この出願の実施形態は、5G通信システム又は将来出現するかもしれない他のシステムに適用される。以下は、当業者の理解を容易にするために、この出願で使用される幾つかの用語を説明する。この出願の実施形態における解決策が5G通信システム又は将来出現するかもしれない他のシステムに適用される場合、ネットワークデバイス及び端末の名称が変わる場合があるが、これは、この出願の実施形態における解決策の実施に影響を与えないことに留意すべきである。この出願の実施形態で使用される用語が相互に参照される場合があり、また、詳細が繰り返し説明されないことに留意すべきである。
以下は、添付図面を参照してこの出願の実施形態における技術的解決策を説明する。
図1はネットワークアーキテクチャを与える。ネットワークアーキテクチャは次世代通信システムに適用されてもよい。以下では、次のように、ネットワークアーキテクチャに関連する概念とネットワークアーキテクチャにおける構成要素とについて簡単に説明する。
モバイル通信技術は更新されてアップグレードされ、また、5G技術の研究及び標準化が開始されてきた。5G技術は、モバイルブロードバンド、マルチメディア、マシンタイプ通信(machine type communication、MTC)、産業制御、及び、高度道路交通システム(intelligent transportation system、ITS)などの分野に適用され得る。大きく変化するサービス要件を満たすためには、5Gネットワークが柔軟に構築される必要がある。柔軟な5G構築方法は、ネットワーク機能を分離することである。具体的に言うと、コントロールプレーン(control plane、CP)機能とユーザプレーン(user plane、UP)機能とが分離され、また、CPにおけるモビリティ管理(mobility management、MM)機能とセッション管理(session management、SM)機能とが分離される。ネットワークスライシング(network slice)技術を使用してネットワーク機能を分離してもよい。
ネットワークスライシング技術は、物理ネットワークを複数の仮想エンドツーエンド仮想ネットワークに分割するために使用されてもよい。仮想ネットワーク内にあるデバイス、アクセス技術、送信経路、コアネットワークなどを含むそれぞれの分割された各仮想ネットワークは、論理的に独立している。各ネットワークスライスは、独立したネットワーク機能の1つのインスタンス又はネットワーク機能の組み合わせのインスタンスを含む。各ネットワークスライスは、異なる機能特徴を有し、異なる要件及びサービスに向けられる。ネットワークスライスが互いから分離され、それにより、異なるユーザ又はユーザグループは、異なる適用シナリオ及び要件に基づいて柔軟に且つ動的にネットワーク機能をカスタマイズできる。
ネットワークスライスは、コントロールプレーン機能(control plane function、CPF)エンティティと、ユーザプレーン機能(user plane function、UPF)エンティティとを含む。CPFエンティティはAMFエンティティとSMFエンティティとを含む。CPFエンティティは、主に、端末のアクセス認証、セキュリティ暗号化、及び、位置登録などの機能を遂行するとともに、ユーザプレーン送信経路の確立、解放、及び、変更などの機能を遂行する。UPFエンティティは、主に、ユーザプレーンデータのルーティング及び転送などの機能を遂行する。
端末としては、無線通信機能を有する様々なハンドヘルドデバイス、車載デバイス、ウェアラブルデバイス、又は、コンピュータデバイス、或いは、無線モデムに接続される他の処理デバイス、並びに、モバイルステーション(mobile station、MS)、端末(terminal)、ユーザ機器(user equipment、UE)、及び、ソフトウェア端末、例えば、水道メータ、電気メータ、センサなどの様々な形態の端末を挙げることができる。
無線アクセスネットワーク(radio access network、RAN)は、複数の5G−RANノードを含むネットワークであり、無線物理層機能、リソーススケジューリング・無線リソース管理、無線アクセス制御、及び、モビリティ管理機能を実装する。例えば、5G−RANは、端末のデータを送信するために、ユーザプレーンインタフェースN3を介してUPFエンティティに接続される。5G−RANは、無線アクセスベアラ制御などの機能を実装するために、コントロールプレーンインタフェースN2を介したAMFエンティティに対するコントロールプレーンシグナリング接続を確立する。
認証資格認定リポジトリ・処理機能(authentication credential repository and processing function、ARPF)エンティティは、UEとネットワークとの間の認証のために使用されるセキュリティベクトルを生成するように構成され、UDMエンティティの一部であってもよい。
AUSFエンティティは、全機能ノードであり、AMFエンティティから認証ベクトル要求を受信し、ARPFエンティティ又はUDMエンティティから取得される5G認証ベクトルをAMFエンティティに戻し、或いは、ARPFエンティティ又はUDMエンティティから取得される5G認証ベクトルを更に処理し、その後、処理された5G認証ベクトルをAMFエンティティに戻し、それにより、端末とネットワーク側との間のセキュリティ認証のために5G認証ベクトルが使用されるようにするべく構成される。
AMFエンティティは、端末の認証、端末のモビリティ管理、ネットワークスライス選択、SMFエンティティの選択などに関与する。加えて、AMFエンティティは、SMFエンティティのためのN1/N2 SMメッセージのルーティングを行なうために、N1とN2との間のシグナリング接続のアンカーポイントとして使用されてもよい。更に、AMFエンティティは、端末の状態情報を維持して管理してもよい。
SMFエンティティは、端末のセッション、例えば、ユーザプレーン送信経路の確立、解放、及び、変更、UPFエンティティの選択、インターネットプロトコル(internet protocol、IP)アドレスの割り当て、セッションのサービスの質(quality of service、QoS)管理、及び、PCFエンティティからのポリシー制御・課金(policy control and charging、PCC)ポリシーの取得などのセッション管理機能に関与する。
NEFエンティティは、SMFエンティティを外部DNに接続することに関与し、第三者認証エンティティを含んでもよい。
UPFエンティティは、PDUエンティティのセッション接続のアンカーポイントとしての機能を果たし、端末のデータパケットフィルタリング、データ送信/転送、レート制御、課金情報生成などに関与する。
UDMエンティティは、参照情報をネットワークエンティティに割り当てる、例えば、参照情報をSMFエンティティ又はNEFエンティティに割り当てる。
PCFエンティティは、参照情報をネットワークエンティティに割り当てる、例えば、参照情報をSMFエンティティ又はNEFエンティティに割り当てる。
ネットワークスライス選択機能(network slice selection function、NSSF)は、UEに適したネットワークスライスを選択するために使用される。
データネットワーク(data network、DN)は外部データネットワークサービスを提供する。
アプリケーション機能(application function、AF)は、外部アプリケーションとコアネットワーク内のPCFエンティティとの間の相互作用のために使用され、主に、そのアプリケーションに対応するIP接続性アクセスネットワーク(IP−connectivity access network、IP−CAN)に関してポリシー・課金制御を実行するために使用される。
識別情報(identity、ID)に関し、VPLMN及びHPLMNはそれらの自体のIDを有してもよい。
図1に示されるように、前述の構成要素は、次世代ネットワークアーキテクチャにおける各インタフェースを介して通信を実行する。例えば、端末は、インタフェースN1を介してAMFエンティティと通信してもよい。
図2は、ネットワークアーキテクチャにおけるネットワークローミングの概略的なアーキテクチャ図1であり、また、図3は、ネットワークアーキテクチャにおけるネットワークローミングの概略的なアーキテクチャ図2である。図2及び図3に示されるように、ローミングシナリオにおける5Gネットワークアーキテクチャでは、ネットワークがVPLMNとHPLMNとに分割される。VPLMNは、RAN、UPFエンティティ、DN、NSSFエンティティ、V−AMFエンティティ、V−SMFエンティティ、V−PCFエンティティ、V−UPFエンティティなどを含む。V−AMFエンティティはVPLMNに属するAMFエンティティであり、V−SMFエンティティはVPLMNに属するSMFエンティティであり、V−PCFエンティティはVPLMNに属するPCFエンティティであり、V−UPFエンティティはVPLMNに属するUPFエンティティである。HPLMNは、AFエンティティ、UDMエンティティ、AUSFエンティティ、ARPFエンティティ、H−AMFエンティティ、H−SMFエンティティ、H−PCFエンティティ、H−UPFエンティティなどを含む。H−AMFエンティティはHPLMNに属するAMFエンティティであり、H−SMFエンティティはHPLMNに属するSMFエンティティであり、H−PCFエンティティはHPLMNに属するPCFエンティティであり、H−UPFエンティティはHPLMNに属するUPFエンティティである。HPLMNにおけるエンティティは、インタフェースを介して互いに通信してもよく、又は、インタフェースを介してVPLMNにおけるエンティティと通信してもよい。例えば、端末の幾つかのポリシーは、H−PCFエンティティを使用することによって生成及びデリバーされる必要があり、V−PCFエンティティを使用することによって端末にデリバーされる。
図2又は図3に示されるネットワークアーキテクチャでは、端末がローミングシナリオにある場合、HPLMNはパラメータを端末に送信する必要がある。パラメータは、例えば、好ましい公衆陸上モバイルネットワーク(preferred public land mobile network、preferred PLMN)又は好ましい無線アクセス技術(preferred radio access technology、preferred RAT)などのホームネットワークのパラメータを含む。HPLMNにおけるエンティティは、VPLMNにおけるエンティティを使用することによってパラメータを端末に送信する必要がある。パラメータは、非常に機密性が高く、比較的高いセキュリティレベルを有するため、HPLMNは、VPLMNによって傍受又は変更されないようにパラメータを保護する必要がある。したがって、HPLMNがパラメータを端末に送信するプロセスにおいて、この出願における解決策は、これらのパラメータのデリバリを保護するために実施されてもよい。
この出願の一実施形態は、パラメータ保護方法、並びに、その方法に基づくAUSFエンティティ、AMFエンティティ、端末、及び、システムを提供する。方法は、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得すること、及び、キーを生成することを含み、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用され、方法は、AUSFエンティティによって、HPLMNにおける他のエンティティからパラメータを受信することを含み、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティであり、及び、方法は、AUSFエンティティによって、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行することを含む。HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づき、端末に送信される必要があるパラメータに対してセキュリティ保護処理を実行し、その後、HPLMNは、端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。例えば、方法が図4に示されてもよい。
図4は、この出願の一実施形態に係るパラメータ保護方法の概略通信図である。図4に示されるように、方法はステップ101〜103を含む。随意的に、方法はステップ1041a〜1042bを更に含んでもよい。
101.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得してキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例において、HPLMNに属するAUSFエンティティは、最初に、セキュリティアルゴリズムを取得する必要があり、AUSFエンティティは自動的にキーを生成する。端末とHPLMNとの間のパラメータの送信を保護するためにセキュリティアルゴリズム及びキーの両方が使用される。すなわち、AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいて、HPLMNにより端末に送信される必要があるパラメータを保護する必要がある。更に、異なる他のエンティティに関しては、AUSFエンティティによって取得されるセキュリティアルゴリズムが異なってもよく、AUSFエンティティによって生成されるキーが異なってもよい。
102.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、HPLMNに属する他のエンティティがパラメータを端末に送信する必要がある場合、他のエンティティは、HPLMNにおけるAUSFエンティティにパラメータを送信してもよい。他のエンティティによって送信されるパラメータを端末に送信する必要があることが分かる。例えば、HPLMNにおけるUDMエンティティがV−AMFエンティティを使用することによって端末にサブスクリプションデータパラメータを送信する必要がある場合、UDMエンティティは、まず最初に、HPLMNにおけるAUSFエンティティにサブスクリプションデータパラメータを送信でしてもよい。H−PCFエンティティがV−PCFエンティティ及びV−AMFエンティティを使用することによってポリシー情報パラメータを端末に順に送信する必要がある場合、H−PCFエンティティは、最初に、ポリシー情報パラメータをHPLMNにおけるAUSFエンティティに送信してもよい。
103.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいて、パラメータに対してセキュリティ保護処理を実行する。
一例では、HPLMNにおける AUSFエンティティがHPLMNにおける他のエンティティにより送信されるパラメータを受信した後、AUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対してセキュリティ保護処理を実行してもよい。
随意的な実施では、ステップ103が以下の幾つかの実施を有してもよい。
ステップ103の第1の実施:AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理を実行する。
一例では、ステップ102の後、HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータを暗号化して、暗号化されたパラメータを取得してもよい。
ステップ103の第2の実施:AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して完全性保護処理を実行する。
一例では、ステップ102の後、HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対して完全性保護を実行し、完全性保護処理後にパラメータを取得してもよい。
ステップ103の第3の実施:AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理及び完全性保護処理を実行する。
一例では、ステップ102の後、HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対して暗号化処理及び完全性保護処理を実行して、暗号化処理及び完全性保護処理の後にパラメータを取得してもよい。
随意的な実施では、ステップ103の後、方法が更に以下を含む。
104.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
随意的な実施では、ステップ104が以下の幾つかの実施を有してもよい。
ステップ104の第1の実施:
1041a.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを他のエンティティに送信する。
1042a.他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
ステップ104の第2の実施:
1041b.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。
1042b.V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
第1の実施及び第2の実施のいずれかが実施のために選択される。
一例では、HPLMNにおける他のエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。その後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをHPLMNにおける他のエンティティに送信する。その後、セキュリティ保護処理によって取得されるパラメータを受信した後、HPLMNにおける他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。例えば、H−PCFエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをH−PCFエンティティに送信する。H−PCFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−PCFエンティティに送信する。V−PCFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。或いは、他の例では、HPLMNにおけるUDMエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをUDMエンティティに送信する。UDMエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
或いは、HPLMNにおける他のエンティティにより送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。例えば、H−PCFエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−PCFエンティティに送信する。V−PCFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。或いは、他の例では、HPLMNにおけるUDMエンティティによって送信されるパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおけるAUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを生成する。AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
この実施形態では、HPLMNにおけるAUSFエンティティがセキュリティアルゴリズムを取得してキーを生成する。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信する。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。HPLMNにおけるAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づき、端末に送信される必要があるパラメータに対してセキュリティ保護処理を実行し、その後、HPLMNは、端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
この出願の一実施形態は、他のパラメータ保護方法、並びに、その方法に基づくAUSFエンティティ、AMFエンティティ、端末、及び、システムを提供する。方法は、HPLMNにおけるAUSFエンティティによって、セキュリティアルゴリズムを取得して、キーを生成するステップであって、キーが、端末とHPLMNとの間のパラメータの送信を保護するために使用される、ステップと、AUSFエンティティによって、HPLMNにおける他のエンティティにセキュリティアルゴリズム及びキーを送信するステップであって、他のエンティティがパラメータを端末に送信する必要があるエンティティである、ステップと、を含む。これに対応して、AUSFエンティティからセキュリティアルゴリズムとキーとを受信した後、HPLMNにおける他のエンティティは、パラメータに対してセキュリティ保護処理を実行する。更に、HPLMNにおける他のエンティティがセキュリティアルゴリズムとキーとを受信した後、他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行してもよく、その後、HPLMNが端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。例えば、方法が図5に示されてもよい。
図5は、この出願の一実施形態に係る他のパラメータ保護方法の概略通信図である。図5に示されるように、方法はステップ201〜203を含む。随意的に、方法はステップ204を更に含んでもよい。
201.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得してキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例において、HPLMNに属するAUSFエンティティは、最初に、セキュリティアルゴリズムを取得する必要があり、AUSFエンティティは自動的にキーを生成する。端末とHPLMNとの間のパラメータの送信を保護するためにセキュリティアルゴリズム及びキーの両方が使用される。すなわち、AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいて、HPLMNにより端末に送信される必要があるパラメータを保護する必要がある。
202.AUSFエンティティは、セキュリティアルゴリズムとキーとをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例において、HPLMNに属するAUSFエンティティは、取得されたセキュリティアルゴリズムと生成されたキーを、HPLMN内にあってパラメータを端末に送信する必要がある他のエンティティに送信する。他のエンティティは、例えば、HPLMNにおけるUDMエンティティ又はH−PCFエンティティであってもよい。更に、異なる他のエンティティに関しては、AUSFエンティティによって取得されるセキュリティアルゴリズムが異なってもよく、また、AUSFエンティティによって生成されるキーが異なってもよい。
例えば、他のエンティティはH−PCFエンティティである。この場合、AUSFエンティティは、H−PCFエンティティのためのH−PCFエンティティに対応するセキュリティアルゴリズムを取得して、H−PCFエンティティに対応するキーを生成する。その後、AUSFエンティティは、AUSFエンティティとH−PCFエンティティとの間のインタフェースを介して、H−PCFエンティティに対応するセキュリティアルゴリズム及びH−PCFエンティティに対応するキーをH−PCFエンティティに送信する。或いは、AUSFエンティティは、H−PCFエンティティに対応するセキュリティアルゴリズムとH−PCFエンティティに対応するキーとをH−AMFエンティティに送信し、また、H−AMFエンティティは、H−PCFエンティティに対応するセキュリティアルゴリズムとH−PCFエンティティに対応するキーとをH−PCFエンティティに送信する。
他の例では、他のエンティティがUDMエンティティである。この場合、AUSFエンティティは、UDMエンティティのためのUDMエンティティに対応するセキュリティアルゴリズムを取得して、UDMエンティティに対応するキーを生成する。その後、AUSFエンティティは、AUSFエンティティとUDMエンティティとの間のインタフェースを介して、UDMエンティティに対応するセキュリティアルゴリズム及びUDMエンティティに対応するキーをUDMエンティティに送信する。或いは、AUSFエンティティは、UDMエンティティに対応するセキュリティアルゴリズムとUDMエンティティに対応するキーとをH−AMFエンティティに送信し、また、H−AMFエンティティは、UDMエンティティに対応するセキュリティアルゴリズムとUDMエンティティに対応するキーとをUDMエンティティに送信する。
203.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、HPLMNにおける他のエンティティがAUSFエンティティによって送信されるセキュリティアルゴリズム及びキーを受信した後、他のエンティティは、セキュリティアルゴリズム及びキーを使用することによって、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行する。
随意的な実施では、ステップ203が以下の幾つかの実施を有してもよい。
ステップ203の第1の実施:他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理を実行する。
一例では、ステップ202の後、HPLMNにおける他のエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータを暗号化して、暗号化されたパラメータを取得してもよい。
ステップ203の第2の実施:他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して完全性保護処理を実行する。
一例では、ステップ202の後、HPLMNにおける他のエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対して完全性保護を実行し、完全性保護処理後にパラメータを取得してもよい。
ステップ203の第3の実施:他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対して暗号化処理及び完全性保護処理を実行する。
一例では、ステップ202の後、HPLMNにおける他のエンティティは、取得されたセキュリティアルゴリズムと生成されたキーとに基づいて受信されたパラメータに対して暗号化処理及び完全性保護処理を実行して、暗号化処理及び完全性保護処理の後にパラメータを取得してもよい。
随意的な実施では、ステップ203の後、方法がステップ204を更に含んでもよい。
204.他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
例えば、他のエンティティはH−PCFエンティティである。パラメータに対してセキュリティ保護を実行した後、H−PCFエンティティは、セキュリティ保護処理により取得されるパラメータをV−PCFエンティティに送信する。V−PCFエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。或いは、他の例では、他のエンティティがHPLMNにおけるUDMエンティティである。パラメータに対してセキュリティ保護を実行した後、UDMエンティティは、セキュリティ保護処理によって取得されるパラメータをV−AMFエンティティに送信する。V−AMFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
この実施形態では、HPLMNにおけるAUSFエンティティがセキュリティアルゴリズムを取得してキーを生成する。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信する。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。その後、HPLMNにおける他のエンティティがセキュリティアルゴリズムとキーとを受信した後、他のエンティティがセキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行してもよく、その後、HPLMNが端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図6は、この出願の一実施形態に係る更なる他のパラメータ保護方法の概略通信図である。図6に示されるように、方法は具体的には以下の通りである。
301.V−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、この場合、セキュリティアルゴリズムは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
一例では、端末がHPLMNに対する登録手順を開始する。端末の登録プロセスでは、セキュリティアルゴリズムをネゴシエートするために、V−AMFエンティティが端末とネゴシエートする。その後、V−AMFエンティティは、ネゴシエートされたセキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、それにより、AUSFエンティティは、パラメータに対してセキュリティ保護処理を実行するために使用されるセキュリティアルゴリズムを取得する。
302.AUSFエンティティがキーを生成する。
一例では、このステップに関して、図4のステップ101を参照されたい。詳細は再び説明しない。
303.HPLMNにおける他のエンティティは、AUSFエンティティにパラメータを送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
304.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
305.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、V−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信する。セキュリティアルゴリズムは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。AUSFエンティティがキーを生成する。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信する。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。HPLMNにおけるAUSFエンティティは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムとAUSFエンティティにより生成されるキーとに基づき、端末に送信される必要があるパラメータに対してセキュリティ保護処理を実行し、その後、HPLMNは、端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図6は、この出願の一実施形態に係る更なる他のパラメータ保護方法の概略通信図である。図7に示されるように、方法は具体的には以下の通りである。
401.V−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、この場合、セキュリティアルゴリズムは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
一例では、このステップに関して、図6のステップ301を参照されたい。詳細は再び説明しない。
402.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図5のステップ201を参照されたい。詳細は再び説明しない。
403.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
404.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
405.他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、V−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信する。セキュリティアルゴリズムは、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。AUSFエンティティは、セキュリティアルゴリズムを取得してキーを生成する。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信する。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。その後、AUSFエンティティは、HPLMNにおける他のエンティティに対して、端末によりV−AMFエンティティとネゴシエートされるセキュリティアルゴリズムを送信してもよい。HPLMNにおける他のエンティティがセキュリティアルゴリズム及びキーを受信した後、他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行してもよく、その後、HPLMNが端末に送信されるべきパラメータを保護する。したがって、パラメータがVPLMNにおけるエンティティを使用することによって端末に転送されるプロセスでは、パラメータに対してセキュリティ保護が実行されているため、パラメータがVPLMNにおけるエンティティによって傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
随意的な実施において、図8は、この出願の一実施形態に係る端末登録手順の概略通信図である。図6又は図7に示される実施形態に基づき、図8のステップは、ステップ301又はステップ401が実行される前に実行されてもよい。
501.端末はV−AMFエンティティに登録要求を送信する。
一例において、登録要求は、端末が登録手順を開始することを表わす。登録手順は、初期登録、モビリティ登録、又は、定期登録であってもよい。
502.V−AMFエンティティは、認証開始要求(authentication initiation request、AIR)メッセージをHPLMNにおけるAUSFエンティティに送信する。
一例では、端末の加入者識別子がAIRメッセージで搬送される。端末の加入者識別子がサブスクリプション永久識別子(subscription permanent identifier、SUPI)であってもよく、又は、端末の加入者識別子が匿名のSUPIである。匿名のSUPIはサブスクリプション隠蔽識別子(subscription concealed identifier、SUCI)である。
503.AUSFエンティティが端末のSUPIを取得する。
一例では、AUSFエンティティによって受信される AIRメッセージでSUPIが搬送される場合、AUSFエンティティは、AIRメッセージでSUPIを直接に取得してもよい。SUCIがAUSFエンティティによって受信されるAIRメッセージで搬送される場合、AUSFエンティティはプライベートキーを使用することによってSUCIを復号してSUPIを取得する。
504.AUSFエンティティは、認証ベクトル(authentication vector、AV)要求をARPFエンティティに送信し、この場合、AV要求がSUPIを搬送する。
505.ARPFエンティティは、SUPIに基づいて端末のための対応するAVを生成する。
506.ARPFエンティティは、AV応答メッセージをAUSFエンティティに送信し、この場合、AV応答メッセージは1つ以上のAVを含む。
一例では、AVがキーKasme*を含み、この場合、amseはアクセスセキュリティ管理エンティティ(access security management entity、amse)を指し、また、AVは、予期応答(expected response、XRES*)、ランダムチャレンジ(random challenge、random challenge、RAND)、認証トークン(authentication token、AUTN)を更に含む。
507.AUSFエンティティは、認証開始アンサー(authentication initiation answer、AIA)メッセージをV−AMFエンティティに送信し、この場合、AIAメッセージは、AV、又は、AUSFエンティティがAVを処理した後に生成されるAV*を搬送する。
一例において、AV*は、キーKasme*と、予期応答のハッシュ(hash of XRES*、HXRES*)とを含み、セキュアハッシュアルゴリズム(secure hash algorithm、SHA)が与えられる。この場合、HXRES*の値はSHA−256(XRES*||RAND)である。
508.V−AMFエンティティは、認証要求を端末に送信する。
509.端末は、V−AMFエンティティに認証応答を送信する。
5010.V−AMFエンティティは、5G認証確認(5G authentication confirmation、5G−AC)メッセージをAUSFエンティティに送信する。
一例では、ステップ5010が実行されてもよく又は実行されなくてもよい。
5011.端末は、V−AMFエンティティとの非アクセス層(non−access stratum、NAS)セキュリティアルゴリズムネゴシエーション手順を実行して、端末とV−AMFエンティティとの間で使用されるNASセキュリティアルゴリズムをネゴシエートする。
前述のステップを実行することにより、V−AMFエンティティは、HPLMNにおけるAUSFエンティティに送信されるべきセキュリティアルゴリズムを有してもよい。
図9は、この出願の一実施形態に係る更に別の他のパラメータ保護方法の概略通信図ある。図9に示されるように、方法は具体的には以下の通りである。
601.V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。
一例において、V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムを有する。V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。具体的には、V−AMFエンティティは、端末のセキュリティ機能情報をAUSFエンティティに送信する。セキュリティ機能情報は、端末によりサポートされるセキュリティアルゴリズムを含み、各アルゴリズムは優先度を有する。この実施形態では、ステップ603の前に、図8のステップが代わりに実行されてもよい。その後、V−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、図8のステップ502で実行されてもよい。或いは、V−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、図8のステップ5010で実行されてもよい。或いは、V−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、別個のメッセージを使用することによって実行されてもよい。
或いは、随意的な実施では、ステップ601が次のようになっていてもよい。すなわち、V−AMFエンティティが指示情報をAUSFエンティティに送信し、この場合、指示情報は、端末によってサポートされるセキュリティアルゴリズムを示し、その後、AUSFエンティティは、指示情報に基づき、端末によりサポートされるセキュリティアルゴリズムを決定する。
602.AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定する。
一例では、AUSFエンティティが事前に記憶されたセキュリティアルゴリズムリストを有する。セキュリティアルゴリズムリストは、HPLMNによりサポートされるセキュリティアルゴリズムを含み、セキュリティアルゴリズムリスト中の各アルゴリズムは優先度を有する。AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムと事前に記憶されたセキュリティアルゴリズムリストとに基づき、端末及びHPLMNの両方によりサポートされて最も高い優先度を有するアルゴリズムを決定するとともに、そのアルゴリズムを端末とHPLMNとの間で使用されるセキュリティアルゴリズムとして用いる。
例えば、端末によりサポートされてAUSFエンティティにより受信されるセキュリティアルゴリズムは、アルゴリズム1、アルゴリズム2、アルゴリズム3、アルゴリズム4、及び、アルゴリズム5を含み、アルゴリズム優先度は、アルゴリズム1>アルゴリズム5>アルゴリズム4>アルゴリズム3>アルゴリズム2である。AUSFエンティティのセキュリティアルゴリズムリストは、アルゴリズム2、アルゴリズム3、及び、アルゴリズム5を含み、アルゴリズム優先度は、アルゴリズム5>アルゴリズム3>アルゴリズム2である。したがって、AUSFエンティティは、アルゴリズム5を端末とHPLMNとの間で使用されるセキュリティアルゴリズムとして決定する。
603.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図4のステップ101を参照されたい。詳細は再び説明しない。
604.AUSFエンティティは、決定されたセキュリティアルゴリズムをV−AMFエンティティに送信する。
一例では、AUSFエンティティが決定されたセキュリティアルゴリズムをV−AMFエンティティに送信する動作が、別個のシグナリングであるステップ604を使用することによって実行される。或いは、この実施形態では、ステップ603の前に、図8のステップが実行されてもよい。その後、AUSFエンティティが決定されたセキュリティアルゴリズムをV−AMFエンティティに送信する動作が、図8のステップ507で実行されてもよい。
前述の2つの方法では、ステップ604をステップ602の後に実行する必要がある。
605.V−AMFエンティティがセキュリティアルゴリズムを端末に送信する。
606.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
607.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
608.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信し、AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいてセキュリティアルゴリズムを決定する。AUSFエンティティがセキュリティアルゴリズムを取得する他の方法が与えられる。
図10は、この出願の一実施形態に係る更に別の更なるパラメータ保護方法の概略通信図である。図10に示されるように、方法は具体的には以下の通りである。
701.V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。
一例では、このステップに関して、図9のステップ601を参照されたい。詳細は再び説明しない。
702.AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定する。
一例では、このステップに関して、図9のステップ602を参照されたい。詳細は再び説明しない。
703.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図5のステップ201を参照されたい。詳細は再び説明しない。
704.AUSFエンティティは、決定されたセキュリティアルゴリズムをV−AMFエンティティに送信する。
一例では、このステップに関して、図9のステップ604を参照されたい。詳細は再び説明しない。
705.V−AMFエンティティは、セキュリティアルゴリズムを端末に送信する。
一例では、このステップに関して、図9のステップ605を参照されたい。詳細は再び説明しない。
706.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
707.他のエンティティは、セキュリティアルゴリズムとキーとに基づき、パラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
708.他のエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、V−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信し、AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいてセキュリティアルゴリズムを決定する。AUSFエンティティがセキュリティアルゴリズムを取得する他の方法が与えられる。
図11は、この出願の一実施形態に係る更なるパラメータ保護方法の概略通信図である。図11に示されるように、方法は具体的には以下の通りである。
801.AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定する。
一例では、デフォルトセキュリティアルゴリズムが端末で設定されてしまっており、デフォルトセキュリティアルゴリズムは、HPLMNがパラメータに対してセキュリティ保護処理を実行する際に使用されてもよいアルゴリズムである。更に、デフォルトセキュリティアルゴリズムがHPLMNでも設定されてしまっており、デフォルトセキュリティアルゴリズムはAUSFエンティティに記憶される。その後、AUSFエンティティは、デフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして直接に決定してもよい。
802.AUSFエンティティがキーを生成する。
一例では、このステップに関して、図4のステップ101を参照されたい。詳細は再び説明しない。
803.HPLMNにおける他のエンティティがAUSFエンティティにパラメータを送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
804.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
805.AUSFエンティティは、セキュリティ保護処理によって取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして直接に決定する。AUSFエンティティがセキュリティアルゴリズムを取得する他の方法が与えられる。
図12は、この出願の一実施形態に係る更に別のパラメータ保護方法の概略通信図である。図12に示されるように、方法は具体的には以下の通りである。
901.HPLMNにおけるAUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定する。
一例では、このステップに関して、図11のステップ801を参照されたい。詳細は再び説明しない。
902.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図5のステップ201を参照されたい。詳細は再び説明しない。
903.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
904.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
905.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして直接に決定する。AUSFエンティティがセキュリティアルゴリズムを取得する他の方法が与えられる。
図13は、この出願の一実施形態に係る更なる他のパラメータ保護方法の概略通信図である。図13に示されるように、方法は具体的には以下の通りである。
1001.端末が乱数を生成し、この場合、乱数は、HPLMNのパブリックキーを使用することによって暗号化される乱数である。
一例において、端末は、乱数を生成し、その後、HPLMNのパブリックキーを使用することによって乱数を暗号化して、暗号化乱数を取得する。
例えば、端末が乱数を生成し、その後、端末は、HPLMNのパブリックキーを使用することによって乱数を暗号化して、暗号化乱数を取得してもよい。或いは、端末が乱数を生成し、端末がSUPIを有する場合、端末は、HPLMNのパブリックキーを使用することによって乱数とSUPIとを一緒に暗号化して、暗号化乱数を取得してもよい。
随意的な実施では、この実施形態のステップ1001が図8と組み合わされ、ステップ1001が図8のステップ501の前に実行される。
1002.端末は乱数をV−AMFエンティティに送信する。
随意的な実施では、この実施形態のステップ1002が図8と組み合わされ、また、ステップ1002で乱数をV−AMFエンティティに送信する動作は、図8のステップ501で実行される。
1003.V−AMFエンティティは、乱数をHPLMNにおけるAUSFエンティティに送信する。
随意的な実施では、この実施形態のステップ1003が図8と組み合わされ、また、ステップ1003で乱数をAUSFエンティティに送信する動作は、図8のステップ502で実行される。
1004.AUSFエンティティは、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することによって乱数を復号する。
一例では、AUSFエンティティがHPLMNのプライベートキーを有し、また、プライベートキーはステップ1001におけるパブリックキーに対応する。AUSFエンティティは、プライベートキーを使用することによって受信される乱数を復号して、乱数を取得する。
随意的な実施では、この実施形態のステップ1004が図8と組み合わされ、また、ステップ1004で乱数を復号する動作は、図8のステップ503で実行される。
1005.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図6のステップ301を実行することによって、又は、図9のステップ601及びステップ602を実行することによって、又は、図11のステップ801を実行することによって実施されてもよい。
1006.AUSFエンティティは、入力パラメータに基づいてキーを生成し、この場合、入力パラメータは、復号化乱数と第1のルートキーと含み、また、第1のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおけるARPFエンティティによって生成される。
一例において、この実施では、図8に示される端末登録手順がステップ1006の前の任意のステップの前で実行されてもよい。更に、図8のステップ506から分かるように、図8が実行される際に、端末とV−AMFエンティティとの間のセキュリティ認証プロセスが遂行されてもよく、その後、AUSFエンティティがAVにおけるKasme*を取得する。AVにおけるKasme*は第1のルートキーと称される。したがって、AUSFエンティティは、ステップ1004で取得される復号化乱数と第1のルートキーとに基づいてキーHPLMN−Keysを生成してもよい。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子、セキュリティアルゴリズムの識別子、AUSFエンティティにより生成される乱数のうちの少なくとも1つを更に含む。
一例において、AUSFエンティティは、パラメータを端末に送信する必要がある他のエンティティの識別子、ステップ1004で取得される復号化乱数、及び、第1のルートキーに基づき、パラメータを端末に送信する必要がある他のエンティティに対応するキーを生成してもよい。例えば、他のエンティティがUDMエンティティである場合、UDMエンティティは、UDMエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、UDMエンティティの識別子、復号化乱数、及び、第1のルートキーに基づいて、UDMエンティティに対応するキーを生成する。他の例では、他のエンティティがH−PCFエンティティである場合、H−PCFエンティティは、H−PCFエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、H−PCFエンティティの識別子、復号化乱数、及び、第1のルートキーに基づいて、H−PCFエンティティに対応するキーを生成する。
或いは、AUSFエンティティは、セキュリティアルゴリズムの取得された識別子、復号化乱数、及び、第1のルートキーに基づいてキー導出を実行して、キーを取得してもよい。
或いは、AUSFエンティティは、セキュリティアルゴリズムの取得された識別子、他のエンティティの識別子、復号化乱数、及び、第1のルートキーに基づいてキー導出を実行して、キーを取得してもよい。
随意的に、AUSFエンティティは、キー導出関数(key derivation function、KDF)機能を使用することによって入力パラメータに基づきHPLMNと端末との間の最終キーを取得する。これは次の方法で実施される。
方法1:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー及び復号化乱数に対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法2:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー、復号化乱数、及び、他のエンティティの識別子に対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法3:AUSFエンティティは、KDF機能を使用することによって、第1のルートキーと復号化乱数とに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法4:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー、復号化乱数、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法5:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー、復号化乱数、及び、他のエンティティの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法6:AUSFエンティティは、KDF機能を使用することによって、第1のルートキー、復号化乱数、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法7:AUSFエンティティは、KDF機能を使用することによって第1のルートキーに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
随意的に、前述の方法1〜方法7に関しては、AUSFエンティティによって生成される乱数が、キー1を生成するための入力パラメータとして代わりに使用されてもよい。
セキュリティアルゴリズムは暗号化アルゴリズム及び/又は完全性保護アルゴリズムを含むため、セキュリティアルゴリズムの識別子は、暗号化アルゴリズムの識別子及び/又は完全性保護アルゴリズムの識別子である。したがって、セキュリティアルゴリズムの識別子が入力として使用される場合には、セキュリティアルゴリズムが暗号化アルゴリズムを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、セキュリティアルゴリズムが完全性保護アルゴリズムを含むと、完全性保護キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、又は、セキュリティアルゴリズムが暗号化アルゴリズムと完全性保護アルゴリズムとを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があるとともに、完全性保護キーを取得するために前述の7つの方法のうちの1つを1回実行する必要がある。
1007.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
1008.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
1009.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティは、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することによって乱数を復号する。乱数は、V−AMFエンティティからAUSFエンティティによって受信されてHPLMNのパブリックキーを使用することにより暗号化される乱数である。AUSFエンティティは、復号化乱数と第1のルートキーとに基づいてキーを生成する。第1のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおけるARPFエンティティによって生成される。したがって、AUSFエンティティがキーを生成する方法が与えられる。キーを生成するために乱数及び第1のルートキーが使用されるとともに、V−AMFエンティティによってAUSFエンティティに送信される乱数が暗号化されるため、VPLMNは乱数の実際の情報を知ることができない。また、HPLMNにおけるAUSFエンティティが乱数と第1のルートキーとを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される乱数を知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図14は、この出願の一実施形態に係る更に別の更なるパラメータ保護方法の概略通信図である。図14に示されるように、方法は具体的には以下の通りである。
1101.端末は乱数を生成する。
一例では、このステップに関して、図13のステップ1001を参照されたい。詳細は再び説明しない。
随意的な実施では、この実施形態のステップ1101が図8と組み合わされ、ステップ1101が図8のステップ501の前に実行される。
1102.端末は乱数をV−AMFエンティティに送信する。
一例では、このステップに関して、図13のステップ1002を参照されたい。詳細は再び説明しない。
随意的な実施では、この実施形態のステップ1102が図8と組み合わされ、また、ステップ1102で乱数をV−AMFエンティティに送信する動作は、図8のステップ501で実行される。
1103.V−AMFエンティティは、HPLMNにおけるAUSFエンティティに乱数を送信し、この場合、乱数は、HPLMNのパブリックキーを使用することによって暗号化される乱数である。
一例では、このステップに関して、図13のステップ1003を参照されたい。詳細は再び説明しない。
随意的な実施では、この実施形態のステップ1103が図8と組み合わされ、また、ステップ1103で乱数をAUSFエンティティに送信する動作は、図8のステップ502で実行される。
1104.AUSFエンティティは、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することによって乱数を復号する。
一例では、このステップに関して、図14のステップ1001を参照されたい。詳細は再び説明しない。
随意的な実施では、この実施形態のステップ1104が図8と組み合わされ、また、ステップ1104で乱数を復号する動作は、図8のステップ503で実行される。
1105.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図7のステップ401を実行することによって、又は、図10のステップ701及びステップ702を実行することによって、又は、図12のステップ901を実行することによって実施されてもよい。
1106.AUSFエンティティは、入力パラメータに基づいてキーを生成し、この場合、入力パラメータは、復号化乱数と第1のルートキーと含み、また、第1のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおけるARPFエンティティによって生成される。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
一例では、このステップに関して、図14のステップ1006を参照されたい。詳細は再び説明しない。
1107.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
1108.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
1109.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティは、HPLMNのプライベートキーであってパブリックキーに対応するプライベートキーを使用することによって乱数を復号する。乱数は、V−AMFエンティティからAUSFエンティティによって受信されてHPLMNのパブリックキーを使用することにより暗号化される乱数である。AUSFエンティティは、復号化乱数と第1のルートキーとに基づいてキーを生成する。第1のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでHPLMNにおけるARPFエンティティによって生成される。したがって、AUSFエンティティがキーを生成する方法が与えられる。キーを生成するために乱数及び第1のルートキーが使用されるとともに、V−AMFエンティティによってAUSFエンティティに送信される乱数が暗号化されるため、VPLMNは乱数の実際の情報を知ることができない。また、HPLMNにおけるAUSFエンティティが乱数と第1のルートキーとを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される乱数を知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図15は、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図である。図15に示されるように、方法は具体的には以下の通りである。
1201.HPLMNにおけるARPFエンティティが第2のルートキーを生成し、この場合、第2のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティにより生成される第1のルートキーとは異なる。
一例では、図8に示される端末登録手順がステップ1006の前の任意のステップの前に実行されてもよい。更に、図8のステップ506から分かるように、図8が実行される際に、端末とV−AMFエンティティとの間のセキュリティ認証プロセスが遂行されてもよく、その後、AUSFエンティティがAVにおけるKasme*を取得する。AVにおけるKasme*は第1のルートキーと称される。
前述のプロセスでは、ARPFエンティティが自動的に第2のルートキーを生成してもよく、第2のルートキーは第1のルートキーではない。例えば、第1のルートキーは、完全性キー(integrity key、IK)、機密性キー(confidentiality key、CK)、及び、VPLMN−IDに基づいて生成される。第2のルートキーは、IK、CK、及び、HPLMN−IDに基づいて生成される。
1202.ARPFエンティティは、第2のルートキーをHPLMNにおけるAUSFエンティティに送信する。
一例では、ARPFエンティティが生成された第2のルートキーをAUSFエンティティに送信する。
例えば、第2のキーがAVに含まれてもよく、そして、ARPFエンティティがAVをAUSFエンティティに送信し、それにより、AUSFエンティティが第2のルートキーを取得する。或いは、第2のキーがAVに含まれず、ARPFエンティティがAV及び第2のルートキーをAUSFエンティティに送信し、それにより、AUSFエンティティが第2のルートキーを取得する。
1203.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図6のステップ301を実行することによって、又は、図9のステップ601及びステップ602を実行することによって、又は、図11のステップ801を実行することによって実施されてもよい。
1204.AUSFエンティティは入力パラメータに基づいてキーを生成し、この場合、入力パラメータが第2のルートキーを含む。
一例では、この実施において、AUSFエンティティは第2のルートキーに基づいてキーHPLMN−Keysを生成する。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子、セキュリティアルゴリズムの識別子、AUSFエンティティにより生成される乱数のうちの少なくとも1つを更に含む。
一例において、AUSFエンティティは、パラメータを端末に送信する必要がある他のエンティティの識別子と第2のルートキーとに基づいて、パラメータを端末に送信する必要がある他のエンティティに対応するキーを生成してもよい。例えば、他のエンティティがUDMエンティティである場合、UDMエンティティは、UDMエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、UDMエンティティの識別子と第2のルートキーとに基づいて、UDMエンティティに対応するキーを生成する。他の例では、他のエンティティがH−PCFエンティティである場合、H−PCFエンティティは、H−PCFエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、H−PCFエンティティの識別子と第2のルートキーとに基づいて、H−PCFエンティティに対応するキーを生成する。
或いは、AUSFエンティティは、取得されたセキュリティアルゴリズムを使用することによって第2のルートキーに対してキー導出を実行して、キーを取得してもよい。
或いは、AUSFエンティティは、取得されたセキュリティアルゴリズムを使用することによって他のエンティティの識別子と第2のルートキーとに対してキー導出を実行して、キーを取得してもよい。
随意的に、AUSFエンティティは、KDF機能を使用することによって、入力パラメータに基づき、HPLMNと端末との間の最終キーを取得する。これは次の方法で実施される。
方法1:AUSFエンティティは、KDF機能を使用することによって第2のルートキーに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによってキー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法2:AUSFエンティティは、KDF機能を使用することによって第2のルートキーと他のエンティティの識別子とに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによってキー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法3:AUSFエンティティは、KDF機能を使用することによって第2のルートキーに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法4:AUSFエンティティは、KDF機能を使用することによって、第2のルートキーとセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法5:AUSFエンティティは、KDF機能を使用することによって、第2のルートキーと他のエンティティの識別子とに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法6:AUSFエンティティは、KDF機能を使用することによって、第2のルートキー、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法7:AUSFエンティティは、KDF機能を使用することによって第2のルートキーに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
随意的に、前述の方法1〜方法7に関しては、AUSFエンティティによって生成される乱数が、キー1を生成するための入力パラメータとして代わりに使用されてもよい。
セキュリティアルゴリズムは暗号化アルゴリズム及び/又は完全性保護アルゴリズムを含むため、セキュリティアルゴリズムの識別子は、暗号化アルゴリズムの識別子及び/又は完全性保護アルゴリズムの識別子である。したがって、セキュリティアルゴリズムの識別子が入力として使用される場合には、セキュリティアルゴリズムが暗号化アルゴリズムを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、セキュリティアルゴリズムが完全性保護アルゴリズムを含むと、完全性保護キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、又は、セキュリティアルゴリズムが暗号化アルゴリズムと完全性保護アルゴリズムとを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があるとともに、キーを取得するために前述の7つの方法のうちの1つを1回実行する必要がある。
1205.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
1206.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
1207.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態では、HPLMNにおけるARPFエンティティが第2のルートキーを生成する。第2のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される第1のルートキーとは異なる。ARPFエンティティは、第2のルートキーをHPLMNにおけるAUSFエンティティに送信する。AUSFエンティティは、第2のルートキーに基づいてキーを生成する。したがって、AUSFエンティティがキーを生成する他の方法が与えられる。第1のルートキーとは異なる第2のルートキーがキーを生成するために使用されるため、VPLMNは第2のルートキーの実際の情報を知ることができない。更に、HPLMNにおけるAUSFエンティティが第2のルートキーを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される第2のルートキーを知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図16は、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図である。図16に示されるように、方法は具体的には以下の通りである。
1301.HPLMNにおけるARPFエンティティが第2のルートキーを生成し、この場合、第2のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティにより生成される第1のルートキーとは異なる。
一例では、このステップに関して、図15のステップ1201を参照されたい。詳細は再び説明しない。
1302.ARPFエンティティは、第2のルートキーをHPLMNにおけるAUSFエンティティに送信する。
一例では、このステップに関して、図15のステップ1202を参照されたい。詳細は再び説明しない。
1303.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図7のステップ401を実行することによって、又は、図10のステップ701及びステップ702を実行することによって、又は、図12のステップ901を実行することによって実施されてもよい。
1304.AUSFエンティティは入力パラメータに基づいてキーを生成し、この場合、入力パラメータが第2のルートキーを含む。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
一例では、このステップに関して、図15のステップ1204を参照されたい。詳細は再び説明しない。
1305.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
1306.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
1307.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態では、HPLMNにおけるARPFエンティティが第2のルートキーを生成する。第2のルートキーは、端末とV−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される第1のルートキーとは異なる。ARPFエンティティは、第2のルートキーをHPLMNにおけるAUSFエンティティに送信する。AUSFエンティティは、第2のルートキーに基づいてキーを生成する。したがって、AUSFエンティティがキーを生成する他の方法が与えられる。第1のルートキーとは異なる第2のルートキーがキーを生成するために使用されるため、VPLMNは第2のルートキーの実際の情報を知ることができない。更に、HPLMNにおけるAUSFエンティティが第2のルートキーを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される第2のルートキーを知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図17は、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図である。図17に示されるように、方法は具体的には以下の通りである。
1401.HPLMNにおけるARPFエンティティは、第3のルートキーをHPLMNにおけるAUSFエンティティに送信し、この場合、第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティにより生成される。
一例では、端末がHPLMNに入った後、端末はH−AMFエンティティとのセキュリティ認証プロセスを実行してもよく、それにより、ARPFエンティティは、セキュリティ認証プロセスで第3のルートキーを生成してもよい。したがって、第3のルートキーがHPLMNに存在することが分かる。例えば、第3のルートキーはAVにおけるKasme*である。
1402.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図6のステップ301を実行することによって、又は、図9のステップ601及びステップ602を実行することによって、又は、図11のステップ801を実行することによって実施されてもよい。
1403.AUSFエンティティは、入力パラメータに基づいてキーを生成し、この場合、入力パラメータは第3のルートキーを含む。
一例では、この実施において、AUSFエンティティは第3のルートキーに基づいてキーHPLMN−Keysを生成する。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子、セキュリティアルゴリズムの識別子、AUSFエンティティにより生成される乱数のうちの少なくとも1つを更に含む。
一例において、AUSFエンティティは、パラメータを端末に送信する必要がある他のエンティティの識別子と第3のルートキーとに基づいて、パラメータを端末に送信する必要がある他のエンティティに対応するキーを生成してもよい。例えば、他のエンティティがUDMエンティティである場合、UDMエンティティは、UDMエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、UDMエンティティの識別子と第3のルートキーとに基づいて、UDMエンティティに対応するキーを生成する。他の例では、他のエンティティがH−PCFエンティティである場合、H−PCFエンティティは、H−PCFエンティティの識別子をAUSFエンティティに送信してもよい。AUSFエンティティは、H−PCFエンティティの識別子と第3のルートキーとに基づいて、H−PCFエンティティに対応するキーを生成する。
或いは、AUSFエンティティは、取得されたセキュリティアルゴリズムを使用することによって第3のルートキーに対してキー導出を実行して、キーを取得してもよい。
或いは、AUSFエンティティは、取得されたセキュリティアルゴリズムを使用することによって他のエンティティの識別子と第3のルートキーとに対してキー導出を実行して、キーを取得してもよい。
随意的に、AUSFエンティティは、KDF機能を使用することによって、入力パラメータに基づき、HPLMNと端末との間の最終キーを取得する。これは次の方法で実施される。
方法1:AUSFエンティティは、KDF機能を使用することによって第3のルートキーに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによってキー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法2:AUSFエンティティは、KDF機能を使用することによって第3のルートキーと他のエンティティの識別子とに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによってキー1とセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法3:AUSFエンティティは、KDF機能を使用することによって第3のルートキーに対してキー導出を実行して、キー1を取得し、また、AUSFエンティティは、KDF機能を使用することによって、キー1、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー2を取得する。キー2は、HPLMNと端末との間の最終セキュアキーである。
方法4:AUSFエンティティは、KDF機能を使用することによって、第3のルートキーとセキュリティアルゴリズムの識別子とに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法5:AUSFエンティティは、KDF機能を使用することによって、第3のルートキーと他のエンティティの識別子とに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法6:AUSFエンティティは、KDF機能を使用することによって、第3のルートキー、他のエンティティの識別子、及び、セキュリティアルゴリズムの識別子に対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
方法7:AUSFエンティティは、KDF機能を使用することによって第3のルートキーに対してキー導出を実行して、キー1を取得する。キー1は、HPLMNと端末との間の最終セキュアキーである。
随意的に、前述の方法1〜方法7に関しては、AUSFエンティティによって生成される乱数が、キー1を生成するための入力パラメータとして代わりに使用されてもよい。
セキュリティアルゴリズムは暗号化アルゴリズム及び/又は完全性保護アルゴリズムを含むため、セキュリティアルゴリズムの識別子は、暗号化アルゴリズムの識別子及び/又は完全性保護アルゴリズムの識別子である。したがって、セキュリティアルゴリズムの識別子が入力として使用される場合には、セキュリティアルゴリズムが暗号化アルゴリズムを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、セキュリティアルゴリズムが完全性保護アルゴリズムを含むと、完全性保護キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があり、又は、セキュリティアルゴリズムが暗号化アルゴリズムと完全性保護アルゴリズムとを含むと、暗号化キーを取得するために前述の7つの方法のうちの1つを1回実行する必要があるとともに、キーを取得するために前述の7つの方法のうちの1つを1回実行する必要がある。
1404.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
1405.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
1406.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態では、HPLMNにおけるARPFエンティティは、HPLMNにおけるAUSFエンティティに第3のルートキーを送信する。第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される。したがって、AUSFエンティティがキーを生成する他の方法が与えられる。端末とH−AMFエンティティとの間のセキュリティ認証プロセスで生成される第3のルートキーはキーを生成するために使用されるため、VPLMNは、第3のルートキーの実際の情報を知ることができない。更に、HPLMNにおけるAUSFエンティティが第3のルートキーを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される第3のルートキーを知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
図18は、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図である。図18に示されるように、方法は具体的には以下の通りである。
1501.HPLMNにおけるARPFエンティティは、第3のルートキーをHPLMNにおけるAUSFエンティティに送信し、この場合、第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティにより生成される。
一例では、このステップに関して、図17のステップ1401を参照されたい。詳細は再び説明しない。
1502.HPLMNにおけるAUSFエンティティは、セキュリティアルゴリズムを取得する。
一例において、このステップは、図7のステップ401を実行することによって、又は、図10のステップ701及びステップ702を実行することによって、又は、図12のステップ901を実行することによって実施されてもよい。
1503.AUSFエンティティは、入力パラメータに基づいてキーを生成し、この場合、入力パラメータは第3のルートキーを含む。
一例では、この実施において、AUSFエンティティは第3のルートキーに基づいてキーHPLMN−Keysを生成する。
随意的な実施において、入力パラメータは、以下、すなわち、他のエンティティの識別子及びセキュリティアルゴリズムの識別子のうちの一方又は両方を更に含む。
一例では、このステップに関して、図17のステップ1403を参照されたい。詳細は再び説明しない。
1504.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
1505.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
1506.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態では、HPLMNにおけるARPFエンティティは、HPLMNにおけるAUSFエンティティに第3のルートキーを送信する。第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される。したがって、AUSFエンティティがキーを生成する他の方法が与えられる。端末とH−AMFエンティティとの間のセキュリティ認証プロセスで生成される第3のルートキーはキーを生成するために使用されるため、VPLMNは、第3のルートキーの実際の情報を知ることができない。更に、HPLMNにおけるAUSFエンティティが第3のルートキーを使用することによってキーを生成した後、AUSFエンティティは、生成されたキーを使用することにより、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行してもよい。したがって、VPLMNにおけるエンティティを使用することによりパラメータが端末に転送されるプロセスでは、VPLMNにおけるエンティティがパラメータに対してセキュリティ保護処理を実行するために使用される第3のルートキーを知ることができないため、VPLMNにおけるエンティティによってパラメータが傍受又は変更されず、それにより、送信中にHPLMNによって端末に送信されるパラメータのセキュリティが向上される。
随意的な実施において、図19は、この出願の一実施形態に係る、ARPFエンティティによって第3のルートキーをAUSFエンティティに送信する概略通信図である。図17又は図18に基づき、図19に示されるように、ステップ1401又はステップ1501に関しては、以下のステップを参照されたい。
1601.端末は登録要求をH−AMFエンティティに送信する。
一例において、登録要求は、端末が登録手順を開始することを表わす。登録手順は、初期登録、モビリティ登録、又は、定期登録であってもよい。
1602.H−AMFエンティティは、HPLMNにおけるAUSFエンティティにAIRメッセージを送信する。
一例では、端末の加入者識別子が現在のAIRメッセージで搬送される。端末の加入者識別子はSUPIであってもよく、又は、端末の加入者識別子が匿名のSUPIである。匿名のSUPIはSUCIである。
1603.AUSFエンティティはSUPIを取得する。
一例では、AUSFエンティティによって受信される AIRメッセージでSUPIが搬送される場合、AUSFエンティティは、AIRメッセージでSUPIを直接に取得してもよい。SUCIがAUSFエンティティによって受信されるAIRメッセージで搬送される場合、AUSFエンティティはプライベートキーを使用することによってSUCIを復号してSUPIを取得する。
1604.AUSFエンティティはAV要求をARPFエンティティに送信し、この場合、AV要求はSUPIを搬送する。
1605.ARPFエンティティは、SUPIに基づいて端末のための対応するAVを生成する。
1606.ARPFエンティティは、AV応答メッセージをAUSFエンティティに送信し、この場合、AV応答メッセージは第3のルートキーを含み、第3のルートキーは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスでARPFエンティティによって生成される。
一例では、AV応答メッセージがAVを含み、AVが第3のルートキーKasme*を含み、AVがXRES*、RAND、及び、AUTNを更に含む。
1607.AUSFエンティティはAIAメッセージをH−AMFエンティティに送信し、この場合、AIAメッセージは、AV、又は、AUSFエンティティがAVを処理した後に生成されるAV*を搬送する。
一例では、AV*が第3のルートキーKasme*とHXRES*とを含み、この場合、HXRES*の値はSHA−256(XRES*||RAND)である。
1608.H−AMFエンティティは認証要求を端末に送信する。
1609.端末は、H−AMFエンティティに認証応答を送信する。
16010.H−AMFエンティティは、5G−ACメッセージをAUSFエンティティに送信する。
一例では、ステップ16010が実行されてもよく又は実行されなくてもよい。
16011.端末は、H−AMFエンティティとのNASセキュリティアルゴリズムネゴシエーション手順を実行する。
一例において、端末とH−AMFエンティティとの間のセキュリティ認証プロセスは、ステップ1601〜ステップ16010を実行することによって遂行される。更に、ステップ1606において、ARPFエンティティは、端末とH−AMFエンティティとの間のセキュリティ認証プロセスで生成される第3のルートキーをAUSFエンティティに送信する。
図20aは、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図1であり、図20bは、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図2である。図20a及び図20bに示されるように、方法は、具体的には以下の通りである。
301a.H−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、この場合、セキュリティアルゴリズムは、端末によりH−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
一例では、ステップ301aにおいて、端末がHPLMN内に位置され、また、端末は、HPLMNに対する登録手順を開始する。端末の登録プロセスでは、セキュリティアルゴリズムをネゴシエートするために、H−AMFエンティティが端末とネゴシエートする。その後、H−AMFエンティティは、ネゴシエートされたセキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、それにより、AUSFエンティティは、パラメータに対してセキュリティ保護処理を実行するために使用されるセキュリティアルゴリズムを取得する。
302a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関しては、キーを生成する図4のステップ101を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図13のステップ1006を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図15のステップ1204を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図17のステップ1403を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。このステップとステップ302との間の違いは、ステップ302aで端末がHPLMN内に位置されるという点である。
随意的な実施では、ステップ302aが図17のステップ1403に置き換えられる場合には、図19のステップを参照されたい。
ステップ301a,302aが実行されるときには、端末がHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ303a〜ステップ305aが実行される。ステップ303a〜ステップ305aでは端末がVPLMN内に位置されるのが分かる。図20bを参照されたい。
303a.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図4のステップ102を参照されたい。詳細は再び説明しない。
304a.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図4のステップ103を参照されたい。詳細は再び説明しない。
305a.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図4のステップ104を参照されたい。詳細は再び説明しない。
この実施形態において、AUSFエンティティにより使用されるセキュリティアルゴリズムは、端末がHPLMN内に位置されるときにHPLMNと端末によってネゴシエートされる。AUSFエンティティによって使用されるキーは、端末がHPLMN内に位置されるときにAUSFエンティティによって生成される。したがって、VPLMNはセキュリティアルゴリズム及びキーを知ることができない。AUSFエンティティが、セキュリティアルゴリズムとキーとを使用することによって、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、HPLMNにおける他のエンティティは、VPLMNにおけるエンティティを使用することによって、セキュリティ保護処理により取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理により取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図21aは、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図1であり、図21bは、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図2である。図21a及び図21bに示されるように、方法は、具体的には以下の通りである。
401a.H−AMFエンティティは、セキュリティアルゴリズムをHPLMNにおけるAUSFエンティティに送信し、この場合、セキュリティアルゴリズムは、端末によりH−AMFエンティティとネゴシエートされるセキュリティアルゴリズムである。
一例では、このステップに関しては、図20aのステップ301aを参照されたい。詳細は再び説明しない。
402a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関しては、キーを生成する図5のステップ201を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図14のステップ1106を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図16のステップ1304を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図18のステップ1503を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ402aが図18のステップ1503を実行する場合、図19のステップを参照されたい。
ステップ401a,402aが実行されるときには、端末はHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ403a〜ステップ405aが実行される。ステップ403a〜ステップ405aでは端末がVPLMN内に位置されるのが分かる。図21bを参照されたい。
403a.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図5のステップ202を参照されたい。詳細は再び説明しない。
404a.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図5のステップ203を参照されたい。詳細は再び説明しない。
405a.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図5のステップ204を参照されたい。詳細は再び説明しない。
この実施形態において、HPLMNにおける他のエンティティにより使用されるセキュリティアルゴリズムは、端末がHPLMN内に位置されるときにHPLMNと端末によってネゴシエートされる。HPLMNにおける他のエンティティによって使用されるキーは、端末がHPLMN内に位置されるときにAUSFエンティティによって生成される。したがって、VPLMNはセキュリティアルゴリズム及びキーを知ることができない。HPLMNにおける他のエンティティが、セキュリティアルゴリズムとキーとを使用することによって、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、他のエンティティは、VPLMNにおけるエンティティを使用することによって、セキュリティ保護処理により取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理により取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
随意的な実施において、図22は、この出願の一実施形態に係る端末登録手順の概略通信図である。図20a又は図21aに示される実施形態に基づいて、図22のステップは、ステップ301a又はステップ401aが実行される前に実行されてもよい。
501a.端末は登録要求をH−AMFエンティティに送信する。
一例において、図22のステップの実行プロセスでは、端末がHPLMN内に位置される。登録要求は、端末が登録手順を開始することを表わす。登録手順は、初期登録、モビリティ登録、又は、定期登録であってもよい。
502a.H−AMFエンティティは、HPLMNにおけるAUSFエンティティにAIRメッセージを送信する。
一例では、端末の加入者識別子がAIRメッセージで搬送される。端末の加入者識別子はSUPIであってもよく、又は、端末の加入者識別子が匿名のSUPIである。匿名のSUPIはSUCIである。
503a.AUSFエンティティが端末のSUPIを取得する。
一例では、AUSFエンティティによって受信されるAIRメッセージでSUPIが搬送される場合、AUSFエンティティは、AIRメッセージでSUPIを直接に取得してもよい。SUCIがAUSFエンティティによって受信されるAIRメッセージで搬送される場合、AUSFエンティティはプライベートキーを使用することによってSUCIを復号してSUPIを取得する。
504a.AUSFエンティティは、認証ベクトルAV要求をARPFエンティティに送信し、この場合、AV要求はSUPIを搬送する。
505a.ARPFエンティティは、SUPIに基づいて端末のための対応するAVを生成する。
506a.ARPFエンティティは、AV応答メッセージをAUSFエンティティに送信し、この場合、AV応答メッセージは1つ以上のAVを含む。
一例では、AVがキーKasme*を含み、また、AVは、XRES*、RAND、及び、AUTNを更に含む。
507a.AUSFエンティティはAIAメッセージをH−AMFエンティティに送信し、この場合、AIAメッセージは、AV、又は、AUSFエンティティがAVを処理した後に生成されるAV*を搬送する。
一例では、AV*がキーKasme*とHXRES*とを含み、また、SHAが与えられる。この場合、HXRES*の値はSHA−256(XRES*||RAND)である。
508a.H−AMFエンティティは認証要求を端末に送信する。
509a.端末は、H−AMFエンティティに認証応答を送信する。
5010a.H−AMFエンティティは、5G−ACメッセージをAUSFエンティティに送信する。
一例では、ステップ5010aが実行されてもよく又は実行されなくてもよい。
5011a.端末は、H−AMFエンティティとのNASセキュリティアルゴリズムネゴシエーション手順を実行して、端末とH−AMFエンティティとの間で使用されるNASセキュリティアルゴリズムをネゴシエートする。
前述のステップを実行することにより、H−AMFエンティティは、HPLMNにおけるAUSFエンティティに送信されるべきセキュリティアルゴリズムを有してもよい。
図23aは、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図1であり、図23bは、この出願の一実施形態に係る更に一層他のパラメータ保護方法の概略通信図2である。図23a及び図23bに示されるように、方法は、具体的には以下の通りである。
601a.H−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。
一例では、ステップ601aが実行されるときには、端末がHPLMN内に位置される。H−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムを有する。H−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。具体的には、H−AMFエンティティは、端末のセキュリティ機能情報をAUSFエンティティに送信する。セキュリティ機能情報は、端末によりサポートされるセキュリティアルゴリズムを含み、各アルゴリズムは優先度を有する。この実施形態では、ステップ603aの前に、図22のステップが代わりに実行されてもよい。その後、H−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、図22のステップ502aで実行されてもよい。或いは、H−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、図22のステップ5010aで実行されてもよい。或いは、H−AMFエンティティが端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する動作が、別個のメッセージを使用することによって実行されてもよい。
或いは、随意的な実施では、ステップ601aが次のようになっていてもよい。すなわち、H−AMFエンティティが指示情報をAUSFエンティティに送信し、この場合、指示情報は、端末によってサポートされるセキュリティアルゴリズムを示し、その後、AUSFエンティティは、指示情報に基づき、端末によりサポートされるセキュリティアルゴリズムを決定する。
602a.AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定する。
一例では、このステップに関して、図9のステップ602を参照されたい。詳細は再び説明しない。
603a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図9のステップ603を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図13のステップ1006を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図15のステップ1204を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図17のステップ1403を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ602aが図17のステップ1403を実行する場合、図19のステップを参照されたい。
604a.AUSFエンティティは、決定されたセキュリティアルゴリズムをH−AMFエンティティに送信する。
605a.H−AMFエンティティは、セキュリティアルゴリズムを端末に送信する。
ステップ601a〜ステップ605aが実行されるときには、端末がHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ606a〜ステップ608aが実行される。ステップ606a〜ステップ608aでは、端末がVPLMN内に位置されるのが分かる。図23bを参照されたい。
606a.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図9のステップ606を参照されたい。詳細は再び説明しない。
607a.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図9のステップ607を参照されたい。詳細は再び説明しない。
608a.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図9のステップ608を参照されたい。詳細は再び説明しない。
この実施形態では、端末がHPLMN内に位置される場合、端末は、H−AMFエンティティを使用することにより、端末によってサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。AUSFエンティティは、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定し、AUSFエンティティはキーを生成する。その後、端末がVPLMNにローミングすると、VPLMNはセキュリティアルゴリズムとキーとを知ることができない。AUSFエンティティが、セキュリティアルゴリズムとキーとに基づいて、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、AUSFエンティティは、VPLMNにおけるエンティティを使用することにより、セキュリティ保護処理によって取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理によって取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図24aは、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図1であり、図24bは、この出願の一実施形態に係る更に一層別のパラメータ保護方法の概略通信図2である。図24a及び図24bに示されるように、方法は、具体的には以下の通りである。
701a.H−AMFエンティティは、端末によりサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。
一例では、ステップ701aが実行されるときには、端末がHPLMN内に位置される。このステップに関しては、図23aのステップ601aを参照されたい。詳細は再び説明しない。
702a.AUSFエンティティは、端末によりサポートされるセキュリティアルゴリズムとHPLMNによりサポートされるセキュリティアルゴリズムとに基づいて、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定する。
一例では、このステップに関して、図10のステップ702を参照されたい。詳細は再び説明しない。
703a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図10のステップ703を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図14のステップ1106を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図16のステップ1304を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図18のステップ1503を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ702aが図18のステップ1503を実行する場合、図19のステップを参照されたい。
704a.AUSFエンティティは、決定されたセキュリティアルゴリズムをH−AMFエンティティに送信する。
705a.H−AMFエンティティは、セキュリティアルゴリズムを端末に送信する。
ステップ701a〜ステップ705aが実行されるときには、端末がHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ706a〜ステップ708aが実行される。ステップ706a〜ステップ708aでは、端末がVPLMN内に位置されるのが分かる。図24bを参照されたい。
706a.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図10のステップ706を参照されたい。詳細は再び説明しない。
707a.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図10のステップ707を参照されたい。詳細は再び説明しない。
708a.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図10のステップ708を参照されたい。詳細は再び説明しない。
この実施形態では、端末がHPLMN内に位置される場合、端末は、H−AMFエンティティを使用することにより、端末によってサポートされるセキュリティアルゴリズムをAUSFエンティティに送信する。AUSFエンティティは、端末とHPLMNとの間で使用されるセキュリティアルゴリズムを決定し、AUSFエンティティはキーを生成する。その後、端末がVPLMNにローミングすると、VPLMNはセキュリティアルゴリズムとキーとを知ることができない。HPLMNにおける他のエンティティが、セキュリティアルゴリズムとキーとに基づき、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、他のエンティティは、VPLMNにおけるエンティティを使用することによって、セキュリティ保護処理により取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理により取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図25aは、この出願の一実施形態に係る更に別の一層他のパラメータ保護方法の概略通信図1であり、図25bは、この出願の一実施形態に係る更に別の一層他のパラメータ保護方法の概略通信図2である。図25a及び図25bに示されるように、方法は、具体的には以下の通りである。
801a.AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定する。
一例では、ステップ801aが実行されるときには、端末がHPLMN内に位置される。このステップに関しては、図11のステップ801を参照されたい。詳細は再び説明しない。
802a.AUSFエンティティがキーを生成する。
一例では、このステップに関して、図11のステップ802を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図13のステップ1006を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図15のステップ1204を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図17のステップ1403を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ802aが図17のステップ1403を実行する場合、図19のステップを参照されたい。
ステップ801a,802aが実行されるときには、端末はHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ803a〜ステップ805aが実行される。ステップ803a〜ステップ805aでは端末がVPLMN内に位置されるのが分かる。図25bを参照されたい。
803a.HPLMNにおける他のエンティティは、パラメータをAUSFエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図11のステップ803を参照されたい。詳細は再び説明しない。
804a.AUSFエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図11のステップ804を参照されたい。詳細は再び説明しない。
805 a.AUSFエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図11のステップ805を参照されたい。詳細は再び説明しない。
この実施形態では、端末がHPLMN内に位置されると、AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定し、AUSFエンティティがキーを生成する。その後、端末がVPLMNにローミングすると、VPLMNはセキュリティアルゴリズムとキーとを知ることができない。AUSFエンティティが、セキュリティアルゴリズムとキーとに基づいて、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、AUSFエンティティは、VPLMNにおけるエンティティを使用することにより、セキュリティ保護処理によって取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理によって取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図26aは、この出願の一実施形態に係る更なる他の一層別のパラメータ保護方法の概略通信図1であり、図26bは、この出願の一実施形態に係る更なる他の一層別のパラメータ保護方法の概略通信図2である。図26a及び図26bに示されるように、方法は、具体的には以下の通りである。
901a.HPLMNにおけるAUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定する。
一例では、ステップ801aが実行されるときには、端末がHPLMN内に位置される。このステップに関しては、図12のステップ901を参照されたい。詳細は再び説明しない。
902a.AUSFエンティティがキーを生成し、この場合、キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。
一例では、このステップに関して、図12のステップ902を参照されたい。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図14のステップ1106を参照されたく、この場合、入力パラメータは、復号化乱数と第1のルートキーとを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図16のステップ1304を参照されたく、この場合、入力パラメータは第2のルートキーを含む。或いは、このステップに関しては、入力パラメータに基づいてキーを生成する図18のステップ1503を参照されたく、この場合、入力パラメータは第3のルートキーを含む。詳細は再び説明しない。
随意的な実施では、ステップ902aが図18のステップ1503を実行する場合、図19のステップを参照されたい。
ステップ901a,902aが実行されるときには、端末はHPLMN内に位置される。その後、端末はVPLMNにローミングする。この場合、ステップ903a〜ステップ905aが実行される。ステップ903a〜ステップ905aでは端末がVPLMN内に位置されるのが分かる。図26bを参照されたい。
903a.AUSFエンティティは、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信し、この場合、他のエンティティは、パラメータを端末に送信する必要があるエンティティである。
一例では、このステップに関して、図12のステップ903を参照されたい。詳細は再び説明しない。
904a.他のエンティティは、セキュリティアルゴリズムとキーとに基づいてパラメータに対してセキュリティ保護処理を実行する。
一例では、このステップに関して、図12のステップ904を参照されたい。詳細は再び説明しない。
905a.他のエンティティは、セキュリティ保護処理により取得されるパラメータを端末に送信する。
一例では、このステップに関して、図12のステップ905を参照されたい。詳細は再び説明しない。この実施形態では、端末がHPLMN内に位置されると、AUSFエンティティは、端末とHPLMNとの間のデフォルトセキュリティアルゴリズムをセキュリティアルゴリズムとして決定し、AUSFエンティティがキーを生成する。その後、端末がVPLMNにローミングすると、VPLMNはセキュリティアルゴリズムとキーとを知ることができない。HPLMNにおける他のエンティティが、セキュリティアルゴリズムとキーとに基づき、端末に送信されるべきパラメータに対してセキュリティ保護処理を実行した後、他のエンティティは、VPLMNにおけるエンティティを使用することによって、セキュリティ保護処理により取得されるパラメータを端末に送信し、それにより、VPLMNにおけるエンティティは、セキュリティ保護処理により取得されるパラメータを傍受できず又は改ざんできず、その結果、送信中にHPLMNにより端末に送信されるパラメータのセキュリティが向上される。
図4から図26bに示される方法では、随意的に、方法で提供されるキーの長さが、64ビット(bits)、128bits、又は、256bitsであってもよい。随意的に、これらの方法で提供されるセキュリティアルゴリズムは、SNOW 3G、高度暗号化標準規格(advanced encryption standard、AES)、ZUCコードアルゴリズム(the ZUC code algorithm、ZUC)などでもよい。
以上は、主に、異なるネットワークデバイス間の相互作用の観点から、この出願の実施形態で与えられる解決策について説明する。前述の機能を実装するために、AUSFエンティティ及び端末が、機能を果たすための対応するハードウェア構造及び/又はソフトウェアモジュールを含むことが理解され得る。この出願に開示される実施形態を説明する例におけるユニット及びアルゴリズムステップに関連して、この出願の実施形態をハードウェア又はハードウェア及びコンピュータソフトウェアの形態で実装することができる。機能がハードウェアによって果たされるか又はコンピュータソフトウェアによって駆動されるハードウェアによって果たされるかどうかは、技術的解決策の特定の用途と設計上の制約とに依存する。当業者は、それぞれの特定の用途ごとに前述の機能を実施するために異なる方法を使用してもよいが、その実施がこの出願の実施形態における技術的解決策の範囲を超えると見なされるべきでない。
この出願の実施形態において、AUSFエンティティ及び端末の機能モジュールは、前述の方法の例に基づいて分割されてもよい。例えば、各機能モジュールは、対応する各機能に基づいて分割によって取得されてもよく、或いは、2つ以上の機能が1つの処理モジュールに組み込まれてもよい。集積モジュールは、ハードウェアの形態で実装されてもよく、或いは、ソフトウェア機能モジュールの形態で実装されてもよい。なお、この出願の実施形態において、モジュールへの分割は、単なる一例にすぎず、単なる論理的な機能分割にすぎず、及び、実際の実装中の他の分割であってもよい。
集積モジュールが使用される場合、図27aは、この出願の一実施形態に係るAUSFエンティティ270の概略ブロック図である。AUSFエンティティ270は、取得ユニット2701、生成ユニット2702、受信ユニット2703、及び、処理ユニット2704を含む。取得ユニット2701は、セキュリティアルゴリズムを取得するように構成される。生成ユニット2702は、キーを生成するように構成される。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。例えば、取得ユニット2701及び生成ユニット2702は、図4のステップ101、図6のステップ301,302、図9のステップ601〜603、図11のステップ801,802、図13のステップ1004〜1006、図15のステップ1202〜1204、図17のステップ1401〜1403、図20aのステップ301a,302a、図23aのステップ601a〜603a、図25aのステップ801a,802a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ270をサポートするように構成される。受信ユニット2703は、HPLMNにおける他のエンティティからパラメータを受信するように構成される。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。例えば、受信ユニット2703は、図4のステップ102、図6のステップ303、図9のステップ606、図11のステップ803、図13のステップ1007、図15のステップ1205、図17のステップ1404、図20bのステップ303a、図23bのステップ606a、図25bのステップ803a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ270をサポートするように構成される。処理ユニット2704は、セキュリティアルゴリズム及びキーに基づいてパラメータに対してセキュリティ保護処理を実行するように構成される。例えば、処理ユニット2704は、図4のステップ103、図6のステップ304、図9のステップ607、図11のステップ804、図13のステップ1008、図15のステップ1206、図17のステップ1405、図20bのステップ304a、図23bのステップ607a、図25bのステップ804a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ270をサポートするように構成される。
AUSFエンティティ270は、処理ユニットがセキュリティアルゴリズム及びキーに基づいてパラメータに対してセキュリティ保護処理を実行した後にセキュリティ保護処理によって取得されるパラメータを端末に送信するように構成される送信ユニット2705を更に含んでもよい。例えば、送信ユニット2705は、図4のステップ104、図6のステップ305、図9のステップ608、図11のステップ805、図13のステップ1009、図15のステップ1207、図17のステップ1406、図20bのステップ305a、図23bのステップ608a、図25bのステップ805a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ270をサポートするように構成される。
AUSFエンティティ270は、AUSFエンティティ270のプログラムコード及びデータを記憶するように構成される記憶ユニット2706を更に含んでもよい。
取得ユニット2701、生成ユニット2702、及び、処理ユニット2704は、1つのデバイスに組み込まれてもよい。デバイスは、プロセッサ又はコントローラであってもよく、例えば、中央処理装置(central processing unit、CPU)、汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application−specific integrated circuit、ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array、FPGA)、又は、他のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェアコンポーネント、又は、それらの任意の組み合わせであってもよい。プロセッサは、この出願に開示される内容に関連して記載される論理ブロック、モジュール、及び、回路の様々な例を実装又は実行してもよい。或いは、プロセッサは、コンピュータ機能を実装するプロセッサの組み合わせ、例えば、1つ以上のマイクロプロセッサの組み合わせ、又は、DSPとマイクロプロセッサとの組み合わせであってもよい。受信ユニット2703は、通信インタフェース、トランシーバ、トランシーバ回路などであってもよい。通信インタフェースは一般用語である。特定の実装中、通信インタフェースは、複数のインタフェースを含んでもよく、例えば、AUSFエンティティ270とV−AMFエンティティとの間のインタフェース、AUSFエンティティ270とH−AMFとの間のインタフェース、及び、AUSFエンティティ270と他のエンティティとの間のインタフェースを含んでもよい。記憶ユニット2706はメモリであってもよい。
取得ユニット2701、生成ユニット2702、及び、処理ユニット2704が組み込まれてもよいデバイスがプロセッサであり、受信ユニット2703が通信インタフェースであり、記憶ユニット2706がメモリである場合には、この出願のこの実施形態で与えられるAUSFエンティティ270が図27bに示されるAUSFエンティティ280であってもよい。
図27bを参照すると、AUSFエンティティ280は、プロセッサ2801、通信インタフェース2802、及び、メモリ2803を含む。随意的に、AUSFエンティティ280は、バス2804を更に含んでもよい。プロセッサ2801、通信インタフェース2802、及び、メモリ2803は、バス2804を使用することによって互いに接続されてもよい。バス2804は、周辺コンポーネント相互接続(peripheral component interconnect、PCI)バス、拡張業界標準規格アーキテクチャ(extended industry standard architecture、EISA)バスなどであってもよい。バス2804は、アドレスバス、データバス、制御バス等に分類されてもよい。表現を簡単にするために、図27bではバスを表わすために1本の太い線のみが使用されるが、これは、バスが1つしかない又はバスのタイプが1つしかないことを意味しない。
図27a及び図27bに示されるAUSFエンティティは、図1、図2、及び、図3のシステムアーキテクチャにおけるAUSFエンティティであってもよい。
集積モジュールが使用される場合、図28aは、この出願の一実施形態に係る他のAUSFエンティティ290の概略ブロック図である。AUSFエンティティ290は、取得ユニット2901、生成ユニット2902、及び、送信ユニット2903を含む。取得ユニット2901は、セキュリティアルゴリズムを取得するように構成される。生成ユニット2702は、キーを生成するように構成される。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。例えば、取得ユニット2901及び生成ユニット2702は、図5のステップ201、図7のステップ401,402、図10のステップ701〜703、図12のステップ901,902、図14のステップ1103〜1106、図16のステップ1302〜1304、図18のステップ1501〜1503、図21aのステップ401a,402a、図24aのステップ701a〜703a、図26aのステップ901a,902a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ290をサポートするように構成される。送信ユニット2903は、セキュリティアルゴリズム及びキーをHPLMNにおける他のエンティティに送信するように構成される。他のエンティティは、パラメータを端末に送信する必要があるエンティティである。例えば、送信ユニット2903は、図5のステップ202、図7のステップ403、図10のステップ706、図12のステップ903、図14のステップ1107、図16のステップ1305、図18のステップ1504、図21bのステップ403a、図24bのステップ706a、図26bのステップ903a、及び/又は、この出願に記載される技術の他のプロセスを実行する際にAUSFエンティティ290をサポートするように構成される。
AUSFエンティティ290は、AUSFエンティティ290のプログラムコード及びデータを記憶するように構成される記憶ユニット2904を更に含んでもよい。
取得ユニット2901及び生成ユニット2902は1つのデバイスに組み込まれてもよい。デバイスは、プロセッサ又はコントローラであってもよく、例えば、CPU、汎用プロセッサ、DSP、ASIC、FPGA、又は、他のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェアコンポーネント、又は、それらの任意の組み合わせであってもよい。プロセッサは、この出願に開示される内容に関連して記載される論理ブロック、モジュール、及び、回路の様々な例を実装又は実行してもよい。或いは、プロセッサは、コンピュータ機能を実装するプロセッサの組み合わせ、例えば、1つ以上のマイクロプロセッサの組み合わせ、又は、DSPとマイクロプロセッサとの組み合わせであってもよい。送信ユニット2903は、通信インタフェース、トランシーバ、トランシーバ回路などであってもよい。通信インタフェースは一般用語である。特定の実装中、通信インタフェースは、複数のインタフェースを含んでもよく、例えば、AUSFエンティティ290とV−AMFエンティティとの間のインタフェース、AUSFエンティティ290とH−AMFとの間のインタフェース、及び、AUSFエンティティ290と他のエンティティとの間のインタフェースを含んでもよい。記憶ユニット2904はメモリであってもよい。
取得ユニット2901及び生成ユニット2902が組み込まれてもよいデバイスがプロセッサであり、送信ユニット2903が通信インタフェースであり、記憶ユニット2904がメモリである場合には、この出願のこの実施形態で与えられるAUSFエンティティ290が図28bに示されるAUSFエンティティ300であってもよい。
図28bを参照すると、AUSFエンティティ300は、プロセッサ3001、通信インタフェース3002、及び、メモリ3003を含む。随意的に、AUSFエンティティ300は、バス3004を更に含んでもよい。プロセッサ3001、通信インタフェース3002、及び、メモリ3003は、バス3004を使用することによって互いに接続されてもよい。バス3004は、PCIバス、EISAバスなどであってもよい。バス3004は、アドレスバス、データバス、制御バス等に分類されてもよい。表現を簡単にするために、図28bではバスを表わすために1本の太い線のみが使用されるが、これは、バスが1つしかない又はバスのタイプが1つしかないことを意味しない。
図28a及び図28bに示されるAUSFエンティティは、図1、図2、及び、図3のシステムアーキテクチャにおけるAUSFエンティティであってもよい。
集積モジュールが使用される場合、図29aは、この出願の一実施形態に係る他のエンティティ310の概略ブロック図である。他のエンティティ310は、受信ユニット3101及び処理ユニット3102を含む。受信ユニット3101は、HPLMNにおけるAUSFエンティティからセキュリティアルゴリズム及びキーを受信するように構成される。キーは、端末とHPLMNとの間のパラメータの送信を保護するために使用される。例えば、受信ユニット3101は、図5のステップ202、図7のステップ403、図10のステップ706、図12のステップ903、図14のステップ1107、図16のステップ1305、図18のステップ1504、図21bのステップ403a、図24bのステップ706a、図26bのステップ903a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に他のエンティティ310をサポートするように構成される。処理ユニット3102は、セキュリティアルゴリズム及びキーに基づいてパラメータに対してセキュリティ保護処理を実行するように構成される。例えば、処理ユニット3102は、図5のステップ203、図7のステップ404、図10のステップ707、図12のステップ904、図14のステップ1108、図16のステップ1306、図18のステップ1505、図21bのステップ404a、図24bのステップ707a、図26bのステップ904a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に他のエンティティ310をサポートするように構成される。
他のエンティティ310は、セキュリティ保護処理によって取得されるパラメータを端末に送信するように構成される送信ユニット3103を更に含んでもよい。例えば、送信ユニット3103は、図5のステップ204、図7のステップ405、図10のステップ708、図12のステップ905、図14のステップ1109、図16のステップ1307、図18のステップ1506、図21bのステップ405a、図24bのステップ708a、図26bのステップ905a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に他のエンティティ310をサポートするように構成される。
他のエンティティ310は、他のエンティティ310のプログラムコード及びデータを記憶するように構成される記憶ユニット3104を更に含んでもよい。処理ユニット3102は、プロセッサ又はコントローラであってもよく、例えば、CPU、汎用プロセッサ、DSP、ASIC、FPGA、又は、他のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェアコンポーネント、又は、それらの任意の組み合わせであってもよい。プロセッサは、この出願に開示される内容に関連して記載される論理ブロック、モジュール、及び、回路の様々な例を実装又は実行してもよい。或いは、プロセッサは、コンピュータ機能を実装するプロセッサの組み合わせ、例えば、1つ以上のマイクロプロセッサの組み合わせ、又は、DSPとマイクロプロセッサとの組み合わせであってもよい。受信ユニット3101及び送信ユニット3103はそれぞれ、通信インタフェース、トランシーバ、トランシーバ回路などであってもよい。通信インタフェースは一般用語である。特定の実装中、通信インタフェースは、複数のインタフェースを含んでもよく、例えば、他のエンティティ310とV−AMFエンティティとの間のインタフェース、他のエンティティ310とH−AMFとの間のインタフェース、及び、他のエンティティ310と他のエンティティとの間のインタフェースを含んでもよい。記憶ユニット3104はメモリであってもよい。
処理ユニット3102がプロセッサであり、受信ユニット3101及び送信ユニット3103がそれぞれ通信インタフェースであってもよく、記憶ユニット3104がメモリである場合、この出願のこの実施形態で与えられる他のエンティティ310は、図29bに示される他のエンティティ320であってもよい。
図29bを参照すると、他のエンティティ320は、プロセッサ3201、通信インタフェース3202、及び、メモリ3203を含む。プロセッサ3201、通信インタフェース3202、及び、メモリ3203は、バス3204を使用することによって互いに接続されてもよい。バス3204は、PCIバス、EISAバスなどであってもよい。バス3204は、アドレスバス、データバス、制御バス等に分類されてもよい。表現を簡単にするために、図29bではバスを表わすために1本の太い線のみが使用されるが、これは、バスが1つしかない又はバスのタイプが1つしかないことを意味しない。
図29a及び図29bに示される他のエンティティは、図1、図2、及び、図3のシステムアーキテクチャにおけるUDMエンティティ又はH−PCFエンティティであってもよい。
集積モジュールが使用される場合、図30aは、この出願の一実施形態に係る端末330の概略ブロック図である。端末330は、受信ユニット3301及び処理ユニット3302を含む。受信ユニット3301は、セキュリティ保護処理後に取得されて他のエンティティによって送信されるパラメータを受信するように構成され、或いは、セキュリティ保護処理後に取得されてAUSFエンティティによって送信されるパラメータを受信するように構成される。例えば、受信ユニット3301は、図4のステップ104、図6のステップ305、図9のステップ608、図11のステップ805、図13のステップ1009、図15のステップ1207、図17のステップ1406、図20bのステップ305a、図23bのステップ608a、図25bのステップ805a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に端末330をサポートするように構成される。例えば、受信ユニット3301は、図5のステップ204、図7のステップ405、図10のステップ708、図12のステップ905、図14のステップ1109、図16のステップ1307、図18のステップ1506、図21bのステップ405a、図24bのステップ708a、図26bのステップ905a、及び/又は、この出願に記載される技術の他のプロセスを実行する際に端末330をサポートするように構成される。
端末330は、この出願に記載される技術の他のプロセスを実行するように構成される送信ユニット3303と、端末330のプログラムコード及びデータを記憶するように構成される記憶ユニット3304とを更に含む。
処理ユニット3302は、プロセッサ又はコントローラであってもよく、例えば、CPU、汎用プロセッサ、DSP、ASIC、FPGA、又は、他のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェアコンポーネント、又は、それらの任意の組み合わせであってもよい。プロセッサは、この出願に開示される内容に関連して記載される論理ブロック、モジュール、及び、回路の様々な例を実装又は実行してもよい。或いは、プロセッサは、コンピュータ機能を実装するプロセッサの組み合わせ、例えば、1つ以上のマイクロプロセッサの組み合わせ、又は、DSPとマイクロプロセッサとの組み合わせであってもよい。受信ユニット3301は受信機であってもよく、送信ユニット3303は送信機であってもよく、記憶ユニット3304はメモリであってもよい。
処理ユニット3302がプロセッサであり、受信ユニット3301が受信機であり、送信ユニット3303が送信機であり、記憶ユニット3304がメモリである場合、この出願のこの実施形態で与えられる端末330は、図30bに示される端末340であってもよい。
図30bを参照すると、端末340は、プロセッサ3401、受信機3402、送信機3403、及び、メモリ3404を含む。受信機3402及び送信機3403は、アンテナに接続されてもよい。ダウンリンク方向において、受信機3402は、アンテナを使用することにより、ネットワークデバイスによって送信される情報を受信し、また、送信機3403は、情報を処理するためのプロセッサ3401に送信する。或いは、アップリンク方向において、プロセッサ3401は、端末の情報を処理し、送信機3403を使用することによってその情報をネットワークデバイスに送信する。
或いは、前述のモジュールの一部又は全部は、端末のチップに埋め込まれる集積回路の形態で実装されてもよい。更に、モジュールは、独立して実装されてもよく又は一緒に組み込まれてもよい。すなわち、前述のモジュールは、前述の方法を実施するように構成される1つ以上の集積回路、例えば、1つ以上のASIC、1つ以上のDSP、又は、1つ以上の FPGAであってよい。
図30a及び図30bに示される端末は、図1、図2、及び、図3のシステムアーキテクチャにおける端末デバイスであってもよい。
前述の実施形態の全部又は一部は、ソフトウェア、ハードウェア、ファームウェア、又は、それらの任意の組み合わせによって実施されてもよい。ソフトウェアを使用して実施形態を実施する場合、実施形態の一部又は全部は、コンピュータプログラムプロダクトの形態で実施されてもよい。コンピュータプログラムプロダクトは1つ以上のコンピュータ命令を含む。コンピュータプログラム命令がコンピュータにロードされて実行されると、この出願の実施形態に係る手順又は機能の一部又は全部が生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、又は、他のプログラム可能装置であってもよい。コンピュータ命令は、コンピュータ可読記憶媒体に記憶されてもよく、又は、コンピュータ可読記憶媒体から他のコンピュータ可読記憶媒体に送信されてもよい。例えば、コンピュータ命令は、ウェブサイト、コンピュータ、サーバ、又は、データセンタから他のウェブサイト、コンピュータ、サーバ、又は、データセンタに有線(例えば、同軸ケーブル、光ファイバ、又は、デジタル加入者回線(digital subscriber line、DSL))で又は無線(例えば、赤外線、無線、及び、マイクロ波など)で送信されてもよい。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の使用可能媒体、又は、1つ以上の使用可能媒体を組み込むサーバ又はデータセンタなどのデータ記憶デバイスであってもよい。使用可能媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスク、又は、磁気テープ)、光学媒体(例えばDVD)、半導体媒体(例えば、ソリッドステートドライブ(solid-state disk、SSD))であってもよい。
当業者は、前述の1つ以上の例において、この出願の実施形態に記載される機能がハードウェア、ソフトウェア、ファームウェア、又は、それらの任意の組み合わせによって実装されてもよいことを認識するはずである。この出願の実施形態がソフトウェアにより実施されるとき、前述の機能は、コンピュータ可読媒体に記憶されてもよく、或いは、コンピュータ可読媒体内の1つ以上の命令又はコードとして送信されてもよい。コンピュータ可読媒体は、コンピュータ記憶媒体及び通信媒体を含む。通信媒体は、コンピュータプログラムをある場所から別の場所に送信できるようにする任意の媒体を含む。記憶媒体は、汎用コンピュータ又は専用コンピュータがアクセスできる任意の利用可能な媒体であってもよい。
前述の説明は、単にこの出願の特定の実施態様にすぎず、この出願の保護範囲を限定しようとするものではない。この出願に開示される技術的範囲内で当業者により容易に考え出されるいかなる変形も置換も、この出願の保護範囲内に入るものとする。したがって、この出願の保護範囲は、特許請求項の保護範囲によって決まるものとする。