WO2019074014A1

WO2019074014A1 - セキュリティ確立方法、端末装置及びネットワーク装置

Info

Publication number: WO2019074014A1
Application number: PCT/JP2018/037791
Authority: WO
Inventors: 青野　博; アルフツーゲンマイヤー
Original assignee: 株式会社Ｎｔｔドコモ
Priority date: 2017-10-10
Filing date: 2018-10-10
Publication date: 2019-04-18
Also published as: EP3687207A1; CN115988487A; US11445376B2; US20200359203A1; CN111264071B; EP3687207A4; CN111264071A; JPWO2019074014A1; CA3078785A1; JP6917469B2; FI3687207T3; EP3687207B1

Abstract

セキュリティ確立方法は、端末装置110とサービングネットワークとの相互認証を通じて鍵ペアを生成し、生成した鍵ペアを用いて、端末装置(110)とサービングネットワークとがKASMEを共有するステップ（S50, S100）と、端末装置(110)、及び端末装置(110)のローミング先ネットワークが、KASMEを用いて、SEAF(50)と対応付けられるKSEAFを生成するステップ（S140, S150）と、端末装置(110)及びローミング先ネットワークが、少なくともKSEAFと、サービングネットワークにおいて加入者を識別するSUPIとを用いて、AMF(60)と対応付けられるKAMFを生成するステップ（S140, S150）とを含む。

Description

セキュリティ確立方法、端末装置及びネットワーク装置

　本発明は、加入者識別モジュールが搭載された端末装置のセキュリティを確立するセキュリティ確立方法、端末装置及びネットワーク装置に関する。

　3rd Generation Partnership Project（3GPP）は、Long Term Evolution（LTE）を仕様化し、LTEのさらなる高速化を目的としてLTE-Advanced（以下、LTE-Advancedを含めてLTEという）を仕様化している。また、3GPPでは、さらに、5G New Radio（NR）などと呼ばれるLTEの後継システムの仕様が検討されている。

　LTEでは、加入者識別子（International Mobile Subscriber Identity (IMSI)）と、加入者識別モジュール（Universal Integrated Circuit Card (UICC)）に格納されている永続的な鍵K（秘密情報）を用いて、加入者（端末装置）と、通信事業者（サービングネットワークと呼ばれてもよい）との相互認証のために、Authentication and Key Agreement（AKA）が実行される。

　また、AKAが実行されるたびに、暗号化及び完全性保証に用いられる鍵（CK, IK）が生成され、加入者識別モジュール（UICC）から端末装置（ME）に渡される（非特許文献１参照）。

　さらに、加入者識別子（IMSI）のトレースによるプライバシ侵害から保護するため、IMSIに基づくテンポラリな加入者識別子であるTemporary Mobile Subscriber Identity（TMSI）を用いて相互認証が行われる。加入者（端末装置）がローミングする場合、IMSIとTMSIとは、ローミング先の通信事業者（ローミング先ネットワークと呼ばれてもよい）において対応付けられる。

　NRでは、加入者識別子として、Subscription Permanent Identifier（SUPI）が規定されており、加入者識別子のプライバシ保護の強化が検討されている（例えば、非特許文献２参照）。

3GPP TS 33.401 V14.3.0 Subclause 6.1.1 AKA procedure, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP System Architecture Evolution (SAE); Security architecture (Release 14)、3GPP、2017年6月 3GPP TS 33.501 V0.3.0 Subclause 6.1.3 Authentication procedures, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for 5G System (Release 15)、3GPP、2017年8月

　NRでは、LTEまでの世代と比較すると、サービスを提供する通信事業者もさらに多様となることが想定されている。このような環境において、端末装置が加入者の契約先の通信事業者から他の通信事業者の移動通信ネットワーク（VPLMN）にローミングした場合でも、加入者識別子（SUPI）のプライバシを保護する必要がある。

　しかしながら、HPLMNを提供する通信事業者は、VPLMNを提供する通信事業者を完全には信頼できない場合もあり、SUPIをそのまま提供することはせず、加入者とHPLMNを提供する通信事業者との認証後に初めてVPLMNを提供する通信事業者にSUPIを送付するようになっている。

　一方で、ローミング先ネットワークにおいて、合法的傍受（Lawful Interception (LI)）が必要な場合、ローミング先ネットワークは、加入者の契約先のPLMN（HPLMN）にLI対象の加入者のSUPIを都度照合することなく、加入者とVPLMNを提供する通信事業者間の秘密情報の正当性を確認する必要がある。

　そこで、本発明は、このような状況に鑑みてなされたものであり、端末装置とサービングネットワークとのセキュリティを確立した上で、安全かつ容易に加入者識別子（SUPI）をローミング先ネットワークに提供し、正しく提供されたSUPIに紐づく加入者と、VPLMNを提供する通信事業者間との秘密情報を得るセキュリティ確立方法、端末装置及びネットワーク装置の提供を目的とする。

　本発明の一態様は、加入者識別モジュール（UICC200）に格納されている秘密情報（鍵K）と、前記秘密情報に基づいて生成される暗号鍵（暗号鍵CK）及び完全性鍵（完全性鍵IK）の鍵ペアとを用いて、前記加入者識別モジュールが搭載された端末装置（端末装置110）のセキュリティを確立するセキュリティ確立方法であって、前記端末装置とサービングネットワーク（HPLMN20）との相互認証を通じて前記鍵ペアを生成し、生成した前記鍵ペアを用いて、前記端末装置と前記サービングネットワークとが第１テンポラリ鍵（K_ASME）を共有するステップ（S50, S100）と、前記端末装置、及び前記端末装置のローミング先ネットワーク（VPLMN30）が、前記第１テンポラリ鍵を用いて、前記ローミング先ネットワークのセキュリティアンカー機能（SEAF50）と対応付けられる第２テンポラリ鍵（K_SEAF）を生成するステップ（S140, S150）と、前記端末装置及び前記ローミング先ネットワークが、少なくとも前記第２テンポラリ鍵と、前記サービングネットワークにおいて前記加入者を識別する加入者識別子（SUPI）とを用いて、前記ローミング先ネットワークのアクセス及び移動性管理機能（AMF60）と対応付けられる第３テンポラリ鍵（K_AMF）を生成するステップ（S140, S150）とを含む。

　本発明の一態様は、加入者を識別する加入者識別モジュールを搭載可能な端末装置（端末装置110）であって、前記加入者識別モジュールに格納されている秘密情報に基づいて生成された暗号鍵及び完全性鍵の鍵ペアを用いて、第１テンポラリ鍵を生成する第１鍵生成部（K_ASME生成部130）と、前記第１テンポラリ鍵を用いて、前記端末装置のローミング先ネットワークのセキュリティアンカー機能と対応付けられる第２テンポラリ鍵を生成する第２鍵生成部（K_SEAF生成部140）と、少なくとも前記第２テンポラリ鍵と、サービングネットワークにおいて前記加入者を識別する加入者識別子とを用いて、前記ローミング先ネットワークのアクセス及び移動性管理機能と対応付けられる第３テンポラリ鍵を生成する第３鍵生成部（K_AMF生成部145）とを備える。

　本発明の一態様は、加入者を識別する加入者識別モジュールを搭載可能な端末装置と通信を実行するネットワーク装置（SEAF50）であって、前記加入者識別モジュールに格納されている秘密情報に基づいて生成された暗号鍵及び完全性鍵の鍵ペアを用いて、第１テンポラリ鍵を生成する第１鍵生成部と、前記第１テンポラリ鍵を用いて、前記端末装置のローミング先ネットワークのセキュリティアンカー機能と対応付けられる第２テンポラリ鍵を生成する第２鍵生成部と、少なくとも前記第２テンポラリ鍵と、サービングネットワークにおいて前記加入者を識別する加入者識別子とを用いて、前記ローミング先ネットワークのアクセス及び移動性管理機能と対応付けられる第３テンポラリ鍵を生成する第３鍵生成部とを備える。

図１は、無線通信システム10の全体概略構成図である。図２は、UE100の機能ブロック構成図である。図３は、UE100がVPLMN30にローミングする場合におけるテンポラリ鍵（K_ASME、K_SEAF及びK_AMF）の生成及び共有シーケンスを示す図である。図４は、無線通信システム10において用いられる鍵階層を示す図である。図５は、UE100のハードウェア構成の一例を示す図である。

　以下、実施形態を図面に基づいて説明する。なお、同一の機能や構成には、同一または類似の符号を付して、その説明を適宜省略する。

　（１）無線通信システムの全体概略構成
　図１は、本実施形態に係る無線通信システム10の全体概略構成図である。無線通信システム10は、5G New Radio（NR）に従った無線通信システムである。無線通信システム10は、Home Public Land Mobile Network 20（以下、HPLMN20）及びVisited Public Land Mobile Network 30（以下、VPLMN30）を含む。

　ユーザ装置100（以下、UE100）は、HPLMN20及びVPLMN30にアクセス可能であり、HPLMN20に含まれる無線基地局（gNB、不図示）、及びVPLMN30に含まれる無線基地局（gNB、不図示）と無線通信を実行する。

　UE100は、Universal Integrated Circuit Card 200（以下、UICC200）を搭載することができる。

　UICC200は、HPLMN20を提供する通信事業者と契約した情報などを格納する。具体的には、UICC200は、永続的な鍵である鍵K（秘密情報）及び加入者を識別する加入者識別子（Subscription Permanent Identifier (SUPI)）などを格納する。

　HPLMN20には、Authentication Server Function/ Authentication Credential Repository and Processing Function 40（以下、AUSF/ARPF40）が設けられる。また、VPLMN30には、SEcurity Anchor Function 50（以下、SEAF50）及びAccess and Mobility Management Function 60（以下、AMF60）が設けられる。

　AUSF/ARPF40とSEAF50とは、VPLMN30にローミングしたUE100からの要求に基づいて、AUSF/ARPF40とSEAF50との間におけるUE100の認証処理を実行する。

　SEAF50は、VPLMN30におけるセキュリティアンカー機能を提供する。AMF60は、UE100のVPLMN30に対するアクセス及びモビリティを管理する。つまり、AMF60は、アクセス及び移動性管理機能を提供する。

　なお、SEAF50は、本実施形態において、UE100（具体的には、後述する端末装置110）と通信を実行するネットワーク装置を構成する。

　（２）無線通信システムの機能ブロック構成
　次に、無線通信システム10の機能ブロック構成について説明する。具体的には、UE100の機能ブロック構成について説明する。図２は、UE100の機能ブロック構成図である。

　図２に示すように、UE100は、端末装置110とUICC200とによって構成される。端末装置110は、UICC200を含まないUE100の基本的なハードウェア、ファームウェア、ソフトウェア及びアプリーションなどによって構成され、3GPPの技術標準では、Mobile Equipment（ME）として規定されている。つまり、端末装置110は、加入者を識別するUICC200を搭載することができ、UICC200を搭載することによってUE100としての機能を提供する。

　端末装置110は、機能的には、無線通信部120、K_ASME生成部130、K_SEAF生成部140及びセキュリティ処理部150を備える。なお、SEAF50（ネットワーク装置）は、K_ASME生成部130及びK_SEAF生成部140と同様の機能を備える。

　無線通信部120は、NR方式に従った無線通信を実行する。具体的には、無線通信部120は、NR方式に従った無線基地局（gNB）と無線信号を送受信する。当該無線信号には、ユーザデータまたは制御データが多重される。

　K_ASME生成部130は、永続的には用いられないテンポラリな鍵であるK_ASME（第１テンポラリ鍵）を生成する。なお、ASMEは、Access Security Management Entityの略である。

　具体的には、K_ASME生成部130は、UICC200に格納されている鍵Kに基づいて生成された暗号鍵CK及び完全性鍵IKの鍵ペアを用いて、K_ASMEを生成する。

　ここで、図４は、無線通信システム10において用いられる鍵階層を示す。図４に示すように、UICC200と、サービングネットワーク（HPLMN20）側のAuC（Authentication Center、不図示）とは、予め鍵Kを共有しており、Authentication and Key Agreement（AKA）が実行されるたびに、暗号鍵CK及び完全性鍵IKが生成される。

　端末装置110（ME）は、サービングネットワークの識別子（SNID）に基づいた鍵生成機能を用い、生成された暗号鍵CK及び完全性鍵IKからK_ASMEを生成する。このようなK_ASMEの生成方法は、LTE方式のK_ASMEの生成方法と同様である（TS 33.401 6.1.1章参照）。

　K_SEAF生成部140は、K_ASMEと同様に、テンポラリな鍵であるK_SEAF（第２テンポラリ鍵）を生成する。具体的には、K_SEAF生成部140は、SEAF50（セキュリティアンカー機能）と対応付けられるK_SEAFを生成する。

　本実施形態では、K_SEAF生成部140は、K_ASME生成部130によって生成されたK_ASMEをK_SEAFとして生成する。つまり、K_SEAF生成部140は、K_ASMEをセキュリティアンカー機能と対応付けられるK_SEAF（第２テンポラリ鍵）として用いる。

　K_AMF生成部145は、K_ASME及びK_SEAFと同様に、テンポラリな鍵であるK_AMF（第３テンポラリ鍵）を生成する。具体的には、K_AMF生成部145は、少なくともK_SEAFと、サービングネットワークにおいて加入者を識別するSUPI（加入者識別子）とを用いて、AMF60（アクセス及び移動性管理機能）と対応付けられるK_AMFを生成する。

　図４に示すように、端末装置110（ME）は、Key Derivation Function（KDF）にK_SEAF（=K_ASME）とSUPIとを入力し、K_AMFを生成する。K_AMFは、後述するように、UE100とVPLMN30（具体的には、SEAF50）と共有される。SEAF50は、端末装置110と同様に、KDFを利用してK_AMFを生成する。

　また、図４に示すように、K_AMFは、UE100とネットワーク側とのNon-Access Stratum（NAS）プロトコルの暗号化に用いられる鍵K_NASenc、及び完全性保証のために用いられる鍵K_NASintの生成に用いられる。

　K_AMF生成部145は、K_SEAFとSUPIとのみでなく、さらに別のパラメータを加えてK_AMFを生成することもできる。具体的には、K_AMF生成部145は、K_SEAFと、SUPIと、SEAF50の能力を示す情報とを用いて、K_AMFを生成する。なお、SEAF50の能力を示す情報としては、いわゆるSEAF capabilitiesのようなSEAF50の通信に関する能力、バージョンまたは特定機能のサポートの有無などが挙げられる。

　或いは、K_AMF生成部145は、K_SEAFと、SUPIと、UICC200が搭載された端末装置110の機能セット（Feature Set）の番号とを用いて、K_AMFを生成してもよい。なお、端末装置110の機能セットは、FeatureSetUEと呼ばれてもよく、m=1, 2…などと表現することができ、バージョン番号の一種である。

　セキュリティ処理部150は、上述した鍵などを用いて、ネットワーク（HPLMN20またはVPLMN30）とのセキュリティ処理を実行する。つまり、セキュリティ処理部150は、鍵Kと、暗号鍵CK及び完全性鍵IKの鍵ペアとを用いて、端末装置110とネットワークとのセキュリティを確立する。

　具体的には、セキュリティ処理部150は、SUPIを暗号化し、Subscription Concealed Identifier（SUCI）を生成する。また、セキュリティ処理部150は、生成したSUCI（暗号化識別子）を含むN1メッセージをネットワークに送信する。

　さらに、セキュリティ処理部150は、ネットワークに対する認証要求（Authentication Request）を送信したり、ネットワークから送信された認証応答（Authentication Response）を受信したりする。

　（３）無線通信システムの動作
　次に、無線通信システム10の動作について説明する。具体的には、UE100がVPLMN30にローミングする場合における加入者識別子（SUPI）の認証手順について説明する。

　図３は、UE100がVPLMN30にローミングする場合におけるテンポラリ鍵（K_ASME、K_SEAF及びK_AMF）の生成及び共有シーケンスを示す。ここでは、UE100がVPLMN30にローミングする状況を想定する。

　図３に示すように、UICC200は、HPLMN20の公開鍵（PubK）を端末装置110（ME）から取得する（S10）。

　端末装置110は、PubKを用いてSUPIを暗号化し、SUCIを生成する（S20）。また、端末装置110は、生成したSUCIを含むN1メッセージをVPLMN30上のSEAF50に送信する（S30）。

　SEAF50は、受信したSUCIを含む認証情報要求（Authentication Information Request）をHPLMN20上のAUSF/ARPF40に送信する（S40）。

　AUSF/ARPF40は、Key Derivation Function（KDF）に、暗号鍵CK、完全性鍵IK、シーケンス番号（SQN）、Anonymity Key（AK）及びサービングネットワークの識別子（SNID）を入力し、K_ASMEを生成する（S50）。なお、図３では、表記上の関係から、K_ASMEとして表現する。

　AUSF/ARPF40は、K_ASME、SQN、乱数（RAND）、Expected Response（HXRES）、認証トークン（AUTN）及びSUPIを含む認証情報応答（Authentication Information Response）をSEAF50に送信する（S60）。

　SEAF50は、当該SQN、RAND及びAUTNを含む認証要求（Authentication Request）を端末装置110に送信する（S70）。

　端末装置110は、認証要求に含まれている当該SQN、RAND及びAUTNをUICC200に送信する（S80）。

　UICC200は、受信した当該SQN、RAND及びAUTNに基づいて、AKAを実行し、暗号鍵CK、完全性鍵IK及びResponse（RES）を端末装置110に送信する（S90）。

　端末装置110は、KDFに、暗号鍵CK、完全性鍵IK、SQN、AK及びSNIDを入力し、K_ASMEを生成する（S100）。

　このように、端末装置110とサービングネットワーク（HPLMN20）との相互認証を通じて鍵ペア（暗号鍵CK及び完全性鍵IK）を生成し、生成した鍵ペアを用いて、端末装置110とサービングネットワークとがK_ASME（第１テンポラリ鍵）を共有する。

　端末装置110は、認証要求に対する応答である認証応答（Authentication Response）をSEAF50に送信する（S110）。認証応答には、UICC200から受信したRESが含まれる。

　SEAF50は、端末装置110から受信したRESと、HXRESとが一致するか否かを確認する（S120）。RESと、HXRESとが一致する場合、SEAF50は、RESを含む認証確認（Authentication Confirmation）をAUSF/ARPF40に送信する（S130）。

　次いで、端末装置110は、K_ASMEを用いてK_SEAF（第２テンポラリ鍵）を生成し、さらにK_AMF（第３テンポラリ鍵）を生成する（S140）。なお、図３では、表記上の関係から、K_SEAF, K_AMFとして表現する。

　具体的には、端末装置110は、ステップS100において生成したK_ASMEを用いて、ローミング先ネットワークのセキュリティアンカー機能、つまり、AMF60と対応付けられるK_SEAF（第２テンポラリ鍵）を生成する。上述したように、本実施形態では、端末装置110は、K_ASMEをセキュリティアンカー機能と対応付けられるK_SEAF（第２テンポラリ鍵）として用いる。

　また、端末装置110は、少なくともK_SEAFと、サービングネットワーク（HPLMN20）において加入者を識別するSUPIとを用いて、ローミング先ネットワークのアクセス及び移動性管理機能（具体的には、AMF60）と対応付けられるK_AMFを生成する。具体的には、端末装置110は、KDFに、K_SEAF及びSUPIを入力し、K_AMFを生成する。

　なお、端末装置110は、K_AMF=(K_SEAF,SUPI,…)の「…」によって示されるように、K_SEAFとSUPIとのみでなく、SEAF capabilitiesなど、SEAF50の他の情報を用いて、K_AMFを生成してもよい。

　同様に、ローミング先ネットワーク、具体的には、SEAF50は、K_SEAFを生成するとともに、KDFに、K_SEAF及びSUPIを入力し、K_AMFを生成する（S150）。

　なお、SEAF50も、K_AMF=(K_SEAF,SUPI,…)の「…」によって示されるように、K_SEAFとSUPIとのみでなく、SEAF capabilitiesなど、SEAF50の他の情報を用いて、K_AMFを生成してもよい。

　このように、端末装置110は、K_SEAFと、サービングネットワーク（HPLMN20）において加入者を識別するSUPIとを用いて、K_AMFを生成する。また、端末装置110のローミング先ネットワーク（具体的には、SEAF50）は、サービングネットワークから通知されたK_SEAFと、SUPIとを用いて、K_AMFを生成する。これにより、端末装置110と、ローミング先ネットワークとが、K_SEAF及びK_AMFを共有する。

　また、ローミング先ネットワークは、端末装置110とサービングネットワークと間の認証が成功した場合のみ、SUPIを取得し、取得したSUPIからK_AMFを取得することができる。

　なお、SEAF50は、ステップS30において取得したSUCIからSUPIを取得できる。このように、端末装置110は、K_SEAF及びK_AMFの共有に先立って、SUPIが暗号化されたSUCI（暗号化識別子）をローミング先ネットワーク（SEAF50）に提供する。

　（４）作用・効果
　上述した実施形態によれば、以下の作用効果が得られる。具体的には、本実施形態によれば、端末装置110及びVPLMN30のそれぞれは、K_SEAF（=K_ASME）と、SUPIとを用いて、K_AMFを生成する。このため、VPLMN30（SEAF50）は、相互認証の成功したUE100（加入者）のSUPIのみを用いて、安全にK_SEAF及びK_AMFを取得することができる。

　つまり、HPLMN20（AUSF/ARPF40）は、加入者との認証が成功するまでは、そのままSUPIをVPLMN30に提供する必要がない。よって、HPLMN20は、加入者のプライバシ保護を保持しつつ、正しく提供されたSUPIに紐づく加入者と、VPLMN30を提供する通信事業者との間の秘密情報の安全性を高い次元で達成し得る。

　すなわち、本実施形態によれば、端末装置110とHPLMN20とのセキュリティを確立した上で、安全かつ容易に当該加入者のSUPIをVPLMN30に提供し得る。

　本実施形態では、端末装置110及びSEAF50は、K_SEAFとSUPIとのみでなく、SEAF capabilitiesなど、SEAF50の他の情報、或いは端末装置110またはSEAF50機能セットを用いて、K_AMFを生成することができる。このため、端末装置110は、SEAF50が対応している機能に応じた処理などを実行することができる。同様に、SEAF50は、端末装置110が対応している機能のバーションをK_AMFから抽出することができるため、端末装置110が対応している機能に応じた処理などを実行することができる。

　本実施形態では、端末装置110とVPLMN30とがK_SEAF及びK_AMFを共有し、VPLMN30は、HPLMN20に問い合わせることなく、正しい加入者のSUPIからK_SEAF及びK_AMF取得することができる。このため、VPLMN30において、合法的傍受（Lawful Interception (LI)）が必要な場合でも、安全かつ容易に当該加入者のLIをVPLMN30で行うことができる。

　本実施形態では、端末装置110は、K_SEAF及びK_AMFのVPLMN30との共有に先立って、SUPIが暗号化されたSUCIをVPLMN30（SEAF50）に提供する。このため、VPLMN30は、加入者とHVPLMN間で認証が成功したときのみ、当該SUCIからSUPIを取得し、該当SUPIに紐づいたK_SEAF及びK_AMFを端末装置110と共有し得る。これにより、VPLMN30は、安全かつ容易に当該加入者のSUPIに紐づいたK_SEAF及びK_AMFを取得することができる。

　（５）その他の実施形態
　以上、実施形態に沿って本発明の内容を説明したが、本発明はこれらの記載に限定されるものではなく、種々の変形及び改良が可能であることは、当業者には自明である。

　例えば、上述した実施形態では、HPLMN20とVPLMN30との間においてK_SEAF及びK_AMFが共有される例について説明したが、このようなK_SEAF及びK_AMFの共有は、必ずしもHPLMNと、VPLMNに限らない。HPLMN20は、UE100の加入者が契約を有するネットワーク（サービングネットワーク）であればよく、VPLMN30は、当該加入者が直接の契約を有さない、つまり、当該通信事業者によって割り当てられたSUPIを有さないネットワーク（ローミング先ネットワーク）であればよい。

　また、上述した実施形態の説明に用いたブロック構成図（図２）は、機能ブロックを示している。これらの機能ブロック（構成部）は、ハードウェア及び／またはソフトウェアの任意の組み合わせによって実現される。また、各機能ブロックの実現手段は特に限定されない。すなわち、各機能ブロックは、物理的及び／または論理的に結合した１つの装置により実現されてもよいし、物理的及び／または論理的に分離した２つ以上の装置を直接的及び／または間接的に（例えば、有線及び／または無線）で接続し、これら複数の装置により実現されてもよい。

　さらに、上述したUE100（端末装置110）は、本発明の処理を行うコンピュータとして機能してもよい。図５は、UE100のハードウェア構成の一例を示す図である。図５に示すように、UE100は、プロセッサ1001、メモリ1002、ストレージ1003、通信装置1004、入力装置1005、出力装置1006及びバス1007などを含むコンピュータ装置として構成されてもよい。

　UE100の各機能ブロック（図２参照）は、当該コンピュータ装置の何れかのハードウェア要素、または当該ハードウェア要素の組み合わせによって実現される。

　プロセッサ1001は、例えば、オペレーティングシステムを動作させてコンピュータ全体を制御する。プロセッサ1001は、周辺装置とのインタフェース、制御装置、演算装置、レジスタなどを含む中央処理装置（CPU）で構成されてもよい。

　メモリ1002は、コンピュータ読み取り可能な記録媒体であり、例えば、ROM（Read
Only Memory）、EPROM（Erasable Programmable ROM）、EEPROM（Electrically Erasable Programmable ROM）、RAM（Random Access Memory）などの少なくとも１つで構成されてもよい。メモリ1002は、レジスタ、キャッシュ、メインメモリ（主記憶装置）などと呼ばれてもよい。メモリ1002は、上述した実施形態に係る方法を実行可能なプログラム（プログラムコード）、ソフトウェアモジュールなどを保存することができる。

　ストレージ1003は、コンピュータ読み取り可能な記録媒体であり、例えば、CD-ROM（Compact Disc ROM）などの光ディスク、ハードディスクドライブ、フレキシブルディスク、光磁気ディスク（例えば、コンパクトディスク、デジタル多用途ディスク、Blu-ray（登録商標）ディスク）、スマートカード、フラッシュメモリ（例えば、カード、スティック、キードライブ）、フロッピー（登録商標）ディスク、磁気ストリップなどの少なくとも１つで構成されてもよい。ストレージ1003は、補助記憶装置と呼ばれてもよい。上述の記録媒体は、例えば、メモリ1002及び／またはストレージ1003を含むデータベース、サーバその他の適切な媒体であってもよい。

　通信装置1004は、有線及び／または無線ネットワークを介してコンピュータ間の通信を行うためのハードウェア（送受信デバイス）であり、例えばネットワークデバイス、ネットワークコントローラ、ネットワークカード、通信モジュールなどともいう。

　入力装置1005は、外部からの入力を受け付ける入力デバイス（例えば、キーボード、マウス、マイクロフォン、スイッチ、ボタン、センサなど）である。出力装置1006は、外部への出力を実施する出力デバイス（例えば、ディスプレイ、スピーカー、LEDランプなど）である。なお、入力装置1005及び出力装置1006は、一体となった構成（例えば、タッチパネル）であってもよい。

　また、プロセッサ1001及びメモリ1002などの各装置は、情報を通信するためのバス1007で接続される。バス1007は、単一のバスで構成されてもよいし、装置間で異なるバスで構成されてもよい。

　また、情報の通知は、上述した実施形態に限られず、他の方法で行われてもよい。例えば、情報の通知は、物理レイヤシグナリング（例えば、DCI（Downlink Control Information）、UCI（Uplink Control Information））、上位レイヤシグナリング（例えば、RRCシグナリング、MAC（Medium Access Control）シグナリング、報知情報（MIB（Master Information Block）、SIB（System Information Block））、その他の信号またはこれらの組み合わせによって実施されてもよい。また、RRCシグナリングは、RRCメッセージと呼ばれてもよく、例えば、RRC Connection Setupメッセージ、RRC Connection Reconfigurationメッセージなどであってもよい。

　さらに、入出力された情報は、特定の場所（例えば、メモリ）に保存されてもよいし、管理テーブルで管理してもよい。入出力される情報は、上書き、更新、または追記され得る。出力された情報は削除されてもよい。入力された情報は他の装置へ送信されてもよい。

　上述した実施形態におけるシーケンス及びフローチャートなどは、矛盾の無い限り、順序を入れ替えてもよい。

　また、上述した実施形態において、AUSF/ARPF40またはSEAF50によって行われるとした特定動作は、他のネットワークノード（装置）によって行われることもある。また、複数の他のネットワークノードの組み合わせによってAUSF/ARPF40またはSEAF50の機能が提供されても構わない。

　なお、本明細書で説明した用語及び／または本明細書の理解に必要な用語については、同一のまたは類似する意味を有する用語と置き換えてもよい。例えば、該当する記載がある場合、チャネル及び／またはシンボルは信号（シグナル）であってもよい。また、信号はメッセージであってもよい。また、「システム」及び「ネットワーク」という用語は、互換的に使用されてもよい。

　さらに、パラメータなどは、絶対値で表されてもよいし、所定の値からの相対値で表されてもよいし、対応する別の情報で表されてもよい。例えば、無線リソースはインデックスで指示されるものであってもよい。

　gNB（基地局）は、１つまたは複数（例えば、３つ）のセル（セクタとも呼ばれる）を収容することができる。基地局が複数のセルを収容する場合、基地局のカバレッジエリア全体は複数のより小さいエリアに区分でき、各々のより小さいエリアは、基地局サブシステム（例えば、屋内用の小型基地局RRH：Remote Radio Head）によって通信サービスを提供することもできる。

　「セル」または「セクタ」という用語は、このカバレッジにおいて通信サービスを行う基地局、及び／または基地局サブシステムのカバレッジエリアの一部または全体を指す。
さらに、「基地局」「eNB」、「セル」、及び「セクタ」という用語は、本明細書では互換的に使用され得る。基地局は、固定局（fixed station）、NodeB、eNodeB（eNB）、gNodeB（gNB）、アクセスポイント（access point）、フェムトセル、スモールセルなどの用語で呼ばれる場合もある。

　UE100は、当業者によって、加入者局、モバイルユニット、加入者ユニット、ワイヤレスユニット、リモートユニット、モバイルデバイス、ワイヤレスデバイス、ワイヤレス通信デバイス、リモートデバイス、モバイル加入者局、アクセス端末、モバイル端末、ワイヤレス端末、リモート端末、ハンドセット、ユーザエージェント、モバイルクライアント、クライアント、またはいくつかの他の適切な用語で呼ばれる場合もある。

　本明細書で使用する「に基づいて」という記載は、別段に明記されていない限り、「のみに基づいて」を意味しない。言い換えれば、「に基づいて」という記載は、「のみに基づいて」と「に少なくとも基づいて」の両方を意味する。

　また、「含む（including）」、「含んでいる（comprising）」、及びそれらの変形の用語は、「備える」と同様に、包括的であることが意図される。さらに、本明細書或いは特許請求の範囲において使用されている用語「または（or）」は、排他的論理和ではないことが意図される。

　本明細書で使用した「第１」、「第２」などの呼称を使用した要素へのいかなる参照も、それらの要素の量または順序を全般的に限定するものではない。これらの呼称は、２つ以上の要素間を区別する便利な方法として本明細書で使用され得る。したがって、第１及び第２の要素への参照は、２つの要素のみがそこで採用され得ること、または何らかの形で第１の要素が第２の要素に先行しなければならないことを意味しない。

　本明細書の全体において、例えば、英語でのa, an, 及びtheのように、翻訳により冠詞が追加された場合、これらの冠詞は、文脈から明らかにそうではないことが示されていなければ、複数のものを含むものとする。

　上記のように、本発明の実施形態を記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。

　10　無線通信システム
　20　HPLMN
　30　VPLMN
　40　AUSF/ARPF
　50　SEAF
　60　AMF
　100　UE
　110　端末装置
　120　無線通信部
　130　K_ASME生成部
　140　K_SEAF生成部
　145　K_AMF生成部
　150　セキュリティ処理部
　200　UICC
　1001　プロセッサ
　1002　メモリ
　1003　ストレージ
　1004　通信装置
　1005　入力装置
　1006　出力装置
　1007　バス

Claims

　加入者を識別する加入者識別モジュールに格納されている秘密情報と、前記秘密情報に基づいて生成される暗号鍵及び完全性鍵の鍵ペアとを用いて、前記加入者識別モジュールが搭載された端末装置のセキュリティを確立するセキュリティ確立方法であって、
　前記端末装置とサービングネットワークとの相互認証を通じて前記鍵ペアを生成し、生成した前記鍵ペアを用いて、前記端末装置と前記サービングネットワークとが第１テンポラリ鍵を共有するステップと、
　前記端末装置、及び前記端末装置のローミング先ネットワークが、前記第１テンポラリ鍵を用いて、前記ローミング先ネットワークのセキュリティアンカー機能と対応付けられる第２テンポラリ鍵を生成するステップと、
　前記端末装置及び前記ローミング先ネットワークが、少なくとも前記第２テンポラリ鍵と、前記サービングネットワークにおいて前記加入者を識別する加入者識別子とを用いて、前記ローミング先ネットワークのアクセス及び移動性管理機能と対応付けられる第３テンポラリ鍵を生成するステップと
を含むセキュリティ確立方法。
　前記第３テンポラリ鍵を生成するステップでは、前記第２テンポラリ鍵と、前記加入者識別子と、前記セキュリティアンカー機能の能力を示す情報とを用いて、前記第３テンポラリ鍵を生成する請求項１に記載のセキュリティ確立方法。
　前記第３テンポラリ鍵を生成するステップでは、前記第２テンポラリ鍵と、前記加入者識別子と、前記加入者識別モジュールが搭載された前記端末装置の機能セットの番号または前記セキュリティアンカー機能の機能セットの番号とを用いて、前記第３テンポラリ鍵を生成する請求項１に記載のセキュリティ確立方法。
　前記ローミング先ネットワークが、前記端末装置と前記サービングネットワークと間の認証が成功した場合のみ、前記加入者識別子を取得するステップと、
　前記ローミング先ネットワークが、取得した前記加入者識別子から前記第２テンポラリ鍵を取得するステップと、
　前記端末装置と、前記ローミング先ネットワークとが、前記第２テンポラリ鍵を共有するステップとをさらに含む請求項１に記載のセキュリティ確立方法。
　前記端末装置が、前記第２テンポラリ鍵の共有に先立って、前記加入者識別子が暗号化された暗号化識別子を前記ローミング先ネットワークに提供するステップを含む請求項１に記載のセキュリティ確立方法。
　加入者を識別する加入者識別モジュールを搭載可能な端末装置であって、
　前記加入者識別モジュールに格納されている秘密情報に基づいて生成された暗号鍵及び完全性鍵の鍵ペアを用いて、第１テンポラリ鍵を生成する第１鍵生成部と、
　前記第１テンポラリ鍵を用いて、前記端末装置のローミング先ネットワークのセキュリティアンカー機能と対応付けられる第２テンポラリ鍵を生成する第２鍵生成部と、
　少なくとも前記第２テンポラリ鍵と、サービングネットワークにおいて前記加入者を識別する加入者識別子とを用いて、前記ローミング先ネットワークのアクセス及び移動性管理機能と対応付けられる第３テンポラリ鍵を生成する第３鍵生成部と
を備える端末装置。
　加入者を識別する加入者識別モジュールを搭載可能な端末装置と通信を実行するネットワーク装置であって、
　前記加入者識別モジュールに格納されている秘密情報に基づいて生成された暗号鍵及び完全性鍵の鍵ペアを用いて、第１テンポラリ鍵を生成する第１鍵生成部と、
　前記第１テンポラリ鍵を用いて、前記端末装置のローミング先ネットワークのセキュリティアンカー機能と対応付けられる第２テンポラリ鍵を生成する第２鍵生成部と、
　少なくとも前記第２テンポラリ鍵と、サービングネットワークにおいて前記加入者を識別する加入者識別子とを用いて、前記ローミング先ネットワークのアクセス及び移動性管理機能と対応付けられる第３テンポラリ鍵を生成する第３鍵生成部と
を備えるネットワーク装置。