信されたカウンタ値に1を加えたものでローカルなカウンタを更新し、コアネットワークへ、更新されたカウンタを含むAKA再認証応答メッセージを送信し、認証が成功であることを示す結果メッセージをコアネットワークから受信し、セルラーアクセスまたは非セルラーアクセスのための鍵を生成し、鍵を使ってコアネットワークとデータを送受信するように第2の通信デバイスに命令するための命令を含む。この実施形態の一実施形態によると、受信されたカウンタは、その値がUEによって記憶されているカウンタより小さくないならば、新しいとみなされる。この実施形態の別の一実施形態によると、MACの正しさは、SKを使ってカウンタ、ノンス、および新たなFRIDを用いてMACを生成し、生成されたMACをコアネットワークから受信されたMACと比較することによって判断される。この実施形態の別の一実施形態によると、認証管理モジュールは、FRIDが第2の通信デバイスに属していないならば、第2の通信デバイスのために新たなセキュリティコンテクストを生成する。
この開示の別の一態様によると、コアネットワークと直接通信するためのユーザー機器(UE)が次のように提供される。UEは、第1の通信デバイスと、第2の通信デバイスと、認証管理モジュールと、プロセッサと、記憶媒体と、記憶媒体に記憶されプロセッサによって実行可能な命令であって、第1の通信デバイスにより、コアネットワークと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを取得し、認証管理モジュールから第2の通信デバイスへセキュリティコンテクストの部分を送信し、第2の通信デバイスにより、認証管理モジュールからのセキュリティコンテクストを使ってコアネットワークと第2の認証を遂行するための命令と、を含む。この実施形態の一実施形態によると、命令は、第1の通信デバイスにより、取得されたセキュリティコンテクストを使ってコアネットワークと第2の認証を遂行するための命令をさらに含む。
この開示の一実施形態によると、第1の通信デバイスにより、コアネットワークと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを取得するための命令は、高速再認証IDの要求を認証管理モジュールへ送信し、認証管理モジュールから応答を受信するように第1の通信デバイスに命令するための命令を含む。
この開示の一実施形態によると、第1の通信デバイスにより、コアネットワークと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを取得するための命令は、高速再認証IDを含んでいない認証管理モジュールからの応答に応答して、識別情報(UEのID)を引き出し、UEのIDを含む要求を生成してコアネットワークへ送信し、乱数(RAND)、ネットワーク認証トークン(AUTN)、高速再認証ID(FRID)、およびコアネットワークによって生成されたメッセージ認証コード(MAC)を含むAKAチャレンジメッセージを受信するように第1の通信デバイスに命令するための命令を含む。
この開示の一実施形態によると、第1の通信デバイスにより、コアネットワークと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを取得するための命令は、AKAチャレンジメッセージを受信したことに応答して、第1の通信デバイスへ前もって発行された鍵(IK)を使ってMACの正当性を検証し、MACが正当であることに応答して、AKAアルゴリズムを使って認証ベクトルを計算してAUTNUE、RES、および、一実施形態においてKASMEである鍵を取得し、AUTNUEがAUTNに等しいか否かを判断し、AUTNUEがAUTNに等しいことに応答して、セルラーアクセスまたは非セルラーアクセスのための秘密鍵を導出するように第1の通信デバイスに命令するための命令を含む。
この開示の一実施形態によると、第1の通信デバイスにより、コアネットワークと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを取得するための命令は、認証管理モジュールへ、FRIDと、秘密鍵と、カウンタとを含むセキュリティコンテクストを送信し、RESを含むAKA応答メッセージを生成してコアネットワークへ送信するように第1の通信デバイスに命令するための命令をさらに含む。この実施形態の一実施形態によると、秘密鍵は、鍵導出関数(KDF)を使って、UEのIDとRANDとを含む入力を用いて導出される。
この開示の一実施形態によると、認証管理モジュールから第2の通信デバイスへセキュリティコンテクストを送信するための命令は、高速再認証IDの要求を第2の通信デバイスから受信し、高速再認証ID(FRID)を含む応答を生成して第2の通信デバイスへ送信するように認証管理モジュールに命令するための命令を含む。
この開示の一実施形態によると、第2の通信デバイスにより、第1の通信デバイスからのセキュリティコンテクストを使ってコアネットワークと第2の認証を遂行するための命令は、認証管理モジュールからのFRIDを受信したことに応答して、UEのIDと、FRIDと、FRIDが第2の通信デバイスに属していないことの指示を含むフラグとを含む要求を生成してコアネットワークに送信し、コアネットワークから、カウンタ、ノンス、新たなFRID、およびMACを含むAKA再認証要求メッセージを受信し、MACの正しさとカウンタの新しさを検証し、MACが正当であることに応答して、新たなFRIDを新たな高速再認証IDとして認証管理モジュールへ送信し、受信されたカウンタ値に1を加えたものでローカルなカウンタを更新し、コアネットワークへ、更新されたカウンタを含むAKA再認証応答メッセージを送信し、認証が成功であることを示す結果メッセージをコアネットワークから受信し、セルラーアクセスまたは非セルラーアクセスのための鍵を生成し、鍵を使ってコアネットワークとデータを送受信するように第2の通信デバイスに命令するための命令を含む。この実施形態の一実施形態によると、受信されたカウンタは、その値がUEによって記憶されているカウンタより小さくないならば、新しいとみなされる。この実施形態の一実施形態によると、MACの正しさは、SKを使ってカウンタ、ノンス、および新たなFRIDを用いてMACを生成し、生成されたMACをコアネットワークから受信されたMACと比較することによって判断される。
この開示の別の一態様によると、コアネットワークと直接通信するためのユーザー機器(UE)が次のように提供される。UEは、第1の通信デバイスと、第2の通信デバイスと、プロセッサと、記憶媒体と、記憶媒体に記憶されプロセッサによって実行可能な命令であって、第1の通信デバイスにより、コアネットワークと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを取得し、第1の通信デバイスから第2の通信デバイスへセキュリティコンテクストを送信し、第2の通信デバイスにより、第1の通信デバイスからのセキュリティコンテクストを使ってコアネットワークと第2の認証を遂行するための命令と、を含む。この実施形態の一実施形態によると、命令は、第1の通信デバイスとコアネットワークの間の接続が途絶えたことに応答して、第1の通信デバイスにより、取得されたセキュリティコンテクストを使ってコアネットワークと第2の認証を遂行するための命令をさらに含む。
この開示の一実施形態によると、第1の通信デバイスにより、コアネットワークと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを取得するための命令は、高速再認証IDの要求を第2の通信デバイスへ送信し、第2の通信デバイスから応答を受信するように第1の通信デバイスに命令するための命令を含む。
この開示の一実施形態によると、第1の通信デバイスにより、コアネットワークと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを取得するための命令は、高速再認証IDを含んでいない第2の通信デバイスからの応答に応答して、識別情報(UEのID)を引き出し、UEのIDを含む要求を生成してコアネットワークへ送信し、乱数(RAND)、ネットワーク認証トークン(AUTN)、高速再認証ID(FRID)、およびコアネットワークによって生成されたメッセージ認証コード(MAC)を含むAKAチャレンジメッセージを受信し、第1の通信デバイスへ前もって発行された鍵(IK)を使ってMACの正当性を検証し、MACが正当であることに応答して、AKAアルゴリズムを使って認証ベクトルを計算してAUTNUE、RES、およびKASMEを取得し、AUTNUEがAUTNに等しいか否かを判断し、AUTNUEがAUTNに等しいことに応答して、セルラーアクセスまたは非セルラーアクセスのための秘密鍵を導出し、FRID、秘密鍵、およびカウンタを含むセキュリティコンテクストを記憶し、RESを含むAKA応答メッセージを生成してコアネットワークへ送信するように第1の通信デバイスに命令するための命令を含む。この実施形態の一実施形態によると、秘密鍵は、鍵導出関数(KDF)を使って、UEのIDとRANDとを含む入力を用いて導出される。
この開示の一実施形態によると、第1の通信デバイスから第2の通信デバイスへセキュリティコンテクストを送信するための命令は、高速再認証IDの要求を第2の通信デバイスから受信し、高速再認証ID(FRID)を含む応答を生成して第2の通信デバイスへ送信するように第1の通信デバイスに命令するための命令を含む。
この開示の一実施形態によると、第2の通信デバイスにより、第1の通信デバイスからのセキュリティコンテクストを使ってコアネットワークと第2の認証を遂行するための命令は、第1の通信デバイスからのFRIDを受信したことに応答して、UEのIDと、FRIDと、FRIDが第2の通信デバイスに属していないことの指示を含むフラグとを含む要求を生成してコアネットワークに送信し、コアネットワークから、カウンタ、ノンス、新たなFRID、およびMACを含むAKA再認証要求メッセージを受信し、MACの正しさとカウンタの新しさを検証し、MACが正当であることに応答して、新たなFRIDを新たな高速再認証IDとしてセキュリティコンテクストに記憶し、受信されたカウンタ値に1を加えたものでローカルなカウンタを更新し、コアネットワークへ、更新されたカウンタを含むAKA再認証応答メッセージを送信し、認証が成功であることを示す結果メッセージをコアネットワークから受信し、セルラーアクセスまたは非セルラーアクセスのための鍵を生成し、鍵を使ってコアネットワークとデータを送受信するように第2の通信デバイスに命令するための命令を含む。この実施形態の一実施形態によると、受信されたカウンタは、その値がUEによって記憶されているカウンタより小さくないならば、新しいとみなされる。この実施形態の一実施形態によると、MACの正しさは、SKを使ってカウンタ、ノンス、および新たなFRIDを用いてMACを生成し、生成されたMACをコアネットワークから受信されたMACと比較することによって判断される。
この開示の別の一態様によると、第1の通信デバイスと第2の通信デバイスとを有するユーザー機器がコアネットワークのネットワーク認証エンティティと認証するための認証方法が次のように提供される。認証方法はまず、第1の認証プロセスを介して第1の通信デバイスとネットワークエンティティの間で認証してセキュリティコンテクストを取得する。認証方法は、続いて、第2の通信デバイスへセキュリティコンテクスト情報を送信する。したがって、認証方法は第2の認証プロセスを介して第2の通信デバイスとネットワーク認証エンティティの間で認証し、第2の通信デバイスは第1の通信デバイスからのセキュリティコンテクストを使ってネットワーク認証エンティティと認証する。本開示の一実施形態によると、第1の通信デバイスとコアネットワークの間の接続が途絶えたことに応答して、セキュリティコンテクストの部分を使って第2の認証プロセスを介して第1の通信デバイスとネットワークエンティティの間で認証する。
この開示の別の一態様によると、少なくとも2つの通信デバイスを有するユーザー機器がコアネットワークのネットワーク認証エンティティと認証するための認証フレームワークが次のように提供される。認証フレームワークは、UEの第1の通信デバイスにより、ネットワーク認証エンティティと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを取得する。続いて、第2の通信デバイスへセキュリティコンテクストが送信される。そして、第2の通信デバイスは第1の通信デバイスからのセキュリティコンテクストを使ってコアネットワークと第2の認証を遂行する。この開示の一実施形態によると、第1の通信デバイスとコアネットワークの間の接続が途絶えたことに応答して、第1の通信デバイスにより、取得されたセキュリティコンテクストを使ってコアネットワークと第2の認証を遂行する。
この開示の別の一態様によると、ユーザー機器(UE)と認証するためのコアネットワーク内のネットワーク認証エンティティが次のように提供される。ネットワーク認証エンティティは、プロセッサと、記憶媒体と、記憶媒体に記憶され、それぞれのプロセッサによって実行可能な命令であって、UEの第1の通信デバイスと第1の認証を遂行して第1の通信デバイスとの認証手順を通じてセキュリティコンテクストを生成し、UEの第1の通信デバイスとの認証手順を通じて確立されたセキュリティコンテクストに基づいてUEの第2の通信デバイスと第2の認証を遂行するための命令と、を含む。
この開示の別の一態様によると、ネットワーク認証エンティティはEAPベースの認証フレームワークにおける認証サーバーであることが可能である。いくつかの仕様において、これは、認証ユニット(AU)またはコントロールプレーン認証ユニット(CP-AU)としても知られている。
この開示の一実施形態によると、ネットワーク認証エンティティは、UE側の第1または第2の通信デバイスを介した認証管理モジュールとの認証を通じてセキュリティコンテクストを確立する。ネットワーク認証エンティティにおけるセキュリティコンテクストは、少なくともUEのIDと、カウンタと、k0と表記される秘密鍵とを含む。ネットワーク認証エンティティはk0に基づいて秘密鍵を導出し、k1と表記される鍵を、UEとネットワーク認証エンティティがそれを通じて互いに認証する基地局またはWi-Fi APへ送信する。この実施形態の一実施形態によると、第1の秘密鍵は、鍵導出関数(KDF)を使って、UEのIDとRAND(またはネットワークから受信されるNONCE)とを含む入力を用いて生成され、一方、第2の秘密鍵は、鍵導出関数(KDF)を使って、k0とカウンタとを含む入力を用いて生成される。この実施形態の一実施形態によると、第2の秘密鍵k1は、鍵導出関数(KDF)を使って、k0とRAND(またはネットワークから受信されるNONCE)とを含む入力を用いて生成される。この実施形態の一実施形態によると、第1の秘密鍵はネットワーク認証エンティティに記憶され、第2の秘密鍵は基地局またはWi-Fi APなどのネットワークエンティティへ送信される。
この開示の一実施形態によると、UEの第1の通信デバイスと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを生成するための命令は、UEのIDを含む要求メッセージをUEから基地局またはWi-Fi APのいずれかを介して受信し、UEのID、SN ID、およびネットワークタイプを含む認証データ要求を生成してホーム加入者サーバー(HSS)へ送信し、HSSから、乱数(RAND)、AUTN、XRES、IK、およびCKを含む認証データ応答を受信し、高速再認証ID(FRID)を生成するための命令を含む。この実施形態の一実施形態によると、FRIDはUEのIDを乱数と組み合わせることによって生成される。この実施形態の別の一実施形態によると、FRIDは、UEのIDを、要求を行っている通信デバイスのタイプに基づく所定の数字と組み合わせることによって生成される。
この開示の一実施形態によると、UEの第1の通信デバイスと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを生成するための命令は、FRID、RAND、AUTH、およびメッセージ認証コード(MAC)を含むAKAチャレンジメッセージを生成し、どの通信デバイスが認証プロセスを開始するかに応じて、基地局またはWi-Fi APへ送信するための命令であって、MACは、IKを使って、FRID、RAND、AUTHを含むMACの入力パラメータを用いて生成され、MAC=MACIK(FRID||RAND||AUTH)のように表現することができる、命令をさらに含む。
この開示の一実施形態によると、UEの第1の通信デバイスと第1の認証を遂行して第1の通信デバイスのためのセキュリティコンテクストを生成するための命令は、RESを含むAKA応答をUEから受信し、RESがXRESに等しいか否かを判断し、RESがXRESに等しいことに応答して、第1の通信デバイスのための秘密鍵k0を導出し、FRID、k0、およびカウンタを含むセキュリティコンテクストを記憶するための命令をさらに含む。この実施形態の一実施形態によると、秘密鍵は、鍵導出関数(KDF)を使って、UEのIDとRANDを含むKDFの入力を用いて導出される。
この発明による上記の利点と特徴は、以下の詳細な説明において説明され、以下の図面に表わされている。
信頼されたWi-Fiと信頼されていないWi-Fiの両方を含むWi-Fiアクセス技術を統合するネットワークアーキテクチャを示す。 4GネットワークにおけるEPS-AKAプロトコルの手順のタイミング図を示し、ここでUEはネットワークと相互認証を遂行してLTE技術を介してネットワークにアクセスする。 4GネットワークにおけるEAP-AKAプロトコルの手順のタイミング図を示し、ここでUEはネットワークと相互認証を遂行してWi-Fi技術を介してネットワークにアクセスする。 3GPP仕様33.402に提示された認証を加速する高速再認証メカニズムの手順のタイミング図を示す。 この開示の一実施形態による、5Gアクセス技術とWi-Fiアクセス技術のための統一認証フレームワークを示す。 この開示の一実施形態による、2つの通信エンティティ/デバイスが共有の認証情報を使ってコアネットワークと認証する手順のプロセスを示す。 この開示の一実施形態による、2つの通信エンティティ/デバイスが共有の認証情報を使ってコアネットワークと認証する手順のタイミング図を示す。 この開示の一実施形態による、プロセス600とタイミング図700とに従って第1の通信デバイスによって遂行されるプロセスを示す。 この開示の一実施形態による、プロセス600とタイミング図700とに従って通信デバイス2によって遂行されるプロセスを示す。 この開示の一実施形態による、プロセス600とタイミング図700とに従ってネットワーク認証エンティティによって遂行されるプロセスを示す。 この開示の一実施形態による、プロセス600とタイミング図700とに従ってネットワーク認証エンティティによって遂行される代わりのプロセスを示す。 この開示の一実施形態による、2つの通信エンティティ/デバイスが認証管理モジュールを通じて共有の認証情報を使ってコアネットワークと認証する手順のプロセスを示す。 この開示の一実施形態による、図11に表わされているように、2つの通信エンティティ/デバイスが認証管理モジュールを通じて共有の認証情報を使ってコアネットワークと認証する手順のタイミング図を示す。 この開示の一実施形態による、図11に表わされているように、2つの通信エンティティ/デバイスが認証管理モジュールを通じて共有の認証情報を使ってコアネットワークと認証する手順の修正されたタイミング図を示す。 この開示の一実施形態による、プロセス1100とタイミング図1200とに従って通信デバイス1および2のいずれか一方によって遂行されるプロセスを示す。 この開示の一実施形態による、プロセス1100とタイミング図1200とに従って認証管理モジュールによって遂行されるプロセスを示す。 この開示の一実施形態による、統一認証フレームワークの第1の部分による認証手順のタイミング図を示す。 この開示の一実施形態による、タイミング図1500に従って通信デバイス1および2のいずれか一方によって遂行されるプロセスを示す。 この開示の一実施形態による、タイミング図1500に従ってネットワーク認証エンティティによって遂行されるプロセスを示す。 この開示の一実施形態による、タイミング図1500に従ってHSSによって遂行されるプロセスを示す。 この開示の一実施形態による、統一認証フレームワークの第2の部分による高速再認証手順のタイミング図を示す。 この開示の一実施形態による、タイミング図1900に従って通信デバイス1および2のいずれか一方によって遂行されるプロセスを示す。 この開示の一実施形態による、タイミング図1900に従ってネットワーク認証エンティティによって遂行されるプロセスを示す。 この開示の一実施形態による、複数の協調的認証を表わす一実施形態を示す。 複数のアクセス技術を表わす一実施形態を示す。 2つの異なるアクセス技術を有するUEが統一認証フレームワークを用いてセキュリティコンテクストを確立する詳細な手順を示す。
この発明はコアネットワークにアクセスするモバイルデバイスの協調的な認証のための統一認証フレームワークのための方法およびシステムに関する。特に、この発明はモバイルデバイスとコアネットワークの間の協調的な認証のための統一認証フレームワークのための方法およびシステムに関する。
この開示では、5GおよびWi-Fiなどの異なるアクセス技術が次世代通信ネットワークで使われるときに、通信ネットワークのための認証フレームワークを最適化する新たな認証ソリューションが提案される。
新たな認証ソリューションをより良く理解するため、既存の認証方法の簡単な概要がまず説明される。
図2は4GネットワークにおけるEPS-AKAプロトコルの手順のタイミング図200を示し、ここでUEはネットワークと相互認証を遂行してLTE技術を介してネットワークにアクセスする。タイミング図200は、UEがMMEへアタッチ要求を送信する210で始まる。アタッチ要求はUEのアクセスIDを含んでいる。
UEからアタッチ要求を受信すると、MMEは、ステップ220でHSSへ認証データ要求を送信する。認証データ要求は、アクセスIDと、サービングネットワーク識別情報(SN ID)と、ネットワークタイプとを含んでいる。
MMEから認証データ要求を受信することに応答して、HSSは、ステップ230でアクセスIDと結び付けられた鍵(K)をHSSデータベース内で見つけ、EPS AKAアルゴリズムを使って認証ベクトルを計算する。認証ベクトルは、乱数(RAND)と、AUTNと、KAMSEと、XRESとを含んでいる。HSSはそして、ステップ240で認証データ応答を生成して認証ベクトルとともにMMEへ送信する。
ステップ250では、MMEがユーザー認証要求を生成してUEへ送信する。ユーザー認証要求は、乱数(RAND)と、認証ベクトルから導出された認証トークンAUTNとを含んでいる。
RANDとAUTNを受信すると、UEは、ステップ260でAUTNUEを計算し、そしてAUTNUEがAUTNに等しいか否かを検証することによってコアネットワークを認証する。AUTNUEがAUTNに等しいならば、UEはステップ270でMMEへユーザー認証応答を送信する。ユーザー認証応答はRESを含んでいる。
ユーザー認証応答を受信すると、MMEは、ステップ280でRESとXRESとを比較することによってUEを認証する。RESがXRESに等しならば、認証は成功であり、MMEはUEにゲートウェイへのアクセスを許可する。タイミング図200はステップ280の後に終わる。
図3は4GネットワークにおけるEAP-AKA/EAP-AKA’プロトコルの手順のタイミング図300を示し、ここでUEはネットワークと相互認証を遂行してWi-Fi技術を介してネットワークにアクセスする。タイミング図300は、UEがWi-Fi APなどの非3GPPアクセスポイントと結び付く310で始まる。UEがWi-Fi APと結び付いた後に、Wi-Fi APはステップ315で識別情報の要求をUEへ送信する。要求を受信すると、ステップ320でUEはその識別情報を引き出し、Wi-Fi APへ識別情報を送信する。UEから識別情報を受信したことに応答して、Wi-Fi APは、ステップ325でAAAサーバーへ識別情報を送信する。
ステップ330でAAAはAKAベクトルの要求をHSSへ送信する。AAAから要求を受信したことに応答して、HSSは、ステップ335で識別情報と結び付けられた鍵(K)をHSSデータベース内で見つけ、EAP AKAアルゴリズムを使って認証ベクトルを計算する。認証ベクトルは、乱数(RAND)と、AUTNと、KAMSEと、XRESとを含んでいる。HSSはそして、ステップ340で認証ベクトルを生成してAAAへ送信する。
AAAは、HSSから認証ベクトルを受信した後に、ステップ345でチャレンジメッセージを生成してWi-Fi APへ送信する。チャレンジメッセージを受信したことに応答して、Wi-Fi APは、ステップ350でUEへチャレンジメッセージを送信する。
ステップ355では、UEがチャレンジメッセージに基づいてネットワークを認証する。特に、UEはAUTNUEを計算し、そしてAUTNUEがAUTNに等しいか否かを検証することによってコアネットワークを認証する。AUTNUEがAUTNに等しいならば、UEはステップ360でWi-Fi APへ応答メッセージを送信する。ユーザー認証応答はRESを含んでいる。
UEから応答メッセージを受信したことに応答して、Wi-Fi APは、ステップ365でAAAサーバーへ応答メッセージを送信する。応答メッセージを受信すると、AAAは、ステップ370でRESとXRESとを比較することによってUEを認証する。RESがXRESに等しいならば、認証は成功であり、AAAはステップ375でプロファイルの引き出しと登録のためにHSSと通信する。AAAはまた、ステップ370で認証が成功すると、UEにゲートウェイへのアクセスを許可する。
AAAはそして、ステップ380で成功メッセージを生成し、Wi-Fi APへ送信する。AAAから成功メッセージを受信したことに応答して、Wi-Fi APは、ステップ385でUEへ成功メッセージを送信する。タイミング図300はステップ385の後に終わる。
図4は、3GPP仕様33.402第13.0.0版に提示された認証を加速する高速再認証メカニズムの手順のタイミング図400を示す。タイミング図400は、UEがWi-Fi APなどの非3GPPアクセスポイントと結び付く410で始まる。UEがWi-Fi APと結び付いた後に、Wi-Fi APはステップ415で識別情報の要求をUEへ送信する。要求を受信すると、ステップ420で、UEは、その識別情報を引き出し、Wi-Fi APへ識別情報を送信する。UEから識別情報を受信したことに応答して、Wi-Fi APは、ステップ425でAAAサーバーへ識別情報を送信する。
ステップ445では、AAAが再認証メッセージを生成してWi-Fi APへ送信する。再認証メッセージを受信したことに応答して、Wi-Fi APは、ステップ450でUEへ再認証メッセージを送信する。再認証メッセージは、COUNTERと、(暗号化された)NONCE_Sと、(暗号化された)NEXT_REAUTH_IDと、MACとを含んでいる。これは知られている方法であり、さらなる詳細はRFC4187の第5.4節で見ることができる。
ステップ460では、UEがWi-Fi APへ応答メッセージを送信する。応答メッセージは(暗号化された)同じ値を有するCOUNTERとMACとを含んでいる。
UEから応答メッセージを受信したことに応答して、Wi-Fi APは、ステップ465でAAAサーバーへ応答メッセージを送信する。応答メッセージを受信すると、AAAは、ステップ470で通知メッセージを生成してWi-Fi APへ送信する。通知メッセージは(暗号化された)同じ値のCOUNTERとMACとを含んでいる。
通知メッセージを受信したことに応答して、Wi-Fi APは、ステップ475でUEへ通知メッセージを送信する。ステップ480では、通知メッセージを受信したことに応答して、UEが第2の応答メッセージを生成してWi-Fi APへ送信する。
第2の応答メッセージを受信したことに応答して、Wi-Fi APは、ステップ485でUEへ第2の応答メッセージを送信する。
そして、AAAはステップ490で成功メッセージを生成してWi-Fi APへ送信する。AAAから成功メッセージを受信したことに応答して、Wi-Fi APは、ステップ495でUEへ成功メッセージを送信する。タイミング図400はステップ495の後に終わる。
図4に表わされた高速再認証を図3に表わされた通常のEAP-AKA’完全認証手順と比較すると、AAAサーバーはHSSから認証ベクトルを入手する必要がない。このため、高速再認証手順は通常のEAP-AKA’完全認証より効率的である。当業者は、図2〜4を参照して上述したプロセスの流れが既存のプロセスであることを認識するであろう。このため、上記の説明は網羅的であることを意味しない。
背景技術を念頭に置き、我々はここで本発明に目を向ける。この開示では、第5世代(5G)通信ネットワークなどの次世代無線通信ネットワークにおいてセルラー技術とWi-Fi技術の双方が、4GネットワークにおけるEPS-AKAおよびEAP-AKA’の代わりに、同じ認証プロトコル、すなわちEAP-AKA’を使い得ると仮定する。しかし、この開示がただ1つの認証プロトコルの使用に限定されないことに注意されたい。
さらに、ネットワーク側では、4Gネットワークで個別の認証エンティティ、すなわちMMEとAAAを有する代わりに、ただ1つの認証エンティティ、AAAサーバーが使われてもよい。あるいは、MMEとAAAは認証サーバーによって管理されてもよい。
そのような構成に基づき、異なるアクセス技術が認証結果を共有するための方法およびシステムの提供が提案される。特に、UEの1つのアクセス技術がAAAサーバーと認証に成功した後に、UEは高速認証IDを取得する。第2のアクセス技術は高速認証IDを獲得し、既存の技術として完全認証を遂行する代わりに、AAAサーバーと高速認証を遂行することができる。
この開示の目的のために、モバイルデバイスなどのUEが1つより多くのアクセス技術を含むことは典型的である。LTEとWi-Fiは2つの典型的な無線アクセス技術に相当する。2つの技術はまた、徐々に融合しつつある。4Gネットワークにおいて、2つのアクセス技術はUSIMとHSSにそれぞれ保持された同じ信用情報を用いてネットワークと認証するが、基礎となる認証プロトコルと認証エンティティは依然として異なる。セルラーエンティティとWi-Fiエンティティは互いに会話しない。代わりに、アクセス技術のいずれか1つの使用を判断するために管理モジュールが提供される。
図5は5Gアクセス技術とWi-Fiアクセス技術のための統一認証フレームワークを示す。提案されるフレームワークを用いて、アクセス技術から独立して、ただ1つの認証プロトコル、EAP-AKA’が認証に使われ、ネットワーク側にはただ1つの認証エンティティが、すなわちAAAサーバーが存在する。
提案される新しい認証フレームワークを用いて、同じUEに属する異なるアクセス技術のための提案される方法が認証情報を共有し、それによって認証手順はさらに最適化することができる。この開示では様々な方法が提案される。第1の方法は、1つの無線アクセス技術を有するUEが異なるアクセス技術を有する他のデバイスから高速認証情報を直接入手することである。第2の方法は、高速認証IDなどの認証情報を管理する認証管理モジュールなどの独立したモジュールに関する。これはUEが認証管理モジュールから認証情報を取得することを可能にする。
基本的に、統一認証フレームワークは2つの部分510および520からなる。第1の部分510は、コアネットワークと認証して、あるセキュリティコンテクストを取得する、UEにおける第1のアクセス技術に関係する。第2の部分は、第1のアクセス技術を通じて確立されたセキュリティコンテクストの一部を取得してコアネットワークと認証する、UEにおける第2のアクセス技術に関係する。図5に表わされた例示において、第1のアクセス技術はWi-Fiアクセス技術であり、一方、第2のアクセス技術はセルラー技術である。しかし、当業者は、第1および第2のアクセス技術が、本開示から逸脱することなく、交換可能であることを認識するであろう。換言すると、図5は、本開示から逸脱することなく、第1のアクセス技術がセルラー技術であり、一方、第2のアクセス技術がWi-Fiアクセス技術であるように修正されてもよい。
UEとコアネットワークは広く知られていることに注意されたい。このため、簡潔にするため、オペレーティングシステム、構成、構造、アセンブリなどは省かれている。重要なこととして、本発明による方法およびシステムは、記憶媒体に記憶され、それぞれのUEおよびコアネットワークのプロセッサによって実行可能な命令の形で提供される。
<2つの通信モジュールを有するUE>
統一認証フレームワークの第1の方法では、同じUE内の2つの通信エンティティ/デバイスが、高速再認証IDおよび関連する秘密鍵を含む認証情報を互いに直接共有する。ここで図6を参照して共通の認証を使用する2つの通信エンティティ/デバイスのための手順が以下で説明される。
図6は、共有の認証情報を使用してコアネットワークと認証する2つの通信エンティティ/デバイスための手順についてのプロセス600を示す。プロセス600は、通信デバイス1がコアネットワークのネットワーク認証エンティティと認証してセキュリティコンテクストを取得するステップ605で始まる。特に、UEの通信デバイス1はコアネットワークのネットワーク認証エンティティと認証し、成功であるならば、ネットワーク認証エンティティがセキュリティコンテクストを生成する。この例で、ネットワーク認証エンティティは、AAAサーバー、MME、またはAAAサーバーおよびMMEサーバーと同じ場所に置くことができる独立したセキュリティ管理モジュールであってよい。セキュリティコンテクストは、高速再認証IDと、秘密鍵と、カウンタとを含んでよい。そして、通信デバイス1へ認証メッセージが送信される。当業者は、本開示から逸脱することなく、通信デバイス1が代わりにセキュリティコンテクストを生成できることを認識するであろう。ステップ605は統一認証フレームワークの第1の部分に関係する。ステップ605のさらなる詳細は図15を参照して以下で説明される。
ステップ610では、通信デバイス2がコアネットワークと認証することを望む。しかし、通信デバイス2は、コアネットワークとの認証に先立ち、通信デバイス1へ要求を送信して高速再認証IDを取得する。
ステップ615では、通信デバイス1から高速再認証IDを受信すると、通信デバイス2が後に高速再認証IDを使ってコアネットワークと認証する。特に、通信デバイス2はコアネットワークとの高速再認証手順を開始する。高速再認証手順は、通信デバイス2がメッセージを生成して認証エンティティへ送信することで始まる。メッセージは高速再認証IDを含み、任意選択で高速再認証IDが現在の通信デバイスに属していないこと、および現在の通信デバイスが同じUE内の別のデバイスから高速再認証IDを取得することを示すフラグも含む。ネットワーク側の認証エンティティは、メッセージからフラグを抽出することによって、セキュリティコンテクストの取り扱いにおける適切な動作を判断する。例えば、高速再認証IDが通信デバイスに属していることをフラグが示すならば、サーバーは単にセキュリティコンテクストを更新してもよい。高速再認証IDが通信デバイスに属していないことをフラグが示すならば、認証エンティティは新たなセキュリティコンテクストを作成してもよい。
ネットワーク認証エンティティは認証の間に通信デバイス2からさらなる情報を要求してもよい。このため、通信デバイス2は通信デバイス1から、ある情報を要求してもよい。例えば、通信デバイス2は、ネットワーク認証エンティティからEAP-AKA’要求に組み込まれた高速再認証メッセージを受信した後に、通信デバイス1へ高速再認証メッセージを送信してもよい。そして、通信デバイス1は高速再認証応答を生成し、通信デバイス2へ高速再認証応答を送信する。そして、通信デバイス2はネットワーク側のネットワーク認証エンティティへ高速再認証応答メッセージを送信する。ネットワーク認証エンティティは高速再認証応答メッセージで通信デバイス2を認証する。さらに、第2のデバイスとネットワーク側の認証エンティティの間で通知メッセージおよび成功メッセージなどの他のメッセージが交換されてよい。ステップ615のさらなる詳細は図16を参照して以下で説明される。
ステップ620で、高速再認証IDが通信デバイス2に属していないとネットワーク認証エンティティが判断し、通信デバイス2との認証が成功であるならば、ネットワーク認証エンティティが通信デバイス2のためにセキュリティコンテクストを生成する。セキュリティコンテクストは少なくともマスターセッション鍵を含んでいる。セキュリティコンテクストは通信デバイス2へ送信される。あるいは、マスターセッション鍵は通信デバイス1によって生成されて通信デバイス2へ送信されてもよい。ステップ610、615、および620は統一認証フレームワークの第2の部分に関係する。プロセス600は620の後に終了する。
図7は、図6に表わされているように共有の認証情報を使用する2つの通信エンティティ/デバイスがコアネットワークと認証する手順についてのタイミング図700を示す。タイミング図700は、通信デバイス1がコアネットワークのネットワーク認証エンティティと認証してセキュリティコンテクストを取得するステップ705で始まる。プロセス600のステップ605と同様に、UEの通信デバイス1はコアネットワークのネットワーク認証エンティティと認証し、成功であるならば、ネットワーク認証エンティティがセキュリティコンテクストを生成する。この例で、ネットワーク認証エンティティは、AAAサーバー、MMEサーバー、またはAAAおよびMMEサーバー内または外のセキュリティ管理モジュールであってよい。セキュリティコンテクストは、高速再認証IDと、秘密鍵と、カウンタとを含んでよい。そして、高速再認証IDとカウンタとその他の情報を含むメッセージが通信デバイス1へ送信される。当業者は、本開示から逸脱することなく、通信デバイス1が代わりにセキュリティコンテクストを生成してもよいことを認識するであろう。ステップ705のさらなる詳細は図15を参照して以下で説明される。
ステップ705で認証が成功である後、ネットワーク認証エンティティがステップ710aで高速再認証IDと秘密鍵を保存し、カウンタを初期化する。同様に、UE側で通信デバイス1もステップ710bで高速再認証IDと秘密鍵を保存し、カウンタを初期化する。ステップ705、710a、および710bは統一認証フレームワークの第1の部分に関係する。
ステップ715では、通信デバイス2がコアネットワークと認証することを望む。そのため、通信デバイス2は高速再認証IDを取得るるために要求を通信デバイス1へ送信する。通信デバイス2からの要求に応答して、通信デバイスはステップ720で高速再認証IDを含む応答を通信デバイス1へ送信する。
ステップ730では、通信デバイス1から高速再認証IDを受信すると、通信デバイス2が高速再認証IDを使ってコアネットワークと認証する。特に、通信デバイス2はコアネットワークのネットワーク認証エンティティとの高速再認証手順を開始する。高速再認証手順は、通信デバイス2がメッセージを生成して認証エンティティへ送信することで始まる。メッセージは、高速再認証ID、および、高速再認証IDが現在の通信デバイスに属していないこと、および現在の通信デバイスが同じUE内の別のデバイスから高速再認証IDを取得することを示すフラグを含む。ネットワーク側の認証エンティティは、メッセージからフラグを抽出することによって、セキュリティコンテクストの取り扱いにおける適切な動作を判断する。例えば、高速再認証IDが通信デバイスに属していることをフラグが示すならば、サーバーは単にセキュリティコンテクストを更新してもよい。高速再認証IDが通信デバイスに属していないことをフラグが示すならば、認証エンティティは新たなセキュリティコンテクストを作成してもよい。
ネットワーク認証エンティティはステップ730の間に通信デバイス2からさらなる情報を要求してもよい。このため、通信デバイス2はステップ732で通信デバイス1から、ある情報を要求してもよい。例えば、通信デバイス2は、ネットワーク認証エンティティからEAP-AKA’要求に組み込まれた高速再認証メッセージを受信した後に、通信デバイス1へ高速再認証メッセージを送信してもよい。そして、通信デバイス1は高速再認証応答を生成し、通信デバイス2へ高速再認証応答を送信する。そして、通信デバイス2はネットワーク側のネットワーク認証エンティティへ高速再認証応答メッセージを送信する。ネットワーク認証エンティティは高速再認証応答メッセージを用いて通信デバイス2を認証する。さらに、第2のデバイスとネットワーク側の認証エンティティの間で通知メッセージおよび成功メッセージなどの他のメッセージが交換されてよい。ステップ615のさらなる詳細は図16を参照して以下で説明される。
ステップ740aで、高速再認証IDが通信デバイス2に属していないとネットワーク認証エンティティが判断し、通信デバイス2との認証が成功であるならば、ネットワーク認証エンティティが通信デバイス2のためにセキュリティコンテクストを生成する。セキュリティコンテクストは少なくともマスターセッション鍵を含んでいる。新たな高速再認証IDとカウンタとノンスとを含む認証メッセージが、セキュリティコンテクスト導出のため、通信デバイス2へ送信される。あるいは、マスターセッション鍵はステップ740bで通信デバイス1によって生成されて通信デバイス2へ送信されてもよい。ステップ730、732、740a、および740bは統一認証フレームワークの第2の部分に関係する。タイミング図700はステップ740aまたは740bの後に終わる。
図8はプロセス600とタイミング図700とに従って通信デバイス1によって遂行されるプロセス800を示す。プロセス800は、高速再認証IDの要求をUEの第2の通信デバイスへ送信することによってステップ805で始まる。ステップ810では、第1の通信デバイスが第2の通信デバイスから応答を受信する。応答が高速再認証IDを含んでいるならば、通信デバイスはステップ820へ進む。応答が高速再認証IDを含んでいないならば、通信デバイスはステップ830へ進む。
ステップ820では、第1の通信デバイスが統一認証フレームワークの第2の部分を進める。ステップ830では、第1の通信デバイスが統一認証フレームワークの第1の部分を進める。プロセス800はステップ820または830の後に終了する。
図9はプロセス600とタイミング図700とに従って通信デバイス2によって遂行されるプロセス900を示す。プロセス900は、高速再認証IDの要求をUEの通信デバイス1から受信することによってステップ905で始まる。
ステップ910では、通信デバイス2が高速再認証IDと秘密鍵とカウンタとを含む応答を生成して送信する。通信デバイス2が高速再認証IDを有さないならば、通信デバイス2が高速再認証IDを有さないことを示す応答を生成し、送信する。
プロセス900はステップ910の後に終了する。
図10はプロセス600とタイミング図700とに従ってネットワーク認証エンティティによって遂行されるプロセス1000を示す。プロセス1000はUEから要求を受信することによってステップ1005で始まる。ステップ1010でネットワーク認証エンティティは要求が認証であるか、または高速再認証であるかを判断する。要求が認証であるならば、プロセス1000はステップ1015へ進む。要求が高速再認証であるならば、プロセス1000はステップ1040へ進む。
ステップ1015では、認証の要求を受信したことに応答して、ネットワーク認証エンティティがUEと認証する。認証が成功であるならば、プロセス1000はステップ1020へ進む。そうでなければプロセス1000は終了する。
ステップ1020では、ネットワーク認証エンティティがセキュリティコンテクストを生成する。セキュリティコンテクストは、高速再認証ID(FRID)と、秘密鍵と、カウンタとを含んでよい。ステップ1025では、セキュリティコンテクストからさらなる秘密鍵が導出され、Wi-Fi APまたは3GPP技術が規定する基地局、または他のものなどのネットワークエンティティへ送信される。ステップ1030では、セキュリティコンテクストのコピーがネットワーク認証エンティティのデータベース内に保存される。k1と表記され、基地局またはWi-Fi APへ送信される秘密鍵は、KDF関数を用いて、セキュリティコンテクストのk0と表記される秘密鍵から導出される。UEへ送信される、FRID、またはカウンタ、または乱数、またはノンスなどのパラメータも、k1の導出においてKDF関数の入力として使われてよい。
ステップ1040で、ネットワーク認証エンティティは、まずはメッセージが高速再認証IDの出所についてフラグを含んでいるか否かを判断することによって、UEからの高速再認証手順を開始する。そしてネットワーク認証エンティティは高速再認証IDの出所を判断する。
高速再認証IDの出所が通信デバイスに属していることをフラグが示すならば、ネットワーク認証エンティティはステップ1045へ進み、セキュリティコンテクスト内のカウンタなどの通信コンテクストを単に更新する。高速再認証IDの出所が通信デバイスに属していないことをフラグが示すならば、ネットワーク認証エンティティはステップ1050へ進む。
ステップ1050で、ネットワーク認証エンティティは、ステップ1020と同様に、新たな通信デバイスのために新たなセキュリティコンテクストを作成し、鍵またはセキュリティコンテクストからさらに導出された鍵を、Wi-Fi APまたは3GPPが規定する基地局などのネットワークエンティティへ送信する。あるいは、セキュリティコンテクストがステップ1055で生成されるマスターセッション鍵とともにステップ1060で送信されてもよい。
ステップ1055でネットワーク認証エンティティは高速再認証手順を継続する。認証が成功であるならば、ネットワーク認証エンティティはマスターセッション鍵を作成する。マスターセッション鍵はセキュリティコンテクストに含められてよい。あるいは、セキュリティコンテクストはマスターセッション鍵を含まなくてもよい。代わりに、マスターセッション鍵は高速再認証IDを所有する通信デバイスによって生成され、新たな通信デバイスへ送信されてもよい。セキュリティコンテクストはネットワーク認証エンティティのデータベース内にも保存される。
ステップ1060では、ネットワーク認証エンティティがセキュリティコンテクストを含む高速再認証メッセージをUEへ送信する。高速再認証の手順についてのさらなる詳細は図16を参照して以下で説明される。プロセス1000はステップ1060の後に終了する。
図10Aはプロセス600とタイミング図700とに従ってネットワーク認証エンティティによって遂行される代わりのプロセス1000Aを示す。特に、高速再認証手順はFRIDが元の出所からのものであるか否かを検討せず、セキュリティコンテクストの更新に直接に進む。プロセス1000Aの認証プロセスはプロセス1000の認証プロセスと同じである。
プロセス1000AはUEから要求を受信することによってステップ1005Aで始まる。ステップ1010Aでネットワーク認証エンティティは要求が認証であるか、または高速再認証であるかを判断する。要求が認証であるならば、プロセス1000Aはステップ1015Aへ進む。要求が高速再認証であるならば、プロセス1000Aはステップ1045Aへ進む。
ステップ1015Aでは、認証の要求を受信したことに応答して、ネットワーク認証エンティティがUEと認証する。認証が成功であるならば、プロセス1000Aはステップ1020Aへ進む。そうでなければプロセス1000Aは終了する。
ステップ1020Aでは、ネットワーク認証エンティティがセキュリティコンテクストを生成する。セキュリティコンテクストは、高速再認証IDと、秘密鍵と、カウンタとを含んでよい。ステップ1025Aでは、セキュリティコンテクストからさらなる秘密鍵が導出され、Wi-Fi APまたは3GPP技術が規定する基地局、または他のものなどのネットワークエンティティへ送信される。ステップ1030Aでは、セキュリティコンテクストのコピーがネットワーク認証エンティティのデータベース内に保存される。k1と表記され、基地局またはWi-Fi APへ送信される秘密鍵は、KDF関数を用いて、セキュリティコンテクストのk0と表記される秘密鍵から導出される。UEへ送信される、FRID、またはカウンタ、または乱数、またはノンスなどのパラメータも、k1の導出においてKDF関数の入力として使われてよい。
ステップ1045Aでは、ネットワーク認証エンティティがセキュリティコンテクスト内のカウンタなどの通信コンテクストを更新する。
ステップ1050Aでネットワーク認証エンティティは高速再認証手順を継続する。認証が成功であるならば、ネットワーク認証エンティティはマスターセッション鍵を作成する。
そして、マスターセッション鍵はステップ1055AでWi-Fi APまたは3GPPが規定する基地局などのネットワークエンティティへ送信される。プロセス1000Aはステップ1055Aの後に終了する。
<2つの通信モジュールと専用の認証管理モジュールを有するUE>
統一認証フレームワークの第2の方法では、同じUE内の2つの通信エンティティ/デバイスが、認証管理モジュールを通じて、高速再認証IDと関連する秘密鍵とを含む認証情報を共有する。特に、異なる通信デバイスからの認証情報を管理するため、UE内に個別のモジュールが設けられる。ネットワーク認証エンティティから高速再認証IDを受信した後に、通信デバイスはさらに、高速再認証IDと(任意選択の)導出された秘密鍵とカウンタなどを認証管理モジュールに引き渡す。ここで認証管理モジュールを通じた共通の認証を使用する2つの通信エンティティ/デバイスのための手順が図11を参照して以下で説明される。
図11は、2つの通信エンティティ/デバイスが認証管理モジュールを通じて共通の認証情報を使ってコアネットワークと認証する手順についてのプロセス1100を示す。プロセス1100は、通信デバイス1がコアネットワークのネットワーク認証エンティティと認証してセキュリティコンテクストを取得することによってステップ1105で始まる。特に、UEの通信デバイス1はコアネットワークのネットワーク認証エンティティと認証し、成功であるならば、ネットワーク認証エンティティがセキュリティコンテクストを生成する。この例で、ネットワーク認証エンティティは、AAAサーバー、MMEサーバー、またはAAAおよびMMEサーバーを管理する管理モジュールであってよい。ネットワーク認証エンティティは独立した機能エンティティであることも可能である。セキュリティコンテクストは、高速再認証IDと、秘密鍵と、カウンタとを含んでよい。そして、通信デバイス1へセキュリティコンテクストが送信される。当業者は、本開示から逸脱することなく、通信デバイス1が代わりにセキュリティコンテクストを生成してもよいことを認識するであろう。ステップ1105は統一認証フレームワークの第1の部分に関係する。ステップ1105のさらなる詳細は図15を参照して以下で説明される。
ステップ1110では、通信デバイス1が認証管理モジュールへセキュリティコンテクストを送信する。別の一実施形態において、認証管理モジュールは、ネットワーク側のネットワーク認証エンティティとの認証メッセージの交換を通じてセキュリティコンテクストを自ら確立してもよい。認証管理モジュールは独立したモジュールであってよく、これはハードウェアまたはソフトウェアであることが可能であり、同じUE内の異なる通信デバイスからの認証情報を管理するように開発される。通信デバイス1からセキュリティコンテクストを受信すると、認証管理モジュールはセキュリティコンテクスト情報のコピーを保存する。
ステップ1115では、通信デバイス2がコアネットワークと認証することを望む。しかし、通信デバイス2は、コアネットワークとの認証に先立ち、認証管理モジュールへ要求を送信して高速再認証IDを取得する。あるいは、通信デバイス2は、認証管理モジュールをトリガーして認証手順を開始してもよい。
ステップ1120では、認証管理モジュールから高速再認証IDを受信すると、通信デバイス2が高速再認証IDを使ってコアネットワークと認証する。特に、通信デバイス2はコアネットワークとの高速再認証手順を開始する。高速再認証手順は、通信デバイス2または認証管理モジュールがメッセージを生成して認証エンティティへ送信することで始まる。メッセージは、高速再認証ID、および、高速再認証IDが現在の通信デバイスに属していないこと、および現在の通信デバイスが同じUE内の別のデバイスから高速再認証IDを得ることを示すフラグを含む。ネットワーク側の認証エンティティは、メッセージからフラグを抽出することによって、セキュリティコンテクストの取り扱いにおける適切な動作を判断する。例えば、高速再認証IDが通信デバイスに属していることをフラグが示すならば、サーバーは単にセキュリティコンテクストを更新してもよい。高速再認証IDが通信デバイスに属していないことをフラグが示すならば、認証エンティティは新たなセキュリティコンテクストを作成してもよい。
ネットワーク認証エンティティは認証の間に通信デバイス2からさらなる情報を要求してもよい。このため、通信デバイス2は認証管理モジュールから、ある情報を要求してもよい。例えば、通信デバイス2は、ネットワーク認証エンティティからEAP-AKA’要求に組み込まれた高速再認証メッセージを受信した後に、認証管理モジュールへ高速再認証メッセージを送信してもよい。そして、認証管理モジュールは高速再認証応答を生成し、通信デバイス2へ高速再認証応答を送信する。そして、通信デバイス2はネットワーク側のネットワーク認証エンティティへ高速再認証応答メッセージを送信する。ネットワーク認証エンティティは高速再認証応答メッセージを用いて通信デバイス2を認証する。さらに、通信デバイスまたは認証管理モジュールとネットワーク側の認証エンティティの間で通知メッセージおよび成功メッセージなどの他のメッセージが交換されてよい。ステップ1120のさらなる詳細は図16を参照して以下で説明される。
ステップ1125で、高速再認証IDが通信デバイス2に属していないとネットワーク認証エンティティが判断し、通信デバイス2との認証が成功であるならば、ネットワーク認証エンティティが通信デバイス2のためにセキュリティコンテクストを生成する。セキュリティコンテクストは少なくともマスターセッション鍵を含んでいる。マスターセッション鍵は認証管理モジュールによって生成されて通信デバイス2へ送信されてもよい。ステップ1115、1120、および1125は統一認証フレームワークの第2の部分に関係する。プロセス1100は1125の後に終了する。
図12は、図11に表わされているように、2つの通信エンティティ/デバイスが認証管理モジュールを通じて共有の認証情報を使用してコアネットワークと認証するための手順についてのタイミング図1200を示す。タイミング図1200は、通信デバイス1が、コアネットワークのネットワーク認証エンティティと認証してセキュリティコンテクストを確立するステップ1205で始まる。プロセス1100のステップ1105と同様に、UEの通信デバイス1はコアネットワークのネットワーク認証エンティティと認証し、成功であるならば、ネットワーク認証エンティティがセキュリティコンテクストを生成する。この例で、ネットワーク認証エンティティは、AAAサーバー、MMEサーバー、またはAAAおよびMMEサーバーを管理する管理モジュールであってよい。セキュリティコンテクストは、高速再認証IDと、秘密鍵と、カウンタとを含んでよい。当業者は、本開示から逸脱することなく、通信デバイス1が代わりにセキュリティコンテクストを生成できることを認識するであろう。ステップ1205のさらなる詳細は図15を参照して以下で説明される。
ステップ1205で認証が成功した後は、ネットワーク認証エンティティがステップ1210aで高速再認証IDと秘密鍵を保存し、カウンタを初期化する。同様に、UE側で通信デバイス1もステップ1210bで高速再認証IDと秘密鍵を保存し、カウンタを初期化する。ステップ1205、1210a、および1210bは統一認証フレームワークの第1の部分に関係する。
ステップ1215では、通信デバイス1が認証管理モジュールへセキュリティコンテクストを送信する。認証管理モジュールは独立したモジュールであってよく、ハードウェアまたはソフトウェアであることが可能であり、同じUE内の異なる通信デバイスからの認証情報を管理するように開発される。通信デバイス1からセキュリティコンテクストを受信すると、認証管理モジュールはセキュリティコンテクスト情報のコピーを保存する。
ステップ1220では、通信デバイス2がコアネットワークと認証することを望む。そのため、通信デバイス2は高速再認証IDを得るために要求を認証管理モジュールへ送信する。通信デバイス2からの要求に応答して、認証管理モジュールはステップ1230で高速再認証IDを含む応答を通信デバイス1へ送信する。
ステップ1240では、認証管理モジュールから高速再認証IDを受信すると、通信デバイス2が高速再認証IDを使ってコアネットワークと認証する。特に、通信デバイス2はコアネットワークのネットワーク認証エンティティとの高速再認証手順を開始する。高速再認証手順は、通信デバイス2がメッセージを生成して認証エンティティへ送信することで始まる。メッセージは、高速再認証ID、および、高速再認証IDが現在の通信デバイスに属していないこと、および現在の通信デバイスが同じUE内の別のデバイスから高速再認証IDを取得することを示すフラグを含む。ネットワーク側の認証エンティティは、メッセージからフラグを抽出することによって、セキュリティコンテクストの取り扱いにおける適切な動作を判断する。例えば、高速再認証IDが通信デバイスに属していることをフラグが示すならば、サーバーは単にセキュリティコンテクストを更新してもよい。高速再認証IDが通信デバイスに属していないことをフラグが示すならば、認証エンティティは新たなセキュリティコンテクストを作成してもよい。
ネットワーク認証エンティティはステップ1240の間に通信デバイス2からさらなる情報を要求してもよい。このため、通信デバイス2はステップ1442で認証管理モジュールから、ある情報を要求してもよい。例えば、通信デバイス2は、ネットワーク認証エンティティからEAP-AKA’要求に組み込まれた高速再認証メッセージを受信した後に、認証管理モジュールへ高速再認証メッセージを送信してもよい。そして、認証管理モジュールは高速再認証応答を生成し、通信デバイス2へ高速再認証応答を送信する。そして、通信デバイス2はネットワーク側のネットワーク認証エンティティへ高速再認証応答メッセージを送信する。ネットワーク認証エンティティは高速再認証応答メッセージを用いて通信デバイス2を認証する。さらに、通信デバイス2とネットワーク側の認証エンティティの間で通知メッセージおよび成功メッセージなどの他のメッセージが交換されてよい。ステップ1240および1242のさらなる詳細は図16を参照して以下で説明される。
ステップ1250aで、高速再認証IDが通信デバイス2に属していないとネットワーク認証エンティティが判断し、通信デバイス2との認証が成功であるならば、ネットワーク認証エンティティが通信デバイス2のためにセキュリティコンテクストを生成する。マスターセッション鍵も生成され、セキュリティコンテクストに含められる。セキュリティコンテクストはWi-Fi APまたは3GPP技術が規定する基地局、または他のものなどのネットワークエンティティへ送信される。ネットワークエンティティはマスターセッション鍵のないセキュリティコンテクストを認証管理モジュールへさらに送信する。あるいは、ステップ1250bでマスターセッション鍵が認証管理モジュールによって生成され、通信デバイス2へ送信されてもよい。ステップ1240、1242、1250a、および1250bは統一認証フレームワークの第2の部分に関係する。セキュリティコンテクストが通信デバイスによって共有される代わりのプロセスでは、新たなセキュリティコンテクストは生成されない。代わりに、マスターセッション鍵だけが生成されてネットワークエンティティへ送信される。
タイミング図1200はステップ1250aまたは1250bの後に終わる。
図12Aはタイミング図1200への修正を示す。特に、タイミング図1200のステップ1205〜1215は次のように修正されている。ステップ1205では、通信デバイス1がコアネットワークのネットワーク認証エンティティと認証してセキュリティコンテクストを確立する代わりに、通信デバイス1は、認証管理モジュールをトリガーしてコアネットワークのネットワーク認証エンティティと認証してセキュリティコンテクストを確立する。特に、通信デバイス1は、認証要求を認証管理モジュールへ送信してコアネットワークのネットワーク認証エンティティと認証してセキュリティコンテクストを確立する。通信デバイス1からトリガーを受信したことに応答して、UEの認証管理モジュールはコアネットワークのネットワーク認証エンティティと認証し、成功であるならば、ネットワーク認証エンティティがセキュリティコンテクストを生成する。セキュリティコンテクストは、高速再認証IDと、秘密鍵と、カウンタとを含んでよい。当業者は、本開示から逸脱することなく、認証管理モジュールが代わりにセキュリティコンテクストを生成できることを認識するであろう。
ステップ1205で認証が成功した後は、ネットワーク認証エンティティがステップ1210aで高速再認証IDと秘密鍵を保存し、カウンタを初期化する。同様に、UE側で認証管理モジュールもステップ1210bで高速再認証IDと秘密鍵を保存し、カウンタを初期化する。ネットワーク認証エンティティと認証管理モジュールは認証手順の後に確立された秘密鍵に基づいて新たな鍵を導出する。一実施形態において、認証の後に確立された秘密鍵がk0であるならば、認証モジュールとネットワーク認証エンティティは鍵導出関数(KDF)を使って新たな鍵k1をさらに導出する。特に、k1は秘密鍵とカウンタを使って導出されてよく、k1=KDF(k0,カウンタ)のように表現されてよい。別の一実施形態において、認証管理モジュールとネットワーク認証エンティティは秘密鍵と高速再認証IDを使ってk1を導出してよく、k1=KDF(k0,高速再認証ID)のように表現されてよい。秘密鍵k0は認証管理モジュールとネットワーク認証エンティティ内に記憶され、一方、k1は認証管理モジュールによってセキュリティコンテクストに含められて通信デバイスへ送信される。k1は、ネットワーク認証エンティティによって基地局またはWi-Fi APへ送信されるセキュリティコンテクストにも含められる。認証管理モジュールはEAPフレームワークに規定されたサプリカントであることが可能であり、ネットワーク認証エンティティはEAPフレームワークにおける認証サーバーであることが可能であり、またはTR 23.799などの3GPP仕様におけるCP-AUと称される認証ユニットであってよい。疑問を回避するため、秘密鍵はネットワーク認証エンティティと認証管理モジュールによって個別に生成される。
ステップ1215では、認証管理モジュールが通信デバイス1へセキュリティコンテクストを送信する。認証管理モジュールからセキュリティコンテクストを受信すると、通信デバイス1は、セキュリティコンテクスト情報のコピーを保存する。残りのステップ1220〜1250に不変のままである。
図13はプロセス1100と図12または12Aのタイミング図1200とに従って通信デバイス1および2のいずれか一方によって遂行されるプロセス1300を示す。プロセス1300は、高速再認証IDの要求をUEの認証管理モジュールへ送信することによってステップ1305で始まる。ステップ1310では、通信デバイスが認証管理モジュールから応答を受信する。応答が高速再認証IDを含んでいるならば、通信デバイスはステップ1320へ進む。応答が高速再認証IDを含んでいないならば、通信デバイスはステップ1330へ進む。
ステップ1320では、通信デバイスが統一認証フレームワークの第2の部分を進める。ステップ1330では、通信デバイスが統一認証フレームワークの第1の部分を進める。特に、通信デバイスは、図12に示されているように、ネットワーク認証エンティティと認証してセキュリティコンテクストを直接的に取得し、または図12Aに示されているように認証管理モジュールを介して間接的に取得する。プロセス1300はステップ1320または1330の後に終了する。
図14はプロセス1100と図12または12Aのタイミング図1200とに従って認証管理モジュールによって遂行されるプロセス1400を示す。プロセス1400は、UEの通信デバイスからメッセージを受信することによってステップ1405で始まる。プロセス1400はそして、ステップ1410でメッセージが高速再認証IDの要求であるか、またはコアネットワークのネットワーク認証エンティティと認証してセキュリティコンテクストを確立するために認証管理モジュールをトリガーする要求であるかを判断する。メッセージがUEの通信デバイスからの高速再認証IDの要求であるならば、プロセス1400はステップ1415へ進む。メッセージがコアネットワークのネットワーク認証エンティティと認証してセキュリティコンテクストを確立するために認証管理モジュールをトリガーする要求であるならば、プロセス1400はステップ1420へ進む。
ステップ1415では、認証管理モジュールが、高速再認証IDと、秘密鍵、カウンタとを含む応答を生成し、送信する。認証管理モジュールが高速再認証IDを有さないならば、認証管理モジュールは、高速再認証IDを有さないことを示す応答を生成し、送信する。
ステップ1420では、プロセス1400が統一認証フレームワークの第1の部分を進める。統一認証フレームワークの第1の部分についてのさらなる詳細は以下で説明される。
プロセス1400はステップ1420の後に終了する。
プロセス1100とタイミング図1200とに従ってネットワーク認証エンティティによって遂行されるプロセスはプロセス1000と同様である。
我々はここで認証手順と高速再認証手順に注意を向ける。
<協調的認証>
図15は統一認証フレームワークの第1の部分による認証手順のタイミング図1500を示す。この認証はAKA高速再認証手順に基づいている。認証手順に若干の違いがあり得ること、これがUEの通信デバイスに依存することに注意することが重要である。主な違いはタイミング図1500を参照して以下の説明で強調される。
タイミング図1500は、UEが(通信デバイスがセルラー技術であるならば)3GPPアクセスネットワークなどのセルラーアクセスネットワークの基地局との、または(通信デバイスがWi-Fiエンティティであるならば)Wi-Fi APとの接続を確立する1505で始まる。あるいは、Wi-Fi APは発展型パケットデータゲートウェイ(ePDG)または信頼されたWLANアクセスゲートウェイ/プロキシ(TWAG/TWAP)であってもよい。
ステップ1510では、接続を確立したことに応答して、(通信デバイスがセルラー技術エンティティであるならば)UEがUEのIDを含む要求を基地局へ送信することによって3GPPアクセスネットワークへのアクセスを要求する。UEの通信デバイスがWi-Fiエンティティである場合、Wi-Fi APがUEへ要求メッセージを送信することによってAKA認証プロセスを開始する。これに応答して、UEのWi-Fiエンティティはメッセージ内にUEのIDを有する応答メッセージを用いてWi-Fi APに応答する。
ステップ1515では、基地局がネットワーク認証エンティティへ要求メッセージを転送する。同様に、Wi-Fi APは要求メッセージの形での応答メッセージをネットワーク認証エンティティへ転送する。
ステップ1520では、ネットワーク認証エンティティが、HSS(Home Subscriber Server, ホーム加入者サーバー)へ認証データ要求メッセージを送信してUEの認証データを取得する。認証データ要求メッセージはUEのIDを含んでいる。
ネットワーク認証エンティティから認証データ要求メッセージを受信すると、HSSは、UEのIDに従って鍵Kを見つけ、AKAアルゴリズムを使って認証ベクトルを計算する。HSSはそして、ステップ1525で認証ベクトルとともに認証データ応答をネットワーク認証エンティティへ送信する。認証データ応答は認証ベクトルを含んでいる。認証ベクトルは、乱数(RAND)と、識別情報モジュールに対してネットワークを認証するのに使われるネットワーク認証トークン(AUTN)と、期待結果部分(XRES)と、完全性チェックのための128ビットセッション鍵(IK)と、暗号化のための128ビットセッション鍵(CK)とを含んでいる。認証ベクトルを生成するプロセスはよく知られ、簡潔にするため省かれる。
ステップ1530で、ネットワーク認証エンティティは、高速再認証ID、RAND、AUTH、サービングネットワーク識別情報(SN ID)、およびネットワークタイプ、およびメッセージ認証コード(MAC)を含むAKAチャレンジメッセージを、どの通信デバイスが認証プロセスを開始するかに応じて、基地局またはWi-Fi APへ送信する。高速再認証IDは、ネットワーク認証エンティティによって、UEのIDを乱数と組み合わせることによって生成されてよい。あるいは、高速再認証IDは、UEのIDを、要求を行っている通信デバイスのタイプに基づく所定の数字と組み合わせることによって生成されてもよい。例えば、通信デバイスがWi-Fiエンティティであるならば、所定の数字は01であり、通信デバイスがセルラーエンティティであるならば、所定の数字は02である。当業者は、本開示から逸脱することなく、高速再認証IDを生成する別の方法が実現され得ることを認識するであろう。MACはIKを使って、RANDとAUTHと高速再認証IDである入力を用いて生成される。MACを生成する具体的なプロセスは知られており、簡潔にするため省かれる。
ステップ1535では、基地局がUEへAKAチャレンジメッセージを転送し、一方、Wi-Fi APはUEへAKAチャレンジメッセージを転送する。
ステップ1540で、UEは、まずはMACに基づいてAKAチャレンジメッセージを検証し、続いてAKAチャレンジメッセージの真実性の検証に成功した後に、RANDとAUTHを使ってAKAアルゴリズムを実行することにより、ネットワーク認証エンティティを認証する。UEは、セルラーアクセスまたは非セルラーアクセスのために、鍵をさらに導出する。UEは高速再認証IDを記憶し、高速再認証のために鍵を導出し、高速再認証のためにカウンタを開始する。高速再認証のために鍵を生成するUEのさらなる詳細は図16を参照して以下で説明される。
セルラーアクセスのための鍵は、UEと基地局との間でトラフィックを暗号化するための鍵と、そのようなトラフィックの完全性保護のための鍵とを含むことに注意されたい。さらに、高速再認証のための鍵は、再認証の間に一部のデータを暗号化するための暗号化鍵と、MAC(message authentication code,メッセージ認証コード)を生成するための認証鍵とを含む。
非セルラーアクセスのための鍵は、UEとゲートウェイとの間でトラフィックを暗号化するための鍵と、そのようなトラフィックの完全性保護のための鍵とを含むことに注意されたい。さらに、高速再認証のための鍵は、再認証の間に一部のデータを暗号化するための暗号化鍵と、MAC(message authentication code, メッセージ認証コード)を生成するための認証鍵とを含む。
ステップ1545では、UEが基地局へAKAチャレンジ応答メッセージを送信する。Wi-Fiエンティティが関わる場合、UEがゲートウェイへAKAチャレンジ応答メッセージを送信する。AKAチャレンジ応答メッセージはUEによって生成されたMACとRESとを含んでいる。
ステップ1550では、基地局またはWi-Fi APがネットワーク認証エンティティへAKAチャレンジ応答メッセージを転送する。
ステップ1555では、ネットワーク認証エンティティが受信されたAKAチャレンジメッセージを検証することによってUEを認証する。特に、ネットワーク認証エンティティは受信されたメッセージ内のRESとMACが正しいか否かをチェックすることによってメッセージを検証する。ネットワーク認証エンティティはそして、セルラーアクセスまたは非セルラーアクセスのための鍵を導出し、高速再認証IDを記憶する。鍵は疑似ランダム関数である鍵導出関数(KDF)を使って導出される。KDFの入力はUEのIDとRANDとを含む。続いて、ネットワーク認証エンティティは高速再認証のためにカウンタを開始する。
ステップ1560でネットワーク認証エンティティは、認証が成功であるという成功メッセージと、UEのセルラーまたは非セルラーアクセスのための鍵とを、基地局またはWi-Fi APへ送信する。成功メッセージと鍵を受信すると、基地局またはWi-Fi APは、ステップ1565でUEへ成功メッセージと鍵を送信する。タイミング図1500はステップ1565の後に終わる。通信デバイスのいずれか1つの代わりに認証管理モジュールによって認証が要求される場合、ネットワーク認証エンティティと認証管理モジュールが認証手順の後に確立された秘密鍵に基づいて新たな鍵をさらに生成する。一実施形態において、認証の後に確立された秘密鍵がk0であるならば、認証モジュールとネットワーク認証エンティティは鍵導出関数(KDF)を使って新たな鍵k1をさらに導出する。特に、k1は秘密鍵とカウンタを使って導出されてよく、k1=KDF(k0,カウンタ)のように表現されてよい。別の一実施形態において、認証管理モジュールとネットワーク認証エンティティは秘密鍵と高速再認証IDを使ってk1を導出してよく、k1=KDF(k0,高速再認証ID)のように表現される。秘密鍵k0は認証管理モジュールとネットワーク認証エンティティ内に維持され、一方、k1は認証管理モジュールによってセキュリティコンテクストに含められて通信デバイスへ送信される。k1は、ネットワーク認証エンティティによって基地局またはWi-Fi APへ送信されるセキュリティコンテクストにも含められる。認証管理モジュールはEAPフレームワークに規定されたサプリカントであることが可能であり、ネットワーク認証エンティティはEAPフレームワークにおける認証サーバーであることが可能であり、またはTR 23.799などの3GPP仕様におけるCP-AUと称される認証ユニットであることが可能である。
図16は、タイミング図1500を参照して説明されたように、統一認証フレームワークの第1の部分に従ってUEによって遂行されるプロセスの流れ1600を示す。プロセス1600は、(通信デバイスがセルラーエンティティであるならば)3GPPアクセスネットワークなどのセルラーアクセスネットワークの基地局との、または(通信デバイスがWi-Fiエンティティであるならば)Wi-Fi APとの結び付きを確立することによってステップ1605で始まる。あるいは、Wi-Fi APは発展型パケットデータゲートウェイ(ePDG)または信頼されたWLANアクセスゲートウェイ/プロキシ(TWAG/TWAP)であってもよい。
ステップ1610で、UEはその識別情報(UEのID)を引き出し、続いてUEのIDを含む要求を生成して送信する。要求は(通信デバイスがセルラー技術エンティティであるならば)基地局へ送信される。次に、基地局がネットワーク認証エンティティへ要求メッセージを転送する。UEの通信デバイスがWi-Fiエンティティである場合、Wi-Fi APがUEへ要求メッセージを送信することによってAKA認証プロセスを開始する。これに応答して、UEのWi-Fiエンティティはメッセージ内にUEのIDを有する応答メッセージを用いてWi-Fi APに応答する。そして、Wi-Fi APは応答メッセージを要求メッセージとしてネットワーク認証エンティティへ転送する。
ステップ1615では、UEがAKAチャレンジメッセージを受信する。AKAチャレンジメッセージはHSSによって生成されたRANDとAUTNを含んでいる。AKAチャレンジメッセージはネットワーク認証エンティティによって生成されたFRIDとMACも含んでいる。
ステップ1620では、UEがその鍵(IK)を使ってMACを検証する。UEはHSSに登録されており、UEとHSSの両方は同じ鍵を有することに注意されたい。MACを検証するため、UEは、ネットワーク認証エンティティによってIKとともに使われるのと同じMAC生成関数を使って、FRID、RAND、およびAUTNを用いてMACを生成する。MAC生成関数の一例は鍵式ハッシュメッセージ認証コード(Hash Message Authentication Code, HMAC)である。MACが有効であるならば、ステップ1620は引き続きAKAアルゴリズム1690を使って認証ベクトルを計算する。AKAアルゴリズムの入力パラメータは、IKと、RANDと、SN IDと、SQNとを含む。AKA鍵導出関数アルゴリズムからの出力パラメータはAUTNUEと、RESと、KASMEとを含む。
ステップ1625で、UEは、AUTNUEがAUTNに等しいか否かを検証することによってネットワーク認証エンティティと認証する。AUTNUEがAUTNに等しくなければ、プロセス1700は終了する。AUTNUEがAUTNに等しければ、プロセス1600はステップ1630へ進む。
ステップ1630では、UEがセルラーアクセスまたは非セルラーアクセスのための秘密鍵を導出する。鍵は疑似ランダム関数である鍵導出関数(KDF)を使って導出される。KDFの入力はUEのIDとRANDとを含む。当業者は、本開示から逸脱することなく、秘密鍵を生成するために、KDFの入力として、UEのルート鍵などの他の入力が含まれてよいことを認識するであろう。UEはFRIDと高速再認証のための秘密鍵を含むセキュリティコンテクストを記憶し、高速再認証のためのカウンタを開始する。認証管理モジュールが使用可能である場合、認証管理モジュールにおいてセキュリティコンテクストが記憶される。認証管理モジュールが使用可能でないならば、第1の通信デバイスまたは第2の通信デバイスのいずれかにおいてセキュリティコンテクストが記憶される。通信デバイスのいずれか1つの代わりに認証管理モジュールによって認証が要求される場合、認証管理モジュールが、確立された秘密鍵に基づいて新たな鍵をさらに導出するようにステップ1630が修正される。一実施形態において、認証の後に確立された秘密鍵がk0であるならば、認証管理モジュールは通信デバイスのために鍵導出関数(KDF)を使って新たな鍵k1をさらに導出する。特に、k1は秘密鍵とカウンタを使って導出されてよく、k1=KDF(k0,カウンタ)のように表現されてよい。別の一実施形態において、認証管理モジュールは秘密鍵と高速再認証IDを使ってk1を導出してよく、k1=KDF(k0,高速再認証ID)のように表現される。秘密鍵k0は認証管理モジュール内に維持され、一方、k1は認証管理モジュールによってセキュリティコンテクストに含められて通信デバイスへ送信される。認証管理モジュールはEAPフレームワークに規定されたサプリカントであることが可能である。
ステップ1635では、UEがAKA応答メッセージを生成してネットワーク認証エンティティへ送信する。AKA応答メッセージはステップ1620で判断されたRESを含んでいる。プロセス1600はステップ1635の後に終了する。
図17は、タイミング図1500を参照して説明されたように、統一認証フレームワークの第1の部分に従ってコアネットワークのネットワーク認証エンティティによって遂行されるプロセスの流れ1700を示す。プロセス1700は、UEから基地局またはWi-Fi APのいずれかを介して要求メッセージを受信することによってステップ1705で始まる。
ステップ1710では、ネットワーク認証エンティティがUEから受信された情報に基づいて認証データ要求を生成し、HSSへ送信する。UEから受信された要求に基づき、SN IDおよびネットワークタイプなどの他の情報がMMEによって引き出されることが可能である。認証データ要求は、UEのIDと、SN IDと、ネットワークタイプとを含んでいる。
ステップ1715では、ネットワーク認証エンティティがHSSから認証データ応答を受信する。認証データ応答は、RANDと、AUTNと、XRESと、IKと、CK(KASMEとも呼ばれ得る)とを含んでいる。
ステップ1718では、ネットワーク認証エンティティがUEのIDを乱数と組み合わせて高速再認証ID(FRID)を生成する。あるいは、FRIDは、UEのIDを、要求を行っている通信デバイスのタイプに基づく所定の数字と組み合わせることによって生成されてもよい。例えば、通信デバイスがWi-Fiエンティティであるならば、所定の数字は01であり、通信デバイスがセルラーエンティティであるならば、所定の数字は02であり、要求が認証管理モジュールからのものであるならば、所定の数字は03である。当業者は、本開示から逸脱することなく、高速再認証IDを生成する別の方法が実現され得ることを認識するであろう。
ステップ1720で、ネットワーク認証エンティティは、FRID、RAND、AUTH、およびメッセージ認証コード(MAC)を含むAKAチャレンジメッセージを生成し、どの通信デバイスが認証プロセスを開始するかに応じて、基地局またはWi-Fi APへ送信する。MACはIKを使って生成される。MACの入力パラメータは、FRID、RAND、AUTHを含み、次のように表現されることが可能である。
MAC=MACIK(FRID||RAND||AUTH)
ステップ1725では、ネットワーク認証エンティティがUEからAKA応答を受信する。これに応答して、ネットワーク認証エンティティは(AKA応答からの)RESが(認証データ応答からの)XRESに等しいか否かを判断する。RESがXRESに等しくなければ、プロセス1700は終了する。RESがXRESに等しければ、プロセス1700はステップ1730へ進む。
ステップ1730では、ネットワーク認証エンティティがステップ1730でそのゲートウェイへのアクセスをUEに許可する。特に、ネットワーク認証エンティティは、UEにアクセスを許可するために、ゲートウェイへメッセージを送信する。さらに、ネットワーク認証エンティティはセルラーアクセスまたは非セルラーアクセスのための秘密鍵を導出する。鍵は疑似ランダム関数である鍵導出関数(KDF)を使って導出される。KDFの入力はUEのIDとRANDとを含む。当業者は、本開示から逸脱することなく、秘密鍵を生成するために、KDFの入力として、UEのルート鍵などの他の入力が含まれてよいことを認識するであろう。ネットワーク認証エンティティはFRIDと高速再認証のための秘密鍵を含むセキュリティコンテクストを記憶し、高速再認証のためにカウンタを開始する。ネットワーク認証エンティティはまた、認証が成功であることを示す成功メッセージを生成し、基地局またはWi-Fi APを介してUEへ送信する。プロセス1700はステップ1730の後に終了する。
通信デバイスのいずれか1つの代わりに認証管理モジュールによって認証が要求される場合、ネットワーク認証エンティティが通信デバイスのために確立された秘密鍵に基づいて新たな鍵をさらに導出するようにステップ1730が修正されてよい。一実施形態において、認証の後に確立された秘密鍵がk0であるならば、ネットワーク認証エンティティは鍵導出関数(KDF)を使って新たな鍵k1をさらに導出する。特に、k1は秘密鍵とカウンタを使って導出されてよく、k1=KDF(k0,カウンタ)のように表現されてよい。別の一実施形態において、ネットワーク認証エンティティは秘密鍵と高速再認証IDを使ってk1を導出してよく、k1=KDF(k0,高速再認証ID)のように表現される。秘密鍵k0およびk1はネットワーク認証エンティティ内に維持され、ネットワーク認証エンティティによって基地局またはWi-Fi APへ送信されるセキュリティコンテクストに含められる。ネットワーク認証エンティティはEAPフレームワークにおける認証サーバー、またはTR 23.799などの3GPP仕様におけるCP-AUと称される認証ユニットであることが可能である。
図18は、タイミング図1500を参照して説明されたように、統一認証フレームワークの第1の部分に従ってコアネットワークのHSSによって遂行されるプロセスの流れ1800を示す。プロセス1800は、ネットワーク認証エンティティから認証データ要求を受信することによってステップ1805で始まる。
ステップ1810では、HSSがAKAアルゴリズム1890を使って認証データ応答を生成して認証ベクトルを取得する。AKAアルゴリズムの入力パラメータは、IK、RAND、SN ID、SQNを含む。AKAアルゴリズムの出力パラメータは、AUTNと、XRESと、暗号化のための128ビットセッション鍵(CK)(KASMEとも呼ばれる)とを含む。RANDはHSSによって導出される乱数である。認証データ応答は、RANDと、AUTNと、XRESと、IKと、CKとを含んでいる。
そして、認証データ応答はステップ1815でネットワーク認証エンティティへ送信される。プロセス1800はステップ1815の後に終了する。
図19は統一認証フレームワークの第2の部分による高速再認証手順のタイミング図1900を示す。この高速再認証はAKA高速再認証手順に基づいている。高速再認証手順に若干の違いがあり得ること、これがUE内の通信デバイスに依存することに注意することが重要である。主な違いはタイミング図1900を参照して以下の説明で強調される。
タイミング図1900は、UEが(通信デバイスがセルラーエンティティであるならば)3GPPアクセスネットワークの基地局との、または(通信デバイスがWi-Fiエンティティであるならば)Wi-Fi APとの接続を確立する1905で始まる。Wi-Fi APは発展型パケットデータゲートウェイ(ePDG)または信頼されたWLANアクセスゲートウェイ/プロキシ(TWAG/TWAP)であってもよい。
ステップ1910では、接続を確立したことに応答して、(通信デバイスがセルラーエンティティであるならば)UEが、UEのIDと、高速再認証IDと、フラグとを含む要求を基地局へ送信することによってセルラーアクセスネットワークへのアクセスを要求する。UEの通信デバイスがWi-Fiエンティティである場合、Wi-Fi APがUEへ要求メッセージを送信することによってAKA認証プロセスを開始する。これに応答して、UEのWi-Fiエンティティは、UEのIDと、高速再認証IDと、フラグとを含む応答メッセージを用いてWi-Fi APに応答する。
ステップ1915では、基地局がネットワーク認証エンティティへ要求メッセージを転送する。Wi-Fi APの場合、Wi-Fi APが要求メッセージの形での応答メッセージをネットワーク認証エンティティへ送信する。Wi-Fi APはまた、ネットワーク認証エンティティにアクセスタイプ(セルラーアクセスまたは非セルラーアクセス)を知らせる。
ステップ1920では、ネットワーク認証エンティティが、その中に4つのフィールド(*カウンタ(*counter)、*ノンス(*nonce)、*新たな再認証ID(*new-re-auth-ID)、MAC)を有するAKA再認証要求を用いて基地局またはWi-Fi APに応答する。「*」マークを有するフィールドは、AKA高速再認証のための暗号化鍵でフィールドが暗号化されることを意味する。*カウンタはAKA高速再認証のためのカウンタの値である。ネットワーク認証エンティティとUEは再認証ごとにその後に値を少なくとも1だけ増加させる。これはUEがメッセージの新しさをチェックすることを可能にする。*ノンスはネットワーク認証エンティティによって選択される乱数である。*新たな再認証IDは次の再認証のための高速再認証IDである。MACはメッセージの作成者を検証するためのメッセージ認証コードである。
ステップ1930では、基地局またはWi-Fi APがUEへAKA再認証要求を転送する。
ステップ1940では、UEがMACの正しさとカウンタの新しさを検証することによってネットワーク認証エンティティを認証する。UEはそして、新たな再認証ID(new-re-auth-ID)を新たな高速再認証IDとして記憶する。UEはさらに、受信されたカウンタの値に1を加えたものでローカルなカウンタを更新し、通信デバイスのタイプに応じてセルラーアクセスまたは非セルラーアクセスのための鍵を導出する。
セルラーアクセスのための鍵は、UEと基地局との間でトラフィックを暗号化するための鍵と、そのようなトラフィックの完全性保護のための鍵とを含む。さらに、非セルラーアクセスのための鍵は、UEとWi-Fi APとの間でトラフィックを暗号化するための鍵と、そのようなトラフィックの完全性保護のための鍵とを含む。受信されたカウンタは、その値がUEによって記憶されているカウンタより小さくないときのみ、新しいとみなされる。
ステップ1945では、UEが2つのフィールド(*カウンタおよびMAC)を含むAKA再認証応答を基地局またはWi-Fi APへ送信する。カウンタの値は受信されたカウンタの値と同じであるべきである。
ステップ1950では、基地局またはWi-Wi APがネットワーク認証エンティティへAKA再認証応答を転送する。
ステップ1955では、ネットワーク認証エンティティが受信されたAKA再認証応答メッセージのMACとカウンタの値を検証することによってUEを認証する。ネットワーク認証エンティティはセルラーアクセスまたは非セルラーアクセスのための鍵を導出し、新たな高速再認証IDを記憶する。そして、ネットワーク認証エンティティはそのカウンタを1だけ増加させる。受信されたカウンタの値はネットワーク認証エンティティのカウンタの値と同じであるべきである。
ステップ1960では、ネットワーク認証エンティティが基地局またはWi-Fi APに高速再認証の結果を知らせる。認証が成功であるならば、結果はUEのセルラーアクセスまたは非セルラーアクセスのための鍵を含む。ステップ1665では、基地局またはWi-Fi APがUEへ結果を転送する。
図20は、タイミング図1900を参照して説明されたように、統一認証フレームワークの第2の部分に従ってUEデバイスによって遂行されるプロセスの流れ2000を示す。プロセス2000は、(通信デバイスがセルラーエンティティであるならば)3GPPアクセスネットワークの基地局との、または(通信デバイスがWi-Fiエンティティであるならば)Wi-Fi APとの接続を確立することによってステップ2005で始まる。
ステップ2010では、接続を確立したことに応答して、(通信デバイスがセルラーエンティティであるならば)UEが、UEのIDと、FRIDと、フラグとを含む要求を基地局へ送信することによってセルラーアクセスネットワークへのアクセスを要求する。続いて、基地局はネットワーク認証エンティティへ要求メッセージを転送する。UEの通信デバイスがWi-Fiエンティティである場合、Wi-Fi APがUEへ要求メッセージを送信することによってAKA認証プロセスを開始する。これに応答して、UEのWi-Fiエンティティは、UEのIDと、FRIDと、フラグとを含む応答メッセージを用いてWi-Fi APに応答する。続いて、Wi-Fi APは要求メッセージの形での応答メッセージをネットワーク認証エンティティへ転送する。フラグは、FRIDがアクセスを要求している通信デバイスに属していないという指示を含んでいる。
ステップ2015では、UEがネットワーク認証エンティティからAKA再認証要求メッセージを受信する。AKA再認証要求メッセージは、*カウンタと、*ノンスと、*新たなFRIDと、MACとを含んでいる。
ステップ2018では、UEがMACの正しさとカウンタの新しさを検証することによってネットワーク認証エンティティを認証する。受信されたカウンタは、その値がUEによって記憶されているカウンタより小さくないときのみ、新しいとみなされる。MACの正しさは次のようにして判断される。UEはAKA再認証要求メッセージからの*カウンタと*ノンスと*新たなFRIDを復号化する。UEはそして、ネットワーク認証エンティティによってSKとともに使われるのと同じMAC生成関数を使って、復号化されたカウンタとノンスと新たなFRIDとを用いてMACを生成することによって、MACを検証する。MACが有効であるならば、ステップ2018は引き続き新たなFRIDを新たな高速再認証IDとしてセキュリティコンテクスト内に記憶する。UEはさらに、受信されたカウンタの値に1を加えたものでローカルなカウンタを更新する。認証管理モジュールが使用可能である場合、認証管理モジュールにおいてセキュリティコンテクストが記憶される。認証管理モジュールが使用可能でない場合、第1の通信デバイスまたは第2の通信デバイスのいずれかにおいてセキュリティコンテクストが記憶される。
ステップ2020では、UEが通信デバイスのタイプに応じてセルラーアクセスまたは非セルラーアクセスのための鍵を判断する。セルラーアクセスのための鍵は、UEと基地局との間でトラフィックを暗号化するための鍵と、そのようなトラフィックの完全性保護のための鍵とを含む。さらに、非セルラーアクセスのための鍵は、UEとWi-Fi APとの間でトラフィックを暗号化するための鍵と、そのようなトラフィックの完全性保護のための鍵とを含む。
ステップ2025では、UEが、2つのフィールド(*カウンタおよびMAC)を含むAKA再認証応答メッセージを、基地局またはWi-Wi APを介してネットワーク認証エンティティへ送信する。カウンタの値は受信されたカウンタの値と同じであるべきである。あるいは、AKA再認証応答は、本開示から逸脱することなく、暗号化を用いて、または用いないでカウンタのみを含んでよい。
ステップ2030では、UEがネットワーク認証エンティティから基地局またはWi-Fi APを介して結果メッセージを受信する。結果メッセージは認証が成功であるか否かを示す。認証が成功であるならば、プロセス2000は2035へ進み、引き続きステップ2020で導出された鍵を使ってコアネットワークとデータを送受信する。プロセス2000は2035の後に終了する。
図21は、タイミング図1900を参照して説明されたように、統一認証フレームワークの第2の部分に従ってコアネットワーク内のネットワーク認証エンティティによって遂行されるプロセスの流れ2200を示す。プロセス2100は、(通信デバイスがセルラーエンティティであるならば)基地局から、または(通信デバイスがWi-Fiエンティティであるならば)Wi-Fi APから要求メッセージを受信することによってステップ2205で始まる。要求メッセージは、UEのIDと、FRIDと、フラグとを含んでいる。
ステップ2110では、ネットワーク認証エンティティがそのデータベースからUEのIDと結び付けられたセキュリティコンテクストを引き出す。セキュリティコンテクストは、FRIDと、秘密鍵(SK)と、カウンタとを含む。ネットワーク認証エンティティはそして、要求メッセージからのFRIDがデータベースに記憶されたFRIDと同一であるか否かを判断する。要求メッセージからのFRIDがデータベースに記憶されたFRIDと同一でないならば、プロセス2100は終了する。要求メッセージからのFRIDがデータベースに記憶されたFRIDと同一であるならば、プロセス2100はステップ2115へ進む。
ステップ2115では、ネットワーク認証エンティティがUEのIDを乱数と組み合わせることによって次の再認証手順のための新たなFRIDを生成する。カウンタも1だけ増加される。ネットワーク認証エンティティとUEは再認証ごとにその後に値を少なくとも1だけ増加させる。これは、UEがメッセージの新しさをチェックすることを可能にする。UEのIDと結び付けられたセキュリティコンテクストに対し、新たなFRIDとカウンタが更新される。UEのIDと結び付けられたセキュリティコンテクストに対し、ネットワーク認証エンティティによって選択される乱数であるノンスも更新される。
ステップ2120では、ネットワーク認証エンティティが、*カウンタと、*ノンスと、*新たなFRIDと、MACとを有するAKA再認証要求を生成し、送信する。「*」マークを有するフィールドは、AKA高速再認証のための暗号化鍵を用いてフィールドが暗号化されることを意味する。MACは秘密鍵(SK)を使って生成される。MACの入力パラメータは、カウンタと、ノンスと、新たなFRIDとを含み、次のように表現されることが可能である。
MAC=MACSK(カウンタ||ノンス||新たなFRID)
ステップ2125では、ネットワーク認証エンティティがAKA再認証応答メッセージを受信する。これに応答して、ネットワーク認証エンティティは、受信されたAKA再認証応答メッセージのMACとカウンタの値を検証することによってUEを認証する。受信されたカウンタの値はネットワーク認証エンティティのカウンタの値と同じであるべきである。認証が有効でないならばプロセス2100は終了する。認証が有効であるならばプロセス2100はステップ2130へ進む。
ステップ2130では、ネットワーク認証エンティティがセルラーアクセスまたは非セルラーアクセスのための鍵を導出する。このプロセスはプロセス2000のステップ2020と同様である。
ステップ2135で、ネットワーク認証エンティティは、増加されたカウンタと新たなFRIDを、UEのIDと結び付けられたセキュリティコンテクスト内に記憶する。
ステップ2140では、ネットワーク認証エンティティが、高速再認証の結果をUEに知らせるために、結果メッセージを生成し、基地局またはWi-Fi APへ送信する。結果メッセージはUEのセルラーアクセスまたは非セルラーアクセスのための鍵を含んでいる。結果メッセージはUEへ直接送信されないことに注意されたい。代わりに、結果メッセージに鍵が使用可能であるならば、ネットワークエンティティが結果メッセージから鍵を除去し、単に認証が成功であることをUEに示す。プロセス2100はステップ2140の後に終了する。
<異種アクセスの複数の協調的再認証>
図22は複数の協調的認証を表わす一実施形態を示す。UEの第1の通信デバイスは、まずはステップ2205で、統一認証フレームワークの第1の部分を介して、3GPPゲートウェイなどのセルラーゲートウェイまたはWi-Fi APなどの非セルラーゲートのいずれかとの接続を確立することで始まる。
ステップ2210では、UEがネットワーク認証エンティティと認証し、第1の部分を介して完全認証を遂行して互いを認証する。
ステップ2215では、UEの第2の通信デバイスが、統一認証フレームワークの第2の部分を介して、3GPPゲートウェイなどのセルラーゲートウェイまたはWi-Fi APなどの非セルラーゲートのいずれかとの接続を確立する。
ステップ2220では、UEがネットワーク認証エンティティと認証し、第2の部分を介して高速再認証を遂行して互いを認証する。
ステップ2225でUEの第1の通信デバイスがゲートウェイへの接続を喪失しているならば、UEの第1の通信デバイスがステップ2230で接続を再度確立する。ステップ2235では、UEが統一認証フレームワークの第1の部分または第2の部分のいずれかを使ってゲートウェイとの接続を確立する。ゲートウェイは2205における同じゲートウェイであることが可能である。あるいは、ゲートウェイは2205におけるものとは異なるゲートウェイであってもよい。
UEとネットワーク認証エンティティは完全認証の後に多数の高速再認証を遂行することができることに注意されたい。さらに、UEの第1および第2の通信デバイスは1セットの高速再認証ID、高速再認証鍵、およびカウンタを共有することができる。あるいは、UEと認証サーバーの両方は、完全認証の間または後に、2セットの高速再認証ID、高速再認証鍵、およびカウンタを生成してもよい。一方のセットは第1の通信デバイス用であり、他方のセットは第2の通信デバイス用である。UEとネットワーク認証エンティティは2つのセットを生成した後にそれらを記憶し、維持する。
統一認証フレームワークは、モバイルユーザー機器と、異なるアクセス技術を有するネットワーク、例えば5Gネットワークとの間の通信において適用されることが可能であると想定される。統一認証フレームワークは異種アクセスを有するモバイルネットワークのための高速認証および統一認証管理を可能にする。これは認証管理を簡素化し、異種アクセス技術の間の迅速なハンドオーバーを可能にし、ユーザー体験を改善する。これはHSSの作業負担も減らされる。
図23は複数のアクセス技術を表わす一実施形態を示す。次世代ネットワークシステムは、次世代無線、Wi-Fiアクセス技術、およびブルートゥース(登録商標)などを含む複数のアクセス技術をサポートする。UEの多くは複数のアクセス技術をサポートし、UEは同じ3GPP信用情報を用いてネットワークに対して複数の接続を同時に確立し得る。SA2は統一的な認証フレームワークを提案しており、ネットワーク側ではセキュリティコンテクスト構造が規定されている。UEについてはセキュリティコンテクスト構造はまだ規定されていない。したがって、我々はこの提案において、統一的な認証フレームワークを用いてUE側のセキュリティコンテクスト構造と検討中のネットワーク側のセキュリティコンテクスト構造を提案した。
5Gシステムを用いて、UEが同時接続を用いてネットワークへ接続し得ることは一般的である。異なる接続が異なるアクセス技術において存在し得る。しかし、異なるアクセス技術が同じ3GPP信用情報を用いてネットワークと認証し得る。そのようなシナリオにおいて、UEがどのようにしてネットワークと認証するか、およびアクセス技術ごとにどのようにしてセキュリティコンテクストを導出するかが研究される必要がある。
我々はこの寄稿において、異なるアクセス技術がUE側で同じサプリカントを共有することを提案する。サプリカントは異なるアクセス技術のための認証の責任を持つ。
サプリカントがネットワーク側の認証ユニット(CP-AU)と相互認証を遂行するときに、サプリカントでセキュリティコンテクストが確立されていないならば、UEがサプリカントの中でセキュリティコンテクストを確立する。
サプリケーションが既に1つの確立されたセキュリティコンテクストを有するならば、UEはネットワーク認証エンティティとの相互認証のために既存のセキュリティコンテクストを使用することができる。認証が成功であるならば、サプリカントとCP-AUの両方がセキュリティコンテクストを更新した。
サプリカントは、通信の保護のために、導出されたセキュリティコンテクストを関係するアクセス技術へ送信する。
図24
図24は、2つの異なるアクセス技術を有するUEが、上記で提案した統一認証フレームワークとセキュリティコンテクスト導出方法を用いてセキュリティコンテクストを確立するための詳しい手順を表わす。
UE内のアクセス技術1を有するデバイスは、認証の要求をサプリカントへ送信する。
サプリカントはコアネットワーク内のCP-AUと認証し、このときサプリカントおよびCP-AUは、認証ベクトルのため、信頼されたコンピューティングストレージおよび信用情報リポジトリとそれぞれ通信する(2aおよび2b)。
サプリカントおよびCP-AUはCP-AUおよびサプリカントの両方と認証セキュリティコンテクストを確立する(3aおよび3b)。
サプリカントおよびCP-AUはUE側の関連するデバイスおよびネットワーク側のアクセスネットワークへセキュリティコンテクストを送信する。
デバイスとANの両方はセキュリティコンテクストをインストールし、これらをデータ/シグナリング保護のために使用する。
UE内のアクセス技術1を有するデバイスは、認証の要求をサプリカントへ送信する。
サプリカントはコアネットワーク内のCP-AUと認証する。認証手順は第1のアクセス技術の認証を通じて確立されたセキュリティコンテクストを再使用する。
サプリカントとCP-AUは認証セキュリティコンテクストを更新する。
サプリカントとCP-AUはUE側の関連するデバイス(アクセス技術2を有するデバイス)とネットワーク側のアクセスネットワークへセキュリティコンテクストを送信する。
デバイスとANの両方はセキュリティコンテクストをインストールし、これらをデータ/シグナリング保護のために使用する。
上記は、モバイルデバイスとコアネットワークとの間の協調的認証のための統一認証フレームワークの方法およびシステムの実施形態の説明である。当業者が、この開示に基づき、請求項に記載されたこの発明を侵害する、代わりの方法およびシステムを設計することができ、または設計するであろうことは予測可能である。
1 通信デバイス
2 通信デバイス
200 タイミング図
300 タイミング図
400 タイミング図
510 第1の部分
520 第2の部分
600 プロセス
700 タイミング図
800 プロセス
900 プロセス
1000 プロセス
1000A 代わりのプロセス
1100 プロセス
1200 タイミング図
1300 プロセス
1400 プロセス
1500 タイミング図
1600 プロセス
1690 AKAアルゴリズム
1700 プロセス
1800 プロセス
1890 AKAアルゴリズム
1900 タイミング図
2000 プロセス
2100 プロセス
2200 プロセスの流れ

Claims (20)

  1. コアネットワークと通信するユーザー機器(UE)のための方法であって、
    前記コアネットワークのネットワーク認証エンティティにより、前記UEの第1の通信デバイスを認証するステップであって、前記UEの第1の通信デバイスは、第1のアクセス技術に対応する、ステップと、
    認証に成功したとき、前記コアネットワークの前記ネットワーク認証エンティティにより、前記UEの第1の通信デバイスのセキュリティコンテクストを生成するステップであって、前記第1の通信デバイスのセキュリティコンテクストは、高速再認証IDを含む、ステップと、
    前記コアネットワークの前記ネットワーク認証エンティティにより、前記UEの第2の通信デバイスから第2のアクセス技術を通じて認証の要求を受信するステップと、
    前記コアネットワークの前記ネットワーク認証エンティティにより、前記要求が認証であるか、または高速再認証であるかを判断するステップと、
    前記コアネットワークの前記ネットワーク認証エンティティにより、前記要求が前記高速再認証IDを含むか否かを判断することによって高速再認証手順を開始するステップと
    を含み、前記コアネットワークの前記ネットワーク認証エンティティにより、高速再認証手順を開始する前記ステップは、
    前記コアネットワークの前記ネットワーク認証エンティティにより、前記UEの第1の通信デバイスのセキュリティコンテクストを更新するステッ
    を含む、方法。
  2. 前記セキュリティコンテクストを更新する前記ステップは、
    前記コアネットワークの前記ネットワーク認証エンティティにより、前記セキュリティコンテクスト内のカウンタを更新するステップ
    を含む、請求項1に記載の方法。
  3. 前記第1のアクセス技術は3GPPアクセス技術であり、前記第2のアクセス技術は非3GPPアクセス技術である、請求項2に記載の方法。
  4. 前記第1のアクセス技術は非3GPPアクセス技術であり、前記第2のアクセス技術は3GPPアクセス技術である、請求項2に記載の方法。
  5. アクセスネットワークが前記更新されたセキュリティコンテクストをシグナリング保護のために使用するように、前記コアネットワークの前記ネットワーク認証エンティティにより、前記更新されたセキュリティコンテクストを前記アクセスネットワークへ送信するステップ
    をさらに含む、請求項1から4のいずれか一項に記載の方法。
  6. コアネットワークと通信するユーザー機器(UE)のための方法であって、
    前記UEの第1の通信デバイスが正常に認証されたとき、前記UEにより、前記UEの第1の通信デバイスのセキュリティコンテクストを生成するステップであって、前記UEの第1の通信デバイスは、第1のアクセス技術に対応し、前記第1の通信デバイスのセキュリティコンテクストは、高速再認証IDを含む、ステップと、
    前記UEにより、第2のアクセス技術を通じて前記コアネットワークのネットワーク認証エンティティへ要求を送信するステップであって、前記要求は、前記高速再認証IDを含む、ステップと、
    前記UEにより、前記UEが正常に認証されたときにセキュリティコンテクストを更新するステップと
    を含む、方法。
  7. セキュリティコンテクストを更新する前記ステップは、
    前記UEにより、前記セキュリティコンテクスト内のカウンタを更新するステップ
    を含む、請求項6に記載の方法。
  8. 前記第1のアクセス技術は3GPPアクセス技術であり、前記第2のアクセス技術は非3GPPアクセス技術である、請求項7に記載の方法。
  9. 前記第1のアクセス技術は非3GPPアクセス技術であり、前記第2のアクセス技術は3GPPアクセス技術である、請求項7に記載の方法。
  10. 装置であって、
    命令を記憶する少なくとも1つのメモリーと、
    前記命令を実行して、
    UEの第1の通信デバイスを認証することであって、前記UEの第1の通信デバイスは、第1のアクセス技術に対応する、前記認証することと、
    認証に成功したとき、前記UEの第1の通信デバイスのセキュリティコンテクストを生成することであって、前記第1の通信デバイスのセキュリティコンテクストは、高速再認証IDを含む、前記生成することと、
    前記UEの第2の通信デバイスから第2のアクセス技術を通じて認証の要求を受信することと
    前記要求が認証であるか、または高速再認証であるかを判断することと、
    前記要求が前記高速再認証IDを含むか否かを判断することによって高速再認証手順を開始することと
    を行う少なくとも1つのプロセッサと
    を含み、前記高速再認証手順を開始することは、
    前記UEの第1の通信デバイスのセキュリティコンテクストを更新すること
    を含む、装置。
  11. 前記セキュリティコンテクストを更新することは、
    前記セキュリティコンテクスト内のカウンタを更新することを含む、請求項10に記載の装置。
  12. 前記第1のアクセス技術は3GPPアクセス技術であり、前記第2のアクセス技術は非3GPPアクセス技術である、請求項11に記載の装置。
  13. 前記第1のアクセス技術は非3GPPアクセス技術であり、前記第2のアクセス技術は3GPPアクセス技術である、請求項11に記載の装置。
  14. 前記プロセッサは、さらに、前記命令を実行して、
    アクセスネットワークが前記更新されたセキュリティコンテクストをシグナリング保護のために使用するように、前記更新されたセキュリティコンテクストを前記アクセスネットワークへ送信する、請求項10から13のいずれか一項に記載の装置。
  15. コアネットワークと直接通信するユーザー機器(UE)であって、
    命令を記憶する少なくとも1つのメモリーと、
    前記命令を実行して、
    前記UEの第1の通信デバイスが正常に認証されたとき、前記UEの第1の通信デバイスのセキュリティコンテクストを生成することであって、前記UEの第1の通信デバイスは、第1のアクセス技術に対応し、前記第1の通信デバイスのセキュリティコンテクストは、高速再認証IDを含む、前記生成することと、
    第2のアクセス技術を通じて前記コアネットワークのネットワーク認証エンティティへ要求を送信することであって、前記要求は、前記高速再認証IDを含む、前記送信することと
    前記UEが正常に認証されたときにセキュリティコンテクストを更新することと
    を行う少なくとも1つのプロセッサと
    を含む、UE。
  16. セキュリティコンテクストを更新することは、
    前記セキュリティコンテクスト内のカウンタを更新することを含む、請求項15に記載のUE。
  17. 前記第1のアクセス技術は3GPPアクセス技術であり、前記第2のアクセス技術は非3GPPアクセス技術である、請求項16に記載のUE。
  18. 前記第1のアクセス技術は非3GPPアクセス技術であり、前記第2のアクセス技術は3GPPアクセス技術である、請求項16に記載のUE。
  19. 命令を記憶する非一時的なコンピュータ可読媒体であって、前記命令が少なくとも1つのプロセッサによって実行されると、
    UEの第1の通信デバイスを認証することであって、前記UEの第1の通信デバイスは、第1のアクセス技術に対応する、前記認証することと、
    認証に成功したとき、前記UEの第1の通信デバイスのセキュリティコンテクストを生成することであって、前記第1の通信デバイスのセキュリティコンテクストは、高速再認証IDを含む、前記生成することと、
    前記UEの第2の通信デバイスから第2のアクセス技術を通じて認証の要求を受信することと、
    前記要求が認証であるか、または高速再認証であるかを判断することと、
    前記要求が前記高速再認証IDを含むか否かを判断することによって高速再認証手順を開始することと
    が実行され、前記高速再認証手順を開始することは、
    前記UEの第1の通信デバイスのセキュリティコンテクストを更新するこ
    を含む、非一時的なコンピュータ可読媒体。
  20. 命令を記憶する非一時的なコンピュータ可読媒体であって、前記命令が少なくとも1つのプロセッサによって実行されると、
    UEの第1の通信デバイスが正常に認証されたとき、前記UEにより、前記UEの第1の通信デバイスのセキュリティコンテクストを生成することであって、前記UEの第1の通信デバイスは、第1のアクセス技術に対応し、前記第1の通信デバイスのセキュリティコンテクストは、高速再認証IDを含む、前記生成することと、
    前記UEにより、第2のアクセス技術を通じてコアネットワークのネットワーク認証エンティティへ要求を送信することであって、前記要求は、前記高速再認証IDを含む、前記送信することと、
    前記UEにより、前記UEが正常に認証されたときにセキュリティコンテクストを更新することと
    が実行される、非一時的なコンピュータ可読媒体。
JP2019501459A 2016-07-13 2017-03-28 異種ネットワークのための統一認証 Active JP6732095B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SG10201605752P 2016-07-13
SG10201605752PA SG10201605752PA (en) 2016-07-13 2016-07-13 A unified authentication work for heterogeneous network
PCT/SG2017/050163 WO2018013052A1 (en) 2016-07-13 2017-03-28 Unified authentication for heterogeneous networks

Publications (2)

Publication Number Publication Date
JP2019527504A JP2019527504A (ja) 2019-09-26
JP6732095B2 true JP6732095B2 (ja) 2020-07-29

Family

ID=58670278

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019501459A Active JP6732095B2 (ja) 2016-07-13 2017-03-28 異種ネットワークのための統一認証

Country Status (7)

Country Link
US (1) US10849191B2 (ja)
EP (1) EP3469823B1 (ja)
JP (1) JP6732095B2 (ja)
KR (1) KR20190020140A (ja)
CN (2) CN109076339A (ja)
SG (1) SG10201605752PA (ja)
WO (1) WO2018013052A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016224522A (ja) * 2015-05-27 2016-12-28 京セラ株式会社 端末装置およびサービスサーバ
US10136305B2 (en) * 2016-12-01 2018-11-20 At&T Intellectual Property I, L.P. Method and apparatus for using mobile subscriber identification information for multiple device profiles for a device
US10445634B2 (en) * 2016-12-14 2019-10-15 Trackonomy Systems, Inc. Fabricating multifunction adhesive product for ubiquitous realtime tracking
US11540125B2 (en) * 2017-03-17 2022-12-27 Nec Corporation Authentication device, network device, communication system, authentication method, and non-transitory computer readable medium
CN108234642B (zh) * 2017-12-29 2021-01-26 中国银联股份有限公司 一种用户追踪方法、服务器和用户端
US20200145824A1 (en) * 2018-11-05 2020-05-07 Comcast Cable Communications, Llc Localized Multi-Factor Network Authentication
DE102019108049A1 (de) * 2019-03-28 2020-10-01 Pilz Gmbh & Co. Kg Zugriffssteuerungssystem zur Steuerung eines Zugriffs eines Nutzers auf eine oder mehrere Betriebsfunktionen einer technischen Anlage
EP3967067A4 (en) * 2019-05-09 2022-06-22 Samsung Electronics Co., Ltd. APPARATUS AND METHOD FOR PROVIDING MOBILE EDGE COMPUTER SERVICES IN A WIRELESS COMMUNICATION SYSTEM
US11696128B2 (en) * 2019-10-09 2023-07-04 Cisco Technology, Inc. Reducing authentication steps during Wi-Fi and 5G handover
US10750350B1 (en) 2019-12-16 2020-08-18 Cisco Technology, Inc. Techniques for decoupling authentication and subscription management from a home subscriber server
CN111885602B (zh) * 2020-07-27 2021-04-27 西南交通大学 一种面向异构网络的批量切换认证及密钥协商方法
US11819305B1 (en) 2020-10-05 2023-11-21 Trackonomy Systems, Inc. Method for determining direction of movement through gates and system thereof
CN112887981B (zh) * 2021-01-12 2022-10-04 国网电力科学研究院有限公司 一种电力无线专网终端接入的认证方法及系统
US20220255752A1 (en) * 2021-02-09 2022-08-11 Ford Global Technologies, Llc Vehicle computing device authentication
CN114760626B (zh) * 2021-10-18 2024-04-02 西安电子科技大学 一种5g大规模终端的自适应组合认证方法
WO2023080355A1 (ko) * 2021-11-02 2023-05-11 엘지전자 주식회사 무선 통신 시스템에서 단말 인증 방법 및 장치
WO2023249519A1 (en) * 2022-06-20 2023-12-28 Telefonaktiebolaget Lm Ericsson (Publ) Providing an authentication token for authentication of a user device for a third-party application using an authentication server.

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7072657B2 (en) * 2002-04-11 2006-07-04 Ntt Docomo, Inc. Method and associated apparatus for pre-authentication, preestablished virtual private network in heterogeneous access networks
KR100755394B1 (ko) * 2006-03-07 2007-09-04 한국전자통신연구원 Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
CN101411115B (zh) * 2006-03-31 2012-06-06 三星电子株式会社 用于在接入系统间切换期间优化验证过程的系统和方法
KR101490243B1 (ko) * 2007-07-10 2015-02-11 엘지전자 주식회사 이종망간 핸드오버시 빠른 보안연계 설정방법
PT2274933T (pt) 2008-05-09 2020-09-11 Ericsson Telefon Ab L M Transferência ininterrupta entre redes 3gpp e não 3gpp
CN101594616B (zh) 2009-07-08 2012-05-23 华为终端有限公司 认证方法、服务器、用户设备及通信系统
US8385549B2 (en) * 2009-08-21 2013-02-26 Industrial Technology Research Institute Fast authentication between heterogeneous wireless networks
AU2011239422B2 (en) 2010-04-15 2014-05-08 Qualcomm Incorporated Apparatus and method for signaling enhanced security context for session encryption and integrity keys
CN102421097B (zh) 2010-09-27 2015-12-09 中国移动通信集团公司 一种用户认证方法、装置及系统
US9009801B2 (en) 2010-12-30 2015-04-14 Interdigital Patent Holdings, Inc. Authentication and secure channel setup for communication handoff scenarios
WO2013165605A1 (en) 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using single sign-on systems
CN103609154B (zh) 2012-06-08 2017-08-04 华为技术有限公司 一种无线局域网接入鉴权方法、设备及系统
US9655012B2 (en) * 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
TWI492656B (zh) 2012-12-25 2015-07-11 廣達電腦股份有限公司 無線存取點
CN103906056B (zh) 2012-12-26 2018-01-09 中国电信股份有限公司 混合组网下统一认证方法及系统

Also Published As

Publication number Publication date
US10849191B2 (en) 2020-11-24
WO2018013052A1 (en) 2018-01-18
JP2019527504A (ja) 2019-09-26
EP3469823A1 (en) 2019-04-17
CN110049492A (zh) 2019-07-23
KR20190020140A (ko) 2019-02-27
CN109076339A (zh) 2018-12-21
SG10201605752PA (en) 2018-02-27
US20190149990A1 (en) 2019-05-16
EP3469823B1 (en) 2023-11-22
CN110049492B (zh) 2020-09-18

Similar Documents

Publication Publication Date Title
JP6732095B2 (ja) 異種ネットワークのための統一認証
US10708058B2 (en) Devices and methods for client device authentication
US11496320B2 (en) Registration method and apparatus based on service-based architecture
KR102112542B1 (ko) 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템
KR101038064B1 (ko) 애플리케이션 인증
US20110004754A1 (en) Method And Apparatuses For Authentication And Reauthentication Of A User With First And Second Authentication Procedures
AU2020200523B2 (en) Methods and arrangements for authenticating a communication device
EP3175639B1 (en) Authentication during handover between two different wireless communications networks
WO2014126518A1 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
Arkko et al. A USIM compatible 5G AKA protocol with perfect forward secrecy
US20210165885A1 (en) Extended Authentication Method And Apparatus For Generic Bootstrapping Architecture, And Storage Medium
EP3413508A1 (en) Devices and methods for client device authentication
US11316670B2 (en) Secure communications using network access identity
WO2017009714A1 (en) Establishing a temporary subscription with isolated e-utran network
WO2019196794A1 (zh) 认证方法、设备和计算机可读存储介质
US20230108626A1 (en) Ue challenge to a network before authentication procedure
CN111212424A (zh) 一种从eps到5gs互操作时鉴权ue的方法及系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200409

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200608

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200707

R150 Certificate of patent or registration of utility model

Ref document number: 6732095

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250