特許7398030UE、ネットワーク装置、UEの方法、及びネットワーク装置の方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-06
(45)【発行日】2023-12-14
(54)【発明の名称】UE、ネットワーク装置、UEの方法、及びネットワーク装置の方法
(51)【国際特許分類】
H04W 12/037 20210101AFI20231207BHJP
H04W 12/72 20210101ALI20231207BHJP
H04W 60/00 20090101ALI20231207BHJP
【FI】
H04W12/037
H04W12/72
H04W60/00
【請求項の数】
20
(21)【出願番号】P 2022079916
(22)【出願日】2022-05-16
(62)【分割の表示】P 2019564717の分割
【原出願日】2019-01-09
(65)【公開番号】P2022107011
(43)【公開日】2022-07-20
【審査請求日】2022-05-16
(31)【優先権主張番号】201811001460
(32)【優先日】2018-01-12
(33)【優先権主張国・地域又は機関】IN
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】バスカラン シーバ バッキア メーリ
(72)【発明者】
【氏名】ラクシュミナラヤナン シバカミー
(72)【発明者】
【氏名】プラサド アナンド ラガワ
(72)【発明者】
【氏名】アルムガム シババラン
(72)【発明者】
【氏名】伊藤 博紀
(72)【発明者】
【氏名】吉澤 敬人
【審査官】望月 章俊
(56)【参考文献】
【文献】Nokia, LG Electronics. CATT,SIDF purpose in initiation of authentication[online],3GPP TSG SA WG3 #89 S3-173446,Internet<URL:http://www.3gpp.org/ftp/tsg_sa/WG3_Se,2017年12月01日
【文献】Ericsson, Vodafone,SUCI -- format and generation[online],3GPP TSG SA WG3 #88 S3-171786,Internet<URL:http://www.3gpp.org/ftp/tsg_sa/WG3_Se,2017年07月31日
(58)【調査した分野】(Int.Cl.,DB名)
H04W4/00-H04W99/00
H04B7/24-H04B7/26
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
UE(User Equipment)であって、複数の保護方式のうちの1つの保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記UEが前記SUPIを秘匿化するのに前記複数の保護方式のうちのどれを用いたかを識別する保護方式識別子と、を含み、それ故、第2のネットワーク装置が前記保護方式識別子によって識別される前記保護方式に基づいて前記SUPIに非秘匿化できるように構成されたSUCI(subscription concealed identifier)を生成する手段と、
前記第2のネットワーク装置への送信のために、Registration Requestメッセージに含まれる前記SUCIを登録処理中に第1のネットワーク装置へ送信する手段と、を備え、
前記複数の保護方式は、第1の保護方式及び第2の保護方式を含み、
前記保護方式識別子は、前記第1の保護方式が用いられる場合は前記第1の保護方式を識別し、かつ、前記第2の保護方式が用いられる場合は前記第2の保護方式を識別する、
UE。
【請求項2】
前記第2のネットワーク装置は、第2のコアネットワーク装置である、請求項1に記載のUE。
【請求項3】
前記第2のコアネットワーク装置は、UDM(Unified Data Management)を含む、請求項2に記載のUE。
【請求項4】
前記第2のコアネットワーク装置は、SIDF(Subscription Identifier De-concealing Function)を含む、請求項2に記載のUE。
【請求項5】
前記第1のネットワーク装置は、第1のコアネットワーク装置である、請求項1乃至4のいずれか一項に記載のUE。
【請求項6】
前記保護方式識別子は、プロファイルを識別する、請求項1乃至4のいずれか一項に記載のUE。
【請求項7】
ネットワーク装置であって、UE(User Equipment)によって生成されるSUCI(subscription concealed identifier)であって、複数の保護方式のうちの1つの保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記UEが前記SUPIを秘匿化するのに前記複数の保護方式のうちのどれを用いたかを識別する保護方式識別子と、を含む前記SUCIを含むメッセージを受信する手段と、
前記保護方式識別子によって識別される前記保護方式に基づいて、前記SUCIを前記SUPIに非秘匿化する手段と、を備え、
前記複数の保護方式は、第1の保護方式及び第2の保護方式を含み、
前記保護方式識別子は、前記第1の保護方式が用いられる場合は前記第1の保護方式を識別し、かつ、前記第2の保護方式が用いられる場合は前記第2の保護方式を識別する、
ネットワーク装置。
【請求項8】
前記ネットワーク装置は、コアネットワーク装置である、請求項7に記載のネットワーク装置。
【請求項9】
前記コアネットワーク装置は、UDM(Unified Data Management)を含む、請求項8に記載のネットワーク装置。
【請求項10】
前記コアネットワーク装置は、SIDF(Subscription Identifier De-concealing Function)を含む、請求項8に記載のネットワーク装置。
【請求項11】
UE(User Equipment)の方法であって、複数の保護方式のうちの1つの保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記UEが前記SUPIを秘匿化するのに前記複数の保護方式のうちのどれを用いたかを識別する保護方式識別子と、を含み、それ故、第2のネットワーク装置が前記保護方式識別子によって識別される前記保護方式に基づいて前記SUPIに非秘匿化できるように構成されたSUCI(subscription concealed identifier)を生成し、
前記第2のネットワーク装置への送信のために、Registration Requestメッセージに含まれる前記SUCIを登録処理中に第1のネットワーク装置へ送信し、
前記複数の保護方式は、第1の保護方式及び第2の保護方式を含み、
前記保護方式識別子は、前記第1の保護方式が用いられる場合は前記第1の保護方式を識別し、かつ、前記第2の保護方式が用いられる場合は前記第2の保護方式を識別する、
方法。
【請求項12】
前記第2のネットワーク装置は、第2のコアネットワーク装置である、請求項11に記載の方法。
【請求項13】
前記第2のコアネットワーク装置は、UDM(Unified Data Management)を含む、請求項12に記載の方法。
【請求項14】
前記第2のコアネットワーク装置は、SIDF(Subscription Identifier De-concealing Function)を含む、請求項12に記載の方法。
【請求項15】
前記第1のネットワーク装置は、第1のコアネットワーク装置である、請求項11乃至14のいずれか一項に記載の方法。
【請求項16】
前記保護方式識別子は、プロファイルを識別する、請求項11乃至14のいずれか一項に記載の方法。
【請求項17】
ネットワーク装置の方法であって、UE(User Equipment)によって生成されるSUCI(subscription concealed identifier)であって、複数の保護方式のうちの1つの保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記UEが前記SUPIを秘匿化するのに前記複数の保護方式のうちのどれを用いたかを識別する保護方式識別子と、を含む前記SUCIを含むメッセージを受信し、
前記保護方式識別子によって識別される前記保護方式に基づいて、前記SUCIを前記SUPIに非秘匿化し、
前記複数の保護方式は、第1の保護方式及び第2の保護方式を含み、
前記保護方式識別子は、前記第1の保護方式が用いられる場合は前記第1の保護方式を識別し、かつ、前記第2の保護方式が用いられる場合は前記第2の保護方式を識別する、
方法。
【請求項18】
前記ネットワーク装置は、コアネットワーク装置である、請求項17に記載の方法。
【請求項19】
前記コアネットワーク装置は、UDM(Unified Data Management)を含む、請求項18に記載の方法。
【請求項20】
前記コアネットワーク装置は、SIDF(Subscription Identifier De-concealing Function)を含む、請求項18に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、UDM(Unified Data Management)を有せる次世代システムに関する。
【背景技術】
【0002】
移動通信システムの分野において、非特許文献1及び非特許文献2に開示されているように、5G(5 Generation)と称される次世代システムの構成が検討されている。次世代システムにおいては、UDM(Unified Data Management)によって加入者データ等を管理することが検討されている。UDMは、SIDF(Subscription Identifier De-concealing Function)サービスに基づいたSUCI(Subscription Concealed Identifier)の非秘匿化(解読化)プロセスを提供する。SUCIは、UE(User Equipment)によって生成される。SUCIは、秘匿化されたSUPI(Subscription Permanent Identifier)を含む。
【0003】
SIDFサービスに基づいたSUCIの非秘匿化プロセスにおいて、非特許文献1には、UDMが、SUPIを取得するためにSUCIの非秘匿化を実行することが開示されている。UDMは、SUPIに基づいて、端末とネットワークとの認証処理に用いられる認証方法を選択する。
【先行技術文献】
【非特許文献】
【0004】
【文献】3GPP TS 33.501 V0.6.0 (2018-01), Security Architecture and Procedures for 5G System (Release 15)
【文献】3GPP TS 23.501 V15.0.0 (2017-12), System Architecture for 5G System; Stage 2 (Release 15)
【発明の概要】
【発明が解決しようとする課題】
【0005】
上述した関連技術において、UDMは、SUPIの秘匿化に使用された保護方式がわからないため、SUCIの非秘匿化プロセスを実行することができないという問題点がある。
【0006】
本開示の目的は、上述した課題を解決する通信端末、ネットワーク装置、及び方法を提供することである。
【課題を解決するための手段】
【0007】
本開示の第1の態様にかかる通信端末は、所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含むSUCI(subscription concealed identifier)を生成する制御手段と、前記SUCIを生成するために使用された前記保護方式に基づいて、第2ネットワーク装置が前記SUCIから前記SUPIを非秘匿化するために、前記SUCIを登録処理中に第1ネットワーク装置へ送信する送信手段と、を有する。
【0008】
本開示の第2の態様にかかるネットワーク装置は、通信端末によって生成されるSUCI(subscription concealed identifier)であって、所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含む前記SUCIを含むメッセージを受信する受信手段と、前記SUCIを生成するために使用された前記保護方式に基づいて、前記SUCIから前記SUPIを非秘匿化する制御手段と、を有する。
【0009】
本開示の第3の態様にかかる通信方法は、所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含むSUCI(subscription concealed identifier)を生成し、前記SUCIを生成するために使用された前記保護方式に基づいて、第2ネットワーク装置が前記SUCIから前記SUPIを非秘匿化するために、前記SUCIを登録処理中に第1ネットワーク装置へ送信する。
【0010】
本開示の第4の態様にかかる非秘匿化方法は、通信端末によって生成されるSUCI(subscription concealed identifier)であって、所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含む前記SUCIを含むメッセージを受信し、前記SUCIを生成するために使用された前記保護方式に基づいて、前記SUCIから前記SUPIを非秘匿化する。
【発明の効果】
【0011】
本開示における効果は、ネットワークにおいて、SUPIを確実に取得することができる点である。
【図面の簡単な説明】
【0012】
【図1】実施の形態1にかかるSUPI保護方式及びその方法の識別、並びにSUPI非秘匿化を説明する図である。
【図2】実施の形態1にかかるMAC生成及びSPSI完全性検証プロセスを説明する図である。
【図3】実施の形態1にかかるSPSI暗号化及び復号化プロセスを説明する図である。
【図4】実施の形態にかかる通信端末の構成図である。
【図5】実施の形態にかかるネットワーク装置の構成図である。
【発明を実施するための形態】
【0013】
発明者は、SIDFサービスに基づいたSUCIの非秘匿化(de-concealment)プロセスにおいて、次の二つの問題があると言っている。
【0014】
(i)UE(User Equipment)は、SUPI(Subscription Permanent Identifier)からSUCIを生成するが、UEが使用したSUPI保護方式(SPSI:SUPI Protection Scheme Identifier/Indicator)のコアネットワークへの通知が不足している。
【0015】
(ii)SPSIに対する保護の欠如は、攻撃者によるSPSIの改竄を容易にし、コアネットワークにおけるSUPI非秘匿化の失敗につながる。
【0016】
上記の2つの問題を以下に詳細に説明する。
【0017】
(i)SUPI保護方式(SPSI)及びその方法通知(Indication)の欠如
ホームネットワーク(PLMN(Public Land Mobile Network)が、SUPI秘匿化のためにどの保護方式(例えば、SUPI秘匿方式とその方法、又はSUPI秘匿化で使用されている楕円曲線(Elliptic curve)又はセキュリティプロファイル)がUEで使用されているかを認識していない場合、ホームネットワークはSUPIを非秘匿化することができない。したがってホームネットワークは、加入(subscription)/加入者(subscriber)の識別が不可能となる。
ホームネットワーク(PLMN(Public Land Mobile Network)が、SUPI秘匿化のためにどの保護方式(例えば、SUPI秘匿方式とその方法、又はSUPI秘匿化で使用されている楕円曲線(Elliptic curve)又はセキュリティプロファイル)がUEで使用されているかを認識していない場合、ホームネットワークはSUPIを非秘匿化することができない。したがってホームネットワークは、加入(subscription)/加入者(subscriber)の識別が不可能となる。
【0018】
問題となるシナリオとして以下が考えられる。5GにおけるSUPI秘匿化のために提案されている多様な楕円曲線は、secp384r1、NIST P-384、NIST P-256、brainpool384、brainpool256、M-383、Curve41417、及びCurve25519を含む。ホームネットワーク内のUDMはSIDFサービスを提供し、そこにおいて、UDMは、多数の加入者に対して同時に、異なる保護方式によるSUPIの非秘匿化を処理することが求められる。UDM/SIDFにおける一つの障害は、PLMN内のSUPI非秘匿化プロセス全体に影響する。
【0019】
(ii)SUPI保護方式識別子(SPSI)の完全性及び機密性保護
UEによって送信されたSPSIがコアネットワークに送信中に保護されない場合、SPSIは攻撃者によって改竄される恐れがあり、コアネットワークで正しい保護方式を識別することができない状態にし、SUPI非秘匿化プロセスが失敗する。
UEによって送信されたSPSIがコアネットワークに送信中に保護されない場合、SPSIは攻撃者によって改竄される恐れがあり、コアネットワークで正しい保護方式を識別することができない状態にし、SUPI非秘匿化プロセスが失敗する。
【0020】
(実施の形態1)
以下に、上記の課題(i)及び(ii)に対する解決法を詳細に説明する。
以下に、上記の課題(i)及び(ii)に対する解決法を詳細に説明する。
【0021】
(1)SUPI保護方式及びその方法通知の欠如に対する解決法
提案されているSPSIは、SUPIからSUCIを生成するためにUEによって使用される保護方式及び/又は方法、及び/又は楕円曲線(ECC Curve)及び/又はセキュリティプロファイルを識別するための識別指標(Indicator)又は識別指標の組合せを含む。
提案されているSPSIは、SUPIからSUCIを生成するためにUEによって使用される保護方式及び/又は方法、及び/又は楕円曲線(ECC Curve)及び/又はセキュリティプロファイルを識別するための識別指標(Indicator)又は識別指標の組合せを含む。
【0022】
変形例:SUPIセキュリティプロファイル識別子は、SUCI非秘匿化においてサポートするKDF(Key derivation Function)、ハッシュ、MAC(Message Authentication Code)、mackeylen、maclen、ENC、enckeylen、EC Diffie-Hellman primitive、ECドメインパラメータ、点圧縮(point compression)、下位互換モード(backwards compatibility mode)等のセキュリティパラメータを含むセキュリティプロファイルを示す。
【0023】
SPSIは、UEによって、登録手順中(Registration Procedure)に、SUCIとともに、そのサブパラメータとして又は単独のパラメータとしてネットワークに送信される。
【0024】
UEから受信したSPSIに基づいて、ホームネットワークは、SUPI秘匿化のために使用された保護方式又は方法、又は楕円曲線(elliptic curve)又はセキュリティプロファイルを識別する。ネットワークは、この情報を使用して適切な保護方式/方法/ECC曲線(ECC Curve)/セキュリティプロファイルを特定し、それによってSUCIからSUPIを非秘匿化(解読)する。
【0025】
【0026】
1.SPSIは、UEによって、登録要求メッセージ(Registration request message)においてSUCIと共に個々のパラメータとして又は該SUCIの一部としてAMF(Authentication Management Field)/SEAF(SEcurity Anchor Function)に送信される。登録要求メッセージは、N1メッセージに含まれる。
【0027】
2.SEAFがAuthentication Initiation RequestにおいてSUCIをAUSFに送信する場合、Authentication Initiation Requestは、SPSIを含む。さらに、Authentication Initiation Requestは、SN(Serving Network)-nameを含む。Authentication Initiation Requestは、N12メッセージに含まれる。
【0028】
3.AUSFは、Authentication Information Request(Auth Info-Req)を以下の情報とともにUDMに送信する。
・SUCI;
・提案されているSPSI;
・serving network name;
・認証が3GPPアクセスを意図したものか、又は非3GPPアクセスを意図したものかを示す通知(indication);
・AUSFが5G-AKAを実行するように構成されている場合、要求されたAV(Authentication Vevtor)の数。
・SUCI;
・提案されているSPSI;
・serving network name;
・認証が3GPPアクセスを意図したものか、又は非3GPPアクセスを意図したものかを示す通知(indication);
・AUSFが5G-AKAを実行するように構成されている場合、要求されたAV(Authentication Vevtor)の数。
【0029】
4.SPSIとともにSUCIを含むAuth Info-Reqを受信すると、UDMは、SPSIに基づいてSUCI生成のために使用される保護方式及びその方法を特定する。
【0030】
5.UDMは、SUCIを非秘匿化するために、対応するUDM/SIDFインスタンス又はサービスを呼び出す。
【0031】
ステップ5の変形例:UDMインスタンスはSUCIを秘匿化するためにSIDFサービス/機能性(functionality)/機能(function)を呼び出す。
【0032】
UDMは、5Gでサポートされている異なるSUPI保護方式に固有のSIDFサービスを提供してもよい。(UDMは複数のSIDFインスタンス又はサービス又は機能性を有す/提供する。)
【0033】
UDM/AUSFは、SPSIによって通知される曲線のタイプ及び/又はSUPI保護方式及びそれの方法、又はSUPI秘匿化に使用されるセキュリティプロファイルに基づいてSUCIを非秘匿化するために、正しいUDM/SIDFインスタンス又はSIDFサービスを呼び出す。
【0034】
もしくは、UDM/AUSFは、アクセスタイプに基づいて正しいUDM/SIDFインスタンス又はSIDFサービスを呼び出す。
【0035】
もしくは、UDM/AUSFは、IMSI(International Mobile Subscriber Identify)及び非IMSIタイプ等のSUPIタイプに基づいてSUPIを非秘匿化するために、正しいUDM/SIDFインスタンス又はSIDFサービスを呼び出す。
【0036】
もしくは、UDM/AUSFは、UEに提供されたサービスタイプ又はネットワークスライスに基づいてSUPIを非秘匿化するために、正しいUDM/SIDFインスタンス又はSIDFサービスを呼び出す。
【0037】
続いて、サービングネットワークによって開始された加入(subscription)識別手順のためのホームネットワークによるSUPI非秘匿化及びSIDF呼び出し、について説明する。
【0038】
ホームネットワーク内のAUSFがSUCIを非秘匿化するためにサービングネットワークからSUCI及びSPSIとともに加入識別要求/情報要求メッセージ(Subscription identification Request/information request message)を受信したとき、AUSFは、SIDFを呼び出す。
【0039】
SPSIは、UEによってサービングネットワークを介してAUSFに通知される。
【0040】
ホームネットワークエンティティ/AUSFは、SPSIによって示されるSUPI保護方式に基づいてSUCIを非秘匿化するために、正しいUDM/SIDFインスタンスを呼び出す。
【0041】
続いて、単一又は複数のUDMインスタンスの場合のSUCI非秘匿化、について説明する。
【0042】
変形例1:複数のUDMインスタンスがSIDFサービスを提供し、そこにおいて、各インスタンスは、単一障害点を防ぐために5Gでサポートされている全てのSUPI保護方式をサポートする。
【0043】
変形例2:複数のUDMインスタンスがSIDFサービスを提供し、そこにおいて、各インスタンスは、単一障害点を防ぐために5Gで使用されている特定のSUPI保護方式をサポートする。
【0044】
変形例3:5Gでサポートされている全てのSUPI保護方式に対して、複数のUDMインスタンスは、単一障害点を防ぐために同様のサービスを提供してもよい。
【0045】
変形例4:特定のUDM/SIDFインスタンスは、PLMNの外部のエンティティに対するAUSF/UDMからのSUPI非秘匿化サービス要求を処理するために割り当てられかつ呼び出される。
【0046】
変形例5:特定のUDM/SIDFインスタンスは、サードパーティサービスプロバイダーに対するAUSFからのSUPI非秘匿化サービス要求を処理するために割り当てられかつ呼び出される。
【0047】
以下に、可能なSUPI構成とそれらのフォーマット、を示す。以下に挙げるすべてのオプションはSUPI秘匿方法に関連する。
【0048】
オプション1:<SUCI>||<方式ID>||<ECC曲線/メソッド識別子(ID)>
(<SUCI>||<Scheme ID>||<ECC Curve/Method Identifier (ID)>)
(<SUCI>||<Scheme ID>||<ECC Curve/Method Identifier (ID)>)
【0049】
オプション2:<SUCI>||<方式ID>||<セキュリティプロファイルID>
(<SUCI>||<Scheme ID>||<Security Profile ID>)
(<SUCI>||<Scheme ID>||<Security Profile ID>)
【0050】
オプション3:方式-出力=<方式ID>||<ECC曲線/方法ID>
(scheme-output =<Scheme ID>||<ECC Curve/Method ID>)
(scheme-output =<Scheme ID>||<ECC Curve/Method ID>)
【0051】
オプション4:方式-出力=<方式ID>||<セキュリティプロファイルID>
(scheme-output =<Scheme ID>||<Security Profile ID>)
(scheme-output =<Scheme ID>||<Security Profile ID>)
【0052】
オプション5:方式-出力=<方式ID||方法ID>
(scheme-output = <Scheme ID || Method ID>)
(scheme-output = <Scheme ID || Method ID>)
【0053】
オプション6:N1メッセージの個別パラメータとして:<方式ID||方法ID>
(As separate parameters in the N1 message: <Scheme ID || Method ID>)
(As separate parameters in the N1 message: <Scheme ID || Method ID>)
【0054】
オプション7:N1メッセージの個別パラメータとして:<方式ID>
(As separate parameters in the N1 message: <Scheme ID>)
(As separate parameters in the N1 message: <Scheme ID>)
【0055】
オプション8:N1メッセージの個別パラメータとして:<方法ID>
(As separate parameters in the N1 message: <Method ID>)
(As separate parameters in the N1 message: <Method ID>)
【0056】
オプション9:N1メッセージの個別パラメータとして:<ECC曲線タイプID>
(As separate parameters in the N1 message: <ECC Curve Type ID>)
(As separate parameters in the N1 message: <ECC Curve Type ID>)
【0057】
オプション10:N1メッセージの個別パラメータとして:<セキュリティプロファイルID>
(As separate parameters in the N1 message: <Security Profile ID>)
(As separate parameters in the N1 message: <Security Profile ID>)
【0058】
オプション11:全てのオプションの組を含む、そこにおいて、各オプション1~10はMACと連結される。
(It includes set of all options, where each Option 1 to 10 concatenated with MAC)
(It includes set of all options, where each Option 1 to 10 concatenated with MAC)
【0059】
(2)SUPI保護方式識別子の完全性保護の欠如の解決法
SPSIは、UEとホームネットワークとの間で共有される秘密鍵を使用するUEによって完全性が保護される。秘密鍵はホームネットワークによってUEに事前に準備されるか、UE及びホームネットワークで生成される。共有秘密鍵がSPSI完全性保護のために使用される場合、それは一時的な(Ephemeral)共有鍵又は一時的なマスター共有鍵又は一時的なmac鍵、又は楕円曲線統合暗号化方式(Elliptic curve integrated encryption scheme)又は他の楕円曲線ベースの保護方式(Elliptic curve based protection scheme)の実施中にこれらの鍵から導出された鍵であってもよい。MAC生成及びSPSI完全性検証プロセスを図2に示す。
SPSIは、UEとホームネットワークとの間で共有される秘密鍵を使用するUEによって完全性が保護される。秘密鍵はホームネットワークによってUEに事前に準備されるか、UE及びホームネットワークで生成される。共有秘密鍵がSPSI完全性保護のために使用される場合、それは一時的な(Ephemeral)共有鍵又は一時的なマスター共有鍵又は一時的なmac鍵、又は楕円曲線統合暗号化方式(Elliptic curve integrated encryption scheme)又は他の楕円曲線ベースの保護方式(Elliptic curve based protection scheme)の実施中にこれらの鍵から導出された鍵であってもよい。MAC生成及びSPSI完全性検証プロセスを図2に示す。
【0060】
ホームネットワークは、SPSIが攻撃者によって改竄されていないことを確認するために、秘密の共有鍵を使用してMACを生成し、UEから受信したSPSIのMACを検証する。
【0061】
MAC生成に使用される関数(f)は、NIA-1、NIA-2、NIA-3等の任意のmacアルゴリズムであればよい。
【0062】
SPSIは、オプションとして、HN公開鍵を使用するUEによって機密保護される。SPSIが機密保護されている場合、ホームネットワークは、その秘密鍵(private key)又はそれから派生した鍵を使用してSPSIを復号化する。SPSI暗号化及び復号化プロセスを図3に示す。
【0063】
関数(f)は、SPSI機密保護に用いられるUE側の暗号アルゴリズム及びネットワーク側の復号アルゴリズムである。SPSI機密保護は、RSAや楕円曲線暗号技術(ECC:Elliptic Curve Cryptography)等の公開鍵暗号技術(非対称)暗号化アルゴリズム、又はこれらから派生したその他の方式に基づく。
【0064】
SPSI機密性は、ゼロ方式(null scheme)がSUPI秘匿化/保護に使用される場合を含む、全てのシナリオで加入者/加入/ユーザのプライバシーを保証する、という効果がある。
【0065】
完全性保護又はSPSIの暗号化にアルゴリズム又は関数が使用される場合、それは(i)UEとコアネットワークとの間で取り決められてもよく、(ii)アルゴリズムID/関数IDが、登録要求(Registration Request)においてUEによって送信されてもよい。
【0066】
本開示においては、以下に示す識別子が用いられ、さらに、以下に示す機能が実行される。
1)SUPI秘匿化で使用されるSUPI保護方式とその方法を識別する識別子
2)SUPI秘匿化で使用される楕円曲線を識別する識別子
3)SUPI秘匿化で使用されるセキュリティプロファイルを識別する識別子
4)SUPI非秘匿化で使用される保護方式及び方法に固有のUDM/SIDFインスタンス又はサービス呼び出し
5)SUPIタイプ又はアクセスタイプに基づくUDM/SIDFインスタンス又はサービス呼び出し
6)UEによるHN公開鍵を使用するSPSIの機密保護
7)UEとHNの共有秘密鍵を使用するSPSIの完全性保護
1)SUPI秘匿化で使用されるSUPI保護方式とその方法を識別する識別子
2)SUPI秘匿化で使用される楕円曲線を識別する識別子
3)SUPI秘匿化で使用されるセキュリティプロファイルを識別する識別子
4)SUPI非秘匿化で使用される保護方式及び方法に固有のUDM/SIDFインスタンス又はサービス呼び出し
5)SUPIタイプ又はアクセスタイプに基づくUDM/SIDFインスタンス又はサービス呼び出し
6)UEによるHN公開鍵を使用するSPSIの機密保護
7)UEとHNの共有秘密鍵を使用するSPSIの完全性保護
【0067】
SUPI保護方式及びその方法通知の欠如に対する方法は、以下のステップを含む。
1)UEは、コアネットワークにおいてSUPI非秘匿化をサポートするために、SUPI秘匿化の実施中に使用したSUPI保護方式とその方法識別子、又は楕円曲線識別子又はセキュリティプロファイル識別子をコアネットワークエンティティに送信する。
2)コアネットワークにおけるUDM/SIDFは、SUPI秘匿化に使用された保護方式及び方法に固有のSIDFを呼び出す。
1)UEは、コアネットワークにおいてSUPI非秘匿化をサポートするために、SUPI秘匿化の実施中に使用したSUPI保護方式とその方法識別子、又は楕円曲線識別子又はセキュリティプロファイル識別子をコアネットワークエンティティに送信する。
2)コアネットワークにおけるUDM/SIDFは、SUPI秘匿化に使用された保護方式及び方法に固有のSIDFを呼び出す。
【0068】
SUPI保護方式識別子の完全性及び機密性保護の欠如に対する方法は、以下のステップを含む。
1)UEからコアネットワークに送信されるSPSIは、HN公開鍵を使用して機密保護される。
2)UEからコアネットワークに送信されるSPSIは、共有秘密鍵を使用して完全性保護される。
1)UEからコアネットワークに送信されるSPSIは、HN公開鍵を使用して機密保護される。
2)UEからコアネットワークに送信されるSPSIは、共有秘密鍵を使用して完全性保護される。
【0069】
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
【0070】
続いて以下では、上述の実施形態で説明された通信端末10及びネットワーク装置20の構成例について説明する。
【0071】
図4は、通信端末10の構成例を示すブロック図である。通信端末10は、UEであってもよい。Radio Frequency(RF)トランシーバ1101は、基地局と通信するためにアナログRF信号処理を行う。RFトランシーバ1101により行われるアナログRF信号処理は、周波数アップコンバージョン、周波数ダウンコンバージョン、及び増幅を含む。RFトランシーバ1101は、アンテナ1102及びベースバンドプロセッサ1103と結合される。すなわち、RFトランシーバ1101は、変調シンボルデータをベースバンドプロセッサ1103から受信し、送信RF信号を生成し、送信RF信号をアンテナ1102に供給する。変調シンボルデータは、OFDM(Orthogonal Frequency Division Multiplexing)シンボルデータであってもよい。また、RFトランシーバ1101は、アンテナ1102によって受信された受信RF信号に基づいてベースバンド受信信号を生成し、これをベースバンドプロセッサ1103に供給する。
【0072】
ベースバンドプロセッサ1103は、無線通信のためのデジタルベースバンド信号処理(データプレーン処理)とコントロールプレーン処理を行う。デジタルベースバンド信号処理は、(a) データ圧縮/復元、(b) データのセグメンテーション/コンカテネーション、及び(c) 伝送フォーマット(伝送フレーム)の生成/分解を含む。さらに、デジタルベースバンド信号処理は、(d) 伝送路符号化/復号化、及び(e) 変調(シンボルマッピング)/復調を含む。さらに、デジタルベースバンド信号処理は、(f) Inverse Fast Fourier Transform(IFFT)によるOFDMシンボルデータ(ベースバンドOFDM信号)の生成などを含む。一方、コントロールプレーン処理は、レイヤ1、レイヤ2、及びレイヤ3の通信管理を含む。レイヤ1は、例えば、送信電力制御である。レイヤ2は、例えば、無線リソース管理、及びhybrid automatic repeat request(HARQ)処理である。レイヤ3は、例えば、アタッチ、モビリティ、及び通話管理に関するシグナリングである。
【0073】
例えば、LTEおよびLTE-Advancedの場合、ベースバンドプロセッサ1103によるデジタルベースバンド信号処理は、Packet Data Convergence Protocol(PDCP)レイヤ、Radio Link Control(RLC)レイヤ、MACレイヤ、およびPHYレイヤの信号処理を含んでもよい。また、ベースバンドプロセッサ1103によるコントロールプレーン処理は、Non-Access Stratum(NAS)プロトコル、RRCプロトコル、及びMAC CEの処理を含んでもよい。
【0074】
ベースバンドプロセッサ1103は、デジタルベースバンド信号処理を行うモデム・プロセッサとコントロールプレーン処理を行うプロトコルスタック・プロセッサを含んでもよい。モデム・プロセッサは、例えば、Digital Signal Processor(DSP)である。コントロールプレーン処理を行うプロトコルスタック・プロセッサは、例えば、Central Processing Unit(CPU)、又はMicro Processing Unit(MPU)である。この場合、コントロールプレーン処理を行うプロトコルスタック・プロセッサは、後述するアプリケーションプロセッサ1104と共通化されてもよい。
【0075】
アプリケーションプロセッサ1104は、CPU、MPU、マイクロプロセッサ、又はプロセッサコアとも呼ばれる。アプリケーションプロセッサ1104は、複数のプロセッサ(複数のプロセッサコア)を含んでもよい。アプリケーションプロセッサ1104は、メモリ1106又は図示されていないメモリから読み出されたシステムソフトウェアプログラム及び様々なアプリケーションプログラムを実行することによって、通信端末10の各種機能を実現する。システムソフトウェアプログラムは、例えば、Operating System(OS)であってもよい。アプリケーションプログラムは、例えば、通話アプリケーション、WEBブラウザ、メーラ、カメラ操作アプリケーション、音楽再生アプリケーションであってもよい。
【0076】
いくつかの実装において、図4に破線(1105)で示されているように、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのチップ上に集積されてもよい。言い換えると、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのSystem on Chip(SoC)デバイス1105として実装されてもよい。SoCデバイスは、システムLarge Scale Integration(LSI)またはチップセットと呼ばれることもある。
【0077】
メモリ1106は、揮発性メモリ若しくは不揮発性メモリ又はこれらの組合せである。メモリ1106は、物理的に独立した複数のメモリデバイスを含んでもよい。揮発性メモリは、例えば、Static Random Access Memory(SRAM)若しくはDynamic RAM(DRAM)又はこれらの組み合わせである。不揮発性メモリは、マスクRead Only Memory(MROM)、Electrically Erasable Programmable ROM(EEPROM)、フラッシュメモリ、若しくはハードディスクドライブ、又はこれらの任意の組合せである。例えば、メモリ1106は、ベースバンドプロセッサ1103、アプリケーションプロセッサ1104、及びSoC1105からアクセス可能な外部メモリデバイスを含んでもよい。メモリ1106は、ベースバンドプロセッサ1103内、アプリケーションプロセッサ1104内、又はSoC1105内に集積された内蔵メモリデバイスを含んでもよい。さらに、メモリ1106は、Universal Integrated Circuit Card(UICC)内のメモリを含んでもよい。
【0078】
メモリ1106は、上述の実施形態で説明された通信端末10による処理を行うための命令群およびデータを含むソフトウェアモジュール(コンピュータプログラム)を格納してもよい。いくつかの実装において、ベースバンドプロセッサ1103又はアプリケーションプロセッサ1104は、当該ソフトウェアモジュールをメモリ1106から読み出して実行することで、上述の実施形態で説明された通信端末10の処理を行うよう構成されてもよい。
【0079】
図5は、ネットワーク装置20の構成例を示すブロック図である。ネットワーク装置20は、コアネットワーク装置であってもよい。コアネットワーク装置は、AMFエンティティ、UDMエンティティ、SEAFエンティティ、AUSFエンティティ、ARPFエンティティであってもよい。図5を参照すると、ネットワーク装置20は、ネットワークインターフェース1201、プロセッサ1202、及びメモリ1203を含む。ネットワークインターフェース1201は、ネットワークノード(e.g., AN50、SMF30等)と通信するために使用される。ネットワークインターフェース1201は、例えば、IEEE(Insititute of Electrical and Electronics Engineers) 802.3 seriesに準拠したネットワークインタフェースカード(NIC)を含んでもよい。
【0080】
プロセッサ1202は、メモリ1203からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態においてシーケンス図及びフローチャートを用いて説明されたネットワーク装置20の処理を行う。プロセッサ1202は、例えば、マイクロプロセッサ、MPU、又はCPUであってもよい。プロセッサ1202は、複数のプロセッサを含んでもよい。
【0081】
メモリ1203は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ1203は、プロセッサ1202から離れて配置されたストレージを含んでもよい。この場合、プロセッサ1202は、図示されていないI/Oインタフェースを介してメモリ1203にアクセスしてもよい。
【0082】
図5の例では、メモリ1203は、ソフトウェアモジュール群を格納するために使用される。プロセッサ1202は、これらのソフトウェアモジュール群をメモリ1203から読み出して実行することで、上述の実施形態において説明されたネットワーク装置20の処理を行うことができる。
【0083】
図4及び図5を用いて説明したように、上述の実施形態に通信端末10及びネットワーク装置20が有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。このプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(Non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体、光磁気記録媒体(例えば光磁気ディスク)、Compact Disc Read Only Memory(CD-ROM)、CD-R、CD-R/W、半導体メモリを含む。磁気記録媒体は、フレキシブルディスク、磁気テープ、ハードディスクドライブであってもよい。半導体メモリは、例えば、マスクROM、Programmable ROM(PROM)、Erasable PROM(EPROM)、フラッシュROM、Random Access Memory(RAM)であってもよい。例えば、また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【0084】
以上、実施の形態を参照して本願開示を説明したが、本願開示は上記によって限定されるものではない。本願開示の構成や詳細には、開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
【0085】
この出願は、2018年1月12日に出願されたインド出願201811001460を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【0086】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含むSUCI(subscription concealed identifier)を生成する制御手段と、
前記SUCIを生成するために使用された前記保護方式に基づいて、第2ネットワーク装置が前記SUCIから前記SUPIを非秘匿化するために、前記SUCIを登録処理中に第1ネットワーク装置へ送信する送信手段と、を有する通信端末。
(付記2)
前記送信手段は、前記SUCIをNASメッセージに含めて送信する、付記1に記載の通信端末。
(付記3)
前記NASメッセージは、Registration Requestメッセージである、付記2に記載の通信端末。
(付記4)
前記第2ネットワーク装置は、第2コアネットワーク装置である、付記1乃至3のいずれか一項に記載の通信端末。
(付記5)
前記第2コアネットワーク装置は、UDM(Unified Data Management)である、付記4に記載の通信端末。
(付記6)
前記第1ネットワーク装置は、第1コアネットワーク装置である、付記1乃至5のいずれか一項に記載の通信端末。
(付記7)
前記第1コアネットワーク装置は、AMF(Authentication Management Field)である、付記6に記載の通信端末。
(付記8)
前記保護方式識別子は、プロファイルを識別する、付記1乃至7のいずれか一項に記載の通信端末。
(付記9)
通信端末によって生成されるSUCI(subscription concealed identifier)であって、所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含む前記SUCIを含むメッセージを受信する受信手段と、
前記SUCIを生成するために使用された前記保護方式に基づいて、前記SUCIから前記SUPIを非秘匿化する制御手段と、を有するネットワーク装置。
(付記10)
前記ネットワーク装置は、コアネットワーク装置である、付記9に記載のネットワーク装置。
(付記11)
前記コアネットワーク装置は、UDM(Unified Data Management)である、付記10に記載のネットワーク装置。
(付記12)
所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含むSUCI(subscription concealed identifier)を生成し、
前記SUCIを生成するために使用された前記保護方式に基づいて、第2ネットワーク装置が前記SUCIから前記SUPIを非秘匿化するために、前記SUCIを登録処理中に第1ネットワーク装置へ送信する、通信方法。
(付記13)
前記SUCIを登録処理中に第1ネットワーク装置へ送信する際に、前記SUCIをNASメッセージに含めて送信する、付記12に記載の通信方法。
(付記14)
前記NASメッセージは、Registration Requestメッセージである、付記13に記載の通信方法。
(付記15)
前記第2ネットワーク装置は、第2コアネットワーク装置である、付記12乃至14のいずれか一項に記載の通信方法。
(付記16)
前記第2コアネットワーク装置は、UDM(Unified Data Management)である、付記15に記載の通信方法。
(付記17)
前記第1ネットワーク装置は、第1コアネットワーク装置である、請求項12乃至16のいずれか一項に記載の通信方法。
(付記18)
前記第1コアネットワーク装置は、AMF(Authentication Management Field)である、付記17に記載の通信方法。
(付記19)
前記保護方式識別子は、プロファイルを識別する、付記12乃至18のいずれか一項に記載の通信方法。
(付記20)
通信端末によって生成されるSUCI(subscription concealed identifier)であって、所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含む前記SUCIを含むメッセージを受信し、
前記SUCIを生成するために使用された前記保護方式に基づいて、前記SUCIから前記SUPIを非秘匿化する、非秘匿化方法。
(付記21)
前記非秘匿化方法は、コアネットワーク装置において実行される、付記20に記載の非秘匿化方法。
(付記22)
前記コアネットワーク装置は、UDM(Unified Data Management)である、付記21に記載の非秘匿化方法。
(付記1)
所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含むSUCI(subscription concealed identifier)を生成する制御手段と、
前記SUCIを生成するために使用された前記保護方式に基づいて、第2ネットワーク装置が前記SUCIから前記SUPIを非秘匿化するために、前記SUCIを登録処理中に第1ネットワーク装置へ送信する送信手段と、を有する通信端末。
(付記2)
前記送信手段は、前記SUCIをNASメッセージに含めて送信する、付記1に記載の通信端末。
(付記3)
前記NASメッセージは、Registration Requestメッセージである、付記2に記載の通信端末。
(付記4)
前記第2ネットワーク装置は、第2コアネットワーク装置である、付記1乃至3のいずれか一項に記載の通信端末。
(付記5)
前記第2コアネットワーク装置は、UDM(Unified Data Management)である、付記4に記載の通信端末。
(付記6)
前記第1ネットワーク装置は、第1コアネットワーク装置である、付記1乃至5のいずれか一項に記載の通信端末。
(付記7)
前記第1コアネットワーク装置は、AMF(Authentication Management Field)である、付記6に記載の通信端末。
(付記8)
前記保護方式識別子は、プロファイルを識別する、付記1乃至7のいずれか一項に記載の通信端末。
(付記9)
通信端末によって生成されるSUCI(subscription concealed identifier)であって、所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含む前記SUCIを含むメッセージを受信する受信手段と、
前記SUCIを生成するために使用された前記保護方式に基づいて、前記SUCIから前記SUPIを非秘匿化する制御手段と、を有するネットワーク装置。
(付記10)
前記ネットワーク装置は、コアネットワーク装置である、付記9に記載のネットワーク装置。
(付記11)
前記コアネットワーク装置は、UDM(Unified Data Management)である、付記10に記載のネットワーク装置。
(付記12)
所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含むSUCI(subscription concealed identifier)を生成し、
前記SUCIを生成するために使用された前記保護方式に基づいて、第2ネットワーク装置が前記SUCIから前記SUPIを非秘匿化するために、前記SUCIを登録処理中に第1ネットワーク装置へ送信する、通信方法。
(付記13)
前記SUCIを登録処理中に第1ネットワーク装置へ送信する際に、前記SUCIをNASメッセージに含めて送信する、付記12に記載の通信方法。
(付記14)
前記NASメッセージは、Registration Requestメッセージである、付記13に記載の通信方法。
(付記15)
前記第2ネットワーク装置は、第2コアネットワーク装置である、付記12乃至14のいずれか一項に記載の通信方法。
(付記16)
前記第2コアネットワーク装置は、UDM(Unified Data Management)である、付記15に記載の通信方法。
(付記17)
前記第1ネットワーク装置は、第1コアネットワーク装置である、請求項12乃至16のいずれか一項に記載の通信方法。
(付記18)
前記第1コアネットワーク装置は、AMF(Authentication Management Field)である、付記17に記載の通信方法。
(付記19)
前記保護方式識別子は、プロファイルを識別する、付記12乃至18のいずれか一項に記載の通信方法。
(付記20)
通信端末によって生成されるSUCI(subscription concealed identifier)であって、所定の保護方式を用いて秘匿化されたSUPI(subscription permanent identifier)と、前記保護方式を識別する保護方式識別子と、を含む前記SUCIを含むメッセージを受信し、
前記SUCIを生成するために使用された前記保護方式に基づいて、前記SUCIから前記SUPIを非秘匿化する、非秘匿化方法。
(付記21)
前記非秘匿化方法は、コアネットワーク装置において実行される、付記20に記載の非秘匿化方法。
(付記22)
前記コアネットワーク装置は、UDM(Unified Data Management)である、付記21に記載の非秘匿化方法。
【符号の説明】
【0087】
10 通信端末
20 ネットワーク装置
1101 RFトランシーバ
1102 アンテナ
1103 ベースバンドプロセッサ
1104 アプリケーションプロセッサ
1105 SoC
1106 メモリ
1201 ネットワークインターフェース
1202 プロセッサ
1203 メモリ
20 ネットワーク装置
1101 RFトランシーバ
1102 アンテナ
1103 ベースバンドプロセッサ
1104 アプリケーションプロセッサ
1105 SoC
1106 メモリ
1201 ネットワークインターフェース
1202 プロセッサ
1203 メモリ
【図1】
【図2】
【図3】
【図4】
【図5】