JP7434225B2 - 認証装置、無線通信装置、無線通信システム、方法及びプログラム - Google Patents

認証装置、無線通信装置、無線通信システム、方法及びプログラム Download PDF

Info

Publication number
JP7434225B2
JP7434225B2 JP2021135457A JP2021135457A JP7434225B2 JP 7434225 B2 JP7434225 B2 JP 7434225B2 JP 2021135457 A JP2021135457 A JP 2021135457A JP 2021135457 A JP2021135457 A JP 2021135457A JP 7434225 B2 JP7434225 B2 JP 7434225B2
Authority
JP
Japan
Prior art keywords
network slice
wireless communication
random number
secret key
authentication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021135457A
Other languages
English (en)
Other versions
JP2023030369A (ja
Inventor
竜馬 平野
みゆき 小倉
寿久 鍋谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2021135457A priority Critical patent/JP7434225B2/ja
Priority to US17/679,869 priority patent/US20230054227A1/en
Publication of JP2023030369A publication Critical patent/JP2023030369A/ja
Application granted granted Critical
Publication of JP7434225B2 publication Critical patent/JP7434225B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明の実施形態は、認証装置、無線通信装置、無線通信システム、方法及びプログラムに関する。
近年では、3GPP(Third Generation Partnership Project)において、5G(第5世代)移動通信システムに関する検討が進められている。
5G移動通信システムはネットワークを介して様々なものが繋がることを前提としており、当該5G移動通信システムにおいては、高速、多接続及び低遅延等を実現する無線通信を行うことができる。このような5G移動通信システムを利用することにより、幅広いサービスを提供することが期待されている。
ところで、5G移動通信システムにおいてはネットワークスライスと称される単位に区切って無線通信を行うことができ、当該ネットワークスライスを適切に運用する必要がある。
国際公開第2018/169071号
そこで、本発明が解決しようとする課題は、ネットワークスライスを適切に運用することが可能な認証装置、無線通信装置、無線通信システム、方法及びプログラムを提供することにある。
実施形態に係る認証装置は、保持手段と、通信手段とを具備する。前記保持手段は、無線通信装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する。前記通信手段は、前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信する。前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される。
第1実施形態に係る無線通信システムの構成の一例を示す図。 認証処理について説明するための図。 認証装置の構成の一例を示すブロック図。 無線端末の構成の一例を示すブロック図。 情報保持部のデータ構造の一例を示す図。 秘密鍵を更新する際の認証装置の処理手順の一例を示すフローチャート。 秘密鍵の更新処理の具体例について説明するための図。 第2実施形態において秘密鍵を更新する際の認証装置の処理手順の一例を示すフローチャート。 第3実施形態において秘密鍵を更新する際の認証装置の処理手順の一例を示すフローチャート。
以下、図面を参照して、各実施形態について説明する。
(第1実施形態)
まず、第1実施形態について説明する。図1は、本実施形態に係る無線通信システムの構成の一例を示す。無線通信システムは、例えば5G移動通信システムであり、認証装置10、基地局20及び無線端末30を備える。
認証装置10は、無線通信システムに備えられる無線端末30を認証する処理(以下、認証処理と表記)を実行する。
基地局20は、認証装置10及び無線端末30の間に配置され、当該基地局20がカバーしている範囲内に存在する無線端末30との無線通信を実行する。なお、認証装置10及び基地局20は、例えば有線により接続されている。
無線端末30は、例えば無線通信システム(5G移動通信システム)において提供されるサービスを利用する際にネットワークを介して基地局20と無線通信を実行する端末装置(無線通信装置)である。
ここで、図2を参照して、上記した認証装置10によって実行される認証処理について簡単に説明する。本実施形態においては、例えばEAP(Extensible Authentication Protocol)-AKA(Authentication and Key Agreement)を適用した認証処理が実行されるものとして説明する。なお、ここでは認証装置10及び無線端末30が通信処理を実行するものとして説明するが、当該通信処理は、上記したように認証装置10及び無線端末30の間に配置されている基地局20を介して実行される。以下の説明についても同様である。
まず、認証装置10は、無線端末30に対してEAPリクエスト(EAP-Request/Identity)を送信する(ステップS1)。
ステップS1の処理が実行されると、無線端末30は、当該ステップS1において送信されたEAPリクエストに対する応答として、EAPレスポンス(EAP-Response/Identity)を認証装置10に送信する(ステップS2)。
次に、認証装置10は、当該認証装置10において生成される乱数(128bitのRAND)及び改ざん防止用の認証コード(AUTN)が付加されたEAPリクエスト(EAP-Request/AKA-Challenge)を無線端末30に送信する(ステップS3)。
ここで、無線端末30にはSIMカードが挿入されており、当該SIMカードには、共有秘密鍵が書き込まれている。無線端末30は、このSIMカードに書き込まれている共有秘密鍵と、ステップS3において認証装置10から送信されたEAPリクエストに付加されている乱数とからCK(Cipher Key)及びIK(Integrity Key)を計算することによって、基地局20との無線通信に使用する秘密鍵(CK及びIKに基づく秘密鍵)を生成する。
上記したように秘密鍵が生成されると、無線端末30は、上記した共有秘密鍵と乱数から応答値XRESを計算し、ステップS3において送信されたEAPリクエストに対するEAPレスポンス(EAP-Response/AKA-Challenge)として、当該計算された応答値XRESを認証装置10に送信する(ステップS4)。
認証装置10は、ステップS4において送信された応答値XRESと、通信キャリアにおいて保持されている共有秘密鍵(上記したSIMカードに書き込まれている共有秘密鍵と同一の共有秘密鍵)及び上記したステップS3において無線端末30に送信した乱数から事前に計算しておいたXRESとを照合し、当該XRESが一致した場合に、認証処理の成功を示す応答(EAP-Success)を無線端末30に送信する(ステップS5)。
上記したような認証処理が実行された場合、無線端末30は、上記した秘密鍵を使用して基地局20との無線通信を実行する。具体的には、認証処理が実行された後に基地局20から無線端末30にデータが送信される場合、当該データは、公開鍵暗号方式において上記した秘密鍵と対になる公開鍵を使用して基地局20側で暗号化され、当該秘密鍵を使用して無線端末30側で復号化される。
なお、ここでは説明を省略したが、上記した秘密鍵は通信キャリアにおいて保持されている共有秘密鍵及び無線端末30に対して送信された乱数から認証装置10側においても生成される。これによれば、無線端末30から基地局20にデータが送信される場合、当該データは、公開鍵を使用して無線端末30側で暗号化され、認証装置10で生成された秘密鍵を使用して基地局20側で復号化される。
基地局20と無線端末30との間で上記したような無線通信が実行されることにより、無線通信システムにおける無線通信の安全性を向上させることができる。
ところで、5G移動通信システムのような無線通信システムにおいては高速、多接続、及び低遅延等の幅広い要求に対応する必要があるところ、このような多様な要求(要望及び通信サービス)の特性に応じて、リソース等をネットワークスライスと称される単位に論理的に分割して管理または運用する技術(以下、ネットワークスライシング技術と表記)がある。
このネットワークスライシング技術によれば、ネットワークに配置される共通のハードウェアリソース(サーバまたはルータ等)上に複数のネットワークスライス(論理的な区分)を構築し、当該各ネットワークスライスを独立して運用することができる。このようなネットワークスライスを無線通信システム(5G移動通信システム)において提供される各サービスに個別に割り当てることにより、ネットワークの複雑化を回避し、効率的なネットワークを構成することができる。また、ネットワークスライシング技術においては、共通のハードウェアリソースを仮想的に分割して複数のネットワークスライスの各々に割り当てるため、リソース全体の利用効率を向上させることができる。
上記したような複数のネットワークスライスが認証装置10(基地局20)と無線端末30との間で構築されている場合、上記した認証処理は当該ネットワークスライス毎に実行され、当該ネットワークスライス毎の秘密鍵が認証装置10及び無線端末30において生成される。
以下、本実施形態に係る無線通信システムに備えられる認証装置10及び無線端末30の構成について説明する。
図3は、認証装置10の構成の一例を示すブロック図である。図3に示すように、認証装置10は、認証処理部11、更新処理部12、通信部13及び情報保持部14を含む。
認証処理部11は、上記した認証処理を実行する。なお、認証処理部11は、上記した認証処理が実行される際に乱数を生成する乱数生成部(図示せず)及び無線端末30との無線通信を実行する際に基地局20によって使用される秘密鍵を生成する鍵生成部(図示せず)等を含む。
ここで、基地局20及び無線端末30間において実行される無線通信の安全性は上記した秘密鍵を使用することによって向上させることができるが、当該安全性を維持するためには、当該秘密鍵を定期的に更新する必要がある。
更新処理部12は、認証処理部11によって認証処理が実行されることによって認証装置10(認証処理部11)及び無線端末30において生成された秘密鍵を更新する処理(以下、更新処理と表記)を実行する。なお、更新処理においては、上記した認証処理と同様の処理が実行されることによって、認証装置10及び無線端末30において新たな秘密鍵が生成される。すなわち、更新処理部12は、秘密鍵を更新するための乱数を生成する乱数生成部(図示せず)及び更新後の新たな秘密鍵を生成する鍵生成部(図示せず)等を含む。
なお、本実施形態において、認証処理部11及び更新処理部12の一部または全ては、認証装置10に備えられる少なくとも1つ以上のプロセッサ(つまり、認証装置10のコンピュータ)が所定のプログラムを実行すること、すなわち、ソフトウェアによって実現されるものとする。なお、認証処理部11及び更新処理部12の一部または全ては、所定の処理回路等のハードウェアによって実現されてもよいし、ソフトウェア及びハードウェアの組み合わせによって実現されてもよい。
通信部13は、上記した認証処理及び更新処理が実行される際に、乱数を無線端末30に送信する。なお、本実施形態において、通信部13は、認証装置10に備えられるアンテナ及び通信デバイス等によって実現されるものとする。
上記したように認証装置10と無線端末30との間に複数のネットワークスライスが構築されている場合には当該ネットワークスライス毎に秘密鍵が生成されるが、情報保持部14は、当該ネットワークスライス毎に生成された秘密鍵を、当該ネットワークスライスを識別するための識別子(以下、ネットワークスライス識別子と表記)に対応づけて保持する。
なお、本実施形態において、情報保持部14は、認証装置10に備えられるメモリまたは記憶デバイス等によって実現されるものとする。
図4は、無線端末30の構成の一例を示すブロック図である。図4に示すように、無線端末30は、通信部31、鍵生成部32及び情報保持部33を含む。
通信部31は、認証装置10によって認証処理が実行される場合に当該認証装置10から送信された乱数を受信する。同様に、通信部31は、認証装置10によって更新処理が実行される場合に当該認証装置10から送信された乱数を受信する。また、通信部31は、上記した認証処理及び更新処理が実行される際に、図2において説明したEAPレスポンスを認証装置10に送信する。
なお、本実施形態において、通信部31は、無線端末30に備えられるアンテナ及び通信デバイス等によって実現されるものとする。
鍵生成部32は、無線端末30に挿入されているSIMカードに予め書き込まれている共有秘密鍵及び通信部31によって受信された乱数に基づいて基地局20との無線通信に使用される秘密鍵を生成する。
なお、本実施形態において、鍵生成部32の一部または全ては、無線端末30に備えられる少なくとも1つ以上のプロセッサ(つまり、無線端末30のコンピュータ)が所定のプログラムを実行すること、すなわち、ソフトウェアによって実現されるものとする。なお、鍵生成部32の一部または全ては、所定の処理回路等のハードウェアによって実現されてもよいし、ソフトウェア及びハードウェアの組み合わせによって実現されてもよい。
上記したように秘密鍵はネットワークスライス毎に生成されるが、情報保持部33は、鍵生成部32によってネットワークスライス毎に生成された秘密鍵を、当該ネットワークスライスを識別するためのネットワークスライス識別子に対応づけて保持する。
なお、本実施形態において、情報保持部33は、無線端末30に備えられるメモリまたは記憶デバイス等によって実現されるものとする。
図5は、認証装置10に含まれる情報保持部14のデータ構造の一例を示す。図5に示すように、情報保持部14は、ネットワークスライス識別子に対応づけて、秘密鍵、有効期限、許容遅延時間及び最大通信量等の情報を保持する。
ネットワークスライス識別子は、認証装置10と無線端末30との間に構築されているネットワークスライスを識別するための識別子である。
秘密鍵は、対応づけられているネットワークスライス識別子によって識別されるネットワークスライスを用いて実行される無線通信に使用される秘密鍵(当該ネットワークスライスで使用される秘密鍵)である。
有効期限は、対応づけられている秘密鍵に設定されている有効期限である。有効期限は、例えば年月日及び時刻を含むが、他の形式で表されてもよい。
許容遅延時間は、対応づけられているネットワークスライス識別子によって識別されるネットワークスライスを用いて実行される無線通信において許容されている遅延時間である。
最大通信量は、対応づけられているネットワークスライス識別子によって識別されるネットワークスライスを用いて実行される無線通信における最大の通信量(通信可能なデータ量の最大値)である。
図5に示す例では、認証装置10と無線端末30との間に第1及び第2ネットワークスライスを含む複数のネットワークスライスが構築されている場合の情報保持部14のデータ構造の一例が示されている。
具体的には、情報保持部14は、ネットワークスライス識別子「0001」に対応づけて、秘密鍵「秘密鍵1」、有効期限「xxxx/xx/xx xx:xx」、許容遅延時間「50ms」及び最大通信量「最大通信量1」を保持している。これによれば、ネットワークスライス識別子「001」によって識別されるネットワークスライス(第1ネットワークスライス)を用いた無線通信において使用される秘密鍵が「秘密鍵1」であり、当該「秘密鍵1」の有効期限が「xxxx年xx月xx日xx時xx分」であることが示されている。また、第1ネットワークスライスを用いた無線通信における許容遅延時間が「50ms」であり、当該無線通信における最大の通信量が「最大通信量1」であることが示されている。
また、情報保持部14は、ネットワークスライス識別子「0002」に対応づけて、秘密鍵「秘密鍵2」、有効期限「yyyy/yy/yy yy:yy」、許容遅延時間「1s」及び最大通信量「最大通信量2」を保持している。これによれば、ネットワークスライス識別子「002」によって識別されるネットワークスライス(第2ネットワークスライス)を用いた無線通信において使用される秘密鍵が「秘密鍵2」であり、当該「秘密鍵2」の有効期限が「yyyy年yy月yy日yy時yy分」であることが示されている。また、第2ネットワークスライスを用いた無線通信における許容遅延時間が「1s」であり、当該無線通信における最大の通信量が「最大通信量2」であることが示されている。
なお、上記した有効期限は、例えば認証処理及び更新処理が実行されることによって秘密鍵が生成される際に、当該秘密鍵に対して予め設定されているものとする。
また、上記したように複数のネットワークスライスの各々は独立して運用されるため、上記した許容遅延時間及び最大通信量等については、当該ネットワークスライス毎に異なっているものとする。なお、上記した第1ネットワークスライスは、許容遅延時間が短いため、例えば映像を配信するような用途に利用される(映像配信に割り当てられている)ネットワークスライスである。一方、第2ネットワークスライスは、許容遅延時間が長いため、例えばファイルを転送するような用途に利用される(ファイル転送に割り当てられている)ネットワークスライスである。
ここでは第1及び第2ネットワークスライスを識別するためのネットワークスライス識別子に対応づけて情報保持部14に保持される情報(つまり、第1及び第2ネットワークスライスの情報)についてのみ説明したが、第1及び第2ネットワークスライス以外にもネットワークスライスが構築されている場合には、当該ネットワークスライスの情報も情報保持部14に保持されている。
また、ここでは情報保持部14がネットワークスライス毎にネットワークスライス識別子、秘密鍵、有効期限、許容遅延時間及び最大通信量(の情報)を保持するものとして説明したが、当該情報保持部14は、これらの情報以外の情報を保持していてもよいし、これらの情報のうちの一部を保持していなくてもよい。
ここでは認証装置10に含まれる情報保持部14のデータ構造について説明したが、無線端末30に含まれる情報保持部33においても同様の情報が保持されているものとする。なお、認証装置10に含まれる情報保持部14に保持される情報と、無線端末30に含まれる情報保持部33に保持される情報とは、同一であってもよいし、異なっていてもよい。
次に、図6のフローチャートを参照して、秘密鍵を更新する際の認証装置10の処理手順の一例について説明する。ここでは、上記した認証処理が実行されることによって認証装置10(情報保持部14)及び無線端末30(情報保持部33)において既に秘密鍵が保持されており、基地局20及び無線端末30間で当該秘密鍵を使用した無線通信が実行されているものとする。
まず、認証装置10に含まれる更新処理部12は、情報保持部14を参照して、更新対象となる秘密鍵(以下、更新対象鍵と表記)を特定する(ステップS11)。
なお、更新対象秘密鍵は、情報保持部14に保持されている複数の秘密鍵(つまり、認証装置10と無線端末30との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される複数の秘密鍵)の中から、当該秘密鍵に対応づけて情報保持部14に保持されている有効期限(つまり、当該秘密鍵に対して設定されている有効期限)に基づいて特定される。
具体的には、例えば現在の日時から予め定められた期間内に該当する有効期限が存在する場合、更新処理部12は、当該有効期限に対応づけて情報保持部14に保持されている秘密鍵を更新対象秘密鍵として特定する。
ここで、例えばステップS11において特定された更新対象鍵を更新する場合には、当該更新対象鍵を更新するための乱数を認証装置10から無線端末30に送信する必要があるが、当該乱数の送信には、当該更新対象鍵を使用するネットワークスライスを用いることが考えられる。
しかしながら、例えば許容遅延時間が50msである第1ネットワークスライス及び許容遅延時間が1sである第2ネットワークスライスが構築されており、当該第1ネットワークスライスで使用される秘密鍵(以下、第1秘密鍵と表記)が更新対象鍵として特定された場合において、当該第1ネットワークスライスを用いて当該第1秘密鍵の更新処理(つまり、乱数の送信等)が実行されると、当該第1ネットワークスライスを用いて実行される無線通信に影響を与え、許容遅延時間を超える遅延時間が発生する可能性がある。この場合には、第1ネットワークスライスとは異なる第2ネットワークスライス(つまり、第1ネットワークスライスよりも許容遅延時間が長い第2ネットワークスライス)を用いて第1秘密鍵を更新する方が好ましいと考えられる。
そこで、本実施形態において、更新処理部12は、情報保持部14を参照して、更新対象鍵を更新する際に用いる(つまり、乱数を送信するために用いる)ネットワークスライスを選択する(ステップS12)。
この場合、更新処理部12は、例えば情報保持部14に保持されている許容遅延時間に基づいて、ネットワークスライスを選択することができる。具体的には、許容遅延時間が50msである第1ネットワークスライス及び許容遅延時間が1sである第2ネットワークスライスが構築されている場合、更新処理部12は、許容遅延時間が長い第2ネットワークスライス(つまり、最も長い許容遅延時間に対応づけて情報保持部14に保持されているネットワークスライス識別子によって識別されるネットワークスライス)を選択するものとする。
なお、ステップS12においては認証装置10と無線端末30との間に構築されている複数のネットワークスライスの中から1つのネットワークスライスが選択されればよく、当該選択されるネットワークスライスは、更新対象鍵を使用した無線通信が実行されるネットワークスライス(更新対象鍵が使用されるネットワークスライス)であってもよいし、更新対象が使用されるネットワークスライス以外の他のネットワークスライスであってもよい。
また、ここでは情報保持部14に保持されている許容遅延時間に基づいてネットワークスライスが選択されるものとして説明したが、当該ネットワークスライスは、例えば複数のネットワークスライスの各々を用いて実行されている無線通信における現在の通信量(無線通信が実行されている現在のデータ量)に基づいて選択されてもよい。この場合、更新処理部12は、例えば各ネットワークスライスを用いて実行されている無線通信における現在の通信量(データ量)を計測し、当該計測された現在の通信量が最も少ないネットワークスライスを選択することができる。
更に、更新処理部12は、情報保持部14に保持されている最大通信量に基づいてネットワークスライスを選択してもよい。この場合、更新処理部12は、例えば最大通信量が最も多いネットワークスライス(つまり、最も多い最大通信量に対応づけて情報保持部14に保持されているネットワークスライス識別子によって識別されるネットワークスライス)を選択することができる。
また、更新処理部12は、上記した現在の通信量及び情報保持部14に保持されている最大通信量に基づいてネットワークスライスを選択する構成であってもよい。この場合、更新処理部12は、現在の通信量と最大通信量との差分が最大であるネットワークスライスまたは最大通信量に対する現在の通信量の割合が最小であるネットワークスライスを選択することができる。換言すれば、更新処理部12は、設定されている通信帯域に対する現在の通信量(すなわち、通信状況)に余裕があるネットワークスライスを選択してもよい。
なお、ここで説明したネットワークスライスの選択処理は一例であり、更新処理部12は、更新対象鍵の更新が基地局20及び無線端末30間の無線通信に影響を与える可能性が少ないネットワークスライスを選択すればよく、例えば上記した許容遅延時間、現在の通信量及び最大通信量等を総合的に勘案してネットワークスライスを選択してもよい。
次に、更新処理部12は、ステップS12において選択されたネットワークスライス(以下、選択ネットワークスライスと表記)がステップS11において特定された更新対象鍵を使用するネットワークスライスと一致するか否かを判定する(ステップS13)。なお、ステップS11において特定された更新対象鍵に対応するネットワークスライスは、当該更新対象鍵に対応づけて情報保持部14に保持されているネットワークスライス識別子によって識別されるネットワークスライスである。
選択ネットワークスライスが更新対象鍵を使用するネットワークスライスと一致しないと判定された場合(ステップS13のNO)、更新処理部12は、第1更新処理を実行する(ステップS14)。
以下、第1更新処理について説明する。第1更新処理において、更新処理部12(通信部13)は、更新対象鍵を更新するための乱数を、選択ネットワークスライスを用いて無線端末30に送信する。
このように更新処理部12(通信部13)から無線端末30に送信された乱数は当該無線端末30に含まれる通信部31によって受信され、当該無線端末30に含まれる鍵生成部32は、無線端末30に挿入されているSIMカードに書き込まれている共有秘密鍵及び当該通信部31によって受信された乱数に基づいて新たな秘密鍵(つまり、更新後の秘密鍵)を生成する。このように鍵生成部32によって生成された秘密鍵は、更新対象鍵を使用するネットワークスライスを識別するためのネットワークスライス識別子に対応づけて情報保持部33に保持され、当該ネットワークスライスを用いて実行される基地局20と無線端末30との間の無線通信に使用される。
また、認証装置10に含まれる更新処理部12は、通信キャリアにおいて保持されている共有秘密鍵及び無線端末30に対して送信された乱数に基づいて新たな秘密鍵(つまり、更新後の秘密鍵)を生成する。このように更新処理部12によって生成された秘密鍵は、更新対象鍵を使用するネットワークスライスを識別するためのネットワークスライス識別子に対応づけて情報保持部14に保持され、当該ネットワークスライスを用いて実行される基地局20と無線端末30との間の無線通信に使用される。
上記した第1更新処理は、例えばステップS11において特定された更新対象鍵が第1ネットワークスライスで使用される第1秘密鍵であり、ステップS12において選択されたネットワークスライス(選択ネットワークスライス)が第1ネットワークスライスとは異なる第2ネットワークスライスであるような場合を想定している。この場合には、第1秘密鍵に対して設定されている有効期限に基づく第1秘密鍵の更新タイミングにおいて、第2ネットワークスライスを用いて第1秘密鍵の更新処理が実行される。
ここでは更新対象鍵を更新するための乱数が認証装置10から無線端末30に送信されるものとして説明したが、更新処理部12は、当該乱数に基づいて更新された秘密鍵の使用開始タイミングに関する情報(以下、使用開始タイミング情報と表記)を更に無線端末30に送信するようにしてもよい。これによれば、基地局20及び無線端末30は、この使用開始タイミング(情報)に基づいて、更新後の秘密鍵の使用を開始することができる。
使用開始タイミング情報は例えば更新後の秘密鍵の使用を開始する日時(時間情報)を含み、当該日時は、例えば更新対象鍵に対して設定されている有効期限(更新対象鍵に対応づけて情報保持部14に保持されている有効期限)に基づいて算出される。なお、使用開始タイミング情報に含まれる日時は、更新対象鍵に対して設定されている有効期限よりも前の日時であればよい。
また、例えば基地局20から無線端末30に送信されるデータの各々に当該データの通し番号(通番)が付されている場合には、使用開始タイミング情報は、日時ではなく、更新後の秘密鍵の使用を開始するデータの通し番号を含むものであってもよい。
ここでは、使用開始タイミング情報が日時またはデータの通し番号を含むものとして説明したが、基地局20及び無線端末30が更新後の秘密鍵の使用開始タイミングを判別することができるのであれば、日時及びデータの通し番号以外の情報を含む使用開始タイミング情報を用いてもよい。
ただし、例えば予め定められたタイミングで更新後の秘密鍵の使用を開始することが事前に設定されているような場合には、上記した使用開始タイミング情報が無線端末30に送信されない構成であってもよい。
更に、認証装置10において更新後の秘密鍵の有効期限を設定するような場合には、上記した乱数及び使用タイミング情報に加えて、当該有効期限が認証装置10から無線端末30に送信される構成であってもよい。
ここで、上記した第1更新処理は第2ネットワークスライスを用いて第1秘密鍵を更新するような場合を想定しているが、当該第1更新処理において、第2ネットワークスライスで使用される秘密鍵(以下、第2秘密鍵と表記)を更に更新するようにしてもよい。このような第2秘密鍵の更新は当該第2秘密鍵を更新するための乱数が第2ネットワークスライスを用いて無線端末30に送信されることによって行われるが、当該乱数に加えて、使用開始タイミング情報等が無線端末30に対して送信されてもよい点については、上記した第1秘密鍵の更新と同様である。
一方、選択ネットワークスライスが更新対象鍵を使用するネットワークスライスと一致すると判定された場合(ステップS13のYES)、更新処理部12は、第2更新処理を実行する(ステップS15)。
ここで、第2更新処理は、例えばステップS11において特定された更新対象鍵が第2ネットワークスライスで使用される第2秘密鍵であり、ステップS12において選択されたネットワークスライスが当該第2ネットワークスライスである(つまり、第2ネットワークスライスを用いて第2秘密鍵を更新する)ような場合を想定しているが、当該第2更新処理においては、第2秘密鍵に加えて、第2秘密鍵とは異なる秘密鍵(例えば、第1秘密鍵)を更新することができる。この場合には、第2秘密鍵に対して設定されている有効期限に基づく第2秘密鍵の更新タイミングにおいて、第2ネットワークスライスを用いて第1秘密鍵の更新処理が実行される。
なお、第1更新処理は第1秘密鍵の更新タイミングで当該第1秘密鍵(及び第2秘密鍵)を更新し、第2更新処理は第2秘密鍵の更新タイミングで当該第1秘密鍵(及び第2秘密鍵)を更新する点で、当該第1及び第2更新処理は異なるが、その他の点については同様であるため、ここでは第2更新処理の詳細な説明については省略する。
ここで、図7を参照して、本実施形態において実行される秘密鍵の更新処理の具体例について説明する。
ここでは認証装置10(基地局20)と無線端末30との間に第1及び第2ネットワークスライスが構築されており、無線端末30は、第1及び第2ネットワークスライスの各々を用いて基地局20との無線通信を実行しているものとする。なお、図7に示す例では、基地局20から無線端末30に対して複数のデータが送信されており、当該データの各々には、通し番号(シーケンス番号)SNが付されている。
また、第1ネットワークスライスを用いて基地局20から無線端末30に対して送信されるデータは例えば上記した第1秘密鍵に対応する公開鍵(以下、第1公開鍵と表記)を用いて暗号化されており、無線端末30は、当該無線端末30に含まれる情報保持部33に保持されている当該第1秘密鍵K(A,1)を用いて当該データを復号するものとする。
同様に、第2ネットワークスライスを用いて基地局20から無線端末30に対して送信されるデータは例えば上記した第2秘密鍵に対応する公開鍵(以下、第2公開鍵と表記)を用いて暗号化されており、無線端末30は、当該無線端末30に含まれる情報保持部33に保持されている当該第2秘密鍵K(B,1)を用いて当該データを復号するものとする。
ここで、例えば通し番号SNとして「109」が付されたデータが第2ネットワークスライスを用いて基地局20から無線端末30に対して送信された後、通し番号SNとして「110」が付されるデータが第2ネットワークスライスを用いて基地局20から無線端末30に対して送信される前のタイミングで、例えば第1秘密鍵K(A,1)が更新対象鍵として特定された(つまり、第1秘密鍵K(A,1)の更新タイミングが判別された)ものとする。
例えば第1ネットワークスライスの許容遅延時間が50msであり、第2ネットワークスライスの許容遅延時間が1sであるものとすると、第1秘密鍵K(A,1)を更新するために用いられるネットワークスライスとして第2ネットワークスライスが選択される。
この場合、第2ネットワークスライスを用いて、第1秘密鍵K(A,1)及び第2秘密鍵(B,1)の更新処理が実行される。この更新処理においては、第1秘密鍵K(A,1)を更新するための乱数(以下、第1乱数と表記)及び第2秘密鍵K(B,1)を更新するための乱数(以下、第2乱数と表記)が認証装置10から無線端末30に対して送信され、当該第1乱数に基づいて第1秘密鍵K(A,1)が第1秘密鍵K(A,2)に更新され、当該第2乱数に基づいて第2秘密鍵K(B,1)が第2秘密鍵K(B,2)に更新される。
なお、第1秘密鍵K(A,1)が第1秘密鍵(A,2)に更新される場合には、上記した第1公開鍵も同様に更新される。また、第2秘密鍵K(B,1)が第2秘密鍵(B,2)に更新される場合には、上記した第1公開鍵も同様に更新される。
ここで、第1秘密鍵K(A,2)(つまり、更新後の第1秘密鍵)の使用開始タイミングに関する使用開始タイミング情報が第2ネットワークスライスを用いて無線端末30に送信されており、当該使用開始タイミング情報に通し番号SNが含まれている場合を想定する。この使用開始タイミング情報に含まれている通し番号SNが「150」であるものとすると、第1秘密鍵K(A,2)の使用は、図7に示すように、通し番号SNとして「150」が付されているデータが基地局20から無線端末30に送信されるタイミングで開始される。この場合、基地局20からは更新後の第1公開鍵を用いて暗号化されたデータが送信され、無線端末30は、更新後の第1秘密鍵K(A,2)を用いて当該データを復号する。
一方、第2秘密鍵K(B,2)については例えば第2秘密鍵K(B,1)の更新処理が終了した直後から使用が開始されているが、第1秘密鍵K(A,2)と同様に、通し番号SN等(使用開始タイミング情報)に基づいて第2秘密鍵(B,2)の使用を開始してもよい。
なお、ここで説明した処理は第1秘密鍵K(A,1)が更新対象鍵として特定された際に実行される第1更新処理(図6に示すステップS14の処理)に相当するが、例えば第2秘密鍵K(B,1)が更新対象鍵として特定された場合には、上記した第2更新処理(図6に示すステップS15の処理)が実行されることにより、第1秘密鍵K(A,1)及び第2秘密鍵K(B,1)をそれぞれ更新することができる。
上記したように本実施形態において、認証装置10は、無線端末(無線通信装置)30との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持し、当該複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、当該第1ネットワークスライスと異なる第2ネットワークスライスを用いて無線端末30に送信する。この場合、上記した第1乱数に基づいて更新された第1秘密鍵は、認証装置10の情報保持部14に保持され、無線端末30に対して送信された使用開始タイミングに基づいて、第1ネットワークスライスを用いて実行される基地局20と無線端末30との間の無線通信に使用される。
また、本実施形態において、無線端末30は、認証装置10との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持し、当該複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、第1ネットワークとは異なる第2ネットワークスライスを用いて認証装置10から受信する。この場合、上記した第1乱数に基づいて更新された第1秘密鍵は、無線端末30の情報保持部33に保持され、認証装置10から受信された使用開始タイミングに基づいて、第1ネットワークスライスを用いて実行される基地局20との無線通信に使用される。
本実施形態においては、上記した構成により、第1ネットワークスライスを用いて実行される無線通信に影響を及ぼす(つまり、第1ネットワークスライスに通信負荷を与える)ことなく、当該無線通信を継続した状態で、当該第1ネットワークスライスで使用される第1秘密鍵を更新することができる。換言すれば、例えば複数のネットワークスライスの接続方法及び秘密鍵の生成方法に関する技術については様々なものがあるが、本実施形態においては、認証装置10による認証処理が実行された後において複数のネットワークスライスで連携して適切な秘密鍵の運用を実現することができる。
なお、本実施形態においては、例えば第1及び第2ネットワークスライスの各々を用いて実行される無線通信において許容される遅延時間に基づいて第1秘密鍵を更新する際に使用する第2ネットワークスライスを選択するものとする。これによれば、例えば許容される遅延時間が短い第1ネットワークスライスの通信品質を低下させることなく、許容される遅延時間が長い第2ネットワークスライスを用いて第1秘密鍵を更新するようなことが可能となる。
また、本実施形態においては、第1及び第2ネットワークスライスの各々を用いて実行される無線通信における通信量に基づいて第1秘密鍵を更新する際に使用する第2ネットワークスライスを選択する構成であってもよい。これによれば、例えば通信状況に余裕がない第1ネットワークスライスの通信品質を低下させることなく、通信状況に余裕がある第2ネットワークを用いて第1秘密鍵を更新するようなことが可能となる。
更に、本実施形態においては、第1乱数及び使用開始タイミング情報を無線端末30に送信する際に、第2ネットワークスライスを用いて実行される無線通信に使用される第2秘密鍵を更新するための第2乱数を、第2ネットワークスライスを用いて無線端末30に送信してもよい。この場合、第2乱数に基づいて更新された第2秘密鍵は、認証装置10の情報保持部14に保持され、第2ネットワークスライスを用いて実行される基地局20と無線端末30との無線通信に使用される。また、認証装置10から送信された第2乱数は無線端末30によって受信され、当該第2乱数に基づいて更新された第2秘密鍵は、無線端末30の情報保持部33に保持され、第2ネットワークスライスを用いて実行される基地局20との無線通信に使用される。
本実施形態においては、このような構成により、第1秘密鍵の更新時において第2秘密鍵も更新することが可能となるため、効率的な秘密鍵の更新を実現することができる。
ここでは便宜的に第1及び第2秘密鍵を更新するものとして説明したが、第1及び第2ネットワークスライスを含む3つ以上のネットワークスライスが構築されている場合には、1つのネットワークスライスを用いて第1及び第2秘密鍵を含む3つ以上の秘密鍵を更新する処理が実行されても構わない。
なお、本実施形態における第1秘密鍵の更新処理は、例えば当該第1秘密鍵に対して設定されている有効期限に基づいて判別される当該第1秘密鍵の更新タイミングに基づいて実行されてもよいし、当該第2秘密鍵に対して設定されている有効期限に基づいて判別される当該第2秘密鍵の更新タイミングに基づいて実行されてもよい。
更に、本実施形態において、上記した使用開始タイミング情報には、第1秘密鍵に対して設定されている有効期限に基づいて算出される日時が含まれていてもよいし、第1ネットワークスライスを用いて実行される無線通信において送信されるデータに付されるデータの通し番号(つまり、更新された第1秘密鍵の使用を開始するデータの通し番号)が含まれていてもよい。このような使用開始タイミング情報が認証装置10から無線端末30に対して送信されることにより、更新された第1秘密鍵の使用を所望のタイミングで開始することが可能となる。
(第2実施形態)
次に、第2実施形態について説明する。なお、本実施形態に係る無線通信システム、認証装置及び無線端末の構成については、前述した第1実施形態と同様であるため、適宜、図1、図3及び図4等を用いて説明する。
ここで、前述した第1実施形態においては第1及び第2ネットワークスライスを含む複数のネットワークスライスが認証装置10(基地局20)と無線端末30との間で予め構築されているものとして説明したが、無線通信システム(5G移動通信システム)においては、新たにリソースを割り当てることによって新規のネットワークスライス(以下、第3ネットワークスライスと表記)を構築することが可能である。
前述した第1実施形態においては既に構築されている複数のネットワークスライスのうちの1つ(例えば、第2ネットワークスライス)を用いて更新対象鍵(例えば、第1秘密鍵)を更新するものとして説明したが、本実施形態においては、上記した第3ネットワークスライスが構築されるタイミングで、当該第3ネットワークスライスを用いて更新対象鍵を更新する点で、前述した第1実施形態とは異なる。
以下、図8のフローチャートを参照して、秘密鍵を更新する際の認証装置10の処理手順の一例について説明する。ここでは、前述した第1実施形態において説明した認証処理が実行されることによって認証装置10(情報保持部14)及び無線端末30(情報保持部33)において既に秘密鍵が保持されており、基地局20及び無線端末30間で当該秘密鍵を使用した無線通信が実行されているものとする。
ここで、認証装置10(基地局20)と無線端末30との間に既に構築されている第1及び第2ネットワークスライスを含む複数のネットワークスライスとは異なる新規なネットワークスライスとして第3ネットワークスライスが新たに構築された場合を想定する。この場合、第3ネットワークスライスの構築を示す情報が認証装置10に対して通知され、当該認証装置10は、当該第3ネットワークスライスの構築(つまり、第3ネットワークスライスが新たに構築されたタイミングであること)を確認する(ステップS21)。
ステップS21の処理が実行されると、認証装置10に含まれる更新処理部12は、情報保持部14を参照して、更新対象鍵を特定する(ステップS22)。ステップS22においては、更新処理が実行される(つまり、秘密鍵を更新するための乱数を送信する)ことによって無線通信に影響を及ぼすことが懸念されるネットワークスライスで使用される秘密鍵が更新対象鍵として特定されるものとする。
具体的には、ステップS22においては、情報保持部14に保持されている許容遅延時間に基づいて、例えば許容遅延時間が短いネットワークスライスで使用されている秘密鍵を更新対象鍵として特定することができる。また、ステップS22においては、例えば各ネットワークスライスを用いて実行されている無線通信における現在の通信量を計測し、当該計測された現在の通信量が多いネットワークスライスで使用されている秘密鍵を更新対象鍵として特定してもよい。更に、ステップS22においては、情報保持部14に保持されている最大通信量に基づいて、例えば最大通信量が小さいネットワークスライスで使用されている秘密鍵を更新対象鍵として特定してもよい。また、ステップS22においては、現在の通信量と最大通信量との差分が小さいネットワークスライスまたは最大通信量に対する現在の通信量の割合が大きいネットワークスライスで使用されている秘密鍵を更新対象鍵として特定してもよい。
ステップS22の処理が実行されると、認証処理部11及び更新処理部12は、第3ネットワークスライスを用いた認証処理及び更新処理を実行する(ステップS23)。
認証処理については詳しい説明を省略するが、前述した図2において説明した処理が実行されることによって、秘密鍵(以下、第3秘密鍵と表記)が認証装置10及び無線端末30において生成される。以下、第3ネットワークスライスを用いた基地局20及び無線端末30間の無線通信においては、このように生成された第3秘密鍵が使用される。
一方、更新処理においては、上記したステップS22において特定された更新対象鍵(例えば、第1秘密鍵)を更新するための乱数が認証装置10から無線端末30に対して送信され、当該乱数に基づいて更新後の秘密鍵が生成される。なお、ステップS23において実行される更新処理は、更新対象鍵の更新に第3ネットワークスライス(新規なネットワークスライス)が用いられる点以外は前述した第1実施形態において説明した通りであるため、ここではその詳しい説明を省略する。
上記したように本実施形態においては、認証装置10(基地局20)と無線端末30との間に既に構築されている複数のネットワークスライス(第1及び第2ネットワークスライス)とは異なる第3ネットワークスライスが新たに構築された場合、第1乱数及び使用開始タイミング情報を、当該第3ネットワークスライスを用いて無線端末30に送信することによって、第1秘密鍵が更新される。
本実施形態においては、上記した構成により、第1ネットワークスライスを用いて実行される無線通信に影響を及ぼす(つまり、通信負荷を与える)ことなく、第3ネットワークスライスが新たに構築されるタイミングで第1秘密鍵を更新することが可能となる。
なお、前述した第1実施形態においては例えば第1秘密鍵を更新するために第2ネットワークスライスを用いる構成であるため、第1ネットワークスライスには通信負荷を与えないが、当該第2ネットワークスライスには通信負荷を与えることになる。一方、本実施形態においては、新たに構築された第3ネットワークスライス(つまり、基地局20と無線端末30との間の無線通信が開始されていないネットワークスライス)を用いて秘密鍵を更新する構成であるため、既に無線通信を開始しているネットワークスライスに通信負荷を与えることがない点で利点がある。
本実施形態においては新たに第3ネットワークスライスが構築されるタイミングで第1秘密鍵が更新されるが、新規なネットワークスライスが構築されない場合には、前述した図6に示す処理が実行されることによって第1秘密鍵(及び第2秘密鍵)を更新する構成としてもよい。
なお、本実施形態において第3ネットワークスライスを用いて更新される秘密鍵(つまり、更新対象鍵)は、1つであってもよいし、複数であってもよい。具体的には、上記したように本実施形態においては基地局20と無線端末30との間の無線通信(データ通信)が開始されていないネットワークスライスを用いて秘密鍵を更新する(つまり、基地局20と無線端末30との間の無線通信に影響を及ぼすことがない)構成であるため、更新対象鍵は、認証装置10(及び基地局20)と無線端末30との間に構築されている全てのネットワークスライスの秘密鍵であってもよい。
(第3実施形態)
次に、第3実施形態について説明する。なお、本実施形態に係る無線通信システム、認証装置及び無線端末の構成については、前述した第1実施形態と同様であるため、適宜、図1、図3及び図4等を用いて説明する。
ここで、前述した第1実施形態においては第2ネットワークスライスを用いて第1秘密鍵を更新するものとして説明したが、第2ネットワークスライスを用いて実行される無線通信に関する通信状況等によっては、当該第2ネットワークスライスを用いた第1秘密鍵の更新処理が成功しない(失敗する)場合がある。本実施形態は、例えば第1秘密鍵の更新が成功しない場合に、第2ネットワークスライスとは異なる他のネットワークスライスを再度選択して第1秘密鍵の更新処理を実行する点で、前述した第1実施形態とは異なる。
以下、図9のフローチャートを参照して、秘密鍵を更新する際の認証装置10の処理手順の一例について説明する。ここでは、前述した第1実施形態において説明した認証処理が実行されることによって認証装置10(情報保持部14)及び無線端末30(情報保持部33)において既に秘密鍵が保持されており、基地局20及び無線端末30間で当該秘密鍵を使用した無線通信が実行されているものとする。
まず、前述した図6に示すステップS11~S15に相当するステップS31~S35の処理が実行される。
次に、認証装置10に含まれる更新処理部12は、ステップS34またはS35の処理が実行された結果、秘密鍵(第1及び第2秘密鍵)の更新が成功したか否かを判定する(ステップS36)。なお、秘密鍵の更新処理においては前述した図2に示す認証処理と同様の処理が実行されるが、ステップS36においては、当該図2に示すような処理のシーケンスが最後まで到達しない場合に、秘密鍵の更新が成功していない(つまり、秘密鍵の更新が失敗した)と判定されるものとする。具体的には、更新処理において、例えばEAPレスポンスを無線端末30から正常に受信することができない場合には、更新対象鍵の更新が成功していないと判定されるものとする。
ステップS36において秘密鍵の更新が成功していないと判定された場合(ステップS36のNO)、更新処理部12は、ステップS32において選択されたネットワークスライス以外のネットワークスライスを再選択する(ステップS37)。
例えばステップS32において第2ネットワークスライスが選択されているものとすると、ステップS37においては、例えば第2ネットワークスライス(つまり、更新対象鍵の更新に失敗したネットワークスライス)以外のネットワークスライスの中から1つのネットワークスライスが選択される。
ステップS37の処理が実行されると、更新処理部12は、当該ステップS37において再選択されたネットワークスライスを用いて秘密鍵の更新処理を実行する(ステップS38)。秘密鍵の更新処理については前述した第1実施形態において説明した通りであるため、ここではその詳しい説明を省略する。
なお、ステップS34またはS35において実行される第1または第2更新処理において第1及び第2秘密鍵の更新処理が実行されている場合には、ステップS37において再選択されたネットワークスライスを用いて当該第1及び第2秘密鍵の更新処理が実行されればよいが、ステップS38においては、当該再選択されたネットワークスライスで使用される秘密鍵を更に更新してもよい。
また、図9には示されていないが、ステップS38の処理が実行されたとしても秘密鍵の更新が成功しない場合には、ステップS37に戻って処理が繰り返されてもよい。
一方、ステップS36において秘密鍵の更新が成功したと判定された場合、図9に示す処理は終了される。
上記したように本実施形態においては、例えば第1秘密鍵(及び第2秘密鍵)の更新が成功しない場合、当該更新に用いられたネットワークスライス(第2ネットワークスライス)とは異なるネットワークスライス(第3ネットワークスライス)を用いて第1乱数及び使用開始タイミング情報を無線端末30に送信する。
本実施形態においては、上記した構成により、第2ネットワークスライスを用いた第1秘密鍵の更新が失敗した場合であっても、第1ネットワークスライスを用いて実行される無線通信に影響を及ぼす(つまり、通信負荷を与える)ことなく、第3ネットワークスライスを用いて第1秘密鍵を更新することが可能となる。
以上述べた少なくとも1つの実施形態によれば、ネットワークスライスを適切に運用することが可能な認証装置、無線通信装置、無線通信システム、方法及びプログラムを提供することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
10…認証装置、11…認証処理部、12…更新処理部、13…通信部、14…情報保持部、20…基地局、30…無線端末(無線通信装置)、31…通信部、32…鍵生成部、33…情報保持部。

Claims (17)

  1. 無線通信装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する保持手段と、
    前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信する通信手段と
    を具備し、
    前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される
    認証装置。
  2. 前記通信手段は、前記第1乱数及び前記使用開始タイミング情報を前記無線通信装置に送信する際に、前記第2ネットワークスライスを用いて実行される無線通信に使用される第2秘密鍵を更新するための第2乱数を、前記第2ネットワークスライスを用いて前記無線通信装置に更に送信し、
    前記第2乱数に基づいて更新された第2秘密鍵は、前記保持手段に保持され、前記第2ネットワークスライスを用いて実行される前記基地局と前記無線通信装置との間の無線通信に使用される
    請求項1記載の認証装置。
  3. 前記通信手段は、前記第1秘密鍵に対して設定されている有効期限に基づく前記第1秘密鍵の更新タイミングに基づいて、前記第1乱数及び前記使用開始タイミング情報を送信する請求項1または2記載の認証装置。
  4. 前記通信手段は、前記第2ネットワークスライスを用いて実行される無線通信に使用される第2秘密鍵に対して設定されている有効期限に基づく前記第2秘密鍵の更新タイミングに基づいて、前記第1乱数及び前記使用開始タイミング情報を送信する請求項1または2記載の認証装置。
  5. 前記第1乱数及び前記使用開始タイミング情報を送信するために用いられる第2ネットワークスライスは、前記第1及び第2ネットワークスライスの各々を用いて実行される無線通信において許容される遅延時間に基づいて選択される請求項1~4のいずれか一項に記載の認証装置。
  6. 前記第1乱数及び前記使用開始タイミング情報を送信するために用いられる第2ネットワークスライスは、前記第1及び第2ネットワークスライスの各々を用いて実行される無線通信における通信量または最大通信量に基づいて選択される請求項1~4のいずれか一項に記載の認証装置。
  7. 前記使用開始タイミング情報は、前記第1秘密鍵に対して設定されている有効期限に基づいて算出される日時を含む請求項1~6のいずれか一項に記載の認証装置。
  8. 前記第1ネットワークスライスを用いて実行される無線通信において送信されるデータの各々には当該データの通し番号が付されており、
    前記使用開始タイミング情報は、前記更新された第1秘密鍵の使用を開始するデータの通し番号を含む
    請求項1~6のいずれか一項に記載の認証装置。
  9. 前記通信手段は、前記複数のネットワークスライスとは異なる第3ネットワークスライスが新たに構築された場合、前記第1乱数及び前記使用開始タイミング情報を、前記第2ネットワークスライスに代えて、前記第3ネットワークスライスを用いて前記無線通信装置に送信する請求項1記載の認証装置。
  10. 前記通信手段は、前記第1秘密鍵の更新が成功しない場合、前記第1乱数及び前記使用開始タイミング情報を、前記第2ネットワークスライスとは異なる第3ネットワークスライスを用いて前記無線通信装置に送信する請求項1~8のいずれか一項に記載の認証装置。
  11. 認証装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する保持手段と、
    前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記認証装置から受信する通信手段と
    を具備し、
    前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局との無線通信に使用される
    無線通信装置。
  12. 前記通信手段は、前記第1乱数及び前記使用開始タイミング情報を前記認証装置から受信する際に、前記第2ネットワークスライスを用いて実行される無線通信に使用される第2秘密鍵を更新するための第2乱数を、前記第2ネットワークスライスを用いて前記認証装置から更に受信し、
    前記第2乱数に基づいて更新された第2秘密鍵は、前記保持手段に保持され、前記第2ネットワークスライスを用いて実行される前記基地局との無線通信に使用される
    請求項11記載の無線通信装置。
  13. 認証装置と無線通信装置との間に複数のネットワークスライスが構築された無線通信システムにおいて、
    前記認証装置は、
    前記複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する第1保持手段と、
    前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信する第1通信手段と
    を含み、
    前記無線通信装置は、
    前記複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する第2保持手段と、
    前記第1乱数及び前記使用開始タイミング情報を受信する第2通信手段と
    を含み、
    前記第1乱数に基づいて更新された第1秘密鍵は、前記第1及び第2保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される
    無線通信システム。
  14. 認証装置が実行する方法であって、
    無線通信装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持手段に保持するステップと、
    前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信するステップと
    を具備し、
    前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される
    方法。
  15. 無線通信装置が実行する方法であって、
    認証装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持手段に保持するステップと、
    前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記認証装置から受信するステップと
    を具備し、
    前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局との無線通信に使用される
    方法。
  16. 認証装置のコンピュータによって実行されるプログラムであって、
    前記コンピュータに、
    無線通信装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持手段に保持するステップと、
    前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信するステップと
    を実行させ、
    前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される
    プログラム。
  17. 無線通信装置のコンピュータによって実行されるプログラムであって、
    前記コンピュータに、
    認証装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持手段に保持するステップと、
    前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記認証装置から受信するステップと
    を実行させ、
    前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局との無線通信に使用される
    プログラム。
JP2021135457A 2021-08-23 2021-08-23 認証装置、無線通信装置、無線通信システム、方法及びプログラム Active JP7434225B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021135457A JP7434225B2 (ja) 2021-08-23 2021-08-23 認証装置、無線通信装置、無線通信システム、方法及びプログラム
US17/679,869 US20230054227A1 (en) 2021-08-23 2022-02-24 Authentication device, wireless communication device, wireless communication system, method, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021135457A JP7434225B2 (ja) 2021-08-23 2021-08-23 認証装置、無線通信装置、無線通信システム、方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2023030369A JP2023030369A (ja) 2023-03-08
JP7434225B2 true JP7434225B2 (ja) 2024-02-20

Family

ID=85227626

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021135457A Active JP7434225B2 (ja) 2021-08-23 2021-08-23 認証装置、無線通信装置、無線通信システム、方法及びプログラム

Country Status (2)

Country Link
US (1) US20230054227A1 (ja)
JP (1) JP7434225B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239376A (ja) 2008-03-26 2009-10-15 Toshiba Corp 無線通信システム
WO2017188064A1 (ja) 2016-04-27 2017-11-02 日本電気株式会社 鍵導出方法、通信システム、通信端末、及び、通信装置
WO2018135524A1 (ja) 2017-01-17 2018-07-26 日本電気株式会社 通信システム、通信端末、amfエンティティ、及び通信方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111465012B (zh) * 2019-01-21 2021-12-10 华为技术有限公司 通信方法和相关产品
CN113784343B (zh) * 2020-05-22 2023-06-20 华为技术有限公司 保护通信的方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239376A (ja) 2008-03-26 2009-10-15 Toshiba Corp 無線通信システム
WO2017188064A1 (ja) 2016-04-27 2017-11-02 日本電気株式会社 鍵導出方法、通信システム、通信端末、及び、通信装置
US20200329372A1 (en) 2016-04-27 2020-10-15 Nec Corporation Key derivation method, communication system, communication terminal, and communication device
WO2018135524A1 (ja) 2017-01-17 2018-07-26 日本電気株式会社 通信システム、通信端末、amfエンティティ、及び通信方法
US20190373461A1 (en) 2017-01-17 2019-12-05 Nec Corporation Communication system, communication terminal, amf entity, and communication method

Also Published As

Publication number Publication date
JP2023030369A (ja) 2023-03-08
US20230054227A1 (en) 2023-02-23

Similar Documents

Publication Publication Date Title
US12021965B2 (en) Embedded universal integrated circuit card (eUICC) profile content management
US10498531B2 (en) Electronic subscriber identity module (eSIM) provisioning error recovery
RU2696208C1 (ru) Способ и устройство для аутентификации беспроводных устройств
US8838972B2 (en) Exchange of key material
EP2721854B1 (en) Authentication server and communication device
JP2020508017A (ja) サーバ及びユーザ装置間の通信を管理する方法
US11778458B2 (en) Network access authentication method and device
US20110078443A1 (en) Method and system for secure communications on a managed network
US20060185003A1 (en) Method and apparatus for optimal transfer of data in a wireless communications system
US20090240944A1 (en) Generation method and update method of authorization key for mobile communication
CN111699706B (zh) 用于通过蓝牙低能耗连接进行通信的主从系统
CN112672351A (zh) 无线局域网认证方法及装置、电子设备、存储介质
CN102170636A (zh) 用于计算共享加密密钥的方法和设备
CN108848495A (zh) 一种使用预置密钥的用户身份更新方法
JP2022529837A (ja) パラメータ送信方法及び装置
KR102269753B1 (ko) 컨소시엄 블록체인 네트워크에서의 프라이빗 키를 백업 및 복원하는 방법 및 장치
JP7434225B2 (ja) 認証装置、無線通信装置、無線通信システム、方法及びプログラム
WO2003056746A1 (en) Method for establishing connections between rf devices and system comprising such rf devices
US20220407845A1 (en) System and Method for Performing Secure Key Exchange
CN113315626B (zh) 一种通信方法、密钥管理方法、设备、系统及存储介质
CN111614739A (zh) 网络测量数据存储方法、装置和系统
CN113098688B (zh) 一种aka方法及装置
JP7390518B1 (ja) 管理装置および管理方法
EP3512229B1 (en) Network access authentication processing method and device
CN117375870A (zh) 一种主动标识载体、服务设备和系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230313

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240207

R151 Written notification of patent or utility model registration

Ref document number: 7434225

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151