本出願の明細書、特許請求の範囲、および添付の図面において、用語「第1の」、「第2の」、「第3の」、および「第4の」などは、異なる対象を区別することを意図されており、特定の順番を示すものではない。加えて、用語「含む」、「有する」、またはこれらの他の変種は、非排他的包含に該当することを意図されている。例えば、一連のステップまたはユニットを含むプロセス、方法、システム、製品、またはデバイスは、列挙されているステップまたはユニットに限定されず、任意選択で、列挙されていないステップまたはユニットをさらに含み、任意選択で、プロセス、方法、製品、またはデバイスの他の固有のステップまたはユニットをさらに含む。
本明細書で「実施形態」に言及していることは、実施形態を参照して説明されている特定の特性、構造、または特徴が、本出願の少なくとも1つの実施形態に含まれうることを意味する。本明細書の様々な箇所に示されている語句は、必ずしも同じ実施形態を指すとは限らず、他の実施形態とは相容れない独立したまたは任意選択の実施形態ではない。本明細書で説明されている実施形態が他の実施形態と組み合わされうることが、当業者によって明示的および暗黙的に理解される。
「複数の」は、2つのまたは2つより多くのを指す。「および/または」という用語は、関連付けられた対象を説明するための関連付け関係を説明しており、3つの関係が存在しうることを表す。例えば、Aおよび/またはBは、以下の3つのケース、すなわち、Aのみが存在するケース、AとBとの両方が存在するケース、およびBのみが存在するケースを表しうる。記号「/」は一般に、関連付けられた対象間の「または」関係を示す。
以下では、図1を例として使用して、本出願の実施形態における用語を説明する。
図1は、本出願の一実施形態によるAKMAネットワークアーキテクチャの概略図である。従来の第5世代移動通信技術(5th Generation Mobile Networks、5G)アーキテクチャと比較して、新しいネットワーク機能(Network Function、NF)、すなわちAKMAアンカー機能(AKMA Anchor Function、AAnF)100がAKMAネットワークアーキテクチャに追加されている。AAnFは、独立して配置されたNFであってもよいし、他のNFと一緒に配置されてもよい。AAnFは、AKMAアンカー鍵(KAKMA)をサポートしており、アプリケーション鍵(KAF)を生成するために使用される。加えて、図1の他の部分および本出願の実施形態におけるネットワーク機能は以下の通りである。
端末デバイス110は、ユーザ機器(User Equipment、UE)または端末などとも呼ばれうる。端末デバイスは、ワイヤレストランシーバ機能を有するデバイスであり、(無線)アクセスネットワーク((Radio)Access Network、(R)AN)120内のアクセスネットワークデバイスを使用して1つ以上のコアネットワーク(Core Network、CN)と通信しうる。屋内端末デバイス、屋外端末デバイス、ハンドヘルド端末デバイス、ウェアラブル端末デバイス、または車載端末デバイスを含む端末デバイスは陸上に配置されてもよい。代わりに、端末デバイスは、水面に、例えば蒸気船に配置されてもよい。代わりに、端末デバイスは、空中に、例えば飛行機、気球、または衛星に配置されてもよい。端末デバイスは、携帯電話(Mobile Phone)、タブレットコンピュータ(Pad)、ワイヤレストランシーバ機能を有するコンピュータ、仮想現実(Virtual Reality、VR)端末デバイス、拡張現実(Augmented Reality、AR)端末デバイス、産業用制御(Industrial Control)のワイヤレス端末、自動運転(self driving)のワイヤレス端末、遠隔医療(remote medical)のワイヤレス端末、スマートグリッド(smart grid)のワイヤレス端末、輸送安全性(transportation safety)のワイヤレス端末、スマートシティ(smart city)のワイヤレス端末、またはスマートホーム(smart home)のワイヤレス端末などでありうる。
(無線)アクセスネットワーク((Radio)Access Network、(R)AN)120は、特定のエリア内の許可されたユーザ機器にネットワークアクセス機能を提供するために使用され、ユーザ機器のレベルおよびサービス要求などに基づいて様々な品質の送信トンネルを使用しうる。例えば、(R)ANは、無線リソースを管理し、ユーザ機器にアクセスサービスを提供し、さらにユーザ機器とコアネットワーク(Core Network、CN)との間の制御情報および/またはデータ情報の転送を完了しうる。本出願の本実施形態におけるアクセスネットワークデバイスは、端末デバイスにワイヤレス通信機能を提供するデバイスであり、ネットワークデバイスとも呼ばれうる。例えば、アクセスネットワークデバイスは、5Gシステムの次世代ノードB(Next Generation Node Basestation、gNB)、ロングタームエボリューション(Long Term Evolution、LTE)の発展型ノードB(Evolved Node B、eNB)、無線ネットワークコントローラ(Radio Network Controller、RNC)、ノードB(node B、NB)、基地局コントローラ(Base Station Controller、BSC)、基地トランシーバ局(base transceiver station、BTS)、ホーム基地局(例えば、Home Evolved NodeB、またはHome Node B、HNB)、ベースバンドユニット(Base Band Unit、BBU)、送受信ポイント(Transmitting and Receiving Point、TRP)、送信ポイント(Transmitting Point、TP)、スモールセルデバイス(pico)、モバイルスイッチングセンタ、または将来のネットワークのネットワークデバイスなどを含みうる。アクセスネットワークデバイスの具体的なタイプは、本出願の本実施形態では限定されないことが理解されよう。異なる無線アクセス技術を使用するシステムでは、アクセスネットワークデバイスの機能を有するデバイスは異なる名称を有する場合がある。
アクセスおよびモビリティ管理機能(Access and Mobility Management Function、AMF)ネットワーク機能130は、主にモビリティ管理およびアクセス管理などに使用され、合法的傍受機能およびアクセス許可/認証機能などのモビリティ管理エンティティ(Mobility Management Entity、MME)機能のうちのセッション管理機能以外の機能を実施するために使用されうる。AMFネットワーク機能は、以下では簡単にAMFと呼ばれることが理解されよう。
認証サーバ機能(Authentication Server Function、AUSF)140は、サービスを認証し、鍵を生成し、ユーザ機器に対して双方向認証を実施するために使用され、統合認証フレームワークをサポートしている。本出願の本実施形態では、認証サーバ機能は、UEとネットワークとの間の相互認証を行い、その後の手順で使用するためのセキュリティ鍵を生成するように主に構成される。
アプリケーション機能(Application Function、AF)150は、アプリケーションの影響を受けるデータルーティングを行うこと、ネットワークエクスポージャ機能160へアクセスすること、またはポリシー制御を行うためのポリシーフレームワークと相互作用することなどに使用される。
ネットワークエクスポージャ機能(Network Exposure Function、NEF)160は、ネットワークケイパビリティを収集、分析、および再アセンブルし、ネットワークケイパビリティをオープンにするために使用される。AFは、NEFを使用して5Gコアネットワークにアクセスしうる。
統合データ管理(Unified Data Management、UDM)ネットワーク機能170は、ユーザ機器の識別情報、アクセス認証、登録、およびモビリティ管理などを処理するために使用されうる。UDMネットワーク機能は、以下では簡単にUDMと呼ばれることが理解されよう。
セキュリティアンカー機能(Security Anchor Function、SEAF)ネットワーク機能は、鍵KSEAFをUEと共有するために使用され、鍵は、任意の他の鍵、例えば、制御プレーン保護のための鍵および無線インターフェース保護のための鍵を導出するために使用される。そのとき、SEAFは安全な位置にあり、KSEAFはSEAFから離れることはないと想定される。したがって、UEがアイドル状態にあり、その後再びアクティブ化されるたびに、UEは、共有鍵を使用してアクセスを行いうる。これにより、再認証が回避される。SEAFは、独立して配置されてもよいし、AMFネットワーク機能130と一緒に配置されてもよい。
説明を容易にするために、本出願の実施形態では、アクセスおよびモビリティ管理機能AMFネットワーク機能130が説明のための例として使用される。さらに、AMFネットワーク機能130は簡単にAMFと呼ばれ、端末デバイス110はUEと呼ばれる。言い換えれば、本出願の実施形態では、以下で説明されるすべてのAMFは、アクセスおよびモビリティ管理ネットワーク機能に置き換えられえ、すべてのUEは端末デバイスに置き換えられうる。
図2は、本出願の一実施形態によるAKMA鍵アーキテクチャの図である。図2に示されているように、UEおよびネットワーク側は、一次認証を完了し、その後の手順で使用するためのセキュリティ鍵を生成する。一次認証は、ネットワーク側にあるAMF/SEAF、AUSF、およびUDMをさらに必要とする(本出願では、AMF/SEAFは、AMF、SEAF、またはSEAFおよびAMFを表す)。一次認証プロセスで生成されるセキュリティ鍵は、AUSFとUEとの間の共有鍵であるKAUSFを含む。さらに、UEおよびAUSFはそれぞれ、AKMA鍵KAKMAをさらに生成しえ、これにより、UEおよびAFは、KAKMAに基づいて生成されたKAFに基づいて、UEとAFとの間のトラフィック保護を行う。加えて、KIDは、KAKMAに対応する一意の鍵識別子である。
UEおよびAUSFがKAKMAおよびKIDを別々に取得した後、図3を参照されたい。図3は、本出願の一実施形態による、UEがAFにアクセスするときの鍵ネゴシエーションの概略図である。図3に示されているように、UEは、AFへのサービスセッション要求メッセージを開始する。サービスセッション要求メッセージはKIDを含む。サービスセッション要求メッセージを受信した後、AFは、KAFを取得するためにアプリケーション鍵要求メッセージをAAnFに送信し、アプリケーション鍵要求メッセージも受信されたKIDを含む。アプリケーション鍵要求を受信した後、AAnFは、KIDに対応するKAKMAに基づいて生成されたKAFがローカルに存在するかどうかをチェックする。KAFが存在する場合、AAnFはKAFをAFに送信する。KAFが存在しない場合、AAnFは、KIDに対応するKAKMAがローカルに存在するかどうかをチェックする。KAKMAが存在する場合、AAnFは、KAKMAに基づいてKAFを生成し、KAFをAFに送信する。KAKMAが存在しない場合、AAnFは、AKMA鍵要求メッセージをAUSFに送信し、AKMA鍵要求メッセージは受信されたKIDを搬送する。KIDを搬送するAKMA鍵要求メッセージを受信した後、AUSFは、KIDに対応するKAKMAをAAnFに返す。AAnFは、受信されたKAKMAに基づく計算によってKAFを取得し、KAFをAFに送信する。このようにして、AFおよびUEは、KAFに基づいて通信を保護しうる。
図2および図3に対応する説明から、UEおよびAUSFの各々はKAKMAおよびKIDを取得する必要があり、KAKMAおよびKIDに基づいてKAFを生成する前に、UEおよびAUSFの各々においてKAKMAおよびKIDが生成されたと決定される必要があることが知られうる。この問題を解決するために、図4Aを参照する。図4Aは、本出願の一実施形態による鍵取得方法の概略フローチャートである。図4Aに示されているように、本方法は以下のステップを含む。
401:AUSFは、アプリケーションの認証および鍵管理アンカー鍵KAKMAおよび/またはKAKMAの一意の鍵識別子KIDを取得する。
AUSFによってKAKMAおよび/またはKIDを取得するための方法は、AUSFが、KAKMAを生成するための関連パラメータ、例えばKAUSFを取得した後にKAKMAおよび/またはKIDを生成することであってもよい。
代わりに、AUSFによってKAKMAおよび/またはKIDを取得するための方法は、AMF/SEAFからKIDを取得し、次に、KIDに基づいてAUSFによってKAKMAを生成することであってもよい。
代わりに、AUSFによってKAKMAおよび/またはKIDを取得するための方法は、AMF/SEAFから第2の指示情報を取得することであってもよく、第2の指示情報は、KAKMAおよび/またはKIDを生成するようにAUSFに示すために使用される。AUSFは、第2の指示情報に基づいてKAKMAおよび/またはKIDを生成する。
代わりに、AUSFによってKAKMAおよび/またはKIDを取得するための方法は、UDMから第3の指示情報または第1の許可情報を取得することであってもよく、第3の指示情報は、KAKMAおよび/またはKIDを生成するようにAUSFに示すために使用され、第1の許可情報は、UEがAKMAサービスを使用できることを示すために使用される。AUSFは、第3の指示情報または第1の許可情報に基づいてKAKMAおよび/またはKIDを生成する。
本出願では、第3の指示情報と第1の許可情報とは同じ内容を表現し、交換して使用されうる。第3の指示情報は第1の許可情報であると考えられうる。
AUSFがAMF/SEAFからKIDまたは第2の指示情報を取得することは、AUSFが、AMF/SEAFによって送信された第1のメッセージを受信することであってもよく、第1のメッセージはKIDまたは第2の指示情報を含む。
AUSFがUDMから第3の指示情報または第1の許可情報を取得することは、AUSFが、UDMによって送信された第3のメッセージを受信することであってもよく、第3のメッセージは第3の指示情報または第1の許可情報を含む。
402:AUSFは第4の指示情報またはKIDをAMF/SEAFに送信し、第4の指示情報は、KAKMAおよび/またはKIDを生成するようにUEに示すために使用される。
AUSFが第4の指示情報またはKIDをAMF/SEAFに送信することは、AUSFが第4のメッセージをAMF/SEAFに送信することであってもよく、第4のメッセージは第4の指示情報またはKIDを含む。
403:第4の指示情報またはKIDを受信した後、AMF/SEAFは、受信されたKIDまたは第5の指示情報をUEに送信し、第5の指示情報は、KAKMAおよび/またはKIDを生成するようにUEに示すために使用される。
AMF/SEAFがKIDまたは第5の指示情報をUEに送信することは、AMF/SEAFが第5のメッセージをUEに送信することであってもよく、第5のメッセージはKIDまたは第5の指示情報を含む。
UEがKIDを受信した場合、UEは、KIDを記憶し、KAKMAを生成する。UEが第5の指示情報を受信した場合、UEはKIDおよび/またはKAKMAを生成する。
具体的には、図4Bを参照されたい。図4Bは、本出願の一実施形態による、KIDおよび/またはKAKMAを取得するための方法の概略フローチャートである。図4Bに示されているように、本方法では、AUSFはAMF/SEAFから第1のメッセージを受信する。第1のメッセージは、一次認証プロセスにおける認証サービス要求メッセージであり、第1のメッセージは、KIDまたは第2の指示情報を含む。AUSFは、第1のメッセージ、第1のメッセージ内のKID、または第1のメッセージ内の第1の指示情報に基づいてKIDおよび/またはKAKMAを取得する。具体的には、以下のステップが含まれる。
411:UEは登録要求メッセージをAMF/SEAFに送信し、登録要求メッセージはKIDまたは第1の指示情報を含む。
KIDを送信する前に、UEはKIDを生成する。
412:AMF/SEAFは第1のメッセージをAUSFに送信する。本実施形態では、第1のメッセージは、認証サービス要求メッセージ、例えば、Nausf_UEAuthentication_Authenticate Requestである。第1のメッセージは、KIDまたは第2の指示情報を含む。これに対応して、AUSFは第1のメッセージを受信する。
AMF/SEAFがKIDを受信した場合、AMF/SEAFは第1のメッセージにKIDを含める。AMF/SEAFが第1の指示情報を受信した場合、AMF/SEAFは第1のメッセージに第2の指示情報を含める。
第1の指示情報と第2の指示情報とは、同じ指示情報であっても異なる指示情報であってもよい。
413:AUSFは、UEの認証ベクトルを要求するために使用される認証サービス要求メッセージ(例えば、Nudm_UEAuthentication_Get Request)をUDMに送信する。これに対応して、UDMは認証サービス要求を受信する。
414:UDMは認証ベクトルをAUSFに送信する。AUSFは、UDMによって送信された認証ベクトルを受信する。
415:AUSFは、KAKMAおよび/もしくはKIDを生成するか、または第1のメッセージに含まれるKIDに基づいてKAKMAを生成するか、または第1のメッセージに含まれる第2の指示情報に基づいてKAKMAおよび/もしくはKIDを生成する。
AUSFは、AUSFがUDMによって送信された認証ベクトルを受信した後の任意の時点でKAKMAおよび/またはKIDを生成しうる。これは本発明では限定されない。
場合によっては、図4Bに示されているように、AMF/SEAFによってAUSFに送信される第1のメッセージは第2の指示情報を含み、第2の指示情報は、以下のうちの任意の1つ以上、すなわち、
AUSFがKAKMAおよび/またはKIDを生成すること、UEがAKMA機能をサポートしていること、UEがKAKMAおよび/またはKIDの生成を要求していること、UEがAKMA機能を使用できること、ならびにUEが3GPP(登録商標)サービスを使用できることのうちの任意の1つ以上を示すために使用される。
本出願において、「3GPPサービス」、「3GPPアプリケーション」、「アプリケーション」、および「サービス」はすべて同じ意味を表し、交換して使用されうる。
UEによってAMF/SEAFに送信される登録要求メッセージは第1の指示情報を含み、第1の指示情報は、以下のうちの任意の1つ以上、すなわち、
AUSFがKAKMAおよび/またはKIDを生成すること、UEがAKMA機能をサポートしていること、UEがKAKMAおよび/またはKIDの生成を要求していること、UEがAKMAサービスを使用できること、ならびにUEが3GPPサービスを使用できることのうちの任意の1つ以上を示すために使用される。
他の場合、図4Bに示されているように、AMF/SEAFによってAUSFに送信される第1のメッセージはKIDを含み、KIDは、UEによって生成され、登録要求メッセージを使用してAMF/SEAFに送信されうる。AMF/SEAFは受信されたKIDをAUSFに送信し、AUSFはKIDに基づいてKAKMAを生成する。
UEによって送信された登録要求メッセージを受信した後、AMF/SEAFは、AUSFに認証サービスを要求し、具体的には、AMF/SEAFは第1のメッセージをAUSFに送信する。AMF/SEAFによって送信された第1のメッセージを受信した後、AUSFはUDMに認証サービスを要求する。AUSFから認証サービス要求メッセージを受信した後、UDMは、認証方法を選択し、UEの認証ベクトルを生成し、UEの認証ベクトルをAUSFに送信する。
認証ベクトルは、乱数(RAND)、認証トークン(Authentication Token、AUTN)、中間暗号鍵(CK’)、中間完全性鍵(IK’)、および期待応答(Expected Response、XRES)を含みうる。認証ベクトルにおいて、中間暗号鍵CK’は暗号鍵(Encryption key、CK)および完全性鍵(Integrity Key、IK)に基づいて生成され、中間完全性鍵IK’も暗号鍵および完全性鍵に基づいて生成される。AUTNは、シーケンス番号(Sequence Number、SQN)と匿名鍵(Anonymity Key、AK)との排他的OR(すなわち、SQN xor AK)と、認証管理フィールド(Authentication Management Field、AMF)と、長期鍵(K)、RAND、SQN、およびAMFによって生成されるメッセージ認証コード(Message authentication code、MAC)とを含む。認証ベクトルの一部は、以下のうちの任意の1つ以上、すなわち、RAND、AUTN、CK、IK、CK’、IK’、XRES、AK、AMF、K、SQN、およびMACのうちの任意の1つ以上である。CK、IK、AK、およびXRESは、長期鍵(K)および乱数(RAND)に基づいて生成される。代わりに、認証ベクトルの一部は、RAND、AUTN、CK、IK、CK’、IK’、XRES、AK、AMF、K、SQN、およびMACのうちの任意の1つ以上に対して行われた任意の演算の結果であってもよい。演算は、排他的OR演算、連結演算、およびハッシュ演算などを含むが、これらに限定されない。
代わりに、認証ベクトルは、RAND、AUTN、KAUSF、および5G AKA期待応答(Authentication and Key Agreement Expected Response、XRES*)を含んでもよい。認証ベクトルにおいて、AUTNは、SQNとAKとの排他的OR(すなわち、SQN xor AK)と、AMFと、長期鍵(K)、RAND、SQN、およびAMFに基づいて生成されるMACとを含む。XRES*は、CK、IK、RAND、XRES、およびサービスネットワーク名(SN name)に基づいて生成される。KAUSFは、CK、IK、SQN xor AK、およびSN nameに基づいて生成される。認証ベクトルの一部は、以下のうちの1つ以上、すなわち、RAND、AUTN、KAUSF、XRES*、XRES、CK、IK、AK、AMF、K、SQN、MAC、およびSN nameのうちの1つ以上である。代わりに、認証ベクトルの一部は、RAND、AUTN、KAUSF、XRES*、XRES、CK、IK、AK、AMF、K、SQN、MAC、およびSN nameの任意の1つ以上に対して行われた任意の演算の結果であってもよい。演算は、排他的OR演算、連結演算、およびハッシュ演算などを含むが、これらに限定されない。
認証ベクトルを取得した後、AUSFは、認証ベクトルからKAUSFを取得するか、または認証ベクトルに基づいてKAUSFを生成する。AUSFは、KAKMAおよび/またはKIDを生成する。KAKMAおよび/またはKIDを生成するために使用されるパラメータは、以下のうちの任意の1つ以上、すなわち、
乱数(RAND)、SQN、カウント(Count)、認証ベクトル、および認証ベクトルの一部などを含むが、これらに限定されない鮮度パラメータ、
サブスクリプション永久識別子(Subscription Permanent Identifier、SUPI)、5Gグローバル一意一時識別子(5G Globally Unique Temporary Identifier、5G-GUTI)、サブスクリプション隠蔽識別子(Subscription Concealed Identifier、SUCI)、および汎用公開サブスクリプション識別子(Generic Public Subscription Identifier、GPSI)などを含むが、これらに限定されないUEの識別子、
KAUSF、KAKMA、暗号鍵CK、完全性鍵IK、匿名鍵AK、長期鍵K、ならびにKAUSF、KAKMA、CK、IK、AK、およびKのうちの任意の1つ以上によって生成される鍵、例えば、KAUSFに基づいて生成されるSEAF鍵KSEAFを含むが、これらに限定されない、UEとネットワーク側との間で共有される鍵、
UEの公開鍵、UEの秘密鍵、UEのホームネットワークの公開鍵、およびUEのホームネットワークの秘密鍵などを含むが、これらに限定されない公開鍵および秘密鍵、ならびに
公衆陸上移動体ネットワーク識別子(Public Land Mobile Network Identifier、PLMN ID)、モバイル国コード(MCC)、モバイルネットワークコード(MNC)、ルーティングインジケータ(Routing Indicator)、AUSFインスタンス識別子(AUSF Instance ID)、およびAUSFグループ識別子(AUSF Group ID)などを含むが、これらに限定されないAUSFのルーティング情報
のうちの任意の1つ以上を含む。
KAKMAおよび/またはKIDを生成した後、AUSFは、生成されたKAKMAおよび/または生成されたKIDをAAnFに送信する。
KIDを生成した後、AUSFは、生成されたKIDをAMF/SEAFに送信しえ(図4Bの416を参照されたい)、AMF/SEAFは、受信されたKIDをUEに送信する(図4Bの417を参照されたい)。AUSFは、第4のメッセージをAMF/SEAFに送信することによってKIDをAMF/SEAFに送信しえ、第4のメッセージはKIDを含む。本実施形態では、第4のメッセージは、認証サービス応答メッセージ、例えば、Nausf_UEAuthentication_Authenticate Responseである。AMF/SEAFは、第5のメッセージをUEに送信することによってKIDをUEに送信しえ、第5のメッセージはKIDを含む。本実施形態では、第5のメッセージは認証要求メッセージである。KIDを受信した後、UEは、KIDを記憶し、KAKMAを生成する。
KIDおよび/またはKAKMAを生成した後、AUSFは第4の指示情報をAMF/SEAFに送信しうる(図4Bの416を参照されたい)。第4の指示情報は、以下のうちの任意の1つ以上を示すために使用され、すなわち、KIDおよび/またはKAKMAを生成するようにUEに示すために使用される指示情報をUEに送信するようにAMF/SEAFに示すために使用され、KIDおよび/またはKAKMAを生成するようにUEに示すために使用され、AUSFがKIDおよび/またはKAKMAを生成したことをUEに通知するために使用され、UEがAKMA機能を使用できることを示すために使用され、ネットワーク側がAKMA機能をサポートしていることを示すために使用され、UEがサービスを使用できることを示すために使用される。AUSFは、第4のメッセージをAMF/SEAFに送信することによって第4の指示情報をAMF/SEAFに送信しえ、第4のメッセージは第4の指示情報を含む。本実施形態では、第4のメッセージは、認証サービス応答メッセージ、例えば、Nausf_UEAuthentication_Authenticate Responseである。第4の指示情報を受信した後、AMF/SEAFは第5の指示情報をUEに送信する(図4Bの417を参照されたい)。第5の指示情報は、以下のうちの任意の1つ以上を示すために使用され、すなわち、KIDおよび/またはKAKMAを生成するようにUEに示すために使用され、AUSFがKIDおよび/またはKAKMAを生成したことをUEに通知するために使用され、UEがAKMA機能を使用できることを示すために使用され、ネットワーク側がAKMA機能をサポートしていることを示すために使用され、UEがサービスを使用できることを示すために使用される。AMF/SEAFは、UEに送信される第5のメッセージを使用して第5の指示情報をUEに送信しえ、第5のメッセージは第5の指示情報を含む。第5のメッセージまたは第5の指示情報を受信した後、UEはKIDおよび/またはKAKMAを生成する。第4の指示情報と第5の指示情報とは、同じ指示情報であっても異なる指示情報であってもよい。第4の指示情報と第5の指示情報とは、同じ内容を示しても異なる内容を示してもよい。
本出願では、UEは、AUSFと同じパラメータおよび同じアルゴリズムを使用してKIDおよび/またはKAKMAを生成する。UEは、第5のメッセージまたは第5の指示情報を受信した後の任意の時点でKIDおよび/またはKAKMAを生成しうる。これは本出願では限定されない。
本出願の本実施形態では、UEは、KIDまたは第1の指示情報をAMF/SEAFに能動的に送信し、AMF/SEAFは、KIDをAUSFに転送するか、または第1の指示情報に基づいて第2の指示情報をAUSFに送信し、次に、AUSFは、KIDを取得するか、または第2の指示情報に基づいてKIDおよび/もしくはKAKMAを生成する。このプロセスでは、KIDおよび/またはKAKMAは、UEの要求に基づいて生成されうる。このようにして、KIDおよび/またはKAKMAは要求に基づいて生成される。これにより、不要なKIDおよび/または不要なKAKMAの生成が回避され、KIDおよび/またはKAKMAの記憶および管理が減少する。
場合によっては、AUSFは、UEの第1の許可情報を取得するために、UDMへの許可取得指示を開始する。次に、AUSFは、取得された第1の許可情報に基づいて、UEに対応するKAKMAおよび/またはKIDを生成する。
図4Cは、本出願の一実施形態による、KAKMAおよび/またはKIDを取得するための他の方法の概略フローチャートである。本方法では、AUSFはAMF/SEAFから第1のメッセージを受信する。本実施形態では、第1のメッセージは認証サービス要求メッセージ(例えば、Nausf_UEAuthentication_Authenticate Request)である。第1のメッセージを受信した後、AUSFは第2のメッセージをUDMに送信する。本出願の本実施形態では、第2のメッセージは、認証サービス要求メッセージ(例えば、Nudm_UEAuthentication_Get Request)であり、UDMにUEの認証ベクトルを要求するために使用される。第2のメッセージは、許可取得指示を含み、UEが第1の許可を有するかどうか決定するために、UDMから第1の許可情報を取得するためにAUSFによって使用される。UEが第1の許可を有する場合、KIDおよび/またはKAKMAが生成される。具体的には、以下のステップが含まれる。
421:UEは登録要求メッセージをAMF/SEAFに送信する。これに対応して、AMF/SEAFは、UEによって送信された登録要求メッセージを受信する。
422:AMF/SEAFは、UEの登録要求情報に基づいて認証サービス要求(第1のメッセージ)をAUSFに送信し、第1のメッセージは、UEの識別子、SUCI、またはSUPIを搬送する。これに対応して、AUSFは第1のメッセージを受信する。
423:AUSFは第2のメッセージをUDMに送信する。本実施形態では、第2のメッセージは認証サービス要求メッセージである。AUSFは、第2のメッセージに許可要求指示を含め、許可要求指示は、以下のうちの任意の1つ以上を示すために使用され、KIDおよび/またはKAKMAの生成を要求することを示すために使用され、AKMAサービスの使用を要求することを示すために使用され、3GPPサービスの使用を要求することを示すために使用され、UEがAKMA機能をサポートしていることを示すために使用され、AUSFがAKMA機能をサポートしていることを示すために使用され、UEが第1の許可を有するかどうかの問い合わせを要求することを示すために使用される。第1の許可は、以下のうちの任意の1つ以上、すなわち、UEがAKMA機能をサポートしていること、UEが3GPPサービスを使用できること、UEがAKMA機能を使用できること、ならびにKIDおよび/またはKAKMAがUEのために生成されうることのうちの任意の1つ以上である。これに対応して、UDMは、許可要求指示を含む第2のメッセージを受信する。UDMは、許可要求指示に基づいて第1の許可情報を取得する。
424:UDMは第2の応答メッセージをAUSFに送信する。
本実施形態では、第2の応答メッセージは認証サービス応答メッセージである。第2の応答メッセージは第1の許可情報を含み、第1の許可情報は、以下のうちの任意の1つ以上、すなわち、UEがAKMAを使用できること、KIDおよび/またはKAKMAがUEのために生成されること、UEが3GPPサービスを使用できること、UEがAKMAをサポートしていることのうちの任意の1つ以上を含む。
425:AUSFは、第1の許可情報または第2の応答メッセージに基づいてKAKMAおよび/またはKIDを生成する。
KAKMAおよび/またはKIDを生成するために使用されるパラメータは、図4Bで説明されており、ここでは詳細は再び説明されない。
AUSFは、第1の許可情報または第2の応答メッセージを受信した後、いつでもKAKMAおよび/またはKIDを生成しうる。これは本出願では限定されない。
許可要求指示を受信した後、UDMは、UEの関連データに基づいて第1の許可情報をAUSFに返す。
場合によっては、AUSFは、以下の事実のうちの任意の1つ以上、すなわち、AUSFがAMF/SEAFによって送信された第1のメッセージを受信したという事実、AUSFがAMF/SEAFによって送信された第1のメッセージを受信し、第1のメッセージが第2の指示情報またはKIDを含むという事実のうちの任意の1つ以上に基づいて、許可要求指示をUDMに送信しうる。この場合、AMF/SEAFが第1のメッセージをAUSFに送信するとき、第1のメッセージは第2の指示情報またはKIDを含む。AMF/SEAFが第2の指示情報、KID、第2の指示情報を含む第1のメッセージ、またはKIDを含む第1のメッセージをAUSFに送信することは、AMF/SEAFがUEによって送信された第1の指示情報またはKIDを受信するという事実に基づきうる。この場合、UEは登録要求メッセージをAMF/SEAFに送信し、登録要求メッセージは第1の指示情報またはKIDを搬送する。第1のメッセージ、第2の指示情報、および第1の指示情報の説明については、図4Bの説明を参照されたい。ここでは詳細は再び説明されない。
KAKMAおよび/またはKIDを生成した後、AUSFは、生成されたKAKMAおよび/または生成されたKIDをAAnFに送信する。
426:図4Bの416の説明を参照されたく、ここでは詳細は再び説明されない。
427:図4Bの417の説明を参照されたく、ここでは詳細は再び説明されない。
本出願の本実施形態では、AUSFは、第1の許可情報を取得するために、許可取得指示をUDMに能動的に送信し、第1の許可情報は、UEがアプリケーションの認証および鍵管理AKMAサービスを使用できることを示すために使用される。次に、AUSFは、取得された第1の許可情報に基づいてKAKMAおよび/またはKIDを生成する。これにより、KAKMAおよび/またはKIDの生成が許可されていることが保証され、許可されていないKAKMAおよび/または許可されていないKIDの生成が回避されうる。
任意選択の実施形態において、図4Dを参照されたい。図4Dは、本出願の一実施形態による、KIDおよび/またはKAKMAを取得するための他の方法の概略フローチャートである。本方法では、AUSFはAMF/SEAFから第1のメッセージを受信する。第1のメッセージは、KIDまたは第2の指示情報を含む。本実施形態では、第1のメッセージは認証サービス要求(例えば、Nausf_UEAuthentication_Authenticate Request)であり、認証サービス要求は応答RESまたは5G AKA応答RES*を含む。第1のメッセージを受信した後、AUSFは第2のメッセージをUDMに送信する。本実施形態では、第2のメッセージは認証結果確認要求メッセージ(例えば、Nudm_UEAuthentication_ResultConfirmation Request)である。第2のメッセージは、許可取得指示を含みえ、UDMから第1の許可情報を取得し、第1の許可情報に基づいてKIDおよび/またはKAKMAを生成するためにAUSFによって使用される。図4Dに示されているように、本方法は以下のステップを含む。
431:UEは認証応答メッセージをAMF/SEAFに送信し、認証応答メッセージは応答RESまたはRES*を搬送し、認証応答メッセージはKIDまたは第1の指示情報を含む。これに対応して、AMF/SEAFは、UEによって送信された、KIDまたは第1の指示情報を含む認証応答メッセージを受信する。UEは、KIDを送信する前にKIDを生成する。
432:AMF/SEAFは第1のメッセージをAUSFに送信する。第1のメッセージは、受信された認証応答RESまたはRES*を含む。AMF/SEAFがUEからKIDを受信した場合、AMF/SEAFは第1のメッセージにKIDを含める。AMF/SEAFがUEから第1の指示情報を受信した場合、AMF/SEAFは第1のメッセージに第2の指示情報を含める。本実施形態では、第1のメッセージは認証サービス要求メッセージである。
これに対応して、AUSFは、AMF/SEAFによって送信された、KIDまたは第2の指示情報を含む第1のメッセージを受信する。
433:AUSFは、受信されたRESまたはRES*を検証する。
434:検証が成功した後、AUSFはKAKMAおよび/またはKIDを生成する。代わりに、検証が成功した後、AUSFは、第2の指示情報またはKIDに基づいてKAKMAおよび/またはKIDを生成する。KAKMAおよび/またはKIDを生成するためにAUSFによって使用されるパラメータは、図4Bで説明されており、ここでは詳細は再び説明されない。
AUSFは、AUSFがRESまたはRES*の検証に成功した後、いつでもKAKMAおよび/またはKIDを生成しうる。これは本出願では限定されない。
UEが、応答RESまたはRES*を搬送する認証応答メッセージをAMF/SEAFに送信するとき、メッセージは第1の指示情報またはKIDを含む。第1の指示情報は、以下のうちの任意の1つ以上、すなわち、AUSFがKAKMAおよび/またはKIDを生成すること、UEがAKMA機能をサポートしていること、UEがKAKMAおよび/またはKIDの生成を要求していること、UEがAKMAサービスを使用できること、ならびにUEが3GPPサービスを使用できることのうちの任意の1つ以上を示すために使用される。
UEによって送信された認証応答メッセージを受信した後、AMF/SEAFは第1のメッセージをAUSFに送信する。第1のメッセージは、KIDまたは第2の指示情報を含む。第2の指示情報は、以下のうちの任意の1つ以上、すなわち、AUSFがKAKMAおよび/またはKIDを生成すること、UEがAKMA機能をサポートしていること、UEがKAKMAおよび/またはKIDの生成を要求していること、UEがAKMAサービスを使用できること、ならびにUEが3GPPサービスを使用できることのうちの任意の1つ以上を示すために使用される。
第1の指示情報と第2の指示情報とは、同じ指示情報であっても異なる指示情報であってもよい。
応答RESまたはRES*に対する検証が成功した後、AUSFは、KAKMAおよび/もしくはKIDを生成するか、または受信されたKIDに基づいてKAKMAを生成するか、または受信された第2の指示情報もしくは受信された第1のメッセージに基づいてKAKMAおよび/もしくはKIDを生成する。
代わりに、図4Dに示されているように、本方法は以下のステップをさらに含みうる。
434:RESまたはRES*を検証した後、AUSFは第2のメッセージをUDMに送信し、第2のメッセージは許可取得指示を含む。第2のメッセージは、認証結果確認要求メッセージであってもよい。これに対応して、UDMは、許可取得指示を含む第2のメッセージを受信する。許可取得指示は、以下のうちの任意の1つ以上、すなわち、KIDおよび/またはKAKMAの生成を要求すること、AKMAサービスの使用を要求すること、3GPPサービスの使用を要求すること、UEがAKMA機能をサポートしていること、AUSFがAKMA機能をサポートしていること、ならびにUEが第1の許可を有するかどうかの問い合わせを要求することのうちの任意の1つ以上を示すために使用される。第1の許可は、以下のうちの任意の1つ以上、すなわち、UEがAKMA機能をサポートしていること、UEが3GPPサービスを使用できること、UEがAKMA機能を使用できること、ならびにKIDおよび/またはKAKMAがUEのために生成されうることのうちの任意の1つ以上である。これに対応して、UDMは、許可取得指示を含む第2のメッセージを受信する。
435:UDMは、許可取得指示に基づいて第1の許可情報をAUSFに送信し、第1の許可情報は、以下のうちの任意の1つ以上、すなわち、UEがAKMAを使用できること、KIDおよび/またはKAKMAがUEのために生成されうること、UEが3GPPサービスに加入していること、ならびにUEがAKMAをサポートしていることのうちの任意の1つ以上を示すために使用される。これに対応して、AUSFは、UDMから第1の許可情報を受信する。UDMは第1の許可情報をAUSFに送信し、AUSFに送信された第2のメッセージ応答は第1の許可情報を含みうる。第2のメッセージ応答は、認証結果確認応答メッセージ(例えば、Nudm_UEAuthentication_ResultConfirmation Response)であってもよい。
436:AUSFは、受信された第1の許可情報に基づいてKAKMAおよび/またはKIDを生成する。KAKMAおよび/またはKIDを生成するためにAUSFによって使用される方法およびパラメータは、図4Bで説明されており、ここでは詳細は再び説明されない。
AUSFは、AUSFが第1の許可情報を取得した後、いつでもKAKMAおよび/またはKIDを生成しうる。これは本出願では限定されない。
KAKMAおよび/またはKIDを生成した後、AUSFは、生成されたKAKMAおよび/または生成されたKIDをAAnFに送信する。
KIDを生成した後、AUSFは、生成されたKIDをAMF/SEAFに送信しえ(図4Dの437を参照されたい)、AMF/SEAFは、受信されたKIDをUEに送信する(図4Dの438を参照されたい)。AUSFは、第4のメッセージをAMF/SEAFに送信することによってKIDをAMF/SEAFに送信しえ、第4のメッセージはKIDを含む。本実施形態では、第4のメッセージは、認証サービス応答メッセージ、例えば、Nausf_UEAuthentication_Authenticate Responseである。AMF/SEAFは、第5のメッセージをUEに送信することによってKIDをUEに送信しえ、第5のメッセージはKIDを含む。本実施形態では、第5のメッセージは、N1メッセージ(例えば、認証結果メッセージまたは非アクセス層セキュリティモードコマンドメッセージ)である。KIDを受信した後、UEは、KIDを記憶し、KAKMAを生成する。
KIDおよび/またはKAKMAを生成した後、AUSFは第4の指示情報をAMF/SEAFに送信しうる(図4Dの図437を参照されたい)。第4の指示情報は、以下のうちの任意の1つ以上を示すために使用され、すなわち、KIDおよび/またはKAKMAを生成するようにUEに示すために使用される指示情報をUEに送信するようにAMF/SEAFに示すために使用され、KIDおよび/またはKAKMAを生成するようにUEに示すために使用され、AUSFがKIDおよび/またはKAKMAを生成したことをUEに通知するために使用され、UEがAKMA機能を使用できることを示すために使用され、ネットワーク側がAKMA機能をサポートしていることを示すために使用され、UEがサービスを使用できることを示すために使用される。AUSFは、第4のメッセージをAMF/SEAFに送信することによって第4の指示情報をAMF/SEAFに送信しえ、第4のメッセージは第4の指示情報を含む。本実施形態では、第4のメッセージは、認証サービス応答メッセージ、例えば、Nausf_UEAuthentication_Authenticate Responseである。第4の指示情報を受信した後、AMF/SEAFは第5の指示情報をUEに送信する(図4Dの図438を参照されたい)。第5の指示情報は、以下のうちの任意の1つ以上を示すために使用され、すなわち、KIDおよび/またはKAKMAを生成するようにUEに示すために使用され、AUSFがKIDおよび/またはKAKMAを生成したことをUEに通知するために使用され、UEがAKMA機能を使用できることを示すために使用され、ネットワーク側がAKMA機能をサポートしていることを示すために使用され、UEがサービスを使用できることを示すために使用される。AMF/SEAFは、UEに送信される第5のメッセージを使用して第5の指示情報をUEに送信しえ、第5のメッセージは第5の指示情報を含む。本実施形態では、第5のメッセージは、N1メッセージ(例えば、認証結果メッセージまたは非アクセス層セキュリティモードコマンドメッセージ)である。第5の指示情報または第5のメッセージを受信した後、UEはKIDおよび/またはKAKMAを生成する。第4の指示情報と第5の指示情報とは、同じ指示情報であっても異なる指示情報であってもよい。第4の指示情報と第5の指示情報とは、同じ内容を示してもよい。
場合によっては、UDMは、代わりに、KIDおよび/またはKAKMAを生成するようにAUSFをトリガするために、第3のメッセージをAUSFに送信してもよい。図4Eは、本出願の一実施形態による、KIDおよび/またはKAKMAを取得するための他の方法の概略フローチャートである。図4Eに示されているように、本方法は以下のステップを含む。
451:AUSFは、受信された認証サービス要求に基づいて、認証サービス要求メッセージ、例えばNudm_UEAuthentication_Get RequestをUDMに送信し、認証サービス要求は、認証ベクトルの取得を要求するために使用される。これに対応して、UDMは認証サービス要求メッセージを受信する。
452:UDMは第3のメッセージをAUSFに送信する。UDMは、第3のメッセージに第1の許可情報を含め、第1の許可情報は、以下のうちの任意の1つ以上、すなわち、UEがAKMAを使用できること、KIDおよび/またはKAKMAがUEのために生成されること、UEが3GPPサービスを使用できること、ならびにUEがAKMAをサポートしていることのうちの任意の1つ以上を示すために使用される。本実施形態では、第3のメッセージは、認証サービス応答メッセージ、例えば、Nudm_UEAuthentication_Get Responseである。
これに対応して、AUSFは、UDMによって送信された、第1の許可情報を含む第3のメッセージを受信する。
453:AUSFは、第1の許可情報または第3のメッセージに基づいてKAKMAおよび/またはKIDを生成する。KAKMAおよび/またはKIDを生成するためにAUSFによって使用される方法およびパラメータは、図4Bで説明されており、ここでは詳細は再び説明されない。AUSFは、第3のメッセージまたは第1の許可情報を受信した後の任意の時点でKAKMAおよび/またはKIDを生成しうる。これは本出願では限定されない。
KAKMAおよび/またはKIDを生成した後、AUSFは、生成されたKAKMAおよび/または生成されたKIDをAAnFに送信する。
454:図4Bの416の説明を参照されたく、ここでは詳細は説明されない。
455:図4Bの417の説明を参照されたく、ここでは詳細は説明されない。
本出願の本実施形態では、UDMは、UEの第1の許可情報を能動的に取得し、第1の許可情報をAUSFに送信し、これにより、AUSFは、第1の許可情報に基づいてKAKMAおよび/またはKIDを生成する。これにより、AUSFが許可に基づいてKAKMAおよび/またはKIDを生成することが保証され、許可されていないKAKMAおよび/または許可されていないKIDの生成が回避される。
代わりに、場合によっては、UDMはまた、KIDおよび/またはKAKMAを生成するようにAUSFをトリガするために、第1の許可情報をAUSFに送信する。UDMによってAUSFに送信される第3の情報は第1の許可情報を含むが、第3の情報は認証結果確認応答情報である。詳細については、図4Fを参照されたい。図4Fは、本出願の一実施形態による、KIDおよび/またはKAKMAを取得するための他の方法の概略フローチャートである。図4Fに示されているように、本方法は以下のステップを含む。
461:AMF/SEAFは、RESまたはRES*を搬送する認証サービス要求メッセージをAUSFに送信する。AUSFは、AMF/SEAFによって送信された認証サービス要求メッセージを受信し、AUSFはRESまたはRES*を検証する。
462:AUSFは、UEの認証結果をUDMに通知するために、認証結果確認要求メッセージ、例えば、Nudm_UEAuthentication_ResultConfirmation RequestをUDMに送信する。
463:UDMは第3のメッセージをAUSFに送信し、第3のメッセージは第1の許可情報を含む。第1の許可情報は、以下のうちの任意の1つ以上、すなわち、UEがAKMAを使用できること、KIDおよび/またはKAKMAがUEのために生成されること、UEが3GPPサービスを使用できること、ならびにUEがAKMA機能をサポートしていることのうちの任意の1つ以上を示すために使用される。本実施形態では、第3のメッセージは、認証結果確認応答メッセージ、例えば、Nudm_UEAuthentication_ResultConfirmation Responseである。これに対応して、AUSFは、第1の許可情報を含む第3のメッセージを受信する。
464:AUSFは、第1の許可情報または第3のメッセージに基づいてKAKMAおよび/またはKIDを生成する。KAKMAおよび/またはKIDを生成するためにAUSFによって使用される方法およびパラメータは、図4Bで説明されており、ここでは詳細は再び説明されない。AUSFは、第3のメッセージまたは第1の許可情報を受信した後の任意の時点でKAKMAおよび/またはKIDを生成しうる。これは本出願では限定されない。
KAKMAおよび/またはKIDを生成した後、AUSFは、生成されたKAKMAおよび/または生成されたKIDをAAnFに送信する。
465:図4Dの437の説明を参照されたく、ここでは詳細は説明されない。
466:図4Dの438の説明を参照されたく、ここでは詳細は説明されない。
図4Bから図4Fの実施形態では、AMF/SEAFは、第1のメッセージをAUSFに送信することによってKIDまたは第2の指示情報をAUSFに送信し、第1のメッセージは第2の指示情報を含む。第1のメッセージは、認証サービス要求メッセージでありうる。第1のメッセージのタイプは、前述の実施形態で言及された内容に限定されないことに留意されたい。代わりに、第1のメッセージは、AMF/SEAFとAUSFとの間の任意の他の既存の通信メッセージであってもよいし、AMF/SEAFとAUSFとの間の新たに確立された通信メッセージであってもよい。
図4Bから図4Fの実施形態では、AUSFは、第2のメッセージを送信することによって許可取得指示をUDMに送信し、第2のメッセージは許可取得指示を含む。第2のメッセージは、認証サービス要求メッセージであってもよいし、認証結果確認要求メッセージであってもよい。第2のメッセージのタイプは、前述の実施形態で言及された内容に限定されないことに留意されたい。代わりに、第2のメッセージは、AUSFとUDMとの間の任意の他の既存の通信メッセージであってもよいし、AUSFとUDMとの間の新たに確立された通信メッセージであってもよい。
図4Bから図4Fの実施形態では、UDMは、第3のメッセージをAUSFに送信することによって第1の許可情報をAUSFに送信し、第3のメッセージは第1の許可情報を含む。第3のメッセージは、認証サービス応答メッセージであってもよいし、認証結果確認応答メッセージであってもよい。第3のメッセージのタイプは、前述の実施形態で言及された内容に限定されないことに留意されたい。代わりに、第3のメッセージは、UDMとAUSFとの間の任意の他の既存の通信メッセージであってもよいし、AUSFとUDMとの間の新たに確立された通信メッセージであってもよい。
図4Bから図4Fの実施形態では、KAKMAおよびKIDを取得した後、AUSFは、第4のメッセージをAMF/SEAFに送信し、第4のメッセージはKIDまたは第4の指示情報を含む。AMF/SEAFは、第5のメッセージをUEに送信し、第5のメッセージはKIDまたは第5の指示情報を含む。第4のメッセージは、図4Bおよび図4Cに示されている、AUSFによってAMF/SEAFに送信される認証サービス応答メッセージであってもよく、第5のメッセージは、AMF/SEAFによってUEに送信される認証要求メッセージであってもよい。代わりに、第4のメッセージは、図4Dに示されている認証サービス応答メッセージであってもよく、第5のメッセージはN1メッセージ、例えば、認証結果メッセージまたは非アクセス層セキュリティモードコマンドメッセージであってもよい。第4のメッセージのタイプは、前述の実施形態で言及された内容に限定されないことに留意されたい。代わりに、第4のメッセージは、AMF/SEAFとAUSFとの間の他の既存の通信メッセージであってもよいし、AMF/SEAFとAUSFとの間の新たに確立された通信メッセージであってもよい。第5のメッセージのタイプは、前述の実施形態で言及された内容に限定されない。代わりに、第5のメッセージは、AMF/SEAFとUEとの間の任意の他の既存のN1メッセージであってもよいし、AMF/SEAFとUEとの間の新たに確立されたN1メッセージであってもよい。
本出願の実施形態では、AUSFまたはUEは、AKMA鍵KAKMAおよび/またはKIDを取得し、AKMA鍵はKAFを生成するために使用されることが知られうる。本発明は、AKMA鍵KAKMAおよび/またはKIDを取得するためにAUSFまたはUEによって使用される方法およびパラメータ、ならびにAUSFまたはUEがKAKMAおよび/またはKIDを取得するトリガ条件および機会を開示する。
UEは、2者間の通信を確立するためにAFへのサービスセッション要求を開始する。このプロセスでは、UEに対して識別情報認証がさらに行われうる。具体的には、図5を参照されたい。図5は、本出願の一実施形態によるUE識別情報認証方法の概略フローチャートである。図5に示されているように、本方法は以下のステップを含む。
501:UEはサービスセッション確立要求をAFに送信し、サービスセッション確立要求はKIDおよびTokenを含む。
本出願の本実施形態では、サービスセッション要求は、トークンTokenを含む。Tokenは、UEの識別情報またはアプリケーションユーザの識別情報を検証するために使用される。UEがTokenをAFに送信する場合、UEは、Tokenを送信する前に、Tokenを取得または生成する。
可能な方法では、サービスセッション要求は、アプリケーションユーザ識別子(User Identifier、User-ID)および/またはUE識別子(UE Identifier、UE-ID)をさらに含みうる。User-IDは、AFにアクセスするためにアプリケーションユーザによって使用される識別情報であり、アプリケーションユーザを識別するためにAFによって使用される。UE-IDは、UEがネットワークにアクセスするときに使用される識別情報であり、UEを識別するためにネットワーク側(例えば、AUSF、UDM、またはAAnF)によって使用される。本出願では、User-IDは、GPSIおよびユーザ名などを含むが、これらに限定されない。UE-IDは、UEのSUPI、5G-GUTI、SUCI、およびGPSIなどを含むが、これらに限定されない。
可能な方法では、サービスセッション要求はTokenを含み、TokenはUser-IDおよび/またはUE-IDを含む。
502:AFは、KAFを取得するためにアプリケーション鍵要求をAAnFに送信し、鍵要求はKIDおよびTokenを含む。
AFがUEからTokenを受信した場合、AFは以下の動作のいずれか1つを行う。
AFは受信されたTokenを検証し、検証が成功した後、AFは、KAFを取得するためにアプリケーション鍵要求をAAnFに送信し、鍵要求はKIDを含む。
AFは、KAFを取得するためにアプリケーション鍵要求をAAnFに送信し、鍵要求は、KIDおよび受信されたTokenを含む。
可能な方法では、AFは、受信されたUser-IDに基づいて、サービスを要求するアプリケーションユーザを識別する。
可能な方法では、AFは、代わりに、受信されたUser-IDおよび/または受信されたUE-IDをアプリケーション鍵要求に含めてもよい。
503:AAnFは、KAKMA
を取得するためにAKMA鍵要求をAUSFに送信し、AKMA鍵要求は、KIDおよびTokenを含む。
AAnFがAKMA鍵要求をAUSFに送信する前に、AAnFは、受信されたKIDに含まれるAUSFルーティング情報に基づいてAUSFを選択する必要がある。
AAnFがAFからTokenを受信した場合、AAnFは、以下の動作のいずれか1つをさらに行う。
AAnFは受信されたTokenを検証し、検証が成功した後、AFは、KAFを取得するためにアプリケーション鍵要求をAUSFに送信し、鍵要求はKIDを含む。
AFは、KAFを取得するためにアプリケーション鍵要求をAAnFに送信し、鍵要求は、KIDおよび受信されたTokenを含む。
AAnFがUser-IDおよび/またはUE-IDを受信した場合、AAnFは、受信されたUser-IDおよび/または受信されたUE-IDをAKMA鍵要求に含める。
504:AUSFがTokenを受信した場合、AUSFは受信されたTokenを検証するか、またはAUSFはTokenをUDMに送信し、UDMは受信されたTokenを検証する。
AUSFは、受信されたTokenを検証し、AUSFおよびUEによって共有される鍵情報を使用してTokenを検証しうる。AUSFおよびUEによって共有される鍵情報は、以下のうちの任意の1つ以上、すなわち、KAUSF、KAKMA、暗号鍵CK、完全性鍵IK、長期鍵K、ならびに暗号鍵CKおよび/または完全性鍵IKに基づいて生成された鍵、認証ベクトル、ならびに認証ベクトルの一部などのうちの任意の1つ以上でありうる。受信されたTokenを検証する前に、AUSFは、要求を開始したUEまたはアプリケーションユーザを識別する必要がありうる。AUSFは、以下の方法のいずれかでUEまたはアプリケーションユーザを識別しうる。
AUSFは、受信されたKIDに基づいてUEを識別し、UEのUE-IDおよび/またはUser-IDを取得する。
AUSFは、Tokenに含まれるUE-IDまたはUser-IDを取得する。
AUSFは、取得されたUE-IDおよび/または取得されたUser-IDをUDMに送信しうる。
AUSFがTokenをUDMに送信することは、AUSFが第xのメッセージをUDMに送信することでありえ、第xのメッセージはTokenを含む。UDMは、Tokenを含む第xのメッセージを受信し、Tokenを検証し、Tokenの検証結果をAUSFに返す。UDMは、UDMによって第xの応答メッセージをAUSFに送信することによって、Tokenの検証結果をAUSFに送信しえ、第xの応答メッセージは検証結果を含む。受信されたTokenを検証する前に、UDMは、要求を開始したUEまたはアプリケーションユーザを識別する必要がありうる。UDMは、以下の方法のいずれかでUEまたはアプリケーションユーザを識別しうる。
UDMは、Tokenに含まれるUE-IDまたはUser-IDに基づいてUEまたはアプリケーションユーザを識別する。
UDMは、AUSFから受信されたUE-IDまたはUser-IDに基づいてUEまたはアプリケーションユーザを識別する。
UDMは、UDMおよびUEによって共有される鍵情報を使用してTokenを検証しうる。UDMおよびUEによって共有される鍵情報は、以下のうちの任意の1つ以上、すなわち、KAUSF、KAKMA、暗号鍵CK、完全性鍵IK、長期鍵K、ならびに暗号鍵CKおよび/または完全性鍵IKに基づいて生成された鍵、認証ベクトル、ならびに認証ベクトルの一部などのうちの任意の1つ以上でありうる。代わりに、UDMは、UEの公開鍵、UEの秘密鍵、ホームネットワークの公開鍵、またはホームネットワークの秘密鍵などを使用してTokenを検証してもよい。
UDMは、UEのUser-IDおよび/またはUE-IDをAUSFに送信しうる。
505:AUSFは、受信されたKIDに基づいて、対応するKAKMAを取得または生成する。代わりに、AUSFがTokenの検証に成功した場合、AUSFは、受信されたKIDに基づいて、対応するKAKMAを取得または生成する。代わりに、AUSFが、UDMによって送信された、Tokenに対する検証が成功したことを示す検証結果を受信した場合、AUSFは、受信されたKIDに基づいて、対応するKAKMAを取得または生成する。AUSFは、AKMA鍵応答にKAKMAを含め、AKMA鍵応答をAAnFに送信する。
AUSFがKAKMAをAAnFに送信するとき、AUSFはUser-IDまたはUE-IDをAAnFにさらに送信しえ、言い換えれば、AUSFは、UE-IDまたはUser-IDをAKMA鍵応答に含める。
AAnFは、受信されたUE-IDまたは受信されたUser-IDをAFに送信する。
このプロセスでは、UEの識別情報を決定するために、AF、AAnF、AUSF、またはUDMを使用してUEまたはアプリケーションユーザに対して識別情報認証が行われる。AUSFは、KAKMA
をAAnFに送信し、これにより、AAnFは、KAKMA
に基づいて、AFに対応するアプリケーション鍵KAFを生成し、KAFは、UEとAFとの間のトラフィック保護に使用される。
本実施形態では、Tokenは、UEまたはアプリケーションユーザを認証するために使用される。場合によっては、代わりに、他の認証方式、例えばKID、ダイジェスト(digest)、またはメッセージ認証コード(Message Authentication Code、MAC)が使用されてもよい。図5に示されているように、KIDが例として使用される。
AAnFによって送信されたKIDを受信した後、AUSFは、KIDを検証するか、またはKIDをUDMに送信する。KIDを受信した後、UDMは、KIDを検証し、検証結果をAUSFに返す。AUSFがKIDの検証に成功した場合、またはAUSFが、UDMによって送信された、KIDに対する検証が成功したことを示す検証結果を受信した場合、AUSFはKAKMAをAAnFに送信する。
AUSFは、AUSFおよびUEによって共有される鍵情報を使用してTokenを検証しうる。AUSFおよびUEによって共有される鍵情報は、以下のうちの任意の1つ以上、すなわち、KAUSF、KAKMA、暗号鍵CK、完全性鍵IK、長期鍵K、ならびに暗号鍵CKおよび/または完全性鍵IKに基づいて生成された鍵、認証ベクトル、ならびに認証ベクトルの一部などのうちの任意の1つ以上でありうる。
UDMは、UDMおよびUEによって共有される鍵情報を使用してKIDを検証しうる。UDMおよびUEによって共有される鍵情報は、以下のうちの任意の1つ以上、すなわち、KAUSF、KAKMA、暗号鍵CK、完全性鍵IK、長期鍵K、ならびに暗号鍵CKおよび/または完全性鍵IKに基づいて生成された鍵、認証ベクトル、ならびに認証ベクトルの一部などのうちの任意の1つ以上でありうる。代わりに、UDMは、UEの公開鍵、UEの秘密鍵、ホームネットワークの公開鍵、またはホームネットワークの秘密鍵などを使用してKIDを検証してもよい。
加えて、攻撃者がKIDを追跡することによってUEを追跡することを防止するために、UEおよびAUSF内のKIDは更新されうる。図6Aは、本出願の一実施形態による、KIDおよび/またはKAKMAを更新するための方法の概略フローチャートである。図6Aに示されているように、本方法は以下のステップを含む。
601:UEはサービスセッション確立要求をAFに送信し、サービスセッション確立要求はKIDを含む。
602:AFは、KAFを取得するためにアプリケーション鍵要求をAAnFに送信し、鍵要求はKIDを含む。AAnFは、受信されたKIDに基づいて、対応するKAFを取得する。AAnFが対応するKAFを取得することは、AAnFがKIDに基づいてKAFをローカルに取得すること、またはAAnFがKIDに対応するKAKMAに基づいてKAFを生成すること、またはAAnFが、受信されたKIDを搬送するAKMA鍵要求をAUSFに送信し、AUSFによって返されたKAKMAを受信し、受信されたKAKMAに基づいてKAFを生成することでありうる。
603:AAnFは、KIDが使用された回数を記録する。
AAnFは、KIDが使用された回数を記録する。カウンタがAAnFによって生成されえ、カウンタの初期値は0である。KIDが1回使用されると、カウンタは1だけインクリメントされる。カウンタは、AAnFによって受信されたアプリケーション鍵要求に基づいて1だけインクリメントされてもよい。代わりに、カウンタは、AAnFによってAUSFに送信されたAKMA鍵要求に基づいて1だけインクリメントされてもよい。代わりに、カウンタは、AAnFによってAUSFから取得されたKAKMAまたはAKMA鍵応答に基づいて1だけインクリメントされてもよい。代わりに、カウンタは、受信されたKIDまたはKIDを含む受信メッセージに基づいて1だけインクリメントされてもよい。
604:AAnFが、KIDが使用された回数(またはカウンタの値)が事前設定閾値よりも大きいと判定したとき、AAnFは、KIDおよび/またはKAKMAを更新し、新しいKIDおよび/または新しいKAKMAを生成するようにAUSFに通知するために、KIDおよび/またはKAKMA更新要求をAUSFに送信する。AAnFは、同時にUE-IDまたはUser-IDをAUSFにさらに送信しうる。AUSFは、受信されたUE-IDまたは受信されたUser-IDに基づいて、KIDおよび/またはKAKMAを更新する必要があるUEを決定する。
605:KIDおよび/またはKAKMA更新要求を受信した後、AUSFは、以下の動作のうちの任意の1つ以上を行いうる。
AUSFは、KIDおよび/またはKAKMAを更新し、新しいKIDおよび/または新しいKAKMAを生成する。
AUSFは、KIDおよび/もしくはKAKMA更新要求、更新されたKID、または第7の指示情報をAMF/SEAFに送信する。第7の指示情報は、以下のうちの任意の1つ以上を示すために使用され、すなわち、KIDおよび/またはKAKMAを更新するようにUEに示すために使用され、新しいKIDおよび/またはKAKMAを生成するようにUEに示すために使用され、一次認証を開始するようにAMF/SEAFに示すために使用され、新しい5G-GUTIをUEに割り当てるようにAMF/SEAFに示すために使用される。AUSFは、同時に、すなわち図6Aの606で、UE-IDをAMF/SEAFにさらに送信しうる。
AUSFは、UDMに認証ベクトルを要求する。UDMから認証ベクトルを受信した後、AUSFは、EAP-Request/AKA’-ChallengeメッセージをAMF/SEAFに送信するか、または5Gサービス環境認証ベクトルをAMF/SEAFに送信する。5Gサービス環境認証ベクトルは、RAND、AUTN、およびHXRES*を含む。
新しいKIDおよび/または新しいKAKMAを生成した後、AUSFは、新しいKIDおよび/または新しいKAKMAをAAnFに送信する。
代わりに、AUSFがKIDおよび/またはKAKMAの更新を完了した後、UEもKIDおよび/またはKAKMAを更新する必要がある。図6Aを参照されたい。UEがKIDを更新するプロセスは、以下のステップを含みうる。
606:AUSFは、KIDおよび/またはKAKMA更新要求、新たに生成されたKID、または第7の指示情報をAMF/SEAFに送信する。第7の指示情報は、以下のうちの任意の1つ以上、すなわち、KIDおよび/またはKAKMAを更新すること、新しいKIDおよび/または新しいKAKMAを生成すること、AMF/SEAFが一次認証を開始すること、ならびにAMF/SEAFが新しい5G-GUTIをUEに割り当てることのうちの任意の1つ以上を示すために使用される。AUSFは、同時にUE-IDをAMF/SEAFにさらに送信しえ、これにより、AMF/SEAFは、更新を行う必要があるUEを識別する。
607:AMF/SEAFは、受信されたUE-IDに基づいて、KIDおよび/またはKAKMAを更新する必要があるUEを決定する。AMF/SEAFは、受信されたKIDおよび/もしくはKAKMA更新要求、第7の指示情報、またはKIDに基づいて、以下の動作、すなわち、
AMF/SEAFはKIDおよび/またはKAKMA更新要求をUEに送信し、AMF/SEAFは第8の指示情報をUEに送信し、AMF/SEAFはKIDをUEに送信し、AMF/SEAFは一次認証手順を開始し、AMF/SEAFは新しい5G-GUTIをUEに割り当て、新しい5G-GUTIをUEに送信することのうちの任意の1つ以上を行いうる。
第8の指示情報は、以下のうちの任意の1つ以上、すなわち、KIDおよび/またはKAKMAを更新すること、新しいKIDおよび/またはKAKMAを生成すること、ならびにネットワーク側(例えば、AUSF)がKIDおよび/またはKAKMAを更新したことのうちの任意の1つ以上を示すために使用される。
UEがKIDを受信した場合、UEは、KIDを記憶し、新しいKAKMAを生成する。UEが、KIDおよび/またはKAKMA更新要求または第8の指示情報を受信した場合、UEは、新しいKIDおよび/または新しいKAKMAを生成する。
本出願では、KIDを更新するとき、UEまたはAUSFは、現在のKIDに基づいて新しいKIDを生成しうる。代わりに、新しいKIDを生成するために他のパラメータが使用されてもよい。これは本出願では限定されない。UEおよびAUSFは、KIDを更新するために同じ方法および同じパラメータを使用する。
代わりに、いくつかの可能な場合には、UEによって行われるKID更新は、AFによってトリガされてもよい。図6Aを参照されたい。このプロセスは、以下のステップを含む。
606’:AUSFは、KIDおよび/もしくはKAKMA更新要求、新たに生成されたKIDおよび/もしくはKAKMA、または第7の指示情報をAAnFに送信する。AUSFは、同時にUE-IDまたはUser-IDをAAnFにさらに送信しうる。AAnFは、受信されたUE-IDまたは受信されたUser-IDに基づいて、KIDおよび/またはKAKMAを更新する必要があるUEまたはアプリケーションユーザを決定する。
607’:AAnFは、KIDおよび/またはKAKMA更新要求、受信されたKID、または第8の指示情報をAFに送信する。AAnFは、同時にUE-IDまたはUser-IDをAFにさらに送信しうる。AFは、受信されたUE-IDまたは受信されたUser-IDに基づいて、KIDおよび/またはKAKMAを更新する必要があるUEを決定する。第8の指示情報は、以下のうちの任意の1つ以上、すなわち、KIDおよび/またはKAKMAを更新すること、新しいKIDおよび/または新しいKAKMAを生成すること、ならびにネットワーク側(例えば、AUSF)がKIDおよび/またはKAKMAを更新したことのうちの任意の1つ以上を示すために使用される。
608’:AFは、受信されたKIDおよび/またはKAKMA更新要求、KID、または第8の指示情報に基づいて、KIDおよび/またはKAKMA更新要求、受信されたKID、または第9の指示情報をUEに送信する。第9の指示情報は、以下のうちの任意の1つ以上、すなわち、KIDおよび/またはKAKMAを更新すること、新しいKIDおよび/または新しいKAKMAを生成すること、ならびにネットワーク側(例えば、AUSF)がKIDおよび/またはKAKMAを更新したことのうちの任意の1つ以上を示すために使用される。
UEは、受信されたKIDおよび/またはKAKMA更新要求、受信されたKID、または第9の指示情報に基づいてKIDおよび/またはKAKMAを更新する。
KIDの更新を完了した後、AUSFは新しいKIDをAAnFに送信しえ、次にAAnFは新しいKIDをAFに転送する。AFは、UEによって行われたKID更新を完了するために新しいKIDをUEに送信する。
代わりに、AUSFはKID更新要求をAAnFに送信してもよく、AAnFはKID更新要求をAFに転送し、次にAFはKID更新要求をUEに送信し、UEは、KID更新要求を使用してKIDの更新を完了する。
代わりに、AUSFは第7の指示情報をAAnFに送信してもよく、AAnFは、第7の指示情報に基づいて第8の指示情報を生成し、第8の指示情報をAFに送信し、AFは、第8の指示情報に基づいて第9の指示情報を生成し、第9の指示情報をUEに送信し、UEは、第9の指示情報に基づいてKIDの更新を完了する。
第7の指示情報、第8の指示情報、および第9の指示情報などの指示情報は、KIDおよび/またはKAKMA更新要求に含まれてもよいし、他の通信メッセージに追加されてもよい。指示情報の内容は同じであっても異なっていてもよい。図6Aのステップ606およびステップ607ならびにステップ606’からステップ608’は、2つの任意選択の実施態様であり、ステップ601からステップ605の方法は、2つの方法のいずれか1つと組み合わされうる。
KIDを更新した後、UEは、その後、新しいKIDに基づいてAFへのアプリケーションセッション確立要求を開始しうる。
図6Bは、本出願の一実施形態による、KIDおよび/またはKAKMAを更新するための他の方法の概略フローチャートである。図6Bに示されているように、本方法は以下のステップを含む。
611:AMF/SEAFは、UEの5G-GUTIを更新することを決定する。任意選択で、AMF/SEAFはUEの5G-GUTIを更新する。
612:AMF/SEAFは、以下の動作のうちの任意の1つ以上を行う。
AMF/SEAFは、KIDおよび/またはKAKMA更新要求または第6の指示情報をAUSFに送信する。第6の指示情報は、以下のうちの任意の1つ以上、すなわち、AUSFがKIDおよび/またはKAKMAを更新すること、ならびにUEの5G-GUTIが更新されていることのうちの任意の1つ以上を示すために使用される。
AMF/SEAFは、一次認証手順を開始する。
AMF/SEAFは、認証サービス要求をAUSFに送信する。
AMF/SEAFは、KIDおよび/またはKAKMA更新要求または第xの指示情報をUEに送信する。第xの指示情報は、以下のうちの任意の1つ以上、すなわち、UEがKIDおよび/またはKAKMAを更新すること、UEが新しいKIDおよび/または新しいKAKMAを生成すること、なたびにネットワーク側(例えば、AUSF)がKIDおよび/またはKAKMAを更新したことのうちの任意の1つ以上を示すために使用される。
613:AUSFは、受信されたKIDおよび/もしくはKAKMA更新要求または第6の指示情報に基づいてKIDおよび/またはKAKMAを更新し、新しいKIDおよび/または新しいKAKMAを生成する。
代わりに、AUSFは、AMF/SEAFによって送信された認証サービス要求を受信し、AUSFはUDMへの認証サービス要求を開始し、認証サービス要求は、認証ベクトルの取得を要求するために使用される。
5G-GUTIを更新することを決定したとき、および任意選択で5G-GUTIを更新する前または更新した後、AMF/SEAFは、KIDおよび/またはKAKMA更新要求または第6の指示情報をAUSFに送信する。AMF/SEAFは、AMF/SEAFとAUSFとの間の既存の通信メッセージを使用して第6の指示情報を送信してもよいし、AMF/SEAFは、AMF/SEAFとAUSFとの間の新たに定義された通信メッセージを使用して第6の指示情報を送信してもよい。
5G-GUTIは、常時更新される識別子である。5G-GUTIを使用すると、通信中に提示されるUEの永久識別子の使用を減らして、セキュリティを改善しうる。5G-GUTIが更新されるとき、KIDも更新される。これにより、KIDを使用してUEが追跡されることが防止され、UEの通信セキュリティが改善されうる。
同様に、AUSFがKIDおよび/またはKAKMAを更新する場合、UEもKIDおよび/またはKAKMAを更新する必要がある。UE内のKIDは更新されうる。図6Bに示されているように、プロセスは以下のステップを含みうる。
614:AUSFが新しいKIDおよび/または新しいKAKMAを生成した後、AUSFは、KIDおよび/もしくはKAKMA更新要求、新しいKID、または第10の指示情報をAMF/SEAFに送信する。第10の指示情報は、以下のうちの任意の1つ以上、すなわち、KIDおよび/またはKAKMAを更新すること、新しいKIDおよび/または新しいKAKMAを生成すること、ならびにAMF/SEAFが一次認証を開始することのうちの任意の1つ以上を示すために使用される。新しいKIDおよび/または新しいKAKMAを生成した後、AUSFは、更新されたKIDおよび/または更新されたKAKMAをAAnFに送信する。
代わりに、UDMから認証ベクトルを取得した後、AUSFは、認証サービス応答をAMF/SEAFに送信する。
615:AMF/SEAFは、受信されたKIDおよび/もしくはKAKMA更新要求、新しいKID、または第10の指示情報に基づいて、KIDおよび/もしくはKAKMA更新要求、受信されたKID、または第11の指示情報をUEに送信する。
本実施形態では、UEは、受信されたKIDおよび/もしくはKAKMA更新要求、第11の指示情報、または第xの指示情報に基づいてKIDおよび/またはKAKMAを更新し、新しいKIDおよび/または新しいKAKMAを生成する。KIDを受信した後、UEは、KIDを記憶および使用し、新しいKAKMAを生成する。
本出願の本実施形態では、KIDの更新は、代わりに、対応するKAKMAの更新を含んでもよい。具体的には、AUSFまたはUEがKID更新要求を受信した後、AUSFまたはUEは、KAKMAおよび/またはKIDを更新する。
本出願の本実施形態では、KIDを更新することによってUEの追跡の脅威が低減され、通信セキュリティが改善される。
上記は、ネットワーク要素間の相互作用の観点から、本出願で提供される解決策を主に説明している。前述の実施態様では、前述の機能を実施するために、ネットワーク要素は、前述の機能を行うための対応するハードウェア構造および/またはソフトウェアモジュールを含むことが理解されよう。当業者は、本明細書に開示されている実施形態で説明された例のユニットおよびアルゴリズムステップと組み合わせて、本出願が、ハードウェアまたはハードウェアとコンピュータソフトウェアとの組み合わせによって実施されうることを容易に認識するはずである。機能がハードウェアとコンピュータソフトウェアによって駆動されるハードウェアとのどちらによって行われるかは、技術的解決策の特定の用途および設計上の制約に依存する。当業者は、説明された機能を特定の用途ごとに実施するために異なる方法を使用しうるが、その実施が本出願の範囲を超えると考えられるべきではない。
本出願の実施形態では、端末、制御プレーンネットワーク要素、サービス機能ネットワーク要素、管理機能ネットワーク要素、または他のネットワークデバイスは、前述の方法の例に基づいて機能モジュールに分割されてもよい。例えば、機能モジュールは、機能に基づいて分割されてもよく、または2つ以上の機能が1つの処理モジュールに統合されてもよい。統合モジュールは、ハードウェアの形態で実施されてもよいし、ソフトウェア機能モジュールの形態で実施されてもよい。本出願の実施形態において、モジュールへの分割は例であり、論理的な機能の分割にすぎないことに留意されたい。実際の実施態様では、他の分割方法が使用されてもよい。
図7は、本出願の一実施形態による通信装置700である。通信装置700は、AUSFネットワーク要素に適用される、図4Aから図4Fの鍵取得方法および特定の実施形態を行うように構成されうる。本装置は、端末、または端末内に構成されうるチップでありうる。可能な実施態様では、図7に示されているように、通信装置700は処理モジュール703を含む。
処理モジュール703は、アプリケーションの認証および鍵管理アンカー鍵KAKMAおよび/またはKAKMAの一意の鍵識別子KIDを取得するように構成される。
任意選択で、通信装置700は、アクセスおよびモビリティ管理機能またはセキュリティアンカー機能AMF/SEAFによって送信された第1のメッセージを受信するように構成された受信モジュール701をさらに含む。
処理モジュール703は、第1のメッセージに基づいてKIDおよび/またはKAKMAを取得するように構成される。
任意選択で、第1のメッセージはKIDを含み、処理モジュール703は、第1のメッセージ内のKIDを取得し、および/またはKIDに基づいてKAKMAを生成するように特に構成される。
任意選択で、第1のメッセージは第1の指示情報を含み、処理モジュール703は、第1の指示情報に基づいてKIDおよび/またはKAKMAを生成するように特に構成される。
任意選択で、通信装置700は、第1のメッセージに基づいて第2のメッセージを統合データ管理UDM機能に送信し、第2のメッセージは許可取得指示を含み、許可取得指示は、UEの第1の許可情報を取得するために使用され、第1の許可情報は、UEがアプリケーションの認証および鍵管理AKMAサービスを使用できることを示すために使用される、ように構成された送信モジュール702をさらに含む。
処理モジュール703は、UEの第1の許可情報が取得されたと決定されたときに、KIDおよび/またはKAKMAを生成するように構成される。
任意選択で、受信モジュール701は、UDMによって送信された第3のメッセージを受信し、第3のメッセージは第3の指示情報を含む、ように構成される。処理モジュール703は、第3の指示情報に基づいてKIDおよび/またはKAKMAを生成するように構成される。
任意選択で、処理モジュール703は、本出願の方法を実施しうるチップ、エンコーダ、符号化回路、または他の集積回路であってもよい。
受信モジュール701は、インターフェース回路またはトランシーバであってもよい。
特定の方法および実施形態が上記で説明されたが、装置700は、端末に対応する鍵取得方法を行うように構成される。したがって、鍵取得方法、特に処理モジュール703の機能の具体的な説明については、対応する実施形態の関連部分を参照されたい。ここでは詳細は再び説明されない。
任意選択で、装置700は、記憶モジュール(図示せず)をさらに含んでもよい。記憶モジュールは、データおよび/またはシグナリングを記憶するように構成されてもよい。記憶モジュールは、処理モジュール703に結合されてもよいし、受信モジュール701または送信モジュール702に結合されてもよい。例えば、処理モジュール703は、前述の方法の実施形態の鍵取得方法を行うするために、記憶モジュール内のデータおよび/またはシグナリングを読み取るように構成されうる。
任意選択で、通信装置700は、図5、図6A、または図6BのAUSFネットワーク要素に適用される鍵取得方法および特定の実施形態に適用されてもよい。ここでは詳細は再び説明されない。
図8は、本出願の一実施形態による他の通信装置800である。通信装置800は、AMF/SEAFネットワーク要素に適用される、図4Aから図4Fの鍵取得方法および特定の実施形態を行うように構成されうる。本装置は、端末、または端末内に構成されうるチップでありうる。可能な実施態様では、図8に示されているように、通信装置800は、受信モジュール801および送信モジュール802を含む。
受信モジュール801は、AUSFから第4のメッセージを取得するように構成される。
送信モジュール802は、第4のメッセージに基づいて第5のメッセージをUEに送信し、これにより、UEは第5のメッセージに基づいてKIDおよび/またはKAKMAを取得する、ように構成される。
任意選択で、通信装置800は、第4のメッセージに基づいて第5のメッセージを生成するように構成された処理モジュール803を含む。
任意選択で、送信モジュール802は、第1のメッセージをAUSFに送信し、これにより、AUSFは第1のメッセージに基づいてKIDおよび/またはKAKMAを生成する、ようにさらに構成される。
任意選択で、処理モジュール803は、本出願の方法を実施しうるチップ、エンコーダ、符号化回路、または他の集積回路であってもよい。
受信モジュール801は、インターフェース回路またはトランシーバであってもよい。
特定の方法および実施形態が上記で説明されたが、装置800は、端末に対応する鍵取得方法を行うように構成される。したがって、鍵取得方法、特に受信モジュール801および送信モジュール802の機能の具体的な説明については、対応する実施形態の関連部分を参照されたい。ここでは詳細は再び説明されない。
任意選択で、装置800は、記憶モジュール(図示せず)をさらに含んでもよい。記憶モジュールは、データおよび/またはシグナリングを記憶するように構成されてもよい。記憶モジュールは、処理モジュール803に結合されてもよいし、受信モジュール801または送信モジュール802に結合されてもよい。例えば、処理モジュール803は、前述の方法の実施形態の鍵取得方法を行うために、記憶モジュール内のデータおよび/またはシグナリングを読み取るように構成されうる。
任意選択で、通信装置800は、図5、図6A、または図6BのAMF/SEAFネットワーク要素に適用される鍵取得方法および特定の実施形態に適用されてもよい。ここでは詳細は再び説明されない。
処理モジュール703または803がプロセッサであり、受信モジュール701または801と、送信モジュール702または802とがトランシーバを構成するとき、本出願の実施形態における通信装置700または通信装置800は、図9に示されている通信装置900でありうる。
図9は、本出願の一実施形態による通信装置のハードウェア構造の概略図である。AUSFネットワーク要素またはAMF/SEAFの構造については、図9に示されている構造を参照されたい。通信装置900は、プロセッサ111およびトランシーバ112を含み、プロセッサ111とトランシーバ112とは電気的に結合される。
プロセッサ111は、メモリ113内のコンピュータプログラム命令の一部または全部を実行するように構成され、コンピュータプログラム命令の一部または全部が実行されるとき、本装置は、前述の実施形態のいずれか1つの方法を行うことが可能である。
トランシーバ112は、他のデバイスと通信し、例えば、AUSFから第4のメッセージを取得し、第4のメッセージに基づいて第5のメッセージをUEに送信し、これにより、UEは第5のメッセージに基づいてKIDおよび/またはKAKMAを取得する、ように構成される。
任意選択で、本装置は、コンピュータプログラム命令を記憶するように構成されたメモリ113をさらに含む。任意選択で、メモリ113(メモリ#1)は本装置内に配置されるか、メモリ113(メモリ#2)はプロセッサ111と統合されるか、またはメモリ113(メモリ#3)は本装置の外部に配置される。
図9に示されている通信装置900は、チップまたは回路であってもよいことを理解されたい。例えば、通信装置900は、端末装置または通信装置に配置されうるチップまたは回路でありうる。代わりに、トランシーバ112は通信インターフェースであってもよい。トランシーバは、受信機および送信機を含む。さらに、通信装置900は、バスシステムをさらに含んでもよい。
プロセッサ111、メモリ113、およびトランシーバ112は、バスシステムを介して接続される。プロセッサ111は、信号を受信し、信号を送信するようにトランシーバを制御し、本出願の実施方法における第1のデバイスまたは第2のデバイスのステップを完了するために、メモリ113に記憶された命令を実行するように構成される。メモリ113は、プロセッサ111に統合されてもよいし、プロセッサ111とは別に配置されてもよい。
一実施態様では、トランシーバ112の機能は、トランシーバ回路または専用トランシーバチップを使用して実施されることが考えられうる。プロセッサ111は、専用処理チップ、処理回路、プロセッサ、または汎用チップを使用して実施されうると考えられうる。プロセッサは、中央処理装置(central processing unit、CPU)、ネットワークプロセッサ(network processor、NP)、またはCPUとNPとの組み合わせであってもよい。プロセッサは、ハードウェアチップまたは他の汎用プロセッサをさらに含んでもよい。ハードウェアチップは、特定用途向け集積回路(application-specific integrated circuit、ASIC)、プログラマブル論理デバイス(programmable logic device、PLD)、またはこれらの組み合わせであってもよい。PLDは、複合プログラマブル論理デバイス(complex programmable logic device、CPLD)、フィールドプログラマブルゲートアレイ(field-programmable gate array、FPGA)、汎用アレイ論理(generic array logic、GAL)および他のプログラマブル論理デバイス、ディスクリートゲートもしくはトランジスタ論理デバイス、ディスクリートハードウェア構成要素、またはこれらの任意の組み合わせであってもよい。汎用プロセッサはマイクロプロセッサであってよいし、このプロセッサは任意の従来のプロセッサなどであってよい。
本出願の実施形態で言及されたメモリは、揮発性メモリまたは不揮発性メモリであってもよいし、揮発性メモリおよび不揮発性メモリを含んでよいことがさらに理解されよう。不揮発性メモリは、読み出し専用メモリ(Read-Only Memory、ROM)、プログラマブル読み出し専用メモリ(Programmable ROM、PROM)、消去可能プログラマブル読み出し専用メモリ(Erasable PROM、EPROM)、電気的消去可能プログラマブル読み出し専用メモリ(Electrically EPROM、EEPROM)、またはフラッシュメモリであってもよい。揮発性メモリは、外部キャッシュとして使用されるランダムアクセスメモリ(Random Access Memory、RAM)であってもよい。限定的な説明ではなく例として、多くの形態のRAM、例えば、スタティックランダムアクセスメモリ(Static RAM、SRAM)、ダイナミックランダムアクセスメモリ(Dynamic RAM、DRAM)、シンクロナス・ダイナミック・ランダム・アクセス・メモリ(Synchronous DRAM、SDRAM)、ダブル・データ・レート・シンクロナス・ダイナミック・ランダム・アクセス・メモリ(Double Data Rate SDRAM、DDR SDRAM)、拡張シンクロナス・ダイナミック・ランダム・アクセス・メモリ(Enhanced SDRAM、ESDRAM)、シンクリンク・ダイナミック・ランダム・アクセス・メモリ(Synchlink DRAM、SLDRAM)、およびダイレクト・ラムバス・ランダム・アクセス・メモリ(Direct Rambus RAM、DR RAM)が使用されてもよい。本出願で説明されているメモリは、これらのメモリおよび他の適切なタイプの任意のメモリを含むことを目的しているが、これらに限定されないことに留意されたい。
本出願の一実施形態は、コンピュータプログラムを記憶するコンピュータ記憶媒体を提供する。コンピュータプログラムは、前述の実施形態のAUSFネットワーク要素に対応する方法を行うために使用される。
本出願の一実施形態は、コンピュータプログラムを記憶するコンピュータ記憶媒体を提供する。コンピュータプログラムは、前述の実施形態のAMF/SEAFネットワーク要素に対応する方法を行うために使用される。
本出願の一実施形態は、命令を含むコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で動作するとき、コンピュータは、前述の実施形態のAUSFネットワーク要素に対応する方法を行うことが可能である。
本出願の一実施形態は、命令を含むコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で動作するとき、コンピュータは、前述の実施形態のAMF/SEAFネットワーク要素に対応する方法を行うことが可能である。
前述のプロセスの連続番号は、本出願の様々な実施形態における実行順序を意味しないことを理解されたい。プロセスの実行順序は、プロセスの機能および内部論理に基づいて決定されるべきであり、本出願の実施形態の実施プロセスに対する限定として解釈されるべきではない。
当業者は、本明細書に開示されている実施形態で説明された例と組み合わせて、ユニットおよびアルゴリズムステップが、電子ハードウェアまたはコンピュータソフトウェアと電子ハードウェアとの組み合わせによって実施されうることを認識しうる。機能がハードウェアとソフトウェアとのどちらによって行われるかは、技術的解決策の特定の用途および設計上の制約に依存する。当業者は、説明された機能を特定の用途ごとに実施するために異なる方法を使用しうるが、その実施が本出願の範囲を超えると考えられるべきではない。
簡便な説明のために、前述のシステム、装置、およびユニットの詳細な動作プロセスについては、前述の方法の実施形態の対応するプロセスを参照されたく、ここでは詳細は再び説明されないことが、当業者によって明確に理解されうる。
本出願で提供されるいくつかの実施形態では、開示されたシステム、装置、および方法が他の方法で実施されうることを理解されたい。例えば、説明された装置の実施形態は例にすぎない。例えば、ユニットへの分割は、論理的な機能の分割にすぎず、実際の実施態様では他の分割であってもよい。例えば、複数のユニットまたは構成要素は、他のシステムに組み合わされてもよく統合されてもよく、または一部の機能は無視されてもよく実行されなくてもよい。加えて、提示されたまたは述べられた相互結合または直接的な結合もしくは通信接続は、いくつかのインターフェースを介して実施されてもよい。装置またはユニット間の間接的な結合または通信接続は、電子的な、機械的な、または他の形態で実施されてもよい。
別個の部分として説明されたユニットは、物理的に分離されていてもいなくてもよく、ユニットとして提示された部分は物理ユニットであってもなくてもよく、1つの位置に配置されてもよいし、複数のネットワークユニットに分散されてもよい。実施形態の解決策の目的を達成するために、実際の要求に基づいて、ユニットの一部または全部が選択されてもよい。
加えて、本出願の実施形態における機能ユニットは1つの処理ユニットに統合されてもよいし、これらのユニットの各々は物理的に単独で存在してもよいし、2つ以上のユニットが1つのユニットに統合される。
機能が、ソフトウェア機能ユニットの形態で実施され、独立した製品として販売または使用されるとき、機能は、コンピュータ可読記憶媒体に記憶されてもよい。このような理解に基づいて、本質的に本出願の技術的解決策、または従来技術に寄与する部分、または技術的解決策の一部は、ソフトウェア製品の形態で実施されてもよい。コンピュータソフトウェア製品は、記憶媒体に記憶され、コンピュータデバイス(パーソナルコンピュータ、サーバ、またはネットワークデバイスであってもよい)に、本出願の実施形態で説明されている方法のステップの全部または一部を行うように命令するためのいくつかの命令を含む。前述の記憶媒体は、プログラムコードを記憶しうる任意の媒体、例えば、USBフラッシュドライブ、リムーバブルハードディスク、読み出し専用メモリ(Read-Only Memory、ROM)、ランダムアクセスメモリ(Random Access Memory、RAM)、磁気ディスク、または光ディスクを含む。
前述の説明は、本出願の特定の実施態様にすぎず、本出願の保護範囲を限定することを意図されていない。本出願に開示された技術的範囲内で当業者によって容易に考え出されるいかなる変形または置換も、本出願の保護範囲内にあるものとする。したがって、本出願の保護範囲は、特許請求の範囲の保護範囲に従うものとする。