知財求人 - 知財ポータルサイト「IP Force」
▶ コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップの特許一覧 ▶ ネダーランゼ・オルガニサティ・フォーア・トゥーゲパスト−ナトゥールヴェテンシャッペリーク・オンデルゾエク・ティーエヌオーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2018-201237(P2018-201237A)
(43)【公開日】2018年12月20日
(54)【発明の名称】ユーザ装置間での制御された証明書の供給
(51)【国際特許分類】
H04L 9/32 20060101AFI20181122BHJP
G09C 1/00 20060101ALI20181122BHJP
H04L 9/08 20060101ALI20181122BHJP
H04W 12/04 20090101ALI20181122BHJP
H04W 12/06 20090101ALI20181122BHJP
H04W 92/18 20090101ALI20181122BHJP
【FI】
H04L9/00 675A
G09C1/00 640E
H04L9/00 601C
H04W12/04
H04W12/06
H04W92/18
【審査請求】有
【請求項の数】16
【出願形態】OL
【全頁数】23
(21)【出願番号】特願2018-153914(P2018-153914)
(22)【出願日】2018年8月20日
(62)【分割の表示】特願2016-526130(P2016-526130)の分割
【原出願日】2014年10月24日
(31)【優先権主張番号】13190078.9
(32)【優先日】2013年10月24日
(33)【優先権主張国】EP
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.BLUETOOTH
2.ブルートゥース
(71)【出願人】
【識別番号】512287702
【氏名又は名称】コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ
(71)【出願人】
【識別番号】508351406
【氏名又は名称】ネダーランゼ・オルガニサティ・フォーア・トゥーゲパスト−ナトゥールヴェテンシャッペリーク・オンデルゾエク・ティーエヌオー
(74)【代理人】
【識別番号】100140109
【弁理士】
【氏名又は名称】小野 新次郎
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100120112
【弁理士】
【氏名又は名称】中西 基晴
(74)【代理人】
【識別番号】100173565
【弁理士】
【氏名又は名称】末松 亮太
(72)【発明者】
【氏名】デ・キーヴィット,サンデル
【テーマコード(参考)】
5J104
5K067
【Fターム(参考)】
5J104AA07
5J104AA16
5J104EA06
5J104EA09
5J104EA21
5J104KA02
5J104KA04
5J104KA06
5J104NA02
5J104NA36
5J104NA37
5J104NA38
5J104PA02
5K067AA34
5K067AA35
5K067BB04
5K067BB21
5K067DD11
5K067DD17
5K067EE02
5K067EE10
5K067EE16
5K067EE25
5K067EE35
5K067EE37
5K067FF02
5K067HH22
5K067HH23
5K067JJ13
(57)【要約】 (修正有)
【課題】第1ユーザ装置による、電気通信ネットワークを通じて第2ユーザ装置のユーザ・データ交換の制御のための方法を提供する。【解決手段】電気通信ネットワーク3において、第1ユーザ装置1は、証明書のセットを取得し、また、証明書のセットの少なくとも一部を第2ユーザ装置2に供給する。これにより、第2ユーザ装置が、電気通信ネットワークを通じてユーザ・データを交換することが可能になる。電気通信ネットワークを通じた第2ユーザ装置のデータ交換は第1ユーザ装置によって制御される。第1ユーザ装置は第1ユーザ装置が取得し第2装置に供給された証明書に関する制御動作を実行する。
【選択図】図1
【特許請求の範囲】
【請求項1】
第1ユーザ装置によって、電気通信ネットワークを通じた第2ユーザ装置のユーザ・データ交換を制御する方法であって、前記第1ユーザ装置および前記第2ユーザ装置が前記電気通信ネットワークに無線で接続するように構成され、当該方法が、
− 前記第1ユーザ装置によって証明書のセットを取得するステップであって、前記証明書のセットが、識別子、および前記電気通信ネットワークを通じた信号送信のための複数の信号送信鍵を含み、
− 前記第2ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にするために、前記第1ユーザ装置から前記第2ユーザ装置に前記証明書のセットの少なくとも一部を供給するステップと、
− 前記供給するステップの後に、前記第1ユーザ装置の制御動作によって前記電気通信ネットワークを通じて前記第2ユーザ装置のユーザ・データ交換を制御するステップであって、前記制御動作が、前記第1ユーザ装置によって取得され、前記第2ユーザ装置に供給される前記証明書に関して実行されるステップと、
を含む、方法。
− 前記第1ユーザ装置によって証明書のセットを取得するステップであって、前記証明書のセットが、識別子、および前記電気通信ネットワークを通じた信号送信のための複数の信号送信鍵を含み、
− 前記第2ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にするために、前記第1ユーザ装置から前記第2ユーザ装置に前記証明書のセットの少なくとも一部を供給するステップと、
− 前記供給するステップの後に、前記第1ユーザ装置の制御動作によって前記電気通信ネットワークを通じて前記第2ユーザ装置のユーザ・データ交換を制御するステップであって、前記制御動作が、前記第1ユーザ装置によって取得され、前記第2ユーザ装置に供給される前記証明書に関して実行されるステップと、
を含む、方法。
【請求項2】
請求項1記載の方法において、前記制御動作が、
− 前記識別子が前記第2ユーザ装置に供給された場合に、前記識別子を無効化するように前記電気通信ネットワークに命令するステップと、
− 前記第2ユーザ装置に供給された前記鍵の1つ以上を無効化するように前記電気通信ネットワークに命令するステップと、
の内少なくとも1つを含む、方法。
− 前記識別子が前記第2ユーザ装置に供給された場合に、前記識別子を無効化するように前記電気通信ネットワークに命令するステップと、
− 前記第2ユーザ装置に供給された前記鍵の1つ以上を無効化するように前記電気通信ネットワークに命令するステップと、
の内少なくとも1つを含む、方法。
【請求項3】
請求項1記載の方法において、前記証明書のセットの一部のみが前記第2ユーザ装置に供給され、前記制御動作が、
− 前記第1ユーザ装置に保持された1つ以上の証明書を修正するステップと、
− 前記第2ユーザ装置に供給された前記証明書の1つ以上を無効化するステップと、
の内少なくとも1つによって実行される、方法。
− 前記第1ユーザ装置に保持された1つ以上の証明書を修正するステップと、
− 前記第2ユーザ装置に供給された前記証明書の1つ以上を無効化するステップと、
の内少なくとも1つによって実行される、方法。
【請求項4】
請求項3記載の方法において、前記信号送信鍵が鍵階層に組織され、前記鍵階層の下位の鍵が、前記鍵階層の上位の鍵から導出され、前記第1ユーザ装置が、前記鍵階層の上位の1つ以上の信号送信鍵を保持している間に、前記鍵階層の下位の1つ以上の信号送信鍵を前記第2ユーザ装置に供給し、前記制御動作が前記鍵階層の上位の信号送信鍵の1つ以上についての新規の鍵を生成するステップを含む、方法。
【請求項5】
請求項3記載の方法において、前記第1ユーザ装置によって前記第2ユーザ装置に供給される前記信号送信鍵がユーザ・プレーン暗号鍵を含むのみであり、当該方法が、更に、
− 詳細包含ユーザ・データを前記第2ユーザ装置に供給するステップであって、前記詳細包含ユーザ・データは、前記第1ユーザ装置へのおよび/または前記第1ユーザ装置からのユーザ・データ送信において、ユーザ・データをどこで挿入および/または抽出すべきかについて前記第2ユーザ装置に通知する、ステップと、
− 前記第1ユーザ装置に維持している前記証明書の1つ以上にしたがって前記第2ユーザ装置のために前記ユーザ・データ交換を制御するステップと、
を含む、方法。
− 詳細包含ユーザ・データを前記第2ユーザ装置に供給するステップであって、前記詳細包含ユーザ・データは、前記第1ユーザ装置へのおよび/または前記第1ユーザ装置からのユーザ・データ送信において、ユーザ・データをどこで挿入および/または抽出すべきかについて前記第2ユーザ装置に通知する、ステップと、
− 前記第1ユーザ装置に維持している前記証明書の1つ以上にしたがって前記第2ユーザ装置のために前記ユーザ・データ交換を制御するステップと、
を含む、方法。
【請求項6】
請求項1記載の方法であって、更に、前記電気通信ネットワークを通じて前記第2ユーザ装置の前記ユーザ・データ交換のために、第1ユーザ装置と前記電気通信ネットワークの間のシグナリングを維持するステップを含み、
前記第1ユーザ装置による前記制御動作が、前記第1ユーザ装置で前記シグナリングを操作することを含む、方法。
前記第1ユーザ装置による前記制御動作が、前記第1ユーザ装置で前記シグナリングを操作することを含む、方法。
【請求項7】
請求項6記載の方法において、前記電気通信ネットワークが、LTEネットワークと、1つ以上の非アクセス層(NAS)鍵を含む前記第1ユーザ装置によって取得される前記証明書のセットとを含み、当該方法が、
− 前記第2ユーザ装置に供給される前記証明書の一部から前記NAS鍵の内1つ以上を削除するステップと、
− 前記制御動作によって前記第2ユーザ装置の前記ユーザ・データ交換を中断するステップであって、前記第1ユーザ装置の前記制御動作が、
− NASメッセージ・デタッチ要求を前記電気通信ネットワークに送信するステップと、
− 追跡領域更新(TAU)または認証および鍵同意手順の間に、前記電気通信ネットワークからチャレンジを受け取ると、認証失敗メッセージを送信するステップと
の内1つを含む、ステップと、
を含む、方法。
− 前記第2ユーザ装置に供給される前記証明書の一部から前記NAS鍵の内1つ以上を削除するステップと、
− 前記制御動作によって前記第2ユーザ装置の前記ユーザ・データ交換を中断するステップであって、前記第1ユーザ装置の前記制御動作が、
− NASメッセージ・デタッチ要求を前記電気通信ネットワークに送信するステップと、
− 追跡領域更新(TAU)または認証および鍵同意手順の間に、前記電気通信ネットワークからチャレンジを受け取ると、認証失敗メッセージを送信するステップと
の内1つを含む、ステップと、
を含む、方法。
【請求項8】
請求項1記載の方法であって、更に、
− 前記電気通信ネットワークからの第1識別子を用いて、前記第1ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にするステップと、
− 第2識別子を前記電気通信ネットワークから要求するステップと、
− 前記第2ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にするために、前記第2ユーザ装置に供給されることになる前記証明書のセットに前記第2識別子を含めるステップと、
を含む、方法。
− 前記電気通信ネットワークからの第1識別子を用いて、前記第1ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にするステップと、
− 第2識別子を前記電気通信ネットワークから要求するステップと、
− 前記第2ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にするために、前記第2ユーザ装置に供給されることになる前記証明書のセットに前記第2識別子を含めるステップと、
を含む、方法。
【請求項9】
請求項1記載の方法であって、前記第1ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にする識別子を受け取るステップと、当該識別子を第2ユーザ・デバイスに供給して、前記第2ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にするステップと、を含む、方法。
【請求項10】
請求項1から9のいずれか一項記載の方法であって、更に、前記証明書のセットの前記少なくとも一部を前記第2ユーザ装置に少なくとも供給するために、前記第1ユーザ装置および前記第2ユーザ装置の間で、LTE直接接続またはBluetooth接続のような直接接続を確立するステップを含む、方法。
【請求項11】
請求項1から10のいずれか一項記載の方法において、前記第1ユーザ装置が、証明書のセットの1つ以上を事前に取得し、前記証明書のセットの1つ以上を後の時間に1つ以上の第2ユーザ装置に供給する、方法。
【請求項12】
請求項1から11のいずれか一項記載の方法において、前記第1ユーザ装置による、
− 前記識別子を前記第2ユーザ装置に供給するステップと、
− 前記第2ユーザ装置を通じて、前記電気通信ネットワークから情報を受け取るステップと、
− 前記第2ユーザ装置から前記情報を受け取った後に、1つ以上の信号送信鍵を前記第2ユーザ装置に送信するステップと
を含む、方法。
− 前記識別子を前記第2ユーザ装置に供給するステップと、
− 前記第2ユーザ装置を通じて、前記電気通信ネットワークから情報を受け取るステップと、
− 前記第2ユーザ装置から前記情報を受け取った後に、1つ以上の信号送信鍵を前記第2ユーザ装置に送信するステップと
を含む、方法。
【請求項13】
コンピュータ・システム上で実行されると、請求項1から12のいずれか一項記載の方法を実行するように構成されるソフトウェア・コード部を含むコンピュータ・プログラム。
【請求項14】
請求項13記載のコンピュータ・プログラムを含む非一時的コンピュータ・プログラム媒体。
【請求項15】
請求項1から12のいずれか一項記載の方法を実行するように構成され、前記第2ユーザ装置によって前記ユーザ・データ交換を制御するようにコンピュータ・コードでプログラムされた回路を備える第1ユーザ装置であって、前記コンピュータ・コードが、前記回路によって実行されると、
− 証明書のセットを取得するステップであって、前記証明書のセットが、識別子、および前記電気通信ネットワークを通じた信号送信のための複数の信号送信鍵を含む、ステップと、
− 前記第2ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にするために、前記証明書のセットの少なくとも一部を前記第2ユーザ装置に供給するステップと、
− 制御動作によって前記電気通信ネットワークを通じて前記第2ユーザ装置の前記ユーザ・データ交換を制御するステップであって、前記制御動作が、前記第2ユーザ装置に供給される前記取得した証明書に関して実行される、ステップと
を実行する、第1ユーザ装置。
− 証明書のセットを取得するステップであって、前記証明書のセットが、識別子、および前記電気通信ネットワークを通じた信号送信のための複数の信号送信鍵を含む、ステップと、
− 前記第2ユーザ装置が前記電気通信ネットワークを通じてユーザ・データを交換するのを可能にするために、前記証明書のセットの少なくとも一部を前記第2ユーザ装置に供給するステップと、
− 制御動作によって前記電気通信ネットワークを通じて前記第2ユーザ装置の前記ユーザ・データ交換を制御するステップであって、前記制御動作が、前記第2ユーザ装置に供給される前記取得した証明書に関して実行される、ステップと
を実行する、第1ユーザ装置。
【請求項16】
請求項1から12のいずれか一項記載の方法により、第1ユーザ装置によって制御されるように構成される第2ユーザ装置であって、請求項15記載の前記第1ユーザ装置によって制御されるようにコンピュータ・コードでプログラムされた回路を備える、第2ユーザ装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザ装置間で制御された証明書の供給に関するものである。特に、本発明は、第1ユーザ装置によって、電気通信ネットワークを通じて第2ユーザ装置のユーザ・データ交換を制御する方法に関し、第1ユーザ装置から第2ユーザ装置に証明書を供給すると第1ユーザ装置が制御を維持することを可能にする。
【従来技術】
【0002】
接続性を用いることができ、または接続性を必要とできるユーザ装置の数は年々着実に増加している。現在では、テレビ、ゲーム機、カメラ等のような装置は、wifiアクセス・ポイント、またはケーブル接続された企業内イーサネットに接続する機能を備える。年が経つ毎に、通常の家庭が多数の接続装置を有することになる。その多くは携帯機(タブレット、電話、ゲーム機、カメラ、ナビゲーション・システム、自動車鍵、医療装置、腕時計、カメラを備える眼鏡、カメラ、電子ディスプレイ等)である。
【0003】
これら装置の幾らかにとっては、接続性は、wifiアクセス・ポイントに制限される。他方、このことは、冷蔵庫や加熱システムのようなローカル装置にとっては問題とはならない。携帯型装置にとって、このことは、移動中に使用されるときにアクセスが断続的となり、構成するのにしばしば負担となることを意味する。
【0004】
この課題への解決策は、無線アクセス・ネットワークを含む電気通信ネットワークにそれ自体が加入しているユーザ装置を全て提供することであろう。このような解決策は、移動している間もアクセスを提供することになる。しかしながら、それは、ユーザおよび電気通信ネットワークの運用業者の両方のために、全ての異なる装置について異なる全ての加入を(潜在的には異なるプロバイダと共に)管理するという負担を有する。更には、あらゆる加入は、おそらくそれ自体の加入費用を有することがある。それ故、より簡単な解決策では、移動している間に、装置に接続性を提供するために、ユーザに十分な柔軟性を提供することが必要となる。これらの装置は前の段落で言及したいずれかの装置も含み、携帯型とすることができるか、または車両内、マシン内、若しくは器具(例えば家庭用機器)内に組み込むことができる。
【0005】
US2012/0129498は、ネットワークとの接続のために最初は承認されていない無線通信装置が、ネットワークとの通信のために最初に承認された無線通信装置から、永続的なソフト・ネットワーク加入証明書情報の取得を可能にする方法および装置を開示する。1つの装置から別の装置への加入証明書の転送により、ネットワークとの通信を承認済みにするために、これまで承認されていない装置が承認される。この方法は、1つの通信装置のみが常にネットワークと通信できることを確実にする。
【発明の概要】
【発明が解決しようとする課題】
【0006】
従来技術の方法および装置は、他の装置から証明書情報を取得することによって、複数のユーザ装置のために電気通信ネットワークを通じたユーザ・データ交換を可能にする。後の装置だけが、電気通信ネットワークへの加入を有することを必要とする。しかしながら、従来技術の方法は、最初に証明書情報を有している装置から証明書情報を取得する装置(を有するユーザ)について完全な信頼性を前提とする。
【課題を解決するための手段】
【0007】
本開示は、第2装置、即ちスレーブ装置と称される装置が、第1装置、即ちマスタ装置と称される別のユーザ装置によって取得される証明書情報を供給される方法を提示する。第1ユーザ装置は、第2ユーザ装置に証明書を供給している間、電気通信ネットワークを通じた第2ユーザ装置のユーザ・データ交換にわたり、ある形態の制御を維持する。当該形態の制御は、例えば、電気通信ネットワークを通じた第2ユーザ装置のユーザ・データ交換を中断するために、第1ユーザ装置から制御動作を含むことができる。
【0008】
本開示の一態様は、第1ユーザ装置によって、電気通信ネットワークを通じた第2ユーザ装置のユーザ・データ交換を制御する方法である。第1ユーザ装置および第2ユーザ装置は共に、電気通信ネットワークに無線で接続するように構成される(すなわち、両装置とも、無線アクセス機能を有するが、第2ユーザ装置は電気通信ネットワークにアクセスするのを承認されない。何故ならば、第2ユーザ装置は加入しておらず、それ故、第2ユーザ装置自体への証明書を有していないか、または証明書を取得することができないからである。)。
【0009】
第1ユーザ装置は、証明書のセットを、例えば電気通信ネットワークを通じて若しくは(U)SIMから、または、電気通信ネットワークを通じて受信した情報からおよび/若しくは(U)SIMからの証明書を配信することによって取得する。証明書は、電気通信ネットワークへの無線アクセスを可能にし、また、電気通信ネットワークを通じて安全な通信を可能にする情報を含む。また、識別子(例えば、T−IMSIのような一時的な識別子)、並びにネットワークを通じた信号送信のため(ユーザ・データ送信のため、およびデータ伝送のシグナリングのための両方)の複数の鍵を含む。
【0010】
少なくとも一部であるが、完全なものが見込まれる証明書のセットは、第2ユーザ装置に供給され、第2ユーザ装置(ネットワークへの承認済みのアクセスに必要とされる証明書を未だに有していない。何故ならば、例えば第2ユーザ装置は別個の加入を有していないからである)が電気通信ネットワークを通じてユーザ・データを交換するのを可能にする。
【0011】
電気通信ネットワークを通じた第2ユーザ装置のデータ交換は、第1ユーザ装置によって制御される。そのためには、第1ユーザ装置は、第1ユーザ装置によって取得され第2装置に供給される証明書に関して制御動作を実行する。このような制御のための様々なオプションが、後述する実施形態において開示される。
【0012】
本開示の他の態様は、コンピュータ・システムで実行されると、本明細書に開示する方法を実行するように構成されるソフトウェア・コード部を含むコンピュータ・プログラムに関する。
【0013】
本開示の更なる態様は、コンピュータ・プログラムを備える非一時的コンピュータ・プログラム媒体に関する。
【0014】
加えて、コンピュータ・プログラムを有して構成されるユーザ装置が開示される。
【0015】
これらの態様の全てにおいて、第1ユーザ装置には、第2ユーザ装置に別個の加入を要求とすることなく、第1ユーザ装置が取得した証明書のセットに関連する制御動作によって、第2ユーザ装置のデータ交換の制御が提供される。このことは、第1ユーザ装置によって、完全な信頼性を前提とすることなく、第2ユーザ装置に証明書を供給するのを可能にする。如何なる理由で、第1ユーザ装置が第2ユーザ装置のユーザ・データ交換を中断することを望む場合であっても、第1ユーザ装置は制御動作を実行することができる。
【0016】
なお、第1ユーザ装置および第2ユーザ装置が別個の装置であることが認められて然るべきである。例えば、第1ユーザ装置および第2ユーザ装置の両方が、それぞれ、ベースバンド・プロセッサ、および電気通信ネットワークに無線で接続するように構成されるソフトウェアを有する。
【0017】
更に、証明書(識別子、信号送信鍵(複数可))はまた、第1装置によって、当該第1ユーザ装置が受け取る情報から導出できることも認められて然るべきである。
【0018】
一実施形態では、第1ユーザ装置は、証明書のセットを取得し、証明書の完全なセットを第2ユーザ装置に供給する。証明書のセットは、第1ユーザ装置が証明書自体を適用することとなる場合に、電気通信ネットワークを介して第1ユーザ装置がユーザ・データを交換するのを許可することになる。証明書の完全なセットを第2ユーザ装置に提供することの利点は、電気通信ネットワーク内での、また異なる無線アクセス技術(RAT)を有するネットワーク間のハンドオーバを、第1ユーザ装置を介在することなく第2ユーザ装置が可能とすることである。
【0019】
この場合は、第1ユーザ装置の制御動作は、電気通信ネットワークに対し、第2ユーザ装置に供給される識別子および/または鍵を無効化するように命令することができる。これらの何れの制御動作も、ある時点で、第2ユーザ装置とのユーザ・データ交換を使用不能にする。
【0020】
他の実施形態では、第1ユーザ装置は、証明書のセットを取得するが、証明書のセットの一部を第2ユーザ装置に提供するのみである。この実施形態の利点は、増加した制御オプションが、電気通信ネットワークを通じて第2ユーザ装置のユーザ・データ交換を制御するのに利用可能となるということである。例としては、第1ユーザ装置において維持される1または複数の証明書を修正し、および/または第2ユーザ装置に供給される証明書の内1つ以上を無効化することが含まれる。
【0021】
一実施形態では、証明書のセットが有する信号送信鍵が鍵階層に組織され、鍵階層の下位の鍵が、鍵階層の上位の鍵から導出される。このような鍵階層は、例えば、4GのLTE電気通信ネットワークのために、または、次世代電気通信ネットワークのために存在する。第2ユーザ装置に供給される鍵の一部は、例えば、鍵階層の下位の1つ以上の信号送信鍵を含んでもよい。第1ユーザ装置内に維持され、すなわち第2装置に供給されない鍵は、例えば、鍵階層の上位の鍵を含んでもよい。第1ユーザ装置による制御動作が新規の上位の鍵を生成することにより、(上位の鍵から導出される)下位の鍵を無効化する。第1ユーザによる当該制御動作は、鍵の生成のために第2ユーザ装置の如何なる協力がなくても実行することができる(従ってまた、第2ユーザ装置によってブロックすることもできない)。導出は第1ユーザ装置および電気通信ネットワークによって実行される。
【0022】
他の実施形態では、第2ユーザ装置に供給される信号送信鍵のみが、ネットワークの無線部分を通じてユーザ・データを暗号化するのに使用されるユーザ・プレーン暗号鍵(user plane encryption key)である。第1ユーザ装置は、更なる詳細包含ユーザ・データ(user data inclusion detail)を、例えば第2ユーザ装置のベースバンド・プロセッサへの直接接続によって、第2ユーザ装置に供給する。このように、第1ユーザ装置は、詳細包含ユーザ・データを供給する。即ち、第1ユーザ装置への/からのユーザ・データ送信においてユーザ・データをどこで挿入および/または抽出すべきかについて第2ユーザ装置に通知する。第1ユーザ装置は、第2のユーザ装置を介してユーザ・データ交換を制御するために、第1ユーザ装置に維持する(remain)如何なる証明書も制御することができる。
【0023】
更なる別の実施形態では、制御は、第1ユーザ装置が、第2ユーザ装置の第1ユーザ装置とのユーザ・データ交換のために、シグナリング情報送信の少なくとも一部を維持する(maintain)ことによって実行することができる。したがって、シグナリング情報またはその送信を操作することにより、第2ユーザ装置のユーザ・データ交換について第1ユーザ装置による制御を可能にする。
【0024】
その1つの特定の例では、電気通信ネットワークはLTEネットワークを含み、第1ユーザ装置によって取得される証明書のセットは、1つ以上の非アクセス層(NAS)鍵を含む。NAS鍵は第1ユーザ装置で保たれる。また、NAS鍵に関係する第1ユーザ装置からの制御動作は、NASメッセージ・デタッチ要求を電気通信ネットワークに(特にMMEに)送信するステップを含み、および/または、追跡領域更新(TAU)の間に、電気通信ネットワークからチャレンジを受け取るときに、認証失敗メッセージを送信するステップを含む。当該実施形態の利点は、制御動作が、3GPP規格である、3GPPTS 23.401および3GPPTS 33.102において現在それぞれ設けられる手順を遵守するということである。
【0025】
別の特定の例は次世代ネットワークに関し、ユーザ・データ送信およびシグナリング送信は、LTEネットワーク用とは全く別個のもの用となるであろう。次世代ネットワークのために、ユーザ・データ伝送のための、また、シグナリングのための物理的な接続は、第1ユーザ装置および第2ユーザ装置用のものとは異なってもよく、第1ユーザ装置上の物理的なシグナリング接続を制御することによって、第2ユーザ装置の物理データ接続を第1ユーザ装置が制御するのを可能にする。
【0026】
本開示の一実施形態では、方法は、電気通信ネットワークからの第1識別子を用いて、第1ユーザ装置が電気通信ネットワークを介してユーザ・データを交換するのを可能にするステップ、および第2識別子を電気通信ネットワークから要求するステップを含む。第2ユーザ装置が電気通信ネットワークを介してユーザ・データを交換するのを可能にするために、第2識別子が第2ユーザ装置に供給される。このようにして、電気通信ネットワークは、証明書の第2ユーザ装置への移送が通知される。この方法の利点は、(第1識別子を介した)第1ユーザ装置および(第2ユーザ識別子を介した)第2ユーザ装置が、共に、ユーザ・データの交換のために電気通信ネットワークに接続できるということである。
【0027】
他の実施形態では、第1ユーザ装置は、それ自体のユーザ識別子を第2ユーザ装置に供給する。このようにして、ネットワークは、1つの加入の下で2つのそれぞれの識別子を有する2つのユーザ装置の存在をサポートする必要がない。
【0028】
更なる別の開示する実施形態では、方法は、証明書のセットの少なくとも一部を第2ユーザ装置に少なくとも供給するために、第1ユーザ装置および第2ユーザ装置の間で、LTE直接接続またはBluetooth接続のような直接接続を確立するステップを含む。当該ステップは、特に、証明書のセットの一部のみが第2ユーザ装置に供給される実施形態では特に有用となる。
【0029】
一実施形態では、第1ユーザ装置が、証明書の1つ以上のセットを事前に取得し、証明書のセットの1つ以上を後の時間に1つ以上の第2ユーザ装置に供給する。このようにして、第1ユーザ装置は、1またそれ以上の証明書を第2ユーザ装置に供給しないうちに、第1ユーザ装置自体の電気通信ネットワークとの接続を確立する必要はない。
【0030】
一実施形態では、第1ユーザ装置は、その識別子を第2ユーザ装置に供給する。第2ユーザ装置は、識別子を用いて電気通信ネットワークに接続し、電気通信ネットワークから情報を受け取る。当該情報は、1つ以上の証明書(例えば1つ以上の信号送信鍵)を導出するために、第1ユーザ装置に転送される。このようなプロセスの例は、電気通信ネットワークとのチャレンジ・レスポンス・プロセスである。第1ユーザ装置は、導出された証明書の1つ以上を第2ユーザ装置に供給する。
【0031】
なお、第1ユーザ装置による制御動作が、ネットワークに通知する、ユーザ・データ交換がもはや許可されてはならないときの時間情報を収容できることが認められて然るべきである。時間情報は、第2ユーザ装置に供給される証明書についての有効時間を含むことになる。当該情報は、第2ユーザ装置のためのデータ接続が使用不能にされなければならないか、またはこれ以上許可されてはならない時点よりも前の如何なる好適な時間においても、ネットワークに供給されることができる。
【0032】
本発明は、特許請求の範囲に記載の特徴の全てのあり得る組み合わせに関するものであることに留意されたい。
【0033】
本発明の態様は、図面に示される例示の実施形態を参照することにより、より詳細に説明されることになる。
【図面の簡単な説明】
【0034】
【発明を実施するための形態】
【0035】
図1は、第1ユーザ装置1および第2ユーザ装置2を電気通信ネットワーク3と結合して備えるシステムの概要図である。
【0036】
第1ユーザ装置1はUSIM11を備え、第1ユーザ装置1がベースバンド・プロセッサ12を用いて無線で電気通信ネットワーク3にアクセスするのを承認(authorize)する。第1ユーザ装置1は、更に、一般的なプロセッサ13およびストレージ14を備える。
【0037】
第2ユーザ装置2は、ベースバンド・プロセッサ22、一般的なプロセッサ23、およびストレージ24を備える。第2ユーザ装置はUSIMを収容していないこともある。
【0038】
第1ユーザ装置1は直接通信インタフェース15を備える。また、第2ユーザ装置は直接通信インタフェース25を備え、該直接通信インタフェースを通じて直接接続を確立することができる。直接接続は、電気通信ネットワーク3からは独立した1対1の接続である。例には、LTEダイレクト、ブルートゥース、および赤外線等が含まれる。プロセッサ13,23は、このような直接接続を確立することができる他の装置の存在を検知する発見プロトコルをランすることができる。
【0039】
USIM11の情報のおかげで、第1ユーザ装置は、電気通信ネットワーク3に単独でアクセスすることができ、電気通信ネットワーク3を通じてユーザ・データを交換することができる装置となる。USIM11は、通例、IMSIやマスタ鍵のような加入情報を収容し、電気通信ネットワーク3によって、第1ユーザ装置を、加入を有する装置として認識し、その後に、第1ユーザ装置に、鍵または鍵(複数可)を導出できる情報のような必要な情報を提供するのを可能にする。このような装置の例には、移動体電話、タブレット型コンピュータ、ラップトップなどが含まれる。
【0040】
第2ユーザ装置2はUSIMを収容しない(または、USIMを使用することができない、若しくはそれを望まない)。しかしながら、第1ユーザ装置1と同様に、第2ユーザ装置2はベースバンド・プロセッサ22を搭載し、第2ユーザ装置は、証明書にアクセスするときに電気通信ネットワーク3にアクセスするのを可能にする。年が経つにつれ、第2装置2のような装置は、それらの活路を家庭に見いだすことになることが予想される。このような装置は、現在のところ、wifiアクセス・ポイントにアクセス可能な装置(例えば、タブレット、電話機、ゲーム・コンソール、カメラ、ナビゲーション・システム、自動車鍵、医療機器、腕時計、カメラを備える眼鏡、電子ディスプレイ等)を含むことができる。第2装置2はまた、好ましくは携帯型装置である。第2装置2はまた、マシンまたは家庭用機器を含むことができる。
【0041】
図2は、第2ユーザ装置2に証明書を供給して、当該証明書を最初に処理することなく第2ユーザ装置2が電気通信ネットワーク3を通じてアクセスおよびデータ交換するのを可能にする実施形態を例示する時系図である。証明書は、1つ以上の(一時的な)識別子を含むか、該識別子から成り、その下で、装置はネットワーク内で、および1つ以上の鍵または導出された鍵で公知になる。
【0042】
ステップS1では、第1ユーザ装置1は、USIM11に格納される幾らかの情報を使用するというような公知の手法で、電気通信ネットワーク3にコンタクトする。また、ステップS2でネットワーク3から情報を取得する。情報は、例えば、一時的な識別子(T−IMSI)や、USIM11に格納されるマスタ鍵と組み合わせて1つ以上の鍵が導出される(ステップS3)情報を収容する。T−IMSIおよび導出鍵が証明書を構成する。第1ユーザ装置1は、当該証明書用いて、電気通信ネットワーク3を介してデータを交換するために電気通信ネットワーク3にアクセスすることができる。証明書は、メモリ14に格納することができる。
【0043】
次いで、ステップS4では、第1ユーザ装置1は、証明書の一部または全部を第2ユーザ装置2に供給する。好ましくは、これらの証明書は、第1ユーザ装置1から、直接通信インタフェース15,25の間で確立された直接接続を介して第2ユーザ装置2へ移送される。第2ユーザ装置は、受け取った証明書をメモリ24に格納することができる。
【0044】
次いで、ステップS5では、第2ユーザ装置2は、ベースバンド・プロセッサ22を用いて、ネットワーク3、および第1ユーザ装置1から取得した、メモリ24に格納された証明書にアクセスする。
【0045】
ステップS6では、第2ユーザ装置2では、これより、電気通信ネットワーク3を通じてユーザ・データを交換することが可能である。
【0046】
しかしながら、1つの開示される態様では、第1ユーザ装置1が、第2ユーザ装置2のデータ交換にわたる制御を維持する。特に、第2ユーザ装置2がこの制御を妨げることができないように、制御は、第2ユーザ装置2とは独立したものとなる。この制御は、第1ユーザ装置によってのみ、または第1ユーザ装置1およびネットワーク3の協力によっての何れかで実行され、ステップS6のまわりに点線で概略的に示される。制御は、時間依存としてもよい。すなわち、第1ユーザ装置は、第2ユーザ装置のデータ交換がもはや可能ではなく、または、時間情報から導出された時間の特定時間後までは継続してはならないということをネットワークに通知してもよい。
【0047】
第1ユーザ装置1による制御範囲は、第2ユーザ装置に供給される証明書に依存する。例えば、第2ユーザ装置2に供給された一時的な識別子T−IMSIがもはや有効な識別子とみなしてはならないことを、ネットワーク3に通知してもよい。他の例では、第1ユーザ装置1の制御下で鍵についての鍵リフレッシュ手順を開始するようにしてもよく、その結果、第1ユーザ装置1の制御下で鍵から導出される、第2ユーザ装置2に供給される別の鍵を無効化することができる。
【0048】
図5から図12を参照して様々なより詳細な例を提供する前に、ロング・ターム・エボリューション(LTE)ネットワーク3についての簡単な説明を、図3を参照して提供する。また、このようなネットワークで使用される様々な鍵についての簡単な説明を、図4を参照して提供する。
【0049】
図3は、電気通信ネットワーク3の概要図である。
【0050】
図3の上側の分岐は、次世代ネットワーク(一般にロング・ターム・エボリューション(LTE)または進化したパケット・システム(EPS: Evolved Packet System)と表示される。)を表す。このようなネットワークは、PDNゲートウェイ(P−GW)およびサービング・ゲートウェイ(S−GW)を備える。EPSのE−UTRANは、デバイス2のために無線アクセスを提供する進化NodeB(eNodeBまたはeNB)を備え、パケット・ネットワークを介してS−GWに接続される。S−GWは、シグナリングの目的で、ホーム加入者サーバHSSおよび移動管理エンティティMMEに接続される。HSSは、ユーザ装置1の加入情報を収容する加入プロフィール・レポジトリSPRを含むことができる。
【0051】
EPSネットワークの一般的なアーキテクチャの更なる情報は、3GPPTS 23.401に見つけることができる。
【0052】
図3の下側の分岐は、GPRSまたはUMTSネットワークを表し、ゲートウェイGPRSサポート・ノード(GGSN)、サービングGPRSサポート・ノード(SGSN)および無線アクセス・ネットワーク(RANまたはUTRAN)を備える。GSM/EDGE無線アクセス・ネットワーク(GERAN)のために、RANは、複数の基地局(トランシーバ)ステーション(BS、BTS)に接続され、共に図示されない基地局コントローラ(BSC)を備える。UMTS無線接続ネットワーク(UTRAN)のために、RANは、複数のNodeBに接続され、これも図示されない無線ネットワーク・コントローラ(RNC)を備える。通常、GGSNおよびSGSNは、ユーザ装置1の加入情報を収容することができるホーム・ロケーション・レジスタ(HLR)またはホーム加入者サーバ(HSS)に接続される。
【0053】
電気通信ネットワーク3は、データ・セッションまたはPDPコンテキストとも称される、ユーザ・データのための接続を、パケット・データ・ネットワーク41を通じてサーバ・システム40およびユーザ装置1の間で確立することを可能にする。ここでは、ユーザ装置1の電気通信ネットワーク3へのアクセスは無線である。
【0054】
図4は、LTE電気通信ネットワークのための鍵階層の概略図である。
【0055】
鍵KASMEは、完全鍵IK、暗号鍵CKおよびサービング・ネットワークIDから、公知の方法で、第1ユーザ装置およびネットワーク(より詳細には、認証センタAuC)の両方で生成される。生成された鍵KASMEから、NASシグナリング、RRCシグナリング、および無線インタフェース上のユーザ・プレーン通信の保護のための鍵が、図4に示されるように生成される。
【0056】
NAS鍵KNAsencおよびKNAsmtは、第1ユーザ装置およびMMEの間のセッション管理における暗号化のために使用される。鍵KUPenc,KRRCint,およびKRRCencは、UEと基地局eNodeBの間の無線インタフェースにおいて使用される。これらの鍵は、中間鍵KeNBを使用して導出される。KRRC鍵は、シグナリングをしている無線リソースのために使用するアクセス層の鍵である。ユーザ・プレーン鍵KUPは、無線インタフェース上の(ユーザ・プレーン)トラフィックの暗号化のために使用される。
【0057】
第2ユーザ装置のデータ交換の制御は、第1ユーザ装置によって取得される如何なる鍵に基づいてもよい。例えば、ユーザ・プレーン鍵KUPが第2ユーザ装置に供給される場合に、NASまたはRRC鍵のいずれか一方に対し鍵リフレッシュを開始することを通じて第1ユーザ装置によって制御を働かせる(exercise)ことができる。同様に、RRC鍵またはNAS鍵が第2ユーザ装置に提供されている場合に、ユーザ・プレーンおよび/若しくはNAS鍵に基づいて、またはユーザ・プレーンおよび/若しくはRRC鍵に基づいて、それぞれ、制御を実行することができる。鍵KASMEが第2ユーザ装置に供給される場合に、第1ユーザ装置は、新規のAKAを開始することをネットワークに要求することによって制御を実行してもよい。
【0058】
同様の制御オプションが、図3を参照して簡潔に説明されるUTMSおよびGPRSネットワークを含む他の種別のネットワークのために存在する。
【0060】
図5では、第1ユーザ装置1および第2ユーザ装置2は、或る時間t0でペアになっており、また、直接接続がセットアップされているものと想定する。セッションは、第1ユーザ装置1とネットワークの間で進行していてもよい。或る後の時間t1=t0+dfでは、第1ユーザ装置1は、バッテリ・セーブ・モードに入れること、または、継続中の呼を近くにある第2ユーザ装置2に転送することを望む。ステップi)では、第1ユーザ装置1が呼/セッションを第2ユーザ装置に移送することを望んでいることを、第1ユーザ装置はネットワークに通知する。ステップii)では、ネットワークは、第2ユーザ装置2で使用されることになる一時的な識別子Xおよび鍵または鍵識別子(どの鍵を使用すべきか、または鍵を導出するのにどの情報を使用すべきかについてシグナリングする識別子)を第1ユーザ装置1に供給する。ステップiii)では、第1ユーザ装置1は、直接リンクを通じて識別子X、およびリーチできるネットワークの識別子をまさにユーザ装置2に供給する。ステップiv)では、次いで、第2ユーザ装置2は識別子Xを用いてネットワークに接続する。
【0061】
ステップv)では、ネットワークは、(チャレンジを用いて)AKAを開始する。これは、規格化された何れのLTEKAであってもよい。第2ユーザ装置2は、ステップvi)でチャレンジを第1ユーザ装置1に転送する。ステップvii)では、第1ユーザ装置1は、レスポンスを計算して、第2ユーザ装置にそれを送る。第2ユーザ装置はそれをネットワークに送る。ネットワークは、そのレスポンスを予測したレスポンスと比較して、ステップviii)で、第2ユーザ装置2にOKを供給する。第2ユーザ装置2はそれを第1ユーザ装置1に転送する。
【0062】
ステップix)では、第1ユーザ装置1は、鍵のセットを第2ユーザ装置2に提供する。これらの鍵は、例えば、ユーザ・プレーン鍵KUPおよび無線リソース鍵KRRCを含むことができる。これら2つの鍵を用いて、第2ユーザ装置2はユーザ・プレーン・トラフィックを復号化して挿入し、また、それがE−UTRANの1つのeNodeBのリーチ(reach)を維持する限り、無線チャネルに対して適切に振る舞うことができる。ハンドオーバ等(より高位レベル上の鍵を必要とする)のために、第2ユーザ装置2は、全ての手順について第1ユーザ装置1を参照する(consult)。非アクセス層鍵KNASを必要とするセッション管理のために、第2ユーザ装置2はまた第1ユーザ装置1に依存する。このようにして、第1ユーザ装置は、接続の制御を維持し、また、必要または要求に応じて第2ユーザ装置を素早く使用不能にすることができる。
【0063】
オプションで、ユーザ・データ・セッション(例えば、呼、ビデオ・ストリーム)が現在、第1ユーザ装置1とネットワークの間でオープンであった場合に、第1ユーザ装置1またはネットワーク内のエンティティは、ステップx)に示すように、第1ユーザ装置1から第2ユーザ装置2へのハンドオーバを開始することができる。ネットワーク側では、このことは、セッションが第2ユーザ装置2にルーティングされ(すなわち、宛先トラフィックのアドレスを変更し)、また、セッションが新規の鍵を用いて暗号化されることを要する。第1ユーザ装置1では、ステップxi)に示すように、特定アプリケーション向け情報が第2ユーザ装置2に転送される。このことは、第2ユーザ装置2が、どのようなアプリケーション・トラフィックが予想されることになっているか(例えば、VoIPトラフィック、ビデオ・ストリーム、フェイスブック・トラフィック)、どのようなトラフィックが第2ユーザ装置でハンドルされるか(例えばVoIPおよびビデオ)、そして、何が第1ユーザ装置1に転送されるべきか(例えばフェイスブックおよび電子メールの検索)について通知されることを意味する。このような機構は、TCP/IP層で容易に実装される。TCP/IP層では、宛先ポート番号が特定アプリケーションに対応する。次いで、第2ユーザ装置2はトラフックを選択的に転送することができる。第2ユーザ装置2は、或るアプリケーション・トラフックが転送されるのと同様に、少なくともNASシグナリングを第1ユーザ装置に転送してもよい(第2ユーザ装置自体はNAS鍵を何ら有していない)。接続は、鍵リフレッシュ手順を開始することで終了することができ、これにより、第2ユーザ装置2の鍵を無効化することができる。
【0064】
図5の実施形態では、第1ユーザ装置1および第2ユーザ装置2が直接接続を確立しないうちでさえも、第1ユーザ装置は既にAKAを要求および実行し、この情報を格納することができる。第1ユーザ装置1は、これより、代わりにスレーブ・デバイスになることを第2ユーザ装置2に通知してもよい。このようにして、接続をセットアップするのにより少ない数のステップを要してもよい。
【0065】
第2ユーザ装置2に供給される鍵は、異なる無線アクセス技術(RAT間ハンドオーバ)で、ネットワークへの第2ユーザ装置2のハンドオーバを可能にすることはしない。第2ユーザ装置2がLTEネットワーク用の鍵を有する場合、これらの鍵は、UMTSネットワークのために、またはGSMネットワークのために使用することはできない。しかしながら、このようなハンドオーバは、本開示に提示される機構では尚も実行されることができる。
【0066】
第1の解決策では、第2ユーザ装置2は、完全なUMTSまたはGSM接続のために必要となる第1ユーザ装置1から全ての証明書を取得してもよい。第2ユーザ装置2は、LTE適用範囲が終了すること、また、UMTSまたはGSMが、従って公知の方法で利用可能であることを検出する。第2ユーザ装置2は、UMTS/GSMネットワークへのアタッチを開始する。ネットワークは、次いで、AKAを開始し、第2ユーザ装置2が第1ユーザ装置1に転送する。第1ユーザ装置1およびネットワークは、UMTS(2つの鍵)またはGSM(1つの鍵)の場合に使用されることになる新規の鍵を導出する。第1ユーザ装置1と第2ユーザ装置2の間の直接接続は、維持してもよいし、そうでなくてもよい。第1ユーザ装置1は、この場合、ネットワークへの信号経路をもはや有しなくてもよい。しかしながら、第1ユーザ装置1自体は尚も、(可能ならば)LTEネットワークへ接続することが許可され、また、セッション・シグナリングは次いで、以前に使用されたのと同一の鍵を使用して保護されることができる。このようにして異なるネットワークに接続される第1ユーザ装置1および第2ユーザ装置2を共に有するために、(第1ユーザ装置1が接続される)LTEネットワークおよび(第2ユーザ装置2が接続されてもよい)UMTSネットワークが有するコア・ネットワーク・コンポーネントの間で追加のシグナリングを構成することができる。
【0067】
第2の解決策では、ハンドオーバが必要とされる場合に、第1ユーザ装置1と第2ユーザ装置2の間のトラフックの方向を逆転させることができる。第1ユーザ装置1と第2ユーザ装置2の間の直接接続は維持され、第1ユーザ装置1はUMTSまたはGSMネットワークに接続する。第1ユーザ装置1は、第2ユーザ装置2からユーザ・データを受け取り、ユーザ・データをネットワークに転送する。当該第2の解決策の利点は、ハンドオーバが第2ユーザによって実行することができない場合に、第2ユーザ装置のユーザ・データの交換を、第1ユーザ装置1を介して継続できるということである。
【0068】
図6の実施形態では、ネットワークは、第1ユーザ装置1から第2ユーザ装置2への証明書の一部の移送については通知されない。図6の実施形態の利点は、何らのネットワーク・サポートが、第2ユーザ装置のネットワークとの接続のためには必要とされないということである。
【0069】
第1ユーザ装置1および第2ユーザ装置2は、或る時間t0でペアになっており、また、直接接続が確立されている。或る後の時間t1=t0+dfでは、第1ユーザ装置1は、バッテリ・セーブ・モードに入れること、または、第2ユーザ装置2に、入来する呼を代わりにハンドルさせることを望む。このことは、何らのセッションが現在アクティブではない場合に行うことができる。
【0071】
ステップiii)では、第1ユーザ装置1は、直接リンクを通じて第2ユーザ装置2にそれ自体の識別子Y、およびリーチできるネットワークの識別子を提供する。ステップiv)では、次いで、第2ユーザ装置2は第1ユーザ装置の識別子Yを用いて、進行するネットワークに接続する。
【0072】
ステップv)では、ネットワークは、(チャレンジを用いて)AKAを開始する。これは、如何なる規格化されたLTEAKAにもすることができる。ステップvi)では、第2ユーザ装置2は、第1ユーザ装置1にチャレンジを転送する。ステップvii)では、第1ユーザ装置1はレスポンスを計算し、それを第2ユーザ装置2に送る。第2ユーザ装置2はレスポンスをネットワークに転送する。ステップviii)では、ネットワークは、レスポンスを、予期された応答と比較し、OKを第2ユーザ装置2に供給する。第2ユーザ装置2はOKを第1ユーザ装置1に転送する。ステップv)からステップviii)は、セキュリティ・コンテキストを例えばLTEに格納できる場合は省略してもよい。鍵はネットワークに格納され、何らの完全なAKAは必要ではない。その場合、ステップ5−8は省略することができる。このような例を図7に示す。
【0073】
ステップix)では、第1ユーザ装置1は、鍵のセットを第2ユーザ装置2に供給する。これらの鍵は、例えばユーザ・プレーン鍵KUPおよび無線リソース鍵KRRCを収容することができる。これらの2つの鍵を用いて、第2ユーザ装置2はユーザ・プレーン・トラフィックを復号化および挿入することができ、また、E−UTRANの1つのeNodeBのリーチ内に維持する限り、無線チャネル上で適切に振る舞うことができる。
【0074】
(より高位レベル上の鍵を必要とする)ハンドオーバ等のために、第2ユーザ装置2は、全ての手順について第1ユーザ装置1を参照してもよい。(非アクセス層鍵KNASを必要とする)セッション管理のために、第2ユーザ装置2はまた、第1ユーザ装置1に依存する。このようにして、第1ユーザ装置1は、接続の制御を維持し、必要とまたは要求される場合に素早く第2ユーザ装置2を使用不能にすることができる。
【0075】
第1ユーザ装置1は、受け取ることを望む、或るアプリケーション・トラフィックが存在するかどうかを指し示すことができ、第2ユーザ装置2が第1ユーザ装置1にそのアプリケーション・トラフィックを転送するのを要求することができる。第2ユーザ装置2は、第1ユーザ装置1に少なくともNASシグナリングを転送することができる(第2ユーザ装置それ自体はNAS鍵を取得していない。)。接続は、鍵リフレッシュ手順を開始することによって第1ユーザ装置1によって終了させることができる。これにより、第2ユーザ装置2に供給される鍵を無効化する。
【0076】
図8Aおよび図8Bは、如何にして、証明書情報の一部を第2ユーザ装置2に供給しながら、第1ユーザ装置1を用いて制御を維持するかについて、図5から図7とは異なる表現(representation)で概要的に図示する。
【0077】
図8Aは、第1ユーザ装置1から第2のユーザ装置2に証明書の幾らをハンドオーバするのよりも前のケースを図示する。ユーザ・データは、接続Iを通じて第1ユーザ装置から無線ネットワークに移送され、また、コンテンツ・ネットワークへの接続IIを通じてコンテンツ・ネットワークに移送される。次いで、必要な場合に、接続IIIを通じて更に移送される。シグナリング・トラフィックは、接続IおよびIVを通じて、MMEへのセッション・ハンドリングのために搬送され、点線で示されるように論理接続Vをメイク・アップする。
【0078】
図8Bは、接続VIを通じて証明書の一部を第2ユーザ装置2へ移送した後の図示である。ユーザ・データは、接続VIIを通じて(また、恐らくは接続VIを通じて)、第2ユーザ装置2から無線ネットワークへと移送され、次いで、接続IIおよびIIIを通じて更に移送される。シグナリング・トラフィックは、現在、接続VI,VII,VIIIを通じており、尚も論理接続Vをメイク・アップしている。したがって、制御は第1ユーザ装置1との間で維持される。何故ならば、第1ユーザ装置1は、第2ユーザ装置2に供給される証明書を無効化し、セッションを停止するように決定することができるからである。第1ユーザ装置1と第2ユーザ装置2の間の直接接続が何らかの理由でブロックされる場合は、第2ユーザ装置2の接続は、新規の鍵が導出さなければならないとすぐに、または、例えばセッション管理の障害が生じたためにネットワークが接続を終了した場合に、故障が生じる(fail)ことになる。
【0079】
第1ユーザ装置1から第2ユーザ装置2に供給される証明書の量および/または種別は、わずか少量から完全なセットまで変化させることができる。
【0080】
図9の実施形態では、ユーザ・プレーン鍵KUPだけが第2ユーザ装置2に供給される。
【0081】
第1ユーザ装置1および第2ユーザ装置2によって近接性が検出されると、直接接続が確立される。ステップi)では、第2ユーザ装置2は、第1ユーザ装置1からネットワークへのデータ・セッションを要求する。このようなセッションが未だ存在しない場合は、第1ユーザ装置1はネットワークとのセッションを確立する。ステップii)では、第1ユーザ装置がベースバンド・プロセッサ22(図1参照)に直接トークするのを望むことを、第1ユーザ装置が第2ユーザ装置2に通知する。加えて、第1ユーザ装置は、ユーザ・データを挿入する方法を第2ユーザ装置2に通知し、また、ユーザ・プレーン鍵KUPを第2ユーザ装置2に供給する。特定の時点において、第2ユーザ装置2は無線接続を引き継ぎ、第1ユーザ装置1はベースバンド・プロセッサに直接トークし、どこにユーザ・データ・トラフィックを挿入すべきかについて第2ユーザ装置2に通知する。
【0082】
第1ユーザ装置1は第2ユーザ装置2のベースバンド・プロセッサ22に直接トークするので、第1ユーザ装置1は、全てのシグナリングを行う(アクセス層および非アクセス層)。第2ユーザ装置2はユーザ・プレーン・トラフィックを直ちに挿入する。GSMまたはUMTSへのハンドオーバは、第1ユーザ装置1が新規に導出した鍵を第2ユーザ装置2に与えて第2ユーザ装置2にセッションをハンドルさせること、または、第1ユーザ装置1が、全てのトラフィックを自らハンドルすることのいずれかを要求し、また、ユーザ・データが直接接続(つまり、ネットワークに向けて、第2ユーザ装置2から第1ユーザ装置1まで)を通じてフローすることを要求する。
【0083】
単一の鍵を第2ユーザ装置2に供給のみする代替として、図9を参照して説明するように、取得した証明書の完全なセットが、第1ユーザ装置1から第2ユーザ装置2に供給されてもよい。第1ユーザ装置1による制御は、第2ユーザ装置2に供給される証明書の1つ以上をもはや受け入れてはならないことをネットワークに通知することによって取得される。このような実施形態の様々な例について、これより図10から図12を参照して説明する。
【0084】
図10では、第1ユーザ装置1および第2ユーザ装置が近くにあり、或る時間t0でペアとなり、直接接続が確立されているものと想定する。後の時間t1=t0+dtでは、第1ユーザ装置1は、バッテリ・セーブ・モードに入れるか、または近くにある第2ユーザ装置2に進行中の呼を転送することを望む。第1ユーザ装置1は、ステップi)において、第1ユーザ装置1が第2ユーザ装置2を通じて接続することを望んでいることをネットワークに通知する。ステップii)では、ネットワークは、第1ユーザ装置1に、一時的な識別子X、および1以上の鍵、または鍵識別子(複数可)Yを含む証明書の完全なセットを供給する。ステップiii)では、第1ユーザ装置1は、第2ユーザ装置2に、識別子X、鍵、および第2ユーザ装置2がリーチできるネットワークの識別子を供給する。
【0085】
第2ユーザ装置2は、次いで、公知の手法により、ステップiv)で第1ユーザ装置1から受け取った証明書を用いてネットワークに接続し、ステップv)からステップvii)で完全なAKAを実行する。第2ユーザ装置2は、証明書の完全なセットを有し、それ自体で全ての管理機能を実行することができる。第1ユーザ装置1は、セッションを第2ユーザ装置2にハンドオーバすることができる。しかしながら、第2ユーザ装置2が接続されるべきことの制御は、第2ユーザ装置2に供給された証明書に関する情報を用いて、ネットワークへの接続およびシグナリングによって、第2ユーザ装置2の証明書を知っている第1ユーザ装置1から未だに働かせてもよい。第2ユーザ装置2は、ネットワークからデタッチしたときにセキュリティ・コンテキストを保存してもよく(ステップviii)、また、第1ユーザ装置1がさもなければネットワークに命令しない限り、後の時間で再度アタッチしてもよい(ステップix)およびステップx))。
【0086】
更なる実施形態について、図11および図12に開示する。双方の実施形態では、第1ユーザ装置1および第2ユーザ装置2は、或る時間t0でペアにされ、直接接続がセットアップされている。後の時間t1=t0+dtでは、第1ユーザ装置1は、バッテリ・セーブ・モードに入るか、または進行中の呼を近くの第2ユーザ装置2に転送することを望む。ステップi)では、第1ユーザ装置1が第2ユーザ装置2を通じて接続するのを望むことをネットワークに通知する。ステップii)では、ネットワークは、第1ユーザ装置1に識別子Xを供給する。次いで、図11のステップiii)からステップviii)、および図12のステップiii)からステップvi)では、AKAは、(図11のように第2ユーザ装置を通じてリレーされて)第1ユーザ装置1によって実行されるか、または、(図12に示されるように)第1のユーザ装置1それ自体によって実行される。
【0087】
鍵が取得されると、ステップix)(図11)、およびステップvii)(図12)では、第1ユーザ装置1は、鍵を第2ユーザ装置2に供給する。図12の例ではまた、識別子は、第2ユーザ装置2に供給される。再び、セキュリティ・コンテキストを保存することによって、第2ユーザ装置2が接続することがこれ以上許されてはならないことを第1ユーザ装置1がネットワークに通知していない限り、再度、第2ユーザ装置2はデタッチおよびアタッチすることができる。
【0088】
上記の解決策の代替では、第1ユーザ装置1は、第2ユーザ装置2への接続を有しているかどうかとは独立して、証明書を取得してもよい。第1ユーザ装置1は、必要なときはいつでも、例えば事前に複数の完全な証明書のセットを取得することができ、また、これらを使用することができる。同様に、ネットワークおよび第1ユーザ装置1は、共有の秘密/鍵について、第1ユーザ装置1が、当該第1ユーザ装置1内で新規の証明書のセットを導出するのに使用できることに同意することができる。その場合、共有の秘密が、証明書の元のセットの証明を提供することになる(ネットワークおよび第1ユーザ装置1のみが共有の秘密を知っているので、如何なる第三装置もが第1ユーザ装置1からそれを得なければならない。)。このような情報はまた、第2ユーザ装置2のアタッチに応じて、第1ユーザ装置1によって第2ユーザ装置2に供給される証明書に収容されることができる。
【0089】
第2ユーザ装置2は、当該第2ユーザ装置2に以前に与えられた識別子をリスンするように指示されてもよい。その結果、第2ユーザ装置2と第1ユーザ装置1の間の直接接続をセットアップすることができる(第1ユーザ装置1は次いで、当該識別子をブロードキャストすることになる。)。第1ユーザ装置1および第2ユーザ装置2が、より大きな距離でそれら自体を見つけるときは、第1ユーザ装置1によるブロードキャストは、運用業者のネットワークを通じて伝達することができ、また、第2ユーザ装置2はセルラ・ネットワーク(または単に無線/アクセス・ネットワーク)に接続することができ、デバイス・ツー・デバイスの接続をセットアップすることができる。更なる必要条件は、第2ユーザ装置2をどこにページングするかをネットワークが知っているということである。何故ならば、静的な位置を有するからであるか、または、第2ユーザ装置2は、ネットワーク若しくはユーザ装置1に通知するのを維持するからである。
【0090】
有利なことに、別個に加入する必要はない。というのは、あらゆる装置および全ての装置は1つの装置(ファミリ所有の装置の場合は複数)から管理されることができるからである。したがって、家族が4人のメンバおよび4つの加入を有する場合は、家庭内の娯楽システム、写真カメラ、またはゲーム・コンソールを潜在的に制御することができる4つの装置がある。
【0091】
完全な証明書のセットが第2ユーザ装置2に供給される解決策のために、カバレッジを変更するように特別に構成する必要がない。LTE、UMTS、およびGSMのカバレッジの間の移動は、シームレスに可能である。何故ならば、当該セットは完全なものだからであり、それ故、ハンドオーバのための全ての規格化された手順を適用する。
【0092】
開示された実施形態の中には、全ての情報が第2ユーザ装置2に提供されるというわけではなく、第1ユーザ装置1は、使用されることになるチャネル(例えば周波数)、および情報を送るのに利用可能なタイム・スロットについて第2ユーザ装置に通知するものがある。第2ユーザ装置2は、次いで、当該第2ユーザ装置2がリレーまたはリピートしている接続を効果的に盗聴する(eavesdrop)ことができる全ての情報を有する。
【0093】
実施形態の中には、第1ユーザ装置1による制御が、第1ユーザ装置1のシグナリングを維持し、第2ユーザ装置2のユーザ・ユーザと協働のみをすることによって実行されるものもある。そのように、第1ユーザ装置1は、鍵リフレッシュ手順を開始することによって効果的に制御することができる。追加なセキュリティについての他のポイントは、セッション・シグナリングが第1ユーザ装置1とネットワークの間で維持するということである。このことにより、第1ユーザ装置1は、セッションのプロパティ(例えば、最大許容されたスループットおよびQoSの態様)を制御することができる。第1ユーザ装置1は、セッションに対して許容されるもの(例えば、大きくないダウンロード)についての(幾らかの)制御を保持する。
【0094】
開示された制御機構は、プライバシ強化技術のために用いることができる。例えば、医療用装置(例えばペースメーカ、血圧モニタリング装置、血糖値モニタリング装置等)は、この技術を用いて、情報をネットワークにプッシュすることができる。この場合、ヘルスケア装置(第2ユーザ装置)は加入を有することができないが、電話機(第1ユーザ装置)とペアにされる。或る時点で、ヘルスケア装置は、情報をヘルスケア・プロバイダに送ることを望む。医療用装置は次いで、電話機を(それが近くにあるかどうか見るために)ページングする。電話機がページング・メッセージを受信する場合に、電話機は応答し、直接接続がセットアップされる。次いで、医療用装置は、幾らかのデータを送るために、ネットワークに接続することを望むことを示す。電話機は次いで、装置が情報を送信するのを許可すべきか否かについて決定することができる。
【0095】
先に説明したように、開示された制御機構は、LTE(4G)ネットワークおよびUMTSネットワークを含む、様々なネットワークを想定している(envisage)。現時点では、LTEネットワークに続くことを目的とする次世代ネットワーが開発中である。次世代ネットワークとLTEネットワークを区別する1つの態様は、ユーザ・プレーン・データおよびシグナリング・プレーン・データを更に分離することである。
【0096】
図13は、次世代ネットワークのために想定される鍵階層を表す。次世代ネットワークの鍵階層はEPS鍵階層に似ている。鍵階層は、図4に示したように、LTE鍵階層に対して大きい類似性を有する。しかしながら、UE−eNodeB無線インタフェースについての更なる鍵区分を有する。特に、ユーザ・プレーン鍵Kupは、中間鍵(例えば、セッション識別子)を使用することにより、単一のeNodeBおよび単一のデータ・セッションに割り当てることができる。中間鍵から、複数のユーザ・プレーン鍵K’UPencが導出される。
【0097】
このことは、第1ユーザ装置1が、ネットワークおよび第2ユーザ装置2との直接の(物理的な)シグナリング接続を有することを可能にし、その結果、図14に示すような直接の(物理的な)ユーザ・データ接続を有することができる。信号接続は、低い帯域幅チャネルを備えることができ、ユーザ・データ接続は、より高い帯域幅を有するチャネルを備えることができる。第2ユーザ装置2のユーザ・データ交換の制御は、シグナリング情報またはその送信を操作する第1ユーザ装置1によって実行することができる。
【0098】
第1ユーザ装置1および第2ユーザ装置2の間の直接接続は、第1ユーザ装置1が、リソースおよびセッションのシグナリングを実行するのを可能にし、また、無線経路上でのユーザ・データ送信および他のイベントのタイミングに関し、第2ユーザ装置2に通知するのを可能にする。セッション識別子がユーザ・プレーン鍵KUPを導出するために使用される場合は、第1ユーザ装置1および第2ユーザ装置2は共に、ネットワークとのセッションを有することができる。第1ユーザ装置1は次いで、それ自身および第2ユーザ装置2の両方のために、2重のセッション管理制御機能を働かせることができる。図14では、第1ユーザ装置1は、第2ユーザ装置2にユーザ・プレーン鍵を提供したに過ぎない。
【0099】
ユーザ・プレーンおよびシグナリング・プレーンについて強化した分離は、ユーザ・プレーンおよびシグナリング・プレーンについての異なる識別子を使用することを可能にする。例えば、識別子は、ハッシュ関数を使用して、TMSI(シグナリングのために使用する)およびセッション識別子から導出することができる。このことはまたスケーラブルな解決策となる。何故ならば、このようにして、あらゆるデータ接続が関連の識別子を取得するからである。
【0100】
なお、実行されることになるステップに関して本方法を説明してきたが、説明したステップは、説明した厳密な順序で、および/または順々に実行されなければならないものと解釈されてはならない。当業者にとって、均等な技術的結果に到達するために、ステップの順序を変更する、および/または、並行してステップを実行することを構想することができる。
【0101】
幾らかの変更態様では、当業者は、本明細書に説明した実施形態を、他のアーキテクチャ、ネットワーク、または技術に拡張することができる。
【0102】
本発明の様々な実施形態は、コンピュータ・システムまたはプロセッサと共に使用するプログラム製品として実装することができる。ここでは、プログラム製品のプログラム(複数可)は、(本願明細書で説明した方法を含む)実施形態の機能を規定する。一実施形態において、プログラム(複数可)は、(一般的には「ストレージ」と称される)様々な非一時的コンピュータ可読ストレージ媒体上に収容することができる。ここでは、本明細書に用いたように、「非一時的コンピュータ可読ストレージ媒体」という表現は、一時的であり、信号を伝搬する唯一の例外を除き、全てのコンピュータ可読媒体を含む。他の実施形態では、プログラム(複数可)は、様々な一時的コンピュータ可読ストレージ媒体上に収容されてもよい。例示のコンピュータ可読ストレージ媒体は、次のものを含むがこれに限定されない。即ち、(i)情報が永続的に格納される非書き込み可能ストレージ媒体(例えば、CD−ROMドライブによって読み取り可能なCD−ROMディスク、ROMチップ、または如何なる種別のソリッド・ステート不揮発性半導体メモリによっても読み込み可能なCD―ROMディスクのようなコンピュータ内のリードオンリ・メモリ・デバイス)、および(ii)変更可能な情報が格納される書き込み可能ストレージ媒体(例えば、フラッシュ・メモリ、ディスケット駆動機構若しくはハードディスク装置内のフロッピー・ディスク、または如何なる種別のソリッド・ステート・ランダム・アクセス半導体メモリ)である。
【0103】
なお、如何なる実施形態に関して説明される如何なる特徴も、単独で、または、説明した他の特徴と組み合わせて用いることができ、また、実施形態の如何なる他の1つ以上の特徴との組み合わせ、または実施形態の如何なる他のものとの如何なる組み合わせにより用いることもできることが理解されるべきである。更に、本発明は、上記の実施形態に限定されることはなく、添付の請求の範囲の範囲内で変化されてもよい。