JP7383159B2 - アプリケーション通信確立のためのパラメータ - Google Patents

アプリケーション通信確立のためのパラメータ Download PDF

Info

Publication number
JP7383159B2
JP7383159B2 JP2022538926A JP2022538926A JP7383159B2 JP 7383159 B2 JP7383159 B2 JP 7383159B2 JP 2022538926 A JP2022538926 A JP 2022538926A JP 2022538926 A JP2022538926 A JP 2022538926A JP 7383159 B2 JP7383159 B2 JP 7383159B2
Authority
JP
Japan
Prior art keywords
identifier
akmaid
authentication
akma
aanf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022538926A
Other languages
English (en)
Other versions
JP2023509878A (ja
Inventor
ワンタオ ユー,
シーリン ヨウ,
ユーゼ リウ,
ジン ペン,
ジャオジー リン,
ユーシン マオ,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2023509878A publication Critical patent/JP2023509878A/ja
Application granted granted Critical
Publication of JP7383159B2 publication Critical patent/JP7383159B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本書は、概して、無線通信に関する。
より広範な展開フレキシビリティ、多数のデバイスおよびサービスのためのサポート、および効率的帯域幅利用のための異なる技術を提供する次世代無線通信ネットワークを定義する試みが、現在進行中である。次世代無線通信ネットワークはまた、現在利用可能なコアネットワークを超えて、追加のサービスおよびフレキシビリティを提供する新しいコアネットワークを展開することも期待される。
本書は、無線ネットワークにおいて、ユーザ機器とアプリケーション機能エンティティとの間のアプリケーションセッションを保護するためのセキュリティプロセスを改良するための技法を提供する。
開示される技術の例示的実施形態では、無線通信方法は、第1の機能エンティティによって、少なくともモバイル国コード、モバイルネットワークコード、および乱数を使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、第1の識別子を第1のデバイスに伝送することとを含む。
開示される技術の別の例示的実施形態では、無線通信方法は、第1の機能エンティティまたは第1のデバイスによって、モバイル国コード、モバイルネットワークコード、乱数、およびインジケータを使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、第1の識別子を第1のデバイスに伝送することとを含む。
開示される技術のさらに別の例示的実施形態では、無線通信方法は、第1のデバイスによって、モバイル国コード、モバイルネットワークコード、乱数、およびルーティングインジケータを使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、第1のデバイスによって、アプリケーション機能エンティティへの後続要求のために、第1の識別子を記憶することとを含む。
開示される技術のさらに別の例示的実施形態では、無線通信方法は、一次認証の完了時、第1の機能エンティティおよび第1のデバイスに記憶される中間キーを取得することと、中間キーに基づいて、アプリケーションのための認証およびキー管理のためのアンカキーを生成することと、モバイル国コード、モバイルネットワークコード、ルーティングインジケータ、アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子、乱数、および第1のデバイス識別子を使用して、第1の識別子を生成することと、第1の識別子およびアプリケーションのための認証およびキー管理のためのアンカキーを記憶することと、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することとを含む。
開示される技術のさらに別の例示的実施形態では、上で説明される方法は、プロセッサ実行可能コードの形態で具現化され、コンピュータ読み取り可能なプログラム媒体内に記憶される。
開示される技術のさらに別の例示的実施形態では、上で説明される方法を実施するように構成される、または動作可能である、デバイスが、開示される。
上記および他の側面およびその実装は、図面、説明、および請求項において、より詳細に説明される。
本発明はさらに、例えば、以下を提供する。
(項目1)
無線通信のための方法であって、前記方法は、
第1の機能エンティティによって、少なくともモバイル国コード、モバイルネットワークコード、および乱数を使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、
前記第1の識別子を前記第1のデバイスに伝送することと
を含む、方法。
(項目2)
前記第1のデバイスは、前記第1の識別子を生成するようにさらに構成されている、項目1に記載の方法。
(項目3)
前記第1の識別子は、ルーティングインジケータまたは認証サーバ機能識別子のうちの少なくとも1つにさらに基づく、項目1に記載の方法。
(項目4)
前記第1の識別子は、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子にさらに基づく、項目1に記載の方法。
(項目5)
前記第1の識別子は、ユーザ機器(UE)識別子にさらに基づく、項目1に記載の方法。
(項目6)
前記モバイル国コードは、前記第1の機能エンティティが動作させられる国を識別するために使用され、前記モバイルネットワークコードは、ホーム地上波公共移動通信ネットワークを識別するために使用され、前記乱数は、前記第1のデバイスのために使用されるために前記第1の機能エンティティによって配分され、前記ルーティングインジケータは、前記認証およびキー管理を用いて、ネットワークシグナリングをルーティングするために使用され、前記認証サーバ機能識別子は、認証サーバ機能エンティティを識別するために使用され、前記アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子は、AAnF機能エンティティを識別するために使用され、前記UE識別子は、ユーザ機器を識別するために使用される、項目1-5のいずれかに記載の方法。
(項目7)
前記第1の識別子は、前記第1のデバイスのためのアプリケーションのための認証およびキー管理(AKMA)プロシージャを識別するために使用される、項目1-5のいずれかに記載の方法。
(項目8)
前記第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)アンカキーを識別するための識別子として使用される、項目1-5のいずれかに記載の方法。
(項目9)
前記第1の識別子の前記第1のデバイスへの伝送は、統合データ管理エンティティによって、前記第1のデバイスのためのパラメータ更新プロシージャを実施することによって行われる、項目1に記載の方法。
(項目10)
前記第1の機能エンティティまたは前記第1のデバイスのうちの少なくとも1つは、前記第1の識別子を記憶する、項目1に記載の方法。
(項目11)
前記第1の機能エンティティによって、前記第1の識別子を第2の機能エンティティに送信することをさらに含む、項目1に記載の方法。
(項目12)
前記第2の機能エンティティは、前記第1の識別子を記憶するように構成されている、項目11に記載の方法。
(項目13)
前記第1の機能エンティティは、統合データ管理エンティティを含み、前記統合データ管理エンティティは、ネットワークエクスポージャ機能エンティティ、アプリケーションのための認証およびキー管理アンカ機能エンティティ、認証サーバ機能エンティティ、アクセスおよびモビリティ管理機能エンティティ、またはアプリケーション機能エンティティのうちの少なくとも1つと通信する、項目1-12のいずれかに記載の方法。
(項目14)
前記第2の機能エンティティは、前記認証サーバ機能エンティティである、項目13に記載の方法。
(項目15)
前記第1の機能エンティティは、認証サーバ機能エンティティを含み、前記認証サーバ機能エンティティは、ネットワークエクスポージャ機能エンティティ、アプリケーションのための認証およびキー管理アンカ機能エンティティ、統合データ管理エンティティ、アクセスおよびモビリティ管理機能エンティティ、またはアプリケーション機能エンティティのうちの少なくとも1つと通信する、項目1-12のいずれかに記載の方法。
(項目16)
前記第2の機能エンティティは、前記統合データ管理エンティティである、項目15に記載の方法。
(項目17)
前記第1の識別子は、一次認証の完了時に生成される、項目1-16のいずれかに記載の方法。
(項目18)
前記第1のデバイスは、前記第1の識別子を使用して、アプリケーション機能とセキュアな通信を確立するように構成されている、項目1-16のいずれかに記載の方法。
(項目19)
前記第1のデバイスは、ユーザ機器(UE)を含む、項目1-16のいずれかに記載の方法。
(項目20)
前記乱数は、一次認証内で使用されるべき認証ベクトル内に含まれる、項目1-19のいずれかに記載の方法。
(項目21)
アプリケーションのための認証およびキー管理アンカ機能エンティティが、新しい第1の識別子を生成するための新しい乱数を生成する、項目1-19のいずれかに記載の方法。
(項目22)
前記第1のデバイスは、前記新しい乱数を使用して、前記第1の識別子を更新する、項目21に記載の方法。
(項目23)
無線通信のための方法であって、前記方法は、
第1のデバイスによって、モバイル国コード、モバイルネットワークコード、乱数、およびルーティングインジケータを使用して、前記第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、
前記第1のデバイスによって、アプリケーション機能エンティティへの後続要求のために、前記第1の識別子を記憶することと
を含む、方法。
(項目24)
前記第1の識別子は、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子にさらに基づく、項目23に記載の方法。
(項目25)
前記第1の識別子は、ユーザ機器(UE)識別子にさらに基づく、項目23に記載の方法。
(項目26)
前記モバイル国コードは、前記第1の機能エンティティが動作させられる国を識別するために使用され、前記モバイルネットワークコードは、ホーム地上波公共移動通信ネットワークを識別するために使用され、前記乱数は、前記第1の機能エンティティによって配分され、前記ルーティングインジケータは、前記認証およびキー管理を用いて、ネットワークシグナリングをルーティングするために使用され、前記アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子は、アプリケーションのための認証およびキー管理アンカ機能(AAnF)機能エンティティを識別するために使用され、前記UE識別子は、ユーザ機器を識別するために使用される、項目23-25に記載の方法。
(項目27)
前記第1の識別子は、前記第1のデバイスのためのアプリケーションのための認証およびキー管理(AKMA)プロシージャを識別するために使用される、項目23-25に記載の方法。
(項目28)
前記第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)アンカキーを識別するための識別子として使用される、項目23-25に記載の方法。
(項目29)
前記第1のデバイスによって、統合データ管理エンティティに前記乱数を記憶させることをさらに含む、項目28に記載の方法。
(項目30)
前記乱数は、一次認証における認証ベクトル内で生成および使用される、項目29に記載の方法。
(項目31)
前記第1の識別子は、前記AKMAアンカ機能エンティティによって生成された新しい乱数を使用して、アプリケーションのための認証およびキー管理(AKMA)アンカ機能エンティティによって更新される、項目29に記載の方法。
(項目32)
前記AKMAアンカ機能エンティティは、前記新しい乱数およびAKMAアンカキーを使用して、アプリケーションキーを導出するように構成されている、項目31に記載の方法。
(項目33)
前記第1のデバイスによって、アプリケーションのための認証およびキー管理(AKMA)アンカ機能エンティティによって生成された新しい乱数を使用して、前記第1の識別子を更新することをさらに含む、項目29に記載の方法。
(項目34)
前記第1のデバイスは、ユーザ機器である、項目23-33のいずれかに記載の方法。
(項目35)
前記第1のデバイスは、アプリケーションセッション確立プロセスにおいて、前記第1の識別子を使用するように構成されている、項目23-33のいずれかに記載の方法。
(項目36)
無線通信のための方法であって、前記方法は、
一次認証の完了時、第1の機能エンティティおよび第1のデバイスに記憶される中間キーを取得することと、
前記中間キーに基づいて、アプリケーションのための認証およびキー管理のためのアンカキーを生成することと、
モバイル国コード、モバイルネットワークコード、ルーティングインジケータ、アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子、乱数、および第1のデバイス識別子を使用して、第1の識別子を生成することと、
前記第1の識別子と前記アプリケーションのための認証およびキー管理のためのアンカキーとを記憶することと、
前記第1の識別子を使用して、前記第1のデバイスのためのセキュアな通信を確立することと
を含む、方法。
(項目37)
前記第1の機能エンティティは、認証サーバ機能エンティティを含む、項目36に記載の方法。
(項目38)
前記中間キーは、認証サーバ機能キー(K AUSF )を含む、項目37に記載の方法。
(項目39)
前記アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子は、AKMAアンカ機能(AAnF)エンティティを識別するために使用され、前記第1のデバイス識別子は、ユーザ機器を識別するために使用されるUE識別子である、項目36に記載の方法。
(項目40)
前記第1の識別子を使用して、前記第1のデバイスのためのセキュアな通信を確立することは、前記AAnFエンティティへの前記第1の識別子を含むキー要求をアプリケーション機能エンティティに伝送させることを含む、項目39に記載の方法。
(項目41)
前記第1の識別子を使用して、前記第1のデバイスのためのセキュアな通信を確立することは、前記アプリケーションのための認証およびキー管理のためのアンカキーに基づいて、アプリケーション機能キーを前記AAnFエンティティに導出させることを含む、項目39に記載の方法。
(項目42)
前記第1の識別子を使用して、前記第1のデバイスのためのセキュアな通信を確立することは、前記アプリケーションのための認証およびキー管理のためのアンカキーに基づいて、アプリケーション機能キーを前記第1のデバイスに導出させることをさらに含む、項目41に記載の方法。
(項目43)
前記第1の識別子を使用して、前記第1のデバイスのためのセキュアな通信を確立することは、前記モバイル国コード、前記モバイルネットワークコード、前記ルーティングインジケータ、前記アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子、および前記新しい乱数を使用して、新しい第1の識別子を生成するための新しい乱数を生成することを含む、項目39に記載の方法。
(項目44)
前記第1の識別子を使用して、前記第1のデバイスのためのセキュアな通信を確立することは、前記第1の識別子を前記新しい第1の識別子で、前記第1のデバイスに更新させることをさらに含む、項目43に記載の方法。
(項目45)
統合データ管理エンティティに前記一次認証の結果について、前記認証サーバ機能エンティティに通知させることをさらに含む、項目37に記載の方法。
(項目46)
前記第1のデバイスは、ユーザ機器である、項目36-45のいずれかに記載の方法。
(項目47)
メモリとプロセッサとを備えている無線通信のための装置であって、前記プロセッサは、コードを前記メモリから読み取り、項目1-46のいずれかに記載の方法を実装する、装置。
(項目48)
コードを記憶しているコンピュータ読み取り可能なプログラム記憶媒体であって、前記コードは、プロセッサによって実行されると、項目1-46のいずれかに記載の方法を前記プロセッサに実装させる、コンピュータ読み取り可能なプログラム記憶媒体。
図1Aは、無線通信システムの例を示す。
図1Bは、アプリケーションのための認証およびキー管理(AKMA)のための基本ネットワークモデルの例示的アーキテクチャを示す。
図2は、ユーザ機器(UE)登録中のAKMAルートキーの導出を示す。
図3は、AKMAアンカキー(KAKMA)からのアプリケーション機能(AF)キー生成の例を示す。
図4は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施される例示的プロセスを図示するフローチャートである。
図5は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施される別の例示的プロセスを図示するフローチャートである。
図6は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図7は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図8は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図9は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図10は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図11は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図12は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図13は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図14は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図15は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図16は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図17は、開示される技術のいくつかの実施形態に基づく、無線通信方法の例を図示するフロー図である。
図18は、開示される技術のいくつかの実施形態に基づく、無線通信方法の別の例を図示するフロー図である。
図19は、開示される技術のいくつかの実施形態に基づく、無線通信方法の別の例を図示するフロー図である。
図20は、開示される技術のいくつかの実施形態に基づく、無線通信方法の別の例を図示するフロー図である。
図21は、適用され得る本技術の1つ以上の実施形態による、無線ステーションの一部のブロック図表現である。
図1Aは、無線アクセスノード120と、1つ以上のユーザ機器(UE)111、112、および113とを含む無線通信システム(例えば、LTE、5G新規無線(NR)セルラーネットワーク)の例を示す。いくつかの実施形態では、ダウンリンク伝送(141、142、143)は、複数のユーザプレーン機能を処理するための処理命令を備えている制御プレーンメッセージを含む。この後、UEによって受信された処理命令に基づいて、アップリンク伝送(131、132、133)が続き得る。同様に、ユーザプレーン機能は、受信された処理命令に基づいて、ダウンリンク伝送に関して、UEによって処理されることができる。UEは、例えば、スマートフォン、タブレット、モバイルコンピュータ、マシンツーマシン(M2M)デバイス、端末、モバイルデバイス、モノのインターネット(IoT)デバイス等であり得る。
本特許文書は、理解を促進するために、3GPP(登録商標)新規無線(NR)ネットワークアーキテクチャおよび5Gプロトコルのみからの例を使用するが、開示される技法および実施形態は、3GPP(登録商標)プロトコルと異なる通信プロトコルを使用する他の無線システムにおいて実践され得る。
図1Bは、アプリケーションのための認証およびキー管理(AKMA)のための基本ネットワークモデルの例示的アーキテクチャを示し、それは、ネットワークエクスポージャ機能(NEF)と、AKMAアンカ機能(AAnF)と、統合データ管理(UDE)と、認証サーバ機能(AUSF)と、アクセスおよびモビリティ管理機能(AMF)と、アプリケーション機能(AF)とを含む。いくつかの実装では、ネットワークモデルは、5Gコアアーキテクチャ制御プレーン内のネットワーク機能を含み得、そのようなネットワーク機能は、それらの相互作用のために、サービスベースのインターフェースを使用し得る。
AKMAフレームワークは、UEとアプリケーションサーバとの間のセキュアな通信およびデータ交換をサポートするために使用されることができる。ある例示的AKMAアーキテクチャでは、AKMA認証は、一次/アクセス認証の結果を使用して行われ、UEとアプリケーションサーバとの間の通信を保護することができる。この例示的アーキテクチャでは、UEが、アプリケーションサーバと通信するとき、UEとアプリケーションサーバとの間のセキュアな通信が、アプリケーションキーKAFを用いて、新しいAKMA認証を要求せずに、確立されることができる。例示的AKMAアーキテクチャに基づくアプリケーションセッション確立プロセスでは、UEは、キー識別子を使用して、AKMAアプリケーション機能を要求し、アプリケーションキーKAFを確立する。アプリケーションキーKAFは、KAUSF等の中間キーから導出され、またはAKMAアンカキーKAKMAから導出され、KAKMAは、KAUSFから導出される。
セッション確立プロセスでは、要求情報内に含まれるキー識別子は、ユーザ機器(UE)からAKMAアンカ機能(AAnF)に送信される。AKMAアンカ機能(AAnF)は、UEによって送信されるAKMAキー識別子を含む要求を認証サーバ機能(AUSF)に送信し、特定のユーザ機器(UE)のためのKAKMAを取得する。しかしながら、キー識別子は、特定の認証サーバ機能(AUSF)インスタンスに関連する任意の情報を含まないので、AKMAアンカ機能(AAnF)は、キー識別子に基づいて、適切な認証サーバ機能(AUSF)インスタンスを正しく選択することができない。したがって、キー識別子は、ユーザ機器(UE)とAKMAアプリケーション機能との間のセキュアな通信を確立するために十分ではない。
図2は、ユーザ機器(UE)登録中のAKMAルートキーの導出を示す。
アプリケーションのための認証およびキー管理(AKMA)は、AKMAアンカ機能(AAnF)等の新しい論理エンティティを要求する。AAnFは、ホーム地上波公共移動通信ネットワーク(HPLMN)内のアンカ機能であり、AAnFは、UEとAFとの間で使用されるべきキー材料を生成し、後続のブートストラップピング要求のために使用されるべきユーザ機器(UE)のアプリケーションのための認証/キー管理(AKMA)コンテキストを維持する。UEがAKMA機能性をサポートするための別個の認証は、存在しない。代わりに、それは、UEを認証するために、UE登録中に実行される5G一次認証プロシージャを再使用する。5G一次認証成功は、AUSFおよびUEに記憶される、中間キーKAUSFをもたらす。
図2に示されるように、UEおよび認証サーバ機能(AUSF)は、AKMAアンカキー(KAKMA)および関連付けられるキー識別子を中間キー(例えば、KAUSF)からUE登録プロシージャの一部として生成し得る。KAKMAキー識別子は、UEのKAKMAキーを識別するために使用され、そこから他のAKMAキーが、導出される。AKMAキーは、一次認証工程からのKAUSF等の中間キーに基づくため、AKMAキーは、新たな一次認証を起動することによってのみリフレッシュされることができる。
図3は、AKMAアンカキー(KAKMA)からのアプリケーション機能(AF)キー生成の例を示す。
いくつかの実装では、UEは、導出されたAKMAキー識別子をAKMAアプリケーション機能(AKMA AF)との通信を開始するためのメッセージ内に含む。AKMAアプリケーション機能(AApF)が、キー識別子に関連付けられたアクティブコンテキストを有していない場合、AFは、要求をAKMAアンカ機能(AAnF)にキー識別子とともに送信し、UEのためのアプリケーション機能特定のAKMAキーを要求する。AFは、その識別(AF Id)も要求内に含む。
AKMAアンカ機能(AAnF)が、アプリケーション機能(AF)特定のキー(KAF)を所有している場合、AFにKAFキーで応答する。該当しない場合、AKMAアンカ機能(AAnF)は、AKMAキー識別子によって識別されるUE特定のKAKMAキーを有するかどうかをチェックする。AKMAアンカキー(KAKMA)が、AKMAアンカ機能(AAnF)内で利用可能な場合、AF特定のAKMAキー(KAF)をAKMAアンカキー(KAKMA)から導出し、アプリケーション機能(AF)にAF特定のキー(KAF)および有効期間で応答する。
AKMAアンカキー(KAKMA)が利用可能でない場合、AKMAアンカ機能(AAnF)は、AKMAキー識別子を含む要求を認証サーバ機能(AUSF)に送信し、ユーザ機器(UE)に特定のAKMAアンカキー(KAKMA)を取得する。認証サーバ機能(AUSF)は、キー識別子によって識別されるKAKMAキーで応答する。AKMAアンカ機能(AAnF)は、アプリケーション機能(AF)特定のキー(KAF)をAKMAアンカキー(KAKMA)から導出し、アプリケーション機能(AF)にAF特定のキー(KAF)および有効期間で応答する。
開示される技術のいくつかの実施形態は、セキュアな通信を確立し、UEとAKMAアプリケーション機能との間のアプリケーションセッションを保護するためのプロセスを改良するために使用され得る。いくつかの実装では、アプリケーションセッション確立プロセスは、アプリケーションのための認証およびキー管理(AKMA)識別子(ID)を使用して、行われることができる。
図4は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施される例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、統合データ管理エンティティ(UDM)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのアプリケーションのための認証およびキー管理(AKMA)識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。以降、UE識別子は、ユーザ機器を識別するために使用される。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、UE識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、UE識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、MCC、MNC、ルーティングインジケータ、およびRANDを含むAKMA識別子(AKMAID)を生成および記憶し、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(HPLMN)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともに統合データ管理(UDM)インスタンスにルーティングするために使用され、RANDは、UDMがUEに配分する、乱数である。
開示される技術のいくつかの実施形態では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新(UPU)プロシージャを通して、AKMAIDをUEパラメータ更新(UPU)データとしてUEに送信するように構成される。
開示される技術のいくつかの実施形態では、UEは、アプリケーションセッション確立のために、AKMAIDを使用するように構成される。
図4に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数のプロセス401-414を含み得る。
401では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、認証サーバ機能エンティティ(AUSF)およびユーザ機器(UE)に記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。ここでは、KAKMAは、KAUSFから導出されることができる。
402aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、統合データ管理(UDM)に、ユーザ機器(UE)との認証プロシージャの結果および時間について知らせる。これは、サブスクリプション永続識別子(SUPI)、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、およびサービングネットワーク名を含む。
402bでは、UDMは、UEのために、開示される技術のいくつかの実施形態に基づいて実装されるAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のいくつかの実施形態では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むことができ、MCC(モバイル国コード)は、国を一意に識別し、MNC(モバイルネットワークコード)は、ホームPLMN(地上波公共移動通信ネットワーク)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分する、乱数(例えば、認証のために使用される乱数)である。UDMは、AKMAIDおよび認証サーバ機能識別子(AUSFID)をUEの認証ステータス(例えば、サブスクリプション永続識別子(SUPI)、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
402cでは、UDMは、AUSFに、Nudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
403では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
404では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
405では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始し、開示される技術のいくつかの実施形態では、アプリケーションセッション確立要求は、AKMAIDを含む。
406では、アプリケーション機能エンティティ(AF)は、UEから受信されたAKMAIDととともに、キー要求をAKMAアンカ機能エンティティ(AAnF)に送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
407では、AAnFは、AKMAIDに基づいて、AAnFがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAが、AAnFにおいて利用可能な場合、AAnFは、411に進む。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_ResultStatus要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新のAUSFの識別子と、UEのSUPIとを読み出す。AAnFは、AKMAIDを提供する。
408では、UDMは、AKMAIDに基づいて、UEを認証した認証サーバ機能(AUSF)インスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UEサブスクリプション永続識別子(SUPI)とを含むNudm_UE Auth_ResultStatus応答等のサービスベースのインターフェースを送信する。
409では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
410では、AUSFは、SUPIに従って、AKMAアンカキー(KAKMA)およびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
411では、AAnFは、KAKMAに基づいて、アプリケーションキー(KAF)を導出する。AAnFは、KAF満了時間を設定し得る。
412では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別を示す。
413では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
414では、UEは、KAKMAに基づいて、KAFを導出する。
図5は、開示される技術のいくつかの実施形態に基づいて、通信システムのコンポーネントによって実施される別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、統合データ管理エンティティ(UDM)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、認証のために、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。
開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、MCC、MNC、ルーティングインジケータ、およびRANDを含むAKMA識別子(AKMAID)を生成および記憶し、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(HPLMN)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともに統合データ管理(UDM)インスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である。
開示される技術のいくつかの実施形態では、UDMは、AKMA識別子(AKMAID)を認証サーバ機能エンティティ(AUSF)に送信するように構成され、AUSFは、AKMAIDを記憶するように構成される。UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
図5に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数のプロセス501-514を含み得る。
501では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは認証サーバ機能エンティティ(AUSF)およびUEに記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。ここでは、KAKMAは、KAUSFから導出されることができる。
502aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、統合データ管理(UDM)に、ユーザ機器(UE)との認証プロシージャの結果および時間について知らせる。これは、サブスクリプション永続識別子(SUPI)、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、およびサービングネットワーク名を含む。
502bでは、UDMは、UEのために、開示される技術のいくつかの実施形態に基づいて実装されるAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のいくつかの実施形態では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むことができ、MCC(モバイル国コード)は、国を一意に識別し、MNC(モバイルネットワークコード)は、ホームPLMN(地上波公共移動通信ネットワーク)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数(例えば、認証のために使用される乱数)である。UDMは、AKMAIDおよび認証サーバ機能識別子(AUSFID)をUEの認証ステータス(例えば、サブスクリプション永続識別子(SUPI)、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
502cでは、UDMは、AUSFに、AKMAIDを含むNudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
502dでは、AUSFは、AKMAIDをUEのKAKMAおよびKAKMA識別子とともに受信および記憶する。
503では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
504では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
505では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始し、開示される技術のいくつかの実施形態では、アプリケーションセッション確立要求は、AKMAIDを含む。
506では、アプリケーション機能エンティティ(AF)は、UEから受信されたAKMAIDとともに、キー要求をAKMAアンカ機能エンティティ(AAnF)に送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。
507では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、511に進む。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_ResultStatus要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新AUSFの識別子を読み出す。AAnFは、AKMAIDを提供する。
508では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報を読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子を含むNudm_UE Auth_ResultStatus応答等のサービスベースのインターフェース応答を送信する。
509では、AAnFは、AKMAIDを含むキー要求をAUSFに送信する。
510では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
511では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
512では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別を示す。
513では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶し、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
514では、UEは、KAKMAに基づいて、KAFを導出する。
図6は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)等のデータ管理機能が、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、MCC、MNC、ルーティングインジケータ、およびRANDを含むAKMA識別子(AKMAID)を生成し、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(HPLMN)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともに統合データ管理(UDM)インスタンスにルーティングするために使用され、RANDは、AUSFがUEに配分した乱数である。
開示される技術のいくつかの実施形態では、AUSFは、AKMA識別子(AKMAID)を統合データ管理エンティティ(UDM)に送信するように構成され、UDMは、AKMAIDを記憶する。
UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
図6に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数のプロセス601-615を含み得る。
601では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは、AUSFおよびUEに記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。ここでは、KAKMAは、KAUSFから導出されることができる。
602では、AUSFは、UEのためのAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のいくつかの実施形態では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むことができ、MCC(モバイル国コード)は、国を一意に識別し、MNC(モバイルネットワークコード)は、ホームPLMN(地上波公共移動通信ネットワーク)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、認証サーバ機能エンティティ(AUSF)がUEに配分した乱数である。
603aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、統合データ管理(UDM)に、UEとの認証プロシージャの結果および時間について知らせる。これは、サブスクリプション永続識別子(SUPI)、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、サービングネットワーク名、およびAKMAIDを含む。
603bでは、UDMは、AKMAIDおよびAKMA識別子(AKMAID)をUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
603cでは、UDMは、AUSFに、Nudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
604では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
605では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
606では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始し、開示される技術のいくつかの実施形態では、アプリケーションセッション確立要求は、AKMAIDを含む。
607では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。
608では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作612に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_Resultステータス要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、AKMAIDを提供する。
609では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、ユーザ機器(UE)サブスクリプション永続識別子(SUPI)とを含むNudm_UE Auth_Resultステータス応答等のサービスベースのインターフェース応答を送信する。
610では、AAnFは、SUPIを提供することによって、AKMAキー要求をAUSFに送信する。
611では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
612では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定する。
613では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別を示す。
614では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶し、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含む。
615では、UEは、KAKMAに基づいて、KAFを導出する。
図7は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)等のデータ管理機能が、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、認証のために、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、認証のために、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、MCC、MNC、ルーティングインジケータ、およびRANDを含むAKMA識別子(AKMAID)を生成および記憶し、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(HPLMN)を識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともに統合データ管理(UDM)インスタンスにルーティングするために使用され、RANDは、AUSFがUEに配分した乱数である。
開示される技術のいくつかの実施形態では、AUSFは、AKMAIDを統合データ管理エンティティ(UDM)に送信し、UDMは、AKMAIDを記憶する。
開示される技術のいくつかの実施形態では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
図7に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作701-715を含み得る。
701では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは、AUSFおよびUEに記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
702では、認証サーバ機能エンティティ(AUSF)は、UEのためのAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)を含み得る。ここでは、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、AUSFがUEに配分した乱数である。AUSFは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
703aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、UDMに、UEとの認証プロシージャの結果および時間について知らせる。これは、SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、サービングネットワーク名、およびAKMAIDを含む。
703bでは、UDMは、AKMAIDおよび認証サーバ機能識別子(AUSFID)をUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
703cでは、UDMは、AUSFに、Nudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
704では、UDMは、ユーザ機器パラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
705では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
706では、UEは、AKMAIDを含むアプリケーションセッション確立要求を用いて、AFとの通信を開始する。
707では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。
708では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作712に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_Resultステータス要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新AUSFの識別子を読み出す。AAnFは、AKMAIDを提供する。
709では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報を読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子を含むNudm_UE Auth_Resultステータス応答等のサービスベースのインターフェース応答を送信する。
710では、AAnFは、AKMAIDを提供することによって、AKMAキー要求をAUSFに送信する。
711では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
712では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
713では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。
714では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶し、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含む。
715では、UEは、KAKMAに基づいて、KAFを導出する。
図8は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図8に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作801-813を含み得る。
801では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、認証サーバ機能エンティティ(AUSF)およびユーザ機器(UE)に記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。いくつかの実装では、KAKMAは、KAUSFから導出されることができる。
802aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、統合データ管理(UDM)に、UEとの認証プロシージャの結果および時間について知らせる。これは、SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、およびサービングネットワーク名を含む。
開示される技術のいくつかの実施形態では、統合データ管理エンティティ(UDM)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのアプリケーションのための認証およびキー管理(AKMA)識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)の組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)の組み合わせを含むAKMA識別子(AKMAID)を生成および記憶する。開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせを含むAKMA識別子(AKMAID)を生成および記憶する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数であり、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用される。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、UDMは、AKMAIDをAUSFに送信するように構成され、AUSFは、AKMAIDを記憶する。
UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをUPUデータとしてUEに送信する。
開示される技術のいくつかの実施形態では、UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
802bでは、UDMは、UEのために、開示される技術のいくつかの実施形態に基づいて実装されるAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のある実施形態では、AKMAIDは、MCC、MNC、AUSFID、およびRANDを含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分する、乱数である。開示される技術の別の実施形態では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分する、乱数である。UDMは、AKMAIDをUEの認証ステータス(SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
802cでは、UDMは、AUSFに、AKMAIDを含むNudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
803では、AUSFは、AKMAIDを受信し、KAKMAおよびKAKMA識別子とともに記憶する。
804では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。
805では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
806では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
807では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
808では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作810に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、AKMAIDを含むキー要求をAUSFに送信する。
809では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
810では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定する。
811では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別を示す。
812では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶し、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
813では、UEは、KAKMAに基づいて、KAFを導出する。
図9は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、および乱数(RAND)の組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、一次認証の成功後、AUSFは、MCC、MNC、AUSFID、およびRANDを含むAKMAIDを生成および記憶し、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である。AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDを含むこともでき、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である。開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子(AUSFID)、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせ、またはモバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)の組み合わせを含むAKMA識別子(AKMAID)を生成および記憶する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。ここでは、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数であり、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用される。ここでは、RANDは、base64encode(RAND)によって生成され得る。
開示される技術のいくつかの実施形態では、AUSFは、AKMAIDをUDMに送信し、UDMは、AKMAIDを記憶する。
UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをUPUデータとしてUEに送信する。UEは、アプリケーションセッション確立のために、AKMAIDを使用する。
図9に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作901-913を含み得る。
901では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、認証サーバ機能エンティティ(AUSF)およびユーザ機器(UE)に記憶される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。いくつかの実装では、KAKMAは、KAUSFから導出されることができる。
902では、AUSFは、UEのためのAKMA識別子(AKMAID)を生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。開示される技術のいくつかの実施形態では、AKMAIDは、MCC、MNC、AUSFID、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホーム地上波公共移動通信ネットワーク(PLMN)を識別し、AUSFIDは、認証サーバ機能(AUSF)の識別子であり、RANDは、AUSFがUEに配分した乱数である。AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせも含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である。AUSFは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
903aでは、AUSFは、Nudm_UE Authentication_Result確認要求等のサービスベースのインターフェース要求を使用して、UDMに、UEとの認証プロシージャの結果および時間について知らせる。これは、SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、サービングネットワーク名、およびAKMAIDを含む。
903bでは、UDMは、AKMAIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
903cでは、UDMは、AUSFに、Nudm_UE Authentication_Result確認応答等のサービスベースのインターフェース応答で返信する。
904では、UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをUEパラメータ更新(UPU)データとしてUEに送信する。
905では、UEは、AKMAIDを受信し、それをKAKMAおよびKAKMA識別子とともに記憶する。
906では、UEは、AKMAIDを含むアプリケーションセッション確立要求を用いて、アプリケーション機能エンティティ(AF)との通信を開始する。
907では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
908では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作910に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、AKMAIDを提供することによって、AKMAキー要求をAUSFに送信する。
909では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
910では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定する。
911では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別である。
912では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含む。
913では、UEは、KAKMAに基づいて、KAFを導出する。
図10は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、統合データ管理エンティティ(UDM)等のデータ管理機能は、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。
開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、AKMAIDとして、MCC、MNC、AUSFID、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である)、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である)を生成および記憶する。開示される技術のいくつかの実施形態では、一次認証成功後、統合データ管理エンティティ(UDM)は、AKMAIDとして、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である)、またはMCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である)を生成および記憶する。
開示される技術のいくつかの実施形態では、UDMは、AKMAIDを認証サーバ機能エンティティ(AUSF)に送信するように構成され、AUSFは、AKMAIDを記憶するように構成される。
UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをユーザ機器パラメータ更新(UPU)データとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)は、代替として、AKMAIDとして、MCC、MNC、AUSFID、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを生成し得る。開示される技術のいくつかの実施形態では、認証サーバ機能エンティティ(AUSF)は、代替として、AKMAIDとして、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを生成し得る。
開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、AKMAIDとして、MCC、MNC、AUSFID、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である)、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である)を生成および記憶する。開示される技術のいくつかの実施形態では、一次認証成功後、AUSFは、AKMAIDとして、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、AUSFIDは、AUSFの識別子であり、RANDは、UDMがUEに配分した乱数である)、またはMCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ(MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにAUSFインスタンスにルーティングするために使用され、RANDは、UDMがUEに配分した乱数である)を生成および記憶する。
開示される技術のいくつかの実施形態では、AUSFは、AKMAIDをUDMに送信し、UDMは、AKMAIDを記憶する。UDMは、UEパラメータ更新(UPU)プロシージャを実施し、UEパラメータ更新プロシージャを通して、AKMAIDをUPUデータとしてUEに送信する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
図10に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作1001-1013を含み得る。
1001では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは認証サーバ機能エンティティ(AUSF)およびUEに記憶される。UEおよびUDMは、RANDを記憶し、これは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1002aでは、UEは、AKMAIDを生成する。AKMAIDは、アプリケーション機能エンティティ(AF)に対する後続要求のためにUEによって使用されるであろう識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができ、したがって、AKMAID有効期間は、一次認証間の時間インターバルより短くなり得ない。いくつかの実装では、AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
1002bでは、UDMは、AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができ、したがって、AKMAID有効期間は、一次認証間の時間インターバルより短くなり得ない。AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UDMは、AKMAIDおよびAUSF識別子(AUSFID)をUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。
1003では、UEは、AKMAIDを含むアプリケーションセッション確立要求を用いて、AFとの通信を開始する。
1004では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。
1005では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1009に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_Resultステータス要求等のサービスベースのインターフェース要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのサブスクリプション永続識別子(SUPI)とを読み出す。AAnFは、AKMAIDを提供する。
1006では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_ResultStatus応答を送信する。
1007では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1008では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1009では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
1010では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別である。
1011では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1012では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含む。
1013では、UEは、KAKMAに基づいて、KAFを導出する。
図11は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
図11に示されるように、開示される技術のいくつかの実施形態に基づく、アプリケーションセッション確立は、複数の動作1101-1113を含み得る。
開示される技術のいくつかの実施形態では、UEは、アプリケーションセッション確立プロセスのためのAKMA識別子(AKMAID)を生成し得、それは、UEのためのAKMAプロシージャを識別するために使用されることができるか、または、AKMAアンカキーを識別するための識別子として使用されることができる。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせ、またはMCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。
1101では、5G一次認証の成功は、認証サーバ機能キー(KAUSF)をもたらし、それは、AUSFおよびUEに記憶される。UEおよびUDMは、RANDを記憶し、これは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1102aでは、UEは、AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができ、したがって、AKMAID有効期間は、一次認証間の時間インターバルより短くなり得ない。AKMAIDは、MCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
ある実装では、一次認証成功後、UEは、AKMAIDとして、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを生成および記憶し、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
別の実装では、一次認証成功後、UDMおよびUEは、AKMAIDとして、MCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを生成および記憶し、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
1102bでは、UDMは、RANDおよびAUSFIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
いくつかの実装では、UDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶する。
いくつかの実装では、UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
1103では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1104では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
1105では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1109に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、RANDをAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDを提供する。
1106では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_ResultStatus応答を送信する。
1107では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1108では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1109では、AAnFは、KAKMAに基づいて、KAFを導出する。いくつかの実装では、AAnFは、KAF満了時間を設定する。
1110では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。AAnF IDは、AAnFの識別である。
1111では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1112では、AFは、アプリケーションセッション確立応答情報をUEに送信する。いくつかの実装では、応答情報は、KAFキー満了時間を含む。
1113では、UEは、KAKMAに基づいて、KAFを導出する。
図12は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
開示される技術のいくつかの実施形態では、UEは、UEのためのAKMAプロシージャを識別するために使用され得るか、または、AKMAアンカキーを識別するための識別子として使用され得るAKMAIDとして、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを生成および記憶する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、およびRANDの組み合わせを含み得る。開示される技術のいくつかの実施形態では、UEは、UEのためのAKMAプロシージャを識別するために使用され得るか、または、AKMAアンカキーを識別するための識別子として使用され得るAKMAIDとして、MCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを生成および記憶する。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、MCC、MNC、AUSFID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。いくつかの実装では、AKMA識別子(AKMAID)は、とりわけ、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、認証サーバ機能識別子、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および乱数(RAND)を含み得る。
一次認証成功後、UEは、AKMAIDとして、MCC、MNC、ルーティングインジケータ、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを生成および記憶し、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
一次認証成功後、UDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶する。UEは、そのアプリケーションセッション確立プロセスにおいて、AKMAIDを使用する。
いくつかの実装では、AAnFは、新しいRANDおよび新しいAKMAIDを生成する。
いくつかの実装では、UEは、新しいRANDおよび新しいAKMAIDを生成する。いくつかの実装では、UEは、古いAKMAIDを受信された新しいAKMAIDで更新することができる。
1201では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEおよびUDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶するであろう。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1202aでは、UEは、AKMAIDを生成する。ここでは、AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、MCC、MNC、ルーティングインジケータ、およびRANDの組み合わせを含むことができ、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
1202bでは、UDMは、RANDおよびAUSFIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
1203では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1204では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
1205では、AAnFは、AKMAIDに基づいて、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1209に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、RANDをAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDを提供する。
1206では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_Resultステータス応答を送信する。
1207では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1208では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1209では、AAnFは、新しいRANDに基づいて、新しいRANDおよび新しいAKMAIDを生成する。いくつかの実装では、新しいAKMAIDは、MCC、MNC、ルーティングインジケータ、および新しいRANDの組み合わせを含み得、MCC、MNC、およびルーティングインジケータは、古いAKMAIDの対応する部分と同一である。これは、新しいAKMAIDが、新しいRANDのみを使用して、古いAKMAID内の古いRANDを更新することによって、取得され得ることを意味する。AAnFは、KAKMAおよびKAKMA識別子を新しいAKMAIDとともに記憶し、古いAKMAIDを削除する。AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定する。AAnFは、KAKMAと、AAnFによって生成される新しいRANDとに基づいて、KAFを導出することもできる。
1210では、AAnFは、キー応答情報をAFに送信する。キー応答情報は、AAnF ID、新しいRANDまたは新しいAKMAID、KAF、およびキー満了時間を含む。ここでは、AAnF IDは、AAnFの識別である。
1211では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1212では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、新しいRANDまたは新しいAKMAIDおよびKAFキー満了時間を含む。
1213では、UEは、古いAKMIDを受信された新しいAKMAIDで更新するか、または、UEは、受信された新しいRANDに基づいて、新しいAKMAIDを生成する。いくつかの実装では、新しいAKMAIDは、MCC、MNC、ルーティングインジケータ、および新しいRANDの組み合わせを含み、MCC、MNC、およびルーティングインジケータは、古いAKMAIDの対応する部分と同一であり、したがって、新しいAKMAIDは、新しいRANDのみを使用して、古いAKMAID内の古いRANDを更新することによって、取得されることができる。UEは、KAKMAおよびKAKMA識別子を新しいAKMAIDとともに記憶し、古いAKMAIDを削除する。UEは、KAKMAに基づいて、KAFを導出する。UEは、KAKMAと、AAnFによって生成された受信された新しいRANDとに基づいて、KAFを導出することもできる。
図13は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
1301では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEおよびUDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶する。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1302aでは、UEは、AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。いくつかの実装では、AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、およびRANDの組み合わせを含み、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
1302bでは、UDMは、RANDおよびAUSFIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
1303では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1304では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
1305では、AAnFは、AKMAIDによって、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1309に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、RANDをAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDを提供する。
1306では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_Resultステータス応答を送信する。
1307では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1308では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1309では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
1310では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、KAF、およびキー満了時間を含む。AAnF IDは、AAnFの識別である。
1311では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1312では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
1313では、UEは、KAKMAに基づいて、KAFを導出する。
図14は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
1401では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEおよびUDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶するであろう。UEおよびAUSFは、AKMAアンカキー(KAKMA)をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。いくつかの実装では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEは、base64encodeによって生成されたRANDを生成および記憶する。UEおよびAUSFは、AKMAアンカキー(KAKMA)をUE登録プロシージャの一部として生成する。KAKMAは、KAUSFから導出されることができる。
1402aでは、UEは、AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。いくつかの実装では、AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせも含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、base64encodeによって生成される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。いくつかの実装では、AKMAIDは、AAnF ID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、およびRANDの組み合わせも含み得、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり(AAnFドメイン名等)、RANDは、base64encodeによって生成される。UEは、AKMAIDをKAKMAおよびKAKMA識別子とともに記憶する。
1402bでは、UDMは、RANDおよびAUSFIDをUEの認証ステータス(例えば、SUPI、認証結果、タイムスタンプ、およびサービングネットワーク名)とともに記憶する。RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
1403では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1404では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(例えば、AF識別子)も要求内に含む。AFは、AKMAIDに基づいて、AAnFを選択することができる。
1405では、AAnFは、AKMAIDによって、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1409に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、RANDおよび/またはUE識別子をAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDおよび/またはUE識別子を提供する。いくつかの実装では、AAnFは、AKMAIDによって、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、動作1409に進み、それは、下で議論されるであろう。KAKMAが利用可能でない場合、AAnFは、Nudm_UE Auth_Resultステータス要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、AKMAIDを提供する。
1406では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIおよび/またはUE識別子とを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_ResultStatus応答を送信する。いくつかの実装では、UDMは、AKMAIDに基づいて、UEを認証したAUSFインスタンスの識別子の情報と、UEのSUPIとを読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子と、UE SUPIとを含むNudm_UE Auth_ResultStatus応答を送信する。
1407では、AAnFは、UE SUPIを提供することによって、キー要求をAUSFに送信する。
1408では、AUSFは、SUPIに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAおよびKAKMA識別子をAAnFに送信する。AAnFは、KAKMAおよびKAKMA識別子を受信し、それらをAKMAIDとともに記憶する。
1409では、AAnFは、base64encode(RAND)によって、新しいRANDを生成し、新しいRANDに基づいて、新しいAKMAIDを生成し、新しいAKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、ユーザ機器(UE)識別子(汎用パブリックサブスクリプション識別子(GPSI)または他のUE識別子等)、および新しいRANDの組み合わせを含み得、MCC、MNC、ルーティングインジケータ、およびAAnF IDは、古いAKMAIDの対応する部分と同一である。AAnFは、KAKMAおよびKAKMA識別子を新しいAKMAIDとともに記憶し、古いAKMAIDを削除する。AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。AAnFは、KAKMAと、AAnFによって生成される新しいRANDとに基づいて、KAFを導出することもできる。
1410では、AAnFは、キー応答情報をAFに送信する。それは、AAnF ID、新しいRANDまたは新しいAKMAID、KAF、およびキー満了時間を含み得る。AAnF IDは、AAnFの識別子であり、AAnF IDは、ドメイン名、すなわち、AAnF_server_domain_nameであることができる。
1411では、AFは、AAnF ID、KAF、およびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1412では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、新しいRANDまたは新しいAKMAIDおよびKAFキー満了時間を含み得る。いくつかの実装では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、新しいRANDまたは新しいAKMAID(AKMAID=base64encode(RAND)@AAnF_server_domain_name)およびKAFキー満了時間を含み得る。
1413では、UEは、古いAKMIDを受信された新しいAKMAIDで更新する。別の実装では、UEは、受信された新しいRANDに基づいて、新しいAKMAIDを生成し、新しいAKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、ユーザ機器(UE)識別子、および新しいRANDの組み合わせを含み、MCC、MNC、ルーティングインジケータ、およびAAnF IDは、古いAKMAIDの対応する部分と同一である。UEは、KAKMAおよびKAKMA識別子を新しいAKMAIDとともに記憶し、古いAKMAIDを削除し得る。UEは、KAKMAに基づいて、KAFを導出する。UEは、KAKMAと、AAnFによって生成される受信された新しいRANDとに基づいて、KAFを導出することもできる。
図15は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
1501では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶するであろう。UDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶し得る。
1502aでは、AUSFは、Nudm_UE Authentication_Result確認要求を使用して、UDMに、UEとの認証プロシージャの結果および時間について知らせる。これは、SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方法または5G-AKA)、およびサービングネットワーク名を含む。
1502bでは、UDMは、AAnF IDを含むNudm_UE Authentication_Result確認応答をAUSFに返信する。AAnF IDは、UDM内に、UEのサブスクリプションの一部として記憶されることができる。
1503aでは、UEは、UEのためのKAKMAおよびキー識別子AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、およびRANDの組み合わせを含み、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。UEは、AKMAIDをKAKMAとともに記憶する。AAnF IDは、USIM内に、UEのサブスクリプションの一部として記憶されることができる。
1503bでは、AUSFは、UEのためのKAKMAおよびキー識別子AKMAIDを生成する。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。AUSFは、AKMAIDをKAKMAとともに記憶する。
図16は、開示される技術のいくつかの実施形態に基づく、通信システムのコンポーネントによって実施されるさらに別の例示的プロセスを図示するフローチャートである。
1601では、5G一次認証の成功は、AUSFおよびUEに記憶されるKAUSFをもたらす。UEおよびUDMは、一次認証において、認証ベクトル(AV)内で生成および使用されるRANDを記憶する。UEおよびAUSFは、AKMAアンカキー(KAKMA)および関連付けられるキー識別子AKMAIDをUE登録プロシージャの一部として生成および記憶する。KAKMAは、KAUSFから導出されることができる。AKMAIDは、AFに対する後続要求のためにUEによって使用される識別子である。AKMAIDは、新たな一次認証を起動することによってのみリフレッシュされることができる。これは、AKMAID有効期間が一次認証間の時間インターバルより短くなり得ないことを意味する。AKMAIDは、MCC、MNC、ルーティングインジケータ、AAnF ID、およびRANDの組み合わせを含み得、MCCは、国を一意に識別し、MNCは、ホームPLMNを識別し、ルーティングインジケータは、ネットワークシグナリングをAKMAIDとともにUDMインスタンスにルーティングするために使用され、AAnF IDは、AAnFエンティティを識別するために使用される識別子であり、RANDは、一次認証において、認証ベクトル(AV)内で生成および使用される。
1602では、UEは、アプリケーションセッション確立要求を用いて、AFとの通信を開始する。要求は、AKMAIDを含む。
1603では、AFは、キー要求をUEから受信されたAKMAIDとともにAAnFに送信し、UEのためのAF特定のキーを要求する。AFは、その識別(AF識別子)も要求内に含む。
1604では、AAnFは、AKMAIDによって、それがUE特定のKAKMAキーを有するかどうかをチェックする。KAKMAがAAnF内で利用可能な場合、AAnFは、に進むステップ1608.KAKMAが利用可能でない場合、AAnFは、RANDをAKMAIDから得る。次いで、AAnFは、Nudm_UE Auth_ResultStatus要求をUDMに送信し、UEを認証した最新AUSFの識別子と、UEのSUPIとを読み出す。AAnFは、RANDを提供する。
1605では、UDMは、RANDに基づいて、UEを認証したAUSFインスタンスの識別子の情報を読み出す。UDMは、一次認証の成功をUDMに報告した最後のAUSFのAUSFインスタンス識別子を含むNudm_UE Auth_ResultStatus応答を送信する。
1606では、AAnFは、AKMAIDを提供することによって、キー要求をAUSFに送信する。
1607では、AUSFは、AKMAIDに従って、KAKMAおよびKAKMA識別子を読み出し、次いで、KAKMAをAAnFに送信する。AAnFは、KAKMAおよびAKMAIDを受信および記憶する。
1608では、AAnFは、KAKMAに基づいて、KAFを導出する。AAnFは、KAF満了時間を設定し得る。
1609では、AAnFは、キー応答情報をAFに送信する。それは、KAFおよびキー満了時間を含む。
1610では、AFは、KAFおよびキー満了時間を受信し、それらをAKMAIDとともに記憶する。
1611では、AFは、アプリケーションセッション確立応答情報をUEに送信する。応答情報は、KAFキー満了時間を含み得る。
1612では、UEは、KAKMAに基づいて、KAFを導出する。
図17は、開示される技術のいくつかの実施形態に基づく、無線通信方法の例を図示するフロー図である。無線通信方法1700は、1710において、第1の機能エンティティによって、少なくともモバイル国コード、モバイルネットワークコード、および乱数を使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、1720において、第1の識別子を第1のデバイスに伝送することとを含む。いくつかの実装では、第1のデバイスは、ユーザ機器(UE)を含む。いくつかの実装では、第1の識別子は、ルーティングインジケータ(例えば、ルーティングインジケータ)または認証サーバ機能識別子のうちの少なくとも1つにさらに基づく。開示される技術のいくつかの実施形態では、第1の識別子は、上で議論されるAKMAIDを含む。いくつかの実装では、モバイル国コード(例えば、MCC)は、第1の機能エンティティが実施される国を識別するために使用され、モバイルネットワークコード(例えば、MNC)は、ホーム地上波公共移動通信ネットワークを識別するために使用され、乱数(例えば、RAND)は、第1のデバイスのために使用されるために第1の機能エンティティによって配分され、ルーティングインジケータは、認証およびキー管理を用いて、ネットワークシグナリングをルーティングするために使用され、認証サーバ機能識別子(例えば、AUSFID)は、認証サーバ機能エンティティ(例えば、AUSF)を識別するために使用される。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(例えば、AKMA)のためのアーキテクチャに従って生成される。
認証およびキー管理をサポートするように意図されるモバイルネットワークサービスでは、機能エンティティの組が、モバイルネットワーク内で展開されることができる。そのような機能エンティティは、ネットワークエクスポージャ機能エンティティ(NEF)、AKMAアンカ機能エンティティ(AAnF)、統合データ管理エンティティ(UDE)、認証サーバ機能エンティティ(AUSF)、アクセスおよびモビリティ管理機能エンティティ(AMF)、およびアプリケーション機能エンティティ(AF)を含む。機能エンティティは、サービスベースのインターフェースを使用して、互いに相互作用する。
いくつかの実装では、第1の識別子の第1のデバイスへの伝送は、統合データ管理エンティティ(例えば、UDE)によって、第1のデバイスのためのパラメータ更新プロシージャを実施することによって、行われる。いくつかの実装では、第1の機能エンティティは、第1の識別子を記憶する。いくつかの実装では、第1のデバイスは、第1の識別子を記憶する。
いくつかの実装では、無線通信方法1700は、第1の機能エンティティによって、第1の識別子を第2の機能エンティティに送信することをさらに含む。いくつかの実装では、第2の機能エンティティは、第1の識別子を記憶するように構成される。
いくつかの実装では、第2の機能エンティティは、認証サーバ機能エンティティ(例えば、AUSF)である。
いくつかの実装では、第1の機能エンティティは、認証サーバ機能エンティティ(例えば、AUSF)を含み、認証サーバ機能エンティティは、ネットワークエクスポージャ機能エンティティ(例えば、NEF)、アプリケーションのための認証およびキー管理アンカ機能エンティティ(例えば、AAnF)、統合データ管理エンティティ(例えば、UDE)、アクセスおよびモビリティ管理機能エンティティ(例えば、AMF)、またはアプリケーション機能エンティティ(例えば、AF)のうちの少なくとも1つと通信する。いくつかの実装では、第2の機能エンティティは、統合データ管理エンティティ(例えば、UDE)を含む。
いくつかの実装では、第1の識別子は、一次認証の完了時に生成される。いくつかの実装では、第1のデバイスは、第1の識別子を使用して、アプリケーション機能(例えば、AF)とセキュアな通信を確立するように構成される。
いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子にさらに基づく。いくつかの実装では、第1の識別子は、UE等の第1のデバイスのためのアプリケーションのための認証およびキー管理(AKMA)プロシージャを識別するために使用される。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)アンカキーを識別するための識別子として使用される。
図18は、開示される技術のいくつかの実施形態に基づく、無線通信方法の別の例を図示するフロー図である。無線通信方法1800は、1810において、第1の機能エンティティまたは第1のデバイスによって、モバイル国コード、モバイルネットワークコード、乱数、およびインジケータを使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、1820において、第1の識別子を第1のデバイスに伝送することとを含む。
開示される技術のいくつかの実施形態では、第1の識別子は、上で議論される、AKMAIDを含む。いくつかの実装では、インジケータは、ルーティングインジケータを含む。いくつかの実装では、モバイル国コード(例えば、MCC)は、第1の機能エンティティが実施される国を識別するために使用され、モバイルネットワークコード(例えば、MNC)は、ホーム地上波公共移動通信ネットワークを識別するために使用され、乱数(例えば、RAND)は、認証のために使用されるために、第1の機能エンティティによって配分され、ルーティングインジケータ(例えば、ルーティングインジケータ)は、認証およびキー管理を用いて、ネットワークシグナリングをルーティングするために使用される。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)のためのアーキテクチャに従って生成される。
いくつかの実装では、第1の機能エンティティは、第1の識別子を記憶する。いくつかの実装では、第1のデバイスは、第1の識別子を記憶する。いくつかの実装では、第1の機能エンティティは、統合データ管理エンティティ(例えば、UDM)を含み、統合データ管理エンティティは、ネットワークエクスポージャ機能エンティティ(例えば、NEF)、アプリケーションのための認証およびキー管理アンカ機能エンティティ(例えば、AAnf)、認証サーバ機能エンティティ(例えば、AUSF)、アクセスおよびモビリティ管理機能エンティティ(例えば、AMF)、またはアプリケーション機能エンティティ(例えば、AF)のうちの少なくとも1つと通信する。
いくつかの実装では、第1の識別子は、一次認証の完了時に生成される。いくつかの実装では、第1のデバイスは、第1の識別子を使用して、無線通信内でネットワーク機能とセキュアな通信を確立するように構成される。いくつかの実装では、第1のデバイスは、ユーザ機器(UE)を含む。いくつかの実装では、統合データ管理エンティティ(例えば、UDM)およびユーザ機器(UE)は、第1の識別子を記憶する。
いくつかの実装では、乱数は、一次認証内で使用されるべき認証ベクトル内に含まれる。いくつかの実装では、アプリケーションのための認証およびキー管理アンカ機能エンティティ(例えば、AAnF)は、新しい乱数(例えば、新しいRAND)を生成し、新しい第1の識別子を生成する。いくつかの実装では、第1のデバイスは、新しい乱数を使用して、第1の識別子を更新する。
いくつかの実装では、第1の機能エンティティは、統合データ管理エンティティ(例えば、UDM)を含み、第1のデバイスは、ユーザ機器(UE)を含み、統合データ管理エンティティおよびユーザ機器は、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を記憶する。いくつかの実装では、統合データ管理エンティティおよびユーザ機器は、一次認証の完了時、第1の識別子を生成および記憶する。いくつかの実装では、インジケータは、ネットワークシグナリングをインジケータとともに統合データ管理インスタンスにルーティングするためのルーティングインジケータである。
図19は、開示される技術のいくつかの実施形態に基づく、無線通信方法の別の例を図示するフロー図である。無線通信方法1900は、1910において、第1のデバイスによって、モバイル国コード、モバイルネットワークコード、乱数、およびルーティングインジケータを使用して、第1のデバイスのためのセキュアな通信を確立するために使用されるように構成される第1の識別子を生成することと、1920において、第1のデバイスによって、アプリケーション機能エンティティへの後続要求のために、第1の識別子を記憶することとを含む。
いくつかの実装では、無線通信方法1900は、第1のデバイスによって、統合データ管理エンティティに乱数を記憶させることをさらに含む。いくつかの実装では、乱数は、一次認証における認証ベクトル内で生成および使用される。
開示される技術のいくつかの実施形態では、第1の識別子は、上で議論されるAKMAIDを含む。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)アンカ機能エンティティ(例えば、AAnF)によって、AKMAアンカ機能エンティティによって生成された新しい乱数(例えば、新しいRAND)を使用して、更新される。いくつかの実装では、AKMAアンカ機能エンティティは、新しい乱数およびAKMAアンカキー(例えば、KAKMA)を使用して、アプリケーションキー(例えば、KAF)を導出するように構成される。
いくつかの実装では、無線通信方法1500は、第1のデバイスによって、アプリケーションのための認証およびキー管理(AKMA)アンカ機能エンティティによって生成された新しい乱数を使用して、第1の識別子を更新することをさらに含む。
いくつかの実装では、第1のデバイスは、ユーザ機器(UE)である。いくつかの実装では、第1のデバイスは、アプリケーションセッション確立プロセスにおいて、第1の識別子を使用するように構成される。
いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子にさらに基づく。いくつかの実装では、モバイル国コードは、第1の機能エンティティが動作させられる国を識別するために使用され、モバイルネットワークコードは、ホーム地上波公共移動通信ネットワークを識別するために使用され、乱数は、認証のために使用されるために、第1の機能エンティティによって配分され、ルーティングインジケータは、認証およびキー管理を用いて、ネットワークシグナリングをルーティングするために使用され、アプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子は、アプリケーションのための認証およびキー管理アンカ機能(AAnF)機能エンティティを識別するために使用される。いくつかの実装では、第1の識別子は、第1のデバイスのためのアプリケーションのための認証およびキー管理(AKMA)プロシージャを識別するために使用される。いくつかの実装では、第1の識別子は、アプリケーションのための認証およびキー管理(AKMA)アンカキーを識別するための識別子として使用される。
図20は、開示される技術のいくつかの実施形態に基づく、無線通信方法の別の例を図示するフロー図である。無線通信方法2000は、2010において、一次認証の完了時、第1の機能エンティティおよび第1のデバイスに記憶される中間キーを取得することと、2020において、中間キーに基づいて、アプリケーションのための認証およびキー管理のためのアンカキーを生成することと、2030において、モバイル国コード、モバイルネットワークコード、ルーティングインジケータ、アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子、乱数、および第1のデバイス識別子を使用して、第1の識別子を生成することと、2040において、第1の識別子およびアプリケーションのための認証およびキー管理のためのアンカキーを記憶することと、2050において、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することとを含む。いくつかの実装では、第1のデバイス識別子は、UE識別子である。
いくつかの実装では、第1の機能エンティティは、認証サーバ機能エンティティを含む。いくつかの実装では、中間キーは、認証サーバ機能キー(KAUSF)を含む。いくつかの実装では、アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子は、AKMAアンカ機能(AAnF)エンティティを識別するために使用される。いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することは、AAnFエンティティへの第1の識別子を含むキー要求をアプリケーション機能エンティティに伝送させることを含む。
いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することは、アプリケーションのための認証およびキー管理のためのアンカキーに基づいて、アプリケーション機能キーをAAnFエンティティに導出させることを含む。
いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することは、アプリケーションのための認証およびキー管理のためのアンカキーに基づいて、アプリケーション機能キーを第1のデバイスに導出させることをさらに含む。いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立するステップは、モバイル国コード、モバイルネットワークコード、ルーティングインジケータ、アプリケーションのための認証およびキー管理のためのアンカ機能エンティティ識別子、および新しい乱数を使用して、新しい乱数を生成し、新しい第1の識別子を生成することを含む。
いくつかの実装では、第1の識別子を使用して、第1のデバイスのためのセキュアな通信を確立することは、第1の識別子を新しい第1の識別子で、第1のデバイスに更新させることをさらに含む。
いくつかの実装では、無線通信方法2000は、統合データ管理エンティティに一次認証の結果について、認証サーバ機能エンティティに通知させることをさらに含む。いくつかの実装では、第1のデバイスは、ユーザ機器である。
図21は、適用され得る本技術の1つ以上の実施形態による無線ステーションの一部のブロック図表現である。基地局または無線デバイス(またはUE)等の無線ステーション2105は、本書に提示される無線技法のうちの1つ以上のものを実装するマイクロプロセッサ等のプロセッサ電子機器2110を含むことができる。無線ステーション2105は、送受信機電子機器2115を含み、アンテナ2120等の1つ以上の通信インターフェースを経由して、無線信号を送信および/または受信することができる。無線ステーション2105は、データを伝送および受信するための他の通信インターフェースも含むことができる。無線ステーション2105は、データおよび/または命令等の情報を記憶するように構成された1つ以上のメモリ(明示的に示されない)を含むことができる。いくつかの実装では、プロセッサ電子機器2110は、送受信機電子機器2115の少なくとも一部を含むことができる。いくつかの実施形態では、開示される技法、モジュール、または機能のうちの少なくともいくつかは、無線ステーション2105を使用して実装される。
本明細書に説明される実施形態のうちのいくつかは、方法またはプロセスの一般的文脈で説明され、それらは、一実施形態では、ネットワーク化された環境内でコンピュータによって実行される、プログラムコード等のコンピュータ実行可能命令を含むコンピュータ読み取り可能な媒体で具現化されるコンピュータプログラム製品によって実装され得る。コンピュータ読み取り可能な媒体は、限定ではないが、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、コンパクトディスク(CD)、デジタル多用途ディスク(DVD)等を含むリムーバブルおよび非リムーバブル記憶デバイスを含み得る。したがって、コンピュータ読み取り可能な媒体は、非一過性の記憶媒体を含むことができる。概して、プログラムモジュールは、特定のタスクを実施する、または特定の抽象データタイプを実装する、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造等を含み得る。コンピュータまたはプロセッサ実行可能命令、関連付けられるデータ構造、およびプログラムモジュールは、本明細書に開示される方法のステップを実行するためのプログラムコードの例を表す。そのような実行可能命令または関連付けられるデータ構造の特定のシーケンスは、そのようなステップまたはプロセスで説明される機能を実装するための対応する行為の例を表す。
開示される実施形態のうちのいくつかは、ハードウェア回路、ソフトウェア、またはそれらの組み合わせを使用するデバイスまたはモジュールとして実装されることができる。例えば、ハードウェア回路実装は、例えば、プリント回路基板の一部として統合される、別々のアナログおよび/またはデジタルコンポーネントを含むことができる。代替として、または加えて、開示されるコンポーネントまたはモジュールは、特定用途向け集積回路(ASIC)として、および/またはフィールドプログラマブルゲートアレイ(FPGA)デバイスとして実装されることができる。いくつかの実装は、加えて、または代替として、本願の開示される機能性に関連付けられるデジタル信号処理の動作の必要性のために最適化されるアーキテクチャを伴う特殊マイクロプロセッサであるデジタル信号プロセッサ(DSP)を含み得る。同様に、各モジュール内の種々のコンポーネントまたはサブコンポーネントが、ソフトウェア、ハードウェア、またはファームウェアで実装され得る。モジュールおよび/またはモジュール内のコンポーネントの間の接続性は、限定ではないが、適切なプロトコルを使用するインターネット、有線、または無線ネットワークを経由した通信を含む、当技術分野で公知である接続性方法および媒体のうちのいずれか1つを使用して、提供され得る。
本書は、多くの詳細を含むが、これらは、請求される発明または請求され得るものの範囲への限定としてではなく、むしろ、特定の実施形態に特定の特徴の説明として解釈されるべきである。別個の実施形態との関連で本書に説明されるある特徴も、単一の実施形態において組み合わせて実装されることができる。逆に、単一の実施形態との関連で説明される種々の特徴も、複数の実施形態において別個に、または任意の好適な副次的組み合わせにおいて実装されることができる。さらに、特徴が、ある組み合わせにおいて作用するものとして上で説明され、さらに、そのようなものとして最初に請求され得るが、請求される組み合わせからの1つ以上の特徴は、ある場合、組み合わせから削除されることができ、請求される組み合わせは、副次的組み合わせまたは副次的組み合わせの変形例を対象とし得る。同様に、動作は、特定の順序で図面に描写され得るが、これは、望ましい結果を達成するために、そのような動作が示される特定の順序で、または連続的順序で実施されること、または全ての図示される動作が実施されることを要求するものとして理解されるべきではない。
いくつかの実装および例のみが、説明され、他の実装、向上、および変形例も、本開示に説明および図示されるものに基づいて成されることができる。

Claims (11)

  1. 無線通信のための方法であって、前記方法は、
    第1の機能エンティティが、第1のデバイスのためのセキュアな通信を確立するための第1の識別子を生成することであって、前記第1の識別子は、モバイル国コードとモバイルネットワークコードと乱数とを少なくとも含み、前記モバイル国コードは、前記第1の機能エンティティが動作させられる国を識別し、前記モバイルネットワークコードは、ホーム地上波公共移動通信ネットワークを識別し、前記乱数は、前記第1のデバイスのために使用されるために前記第1の機能エンティティによって配分され、前記第1の機能エンティティは、統合データ管理エンティティを含み、前記統合データ管理エンティティは、ネットワークエクスポージャ機能エンティティ、アプリケーションのための認証およびキー管理アンカ機能エンティティ、認証サーバ機能エンティティ、アクセスおよびモビリティ管理機能エンティティ、または、アプリケーション機能エンティティのうちの少なくとも1つと通信する、ことと、
    前記第1の識別子を前記第1のデバイスに伝送することと
    を含む、方法。
  2. 前記第1の識別子は、前記第1のデバイスのためのアプリケーションのための認証およびキー管理(AKMA)プロシージャ、または、アプリケーションのための認証およびキー管理(AKMA)アンカキーのうちの少なくとも1つを識別するために使用される、請求項1に記載の方法。
  3. 前記第1の識別子を前記第1のデバイスに伝送することは、前記統合データ管理エンティティによって、前記第1のデバイスのためのパラメータ更新プロシージャを実行することによって行われる、請求項1に記載の方法。
  4. 前記第1の機能エンティティまたは前記第1のデバイスのうちの少なくとも1つは、前記第1の識別子を記憶する、請求項1に記載の方法。
  5. 前記方法は、前記第1の機能エンティティが、前記第1の識別子を前記第1の識別子を記憶するように構成されている第2の機能エンティティに送信することをさらに含む、請求項1に記載の方法。
  6. 前記第2の機能エンティティは、前記認証サーバ機能エンティティである、請求項5に記載の方法。
  7. 前記第1の識別子は、一次認証の完了時に生成され、前記乱数は、前記一次認証内で使用されるべき認証ベクトル内に含まれている、請求項1~5のいずれかに記載の方法。
  8. 前記第1の識別子は、前記認証およびキー管理を用いてネットワークシグナリングをルーティングするためのルーティングインジケータにさらに基づく、請求項1に記載の方法。
  9. 前記第1の識別子は、認証サーバ機能エンティティを識別するための認証サーバ機能識別子にさらに基づく、請求項1に記載の方法。
  10. 前記第1の識別子は、前記アプリケーションのための認証およびキー管理アンカ機能エンティティを識別するためのアプリケーションのための認証およびキー管理アンカ機能(AAnF)識別子にさらに基づく、請求項1に記載の方法。
  11. 無線通信のための装置であって、前記装置は、メモリとプロセッサとを備え、前記プロセッサは、前記メモリからコードを読み取り、請求項1~10のいずれかに記載の方法を実装する、装置。
JP2022538926A 2020-03-31 2020-03-31 アプリケーション通信確立のためのパラメータ Active JP7383159B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/082337 WO2021098115A1 (en) 2020-03-31 2020-03-31 Parameters for application communication establishment

Publications (2)

Publication Number Publication Date
JP2023509878A JP2023509878A (ja) 2023-03-10
JP7383159B2 true JP7383159B2 (ja) 2023-11-17

Family

ID=75980990

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022538926A Active JP7383159B2 (ja) 2020-03-31 2020-03-31 アプリケーション通信確立のためのパラメータ

Country Status (6)

Country Link
US (1) US20220330019A1 (ja)
EP (1) EP4066436A4 (ja)
JP (1) JP7383159B2 (ja)
KR (1) KR20220113978A (ja)
CN (1) CN115280715A (ja)
WO (1) WO2021098115A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220210640A1 (en) * 2020-12-29 2022-06-30 Samsung Electronics Co., Ltd. Method and system for optimizing akma key refresh mechanism in wireless network
CN115706663A (zh) * 2021-08-09 2023-02-17 中国移动通信有限公司研究院 更新方法、网络侧设备、终端和计算机可读存储介质
US11696124B2 (en) * 2021-10-08 2023-07-04 Cisco Technology, Inc. Secure communications for a client device involving authentication and key management for applications (AKMA)

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009121407A1 (en) * 2008-04-02 2009-10-08 Nokia Siemens Networks Oy Security for a non-3gpp access to an evolved packet system
CN104918247A (zh) * 2014-03-13 2015-09-16 中兴通讯股份有限公司 一种业务发现及鉴权的方法、设备、终端和系统
EP3358867A1 (en) * 2017-02-03 2018-08-08 Gemalto Sa Method for managing communication between a server and a user equipment
KR102298613B1 (ko) * 2017-04-03 2021-09-06 블랙베리 리미티드 모바일 디바이스에의 비상 코드들의 프로비저닝
WO2018199649A1 (en) * 2017-04-27 2018-11-01 Samsung Electronics Co., Ltd. Method and apparatus for registration type addition for service negotiation
KR102387532B1 (ko) * 2017-04-27 2022-04-19 삼성전자 주식회사 5g 서비스 협상을 위한 등록 타입 추가 방법 및 장치
CN110291803B (zh) * 2017-05-09 2024-01-05 英特尔公司 蜂窝网络中的隐私保护和可扩展认证协议认证和授权
CN109803350B (zh) * 2017-11-17 2021-06-08 华为技术有限公司 一种安全通信方法和装置
US10645583B2 (en) * 2018-02-15 2020-05-05 Nokia Technologies Oy Security management for roaming service authorization in communication systems with service-based architecture
CN110972218B (zh) * 2018-09-30 2021-04-09 华为技术有限公司 一种通信方法及装置
EP3915288A1 (en) * 2019-01-21 2021-12-01 Telefonaktiebolaget LM Ericsson (publ) Key revocation for the authentication and key management for applications feature in 5g
MX2021008724A (es) * 2019-01-21 2021-08-24 Ericsson Telefon Ab L M Metodos de autenticacion y administracion de claves en una red de comunicaciones inalambricas y aparatos relacionados.
WO2021031053A1 (zh) * 2019-08-18 2021-02-25 华为技术有限公司 一种通信方法、装置及系统
US20220295276A1 (en) * 2019-08-18 2022-09-15 Apple Inc. Mobile device authentication without electronic subscriber identity module (esim) credentials
CN112399412B (zh) * 2019-08-19 2023-03-21 阿里巴巴集团控股有限公司 会话建立的方法及装置、通信系统
WO2021093162A1 (en) * 2020-01-16 2021-05-20 Zte Corporation Method, device, and system for anchor key generation and management in a communication network for encrypted communication with service applications
WO2021093163A1 (en) * 2020-01-16 2021-05-20 Zte Corporation Method, device, and system for application key generation and management in a communication network for encrypted communication with service applications
CN114766083A (zh) * 2020-01-19 2022-07-19 中兴通讯股份有限公司 用于为应用建立安全通信的方法和设备
CN113225176B (zh) * 2020-02-04 2022-09-16 华为技术有限公司 密钥获取方法及装置
CN113541925B (zh) * 2020-03-30 2023-02-14 华为技术有限公司 通信系统、方法及装置
CN113543127B (zh) * 2020-03-31 2023-02-17 大唐移动通信设备有限公司 一种密钥生成方法、装置、设备及计算机可读存储介质

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Ericsson,AUSF selection for AKMA,3GPP TSG SA WG3 #98e S3-200294,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_98e/Docs/S3-200294.zip>,2020年02月21日
Ericsson,pCR to TS 33.535: Update of the AKMA procedures,3GPP TSG SA WG3 #98e S3-200296,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_98e/Docs/S3-200296.zip>,2020年02月21日
Huawei, Hisilicon,AKMA: Key ID generation,3GPP TSG SA WG3 #98e S3-200499,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_98e/Docs/S3-200499.zip>,2020年03月06日
ZTE,Resolve EN about derivation of KAF key identifier,3GPP TSG SA WG3 #98e S3-200132,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_98e/Docs/S3-200132.zip>,2020年02月21日

Also Published As

Publication number Publication date
CN115280715A (zh) 2022-11-01
KR20220113978A (ko) 2022-08-17
EP4066436A4 (en) 2022-12-07
EP4066436A1 (en) 2022-10-05
US20220330019A1 (en) 2022-10-13
WO2021098115A1 (en) 2021-05-27
JP2023509878A (ja) 2023-03-10

Similar Documents

Publication Publication Date Title
JP7383159B2 (ja) アプリケーション通信確立のためのパラメータ
KR102559755B1 (ko) 네크워크 슬라이스를 지원하는 로밍 환경에서 단말의 attach 및 home routed PDU session 생성 방법
JP7096881B2 (ja) クレデンシャルコンテナにサブスクリプションを一時的に割り当てるための方法
US11937314B2 (en) Communication method and device for edge computing system
CN113661696B (zh) 用于处理可伸缩fqdn的系统和方法
US8505081B2 (en) Method and apparatus for identity reuse for communications devices
CN110557744B (zh) 订阅事件的方法与网络功能网元
CN110999343A (zh) 5g系统中网络与终端之间的能力协商和切片信息映射的方法
US20180152541A1 (en) System and method for lightweight-machine-to-machine device registration and assignment
CN110392422B (zh) 一种确定时钟源的方法及装置
US10979903B2 (en) Key generation and distribution method based on identity-based cryptography
KR102382894B1 (ko) 통신 시스템에서 이벤트를 관리하는 방법 및 장치
JP2022092060A (ja) 通信システムにおける統合サブスクリプション識別子管理
JP2022531350A (ja) Ue、amf装置、プログラム、ueの方法、およびamf装置の方法
JP7390359B2 (ja) セキュリティキー生成技術
KR102193511B1 (ko) 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
US10567338B2 (en) Method and apparatus for setting up relay link in wireless communication system
EP3128773B1 (en) Processing method and apparatus for d2d discovery
JP2023024400A (ja) オンボーディングプロセスのためのユーザ端末と通信ネットワークとの間の認証
CN115398946A (zh) 认证与密钥协商中的认证服务器功能选择
US20230397000A1 (en) Handling application functions for key management in communication device-network relay scenarios
CN117062071A (zh) 鉴权方法、通信装置和计算机可读存储介质
US20220150696A1 (en) Method and apparatus for establishing secure connections for edge computing services
US20240154803A1 (en) Rekeying in authentication and key management for applications in communication network
US20240244431A1 (en) Method and apparatus for processing user-related data service and network element

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220623

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220623

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230407

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231010

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231107

R150 Certificate of patent or registration of utility model

Ref document number: 7383159

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150