本出願は、SQN送信方式のセキュリティが比較的悪い現行技術の問題を解決するために、パラメータ送信方法及び装置を提供する。
第1の態様によれば、本出願の実施形態は、パラメータ送信方法を提供する。この方法は、端末デバイス又は端末デバイス内のチップによって実施してよい。この方法は、次のものを含む。端末デバイスは、認証プロセスの中で、コアネットワークデバイスから乱数と第1シーケンス番号とを受信してよい。例えば、コアネットワークデバイスは、統合データ管理ネットワーク要素であってよい。統合データ管理ネットワーク要素は、端末デバイスが実行する認証プロセスの中で、乱数と第1シーケンス番号とをキャリーする認証応答を、セキュリティアンカー機能ネットワーク要素に送信してよい。次に、セキュリティアンカー機能ネットワーク要素は、ユーザ認証要求における乱数と第1シーケンス番号とを含み、ユーザ認証要求を端末デバイスに送信し、そこで、第1シーケンス番号を認証トークンでキャリーしてよい。端末デバイスは、認証トークン内の第1シーケンス番号を取得してよく、第1シーケンス番号が正しい範囲を超えていることを決定した場合に(例えば、第1シーケンス番号とローカルに予め記憶された第2シーケンス番号とを比較し、第1シーケンス番号とローカルに予め記憶された第2シーケンス番号との間の差が閾値を超えていることを決定する場合に)、認証キーと第2シーケンス番号との排他的論理和値の後にメッセージ認証コードを連結してよく、同期失敗パラメータを生成する。認証キーは、第1パラメータと第1参照値とに基づいて端末デバイスによって生成され、第1参照値は、第2パラメータと第3パラメータとに基づいて生成される。ここで第1パラメータと、第2パラメータと、第3パラメータとのそれぞれは、乱数と、ローカルに予め記憶されたキーKと、メッセージ認証コードとの任意の1つを含む。同期失敗パラメータが生成された後、同期失敗パラメータをキャリーする同期失敗メッセージが、コアネットワークデバイスに送信される。第1パラメータと、第2パラメータと、第3パラメータとは、互いに異なっていてよく、即ち、1つのパラメータがメッセージ認証コードであるか、又は第1パラメータと、第2パラメータと、第3パラメータとのうちのパラメータが同じであってよい。
以上の方法によれば、コアネットワークデバイスからの第1シーケンス番号と、端末デバイスがローカルに予め記憶している第2シーケンス番号との間の差が比較的大きい場合には、端末デバイスは、第2シーケンス番号を同期失敗パラメータに含ませることにより、コアネットワークデバイスに第2シーケンス番号を通知してよい。ただし、同期失敗パラメータの認証キーの生成プロセスにおいては、メッセージ認証コードが導入される。これにより、生成された認証キーが大きく変化することが保証されるため、生成された同期失敗パラメータも大きく変化する。攻撃者が端末デバイスから2つの同期失敗パラメータを取得したとしても、攻撃者は、単純な排他的論理和演算を使用して第2シーケンス番号の値が推定できない。これにより、第2シーケンス番号のセキュリティが確保される。
可能な設計において、認証キーは、複数の方式で、第1パラメータと第1参照値とに基づいて生成されてよい。以下に、複数の方式のうち2つを挙げる。
方式1:第1参照値は乱数とメッセージ認証コードとに基づいて生成される。例えば、f5関数の2つの入力値として乱数とメッセージ認証コードとを使用し、第1参照値を生成する。認証キーは第1参照値とキーKとに基づいて生成される。例えば、第1参照値とキーKとはf5関数の2つの入力値として使用され、認証キーを生成する。
方式2:第1参照値はキーKとメッセージ認証コードとに基づいて生成される。例えば、キーKとメッセージ認証コードとはf5関数の2つの入力値として使用され、第1参照値を出力する。認証キーは第1参照値と乱数とに基づいて生成される。例えば、第1参照値と乱数とはf5関数の2つの入力値として使用され、認証キーを出力する。
上述の方法によれば、認証キーは、2つのダブル入力及び単一出力の演算(即ち、入力値の数が2であり、出力値の数が1である)を使用して生成される。演算プロセスでは、1つの演算の入力値としてメッセージ認証コードを導入するので、第2シーケンス番号のセキュリティが確保でき、第2シーケンス番号を容易に識別できないようにする。
可能な設計では、代替的に、乱数とキーKとに基づいて第1参照値を生成してよい。例えば、乱数とキーKとをf5関数の2つの入力値として使用し、出力値を第1参照値としてよい。次に、認証キーは、第1参照値とメッセージ認証コードとに基づいて生成される。例えば、f5関数の2つの入力値として、第1参照値とメッセージ認証コードとを使用してよく、出力値を認証キーとして使用する。
上記の方法によれば、認証キーは、乱数、キーK、メッセージ認証コードの2つのダブル入力、単一出力の演算により生成されるため、認証キーの生成方式が複雑になり、第2シーケンス番号が容易に識別できず、第2シーケンス番号のセキュリティが確保できる。
可能な設計では、乱数とキーKとに基づいて第1参照値が生成される場合に、f5関数に加えて、排他的論理和演算などの別の演算を代わりに使用してよい。言い換えると、第1参照値は、乱数とキーKとに対して実行される排他的論理和演算を使用して生成される。
以上の方法によれば、排他的論理和演算の計算量は比較的小さく、第1参照値を生成する効率を効果的に向上させることができる。従って、認証キーが比較的迅速に生成でき、さらに第2シーケンス番号のセキュリティが確保できる。
可能な設計では、第1参照値とメッセージ認証コードとに基づいて認証キーを生成する場合には、f5関数に加えて、排他的論理和演算を使用してよい。言い換えると、認証キーは、第1参照値とメッセージ認証コードとに対して実行される排他的論理和演算を使用して生成される。
上記の方法によれば、排他的論理和演算の計算量は比較的小さく、認証キーの生成効率を効果的に向上させることができる。従って、同期失敗パラメータが比較的迅速に生成でき、第2シーケンス番号のセキュリティも確保できる。
可能な設計では、同期失敗メッセージをコアネットワークデバイスに送信する前に、端末デバイスはさらに、認証キーの生成方式をコアネットワークデバイスに通知してよい。例えば、端末デバイスは、第1指示メッセージを送信してよい。ここで第1指示メッセージは、認証キーの生成方式を示すために使用される。第1指示メッセージは、明示的に示されてよく、又は暗示的に示されてよい。これは、本出願のこの実施形態において限定されない。
上述の方法によれば、コアネットワークデバイスは、第1指示メッセージに基づいて認証キーの生成方式を学習することができる。これは、第2シーケンス番号を同期失敗パラメータから正確に取得するのに役立つことができる。
可能な設計では、同期失敗メッセージは、第1指示メッセージをキャリーすることができ、第1指示メッセージは、認証キーの生成方式を示すために使用される。
前述の方法によれば、コアネットワークデバイスは、同期失敗メッセージにキャリーされる第1指示メッセージに基づいて、認証キーの生成方式を学習することができる。これは、第2シーケンス番号を同期失敗パラメータから正確に取得するのに役立つことができる。そして、シグナリングを効果的に低減できるように、第1指示メッセージを別々に送る必要がない。
第2の態様によれば、本出願の実施形態は、パラメータ送信方法を提供する。この方法は、コアネットワークデバイス又はコアネットワークデバイス内のチップによって実行してよい。この方法は、以下を含む。コアネットワークデバイスは、認証プロセスの中で、乱数と第1シーケンス番号とを端末デバイスに送信してよい。例えば、コアネットワークデバイスは、統合データ管理ネットワーク要素であってよい。統合データ管理ネットワーク要素は、乱数と第1シーケンス番号とをキャリーする認証応答を、セキュリティアンカー機能ネットワーク要素に送信してよい。次に、セキュリティアンカー機能ネットワーク要素は、ユーザ認証要求を使用して、乱数と第1シーケンス番号とを端末デバイスに送信してよく、第1シーケンス番号は認証トークンでキャリーされてよい。次に、コアネットワークデバイスは、端末デバイスから同期失敗メッセージを受信し、ここで同期失敗メッセージが同期失敗パラメータをキャリーする。コアネットワークデバイスは、同期失敗パラメータからメッセージ認証コードを取得する。次に、コアネットワークデバイスは、認証キーに基づいて同期失敗パラメータから第2シーケンス番号を取得し、ここで、認証キーの生成方式は、端末デバイス側の認証キーの生成方式と同一であり、具体的には、第2パラメータと第3パラメータとに基づいて第1参照値を生成してよく、第1パラメータと第1参照値とに基づいて認証キーを生成してよい。第1パラメータと第2パラメータと第3パラメータとのそれぞれには、乱数と、端末デバイスのキーKと、メッセージ認証コードとのいずれかを含む。第1パラメータと、第2パラメータと、第3パラメータとは、互いに異なっていてよく、即ち、1つのパラメータがメッセージ認証コードである。又は第1パラメータと、第2パラメータと、第3パラメータとのうちのパラメータが同じであってよい。
上記方法によれば、コアネットワークデバイスは、認証キーに基づいて、同期失敗パラメータから第2シーケンス番号が取得できる。コアネットワークデバイスは、認証キーの生成プロセスにおいてメッセージ認証コードを導入し、さらに同期失敗パラメータから第2シーケンス番号が正確に取得できる。攻撃者が端末デバイスから同期失敗パラメータを取得したとしても、単純な排他的論理和演算を使用して第2シーケンス番号の値が推定できないので、第2シーケンス番号がコアネットワークデバイスに安全に送信できることが分かる。
可能な設計において、認証キーは、複数の方式で、第1パラメータと第1参照値とに基づいて生成されてよい。以下に、複数の方式のうち2つを挙げる。
方式1:第1参照値は乱数とメッセージ認証コードとに基づいて生成される。例えば、f5関数の2つの入力値として乱数とメッセージ認証コードとを使用し、f5関数の出力値を第1参照値とする。認証キーは第1参照値とキーKとに基づいて生成される。例えば、第1参照値とキーKとはf5関数の2つの入力値として使用され、f5関数の出力値は認証キーとして使用される。
方式2:第1参照値はキーKとメッセージ認証コードとに基づいて生成される。例えば、キーKとメッセージ認証コードとはf5関数の2つの入力値として使用され、f5関数の出力値は第1参照値として使用される。認証キーは第1参照値と乱数とに基づいて生成される。例えば、第1参照値と乱数とはf5関数の2つの入力値として使用され、f5関数の出力値は認証キーとして使用される。
上記の方法によれば、認証キーは、2つのダブル入力及び単一出力の演算を使用して生成される。演算プロセスでは、1つの演算の入力値としてメッセージ認証コードを導入し、攻撃者は第2シーケンス番号を容易に識別することができないので、第2シーケンス番号のセキュリティが確保できる。
可能な設計では、代替的に、乱数とキーKとに基づいて第1参照値を生成してよい。例えば、乱数とキーKとをf5関数の2つの入力値として使用し、出力値を第1参照値としてよい。次に、認証キーは、第1参照値とメッセージ認証コードとに基づいて生成される。例えば、f5関数の2つの入力値として、第1参照値とメッセージ認証コードとを使用してよく、出力値を認証キーとして使用する。
上記の方法によれば、認証キーは、2つのダブル入力、単一出力を使用して、乱数と、キーKと、メッセージ認証コードとに基づいて生成されるため、認証キーの生成方式が複雑になり、第2シーケンス番号が容易に識別できないので、第2シーケンス番号のセキュリティが確保できる。
可能な設計では、乱数とキーKとに基づいて第1参照値が生成される場合に、f5関数に加えて、排他的論理和演算などの別の演算を代わりに使用してよい。言い換えると、第1参照値は、乱数とキーKとに対して実行される排他的論理和演算を使用して生成される。
以上の方法によれば、排他的論理和演算の計算量は比較的小さく、第1参照値を生成する効率を効果的に向上させることができる。従って、認証キーは比較的迅速に生成できる。
可能な設計では、第1参照値とメッセージ認証コードとに基づいて認証キーを生成する場合には、f5関数に加えて、排他的論理和演算を使用してよい。言い換えると、認証キーは、第1参照値とメッセージ認証コードとに対して実行される排他的論理和演算を使用して生成される。
上記の方法によれば、排他的論理和演算の計算量は比較的小さく、認証キーの生成効率を効果的に向上させることができる。従って、第2シーケンス番号は比較的迅速に取得できる。
可能な設計では、端末デバイスから同期失敗メッセージを受信する前に、コアネットワークデバイスは、端末デバイスから第1指示メッセージをさらに受信してよい。ここで、第1指示メッセージは認証キーの生成方式を示すために使用される。
上述の方法によれば、コアネットワークデバイスは、第1指示メッセージに基づいて認証キーの生成方式を学習することができる。これは、第2シーケンス番号を同期失敗パラメータから正確に取得するのに役立つことができる。
可能な設計では、同期失敗メッセージは、第1指示メッセージを含み、第1指示メッセージは、認証キーの生成方式を示すために使用される。
前述の方法によれば、コアネットワークデバイスは、同期失敗メッセージにキャリーされる第1指示メッセージに基づいて、認証キーの生成方式を学習することができる。これは、第2シーケンス番号を同期失敗パラメータから正確に取得するのに役立つことができる。そして、シグナリングを効果的に低減できるように、第1指示メッセージを別々に送る必要がない。
第3の態様によれば、本出願の実施形態は、パラメータ送信方法を提供する。この方法は、端末デバイス又は端末デバイス内のチップによって、実行されてよい。この方法は、次のものを含む。端末デバイスは、認証プロセスの中で、乱数と第1シーケンス番号とをコアネットワークデバイスから受信してよい。例えば、コアネットワークデバイスは、統合データ管理ネットワーク要素であってよい。端末デバイスが実行する認証プロセスの中で、統合データ管理ネットワーク要素は、乱数と第1シーケンス番号とをキャリーする認証応答を、セキュリティアンカー機能ネットワーク要素に送信してよい。次に、セキュリティアンカー機能ネットワーク要素は、ユーザ認証要求に乱数と第1シーケンス番号とを含ませ、ユーザ認証要求を端末デバイスに送信してよく、そこで、第1シーケンス番号を認証トークンでキャリーしてよい。次に、端末デバイスは、認証トークン内の第1シーケンス番号を取得し、第1シーケンス番号とローカルに予め記憶された第2シーケンス番号とを比較してよい。第1シーケンス番号とローカルに予め記憶された第2シーケンス番号との間の差が閾値よりも大きいと決定した後、端末デバイスは、認証キーを使用して第2シーケンス番号に対して対称暗号化を行い、同期失敗パラメータを生成する。ここで、認証キーは、乱数と、ローカルに予め記憶されたキーKとに基づいて生成される。その後、同期失敗メッセージがコアネットワークデバイスに送信され、同期失敗メッセージは同期失敗パラメータをキャリーする。
以上の方法によれば、コアネットワークデバイスからの第1シーケンス番号と、端末デバイスがローカルに予め記憶している第2シーケンス番号との間の差が比較的大きい場合には、端末デバイスは、同期失敗パラメータに第2シーケンス番号を含めて、コアネットワークデバイスに同期失敗パラメータを送信してよい。しかし、認証キーに基づいて第2シーケンス番号に対して行われる対称暗号化は、単純な排他的論理和演算ではない。攻撃者は、対称暗号化に使われるキー(即ち認証キー)を取得することができず、第2シーケンス番号を取得することができない。従って、SQNのセキュリティは向上される。
可能な設計では、同期失敗メッセージをコアネットワークデバイスに送信する前に、端末デバイスが同期失敗パラメータの生成方式を通知してよい。例えば、端末デバイスは、第1指示メッセージを送信してよく、第1指示メッセージは、同期失敗パラメータの生成方式を示すために使用される。第1指示メッセージは、明示的に示されてよく、又は暗示的に示されてよい。これは、本出願のこの実施形態において限定されない。
上述の方法によれば、コアネットワークデバイスは、第1指示メッセージに基づいて、同期失敗パラメータの生成方式を学習することができる。これは、第2シーケンス番号を同期失敗パラメータから正確に取得するのに、役立つことができる。
可能な設計では、同期失敗メッセージは第1指示メッセージを含み、第1指示メッセージは、同期失敗パラメータの生成方式を示すために使用される。
上述の方法によれば、コアネットワークデバイスは、同期失敗メッセージにキャリーされる第1指示メッセージに基づいて、同期失敗パラメータの生成方式を学習することができる。これは、第2シーケンス番号を同期失敗パラメータから正確に取得するのに役立つことができる。そして、シグナリングを効果的に低減できるように、第1指示メッセージを別々に送る必要がない。
第4の態様によれば、本出願の実施形態は、パラメータ送信方法を提供する。この方法は、コアネットワークデバイス又はコアネットワークデバイス内のチップによって実行してよい。この方法は、以下を含む。コアネットワークデバイスは、認証プロセスの中で、乱数と第1シーケンス番号とを端末デバイスに送信してよい。例えば、コアネットワークデバイスは、統合データ管理ネットワーク要素であってよく、統合データ管理ネットワーク要素は、認証応答をセキュリティアンカー機能ネットワーク要素に送信してよく、認証応答は、乱数と、第1シーケンス番号をキャリーする認証トークンとを含む。次に、セキュリティアンカー機能ネットワーク要素は、ユーザ認証要求における乱数と第1シーケンス番号とを含み、ユーザ認証要求を端末デバイスに送信してよい。次に、コアネットワークデバイスは、端末デバイスから同期失敗メッセージを受信してよい。ここで同期失敗メッセージが同期失敗パラメータをキャリーする。コアネットワークデバイスは、認証キーに基づいて同期失敗パラメータに対して対称復号化を実行してよく、第2シーケンス番号を取得する。この場合に、認証キーは、乱数と端末デバイスのキーKとに基づいて生成される。
上述の方法によれば、コアネットワークデバイスは、認証キーに基づいて同期失敗パラメータに対して対称復号化を行い、第2シーケンス番号を取得してよい。攻撃者が同期失敗パラメータを取得したとしても、攻撃者は、単純な演算を使用して第2シーケンス番号の値を推定できないので、第2シーケンス番号はコアネットワークデバイスに安全に送信できることが分かる。
可能な設計では、端末デバイスから同期失敗メッセージを受信する前に、コアネットワークデバイスはさらに、端末デバイスから第1指示メッセージを受信してよく、この場合に、第1指示メッセージは認証キーの生成方式を示すために使用される。
前述の方法によれば、コアネットワークデバイスは、第1指示メッセージに基づいて、同期失敗パラメータの生成方式を学習することができる。これは、第2シーケンス番号を同期失敗パラメータから正確に取得するのに役立つことができる。
可能な設計では、同期失敗メッセージは第1指示メッセージを含み、第1指示メッセージは、認証キーの生成方式を示すために使用される。
前述の方法によれば、コアネットワークデバイスは、同期失敗メッセージにキャリーされる第1指示メッセージに基づいて、同期失敗パラメータの生成方式を学習することができる。これは、第2シーケンス番号を同期失敗パラメータから正確に取得するのに役立つことができる。そして、シグナリングを効果的に低減できるように、第1指示メッセージを別々に送る必要がない。
第5の態様によれば、本出願の実施形態は、通信装置をさらに提供する。通信装置は、端末デバイスに使用される。有益な効果については、第1の態様又は第3の態様の記載を参照するものとする。詳細は、ここでは再度説明しない。装置は、第1の態様又は第3の態様の方法例での動作を実施する機能を有する。この機能は、ハードウェアによって実現されてよいし、又は対応するソフトウェアを実行するハードウェアによって実現されてよい。ハードウェア又はソフトウェアは、前述の機能に対応する1つ以上のモジュールを含む。可能な設計では、装置の構造は、受信ユニットと、処理ユニットと、送信ユニットとを含む。このユニットは、第1の態様の方法例において対応する機能を実行してよい。詳細については、方法例の詳細な説明を参照するものとする。詳細は、ここでは再度説明しない。
第6の態様によれば、本出願の実施形態は、通信装置をさらに提供する。通信装置は、コアネットワークデバイスに使用される。有益な効果については、第2の態様又は第4の態様の記載を参照するものとする。詳細は、ここでは再度説明しない。装置は、第2の態様又は第4の態様の方法例での動作を実施する機能を有する。この機能は、ハードウェアによって実現されてよいし、又は対応するソフトウェアを実行するハードウェアによって実現されてよい。ハードウェア又はソフトウェアは、前述の機能に対応する1つ以上のモジュールを含む。可能な設計では、装置の構造は、送信ユニットと、受信ユニットと、処理ユニットとを含む。このユニットは、第2の態様又は第4の態様の方法例において対応する機能を実行してよい。詳細については、方法例の詳細な説明を参照するものとする。詳細は、ここでは再度説明しない。
第7の態様によれば、本出願の実施形態は、通信装置をさらに提供する。通信装置は、端末デバイスに使用される。有益な効果については、第1の態様又は第3の態様の記載を参照するものとする。詳細は、ここでは再度説明しない。通信装置の構造は、プロセッサとメモリとを含む。プロセッサは、第1の態様又は第3の態様の方法において対応する機能を実行する際に、通信装置をサポートするように構成されている。メモリは、プロセッサに結合され、通信装置に必要なプログラム命令とデータとを記憶する。通信装置の構造は、さらに、他のデバイスと通信するように構成されたトランシーバを含む。
第8の態様によれば、本出願の実施形態は、通信装置をさらに提供する。通信装置は、コアネットワークデバイスに使用される。有益な効果については、第2の態様又は第4の態様の記載を参照するものとする。詳細は、ここでは再度説明しない。通信装置の構造は、プロセッサとメモリとを含む。プロセッサは、第2の態様又は第4の態様の方法において対応する機能を実行する際に、通信装置をサポートするように構成されている。メモリは、プロセッサに結合され、通信装置に必要なプログラム命令とデータとを記憶する。通信装置の構造は、さらに、他のデバイスと通信するように構成されたトランシーバを含む。
第9の態様によれば、本出願は、さらに、命令を記憶するコンピュータ可読な記憶媒体を提供する。命令がコンピュータ上で実行された場合に、コンピュータは前述の態様に従って方法を実行することが可能にされる。
第10の態様によれば、本出願は、さらに、命令を備えているコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で実行された場合に、コンピュータは前述の態様に従って方法を実行することが可能にされる。
第11の態様によれば、本出願は、さらに、メモリに接続されているコンピュータチップを提供する。コンピュータチップは、メモリに記憶されているソフトウェアプログラムを読み出し及び実行するように構成され、前述の態様に従って方法を実行する。
本出願の実施形態の目的、技術的解決策、及び利点をより明確にするために、添付の図面を参照して、以下にさらに、本出願の実施形態を詳細に記載する。また、方法の実施形態における特定の演算方式を、装置の実施形態、又はシステムの実施形態に適用してよい。なお、本出願の記載においては、別段の定めがない限り、「複数」とは、2つ又は2つ以上を意味するものである。また、本出願の実施形態の記載においては、「第1」及び「第2」のような用語は、区別説明の目的のためにのみ使用されることが理解されるものとする。これは、相対的に重要である旨の表示又は暗示として理解することはできず、順序の表示又は暗示として理解することはできない。
図1Aは、本出願で使用される可能なネットワークアーキテクチャーの概略図である。ネットワークアーキテクチャーは、5Gネットワークアーキテクチャーである。5Gアーキテクチャーのネットワーク要素には、ユーザ機器が含まれる。図1Aでは、端末デバイスがUEである例を使用する。ネットワークアーキテクチャーは、さらに、無線アクセスネットワーク(radio access network, RAN)、アクセス及び移動度管理機能(access and mobility function, AMF)、統合データ管理(unified data management, UDM)、認証サーバ機能(authentication server function, AUSF)、セキュリティアンカー機能(security anchor function, SEAF)などを含む。
RANの主な機能は、移動通信ネットワークに無線でアクセスするためのユーザ制御である。RANは移動通信システムの一部であり、無線アクセス技術を実施している。概念的には、RANは、デバイス(例えば、携帯電話、コンピュータ、又は任意のリモートコントローラ)間に駐留し、デバイスのコアネットワークへの接続を提供する。
AMFネットワーク要素は、例えば、登録管理、接続管理、移動度管理、到達可能性管理など、端末のアクセス管理及び移動度管理に責任を負う。実際の応用の中で、AMFネットワーク要素は、LTEのネットワークフレームワーク内に移動度管理エンティティ(mobility management entity, MME)の移動度管理機能を含み、さらにアクセス管理機能を含む。
SEAFネットワーク要素は、UEに対する認証を完了するように設定されている。5Gでは、SEAFの機能をAMFに組み合わせてよい。
AUSFネットワーク要素は、認証サーバ機能を有し、SEAFネットワーク要素によって要求された認証に応答するように構成されている。認証プロセスの中で、AUSFネットワーク要素は、UDMから送信された認証ベクトルを受信し、認証ベクトルを処理し、処理された認証ベクトルをSEAFに送信する。
UDMネットワーク要素は、ユーザのサブスクリプション情報を記憶してよく、認証パラメータを生成するなどしてよい。
ARPFネットワーク要素は、認証情報リポジトリと処理機能とを有し、ユーザの長期認証情報、例えば永久キーKを記憶するように構成されている。5Gでは、ARPFネットワーク要素の機能をUDMネットワーク要素に結合してよい。
さらに、本出願における端末デバイスは、ユーザ機器(user equipment, UE)と呼ばれ、無線トランシーバ機能を有する装置であってよく、陸上に展開されてよい。その展開は、屋内又は屋外、又はハンドヘルド又は車両搭載の展開を含んでよく、水上(例えば、船上)に展開されてよく、又は空中(例えば、航空機、気球、及び衛星上)に展開されてよい。端末デバイスは、携帯電話(mobile phone),タブレットコンピュータ(pad),無線トランシーバ機能を有するコンピュータ,バーチャルリアリティ(virtual reality, VR)端末,拡張リアリティ(augmented reality, AR)端末,産業制御(industrial control)の無線端末,自走(self driving)の無線端末,遠隔医療(remote medical)の無線端末,スマートグリッド(smart grid)の無線端末,輸送安全(transportation safety)の無線端末,スマートシティ(smart city)の無線端末,スマートホーム(smart home)の無線端末などであってよい。
図1Bは、本出願の一実施形態によるUEの概略構造図である。UEには、ユニバーサル加入者識別モジュール(universal subscriber identity module, ユニバーサル加入者識別モジュール、USIM)とモバイル機器(mobile equipment, ME)モジュールとの2つのモジュールがある。
USIMは、UE内のSIMカードであってよく、UEのいくつかの比較的重要なサブスクリプション情報、例えば、本出願のこの実施形態において、UEとホームネットワークとの間でサブスクリプションのために合意されたキーKを記憶してよい。USIMは、さらに、いくつかのパラメータ計算を実行してよく、本出願のこの実施形態において、メッセージ認証コードと同期失敗パラメータとを生成してよい。
MEモジュールは、UE内のUSIM以外のハードウェアコンポーネント及びソフトウェアプログラムを指してよい。通常、MEモジュールはセキュリティ要求の高いUEのサブスクリプション情報を記憶しない。MEモジュールは、USIMとネットワーク側との間の情報転送を実施することを含む、いくつかの補助機能を提供してよい。
本出願の実施形態で、SEAFネットワーク要素及びAUSFネットワーク要素は、同一のネットワーク内に配置されてよく、又は異なるネットワーク内に配置されてよい。例えば、SEAFネットワーク要素は、サービスネットワーク(serving network)に配置され、例えば、ローミングシナリオでは、SEAFネットワーク要素は、訪問された公衆陸上移動体ネットワーク(visited public land mobile network, VPLMN)に配置される。AUSFネットワーク要素は、ホームネットワーク(home network)に配置される。UEがホームネットワークのカバー範囲外にある場合に、UEはホームネットワークに直接アクセスしてサービスを得ることができない。
UEがホームネットワークのカバー範囲外で、かつサービスネットワークのカバー範囲内にある場合に、サービスネットワークによって提供されるネットワークサービスを得るために、UEはサービスネットワークにアクセスする必要がある。UEはサービスネットワークにサブスクリプションを行っていないので、UEがサービスネットワークのネットワークサービスを取得できるようにするためには、サービスネットワークはUE上で認証を実行する必要があり、ホームネットワークとUEとは相互認証を実行する必要がある。UEがホームネットワークの範囲内にある場合に、UEはホームネットワークにアクセスする必要があり、さらにホームネットワークとUEとは相互認証を実行する必要がある。
相互認証プロセスの中で、UE側の第1SQNが、UDMネットワーク要素によって記憶された第2SQNと同じであるか、又は第1SQNと第2SQNとの間の差がプリセット範囲内にあることを決定する必要がある。第1SQNと第2SQNとが異なる場合に、又は差がプリセット範囲内にない場合は、UE側のSQNとUDMネットワーク要素に記憶されているSQNとを同期させる必要がある。
図2は、図1Aに示すシステムフレームワークに基づく、既存の第5世代移動通信技術認証及び鍵の合意(第5世代認証及び鍵の合意、5G-AKA)の方法の概略図である。
ステップ201:UEは、登録要求に暗号化されたユーザ識別子を含ませ、登録要求をSEAFネットワーク要素に送信する。
例えば、UEは、サブスクリプション秘匿識別子(subscription concealed identifier, SUCI)を生成するために、サブスクリプション永久識別子(subscription permanent identifier, SUPI)を暗号化してよい。UEは、登録要求にSUCIを含ませ、登録要求をSEAFネットワーク要素に送信する。
可能な実施では、UEは、暗号化されたユーザ識別子を取得するために、設定された公開キーを使用して、ユーザ識別子を暗号化する。任意には、複数の公開キーと秘密キーとのペアがネットワーク内に存在する場合に、ユーザ識別子を暗号化するとき、UEは、ネットワークに対して、ユーザ識別子を暗号化するためにUEによって使用される特定の公開キーを示してよい。それにより、ネットワークは、復号化のために、UEの表示に基づいて対応する秘密キーを選択する。例えば、UEは、さらに、登録要求において、暗号化されたユーザ識別子を復号化するために、暗号化されたユーザ識別子とともに使用されるキー識別子を含み、登録要求をSEAFネットワーク要素に送信する。
ステップ202:ホームネットワークからUEの認証ベクトルとユーザ識別子とを取得するために、SEAFネットワーク要素は、暗号化されたユーザ識別子を認証要求に含め、認証要求をホームネットワークのAUSFネットワーク要素に送信する。
任意には、認証要求はさらにキー識別子をキャリーする。
ステップ203:AUSFネットワーク要素は、UE認証取得要求に暗号化されたユーザ識別子を含ませ、UDMネットワーク要素にUE認証取得要求を送信する。
任意には、UE認証取得要求は、さらにキー識別子をキャリーする。
ステップ204:UDMネットワーク要素は、暗号化されたユーザ識別子を復号化してユーザ識別子を取得する。UDMネットワーク要素は、ユーザ識別子に基づいて、ユーザ識別子に対応するUEのサブスクリプション情報を問い合わせる。
任意には、UE認証取得要求がキー識別子をキャリーする時、UDMネットワーク要素は、キー識別子に基づいて復号化キーを取得し、復号化キーを使用して暗号化されたユーザ識別子を復号化し、復号化されたユーザ識別子を取得する。
ステップ205:UDMネットワーク要素は、UEのサブスクリプション情報に基づいて認証ベクトルを生成し、ここで、認証ベクトルは、複数のパラメータを含む。複数のパラメータは、メッセージ認証コード(message authentication code, MAC)、RAND、期待される応答(eXpected RESponse, XRES*)、及びKAUSFを含む。さらに、UDMネットワーク要素は、ローカルに予め記憶された第1SQNを取得し、第1SQNとMACとは、認証トークン(authentication token, AUTN)に含まれる。
このようにして、認証ベクトルは、RAND、第1SQNとMACとをキャリーするAUTN、XRES*、及びKAUSFを含んでよい。
認証ベクトルのRANDは、UDMネットワーク要素によってランダムに生成される。認証ベクトル内の他のパラメータについては、UDMネットワーク要素は、UEとRANDとのサブスクリプション情報におけるUEのキーKに基づいて、異なる演算を使用して、MAC、XRES*、及びKAUSFを生成してよい。
言い換えれば、UDMネットワーク要素は、別の演算方式で、UEとRANDとのキーKに基づいて、MAC、XRES*、及びKAUSFを生成する必要がある。例えば、UDMネットワーク要素がMAC、キーK及びRANDを生成する場合に、別のパラメータが導入されてよい。例えば、第1SQNと認証管理フィールド(authentication management field, AMF)とを使用してよい。AMFは、使用されているセキュリティ認証アルゴリズムを示してよく、UEは、AMFについて学習することができる。
MACは完全性チェックに使用され、XRES*はホームネットワークによるUEに対する認証に使用され、KAUSFはUEとAUSFネットワーク要素との間で同期した派生キーであり、アンカーキーKSEAFを導出するために使用される。
以下に、AUTNの生成方式を説明する。
UDMネットワーク要素とUEとの両方が、ローカルにSQNを維持する。本出願のこの実施形態では、UDMネットワーク要素によって維持されるSQNが第1SQNであり、UE側によって維持されるSQNが第2SQNである、例。UDMネットワーク要素は、認証ベクトルにAUTNを生成するために、ローカルに予め記憶された第1SQNを呼び出す。AUTNの生成後、第1SQNが更新される。例えば、第1SQNの値は1だけ増加される。相互認証が端末で行われる次のときに、更新された第1SQNは、認証ベクトルにAUTNを生成するために、第1SQNとしてローカルに記憶される。
UDMネットワーク要素は、第1演算(例えば、f5*、又はf5関数又はf5演算と称してよい)を使用して、UEのRANDとキーKとに基づいて認証キー(AK)を生成する。次に、UDMネットワーク要素は、ローカルに予め記憶された第1SQNとAKとに対して排他的論理和演算を実行し、生成された結果値の後にMACを連結する。
AUTNに最後に固定された複数の
ビットが、MACであることが分かる。
任意にはさらに、AMFはAUTNでキャリーされてよい。
ステップ206:UDMネットワーク要素は、認証取得応答をAUSFネットワーク要素に送信する。ここで、認証取得応答は、認証ベクトルとユーザ識別子とを含む。
ステップ207:AUSFネットワーク要素は、認証ベクトルをさらに処理し、例えば、HXRES*を生成するためにXRES*に対してハッシュ演算を実行し、KSEAFを生成するためにKAUSFに基づく導出を実行する。ここで、処理された認証ベクトルは、RAND、AUTN、及びHXRES*を含む。
ステップ208:AUSFネットワーク要素は、認証応答をSEAFネットワーク要素に送信し、ここで、認証応答は、処理された認証ベクトルをキャリーする。
ステップ209:SEAFネットワーク要素は、ユーザ認証要求をUEに送信し、ユーザ認証要求は、処理された認証ベクトル内のいくつかのパラメータをキャリーし、パラメータは、RANDとAUTNとを含む。
ステップ210:UEは、第1演算を使用して、RANDとローカルに記憶されたキーKとに基づいて、認証キー(AK)を生成し、AUTN内のMACを除去する。また、AUTN中のMACを除去した後のAUTNの残余部分とAKとに排他的論理和演算を実行し、AUTNでキャリーされる第1SQNを取得する。
第1演算がf5*の例。f5*はパラメータOUT5の最初の48ビットを出力するために使用され、OUT5は次のように計算される。
RANDとKとはf5*の入力値であり、OP,c5,r5は定数であり、Eはブロック暗号演算であり、E[X]
Kは、Kを使用してブロック暗号がXに対して実行されることを示すために使用され、rotはシフト演算であり、
UEは、UEのUSIMに記憶されたキーKと受信したRANDとに基づいて、UDMネットワーク要素がMACを生成するのと同じ方式でXMACを生成する。例えば、AMF及び第2SQNのような他のパラメータを導入することもできる。AMFはAUTNからUEによって取得される。ホームネットワークに対するUEの認証と完全性チェックは、XMACと、AUTNでキャリーされるMACとを比較することによって実施される。
ホームネットワーク上の認証が成功した後、UEに対する攻撃者によって開始されたリプレイ攻撃を軽減するために、UEは、ローカルに予め記憶された第2SQNに基づいて、第1SQNがプリセットされた範囲にあるか否かを決定してよい。
例えば、UEは、第1SQNとローカルに予め記憶された第2SQNとの間の差が、閾値以下であるか否かを決定する。差が閾値以下であれば、ホームネットワークは攻撃者ではないと考えられる。その後の演算は、継続されてよい。例えば、UEは、UDMネットワーク要素がXRES*を生成するのと同じ方式で、RANDとKとに基づいてRES*を生成する。UEは認証応答にRES*を含ませ、SEAFネットワーク要素に認証応答を送信する。UEは、ローカルに予め記憶された第2SQNを更新してよい。例えば、ローカルに予め記憶された第2SQNの値は1増加され、ユーザ認証要求が受信される次のときに、更新された第2SQNは、AUTNでキャリーされた第1SQNと比較される。
ステップ211:第1SQNとローカルに予め記憶された第2SQNとの間の差が閾値よりも大きい場合に、UEは同期失敗メッセージをSEAFネットワーク要素に送信し、そこで同期失敗メッセージはAUTSをキャリーし、任意にはさらにRANDをキャリーしてよい。
第1SQNとローカルに予め記憶された第2SQNとの間の差が閾値よりも大きいことは、ユーザ認証要求が攻撃者によって送信され得ること、又は、UDMネットワーク要素側にローカルに予め記憶された第1SQNが、UEによってローカルに予め記憶された第2SQNとは異なることを示す。UDMネットワーク要素側のSQNとUE側のSQNとの同期を確実にするために、第2SQNをキャリーするAUTSを送信してよい。
AUTSの生成方式は以下の通りである。
UEは、第1演算を使用して、RANDとローカルに記憶されたキーKとに基づいて認証キー(AK)を生成する。次に、UEはローカルに予め記憶された第2SQNとAKとに対して排他的論理和演算を実行し、生成された結果値の後にXMACを連結する。
AUTSの終端に固定された複数のビットが、XMACであることが分かる。
ステップ212:同期失敗メッセージを受信した後、SEAFネットワーク要素は同期失敗メッセージをAUSFネットワーク要素に送信する。
ステップ213:AUSFネットワーク要素は、同期失敗メッセージをUDMネットワーク要素に送信する。
ステップ214:同期失敗メッセージ受信後、UDMネットワーク要素は、UEのサブスクリプション情報のRANDとKとに基づいて認証キー(AK)を生成し、AUTSでのXMACを削除し、AKとAUTSの残余部分とに対して排他的論理和演算を行い、AUTSにキャリーされている第2SQNを取得する。
UDMネットワーク要素は、同期して第2SQNをローカルに記憶する。
前述の内容から、ホームネットワークから送信された第1SQNと第2SQNとの間の差が閾値よりも大きいと決定する場合に、UEはAUTSをホームネットワークにフィードバックする必要があることが分かる。しかし、AUTS内のXMACの位置が固定されており、XMACを除去した後に取得されたAUTSでキャリーされているAKは通常変更されていないことは、AUTSの生成方式から分かる。従って、2つのAUTSの処理を通して、AUTSでキャリーされているSQNが相互に近いか否かを決定することは非常に容易である。
例えば、2つのAUTS内のXMACによって占有されたビットは除去され、排他的論理和演算が、AUTSの残余部分に対して実行される。2つのAUTSが同じUEから来た場合に、AKは同じであり、排他的論理和の結果は2つのSQNの排他的論理和値である。2つのAUTSを送信する時点が比較的相互に近い場合に、2つのSQNは比較的近くにあり、排他的論理和の結果はゼロに近い比較的小さな値である。
前述のことから、2つのAUTSが得られれば、攻撃者は、2つのAUTSが同じUEから来ているか否かを、単純な演算を使用して決定する可能性があることが分かる。2つのAUTSが同じUEから来ることを決定した後、攻撃者はUEの情報を取得するためにUEを追跡する可能性がある。これは、情報漏洩を生じる可能性がある。
上記の説明では、ローミングシナリオにおける5G-AKA認証方式を例に使用している。UEとホームネットワークとの間の相互認証は、代替的に、別の認証方式、例えば、拡張可能な認証プロトコル(extensible authentication protocol, EAP)認証方式で実行されてよいが、AUSF上での処理演算には相違がある。EAP認証プロセスの中で、AUTSの生成方式は、図2に示す方式と同じである。詳しくは、前述の内容を参照するものとする。加えて、非ローミングシナリオでは、UEはホームネットワークに位置し、相互認証も実行される必要があることに留意するものとする。認証方式は、ローミングシナリオにおける認証方式と類似しているが、SEAFネットワーク要素と、AUSFネットワーク要素と、UDMネットワーク要素とが全てホームネットワークのネットワーク要素であるという点で相違がある。しかし、本出願の実施形態で提供されるパラメータ送信方法は、ローミング/非ローミングシナリオにおける5G-AKA認証プロセスと、ローミング/非ローミングシナリオにおけるEAP認証プロセスとの両方に適用可能である。
SQNのセキュリティを確保するために、本出願の実施形態では2つの方式が提供される。
方式1:認証キーは、SQNに対して対称暗号化を実行するために使用される。
この方式によれば、単純な排他的論理和演算ではなく、対称暗号化がSQNに対して実行される。このように、攻撃者は、対称暗号化に使われるキー(即ち認証キー)を取得することができず、SQNが取得できないため、SQNが容易に識別されず、SQNのセキュリティが向上する。
方式2:乱数とキーKとに加えて、認証キーを生成するプロセスにおいてもメッセージ認証コードが導入される。
メッセージ認証コードの導入により、異なる時刻に生成される認証キーが異なり、大きく変わる可能性があるため、認証キーを使用して生成されるAUTSも大きく変わる。このように、攻撃者が2つのAUTSを獲得したとしても、攻撃者は、単純な演算を用いて、SQNが互いに近接しているか否かを推定することができず、SQNのセキュリティが確保される。
当然、方式1及び方式2は、代替的に組み合わされてよい。メッセージ認証コードは、認証キーが生成されたときに導入され、生成された認証キーは、SQNに対して対称暗号化を実行するために使用される。これは、本出願の実施形態で限定されない。
以下に、2つの方式について説明する。
なお、以下の説明では、コアネットワークデバイスが統合データ管理ネットワーク要素である例を使用することに留意するものとする。コアネットワークデバイスが他のネットワーク要素であってよいことは、本出願の実施形態において限定されない。第1シーケンス番号を予め記憶してよく、第2シーケンス番号を端末デバイスと同期させる必要がある任意のネットワーク要素は、コアネットワークデバイスとして使用してよい。
方式1:認証キーは、SQNに対して対称暗号化を実行するために使用される。
図3に示すように、本出願の実施形態で提供されるパラメータ送信方法の方式1について説明する。この方法は、以下のステップを含む。
ステップ301:統合データ管理ネットワーク要素と端末デバイスとの間の認証プロセスの中で、統合データ管理ネットワーク要素は、乱数と第1シーケンス番号とを端末デバイスに送信することができる。
本出願のこの実施形態における認証プロセスの中で、端末デバイスとホームネットワークとの間の相互認証を実現するために、ホームネットワークは、端末デバイスが有効なIDを有し、ホームネットワークにサブスクリプションを行っていることを確実にする必要がある。端末デバイスは、ホームネットワークが悪意のあるネットワークでないことを確実にするために、ホームネットワークの有効性を確認する必要がある。
認証プロセスは、統合データ管理ネットワーク要素と端末デバイスとにそれぞれに記憶されたキーKに基づいて行われる。認証プロセスについては、図2に示す実施形態を参照するものとする。認証プロセスは、以下を含む。統合データ管理ネットワーク要素は、AUTNをキャリーする認証ベクトルを端末デバイスに送信する。端末デバイスが、AUTNにキャリーされているSQNが正しい範囲にあり(つまり、SQNとローカルに予め記憶されたSQNとの間の差が閾値以下である場合)、MACが正しいことを検証した場合に、ホームネットワークに対する端末デバイスの認証は成功する。認証が成功すると、端末デバイスはホームネットワークにXRES*を送信する。XRES*がRES*と同じであれば、端末デバイスに対するホームネットワークの認証は成功する。しかしながら、ホームネットワークに対する端末デバイスの認証が失敗する場合に、例えば、AUTNでキャリーされるSQNが正しい範囲にない場合(即ち、SQNとローカルに予め記憶されたSQNとの間の差が閾値よりも大きい場合)、端末デバイスは、ローカルに予め記憶されたSQNをホームネットワークと同期させる必要がある。本出願の本実施形態で提供されるパラメータ送信方法は、端末デバイスとホームネットワークとの間のSQN同期を実現するために使用されてよい。
ステップ302:端末デバイスは、第1シーケンス番号とローカルに予め記憶された第2シーケンス番号との間の差が閾値よりも大きいと決定する。
ステップ303:端末デバイスは、認証キーを使用して、ローカルに予め記憶された第2シーケンス番号に対して対称暗号化を実行し、同期失敗パラメータを生成する。ここで、認証キーは、乱数と、ローカルに予め記憶されたキーKとに基づいて生成される。
ステップ304:端末デバイスは、同期失敗メッセージを統合データ管理ネットワーク要素に送信し、同期失敗メッセージは、同期失敗パラメータをキャリーする。
ステップ305:統合データ管理ネットワーク要素は、同期失敗メッセージを受信した後、認証キーに基づいて同期失敗パラメータに対して対称復号化を実行し、第2シーケンス番号を取得する。ここで、認証キーは、乱数と端末デバイスのキーKとに基づいて生成される。
端末デバイスは、サービスネットワークやホームネットワークにアクセスする必要がある場合に、端末デバイスは、ホームネットワークとの相互認証を行ってよい。認証プロセスの中で、ホームネットワーク内の統合データ管理ネットワーク要素は、認証ベクトルを生成してよく、認証ベクトルは、乱数と、第1シーケンス番号をキャリーする認証トークンとを含む。認証トークンが第1シーケンス番号をキャリーする方式は、本出願のこの実施形態では制限されない。例えば、ステップ205の方式を使用してよい。認証ベクトルは、他のパラメータ、例えば、XRES*及びKAUSFをさらに含んでよい。これは、本出願のこの実施形態において限定されない。
認証ベクトルを生成した後、統合データ管理ネットワーク要素は、認証ベクトルを認証サーバ機能ネットワーク要素に送信してよい。認証サーバ機能ネットワーク要素は、認証ベクトルに対して何らかの処理を行ってよい。ステップ207で説明したように、処理された認証ベクトルは、認証応答でキャリーされ、セキュリティアンカー機能ネットワーク要素に送信される。あるいは、認証ベクトルに対して処理を行わなくてよい。認証ベクトルは認証応答で直接キャリーされ、セキュリティアンカー機能ネットワーク要素に送信される。
認証応答を受信した後、セキュリティアンカー機能ネットワーク要素は、認証ベクトル内のいくつかのパラメータを端末デバイスに送信し、その結果、端末デバイスは、受信したパラメータに基づいてホームネットワークと相互認証を行ってよい。ここで、パラメータは、乱数と認証トークンとを含む。
端末デバイスは、ユーザ認証要求で認証トークンを取得した後、まず認証トークンから第1シーケンス番号を取得する。端末デバイスが認証トークンから第1シーケンス番号を取得するプロセスは、統合データ管理ネットワーク要素が認証トークンを生成するプロセスと逆のプロセスである。
端末デバイスが認証トークンから第1シーケンス番号を取得する方式については、ステップ210の関連する説明を参照するものとする。詳細は、ここでは再度説明しない。
図2に示す実施形態で説明したように、端末デバイスと統合データ管理ネットワーク要素とは、それぞれにローカルにSQNを予め記憶する。統合データ管理ネットワーク要素によって予め記憶されたシーケンス番号は第1シーケンス番号であり、端末デバイスによって予め記憶されたシーケンス番号は第2シーケンス番号である。
端末デバイスは、リプレイ攻撃を緩和するため、また、現在受信されているユーザ認証要求が攻撃者によって開始されることを回避するために、第1シーケンス番号と第2シーケンス番号とを比較する。いくつかのシナリオでは、端末デバイスと統合データ管理ネットワーク要素とによってローカルに予め記憶されたSQNは、同じであるべきであるが、ある程度の逸脱がある可能性がある。例えば、UEとUDMネットワーク要素との間の以前の認証プロセスでは、UEとUDMネットワーク要素とはローカルに予め記憶されたSQNを更新しない。UDMネットワーク要素は、第1SQNの値を1だけ増加させる可能性がある。しかしUE側は、認証が失敗であるため、第2SQNの値を1だけ増加させない。従って、第1シーケンス番号と第2シーケンス番号とは異なってよいが、2つのシーケンス番号の差は閾値以下である必要がある。本出願のこの実施形態では、閾値の特定の値は、限定されない。対応する閾値は、応用シナリオに基づいて設定されてよい。
もし2つのシーケンス番号の差が閾値よりも大きいならば、2つの理由があり得る。1つは、端末デバイスがリプレイ攻撃を受けることであり、もう1つは、統合データ管理ネットワーク要素によって予め記憶された第1シーケンス番号と、第2シーケンス番号との偏差が、過大であることである。
その理由にかかわらず、端末デバイスは、統合データ管理ネットワーク要素と同期したシーケンス番号を維持し、統合データ管理ネットワーク要素にローカルに予め記憶された第2シーケンス番号を送信してよい。これにより、統合データ管理ネットワーク要素がローカルに予め記憶された第1シーケンス番号を第2シーケンス番号に置き換える。
ステップ303における対称暗号化は、暗号化キーと復号化キーとが同じである暗号化方式を意味する。特定の暗号化アルゴリズムは、本出願のこの実施形態では限定されない。暗号化キーと復号化キーとが同じである任意の暗号化アルゴリズムは、本出願のこの実施形態に適用可能である。
本出願のこの実施形態では、認証キーは、暗号化キーとして使用されてよい。対称暗号化アルゴリズムでは、入力値の長さと暗号化キーの長さとを固定する必要があり、最終的に暗号化された結果値の長さも固定する必要がある。
認証キーを使用して対称暗号化が第2シーケンス番号で実行される場合に、暗号化キーの長さと入力値の長さとは、対称暗号化アルゴリズムの要件を満たす必要がある。例えば、高度な暗号化標準(advanced encryption standard, AES)暗号化アルゴリズムが使用されている。AES暗号化アルゴリズムは、入力値の長さと暗号化キーの長さとの両方を128ビット(bit)にする必要がある。第2シーケンス番号の長さが128ビット未満である場合に、統合データ管理ネットワーク要素は、第2シーケンス番号にビットを追加してよく、例えば、プリセットシーケンス(例えば、全てが1のシーケンス又は全てが0のシーケンスであり、又は、UEと統合データ管理ネットワーク要素との両方によって学習できるシーケンスであってよい)を追加してよく、これにより、プリセットシーケンスが第2シーケンス番号に連結された後に得られた長さが、128ビットである。別の例では、1つ以上の同じ第2シーケンス番号が第2シーケンス番号の後に連結されてよく、第1ビットから始まる128ビットが入力値として使用される。第2シーケンス番号の長さが128ビットよりも長い場合に、統合データ管理ネットワーク要素は、第2シーケンス番号から1ビットを削除してよく、例えば、第2シーケンス番号のプリセットシーケンスを削除してよい(例えば、第2シーケンス番号の第1ビットから始まる部分を削除するが、削除されたプリセットシーケンスは、UEと統合データ管理ネットワーク要素との両方によって確実に学習できるようにする必要があり、その結果、統合データ管理ネットワーク要素は、その後、完全な第2シーケンス番号が回復できる)。その結果、調整された第2シーケンス番号の長さは128ビットである。
前述の説明では、例として、第2シーケンス番号のみが使用される。認証キーの長さが、暗号化キー上の対称暗号化アルゴリズムの長さの要件を満たさない場合に、認証キーはさらに、ビットを追加するか、ビットを削除することによって調整されてよい。
認証キー又は第2シーケンス番号を調整する方式は、本出願のこの実施形態では限定されない。調整された認証キー又は調整された第2シーケンス番号が、暗号化キー又は入力値に対する対称暗号化アルゴリズムの要件を満たすことができるようにする任意の方式が、本出願のこの実施形態に適用可能である。
認証キーを使用してローカルに予め記憶された第2シーケンス番号に対して対称暗号化を実行した後、端末デバイスは、同期失敗パラメータとして暗号化された第2シーケンス番号を使用してよく、又は、同期失敗パラメータを生成するために、対称暗号化された第2シーケンス番号をさらに処理してよい。
例えば、端末デバイスは、乱数とローカルに予め記憶されたキーKとに基づいてメッセージ認証コードを生成し、暗号化された第2シーケンス番号の後にメッセージ認証コードを連結して、同期失敗パラメータを生成してよい。また、別のパラメータをメッセージ認証コードの生成に導入してよい。例えば、メッセージ認証コードは、乱数と、ローカルに予め記憶されたキーKと、AMFと、第2シーケンス番号とに基づいて生成されてよい。
なお、本出願の本実施形態における端末デバイスによる同期失敗パラメータの生成方式は、図2に示す実施形態におけるAUTSの生成方式とは異なるので、本出願の本実施形態において提供される方式で同期失敗パラメータを生成するためには、端末デバイスをアップグレードする必要があることに留意するものとする。例えば、端末デバイスのユニバーサル加入者識別モジュール(universal subscriber identity module, USIM)をアップグレードしてよい。
同期失敗パラメータを生成した後、端末デバイスは同期失敗パラメータを同期失敗メッセージに含めてよい。任意には、同期失敗メッセージは、乱数をさらに含む。
端末デバイスは、同期失敗メッセージをセキュリティアンカー機能ネットワーク要素に送信してよい。セキュリティアンカー機能ネットワーク要素は、同期失敗メッセージを認証サーバ機能ネットワーク要素に転送する。認証サーバ機能ネットワーク要素は、同期失敗メッセージを統合データ管理ネットワーク要素に送信する。
なお、統合データ管理ネットワーク要素は、同期失敗パラメータを受信した場合に、端末デバイスが同期失敗パラメータを生成する具体的な方式を知ることができないことに留意するものとする。なお、統合データ管理ネットワーク要素は、図2に示す実施形態の方式において、端末デバイスが同期失敗パラメータを生成すると判断した場合には、第2シーケンス番号を正確に取得することができない。上述の状況を避けるために、端末デバイスと統合データ管理ネットワーク要素とは、事前に同期失敗パラメータの生成方式について合意してよい。あるいは、端末デバイスは、統合データ管理ネットワーク要素に同期失敗メッセージを送信する前に、統合データ管理ネットワーク要素に第1指示メッセージを送信して、同期失敗パラメータの生成方式を示してよい。本出願のこの実施形態では、指示方式は限定されない。明示的な指示方式が使用されてよい。例えば、第1指示メッセージは、同期失敗パラメータが対称暗号化方式で生成されることを示してよく、第1指示メッセージを受信した場合に、統合データ管理ネットワーク要素は、後に受信した同期失敗パラメータが対称暗号化方式で生成されることを決定してよい。あるいは、暗黙の指示方式が使用されてよい。別の例では、第1指示メッセージは、端末デバイス(例えば、USIMカード)のアップグレード後の対称暗号化方式で同期失敗パラメータが生成されたことを示してよく、又は、端末デバイス(例えば、USIMカード)がアップグレードされたことを示してよく、又は、端末デバイス内のUSIMカードのR15、R16などのリリースを示してよい。第1指示メッセージを受信すると、統合データ管理ネットワーク要素は、端末デバイスのUSIMカードがアップグレードされたか否か、及びその後に受信された同期失敗パラメータが対称暗号化方式で生成されたか否かを決定してよい。
任意には、第1指示メッセージを送信する前に、端末デバイスは、第1指示メッセージをさらに暗号化してよい。暗号化方式は、本出願のこの実施形態では限定されない。例えば、第1指示メッセージは、SUPI暗号化方式で暗号化されてよい。暗号化方式については、ステップ201の関連説明を参照するものとする。詳細は、ここでは再度説明しない。
可能な実施では、シグナリングを低減するために、統合データ管理ネットワーク要素に同期失敗メッセージを送信する場合に、端末デバイスは、第1指示メッセージを同時に送信し、第1指示メッセージは、同期失敗メッセージでキャリーされる。
第1指示メッセージの指示方式と送信方式とは、単なる例である。これらは、本出願のこの実施形態において限定されない。統合データ管理ネットワーク要素が同期失敗パラメータを学習することを可能にする任意の発生方式が、本出願のこの実施形態に適用可能である。
また、統合データ管理ネットワーク要素は、同期失敗パラメータから第2シーケンス番号を取得するために、端末デバイスが同期失敗パラメータを生成する方式とは逆の方式で第2シーケンス番号を取得する。言い換えると、統合データ管理ネットワーク要素は、対称復号化を実行する必要がある。対称復号化に使用されるキーは、依然として認証キーである。また、統合データ管理ネットワーク要素は、端末デバイスの場合と同じ方式で、端末デバイスのキーKと乱数とに基づいて認証キーを生成してよい。乱数は同期失敗メッセージにキャリーされてよい。他の可能な実施では、統合データ管理ネットワーク要素は、認証ベクトルが生成されたときにランダムに生成された乱数を記憶してよく、同期失敗メッセージを受信した後、端末デバイスのキーKと記憶された乱数とに基づいて認証キーを生成してよい。
端末デバイスがホームネットワークにサブスクリプションを行う場合に、キーKは合意され、このキーKは端末デバイスのサブスクリプション情報に記憶されることが理解されるものとする。端末デバイスのサブスクリプション情報は、統合データ管理ネットワーク要素に記憶されてよいし、又は、別のネットワーク要素(例えば、統一データリポジトリ(unified data repository, UDR)ネットワーク要素)に記憶されてよい。統合データ管理ネットワーク要素は、端末デバイスのサブスクリプション情報を他のネットワーク要素から取得してよく、キーKもまた、端末デバイスによってローカルに記憶される。
また、同期失敗パラメータの生成時に他のパラメータを導入する場合に、例えば、端末デバイスが第2シーケンス番号に対して対称暗号化を実行した後、メッセージ認証コードを暗号化値に連結した場合には、統合データ管理ネットワーク要素は、同期失敗パラメータのメッセージ認証コードを復号化前に削除してよく、同期失敗パラメータの残余部分に対して認証キーを使用して対称復号化を行ってよく、第2シーケンス番号を取得する。
第2シーケンス番号を取得した後、統合データ管理ネットワーク要素は、ローカルに記憶された第1シーケンス番号を直接置き換えてよい。あるいは、統合データ管理ネットワーク要素は、まず、第2シーケンス番号と第1シーケンス番号を比較し、第2シーケンス番号が第1シーケンス番号と異なることを決定した後、ローカルに記憶された第1シーケンス番号を置き換えてよい。あるいは、第2シーケンス番号が第1シーケンス番号と異なると決定した後、統合データ管理ネットワーク要素は、第1シーケンス番号を置き換えることはできない。
方式2:認証キーを生成するプロセスで、乱数とキーKとに加えて、さらにメッセージ認証コードが導入される。
図4に示すように、本出願の実施形態で提供されるパラメータ送信方法の方式2について説明する。この方法は、以下のステップを含む。
ステップ401:このステップは、ステップ301と同じである。詳細は、ステップ301の関連する説明を参照するものとする。詳細は、ここでは再度説明しない。
ステップ402:このステップは、ステップ302と同じである。詳細は、ステップ302の関連する説明を参照するものとする。詳細は、ここでは再度説明しない。
ステップ403:端末デバイスは、認証キーと第2シーケンス番号との排他的論理和値の後にメッセージ認証コードを連結し、認証キーは第1パラメータと第1参照値とに基づいて生成され、第1参照値は第2パラメータと第3パラメータとに基づいて生成され、第1パラメータと、第2パラメータと、第3パラメータとはそれぞれ、乱数と、ローカルに予め記憶されたキーKと、メッセージ認証コードとのうちのいずれかを含み、第1パラメータと、第2パラメータと、第3パラメータとは異なるパラメータである。
ステップ404:このステップは、ステップ304と同じである。詳細は、ステップ304の関連する説明を参照するものとする。詳細は、ここでは再度説明しない。
ステップ405:統合データ管理ネットワーク要素は、まず、同期失敗パラメータからメッセージ認証コードを取得し、次に、認証キーに基づいて、同期失敗パラメータから第2シーケンス番号を取得する。ここで、統合データ管理ネットワーク要素が認証キーを生成する方式は、端末デバイスが認証キーを生成する方式と同じである。
第2シーケンス番号のセキュリティを確保するために、2つのダブル入力と単一出力との演算(即ち、入力値が2であり、出力値が1である)を使用して認証キーを生成し、演算プロセスにメッセージ認証コードを導入する。認証キーの生成方式は、ダブル入力と単一出力との各演算で使用される異なるパラメータに基づいて、以下の3つの方式に分類されてよい。
方式1:第1参照値は乱数とメッセージ認証コードとに基づいて生成され、認証キーは第1参照値とキーKとに基づいて生成される。
端末デバイスは、まず、乱数とキーKとに基づいてメッセージ認証コードを生成してよい。例えば、メッセージ認証コードが生成されると、第2SQNやAMFなどの他のパラメータも導入してよい。メッセージ認証コードが生成された後、メッセージ認証コードと乱数とに基づいて第1参照値が生成されてよい。
乱数とメッセージ認証コードとに基づいて第1参照値を生成する演算方式は、本出願のこの実施形態では限定されない。2つのパラメータを使用して1つのパラメータを生成することができる任意の演算方式が、本出願のこの実施形態に適用可能である。例えば、第1参照値は、排他的論理和演算、排他的NOR演算、又は図2に示す実施形態の第1演算、即ちf5演算を使用して生成してよい。なお、f5演算の説明については、図2に示す実施形態の関連説明を参照するものとする。乱数とメッセージ認証コードとは、OUT5を生成する式のRANDとKとをそれぞれに置き換えてよい。
第1参照値が生成された後、端末デバイスは、第1参照値とキーKとに基づいて認証キーを生成してよい。同様に、第1参照値とキーKとに基づいて認証キーを生成する演算方式は、本出願のこの実施形態で限定されない。認証キーは、第1参照値を生成するのと同じ演算方式を使用して生成されてよいし、異なる演算方式を使用して生成されてよい。これは、本出願のこの実施形態において限定されない。2つのパラメータを使用して1つのパラメータが生成できる任意の演算方式が、本出願のこの実施形態に適用可能である。例えば、認証キーは、排他的論理和演算、乗算演算、又は図2に示す実施形態の第1演算、即ちf5演算を使用して生成してよい。なお、f5演算の説明については、図2に示す実施形態の関連説明を参照するものとする。キーKと第1参照値とは、OUT5を生成する式のRANDとKとをそれぞれに置き換えてよい。
方式2:第1参照値はキーKとメッセージ認証コードとに基づいて生成され、認証キーは第1参照値と乱数とに基づいて生成される。
方式1とは異なり、方式2では、まず、第1参照値はキーKとメッセージ認証コードとに基づいて生成され、次に、認証キーは第1参照値と乱数とに基づいて生成される。言い換えると、キーKと乱数との導入順序は、方式1でのキーKと乱数との導入順序と逆になる。使用されている演算方式については、方式1の関連記述を参照するものとする。詳細は、ここでは再度説明しない。
方式3:第1参照値は乱数とキーKとに基づいて生成され、認証キーは第1参照値とメッセージ認証コードとに基づいて生成される。
方式3で、第1参照値は乱数とキーKとに基づいて生成される。第1参照値を生成する演算方式は、本出願のこの実施形態では限定されない。2つのパラメータを使用して1つのパラメータを生成することができる任意の演算方式が、本出願のこの実施形態に適用可能である。例えば、第1参照値は、比較的小さな計算量を有する排他的論理和演算、又は排他的NOR演算のような他の演算方式を使用して、乱数とキーKとに基づいて生成されてよい。あるいは、第1参照値は、図2に示す実施形態の第1演算、即ちf5演算を使用して生成されてよい。なお、f5演算の説明については、図2に示す実施形態の関連説明を参照するものとする。キーKと乱数とは、OUT5を生成する式のRANDとKとをそれぞれに置き換えてよい。
端末デバイスは、第1参照値が生成された後、第1参照値とメッセージ認証コードとに基づいて認証キーを生成してよい。同様に、第1参照値とメッセージ認証コードとに基づいて認証キーを生成する演算方式は、本出願のこの実施形態では限定されない。認証キーは、第1参照値を生成するのと同じ演算方式を使用して生成されてよいし、異なる演算方式を使用して生成されてよい。これは、本出願のこの実施形態で限定されない。2つのパラメータを使用して1つのパラメータを生成することができる任意の演算方式が、本出願のこの実施形態に適用可能である。例えば、認証キーは、排他的論理和演算を使用して第1参照値とメッセージ認証コードとに基づいて生成されてよい。又は、メッセージ認証コードは、図2に示す実施形態での第1演算、即ちf5演算を使用して生成されてよい。なお、f5演算の説明については、図2に示す実施形態の関連説明を参照するものとする。メッセージ認証コードと第1参照値とは、OUT5を生成する式のRANDとKとをそれぞれに置き換えてよい。
なお、本出願の本実施形態における端末デバイスによる認証キーの生成方式は、図2に示す実施形態におけるAKの生成方式とは異なるので、本出願の本実施形態で提供される方式で認証キーを生成するためには、端末デバイスをアップグレードする必要があることに留意するものとする。例えば、端末デバイスのユニバーサル加入者識別モジュール(universal subscriber identity module, USIM)をアップグレードしてよい。
上記3つの認証キー生成方式は、いずれも例示であり、本出願の本実施形態では、認証キーの生成方式は限定されない。前述の3つの方式で、第1参照値と最終認証キーとの両方が、ダブル入力と単一出力との演算を使用して生成されることが分かる。図2に示す発生方式と比較して、もう1つの演算のみが使用される。アップグレード方式を使用する場合に、端末デバイスは、上記3つの方式のうちの1つで認証キーを生成してよい。このように、端末デバイスには比較的小さな変更が加えられ、端末デバイスは、複数の演算をサポートするように構成することのみが要求される。従って、第2シーケンス番号のセキュリティを確保しながら、端末デバイスに加えられる変更が最小限に抑えられる。
認証キー生成後、認証キーと第2シーケンス番号とに対して排他的論理和演算を行い、認証キーと第2シーケンス番号との排他的論理和値の後にメッセージ認証コードを連結(排他的論理和値とメッセージ認証コードとを連結)し、同期失敗パラメータを生成する。
なお、統合データ管理ネットワーク要素は、同期失敗パラメータを受信した場合に、端末デバイスが認証キーを生成する具体的な方式を知ることができないことに留意するものとする。なお、統合データ管理ネットワーク要素は、図2に示す実施形態の方式で、端末デバイスが認証キーを生成すると判断した場合には、統合データ管理ネットワーク要素は、第2シーケンス番号を正確に取得することができない。上述の事態を回避するために、端末デバイスと統合データ管理ネットワーク要素とは、事前に認証キーの生成方式について合意してよい。あるいは、統合データ管理ネットワーク要素に同期失敗メッセージを送信する前に、端末デバイスは、認証キーの生成方式を示すために、統合データ管理ネットワーク要素に第1指示メッセージを送信してよい。本出願のこの実施形態においては、指示方式は限定されない。明示的な指示方式が使用されてよい。例えば、第1指示メッセージは、認証キーが方式1で生成されることを示してよい(方式1が一例として使用され、当然、他の方式のうちの任意の1つが代替的に使用されてよい)。第1指示メッセージを受信したとき、統合データ管理ネットワーク要素は、後に受信された同期失敗パラメータ内の認証キーが、方式1で生成されることを決定してよい。あるいは、暗黙の指示方式が使用されてよい。別の例では、第1指示メッセージは、端末デバイス(例えば、USIMカード)がアップグレードされた後の対称暗号化方式で認証キーが生成されたことを示してよく、又は端末デバイス(例えば、USIMカード)がアップグレードされたことを示してよく、又は端末デバイス(例えば、USIMカード)のリリース情報を示してよく、例えば、USIMカードのリリース(release)がR15又はR16であることを示してよい。第1指示メッセージを受け取ると、統合データ管理ネットワーク要素は、端末デバイスのUSIMカードがアップグレードされたか否か、及び後に受け取った同期失敗パラメータでの認証キーが上記3つの方式のいずれかで生成されるか否かを決定してよい。使用される特定の方式は、統合データ管理ネットワーク要素によって事前構成されてよい。例えば、端末デバイスがアップグレードされた場合に、認証キーが方式1で生成されることを、統合データ管理ネットワーク要素は事前構成してよい。
可能な実施では、シグナリングを低減するために、統合データ管理ネットワーク要素に同期失敗メッセージを送信する場合に、端末デバイスは、第1指示メッセージを同時に送信し、第1指示メッセージは、同期失敗メッセージ中にキャリーされる。
第1指示メッセージの指示方式と送信方式とは、単なる例である。これらは、本出願のこの実施形態において限定されない。統合データ管理ネットワーク要素が認証キーを学習することを可能にし得る任意の生成方式が、本出願のこの実施形態に適用可能である。
また、同期失敗パラメータから第2シーケンス番号を取得するために、統合データ管理ネットワーク要素は、端末デバイスが同期失敗パラメータを生成する方式とは逆の方式で第2シーケンス番号を取得する。
統合データ管理ネットワーク要素が使用する認証キーが、端末デバイス側が使用する認証キーと同一であることを保証するために、統合データ管理ネットワーク要素は、端末デバイス側が生成するメッセージ認証コードを取得する必要がある。端末デバイスは、認証キーと第2シーケンス番号とに対して排他的論理和演算を行った後、排他的論理和値の後にメッセージ認証コードを連結する。即ち、同期失敗パラメータの最後に固定された複数のビットが、メッセージ認証コードである。従って、統合データ管理ネットワーク要素は、復号化前に、同期失敗パラメータからメッセージ認証コードを直接取得してよい。統合データ管理ネットワーク要素は、端末デバイスと同じ方式で認証キーを生成した後、認証キーと、メッセージ認証コードを削除した後の同期失敗パラメータの残余部分とに対して排他的論理和演算を行い、第2シーケンス番号を取得する。
統合データ管理ネットワーク要素が認証キーを生成する方式は、端末デバイスの認証キー生成方式と同じである。これは、統合データ管理ネットワーク要素が、端末デバイスのサブスクリプション情報から端末デバイスのキーKを取得することができるものである。統合データ管理ネットワーク要素が認証キーを生成する方式については、端末デバイスが認証キーを生成する前述の方式を参照するものとする。詳細は、ここでは再度説明しない。
第2シーケンス番号を取得した後、統合データ管理ネットワーク要素は、ローカルに記憶された第1シーケンス番号を直接置き換えてよい。あるいは、統合データ管理ネットワーク要素は、まず、第2シーケンス番号と第1シーケンス番号を比較し、第2シーケンス番号が第1シーケンス番号と異なることを決定した後、ローカルに記憶された第1シーケンス番号を置き換えてよい。さもなければ、統合データ管理ネットワーク要素は、第1シーケンス番号を置き換えなくてよい。
可能な実施では、第2シーケンス番号を取得した後、統合データ管理ネットワーク要素は、同期失敗パラメータから取得したメッセージ認証コードに対して完全性チェックを行ってよい。具体的には、統合データ管理ネットワーク要素は、端末デバイスがメッセージ認証コードを生成する方式と同様の方式でチェック値を生成してよい。例えば、端末デバイスが、キーK、乱数、第2シーケンス番号、及びAMFに基づいてメッセージ認証コードを生成する場合に、統合データ管理ネットワーク要素はさらに、キーK、乱数、第2シーケンス番号、及びAMFに基づいてチェック値を生成してよい。チェック値がメッセージ認証コードと同じ場合に、チェックは成功である。チェック値がメッセージ認証コードと異なる場合に、チェックは失敗であり、これは、統合データ管理ネットワーク要素が受信した情報が、改ざんされる可能性があることを示す。統合データ管理ネットワーク要素は、誤った第2シーケンス番号を取得する可能性がある。このように、統合データ管理ネットワーク要素は、端末デバイスから再度第2シーケンス番号を要求してよいし、又は、ローカルに記憶された第1シーケンス番号を第2シーケンス番号に置き換えなくてよい。
図5は、本出願の一実施形態によるパラメータ送信方法を示す図である。この方法は、以下のステップを含む。
ステップ501:このステップは、ステップ201ないし210と同じである。詳細については、図2に示されるステップ201ないしステップ210の関連する説明を参照するものとする。詳細は、ここでは再度説明しない。
ステップ502:第1SQNと第2SQNとの間の差が閾値よりも大きい場合に、UEは同期失敗メッセージをSEAFネットワーク要素に送信し、同期失敗メッセージにAUTSとRANDとを含ませる。
本出願のこの実施形態では、AUTSの5つの生成方式が提供される。図6Aないし図6Eに示すように、f5*が第1演算であり、入力値の長さが128ビットである必要があり、xorが排他的論理和演算であり、TEMPが長さ48ビットの第1参照値であり、XMACを生成するための演算方式がf1*であり、XMACの長さが64ビットである例が、使用されている。以下に、5つの方法をそれぞれに説明する。
方式1:図6Aに示すように、排他的論理和(xor)演算又は第1演算を使用してAKを計算で取得し、暗号化キーとしてAKを使用して第2SQNに対して対称暗号化を実行する。ここで、f6*は対称暗号化アルゴリズムであり、第2SQNはAKを使用して暗号化された後、XMACは生成された結果値の後に連結される。
対称暗号化の暗号化キーと、入力値と、出力値とは以下の通りである。AKの長さが128ビット(bit)の例が使用される。
暗号化キーは、128ビットの長さのAKである。
入力値は、3つの連結された第2SQNの最初の128ビット、即ち、第2SQN||第2SQN||第2SQNの最初の128ビットである。
出力値は、128ビットの長さのf6*AK(第2SQN)である。
AUTS=f6*AK(第2SQN)||XMAC.
方式2:図6Bに示すように、AKは、2つの第1演算を使用して計算される。XMAC||XMACは1回目の第1演算の入力値として使用され、RANDは1回目の第1演算のもう一方の入力値として使用され、第1参照値を出力する。第1参照値とキーKとを2回目の第1演算の2つの入力値として使用し、AKを出力する。排他的論理和演算をAKと第2SQNとに対して実行した後、生成された結果値の後にXMACが連結され、AUTS、
方式3:図6Cに示すように、AKは、2つの第1演算を使用して計算される。XMAC||XMACは1回目の第1演算の入力値として使用され、キーKは1回目の第1演算のもう一方の入力値として使用され、第1参照値を出力する。第1参照値とRANDとを2回目の第1演算の2つの入力値として使用し、AKを出力する。排他的論理和演算をAKと第2SQNとに対して実行した後、生成された結果値の後にXMACが連結され、AUTS、
方式4:図6Dに示すように、AKは、2つの第1演算を使用して算出されるか、又は、AKは、1つの第1演算と1つの排他的論理和演算とを使用して算出される。キーKとRANDとは、1回目の第1演算の2つの入力値として使用され、第1参照値を出力する。次いで、第1演算を使用して、XMACと第1参照値とに基づいてAKを出力するか、又は、XMACと第1参照値とに対して排他的論理和演算を行った後に、AKを出力する。排他的論理和演算をAKと第2SQNとに対して実行した後、生成された結果値の後にXMACが連結され、AUTS、
第1演算を使用して、XMACと第1参照値とに基づいてAKを出力する場合に、XMAC||XMACは、第1演算の入力値として使用される。第1参照値||第1参照値||第1参照値の最初の128ビットが、第1演算のもう一方の入力値として使用される。
XMACと第1参照値とに対して排他的論理和演算を行った後にAKを出力する場合に、排他的論理和演算の入力値としてXMACの48ビットを使用し、排他的論理和演算の他の入力値として第1参照値を使用する。
方式5:図6Eに示すように、第1参照値は、キーKとRANDとに対して排他的論理和演算を行った後に得られる。XMACとTEMPとは、AKを出力するための第1演算の2つの入力値として使用される。排他的論理和演算をAKと第2SQNとに対して実行した後、生成された結果値の後にXMACが連結され、AUTS、
なお、方式2ないし5では、第1演算がf5演算である例を使用する。f5演算のプロセスについては、図2に示す実施形態のステップ210の関連する説明を参照するものとする。f5演算の2つの入力パラメータのうちにあり、RAND又はKを置き換える特定のパラメータは、本出願のこの実施形態では制限されず、特定のシナリオに基づいて設定されてよい。
ステップ503:このステップは、ステップ212及びステップ213と同じである。詳細については、図2に示すステップ212及びステップ213の関連する説明を参照するものとする。詳細は、ここでは再度説明しない。
ステップ504:AUTS受信後、UDMネットワーク要素は第2SQNをAUTSから取得し、第2SQNを記憶する。
UE側のAUTSの5つの生成方式に対応して、UDMネットワーク要素側は、5つの対応する方式で、第2SQNをAUTSから取得してよい。以下に5つの方式をそれぞれに説明する。
端末デバイス側の方式1に対応して、UDMネットワーク要素は、AUTSからXMACを削除し、f6*AK(第2SQN)を取得し、排他的論理和演算XOR又は第1演算を使用してAKを演算で取得し、AKを復号化キーとして使用してf6*AK(第2SQN)を復号化し、第2SQNを取得する。
端末デバイス側の方式2ないし方式5に対応して、UDMネットワーク要素はAUTSからXMACを取得する。ここで、XMACを除去した後のAUTSの残余部分は、
UDMネットワーク要素は、対応して、図6Bから図6Eに示す方式でAKを生成することができ、AKと、XMACが除去された後に得られるAUTSの残余部分とに対して排他的論理和演算を行い、第2SQNを取得する。
方法の実施形態と同じ発明の概念に基づいて、本出願の実施形態は、さらに、図4及び図5に示す上述の方法の実施形態において端末デバイス又はUEによって実行される方法を実行するように構成された、通信装置を提供する。関連する特徴については、前述の方法の実施形態を参照するものとする。詳細は、ここでは再度説明しない。図7に示すように、装置は、受信ユニット701と、処理ユニット703と、送信ユニット702とを含む。
受信ユニット701は、乱数と第1シーケンス番号とを、統合データ管理ネットワーク要素から受信するように構成されている。
処理ユニット703は、第1シーケンス番号とローカルに予め記憶された第2シーケンス番号との間の差が閾値よりも大きいことを決定した後に、認証キーと第2シーケンス番号との排他的論理和値の後にメッセージ認証コードを連結して同期失敗パラメータを生成し、認証キーは第1パラメータと第1参照値とに基づいて生成され、第1参照値は第2パラメータと第3パラメータとに基づいて生成され、第1パラメータと、第2パラメータと、第3パラメータとはそれぞれ、乱数と、ローカルに予め記憶されたキーKと、メッセージ認証コードとのうちのいずれかを含む。
送信ユニット702は、同期失敗メッセージを統合データ管理ネットワーク要素に送信するように構成され、同期失敗メッセージは同期失敗パラメータをキャリーする。
可能な実施では、処理ユニット703は、複数の方式で、第1パラメータと第1参照値とに基づいて認証キーを生成してよい。以下に、複数の方式のうち2つを挙げる。
方式1:第1参照値は、乱数とメッセージ認証コードとに基づいて生成される。例えば、第1参照値は、f5演算を使用して、乱数とメッセージ認証コードとに基づいて生成される。認証キーは、第1参照値とキーKとに基づいて生成される。例えば、認証キーは、f5演算を使用して、第1参照値とキーKとに基づいて生成される。
方式2:第1参照値は、キーKとメッセージ認証コードとに基づいて生成される。例えば、第1参照値は、f5演算を使用して、キーKとメッセージ認証コードとに基づいて生成される。認証キーは、第1参照値と乱数とに基づいて生成される。例えば、認証キーは、f5演算を使用して、第1参照値と乱数とに基づいて生成される。
可能な実施では、処理ユニット703は、代替的に、以下の方式で、第1パラメータと第1参照値とに基づいて認証キーを生成してよい。即ち、まず、乱数とキーKとに基づいて第1参照値を生成し、次に、第1参照値とメッセージ認証コードとに基づいて認証キーを生成する。
可能な実施では、処理ユニット703が、乱数とキーKとに基づいて第1参照値を生成する場合には、f5演算に加えて、排他的論理和演算などの別の演算を代替的に使用してよい。例えば、第1参照値は、乱数とキーKとに対して実行される排他的論理和演算を使用して、生成される。
可能な実施では、処理ユニット703が、第1参照値とメッセージ認証コードとに基づいて認証キーを生成する場合には、f5演算に加えて、排他的論理和演算などの別の演算を代替的に使用してよい。例えば、認証キーは、第1参照値とメッセージ認証コードとに対して実行される排他的論理和演算を使用して、生成される。
可能な実施では、同期失敗メッセージを統合データ管理ネットワーク要素に送信する前に、送信ユニット702はさらに、統合データ管理ネットワーク要素に認証キーの生成方式を通知してよい。例えば、第1指示メッセージを統合データ管理ネットワーク要素に送信してよい。ここで、第1指示メッセージが認証キーの生成方式を示すために使用される。
可能な実施では、同期失敗メッセージは、第1指示メッセージを含み、第1指示メッセージは、認証キーの生成方式を示すために使用される。
方法の実施形態と同じ発明の概念に基づいて、本出願の実施形態は、さらに、図4及び図5に示す上述の方法の実施形態において、統合データ管理ネットワーク要素又はUDMネットワーク要素によって実行される方法を実行するように構成された通信装置を提供する。関連する特徴については、前述の方法の実施形態を参照するものとする。詳細は、ここでは再度説明しない。図8に示すように、装置は、送信ユニット801と、受信ユニット802と、処理ユニット803とを含む。
送信ユニット801は、乱数と第1シーケンス番号とを端末デバイスに送信するように構成されている。
受信ユニット802は、端末デバイスから同期失敗メッセージを受信するように構成され、同期失敗メッセージは、同期失敗パラメータをキャリーする。
処理ユニット803は、同期失敗パラメータからメッセージ認証コードを取得するように構成され、認証キーに基づいて、同期失敗パラメータから第2シーケンス番号を取得するように構成され、第1パラメータと第1参照値とに基づいて認証キーが生成され、第1参照値は第2パラメータと第3パラメータとに基づいて生成され、第1パラメータ、第2パラメータ及び第3パラメータは、それぞれ、乱数、端末デバイスのキーK、又はメッセージ認証コードのうち任意の1つを含む。
可能な実施では、処理ユニット803は、複数の方式で、第1パラメータと第1参照値とに基づいて認証キーを生成することができる。以下に、複数の方式のうち2つを挙げる。
方式1:第1参照値は、乱数とメッセージ認証コードとに基づいて生成される。例えば、第1参照値は、f5演算を使用して、乱数とメッセージ認証コードとに基づいて生成される。認証キーは、第1参照値とキーKとに基づいて生成される。例えば、認証キーは、f5演算を使用して、第1参照値とキーKとに基づいて生成される。
方式2:第1参照値は、キーKとメッセージ認証コードとに基づいて生成される。例えば、第1参照値は、f5演算を使用して、キーKとメッセージ認証コードとに基づいて生成される。認証キーは、第1参照値と乱数とに基づいて生成される。例えば、認証キーは、f5演算を使用して、第1参照値と乱数とに基づいて生成される。
可能な実施では、処理ユニット803は、代替的に、以下のように、第1パラメータと第1参照値とに基づいて認証キーを生成してよい。処理ユニット803は、まず、乱数とキーKとに基づいて第1参照値を生成し、次に、第1参照値とメッセージ認証コードとに基づいて認証キーを生成する。
可能な実施では、処理ユニット803が、乱数とキーKとに基づいて第1参照値を生成する場合には、f5演算に加えて、排他的論理和演算などの別の演算を代替的に使用してよい。例えば、第1参照値は、乱数とキーKとに対して実行される排他的論理和演算を使用して生成される。
可能な実施では、処理ユニット803が、第1参照値とメッセージ認証コードとに基づいて認証キーを生成する場合には、f5演算に加えて、排他的論理和演算などの別の演算を代替的に使用してよい。例えば、認証キーは、第1参照値とメッセージ認証コードとに対して実行される排他的論理和演算を使用して生成される。
可能な実施では、端末デバイスから同期失敗メッセージを受信する前に、受信ユニット802は、認証キーの生成方式を示すために第1指示メッセージが使用される端末デバイスから、第1指示メッセージをさらに受信してよい。
可能な実施では、同期失敗メッセージは、第1指示メッセージを含み、第1指示メッセージは、認証キーの生成方式を示すために使用される。
方法の実施形態と同じ発明の概念に基づいて、本出願の実施形態は、さらに、図3及び図5に示す上述の方法の実施形態において端末デバイス又はUEによって実行される方法を実行するように構成された、通信装置を提供する。関連する特徴については、前述の方法の実施形態を参照するものとする。詳細は、ここでは再度説明しない。図9に示すように、装置は、受信ユニット901と、処理ユニット902と、送信ユニット903とを含む。
受信ユニット901は、乱数と第1シーケンス番号とを、統合データ管理ネットワーク要素から受信するように構成されている。
処理ユニット902は、第1シーケンス番号とローカルに予め記憶された第2シーケンス番号との間の差が閾値よりも大きいことを決定した後、認証キーを使用して第2シーケンス番号に対して対称暗号化を実行し、同期失敗パラメータを生成するように構成され、ここで、認証キーは、乱数とローカルに予め記憶されたキーKとに基づいて生成される。
送信ユニット903は、同期失敗メッセージを統合データ管理ネットワーク要素に送信するように構成され、同期失敗メッセージは、同期失敗パラメータをキャリーする。
可能な実施では、統合データ管理ネットワーク要素に同期失敗メッセージを送信する前に、送信ユニット903は、第1指示メッセージをさらに送信してよく、第1指示メッセージは、同期失敗パラメータの生成方式を示すために使用される。
可能な実施では、同期失敗メッセージは、第1指示メッセージを含み、第1指示メッセージは、同期失敗パラメータの生成方式を示すために使用される。
方法の実施形態と同じ発明の概念に基づいて、本出願の実施形態は、さらに、図3及び図5に示す上述の方法の実施形態で、統合データ管理ネットワーク要素又はUDMネットワーク要素によって実行される方法を実行するように構成された、通信装置を提供する。関連する特徴については、前述の方法の実施形態を参照するものとする。詳細は、ここでは再度説明しない。図10に示すように、装置は、送信ユニット1001と、受信ユニット1002と、処理ユニット1003とを含む。
送信ユニット1001は、端末デバイスに対して、乱数と第1シーケンス番号とを送信するように構成されている。
受信ユニット1002は、端末デバイスから同期失敗メッセージを受信するように構成されており、同期失敗メッセージは、同期失敗パラメータをキャリーする。
処理ユニット1003は、認証キーに基づいて同期失敗パラメータに対して対称復号化を行い、第2シーケンス番号を取得するように構成されている。ここで認証キーは、乱数と端末デバイスのキーKとに基づいて生成される。
可能な実施では、端末デバイスから同期失敗メッセージを受信する前に、受信ユニット1002はさらに、認証キーの生成方式を示すために第1指示メッセージを使用する端末デバイスから、第1指示メッセージを受信してよい。
可能な実施では、同期失敗メッセージは、第1指示メッセージを含み、第1指示メッセージは、認証キーの生成方式を示すために使用される。
本出願の実施形態におけるユニットへの分割は、例示であり、単に論理機能分割である。実際の実施の際に、別の分割方式が使用されてよい。さらに、本出願の実施形態における機能ユニットは、1つのプロセッサに統合されてよく、又は物理的に単独で存在してよく、又は2つ以上のユニットが1つのモジュールに統合されてよい。前述の統合されたユニットは、ハードウェアの形態で実施されてよく、又はソフトウェア機能モジュールの形態で実施されてよい。
統合されたユニットがソフトウェア機能ユニットの形態で実施され、独立した製品として販売又は使用される場合に、統合されたユニットは、コンピュータ可読な記憶媒体に記憶されてよい。このような理解に基づいて、本出願の技術的解決策を、本質的に、又は現在の技術に寄与する部分、又は技術的解決策の全部若しくは一部を、ソフトウェア製品の形態で実施してよい。ソフトウェア製品は、記憶媒体に記憶されている。本出願の実施形態における方法の全部又は一部のステップを実行するように、端末デバイス(パーソナルコンピュータ、携帯電話、ネットワークデバイスなどであってよい)又はプロセッサ(processor)に指示するためのいくつかの命令を、コンピュータソフトウェア製品は含む。前述の記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、読み出し専用メモリ(read-only memory, ROM)、ランダムアクセスメモリ(random access memory, RAM)、磁気ディスク、又は光ディスクのような、プログラムコードが記憶できる任意の媒体を含む。
本出願の実施形態では、統合データ管理ネットワーク要素と端末デバイスとは、両方とも、統合された方式で分割されて得られる機能モジュールの形態で提供されてよい。本明細書における「モジュール」は、特定のASIC、回路、1つ以上のソフトウェア又はファームウェアプログラムを実行するプロセッサ及びメモリ、集積論理回路、及び/又は前述の機能を提供することができる別のコンポーネントであってよい。
単純な実施形態では、当業者は、統合データ管理ネットワーク要素が、図11に示す形態であってよいことが理解可能である。
図11に示される通信装置1100は、少なくとも1つのプロセッサ1101と、メモリ1102とを含み、任意には、通信インターフェース1103をさらに含んでよい。
メモリ1102は、ランダムアクセスメモリなどの揮発性メモリであってよい。あるいは、メモリは、リードオンリーメモリ、フラッシュメモリ、ハードディスクドライブ(hard disk drive, HDD)、又はソリッドステートドライブ(solid-state drive, SSD)のような不揮発性メモリであってよい。あるいは、メモリ1102は、期待されるプログラムコードを命令形式又はデータ構造形式でキャリー又は記憶するために使用でき、コンピュータによってアクセスできる他の任意の媒体である。しかし、メモリ1102はこれに限定されない。メモリ1102は、前述のメモリの組み合わせであってよい。
本出願のこの実施形態では、プロセッサ1101とメモリ1102との間の特定の接続媒体は、限定されない。
プロセッサ1101は、データトランシーバ機能を有してよく、他のデバイスと通信してよい。図11に示す装置では、独立したデータトランシーバモジュール、例えば、通信インターフェース1103がさらに配置されてよく、データを送受信するように構成されている。他のデバイスと通信するとき、プロセッサ1101は、通信インターフェース1103を介してデータを送信してよい。
統合データ管理ネットワーク要素が図11に示された形態である場合に、図11のプロセッサ1101は、メモリ1102に記憶されたコンピュータ実行可能命令を呼び出してよく、前述の方法の実施形態の任意の1つにおいて統合データ管理ネットワーク要素によって実行される方法を、統合データ管理ネットワーク要素が実行できるようにする。
具体的には、図9又は図10の送信ユニットと、受信ユニットと、処理ユニットとの機能/実施プロセスは、メモリ1102に記憶されたコンピュータ実行可能命令を呼び出すことによって、図11のプロセッサ1101によって実施されてよい。あるいは、図9又は図10の処理ユニットの機能/実施プロセスは、メモリ1102に記憶されたコンピュータ実行可能命令を呼び出すことによって図11のプロセッサ1101によって実施されてよい。図9又は図10の送信ユニットと受信ユニットとの機能/実施プロセスは、図11の通信インターフェース1103を介して実施されてよい。
単純な実施形態では、当業者は、端末デバイスが図12に示す形態であってよいことが理解可能である。
図12に示す通信装置1200は、少なくとも1つのプロセッサ1201とメモリ1202とを含み、任意にはさらに、トランシーバ1203を含んでよい。
メモリ1202は、ランダムアクセスメモリなどの揮発性メモリであってよい。あるいは、メモリは、リードオンリーメモリ、フラッシュメモリ、ハードディスクドライブ(hard disk drive, HDD)、又はソリッドステートドライブ(solid-state drive, SSD)のような不揮発性メモリであってよい。あるいは、メモリ1202は、期待されるプログラムコードを命令形式又はデータ構造形式でキャリー又は記憶するために使用でき、コンピュータによってアクセスできる他の任意の媒体である。しかし、メモリ1202はこれに限定されない。メモリ1202は、前述のメモリの組み合わせであってよい。
本出願のこの実施形態では、プロセッサ1201とメモリ1202との間の特定の接続媒体は、限定されない。
プロセッサ1201は、データトランシーバ機能を有してよく、他のデバイスと通信することができる。図12に示す装置では、独立したデータトランシーバモジュール、例えばトランシーバ1203がさらに配置されてよく、データを送受信するように構成されている。他のデバイスと通信するとき、プロセッサ1201は、トランシーバ1203を介してデータを送信してよい。
端末デバイスが図12に示される形態である場合に、図12のプロセッサ1201は、メモリ1202に記憶されたコンピュータ実行可能命令を呼び出してよく、前述の方法の実施形態のうちの任意の1つにおいて端末デバイスによって実行される方法を、端末デバイスが実行することを可能にする。
具体的には、図7又は図8の受信ユニットと、処理ユニットと、送信ユニットとの機能/実施プロセスは、メモリ1202に記憶されたコンピュータ実行可能命令を呼び出すことによって、図12のプロセッサ1201によって実施されてよい。あるいは、図7又は図8の処理ユニットの機能/実施プロセスは、メモリ1202に記憶されたコンピュータ実行可能命令を呼び出すことによって図12のプロセッサ1201によって実施されてよい。図7又は図8の受信ユニットと送信ユニットとの機能/実施プロセスは、図12のトランシーバ1203を介して実施されてよい。
当業者は、本出願の実施形態が、方法、システム又はコンピュータプログラム製品として提供されてよいことを理解するものとする。従って、本出願は、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、又はソフトウェアとハードウェアとの組み合わせを有する実施形態の形を使用してよい。さらに、本出願は、コンピュータ使用可能なプログラムコードを含む、1つ以上のコンピュータ使用可能な記憶媒体(ディスクメモリ、CD-ROM、光メモリなどを含むが、これらに限定されない)上に実施されたコンピュータプログラム製品の形態を使用してよい。
本出願は、本出願に係る方法と、デバイス(システム)と、コンピュータプログラム製品とのフローチャート及び/又はブロック図を参照して記載される。コンピュータプログラム命令は、フローチャート及び/又はブロック図の各プロセス及び/又は各ブロック、また、フローチャート及び/又はブロック図のプロセス及び/又はブロックの組み合わせを、実施するために使用されてよいことが理解されるものとする。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、埋め込みプロセッサ、又は別のプログラマブルなデータ処理デバイスのプロセッサに提供されて、マシンを生成してよく、その結果、コンピュータ、又は別のプログラマブルなデータ処理デバイスのプロセッサによって実行される命令は、フローチャートの1つ以上のプロセス、及び/又はブロック図の1つ以上のブロックにある、指定された機能を実現するための装置を生成する。
あるいは、これらのコンピュータプログラム命令は、コンピュータ又は他のプログラマブルなデータ処理デバイスが特定の方法で動作するように指示できる、コンピュータ可読なメモリに記憶されてよく、その結果、コンピュータ可読なメモリに記憶された命令は、命令装置を含むアーチファクトを生成する。命令装置は、フローチャートの1つ以上のプロセス、及び/又はブロック図の1つ以上のブロックで、特定の機能を実施する。
これに代えて、これらのコンピュータプログラム命令は、コンピュータ又は別のプログラマブルなデータ処理デバイスにロードされてよく、その結果、一連の演算及びステップがコンピュータ又は別のプログラマブルなデバイス上で実行され、それによって、コンピュータ実施された処理を生成する。従って、コンピュータ又は別のプログラマブルなデバイス上で実行される命令は、フローチャートの1つ以上のプロセス、及び/又はブロック図の1つ以上のブロックで、特定の機能を実現するためのステップを提供する。
明らかに、当業者は、本出願の範囲から逸脱することなく、本出願に種々の修正及び変形を加えてよい。本出願の請求項及びその同等の技術の範囲内にあることを条件として、本出願は、本出願のこれらの修正及び変形をカバーすることを意図している。