IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > テレフオンアクチーボラゲット エルエム エリクソン(パブル)

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ テレフオンアクチーボラゲット エル エム エリクソン(パブル)の特許一覧

(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-14
(45)【発行日】2024-02-22
(54)【発明の名称】セキュリティのための方法および装置
(51)【国際特許分類】
   H04W 12/041 20210101AFI20240215BHJP
   H04W 12/69 20210101ALI20240215BHJP
   H04W 12/30 20210101ALI20240215BHJP
【FI】
H04W12/041
H04W12/69
H04W12/30
【請求項の数】 11
(21)【出願番号】P 2021539583
(86)(22)【出願日】2019-01-14
(65)【公表番号】
(43)【公表日】2022-03-07
(86)【国際出願番号】 CN2019071602
(87)【国際公開番号】W WO2020146974
(87)【国際公開日】2020-07-23
【審査請求日】2021-09-17
(73)【特許権者】
【識別番号】598036300
【氏名又は名称】テレフオンアクチーボラゲット エルエム エリクソン(パブル)
(74)【代理人】
【識別番号】100109726
【弁理士】
【氏名又は名称】園田 吉隆
(74)【代理人】
【識別番号】100161470
【弁理士】
【氏名又は名称】冨樫 義孝
(74)【代理人】
【識別番号】100194294
【弁理士】
【氏名又は名称】石岡 利康
(74)【代理人】
【識別番号】100194320
【弁理士】
【氏名又は名称】藤井 亮
(74)【代理人】
【識別番号】100150670
【弁理士】
【氏名又は名称】小梶 晴美
(72)【発明者】
【氏名】ワン, チェン
【審査官】齋藤 浩兵
(56)【参考文献】
【文献】特表2016-526335(JP,A)
【文献】特表2008-538482(JP,A)
【文献】3GPP; TSG SA; Study on authentication and key management for applications; based on 3GPP credential in 5G (Release 16)[online],3GPP TR 33.835 V0.2.0 (2018-11),2018年11月16日,pp.17-23
【文献】3GPP; TSG SA; Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) (Release 15)[online],3GPP TS 33.220 V15.4.0 (2018-12),2018年12月18日,pp.12-20,26-30
【文献】3GPP; TSG SA; Security architecture and procedures for 5G system (Release 15)[online],3GPP TS 33.501 V15.3.1 (2018-12),2018年12月26日,pp.43-49
【文献】Ericsson, Huawei,AKMA AF key request via NEF[online],3GPP TSG SA WG3 #98Bis_e S3-200803,2020年04月17日,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_98Bis_e/Docs/S3-200803.zip>
(58)【調査した分野】(Int.Cl.,DB名)
H04W 4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1,4
(57)【特許請求の範囲】
【請求項1】
5Gコアネットワークの第1のネットワーク機能(NF)において実装される方法(900)であって、
アプリケーション機能(AF)に関係する鍵材料を取得すること(902)であって、前記鍵材料が、少なくとも1つの鍵導出入力パラメータ、および前記5Gコアネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて導出される、鍵材料を取得すること(902)と、
前記鍵材料を前記AFに提供すること(904)と
を含み、
前記少なくとも1つのシェア鍵が、前記5Gコアネットワークと前記UEとの間の相互認証手順中に、生成され、有されており
前記鍵材料を前記AFに提供することが、前記AFから要求またはサブスクリプションを受信したことに応答したものであり、前記要求またはサブスクリプションが前記少なくとも1つの鍵導出入力パラメータを含む、
方法(900)。
【請求項2】
前記少なくとも1つのシェア鍵が第2のNFに記憶され、前記鍵材料が、前記少なくとも1つの鍵導出入力パラメータ、および前記5Gコアネットワークと前記UEとの間の前記少なくとも1つのシェア鍵に基づいて、前記第2のNFによって導出され、前記AFに関係する鍵材料を取得することが、
前記第2のNFから前記AFに関係する前記鍵材料を取得すること
を含む、請求項1に記載の方法。
【請求項3】
前記第2のNFから前記AFに関係する前記鍵材料を取得することが、前記第2のNFに要求またはサブスクリプションを送出したことに応答したものである、請求項2に記載の方法。
【請求項4】
前記要求またはサブスクリプションが、前記少なくとも1つの鍵導出入力パラメータを含む、請求項3に記載の方法。
【請求項5】
前記少なくとも1つの鍵導出入力パラメータが、
前記AFのタイプと、
アプリケーションタイプと、
アプリケーション識別子と、
ユーザ識別子と、
前記UEのアドレスと、
関連付けセッションと、
コンテキスト識別子と、
鍵導出のためのあいまいさ除去ラベルストリングと、
乱数と、
鍵導出ドメインと、
鍵導出関数方式と、
前記少なくとも1つのシェア鍵のタイプと、
日付指示と、
時間指示と、
ネットワーク固有情報と
のうちの少なくとも1つを含む、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記少なくとも1つのシェア鍵が、
認証サーバ機能(AUSF)のための鍵KAUSFと、
セキュリティアンカー機能(SEAF)のための鍵KSEAFと、
アクセスおよびモビリティ管理機能(AMF)のための鍵KAMFと、
特定の完全性アルゴリズムによる非アクセス階層(NAS)シグナリングの保護のための鍵KNASintと、
特定の暗号化アルゴリズムによるNASシグナリングの保護のための鍵KNASencと、
非第3世代パートナーシッププロジェクト(非3GPP)アクセスインターワーキング機能のための鍵KN3IWFと、
次世代無線アクセスネットワークのための鍵KgNBと、
特定の完全性アルゴリズムによる無線リソース制御(RRC)シグナリングの保護のための鍵KRRCintと、
特定の暗号化アルゴリズムによるRRCシグナリングの保護のための鍵KRRCencと、
特定の暗号化アルゴリズムによるユーザプレーン(UP)トラフィックの保護のための鍵KUPintと、
特定の完全性アルゴリズムによるモバイル機器(ME)とgNBとの間のUPトラフィックの保護のための鍵KUPenc
のうちの少なくとも1つを含む、請求項1から5のいずれか一項に記載の方法。
【請求項7】
5Gコアネットワークの第2のネットワーク機能(NF)において実装される方法(1200)であって、
少なくとも1つの鍵導出入力パラメータ、および前記5Gコアネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出すること(1202)と、
前記鍵材料を第1のNFに提供すること(1204)と
を含み、
前記少なくとも1つのシェア鍵が、前記5Gコアネットワークと前記UEとの間の相互認証手順中に、生成され、有されており
前記鍵材料を前記第1のNFに提供することが、前記第1のNFから要求またはサブスクリプションを受信したことに応答したものであり、前記要求またはサブスクリプションが、前記少なくとも1つの鍵導出入力パラメータを含む、方法(1200)。
【請求項8】
前記少なくとも1つの鍵導出入力パラメータが、
前記AFのタイプと、
アプリケーションタイプと、
アプリケーション識別子と、
ユーザ識別子と、
前記UEのアドレスと、
関連付けセッションと、
コンテキスト識別子と、
鍵導出のためのあいまいさ除去ラベルストリングと、
乱数と、
鍵導出ドメインと、
鍵導出関数方式と、
前記少なくとも1つのシェア鍵のタイプと、
日付指示と、
時間指示と、
ネットワーク固有情報と
のうちの少なくとも1つを含む、請求項7に記載の方法。
【請求項9】
前記少なくとも1つのシェア鍵が、
認証サーバ機能(AUSF)のための鍵KAUSFと、
セキュリティアンカー機能(SEAF)のための鍵KSEAFと、
アクセスおよびモビリティ管理機能(AMF)のための鍵KAMFと、
特定の完全性アルゴリズムによる非アクセス階層(NAS)シグナリングの保護のための鍵KNASintと、
特定の暗号化アルゴリズムによるNASシグナリングの保護のための鍵KNASencと、
非第3世代パートナーシッププロジェクト(非3GPP)アクセスインターワーキング機能のための鍵KN3IWFと、
次世代無線アクセスネットワークのための鍵KgNBと、
特定の完全性アルゴリズムによる無線リソース制御(RRC)シグナリングの保護のための鍵KRRCintと、
特定の暗号化アルゴリズムによるRRCシグナリングの保護のための鍵KRRCencと、
特定の暗号化アルゴリズムによるユーザプレーン(UP)トラフィックの保護のための鍵KUPintと、
特定の完全性アルゴリズムによるモバイル機器(ME)とgNBとの間のUPトラフィックの保護のための鍵KUPenc
のうちの少なくとも1つを含む、請求項7または8に記載の方法。
【請求項10】
5Gコアネットワークの第1のネットワーク機能(NF)において実装される装置(1630)であって、
プロセッサ(1631)と、
前記プロセッサに結合されたメモリ(1632)と
を備え、前記メモリ(1632)が、前記プロセッサ(1631)によって実行可能な命令を含んでおり、それにより、前記装置(1630)が、
アプリケーション機能(AF)に関係する鍵材料を取得することであって、前記鍵材料が、少なくとも1つの鍵導出入力パラメータ、および前記5Gコアネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて導出される、鍵材料を取得することと、
前記鍵材料を前記AFに提供することと
を行うように動作可能であり、
前記少なくとも1つのシェア鍵が、前記5Gコアネットワークと前記UEとの間の相互認証手順中に、生成され、有されており
前記鍵材料を前記AFに提供することが、前記AFから要求またはサブスクリプションを受信したことに応答したものであり、前記要求またはサブスクリプションが前記少なくとも1つの鍵導出入力パラメータを含む、
装置(1630)。
【請求項11】
5Gコアネットワークの第2のネットワーク機能(NF)において実装される装置(1640)であって、
プロセッサ(1641)と、
前記プロセッサに結合されたメモリ(1642)と
を備え、前記メモリ(1642)が、前記プロセッサ(1641)によって実行可能な命令を含んでおり、それにより、前記装置(1640)が、
少なくとも1つの鍵導出入力パラメータ、および前記5Gコアネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出することと、
前記鍵材料を第1のNFに提供することと
を行うように動作可能であり、
前記少なくとも1つのシェア鍵が、前記5Gコアネットワークと前記UEとの間の相互認証手順中に、生成され、有されており
前記鍵材料を前記第1のNFに提供することが、前記第1のNFから要求またはサブスクリプションを受信したことに応答したものであり、前記要求またはサブスクリプションが、前記少なくとも1つの鍵導出入力パラメータを含む、
装置(1640)。
【発明の詳細な説明】
【技術分野】
【0001】
本開示の非限定的なおよび例示的な実施形態は、一般に通信の技術分野に関し、詳細には、セキュリティのための方法および装置に関する。
【背景技術】
【0002】
このセクションは、本開示のより良い理解を容易にし得る態様を紹介する。したがって、このセクションの記述は、この観点において読み取られるべきであり、従来技術にあるものまたは従来技術にないものに関する承認として理解されるべきではない。
【0003】
現在、新無線(new radio:NR)などの第5世代システム(5GS)のためのコアネットワークアーキテクチャが提案されている。図1は、5Gコアネットワーク(5GC)の高レベルアーキテクチャを示す。図1に示されているように、5GCは、AMF(アクセスおよびモビリティ機能)、SMF(セッション管理機能)、AUSF(認証サービス機能)、UDM(統合データ管理)、PCF(ポリシ制御機能)、AF(アプリケーション機能)、NEF(ネットワーク公開機能)、UPF(ユーザプレーン機能)およびNRF(NFリポジトリ機能)など、複数のネットワーク機能(NF)を備え得る。
【0004】
5GCは、異なる認証方式(たとえば、EPS-AKA(エボルブドパケットシステム-認証および鍵合意(EPS-AKA))、EAP-AKA(拡張認証プロトコル-認証および鍵合意)、EAP-TLS(拡張認証プロトコル-トランスポートレイヤセキュリティ)、または任意の他の認証方式により、第3世代パートナーシッププロジェクト(3GPP)技術、非3GPP無線技術、固定ブロードバンドアクセス、信頼できるおよび信頼できない非3GPPアクセスを含む、異なるアクセスネットワークを介してユーザ機器(UE)が5GCに接続することを可能にする、統合認証アーキテクチャをサポートするように設計される。
【0005】
3GPP TS33.501 V15.3.1は、UEとネットワークとの間の相互認証を可能にし、異なる目的のための後続のセキュリティ手順においてUEとネットワークとの間で使用され得る鍵材料を提供する、1次認証および鍵合意手順を導入し、その開示の全体が参照により本明細書に組み込まれる。一方、UEは、様々なAFおよび/またはサードパーティエンティティ、たとえば、アプリケーションサーバなど、様々なエンティティと通信することが予想される。
【発明の概要】
【0006】
本発明の概要は、発明を実施するための形態において以下でさらに説明される概念の選択を簡略化された形で紹介するために提供される。本発明の概要は、請求される主題の主要な特徴または不可欠な特徴を識別するものではなく、請求される主題の範囲を限定するために使用されるものでもない。
【0007】
3GPP認証インフラストラクチャは、ネットワークとUEとが共有鍵(shared key)を確立することを可能にするために活用され得る。一般的な使用事例は、3GPP規定汎用ブートストラッピングアーキテクチャ(GBA)である。しかしながら、GBAベースの実装は、残念ながら、情報技術(IT)産業において極めて限定されている。一方、IT産業は、UEアクセスアプリケーション(APP)について、強力な/2次認証を実施するためにネットワーク/UEの能力を活用するための多くのプラクティスを有する。たとえば、オンラインバンキングは、通常、強力な認証方法としてショートメッセージングサービス(SMS)を利用して、エンドユーザに動的パスワードを配信する。しかしながら、平文SMSは、たとえば不正アプリケーション/ユニフォームリソースロケータ(APP/URL)などによる、セキュリティ違反の標的である。
【0008】
とはいえ、たとえば認証、暗号化、機密性、完全性検査など、異なる目的のために強力なおよび共有鍵材料をセットアップするための簡単な方法を有することが、アプリケーション設計からの要望である。その方法は、アプリケーションが、たとえば公開鍵インフラストラクチャ(PKI)または鍵管理システム(KMS)を介して非対称/共有鍵を管理する複雑さおよびオーバーヘッドから解放するのを助けることができる。したがって、アプリケーションのための改善されたセキュリティソリューションを提供する必要があり得る。
【0009】
本開示は、アプリケーションクライアントおよびアプリケーション機能が、それぞれ、UEおよびネットワークから鍵材料を取得することを可能にし得るセキュリティソリューションを提案する。本開示のいくつかの実施形態の方法は、UE/ネットワーク認証手順中に生成された共有鍵証明を活用し、次いで、アプリケーション固有鍵材料を導出し、それらの鍵材料を、外部使用法のために、たとえばアプリケーションクライアントとアプリケーションサーバなどのAFとの間の強力な認証、アプリケーションクライアントとアプリケーションサーバなどのAFとの間の通信の暗号化などのために公開し得る。
【0010】
本開示の第1の態様では、ユーザ機器(UE)において実装される方法が提供される。本方法は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵(share key)に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出することを含み得る。本方法は、鍵材料をアプリケーションクライアントに提供することをさらに含み得る。
【0011】
本開示の第2の態様では、アプリケーションクライアントにおいて実装される方法が提供される。本方法は、ユーザ機器(UE)またはUEのセキュリティモジュールからアプリケーション機能(AF)に関係する鍵材料を取得することであって、鍵材料が、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて導出される、鍵材料を取得することを含み得る。本方法は、アプリケーションクライアントによって送出されたおよび/または受信された少なくとも1つのメッセージに鍵材料を適用することをさらに含み得る。
【0012】
本開示の第3の態様では、第1のネットワーク機能(NF)において実装される方法が提供される。本方法は、アプリケーション機能(AF)に関係する鍵材料を取得することを含み得る。鍵材料は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて導出される。本方法は、鍵材料をAFに提供することをさらに含み得る。
【0013】
本開示の第4の態様では、第2のネットワーク機能(NF)において実装される方法が提供される。本方法は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出することを含み得る。本方法は、鍵材料を第1のNFに提供することをさらに含み得る。
【0014】
本開示の第5の態様では、第3のネットワーク機能(NF)において実装される方法が提供される。本方法は、第1のNFから要求またはサブスクリプションを受信することであって、要求またはサブスクリプションがユーザ機器(UE)の識別子および少なくとも1つの鍵導出入力パラメータを含む、要求またはサブスクリプションを受信することを含み得る。本方法は、UEの識別子および少なくとも1つの鍵導出入力パラメータに基づいて第2のNFの位置を特定することをさらに含み得る。本方法は、第2のNFに関する情報を含む応答を第1のNFに送出することをさらに含み得る。
【0015】
本開示の第6の態様では、ユーザ機器(UE)において実装される装置が提供される。本装置は、プロセッサと、プロセッサに結合されたメモリとを備え得、前記メモリは、前記プロセッサによって実行可能な命令を含んでおり、それにより、前記装置は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出することと、鍵材料をアプリケーションクライアントに提供することとを行うように動作可能である。
【0016】
本開示の第7の態様では、アプリケーションクライアントにおいて実装される装置が提供される。本装置は、プロセッサと、プロセッサに結合されたメモリとを備え得、前記メモリは、前記プロセッサによって実行可能な命令を含んでおり、それにより、前記装置は、ユーザ機器(UE)からアプリケーション機能(AF)に関係する鍵材料を取得することであって、鍵材料が、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて導出される、鍵材料を取得することと、アプリケーションクライアントによって送出されたおよび/または受信された少なくとも1つのメッセージに鍵材料を適用することとを行うように動作可能である。
【0017】
本開示の第8の態様では、第1のネットワーク機能(NF)において実装される装置が提供される。本装置は、プロセッサと、プロセッサに結合されたメモリとを備え得、前記メモリは、前記プロセッサによって実行可能な命令を含んでおり、それにより、前記装置は、アプリケーション機能(AF)に関係する鍵材料を取得することであって、鍵材料が、少なくとも1つの鍵導出入力パラメータ、およびネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて導出される、鍵材料を導出することと、鍵材料をAFに提供することとを行うように動作可能である。
【0018】
本開示の第9の態様では、第2のネットワーク機能(NF)において実装される装置が提供される。本装置は、プロセッサと、プロセッサに結合されたメモリとを備え得、前記メモリは、前記プロセッサによって実行可能な命令を含んでおり、それにより、前記装置は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出することと、鍵材料を第1のNFに提供することとを行うように動作可能である。
【0019】
本開示の第10の態様では、第3のネットワーク機能(NF)において実装される装置が提供される。本装置は、プロセッサと、プロセッサに結合されたメモリとを備え得、前記メモリは、前記プロセッサによって実行可能な命令を含んでおり、それにより、前記装置は、第1のNFから、ユーザ機器(UE)の識別子および少なくとも1つの鍵導出入力パラメータを含む、要求またはサブスクリプションを受信することと、UEの識別子および少なくとも1つの鍵導出入力パラメータに基づいて第2のNFの位置を特定することと、第2のNFに関する情報を含む応答を第1のNFに送出することとを行うように動作可能である。
【0020】
本開示の第11の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第1の態様による方法を行わせる命令を備えるコンピュータプログラム製品が提供される。
【0021】
本開示の第12の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第2の態様による方法を行わせる命令を備えるコンピュータプログラム製品が提供される。
【0022】
本開示の第13の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第3の態様による方法を行わせる命令を備えるコンピュータプログラム製品が提供される。
【0023】
本開示の第14の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第4の態様による方法を行わせる命令を備えるコンピュータプログラム製品が提供される。
【0024】
本開示の第15の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第5の態様による方法を行わせる命令を備えるコンピュータプログラム製品が提供される。
【0025】
本開示の第16の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第1の態様による方法を行わせる命令を記憶するコンピュータ可読記憶媒体が提供される。
【0026】
本開示の第17の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第2の態様による方法を行わせる命令を記憶するコンピュータ可読記憶媒体が提供される。
【0027】
本開示の第18の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第3の態様による方法を行わせる命令を記憶するコンピュータ可読記憶媒体が提供される。
【0028】
本開示の第19の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第4の態様による方法を行わせる命令を記憶するコンピュータ可読記憶媒体が提供される。
【0029】
本開示の第20の態様では、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、本開示の第5の態様による方法を行わせる命令を記憶するコンピュータ可読記憶媒体が提供される。
【0030】
本開示の第21の態様では、ユーザ機器(UE)において実装される装置が提供される。本装置は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出することを行うように設定された導出ユニットと、鍵材料をアプリケーションクライアントに提供することを行うように設定された提供ユニットとを備え得る。
【0031】
本開示の第22の態様では、アプリケーションクライアントにおいて実装される装置が提供される。本装置は、ユーザ機器(UE)またはUEのセキュリティモジュールからアプリケーション機能(AF)に関係する鍵材料を取得することであって、鍵材料が、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて導出される、鍵材料を取得することを行うように設定された取得ユニットと、アプリケーションクライアントによって送出されたおよび/または受信された少なくとも1つのメッセージに鍵材料を適用することを行うように設定された適用ユニットとを備え得る。
【0032】
本開示の第23の態様では、第1のネットワーク機能(NF)において実装される装置が提供される。本装置は、アプリケーション機能(AF)に関係する鍵材料を取得することであって、鍵材料が、少なくとも1つの鍵導出入力パラメータ、およびネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて導出される、鍵材料を取得することを行うように設定された第1の取得ユニットと、鍵材料をAFに提供することを行うように設定された提供ユニットとを備え得る。
【0033】
本開示の第24の態様では、第2のネットワーク機能(NF)において実装される装置が提供される。本装置は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出することを行うように設定された導出ユニットと、鍵材料を第1のNFに提供することを行うように設定された提供ユニットとを備え得る。
【0034】
本開示の第25の態様では、第3のネットワーク機能(NF)において実装される装置が提供される。本装置は、第1のNFから要求またはサブスクリプションを受信することであって、要求またはサブスクリプションがユーザ機器(UE)の識別子および少なくとも1つの鍵導出入力パラメータを含む、要求またはサブスクリプションを受信することを行うように設定された第1の受信ユニットと、UEの識別子および少なくとも1つの鍵導出入力パラメータに基づいて第2のNFの位置を特定することを行うように設定された位置特定ユニットと、第2のNFに関する情報を含む応答を第1のNFに送出することを行うように設定された送出ユニット2106とを備え得る。
【0035】
本開示の実施形態は、以下の利点を提供し得る。本開示のいくつかの実施形態は、UE/ネットワーク認証手順中に生成された、ネットワークとUEとの間で共有されるセキュリティ材料を活用して、アプリケーション機能が、アプリケーション認証、アプリケーション通信暗号化のために使用されるものなど、アプリケーション機能自体のセキュリティ鍵材料を作成するための簡単な方法を有することを可能にすることができる。本開示のいくつかの実施形態は、モバイルネットワークオペレータ(MNO)のビジネス価値を可能にすることができ、たとえばMNOのネットワーク公開フレームワークは、MNOのセキュリティ能力を公開し、外部アプリケーションが、それら自体のセキュリティ手順のための異なる鍵材料を得ることを可能にするための、新しいビジネスモデルを有することができる。本開示のいくつかの実施形態は、MNOネットワークにおけるアプリケーション機能のための自動のおよび真性の鍵材料駆動手順を可能にすることができる。本開示の実施形態のソリューションは、任意の好適なアプリケーションのために拡張可能であり得る。
【0036】
本開示の様々な実施形態の上記および他の態様、特徴、および利益が、例として、同様の参照番号または文字が同様のエレメントまたは等価エレメントを指定するために使用される、添付の図面を参照しながら、以下の発明を実施するための形態から、より十分に明らかになろう。図面は、本開示の実施形態のより良い理解を容易にするために示されており、必ずしも一定の縮尺で描かれているとは限らない。
【図面の簡単な説明】
【0037】
図1】5Gコアネットワークの高レベルアーキテクチャを示す図である。
図2】5GSにおける鍵階層生成を示す図である。
図3】本開示の一実施形態による、システムを概略的に示す図である。
図4】本開示の別の実施形態による、システムを概略的に示す図である。
図5】本開示の一実施形態による、5GSにおけるソリューションの3つのステージを概略的に示す図である。
図6】本開示の一実施形態による、方法のフローチャートである。
図7】本開示の別の実施形態による、方法のフローチャートである。
図8】本開示の別の実施形態による、方法のフローチャートである。
図9】本開示の別の実施形態による、方法のフローチャートである。
図10】本開示の別の実施形態による、方法のフローチャートである。
図11】本開示の別の実施形態による、方法のフローチャートである。
図12】本開示の別の実施形態による、方法のフローチャートである。
図13】本開示の別の実施形態による、方法のフローチャートである。
図14】本開示の別の実施形態による、方法のフローチャートである。
図15】本開示の別の実施形態による、方法のフローチャートである。
図16a】本開示の一実施形態による、装置の簡略ブロック図である。
図16b】本開示の一実施形態による、装置の簡略ブロック図である。
図16c】本開示の一実施形態による、装置の簡略ブロック図である。
図16d】本開示の一実施形態による、装置の簡略ブロック図である。
図16e】本開示の一実施形態による、装置の簡略ブロック図である。
図17】本開示の別の実施形態による、装置の簡略ブロック図である。
図18】本開示の別の実施形態による、装置の簡略ブロック図である。
図19】本開示の別の実施形態による、装置の簡略ブロック図である。
図20】本開示の別の実施形態による、装置の簡略ブロック図である。
図21】本開示の別の実施形態による、装置の簡略ブロック図である。
【発明を実施するための形態】
【0038】
添付の図面を参照しながら本開示の実施形態が詳細に説明される。これらの実施形態は、本開示の範囲に対する限定を示唆するのではなく、当業者が、本開示をより良く理解し、したがって実装することを可能にする目的で論じられるにすぎないことを理解されたい。本明細書全体にわたる、特徴、利点、または同様の言い回しへの言及は、本開示とともに実現され得る特徴および利点のすべてが、本開示の単一の実施形態におけるものであるべきであることまたはその実施形態におけるものであることを暗示しない。むしろ、特徴および利点に言及する言い回しは、一実施形態に関して説明される特定の特徴、利点、または特性が、本開示の少なくとも1つの実施形態に含まれることを意味すると理解されたい。さらに、本開示の説明される特徴、利点、および特性は、1つまたは複数の実施形態において任意の好適な様式で組み合わせられ得る。具体的な実施形態の特定の特徴または利点のうちの1つまたは複数なしに本開示が実施され得ることを、当業者は認識されよう。他の事例では、本開示のすべての実施形態に存在するとは限らないことがある追加の特徴および利点が、いくつかの実施形態において認識され得る。
【0039】
本明細書で使用される「ネットワーク」という用語は、新無線(NR)、long term evolution(LTE)、LTEアドバンスト、広帯域符号分割多元接続(WCDMA)、高速パケットアクセス(HSPA)、符号分割多元接続(CDMA)、時分割多元アドレス(TDMA)、周波数分割多元接続(FDMA)、直交周波数分割多元接続(OFDMA)、シングルキャリア周波数分割多元接続(SC-FDMA)および他の無線ネットワークなど、任意の好適な無線/有線通信規格に従うネットワークを指す。CDMAネットワークは、ユニバーサル地上無線アクセス(UTRA)などの無線技術を実装し得る。UTRAは、WCDMAとCDMAの他の変形態とを含む。TDMAネットワークは、汎欧州デジタル移動電話方式(GSM)などの無線技術を実装し得る。OFDMAネットワークは、拡張UTRA(E-UTRA)、ウルトラモバイルブロードバンド(UMB)、IEEE802.11(Wi-Fi)、IEEE802.16(WiMAX)、IEEE802.20、Flash-OFDMA、アドホックネットワーク、無線センサーネットワークなどの無線技術を実装し得る。以下の説明では、「ネットワーク」および「システム」という用語は、互換的に使用され得る。さらに、ネットワークにおける2つのデバイス間の通信は、限定はしないが、3GPPなどの規格団体のうちのいくつかによって規定された通信プロトコルを含む任意の好適な通信プロトコルに従って実施され得る。たとえば、3GPPによって規定された通信プロトコルは、第2世代(2G)、第3世代(3G)、第4世代(4G)、4.5G、第4世代(5G)通信プロトコル、および/あるいは現在知られているかまたは将来において開発されることになる任意の他のプロトコルのいずれかを含み得る。
【0040】
「ネットワークデバイス」という用語は、端末デバイスがそのデバイスを介して通信ネットワークにアクセスし、通信ネットワークからサービスを受信する、通信ネットワークにおけるネットワークデバイスを指す。たとえば、3GPPタイプセルラネットワークなどの無線通信ネットワークでは、ネットワークデバイスは、アクセスネットワークデバイスとコアネットワークデバイスとを備え得る。たとえば、アクセスネットワークデバイスは、基地局(BS)、無線アクセスバックホール統合伝送(IAB)ノード、アクセスポイント(AP)、マルチセル/マルチキャスト協調エンティティ(MCE)などを備え得る。BSは、たとえば、無線ネットワークコントローラ(RNC)、ノードB(ノードBまたはNB)、エボルブドノードB(eノードBまたはeNB)、次世代ノードB(gノードBまたはgNB)、リモートラジオユニット(RRU)、無線ヘッダ(RH)、リモート無線ヘッド(RRH)、リレー、フェムト、ピコなどの低電力ノードなどであり得る。コアネットワークデバイスは、アクセスネットワークデバイスによって相互接続される顧客に多数のサービスを提供し得る複数のネットワークデバイスを備え得る。各アクセスネットワークデバイスは、有線接続または無線接続を介してコアネットワークデバイスに接続可能である。
【0041】
「ネットワーク機能」という用語は、通信ネットワークのネットワークデバイスにおいて実装され得、端末デバイスがそれを介して通信ネットワークにアクセスすることができ、そこからサービスを受信する、任意の好適な機能を指す。たとえば、5G通信システムは、AUSF、AMF、NEF、NRF、ネットワークスライス選択機能(NSSF)、PCF、SMF、UDM、UPF、AF、(無線)アクセスネットワーク((R)AN)など、複数のNFを含み得る。他の実施形態では、ネットワーク機能は、たとえばネットワークの特定のタイプに応じて、異なるタイプのNFを含み得る。
【0042】
「端末デバイス」という用語は、通信ネットワークにアクセスし、通信ネットワークからサービスを受信することができる任意のエンドデバイスを指す。限定ではなく例として、端末デバイスは、モバイル端末、ユーザ機器(UE)、または他の好適なデバイスを指す。UEは、たとえば、加入者局(SS)、ポータブル加入者局、移動局(MS)、またはアクセス端末(AT)であり得る。端末デバイスは、限定はしないが、ポータブルコンピュータ、デジタルカメラなどの画像キャプチャ端末デバイス、ゲーミング端末デバイス、音楽記憶および再生器具、モバイルフォン、セルラフォン、スマートフォン、ボイスオーバーIP(VoIP)フォン、無線ローカルループ電話、タブレット、ウェアラブルデバイス、携帯情報端末(PDA)、ポータブルコンピュータ、デスクトップコンピュータ、ウェアラブル端末デバイス、車載無線端末デバイス、無線エンドポイント、移動局、ラップトップ組込み機器(LEE)、ラップトップ搭載機器(LME)、USBドングル、スマートデバイス、無線顧客構内機器(CPE)などを含み得る。以下の説明では、「端末デバイス」、「端末」、「ユーザ機器」および「UE」という用語は、互換的に使用され得る。一例として、端末デバイスは、3GPP(第3世代パートナーシッププロジェクト)のLTE規格またはNR規格など、3GPPによって公表された1つまたは複数の通信規格による通信のために設定されたUEを表し得る。本明細書で使用される「ユーザ機器」または「UE」は、必ずしも、関連のあるデバイスを所有し、および/または動作させる人間のユーザという意味における「ユーザ」を有するとは限らない。いくつかの実施形態では、端末デバイスは、直接人間対話なしに情報を送信および/または受信するように設定され得る。たとえば、端末デバイスは、内部または外部イベントによってトリガされたとき、あるいは、通信ネットワークからの要求に応答して、所定のスケジュールでネットワークに情報を送信するように設計され得る。代わりに、UEは、人間のユーザへの販売、または人間のユーザによる動作を意図されるが、特定の人間のユーザに初めに関連しないことがあるデバイスを表し得る。
【0043】
また別の例として、モノのインターネット(IOT)シナリオでは、端末デバイスは、監視および/または測定を実施し、そのような監視および/または測定の結果を別の端末デバイスおよび/またはネットワーク機器に送信する、マシンまたは他のデバイスを表し得る。端末デバイスは、この場合、マシンツーマシン(M2M)デバイスであり得、M2Mデバイスは、3GPPコンテキストではマシン型通信(MTC)デバイスと呼ばれることがある。1つの特定の例として、端末デバイスは、3GPP狭帯域モノのインターネット(NB-IoT)規格を実装するUEであり得る。そのようなマシンまたはデバイスの特定の例は、センサー、電力計などの計量デバイス、産業用機械類、あるいは家庭用または個人用電気器具、たとえば、冷蔵庫、テレビジョン、時計などの個人用ウェアラブルなどである。他のシナリオでは、端末デバイスは車両または他の機器を表し得、車両または他の機器は、その動作ステータスを監視することおよび/またはその動作ステータスに関して報告すること、あるいはその動作と関連する他の機能が可能である。
【0044】
「一実施形態(one embodiment)」、「一実施形態(an embodiment)」、「例示的な実施形態」などへの本明細書における言及は、説明される実施形態が、特定の特徴、構造、または特性を含み得ることを指示するが、あらゆる実施形態が、必ずしも、特定の特徴、構造、または特性を含むとは限らない。その上、そのような句は必ずしも同じ実施形態を指しているとは限らない。さらに、特定の特徴、構造、または特性が実施形態に関して説明されるとき、明示的に説明されるか否かにかかわらず、他の実施形態に関してそのような特徴、構造、または特性に影響を及ぼすことは当業者の知識内にあることが具申される。
【0045】
様々なエレメントについて説明するために、「第1の」および「第2の」などの用語が本明細書で使用され得るが、これらのエレメントは、これらの用語によって限定されるべきでないことを理解されよう。これらの用語は、あるエレメントを別のエレメントと区別するために使用されるにすぎない。たとえば、例示的な実施形態の範囲から逸脱することなく、第1のエレメントは第2のエレメントと呼ばれることがあり、同様に、第2のエレメントは第1のエレメントと呼ばれることがある。本明細書で使用される「および/または」という用語は、関連する列挙された用語のうちの1つまたは複数のいずれかのおよびすべての組合せを含む。
【0046】
本明細書で使用される専門用語は、特定の実施形態を説明するためのものにすぎず、例示的な実施形態を限定するものではない。本明細書で使用される単数形「a」、「an」および「the」は、文脈が別段に明確に指示しない限り、複数形をも含むものとする。本明細書で使用される「備える、含む(comprises)」、「備える、含む(comprising)」、「有する(has)」、「有する(having)」、「含む(includes)」および/または「含む(including)」という用語は、述べられた特徴、エレメント、および/または構成要素などの存在を指定するが、1つまたは複数の他の特徴、エレメント、構成要素および/またはそれらの組合せの存在または追加を排除しないことをさらに理解されよう。
【0047】
本明細書で使用されるダウンリンク(DL)送信は、ネットワークデバイスから端末デバイスへの送信を指し、アップリンク(UL)送信は、反対方向における送信を指す。
【0048】
以下の説明および特許請求の範囲において、別段に規定されていない限り、本明細書で使用されるすべての技術用語および科学用語は、本開示が属する技術の当業者によって通常理解されるものと同じ意味を有する。
【0049】
説明の目的で、本開示のいくつかの実施形態が、5GSなどの通信ネットワークのコンテキストにおいて説明される。しかしながら、当業者は、本開示のいくつかの実施形態の概念および原理が、任意の他の好適な通信ネットワークにより一般的に適用可能であり得ることを諒解されよう。
【0050】
3GPP TS33.501 V15.3.1は、鍵階層、鍵導出、および分配方式を導入する。図2は、5GSにおける鍵階層生成を示し、これは、3GPP TS33.501 V15.3.1の図6.2.1-1のコピーである。図2に示されているように、認証に関係する鍵は、以下の鍵、すなわち、K(永続鍵)、CK/IK(暗号鍵/完全性鍵)を含む。EAP-AKA’の場合、鍵CK’、IK’は、3GPP TS33.501 V15.3.1の節6.1.3.1において指定されているように、CK、IKから導出される。鍵階層は、以下の鍵、すなわち、KAUSFとKSEAFとKAMFとKNASintとKNASencとKN3IWFとKgNBとKRRCintとKRRCencとKUPintとKUPencとを含む。
ホームネットワークにおけるAUSFのための鍵:
- KAUSFは、
- EAP-AKA’の場合、MEおよびAUSFによってCK’、IK’から導出される鍵であり、CK’およびIK’は、AUSFによって、ARPF(認証証明リポジトリおよび処理機能)からの変換されたAV(認証ベクトル)の一部として受信される、または、
- 5G AKAの場合、MEおよびARPFによってCK、IKから導出される鍵であり、KAUSFは、AUSFによって、ARPFからの5G HE AV(5Gホーム環境認証ベクトル)の一部として受信される。
- KSEAFは、MEおよびAUSFによってKAUSFから導出されるアンカー鍵である。KSEAFは、AUSFによってサービングネットワークにおけるSEAFに提供される。
サービングネットワークにおけるAMFのための鍵:
- KAMFは、MEおよびSEAFによってKSEAFから導出される鍵である。KAMFは、さらに、水平鍵導出を実施するときにMEおよびソースAMFによって導出される。
NASシグナリングのための鍵:
- KNASintは、MEおよびAMFによってKAMFから導出される鍵であり、その鍵は、特定の完全性アルゴリズムによるNASシグナリングの保護のためにのみ使用されるものとする。
- KNASencは、MEおよびAMFによってKAMFから導出される鍵であり、その鍵は、特定の暗号化アルゴリズムによるNASシグナリングの保護のためにのみ使用されるものとする。
NG-RAN(次世代無線アクセスネットワーク)のための鍵:
- KgNBは、MEおよびAMFによってKAMFから導出される鍵である。KgNBは、さらに、水平または垂直鍵導出を実施するときにMEおよびソースgNBによって導出される。KgNBは、MEとng-eNBとの間のKeNBとして使用される。
UP(ユーザプレーン)トラフィックのための鍵:
- KUPencは、MEおよびgNBによってKgNBから導出される鍵であり、その鍵は、特定の暗号化アルゴリズムによるUPトラフィックの保護のためにのみ使用されるものとする。
- KUPintは、MEおよびgNBによってKgNBから導出される鍵であり、その鍵は、特定の完全性アルゴリズムによるMEとgNBとの間のUPトラフィックの保護のためにのみ使用されるものとする。
無線リソース制御(RRC)シグナリングのための鍵:
- KRRCintは、MEおよびgNBによってKgNBから導出される鍵であり、その鍵は、特定の完全性アルゴリズムによるRRCシグナリングの保護のためにのみ使用されるものとする。
- KRRCencは、MEおよびgNBによってKgNBから導出される鍵であり、その鍵は、特定の暗号化アルゴリズムによるRRCシグナリングの保護のためにのみ使用されるものとする。
中間鍵:
- NHは、3GPP TS33.501 V15.3.1の節A.10において説明されるフォワードセキュリティを提供するために、MEおよびAMFによって導出される鍵である。
- KNG-RAN*は、3GPP TS33.501 V15.3.1の節A.11/A.12において指定されているKDF(鍵導出関数)を使用して、3GPP TS33.501 V15.3.1の節6.9.2.1.1において指定されている水平または垂直鍵導出を実施するときに、MEおよびNG-RAN(すなわち、gNBまたはng-eNB)によって導出される鍵である。
- K’AMFは、3GPP TS33.501 V15.3.1のアネックスA.13において指定されているKDFを使用して、3GPP TS33.501 V15.3.1の節6.9.3において指定されているAMF間モビリティ中に、UEがあるAMFから別のAMFに移動したとき、MEおよびAMFによって導出され得る鍵である。
非3GPPアクセスのための鍵:
- KN3IWFは、MEおよびAMFによってKAMFから導出される、非3GPPアクセスのための鍵である。KN3IWFは、N3IWF(非第3世代パートナーシッププロジェクト(非3GPP)アクセスインターワーキング機能)間でフォワーディングされない。
【0051】
たとえば、認証ランは、KAUSFと呼ばれる中間鍵を生じることがある。KAUSFは、ネットワークとUEとの間のシェア鍵のうちの1つであり、256ビット長である。KAUSFは、後続の認証および鍵合意手順間で、AUSFおよびUEに記憶され得る。KAUSFの使用法は、オペレータのポリシごとに規定され得る。
【0052】
5GCは、様々なサービス、たとえば、それぞれ、大規模IoT、クリティカル通信、および拡張モバイルブロードバンドに適応するように設計される。サードパーティ/UEが、ネットワークによって提供されるサービスに関する情報(たとえばコネクティビティ情報、サービス品質(QoS)、モビリティなど)にアクセスすることと、オペレータによってセットされた制限内で、異なる多様な使用事例のためにネットワーク能力を動的にカスタマイズすることとを可能にするために、5GCは、サードパーティまたはUEに対するネットワーク情報の好適なアクセス/交換を可能にするためのネットワーク公開能力を提供する。
【0053】
NEFは、ネットワーク機能の能力のそのような公開をサポートし、3GPPネットワーク内部インターフェースを介して集める情報を利用し、適切なアプリケーションプログラミングインターフェース(API)を介してAFのほうへ公開する。
【0054】
NRFは、NFディスカバリとNFサービスディスカバリとをサポートする。3GPP TS23.501 V15.4.0によれば、NRFは、以下の機能をサポートする。
- サービスディスカバリ機能をサポートする。NFインスタンスからNFディスカバリ要求を受信し、発見された(発見される)NFインスタンスの情報をNFインスタンスに提供する。
- 利用可能なNFインスタンスと、それらのサポートされるサービスとのNFプロファイルを維持する。
【0055】
NFサービスディスカバリは、NRFを使用することによって実装される。NF選択は、NFサービスディスカバリ中に発見される(1つまたは複数の)NFインスタンスのうちの1つのNFインスタンスを選択することにある。NF選択は要求側NFによって実装され、たとえば、SMF選択はAMFによってサポートされる。
【0056】
NRFが、利用可能なNFインスタンスと、それらのサポートされるサービスとの情報を適切に維持するために、各NFインスタンスは、そのNFインスタンスがサポートするNFサービスのリスト、および他のNFインスタンス情報をNRFに知らせ、これは、NFプロファイルと呼ばれる。NFプロファイルの一般的な情報は、3GPP TS 23.501 V15.4.0によると、以下であり得る。
- NFインスタンスID(識別子)
- NFタイプ
- PLMN(パブリックランドモバイルネットワーク)ID
- (1つまたは複数の)ネットワークスライス関係識別子、たとえばS-NSSAI(単一ネットワークスライス選択支援情報)、NSI(ネットワークスライスインスタンス)ID
- NFのFQDN(完全修飾ドメイン名)またはIP(インターネットプロトコル)アドレス
- NF容量情報
- NF固有サービス許可情報
- サポートされるサービスの名前
- 各サポートされるサービスの(1つまたは複数の)インスタンスのエンドポイント情報
- 他のサービスパラメータ、たとえば、DNN(データネットワーク名)、NFサービスが、受信することに関心がある、各タイプの通知についての通知エンドポイント
- など。
【0057】
その場合、NFごとに静的情報と動的情報の両方を保持するNFプロファイル、ならびに複数のNFおよびそれらのNFプロファイルがNRFに記憶されることがわかり得る。
【0058】
3GPP TS23.502 V15.4.1によると、NRFは、Nnrf_NFManagementサービスおよびNnrf_NFDiscoverサービスを提供することができる。Nnrf_NFManagementサービスは、NFサービスプロバイダが、そのNFプロファイル、たとえばサポートされるNFサービスおよび他のNFインスタンス情報をNRFに登録し、そのNFプロファイルを、(1つまたは複数の)他のNFによって発見されるために利用可能にすることを可能にする。Nnrf_NFDiscoverサービスは、NFサービスコンシューマーが、NRFに照会することによって、NFサービスプロバイダによって提供されるサービスを発見することを可能にする。要求元NFおよびターゲットNFに応じて、異なる入力パラメータが、ディスカバリ要求中に含まれ、その場合、NRFが、要求元NFを最も良くサーブするターゲットNFをマッチングすることを可能にする。
【0059】
本明細書で使用される「ネットワーク鍵材料」または「シェア鍵」という用語は、相互認証手順中に、生成され、ネットワークとUEとの間で共有される、中間鍵を指す。中間鍵は、図2に示されている鍵、たとえば、KAUSFとKSEAFとKAMFとKNASintとKNASencとKN3IWFとKgNBとKRRCintとKRRCencとKUPintとKUPencとを含み得る。別の実施形態では、中間鍵は、他の通信システムにおける任意の他の好適な鍵を含み得る。中間鍵の使用法に応じて、中間鍵は、ネットワークにおけるUEおよび異なるNFに記憶され得る。たとえば、5GCでは、KAUSFは、HPLMN(ホームPLMN)においてAUSFに記憶され、KSEAFは、VPLMN(訪問先PLMN)においてSEAFに記憶される。
【0060】
本明細書で使用される「鍵導出入力パラメータ」という用語は、アプリケーション固有鍵を導出するための、AFとNEFなどのNFとの間の、および/あるいはアプリケーションクライアントと、UEまたはUEのセキュリティモジュールとの間の情報交換を指す。
【0061】
本明細書で使用される「鍵材料」または「エクスポートされる鍵材料」という用語は、ネットワークおよびUEにおいて導出され、対応して、APPサーバなどのAFおよびクライアントにエクスポートされる、アプリケーション固有鍵を指す。ネットワークおよびUEは、鍵導出入力パラメータに基づいて鍵材料を導出するために、同じ鍵導出関数を使用するものとする。鍵導出関数の実装形態は、異なる使用法に応じて変更され得る。鍵導出関数は、たとえば、3GPP TS33.220 V15.4.0において指定された鍵導出関数(KDF)、または2008年8月に発行されたコメント要請(RFC)5246において規定されているTLS PRF(擬似ランダム関数)であり得る。
【0062】
本明細書で使用される「UE API」という用語は、UEに記憶された情報に基づいて鍵材料を導出するためのインターフェースおよび/または手順を指す。UE APIは、UEのセキュリティモジュール、たとえば鍵材料を所有し、記憶するユニバーサル集積回路カード(UICC)によって、提供され得る。APPクライアントは、このAPIを介して鍵材料を要求するために、鍵導出入力パラメータを使用することができる。いくつかの実施形態では、アプリケーションクライアントと、UEまたはUEのセキュリティモジュールとの間の相互認証およびセキュリティ関連付けは、様々なやり方で実装され得、本開示は、それに対する限定を有しない。
【0063】
本明細書で使用される「5G SBI」という用語は、3GPP仕様、たとえば3GPP TS23.501 V15.4.0、3GPP TS23.502 V15.4.1によって規定されたサービスベースインターフェース(SBI)を指す。たとえば、UDMが関係するとき、このSBIは、UDMによって提供されるNudmサービスを指す。
【0064】
本明細書で使用される「公開API」という用語は、3GPP仕様、たとえば3GPP TS23.501 V15.4.0、3GPP TS23.502 V15.4.1によって規定された、ネットワーク公開のためのサービスベースインターフェースを指す。特に、その用語は、外部公開使用事例をサポートするためにNEFによって提供されるNnefサービスを指すことがある。アプリケーションサーバなどのAFとNEFなどのNFとの間の相互認証およびセキュリティ関連付けは、様々なやり方で実装され得、本開示は、それに対する限定を有しない。一実施形態では、NFがNEFであるとき、公開APIは、NEFサービスAPIを含み得る。
【0065】
本明細書で使用される「APP API」という用語は、たとえばアプリケーションサーバなどのAFとアプリケーションクライアントとの間の、あるアプリケーションに固有であるインターフェースおよび/または手順を指す。APP APIは、たとえば認証および/または許可のためのアプリケーションによって規定されたセキュリティ手順を含み得る。APP APIは、アプリケーション固有サービス手順をも含む。
【0066】
図3は、本開示のいくつかの実施形態が実装され得る、本開示の一実施形態によるシステムを概略的に示す。図3に示されているように、システム300は、NF302とUE304とAPPクライアント306とAF308とを備え得る。1つのNF302、1つのUE304、1つのAPPクライアント306および1つのAF308のみが図3に示されているが、他の実施形態では、複数のNF、AF、APPクライアントおよびUEがあり得ることに留意されたい。たとえば、単一のAFが1つまたは複数のUEをサーブすることができ、異なるAFが異なるUEをサーブすることができる。AF308は、3GPPから規定されたAF、あるいはたとえばインターネットまたはプライベートネットワークなどの他のネットワークにおける、任意の他の好適なAFであり得る。NF302は、たとえば通信ネットワークの特定のタイプに応じて、様々なNFを含み得る。たとえば、5GSでは、NFは、AMF、SMF、AUSF、UDM、PCF、NEF、UPF、バインディングサポート機能(BSF)、NRFなどを含み得る。1つまたは複数のNF302およびUE304は、ネットワークとUEとの間の少なくとも1つのシェア鍵を記憶し得る。たとえば、UE304は、ネットワークとUEとの間の少なくとも1つのシェア鍵を記憶し得るセキュリティモジュールを備え得る。APPクライアント306は、UE304中に、またはUE304外に位置し得る。APPクライアント306がUE中に位置しない、たとえば別のUE、またはコンピュータなど、別のエンティティ中に位置するとき。この場合、エンドユーザは、様々なやり方で、たとえばパーソナルコンピュータクライアントにおけるウェブポータルを介して、適用可能なサーバなど、AFにアクセスすることができる。たとえば、エンドユーザは、いくつかの「ブリッジング」方法、たとえばクイックレスポンスコード(QR)バー走査、リダイレクトユニフォームリソースロケータ(URL)によりポップアップされ得、したがって、UEの外部の適用可能なクライアントも、適切な鍵材料を得るために、UEのAPIにアクセスすることができる。さらに、アプリケーションクライアントは、AFまたは別のAFのアプリケーションクライアントであり得る。
【0067】
UE304は、限定はしないが、Windows、Linux、UNIX、Android、iOSおよびそれらの変形態を含む、任意の種類のオペレーティングシステムとともに稼働することができる。たとえば、UE304は、アプリをインストールされたWindows/Android/iOSフォンであり得、ユーザは、そのアプリを用いて、AF306によって提供されるサービスにアクセスすることができる。サービスは、限定はしないが、ニュースサービス、LinkedIn、Facebook、Twitter、YouTubeなどのソーシャルネットワーキングサービス、WeChat、Yahoo!メールなどのメッセージングサービス、およびAmazon、Alibaba、TaoBaoなどのオンラインショッピングサービスを含む、任意の種類のサービスであり得る。ユーザはまた、ウェブブラウザ、たとえばInternet Explorer、ChromeおよびFirefoxなどのAPPクライアント、またはUE304にインストールされた他の好適なアプリケーションを用いてサービスにアクセスすることができる。
【0068】
図4は、本開示のいくつかの実施形態が実装され得る、本開示の別の実施形態によるシステムを概略的に示す。図4に示されているように、通信ネットワークは5GSであり、NFは、AMF、SMF、AUSF、UDM、PCF、NEF、UPF、BSF、NRFなど、5GCのNFを含み得る。他のエレメントは、図3のものと同様である。
【0069】
一実施形態では、本開示の実施形態によって提案されるソリューションは、3つのステージを含み得る。図5は、本開示の一実施形態による、5GSにおけるソリューションの3つのステージを概略的に示す。図5に示されているように、APPクライアントは、UE中に位置するものとして示されているが、APPクライアントは、UEの外部にも位置し得る。
【0070】
ステージ1は、認証および鍵合意手順であり得る。たとえば、3GPPネットワークでは、ステージ1は、図5に示されている3GPP認証および鍵合意手順であり得る。ステージ1は、UEとネットワークとの間の相互認証を可能にし得、異なる目的のための後続のセキュリティ手順においてUEとネットワークとの間で使用され得る鍵材料を生成する。したがって、鍵材料は、それぞれネットワークおよびUEによって記憶および維持される。KAUSFなど、任意の好適な生成された鍵材料が、本開示の実施形態のソリューションにおいて使用され得る。
【0071】
ステージ2は、アプリケーションサーバなどのAFがネットワークに鍵材料を要求する、ならびに、アプリケーションクライアントがUEに鍵材料を要求する、手順を指し得る。図5に示されているように、5GSでは、AF側は、公開API、5G SBIなどを伴う、手順を含むことができる。アプリケーションクライアント側では、それは、UE APIを伴う手順を含むことができる。
【0072】
ステージ3は、アプリケーションサーバなどのAFとアプリケーションクライアントとの間の手順を指し得る。ステージ3は、セキュリティ関係手順であり得、たとえば、アプリケーションサーバおよびアプリケーションクライアントは、それら自体の目的、たとえば認証、暗号化、機密性、完全性検査などのために、鍵確立を実施し、鍵材料をセットアップする。ステージ3は、任意のアプリケーション固有サービス手順をも含むことができる。
【0073】
ステージ2およびステージ3の手順、またはアプリケーションサーバ側などのAFおよびクライアント側においてトリガされる手順は、同時に、および単独で、または順序が相関して(たとえば、いくつかのAPP API手順によってトリガされて)起こることがあることに留意されたい。
【0074】
図6は、本開示の一実施形態による、方法のフローチャートを示す。この実施形態では、通信ネットワークは5GSである。
【0075】
ステップ602において、UEおよびネットワークは、3GPP TS33.501 V15.3.1において規定されている3GPP認証手順を実施する。3GPP認証手順中に、ネットワーク鍵材料が、生成され、それに応じて、異なるNFおよびUEに記憶される。これらの中間鍵材料は、3GPP TS33.501 V15.3.1において規定されており、たとえばKASUF、KSEAFなどである。
【0076】
ステップ604において、アプリケーション(APP)サーバは、ネットワーク公開サービスを介して、たとえばNEFを介して、ネットワークのほうへ、エクスポートされる鍵材料を要求する。たとえば、APPサーバは、NEFに、エクスポートされる鍵材料の要求を送出し得る。さらに、APPサーバは、それに応じて、たとえば、エクスポートされる鍵材料の要求において、少なくとも1つの鍵導出入力パラメータを送出し得る。他の実施形態では、NEFは、APPサーバの少なくとも1つの鍵導出入力パラメータをあらかじめ記憶し得、この場合、APPサーバは、エクスポートされる鍵材料の要求において、少なくとも1つの鍵導出入力パラメータを送出しないことがある。APPサーバとUEとの間の関連付けは、様々なやり方で、たとえば、ユーザ識別子、セッション識別子、IPアドレスなどのUEのアドレス、UEのプロファイルなどによって識別され得る。一実施形態では、この情報は、少なくとも1つの鍵導出入力パラメータの一部としてのものであり得る。
【0077】
ステップ606において、NEFは、たとえば3GPP TS23.502 V15.4.1に従って、外部UE識別子をネットワーク内部識別子にトランスレートするためのNudmサービスをUDMに要求し得、その開示の全体が参照により本明細書に組み込まれる。さらに、NEFはまた、UDMからの関連するUEサービスプロファイルついて照会し得る。外部UE識別子は、アプリケーションサーバから受信され得る。たとえば、外部UE識別子は、少なくとも1つの鍵導出入力パラメータの一部としてのものであり得る。外部UE識別子は、UEを一意に識別することができる任意の好適な識別子、たとえばGPSI、外部グループ識別子などであり得る。
【0078】
ネットワーク内部UE識別子は、通信ネットワークにおいて使用される任意の好適な識別子であり得る。たとえば、5GSでは、ネットワーク内部UE識別子は、サブスクリプション永続識別子(SUPI)、たとえば国際モバイル加入者識別情報(IMSI)を含み得る。UEサービスプロファイルは、限定はしないが、アプリケーションがそのUEについて公開サービスにアクセスすることができるか否か、エクスポートされる鍵がそのUEについてサポートされるか否か、鍵導出がどのドメインにおいて可能にされるか、などを含む、APPサーバのアプリケーションに関連するUEサブスクリプション情報、たとえばアプリケーション許可情報を含み得る。
【0079】
一実施形態では、UE IPアドレスが受信されたとき、NEFは、5GC NFに、UE IPアドレスをGPSI、IMSIなどのUE識別子にトランスレートするように依頼し得る。そのようなトランスレーションは、3GPP TS 23.502 V15.4.1において規定されているように、そのUEをサーブするPCFの位置を特定するために、BSF上でNbsfサービスをトリガし、次いで、UE IPアドレスからUE識別子を得るために、PCF上でNpcfサービスをトリガすることによって達成され得、その開示の全体が参照により本明細書に組み込まれる。NEFはUE識別子を得ると、NEFは、上述のようなNudmサービスを進めることができる。
【0080】
ステップ608において、受信された少なくとも1つの鍵導出入力パラメータと、SUPIおよび/またはUEサービスプロファイルなどのフェッチされたネットワーク内部UE識別子とに基づいて、NEFは、ネットワーク鍵材料を記憶するNFの位置を特定するためのディスカバリ手順を実施する。NEFは、受信された鍵導出入力パラメータを、ネットワーク内部UE識別子とともに入力として使用し、NFを発見するためにNnrfサービスを使用し得る。この実施形態では、ネットワーク鍵材料はKAUSFであり、KAUSFを記憶するNFはAUSFである。他の実施形態では、ネットワーク鍵材料は、KSEAFなど、任意の他の好適な鍵材料であり得、NFは、SEAFなど、他のNFであり得る。
【0081】
さらに、AUSFなどのNFはまた、そのNFが入力としてサポートする少なくとも1つの鍵導出入力パラメータの任意の好適な組合せを使用し、NRFにそれ自体を登録するためにNnrfサービスを使用し得る。したがって、AUSFなどのNFは、たとえば、少なくとも1つの鍵導出入力パラメータをサポートするNFの能力に基づいて、NEFなどの別のNFによって発見され得る。
【0082】
ステップ610において、NEFは、AUSFのほうへ鍵材料を要求する。たとえば、NEFは、エクスポートされる鍵材料の要求をAUSFに送出し得る。さらに、NEFは、それに応じて、たとえば、エクスポートされる鍵材料の要求において、少なくとも1つの鍵導出入力パラメータを送出し得る。
【0083】
ステップ612において、AUSFは、少なくとも1つの鍵導出入力パラメータに基づいて、エクスポートされる鍵材料を導出し、エクスポートされる鍵材料を含む応答をNEFに送出する。一実施形態では、鍵導出関数(KDF)は、ネットワーク側とUE側とにおいて一貫している。たとえば、静的KDFが、APPサーバのアプリケーションのためにUEおよびネットワークにおいて設定され得る。別の例では、KDFは、たとえば、少なくとも1つの鍵導出入力、またはUEとネットワークとの間のネゴシエーションに基づいて、選定され得る。たとえば、APPサーバとAPPクライアントとが、ネゴシエートし、それに応じて、KDF選択パラメータに合意することができる。
【0084】
ステップ614において、NEFは、エクスポートされる鍵材料を含む応答をAPPサーバに送出する。随意に、NEFは、1つまたは複数のあらかじめ規定されたAF、NFおよび/またはUEが、もしあれば、任意の好適なアクションをとることを可能にするために、鍵導出の完了に関する通知を1つまたは複数のあらかじめ規定されたAF、NFおよび/またはUEのほうへ送出し得る。
【0085】
ステップ604、614およびステップ610、612は、要求/応答モデルとして図6に示されているが、これらのステップはまた、たとえば、異なる状況に応じて、加入者/通知のモデルで実装され得る。たとえば、アプリケーションサーバは、エクスポートされる鍵材料に関係するイベントをNEFなどのNFのほうへサブスクライブすることができる。1つまたは複数の新しいネットワーク鍵材料がネットワーク内で生成されるとき、対応するエクスポートされる鍵材料も生成されることになり、その場合、NEFなどのNFは、対応するエクスポートされる鍵材料を含む通知をアプリケーションサーバのほうへ送出し得る。
【0086】
ステップ616において、アプリケーションクライアントは、たとえばUE APIを介して、UEまたはUEのセキュリティモジュールのほうへ、エクスポートされる鍵材料を要求する。たとえば、APPクライアントは、UEに、エクスポートされる鍵材料の要求を送出し得る。アプリケーションクライアントは、それに応じて、たとえば、エクスポートされる鍵材料の要求において、少なくとも1つの鍵導出入力パラメータを送出し得る。
【0087】
ステップ618において、UEまたはUEのセキュリティモジュールは、少なくとも1つの鍵導出入力パラメータに基づいて、エクスポートされる鍵材料を導出し、エクスポートされる鍵材料を含む応答をAPPライアントに送出し得る。上記で説明されたように、KDFは、ネットワーク側とUE側とにおいて一貫していることがある。
【0088】
ステップ616、618は、要求/応答モデルとして図6に示されているが、これらのステップはまた、たとえば、異なる状況に応じて、加入者/通知のモデルで実装され得る。たとえば、APPクライアントは、エクスポートされる鍵材料に関係するイベントをUEまたはUEのセキュリティモジュールのほうへサブスクライブすることができる。1つまたは複数の新しいネットワーク鍵材料がUE内で生成されるときはいつでも、対応するエクスポートされる鍵材料も生成されることになり、その場合、UEまたはUEのセキュリティモジュールは、エクスポートされる鍵材料を含む通知をアプリケーションクライアントのほうへ送出することができる。
【0089】
ステップ620において、APPサーバおよびAPPクライアントは、エクスポートされる鍵材料に基づいて、任意の好適な動作、たとえば、アプリケーションサービスセットアップを実施し得る。任意の好適な動作は、エクスポートされる鍵材料に依存するか、またはエクスポートされる鍵材料を伴うことができる。
【0090】
ステップ616~618とステップ604~614とは、同時に、および単独で、または順序が相関して起こることがある。
【0091】
本開示のこの実施形態は、UE/ネットワーク認証手順中に生成された、ネットワークとUEとの間で共有されるセキュリティ材料を活用して、アプリケーション機能が、アプリケーション認証、アプリケーション通信暗号化のために使用されるものなど、アプリケーション機能自体のセキュリティ鍵材料を作成するための簡単な方法を有することを可能にすることができる。本開示のこの実施形態は、モバイルネットワークオペレータ(MNO)のビジネス価値を可能にすることができ、たとえばMNOのネットワーク公開フレームワークは、MNOのセキュリティ能力を公開し、外部アプリケーションが、それら自体のセキュリティ手順のための異なる鍵材料を得ることを可能にするための新しいビジネスモデルを有することができる。本開示のこの実施形態は、MNOネットワークにおけるアプリケーション機能のための自動のおよび真性の鍵材料駆動手順を可能にすることができる。さらに、方法は、任意の好適なアプリケーションのために拡張可能であり得る。
【0092】
図7は、UEにおいて実装されるかまたはUEに通信可能に結合された装置によって実施され得る、本開示の別の実施形態による、方法のフローチャートを示す。したがって、装置は、方法700の様々な部分を達成するための手段、ならびに他の構成要素とともに他のプロセスを達成するための手段を提供し得る。上記の実施形態で説明されたいくつかの部分について、それらの詳細な説明は、簡潔のためにここでは省略される。
【0093】
ブロック702において、UEは、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて、AFに関係する鍵材料を導出し得る。AFは、任意の好適なAFであり得る。ネットワークは、任意の好適な通信ネットワークであり得る。少なくとも1つの鍵導出入力パラメータは、UEによって、明示的様式または暗黙的様式など、様々なやり方で取得され得る。たとえば、少なくとも1つの鍵導出入力パラメータは、APPクライアントによって提供されるか、またはUEにあらかじめ設定されるか、またはUEにあらかじめ記憶され得る。別の例では、少なくとも1つの鍵導出入力パラメータとAPPクライアントとの間の対応があり得る。この場合、UEが、アプリケーションクライアントから鍵材料に関係する要求/サブスクリプションを受信したとき、UEは、アプリケーションクライアントに関係する少なくとも1つの鍵導出入力パラメータを識別し得る。
【0094】
少なくとも1つの鍵導出入力パラメータは、鍵導出手順において使用されるべき任意の好適なパラメータを含み得る。たとえば、鍵導出入力パラメータは、AFのタイプ、アプリケーションタイプ、アプリケーション識別子、ユーザ識別子(たとえば一般公開サブスクリプション識別子(GPSI:Generic Public Subscription Identifier)または外部グループ識別子)、UEのアドレス、関連付けセッション(たとえばUEとのAPP関連付け)、コンテキスト識別子、鍵導出のためのあいまいさ除去ラベルストリング(disambiguating label string)、乱数、鍵導出ドメイン(たとえばHPLMN、VPLMN)、鍵導出関数方式(たとえば3GPP KDF、TLS PRF(擬似ランダム関数))、少なくとも1つのシェア鍵のタイプ、日付指示、時間指示、およびネットワーク固有情報(たとえばデータネットワーク名(DNN)、ネットワークスライス選択支援情報(NSSAI))などのうちの少なくとも1つを含み得る。
【0095】
一実施形態では、少なくとも1つのシェア鍵は、相互認証手順中に、生成され、ネットワークとUEとの間で共有され得る。特定の通信ネットワークに応じて、少なくとも1つのシェア鍵の数およびタイプが異なり得る。たとえば、5GSでは、少なくとも1つのシェア鍵は、認証サーバ機能(AUSF)のための鍵KAUSF、セキュリティアンカー機能(SEAF)のための鍵KSEAF、アクセスおよびモビリティ管理機能(AMF)のための鍵KAMF、特定の完全性アルゴリズムによる非アクセス階層(NAS)シグナリングの保護のための鍵KNASint、特定の暗号化アルゴリズムによるNASシグナリングの保護のための鍵KNASenc、非第3世代パートナーシッププロジェクト(非3GPP)アクセスインターワーキング機能のための鍵KN3IWF、次世代無線アクセスネットワークのための鍵KgNB、特定の完全性アルゴリズムによる無線リソース制御(RRC)シグナリングの保護のための鍵KRRCint、特定の暗号化アルゴリズムによるRRCシグナリングの保護のための鍵KRRCenc、特定の暗号化アルゴリズムによるユーザプレーン(UP)トラフィックの保護のための鍵KUPint、および特定の完全性アルゴリズムによるモバイル機器(ME)とgNBとの間のUPトラフィックの保護のための鍵KUPencのうちの少なくとも1つを含み得る。
【0096】
一実施形態では、少なくとも1つのシェア鍵は、汎用加入者識別モジュール(USIM)または加入者識別モジュール(SIM)など、UEのセキュリティモジュールに記憶され得、鍵材料は、セキュリティモジュールによって導出される。
【0097】
一実施形態では、同じ鍵導出関数(KDF)が、鍵材料を導出するためにネットワークおよびUEによって使用され得る。たとえば、静的KDFが、AFのアプリケーションのために設定され得る。別の例では、KDFは、たとえば少なくとも1つの鍵導出入力パラメータ、またはUEとネットワークとの間のネゴシエーションに基づいて選定され得る。たとえば、AFとAPPクライアントとが、ネゴシエートし、それに応じて、KDF選択パラメータに合意することができる。
【0098】
一実施形態では、KDFは、異なる使用法に応じて変更され得る。たとえば、異なる使用法は異なるKDFに対応し得る。
【0099】
一実施形態では、KDFは、少なくとも1つの鍵導出入力パラメータに基づいて選択され得る。KDFを選択するために少なくとも1つの鍵導出入力パラメータを使用するための、複数のやり方があり得る。たとえば、鍵導出入力パラメータの値が、KDFを選択するために使用され得る。一例として、異なる鍵導出ドメインが異なるKDFに対応し得、異なる鍵導出関数方式が異なるKDFに対応し得る、などである。
【0100】
一実施形態では、KDFは、UEとネットワークの間のネゴシエーションに基づいて選択され得る。たとえば、UEとネットワークとは、ネットワークとUEの両方によってサポートされるKDFを決定するために、ネゴシエーションを実施し得る。
【0101】
ブロック704において、UEは、鍵材料をアプリケーションクライアントに提供し得る。アプリケーションクライアントは、UE中に、またはUE外に位置し得る。たとえば、アプリケーションクライアントは、UE、あるいは、別のUEまたはコンピュータなどの別のエンティティなどにインストールされ得る。アプリケーションクライアントは、AFまたは別のAFのアプリケーションクライアントであり得る。アプリケーションクライアントが別のAFのアプリケーションクライアントであるとき、別のAFは、AFから鍵材料を取得するためにAFと対話することができる。
【0102】
一実施形態では、UEは、アプリケーションクライアントから要求またはサブスクリプションを受信したことに応答して、鍵材料をアプリケーションクライアントに提供し得る。要求またはサブスクリプションは、少なくとも1つの鍵導出入力パラメータを含み得る。別の実施形態では、要求またはサブスクリプションは、少なくとも1つの鍵導出入力パラメータを含まないことがあり、UEは、上記で説明されたように、暗黙的様式で少なくとも1つの鍵導出入力パラメータを決定し得る。
【0103】
一実施形態では、アプリケーションクライアントがUE外に位置するとき、UEは、様々なやり方で鍵材料をアプリケーションクライアントに提供することができる。たとえば、UEとアプリケーションクライアントとは、鍵材料を送信するための接続を確立することができる。さらに、アプリケーションクライアントのエンドユーザが、いくつかの「ブリッジング」方法、たとえばQRバー走査、リダイレクトURLによりポップアップされ得、したがって、UEの外部の適用可能なクライアントも、適切な鍵材料を得るために、UEのAPIにアクセスすることができる。
【0104】
一態様では、方法は、UE/ネットワーク認証手順中に生成された、ネットワークとUEとの間で共有されるセキュリティ材料を活用して、アプリケーション機能が、アプリケーション認証、アプリケーション通信暗号化のために使用されるものなど、アプリケーション機能自体のセキュリティ鍵材料を作成するための簡単な方法を有することを可能にすることができる。別の態様では、方法は、モバイルネットワークオペレータ(MNO)のビジネス価値を可能にすることができ、たとえばMNOのネットワーク公開フレームワークは、MNOのセキュリティ能力を公開し、外部アプリケーションが、それら自体のセキュリティ手順のための異なる鍵材料を得ることを可能にするための新しいビジネスモデルを有することができる。別の態様では、方法は、MNOネットワークにおけるアプリケーション機能のための自動のおよび真性の鍵材料駆動手順を可能にすることができる。さらに、方法は、任意の好適なアプリケーションのために拡張可能であり得る。
【0105】
図8は、アプリケーションクライアントにおいて実装されるかまたはアプリケーションクライアントに通信可能に結合された装置によって実施され得る、本開示の別の実施形態による、方法のフローチャートを示す。したがって、装置は、方法800の様々な部分を達成するための手段、ならびに他の構成要素とともに他のプロセスを達成するための手段を提供し得る。上記の実施形態で説明されたいくつかの部分について、それらの詳細な説明は、簡潔のためにここでは省略される。
【0106】
ブロック802において、アプリケーションクライアントは、UEまたはUEのセキュリティモジュールからAFに関係する鍵材料を取得し得、鍵材料は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて導出される。たとえば、UEは、図7のブロック704において鍵材料をアプリケーションクライアントに提供し得、アプリケーションクライアントはUEから鍵材料を取得し得る。
【0107】
一実施形態では、アプリケーションクライアントは、UEに要求またはサブスクリプションを送出したことに応答して、UEからAFに関係する鍵材料を取得し得る。
【0108】
一実施形態では、要求またはサブスクリプションは、少なくとも1つの鍵導出入力パラメータを含み得る。
【0109】
ブロック804において、アプリケーションクライアントは、アプリケーションクライアントによって送出されたおよび/または受信された少なくとも1つのメッセージに鍵材料を適用し得る。たとえば、少なくとも1つのメッセージは、セキュリティ関係手順、たとえば、認証、暗号化、機密性、完全性検査などに関係し得る。
【0110】
図9は、第1のNFにおいて実装されるかまたは第1のNFに通信可能に結合された装置によって実施され得る、本開示の別の実施形態による、方法のフローチャートを示す。したがって、装置は、方法900の様々な部分を達成するための手段、ならびに他の構成要素とともに他のプロセスを達成するための手段を提供し得る。上記の実施形態で説明されたいくつかの部分について、それらの詳細な説明は、簡潔のためにここでは省略される。
【0111】
ブロック902において、第1のNFは、AFに関係する鍵材料を取得し得る。鍵材料は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて導出され得る。第1のNFは、鍵材料を取得することができる、ネットワークにおける任意の好適なNFであり得る。たとえば、第1のNFは、5GSでは、NEFであり得る。
【0112】
第1のNFは、様々なやり方で鍵材料を取得し得る。たとえば、第1のNFが鍵材料を導出し得るとき、第1のNFは、それ自体によって鍵材料を取得し得る。別の例では、少なくとも1つのシェア鍵は第2のNFに記憶され得、鍵材料は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて、第2のNFによって導出され得、第1のNFは、第2のNFからAFに関係する鍵材料を取得し得る。さらに、第1のNFは、第2のNFに要求またはサブスクリプションを送出したことに応答して、第2のNFからAFに関係する鍵材料を取得し得る。要求またはサブスクリプションは、少なくとも1つの鍵導出入力パラメータを含み得る。
【0113】
ブロック904において、第1のNFは、鍵材料をAFに提供し得る。一実施形態では、第1のNFは、AFから要求またはサブスクリプションを受信したことに応答して、鍵材料をAFに提供し得る。要求またはサブスクリプションは、少なくとも1つの鍵導出入力パラメータを含む。
【0114】
図10は、第1のNFにおいて実装されるかまたは第1のNFに通信可能に結合された装置によって実施され得る、本開示の別の実施形態による、方法のフローチャートを示す。したがって、装置は、方法1000の様々な部分を達成するための手段、ならびに他の構成要素とともに他のプロセスを達成するための手段を提供し得る。上記の実施形態で説明されたいくつかの部分について、それらの詳細な説明は、簡潔のためにここでは省略される。
【0115】
ブロック1002において、第1のNFは、AFがUEのためのネットワーク公開サービスにアクセスすることを可能にされるかどうか、および/または、鍵材料の導出がUEについてサポートされるかどうか、および/または、鍵材料の導出が、少なくとも1つの鍵導出入力パラメータのうちの少なくとも1つについて可能にされるかどうかを決定し得る。一実施形態では、その決定は、UEのサブスクリプション情報に基づき得る。
【0116】
ブロック1004において、ブロック1002の決定が肯定であるとき、第1のNFは、AFに関係する鍵材料を取得し得る。ブロック1004は、図9のブロック902と同様である。
【0117】
ブロック1006において、第1のNFは、鍵材料をAFに提供し得る。ブロック1006は、図9のブロック904と同様である。
【0118】
図11は、第1のNFにおいて実装されるかまたは第1のNFに通信可能に結合された装置によって実施され得る、本開示の別の実施形態による、方法のフローチャートを示す。したがって、装置は、方法1000の様々な部分を達成するための手段、ならびに他の構成要素とともに他のプロセスを達成するための手段を提供し得る。上記の実施形態で説明されたいくつかの部分について、それらの詳細な説明は、簡潔のためにここでは省略される。この実施形態では、第1のNFは、第2のNFから鍵材料を取得する。
【0119】
ブロック1102において、第1のNFは、UEの識別子および/または少なくとも1つの鍵導出入力パラメータに基づいて第2のNFを発見し得る。たとえば、第1のNFは、どのNFが、少なくとも1つのシェア鍵を記憶するかを識別するために、少なくとも1つの鍵導出入力パラメータを使用し、UEに対応する少なくとも1つのシェア鍵を識別するために、UEの識別子を使用し得る。一実施形態では、第1のNFは、第3のNFに発見要求またはサブスクリプションを送出することであって、要求またはサブスクリプションがUEの識別子および/または少なくとも1つの鍵導出入力パラメータを含む、発見要求またはサブスクリプションを送出することと、第3のNFから第2のNFに関する情報を含む応答を受信することとを行い得る。第3のNFは、ディスカバリサービスを第1のNFに提供し得る。たとえば、5GSでは、第3のNFはNRFであり得る。
【0120】
一実施形態では、UEの識別子は、UEのネットワーク内部識別子であり、第1のNFは、ブロック1101において、UEの外部識別子またはUEのインターネットプロトコル(IP)アドレスに基づいてUEのネットワーク内部識別子を取得し得る。たとえば、5GSでは、NEFなどの第1のNFは、たとえば3GPP TS23.502 V15.4.1に従って、外部UE識別子をネットワーク内部識別子にトランスレートするためのNudmサービスをUDMに要求し得る。他の通信システムでは、同様のまたは異なるトランスレーション手順があり得る。
【0121】
ブロック1104において、第1のNFは、AFに関係する鍵材料を取得し得る。ブロック1104は、図9のブロック902と同様である。
【0122】
ブロック1106において、第1のNFは、鍵材料をAFに提供し得る。ブロック1106は、図9のブロック904と同様である。
【0123】
一実施形態では、第1のNFは、ネットワーク公開機能(NEF)を含み得、第2のNFは、認証サーバ機能(AUSF)、アクセスおよびモビリティ管理機能(AMF)またはセキュリティアンカー機能(SEAF)、新無線ノードB(gNB)、非3GPP(第3世代パートナーシッププロジェクト)アクセスインターワーキング機能(N3IWF)を含み得る。
【0124】
図12は、第2のNFにおいて実装されるかまたは第2のNFに通信可能に結合された装置によって実施され得る、本開示の別の実施形態による、方法のフローチャートを示す。したがって、装置は、方法1200の様々な部分を達成するための手段、ならびに他の構成要素とともに他のプロセスを達成するための手段を提供し得る。上記の実施形態で説明されたいくつかの部分について、それらの詳細な説明は、簡潔のためにここでは省略される。
【0125】
ブロック1202において、第2のNFは、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて、AFに関係する鍵材料を導出し得る。第2のNFは、鍵材料を導出することができる、ネットワークにおける任意の好適なNFであり得る。たとえば、第2のNFは、5GSでは、AUSF、SEAFなどであり得る。導出動作は、上記で説明されたものと同様であり得る。
【0126】
ブロック1204において、第2のNFは、鍵材料を第1のNFに提供し得る。一実施形態では、第2のNFは、第1のNFから要求またはサブスクリプションを受信したことに応答して、鍵材料を第1のNFに提供し得る。要求またはサブスクリプションは、少なくとも1つの鍵導出入力パラメータを含む。
【0127】
図13は、第2のNFにおいて実装されるかまたは第2のNFに通信可能に結合された装置によって実施され得る、本開示の別の実施形態による、方法のフローチャートを示す。したがって、装置は、方法1300の様々な部分を達成するための手段、ならびに他の構成要素とともに他のプロセスを達成するための手段を提供し得る。上記の実施形態で説明されたいくつかの部分について、それらの詳細な説明は、簡潔のためにここでは省略される。
【0128】
ブロック1302において、第2のNFは、第3のNFにおいて、第2のNFによってサポートされる少なくとも1つの鍵導出入力パラメータのうちの少なくとも1つを登録し得る。第3のNFは、ディスカバリサービスを第1のNFに提供し得る。たとえば、5GSでは、第3のNFはNRFであり得る。
【0129】
ブロック1304において、第2のNFは、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて、AFに関係する鍵材料を導出し得る。ブロック1304は、図12のブロック1202と同様である。
【0130】
ブロック1306において、第2のNFは、鍵材料を第1のNFに提供し得る。ブロック1306は、図12のブロック1204と同様であり得る。
【0131】
一実施形態では、第1のNFは、ネットワーク公開機能(NEF)を含み得、第2のNFは、認証サーバ機能(AUSF)、アクセスおよびモビリティ管理機能(AMF)またはセキュリティアンカー機能(SEAF)、新無線ノードB(gNB)、非3GPP(第3世代パートナーシッププロジェクト)アクセスインターワーキング機能(N3IWF)を含み得る。
【0132】
図14は、第3のNFにおいて実装されるかまたは第3のNFに通信可能に結合された装置によって実施され得る、本開示の別の実施形態による、方法のフローチャートを示す。したがって、装置は、方法1400の様々な部分を達成するための手段、ならびに他の構成要素とともに他のプロセスを達成するための手段を提供し得る。上記の実施形態で説明されたいくつかの部分について、それらの詳細な説明は、簡潔のためにここでは省略される。
【0133】
ブロック1402において、第3のNFは、第1のNFから要求またはサブスクリプションを受信し得る。要求またはサブスクリプションは、ユーザ機器(UE)の識別子および/または少なくとも1つの鍵導出入力パラメータを含み得る。UEの識別子および/または少なくとも1つの鍵導出入力パラメータは、上記で説明されたものと同様であり得る。
【0134】
ブロック1404において、第3のNFは、UEの識別子および/または少なくとも1つの鍵導出入力パラメータに基づいて第2のNFの位置を特定し得る。たとえば、第3のNFは、たとえば任意の他のNFからまたは第2のNFの登録要求から、第2のNFプロファイルを取得し得る。NFプロファイルは、そのNFプロファイルを、(1つまたは複数の)他のNFによって発見されるために利用可能にすることができる、任意の好適な情報、たとえば、サポートされるNFサービスを含み得る。
【0135】
ブロック1406において、第3のNFは、第2のNFに関する情報を含む応答を第1のNFに送出し得る。
【0136】
図15は、第3のNFにおいて実装されるかまたは第3のNFに通信可能に結合された装置によって実施され得る、本開示の別の実施形態による、方法のフローチャートを示す。したがって、装置は、方法1500の様々な部分を達成するための手段、ならびに他の構成要素とともに他のプロセスを達成するための手段を提供し得る。上記の実施形態で説明されたいくつかの部分について、それらの詳細な説明は、簡潔のためにここでは省略される。
【0137】
ブロック1502において、第3のNFは、第2のNFによってサポートされる少なくとも1つの鍵導出入力パラメータを含む登録要求を受信し得る。
【0138】
ブロック1504において、第3のNFは、第2のNFによってサポートされる少なくとも1つの鍵導出入力パラメータを記憶し得る。
【0139】
一実施形態では、第1のNFは、ネットワーク公開機能(NEF)を含み得、第2のNFは、認証サーバ機能(AUSF)、アクセスおよびモビリティ管理機能(AMF)またはセキュリティアンカー機能(SEAF)、新無線ノードB(gNB)、非3GPP(第3世代パートナーシッププロジェクト)アクセスインターワーキング機能(N3IWF)を含み得、第3のNFは、ネットワーク機能リポジトリ機能を含み得る。
【0140】
図16aは、本開示の一実施形態による、UEにおいて/として具現され得る装置1610の簡略ブロック図を示す。図16bは、本開示の一実施形態による、アプリケーションクライアントにおいて/として具現され得る装置1620を示す。図16cは、本開示の一実施形態による、第1のNFにおいて/として具現され得る装置1630を示す。図16dは、本開示の一実施形態による、第2のNFにおいて/として具現され得る装置1640を示す。図16eは、本開示の一実施形態による、第3のNFにおいて/として具現され得る装置1650を示す。
【0141】
装置1610は、データプロセッサ(DP)など、少なくとも1つのプロセッサ1611と、プロセッサ1611に結合された少なくとも1つのメモリ(MEM)1612とを備え得る。装置1610は、プロセッサ1611に結合された送信機TXおよび受信機RX1613をさらに備え得る。MEM1612はプログラム(PROG)1614を記憶する。PROG1614は、関連するプロセッサ1611上で実行されたとき、装置1610が、本開示の実施形態に従って動作すること、たとえば、方法300、400を実施することを可能にする、命令を含み得る。少なくとも1つのプロセッサ1611と少なくとも1つのMEM1612との組合せは、本開示の様々な実施形態を実装するように適応された処理手段1615を形成し得る。
【0142】
装置1620は、DPなど、少なくとも1つのプロセッサ1621と、プロセッサ1621に結合された少なくとも1つのMEM1622とを備える。装置1620は、プロセッサ1621に結合された送信機TXおよび受信機RX1623をさらに備え得る。MEM1622はPROG1624を記憶する。PROG1624は、関連するプロセッサ1621上で実行されたとき、装置1620が、本開示の実施形態に従って動作すること、たとえば、方法500を実施することを可能にする、命令を含み得る。少なくとも1つのプロセッサ1621と少なくとも1つのMEM1622との組合せは、本開示の様々な実施形態を実装するように適応された処理手段1625を形成し得る。
【0143】
装置1630は、DPなど、少なくとも1つのプロセッサ1631と、プロセッサ1631に結合された少なくとも1つのMEM1632とを備える。装置1630は、プロセッサ1631に結合された送信機TXおよび受信機RX1633をさらに備え得る。MEM1632はPROG1634を記憶する。PROG1634は、関連するプロセッサ1621上で実行されたとき、装置1630が、本開示の実施形態に従って動作すること、たとえば、方法600を実施することを可能にする、命令を含み得る。少なくとも1つのプロセッサ1631と少なくとも1つのMEM1632との組合せは、本開示の様々な実施形態を実装するように適応された処理手段1635を形成し得る。
【0144】
装置1640は、データプロセッサ(DP)など、少なくとも1つのプロセッサ1641と、プロセッサ1641に結合された少なくとも1つのメモリ(MEM)1642とを備え得る。装置1640は、プロセッサ1641に結合された送信機TXおよび受信機RX1643をさらに備え得る。MEM1642はプログラム(PROG)1644を記憶する。PROG1644は、関連するプロセッサ1641上で実行されたとき、装置1640が、本開示の実施形態に従って動作すること、たとえば、方法700を実施することを可能にする、命令を含み得る。少なくとも1つのプロセッサ1641と少なくとも1つのMEM1642との組合せは、本開示の様々な実施形態を実装するように適応された処理手段1645を形成し得る。
【0145】
装置1650は、データプロセッサ(DP)など、少なくとも1つのプロセッサ1651と、プロセッサ1651に結合された少なくとも1つのメモリ(MEM)1652とを備え得る。装置1650は、プロセッサ1651に結合された送信機TXおよび受信機RX1653をさらに備え得る。MEM1652はプログラム(PROG)1654を記憶する。PROG1654は、関連するプロセッサ1651上で実行されたとき、装置1650が、本開示の実施形態に従って動作すること、たとえば、方法800を実施することを可能にする、命令を含み得る。少なくとも1つのプロセッサ1651と少なくとも1つのMEM1652との組合せは、本開示の様々な実施形態を実装するように適応された処理手段1655を形成し得る。
【0146】
本開示の様々な実施形態は、プロセッサ1611、1621、1631、1641および1651、ソフトウェア、ファームウェア、ハードウェアのうちの1つまたは複数によって実行可能なコンピュータプログラムによって、またはそれらの組合せにおいて実行可能なコンピュータプログラムによって実装され得る。
【0147】
MEM1612、1622、1632、1642および1652は、ローカル技術環境に好適な任意のタイプのものであり得、非限定的な例として、半導体ベースメモリデバイス、磁気メモリデバイスおよびシステム、光メモリデバイスおよびシステム、固定メモリおよびリムーバブルメモリなど、任意の好適なデータ記憶技術を使用して実装され得る。
【0148】
プロセッサ1611、1621、1631、1641および1651は、ローカル技術環境に好適な任意のタイプのものであり得、非限定的な例として、汎用コンピュータ、専用コンピュータ、マイクロプロセッサ、デジタル信号プロセッサDSPおよびマルチコアプロセッサアーキテクチャに基づくプロセッサのうちの1つまたは複数を含み得る。
【0149】
次に、UEのための装置1700の概略ブロック図を示す図17への参照が行われる。装置1700は、上記で説明されたUEに関係する例示的な方法を行うように動作可能である。
【0150】
図17に示されているように、装置1700は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出することを行うように設定された導出ユニット1702と、鍵材料をアプリケーションクライアントに提供することを行うように設定された提供ユニット1704とを備え得る。
【0151】
次に、アプリケーションクライアントのための装置1800の概略ブロック図を示す図18への参照が行われる。装置1800は、上記で説明されたアプリケーションクライアントに関係する例示的な方法を行うように動作可能である。
【0152】
図18に示されているように、装置1800は、ユーザ機器(UE)またはUEのセキュリティモジュールからアプリケーション機能(AF)に関係する鍵材料を取得することであって、鍵材料が、少なくとも1つの鍵導出入力パラメータ、およびネットワークとUEとの間の少なくとも1つのシェア鍵に基づいて導出される、鍵材料を取得することを行うように設定された取得ユニット1802と、アプリケーションクライアントによって送出されたおよび/または受信された少なくとも1つのメッセージに鍵材料を適用することを行うように設定された適用ユニット1804とを備え得る。
【0153】
次に、第1のNFのための装置1900の概略ブロック図を示す図19への参照が行われる。装置1900は、上記で説明された第1のNFに関係する例示的な方法を行うように動作可能である。
【0154】
図19に示されているように、装置1900は、アプリケーション機能(AF)に関係する鍵材料を取得することであって、鍵材料が、少なくとも1つの鍵導出入力パラメータ、およびネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて導出される、鍵材料を取得することを行うように設定された第1の取得ユニット1902と、鍵材料をAFに提供することを行うように設定された提供ユニット1904とを備え得る。
【0155】
一実施形態では、装置1900は、AFがUEのためのネットワーク公開サービスにアクセスすることを可能にされるかどうか、および/または、鍵材料の導出がUEについてサポートされるかどうか、および/または、鍵材料の導出が、少なくとも1つの鍵導出入力パラメータのうちの少なくとも1つについて可能にされるかどうかを決定することを行うように設定された決定ユニット(随意)1906をさらに備え得る。
【0156】
一実施形態では、装置1900は、UEの識別子および少なくとも1つの鍵導出入力パラメータに基づいて第2のNFを発見することを行うように設定された発見ユニット(随意)1908をさらに備え得る。
【0157】
一実施形態では、装置1900は、UEの外部識別子またはUEのインターネットプロトコル(IP)アドレスに基づいてUEのネットワーク内部識別子を取得することを行うように設定された第2の取得ユニット(随意)1910をさらに備え得る。
【0158】
次に、第2のNFのための装置2000の概略ブロック図を示す図20への参照が行われる。装置2000は、上記で説明された第2のNFに関係する例示的な方法を行うように動作可能である。
【0159】
図20に示されているように、装置2000は、少なくとも1つの鍵導出入力パラメータ、およびネットワークとユーザ機器(UE)との間の少なくとも1つのシェア鍵に基づいて、アプリケーション機能(AF)に関係する鍵材料を導出することを行うように設定された導出ユニット2002と、鍵材料を第1のNFに提供することを行うように設定された提供ユニット2004とを備え得る。
【0160】
一実施形態では、装置2000は、第3のNFにおいて、第2のNFによってサポートされる少なくとも1つの鍵導出入力パラメータのうちの少なくとも1つを登録することを行うように設定された登録ユニット(随意)2006をさらに備え得る。
【0161】
次に、第3のNFのための装置2100の概略ブロック図を示す図21への参照が行われる。装置2100は、上記で説明された第3のNFに関係する例示的な方法を行うように動作可能である。
【0162】
図21に示されているように、装置2100は、第1のNFから要求またはサブスクリプションを受信することであって、要求またはサブスクリプションがユーザ機器(UE)の識別子および少なくとも1つの鍵導出入力パラメータを含む、要求またはサブスクリプションを受信することを行うように設定された第1の受信ユニット2102と、UEの識別子および少なくとも1つの鍵導出入力パラメータに基づいて第2のNFの位置を特定することを行うように設定された位置特定ユニット2104と、第2のNFに関する情報を含む応答を第1のNFに送出することを行うように設定された送出ユニット2106とを備え得る。
【0163】
一実施形態では、装置2100は、第2のNFによってサポートされる少なくとも1つの鍵導出入力パラメータを含む登録要求を受信することを行うように設定された第2の受信ユニット(随意)2108と、第2のNFによってサポートされる少なくとも1つの鍵導出入力パラメータを記憶することを行うように設定された記憶ユニット(随意)2110とをさらに備え得る。
【0164】
装置1700、1800、1900、2000または2100中の、いくつかのユニットまたはモジュールは、いくつかの実装形態において組み合わせられ得ることが諒解されよう。たとえば、一実施形態では、情報を送出および受信するために、単一の送受信ユニットを使用することが可能である。
【0165】
本開示の一態様によれば、コンピュータ可読記憶媒体に有形に記憶され、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、上記で説明されたUEに関係する方法を行わせる命令を含む、コンピュータプログラム製品が提供される。
【0166】
本開示の一態様によれば、コンピュータ可読記憶媒体に有形に記憶され、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、上記で説明されたアプリケーションクライアントに関係する方法を行わせる命令を含む、コンピュータプログラム製品が提供される。
【0167】
本開示の一態様によれば、コンピュータ可読記憶媒体に有形に記憶され、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、上記で説明された第1のNFに関係する方法を行わせる命令を含む、コンピュータプログラム製品が提供される。
【0168】
本開示の一態様によれば、コンピュータ可読記憶媒体に有形に記憶され、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、上記で説明された第2のNFに関係する方法を行わせる命令を含む、コンピュータプログラム製品が提供される。
【0169】
本開示の一態様によれば、コンピュータ可読記憶媒体に有形に記憶され、少なくとも1つのプロセッサ上で実行されたとき、少なくとも1つのプロセッサに、上記で説明された第3のNFに関係する方法を行わせる命令を含む、コンピュータプログラム製品が提供される。
【0170】
さらに、本開示は、上述のようなコンピュータプログラムを含んでいるキャリアをも提供し得、そのキャリアは、電子信号、光信号、無線信号、またはコンピュータ可読記憶媒体のうちの1つである。コンピュータ可読記憶媒体は、たとえば、RAM(ランダムアクセスメモリ)、ROM(読取り専用メモリ)、フラッシュメモリ、磁気テープ、CD-ROM、DVD、Blu-rayディスクなどのような、光コンパクトディスクまたは電子メモリデバイスであり得る。
【0171】
本明細書で説明される技法は、一実施形態で説明される対応する装置の1つまたは複数の機能を実装する装置が、従来技術の手段だけでなく、その実施形態で説明される対応する装置の1つまたは複数の機能を実装するための手段をも備えるように、および、その装置が、各別個の機能のための別個の手段、あるいは2つまたはそれ以上の機能を実施するように設定され得る手段を備え得るように、様々な手段によって実装され得る。たとえば、これらの技法は、ハードウェア(1つまたは複数の装置)、ファームウェア(1つまたは複数の装置)、ソフトウェア(1つまたは複数のモジュール)、またはそれらの組合せで実装され得る。ファームウェアまたはソフトウェアの場合、実装は、本明細書で説明される機能を実施するモジュール(たとえば、手順、機能など)を通して行われ得る。
【0172】
本明細書の例示的な実施形態が、方法および装置のブロック図およびフローチャート図を参照しながら上記で説明された。ブロック図およびフローチャート図の各ブロック、ならびにブロック図およびフローチャート図中のブロックの組合せが、それぞれ、コンピュータプログラム命令を含む様々な手段によって実装され得ることを理解されよう。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、または機械を製造するための他のプログラマブルデータ処理装置にロードされ得、その結果、コンピュータまたは他のプログラマブルデータ処理装置上で実行する命令は、フローチャートの1つまたは複数のブロックにおいて指定された機能を実装するための手段を作成する。
【0173】
さらに、動作は特定の順序で示されているが、これは、望ましい結果を達成するために、そのような動作が、示されている特定の順序または連続した順序で実施されること、あるいはすべての例示された動作が実施されることを必要とするものとして理解されるべきではない。いくつかの状況では、マルチタスキングおよび並列処理が有利であり得る。同様に、いくつかの特定の実装の詳細が上記の議論中に含まれているが、これらは、本明細書で説明される主題の範囲に対する限定と解釈されるべきではなく、むしろ特定の実施形態に固有であり得る特徴の説明と解釈されるべきである。別個の実施形態のコンテキストにおいて説明されるいくつかの特徴は、単一の実施形態における組合せでも実装され得る。逆に、単一の実施形態のコンテキストにおいて説明される様々な特徴が、複数の実施形態において別々にも実装され、または任意の好適な部分組合せでも実装され得る。
【0174】
本明細書は多くの特定の実装の詳細を含んでいるが、これらは、任意の実装のまたは請求され得るものの範囲に対する限定と解釈されるべきではなく、むしろ特定の実装形態の特定の実施形態に固有であり得る特徴の説明と解釈されるべきである。別個の実施形態のコンテキストにおいて本明細書で説明されるいくつかの特徴は、単一の実施形態における組合せでも実装され得る。逆に、単一の実施形態のコンテキストにおいて説明される様々な特徴が、複数の実施形態において別々にも実装され、または任意の好適な部分組合せでも実装され得る。その上、特徴は、いくつかの組合せで働くものとして上記で説明され、さらには最初にそのようなものとして請求され得るが、請求される組合せからの1つまたは複数の特徴は、いくつかの場合にはその組合せから削除され得、請求される組合せは、部分組合せまたは部分組合せの変形を対象とし得る。
【0175】
技術が進歩するにつれて、発明概念が様々なやり方で実装され得ることが当業者に明らかであろう。上記で説明された実施形態は、本開示を限定するのではなく説明するために与えられており、当業者が容易に理解するように、本開示の趣旨および範囲から逸脱することなく修正および変形が行われ得ることを理解されたい。そのような修正および変形は、本開示の範囲および添付の特許請求の範囲内にあると見なされる。本開示の保護範囲は、添付の特許請求の範囲によって規定される。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16a
図16b
図16c
図16d
図16e
図17
図18
図19
図20
図21
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.