知財求人 - 知財ポータルサイト「IP Force」
特許7461515データ伝送方法及びシステム、電子機器、並びにコンピュータ可読記憶媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-03-26
(45)【発行日】2024-04-03
(54)【発明の名称】データ伝送方法及びシステム、電子機器、並びにコンピュータ可読記憶媒体
(51)【国際特許分類】
H04W 12/08 20210101AFI20240327BHJP
H04W 12/0431 20210101ALI20240327BHJP
H04W 48/08 20090101ALI20240327BHJP
H04W 76/10 20180101ALI20240327BHJP
【FI】
H04W12/08
H04W12/0431
H04W48/08
H04W76/10
【請求項の数】
12
(21)【出願番号】P 2022574816
(86)(22)【出願日】2021-06-01
(65)【公表番号】
(43)【公表日】2023-07-07
(86)【国際出願番号】 CN2021097605
(87)【国際公開番号】W WO2021244509
(87)【国際公開日】2021-12-09
【審査請求日】2022-12-05
(31)【優先権主張番号】202010497744.4
(32)【優先日】2020-06-03
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】511151662
【氏名又は名称】中興通訊股▲ふん▼有限公司
【氏名又は名称原語表記】ZTE CORPORATION
【住所又は居所原語表記】ZTE Plaza,Keji Road South,Hi-Tech Industrial Park,Nanshan Shenzhen,Guangdong 518057 China
(74)【代理人】
【識別番号】100112656
【弁理士】
【氏名又は名称】宮田 英毅
(74)【代理人】
【識別番号】100089118
【弁理士】
【氏名又は名称】酒井 宏明
(72)【発明者】
【氏名】毛玉欣
(72)【発明者】
【氏名】呉強
(72)【発明者】
【氏名】▲エン▼新成
【審査官】吉倉 大智
(56)【参考文献】
【文献】米国特許出願公開第2020/0084631(US,A1)
【文献】Qualcomm Incorporated,pCR: Solution for UE-UPF security setup,3GPP TSG SA WG3 #86b S3-170834,2017年03月20日
【文献】ZTE,Comparison of alt2 and alt4 in terms of establishment of Un bearer,R2-094696,2009年08月18日
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
(57)【特許請求の範囲】
【請求項1】
制御面機能エンティティに適用されるデータ伝送方法であって、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護が必要なターゲットユーザー面データを特定するステップと、
アクセスネットワーク機能エンティティ及び前記ターゲットユーザーデバイスに、前記ターゲットユーザーデバイスと前記ユーザー面機能エンティティとの間で前記ターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる通知メッセージを送信するステップと、
前記ターゲットユーザーデバイス又は前記アクセスネットワーク機能エンティティから返された第1のキーを受信し、前記第1のキーを前記ユーザー面機能エンティティへ送信するステップと、を含み、
前記第1のキーは、前記ユーザー面機能エンティティ及び前記ターゲットユーザーデバイスによって使用され、前記ターゲットユーザーデバイスと前記ユーザー面機能エンティティとの間で前記ターゲットユーザー面データに対してセキュリティ保護を行うために用いられる、
データ伝送方法。
【請求項2】
前記第1のキーは、機密キー及び/又は完全性キーを含む請求項1に記載のデータ伝送方法。
【請求項3】
アクセスネットワーク機能エンティティに適用されるデータ伝送方法であって、制御面機能エンティティから送信される通知メッセージを受信するステップを含み、
前記通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられ、
前記制御面機能エンティティに第1のキーを送信するステップを含み、
前記第1のキーは、前記ユーザー面機能エンティティ及び前記ターゲットユーザーデバイスによって使用され、前記ターゲットユーザーデバイスと前記ユーザー面機能エンティティとの間で前記ターゲットユーザー面データに対してセキュリティ保護を行うために用いられる、
データ伝送方法。
【請求項4】
前記通知メッセージに基づいて、前記アクセスネットワーク機能エンティティが受信したユーザー面データが前記ターゲットユーザー面データであることを特定するステップと、前記ターゲットユーザー面データに対するセキュリティ保護処理を行わず、前記ターゲットユーザー面データに対してプロトコル変換と転送を行うステップと、をさらに含む
請求項3に記載のデータ伝送方法。
【請求項5】
ユーザー面機能エンティティに適用されるデータ伝送方法であって、制御面機能エンティティから送信される第1のキーを受信するか、又は、制御面機能エンティティから送信される第2のキーを受信し、前記第2のキーに基づいて前記第1のキーを生成するステップと、
前記第1のキーにより、ターゲットユーザーデバイスと前記ユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップと、を含み、
前記制御面機能エンティティは、前記ターゲットユーザーデバイスまたはアクセスネットワーク機能エンティティから前記第1のキーを受信する、データ伝送方法。
【請求項6】
前記第1のキーは、機密キー及び/又は完全性キーを含み、前記第1のキーにより、前記ターゲットユーザーデバイスと前記ユーザー面機能エンティティとの間で伝送される前記ターゲットユーザー面データに対してセキュリティ保護を行うステップは、
前記機密キーを使用して前記ターゲットユーザーデバイス宛の第1のターゲットユーザー面データを暗号化し、前記機密キーを使用して前記ターゲットユーザーデバイスから受信される第2のターゲットユーザー面データを復号するステップと、
前記完全性キーを使用して前記ターゲットユーザーデバイス宛の第1のターゲットユーザー面データに対して完全性保護を行い、前記完全性キーを使用して前記ターゲットユーザーデバイスから受信される第2のターゲットユーザー面データに対して完全性チェックを行うステップと、
前記機密キーを使用して前記ターゲットユーザーデバイス宛の第1のターゲットユーザー面データを暗号化し、前記完全性キーを使用して前記第1のターゲットユーザー面データに対して完全性保護を行うステップと、
前記完全性キーを使用して前記ターゲットユーザーデバイスから受信される第2のターゲットユーザー面データに対して完全性チェックを行い、チェックに合格した後に、前記機密キーを使用して前記第2のターゲットユーザー面データを復号するステップと、を含む
請求項5に記載のデータ伝送方法。
【請求項7】
ターゲットユーザーデバイスに適用されるデータ伝送方法であって、制御面機能エンティティから送信される通知メッセージを受信するステップを含み、
前記通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられ、
第1のキーを生成し、前記制御面機能エンティティに対して前記第1のキーを送信するステップを含み、
前記第1のキーは、前記ユーザー面機能エンティティ及び前記ターゲットユーザーデバイスによって使用され、前記ターゲットユーザーデバイスと前記ユーザー面機能エンティティとの間で前記ターゲットユーザー面データに対してセキュリティ保護を行うために用いられる、
データ伝送方法。
【請求項8】
第1のキーを生成し、前記第1のキーを前記制御面機能エンティティに送信するステップをさらに含み、前記第1のキーは、機密キー及び/又は完全性キーを含む
請求項7に記載のデータ伝送方法。
【請求項9】
前記機密キーを使用して、前記ユーザー面機能エンティティ宛の第2のターゲットユーザー面データを暗号化し、前記機密キーを使用して、ユーザー機能エンティティから受信される第1のターゲットユーザー面データを復号するステップと、前記完全性キーを使用して、前記ユーザー面機能エンティティ宛の第2のターゲットユーザー面データに対して完全性保護処理を行い、前記完全性キーを使用して、ユーザー機能エンティティから受信される第1のターゲットユーザー面データに対して完全性チェックを行うステップと、
前記機密キーを使用して、前記ユーザー面機能エンティティ宛の第2のターゲットユーザー面データを暗号化し、前記完全性キーを使用して、暗号化された前記第2のターゲットユーザー面データに対して完全性保護処理を行うステップと、
前記完全性キーを使用して、ユーザー機能エンティティから受信される第1のターゲットユーザー面データに対して完全性チェックを行い、チェックに合格した後に、前記機密キーを使用して、前記第1のターゲットユーザー面データを復号するステップと、をさらに含む
請求項8に記載のデータ伝送方法。
【請求項10】
少なくとも1つのプロセッサと、少なくとも1つのプログラムが記憶され、前記少なくとも1つのプログラムが前記少なくとも1つのプロセッサで実行されるとき、前記少なくとも1つのプロセッサに、請求項1~9のいずれか1項に記載のデータ伝送方法を実現させる記憶装置と、を含む
電子機器。
【請求項11】
コンピュータプログラムが記憶され、前記コンピュータプログラムがプロセッサにより実行されるとき、請求項1~9のいずれか1項に記載のデータ伝送方法を実現するコンピュータ可読記憶媒体。
【請求項12】
ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護を必要とするターゲットユーザー面データを特定し、アクセスネットワーク機能エンティティ及び前記ターゲットユーザーデバイスへ、前記ターゲットユーザーデバイスと前記ユーザー面機能エンティティとの間で前記ターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる通知メッセージを送信し、前記ターゲットユーザーデバイスまたは前記アクセスネットワーク機能エンティティから返された第1のキーを受信するように構成される制御面機能エンティティと、制御面機能エンティティから送信される通知メッセージを受信するように構成される前記アクセスネットワーク機能エンティティと、
制御面機能エンティティから送信される通知メッセージを受信するように構成される前記ターゲットユーザーデバイスと、を含み、
前記第1のキーは、前記ユーザー面機能エンティティ及び前記ターゲットユーザーデバイスによって使用され、前記ターゲットユーザーデバイスと前記ユーザー面機能エンティティとの間で前記ターゲットユーザー面データに対してセキュリティ保護を行うために用いられる、
データ伝送システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示の実施例は、通信セキュリティ技術分野に関する。
【0002】
本開示は、2020年6月3日に中国特許庁へ提出され、出願番号を202010497744.4とする中国特許出願の優先権を主張し、その出願の全ての内容は引用をもって本開示に併せられる。
【背景技術】
【0003】
関連技術は、ユーザーデバイス(UE,User Equipment)とアクセスネットワーク(RAN,Radio Access Network)機能エンティティとの間のユーザー面データの伝送に対して、機密性(Ciphering)及び/又は完全性(Integrity)保護を行う。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本開示の実施例の一態様は、制御面機能エンティティに適用されるデータ伝送方法であって、ターゲットユーザーデバイスとユーザー面機能(User Plane Function,UPF)エンティティとの間でセキュリティ保護が必要なターゲットユーザー面データを特定するステップと、アクセスネットワーク機能エンティティ及びターゲットユーザーデバイスに、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる通知メッセージを送信するステップと、を含むデータ伝送方法を提供する。
【0005】
本開示の実施例のもう一つの態様は、アクセスネットワーク機能エンティティに適用されるデータ伝送方法であって、制御面機能エンティティから送信される通知メッセージを受信するステップを含み、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられるデータ伝送方法を提供する。
【0006】
本開示の実施例のさらに別の態様は、ユーザー面機能エンティティに適用されるデータ伝送方法であって、制御面機能エンティティから送信される第1のキーを受信するか、又は、制御面機能エンティティから送信される第2のキーを受信し、第2のキーに基づいて第1のキーを生成するステップと、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップと、を含むデータ伝送方法を提供する。
【0007】
本開示の実施例のさらに別の態様は、ターゲットユーザーデバイスに適用されるデータ伝送方法であって、制御面機能エンティティから送信される通知メッセージを受信するステップを含み、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられるデータ伝送方法を提供する。
【0008】
本開示の実施例のさらに別の態様は、少なくとも1つのプロセッサと、少なくとも1つのプログラムが記憶され、少なくとも1つのプログラムが少なくとも1つのプロセッサで実行されるとき、少なくとも1つのプロセッサに、上記のいずれか1つのデータ伝送方法の少なくとも1つのステップを実現させる記憶装置と、を含む電子機器を提供する。
【0009】
本開示の実施例のさらに別の態様は、コンピュータプログラムが記憶され、コンピュータプログラムがプロセッサにより実行されるとき、上記のいずれか1つのデータ伝送方法の少なくとも1つのステップを実現するコンピュータ可読記憶媒体を提供する。
【0010】
本開示の実施例のさらに別の態様は、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護を必要とするターゲットユーザー面データを特定し、アクセスネットワーク機能エンティティ及びターゲットユーザーデバイスへ、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる通知メッセージを送信するように構成される制御面機能エンティティと、制御面機能エンティティから送信される通知メッセージを受信するように構成されるアクセスネットワーク機能エンティティと、制御面機能エンティティから送信される通知メッセージを受信するように構成されるターゲットユーザーデバイスと、を含むデータ伝送システムを提供する。
【図面の簡単な説明】
【0011】
【図1】関連技術における第3世代パートナーシッププロジェクト(3GPP(登録商標),The3 rd Generation Partnership Project)R15によって定義された第5世代移動通信技術(5th Generation Mobile Communication Technology,5G)ネットワークによるデータ伝送におけるセキュリティ保護メカニズムの概念図である。
【図2】本開示の実施例によって提供されるデータ伝送方法のフローチャートである。
【図3】本開示の実施例によって提供されるデータ伝送方法のフローチャートである。
【図4】本開示の実施例によって提供されるデータ伝送方法のフローチャートである。
【図5】本開示の実施例によって提供されるデータ伝送方法のフローチャートである。
【図6】本開示の実施例によって提供されるデータ伝送方法のフローチャートである。
【図7】本開示の実施例によって提供されるデータ伝送方法のフローチャートである。
【図8】本開示の実施例によって提供されるプロトコルスタック構造の概念図である。
【図9】本開示の実施例によって提供されるプロトコルスタック構造の概念図である。
【図10】本開示の実施例によって提供されるデータ伝送装置の構成ブロック図である。
【図11】本開示の実施例によって提供されるデータ伝送装置の構成ブロック図である。
【図12】本開示の実施例によって提供されるデータ伝送装置の構成ブロック図である。
【図13】本開示の実施例によって提供されるデータ伝送装置の構成ブロック図である。
【図14】本開示の実施例によって提供されるデータ伝送システムの構成ブロック図である。
【発明を実施するための形態】
【0012】
本開示の技術案を当業者がより良く理解するために、以下では図面と組み合せて本開示によって提供されるデータ伝送方法、装置及びシステム、電子機器、並びにコンピュータ可読記憶媒体を詳細に説明する。
【0013】
以下では、図面を参照して例示的な実施例をより十分に説明するが、例示的な実施例は異なる形式で具現化することができ、本明細書で説明する実施例に限定されると解釈すべきではない。むしろ、実施例を提供する目的は、本開示を徹底かつ完全なものにし、当業者に本開示の範囲を十分に理解させることである。
【0014】
本開示の実施形態及び実施形態における各特徴は、矛盾しない限り、互いに組み合わせることができる。
【0015】
本明細書で使用されるように、「及び/又は」という用語は、関連する列挙項目の少なくとも1つの任意及びすべての組み合せを含む。
【0016】
本明細書で使用される用語は、特定の実施例を説明するためにのみ使用され、本開示を限定することを意図するものではない。本明細書で使用されるように、単数形式「1つ」及び「該」は、文脈上特に明確に示されない限り、複数形を含むことも意図される。また、本明細書で「含む」及び/又は「~からなる」という用語を使用する場合、特徴、全体、ステップ、操作、要素及び/又はアセンブリが存在することを示すが、少なくとも1つの他の特徴、全体、ステップ、操作、要素、アセンブリ及び/又はそれらのグループが存在し又は追加されることを排除しないことも理解されたい。
【0017】
特に限定されない限り、本明細書で使用される全ての用語(技術用語及び科学用語を含む)の意味は、当業者が通常理解しているものと同じである。また、一般的な辞書に定義されているような用語は、本明細書で明示的に限定されない限り、関連する技術及び本開示の背景における意味と一致する意味を有すると解釈され、理想的又は過度な形式上の意味を有すると解釈されないことも理解されたい。
【0018】
関連通信ネットワークは、ソフトウェアとハードウェアの深い結びつきのために制限され、ネットワーク性能が単一であり、ネットワークグループの柔軟性が低く、拡張が制限される。1つのネットワークを構築するに際し、異なるアプリケーションの帯域幅、遅延、信頼性などのネットワークサービス性能の差異化要求に同時に対応することは難しい。5Gは、ネットワークアーキテクチャを大きく再構成し、仮想化及びソフトウェア定義技術に基づき、サービス化アーキテクチャを導入し、共有統合ハードウェアプラットフォーム上で、アプリケーションのニーズに応じ、仮想化ネットワーク機能を必要に応じて構築し、ネットワークスライスの構築により、アプリケーションのニーズにより一層適合したネットワークサービス性能を提供する。例えば、端末位置が固定されたIoTアプリケーションでは、ネットワークサービスを提供するネットワークスライスを構築する際にモビリティ管理機能を導入する必要がない。低遅延のアプリケーションの場合、ネットワークスライスを構築する際に、データ伝送遅延を短縮しアプリケーションのネットワーク遅延要件を満たすために、ユーザー面機能をネットワーク端展開まで下げることが必要である。つまり、5Gは仮想化、ネットワークスライスなどの新興技術を利用して、異なるアプリケーションに異なる特性のネットワークサービスを提供することができる。
【0019】
5Gネットワークは、様々な産業アプリケーションにネットワークサービスを提供する際に、様々な高価値アプリケーションデータ及びプライバシーなどの機密データを搬送する。データを取得又は改善するためのネットワークへの攻撃行為は決して止んでおらず、今後5Gネットワークに搭載されるビジネスデータが豊富になるにつれて、攻撃手段は進化し続けよう。よって、ネットワーク伝送プロセスにおけるデータの完全性、機密性保護等の保護措置は不可欠である。
【0020】
機密性とは、データを暗号化して伝送し、伝送プロセスでデータが盗聴され、不正に取得されることを防止することをいう。完全性とは、送信側で送信データの完全性処理をし、受信側で完全性をチェックし、伝送プロセスでデータが改竄されることを防ぐことをいう。
【0021】
5Gネットワークによって送信されるデータは、大きく2つのクラスに分けられ、1つは、ネットワークへのユーザー登録のシグナリング、アクセスネットワーク機能エンティティのスライスセッションシグナリングなどの制御面シグナリングデータであり、もう1つは、オンラインビデオサービスのデータなどのユーザーがビジネスを展開するユーザー面データである。
【0022】
図1は、3GPP R 15によって定義される5Gネットワークによるデータ伝送プロセスにおけるセキュリティ保護メカニズムの概念図である。図1に示すように、図1におけるAは、ユーザデバイスとアクセスネットワーク機能エンティティとの間の制御面データに対する機密性及び/又は完全性保護を表し、図1におけるBは、UEとRAN機能エンティティとの間のユーザー面データに対する機密性及び/又は完全性保護を表し、図1におけるCは、UEと5Gコアネットワーク(5GC,5G Core network)との間の制御面データに対する機密性及び/又は完全性保護を表すが、UEと5GCとの間のユーザー面データ送信に対する機密性及び/又は完全性保護はまだ要求されておらず、図1のDのように、RANと5GCとの間でユーザー面データが平文で伝送される。
【0023】
5Gが垂直業界にネットワークサービスを提供する場合、垂直業界自体の業務特性に基づいて、ユーザー面データにUEを5GC伝送パス上に提供してセキュリティ保護を行う必要がある需要は、主に以下の理由(1)~(3)による。
(1)アクセスネットワーク機能エンティティ構成は、より露出しやすく、さらにアクセスネットワーク機能エンティティ側の暗号化、認証及びユーザー面の完全性保護などの構成はより攻撃されやすい。
(2)アクセスネットワーク機能エンティティ側と比較すると、コアネットワーク側にあるネットワークノードはより強い計算能力を備えており、データの交換遅延を低減するのに役立ち、垂直業界は低遅延体験を非常に重要視する傾向がある。
(3)ネットワークスライス事業者(垂直業界アプリケーションにネットワークサービスを提供する事業者)は、他の事業者からRANリソースを賃借する可能性がある。ネットワークスライス事業者又は業界アプリケーションの観点から見ると、アクセスネットワーク機能エンティティは、絶対的に信頼されるデバイスではないため、ネットワークスライス事業者又は産業アプリケーションは、アクセスネットワークのアクセスネットワーク機能エンティティの側ではなく、コアネットワークのアクセスネットワーク機能エンティティの側でデータ送信が安全に終了することを望む。
(1)アクセスネットワーク機能エンティティ構成は、より露出しやすく、さらにアクセスネットワーク機能エンティティ側の暗号化、認証及びユーザー面の完全性保護などの構成はより攻撃されやすい。
(2)アクセスネットワーク機能エンティティ側と比較すると、コアネットワーク側にあるネットワークノードはより強い計算能力を備えており、データの交換遅延を低減するのに役立ち、垂直業界は低遅延体験を非常に重要視する傾向がある。
(3)ネットワークスライス事業者(垂直業界アプリケーションにネットワークサービスを提供する事業者)は、他の事業者からRANリソースを賃借する可能性がある。ネットワークスライス事業者又は業界アプリケーションの観点から見ると、アクセスネットワーク機能エンティティは、絶対的に信頼されるデバイスではないため、ネットワークスライス事業者又は産業アプリケーションは、アクセスネットワークのアクセスネットワーク機能エンティティの側ではなく、コアネットワークのアクセスネットワーク機能エンティティの側でデータ送信が安全に終了することを望む。
【0024】
上記セキュリティ要件に対して、一部のセキュリティ保護の要求を達成するには次のようにすることができる。即ち、UEとアクセスネットワーク機能エンティティとの間の保護は、図1のBに示す方法を参照して、アクセスネットワーク境界ネットワーク要素とコアネットワーク境界ネットワーク要素との間、即ち、図1のDに暗号化チャネル、例えば、インターネットセキュリティプロトコル(Internet Protocol Security、IPSec)を確立し、アクセスネットワーク境界ネットワーク要素とコアネットワーク境界ネットワーク要素との間で伝送される全てのデータを暗号化及び/又は完全性保護する。このような方法は、UEと5GCとの間のユーザー面データのセキュリティ保護を実現するが、次の1)~3)のような欠点がある。
【0025】
1)アクセスネットワーク境界ネットワーク要素とコアネットワーク境界ネットワーク要素との間で伝送される全てのデータに対して暗号化及び/又は完全性保護を実施し、暗号化の必要があるか否かにかかわらずデータに対して暗号化保護を実施する必要があることは、処理効率を低下させ、業務の遅延を増加させる。
【0026】
2)アクセスネットワーク機能エンティティは依然としてデータの暗号化・重復号化及び/又は完全性チェック処理プロセスに依然として関与し、上述のアクセスネットワーク機能エンティティが信頼されず、アクセスネットワーク機能エンティティが攻撃されてデータセキュリティを招くリスクが依然として存在する。
【0027】
3)アプリケーション自体がアプリケーション層暗号化を提供するなどの保護メカニズムを提供することにより、ユーザー面データの安全が保証され、例えば、一部のアプリケーションはセキュリティソケット層(Secure Sockets Layer、SSL)を使用してアプリケーションデータを暗号化して送信する。しかし、各アプリケーションがいずれもアプリケーション層でユーザー面データを暗号化し、完全性保護及びチェックの機能を有するわけではなく、上記解決策は、様々なアプリケーションに特有のものであり、簡単には普及しない。
【0028】
現在、RANとコアネットワークとの間のユーザー面データ伝送に対して機密性及び/又は完全性保護を行わずに、ユーザーデバイスとアクセスネットワーク機能エンティティとの間のユーザー面データ伝送に対してのみ機密性及び/又は完全性保護を行っている。いくつかのシーンでは、ユーザーデバイスとコアネットワークとの間のユーザー面データ伝送を機密性及び/又は完全性で保護する必要があるが、上述の保護方法は、これらのシーンの保護要件を満たすことができない。
【0029】
本開示の実施例は、制御面機能エンティティに適用されるデータ伝送方法を提供する。図2を参照して、本開示の実施例によって提供されるデータ伝送方法のフローチャートであり、該方法は、ステップ200及びステップ201を含む。
【0030】
ステップ200では、ターゲットユーザーデバイスとユーザー面機能エンティティとの間のセキュリティ保護を必要とするターゲットユーザー面データが特定される。
【0031】
1つの実施形態では、ユーザー契約情報によってどのユーザー面データがターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護を行う必要があるかを特定できる。当然ながら、他にも多くの方法があり、具体的な特定戦略は、本開示の実施例の保護範囲を限定するものではなく、ここでは繰り返し述べない。
【0032】
1つの実施形態では、ターゲットUEのコアネットワークへの登録中に、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護を必要とするターゲットユーザー面データを特定することができる。例えば、認証プロセスが完了した後、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護が必要なターゲットユーザー面データを特定する。この場合、該ターゲットユーザー面データはターゲットUEの全てのユーザー面データである。
【0033】
もう1つの実施形態では、プロトコルデータユニット(PDU:Protocol Data Unit)セッションの確立中に、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護を必要とするターゲットユーザー面データを決定することができる。例えば、セッション管理機能(SMF:Session Management Function)エンティティからPDUセッションコンテキスト作成応答を受信した後、ターゲットユーザーデバイスとユーザー面機能エンティティの間でセキュリティ保護が必要なターゲットユーザー面データを特定する。この場合、該ターゲットユーザー面データはPDUセッションに対応する全てのユーザー面データである。
【0034】
ステップ201において、アクセスネットワーク機能エンティティ及びターゲットUEに、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる通知メッセージを送信する。
【0035】
1つの実施形態では、UEのコアネットワークへの登録中に、アクセスネットワーク機能エンティティ及びターゲットUEへ通知メッセージを送信する。例えば、認証プロセスが完了した後、アクセスネットワーク機能エンティティ及びターゲットUEへ通知メッセージを送信する。UEは該通知メッセージを受信した後、UEとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護する必要があることを特定し、アクセスネットワーク機能エンティティは通知メッセージを受信した後、コアネットワークに登録されたUEとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護する必要があることを特定する。この場合、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でUEの全てのユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる。
【0036】
もう1つの実施形態では、PDUセッション確立中にアクセスネットワーク機能エンティティ及びUEへ通知メッセージを送信することができる。例えば、SMFエンティティからのPDUセッションコンテキスト作成応答を受信した後、アクセスネットワーク機能エンティティとUEへ通知メッセージを送信する。この場合、通知メッセージは、ユーザーデバイスとユーザー面機能エンティティとの間でUEのPDUセッションに対応するユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる。
【0037】
つまり、いくつかのUEについて、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で全てのユーザー面データをセキュリティ保護する必要があると判断した後、アクセスネットワーク機能エンティティとユーザーデバイスに通知メッセージを送信し、いくつかのUEについては、ターゲットUEの全てのユーザー面データがいずれもターゲットUEとユーザー面機能エンティティとの間でセキュリティ保護される必要がないと判断した後、アクセスネットワーク機能エンティティとUEへ通知メッセージを送信しない。これにより、全てのUEのユーザー面データがいずれもUEとユーザー面機能エンティティとの間でセキュリティ保護されるのではなく、一部のUEのユーザー面データがUEとユーザー面機能エンティティとの間でセキュリティ保護されることを実現し、具体的にどのUEのユーザー面データをUEとユーザー面機能エンティティとの間でセキュリティ保護するかは、UEの契約データに基づいて特定することができ、ユーザーは自身のニーズに応じて事業者と契約することによって実現することができる。
【0038】
又は、あるUEのいくつかのPDUセッションに関して、ユーザーデバイスとユーザー面機能エンティティとの間でPDUセッションに対応するユーザー面データをセキュリティ保護する必要があると判断した後、アクセスネットワーク機能エンティティとユーザーデバイスへ通知メッセージを送信し、該UEの別のPDUセッションに関して、UEとユーザー面機能エンティティとの間でPDUセッションに対応するユーザー面データをセキュリティ保護する必要がないと判断した後、アクセスネットワーク機能エンティティとUEへ通知メッセージを送信しない。これにより、UEの全てのPDUセッションに対応するユーザー面データがいずれもUEとユーザー面機能エンティティとの間でセキュリティ保護されるのではなく、UEの一部のPDUセッションに対応するユーザー面データがUEとユーザー面機能エンティティとの間でセキュリティ保護されることを実現し、具体的にUEのどのPDUセッションに対応するユーザー面データがUEとユーザー面機能エンティティとの間でセキュリティ保護されるかは、UEの契約データに基づいて決定することができ、ユーザーは自身のニーズに応じて事業者と契約することによって実現することができる。
【0039】
1つの実施形態において、該方法は、第1のキーを取得し、第1のキーをユーザー面機能エンティティへ送信するステップと、をさらに含む。第1のキーは、ユーザー面機能エンティティ及びターゲットユーザーデバイスによって使用され、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うために用いられる。
【0040】
1つの実施形態において、第1のキーは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護するキーである。
【0041】
1つの実施形態において、第1のキーは、ターゲットUEとRAN機能エンティティとの間でターゲットユーザー面データをセキュリティ保護するキーを直接使用することができる。もう1つの実施形態では、第1のキーは、ターゲットUEとRAN機能エンティティとの間で制御面データをセキュリティ保護するキーを直接使用することもできる。
【0042】
1つの実施形態では、第1のキーは暗号化キーを含むことができる。もう1つの実施形態では、第1のキーは完全性キーを含むことができる。もう1つの実施形態では、第1のキーは暗号化キー及び完全性キーを含むことができる。
【0043】
1つの実施形態において、暗号化キーは、UEとユーザー面機能エンティティとの間でターゲットユーザー面データの機密性保護に使用され、完全性キーは、UEとユーザー面機能エンティティとの間のターゲットユーザー面データの完全性保護に使用される。
【0044】
1つの実施形態において、第1のキーは、ターゲットUEに対応する第1のキーであり、異なるターゲットUEに対応する第1のキーは同じであってもよく、異なってもよい。
【0045】
もう1つの実施形態において、第1のキーは、ターゲットUEのPDUセッションに対応する第1のキーであり、具体的には、1つのPDUセッションが1つの第1のキーに対応することができ、2つ以上のPDUセッションが1つの第1のキーに対応することもできる。
【0046】
1つの実施形態において、第1のキーは、以下のいずれかの方法で取得することができる。即ち、方法Iにおいて、アクセスネットワーク機能エンティティによって返される第1のキーを受信し、方法IIにおいて、ターゲットユーザーデバイスによって返される第1のキーを受信する。
【0047】
1つの実施形態では、第1のキー伝送プロセスにおける安全性を向上させるため、非アクセス層(NAS:Non-Access Stratum)セキュリティチャネルを介して、ターゲットユーザーデバイスから返された第1のキーを受信することができる。
【0048】
1つの実施形態において、該方法は、第2のキーを生成し、ユーザー面機能エンティティへ第2のキーを送信するステップをさらに含むことができる。第2のキーは、ユーザー面機能エンティティによって使用され、第1のキーを生成することに用いられる。
【0049】
1つの実施形態において、第2のキーは第1のキーを生成するために用いられ、第1のキーは、ユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護するキーである。
【0050】
1つの実施形態において、第2のキーは、キーの隔離に使用され、1つのキーが漏洩して他のキーのセキュリティに影響を与えることを防止し、セキュリティを向上させる。
【0051】
1つの実施形態では、先にアンカーキーを生成してから、アンカーキーに基づいて第2のキーを生成することができる。
【0052】
本開示の実施例によって提供されるデータ伝送方法によれば、ターゲットユーザーデバイスとユーザー面機能エンティティとの間のセキュリティ保護を必要とするターゲットユーザー面データは、制御面機能エンティティにより特定され、その後、アクセスネットワーク機能エンティティ及びターゲットユーザーデバイスに通知して、ターゲットユーザーデバイス及びユーザー面機能エンティティにターゲットユーザー面データのセキュリティ保護を実行させて、ターゲットユーザーデバイスとユーザー面機能エンティティとの間のターゲットユーザー面データのセキュリティ保護を実現する。
【0053】
本開示の実施例は、アクセスネットワーク機能エンティティに適用される別のデータ伝送方法をさらに提供する。図3を参照すると、本開示の実施例によって提供されるデータ伝送方法のフローチャートであり、該方法は、ステップ300を含むことができる。
ステップ300では、制御面機能エンティティから送信される通知メッセージを受信し、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる。
ステップ300では、制御面機能エンティティから送信される通知メッセージを受信し、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる。
【0054】
1つの実施形態では、制御面機能エンティティが送信する通知メッセージは、ターゲットUEのコアネットワークへの登録中に受信することができる。例えば、認証プロセスが完了した後、制御面機能エンティティから送信される通知メッセージを受信する。この場合、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットUEの全てのユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる。
【0055】
もう1つの実施形態において、制御面機能エンティティが送信する通知メッセージは、PDUセッション確立中に受信することができる。例えば、SMFエンティティとUPFエンティティの間でN4セッションが確立された後、制御面機能エンティティから送信された通知メッセージが受信される。この場合、通知メッセージは、ターゲットUEのPDUセッションに対応するターゲットユーザーデバイスとユーザー面機能エンティティとの間のユーザー面データのセキュリティ保護を指示するために使用される。
【0056】
なお、いくつかのUEに関して、該UEのコアネットワークへの登録中に、制御面機能エンティティから送信された通知メッセージを受信した場合、該UEとユーザー面機能エンティティとの間でUEの全てのユーザー面データをセキュリティ保護する必要があることを示し、いくつかのUEに関して、該UEのコアネットワークへの登録中に、制御面機能エンティティから送信された通知メッセージを受信しなかった場合、該UEとユーザー面機能エンティティとの間でUEの全てのユーザー面データをセキュリティ保護する必要がないことを示す。これにより、全てのUEのユーザー面データをいずれもUEとユーザー面機能エンティティの間でセキュリティ保護するのではなく、一部のUEのユーザー面データをUEとユーザー面機能エンティティの間でセキュリティ保護し、具体的にどのUEのユーザー面データをUEとユーザー面機能エンティティの間でセキュリティ保護するかはUEの契約データに基づいて特定することができ、ユーザーは自身の需要に応じて事業者と契約することによって実現することができる。
【0057】
ターゲットUEのいくつかのPDUセッションに関して、PDUセッション確立中に、制御面機能エンティティから送信された通知メッセージを受信した場合、該ターゲットUEとユーザー面機能エンティティとの間でPDUセッションに対応するユーザー面データをセキュリティ保護する必要があることを示し、いくつかのPDUセッションに関して、PDUセッションの確立中に、制御面機能エンティティから送信された通知メッセージが受信されなかった場合、該ターゲットUEとユーザー面機能エンティティとの間でPDUセッションに対応するユーザー面データをセキュリティ保護する必要がないことを示す。これにより、UEの全てのPDUセッションに対応するユーザー面データがいずれもUEとユーザー面機能エンティティとの間でセキュリティ保護されるのではなく、UEの一部のPDUセッションに対応するユーザー面データがUEとユーザー面機能エンティティとの間でセキュリティ保護されることを実現し、具体的にUEのどのPDUセッションに対応するユーザー面データがUEとユーザー面機能エンティティとの間でセキュリティ保護されるかは、UEの契約データに基づいて特定することができ、ユーザーは、自身のニーズに応じて事業者と契約することで実現することができる。
【0058】
1つの実施形態では、制御面機能エンティティから送信される通知メッセージを受信した後、該方法は、制御面機能エンティティへ第1のキーを送信するステップをさらに含むことができる。第1のキーは、ユーザー面機能エンティティ及びターゲットユーザーデバイスによって使用され、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うために用いられる。
【0059】
1つの実施形態において、第1のキーは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うためのキーである。
【0060】
1つの実施形態において、第1のキーは、ターゲットUEとRAN機能エンティティとの間でターゲットユーザー面データをセキュリティ保護するキーを直接使用することができる。もう1つの実施形態では、第1のキーは、ターゲットUEとRAN機能エンティティとの間で制御面データをセキュリティ保護するキーを直接使用することもできる。
【0061】
1つの実施形態では、第1のキーは暗号化キーを含むことができる。もう1つの実施形態では、第1のキーは完全性キーを含むことができる。もう1つの実施形態では、第1のキーは暗号化キー及び完全性キーを含むことができる。
【0062】
1つの実施形態において、暗号化キーは、ターゲットUEとユーザー面機能エンティティとの間のターゲットユーザー面データの機密性保護に使用され、完全性キーは、ターゲットUEとユーザー面機能エンティティとの間のターゲットユーザー面データの完全性保護に使用される。
【0063】
1つの実施形態では、制御面機能エンティティが送信した通知メッセージを受信した後、該方法は、通知メッセージに基づいて、アクセスネットワーク機能エンティティが受信したユーザー面データがターゲットユーザー面データであるか否かを特定するステップと、アクセスネットワーク機能エンティティが受信したユーザー面データがターゲットユーザー面データである場合、ターゲットユーザー面データに対してセキュリティ保護処理を行わず、プロトコル変換を行ってから転送するステップと、をさらに含むことができる。
【0064】
具体的に、受信したターゲットUEの上りターゲットユーザー面データをプロトコル変換し、プロトコル変換した後の上りターゲットユーザー面データをユーザー面機能エンティティに送信し、受信したターゲットUEの下りターゲットユーザー面データをプロトコル変換し、プロトコル変換した後の下りターゲットユーザー面データをターゲットユーザーデバイスに送信する。
【0065】
もう1つの実施形態では、アクセスネットワーク機能エンティティが受信したユーザー面データがターゲットユーザー面データではないことを特定した後、該方法は、関連技術に従ってユーザー面データを処理するステップをさらに含むことができる。例えば、受信したユーザー面データがターゲットUEとRAN機能エンティティとの間でセキュリティ保護されたユーザー面データである場合、受信したユーザー面データに対してセキュリティ保護処理を行い、受信したUEの上りユーザー面データに対して完全性チェックを行う場合、チェックに合格した後に復号し、復号後の上りユーザー面データをプロトコル変換する。受信したユーザー面データがターゲットUEとRAN機能エンティティとの間でセキュリティ保護されたユーザー面データでない場合、受信したユーザー面データに対してセキュリティ保護処理を行わず、プロトコル変換を行って転送する、例えば、ターゲットUEの上りユーザー面データをプロトコル変換して転送する。
【0066】
本開示の実施例が提供するデータ伝送方法によれば、制御面機能エンティティにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護を必要とするターゲットユーザー面データを特定し、その後、ターゲットユーザーデバイスとユーザー面機能エンティティがターゲットユーザー面データをセキュリティ保護するようにアクセスネットワーク機能エンティティとターゲットユーザーデバイスに通知し、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護することを実現し、また、RAN機能エンティティは、ターゲットUEとユーザー面機能エンティティとの間でターゲットユーザー面データに対するセキュリティ保護に関与しておらず、RAN機能エンティティは、ターゲットUEとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データを透過し、RANに信頼がおけず攻撃されやすいシーンに適している。
【0067】
本開示の実施例は、ユーザー面機能エンティティに適用可能な別のデータ伝送方法をさらに提供する。図4を参照して、本開示の実施例によって提供されるデータ伝送方法のフローチャートであり、該方法は、ステップ400及びステップ401を含むことができる。
【0068】
ステップ400では、第1のキーを取得する。
【0069】
1つの実施形態において、第1のキーは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うために用いられる。
【0070】
1つの実施形態では、ユーザーデバイスに対応する第1のキーは、次のいずれか1つの方法で取得することができる。方法Iでは、制御面機能エンティティが送信したユーザーデバイスに対応する第1のキーを受信し、方法IIでは、制御面機能エンティティが送信したユーザーデバイスに対応する第2のキーを受信し、第2のキーに基づいて第1のキーを生成する。
【0071】
当然ながら、第1のキーは、他の方法で取得することもでき、具体的な取得方法は、本開示の実施例の保護範囲を限定するためのものではなく、本開示の実施例では、該第1のキーがターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護するキーであり、ターゲットユーザーデバイスとアクセスネットワーク機能エンティティとの間に属するキーであり、RAN機能エンティティはターゲットUEとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護に関与しないことを強調する。
【0072】
1つの実施形態において、第1のキーは、ターゲットUEとRAN機能エンティティとの間でターゲットユーザー面データをセキュリティ保護するキーを直接使用することができる。もう1つの実施形態では、第1のキーは、ターゲットUEとRAN機能エンティティとの間で制御面データをセキュリティ保護するキーを直接使用することもできる。該技術案は、ターゲットUEとアクセスネットワーク機能エンティティネットワークとの間のセキュリティ保護キーを用いて実現され、セキュリティ保護キーの取得プロセスが簡略化される。
【0073】
1つの実施形態では、第1のキーは暗号化キーを含むことができる。もう1つの実施形態では、第1のキーは完全性キーを含むことができる。もう1つの実施形態では、第1のキーは暗号化キー及び完全性キーを含むことができる。
【0074】
1つの実施形態において、暗号化キーは、ターゲットUEとユーザー面機能エンティティとの間でターゲットユーザー面データの機密性保護に使用され、完全性キーは、ターゲットUEとユーザー面機能エンティティとの間でターゲットユーザー面データの完全性保護に使用される。
【0075】
1つの実施形態において、第2のキーは、キーの隔離に使用され、1つのキーが漏洩して他のキーのセキュリティに影響を与えることを防止し、セキュリティを向上させる。
【0076】
なお、いくつかのUEに関して、該UEに対応する第1のキーを取得する場合、該UEとユーザー面機能エンティティとの間でUEの全てのユーザー面データをセキュリティ保護する必要があることを示し、いくつかのUEに関して、該UEに対応する第1のキーを取得しなかった場合、該UEとユーザー面機能エンティティとの間でUEの全てのユーザー面データをセキュリティ保護する必要がないことを示す。これにより、全てのUEのユーザー面データをいずれもUEとユーザー面機能エンティティの間でセキュリティ保護するのではなく、一部のUEのユーザー面データをUEとユーザー面機能エンティティの間でセキュリティ保護し、具体的にどのUEのユーザー面データをUEとユーザー面機能エンティティの間でセキュリティ保護するかはUEの契約データに基づいて特定することができ、ユーザーは自身の需要に応じて事業者と契約することによって実現することができる。
【0077】
又は、あるUEのいくつかのPDUセッションに関して、該PDUセッションに対応する第1のキーを取得する場合、該UEとユーザー面機能エンティティとの間でPDUセッションに対応するユーザー面データをセキュリティ保護する必要があることを示し、該UEの別のPDUセッションに関して、該PDUセッションに対応する第1のキーを取得しなかった場合、該UEとユーザー面機能エンティティとの間でPDUセッションに対応するユーザー面データをセキュリティ保護する必要がないことを示す。これにより、UEの全てのPDUセッションに対応するユーザー面データがいずれもUEとユーザー面機能エンティティとの間でセキュリティ保護されるのではなく、UEの一部のPDUセッションに対応するユーザー面データがUEとユーザー面機能エンティティとの間でセキュリティ保護されることを実現し、具体的にUEのどのPDUセッションに対応するユーザー面データがUEとユーザー面機能エンティティとの間でセキュリティ保護されるかは、UEの契約データに基づいて特定することができ、ユーザーは、自身のニーズに応じて事業者と契約することで実現することができる。
【0078】
ステップ401では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行う。
【0079】
1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、機密キーを使用してターゲットユーザーデバイス宛のターゲットユーザー面データを暗号化し、機密キーを使用してターゲットユーザーデバイスから受信されるターゲットユーザー面データを復号するステップを含むことができる。
【0080】
もう1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、完全性キーを使用してターゲットユーザーデバイス宛のターゲットユーザー面データに対して完全性保護を行い、完全性キーを使用してターゲットユーザーデバイスから受信されるターゲットユーザー面データに対して完全性チェックを行うステップを含むことができる。
【0081】
もう1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、機密キーを使用してターゲットユーザーデバイス宛のターゲットユーザー面データを暗号化し、完全性キーを使用してターゲットユーザー面データに対して完全性保護を行うステップを含むことができる。
【0082】
もう1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、完全性キーを使用してターゲットユーザーデバイスから受信されるターゲットユーザー面データに対して完全性チェックを行い、チェックに合格した後に、機密キーを使用してターゲットユーザー面データを復号するステップを含むことができる。
【0083】
1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、ターゲットユーザーデバイスに送信された下りターゲットユーザー面データをパケットデータ集約プロトコル(Packet Data Convergence Protocol、PDCP)でカプセル化する前に、第1のキーを用いて下りターゲットユーザー面データに第1のセキュリティ保護処理を行い、第1のセキュリティ保護処理後の下りターゲットユーザー面データをアクセスネットワーク機能エンティティに送信するステップを含むことができる。
【0084】
受信したユーザーデバイスからの第1のセキュリティ保護処理後の上りターゲットユーザー面データをPDCPカプセル化した後、第1のセキュリティ保護処理後の上りターゲットユーザー面データに対して第1のキーを用いて第2のセキュリティ保護処理を行う。
該セキュリティ保護案は、アプリケーション層ではなくPDCP層を介して実現され、該セキュリティ保護案をより容易に普及させることができる。
該セキュリティ保護案は、アプリケーション層ではなくPDCP層を介して実現され、該セキュリティ保護案をより容易に普及させることができる。
【0085】
1つの実施形態では、第1のキーはターゲットUEに対応する第1のキーであり、ターゲットUEに送信される下りターゲットユーザー面データはコアネットワークがターゲットUEへ送信する全ての下りユーザー面データであり、受信されたターゲットUEからの第1のセキュリティ保護処理後の上りターゲットユーザー面データは、ユーザー面機能エンティティが受信したターゲットUEからの全ての上りユーザー面データである。
【0086】
つまり、第1のキーを使用して、ユーザー面機能エンティティがターゲットUEへ送信した全ての下りユーザー面データに対して第1のセキュリティ保護処理を行い、第1のキーを用いて、受信したターゲットUEからの全てのユーザー面データに対して第2のセキュリティ保護処理を行う。
【0087】
もう1つの実施形態において、第1のキーは、ターゲットUEのPDUセッションに対応する第1のキーであり、具体的には、1つのPDUセッションが1つの第1のキーに対応してもよく、2つ以上のPDUセッションが1つの第1のキーに対応してもよく、その場合、ターゲットUEに送信される下りターゲットユーザー面データは、コアネットワークがPDUセッションを介してターゲットUEに送信する下りユーザー面データであり、受信したターゲットUEからの第1のセキュリティ保護処理後の上りターゲットユーザー面データは、ユーザー面機能エンティティがPDUセッションを介して受信したUEからの上りユーザー面データである。
【0088】
つまり、第1のキーを用いて、ユーザー面機能エンティティが第1のキーに対応するPDUセッションを介してターゲットUEに送信される下りユーザー面データに対して第1のセキュリティ保護処理を行い、ユーザー面機能エンティティが第1のキーに対応しないPDUセッション(即ち、第1のキーに対応するPDUセッション以外の他のPDUセッション)を介してUEに送信される下りユーザー面データに対して第1のセキュリティ保護処理を行う必要はなく、関連技術に基づいて処理する。同じように、第1のキーを使用して、第1のキーに対応するPDUセッションで受信したターゲットUEからの上りユーザー面データに対して第2のセキュリティ保護処理を行い、第1のキーに対応しないPDUセッション(即ち、第1のキーに対応するPDUセッション以外の他のPDUセッション)で受信したターゲットUEからの上りユーザー面データに対しては第2のセキュリティ保護処理を行う必要はなく、関連技術に従って処理を行う。
【0089】
上記例示的な実施例では、一部のPDUセッションを介してUEの伝送されたユーザー面データのみをセキュリティ保護し、UEの全てのユーザー面データをセキュリティ保護するのではなく、セキュリティ保護を必要としないユーザー面データに対して処理効率を向上させ、業務の遅延が減少する。
【0090】
1つの実施形態において、セキュリティ保護は、機密性保護、完全性保護、又は機密性保護及び完全性保護の3つのいずれか1つであってもよい。以下ではこれら3つの場合についてそれぞれ説明する。
【0091】
(I)セキュリティ保護が機密性保護のみを含む場合、第1のキーは暗号化キーのみを含む。相応に、第1のキーを使用して下りターゲットユーザー面データを第1のセキュリティ保護処理するステップは、暗号化キーを用いて下りターゲットユーザー面データを暗号化するステップが含まれる。第1のキーを用いて第1のセキュリティ保護処理後の上りターゲットユーザーデータを第2のセキュリティ保護処理するステップには、暗号化キーを用いて暗号化された上りターゲットユーザーデータを復号するステップが含まれる。
【0092】
(II)セキュリティ保護が完全性保護のみを含む場合、第1のキーは完全性キーのみを含む。相応に、第1のキーを使用して下りターゲットユーザー面データを第1のセキュリティ保護処理するステップには、完全性キーを使用して、下りターゲットユーザー面データに完全性保護処理を行うステップが含まれる。第1のキーを用いて第1のセキュリティ保護処理後の上りターゲットユーザー面データを第2のセキュリティ保護処理するステップには、完全性キーを使用して、完全性保護処理後の上りターゲットユーザー面データの完全性チェックを行うステップが含まれる。
【0093】
(III)セキュリティ保護が機密性保護と完全性保護の両方を含む場合、第1のキーは暗号化キーと完全性キーを含む。相応に、第1のキーを用いて下りターゲットユーザー面データに対して第1のセキュリティ保護処理を行うステップには、暗号化キーを用いて下りターゲットユーザー面データを暗号化し、完全性キーを用いて暗号化された後の下りターゲットユーザー面データに対して完全性保護処理を行うステップが含まれる。第1のキーを用いて第1のセキュリティ保護処理後の上りユーザー面データに対して第2のセキュリティ保護処理を行うステップには、完全性キーを用いて暗号化及び完全性保護処理後の上りターゲットユーザー面データに対して完全性チェックを行い、チェックに合格した後に暗号化キーを使用して暗号化後の上りターゲットユーザーデータを復号するステップが含まれる。
【0094】
本開示の実施例で提供されるデータ伝送方法によれば、制御面機能エンティティにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護を必要とするターゲットユーザー面データを特定し、その後に、ターゲットユーザーデバイスとユーザー面機能エンティティがターゲットユーザー面データをセキュリティ保護するようにアクセスネットワーク機能エンティティとターゲットユーザーデバイスに通知し、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護することを実現している。
【0095】
本開示の実施例は、ターゲットUEに適用可能な別のデータ伝送方法をさらに提供する。図5を参照して、本開示の実施例によって提供されるデータ伝送方法のフローチャートであり、該方法は、ステップ500を含むことができる。
【0096】
ステップ500では、制御面機能エンティティから送信される通知メッセージを受信するステップを含み、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる。
【0097】
なお、いくつかのUEに関して、該UEのコアネットワークへの登録中に、制御面機能エンティティからの通知メッセージを受信した場合、該UEとユーザー面機能エンティティとの間でUEの全てのユーザー面データをセキュリティ保護する必要があることを示し、いくつかのUEに関して、該UEのコアネットワークへの登録中に、制御面機能エンティティからの通知メッセージを受信しなかった場合、該UEとユーザー面機能エンティティとの間でUEの全てのユーザー面データをセキュリティ保護する必要がないことを示す。これにより、全てのUEのユーザー面データをいずれもUEとユーザー面機能エンティティの間でセキュリティ保護するのではなく、一部のUEのユーザー面データをUEとユーザー面機能エンティティの間でセキュリティ保護し、具体的にどのUEのユーザー面データをUEとユーザー面機能エンティティの間でセキュリティ保護するかはUEの契約データに基づいて特定することができ、ユーザーは自身の需要に応じて事業者と契約することによって実現することができる。
【0098】
又は、あるターゲットUEのいくつかのPDUセッションに関して、PDUセッション確立中に制御面機能エンティティからの通知メッセージを受信した場合、該UEとユーザー面機能エンティティとの間でUEのPDUセッションに対応するユーザー面データをセキュリティ保護する必要があることを示し、該UEの別のPDUセッションに関して、PDUセッションの確立中に、制御面機能エンティティから送信された通知メッセージが受信されなかった場合、該UEとユーザー面機能エンティティとの間でUEのPDUセッションに対応するユーザー面データをセキュリティ保護する必要がないことを示す。これにより、UEの全てのPDUセッションに対応するユーザー面データがいずれもUEとユーザー面機能エンティティとの間でセキュリティ保護されるのではなく、UEの一部のPDUセッションに対応するユーザー面データがUEとコアネットワークとの間でセキュリティ保護されることを実現し、具体的にUEのどのPDUセッションに対応するユーザー面データがUEとコアネットワークとの間でセキュリティ保護されるかは、UEの契約データに基づいて特定することができ、ユーザーは、自身のニーズに応じて事業者と契約することで実現することができる。
【0099】
1つの実施形態では、通知メッセージを受信した後、該方法は、第1のキーを生成し、第1のキーを制御面機能エンティティに送信するステップをさらに含むことができる。第1のキーは、機密キー及び/又は完全性キーを含む。
【0100】
1つの実施形態において、第1のキーは、ターゲットUEとRAN機能エンティティとの間でターゲットユーザー面データをセキュリティ保護するキーを直接使用することができる。もう1つの実施形態において、第1のキーは、ターゲットUEとRAN機能エンティティとの間の制御面データをセキュリティ保護するキーを直接使用することもできる。該技術案は、ターゲットUEとアクセスネットワーク機能エンティティネットワークとの間のセキュリティ保護キーを使用して実現され、セキュリティ保護キーの取得プロセスが簡略化される。
【0101】
1つの実施形態では、第1のキーは暗号化キーを含むことができる。もう1つの実施形態では、第1のキーは完全性キーを含むことができる。もう1つの実施形態では、第1のキーは暗号化キー及び完全性キーを含むことができる。1つの実施形態では、暗号化キーは、ターゲットUEとユーザー面機能エンティティとの間のターゲットユーザー面データの機密性保護に使用され、完全性キーは、ターゲットUEとユーザー面機能エンティティとの間のターゲットユーザー面データの完全性保護に使用される。
【0102】
1つの実施形態では、NASセキュリティチャネルを介して第1のキーを制御面機能エンティティに送信する。該技術案は、第1のキー伝送プロセスにおけるセキュリティを向上させる。
【0103】
もう1つの実施形態では、第1のキーを制御面機能エンティティに送信する必要はなく、ネットワーク制御面機能は、第2のキーをユーザー面機能エンティティに送信し、ユーザー面機能エンティティが第2のキーに基づいて第1のキーを生成する。第2のキーはキーの隔離に使用され、1つのキーが漏洩して他のキーのセキュリティに影響を与えることを防止し、セキュリティを向上させる。
【0104】
1つの実施形態において、該方法は、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップをさらに含む。
【0105】
1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、機密キーを使用して、ユーザー面機能エンティティ宛の第2のターゲットユーザー面データを暗号化し、機密キーを使用して、ユーザー機能エンティティから受信されるターゲットユーザー面データを復号するステップを含むことができる。
【0106】
もう1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、完全性キーを使用して、ユーザー面機能エンティティ宛のターゲットユーザー面データに対して完全性保護処理を行い、完全性キーを使用して、ユーザー機能エンティティから受信されるターゲットユーザー面データに対して完全性チェックを行うステップを含むことができる。
【0107】
もう1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、機密キーを使用して、ユーザー面機能エンティティ宛のターゲットユーザー面データを暗号化し、完全性キーを使用して、暗号化されたターゲットユーザー面データに対して完全性保護処理を行うステップを含むことができる。
【0108】
もう1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、完全性キーを使用して、ユーザー機能エンティティから受信されるターゲットユーザー面データに対して完全性チェックを行い、チェックに合格した後に、前記機密キーを使用して、ターゲットユーザー面データを復号するステップを含むことができる。
【0109】
1つの実施形態では、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うステップは、ユーザー面機能エンティティに送信される上りターゲットユーザー面データをPDCPカプセル化する前に、第1のキーを用いて上りターゲットユーザー面データに第1のセキュリティ保護処理を行い、第1のセキュリティ保護処理後の上りターゲットユーザー面データをアクセスネットワーク機能エンティティに送信することを含むことができる。
【0110】
受信したコアネットワークからの第1のセキュリティ保護処理後の下りターゲットユーザー面データに対してPDCPデカプセル化を行った後、第1のキーを使用して、第1のセキュリティ保護処理後の下りターゲットユーザー面データに対して第2のセキュリティ保護処理を行う。
【0111】
該セキュリティ保護案は、アプリケーション層ではなくPDCP層を介して実現され、このセキュリティ保護案をより容易に普及させることができる。
【0112】
1つの実施形態において、第1のキーは、UE対応の第1のキーであり、ユーザー面機能エンティティに送信される上りターゲットユーザー面データは、UEがユーザー面機能エンティティへ送信する全ての上りユーザー面データであり、受信したコアネットワークからの第1のセキュリティ保護処理後の下りターゲットユーザー面データは、UEが受信したユーザー面機能エンティティからの全ての下りユーザー面データである。
【0113】
つまり、第1のキーを使用して、UEがユーザー面機能エンティティへ送信する全ての上りユーザー面データに対して第1のセキュリティ保護処理を行い、第1のキーを使用して、受信したユーザー面機能エンティティからの全ての下りユーザー面データに対して第2のセキュリティ保護処理を行う。
【0114】
もう1つの実施形態において、第1のキーは、UEのPDUセッションに対応する第1のキーであり、具体的には、1つのPDUセッションが1つの第1のキーに対応してもよく、2つ以上のPDUセッションが1つの第1のキーに対応してもよく、従って、ユーザー面機能エンティティへ送信される上りターゲットユーザー面データは、UEがPDUセッションを介してユーザー面機能エンティティへ送信する上りユーザー面データであり、受信したユーザー面機能エンティティからの第1のセキュリティ保護処理後の下りターゲットユーザー面データは、UEがPDUセッションを介して受信したコアネットワークからの下りユーザー面データである。
【0115】
つまり、第1のキーを使用して、UEが第1のキーに対応するPDUセッションを介してユーザー面機能エンティティへ送信する上りユーザー面データに対して第1のセキュリティ保護処理を行い、UEが第1のキーに対応しないPDUセッション(即ち、第1のキーに対応するPDUセッション以外の他のPDUセッション)を介してユーザー面機能エンティティへ送信する上りユーザー面データに対して第1のセキュリティ保護処理を行う必要はなく、関連技術に基づいて処理する。同じように、第1のキーを使用して、第1のキーに対応するPDUセッションで受信するユーザー面機能エンティティからの下りユーザー面データに対して第2のセキュリティ保護処理を行い、第1のキーに対応するPDUセッション(即ち、第1のキーに対応するPDUセッション以外の他のPDUセッション)で受信するユーザー面機能エンティティからの下りユーザー面データに対して第2のセキュリティ保護処理を行う必要はなく、関連技術に基づいて処理する。
【0116】
上記例示的な実施例では、一部のPDUセッションを介してコアネットワークと伝送されるユーザー面データのみをセキュリティ保護し、UEの全てのユーザー面データをセキュリティ保護するのではなく、それにより、行う必要のないユーザー面データに対する処理効率が向上し、業務遅延が減少する。
【0117】
1つの実施形態において、セキュリティ保護は、機密性保護、完全性保護、又は機密性保護及び完全性保護の3つのいずれか1つであってもよい。以下ではこれら3つの場合についてそれぞれ説明する。
【0118】
(I)セキュリティ保護が機密性保護のみを含む場合、第1のキーは暗号化キーのみを含む。相応に、第1のキーを使用して上りターゲットユーザー面データを第1のセキュリティ保護処理するステップは、暗号化キーを用いて上りターゲットユーザー面データを暗号化するステップが含まれる。第1のキーを用いて第1のセキュリティ保護処理後の下りターゲットユーザーデータを第2のセキュリティ保護処理するステップには、暗号化キーを用いて暗号化された下りターゲットユーザーデータを復号するステップが含まれる。
【0119】
(II)セキュリティ保護が完全性保護のみを含む場合、第1のキーは完全性キーのみを含む。相応に、第1のキーを使用して上りターゲットユーザー面データを第1のセキュリティ保護処理するステップには、完全性キーを使用して、上りターゲットユーザー面データに完全性保護処理を行うステップが含まれる。第1のキーを用いて第1のセキュリティ保護処理後の下りターゲットユーザー面データを第2のセキュリティ保護処理するステップには、完全性キーを使用して、完全性保護処理後の下りターゲットユーザー面データの完全性チェックを行うステップが含まれる。
【0120】
(III)セキュリティ保護が機密性保護と完全性保護の両方を含む場合、第1のキーは暗号化キーと完全性キーを含む。相応に、第1のキーを用いて上りターゲットユーザー面データに対して第1のセキュリティ保護処理を行うステップには、暗号化キーを用いて上りターゲットユーザー面データを暗号化し、完全性キーを用いて暗号化された後の上りターゲットユーザー面データに対して完全性保護処理を行うステップが含まれる。第1のキーを用いて第1のセキュリティ保護処理後の下りユーザー面データに対して第2のセキュリティ保護処理を行うステップには、完全性キーを用いて暗号化及び完全性保護処理後の下りターゲットユーザー面データに対して完全性チェックを行い、チェックに合格した後に暗号化キーを使用して暗号化後の下りターゲットユーザーデータを復号するステップが含まれる。
【0121】
本開示の実施例で提供されるデータ伝送方法によれば、制御面機能エンティティにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護を必要とするターゲットユーザー面データを特定し、その後に、ターゲットユーザーデバイスとユーザー面機能エンティティがターゲットユーザー面データをセキュリティ保護するようにアクセスネットワーク機能エンティティとターゲットユーザーデバイスに通知し、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護することを実現している。
【0122】
1つの実施形態では、制御面機能エンティティ及びユーザー面機能エンティティは、コアネットワークに設置される異なるデバイスである。
【0123】
1つの実施形態において、制御面機能エンティティは、ユーザーデバイスのアクセス、業務処理を担当する制御面ネットワーク機能エンティティである。
【0124】
1つの実施形態において、ユーザー面機能エンティティは、ユーザーアプリケーションデータを処理するトランスフェースネットワーク機能エンティティである。
【0125】
1つの実施形態において、5Gネットワークでは、制御面機能エンティティはアクセス管理機能(Access Management Function、AMF)エンティティであり、ユーザー面機能エンティティはUPFエンティティである。
【0126】
もう1つの実施形態では、進化したパケットコアネットワーク(Evolved Packet Core network、EPC)では、制御面機能エンティティはモビリティ管理エンティティ(Mobility Management Entity、MME)であり、ユーザー面機能エンティティはサービングゲートウェイ(Serving GateWay、SGW)又はパケットゲートウェイ(Packet GateWay、PGW)である。
【0127】
以下では、いくつかの具体例を用いて上述の実施例の具体的な実現プロセスを詳細に説明するが、列挙する例は単に説明の便宜上のものであり、本開示の実施例の保護範囲を限定するために使用できないことを説明する必要がある。
【0128】
例1
仮想ネットワーク事業者がネットワークサービスを提供し、アクセスデバイスをレンタルする場合、アプリケーションにとって、アクセスデバイスは信頼できず、UEとコアネットワークデバイスとの間に暗号化チャネルを直接構築する必要があり、或いは次のようなシーンで、複数のコアネットワーク事業者がアクセスネットワーク機能エンティティを共有する場合も、データの安全性を保証するために、UEと各コアネットワークとの間に暗号化チャネルを確立する必要がある。上記のシーンでは、UEがコアネットワークにアクセスするための登録認証段階で、UEがビジネスを展開する際に、ユーザー面データを暗号化して送信し完全性を保護するために、ユーザー面データを暗号化して送信し完全性を保護するのに必要なキーを生成することができる。5Gネットワークを例に、実施フローチャートを図6に示す。技術案における制御面機能エンティティはAMFエンティティであり、ユーザー面機能エンティティはUPFエンティティである。
仮想ネットワーク事業者がネットワークサービスを提供し、アクセスデバイスをレンタルする場合、アプリケーションにとって、アクセスデバイスは信頼できず、UEとコアネットワークデバイスとの間に暗号化チャネルを直接構築する必要があり、或いは次のようなシーンで、複数のコアネットワーク事業者がアクセスネットワーク機能エンティティを共有する場合も、データの安全性を保証するために、UEと各コアネットワークとの間に暗号化チャネルを確立する必要がある。上記のシーンでは、UEがコアネットワークにアクセスするための登録認証段階で、UEがビジネスを展開する際に、ユーザー面データを暗号化して送信し完全性を保護するために、ユーザー面データを暗号化して送信し完全性を保護するのに必要なキーを生成することができる。5Gネットワークを例に、実施フローチャートを図6に示す。技術案における制御面機能エンティティはAMFエンティティであり、ユーザー面機能エンティティはUPFエンティティである。
【0129】
1. UEは5Gネットワークへのアクセスを要求し、AMFエンティティに登録認証要求を発信し、RAN機能エンティティは登録認証要求に隠された契約ID(Subscription Concealed Identifier、SUCI)に基づいて登録認証要求をAMFエンティティにルーティングする。
【0130】
2. UE、AMFエンティティ、認証サーバ機能(Authentication Server Function、AUDF)エンティティと統合データ管理(Unified Data Management、UDM)エンティティの間で認証プロセスを完了する。UE、RANエンティティ、AMFエンティティ間で他の登録プロセスが行われ、具体的には3 GPP TS 23.502を参照して認証プロセスを登録することができる。
【0131】
3. 認証プロセスが完了した後、AMFエンティティはアンカーキーKSEAFを生成し、AMFはKSEAFに基づいてキー生成アルゴリズムを用いてキーの派生を行い、最終的に第2のキーKgNBを生成する。AMF決定がUEとユーザー面機能エンティティとの間でユーザー面データをセキュリティ保護する必要がある場合(例えば、事業者ポリシー又はユーザー契約情報にUEとユーザー面機能エンティティとの間でユーザー面データをセキュリティ保護する必要があることが規定されている場合、AMFエンティティは事業者ポリシー又はユーザー契約情報決定に基づいてUEとユーザー面機能エンティティとの間でユーザー面データをセキュリティ保護する必要がある)、引き続きステップ4に進む。
【0132】
4. AMFエンティティは、N1メッセージ及び/又はN2メッセージを介してRAN機能エンティティ及びUEに通知メッセージを送信する。
【0133】
5. UEとRAN機能エンティティ、AMFエンティティの間で残りの登録プロセスを完成し、UEとAMFエンティティの間にNASセキュリティチャネルを確立する。
【0134】
6. UEは、ルートキーに基づいて階層化キー派生アルゴリズムに従って第1のキーを生成し、第1のキーは、暗号化キーKUPenc及び完全性キーKUPintを含む。
【0135】
7. UEは、NASセキュリティチャネルを介して暗号化キーKUPencと完全性キーKUPintをAMFエンティティに送信し、AMFエンティティは暗号化キーKUPencと完全性キーKUPintをUPFエンティティに送信する。そのうち、AMFエンティティは、PDUセッション確立段階でSMFエンティティを介して暗号化キーKUPencと完全性キーKUPintをUPFエンティティに送信することができる。
【0136】
8. UPFエンティティは、暗号化キーKUPencと完全性キーKUPintを保存する。
【0137】
9. UEとUPFエンティティとの間でユーザー面データを機密性と完全性保護し、関連プロセスは例3の説明を参照することができる。
【0138】
関連技術によれば、暗号化キーKUPenc及び完全性キーKUPintはRANエンティティによって生成される。上記技術案におけるステップ7は、RANエンティティがN2インタフェースメッセージを介して暗号化キーKUPenc及び完全性キーKUPintをAMFエンティティに提供する技術案に替えてもよい。AMFエンティティはさらにUPFエンティティに提供される。
【0139】
上記技術案は、UEが5Gネットワークに登録された後、UEと5Gコアネットワークとの間でユーザー面データに対してセキュリティ保護を行うこと、即ち、UEと5Gコアネットワークが交換する全てのユーザー面データに対して機密性及び完全性保護を行うことを説明したものである。上記技術案は同じように、EPCにも適用され、技術案の制御面機能エンティティはMMEであり、ユーザー面機能エンティティはSGW又はPGWである。
【0140】
例2
例1は、UEと5Gコアネットワークとの間のユーザー面データのセキュリティ保護を説明する。5Gネットワークはさらに、ネットワークスライス形式でネットワークサービスを提供することができ、即ち、5GCは複数のネットワークスライスを含むことができ、UEは5Gネットワークに登録した後、最大8つのネットワークスライスにアクセスすることができる。例示2は、ネットワークスライスレベルのためのUEとコアネットワークとの間のユーザー面データのセキュリティ保護を提供することを説明したものであり、実現プロセスは図7に示している。技術案におけるネットワーク制御機能エンティティはAMFエンティティであり、ユーザー面機能エンティティはUPFエンティティである。
例1は、UEと5Gコアネットワークとの間のユーザー面データのセキュリティ保護を説明する。5Gネットワークはさらに、ネットワークスライス形式でネットワークサービスを提供することができ、即ち、5GCは複数のネットワークスライスを含むことができ、UEは5Gネットワークに登録した後、最大8つのネットワークスライスにアクセスすることができる。例示2は、ネットワークスライスレベルのためのUEとコアネットワークとの間のユーザー面データのセキュリティ保護を提供することを説明したものであり、実現プロセスは図7に示している。技術案におけるネットワーク制御機能エンティティはAMFエンティティであり、ユーザー面機能エンティティはUPFエンティティである。
【0141】
1. UEが5Gネットワークへの登録に成功した後、UEはアクセスネットワーク機能エンティティのネットワークスライスへのアクセスを要求し、PDUセッション確立要求を発信し、PDUセッション確立要求にNASメッセージが含まれ、NASメッセージには単一ネットワークスライス選択補助情報(Single Network Slice Selection Assistance Information、S-NSSAI)などが含まれている。S-NSSAIは、UEがアクセスを要求することを許可するネットワークスライス識別子を含む。AMFはS-NSSAIなどの情報を保存する。
【0142】
2. PDUセッション確立要求を受信した後、AMFエンティティはユーザーの契約情報を取得し、契約情報にはユーザーの許可S-NSSAIが含まれ、各S-NSSAIに対応するネットワークスライスはベアラの業務タイプに使用され、UEとユーザー面機能エンティティの間でユーザー面データをセキュリティ保護する必要があるかどうか等の情報が含まれている。AMFエンティティにユーザーの契約情報が保存されていない場合、UDMエンティティからユーザーの契約情報を取得する。
【0143】
3. AMFエンティティは、ユーザーの契約情報と結合して、PDUセッションがUEとユーザー面部機能エンティティとの間でユーザー面部データをセキュリティ保護することを実行することを決定する。
【0144】
4. AMFエンティティは、S-NSSAIなどの情報に基づいてSMFエンティティ選択を行う。
【0145】
5. AMFエンティティはSMFエンティティにPDUセッションコンテキスト作成要求を発信し、PDUセッションコンテキスト作成要求にはユーザー永続ID(Subscription Permanent Identifier、SUPI)、第2のキーKgNBなどの情報が含まれている。
【0146】
6. SMFエンティティは、AMFエンティティにPDUセッションコンテキスト作成応答を返す。
【0147】
7. ステップ1のPDUセッション確立要求が第1回目の送信である場合、SMFエンティティはUPFエンティティ選択を行い、ステップ1のPDUセッション確立要求が第1回目の送信でない場合、ステップ9を直接実行する。
【0148】
8. SMFエンティティは、選択されたUPFエンティティにN4セッション確立要求を発信し、PDUセッションに対応するストリーム検出規則、第2のキーKgNBなどの情報を提供する。SMFエンティティとUPFエンティティとの間でN4セッションが確立される。
【0149】
9. UPFエンティティは、第2のキーKgNBを保存する。
【0150】
10. AMFエンティティとRANエンティティは、N2インタフェースメッセージ交換を行い、RANエンティティに通知メッセージを送信する。
【0151】
11. RANエンティティは、UEとユーザー面機能エンティティとの間でユーザー面データをセキュリティ保護する必要があるかどうかを示す情報を保存する。
【0152】
12. UE、RAN機能エンティティ、AMFエンティティ、SMFエンティティ、UPFエンティティの間でPDUセッション確立の残りのプロセスを完成する。
【0153】
13. AMFエンティティは、UEにPDUセッション確立応答を返す。
【0154】
14. UEはルートキーに基づいて、キー階層派生アルゴリズムを用いて第1のキーを生成する。第1のキーは、暗号化キーKUPenc及び完全性キーKUPintを含む。UPFエンティティは、第2のキーKgNBに基づいて、同じキー生成アルゴリズムに従って第1のキーを生成するように導出し、第1のキーは、暗号化キーKUPenc及び完全性キーKUPintを含む。
【0155】
15. UEとUPFエンティティの間でユーザー面データの機密性及び完全性保護を行うプロセスは、例3を参照すること。
【0156】
例3
上記の例1又は例2におけるAMFエンティティがRAN機能エンティティに通知メッセージを送信したか否かに基づいて、RAN機能エンティティは、UEとUPFエンティティ間で伝送されるユーザー面データの復号化及び完全性保護処理が必要か否かを判断する。
上記の例1又は例2におけるAMFエンティティがRAN機能エンティティに通知メッセージを送信したか否かに基づいて、RAN機能エンティティは、UEとUPFエンティティ間で伝送されるユーザー面データの復号化及び完全性保護処理が必要か否かを判断する。
【0157】
上りユーザー面データに対して、UEは、図8又は図9に示すUEプロトコルスタック部分に従って、送信された上りユーザー面データのカプセル化を完了し、カプセル化された上りユーザー面データを送信する。具体的には、上りユーザー面データをアプリケーション層カプセル化し、アプリケーション層カプセル化後の上りユーザー面データをPDU層カプセル化し、PDU層カプセル化後の上りユーザー面データを簡易分散型ファイル転送システムアクセスプロトコル(Simple Distribution File System Access Protocol、SDAP)カプセル化し、KUPencを用いてSDAPカプセル化後の上りユーザー面データを暗号化し、KUPintを用いて暗号化後の上りユーザー面データを完全性保護処理し、完全性保護処理後の上りユーザー面データをPDCPカプセル化し、PDCPカプセル化後の上りユーザー面データを無線リンク制御層(Radio Link Control、RLC)カプセル化し、RLCカプセル化後の上りユーザー面データに対してメディアアクセス制御(Medica Access Control,MAC)層カプセル化を行い、MAC層カプセル化後の上りユーザー面データに対して物理層(Physical layer,PHY)カプセル化を行う。
【0158】
PHYカプセル化された上りユーザー面データがRAN機能エンティティに送信されると、RAN機能エンティティは、PHYカプセル化された上りユーザー面データがUEとUPFエンティティとの間で交換されるデータに属するかどうかを判断し、PHYカプセル化後の上りユーザー面データがUEとUPFエンティティ間の交換されるデータに属する場合、RAN機能エンティティはPHYカプセル化後の上りユーザー面データに対して復号化、完全性保護処理と完全性チェックを行わず、図9に示すプロトコル変換のみを完成し、先ず、PHYカプセル化後の上りユーザー面データに対してPHYカプセル化解除を行い、PHYカプセル化解除後の上りユーザー面データに対してMAC層カプセル化解除を行い、MAC層カプセル化解除後の上りユーザー面データに対してRLCカプセル化解除を行い、その後、RLCカプセル化解除後の上りユーザー面データを汎用パケット無線サービストンネルプロトコル(General Packet Radio Service(GPRS)Tunnelling Protocol,GTP)カプセル化フォーマットに変換する。プロトコル変換処理のプロセスで、RAN機能エンティティはPDCP層及びそれ以上に対して何の処理も行わず、即ち、上りユーザー面データに対して復号化及び完全性チェック処理を行わない。RAN機能エンティティは、上りユーザー面データに対してプロトコル変換処理を完了した後、UPFエンティティに送信する。
【0159】
UPFエンティティはプロトコル変換後の上りユーザー面データを受信し、プロトコル変換後の上りユーザー面データに対してL1層カプセル化解除を行い、L1層カプセル化解除後の上りユーザー面データに対してL2層カプセル化解除を行い、L2層カプセル化解除後の上りユーザー面データに対してGTP-U/UDP(User Datagram Protocol、ユーザーデータグラムプロトコル)/IP(Internet Protocol、インターネット相互接続プロトコル)層カプセル化解除を行い、GTP-U/UDP/IP層カプセル化解除後の上りユーザー面に対してPDCPカプセル化解除を行い、KUPintを用いてPDCPカプセル化解除後の上りユーザー面データに対して完全性チェックを行い、チェックに合格した後、KUPencを用いてPDCPのカプセル化解除後の上りユーザー面データを復号し、復号後の上りユーザー面データをSDAPカプセル化解除し、SDAPカプセル化解除後の上りユーザー面データをPDU層カプセル化解除する。
【0160】
PHYカプセル化後の上りユーザー面データがUEとUPFエンティティとの間で交換されるデータでない場合、RAN機能エンティティは、図9に示すRAN機能エンティティのプロトコルスタック部分に従って、先ず、PHYカプセル化後の上りユーザー面データに対してPHYカプセル化解除を行い、PHYカプセル化解除後の上りユーザー面データに対してMAC層カプセル化解除を行い、MAC層カプセル化解除後の上りユーザー面データに対してRLCカプセル化解除を行い、RLCカプセル化解除後の上りユーザー面データに対してPDCPカプセル化解除を行い、PDCPカプセル化解除後の上りユーザー面データに対してKUPintを用いて完全性チェックを行い、チェックに合格した後、KUPencを用いて復号を行い、その後、復号された上りユーザー面データをGTPカプセル化フォーマットに変換する。プロトコル変換処理中、RAN機能エンティティは、SDAP層以上に対して何の処理もしない。RAN機能エンティティは、上りユーザー面データに対してプロトコル変換処理を完成した後、UPFエンティティに送信する。
【0161】
下りユーザー面データに対して、UPFエンティティは、図8に示すUPFプロトコルスタック部分に従って、送信された下りユーザー面データのカプセル化を完了し、カプセル化後の下りユーザー面データを送信する。具体的には、下りユーザー面データに対してアプリケーション層カプセル化を行い、アプリケーション層カプセル化後の下りユーザー面データに対してPDU層カプセル化を行い、PDU層カプセル化後の下りユーザー面データに対してSDAPカプセル化を行い、KUPencを用いてSDAPカプセル化後の下りユーザー面データに対して暗号化を行い、KUPintを用いて暗号化後の下りユーザー面データに対して完全性保護処理を行い、完全性保護処理後の下りユーザー面データに対してPDCPカプセル化を行い、PDCPカプセル化後の下りユーザー面データに対してGTP-U/UDP/IPカプセル化を行い、GTP-U/UDP/IPカプセル化後の下りユーザー面データに対してL2層カプセル化を行い、L2層カプセル化後の下りユーザー面データに対してL1層カプセル化を行う。
【0162】
又は、UPFエンティティは、図10に示すUPFプロトコルスタック部分に従って、送信された下りユーザー面データのカプセル化を完成し、カプセル化された下りユーザー面データを送信する。具体的には、下りユーザー面データをアプリケーション層カプセル化し、アプリケーション層カプセル化後の下りユーザー面データをPDU層カプセル化し、PDU層カプセル化後の下りユーザー面データをSDAPカプセル化し、SDAPカプセル化後の下りユーザー面データをGTP-Uカプセル化し、GTP-Uカプセル化後の下りユーザー面データをUDP/IPカプセル化し、UDP/IPカプセル化後の下りユーザー面データをL2層カプセル化し、L2層カプセル化後の下りユーザー面データに対してL1層カプセル化を行う。
【0163】
L1層カプセル化後の下りユーザー面データがRAN機能エンティティに送信されると、RAN機能エンティティは、L1層カプセル化後の下りユーザー面データがUEとUPFとの間の交換されるデータに属するかどうかを判断し、L1層カプセル化後の下りユーザー面データがUEとUPF間の交換されるデータに属する場合、RAN機能エンティティはL1層カプセル化後の下りユーザー面データに対して復号化、完全性保護処理及び完全性チェックを行わず、図9に示すプロトコル変換のみを完成し、先ず、L1層カプセル化後の下りユーザー面データにL1層カプセル化解除を行い、L1層カプセル化解除後の下りユーザー面データにL2層カプセル化解除を行い、L2層カプセル化解除後の下りユーザー面データにGTP-U/UDP/IPカプセル化解除を行い、その後、GTP-U/UDP/IPカプセル化解除後の下りユーザー面データをRLCカプセル化フォーマットに変換する。プロトコル変換処理プロセスにおいて、RAN機能エンティティはPDCP層及びそれ以上に対して何の処理も行わず、即ち、下りユーザー面データに対して復号化及び完全性チェック処理を行わない。RAN機能エンティティは下りユーザー面データに対してプロトコル変換処理を完成した後、UPFに送信する。
【0164】
UEはプロトコル変換後の下りユーザー面データを受信し、プロトコル変換後の下りユーザー面データに対してPHYカプセル化解除を行い、PHYカプセル化解除後の下りユーザー面データに対してMAC層カプセル化解除を行い、MAC層カプセル化解除後の下りユーザー面データに対してRLC層カプセル化解除を行い、RLC層カプセル化解除後の下りユーザー面に対してPDCPカプセル化解除を行い、KUPintを用いてPDCPカプセル化解除後の下りユーザー面データに対して完全性チェックを行い、チェックに合格した後、KUPencを用いてPDCPのカプセル化解除後の下りユーザー面データを復号し、復号後の下りユーザー面データをSDAPカプセル化解除し、SDAPカプセル化解除後の下りユーザー面データをPDU層カプセル化解除する。
【0165】
L1層カプセル化された下りユーザー面データがUEとUPFエンティティとの間で交換されるデータに属していない場合、RAN機能エンティティは、図10に示すRAN機能エンティティのプロトコルスタック部分に従って、先ず、L1層カプセル化後の下りユーザー面データにL1層カプセル化解除を行い、L1層カプセル化解除後の下りユーザー面データにL2層カプセル化解除を行い、L2層カプセル化解除後の下りユーザー面データにUDP/IPカプセル化解除を行い、UDP/IPカプセル化解除後の下りユーザー面データにGTP-Uカプセル化解除を行い、GTP-Uカプセル化解除後の下りユーザー面データをRLCカプセル化フォーマットに変換する。プロトコル変換処理プロセス中に、RAN機能エンティティはSDAP層及びそれ以上に対して何の処理も行わない。RAN機能エンティティは、下りユーザー面データに対してプロトコル変換処理を完成した後、UEに送信する。
【0166】
本開示の実施例は、少なくとも1つのプロセッサと、少なくとも1つのプログラムが記憶され、少なくとも1つのプログラムが少なくとも1つのプロセッサで実行されるとき、少なくとも1つのプロセッサに、本開示の実施例で提供されるデータ伝送方法の少なくとも1つのステップを実現させるメモリと、を含む電子機器をさらに提供する。
【0167】
プロセッサは、中央プロセッサ(Central Processing Unit、CPU)などを含むが、これらに限定されないデータ処理能力を有するデバイスである。メモリは、ランダムアクセスメモリ(Random Access Memory、RAM)を含むがこれに限定されないデータ記憶能力を有するデバイスであり、より具体的には同期動的ランダムアクセスメモリ(Synchronous Dynamic Random-access Memory、SDRAM)、データ方向レジスタ(Data Direction Register、DDR)など)、読取り専用メモリ(Read-Only Memory、ROM)、帯電消去可能プログラマブル読み出し専用メモリ(Electrically Erasable Programmable Read Only Memory,EEPROM)、フラッシュメモリ(FLASH(登録商標))などである。
【0168】
1つの実施形態では、プロセッサ、メモリはバスを介して相互に接続され、さらに電子機器の他のコンポーネントと接続されている。
【0169】
本開示の実施例は、コンピュータプログラムが記憶され、コンピュータプログラムがプロセッサにより実行されるとき、本開示の実施例で提供されるデータ伝送方法の少なくとも1つのステップを実現するコンピュータ可読記憶媒体をさらに提供する。
【0170】
本開示の実施例は、制御面機能エンティティに適用されるか、又は具体的に制御面機能エンティティであってもよいデータ伝送装置をさらに提供する。図10を参照して、本開示の実施例によって提供されるデータ伝送装置の構成ブロック図であり、該データ伝送装置は、第1の判定モジュール1001と、第1の通知メッセージ送信モジュール1002と、を含むことができる。
【0171】
第1の判定モジュール1001は、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でセキュリティ保護を必要とするターゲットユーザー面データを判定するように構成される。
【0172】
第1の通知メッセージ送信モジュール1002は、アクセスネットワーク機能エンティティ及びターゲットユーザーデバイスに通知メッセージを送信するように構成され、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティの間でターゲットユーザー面データをセキュリティ保護することを指示するために用いられる。
【0173】
1つの実施形態において、データ伝送装置は、ターゲットユーザーデバイス又はアクセスネットワーク機能エンティティから返された第1のキーを受信し、ユーザー面機能エンティティへ第1のキーを送信するように構成されたキー転送モジュール1003をさらに含むことができ、第1のキーは、ユーザー面機能エンティティ及びターゲットユーザーデバイスによって使用され、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データに対してセキュリティ保護するために使用される。
【0174】
1つの実施形態において、第1のキーは、機密キー及び/又は完全性キーを含むことができる。
【0175】
1つの実施形態において、データ伝送装置は、第2のキーを生成し、ユーザー面機能エンティティへ第2のキーを送信するように構成された第1のキー送信モジュール1004をさらに含むことができ、第2のキーは、ユーザー面機能エンティティによって使用され、第1のキーを生成するために用いられる。
【0176】
上記データ伝送装置の具体的な実現プロセスは、上記制御面機能エンティティ側のデータ伝送方法の具体的な実現プロセスと同じであり、ここでは繰り返し述べない。
【0177】
本開示の実施例は、アクセスネットワーク機能エンティティに適用されることができ、又は具体的にアクセスネットワーク機能エンティティに使用されることができる別のデータ伝送装置をさらに提供する。図11を参照して、本開示の実施例によって提供されるデータ伝送装置の構成ブロック図であり、データ伝送装置は、第1の通知メッセージ受信モジュール1101をさらに含むことができる。
【0178】
第1の通知メッセージ受信モジュール1101は、制御面機能エンティティから送信された通知メッセージを受信し、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データのセキュリティ保護を実行するよう指示するように構成される。
【0179】
1つの実施形態において、データ伝送装置は、制御面機能エンティティへ第1のキーを送信するように構成された第2のキー送信モジュール1102をさらに含むことができ、そのうち、第1のキーは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護するキーである。
【0180】
1つの実施形態において、データ伝送装置は、通知メッセージに基づいて、アクセスネットワーク機能エンティティが受信したユーザー面データがターゲットユーザー面データであるかどうかを特定するように構成された第1のデータ処理モジュール1103をさらに含むことができ、そうであれば、ターゲットユーザー面データに対してセキュリティ保護処理を行わず、プロトコル変換を行って転送する。
【0181】
上記データ伝送装置の具体的な実現プロセスは、上記アクセスネットワーク機能エンティティ側のデータ伝送方法の具体的な実現プロセスと同じであり、ここでは繰り返し述べない。
【0182】
本開示の実施例は、ユーザー面機能エンティティに適用されることができ、又は具体的にユーザー面機能エンティティであってよい別のデータ伝送装置をさらに提供する。図12を参照して、本開示の実施例によって提供されるデータ伝送装置の構成ブロック図であり、データ伝送装置は、キー取得モジュール1201及び第2のデータ処理モジュール1202を含むことができる。
【0183】
キー取得モジュール1201は、制御面機能エンティティによって送信される第1のキーを受信するか、或いは、制御面機能エンティティが送信する第2のキーを受信し、第2のキーに基づいて第1のキーを生成するように構成される。
【0184】
第2のデータ処理モジュール1202は、第1のキーにより、ターゲットユーザーデバイスとユーザー面機能エンティティとの間で伝送されるターゲットユーザー面データをセキュリティ保護するように構成される。
【0185】
1つの実施形態において、第2のデータ処理モジュール1202は具体的に、機密キーを用いてターゲットユーザーデバイスに送信されるターゲットユーザー面データを暗号化し、機密キーを用いてターゲットユーザーデバイスから受信したターゲットユーザー面データを復号するように構成される。
【0186】
もう1つの実施形態において、第2のデータ処理モジュール1202は具体的に、完全性キーを使用して、ターゲットユーザーデバイス宛のターゲットユーザー面データを完全性保護し、完全性キーを使用して、ターゲットユーザーデバイスから受信したターゲットユーザー面データの完全性チェックを行うように構成される。
【0187】
もう1つの実施形態において、第2のデータ処理モジュール1202は具体的に、機密キーを使用して、ターゲットユーザーデバイス宛のターゲットユーザー面データを暗号化し、完全性キーを使用して、ターゲットユーザー面データを完全性保護するように構成される。
【0188】
もう1つの実施形態において、第2のデータ処理モジュール1202は具体的に、完全性キーを使用して、ターゲットユーザーデバイスから受信したターゲットユーザー面データの完全性チェックを行い、チェックに合格した後に、機密キーを使用して、ターゲットユーザー面データを復号するように構成される。
【0189】
上記データ伝送装置の具体的な実現プロセスは、上記ユーザー面機能エンティティ側のデータ伝送方法の具体的な実現プロセスと同じであり、ここでは繰り返し述べない。
【0190】
本開示の実施例は、ターゲットUEに適用されることができ、又は具体的にターゲットUEであってもよい別のデータ伝送装置をさらに提供する。図13を参照して、本開示の実施例によって提供されるデータ伝送装置の構成ブロック図であり、データ伝送装置は、第2の通知メッセージ受信モジュール1301を含むことができる。
【0191】
第2の通知メッセージ受信モジュール1301は、制御面機能エンティティから送信された通知メッセージを受信するように構成され、通知メッセージは、ターゲットユーザーデバイスとユーザー面機能エンティティとの間でターゲットユーザー面データをセキュリティ保護することを指示するために用いられる。
【0192】
1つの実施形態において、データ伝送装置は、第1のキーを生成し、制御面機能エンティティに第1のキーを送信するように構成された第3のキー送信モジュール1302をさらに含むことができ、第1のキーは、機密キー及び/又は完全性キーを含む。
【0193】
1つの実施形態において、データ伝送装置は、機密キーを使用して、ユーザー面機能エンティティ宛のターゲットユーザー面データを暗号化するように構成された第3のデータ処理モジュール1303をさらに含むことができ、機密キーを使用して、ユーザー機能エンティティから受信したターゲットユーザー面データを復号する。
【0194】
もう1つの実施形態では、第3のデータ処理モジュール1303は、完全性キーを使用して、ユーザー面機能エンティティ宛のターゲットユーザー面データの完全性保護処理を行うようにさらに構成されることができ、完全性キーを使用して、ユーザー機能エンティティから受信したターゲットユーザー面データの完全性チェックを行う。
【0195】
もう1つの実施形態では、第3のデータ処理モジュール1303は、機密キーを使用して、ユーザー面機能エンティティ宛のターゲットユーザー面データを暗号化し、完全性キーを使用して、暗号化されたターゲットユーザー面データを完全性保護処理するようにさらに構成できる。
【0196】
もう1つの実施形態では、第3のデータ処理モジュール1303は、完全性キーを使用して、ユーザー機能エンティティから受信されるターゲットユーザー面データに対して完全性チェックを行い、チェックに合格した後に、機密キーを使用して、ターゲットユーザー面データを復号するようにさらに構成できる。
【0197】
上記データ伝送装置の具体的な実現プロセスは、上記ターゲットUE側のデータ伝送方法の具体的な実現プロセスと同じであり、ここでは繰り返し述べない。
【0198】
本開示の実施例は、データ伝送システムをさらに提供する。図14を参照して、本開示の実施例によって提供されるデータ伝送システムの構成ブロック図であり、データ伝送システムは、制御面機能エンティティ1401と、アクセスネットワーク機能エンティティ1402と、ターゲットユーザーデバイス1403と、を含むことができる。
【0199】
制御面機能エンティティ1401は、ターゲットユーザーデバイス1403とユーザー面機能エンティティ1404との間でセキュリティ保護を必要とするターゲットユーザー面データを特定し、アクセスネットワーク機能エンティティ1402及びターゲットユーザーデバイス1403へ通知メッセージを送信するように構成される。通知メッセージは、ターゲットユーザーデバイス1403とユーザー面機能エンティティ1404との間でターゲットユーザー面データに対してセキュリティ保護を行うことを指示するために用いられる。
【0200】
アクセスネットワーク機能エンティティ1402は、制御面機能エンティティ1401から送信される通知メッセージを受信するように構成される。
【0201】
ターゲットユーザーデバイス1403は、制御面機能エンティティ1401から送信される通知メッセージを受信するように構成される。
【0202】
1つの実施形態では、制御面機能エンティティ1401は、ターゲットユーザーデバイス1403又はアクセスネットワーク機能エンティティ1402から返された第1のキーを受信し、第1のキーをユーザー面機能エンティティ1404へ送信するようにさらに構成され、第1のキーは、ユーザー面機能エンティティ1404及びターゲットユーザーデバイス1403によって使用され、ターゲットユーザーデバイス1403とユーザー面機能エンティティ1404との間でターゲットユーザー面データに対してセキュリティ保護を行うために用いられる。
【0203】
ターゲットユーザーデバイス1403は、第1のキーを生成し、第1のキーを制御面機能エンティティに送信するようにさらに構成され、第1のキーは、機密キー及び/又は完全性キーを含む。
【0204】
アクセスネットワーク機能エンティティ1402は、第1のキーを制御面機能エンティティに送信するようにさらに構成される。
【0205】
1つの実施形態では、制御面機能エンティティ1401は、第2のキーを生成し、ユーザー面機能エンティティ1404へ第2のキーを送信するようにさらに構成され、第2のキーは、ユーザー面機能エンティティ1404によって使用され、第1のキーを生成することに用いられる。
【0206】
データ伝送システムは、制御面機能エンティティ1401によって送信された第2のキーを受信し、第2のキーに基づいて第1のキーを生成するように構成されたユーザー面機能エンティティ1404をさらに含むことができる。
【0207】
1つの実施形態において、ターゲットUE1403は、第1のキーにより、ターゲットユーザーデバイス1403とユーザー面機能エンティティ1404との間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うようにさらに構成される。
【0208】
ユーザー面機能エンティティ1404は、第1のキーにより、ターゲットユーザーデバイス1403とユーザー面機能エンティティ1404との間で伝送されるターゲットユーザー面データに対してセキュリティ保護を行うようにさらに構成される。
【0209】
上記データ伝送システムの具体的な実現プロセスは、上述したデータ伝送方法の具体的な実現プロセスと同じであり、ここではその説明を省略する。
【0210】
上記明細書に開示された方法における全て又はいくつかのステップ、システム、装置の機能モジュール/ユニットが、ソフトウェア、ファームウェア、ハードウェア及びそれらの適切な組み合わせとして実装され得ることを当業者は理解するであろう。ハードウェアの実施形態では、上記説明で言及した機能モジュール/ユニット間の区分は、必ずしも物理コンポーネントの区分に対応しておらず、例えば、1つの物理コンポーネントが複数の機能を有していてもよく、又は、1つの機能又はステップがいくつかの物理コンポーネントによって協働して実行されてもよい。ある物理コンポーネント又は全ての物理コンポーネントは、例えば、中央プロセッサ、デジタル信号プロセッサ又はマイクロプロセッサ等のプロセッサによって実行されるソフトウェアにより実施されるか、又はハードウェアとして実施されるか、専用集積回路などの集積回路として実施されることができる。このようなソフトウェアは、コンピュータ記憶媒体(又は非一時的媒体)と通信媒体(又は一時的媒体)とを含むことができるコンピュータ可読媒体上に分散することができる。当業者に公知のように、コンピュータ記憶媒体という用語は、情報(コンピュータ可読指令、データ構造、プログラムモジュール又は他のデータ等)を記憶するための任意の方法又は技術において実施される揮発性及び不揮発性、取外し可能及び取外し不可能な媒体を含む。コンピュータ記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリ又は他のメモリ技術、CD-ROM、デジタル多機能ディスク(DVD)又は他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置又は他の磁気記憶装置、又は所望の情報を記憶するために使用され、且つコンピュータによってアクセスされ得る他の任意の媒体を含むが、これらに限定されない。さらに、当業者に公知されていることは、通信媒体は、一般にコンピュータ可読指令、データ構造、プログラムモジュール又は搬送波或いは他の送信メカニズムなどの変調データ信号における他のデータを含み、任意の情報配信媒体を含むことができる。
【0211】
本明細書では、例示的な実施例が開示されており、具体的な用語が用いられているが、それらは一般的な例示的な意味としてのみ使用され解釈されるべきであり、限定を目的としたものではない。いくつかの実施例では、特定の実施例に関連して説明された特徴、特性及び/又は要素は、特に明記しない限り、単独で使用してもよく、又は他の実施例に関連して説明された特徴、特性及び/又は要素を組み合わせて使用してもよいことは、当業者にとって明らかである。よって、添付の特許請求の範囲によって示される本開示の範囲を逸脱しない限り、様々な形態及び詳細な変更が可能であることを当業者であれば理解するであろう。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
