JP6936393B2 - パラメータ保護方法及びデバイス、並びに、システム - Google Patents

パラメータ保護方法及びデバイス、並びに、システム Download PDF

Info

Publication number
JP6936393B2
JP6936393B2 JP2020518463A JP2020518463A JP6936393B2 JP 6936393 B2 JP6936393 B2 JP 6936393B2 JP 2020518463 A JP2020518463 A JP 2020518463A JP 2020518463 A JP2020518463 A JP 2020518463A JP 6936393 B2 JP6936393 B2 JP 6936393B2
Authority
JP
Japan
Prior art keywords
entity
key
hplmn
terminal
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020518463A
Other languages
English (en)
Other versions
JP2020535768A (ja
Inventor
江威 ▲應▼
江威 ▲應▼
▲艷▼▲梅▼ ▲楊▼
▲艷▼▲梅▼ ▲楊▼
濛 李
濛 李
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2020535768A publication Critical patent/JP2020535768A/ja
Application granted granted Critical
Publication of JP6936393B2 publication Critical patent/JP6936393B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

この出願は、参照することによりその全体が本願に組み入れられる2017年9月29日に中国特許庁に出願されて「パラメータ保護方法及びデバイス、並びに、システム」と題される中国特許出願公開第201710910650.3号明細書の優先権を主張する。
本出願は、通信技術に関し、特に、パラメータ保護の方法及びデバイス、並びに、システムに関する。
通信技術の継続的な開発により、第5世代(5th−generation、5G)モバイル通信技術のための研究及び標準化が開始されてきた。5Gネットワークでは、異なるエンティティが配置され、これらのエンティティは異なるネットワーク機能を果たし得る。5Gネットワークは、訪問先公衆陸上モバイルネットワーク(visited public land mobile network、VPLMN)と、家庭用公衆陸上モバイルネットワーク(home public land mobile network、HPLMN)を含む。VPLMNとしては、アクセス・モビリティ管理機能(access and mobility management function、AMF)エンティティ、セッション管理機能(session management function、SMF)エンティティ、ポリシー制御機能(policy control function、PCF)エンティティなどが挙げられる。HPLMNとしては、認証サーバ機能(authentication server function、AUSF)エンティティ、統合データ管理(unified data management、UDM)エンティティ、AMFエンティティ、PCFエンティティなどが挙げられる。
従来技術では、HPLMNにおけるエンティティが幾つかの構成パラメータを端末に送信する必要がある。これらの構成パラメータの送信中に、HPLMNにおけるエンティティは、VPLMNにおける他のエンティティを使用することによって構成パラメータを端末に送信する必要がある。例えば、UDMエンティティは、VPLMNにおけるAMFエンティティを使用することによって更新されたサブスクリプションデータを端末に送信する必要がある。他の例の場合、HPLMNにおけるPCFエンティティは、VPLMNにおけるPCFエンティティとVPLMNにおけるAMFエンティティとを順に使用することによってポリシー情報を端末に送信する必要がある。
従来技術では、HPLMNにおけるエンティティによって端末に送信されるパラメータが、VPLMNにおけるエンティティを使用することによってのみ転送され得ることが分かる。しかしながら、転送プロセス中に、パラメータは、VPLMNにおけるエンティティによって傍受又は変更される場合がある。その結果、セキュリティが比較的低い。
この出願は、HPLMNにおけるエンティティにより端末に送信されるパラメータがVPLMNにおけるエンティティによって傍受又は変更される場合があるという問題を解決するためのパラメータ保護方法及びデバイス、並びに、システムを提供する。
第1の態様によれば、この出願は、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得して、キーを生成するステップであって、キーが、端末とHPLMNとの間のパラメータの送信を保護するために使用される、ステップと、HPLMNにおける他のエンティティによって、パラメータをAUSFエンティティに送信するステップであって、他のエンティティが、パラメータを端末に送信する必要があるエンティティである、ステップと、AUSFエンティティによって、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行するステップとを含む、パラメータ保護方法を提供する。
この出願の解決策において、HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づき、端末に送信される必要があるパラメータに対してセキュリティ保護処理を実行し、その後、HPLMNは、端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上する。
第1の態様に関連して、第1の態様の第1の実施において、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得するステップは、VPLMNにおけるAMFエンティティによって、セキュリティアルゴリズムをAUSFエンティティに送信するステップであって、セキュリティアルゴリズムが、端末によりVPLMNにおけるAMFエンティティとネゴシエートされるセキュリティアルゴリズムである、ステップを含む。
第1の態様に関連して、第1の態様の第2の実施において、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得するステップは、VPLMNにおけるAMFエンティティによって、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信するステップと、AUSFエンティティにより、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定するステップとを含む。
第1の態様に関連して、第1の態様の第3の実施において、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得するステップは、AUSFエンティティによって、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定するステップを含む。
第1の態様、第1の態様の第1の実施、第1の態様の第2の実施、又は、第1の態様の第3の実施に関連して、第1の態様の第4の実施において、HPLMNにおけるAUSFエンティティによってキーを生成するステップは、端末によって、AUSFエンティティに乱数を送信するステップであって、乱数が、HPLMNのパブリックキーを使用することによって暗号化される乱数である、ステップと、AUSFエンティティによって、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することにより乱数を復号するステップと、AUSFエンティティによって、入力パラメータに基づきキーを生成するステップであって、入力パラメータが復号化乱数と第1のルートキーとを含み、第1のルートキーが、端末とVPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおける認証資格情報リポジトリ・処理機能ARPFエンティティによって生成される、ステップと、を含む。
第1の態様、第1の態様の第1の実施、第1の態様の第2の実施、又は、第1の態様の第3の実施に関連して、第1の態様の第5の実施において、HPLMNにおけるAUSFエンティティによってキーを生成するステップは、HPLMNにおけるARPFによって、第2のルートキーをAUSFエンティティに送信するステップであって、第2のルートキーがARPFエンティティによって生成され、第2のルートキーが、端末とVPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される第1のルートキーとは異なる、ステップと、AUSFエンティティによって、入力パラメータに基づきキーを生成するステップであって、入力パラメータが前記第2のルートキーを備える、ステップと、を含む。
第1の態様、第1の態様の第1の実施、第1の態様の第2の実施、又は、第1の態様の第3の実施に関連して、第1の態様の第6の実施において、HPLMNにおけるAUSFエンティティによってキーを生成するステップは、HPLMNにおけるARPFエンティティによって、第3のルートキーをAUSFエンティティに送信するステップであって、第3のルートキーが、端末とHPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される、ステップと、AUSFエンティティによって、入力パラメータに基づきキーを生成するステップであって、入力パラメータが第3のルートキーを備える、ステップと、を含む。
第1の態様、第1の態様の第4の実施、第1の態様の第5の実施、又は、第1の態様の第6の実施に関連して、第1の態様の第7の実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
第1の態様又は第1の態様の前述の実施のいずれか1つに関連して、第1の態様の第8の実施において、AUSFエンティティによって、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行した後、方法は、AUSFエンティティによって、セキュリティ保護処理によって取得されるパラメータを端末に送信するステップを更に含む。
第1の態様又は第1の態様の第8の実施に関連して、第1の態様の第9の実施において、AUSFエンティティによってセキュリティ保護処理によって取得されるパラメータを端末に送信するステップは、AUSFエンティティにより、他のエンティティを使用することによって、セキュリティ保護処理により取得されるパラメータを端末に送信するステップ、又は、AUSFエンティティにより、VPLMNにおけるAMFエンティティを使用することによって、セキュリティ保護処理によって取得されるパラメータを端末に送信するステップを含む。
第2の態様によれば、パラメータ保護方法が提供される。方法は、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得して、キーを生成するステップであって、キーが、端末とHPLMNとの間のパラメータの送信を保護するために使用される、ステップと、AUSFエンティティによって、HPLMNにおける他のエンティティにセキュリティアルゴリズム及びキーを送信するステップであって、他のエンティティがパラメータを端末に送信する必要があるエンティティである、ステップと、を含む。
この出願の解決策では、HPLMNにおける他のエンティティがセキュリティアルゴリズムとキーとを受信した後、他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行してもよく、その後、HPLMNは、端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
第2の態様に関連して、第2の態様の第1の実施において、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得するステップは、VPLMNにおけるAMFエンティティによって、セキュリティアルゴリズムをAUSFエンティティに送信するステップであって、セキュリティアルゴリズムが、端末によりVPLMNにおけるAMFエンティティとネゴシエートされるセキュリティアルゴリズムである、ステップを含む。
第2の態様に関連して、第2の態様の第2の実施において、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得するステップは、VPLMNにおけるAMFエンティティによって、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信するステップと、AUSFエンティティにより、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定するステップとを含む。
第2の態様に関連して、第2の態様の第3の実施において、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得するステップは、AUSFエンティティによって、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定するステップを含む。
第2の態様、第2の態様の第1の実施、第2の態様の第2の実施、又は、第2の態様の第3の実施に関連して、第2の態様の第4の実施において、HPLMNにおけるAUSFエンティティによってキーを生成するステップは、端末によって、AUSFエンティティに乱数を送信するステップであって、乱数が、HPLMNのパブリックキーを使用することによって暗号化される乱数である、ステップと、AUSFエンティティによって、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することにより乱数を復号するステップと、AUSFエンティティによって、入力パラメータに基づきキーを生成するステップであって、入力パラメータが復号化乱数と第1のルートキーとを含み、第1のルートキーが、端末とVPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおける認証資格情報リポジトリ・処理機能ARPFエンティティによって生成される、ステップと、を含む。
第2の態様、第2の態様の第1の実施、第2の態様の第2の実施、又は、第2の態様の第3の実施に関連して、第2の態様の第5の実施において、HPLMNにおけるAUSFエンティティによってキーを生成するステップは、HPLMNにおけるARPFによって、第2のルートキーをAUSFエンティティに送信するステップであって、第2のルートキーがARPFエンティティによって生成され、第2のルートキーが、端末とVPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される第1のルートキーとは異なる、ステップと、AUSFエンティティによって、入力パラメータに基づきキーを生成するステップであって、入力パラメータが前記第2のルートキーを備える、ステップと、を含む。
第2の態様、第2の態様の第1の実施、第2の態様の第2の実施、又は、第2の態様の第3の実施に関連して、第2の態様の第6の実施において、HPLMNにおけるAUSFエンティティによってキーを生成するステップは、HPLMNにおけるARPFエンティティによって、第3のルートキーをAUSFエンティティに送信するステップであって、第3のルートキーが、端末とHPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される、ステップと、AUSFエンティティによって、入力パラメータに基づきキーを生成するステップであって、入力パラメータが第3のルートキーを備える、ステップと、を含む。
第2の態様、第2の態様の第4の実施、第2の態様の第5の実施、又は、第2の態様の第6の実施に関連して、第2の態様の第7の実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
第2の態様又は第2の態様の実施のいずれか1つに関連して、第2の態様の第8の実施において、AUSFエンティティによって、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信した後、方法は、他のエンティティによって、セキュリティアルゴリズムとキーとに基づきパラメータに対してセキュリティ保護処理を実行するステップを更に含む。
第2の態様又は第2の態様の第8の実施のいずれか1つに関連して、第2の態様の第9の実施において、他のエンティティによって、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行した後、方法は、
他のエンティティによって、セキュリティ保護処理により取得されるパラメータを端末に送信するステップを更に含む。
第2の態様又は第2の態様の第9の実施のいずれか1つに関連して、第2の態様の第10の実施において、他のエンティティによって、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行するステップは、他のエンティティにより、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理を実行するステップ、又は、他のエンティティにより、セキュリティアルゴリズムとキーとに基づいてパラメータに対して完全性保護処理を実行するステップ、を含む。
第3の態様によれば、パラメータ保護デバイスが提供される。デバイスは、セキュリティアルゴリズムを取得するように構成される取得ユニットと、キーを生成するように構成される生成ユニットであって、キーが、端末とHPLMNとの間のパラメータの送信を保護するために使用される、生成ユニットと、HPLMNにおける他のエンティティによって送信されるパラメータを受信するように構成される受信ユニットであって、他のエンティティが、パラメータを端末に送信する必要があるエンティティである、受信ユニットと、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行するように構成される処理ユニットとを含む。
第3の態様に関連して、第3の態様の第1の可能な実施において、取得ユニットは、VPLMNにおけるAMFによって送信されるセキュリティアルゴリズムを受信するように特に構成され、セキュリティアルゴリズムは、端末によりVPLMNにおけるAMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
第3の態様に関連して、第3の態様の第2の可能な実施において、取得ユニットは、端末によりサポートされてVPLMNにおけるAMFエンティティにより送信されるセキュリティアルゴリズムを受信するように構成される第1の受信サブユニットと、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定するように構成される決定サブユニットとを含む。
第3の態様に関連して、第3の態様の第3の実施において、取得ユニットは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定するように特に構成される。
第3の態様、第3の態様の第1の実施、第3の態様の第2の実施、又は、第3の態様の第3の実施に関連して、第3の態様の第4の実施において、生成ユニットは、端末により送信される乱数を受信するように構成される第2の受信サブユニットであって、乱数が、HPLMNのパブリックキーを使用することによって暗号化される乱数である、第2の受信サブユニットと、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することにより乱数を復号するように構成される復号化サブユニットと、入力パラメータに基づきキーを生成するように構成される第1の生成サブユニットであって、入力パラメータが復号化乱数と第1のルートキーとを含み、第1のルートキーが、端末とVPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおける認証資格情報リポジトリ・処理機能ARPFエンティティによって生成される、第1の生成サブユニットとを含む。
第3の態様、第3の態様の第1の実施、第3の態様の第2の実施、又は、第3の態様の第3の実施に関連して、第3の態様の第5の実施において、生成ユニットは、HPLMNにおけるARPFエンティティにより送信される第2のルートキーを受信するように構成される第3の受信サブユニットであって、第2のルートキーがARPFエンティティによって生成され、第2のルートキーが、端末とVPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される第1のルートキーとは異なる、第3の受信サブユニットと、入力パラメータに基づきキーを生成するように構成される第2の生成サブユニットであって、入力パラメータが第2のルートキーを備える、第2の生成サブユニットとを含む。
第3の態様、第3の態様の第1の実施、第3の態様の第2の実施、又は、第3の態様の第3の実施に関連して、第3の態様の第6の実施において、生成ユニットは、HPLMNにおけるARPFエンティティにより送信される第3のルートキーを受信するように構成される第4の受信サブユニットであって、第3のルートキーが、端末とHPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される、第4の受信サブユニットと、入力パラメータに基づきキーを生成するように構成される第3の生成サブユニットであって、入力パラメータが前記第3のルートキーを備える、第3の生成サブユニットとを含む。
第3の態様、第3の態様の第4の実施、第3の態様の第5の実施、又は、第3の態様の第6の実施に関連して、第3の態様の第7の実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
第3の態様又は第3の態様の前述の実施のいずれか1つに関連して、第3の態様の第8の実施において、デバイスは、処理ユニットがセキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行した後に、セキュリティ保護処理により取得されるパラメータを端末に送信するように構成される送信ユニットを更に含む。
第3の態様又は第3の態様の第8の実施に関連して、第3の態様の第9の実施において、送信ユニットは、他のエンティティを使用することにより、セキュリティ保護処理によって取得されるパラメータを端末に送信する、又は、VPLMNにおけるAMFエンティティを使用することにより、セキュリティ保護処理によって取得されるパラメータを端末に送信するように特に構成される。
第4の態様によれば、パラメータ保護デバイスが提供される。デバイスは、セキュリティアルゴリズムを取得するように構成される取得ユニットと、キーを生成するように構成される生成ユニットであって、キーが、端末とHPLMNとの間のパラメータの送信を保護するために使用される、生成ユニットと、HPLMNにおける他のエンティティにセキュリティアルゴリズム及びキーを送信するように構成される送信ユニットであって、他のエンティティがパラメータを端末に送信する必要があるエンティティである、送信ユニットとを含む。
第4の態様に関連して、第4の態様の第1の実施において、取得ユニットは、VPLMNにおけるAMFによって送信されるセキュリティアルゴリズムを受信するように特に構成され、セキュリティアルゴリズムは、端末によりVPLMNにおけるAMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
第4の態様に関連して、第4の態様の第2の実施において、取得ユニットは、端末によりサポートされてVPLMNにおけるAMFエンティティにより送信されるセキュリティアルゴリズムを受信するように構成される第1の受信サブユニットと、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定するように構成される決定サブユニットとを含む。
第4の態様に関連して、第4の態様の第3の実施において、取得ユニットは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定するように特に構成される。
第4の態様、第4の態様の第1の実施、第4の態様の第2の実施、又は、第4の態様の第3の実施に関連して、第4の態様の第4の実施において、生成ユニットは、端末により送信される乱数を受信するように構成される第2の受信サブユニットであって、乱数が、HPLMNのパブリックキーを使用することによって暗号化される乱数である、第2の受信サブユニットと、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することにより乱数を復号するように構成される復号化サブユニットと、入力パラメータに基づきキーを生成するように構成される第1の生成サブユニットであって、入力パラメータが復号化乱数と第1のルートキーとを含み、第1のルートキーが、端末とVPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおける認証資格情報リポジトリ・処理機能ARPFエンティティによって生成される、第1の生成サブユニットとを含む。
第4の態様、第4の態様の第1の実施、第4の態様の第2の実施、又は、第4の態様の第3の実施に関連して、第4の態様の第5の実施において、生成ユニットは、HPLMNにおけるARPFエンティティにより送信される第2のルートキーを受信するように構成される第3の受信サブユニットであって、第2のルートキーがARPFエンティティによって生成され、第2のルートキーが、端末とVPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される第1のルートキーとは異なる、第3の受信サブユニットと、入力パラメータに基づきキーを生成するように構成される第2の生成サブユニットであって、入力パラメータが第2のルートキーを備える、第2の生成サブユニットとを含む。
第4の態様、第4の態様の第1の実施、第4の態様の第2の実施、又は、第4の態様の第3の実施に関連して、第4の態様の第6の実施において、生成ユニットは、HPLMNにおけるARPFエンティティにより送信される第3のルートキーを受信するように構成される第4の受信サブユニットであって、第3のルートキーが、端末とHPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される、第4の受信サブユニットと、入力パラメータに基づきキーを生成するように構成される第3の生成サブユニットであって、入力パラメータが第3のルートキーを備える、第3の生成サブユニットとを含む。
第4の態様、第4の態様の第4の実施、第4の態様の第5の実施、又は、第4の態様の第6の実施に関連して、第4の態様の第7の実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
第5の態様によれば、パラメータ保護デバイスが提供される。デバイスは、HPLMNにおけるAUSFエンティティによって送信されるセキュリティアルゴリズム及びキーを受信するように構成される受信ユニットを含み、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
第5の態様に関連して、第5の態様の第1の実施において、デバイスは、受信ユニットがHPLMNにおけるAUSFエンティティにより送信されるセキュリティアルゴリズム及びキーを受信した後に、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行するように構成される処理ユニットと、セキュリティ保護処理によって取得されるパラメータを端末に送信するように構成される送信ユニットとを更に含む。
第5の態様又は第5の態様の第1の実施に関連して、第5の態様の第2の実施において、処理ユニットは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理を実行する、又は、セキュリティアルゴリズムとキーとに基づいてパラメータに対して完全性保護処理を実行するように特に構成される。
第6の態様によれば、通信システムが提供される。システムは、第3の態様又は第4の態様の可能な実施のいずれか1つに係るパラメータ保護デバイスと、第5の態様のいずれか1つに係るパラメータ保護デバイスとを含む。
第7の態様によれば、AUSFエンティティが提供される。AUSFエンティティは、第1の態様に係る方法を実施するように構成される、プロセッサ及び通信インタフェースを含む。
第8の態様によれば、AUSFエンティティが提供される。AUSFエンティティは、第2の態様に係る方法を実施するように構成される、プロセッサ及び通信インタフェースを含む。
第9の態様によれば、他のエンティティが提供される。他のエンティティは、第2の態様に係る方法を実施するように構成される、プロセッサ及び通信インタフェースを含む。
第10の態様によれば、端末が提供される。端末は、第3の態様に係る方法を実施するように構成される、プロセッサ、受信機、及び、送信機を含む。
第11の態様によれば、AUSFエンティティが提供される。AUSFエンティティは、第1の態様に係る任意の方法のステップを実行するように構成されるユニット又は手段(means)を含む。
第12の態様によれば、AUSFエンティティが提供される。AUSFエンティティはプロセッサ及びメモリを含む。メモリは、プログラムを記憶するように構成され、また、プロセッサは、メモリに記憶されるプログラムを呼び出して、第1の態様に係る任意の方法を実行する。
第13の態様によれば、AUSFエンティティが提供される。AUSFエンティティは、第1の態様に係る任意の方法を実行するように構成される少なくとも1つの処理要素又はチップを含む。
第14の態様によれば、プログラムが提供される。プログラムがプロセッサによって実行されるとき、プログラムは、第1の態様に係る任意の方法を実行するために使用される。
第15の態様によれば、コンピュータ可読記憶媒体が提供される。コンピュータ可読記憶媒体は、第14の態様におけるプログラムを含む。
第16の態様によれば、AUSFエンティティが提供される。AUSFエンティティは、第2の態様に係る任意の方法のステップを実行するように構成されるユニット又は手段(means)を含む。
第17の態様によれば、AUSFエンティティが提供される。AUSFエンティティはプロセッサ及びメモリを含む。メモリは、プログラムを記憶するように構成され、また、プロセッサは、メモリに記憶されるプログラムを呼び出して、第2の態様に係る任意の方法を実行する。
第18の態様によれば、AUSFエンティティが提供される。AUSFエンティティは、第2の態様に係る任意の方法を実行するように構成される少なくとも1つの処理要素又はチップを含む。
第19の態様によれば、プログラムが提供される。プログラムがプロセッサによって実行されるとき、プログラムは、第2の態様に係る任意の方法を実行するために使用される。
第20の態様によれば、コンピュータ可読記憶媒体が提供される。コンピュータ可読記憶媒体は、第19の態様におけるプログラムを含む。
第21の態様によれば、他のエンティティが提供される。他のエンティティは、第2の態様に係る方法のステップを実行するように構成されるユニット又は手段(means)を含む。
第22の態様によれば、他のエンティティが提供される。他のエンティティはプロセッサ及びメモリを含む。メモリは、プログラムを記憶するように構成され、また、プロセッサは、メモリに記憶されるプログラムを呼び出して、第2の態様の第8の実施又は第9の実施に係る方法を実行する。
第23の態様によれば、他のエンティティが提供される。他のエンティティは、第2の態様に係る方法を実行するように構成される少なくとも1つの処理要素又はチップを含む。
第24の態様によれば、プログラムが提供される。プログラムがプロセッサによって実行されるとき、プログラムは、第2の態様の第8の実施又は第9の実施に係る方法を実行するために使用される。
第25の態様によれば、コンピュータ可読記憶媒体が提供される。コンピュータ可読記憶媒体は、第24の態様におけるプログラムを含む。
第26の態様によれば、端末が提供される。端末は、第1の態様又は第2の態様に係る方法に関連するステップを実行するように構成されるユニット又は手段(means)を含む。
第27の態様によれば、端末が提供される。端末はプロセッサ及びメモリを含む。メモリは、プログラムを記憶するように構成され、また、プロセッサは、メモリに記憶されるプログラムを呼び出して、第1の態様の第8の実施又は第9の実施に係る方法、或いは、第2の態様の第9の実施に係る方法を実行する。
第28の態様によれば、端末が提供される。端末は、第1の態様又は第2の態様に係る方法を実行するように構成される少なくとも1つの処理要素又はチップを含む。
第29の態様によれば、プログラムが提供される。プログラムがプロセッサによって実行されるとき、プログラムは、第1の態様の第8の実施又は第9の実施に係る方法、或いは、第2の態様の第9の実施に係る方法を実行するために使用される。
第30の態様によれば、コンピュータ可読記憶媒体が提供される。コンピュータ可読記憶媒体は、第29の態様におけるプログラムを含む。
ネットワークアーキテクチャを与える。 ネットワークアーキテクチャにおけるネットワークローミングの概略的なアーキテクチャ図1である。 ネットワークアーキテクチャにおけるネットワークローミングの概略的なアーキテクチャ図2である。 この出願の一実施形態に係るパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る他のパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る更なる他のパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る更に他のパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る端末登録手順の概略通信図である。 この出願の一実施形態に係る更に別の他のパラメータ保護方法の概略通信図ある。 この出願の一実施形態に係る更に別の更なるパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る更なるパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る更に別のパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る更なる他のパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る更に他の別のパラメータ保護方法の概略的な通信図である。 この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図である。 この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図である。 この出願の一実施形態に係るARPFエンティティによって第3のルートキーをAUSFエンティティに送信する概略通信図である。 この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図1である。 この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図2である。 この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図1である。 この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図2である。 この出願の一実施形態に係る端末登録手順の概略通信図である。 この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図1である。 この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図2である。 この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図1である。 この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図2である。 この出願の一実施形態に係る更に別の一層他のパラメータ保護方法の概略通信図1である。 この出願の一実施形態に係る更に別の一層他のパラメータ保護方法の概略通信図2である。 この出願の一実施形態に係る更なる他の一層別のパラメータ保護方法の概略通信図1である。 この出願の一実施形態に係る更なる他の一層別のパラメータ保護方法の概略通信図2である。 この出願の一実施形態に係るAUSFエンティティの概略ブロック図である。 この出願の一実施形態に係る他のAUSFエンティティの概略ブロック図である。 この出願の一実施形態に係る更に他のAUSFエンティティの概略ブロック図である。 この出願の一実施形態に係る別の他のAUSFエンティティの概略ブロック図である。 この出願の一実施形態に係る他のエンティティの概略ブロック図である。 この出願の一実施形態に係る更に他のエンティティの概略ブロック図である。 この出願の一実施形態に係る端末の概略ブロック図である。 この出願の一実施形態に係る他の端末の概略ブロック図である。
この出願の実施形態は、5G通信システム又は将来出現するかもしれない他のシステムに適用される。以下は、当業者の理解を容易にするために、この出願で使用される幾つかの用語を説明する。この出願の実施形態における解決策が5G通信システム又は将来出現するかもしれない他のシステムに適用される場合、ネットワークデバイス及び端末の名称が変わる場合があるが、これは、この出願の実施形態における解決策の実施に影響を与えないことに留意すべきである。この出願の実施形態で使用される用語が相互に参照される場合があり、また、詳細が繰り返し説明されないことに留意すべきである。
以下は、添付図面を参照してこの出願の実施形態における技術的解決策を説明する。
図1はネットワークアーキテクチャを与える。ネットワークアーキテクチャは次世代通信システムに適用されてもよい。以下では、次のように、ネットワークアーキテクチャに関連する概念とネットワークアーキテクチャにおける構成要素とについて簡単に説明する。
モバイル通信技術は更新されてアップグレードされ、また、5G技術の研究及び標準化が開始されてきた。5G技術は、モバイルブロードバンド、マルチメディア、マシンタイプ通信(machine type communication、MTC)、産業制御、及び、高度道路交通システム(intelligent transportation system、ITS)などの分野に適用され得る。大きく変化するサービス要件を満たすためには、5Gネットワークが柔軟に構築される必要がある。柔軟な5G構築方法は、ネットワーク機能を分離することである。具体的に言うと、コントロールプレーン(control plane、CP)機能とユーザプレーン(user plane、UP)機能とが分離され、また、CPにおけるモビリティ管理(mobility management、MM)機能とセッション管理(session management、SM)機能とが分離される。ネットワークスライシング(network slice)技術を使用してネットワーク機能を分離してもよい。
ネットワークスライシング技術は、物理ネットワークを複数の仮想エンドツーエンド仮想ネットワークに分割するために使用されてもよい。仮想ネットワーク内にあるデバイス、アクセス技術、送信経路、コアネットワークなどを含むそれぞれの分割された各仮想ネットワークは、論理的に独立している。各ネットワークスライスは、独立したネットワーク機能の1つのインスタンス又はネットワーク機能の組み合わせのインスタンスを含む。各ネットワークスライスは、異なる機能特徴を有し、異なる要件及びサービスに向けられる。ネットワークスライスが互いから分離され、それにより、異なるユーザ又はユーザグループは、異なる適用シナリオ及び要件に基づいて柔軟に且つ動的にネットワーク機能をカスタマイズできる。
ネットワークスライスは、コントロールプレーン機能(control plane function、CPF)エンティティと、ユーザプレーン機能(user plane function、UPF)エンティティとを含む。CPFエンティティはAMFエンティティとSMFエンティティとを含む。CPFエンティティは、主に、端末のアクセス認証、セキュリティ暗号化、及び、位置登録などの機能を遂行するとともに、ユーザプレーン送信経路の確立、解放、及び、変更などの機能を遂行する。UPFエンティティは、主に、ユーザプレーンデータのルーティング及び転送などの機能を遂行する。
端末としては、無線通信機能を有する様々なハンドヘルドデバイス、車載デバイス、ウェアラブルデバイス、又は、コンピュータデバイス、或いは、無線モデムに接続される他の処理デバイス、並びに、モバイルステーション(mobile station、MS)、端末(terminal)、ユーザ機器(user equipment、UE)、及び、ソフトウェア端末、例えば、水道メータ、電気メータ、センサなどの様々な形態の端末を挙げることができる。
無線アクセスネットワーク(radio access network、RAN)は、複数の5G−RANノードを含むネットワークであり、無線物理層機能、リソーススケジューリング・無線リソース管理、無線アクセス制御、及び、モビリティ管理機能を実装する。例えば、5G−RANは、端末のデータを送信するために、ユーザプレーンインタフェースN3を介してUPFエンティティに接続される。5G−RANは、無線アクセスベアラ制御などの機能を実装するために、コントロールプレーンインタフェースN2を介したAMFエンティティに対するコントロールプレーンシグナリング接続を確立する。
認証資格認定リポジトリ・処理機能(authentication credential repository and processing function、ARPF)エンティティは、UEとネットワークとの間の認証のために使用されるセキュリティベクトルを生成するように構成され、UDMエンティティの一部であってもよい。
AUSFエンティティは、全機能ノードであり、AMFエンティティから認証ベクトル要求を受信し、ARPFエンティティ又はUDMエンティティから取得される5G認証ベクトルをAMFエンティティに戻し、或いは、ARPFエンティティ又はUDMエンティティから取得される5G認証ベクトルを更に処理し、その後、処理された5G認証ベクトルをAMFエンティティに戻し、それにより、端末とネットワーク側との間のセキュリティ認証のために5G認証ベクトルが使用されるようにするべく構成される。
AMFエンティティは、端末の認証、端末のモビリティ管理、ネットワークスライス選択、SMFエンティティの選択などに関与する。加えて、AMFエンティティは、SMFエンティティのためのN1/N2 SMメッセージのルーティングを行なうために、N1とN2との間のシグナリング接続のアンカーポイントとして使用されてもよい。更に、AMFエンティティは、端末の状態情報を維持して管理してもよい。
SMFエンティティは、端末のセッション、例えば、ユーザプレーン送信経路の確立、解放、及び、変更、UPFエンティティの選択、インターネットプロトコル(internet protocol、IP)アドレスの割り当て、セッションのサービスの質(quality of service、QoS)管理、及び、PCFエンティティからのポリシー制御・課金(policy control and charging、PCC)ポリシーの取得などのセッション管理機能に関与する。
NEFエンティティは、SMFエンティティを外部DNに接続することに関与し、第三者認証エンティティを含んでもよい。
UPFエンティティは、PDUエンティティのセッション接続のアンカーポイントとしての機能を果たし、端末のデータパケットフィルタリング、データ送信/転送、レート制御、課金情報生成などに関与する。
UDMエンティティは、参照情報をネットワークエンティティに割り当てる、例えば、参照情報をSMFエンティティ又はNEFエンティティに割り当てる。
PCFエンティティは、参照情報をネットワークエンティティに割り当てる、例えば、参照情報をSMFエンティティ又はNEFエンティティに割り当てる。
ネットワークスライス選択機能(network slice selection function、NSSF)は、UEに適したネットワークスライスを選択するために使用される。
データネットワーク(data network、DN)は外部データネットワークサービスを提供する。
アプリケーション機能(application function、AF)は、外部アプリケーションとコアネットワーク内のPCFエンティティとの間の相互作用のために使用され、主に、そのアプリケーションに対応するIP接続性アクセスネットワーク(IP−connectivity access network、IP−CAN)に関してポリシー・課金制御を実行するために使用される。
識別情報(identity、ID)に関し、VPLMN及びHPLMNはそれらの自体のIDを有してもよい。
図1に示されるように、前述の構成要素は、次世代ネットワークアーキテクチャにおける各インタフェースを介して通信を実行する。例えば、端末は、インタフェースN1を介してAMFエンティティと通信してもよい。
図2は、ネットワークアーキテクチャにおけるネットワークローミングの概略的なアーキテクチャ図1であり、また、図3は、ネットワークアーキテクチャにおけるネットワークローミングの概略的なアーキテクチャ図2である。図2及び図3に示されるように、ローミングシナリオにおける5Gネットワークアーキテクチャでは、ネットワークがVPLMNとHPLMNとに分割される。VPLMNは、RAN、UPFエンティティ、DN、NSSFエンティティ、V−AMFエンティティ、V−SMFエンティティ、V−PCFエンティティ、V−UPFエンティティなどを含む。V−AMFエンティティはVPLMNに属するAMFエンティティであり、V−SMFエンティティはVPLMNに属するSMFエンティティであり、V−PCFエンティティはVPLMNに属するPCFエンティティであり、V−UPFエンティティはVPLMNに属するUPFエンティティである。HPLMNは、AFエンティティ、UDMエンティティ、AUSFエンティティ、ARPFエンティティ、H−AMFエンティティ、H−SMFエンティティ、H−PCFエンティティ、H−UPFエンティティなどを含む。H−AMFエンティティはHPLMNに属するAMFエンティティであり、H−SMFエンティティはHPLMNに属するSMFエンティティであり、H−PCFエンティティはHPLMNに属するPCFエンティティであり、H−UPFエンティティはHPLMNに属するUPFエンティティである。HPLMNにおけるエンティティは、インタフェースを介して互いに通信してもよく、又は、インタフェースを介してVPLMNにおけるエンティティと通信してもよい。例えば、端末の幾つかのポリシーは、H−PCFエンティティを使用することによって生成及びデリバーされる必要があり、V−PCFエンティティを使用することによって端末にデリバーされる。
図2又は図3に示されるネットワークアーキテクチャでは、端末がローミングシナリオにある場合、HPLMNはパラメータを端末に送信する必要がある。パラメータは、例えば、好ましい公衆陸上モバイルネットワーク(preferred public land mobile network、preferred PLMN)又は好ましい無線アクセス技術(preferred radio access technology、preferred RAT)などのホームネットワークのパラメータを含む。HPLMNにおけるエンティティは、VPLMNにおけるエンティティを使用することによってパラメータを端末に送信する必要がある。パラメータは、非常に機密性が高く、比較的高いセキュリティレベルを有するため、HPLMNは、VPLMNによって傍受又は変更されないようにパラメータを保護する必要がある。したがって、HPLMNがパラメータを端末に送信するプロセスにおいて、この出願における解決策は、これらのパラメータのデリバリを保護するために実施されてもよい。
この出願の一実施形態は、パラメータ保護方法、並びに、その方法に基づくAUSFエンティティ、AMFエンティティ、端末、及び、システムを提供する。方法は、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得すること、及び、キーを生成することを含み、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用され、方法は、AUSFエンティティによって、HPLMNにおける他のエンティティからパラメータを受信することを含み、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティであり、及び、方法は、AUSFエンティティによって、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行することを含む。HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づき、端末に送信される必要があるパラメータに対してセキュリティ保護処理を実行し、その後、HPLMNは、端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。例えば、方法が図4に示されてもよい。
図4は、この出願の一実施形態に係るパラメータ保護方法の概略通信図である。図4に示されるように、方法はステップ101〜103を含む。随意的に、方法はステップ1041a〜1042bを更に含んでもよい。
101.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得してキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例において、HPLMNに属するAUSFエンティティは、最初に、セキュリティアルゴリズムを取得する必要があり、AUSFエンティティは自動的にキーを生成する。端末とHPLMNとの間のパラメータの送信を保護するためにセキュリティアルゴリズム及びキーの両方が使用される。すなわち、AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいて、HPLMNにより端末に送信される必要があるパラメータを保護する必要がある。更に、異なる他のエンティティに関しては、AUSFエンティティによって取得されるセキュリティアルゴリズムが異なってもよく、AUSFエンティティによって生成されるキーが異なってもよい。
102.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、HPLMNに属する他のエンティティがパラメータを端末に送信する必要がある場合、他のエンティティは、HPLMNにおけるAUSFエンティティにパラメータを送信してもよい。他のエンティティによって送信されるパラメータを端末に送信する必要があることが分かる。例えば、HPLMNにおけるUDMエンティティがV−AMFエンティティを使用することによって端末にサブスクリプションデータパラメータを送信する必要がある場合、UDMエンティティは、まず最初に、HPLMNにおけるAUSFエンティティにサブスクリプションデータパラメータを送信でしてもよい。H−PCFエンティティがV−PCFエンティティ及びV−AMFエンティティを使用することによってポリシー情報パラメータを端末に順に送信する必要がある場合、H−PCFエンティティは、最初に、ポリシー情報パラメータをHPLMNにおけるAUSFエンティティに送信してもよい。
103.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいて、パラメータに対してセキュリティ保護処理を実行する。
一例では、HPLMNにおける AUSFエンティティがHPLMNにおける他のエンティティにより送信されるパラメータを受信した後、AUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対してセキュリティ保護処理を実行してもよい。
随意的な実施では、ステップ103が以下の幾つかの実施を有してもよい。
ステップ103の第1の実施:AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理を実行する。
一例では、ステップ102の後、HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータを暗号化して、暗号化されたパラメータを取得してもよい。
ステップ103の第2の実施:AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して完全性保護処理を実行する。
一例では、ステップ102の後、HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対して完全性保護を実行し、完全性保護処理後にパラメータを取得してもよい。
ステップ103の第3の実施:AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理及び完全性保護処理を実行する。
一例では、ステップ102の後、HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対して暗号化処理及び完全性保護処理を実行して、暗号化処理及び完全性保護処理の後にパラメータを取得してもよい。
随意的な実施では、ステップ103の後、方法が更に以下を含む。
104.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
随意的な実施では、ステップ104が以下の幾つかの実施を有してもよい。
ステップ104の第1の実施:
1041a.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを他のエンティティに送信する。
1042a.他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
ステップ104の第2の実施:
1041b.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。
1042b.V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
第1の実施及び第2の実施のいずれかが実施のために選択される。
一例では、HPLMNにおける他のエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。その後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをHPLMNにおける他のエンティティに送信する。その後、セキュリティ保護処理によって取得されるパラメータを受信した後、HPLMNにおける他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。例えば、H−PCFエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをH−PCFエンティティに送信する。H−PCFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−PCFエンティティに送信する。V−PCFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。或いは、他の例では、HPLMNにおけるUDMエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをUDMエンティティに送信する。UDMエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
或いは、HPLMNにおける他のエンティティにより送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。例えば、H−PCFエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−PCFエンティティに送信する。V−PCFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。或いは、他の例では、HPLMNにおけるUDMエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
この実施形態では、HPLMNにおけるAUSFエンティティがセキュリティアルゴリズムを取得してキーを生成する。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信する。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づき、端末に送信される必要があるパラメータに対してセキュリティ保護処理を実行し、その後、HPLMNは、端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
この出願の一実施形態は、他のパラメータ保護方法、並びに、その方法に基づくAUSFエンティティ、AMFエンティティ、端末、及び、システムを提供する。方法は、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得して、キーを生成するステップであって、キーが、端末とHPLMNとの間のパラメータの送信を保護するために使用される、ステップと、AUSFエンティティによって、HPLMNにおける他のエンティティにセキュリティアルゴリズム及びキーを送信するステップであって、他のエンティティがパラメータを端末に送信する必要があるエンティティである、ステップと、を含む。これに対応して、AUSFエンティティからセキュリティアルゴリズムとキーとを受信した後、HPLMNにおける他のエンティティは、パラメータに対してセキュリティ保護処理を実行する。更に、HPLMNにおける他のエンティティがセキュリティアルゴリズムとキーとを受信した後、他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行してもよく、その後、HPLMNが端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。例えば、方法が図5に示されてもよい。
図5は、この出願の一実施形態に係る他のパラメータ保護方法の概略通信図である。図5に示されるように、方法はステップ201〜203を含む。随意的に、方法はステップ204を更に含んでもよい。
201.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得してキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例において、HPLMNに属するAUSFエンティティは、最初に、セキュリティアルゴリズムを取得する必要があり、AUSFエンティティは自動的にキーを生成する。端末とHPLMNとの間のパラメータの送信を保護するためにセキュリティアルゴリズム及びキーの両方が使用される。すなわち、AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいて、HPLMNにより端末に送信される必要があるパラメータを保護する必要がある。
202.AUSFエンティティは、セキュリティアルゴリズムとキーとをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例において、HPLMNに属するAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーを、HPLMN内にあってパラメータを端末に送信する必要がある他のエンティティに送信する。他のエンティティは、例えば、HPLMNにおけるUDMエンティティ又はH−PCFエンティティであってもよい。更に、異なる他のエンティティに関しては、AUSFエンティティによって取得されるセキュリティアルゴリズムが異なってもよく、また、AUSFエンティティによって生成されるキーが異なってもよい。
例えば、他のエンティティはH−PCFエンティティである。この場合、AUSFエンティティは、H−PCFエンティティのためのH−PCFエンティティに対応するセキュリティアルゴリズムを取得して、H−PCFエンティティに対応するキーを生成する。その後、AUSFエンティティは、AUSFエンティティとH−PCFエンティティとの間のインタフェースを介して、H−PCFエンティティに対応するセキュリティアルゴリズム及びH−PCFエンティティに対応するキーをH−PCFエンティティに送信する。或いは、AUSFエンティティは、H−PCFエンティティに対応するセキュリティアルゴリズムとH−PCFエンティティに対応するキーとをH−AMFエンティティに送信し、また、H−AMFエンティティは、H−PCFエンティティに対応するセキュリティアルゴリズムとH−PCFエンティティに対応するキーとをH−PCFエンティティに送信する。
他の例では、他のエンティティがUDMエンティティである。この場合、AUSFエンティティは、UDMエンティティのためのUDMエンティティに対応するセキュリティアルゴリズムを取得して、UDMエンティティに対応するキーを生成する。その後、AUSFエンティティは、AUSFエンティティとUDMエンティティとの間のインタフェースを介して、UDMエンティティに対応するセキュリティアルゴリズム及びUDMエンティティに対応するキーをUDMエンティティに送信する。或いは、AUSFエンティティは、UDMエンティティに対応するセキュリティアルゴリズムとUDMエンティティに対応するキーとをH−AMFエンティティに送信し、また、H−AMFエンティティは、UDMエンティティに対応するセキュリティアルゴリズムとUDMエンティティに対応するキーとをUDMエンティティに送信する。
203.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、HPLMNにおける他のエンティティがAUSFエンティティによって送信されるセキュリティアルゴリズム及びキーを受信した後、他のエンティティは、セキュリティアルゴリズム及びキーを使用することによって、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行する。
随意的な実施では、ステップ203が以下の幾つかの実施を有してもよい。
ステップ203の第1の実施:他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理を実行する。
一例では、ステップ202の後、HPLMNにおける他のエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータを暗号化して、暗号化されたパラメータを取得してもよい。
ステップ203の第2の実施:他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して完全性保護処理を実行する。
一例では、ステップ202の後、HPLMNにおける他のエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対して完全性保護を実行し、完全性保護処理後にパラメータを取得してもよい。
ステップ203の第3の実施:他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理及び完全性保護処理を実行する。
一例では、ステップ202の後、HPLMNにおける他のエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対して暗号化処理及び完全性保護処理を実行して、暗号化処理及び完全性保護処理の後にパラメータを取得してもよい。
随意的な実施では、ステップ203の後、方法がステップ204を更に含んでもよい。
204.他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
例えば、他のエンティティはH−PCFエンティティである。パラメータに対してセキュリティ保護を実行した後、H−PCFエンティティは、セキュリティ保護処理により取得されるパラメータをV−PCFエンティティに送信する。V−PCFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。或いは、他の例では、他のエンティティがHPLMNにおけるUDMエンティティである。パラメータに対してセキュリティ保護を実行した後、UDMエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
この実施形態では、HPLMNにおけるAUSFエンティティがセキュリティアルゴリズムを取得してキーを生成する。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信する。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。その後、HPLMNにおける他のエンティティがセキュリティアルゴリズムとキーとを受信した後、他のエンティティがセキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行してもよく、その後、HPLMNが端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図6は、この出願の一実施形態に係る更なる他のパラメータ保護方法の概略通信図である。図6に示されるように、方法は具体的には以下の通りである。
301.V−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、この場合、セキュリティアルゴリズムは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
一例では、端末がHPLMNに対する登録手順を開始する。端末の登録プロセスでは、セキュリティアルゴリズムをネゴシエートするために、V−AMFエンティティが端末とネゴシエートする。その後、V−AMFエンティティは、ネゴシエートされたセキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、それにより、AUSFエンティティは、パラメータに対してセキュリティ保護処理を実行するために使用されるセキュリティアルゴリズムを取得する。
302.AUSFエンティティがキーを生成する。
一例では、このステップに関して、図4のステップ101を参照されたい。詳細は再び説明しない。
303.HPLMNにおける他のエンティティは、AUSFエンティティにパラメータを送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
304.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
305.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、V−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信する。セキュリティアルゴリズムは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。AUSFエンティティがキーを生成する。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信する。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。HPLMNにおけるAUSFエンティティは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムとAUSFエンティティにより生成されるキーとに基づき、端末に送信される必要があるパラメータに対してセキュリティ保護処理を実行し、その後、HPLMNは、端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図6は、この出願の一実施形態に係る更なる他のパラメータ保護方法の概略通信図である。図7に示されるように、方法は具体的には以下の通りである。
401.V−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、この場合、セキュリティアルゴリズムは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
一例では、このステップに関して、図6のステップ301を参照されたい。詳細は再び説明しない。
402.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図5のステップ201を参照されたい。詳細は再び説明しない。
403.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
404.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
405.他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、V−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信する。セキュリティアルゴリズムは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。AUSFエンティティは、セキュリティアルゴリズムを取得してキーを生成する。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信する。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。その後、AUSFエンティティは、HPLMNにおける他のエンティティに対して、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムを送信してもよい。HPLMNにおける他のエンティティがセキュリティアルゴリズム及びキーを受信した後、他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行してもよく、その後、HPLMNが端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
随意的な実施において、図8は、この出願の一実施形態に係る端末登録手順の概略通信図である。図6又は図7に示される実施形態に基づき、図8のステップは、ステップ301又はステップ401が実行される前に実行されてもよい。
501.端末はV−AMFエンティティに登録要求を送信する。
一例において、登録要求は、端末が登録手順を開始することを表わす。登録手順は、初期登録、モビリティ登録、又は、定期登録であってもよい。
502.V−AMFエンティティは、認証開始要求(authentication initiation request、AIR)メッセージをHPLMNにおけるAUSFエンティティに送信する。
一例では、端末の加入者識別子がAIRメッセージで搬送される。端末の加入者識別子がサブスクリプション永久識別子(subscription permanent identifier、SUPI)であってもよく、又は、端末の加入者識別子が匿名のSUPIである。匿名のSUPIはサブスクリプション隠蔽識別子(subscription concealed identifier、SUCI)である。
503.AUSFエンティティが端末のSUPIを取得する。
一例では、AUSFエンティティによって受信される AIRメッセージでSUPIが搬送される場合、AUSFエンティティは、AIRメッセージでSUPIを直接に取得してもよい。SUCIがAUSFエンティティによって受信されるAIRメッセージで搬送される場合、AUSFエンティティはプライベートキーを使用することによってSUCIを復号してSUPIを取得する。
504.AUSFエンティティは、認証ベクトル(authentication vector、AV)要求をARPFエンティティに送信し、この場合、AV要求がSUPIを搬送する。
505.ARPFエンティティは、SUPIに基づいて端末のための対応するAVを生成する。
506.ARPFエンティティは、AV応答メッセージをAUSFエンティティに送信し、この場合、AV応答メッセージは1つ以上のAVを含む。
一例では、AVがキーKasme*を含み、この場合、amseはアクセスセキュリティ管理エンティティ(access security management entity、amse)を指し、また、AVは、予期応答(expected response、XRES*)、ランダムチャレンジ(random challenge、random challenge、RAND)、認証トークン(authentication token、AUTN)を更に含む。
507.AUSFエンティティは、認証開始アンサー(authentication initiation answer、AIA)メッセージをV−AMFエンティティに送信し、この場合、AIAメッセージは、AV、又は、AUSFエンティティがAVを処理した後に生成されるAV*を搬送する。
一例において、AV*は、キーKasme*と、予期応答のハッシュ(hash of XRES*、HXRES*)とを含み、セキュアハッシュアルゴリズム(secure hash algorithm、SHA)が与えられる。この場合、HXRES*の値はSHA−256(XRES*||RAND)である。
508.V−AMFエンティティは、認証要求を端末に送信する。
509.端末は、V−AMFエンティティに認証応答を送信する。
5010.V−AMFエンティティは、5G認証確認(5G authentication confirmation、5G−AC)メッセージをAUSFエンティティに送信する。
一例では、ステップ5010が実行されてもよく又は実行されなくてもよい。
5011.端末は、V−AMFエンティティとの非アクセス層(non−access stratum、NAS)セキュリティアルゴリズムネゴシエーション手順を実行して、端末とV−AMFエンティティとの間で使用されるNASセキュリティアルゴリズムをネゴシエートする。
前述のステップを実行することにより、V−AMFエンティティは、HPLMNにおけるAUSFエンティティに送信されるべきセキュリティアルゴリズムを有してもよい。
図9は、この出願の一実施形態に係る更に別の他のパラメータ保護方法の概略通信図ある。図9に示されるように、方法は具体的には以下の通りである。
601.V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。
一例において、V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムを有する。V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。具体的には、V−AMFエンティティは、端末のセキュリティ機能情報をAUSFエンティティに送信する。セキュリティ機能情報は、端末によりサポートされるセキュリティアルゴリズムを含み、各アルゴリズムは優先度を有する。この実施形態では、ステップ603の前に、図8のステップが代わりに実行されてもよい。その後、V−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、図8のステップ502で実行されてもよい。或いは、V−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、図8のステップ5010で実行されてもよい。或いは、V−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、別個のメッセージを使用することによって実行されてもよい。
或いは、随意的な実施では、ステップ601が次のようになっていてもよい。すなわち、V−AMFエンティティが指示情報をAUSFエンティティに送信し、この場合、指示情報は、端末によってサポートされるセキュリティアルゴリズムを示し、その後、AUSFエンティティは、指示情報に基づき、端末によりサポートされるセキュリティアルゴリズムを決定する。
602.AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定する。
一例では、AUSFエンティティが事前に記憶されたセキュリティアルゴリズムリストを有する。セキュリティアルゴリズムリストは、HPLMNによりサポートされるセキュリティアルゴリズムを含み、セキュリティアルゴリズムリスト中の各アルゴリズムは優先度を有する。AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムと事前に記憶されたセキュリティアルゴリズムリストとに基づき、端末及びHPLMNの両方によりサポートされて最も高い優先度を有するアルゴリズムを決定するとともに、そのアルゴリズムを端末とHPLMNとの間で使用されるセキュリティアルゴリズムとして用いる。
例えば、端末によりサポートされてAUSFエンティティにより受信されるセキュリティアルゴリズムは、アルゴリズム1、アルゴリズム2、アルゴリズム3、アルゴリズム4、及び、アルゴリズム5を含み、アルゴリズム優先度は、アルゴリズム1>アルゴリズム5>アルゴリズム4>アルゴリズム3>アルゴリズム2である。AUSFエンティティのセキュリティアルゴリズムリストは、アルゴリズム2、アルゴリズム3、及び、アルゴリズム5を含み、アルゴリズム優先度は、アルゴリズム5>アルゴリズム3>アルゴリズム2である。したがって、AUSFエンティティは、アルゴリズム5を端末とHPLMNとの間で使用されるセキュリティアルゴリズムとして決定する。
603.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図4のステップ101を参照されたい。詳細は再び説明しない。
604.AUSFエンティティは、決定されたセキュリティアルゴリズムをV−AMFエンティティに送信する。
一例では、AUSFエンティティが決定されたセキュリティアルゴリズムをV−AMFエンティティに送信する動作が、別個のシグナリングであるステップ604を使用することによって実行される。或いは、この実施形態では、ステップ603の前に、図8のステップが実行されてもよい。その後、AUSFエンティティが決定されたセキュリティアルゴリズムをV−AMFエンティティに送信する動作が、図8のステップ507で実行されてもよい。
前述の2つの方法では、ステップ604をステップ602の後に実行する必要がある。
605.V−AMFエンティティがセキュリティアルゴリズムを端末に送信する。
606.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
607.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
608.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信し、AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいてセキュリティアルゴリズムを決定する。AUSFエンティティがセキュリティアルゴリズムを取得する他の方法が与えられる。
図10は、この出願の一実施形態に係る更に別の更なるパラメータ保護方法の概略通信図である。図10に示されるように、方法は具体的には以下の通りである。
701.V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。
一例では、このステップに関して、図9のステップ601を参照されたい。詳細は再び説明しない。
702.AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定する。
一例では、このステップに関して、図9のステップ602を参照されたい。詳細は再び説明しない。
703.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図5のステップ201を参照されたい。詳細は再び説明しない。
704.AUSFエンティティは、決定されたセキュリティアルゴリズムをV−AMFエンティティに送信する。
一例では、このステップに関して、図9のステップ604を参照されたい。詳細は再び説明しない。
705.V−AMFエンティティは、セキュリティアルゴリズムを端末に送信する。
一例では、このステップに関して、図9のステップ605を参照されたい。詳細は再び説明しない。
706.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
707.他のエンティティは、セキュリティアルゴリズムとキーとに基づき、パラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
708.他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信し、AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいてセキュリティアルゴリズムを決定する。AUSFエンティティがセキュリティアルゴリズムを取得する他の方法が与えられる。
図11は、この出願の一実施形態に係る更なるパラメータ保護方法の概略通信図である。図11に示されるように、方法は具体的には以下の通りである。
801.AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定する。
一例では、デフォルトセキュリティアルゴリズムが端末で設定されてしまっており、デフォルトセキュリティアルゴリズムは、HPLMNがパラメータに対してセキュリティ保護処理を実行する際に使用されてもよいアルゴリズムである。更に、デフォルトセキュリティアルゴリズムがHPLMNでも設定されてしまっており、デフォルトセキュリティアルゴリズムはAUSFエンティティに記憶される。その後、AUSFエンティティは、デフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして直接に決定してもよい。
802.AUSFエンティティがキーを生成する。
一例では、このステップに関して、図4のステップ101を参照されたい。詳細は再び説明しない。
803.HPLMNにおける他のエンティティがAUSFエンティティにパラメータを送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
804.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
805.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして直接に決定する。AUSFエンティティがセキュリティアルゴリズムを取得する他の方法が与えられる。
図12は、この出願の一実施形態に係る更に別のパラメータ保護方法の概略通信図である。図12に示されるように、方法は具体的には以下の通りである。
901.HPLMNにおけるAUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定する。
一例では、このステップに関して、図11のステップ801を参照されたい。詳細は再び説明しない。
902.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図5のステップ201を参照されたい。詳細は再び説明しない。
903.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
904.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
905.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして直接に決定する。AUSFエンティティがセキュリティアルゴリズムを取得する他の方法が与えられる。
図13は、この出願の一実施形態に係る更なる他のパラメータ保護方法の概略通信図である。図13に示されるように、方法は具体的には以下の通りである。
1001.端末が乱数を生成し、この場合、乱数は、HPLMNのパブリックキーを使用することによって暗号化される乱数である。
一例において、端末は、乱数を生成し、その後、HPLMNのパブリックキーを使用することによって乱数を暗号化して、暗号化乱数を取得する。
例えば、端末が乱数を生成し、その後、端末は、HPLMNのパブリックキーを使用することによって乱数を暗号化して、暗号化乱数を取得してもよい。或いは、端末が乱数を生成し、端末がSUPIを有する場合、端末は、HPLMNのパブリックキーを使用することによって乱数とSUPIとを一緒に暗号化して、暗号化乱数を取得してもよい。
随意的な実施では、この実施形態のステップ1001が図8と組み合わされ、ステップ1001が図8のステップ501の前に実行される。
1002.端末は乱数をV−AMFエンティティに送信する。
随意的な実施では、この実施形態のステップ1002が図8と組み合わされ、また、ステップ1002で乱数をV−AMFエンティティに送信する動作は、図8のステップ501で実行される。
1003.V−AMFエンティティは、乱数をHPLMNにおけるAUSFエンティティに送信する。
随意的な実施では、この実施形態のステップ1003が図8と組み合わされ、また、ステップ1003で乱数をAUSFエンティティに送信する動作は、図8のステップ502で実行される。
1004.AUSFエンティティは、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することによって乱数を復号する。
一例では、AUSFエンティティがHPLMNのプライベートキーを有し、また、プライベートキーはステップ1001におけるパブリックキーに対応する。AUSFエンティティは、プライベートキーを使用することによって受信される乱数を復号して、乱数を取得する。
随意的な実施では、この実施形態のステップ1004が図8と組み合わされ、また、ステップ1004で乱数を復号する動作は、図8のステップ503で実行される。
1005.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図6のステップ301を実行することによって、又は、図9のステップ601及びステップ602を実行することによって、又は、図11のステップ801を実行することによって実施されてもよい。
1006.AUSFエンティティは、入力パラメータに基づいてキーを生成し、この場合、入力パラメータは、復号化乱数と第1のルートキーと含み、また、第1のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおけるARPFエンティティによって生成される。
一例において、この実施では、図8に示される端末登録手順がステップ1006の前の任意のステップの前で実行されてもよい。更に、図8のステップ506から分かるように、図8が実行される際に、端末とV−AMFエンティティとの間のセキュリティ認証プロセスが遂行されてもよく、その後、AUSFエンティティがAVにおけるKasme*を取得する。AVにおけるKasme*は第1のルートキーと称される。したがって、AUSFエンティティは、ステップ1004で取得される復号化乱数と第1のルートキーとに基づいてキーHPLMN−Keysを生成してもよい。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子、セキュリティアルゴリズムの識別子、AUSFエンティティにより生成される乱数のうちの少なくとも1つを更に含む。
一例において、AUSFエンティティは、パラメータを端末に送信する必要がある他のエンティティの識別子、ステップ1004で取得される復号化乱数、及び、第1のルートキーに基づき、パラメータを端末に送信する必要がある他のエンティティに対応するキーを生成してもよい。例えば、他のエンティティがUDMエンティティである場合、UDMエンティティは、UDMエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、UDMエンティティの識別子、復号化乱数、及び、第1のルートキーに基づいて、UDMエンティティに対応するキーを生成する。他の例では、他のエンティティがH−PCFエンティティである場合、H−PCFエンティティは、H−PCFエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、H−PCFエンティティの識別子、復号化乱数、及び、第1のルートキーに基づいて、H−PCFエンティティに対応するキーを生成する。
或いは、AUSFエンティティは、セキュリティアルゴリズムの取得された識別子、復号化乱数、及び、第1のルートキーに基づいてキー導出を実行して、キーを取得してもよい。
或いは、AUSFエンティティは、セキュリティアルゴリズムの取得された識別子、他のエンティティの識別子、復号化乱数、及び、第1のルートキーに基づいてキー導出を実行して、キーを取得してもよい。
随意的に、AUSFエンティティは、キー導出関数(key derivation function、KDF)機能を使用することによって入力パラメータに基づきHPLMNと端末との間の最終キーを取得する。これは次の方法で実施される。
方法1:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー及び復号化乱数に対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法2:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー、復号化乱数、及び、他のエンティティの識別子に対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法3:AUSFエンティティは、KDF機能を使用することによって、第1のルートキーと復号化乱数とに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法4:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー、復号化乱数、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法5:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー、復号化乱数、及び、他のエンティティの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法6:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー、復号化乱数、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法7:AUSFエンティティは、KDF機能を使用することによって第1のルートキーに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
随意的に、前述の方法1〜方法7に関しては、AUSFエンティティによって生成される乱数が、キー1を生成するための入力パラメータとして代わりに使用されてもよい。
セキュリティアルゴリズムは暗号化アルゴリズム及び/又は完全性保護アルゴリズムを含むため、セキュリティアルゴリズムの識別子は、暗号化アルゴリズムの識別子及び/又は完全性保護アルゴリズムの識別子である。したがって、セキュリティアルゴリズムの識別子が入力として使用される場合には、セキュリティアルゴリズムが暗号化アルゴリズムを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、セキュリティアルゴリズムが完全性保護アルゴリズムを含むと、完全性保護キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、又は、セキュリティアルゴリズムが暗号化アルゴリズムと完全性保護アルゴリズムとを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があるとともに、完全性保護キーを取得するために前述の7つの方法のうちの1つを1回実行する必要がある。
1007.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
1008.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
1009.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティは、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することによって乱数を復号する。乱数は、V−AMFエンティティからAUSFエンティティによって受信されてHPLMNのパブリックキーを使用することにより暗号化される乱数である。AUSFエンティティは、復号化乱数と第1のルートキーとに基づいてキーを生成する。第1のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおけるARPFエンティティによって生成される。したがって、AUSFエンティティがキーを生成する方法が与えられる。キーを生成するために乱数及び第1のルートキーが使用されるとともに、V−AMFエンティティによってAUSFエンティティに送信される乱数が暗号化されるため、VPLMNは乱数の実際の情報を知ることができない。また、HPLMNにおけるAUSFエンティティが乱数と第1のルートキーとを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される乱数を知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図14は、この出願の一実施形態に係る更に別の更なるパラメータ保護方法の概略通信図である。図14に示されるように、方法は具体的には以下の通りである。
1101.端末は乱数を生成する。
一例では、このステップに関して、図13のステップ1001を参照されたい。詳細は再び説明しない。
随意的な実施では、この実施形態のステップ1101が図8と組み合わされ、ステップ1101が図8のステップ501の前に実行される。
1102.端末は乱数をV−AMFエンティティに送信する。
一例では、このステップに関して、図13のステップ1002を参照されたい。詳細は再び説明しない。
随意的な実施では、この実施形態のステップ1102が図8と組み合わされ、また、ステップ1102で乱数をV−AMFエンティティに送信する動作は、図8のステップ501で実行される。
1103.V−AMFエンティティは、HPLMNにおけるAUSFエンティティに乱数を送信し、この場合、乱数は、HPLMNのパブリックキーを使用することによって暗号化される乱数である。
一例では、このステップに関して、図13のステップ1003を参照されたい。詳細は再び説明しない。
随意的な実施では、この実施形態のステップ1103が図8と組み合わされ、また、ステップ1103で乱数をAUSFエンティティに送信する動作は、図8のステップ502で実行される。
1104.AUSFエンティティは、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することによって乱数を復号する。
一例では、このステップに関して、図14のステップ1001を参照されたい。詳細は再び説明しない。
随意的な実施では、この実施形態のステップ1104が図8と組み合わされ、また、ステップ1104で乱数を復号する動作は、図8のステップ503で実行される。
1105.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図7のステップ401を実行することによって、又は、図10のステップ701及びステップ702を実行することによって、又は、図12のステップ901を実行することによって実施されてもよい。
1106.AUSFエンティティは、入力パラメータに基づいてキーを生成し、この場合、入力パラメータは、復号化乱数と第1のルートキーと含み、また、第1のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおけるARPFエンティティによって生成される。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
一例では、このステップに関して、図14のステップ1006を参照されたい。詳細は再び説明しない。
1107.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
1108.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
1109.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティは、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することによって乱数を復号する。乱数は、V−AMFエンティティからAUSFエンティティによって受信されてHPLMNのパブリックキーを使用することにより暗号化される乱数である。AUSFエンティティは、復号化乱数と第1のルートキーとに基づいてキーを生成する。第1のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおけるARPFエンティティによって生成される。したがって、AUSFエンティティがキーを生成する方法が与えられる。キーを生成するために乱数及び第1のルートキーが使用されるとともに、V−AMFエンティティによってAUSFエンティティに送信される乱数が暗号化されるため、VPLMNは乱数の実際の情報を知ることができない。また、HPLMNにおけるAUSFエンティティが乱数と第1のルートキーとを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される乱数を知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図15は、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図である。図15に示されるように、方法は具体的には以下の通りである。
1201.HPLMNにおけるARPFエンティティが第2のルートキーを生成し、この場合、第2のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティにより生成される第1のルートキーとは異なる。
一例では、図8に示される端末登録手順がステップ1006の前の任意のステップの前に実行されてもよい。更に、図8のステップ506から分かるように、図8が実行される際に、端末とV−AMFエンティティとの間のセキュリティ認証プロセスが遂行されてもよく、その後、AUSFエンティティがAVにおけるKasme*を取得する。AVにおけるKasme*は第1のルートキーと称される。
前述のプロセスでは、ARPFエンティティが自動的に第2のルートキーを生成してもよく、第2のルートキーは第1のルートキーではない。例えば、第1のルートキーは、完全性キー(integrity key、IK)、機密性キー(confidentiality key、CK)、及び、VPLMN−IDに基づいて生成される。第2のルートキーは、IK、CK、及び、HPLMN−IDに基づいて生成される。
1202.ARPFエンティティは、第2のルートキーをHPLMNにおけるAUSFエンティティに送信する。
一例では、ARPFエンティティが生成された第2のルートキーをAUSFエンティティに送信する。
例えば、第2のキーがAVに含まれてもよく、そして、ARPFエンティティがAVをAUSFエンティティに送信し、それにより、AUSFエンティティが第2のルートキーを取得する。或いは、第2のキーがAVに含まれず、ARPFエンティティがAV及び第2のルートキーをAUSFエンティティに送信し、それにより、AUSFエンティティが第2のルートキーを取得する。
1203.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図6のステップ301を実行することによって、又は、図9のステップ601及びステップ602を実行することによって、又は、図11のステップ801を実行することによって実施されてもよい。
1204.AUSFエンティティは入力パラメータに基づいてキーを生成し、この場合、入力パラメータが第2のルートキーを含む。
一例では、この実施において、AUSFエンティティは第2のルートキーに基づいてキーHPLMN−Keysを生成する。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子、セキュリティアルゴリズムの識別子、AUSFエンティティにより生成される乱数のうちの少なくとも1つを更に含む。
一例において、AUSFエンティティは、パラメータを端末に送信する必要がある他のエンティティの識別子と第2のルートキーとに基づいて、パラメータを端末に送信する必要がある他のエンティティに対応するキーを生成してもよい。例えば、他のエンティティがUDMエンティティである場合、UDMエンティティは、UDMエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、UDMエンティティの識別子と第2のルートキーとに基づいて、UDMエンティティに対応するキーを生成する。他の例では、他のエンティティがH−PCFエンティティである場合、H−PCFエンティティは、H−PCFエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、H−PCFエンティティの識別子と第2のルートキーとに基づいて、H−PCFエンティティに対応するキーを生成する。
或いは、AUSFエンティティは、取得されたセキュリティアルゴリズムを使用することによって第2のルートキーに対してキー導出を実行して、キーを取得してもよい。
或いは、AUSFエンティティは、取得されたセキュリティアルゴリズムを使用することによって他のエンティティの識別子と第2のルートキーとに対してキー導出を実行して、キーを取得してもよい。
随意的に、AUSFエンティティは、KDF機能を使用することによって、入力パラメータに基づき、HPLMNと端末との間の最終キーを取得する。これは次の方法で実施される。
方法1:AUSFエンティティは、KDF機能を使用することによって第2のルートキーに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによってキー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法2:AUSFエンティティは、KDF機能を使用することによって第2のルートキーと他のエンティティの識別子とに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによってキー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法3:AUSFエンティティは、KDF機能を使用することによって第2のルートキーに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法4:AUSFエンティティは、KDF機能を使用することによって、第2のルートキーとセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法5:AUSFエンティティは、KDF機能を使用することによって、第2のルートキーと他のエンティティの識別子とに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法6:AUSFエンティティは、KDF機能を使用することによって、第2のルートキー、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法7:AUSFエンティティは、KDF機能を使用することによって第2のルートキーに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
随意的に、前述の方法1〜方法7に関しては、AUSFエンティティによって生成される乱数が、キー1を生成するための入力パラメータとして代わりに使用されてもよい。
セキュリティアルゴリズムは暗号化アルゴリズム及び/又は完全性保護アルゴリズムを含むため、セキュリティアルゴリズムの識別子は、暗号化アルゴリズムの識別子及び/又は完全性保護アルゴリズムの識別子である。したがって、セキュリティアルゴリズムの識別子が入力として使用される場合には、セキュリティアルゴリズムが暗号化アルゴリズムを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、セキュリティアルゴリズムが完全性保護アルゴリズムを含むと、完全性保護キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、又は、セキュリティアルゴリズムが暗号化アルゴリズムと完全性保護アルゴリズムとを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があるとともに、キーを取得するために前述の7つの方法のうちの1つを1回実行する必要がある。
1205.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
1206.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
1207.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態では、HPLMNにおけるARPFエンティティが第2のルートキーを生成する。第2のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される第1のルートキーとは異なる。ARPFエンティティは、第2のルートキーをHPLMNにおけるAUSFエンティティに送信する。AUSFエンティティは、第2のルートキーに基づいてキーを生成する。したがって、AUSFエンティティがキーを生成する他の方法が与えられる。第1のルートキーとは異なる第2のルートキーがキーを生成するために使用されるため、VPLMNは第2のルートキーの実際の情報を知ることができない。更に、HPLMNにおけるAUSFエンティティが第2のルートキーを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される第2のルートキーを知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図16は、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図である。図16に示されるように、方法は具体的には以下の通りである。
1301.HPLMNにおけるARPFエンティティが第2のルートキーを生成し、この場合、第2のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティにより生成される第1のルートキーとは異なる。
一例では、このステップに関して、図15のステップ1201を参照されたい。詳細は再び説明しない。
1302.ARPFエンティティは、第2のルートキーをHPLMNにおけるAUSFエンティティに送信する。
一例では、このステップに関して、図15のステップ1202を参照されたい。詳細は再び説明しない。
1303.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図7のステップ401を実行することによって、又は、図10のステップ701及びステップ702を実行することによって、又は、図12のステップ901を実行することによって実施されてもよい。
1304.AUSFエンティティは入力パラメータに基づいてキーを生成し、この場合、入力パラメータが第2のルートキーを含む。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
一例では、このステップに関して、図15のステップ1204を参照されたい。詳細は再び説明しない。
1305.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
1306.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
1307.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態では、HPLMNにおけるARPFエンティティが第2のルートキーを生成する。第2のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される第1のルートキーとは異なる。ARPFエンティティは、第2のルートキーをHPLMNにおけるAUSFエンティティに送信する。AUSFエンティティは、第2のルートキーに基づいてキーを生成する。したがって、AUSFエンティティがキーを生成する他の方法が与えられる。第1のルートキーとは異なる第2のルートキーがキーを生成するために使用されるため、VPLMNは第2のルートキーの実際の情報を知ることができない。更に、HPLMNにおけるAUSFエンティティが第2のルートキーを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される第2のルートキーを知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図17は、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図である。図17に示されるように、方法は具体的には以下の通りである。
1401.HPLMNにおけるARPFエンティティは、第3のルートキーをHPLMNにおけるAUSFエンティティに送信し、この場合、第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティにより生成される。
一例では、端末がHPLMNに入った後、端末はH−AMFエンティティとのセキュリティ認証プロセスを実行してもよく、それにより、ARPFエンティティは、セキュリティ認証プロセスで第3のルートキーを生成してもよい。したがって、第3のルートキーがHPLMNに存在することが分かる。例えば、第3のルートキーはAVにおけるKasme*である。
1402.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図6のステップ301を実行することによって、又は、図9のステップ601及びステップ602を実行することによって、又は、図11のステップ801を実行することによって実施されてもよい。
1403.AUSFエンティティは、入力パラメータに基づいてキーを生成し、この場合、入力パラメータは第3のルートキーを含む。
一例では、この実施において、AUSFエンティティは第3のルートキーに基づいてキーHPLMN−Keysを生成する。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子、セキュリティアルゴリズムの識別子、AUSFエンティティにより生成される乱数のうちの少なくとも1つを更に含む。
一例において、AUSFエンティティは、パラメータを端末に送信する必要がある他のエンティティの識別子と第3のルートキーとに基づいて、パラメータを端末に送信する必要がある他のエンティティに対応するキーを生成してもよい。例えば、他のエンティティがUDMエンティティである場合、UDMエンティティは、UDMエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、UDMエンティティの識別子と第3のルートキーとに基づいて、UDMエンティティに対応するキーを生成する。他の例では、他のエンティティがH−PCFエンティティである場合、H−PCFエンティティは、H−PCFエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、H−PCFエンティティの識別子と第3のルートキーとに基づいて、H−PCFエンティティに対応するキーを生成する。
或いは、AUSFエンティティは、取得されたセキュリティアルゴリズムを使用することによって第3のルートキーに対してキー導出を実行して、キーを取得してもよい。
或いは、AUSFエンティティは、取得されたセキュリティアルゴリズムを使用することによって他のエンティティの識別子と第3のルートキーとに対してキー導出を実行して、キーを取得してもよい。
随意的に、AUSFエンティティは、KDF機能を使用することによって、入力パラメータに基づき、HPLMNと端末との間の最終キーを取得する。これは次の方法で実施される。
方法1:AUSFエンティティは、KDF機能を使用することによって第3のルートキーに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによってキー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法2:AUSFエンティティは、KDF機能を使用することによって第3のルートキーと他のエンティティの識別子とに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによってキー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法3:AUSFエンティティは、KDF機能を使用することによって第3のルートキーに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法4:AUSFエンティティは、KDF機能を使用することによって、第3のルートキーとセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法5:AUSFエンティティは、KDF機能を使用することによって、第3のルートキーと他のエンティティの識別子とに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法6:AUSFエンティティは、KDF機能を使用することによって、第3のルートキー、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法7:AUSFエンティティは、KDF機能を使用することによって第3のルートキーに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
随意的に、前述の方法1〜方法7に関しては、AUSFエンティティによって生成される乱数が、キー1を生成するための入力パラメータとして代わりに使用されてもよい。
セキュリティアルゴリズムは暗号化アルゴリズム及び/又は完全性保護アルゴリズムを含むため、セキュリティアルゴリズムの識別子は、暗号化アルゴリズムの識別子及び/又は完全性保護アルゴリズムの識別子である。したがって、セキュリティアルゴリズムの識別子が入力として使用される場合には、セキュリティアルゴリズムが暗号化アルゴリズムを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、セキュリティアルゴリズムが完全性保護アルゴリズムを含むと、完全性保護キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、又は、セキュリティアルゴリズムが暗号化アルゴリズムと完全性保護アルゴリズムとを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があるとともに、キーを取得するために前述の7つの方法のうちの1つを1回実行する必要がある。
1404.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
1405.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
1406.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態では、HPLMNにおけるARPFエンティティは、HPLMNにおけるAUSFエンティティに第3のルートキーを送信する。第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される。したがって、AUSFエンティティがキーを生成する他の方法が与えられる。端末とH−AMFエンティティとの間のセキュリティ認証プロセスで生成される第3のルートキーはキーを生成するために使用されるため、VPLMNは、第3のルートキーの実際の情報を知ることができない。更に、HPLMNにおけるAUSFエンティティが第3のルートキーを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される第3のルートキーを知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図18は、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図である。図18に示されるように、方法は具体的には以下の通りである。
1501.HPLMNにおけるARPFエンティティは、第3のルートキーをHPLMNにおけるAUSFエンティティに送信し、この場合、第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティにより生成される。
一例では、このステップに関して、図17のステップ1401を参照されたい。詳細は再び説明しない。
1502.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図7のステップ401を実行することによって、又は、図10のステップ701及びステップ702を実行することによって、又は、図12のステップ901を実行することによって実施されてもよい。
1503.AUSFエンティティは、入力パラメータに基づいてキーを生成し、この場合、入力パラメータは第3のルートキーを含む。
一例では、この実施において、AUSFエンティティは第3のルートキーに基づいてキーHPLMN−Keysを生成する。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
一例では、このステップに関して、図17のステップ1403を参照されたい。詳細は再び説明しない。
1504.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
1505.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
1506.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態では、HPLMNにおけるARPFエンティティは、HPLMNにおけるAUSFエンティティに第3のルートキーを送信する。第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される。したがって、AUSFエンティティがキーを生成する他の方法が与えられる。端末とH−AMFエンティティとの間のセキュリティ認証プロセスで生成される第3のルートキーはキーを生成するために使用されるため、VPLMNは、第3のルートキーの実際の情報を知ることができない。更に、HPLMNにおけるAUSFエンティティが第3のルートキーを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される第3のルートキーを知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
随意的な実施において、図19は、この出願の一実施形態に係る、ARPFエンティティによって第3のルートキーをAUSFエンティティに送信する概略通信図である。図17又は図18に基づき、図19に示されるように、ステップ1401又はステップ1501に関しては、以下のステップを参照されたい。
1601.端末は登録要求をH−AMFエンティティに送信する。
一例において、登録要求は、端末が登録手順を開始することを表わす。登録手順は、初期登録、モビリティ登録、又は、定期登録であってもよい。
1602.H−AMFエンティティは、HPLMNにおけるAUSFエンティティにAIRメッセージを送信する。
一例では、端末の加入者識別子が現在のAIRメッセージで搬送される。端末の加入者識別子はSUPIであってもよく、又は、端末の加入者識別子が匿名のSUPIである。匿名のSUPIはSUCIである。
1603.AUSFエンティティはSUPIを取得する。
一例では、AUSFエンティティによって受信される AIRメッセージでSUPIが搬送される場合、AUSFエンティティは、AIRメッセージでSUPIを直接に取得してもよい。SUCIがAUSFエンティティによって受信されるAIRメッセージで搬送される場合、AUSFエンティティはプライベートキーを使用することによってSUCIを復号してSUPIを取得する。
1604.AUSFエンティティはAV要求をARPFエンティティに送信し、この場合、AV要求はSUPIを搬送する。
1605.ARPFエンティティは、SUPIに基づいて端末のための対応するAVを生成する。
1606.ARPFエンティティは、AV応答メッセージをAUSFエンティティに送信し、この場合、AV応答メッセージは第3のルートキーを含み、第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される。
一例では、AV応答メッセージがAVを含み、AVが第3のルートキーKasme*を含み、AVがXRES*、RAND、及び、AUTNを更に含む。
1607.AUSFエンティティはAIAメッセージをH−AMFエンティティに送信し、この場合、AIAメッセージは、AV、又は、AUSFエンティティがAVを処理した後に生成されるAV*を搬送する。
一例では、AV*が第3のルートキーKasme*とHXRES*とを含み、この場合、HXRES*の値はSHA−256(XRES*||RAND)である。
1608.H−AMFエンティティは認証要求を端末に送信する。
1609.端末は、H−AMFエンティティに認証応答を送信する。
16010.H−AMFエンティティは、5G−ACメッセージをAUSFエンティティに送信する。
一例では、ステップ16010が実行されてもよく又は実行されなくてもよい。
16011.端末は、H−AMFエンティティとのNASセキュリティアルゴリズムネゴシエーション手順を実行する。
一例において、端末とH−AMFエンティティとの間のセキュリティ認証プロセスは、ステップ1601〜ステップ16010を実行することによって遂行される。更に、ステップ1606において、ARPFエンティティは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスで生成される第3のルートキーをAUSFエンティティに送信する。
図20aは、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図1であり、図20bは、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図2である。図20a及び図20bに示されるように、方法は、具体的には以下の通りである。
301a.H−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、この場合、セキュリティアルゴリズムは、端末によりH−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
一例では、ステップ301aにおいて、端末がHPLMN内に位置され、また、端末は、HPLMNに対する登録手順を開始する。端末の登録プロセスでは、セキュリティアルゴリズムをネゴシエートするために、H−AMFエンティティが端末とネゴシエートする。その後、H−AMFエンティティは、ネゴシエートされたセキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、それにより、AUSFエンティティは、パラメータに対してセキュリティ保護処理を実行するために使用されるセキュリティアルゴリズムを取得する。
302a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関しては、キーを生成する図4のステップ101を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図13のステップ1006を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図15のステップ1204を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図17のステップ1403を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。このステップとステップ302との間の違いは、ステップ302aで端末がHPLMN内に位置されるという点である。
随意的な実施では、ステップ302aが図17のステップ1403に置き換えられる場合には、図19のステップを参照されたい。
ステップ301a,302aが実行されるときには、端末がHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ303a〜ステップ305aが実行される。ステップ303a〜ステップ305aでは端末がVPLMN内に位置されるのが分かる。図20bを参照されたい。
303a.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
304a.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
305a.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティにより使用されるセキュリティアルゴリズムは、端末がHPLMN内に位置されるときにHPLMNと端末によってネゴシエートされる。AUSFエンティティによって使用されるキーは、端末がHPLMN内に位置されるときにAUSFエンティティによって生成される。したがって、VPLMNはセキュリティアルゴリズム及びキーを知ることができない。AUSFエンティティが、セキュリティアルゴリズムとキーとを使用することによって、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおける他のエンティティは、VPLMNにおけるエンティティを使用することによって、セキュリティ保護処理により取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理により取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図21aは、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図1であり、図21bは、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図2である。図21a及び図21bに示されるように、方法は、具体的には以下の通りである。
401a.H−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、この場合、セキュリティアルゴリズムは、端末によりH−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
一例では、このステップに関しては、図20aのステップ301aを参照されたい。詳細は再び説明しない。
402a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関しては、キーを生成する図5のステップ201を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図14のステップ1106を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図16のステップ1304を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図18のステップ1503を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ402aが図18のステップ1503を実行する場合、図19のステップを参照されたい。
ステップ401a,402aが実行されるときには、端末はHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ403a〜ステップ405aが実行される。ステップ403a〜ステップ405aでは端末がVPLMN内に位置されるのが分かる。図21bを参照されたい。
403a.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
404a.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
405a.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、HPLMNにおける他のエンティティにより使用されるセキュリティアルゴリズムは、端末がHPLMN内に位置されるときにHPLMNと端末によってネゴシエートされる。HPLMNにおける他のエンティティによって使用されるキーは、端末がHPLMN内に位置されるときにAUSFエンティティによって生成される。したがって、VPLMNはセキュリティアルゴリズム及びキーを知ることができない。HPLMNにおける他のエンティティが、セキュリティアルゴリズムとキーとを使用することによって、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、他のエンティティは、VPLMNにおけるエンティティを使用することによって、セキュリティ保護処理により取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理により取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
随意的な実施において、図22は、この出願の一実施形態に係る端末登録手順の概略通信図である。図20a又は図21aに示される実施形態に基づいて、図22のステップは、ステップ301a又はステップ401aが実行される前に実行されてもよい。
501a.端末は登録要求をH−AMFエンティティに送信する。
一例において、図22のステップの実行プロセスでは、端末がHPLMN内に位置される。登録要求は、端末が登録手順を開始することを表わす。登録手順は、初期登録、モビリティ登録、又は、定期登録であってもよい。
502a.H−AMFエンティティは、HPLMNにおけるAUSFエンティティにAIRメッセージを送信する。
一例では、端末の加入者識別子がAIRメッセージで搬送される。端末の加入者識別子はSUPIであってもよく、又は、端末の加入者識別子が匿名のSUPIである。匿名のSUPIはSUCIである。
503a.AUSFエンティティが端末のSUPIを取得する。
一例では、AUSFエンティティによって受信されるAIRメッセージでSUPIが搬送される場合、AUSFエンティティは、AIRメッセージでSUPIを直接に取得してもよい。SUCIがAUSFエンティティによって受信されるAIRメッセージで搬送される場合、AUSFエンティティはプライベートキーを使用することによってSUCIを復号してSUPIを取得する。
504a.AUSFエンティティは、認証ベクトルAV要求をARPFエンティティに送信し、この場合、AV要求はSUPIを搬送する。
505a.ARPFエンティティは、SUPIに基づいて端末のための対応するAVを生成する。
506a.ARPFエンティティは、AV応答メッセージをAUSFエンティティに送信し、この場合、AV応答メッセージは1つ以上のAVを含む。
一例では、AVがキーKasme*を含み、また、AVは、XRES*、RAND、及び、AUTNを更に含む。
507a.AUSFエンティティはAIAメッセージをH−AMFエンティティに送信し、この場合、AIAメッセージは、AV、又は、AUSFエンティティがAVを処理した後に生成されるAV*を搬送する。
一例では、AV*がキーKasme*とHXRES*とを含み、また、SHAが与えられる。この場合、HXRES*の値はSHA−256(XRES*||RAND)である。
508a.H−AMFエンティティは認証要求を端末に送信する。
509a.端末は、H−AMFエンティティに認証応答を送信する。
5010a.H−AMFエンティティは、5G−ACメッセージをAUSFエンティティに送信する。
一例では、ステップ5010aが実行されてもよく又は実行されなくてもよい。
5011a.端末は、H−AMFエンティティとのNASセキュリティアルゴリズムネゴシエーション手順を実行して、端末とH−AMFエンティティとの間で使用されるNASセキュリティアルゴリズムをネゴシエートする。
前述のステップを実行することにより、H−AMFエンティティは、HPLMNにおけるAUSFエンティティに送信されるべきセキュリティアルゴリズムを有してもよい。
図23aは、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図1であり、図23bは、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図2である。図23a及び図23bに示されるように、方法は、具体的には以下の通りである。
601a.H−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。
一例では、ステップ601aが実行されるときには、端末がHPLMN内に位置される。H−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムを有する。H−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。具体的には、H−AMFエンティティは、端末のセキュリティ機能情報をAUSFエンティティに送信する。セキュリティ機能情報は、端末によりサポートされるセキュリティアルゴリズムを含み、各アルゴリズムは優先度を有する。この実施形態では、ステップ603aの前に、図22のステップが代わりに実行されてもよい。その後、H−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、図22のステップ502aで実行されてもよい。或いは、H−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、図22のステップ5010aで実行されてもよい。或いは、H−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、別個のメッセージを使用することによって実行されてもよい。
或いは、随意的な実施では、ステップ601aが次のようになっていてもよい。すなわち、H−AMFエンティティが指示情報をAUSFエンティティに送信し、この場合、指示情報は、端末によってサポートされるセキュリティアルゴリズムを示し、その後、AUSFエンティティは、指示情報に基づき、端末によりサポートされるセキュリティアルゴリズムを決定する。
602a.AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定する。
一例では、このステップに関して、図9のステップ602を参照されたい。詳細は再び説明しない。
603a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図9のステップ603を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図13のステップ1006を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図15のステップ1204を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図17のステップ1403を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ602aが図17のステップ1403を実行する場合、図19のステップを参照されたい。
604a.AUSFエンティティは、決定されたセキュリティアルゴリズムをH−AMFエンティティに送信する。
605a.H−AMFエンティティは、セキュリティアルゴリズムを端末に送信する。
ステップ601a〜ステップ605aが実行されるときには、端末がHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ606a〜ステップ608aが実行される。ステップ606a〜ステップ608aでは、端末がVPLMN内に位置されるのが分かる。図23bを参照されたい。
606a.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図9のステップ606を参照されたい。詳細は再び説明しない。
607a.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図9のステップ607を参照されたい。詳細は再び説明しない。
608a.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図9のステップ608を参照されたい。詳細は再び説明しない。
この実施形態では、端末がHPLMN内に位置される場合、端末は、H−AMFエンティティを使用することにより、端末によってサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。AUSFエンティティは、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定し、AUSFエンティティはキーを生成する。その後、端末がVPLMNにローミングすると、VPLMNはセキュリティアルゴリズムとキーとを知ることができない。AUSFエンティティが、セキュリティアルゴリズムとキーとに基づいて、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、AUSFエンティティは、VPLMNにおけるエンティティを使用することにより、セキュリティ保護処理によって取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理によって取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図24aは、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図1であり、図24bは、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図2である。図24a及び図24bに示されるように、方法は、具体的には以下の通りである。
701a.H−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。
一例では、ステップ701aが実行されるときには、端末がHPLMN内に位置される。このステップに関しては、図23aのステップ601aを参照されたい。詳細は再び説明しない。
702a.AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定する。
一例では、このステップに関して、図10のステップ702を参照されたい。詳細は再び説明しない。
703a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図10のステップ703を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図14のステップ1106を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図16のステップ1304を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図18のステップ1503を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ702aが図18のステップ1503を実行する場合、図19のステップを参照されたい。
704a.AUSFエンティティは、決定されたセキュリティアルゴリズムをH−AMFエンティティに送信する。
705a.H−AMFエンティティは、セキュリティアルゴリズムを端末に送信する。
ステップ701a〜ステップ705aが実行されるときには、端末がHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ706a〜ステップ708aが実行される。ステップ706a〜ステップ708aでは、端末がVPLMN内に位置されるのが分かる。図24bを参照されたい。
706a.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図10のステップ706を参照されたい。詳細は再び説明しない。
707a.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図10のステップ707を参照されたい。詳細は再び説明しない。
708a.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図10のステップ708を参照されたい。詳細は再び説明しない。
この実施形態では、端末がHPLMN内に位置される場合、端末は、H−AMFエンティティを使用することにより、端末によってサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。AUSFエンティティは、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定し、AUSFエンティティはキーを生成する。その後、端末がVPLMNにローミングすると、VPLMNはセキュリティアルゴリズムとキーとを知ることができない。HPLMNにおける他のエンティティが、セキュリティアルゴリズムとキーとに基づき、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、他のエンティティは、VPLMNにおけるエンティティを使用することによって、セキュリティ保護処理により取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理により取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図25aは、この出願の一実施形態に係る更に別の一層他のパラメータ保護方法の概略通信図1であり、図25bは、この出願の一実施形態に係る更に別の一層他のパラメータ保護方法の概略通信図2である。図25a及び図25bに示されるように、方法は、具体的には以下の通りである。
801a.AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定する。
一例では、ステップ801aが実行されるときには、端末がHPLMN内に位置される。このステップに関しては、図11のステップ801を参照されたい。詳細は再び説明しない。
802a.AUSFエンティティがキーを生成する。
一例では、このステップに関して、図11のステップ802を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図13のステップ1006を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図15のステップ1204を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図17のステップ1403を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ802aが図17のステップ1403を実行する場合、図19のステップを参照されたい。
ステップ801a,802aが実行されるときには、端末はHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ803a〜ステップ805aが実行される。ステップ803a〜ステップ805aでは端末がVPLMN内に位置されるのが分かる。図25bを参照されたい。
803a.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図11のステップ803を参照されたい。詳細は再び説明しない。
804a.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図11のステップ804を参照されたい。詳細は再び説明しない。
805 a.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図11のステップ805を参照されたい。詳細は再び説明しない。
この実施形態では、端末がHPLMN内に位置されると、AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定し、AUSFエンティティがキーを生成する。その後、端末がVPLMNにローミングすると、VPLMNはセキュリティアルゴリズムとキーとを知ることができない。AUSFエンティティが、セキュリティアルゴリズムとキーとに基づいて、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、AUSFエンティティは、VPLMNにおけるエンティティを使用することにより、セキュリティ保護処理によって取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理によって取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図26aは、この出願の一実施形態に係る更なる他の一層別のパラメータ保護方法の概略通信図1であり、図26bは、この出願の一実施形態に係る更なる他の一層別のパラメータ保護方法の概略通信図2である。図26a及び図26bに示されるように、方法は、具体的には以下の通りである。
901a.HPLMNにおけるAUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定する。
一例では、ステップ801aが実行されるときには、端末がHPLMN内に位置される。このステップに関しては、図12のステップ901を参照されたい。詳細は再び説明しない。
902a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図12のステップ902を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図14のステップ1106を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図16のステップ1304を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図18のステップ1503を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ902aが図18のステップ1503を実行する場合、図19のステップを参照されたい。
ステップ901a,902aが実行されるときには、端末はHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ903a〜ステップ905aが実行される。ステップ903a〜ステップ905aでは端末がVPLMN内に位置されるのが分かる。図26bを参照されたい。
903a.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図12のステップ903を参照されたい。詳細は再び説明しない。
904a.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図12のステップ904を参照されたい。詳細は再び説明しない。
905a.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図12のステップ905を参照されたい。詳細は再び説明しない。この実施形態では、端末がHPLMN内に位置されると、AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定し、AUSFエンティティがキーを生成する。その後、端末がVPLMNにローミングすると、VPLMNはセキュリティアルゴリズムとキーとを知ることができない。HPLMNにおける他のエンティティが、セキュリティアルゴリズムとキーとに基づき、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、他のエンティティは、VPLMNにおけるエンティティを使用することによって、セキュリティ保護処理により取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理により取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図4から図26bに示される方法では、随意的に、方法で提供されるキーの長さが、64ビット(bits)、128bits、又は、256bitsであってもよい。随意的に、これらの方法で提供されるセキュリティアルゴリズムは、SNOW 3G、高度暗号化標準規格(advanced encryption standard、AES)、ZUCコードアルゴリズム(the ZUC code algorithm、ZUC)などでもよい。
以上は、主に、異なるネットワークデバイス間の相互作用の観点から、この出願の実施形態で与えられる解決策について説明する。前述の機能を実装するために、AUSFエンティティ及び端末が、機能を果たすための対応するハードウェア構造及び/又はソフトウェアモジュールを含むことが理解され得る。この出願に開示される実施形態を説明する例におけるユニット及びアルゴリズムステップに関連して、この出願の実施形態をハードウェア又はハードウェア及びコンピュータソフトウェアの形態で実装することができる。機能がハードウェアによって果たされるか又はコンピュータソフトウェアによって駆動されるハードウェアによって果たされるかどうかは、技術的解決策の特定の用途と設計上の制約とに依存する。当業者は、それぞれの特定の用途ごとに前述の機能を実施するために異なる方法を使用してもよいが、その実施がこの出願の実施形態における技術的解決策の範囲を超えると見なされるべきでない。
この出願の実施形態において、AUSFエンティティ及び端末の機能モジュールは、前述の方法の例に基づいて分割されてもよい。例えば、各機能モジュールは、対応する各機能に基づいて分割によって取得されてもよく、或いは、2つ以上の機能が1つの処理モジュールに組み込まれてもよい。集積モジュールは、ハードウェアの形態で実装されてもよく、或いは、ソフトウェア機能モジュールの形態で実装されてもよい。なお、この出願の実施形態において、モジュールへの分割は、単なる一例にすぎず、単なる論理的な機能分割にすぎず、及び、実際の実装中の他の分割であってもよい。
集積モジュールが使用される場合、図27aは、この出願の一実施形態に係るAUSFエンティティ270の概略ブロック図である。AUSFエンティティ270は、取得ユニット2701、生成ユニット2702、受信ユニット2703、及び、処理ユニット2704を含む。取得ユニット2701は、セキュリティアルゴリズムを取得するように構成される。生成ユニット2702は、キーを生成するように構成される。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。例えば、取得ユニット2701及び生成ユニット2702は、図4のステップ101、図6のステップ301,302、図9のステップ601〜603、図11のステップ801,802、図13のステップ1004〜1006、図15のステップ1202〜1204、図17のステップ1401〜1403、図20aのステップ301a,302a、図23aのステップ601a〜603a、図25aのステップ801a,802a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ270をサポートするように構成される。受信ユニット2703は、HPLMNにおける他のエンティティからパラメータを受信するように構成される。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。例えば、受信ユニット2703は、図4のステップ102、図6のステップ303、図9のステップ606、図11のステップ803、図13のステップ1007、図15のステップ1205、図17のステップ1404、図20bのステップ303a、図23bのステップ606a、図25bのステップ803a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ270をサポートするように構成される。処理ユニット2704は、セキュリティアルゴリズム及びキーに基づいてパラメータに対してセキュリティ保護処理を実行するように構成される。例えば、処理ユニット2704は、図4のステップ103、図6のステップ304、図9のステップ607、図11のステップ804、図13のステップ1008、図15のステップ1206、図17のステップ1405、図20bのステップ304a、図23bのステップ607a、図25bのステップ804a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ270をサポートするように構成される。
AUSFエンティティ270は、処理ユニットがセキュリティアルゴリズム及びキーに基づいてパラメータに対してセキュリティ保護処理を実行した後にセキュリティ保護処理によって取得されるパラメータを端末に送信するように構成される送信ユニット2705を更に含んでもよい。例えば、送信ユニット2705は、図4のステップ104、図6のステップ305、図9のステップ608、図11のステップ805、図13のステップ1009、図15のステップ1207、図17のステップ1406、図20bのステップ305a、図23bのステップ608a、図25bのステップ805a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ270をサポートするように構成される。
AUSFエンティティ270は、AUSFエンティティ270のプログラムコード及びデータを記憶するように構成される記憶ユニット2706を更に含んでもよい。
取得ユニット2701、生成ユニット2702、及び、処理ユニット2704は、1つのデバイスに組み込まれてもよい。デバイスは、プロセッサ又はコントローラであってもよく、例えば、中央処理装置(central processing unit、CPU)、汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application−specific integrated circuit、ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array、FPGA)、又は、他のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェアコンポーネント、又は、それらの任意の組み合わせであってもよい。プロセッサは、この出願に開示される内容に関連して記載される論理ブロック、モジュール、及び、回路の様々な例を実装又は実行してもよい。或いは、プロセッサは、コンピュータ機能を実装するプロセッサの組み合わせ、例えば、1つ以上のマイクロプロセッサの組み合わせ、又は、DSPとマイクロプロセッサとの組み合わせであってもよい。受信ユニット2703は、通信インタフェース、トランシーバ、トランシーバ回路などであってもよい。通信インタフェースは一般用語である。特定の実装中、通信インタフェースは、複数のインタフェースを含んでもよく、例えば、AUSFエンティティ270とV−AMFエンティティとの間のインタフェース、AUSFエンティティ270とH−AMFとの間のインタフェース、及び、AUSFエンティティ270と他のエンティティとの間のインタフェースを含んでもよい。記憶ユニット2706はメモリであってもよい。
取得ユニット2701、生成ユニット2702、及び、処理ユニット2704が組み込まれてもよいデバイスがプロセッサであり、受信ユニット2703が通信インタフェースであり、記憶ユニット2706がメモリである場合には、この出願のこの実施形態で与えられるAUSFエンティティ270が図27bに示されるAUSFエンティティ280であってもよい。
図27bを参照すると、AUSFエンティティ280は、プロセッサ2801、通信インタフェース2802、及び、メモリ2803を含む。随意的に、AUSFエンティティ280は、バス2804を更に含んでもよい。プロセッサ2801、通信インタフェース2802、及び、メモリ2803は、バス2804を使用することによって互いに接続されてもよい。バス2804は、周辺コンポーネント相互接続(peripheral component interconnect、PCI)バス、拡張業界標準規格アーキテクチャ(extended industry standard architecture、EISA)バスなどであってもよい。バス2804は、アドレスバス、データバス、制御バス等に分類されてもよい。表現を簡単にするために、図27bではバスを表わすために1本の太い線のみが使用されるが、これは、バスが1つしかない又はバスのタイプが1つしかないことを意味しない。
図27a及び図27bに示されるAUSFエンティティは、図1、図2、及び、図3のシステムアーキテクチャにおけるAUSFエンティティであってもよい。
集積モジュールが使用される場合、図28aは、この出願の一実施形態に係る他のAUSFエンティティ290の概略ブロック図である。AUSFエンティティ290は、取得ユニット2901、生成ユニット2902、及び、送信ユニット2903を含む。取得ユニット2901は、セキュリティアルゴリズムを取得するように構成される。生成ユニット2702は、キーを生成するように構成される。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。例えば、取得ユニット2901及び生成ユニット2702は、図5のステップ201、図7のステップ401,402、図10のステップ701〜703、図12のステップ901,902、図14のステップ1103〜1106、図16のステップ1302〜1304、図18のステップ1501〜1503、図21aのステップ401a,402a、図24aのステップ701a〜703a、図26aのステップ901a,902a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ290をサポートするように構成される。送信ユニット2903は、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信するように構成される。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。例えば、送信ユニット2903は、図5のステップ202、図7のステップ403、図10のステップ706、図12のステップ903、図14のステップ1107、図16のステップ1305、図18のステップ1504、図21bのステップ403a、図24bのステップ706a、図26bのステップ903a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ290をサポートするように構成される。
AUSFエンティティ290は、AUSFエンティティ290のプログラムコード及びデータを記憶するように構成される記憶ユニット2904を更に含んでもよい。
取得ユニット2901及び生成ユニット2902は1つのデバイスに組み込まれてもよい。デバイスは、プロセッサ又はコントローラであってもよく、例えば、CPU、汎用プロセッサ、DSP、ASIC、FPGA、又は、他のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェアコンポーネント、又は、それらの任意の組み合わせであってもよい。プロセッサは、この出願に開示される内容に関連して記載される論理ブロック、モジュール、及び、回路の様々な例を実装又は実行してもよい。或いは、プロセッサは、コンピュータ機能を実装するプロセッサの組み合わせ、例えば、1つ以上のマイクロプロセッサの組み合わせ、又は、DSPとマイクロプロセッサとの組み合わせであってもよい。送信ユニット2903は、通信インタフェース、トランシーバ、トランシーバ回路などであってもよい。通信インタフェースは一般用語である。特定の実装中、通信インタフェースは、複数のインタフェースを含んでもよく、例えば、AUSFエンティティ290とV−AMFエンティティとの間のインタフェース、AUSFエンティティ290とH−AMFとの間のインタフェース、及び、AUSFエンティティ290と他のエンティティとの間のインタフェースを含んでもよい。記憶ユニット2904はメモリであってもよい。
取得ユニット2901及び生成ユニット2902が組み込まれてもよいデバイスがプロセッサであり、送信ユニット2903が通信インタフェースであり、記憶ユニット2904がメモリである場合には、この出願のこの実施形態で与えられるAUSFエンティティ290が図28bに示されるAUSFエンティティ300であってもよい。
図28bを参照すると、AUSFエンティティ300は、プロセッサ3001、通信インタフェース3002、及び、メモリ3003を含む。随意的に、AUSFエンティティ300は、バス3004を更に含んでもよい。プロセッサ3001、通信インタフェース3002、及び、メモリ3003は、バス3004を使用することによって互いに接続されてもよい。バス3004は、PCIバス、EISAバスなどであってもよい。バス3004は、アドレスバス、データバス、制御バス等に分類されてもよい。表現を簡単にするために、図28bではバスを表わすために1本の太い線のみが使用されるが、これは、バスが1つしかない又はバスのタイプが1つしかないことを意味しない。
図28a及び図28bに示されるAUSFエンティティは、図1、図2、及び、図3のシステムアーキテクチャにおけるAUSFエンティティであってもよい。
集積モジュールが使用される場合、図29aは、この出願の一実施形態に係る他のエンティティ310の概略ブロック図である。他のエンティティ310は、受信ユニット3101及び処理ユニット3102を含む。受信ユニット3101は、HPLMNにおけるAUSFエンティティからセキュリティアルゴリズム及びキーを受信するように構成される。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。例えば、受信ユニット3101は、図5のステップ202、図7のステップ403、図10のステップ706、図12のステップ903、図14のステップ1107、図16のステップ1305、図18のステップ1504、図21bのステップ403a、図24bのステップ706a、図26bのステップ903a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に他のエンティティ310をサポートするように構成される。処理ユニット3102は、セキュリティアルゴリズム及びキーに基づいてパラメータに対してセキュリティ保護処理を実行するように構成される。例えば、処理ユニット3102は、図5のステップ203、図7のステップ404、図10のステップ707、図12のステップ904、図14のステップ1108、図16のステップ1306、図18のステップ1505、図21bのステップ404a、図24bのステップ707a、図26bのステップ904a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に他のエンティティ310をサポートするように構成される。
他のエンティティ310は、セキュリティ保護処理によって取得されるパラメータを端末に送信するように構成される送信ユニット3103を更に含んでもよい。例えば、送信ユニット3103は、図5のステップ204、図7のステップ405、図10のステップ708、図12のステップ905、図14のステップ1109、図16のステップ1307、図18のステップ1506、図21bのステップ405a、図24bのステップ708a、図26bのステップ905a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に他のエンティティ310をサポートするように構成される。
他のエンティティ310は、他のエンティティ310のプログラムコード及びデータを記憶するように構成される記憶ユニット3104を更に含んでもよい。処理ユニット3102は、プロセッサ又はコントローラであってもよく、例えば、CPU、汎用プロセッサ、DSP、ASIC、FPGA、又は、他のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェアコンポーネント、又は、それらの任意の組み合わせであってもよい。プロセッサは、この出願に開示される内容に関連して記載される論理ブロック、モジュール、及び、回路の様々な例を実装又は実行してもよい。或いは、プロセッサは、コンピュータ機能を実装するプロセッサの組み合わせ、例えば、1つ以上のマイクロプロセッサの組み合わせ、又は、DSPとマイクロプロセッサとの組み合わせであってもよい。受信ユニット3101及び送信ユニット3103はそれぞれ、通信インタフェース、トランシーバ、トランシーバ回路などであってもよい。通信インタフェースは一般用語である。特定の実装中、通信インタフェースは、複数のインタフェースを含んでもよく、例えば、他のエンティティ310とV−AMFエンティティとの間のインタフェース、他のエンティティ310とH−AMFとの間のインタフェース、及び、他のエンティティ310と他のエンティティとの間のインタフェースを含んでもよい。記憶ユニット3104はメモリであってもよい。
処理ユニット3102がプロセッサであり、受信ユニット3101及び送信ユニット3103がそれぞれ通信インタフェースであってもよく、記憶ユニット3104がメモリである場合、この出願のこの実施形態で与えられる他のエンティティ310は、図29bに示される他のエンティティ320であってもよい。
図29bを参照すると、他のエンティティ320は、プロセッサ3201、通信インタフェース3202、及び、メモリ3203を含む。プロセッサ3201、通信インタフェース3202、及び、メモリ3203は、バス3204を使用することによって互いに接続されてもよい。バス3204は、PCIバス、EISAバスなどであってもよい。バス3204は、アドレスバス、データバス、制御バス等に分類されてもよい。表現を簡単にするために、図29bではバスを表わすために1本の太い線のみが使用されるが、これは、バスが1つしかない又はバスのタイプが1つしかないことを意味しない。
図29a及び図29bに示される他のエンティティは、図1、図2、及び、図3のシステムアーキテクチャにおけるUDMエンティティ又はH−PCFエンティティであってもよい。
集積モジュールが使用される場合、図30aは、この出願の一実施形態に係る端末330の概略ブロック図である。端末330は、受信ユニット3301及び処理ユニット3302を含む。受信ユニット3301は、セキュリティ保護処理後に取得されて他のエンティティによって送信されるパラメータを受信するように構成され、或いは、セキュリティ保護処理後に取得されてAUSFエンティティによって送信されるパラメータを受信するように構成される。例えば、受信ユニット3301は、図4のステップ104、図6のステップ305、図9のステップ608、図11のステップ805、図13のステップ1009、図15のステップ1207、図17のステップ1406、図20bのステップ305a、図23bのステップ608a、図25bのステップ805a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に端末330をサポートするように構成される。例えば、受信ユニット3301は、図5のステップ204、図7のステップ405、図10のステップ708、図12のステップ905、図14のステップ1109、図16のステップ1307、図18のステップ1506、図21bのステップ405a、図24bのステップ708a、図26bのステップ905a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に端末330をサポートするように構成される。
端末330は、この出願に記載される技術の他のプロセスを実行するように構成される送信ユニット3303と、端末330のプログラムコード及びデータを記憶するように構成される記憶ユニット3304とを更に含む。
処理ユニット3302は、プロセッサ又はコントローラであってもよく、例えば、CPU、汎用プロセッサ、DSP、ASIC、FPGA、又は、他のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェアコンポーネント、又は、それらの任意の組み合わせであってもよい。プロセッサは、この出願に開示される内容に関連して記載される論理ブロック、モジュール、及び、回路の様々な例を実装又は実行してもよい。或いは、プロセッサは、コンピュータ機能を実装するプロセッサの組み合わせ、例えば、1つ以上のマイクロプロセッサの組み合わせ、又は、DSPとマイクロプロセッサとの組み合わせであってもよい。受信ユニット3301は受信機であってもよく、送信ユニット3303は送信機であってもよく、記憶ユニット3304はメモリであってもよい。
処理ユニット3302がプロセッサであり、受信ユニット3301が受信機であり、送信ユニット3303が送信機であり、記憶ユニット3304がメモリである場合、この出願のこの実施形態で与えられる端末330は、図30bに示される端末340であってもよい。
図30bを参照すると、端末340は、プロセッサ3401、受信機3402、送信機3403、及び、メモリ3404を含む。受信機3402及び送信機3403は、アンテナに接続されてもよい。ダウンリンク方向において、受信機3402は、アンテナを使用することにより、ネットワークデバイスによって送信される情報を受信し、また、送信機3403は、情報を処理するためのプロセッサ3401に送信する。或いは、アップリンク方向において、プロセッサ3401は、端末の情報を処理し、送信機3403を使用することによってその情報をネットワークデバイスに送信する。
或いは、前述のモジュールの一部又は全部は、端末のチップに埋め込まれる集積回路の形態で実装されてもよい。更に、モジュールは、独立して実装されてもよく又は一緒に組み込まれてもよい。すなわち、前述のモジュールは、前述の方法を実施するように構成される1つ以上の集積回路、例えば、1つ以上のASIC、1つ以上のDSP、又は、1つ以上の FPGAであってよい。
図30a及び図30bに示される端末は、図1、図2、及び、図3のシステムアーキテクチャにおける端末デバイスであってもよい。
前述の実施形態の全部又は一部は、ソフトウェア、ハードウェア、ファームウェア、又は、それらの任意の組み合わせによって実施されてもよい。ソフトウェアを使用して実施形態を実施する場合、実施形態の一部又は全部は、コンピュータプログラムプロダクトの形態で実施されてもよい。コンピュータプログラムプロダクトは1つ以上のコンピュータ命令を含む。コンピュータプログラム命令がコンピュータにロードされて実行されると、この出願の実施形態に係る手順又は機能の一部又は全部が生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、又は、他のプログラム可能装置であってもよい。コンピュータ命令は、コンピュータ可読記憶媒体に記憶されてもよく、又は、コンピュータ可読記憶媒体から他のコンピュータ可読記憶媒体に送信されてもよい。例えば、コンピュータ命令は、ウェブサイト、コンピュータ、サーバ、又は、データセンタから他のウェブサイト、コンピュータ、サーバ、又は、データセンタに有線(例えば、同軸ケーブル、光ファイバ、又は、デジタル加入者回線(digital subscriber line、DSL))で又は無線(例えば、赤外線、無線、及び、マイクロ波など)で送信されてもよい。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の使用可能媒体、又は、1つ以上の使用可能媒体を組み込むサーバ又はデータセンタなどのデータ記憶デバイスであってもよい。使用可能媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスク、又は、磁気テープ)、光学媒体(例えばDVD)、半導体媒体(例えば、ソリッドステートドライブ(solid-state disk、SSD))であってもよい。
当業者は、前述の1つ以上の例において、この出願の実施形態に記載される機能がハードウェア、ソフトウェア、ファームウェア、又は、それらの任意の組み合わせによって実装されてもよいことを認識するはずである。この出願の実施形態がソフトウェアにより実施されるとき、前述の機能は、コンピュータ可読媒体に記憶されてもよく、或いは、コンピュータ可読媒体内の1つ以上の命令又はコードとして送信されてもよい。コンピュータ可読媒体は、コンピュータ記憶媒体及び通信媒体を含む。通信媒体は、コンピュータプログラムをある場所から別の場所に送信できるようにする任意の媒体を含む。記憶媒体は、汎用コンピュータ又は専用コンピュータがアクセスできる任意の利用可能な媒体であってもよい。
前述の説明は、単にこの出願の特定の実施態様にすぎず、この出願の保護範囲を限定しようとするものではない。この出願に開示される技術的範囲内で当業者により容易に考え出されるいかなる変形も置換も、この出願の保護範囲内に入るものとする。したがって、この出願の保護範囲は、特許請求項の保護範囲によって決まるものとする。
270 認証サーバ機能エンティティ
280 認証サーバ機能エンティティ
290 認証サーバ機能エンティティ
300 認証サーバ機能エンティティ
310 他のエンティティ
320 他のエンティティ
330 端末
340 端末
2701 取得ユニット
2702 生成ユニット
2703 受信ユニット
2704 処理ユニット
2705 送信ユニット
2706 記憶ユニット
2801 プロセッサ
2802 通信インタフェース
2803 メモリ
2804 バス
2901 取得ユニット
2902 生成ユニット
2903 送信ユニット
2904 記憶ユニット
3001 プロセッサ
3002 通信インタフェース
3003 メモリ
3004 バス
3101 受信ユニット
3102 処理ユニット
3103 送信ユニット
3104 記憶ユニット
3201 プロセッサ
3202 通信インタフェース
3203 メモリ
3204 バス
3301 受信ユニット
3302 処理ユニット
3303 送信ユニット
3304 記憶ユニット
3401 プロセッサ
3402 受信機
3403 送信機
3404 メモリ

Claims (39)

  1. 家庭用公衆陸上モバイルネットワーク、HPLMN、における認証サーバ機能、AUSF、エンティティによって、セキュリティアルゴリズムを取得して、キーを生成するステップであって、前記キーが、端末と前記HPLMNとの間のパラメータの送信を保護するために使用される、ステップと、
    前記AUSFエンティティによって、前記HPLMNにおける他のエンティティから前記パラメータを受信するステップであって、前記他のエンティティが前記パラメータを前記端末に送信する必要があるエンティティである、ステップと、
    前記AUSFエンティティによって、前記セキュリティアルゴリズムと前記キーとに基づいて、前記パラメータに対してセキュリティ保護処理を実行するステップと、
    を含むパラメータ保護方法。
  2. HPLMNにおけるAUSFエンティティによってセキュリティアルゴリズムを取得する前記ステップは、
    前記AUSFエンティティによって、訪問先公衆陸上モバイルネットワーク、VPLMN、におけるアクセス・モビリティ管理機能、AMF、エンティティから前記セキュリティアルゴリズムを受信するステップであって、前記セキュリティアルゴリズムが、前記端末と、前記VPLMNにおける前記AMFエンティティとの間のネゴシエートされるセキュリティアルゴリズムである、ステップ、又は、
    前記AUSFエンティティにより、VPLMNにおけるAMFエンティティから、前記端末によりサポートされるセキュリティアルゴリズムを受信して、前記端末によりサポートされる前記セキュリティアルゴリズムと前記HPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、前記端末と前記HPLMNとの間で使用される前記セキュリティアルゴリズムを決定するステップ、又は、
    前記AUSFエンティティによって、前記端末と前記HPLMNとの間のデフォルトセキュリティアルゴリズムを前記セキュリティアルゴリズムとして決定するステップ、
    を含む、請求項1に記載の方法。
  3. HPLMNにおけるAUSFエンティティによってキーを生成する前記ステップは、
    前記AUSFエンティティによって、前記端末から乱数を受信するステップであって、前記乱数が、前記HPLMNのパブリックキーを使用することによって暗号化される乱数である、ステップと、
    前記AUSFエンティティによって、前記HPLMNのプライベートキーであって前記パブリックキーに対応するプライベートキーを使用することにより前記乱数を復号するステップと、
    前記AUSFエンティティによって、入力パラメータに基づき前記キーを生成するステップであって、前記入力パラメータが復号化乱数と第1のルートキーとを備え、前記第1のルートキーが、前記端末と前記VPLMNにおける前記AMFエンティティとの間のセキュリティ認証プロセスで前記HPLMNにおける認証資格情報リポジトリ・処理機能、ARPF、エンティティによって生成される、ステップと、
    を含む、請求項1又は2に記載の方法。
  4. HPLMNにおけるAUSFエンティティによってキーを生成する前記ステップは、
    前記AUSFエンティティによって、前記HPLMNにおけるARPFエンティティから第2のルートキーを受信するステップであって、前記第2のルートキーが前記ARPFエンティティによって生成され、前記第2のルートキーが、前記端末と前記VPLMNにおける前記AMFエンティティとの間のセキュリティ認証プロセスで前記ARPFエンティティによって生成される第1のルートキーとは異なる、ステップと、
    前記AUSFエンティティによって、入力パラメータに基づき前記キーを生成するステップであって、前記入力パラメータが前記第2のルートキーを備える、ステップと、
    を含む、請求項1又は2に記載の方法。
  5. AUSFエンティティによってキーを生成する前記ステップは、
    前記AUSFエンティティによって、前記HPLMNにおけるARPFエンティティから第3のルートキーを受信するステップであって、前記第3のルートキーが、前記端末と前記HPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスで前記ARPFエンティティによって生成される、ステップと、
    前記AUSFエンティティによって、入力パラメータに基づき前記キーを生成するステップであって、前記入力パラメータが前記第3のルートキーを備える、ステップと、
    を含む、請求項1又は2に記載の方法。
  6. 前記入力パラメータは、以下、すなわち、前記他のエンティティの識別子及び前記セキュリティアルゴリズムの識別子のうちの一方又は両方を更に備える、請求項3から5のいずれか一項に記載の方法。
  7. 前記方法は、
    前記訪問先公衆陸上モバイルネットワーク、VPLMN、におけるエンティティを使用することによって前記他のエンティティが前記セキュリティ保護処理によって取得される前記パラメータを前記端末に送信するように、前記AUSFエンティティにより、前記セキュリティ保護処理によって取得されるパラメータを前記他のエンティティに送信するステップ、
    を更に含む、請求項1から6のいずれか一項に記載の方法。
  8. 前記他のエンティティは、前記HPLMNにおける統合データ管理、UDM、エンティティであり、前記VPLMNにおける前記エンティティは、前記VPLMNにおける前記アクセス・モビリティ管理機能AMFエンティティである、請求項1から7のいずれか一項に記載の方法。
  9. 家庭用公衆陸上モバイルネットワーク、HPLMN、における認証サーバ機能、AUSF、エンティティによって、セキュリティアルゴリズムを取得して、キーを生成するステップであって、前記キーが、端末と前記HPLMNとの間のパラメータの送信を保護するために使用される、ステップと、
    前記AUSFエンティティによって、前記HPLMNにおける他のエンティティに前記セキュリティアルゴリズム及び前記キーを送信するステップであって、前記他のエンティティが前記パラメータを前記端末に送信する必要があるエンティティである、ステップと、
    を含むパラメータ保護方法。
  10. HPLMNにおけるAUSFエンティティによってセキュリティアルゴリズムを取得する前記ステップは、
    前記AUSFエンティティによって、訪問先公衆陸上モバイルネットワーク、VPLMN、におけるアクセス・モビリティ管理機能、AMF、エンティティから前記セキュリティアルゴリズムを受信するステップであって、前記セキュリティアルゴリズムが、前記端末により前記VPLMNにおける前記AMFエンティティとネゴシエートされるセキュリティアルゴリズムである、ステップ、又は、
    前記AUSFエンティティにより、VPLMNにおけるAMFエンティティから、前記端末によりサポートされるセキュリティアルゴリズムを受信して、前記端末によりサポートされる前記セキュリティアルゴリズムと前記HPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、前記端末と前記HPLMNとの間で使用される前記セキュリティアルゴリズムを決定するステップ、又は、
    前記AUSFエンティティによって、前記端末と前記HPLMNとの間のデフォルトセキュリティアルゴリズムを前記セキュリティアルゴリズムとして決定するステップ、
    を含む、請求項9に記載の方法。
  11. HPLMNにおけるAUSFエンティティによってキーを生成する前記ステップは、
    前記AUSFエンティティによって、前記端末から乱数を受信するステップであって、前記乱数が、前記HPLMNのパブリックキーを使用することによって暗号化される乱数である、ステップと、
    前記AUSFエンティティによって、前記HPLMNのプライベートキーであって前記パブリックキーに対応するプライベートキーを使用することにより前記乱数を復号するステップと、
    前記AUSFエンティティによって、入力パラメータに基づき前記キーを生成するステップであって、前記入力パラメータが復号化乱数と第1のルートキーとを備え、前記第1のルートキーが、前記端末と前記VPLMNにおける前記AMFとの間のセキュリティ認証プロセスで前記HPLMNにおける認証資格情報リポジトリ・処理機能、ARPF、エンティティによって生成される、ステップと、
    を含む、請求項9又は10に記載の方法。
  12. HPLMNにおけるAUSFエンティティによってキーを生成する前記ステップは、
    前記AUSFエンティティによって、前記HPLMNにおけるARPFエンティティから第2のルートキーを受信するステップであって、前記第2のルートキーが前記ARPFエンティティによって生成され、前記第2のルートキーが、前記端末と前記VPLMNにおける前記AMFエンティティとの間のセキュリティ認証プロセスで前記ARPFエンティティによって生成される第1のルートキーとは異なる、ステップと、
    前記AUSFエンティティによって、入力パラメータに基づき前記キーを生成するステップであって、前記入力パラメータが前記第2のルートキーを備える、ステップと、
    を含む、請求項9又は11に記載の方法。
  13. HPLMNにおけるAUSFエンティティによってキーを生成する前記ステップは、
    前記AUSFエンティティによって、前記HPLMNにおけるARPFエンティティから第3のルートキーを受信するステップであって、前記第3のルートキーが、前記端末と前記HPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスで前記ARPFエンティティによって生成される、ステップと、
    前記AUSFエンティティによって、入力パラメータに基づき前記キーを生成するステップであって、前記入力パラメータが前記第3のルートキーを備える、ステップと、
    を含む、請求項10又は11に記載の方法。
  14. 前記入力パラメータは、以下、すなわち、前記他のエンティティの識別子及び前記セキュリティアルゴリズムの識別子のうちの一方又は両方を更に備える、請求項11から13のいずれか一項に記載の方法。
  15. 家庭用公衆陸上モバイルネットワーク、HPLMN、における他のエンティティによって、前記HPLMNにおける認証サーバ機能、AUSF、エンティティからセキュリティアルゴリズム及びキーを受信するステップであって、前記キーが、端末と前記HPLMNとの間のパラメータの送信を保護するために使用される、ステップと、
    前記他のエンティティによって、前記セキュリティアルゴリズムと前記キーとに基づいて前記パラメータに対してセキュリティ保護処理を実行するステップと、
    を含むパラメータ保護方法。
  16. 前記他のエンティティによって、前記セキュリティアルゴリズムと前記キーとに基づいて前記パラメータに対してセキュリティ保護処理を実行する前記ステップは、
    前記他のエンティティにより、前記セキュリティアルゴリズムと前記キーとに基づいて前記パラメータに対して暗号化処理を実行するステップ、又は、
    前記他のエンティティにより、前記セキュリティアルゴリズムと前記キーとに基づいて前記パラメータに対して完全性保護処理を実行するステップ、
    のうちの一方又は両方を含む、請求項15に記載の方法。
  17. 家庭用公衆陸上モバイルネットワークHPLMNにおける統合データ管理、UDM、エンティティによって、前記HPLMNにおける認証サーバ機能、AUSF、エンティティにパラメータを送信するステップと、
    前記UDMエンティティにより、前記AUSFエンティティから、セキュリティ保護処理によって取得されるパラメータを受信するステップと、
    前記UDMエンティティにより、訪問先公衆陸上モバイルネットワーク、VPLMN、におけるアクセス・モビリティ管理機能、AMF、エンティティを使用することによって、前記セキュリティ保護処理によって取得される前記パラメータを前記端末に送信するステップと、
    を含むパラメータ保護方法。
  18. 家庭用公衆陸上モバイルネットワーク、HPLMN、におけるパラメータ保護デバイスにおいて、
    セキュリティアルゴリズムを取得するように構成される取得ユニットと、
    キーを生成するように構成される生成ユニットであって、前記キーが、端末と前記家庭用公衆陸上モバイルネットワーク、HPLMN、との間のパラメータの送信を保護するために使用される、生成ユニットと、
    前記HPLMNにおける他のエンティティから前記パラメータを受信するように構成される受信ユニットであって、前記他のエンティティが、前記パラメータを前記端末に送信する必要があるエンティティである、受信ユニットと、
    前記セキュリティアルゴリズムと前記キーとに基づいて前記パラメータに対してセキュリティ保護処理を実行するように構成される処理ユニットと、
    を備えるパラメータ保護デバイス。
  19. 前記取得ユニットは、
    訪問先公衆陸上モバイルネットワーク、VPLMN、におけるアクセス・モビリティ管理機能、AMF、エンティティから前記セキュリティアルゴリズムを受信するように特に構成され、前記セキュリティアルゴリズムは、前記端末により前記VPLMNにおける前記AMFエンティティとネゴシエートされるセキュリティアルゴリズムであり、又は、
    前記取得ユニットは、
    VPLMNにおけるAMFエンティティから、前記端末によりサポートされるセキュリティアルゴリズムを受信するように構成される第1の受信サブユニットと、
    前記端末によりサポートされる前記セキュリティアルゴリズムと前記HPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、前記端末と前記HPLMNとの間で使用される前記セキュリティアルゴリズムを決定するように構成される決定サブユニットと、
    を備え、又は、
    前記取得ユニットは、
    前記端末と前記HPLMNとの間のデフォルトセキュリティアルゴリズムを前記セキュリティアルゴリズムとして決定するように特に構成される、
    請求項18に記載のデバイス。
  20. 前記生成ユニットは、
    前記端末から乱数を受信するように構成される第2の受信サブユニットであって、前記乱数が、前記HPLMNのパブリックキーを使用することによって暗号化される乱数である、第2の受信サブユニットと、
    前記HPLMNのプライベートキーであって前記パブリックキーに対応するプライベートキーを使用することにより前記乱数を復号するように構成される復号化サブユニットと、
    入力パラメータに基づき前記キーを生成するように構成される第1の生成サブユニットであって、前記入力パラメータが復号化乱数と第1のルートキーとを備え、前記第1のルートキーが、前記端末と前記VPLMNにおける前記AMFエンティティとの間のセキュリティ認証プロセスで前記HPLMNにおける認証資格情報リポジトリ・処理機能、ARPF、エンティティによって生成される、第1の生成サブユニットと、
    を備える、請求項18又は19に記載のデバイス。
  21. 前記生成ユニットは、
    前記HPLMNにおけるARPFエンティティから第2のルートキーを受信するように構成される第3の受信サブユニットであって、前記第2のルートキーが前記ARPFエンティティによって生成され、前記第2のルートキーが、前記端末と前記VPLMNにおける前記AMFエンティティとの間のセキュリティ認証プロセスで前記ARPFエンティティによって生成される第1のルートキーとは異なる、第3の受信サブユニットと、
    入力パラメータに基づき前記キーを生成するように構成される第2の生成サブユニットであって、前記入力パラメータが前記第2のルートキーを備える、第2の生成サブユニットと、
    を備える、請求項18又は19に記載のデバイス。
  22. 前記生成ユニットは、
    前記HPLMNにおけるARPFエンティティから第3のルートキーを受信するように構成される第4の受信サブユニットであって、前記第3のルートキーが、前記端末と前記HPLMNにおけるARPFエンティティとの間のセキュリティ認証プロセスで前記AMFエンティティによって生成される、第4の受信サブユニットと、
    入力パラメータに基づき前記キーを生成するように構成される第3の生成サブユニットであって、前記入力パラメータが前記第3のルートキーを備える、第3の生成サブユニットと、
    を備える、請求項18又は19に記載のデバイス。
  23. 前記入力パラメータは、以下、すなわち、前記他のエンティティの識別子及び前記セキュリティアルゴリズムの識別子のうちの一方又は両方を更に備える、請求項20から22のいずれか一項に記載のデバイス。
  24. 前記デバイスが送信ユニットを更に備え、
    前記送信ユニットは、前記訪問先公衆陸上モバイルネットワーク、VPLMN、におけるエンティティを使用することによって前記他のエンティティが前記セキュリティ保護処理によって取得される前記パラメータを前記端末に送信するように、前記セキュリティ保護処理によって取得されるパラメータを前記他のエンティティに送信するように構成される、
    請求項18から23のいずれか一項に記載のデバイス。
  25. 家庭用公衆陸上モバイルネットワーク、HPLMN、におけるパラメータ保護デバイスにおいて、
    セキュリティアルゴリズムを取得するように構成される取得ユニットと、
    キーを生成するように構成される生成ユニットであって、前記キーが、端末と前記家庭用公衆陸上モバイルネットワークHPLMNとの間のパラメータの送信を保護するために使用される、生成ユニットと、
    前記HPLMNにおける他のエンティティに前記セキュリティアルゴリズム及び前記キーを送信するように構成される送信ユニットであって、前記他のエンティティが前記パラメータを前記端末に送信する必要があるエンティティである、送信ユニットと、
    を備えるパラメータ保護デバイス。
  26. 前記取得ユニットは、
    訪問先公衆陸上モバイルネットワーク、VPLMN、におけるアクセス・モビリティ管理機能、AMF、エンティティから前記セキュリティアルゴリズムを受信するように特に構成され、前記セキュリティアルゴリズムは、前記端末により前記VPLMNにおける前記AMFエンティティとネゴシエートされるセキュリティアルゴリズムであり、又は、
    前記取得ユニットは、
    VPLMNにおけるAMFエンティティから、前記端末によりサポートされるセキュリティアルゴリズムを受信するように構成される第1の受信サブユニットと、
    前記端末によりサポートされる前記セキュリティアルゴリズムと前記HPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、前記端末と前記HPLMNとの間で使用される前記セキュリティアルゴリズムを決定するように構成される決定サブユニットと、
    を備え、又は、
    前記取得ユニットは、
    前記端末と前記HPLMNとの間のデフォルトセキュリティアルゴリズムを前記セキュリティアルゴリズムとして決定するように特に構成される、
    請求項25に記載のデバイス。
  27. 前記生成ユニットは、
    前記端末から乱数を受信するように構成される第2の受信サブユニットであって、前記乱数が、前記HPLMNのパブリックキーを使用することによって暗号化される乱数である、第2の受信サブユニットと、
    前記HPLMNのプライベートキーであって前記パブリックキーに対応するプライベートキーを使用することにより前記乱数を復号するように構成される復号化サブユニットと、
    入力パラメータに基づき前記キーを生成するように構成される第1の生成サブユニットであって、前記入力パラメータが復号化乱数と第1のルートキーとを備え、前記第1のルートキーが、前記端末と前記VPLMNにおける前記AMFエンティティとの間のセキュリティ認証プロセスで前記HPLMNにおける認証資格情報リポジトリ・処理機能、ARPF、エンティティによって生成される、第1の生成サブユニットと、
    を備える、請求項25又は26に記載のデバイス。
  28. 前記生成ユニットは、
    前記HPLMNにおけるARPFエンティティから第2のルートキーを受信するように構成される第3の受信サブユニットであって、前記第2のルートキーが前記ARPFエンティティによって生成され、前記第2のルートキーが、前記端末と前記VPLMNにおける前記AMFエンティティとの間のセキュリティ認証プロセスで前記ARPFエンティティによって生成される第1のルートキーとは異なる、第3の受信サブユニットと、
    入力パラメータに基づき前記キーを生成するように構成される第2の生成サブユニットであって、前記入力パラメータが前記第2のルートキーを備える、第2の生成サブユニットと、
    を備える、請求項25又は26に記載のデバイス。
  29. 前記生成ユニットは、
    前記HPLMNにおけるARPFエンティティから第3のルートキーを受信するように構成される第4の受信サブユニットであって、前記第3のルートキーが、前記端末と前記HPLMNにおけるAMFエンティティとの間のセキュリティ認証プロセスで前記ARPFエンティティによって生成される、第4の受信サブユニットと、
    入力パラメータに基づき前記キーを生成するように構成される第3の生成サブユニットであって、前記入力パラメータが前記第3のルートキーを備える、第3の生成サブユニットと、
    を備える、請求項25又は26に記載のデバイス。
  30. 前記入力パラメータは、以下、すなわち、前記他のエンティティの識別子及び前記セキュリティアルゴリズムの識別子のうちの一方又は両方を更に備える、請求項27から29のいずれか一項に記載のデバイス。
  31. 家庭用公衆陸上モバイルネットワーク、HPLMN、におけるパラメータ保護デバイスにおいて、
    家庭用公衆陸上モバイルネットワークHPLMNにおける認証サーバ機能、AUSF、エンティティからセキュリティアルゴリズム及びキーを受信するように構成される受信ユニットであって、前記キーが、端末と前記HPLMNとの間のパラメータの送信を保護するために使用される、受信ユニットと、
    前記受信ユニットが前記HPLMNにおける前記AUSFエンティティから前記セキュリティアルゴリズムと前記キーとを受信した後、前記セキュリティアルゴリズムと前記キーとに基づいて前記パラメータに対してセキュリティ保護処理を実行するように構成される処理ユニットと、
    を備えるパラメータ保護デバイス。
  32. 前記処理ユニットは、
    前記セキュリティアルゴリズムと前記キーとに基づいて前記パラメータに対して暗号化処理を実行する、又は、
    前記セキュリティアルゴリズムと前記キーとに基づいて前記パラメータに対して完全性保護処理を実行する、
    ことのうちの一方又は両方を行なうように特に構成される、請求項31に記載のデバイス。
  33. 家庭用公衆陸上モバイルネットワーク、HPLMN、におけるパラメータ保護デバイスにおいて、
    前記HPLMNにおける認証サーバ機能、AUSF、エンティティにパラメータを送信するように構成される送信ユニットと、
    前記AUSFエンティティからのパラメータであってセキュリティ保護処理後に取得されるパラメータを受信するように構成される受信ユニットと、
    を備え、
    前記送信ユニットは、訪問先公衆陸上モバイルネットワークVPLMNにおけるアクセス・モビリティ管理機能、AMF、エンティティを使用することによって前記セキュリティ保護処理により取得される前記パラメータを前記端末に送信するように更に構成される、
    パラメータ保護デバイス。
  34. 請求項18から24のいずれか一項に記載のパラメータ保護デバイスと、請求項33に記載のパラメータ保護デバイスとを備える通信システム。
  35. コンピュータプログラムプロダクトであって、前記コンピュータプログラムプロダクトがコンピュータで実行されるときに前記コンピュータが請求項1から8のいずれか一項に記載の方法を実行できるようにする、コンピュータプログラムプロダクト。
  36. コンピュータプログラムプロダクトであって、前記コンピュータプログラムプロダクトがコンピュータで実行されるときに前記コンピュータが請求項9から14のいずれか一項に記載の方法を実行できるようにする、コンピュータプログラムプロダクト。
  37. コンピュータプログラムプロダクトであって、前記コンピュータプログラムプロダクトがコンピュータで実行されるときに前記コンピュータが請求項15又は16に記載の方法を実行できるようにする、コンピュータプログラムプロダクト。
  38. コンピュータプログラムプロダクトであって、前記コンピュータプログラムプロダクトがコンピュータで実行されるときに前記コンピュータが請求項17に記載の方法を実行できるようにする、コンピュータプログラムプロダクト。
  39. 家庭用公衆陸上モバイルネットワーク、HPLMN、におけるパラメータ保護デバイスであって、
    プロセッサと、
    前記プロセッサに接続され、前記プロセッサによって実行されたときに請求項1から17のいずれか一項に記載の方法を前記デバイスに実行させるプログラム命令を格納する、メモリと、
    を具備するパラメータ保護デバイス。
JP2020518463A 2017-09-29 2018-09-28 パラメータ保護方法及びデバイス、並びに、システム Active JP6936393B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710910650.3 2017-09-29
CN201710910650.3A CN109587680B (zh) 2017-09-29 2017-09-29 参数的保护方法、设备和系统
PCT/CN2018/108361 WO2019062862A1 (zh) 2017-09-29 2018-09-28 参数的保护方法、设备和系统

Publications (2)

Publication Number Publication Date
JP2020535768A JP2020535768A (ja) 2020-12-03
JP6936393B2 true JP6936393B2 (ja) 2021-09-15

Family

ID=65902653

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020518463A Active JP6936393B2 (ja) 2017-09-29 2018-09-28 パラメータ保護方法及びデバイス、並びに、システム

Country Status (7)

Country Link
US (1) US20200228977A1 (ja)
EP (1) EP3691316B1 (ja)
JP (1) JP6936393B2 (ja)
CN (1) CN109587680B (ja)
AU (1) AU2018340618B2 (ja)
BR (1) BR112020006302A2 (ja)
WO (1) WO2019062862A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114125807A (zh) * 2019-04-25 2022-03-01 瑞典爱立信有限公司 用于跟踪用户设备的方法和网络节点
CN112087746B (zh) * 2019-06-14 2023-04-18 中国电信股份有限公司 通信方法、系统、终端和可读存储介质
CN112825498B (zh) * 2019-11-01 2022-08-12 中国移动通信有限公司研究院 一种认证向量的生成方法、获取方法及设备
CN113141327B (zh) * 2020-01-02 2023-05-09 中国移动通信有限公司研究院 一种信息处理方法、装置及设备
CN113556733B (zh) * 2020-04-14 2023-09-22 大唐移动通信设备有限公司 签约隐藏标识符生成、解密方法及相关装置
CN113873520A (zh) * 2020-06-30 2021-12-31 华为技术有限公司 一种通信方法、终端设备和无线接入网设备
CN113543119B (zh) * 2021-06-07 2023-10-24 中国联合网络通信集团有限公司 标识符的获取方法和统一数据管理实体、终端
CN116074822A (zh) * 2021-10-30 2023-05-05 华为技术有限公司 通信方法、装置及系统
EP4346258A1 (en) * 2022-09-29 2024-04-03 Nokia Technologies Oy Secure user equipment policy data in a communication network environment

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1773903A (zh) * 2004-11-08 2006-05-17 中兴通讯股份有限公司 通用安全策略构造方法
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
TWI425801B (zh) * 2006-06-19 2014-02-01 Interdigital Tech Corp 初始傳信訊息中原始用戶識別碼安全保護的方法及裝置
US9668139B2 (en) * 2008-09-05 2017-05-30 Telefonaktiebolaget Lm Ericsson (Publ) Secure negotiation of authentication capabilities
US20110237250A1 (en) * 2009-06-25 2011-09-29 Qualcomm Incorporated Management of allowed csg list and vplmn-autonomous csg roaming
US8370484B2 (en) * 2010-04-27 2013-02-05 Research In Motion Limited Provisioning for enterprise service
EP2656663A4 (en) * 2010-12-20 2016-08-03 Ericsson Telefon Ab L M METHOD AND USER DEVICE FOR GRANTING ACCESS OF A FIRST USER DEVICE TO A SERVICE
US20140033242A1 (en) * 2012-07-24 2014-01-30 Srinivasa Rao Video service assurance systems and methods in wireless networks
CN103702327B (zh) * 2012-09-27 2018-11-16 中兴通讯股份有限公司 用户设备选择拜访公共陆地移动网络的方法、系统和设备
US9992670B2 (en) * 2014-08-12 2018-06-05 Vodafone Ip Licensing Limited Machine-to-machine cellular communication security
GB2537377B (en) * 2015-04-13 2021-10-13 Vodafone Ip Licensing Ltd Security improvements in a cellular network

Also Published As

Publication number Publication date
US20200228977A1 (en) 2020-07-16
CN109587680A (zh) 2019-04-05
EP3691316A4 (en) 2020-11-18
WO2019062862A1 (zh) 2019-04-04
AU2018340618A1 (en) 2020-04-23
EP3691316A1 (en) 2020-08-05
EP3691316B1 (en) 2022-02-16
CN109587680B (zh) 2021-11-30
BR112020006302A2 (pt) 2020-10-20
AU2018340618B2 (en) 2021-09-09
JP2020535768A (ja) 2020-12-03

Similar Documents

Publication Publication Date Title
JP6936393B2 (ja) パラメータ保護方法及びデバイス、並びに、システム
US11778459B2 (en) Secure session method and apparatus
US20220385445A1 (en) EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROFILE CONTENT MANAGEMENT
JP7286751B2 (ja) 通信方法および通信装置
US20210195409A1 (en) Identity Information Processing Method, Device, and System
JP2020527914A (ja) ネットワークセキュリティ管理方法および装置
CN110786034A (zh) 网络切片选择的隐私考虑
US8990555B2 (en) Centralized key management
US11140545B2 (en) Method, apparatus, and system for protecting data
TW201720216A (zh) 用於使用支援多個連線性和服務上下文的安全模型的無線通訊的方法和裝置
US20230179400A1 (en) Key management method and communication apparatus
CN113518315B (zh) 一种配置无线承载的方法、装置及系统
US20220303763A1 (en) Communication method, apparatus, and system
WO2021249512A1 (zh) 安全通信方法、相关装置及系统
WO2022134089A1 (zh) 一种安全上下文生成方法、装置及计算机可读存储介质
JP7414796B2 (ja) 情報送信方法、鍵生成方法、及び機器
WO2024092624A1 (en) Encryption key transfer method and device for roaming users in communication networks
WO2024065469A1 (zh) 一种直连链路建立方法、设备及存储介质
WO2023205978A1 (zh) 邻近通信业务的密钥生成方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200522

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200522

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210802

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210826

R150 Certificate of patent or registration of utility model

Ref document number: 6936393

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150