図1Aは、無線アクセスノード120と、1つ以上のユーザ機器(UE)111、112、および113とを含む無線通信システム(例えば、LTE、5G新規無線(NR)セルラーネットワーク)の例を示す。いくつかの実施形態では、ダウンリンク伝送(141、142、143)は、複数のユーザプレーン機能を処理するための処理命令を備えている制御プレーンメッセージを含む。この後、UEによって受信された処理命令に基づいて、アップリンク伝送(131、132、133)が続き得る。同様に、ユーザプレーン機能は、受信された処理命令に基づいて、ダウンリンク伝送に関して、UEによって処理されることができる。UEは、例えば、スマートフォン、タブレット、モバイルコンピュータ、マシンツーマシン(M2M)デバイス、端末、モバイルデバイス、モノのインターネット(IoT)デバイス等であり得る。
本特許文書は、理解を促進するために、3GPP(登録商標)新規無線(NR)ネットワークアーキテクチャおよび5Gプロトコルのみからの例を使用するが、開示される技法および実施形態は、3GPP(登録商標)プロトコルと異なる通信プロトコルを使用する他の無線システムにおいて実践され得る。
図1Bは、アプリケーションのための認証およびキー管理(AKMA)のための基本ネットワークモデルの例示的アーキテクチャを示し、それは、ネットワークエクスポージャ機能(NEF)と、AKMAアンカ機能(AAnF)と、統合データ管理(UDE)と、認証サーバ機能(AUSF)と、アクセスおよびモビリティ管理機能(AMF)と、アプリケーション機能(AF)とを含む。いくつかの実装では、ネットワークモデルは、5Gコアアーキテクチャ制御プレーン内のネットワーク機能を含み得、そのようなネットワーク機能は、それらの相互作用のために、サービスベースのインターフェースを使用し得る。
AKMAフレームワークは、UEとアプリケーションサーバとの間のセキュアな通信およびデータ交換をサポートするために使用されることができる。ある例示的AKMAアーキテクチャでは、AKMA認証は、一次/アクセス認証の結果を使用して行われ、UEとアプリケーションサーバとの間の通信を保護することができる。この例示的アーキテクチャでは、UEが、アプリケーションサーバと通信するとき、UEとアプリケーションサーバとの間のセキュアな通信が、アプリケーションキーKAFを用いて、新しいAKMA認証を要求せずに、確立されることができる。例示的AKMAアーキテクチャに基づくアプリケーションセッション確立プロセスでは、UEは、キー識別子を使用して、AKMAアプリケーション機能を要求し、アプリケーションキーKAFを確立する。アプリケーションキーKAFは、KAUSF等の中間キーから導出され、またはAKMAアンカキーKAKMAから導出され、KAKMAは、KAUSFから導出される。
セッション確立プロセスでは、要求情報内に含まれるキー識別子は、ユーザ機器(UE)からAKMAアンカ機能(AAnF)に送信される。AKMAアンカ機能(AAnF)は、UEによって送信されるAKMAキー識別子を含む要求を認証サーバ機能(AUSF)に送信し、特定のユーザ機器(UE)のためのKAKMAを取得する。しかしながら、キー識別子は、特定の認証サーバ機能(AUSF)インスタンスに関連する任意の情報を含まないので、AKMAアンカ機能(AAnF)は、キー識別子に基づいて、適切な認証サーバ機能(AUSF)インスタンスを正しく選択することができない。したがって、キー識別子は、ユーザ機器(UE)とAKMAアプリケーション機能との間のセキュアな通信を確立するために十分ではない。
図2は、ユーザ機器(UE)登録中のAKMAルートキーの導出を示す。
アプリケーションのための認証およびキー管理(AKMA)は、AKMAアンカ機能(AAnF)等の新しい論理エンティティを要求する。AAnFは、ホーム地上波公共移動通信ネットワーク(HPLMN)内のアンカ機能であり、AAnFは、UEとAFとの間で使用されるべきキー材料を生成し、後続のブートストラップピング要求のために使用されるべきユーザ機器(UE)のアプリケーションのための認証/キー管理(AKMA)コンテキストを維持する。UEがAKMA機能性をサポートするための別個の認証は、存在しない。代わりに、それは、UEを認証するために、UE登録中に実行される5G一次認証プロシージャを再使用する。5G一次認証成功は、AUSFおよびUEに記憶される、中間キーKAUSFをもたらす。
図2に示されるように、UEおよび認証サーバ機能(AUSF)は、AKMAアンカキー(KAKMA)および関連付けられるキー識別子を中間キー(例えば、KAUSF)からUE登録プロシージャの一部として生成し得る。KAKMAキー識別子は、UEのKAKMAキーを識別するために使用され、そこから他のAKMAキーが、導出される。AKMAキーは、一次認証工程からのKAUSF等の中間キーに基づくため、AKMAキーは、新たな一次認証を起動することによってのみリフレッシュされることができる。
図3は、AKMAアンカキー(KAKMA)からのアプリケーション機能(AF)キー生成の例を示す。
いくつかの実装では、UEは、導出されたAKMAキー識別子をAKMAアプリケーション機能(AKMA AF)との通信を開始するためのメッセージ内に含む。AKMAアプリケーション機能(AApF)が、キー識別子に関連付けられたアクティブコンテキストを有していない場合、AFは、要求をAKMAアンカ機能(AAnF)にキー識別子とともに送信し、UEのためのアプリケーション機能特定のAKMAキーを要求する。AFは、その識別(AF Id)も要求内に含む。
AKMAアンカ機能(AAnF)が、アプリケーション機能(AF)特定のキー(KAF)を所有している場合、AFにKAFキーで応答する。該当しない場合、AKMAアンカ機能(AAnF)は、AKMAキー識別子によって識別されるUE特定のKAKMAキーを有するかどうかをチェックする。AKMAアンカキー(KAKMA)が、AKMAアンカ機能(AAnF)内で利用可能な場合、AF特定のAKMAキー(KAF)をAKMAアンカキー(KAKMA)から導出し、アプリケーション機能(AF)にAF特定のキー(KAF)および有効期間で応答する。
AKMAアンカキー(KAKMA)が利用可能でない場合、AKMAアンカ機能(AAnF)は、AKMAキー識別子を含む要求を認証サーバ機能(AUSF)に送信し、ユーザ機器(UE)に特定のAKMAアンカキー(KAKMA)を取得する。認証サーバ機能(AUSF)は、キー識別子によって識別されるKAKMAキーで応答する。AKMAアンカ機能(AAnF)は、アプリケーション機能(AF)特定のキー(KAF)をAKMAアンカキー(KAKMA)から導出し、アプリケーション機能(AF)にAF特定のキー(KAF)および有効期間で応答する。
開示される技術のいくつかの実施形態は、セキュアな通信を確立し、UEとAKMAアプリケーション機能との間のアプリケーションセッションを保護するためのプロセスを改良するために使用され得る。いくつかの実装では、アプリケーションセッション確立プロセスは、アプリケーションのための認証およびキー管理(AKMA)識別子(ID)を使用して、行われることができる。
図4は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施される例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、統合データ管理エンティティ(UDM)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのアプリケーションのための認証およびキー管理(AKMA)識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。以降、UE識別子は、ユーザ機器を識別するために使用される。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、UE識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、UE識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、MCC、MNC、ルーティングインジケータ、およびRANDを含むAKMA識別子(AKMAID)を生成および記憶し、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(HPLMN)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともに統合データ管理(UDM)インスタンスにルーティングするために使用され、RANDは、UDMがUEに配分する、乱数である。
開示される技術のいくつかの実施形態では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新(UPU)プロシージャを通して、AKMAIDをUEパラメータ更新(UPU)データとしてUEに送信するように構成される。
開示される技術のいくつかの実施形態では、UEは、アプリケーションセッション確立のために、AKMAIDを使用するように構成される。
図4に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数のプロセス401-414を含み得る。
401では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、認証サーバ機能エンティティ(AUSF)およびユーザ機器(UE)に記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。ここでは、KAKMAは、KAUSFから導出されることができる。
402aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、統合データ管理(UDM)に、ユーザ機器(UE)との認証プロシージャの結果および時間について知らせる。これは、サブスクリプション永続識別子(SUPI)、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、およびサービングネットワーク名を含む。
402bでは、UDMは、UEのために、開示される技術のいくつかの実施形態に基づいて実装されるAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のいくつかの実施形態では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むことができ、MCC(モバイル国コード)は、国を一意に識別し、MNC(モバイルネットワークコード)は、ホームPLMN(地上波公共移動通信ネットワーク)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分する、乱数(例えば、認証のために使用される乱数)である。UDMは、AKMAIDおよび認証サーバ機能識別子(AUSFID)をUEの認証ステータス(例えば、サブスクリプション永続識別子(SUPI)、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
402cでは、UDMは、AUSFに、Nudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
403では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
404では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
405では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始し、開示される技術のいくつかの実施形態では、アプリケーションセッション確立要求は、AKMAIDを含む。
406では、アプリケーション機能エンティティ(AF)は、UEから受信されたAKMAIDととともに、キー要求をAKMAアンカ機能エンティティ(AAnF)に送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
407では、AAnFは、AKMAIDに基づいて、AAnFがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAが、AAnFにおいて利用可能な場合、AAnFは、411に進む。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_ResultStatus要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新のAUSFの識別子と、UEのSUPIとを読み出す。AAnFは、AKMAIDを提供する。
408では、UDMは、AKMAIDに基づいて、UEを認証した認証サーバ機能(AUSF)インスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UEサブスクリプション永続識別子(SUPI)とを含むNudm_UE Auth_ResultStatus応答等のサービスベースのインターフェースを送信する。
409では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
410では、AUSFは、SUPIに従って、AKMAアンカキー(KAKMA)およびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
411では、AAnFは、KAKMAに基づいて、アプリケーションキー(KAF)を導出する。AAnFは、KAF満了時間を設定し得る。
412では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別を示す。
413では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
414では、UEは、KAKMAに基づいて、KAFを導出する。
図5は、開示される技術のいくつかの実施形態に基づいて、通信システムのコンポーネントによって実施される別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、統合データ管理エンティティ(UDM)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、認証のために、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。
開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、MCC、MNC、ルーティングインジケータ、およびRANDを含むAKMA識別子(AKMAID)を生成および記憶し、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(HPLMN)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともに統合データ管理(UDM)インスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である。
開示される技術のいくつかの実施形態では、UDMは、AKMA識別子(AKMAID)を認証サーバ機能エンティティ(AUSF)に送信するように構成され、AUSFは、AKMAIDを記憶するように構成される。UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
図5に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数のプロセス501-514を含み得る。
501では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは認証サーバ機能エンティティ(AUSF)およびUEに記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。ここでは、KAKMAは、KAUSFから導出されることができる。
502aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、統合データ管理(UDM)に、ユーザ機器(UE)との認証プロシージャの結果および時間について知らせる。これは、サブスクリプション永続識別子(SUPI)、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、およびサービングネットワーク名を含む。
502bでは、UDMは、UEのために、開示される技術のいくつかの実施形態に基づいて実装されるAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のいくつかの実施形態では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むことができ、MCC(モバイル国コード)は、国を一意に識別し、MNC(モバイルネットワークコード)は、ホームPLMN(地上波公共移動通信ネットワーク)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数(例えば、認証のために使用される乱数)である。UDMは、AKMAIDおよび認証サーバ機能識別子(AUSFID)をUEの認証ステータス(例えば、サブスクリプション永続識別子(SUPI)、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
502cでは、UDMは、AUSFに、AKMAIDを含むNudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
502dでは、AUSFは、AKMAIDをUEのKAKMAおよびKAKMA識別子とともに受信および記憶する。
503では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
504では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
505では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始し、開示される技術のいくつかの実施形態では、アプリケーションセッション確立要求は、AKMAIDを含む。
506では、アプリケーション機能エンティティ(AF)は、UEから受信されたAKMAIDとともに、キー要求をAKMAアンカ機能エンティティ(AAnF)に送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。
507では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、511に進む。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_ResultStatus要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新AUSFの識別子を読み出す。AAnFは、AKMAIDを提供する。
508では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報を読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子を含むNudm_UE Auth_ResultStatus応答等のサービスベースのインターフェース応答を送信する。
509では、AAnFは、AKMAIDを含むキー要求をAUSFに送信する。
510では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
511では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
512では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別を示す。
513では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶し、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
514では、UEは、KAKMAに基づいて、KAFを導出する。
図6は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)等のデータ管理機能が、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、MCC、MNC、ルーティングインジケータ、およびRANDを含むAKMA識別子(AKMAID)を生成し、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(HPLMN)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともに統合データ管理(UDM)インスタンスにルーティングするために使用され、RANDは、AUSFがUEに配分した乱数である。
開示される技術のいくつかの実施形態では、AUSFは、AKMA識別子(AKMAID)を統合データ管理エンティティ(UDM)に送信するように構成され、UDMは、AKMAIDを記憶する。
UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
図6に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数のプロセス601-615を含み得る。
601では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは、AUSFおよびUEに記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。ここでは、KAKMAは、KAUSFから導出されることができる。
602では、AUSFは、UEのためのAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のいくつかの実施形態では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むことができ、MCC(モバイル国コード)は、国を一意に識別し、MNC(モバイルネットワークコード)は、ホームPLMN(地上波公共移動通信ネットワーク)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、認証サーバ機能エンティティ(AUSF)がUEに配分した乱数である。
603aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、統合データ管理(UDM)に、UEとの認証プロシージャの結果および時間について知らせる。これは、サブスクリプション永続識別子(SUPI)、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、サービングネットワーク名、およびAKMAIDを含む。
603bでは、UDMは、AKMAIDおよびAKMA識別子(AKMAID)をUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
603cでは、UDMは、AUSFに、Nudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
604では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
605では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
606では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始し、開示される技術のいくつかの実施形態では、アプリケーションセッション確立要求は、AKMAIDを含む。
607では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。
608では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作612に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_Resultステータス要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、AKMAIDを提供する。
609では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、ユーザ機器(UE)サブスクリプション永続識別子(SUPI)とを含むNudm_UE Auth_Resultステータス応答等のサービスベースのインターフェース応答を送信する。
610では、AAnFは、SUPIを提供することによって、AKMAキー要求をAUSFに送信する。
611では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
612では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定する。
613では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別を示す。
614では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶し、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含む。
615では、UEは、KAKMAに基づいて、KAFを導出する。
図7は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)等のデータ管理機能が、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、認証のために、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、認証のために、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、MCC、MNC、ルーティングインジケータ、およびRANDを含むAKMA識別子(AKMAID)を生成および記憶し、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(HPLMN)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともに統合データ管理(UDM)インスタンスにルーティングするために使用され、RANDは、AUSFがUEに配分した乱数である。
開示される技術のいくつかの実施形態では、AUSFは、AKMAIDを統合データ管理エンティティ(UDM)に送信し、UDMは、AKMAIDを記憶する。
開示される技術のいくつかの実施形態では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
図7に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作701-715を含み得る。
701では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは、AUSFおよびUEに記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
702では、認証サーバ機能エンティティ(AUSF)は、UEのためのAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。ここでは、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、AUSFがUEに配分した乱数である。AUSFは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
703aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、UDMに、UEとの認証プロシージャの結果および時間について知らせる。これは、SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、サービングネットワーク名、およびAKMAIDを含む。
703bでは、UDMは、AKMAIDおよび認証サーバ機能識別子(AUSFID)をUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
703cでは、UDMは、AUSFに、Nudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
704では、UDMは、ユーザ機器パラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
705では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
706では、UEは、AKMAIDを含むアプリケーションセッション確立要求を用いて、AFとの通信を開始する。
707では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。
708では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作712に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_Resultステータス要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新AUSFの識別子を読み出す。AAnFは、AKMAIDを提供する。
709では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報を読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子を含むNudm_UE Auth_Resultステータス応答等のサービスベースのインターフェース応答を送信する。
710では、AAnFは、AKMAIDを提供することによって、AKMAキー要求をAUSFに送信する。
711では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
712では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
713では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。
714では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶し、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含む。
715では、UEは、KAKMAに基づいて、KAFを導出する。
図8は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図8に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作801-813を含み得る。
801では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、認証サーバ機能エンティティ(AUSF)およびユーザ機器(UE)に記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。いくつかの実装では、KAKMAは、KAUSFから導出されることができる。
802aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、統合データ管理(UDM)に、UEとの認証プロシージャの結果および時間について知らせる。これは、SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、およびサービングネットワーク名を含む。
開示される技術のいくつかの実施形態では、統合データ管理エンティティ(UDM)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのアプリケーションのための認証およびキー管理(AKMA)識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)の組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)の組み合わせを含むAKMA識別子(AKMAID)を生成および記憶する。開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせを含むAKMA識別子(AKMAID)を生成および記憶する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数であり、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用される。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、UDMは、AKMAIDをAUSFに送信するように構成され、AUSFは、AKMAIDを記憶する。
UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをUPUデータとしてUEに送信する。
開示される技術のいくつかの実施形態では、UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
802bでは、UDMは、UEのために、開示される技術のいくつかの実施形態に基づいて実装されるAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のある実施形態では、AKMAIDは、MCC、MNC、AUSFID、およびRANDを含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分する、乱数である。開示される技術の別の実施形態では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分する、乱数である。UDMは、AKMAIDをUEの認証ステータス(SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
802cでは、UDMは、AUSFに、AKMAIDを含むNudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
803では、AUSFは、AKMAIDを受信し、KAKMAおよびKAKMA識別子とともに記憶する。
804では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
805では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
806では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
807では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
808では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作810に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、AKMAIDを含むキー要求をAUSFに送信する。
809では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
810では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定する。
811では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別を示す。
812では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶し、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
813では、UEは、KAKMAに基づいて、KAFを導出する。
図9は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)の組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証の成功後、AUSFは、MCC、MNC、AUSFID、およびRANDを含むAKMAIDを生成および記憶し、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である。AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むこともでき、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である。開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせを含むAKMA識別子(AKMAID)を生成および記憶する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数であり、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用される。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、AUSFは、AKMAIDをUDMに送信し、UDMは、AKMAIDを記憶する。
UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをUPUデータとしてUEに送信する。UEは、アプリケーションセッション確立のために、AKMAIDを使用する。
図9に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作901-913を含み得る。
901では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、認証サーバ機能エンティティ(AUSF)およびユーザ機器(UE)に記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。いくつかの実装では、KAKMAは、KAUSFから導出されることができる。
902では、AUSFは、UEのためのAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のいくつかの実施形態では、AKMAIDは、MCC、MNC、AUSFID、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(PLMN)を識別し、AUSFIDは、認証サーバ機能(AUSF)の識別子であり、RANDは、AUSFがUEに配分した乱数である。AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせも含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である。AUSFは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
903aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、UDMに、UEとの認証プロシージャの結果および時間について知らせる。これは、SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、サービングネットワーク名、およびAKMAIDを含む。
903bでは、UDMは、AKMAIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
903cでは、UDMは、AUSFに、Nudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
904では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをUEパラメータ更新(UPU)データとしてUEに送信する。
905では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
906では、UEは、AKMAIDを含むアプリケーションセッション確立要求を用いて、アプリケーション機能エンティティ(AF)との通信を開始する。
907では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
908では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作910に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、AKMAIDを提供することによって、AKMAキー要求をAUSFに送信する。
909では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
910では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定する。
911では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別である。
912では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含む。
913では、UEは、KAKMAに基づいて、KAFを導出する。
図10は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、統合データ管理エンティティ(UDM)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。
開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、AKMAIDとして、MCC、MNC、AUSFID、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である)、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である)を生成および記憶する。開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、AKMAIDとして、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である)、またはMCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である)を生成および記憶する。
開示される技術のいくつかの実施形態では、UDMは、AKMAIDを認証サーバ機能エンティティ(AUSF)に送信するように構成され、AUSFは、AKMAIDを記憶するように構成される。
UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)は、代替として、AKMAIDとして、MCC、MNC、AUSFID、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを生成し得る。開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)は、代替として、AKMAIDとして、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを生成し得る。
開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、AKMAIDとして、MCC、MNC、AUSFID、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である)、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である)を生成および記憶する。開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、AKMAIDとして、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である)、またはMCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である)を生成および記憶する。
開示される技術のいくつかの実施形態では、AUSFは、AKMAIDをUDMに送信し、UDMは、AKMAIDを記憶する。UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをUPUデータとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
図10に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作1001-1013を含み得る。
1001では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは認証サーバ機能エンティティ(AUSF)およびUEに記憶される。UEおよびUDMは、RANDを記憶し、これは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1002aでは、UEは、AKMAIDを生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用されるであろう識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができ、したがって、AKMAID有効期間は、一次認証間の時間インターバルより短くなり得ない。いくつかの実装では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
1002bでは、UDMは、AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができ、したがって、AKMAID有効期間は、一次認証間の時間インターバルより短くなり得ない。AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UDMは、AKMAIDおよびAUSF識別子(AUSFID)をUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
1003では、UEは、AKMAIDを含むアプリケーションセッション確立要求を用いて、AFとの通信を開始する。
1004では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。
1005では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1009に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_Resultステータス要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのサブスクリプション永続識別子(SUPI)とを読み出す。AAnFは、AKMAIDを提供する。
1006では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_ResultStatus応答を送信する。
1007では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1008では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1009では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
1010では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別である。
1011では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1012では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含む。
1013では、UEは、KAKMAに基づいて、KAFを導出する。
図11は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図11に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作1101-1113を含み得る。
開示される技術のいくつかの実施形態では、UEは、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。
1101では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは、AUSFおよびUEに記憶される。UEおよびUDMは、RANDを記憶し、これは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1102aでは、UEは、AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができ、したがって、AKMAID有効期間は、一次認証間の時間インターバルより短くなり得ない。AKMAIDは、MCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
ある実装では、一次認証成功後、UEは、AKMAIDとして、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを生成および記憶し、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
別の実装では、一次認証成功後、UDMおよびUEは、AKMAIDとして、MCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを生成および記憶し、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
1102bでは、UDMは、RANDおよびAUSFIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
いくつかの実装では、UDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶する。
いくつかの実装では、UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
1103では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1104では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
1105では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1109に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、RANDをAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDを提供する。
1106では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_ResultStatus応答を送信する。
1107では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1108では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1109では、AAnFは、KAKMAに基づいて、KAFを導出する。いくつかの実装では、AAnFは、KAF満了時間を設定する。
1110では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。AAnF IDは、AAnFの識別である。
1111では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1112では、AFは、アプリケーションセッション確立応答情報をUEに送信する。いくつかの実装では、応答情報は、KAFキー満了時間を含む。
1113では、UEは、KAKMAに基づいて、KAFを導出する。
図12は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、UEは、UEのためのAKMAプロシージャを識別するために使用され得るか、または、AKMAアンカキーを識別するための識別子として使用され得るAKMAIDとして、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを生成および記憶する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、およびRANDの組み合わせを含み得る。開示される技術のいくつかの実施形態では、UEは、UEのためのAKMAプロシージャを識別するために使用され得るか、または、AKMAアンカキーを識別するための識別子として使用され得るAKMAIDとして、MCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを生成および記憶する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。
一次認証成功後、UEは、AKMAIDとして、MCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを生成および記憶し、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
一次認証成功後、UDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
いくつかの実装では、AAnFは、新しいRANDおよび新しいAKMAIDを生成する。
いくつかの実装では、UEは、新しいRANDおよび新しいAKMAIDを生成する。いくつかの実装では、UEは、古いAKMAIDを受信された新しいAKMAIDで更新することができる。
1201では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEおよびUDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶するであろう。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1202aでは、UEは、AKMAIDを生成する。ここでは、AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
1202bでは、UDMは、RANDおよびAUSFIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
1203では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1204では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
1205では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1209に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、RANDをAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDを提供する。
1206では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_Resultステータス応答を送信する。
1207では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1208では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1209では、AAnFは、新しいRANDに基づいて、新しいRANDおよび新しいAKMAIDを生成する。いくつかの実装では、新しいAKMAIDは、MCC、MNC、ルーティングインジケータ、および新しいRANDの組み合わせを含み得、MCC、MNC、およびルーティングインジケータは、古いAKMAIDの対応する部分と同一である。これは、新しいAKMAIDが、新しいRANDのみを使用して、古いAKMAID内の古いRANDを更新することによって、取得され得ることを意味する。AAnFは、KAKMAおよびKAKMA識別子を新しいAKMAIDとともに記憶し、古いAKMAIDを削除する。AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定する。AAnFは、KAKMAと、AAnFによって生成される新しいRANDとに基づいて、KAFを導出することもできる。
1210では、AAnFは、キー応答情報をAFに送信する。キー応答情報は、AAnF ID、新しいRANDまたは新しいAKMAID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別である。
1211では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1212では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、新しいRANDまたは新しいAKMAIDおよびKAFキー満了時間を含む。
1213では、UEは、古いAKMIDを受信された新しいAKMAIDで更新するか、または、UEは、受信された新しいRANDに基づいて、新しいAKMAIDを生成する。いくつかの実装では、新しいAKMAIDは、MCC、MNC、ルーティングインジケータ、および新しいRANDの組み合わせを含み、MCC、MNC、およびルーティングインジケータは、古いAKMAIDの対応する部分と同一であり、したがって、新しいAKMAIDは、新しいRANDのみを使用して、古いAKMAID内の古いRANDを更新することによって、取得されることができる。UEは、KAKMAおよびKAKMA識別子を新しいAKMAIDとともに記憶し、古いAKMAIDを削除する。UEは、KAKMAに基づいて、KAFを導出する。UEは、KAKMAと、AAnFによって生成された受信された新しいRANDとに基づいて、KAFを導出することもできる。
図13は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
1301では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEおよびUDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶する。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1302aでは、UEは、AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。いくつかの実装では、AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、およびRANDの組み合わせを含み、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
1302bでは、UDMは、RANDおよびAUSFIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
1303では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1304では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
1305では、AAnFは、AKMAIDによって、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1309に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、RANDをAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDを提供する。
1306では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_Resultステータス応答を送信する。
1307では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1308では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1309では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
1310では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。AAnF IDは、AAnFの識別である。
1311では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1312では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
1313では、UEは、KAKMAに基づいて、KAFを導出する。
図14は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
1401では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEおよびUDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶するであろう。UEおよびAUSFは、AKMAアンカキー(KAKMA)をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。いくつかの実装では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEは、base64encodeによって生成されたRANDを生成および記憶する。UEおよびAUSFは、AKMAアンカキー(KAKMA)をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1402aでは、UEは、AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。いくつかの実装では、AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせも含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、base64encodeによって生成される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。いくつかの実装では、AKMAIDは、AAnF ID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせも含み得、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり(AAnFドメイン名等)、RANDは、base64encodeによって生成される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
1402bでは、UDMは、RANDおよびAUSFIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
1403では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1404では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。AFは、AKMAIDに基づいて、AAnFを選択することができる。
1405では、AAnFは、AKMAIDによって、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1409に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、RANDおよび/またはUE識別子をAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDおよび/またはUE識別子を提供する。いくつかの実装では、AAnFは、AKMAIDによって、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1409に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、AKMAIDを提供する。
1406では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIおよび/またはUE識別子とを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_ResultStatus応答を送信する。いくつかの実装では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_ResultStatus応答を送信する。
1407では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1408では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1409では、AAnFは、base64encode(RAND)によって、新しいRANDを生成し、新しいRANDに基づいて、新しいAKMAIDを生成し、新しいAKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および新しいRANDの組み合わせを含み得、MCC、MNC、ルーティングインジケータ、およびAAnF IDは、古いAKMAIDの対応する部分と同一である。AAnFは、KAKMAおよびKAKMA識別子を新しいAKMAIDとともに記憶し、古いAKMAIDを削除する。AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。AAnFは、KAKMAと、AAnFによって生成される新しいRANDとに基づいて、KAFを導出することもできる。
1410では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、新しいRANDまたは新しいAKMAID、KAF、およびキー満了時間を含み得る。AAnF IDは、AAnFの識別子であり、AAnF IDは、ドメイン名、すなわち、AAnF_server_domain_nameであることができる。
1411では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1412では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、新しいRANDまたは新しいAKMAIDおよびKAFキー満了時間を含み得る。いくつかの実装では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、新しいRANDまたは新しいAKMAID(AKMAID=base64encode(RAND)@AAnF_server_domain_name)およびKAFキー満了時間を含み得る。
1413では、UEは、古いAKMIDを受信された新しいAKMAIDで更新する。別の実装では、UEは、受信された新しいRANDに基づいて、新しいAKMAIDを生成し、新しいAKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、ユーザ機器(UE)識別子、および新しいRANDの組み合わせを含み、MCC、MNC、ルーティングインジケータ、およびAAnF IDは、古いAKMAIDの対応する部分と同一である。UEは、KAKMAおよびKAKMA識別子を新しいAKMAIDとともに記憶し、古いAKMAIDを削除し得る。UEは、KAKMAに基づいて、KAFを導出する。UEは、KAKMAと、AAnFによって生成される受信された新しいRANDとに基づいて、KAFを導出することもできる。
図15は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
1501では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶するであろう。UDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶し得る。
1502aでは、AUSFは、Nudm_UE Authentication_Result確認要求を使用して、UDMに、UEとの認証プロシージャの結果および時間について知らせる。これは、SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、およびサービングネットワーク名を含む。
1502bでは、UDMは、AAnF IDを含むNudm_UE Authentication_Result確認応答をAUSFに返信する。AAnF IDは、UDM内に、UEのサブスクリプションの一部として記憶されることができる。
1503aでは、UEは、UEのためのKAKMAおよびキー識別子AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、およびRANDの組み合わせを含み、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAとともに記憶する。AAnF IDは、USIM内に、UEのサブスクリプションの一部として記憶されることができる。
1503bでは、AUSFは、UEのためのKAKMAおよびキー識別子AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。AUSFは、AKMAIDをKAKMAとともに記憶する。
図16は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
1601では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEおよびUDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶する。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子AKMAIDをUE登録プロシージャの一部として生成および記憶する。KAKMAは、KAUSFから導出されることができる。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
1602では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1603では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
1604では、AAnFは、AKMAIDによって、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、に進むステップ1608.KAKMAが利用可能でない場合、AAnFは、RANDをAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_ResultStatus要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDを提供する。
1605では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報を読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子を含むNudm_UE Auth_ResultStatus応答を送信する。
1606では、AAnFは、AKMAIDを提供することによって、キー要求をAUSFに送信する。
1607では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAをAAnFに送信する。AAnFは、KAKMAおよびAKMAIDを受信および記憶する。
1608では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
1609では、AAnFは、キー応答情報をAFに送信する。それは、KAFおよびキー満了時間を含む。
1610では、AFは、KAFおよびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1611では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
1612では、UEは、KAKMAに基づいて、KAFを導出する。
図17は、開示される技術のいくつかの実施形態に基づく、無線通信方法の例を図示するフロー図である。無線通信方法1700は、1710において、第1の機能エンティティによって、少なくともモバイル国コード、モバイルネットワークコード、および乱数を使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、1720において、第1の識別子を第1のデバイスに伝送することとを含む。いくつかの実装では、第1のデバイスは、ユーザ機器(UE)を含む。いくつかの実装では、第1の識別子は、ルーティングインジケータ(例えば、ルーティングインジケータ)または認証サーバ機能識別子のうちの少なくとも1つにさらに基づく。開示される技術のいくつかの実施形態では、第1の識別子は、上で議論されるAKMAIDを含む。いくつかの実装では、モバイル国コード(例えば、MCC)は、第1の機能エンティティが実施される国を識別するために使用され、モバイルネットワークコード(例えば、MNC)は、ホーム地上波公共移動通信ネットワークを識別するために使用され、乱数(例えば、RAND)は、第1のデバイスのために使用されるために第1の機能エンティティによって配分され、ルーティングインジケータは、認証およびキー管理を用いて、ネットワークシグナリングをルーティングするために使用され、認証サーバ機能識別子(例えば、AUSFID)は、認証サーバ機能エンティティ(例えば、AUSF)を識別するために使用される。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(例えば、AKMA)のためのアーキテクチャに従って生成される。
認証およびキー管理をサポートするように意図されるモバイルネットワークサービスでは、機能エンティティの組が、モバイルネットワーク内で展開されることができる。そのような機能エンティティは、ネットワークエクスポージャ機能エンティティ(NEF)、AKMAアンカ機能エンティティ(AAnF)、統合データ管理エンティティ(UDE)、認証サーバ機能エンティティ(AUSF)、アクセスおよびモビリティ管理機能エンティティ(AMF)、およびアプリケーション機能エンティティ(AF)を含む。機能エンティティは、サービスベースのインターフェースを使用して、互いに相互作用する。
いくつかの実装では、第1の識別子の第1のデバイスへの伝送は、統合データ管理エンティティ(例えば、UDE)によって、第1のデバイスのためのパラメータ更新プロシージャを実施することによって、行われる。いくつかの実装では、第1の機能エンティティは、第1の識別子を記憶する。いくつかの実装では、第1のデバイスは、第1の識別子を記憶する。
いくつかの実装では、無線通信方法1700は、第1の機能エンティティによって、第1の識別子を第2の機能エンティティに送信することをさらに含む。いくつかの実装では、第2の機能エンティティは、第1の識別子を記憶するように構成される。
いくつかの実装では、第2の機能エンティティは、認証サーバ機能エンティティ(例えば、AUSF)である。
いくつかの実装では、第1の機能エンティティは、認証サーバ機能エンティティ(例えば、AUSF)を含み、認証サーバ機能エンティティは、ネットワークエクスポージャ機能エンティティ(例えば、NEF)、アプリケーションのための認証およびキー管理アンカ機能エンティティ(例えば、AAnF)、統合データ管理エンティティ(例えば、UDE)、アクセスおよびモビリティ管理機能エンティティ(例えば、AMF)、またはアプリケーション機能エンティティ(例えば、AF)のうちの少なくとも1つと通信する。いくつかの実装では、第2の機能エンティティは、統合データ管理エンティティ(例えば、UDE)を含む。
いくつかの実装では、第1の識別子は、一次認証の完了時に生成される。いくつかの実装では、第1のデバイスは、第1の識別子を使用して、アプリケーション機能(例えば、AF)とセキュアな通信を確立するように構成される。
いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子にさらに基づく。いくつかの実装では、第1の識別子は、UE等の第1のデバイスのためのアプリケーションのための認証およびキー管理(AKMA)プロシージャを識別するために使用される。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)アンカキーを識別するための識別子として使用される。
図18は、開示される技術のいくつかの実施形態に基づく、無線通信方法の別の例を図示するフロー図である。無線通信方法1800は、1810において、第1の機能エンティティまたは第1のデバイスによって、モバイル国コード、モバイルネットワークコード、乱数、およびインジケータを使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、1820において、第1の識別子を第1のデバイスに伝送することとを含む。
開示される技術のいくつかの実施形態では、第1の識別子は、上で議論される、AKMAIDを含む。いくつかの実装では、インジケータは、ルーティングインジケータを含む。いくつかの実装では、モバイル国コード(例えば、MCC)は、第1の機能エンティティが実施される国を識別するために使用され、モバイルネットワークコード(例えば、MNC)は、ホーム地上波公共移動通信ネットワークを識別するために使用され、乱数(例えば、RAND)は、認証のために使用されるために、第1の機能エンティティによって配分され、ルーティングインジケータ(例えば、ルーティングインジケータ)は、認証およびキー管理を用いて、ネットワークシグナリングをルーティングするために使用される。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)のためのアーキテクチャに従って生成される。
いくつかの実装では、第1の機能エンティティは、第1の識別子を記憶する。いくつかの実装では、第1のデバイスは、第1の識別子を記憶する。いくつかの実装では、第1の機能エンティティは、統合データ管理エンティティ(例えば、UDM)を含み、統合データ管理エンティティは、ネットワークエクスポージャ機能エンティティ(例えば、NEF)、アプリケーションのための認証およびキー管理アンカ機能エンティティ(例えば、AAnf)、認証サーバ機能エンティティ(例えば、AUSF)、アクセスおよびモビリティ管理機能エンティティ(例えば、AMF)、またはアプリケーション機能エンティティ(例えば、AF)のうちの少なくとも1つと通信する。
いくつかの実装では、第1の識別子は、一次認証の完了時に生成される。いくつかの実装では、第1のデバイスは、第1の識別子を使用して、無線通信内でネットワーク機能とセキュアな通信を確立するように構成される。いくつかの実装では、第1のデバイスは、ユーザ機器(UE)を含む。いくつかの実装では、統合データ管理エンティティ(例えば、UDM)およびユーザ機器(UE)は、第1の識別子を記憶する。
いくつかの実装では、乱数は、一次認証内で使用されるべき認証ベクトル内に含まれる。いくつかの実装では、アプリケーションのための認証およびキー管理アンカ機能エンティティ(例えば、AAnF)は、新しい乱数(例えば、新しいRAND)を生成し、新しい第1の識別子を生成する。いくつかの実装では、第1のデバイスは、新しい乱数を使用して、第1の識別子を更新する。
いくつかの実装では、第1の機能エンティティは、統合データ管理エンティティ(例えば、UDM)を含み、第1のデバイスは、ユーザ機器(UE)を含み、統合データ管理エンティティおよびユーザ機器は、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を記憶する。いくつかの実装では、統合データ管理エンティティおよびユーザ機器は、一次認証の完了時、第1の識別子を生成および記憶する。いくつかの実装では、インジケータは、ネットワークシグナリングをインジケータとともに統合データ管理インスタンスにルーティングするためのルーティングインジケータである。
図19は、開示される技術のいくつかの実施形態に基づく、無線通信方法の別の例を図示するフロー図である。無線通信方法1900は、1910において、第1のデバイスによって、モバイル国コード、モバイルネットワークコード、乱数、およびルーティングインジケータを使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、1920において、第1のデバイスによって、アプリケーション機能エンティティへの後続要求のために、第1の識別子を記憶することとを含む。
いくつかの実装では、無線通信方法1900は、第1のデバイスによって、統合データ管理エンティティに乱数を記憶させることをさらに含む。いくつかの実装では、乱数は、一次認証における認証ベクトル内で生成および使用される。
開示される技術のいくつかの実施形態では、第1の識別子は、上で議論されるAKMAIDを含む。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)アンカ機能エンティティ(例えば、AAnF)によって、AKMAアンカ機能エンティティによって生成された新しい乱数(例えば、新しいRAND)を使用して、更新される。いくつかの実装では、AKMAアンカ機能エンティティは、新しい乱数およびAKMAアンカキー(例えば、KAKMA)を使用して、アプリケーションキー(例えば、KAF)を導出するように構成される。
いくつかの実装では、無線通信方法1500は、第1のデバイスによって、アプリケーションのための認証およびキー管理(AKMA)アンカ機能エンティティによって生成された新しい乱数を使用して、第1の識別子を更新することをさらに含む。
いくつかの実装では、第1のデバイスは、ユーザ機器(UE)である。いくつかの実装では、第1のデバイスは、アプリケーションセッション確立プロセスにおいて、第1の識別子を使用するように構成される。
いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子にさらに基づく。いくつかの実装では、モバイル国コードは、第1の機能エンティティが動作させられる国を識別するために使用され、モバイルネットワークコードは、ホーム地上波公共移動通信ネットワークを識別するために使用され、乱数は、認証のために使用されるために、第1の機能エンティティによって配分され、ルーティングインジケータは、認証およびキー管理を用いて、ネットワークシグナリングをルーティングするために使用され、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子は、アプリケーションのための認証およびキー管理アンカ機能(AAnF)機能エンティティを識別するために使用される。いくつかの実装では、第1の識別子は、第1のデバイスのためのアプリケーションのための認証およびキー管理(AKMA)プロシージャを識別するために使用される。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)アンカキーを識別するための識別子として使用される。
図20は、開示される技術のいくつかの実施形態に基づく、無線通信方法の別の例を図示するフロー図である。無線通信方法2000は、2010において、一次認証の完了時、第1の機能エンティティおよび第1のデバイスに記憶される中間キーを取得することと、2020において、中間キーに基づいて、アプリケーションのための認証およびキー管理のためのアンカキーを生成することと、2030において、モバイル国コード、モバイルネットワークコード、ルーティングインジケータ、アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子、乱数、および第1のデバイス識別子を使用して、第1の識別子を生成することと、2040において、第1の識別子およびアプリケーションのための認証およびキー管理のためのアンカキーを記憶することと、2050において、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することとを含む。いくつかの実装では、第1のデバイス識別子は、UE識別子である。
いくつかの実装では、第1の機能エンティティは、認証サーバ機能エンティティを含む。いくつかの実装では、中間キーは、認証サーバ機能キー(KAUSF)を含む。いくつかの実装では、アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子は、AKMAアンカ機能(AAnF)エンティティを識別するために使用される。いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することは、AAnFエンティティへの第1の識別子を含むキー要求をアプリケーション機能エンティティに伝送させることを含む。
いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することは、アプリケーションのための認証およびキー管理のためのアンカキーに基づいて、アプリケーション機能キーをAAnFエンティティに導出させることを含む。
いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することは、アプリケーションのための認証およびキー管理のためのアンカキーに基づいて、アプリケーション機能キーを第1のデバイスに導出させることをさらに含む。いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立するステップは、モバイル国コード、モバイルネットワークコード、ルーティングインジケータ、アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子、および新しい乱数を使用して、新しい乱数を生成し、新しい第1の識別子を生成することを含む。
いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することは、第1の識別子を新しい第1の識別子で、第1のデバイスに更新させることをさらに含む。
いくつかの実装では、無線通信方法2000は、統合データ管理エンティティに一次認証の結果について、認証サーバ機能エンティティに通知させることをさらに含む。いくつかの実装では、第1のデバイスは、ユーザ機器である。
図21は、適用され得る本技術の1つ以上の実施形態による無線ステーションの一部のブロック図表現である。基地局または無線デバイス(またはUE)等の無線ステーション2105は、本書に提示される無線技法のうちの1つ以上のものを実装するマイクロプロセッサ等のプロセッサ電子機器2110を含むことができる。無線ステーション2105は、送受信機電子機器2115を含み、アンテナ2120等の1つ以上の通信インターフェースを経由して、無線信号を送信および/または受信することができる。無線ステーション2105は、データを伝送および受信するための他の通信インターフェースも含むことができる。無線ステーション2105は、データおよび/または命令等の情報を記憶するように構成された1つ以上のメモリ(明示的に示されない)を含むことができる。いくつかの実装では、プロセッサ電子機器2110は、送受信機電子機器2115の少なくとも一部を含むことができる。いくつかの実施形態では、開示される技法、モジュール、または機能のうちの少なくともいくつかは、無線ステーション2105を使用して実装される。
本明細書に説明される実施形態のうちのいくつかは、方法またはプロセスの一般的文脈で説明され、それらは、一実施形態では、ネットワーク化された環境内でコンピュータによって実行される、プログラムコード等のコンピュータ実行可能命令を含むコンピュータ読み取り可能な媒体で具現化されるコンピュータプログラム製品によって実装され得る。コンピュータ読み取り可能な媒体は、限定ではないが、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、コンパクトディスク(CD)、デジタル多用途ディスク(DVD)等を含むリムーバブルおよび非リムーバブル記憶デバイスを含み得る。したがって、コンピュータ読み取り可能な媒体は、非一過性の記憶媒体を含むことができる。概して、プログラムモジュールは、特定のタスクを実施する、または特定の抽象データタイプを実装する、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造等を含み得る。コンピュータまたはプロセッサ実行可能命令、関連付けられるデータ構造、およびプログラムモジュールは、本明細書に開示される方法のステップを実行するためのプログラムコードの例を表す。そのような実行可能命令または関連付けられるデータ構造の特定のシーケンスは、そのようなステップまたはプロセスで説明される機能を実装するための対応する行為の例を表す。
開示される実施形態のうちのいくつかは、ハードウェア回路、ソフトウェア、またはそれらの組み合わせを使用するデバイスまたはモジュールとして実装されることができる。例えば、ハードウェア回路実装は、例えば、プリント回路基板の一部として統合される、別々のアナログおよび/またはデジタルコンポーネントを含むことができる。代替として、または加えて、開示されるコンポーネントまたはモジュールは、特定用途向け集積回路(ASIC)として、および/またはフィールドプログラマブルゲートアレイ(FPGA)デバイスとして実装されることができる。いくつかの実装は、加えて、または代替として、本願の開示される機能性に関連付けられるデジタル信号処理の動作の必要性のために最適化されるアーキテクチャを伴う特殊マイクロプロセッサであるデジタル信号プロセッサ(DSP)を含み得る。同様に、各モジュール内の種々のコンポーネントまたはサブコンポーネントが、ソフトウェア、ハードウェア、またはファームウェアで実装され得る。モジュールおよび/またはモジュール内のコンポーネントの間の接続性は、限定ではないが、適切なプロトコルを使用するインターネット、有線、または無線ネットワークを経由した通信を含む、当技術分野で公知である接続性方法および媒体のうちのいずれか1つを使用して、提供され得る。
本書は、多くの詳細を含むが、これらは、請求される発明または請求され得るものの範囲への限定としてではなく、むしろ、特定の実施形態に特定の特徴の説明として解釈されるべきである。別個の実施形態との関連で本書に説明されるある特徴も、単一の実施形態において組み合わせて実装されることができる。逆に、単一の実施形態との関連で説明される種々の特徴も、複数の実施形態において別個に、または任意の好適な副次的組み合わせにおいて実装されることができる。さらに、特徴が、ある組み合わせにおいて作用するものとして上で説明され、さらに、そのようなものとして最初に請求され得るが、請求される組み合わせからの1つ以上の特徴は、ある場合、組み合わせから削除されることができ、請求される組み合わせは、副次的組み合わせまたは副次的組み合わせの変形例を対象とし得る。同様に、動作は、特定の順序で図面に描写され得るが、これは、望ましい結果を達成するために、そのような動作が示される特定の順序で、または連続的順序で実施されること、または全ての図示される動作が実施されることを要求するものとして理解されるべきではない。
いくつかの実装および例のみが、説明され、他の実装、向上、および変形例も、本開示に説明および図示されるものに基づいて成されることができる。