特許7520153鍵取得方法、鍵取得装置、ユーザ機器、ネットワーク側機器および可読記憶媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-11
(45)【発行日】2024-07-22
(54)【発明の名称】鍵取得方法、鍵取得装置、ユーザ機器、ネットワーク側機器および可読記憶媒体
(51)【国際特許分類】
H04W 12/04 20210101AFI20240712BHJP
H04W 12/03 20210101ALI20240712BHJP
H04W 12/106 20210101ALI20240712BHJP
【FI】
H04W12/04
H04W12/03
H04W12/106
【請求項の数】
13
(21)【出願番号】P 2022573410
(86)(22)【出願日】2021-05-27
(65)【公表番号】
(43)【公表日】2023-06-28
(86)【国際出願番号】 CN2021096533
(87)【国際公開番号】W WO2021239076
(87)【国際公開日】2021-12-02
【審査請求日】2022-11-28
(31)【優先権主張番号】202010463814.4
(32)【優先日】2020-05-27
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】517372494
【氏名又は名称】維沃移動通信有限公司
【氏名又は名称原語表記】VIVO MOBILE COMMUNICATION CO., LTD.
【住所又は居所原語表記】No.1, vivo Road, Chang’an, Dongguan,Guangdong 523863, China
(74)【代理人】
【識別番号】110001519
【氏名又は名称】弁理士法人太陽国際特許事務所
(72)【発明者】
【氏名】プー、ウェンチュアン
(72)【発明者】
【氏名】ヤン、シアオトン
(72)【発明者】
【氏名】パオ、ウェイ
(72)【発明者】
【氏名】リウ、シュアンピン
(72)【発明者】
【氏名】チン、フェイ
【審査官】三枝 保裕
(56)【参考文献】
【文献】特開2016-219955(JP,A)
【文献】特表2018-502529(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
第1ユーザ機器UEはネットワーク側機器に第1鍵情報を送信するステップを含み、前記第1鍵情報は第2UEの第1鍵を指示するためのものであり、前記第2UEの第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものであり、前記第1鍵は、前記第1UEが前記第2UEから取得するものであり、又は前記第1UEが目標情報と入力パラメータに基づいて計算するものであり、又は前記第1UEが前記第2UEから受信される鍵要求に応じて決定するものであり、
前記目標情報は第1情報又は前記第1UEのセキュリティ鍵を含み、前記第1情報は前記第1UEと前記第2UEに保存されている同じパラメータ又は関連パラメータであり、前記入力パラメータは、目標パラメータ、前記第2UEが位置するセルのPCI、前記第2UEが位置するセルの周波数ポイント情報、前記第2UEの機器情報のうちの少なくとも1つを含み、前記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含み、
前記鍵要求は前記第1UEのセキュリティ鍵を用いて前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである、
鍵取得方法。
【請求項2】
前記第1UEはネットワーク側機器に第1鍵情報を送信する前に、前記第1UEは前記第2UEから前記第2UEの第1鍵の全部もしくは一部の情報を取得するステップをさらに含む、請求項1に記載の鍵取得方法。
【請求項3】
前記第1UEはネットワーク側機器に第1鍵情報を送信する前に、前記第1UEは目標情報と入力パラメータに基づいて、前記第2UEの第1鍵を計算するステップをさらに含み、
前記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、前記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、前記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵であり、
及び/又は
前記第1UEはネットワーク側機器に第1鍵情報を送信する前に、
前記第1UEは前記第2UEから鍵要求を受信するステップであって、前記鍵要求は前記第1UEのセキュリティ鍵を用いて前記第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものであり、前記セキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、前記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、前記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵であるステップと、
前記第1UEは前記鍵要求に応じて、前記第1UEのセキュリティ鍵を前記第2UEの第1鍵とするステップと、をさらに含む、
請求項1に記載の鍵取得方法。
【請求項4】
前記第1UEはネットワーク側機器に第1鍵情報を送信する前に、前記第1UEは前記第2UEからプロキシ要求を受信するステップであって、前記プロキシ要求は前記第2UEのセキュリティプロセスのプロキシを要求するためのものであるステップと、
前記第1UEは前記第2UEにプロキシ応答を送信するステップであって、前記プロキシ応答は前記第1UEが前記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであるステップと、をさらに含む、請求項1に記載の鍵取得方法。
【請求項5】
前記第1UEは前記第2UEからプロキシ要求を受信する前に、前記第1UEは第2情報を送信するステップをさらに含み、前記第2情報は前記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである、請求項4に記載の鍵取得方法。
【請求項6】
前記第1UEはネットワーク側機器に第1鍵情報を送信した後、前記第1UEは第1条件を満たす場合に、前記ネットワーク側機器又は第2UEに第2鍵情報を送信するステップをさらに含み、前記第2鍵情報は更新後の前記第2UEの第1鍵を指示するためのものである、請求項1に記載の鍵取得方法。
【請求項7】
前記第1UEはネットワーク側機器に第1鍵情報を送信した後、前記第1UEは前記第2UEに前記第2UEの第1鍵を送信するステップをさらに含む、請求項3又は請求項4に記載の鍵取得方法。
【請求項8】
ネットワーク側機器は第1UEから第1鍵情報を受信するステップを含み、前記第1鍵情報は第2UEの第1鍵を指示するためのものであり、前記第2UEの第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものであり、
前記ネットワーク側機器は第1UEから第1鍵情報を受信した後、
前記ネットワーク側機器は目標UEから目標鍵情報を受信するステップであって、前記目標UEは第1UE又は第2UEを含むステップと、
前記ネットワーク側機器は前記目標鍵情報に基づいて、更新後の前記第2UEの第1鍵を決定するステップと、をさらに含み、
前記目標鍵情報は前記更新後の前記第2UEの第1鍵を指示するためのものであり、及び/又は
前記ネットワーク側機器は第1UEから第1鍵情報を受信した後、
前記ネットワーク側機器は第1条件を満たす場合に、目標UEに第4鍵情報を送信するステップをさらに含み、
前記目標UEは第1UE又は第2UEを含み、前記第4鍵情報は前記更新後の前記第2UEの第1鍵を指示するためのものである、
鍵取得方法。
【請求項9】
ネットワーク側機器に第1鍵情報を送信するための送信モジュールを備え、前記第1鍵情報は第2ユーザ機器UEの第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものであり、前記第1鍵は、第1ユーザ機器UEが前記第2UEから取得するものであり、又は前記第1UEが目標情報と入力パラメータに基づいて計算するものであり、又は前記第1UEが前記第2UEから受信される鍵要求に応じて決定するものであり、前記目標情報は第1情報又は前記第1UEのセキュリティ鍵を含み、前記第1情報は前記第1UEと前記第2UEに保存されている同じパラメータ又は関連パラメータであり、前記入力パラメータは、目標パラメータ、前記第2UEが位置するセルのPCI、前記第2UEが位置するセルの周波数ポイント情報、前記第2UEの機器情報のうちの少なくとも1つを含み、前記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含み、
前記鍵要求は前記第1UEのセキュリティ鍵を用いて前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである、
鍵取得装置。
【請求項10】
第1UEから第1鍵情報を受信するための受信モジュールを備え、前記第1鍵情報は第2UEの第1鍵を指示するためのものであり、前記第2UEの第1鍵は前記第2UEが鍵取得装置と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものであり、
前記鍵取得装置は、決定モジュールをさらに備え、
前記決定モジュールは、目標鍵情報に基づいて、更新後の前記第2UEの第1鍵を決定するために用いられ、前記目標鍵情報は、更新後の前記第2UEの第1鍵を指示するためのものである、
鍵取得装置。
【請求項11】
プロセッサと、メモリと、前記メモリに記憶され、前記プロセッサによって実行可能なプログラムもしくは命令とを備え、前記プログラムもしくは命令が前記プロセッサによって実行されると、請求項1から請求項7のいずれか1項に記載の鍵取得方法のステップが実現されることを特徴とする、UE。
【請求項12】
プロセッサと、メモリと、前記メモリに記憶され、前記プロセッサによって実行可能なプログラムもしくは命令とを備え、前記プログラムもしくは命令が前記プロセッサによって実行されると、請求項8に記載の鍵取得方法のステップが実現される、ネットワーク側機器。
【請求項13】
プログラムもしくは命令が記憶されており、前記プログラムもしくは命令がプロセッサによって実行されると、請求項1から請求項8のいずれか1項に記載の鍵取得方法のステップが実現されることを特徴とする、可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本願は通信技術分野に関し、特に、鍵取得方法、装置、ユーザ機器及びネットワーク側機器に関する。
【背景技術】
【0002】
現在、ユーザ機器(User Equipment,UE)とネットワーク側機器との間でデータ伝送を行う際に、UEとネットワーク側機器間のデータ伝送のセキュリティを高めるために、セキュリティ機能をオン又はアクティブにし、例えば、セキュリティ鍵に基づいて伝送データの暗号化/復号及び完全性保護/検査等のセキュリティ動作を実行することができる。一般に、セキュリティ上の理由から、セキュリティ鍵はエアインタフェースを介して伝送されず、ネットワーク側機器とUEがローカルに記憶された情報に基づいて導出して取得する必要がある。
【0003】
しかし、一部のUEはセキュリティ鍵を直接導出できない(例えば、SIMカードの欠如、UE能力は計算をサポートしていない等)、又は自UEによりネットワーク側機器で同じセキュリティ鍵を導出できないため、UEとネットワーク側機器間のデータに対するセキュリティ保護ができない。
【0004】
そこで、このようなUEはネットワーク側機器とのデータ伝送を必要とする場合、これらのデータの伝送セキュリティは保証できず、さらにUEとネットワーク側機器間のデータ伝送の信頼性が低くなってしまう。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本願の実施例の目的は、一部のUEがセキュリティ鍵を取得できない、又は自UEによりネットワーク側機器で同じセキュリティ鍵を導出できないことにより、データ伝送の信頼性が低くなるという問題を解決可能な、鍵取得方法、装置、ユーザ機器及びネットワーク側機器を提供することである。
【課題を解決するための手段】
【0006】
上記技術問題を解決するために、本願は、次のように実現される。
【0007】
第1側面において、第1UEに応用され、ネットワーク側機器に第1鍵情報を送信するステップを含み、前記第1鍵情報は第2UEの第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得方法を提供する。
【0008】
第2側面において、ネットワーク側機器に第1鍵情報を送信するための送信モジュールを備え、前記第1鍵情報は第2ユーザ機器UEの第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得装置を提供する。
【0009】
第3側面において、第2UEに応用され、第1UEにプロキシ要求を送信するステップと、第1UEからフィードバックされたプロキシ応答を受信すると、前記第1UEに目標鍵情報を送信すると、を含み、前記プロキシ要求は前記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、前記プロキシ応答は前記第1UEが前記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、前記目標鍵情報は前記第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得方法を提供する。
【0010】
第4側面において、第1UEにプロキシ要求を送信するための送信モジュールを備え、前記送信モジュールはさらに、第1UEからフィードバックされたプロキシ応答を受信すると、前記第1UEに目標鍵情報を送信するために用いられ、前記プロキシ要求は前記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、前記プロキシ応答は前記第1UEが前記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、前記目標鍵情報は前記第1鍵を指示するためのものであり、前記第1鍵は前記第2UEが前記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得装置を提供する。
【0011】
第5側面において、ネットワーク側機器に応用され、第1UEから第1鍵情報を受信するステップを含み、上記第1鍵情報は第2UEの第1鍵を指示するためのものであり、上記第2UEの第1鍵は上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得方法を提供する。
【0012】
第6側面において、第1UEから第1鍵情報を受信するための受信モジュールを備え、上記第1鍵情報は第2UEの第1鍵を指示するためのものであり、上記第2UEの第1鍵は上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである、鍵取得装置を提供する。
【0013】
第7側面において、プロセッサと、メモリと、前記メモリに記憶され、前記プロセッサによって実行可能なプログラムもしくは命令とを備え、前記プログラムもしくは命令が前記プロセッサによって実行されると、第1側面又は第3側面に記載の方法のステップが実現される、UEを提供する。
【0014】
第8側面において、プロセッサと、メモリと、前記メモリに記憶され、前記プロセッサによって実行可能なプログラムもしくは命令とを備え、前記プログラムもしくは命令が前記プロセッサによって実行されると、第5側面に記載の方法のステップが実現される、ネットワーク側機器を提供する。
【0015】
第9側面において、プログラムもしくは命令が記憶されており、前記プログラムもしくは命令がプロセッサによって実行されると、第1側面又は第3側面又は第5側面に記載の方法のステップが実現される、可読記憶媒体を提供する。
【0016】
第10側面において、プロセッサ及び通信インタフェースを備え、前記通信インタフェースと前記プロセッサが結合され、前記プロセッサはネットワーク側機器プログラムもしくは命令を実行して、第1側面に記載の方法を実現するか又は第3側面に記載の方法を実現するか又は第5側面に記載の方法を実現するために用いられる、チップを提供する。
【発明の効果】
【0017】
本願の実施例において、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第2UEは第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵の全部もしくは一部の情報を報告し、これにより第2UEは該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化/復号及び完全性保護/検査を行うことが可能になり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
【図面の簡単な説明】
【0018】
【図1】本願の実施例で提供される可能な一通信システム構成の模式図である。
【図7】本願の実施例で提供される通信機器のハードウェア構造模式図である。
【図8】本願の実施例で提供される端末のハードウェア構造模式図である。
【図9】本願の実施例で提供されるネットワーク側機器のハードウェア構造模式図である。
【発明を実施するための形態】
【0019】
以下において、本願の実施例における図面を参照しながら、本願の実施例における技術的解決手段を明確に、完全に説明し、当然ながら、説明される実施例は本願の実施例の一部であり、全ての実施例ではない。本願における実施例に基づき、当業者が創造的な労力を要することなく得られた他の全ての実施例は、いずれも本願の保護範囲に属するものとする。
【0020】
以下において、本願の実施例の関連用語を説明する。
【0021】
1、ASセキュリティメカニズム
LTE及びNRシステムにおいて、暗号化と完全性保護機能はそれぞれ、エアインタフェースを介してUEに伝送されるデータ及び/又はシグナリングを盗聴、改ざんから保護するためのものであり、具体的には、DRB、SRB又はそれらにベアラされる情報に対して暗号化及び/又は完全性保護を行うものである。LTE及びNRにおけるAS層の暗号化及び/又は完全性保護はいずれもPDCP層において実現され、RRC層はセキュリティパラメータやセキュリティアルゴリズムの構成、及びセキュリティ機能のアクティブ化を行うためのものである。
LTE及びNRシステムにおいて、暗号化と完全性保護機能はそれぞれ、エアインタフェースを介してUEに伝送されるデータ及び/又はシグナリングを盗聴、改ざんから保護するためのものであり、具体的には、DRB、SRB又はそれらにベアラされる情報に対して暗号化及び/又は完全性保護を行うものである。LTE及びNRにおけるAS層の暗号化及び/又は完全性保護はいずれもPDCP層において実現され、RRC層はセキュリティパラメータやセキュリティアルゴリズムの構成、及びセキュリティ機能のアクティブ化を行うためのものである。
【0022】
2、暗号化
暗号化プロセスは暗号化と復号を含む。送信側機器(下りは基地局、上りはUEである)は暗号化アルゴリズムを用いて鍵ストリームを生成し、鍵ストリームと平文を用いてビット毎の2進加算を行って暗号文を得る。上記鍵ストリームは、128bitの鍵(key)、32bitのCOUNT値、5bitのBEARER(無線ベアラ識別子)、1bitのDIRECTION(該情報の伝送方向が上りか下りかを指示するためのもの)、32bitのLENGTH(鍵ストリームの長さ)といった情報から構成されてもよい。受信側機器は暗号文を受信した後、同じ暗号化アルゴリズム及び他の4つの入力パラメータを用いて同じ鍵ストリームを生成し、鍵ストリーム及び暗号文を用いたビット毎の2進加算によって平文を得ることができる。
暗号化プロセスは暗号化と復号を含む。送信側機器(下りは基地局、上りはUEである)は暗号化アルゴリズムを用いて鍵ストリームを生成し、鍵ストリームと平文を用いてビット毎の2進加算を行って暗号文を得る。上記鍵ストリームは、128bitの鍵(key)、32bitのCOUNT値、5bitのBEARER(無線ベアラ識別子)、1bitのDIRECTION(該情報の伝送方向が上りか下りかを指示するためのもの)、32bitのLENGTH(鍵ストリームの長さ)といった情報から構成されてもよい。受信側機器は暗号文を受信した後、同じ暗号化アルゴリズム及び他の4つの入力パラメータを用いて同じ鍵ストリームを生成し、鍵ストリーム及び暗号文を用いたビット毎の2進加算によって平文を得ることができる。
【0023】
3、完全性保護
完全性保護アルゴリズムの入力パラメータは、128bitの鍵、32bitのCOUNT値、5bitのBEARER、1bitのDIRECTION、MESSAGE(伝送するメッセージ)、LENGTH(MESSAGEの長さ)がある。具体的に、完全性保護プロセスは図2を参照することができ、送信側機器は完全性保護アルゴリズムを用いて、一定長のメッセージ完全性検証コードMAC-I(例えばmessage authentication code for integrity)を出力し、伝送するメッセージに付加する。受信側機器は同じ完全性保護アルゴリズムと他の入力パラメータを用いてXMAC-Iを生成し、XMAC-IとMAC-Iを比較することでメッセージの完全性を検査し、同じであれば完全性検査が通過したとされ、同じでなければ失敗とされる。
完全性保護アルゴリズムの入力パラメータは、128bitの鍵、32bitのCOUNT値、5bitのBEARER、1bitのDIRECTION、MESSAGE(伝送するメッセージ)、LENGTH(MESSAGEの長さ)がある。具体的に、完全性保護プロセスは図2を参照することができ、送信側機器は完全性保護アルゴリズムを用いて、一定長のメッセージ完全性検証コードMAC-I(例えばmessage authentication code for integrity)を出力し、伝送するメッセージに付加する。受信側機器は同じ完全性保護アルゴリズムと他の入力パラメータを用いてXMAC-Iを生成し、XMAC-IとMAC-Iを比較することでメッセージの完全性を検査し、同じであれば完全性検査が通過したとされ、同じでなければ失敗とされる。
【0024】
4、鍵(key)
3GPP(登録商標)プロトコルにおいて、KRRCenc、KUPencはそれぞれSRB(又はRRCシグナリング)、DRB(又はユーザプレーンuser plane)を暗号化するために使用されるkeyである。KRRCint、KUPintはそれぞれSRB、DRBを完全性保護するために使用されるkeyである。基地局(eNB又はgNB)及びUEはいずれも中間鍵KeNB/KgNBに基づいてKRRCenc、KUPenc、KRRCint、KUPintを導出して、ASセキュリティを実行する必要がある。KeNB/KgNBはNAS層の鍵KASME/KAMFに基づいて導出されたものであり、KASME/KAMFはいずれも鍵Kからステップ・バイ・ステップで導出されたものであり、鍵KはSIMカードと認証センタに記憶されている。
3GPP(登録商標)プロトコルにおいて、KRRCenc、KUPencはそれぞれSRB(又はRRCシグナリング)、DRB(又はユーザプレーンuser plane)を暗号化するために使用されるkeyである。KRRCint、KUPintはそれぞれSRB、DRBを完全性保護するために使用されるkeyである。基地局(eNB又はgNB)及びUEはいずれも中間鍵KeNB/KgNBに基づいてKRRCenc、KUPenc、KRRCint、KUPintを導出して、ASセキュリティを実行する必要がある。KeNB/KgNBはNAS層の鍵KASME/KAMFに基づいて導出されたものであり、KASME/KAMFはいずれも鍵Kからステップ・バイ・ステップで導出されたものであり、鍵KはSIMカードと認証センタに記憶されている。
【0025】
5、その他の用語
本願の明細書及び特許請求の範囲における用語「第1」、「第2」等は、特定の順序又は先後順序を記述するためのものではなく、類似する対象を区別するためのものである。このように使用される用語は、本願の実施例がここで図示又は記述される以外の順序で実施できるように、適当な場合において互いに置き換えてもよく、且つ「第1」、「第2」等で区別される対象は通常1群であり、対象の数は限定されないことを理解すべきであり、例えば、第1対象は1つでも、複数でもよい。また、明細書及び特許請求の範囲における「及び/又は」は、接続される対象のうちの少なくとも1つを意味し、符号の「/」は、一般的には前後の関連対象が「又は」という関係にあることを意味する。
本願の明細書及び特許請求の範囲における用語「第1」、「第2」等は、特定の順序又は先後順序を記述するためのものではなく、類似する対象を区別するためのものである。このように使用される用語は、本願の実施例がここで図示又は記述される以外の順序で実施できるように、適当な場合において互いに置き換えてもよく、且つ「第1」、「第2」等で区別される対象は通常1群であり、対象の数は限定されないことを理解すべきであり、例えば、第1対象は1つでも、複数でもよい。また、明細書及び特許請求の範囲における「及び/又は」は、接続される対象のうちの少なくとも1つを意味し、符号の「/」は、一般的には前後の関連対象が「又は」という関係にあることを意味する。
【0026】
以下において、本願の実施例で提供される鍵取得の解決手段に関連する通信システムを説明する。
【0027】
指摘しておきたいのは、本願の実施例に記載される技術は、ロングタームエボリューション(Long Term Evolution,LTE)/LTEの進化型(LTE-Advanced,LTE-A)システムに限定されず、符号分割多元接続(Code Division Multiple Access,CDMA)、時分割多元接続(Time Division Multiple Access,TDMA)、周波数分割多元接続(Frequency Division Multiple Access,FDMA)、直交周波数分割多元接続(Orthogonal Frequency Division Multiple Access,OFDMA)、シングルキャリア周波数分割多元接続(Single-carrier Frequency-Division Multiple Access,SC-FDMA)及び他のシステム等の他の無線通信システムにおいて使用されてもよい点である。本願の実施例における用語「システム」及び「ネットワーク」は、しばしば、互換的に使用され得る。記載された技術は、上記で言及されたシステム及びラジオ技術に使用され得ると共に、他のシステム及びラジオ技術にも使用され得る。しかしながら、以下の説明は例示を目的にニューラジオ(New Radio,NR)システムについて説明し、以下の説明の多くにおいてNR用語が使用されるが、これらの技術は、例えば第6世代(6th Generation,6G)通信システムのようなNRシステムアプリケーション以外のアプリケーションにも適用され得る。
【0028】
図1は本願の実施例を応用可能な無線通信システムのブロック図を示す。無線通信システムは端末11とネットワーク側機器12を含む。
【0029】
上記端末11はプロキシされたUE及びプロキシUEを含む。プロキシされたUEはslave UE(SUEと略称)と称され、プロキシUEはmaster UE(MUEと略称)と称される。例示的に、上記SUEに対応する鍵keyはKsueと略称することができ、上記Ksueは一例に過ぎず、実際の適用には必要に応じて命名することができ、本願は鍵の名称を限定しない。
【0030】
上記端末11は端末機器又はUEと称されてもよく、端末11は、携帯電話、タブレットパソコン(Tablet Personal Computer)、ラップトップコンピュータ(Laptop Computer)もしくはノートパソコン、携帯情報端末(Personal Digital Assistant,PDA)、パームトップコンピュータ、ネットブック、ウルトラモバイルパーソナルコンピュータ(ultra-mobile personal computer,UMPC)、モバイルインターネット機器(Mobile Internet Device,MID)、ウェアラブル機器(Wearable Device)もしくは車載機器(VUE)、歩行者端末(PUE)等の端末側機器であってよく、ウェアラブル機器は、リストバンド、ヘッドフォン、メガネ等を含む。説明すべきことは、本願の実施例において端末11の具体的な種類が限定されない点である。ネットワーク側機器12は基地局又はコアネットワークであってもよい。基地局はノードB、進化型ノードB、アクセスポイント、トランシーバ基地局(Base Transceiver Station,BTS)、無線基地局、無線トランシーバ、基本サービスセット(Basic Service Set,BSS)、拡張サービスセット(Extended Service Set,ESS)、Bノード、進化型Bノード(eNB)、ホームBノード、ホーム進化型Bノード、WLANアクセスポイント、WiFiノード、送受信ポイント(Transmitting Receiving Point,TRP)又は当分野における他の何らかの適切な用語で呼ばれてもよく、同様な技術効果を達成することができれば、前記基地局は、特定の技術用語に限定されない。説明すべきことは、本願の実施例において、単にNRシステムにおける基地局を例にするが、基地局の具体的な種類が限定されない点である。
【0031】
以下において、図面を参照しながら、本願の実施例で提供される鍵取得方法を、具体的な実施例及びその応用シーンにより詳しく説明する。
【0032】
【0033】
ステップ201で、第1UEはネットワーク側機器に第1鍵情報を送信する。
【0034】
例示的に、上記第1鍵情報は第2UEの第1鍵を指示するためのものであり、上記第1鍵は第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。上記完全性保護とは、データを伝送又は記憶するプロセスにおいて、データが改ざんさらないことを保証する動作をいう。上記暗号化とは、データを伝送又は記憶するプロセスにおいて、データが盗聴さらないことを保証する動作をいう。
【0035】
例示的に、上記第1UEはプロキシUE(即ちMUE)であり、上記第2UEはプロキシされたUE(即ちSUE)である。
【0036】
例示的に、上記第2UEがネットワーク側機器と通信する際のデータは、ユーザプレーンのデータ(例えば1つ又は複数のサービスのサービスデータストリーム、又は1つ又は複数のベアラ上で伝送されるデータ)及び制御プレーンのシグナリングを含む。
【0037】
一例において、第2UEは上記第1鍵に基づいて第2UEがネットワーク側機器と通信する際のデータに対して完全性保護を行うと、ネットワーク側機器は上記第1鍵に基づいて第2UEがネットワーク側機器と通信する際のデータに対して完全性検証を行う。
【0038】
別の例において、第2UEは上記第1鍵に基づいて第2UEがネットワーク側機器と通信する際のデータに対して暗号化動作を行うと、ネットワーク側機器は上記第1鍵に基づいて第2UEがネットワーク側機器と通信する際のデータに対して復号動作を行う。
【0039】
例示的に、上記第1UEが第1鍵情報を送信する前に、第1UEをASセキュリティアクティブ化の状態にする必要がある。一般的に、第1UEのASセキュリティ機能がアクティブ化された後、ローカル及び/又はネットワーク側機器で第1UEのASセキュリティコンテキストが確立される。
【0040】
例示的に、暗号化プロセスについて、本願の実施例における暗号化プロセスの暗号化アルゴリズムはネットワークによりUEに構成されたものであり、鍵ストリームの5つの入力パラメータのうちのCOUNT、BEARER、DIRECTION、LENGTHは現在のデータから取得することができ、128bitのkeyはネットワーク側機器とUEが一定のルールで導出されたものであり、セキュリティ上の理由から、エアインタフェースを介して伝送されない。
【0041】
例示的に、完全性保護プロセスについて、本願の実施例における完全性保護アルゴリズムはネットワーク側機器によりUEに構成されたものであり、鍵ストリームの5つの入力パラメータのうちのCOUNT、BEARER、DIRECTION、LENGTH、MESSAGEは現在のデータから取得することができ、128bitのkeyはネットワーク側機器とUEが一定のルールで導出されたものであり、セキュリティ上の理由から、エアインタフェースを介して伝送されない。
【0042】
本願の実施例で提供される鍵取得方法では、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第2UEは第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告/ネゴシエーションし、これにより第2UEは該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
【0043】
本願の実施例において、第1UEは少なくとも以下の3つの鍵取得方式で第2UEの第1鍵を取得することができる。
【0044】
第1の可能な実施形態において、
選択的に、本願の実施例において、第2UEは該第2UEのセキュリティ鍵を生成する能力を有するが、ネットワーク側機器にセキュリティに指示することができない場合、第2UEは第1UEを介して第2UEのセキュリティ鍵をネットワーク側機器に指示することができる。
選択的に、本願の実施例において、第2UEは該第2UEのセキュリティ鍵を生成する能力を有するが、ネットワーク側機器にセキュリティに指示することができない場合、第2UEは第1UEを介して第2UEのセキュリティ鍵をネットワーク側機器に指示することができる。
【0045】
例示的に、上記ステップ201の前に、本願の実施例で提供される鍵取得方法は、
第1UEは第2UEから該第2UEの第1鍵の全部もしくは一部の情報を取得するステップ201aを含んでもよい。
第1UEは第2UEから該第2UEの第1鍵の全部もしくは一部の情報を取得するステップ201aを含んでもよい。
【0046】
例示的に、上記第2UEの第1鍵は第2UEにより自ら生成したものであってもよい。
【0047】
例示的に、第2UEは第1UEに該第2UEの第1鍵を送信する際に、第2UEは該第1鍵の全ての情報を第1UEに送信することを選択してもよく、該第1鍵の一部の情報を第1UEに送信することを選択してもよい(第1UEは該一部の情報に基づいて完全な第1鍵を導出又は取得することができる)。
【0048】
さらに選択的に、本願の実施例において、上記第1鍵情報は、上記第2UEの第1鍵の全部もしくは一部の情報を含むか、又は上記第2UEの第1鍵の全部もしくは一部の情報及び上記第2UEのUE識別子を含む。なお、本願の実施例における第2UEのUE識別子はネットワーク側機器によって予めSUEに割り当て/記憶されたUE識別子であることに注意すべきである。
【0049】
例示的に、上記UE識別子は、国際移動加入者識別番号(International Mobile Subscriber Identification Number,IMSI)、ネットワークアクセス識別子(Network Access Identifier,NAI)、SUPI(Subscription permanent identifier)、SUCI(Subscription Concealed Identifier)、5Gのグロバルに唯一の一時的UE識別子(5G Globally Unique Temporary UE Identity,5G GUTI)、GUTI(Globally Unique Temporary UE Identity)、S-TMSI、ng-S-TMSI、5G TMSI、TMSI、C-RNTI、TC-RNTI、I-RNTI、fullI-RNTIのうちの少なくとも1つを含んでもよい。一例において、上記UE識別子はC-RNTI、TC-RNTI、I-RNTI、fullI-RNTI等の識別子の一部(例えばshort I-RNTI)であってもよい。
【0050】
選択的に、本願の実施例において、特定のシーンでは、セキュリティの問題により、エアインタフェースを介して第2UEの第1鍵を伝送することができず、したがって、第1UEは第2UEに関連する情報を用いて第2UEの第1鍵を算出することができる。
【0051】
例示的に、上記ステップ201の前に、本願の実施例で提供される鍵取得方法は、
第1UEは目標情報と入力パラメータに基づいて、上記第2UEの第1鍵を計算するステップ201bを含んでもよい。
第1UEは目標情報と入力パラメータに基づいて、上記第2UEの第1鍵を計算するステップ201bを含んでもよい。
【0052】
上記目標情報は、第1情報又は上記第1UEのセキュリティ鍵を含む。
【0053】
例示的に、上記第1情報は上記第1UEと上記第2UEに保存されている同じパラメータ又は関連パラメータであり、例えば、MUEとSUEが同一のメーカに属する場合のメーカ識別番号のようなMUEとSUEのいずれにも保存されている1ないし複数の同じ又は関連するパラメータである。
【0054】
例示的に、上記第1UEのセキュリティ鍵は、第1サブ鍵、第2サブ鍵のうちの少なくとも1つを含む。上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、つまり上記第1サブ鍵は第1UEと第1アクセスネットワーク要素間の伝送に用いられる。上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵であり、つまり上記第2サブ鍵は第1UEと第2アクセスネットワーク要素間の伝送に用いられる。なお、上記第1サブ鍵又は上記第2サブ鍵はルート鍵と呼ばれてもよく、KeNB、KgNB、AS(アクセス層)セキュリティ鍵等と呼ばれてもよいことに注意すべきである。
【0055】
一例において、第1UEと第2UEが二重接続のシーンにある場合、上記第1アクセスネットワーク要素はマスタ基地局であってもよく、つまり、上記第1サブ鍵は第1UEとマスタ基地局間のセキュリティ伝送に用いられ得、これに応じて、上記第2アクセスネットワーク要素はセカンダリ基地局であってもよく、つまり、上記第2サブ鍵は第1UEとセカンダリ基地局間のセキュリティ伝送に用いられ得る。
【0056】
例示的に、上記入力パラメータは、目標パラメータ、上記第2UEが位置するセルのPCI、上記第2UEが位置するセルの周波数ポイント情報、上記第2UEの機器情報のうちの少なくとも1つを含む。上記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含む。一例において、上記カウンタはSue-counterであり、Ksueを初回計算時に、Sue-counter値は0であり、計算後、Sue-counter値は1になり、且つ以降Ksueが計算される度にインクリメントされる。MUEのkeyが更新されると、Sue-counterの値はリセットされる。なお、本願の実施例はカウンタの名称について限定しないことに注意すべきである。
【0057】
なお、上記目標パラメータは第1鍵のランダム性を一定程度増大させることができ、これにより第1鍵は更新でき、第1鍵のセキュリティが向上することに注意すべきである。一例において、上記カウンタは上記第1鍵が取得された回数に応じてインクリメントすることができる。
【0058】
さらに選択的に、本願の実施例において、上記目標情報は上記第1情報である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、上記第1情報のうちの少なくとも1つを含む。上記目標情報は上記セキュリティ鍵である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、第1指示情報のうちの少なくとも1つを含む。上記第1指示情報は、上記セキュリティ鍵を用いて上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである。
【0059】
選択的に、本願の実施例において、特定のシーンでは、セキュリティの問題により、エアインタフェースを介して第2UEの第1鍵を伝送することができず、したがって、第1UEは該第1UEのセキュリティ鍵を第2UEのために再利用可能である。
【0060】
例示的に、上記ステップ201の前に、本願の実施例で提供される鍵取得方法は以下のステップ201c1とステップ201c2を含んでもよい。
【0061】
ステップ201c1で、第1UEは第2UEから鍵要求を受信する。
【0062】
上記鍵要求は、上記第1UEのセキュリティ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである。上記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵であり。例示的に、二重接続のシーンにおいて、MUEはSCGのセキュリティ鍵をSUEのために再利用可能である。
【0063】
ステップ201c2で、第1UEは上記鍵要求に応じて、上記第2サブ鍵を上記第2UEの第1鍵とする。
【0064】
さらに選択的に、本願の実施例において、上記第1鍵情報は、第2指示情報、上記第2UEのUE識別子のうちの少なくとも1つを含む。上記第2指示情報は、上記第1サブ鍵又は上記第2サブ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである。
【0065】
選択的に、本願の実施例において、図3に示すように、上記ステップ201の前に、本願の実施例で提供される鍵取得方法は、
第2UEは第1UEにプロキシ要求を送信するステップA1と、
第1UEは上記第2UEからプロキシ要求を受信するステップA2と、
第1UEは上記第2UEにプロキシ応答を送信するステップA3と、
第2UEは第1UEからフィードバックされたプロキシ応答を受信すると、第2UEは上記第1UEに目標鍵情報を送信するステップA4と、を含んでもよい。
第2UEは第1UEにプロキシ要求を送信するステップA1と、
第1UEは上記第2UEからプロキシ要求を受信するステップA2と、
第1UEは上記第2UEにプロキシ応答を送信するステップA3と、
第2UEは第1UEからフィードバックされたプロキシ応答を受信すると、第2UEは上記第1UEに目標鍵情報を送信するステップA4と、を含んでもよい。
【0066】
上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものである。上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものである。上記目標鍵情報は上記第2UEの第1鍵を指示するためのものである。上記第1鍵は、上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
【0067】
例示的に、上記目標鍵情報は、上記第1鍵の全部もしくは一部の情報、又は、鍵要求を含む。上記鍵要求は、上記第1UEのセキュリティ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである。上記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。
【0068】
さらに選択的に、本願の実施例において、上記ステップA1の前に、本願の実施例で提供される鍵取得方法は、
第1UEは第2情報を送信するステップB1と、
第2UEは上記第1UEから第2情報を受信するステップB2と、を含んでもよい。上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
第1UEは第2情報を送信するステップB1と、
第2UEは上記第1UEから第2情報を受信するステップB2と、を含んでもよい。上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
【0069】
一例において、第1UEは第2情報をブロードキャストして、他のUEのセキュリティプロセスをプロキシする能力を有することを近くのUEに通知する。第2UEはセキュリティ鍵取得の能力を有さないため、第2UEは該第2情報を受信した後、第1UEにプロキシ要求を送信して、第1UEがネットワーク側機器に該第1UEのセキュリティ鍵を渡すことを要求する。つまり、上記プロキシ要求は、第2UEが第1UEによりブロードキャストされる第2情報を受信した後に開始される要求であってもよい。
【0070】
別の例において、SUEはプロキシ要求を近くのUE(近くのUEはMUEを含む)にブロードキャストし、MUEはSUEのプロキシ要求を受信すると、SUEにフィードバック情報を送信して、セキュリティ鍵のプロキシ要求を受け付けたことをSUEに通知し、さらにセキュリティ鍵のプロキシを完了する。
【0071】
選択的に、本願の実施例において、上記ステップ201の後、本願の実施例で提供される鍵取得方法は、
第1UEは上記第2UEに上記第1鍵情報を送信するステップC1と、
第2UEは上記第1UEから第1鍵情報を受信するステップC2と、を含んでもよい。
第1UEは上記第2UEに上記第1鍵情報を送信するステップC1と、
第2UEは上記第1UEから第1鍵情報を受信するステップC2と、を含んでもよい。
【0072】
上記第1鍵情報は第2UEの第1鍵を指示するためのものである。
【0073】
例示的に、第1UEと第2UEとの間で鍵情報を渡す際には暗号化動作を使用することができ、例えば、第1UEと第2UEとの間のインタフェースプロトコルのセキュリティ暗号化方法、アプリケーション層暗号化、非3GPP暗号化等を使用することができる。
【0074】
本願の実施例において、第2UEの第1鍵に変更が生じ又は変更が必要になる場合、第1UE、第2UE及びネットワーク側機器のいずれも鍵更新フローを開始することができる。
【0075】
選択的に、本願の実施例において、第1UEにより鍵更新フローを開始するプロセスについて、上記ステップ201の後、本願の実施例で提供される鍵取得方法は、
第1条件を満たす場合に、第1UEは上記ネットワーク側機器及び/又は第2UEに第2鍵情報を送信するステップD1を含んでもよい。上記第2鍵情報は更新後の第1鍵を指示するためのものである。
第1条件を満たす場合に、第1UEは上記ネットワーク側機器及び/又は第2UEに第2鍵情報を送信するステップD1を含んでもよい。上記第2鍵情報は更新後の第1鍵を指示するためのものである。
【0076】
上記第1条件は、第2UEの第1鍵の変更、該第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。例示的に、上記該第2UEの第1鍵を計算するための情報は上述した第1鍵を計算するための全部もしくは一部の情報であってもよく、例えば、第1UEのセキュリティ鍵、上記入力パラメータ、目標情報、鍵要求等であってもよい。
【0077】
例示的に、入力パラメータのカウンタについて、上記該第2UEの第1鍵を計算するための情報の変更は、Sue-counter wrap around(即ちカウンタによるカウントが最大値を上回ったら0からカウントする)の場合、第2UEの任意のSRB又はDRBのアップリンクもしくはダウンリンクのPDCP COUNT値がまもなく境界値になる場合を含む。例示的に、Sue-counter wrap aroundの場合、第1UEのセキュリティ鍵又は第1情報を更新する必要がある。具体的に、鍵ストリームの5つのパラメータの1つである上記PDCP COUNTの値は境界値になると、0からカウントが再開し、この場合、他の4つのパラメータの値を変化しないと、UEは送信が異なる伝送プロセスにおいて同じ鍵を使用して、セキュリティではない問題になることがあり、この場合は新しい鍵を改めて生成して、データのセキュリティを保証する必要があるう。
【0078】
例示的に、上記第1UEは新しい第1鍵又は第1鍵の変化量を算出した後、新しい第1鍵又は第1鍵の変化量又は第1鍵を計算するための関連パラメータをネットワーク側機器に通知する。上記第1鍵の変化量は、新第1鍵と旧第1鍵の間の差異(例えばsue-counter値の変化量や、SUEが位置するPCIの変化量、周波数ポイント情報の変化量)であってもよく、更新後の入力パラメータ(例えば新しいsue-counter値、SUEが最後に位置したPCI、周波数ポイント情報)であってもよく、変更された目標情報(例えば、第1鍵を計算するための目標情報として第2サブ鍵を使用することは、第1鍵を計算するための目標情報として第1サブ鍵を使用することに変更された)であってもよく、変更された鍵要求(例えば、第1鍵として第2サブ鍵を使用することは、第1鍵として第1サブ鍵を使用することに変更された)であってもよい。ネットワーク側機器とSUEは取り決めた方法で新しい第1鍵を生成する。
【0079】
選択的に、本願の実施例において、第2UEにより鍵更新フローを開始するプロセスについて、上記ステップ201の後、本願の実施例で提供される鍵取得方法は、
第1条件を満たす場合に、第2UEはネットワーク側機器に第3鍵情報を送信するステップE1を含んでもよい。上記第3鍵情報は更新後の第1鍵を指示するためのものである。
第1条件を満たす場合に、第2UEはネットワーク側機器に第3鍵情報を送信するステップE1を含んでもよい。上記第3鍵情報は更新後の第1鍵を指示するためのものである。
【0080】
上記第1条件は、第2UEの第1鍵の変更、該第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。例示的に、上記該第2UEの第1鍵を計算するための情報は上述した第1鍵を計算するための全部もしくは一部の情報であってもよく、例えば、第1UEのセキュリティ鍵、上記入力パラメータ、第1情報等であってもよい。
【0081】
例示的に、第2UEは直接又は第1UEを介してネットワーク側機器に上記第3鍵情報を送信することができる。
【0082】
例示的に、SUEは、新しい第1鍵又は第1鍵の変化量又は更新された入力パラメータ又は更新された目標情報をネットワーク側機器に通知することができる(SUEのエアインタフェース又はMUEを介してネットワーク側機器に転送する)。第1鍵の変化量は、新第1鍵と旧第1鍵の間の差異(例えばsue-counter値の変化量や、SUEが位置するPCIの変化量、周波数ポイント情報の変化量)であってもよく、更新後の入力パラメータ(例えば新しいsue-counter値、SUEが最後に位置したPCI、周波数ポイント情報)であってもよく、変更された目標情報(例えば、第1鍵を計算するための目標情報として第2サブ鍵を使用することは、第1鍵を計算するための目標情報として第1サブ鍵を使用することに変更された)であってもよく、変更された鍵要求(例えば、第1鍵として第2サブ鍵を使用することは、第1鍵として第1サブ鍵を使用することに変更された)であってもよい。ネットワーク側機器とSUEは取り決めた方法で新しい第1鍵を生成する。
【0083】
本願の実施例で提供される鍵取得方法の手順模式図である図2を参照し、ネットワーク側機器側について、該鍵取得方法は、
ネットワーク側機器は第1UEから第1鍵情報を受信するステップ202を含んでもよい。
ネットワーク側機器は第1UEから第1鍵情報を受信するステップ202を含んでもよい。
【0084】
上記第1鍵情報は第2UEの第1鍵を指示するためのものである。上記第2UEの第1鍵は第2UEが前記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。なお、上記第1鍵情報についての説明は上記記載を参照すればよく、ここでは詳細な説明を省略することに注意すべきである。
【0085】
選択的に、本願の実施例において、ネットワーク側機器は第1UE又は第2UEから送信した目標鍵情報を受信した後、第2UEの更新後の第1鍵を取得することができる。例示的に、上記ステップ202の後、該方法は、
ネットワーク側機器は目標UEから目標鍵情報を受信するステップ301a1と、
ネットワーク側機器は目標鍵情報に基づいて、更新後の第2UEの第1鍵を決定するステップ301a2と、をさらに含んでもよい。
ネットワーク側機器は目標UEから目標鍵情報を受信するステップ301a1と、
ネットワーク側機器は目標鍵情報に基づいて、更新後の第2UEの第1鍵を決定するステップ301a2と、をさらに含んでもよい。
【0086】
上記目標UEは第1UE又は第2UEを含む。上記目標鍵情報は更新後の第2UEの第1鍵を指示するためのものである。一例において、上記目標鍵情報は上記実施例における第2鍵情報又は第3鍵情報であってもよい。
【0087】
選択的に、本願の実施例において、ネットワーク側機器は第2UEの第1鍵を改めて計算することができ、つまり、ネットワーク側機器により鍵更新フローを開始するプロセスについて、例示的に、上記ステップ202の後、該方法は、
第1条件を満たす場合に、ネットワーク側機器は目標UEに第4鍵情報を送信するステップ301b1をさらに含んでもよい。
第1条件を満たす場合に、ネットワーク側機器は目標UEに第4鍵情報を送信するステップ301b1をさらに含んでもよい。
【0088】
上記目標UEは第1UE又は第2UEを含む。上記第4鍵情報は該更新後の第2UEの第1鍵を指示するためのものである。
【0089】
例示的に、上記第1条件は、第2UEの第1鍵の変更、該第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。例示的に、上記該第2UEの第1鍵を計算するための情報は上述した第1鍵を計算するための全部もしくは一部の情報であってもよく、例えば、第1UEのセキュリティ鍵、上記入力パラメータ、第1情報等であってもよい。
【0090】
例示的に、ネットワーク側機器は新しい第1鍵又は第1鍵の変化量を算出した後、新しい第1鍵又は第1鍵の変化量又は第1鍵を計算するための関連パラメータをSUEに通知する(SUEのエアインタフェース又はMUEを介してSUEに転送する)。上記第1鍵の変化量は、新第1鍵と旧第1鍵の間の差異(例えばsue-counter値の変化量や、SUEが位置するPCIの変化量、周波数ポイント情報の変化量)であってもよく、更新後の入力パラメータ(例えば新しいsue-counter値、SUEが最後に位置したPCI、周波数ポイント情報)であってもよく、変更された目標情報(例えば、第1鍵を計算するための目標情報として第2サブ鍵を使用することは、第1鍵を計算するための目標情報として第1サブ鍵を使用することに変更された)であってもよく、変更された鍵要求(例えば、第1鍵として第2サブ鍵を使用することは、第1鍵として第1サブ鍵を使用することに変更された)であってもよい。ネットワーク側機器とSUEは取り決めた方法で新しい第1鍵を生成する。
【0091】
選択的に、本願の実施例において、上記ステップ202の後、該方法は、
第2条件を満たす場合に、ネットワーク側機器は第2UEに第3情報を送信するステップ301c1と、
第2UEはネットワーク側機器から第3情報を受信するステップ301c2と、
第2UEはネットワーク側機器に応答情報をフィードバックするステップ301c3と、
ネットワーク側機器は第2UEから応答情報を受信するステップ301c4と、をさらに含んでもよい。
第2条件を満たす場合に、ネットワーク側機器は第2UEに第3情報を送信するステップ301c1と、
第2UEはネットワーク側機器から第3情報を受信するステップ301c2と、
第2UEはネットワーク側機器に応答情報をフィードバックするステップ301c3と、
ネットワーク側機器は第2UEから応答情報を受信するステップ301c4と、をさらに含んでもよい。
【0092】
上記第3情報は、第2UEのセキュリティをアクティブ化及び/又は該第2UEのセキュリティ鍵を確認するためのものである。上記応答情報は、第2UEのセキュリティがアクティブ化されたことを指示するためのものである。
【0093】
例示的に、上記第2条件は、第2UEがRRC接続状態に入ること、ネットワーク側機器が第2UEのセキュリティコンテキストを確立したこと、第2UEのダウンリンクデータが到着し且つセキュリティ状態がアクティブ化されていないことのうちの少なくとも1つを含む。
【0094】
こうして、ネットワーク側機器は第2UEの第1鍵を取得した後、後続で該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるように、第2UEのセキュリティ状態をアクティブ化することができ、さらに該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
【0095】
以下において、第1UEはMUEであり、第2UEはSUEであることを例にして、上述した複数種の鍵取得方式について例を挙げて説明する。
【0096】
例1では、SUEはSUEのkey(Ksueと略称)即ち上記第1鍵を生成する能力を有するが、ネットワークにセキュリティに指示することができず、この場合はMUEを介してネットワークに送信することができる。具体的に以下のステップを含む。
【0097】
ステップ1で、MUEのASセキュリティをアクティブ化し、gNBとのASセキュリティコンテキストが確立されている。
【0098】
ステップ2で、SUEはMUEを介してgNBにセキュリティ鍵を渡すことを要求する。
【0099】
選択的に、以下の2つの方式で要求することができる。
方式1で、SUEは、MUEによりブロードキャストされる情報(該情報はMUEが他のUEとネットワークのASセキュリティプロセスをプロキシできる能力を有することを指示する)を受信した後、要求を開始する。
方式2で、SUEは、セキュリティプロキシ要求を近くのUE(近くのUEはMUEを含む)にブロードキャストする。
方式1で、SUEは、MUEによりブロードキャストされる情報(該情報はMUEが他のUEとネットワークのASセキュリティプロセスをプロキシできる能力を有することを指示する)を受信した後、要求を開始する。
方式2で、SUEは、セキュリティプロキシ要求を近くのUE(近くのUEはMUEを含む)にブロードキャストする。
【0100】
ステップ3で、MUEはSUEのプロキシ要求を受信する。
【0101】
選択的に、MUEはSUEの要求を受信した後、フィードバック(例えばSUEの要求を受け付ける)を送信する。
【0102】
ステップ4で、SUEはKsueをMUEに送信する。SUEとMUEとの間の伝送は、例えば、非3GPP暗号化、アプリケーション層暗号化等の暗号化の方式を用いることができる。
【0103】
選択的に、SUEはSUE識別子も併せてMUEに送信する。SUEはgNBでRRC接続確立プロセスを開始し(自SUEのエアインタフェース又はMUEのエアインタフェースを介する)、原因値がセキュリティ鍵のネゴシエーションを確立し、SUEはMsg4を受信した後、msg2において取得されたC-RNTIをSUE識別子とする。MUEとSUEのプロキシネゴシエーションにおいて、MUEはgNBにより生成されたSUEのためのUE識別子を要求する。
【0104】
ステップ5で、MUEはKsueを受信した後、第1鍵情報をgNBに送信し、該第1鍵情報はKsueを含むか、又はKsue及びSUE識別子を含む。第1鍵情報はMUEのAS鍵を用いて暗号化及び/又は完全性保護を行うことができる。
【0105】
ステップ6で、gNBは第1鍵情報を受信した後、SUE識別子に基づいてSUEの識別情報を検証し、検証が成功した後、後続でSUEと通信する際のAS暗号化及び/又は完全性保護のためにKsueを保存することができる。
【0106】
ステップ7で、第1条件を満たす場合、gNBはSUEに第3情報(例えばSMC)を送信する。第3情報はASセキュリティをアクティブ化及び/又はASセキュリティ鍵を確認するためのものである。例示的に、上記第1条件は、SUEがRRC接続状態に入ること、GnbがSUEのASセキュリティコンテキストを確立したこと(コンテキストはSUEのセキュリティ鍵及び関連パラメータを含む)、SUEのダウンリンクデータが到着し且つASセキュリティがアクティブ化されていないことのうちの少なくとも1つを含む。
【0107】
ステップ8で、SUEは第3情報(自SUEのエアインタフェース又はMUEを介して転送される)を受信すると、ダウンリンクセキュリティはアクティブ化され、SUEはその中の情報を正しく復号した場合、gNBに応答を送信し、その後アップリンクセキュリティはアクティブ化される。
【0108】
例2では、特定のシーンにおいて、セキュリティ上の理由によりエアインタフェースを介してSUE keyを伝送できないことがあることから、セキュリティを保証するように、root keyとしてMUEのkeyを使用し、SUE counterのみをエアインタフェースを介して送信することができる。具体的には以下のステップを含む。
【0109】
ステップ1~3は例1と同様であり、ここでは詳細な説明を省略する。
【0110】
ステップ4で、MUEはMUE root key及びSUE関連パラメータ(即ち上記入力パラメータ)に基づいてKsueを計算する。MUE root keyは、KgNB、S-KgNB(即ちMUEのSCG伝送用の鍵)のいずれか1つ又は複数を含む。SUE関連パラメータは、カウンタ(例えばSue-counter)、SUEが位置するセルのPCI(物理セルID)、周波数ポイント情報、SUEの機器情報(例えばIMEI)等の情報の様々な組合せを含む。
【0111】
ステップ5で、MUEはMUEとSUEの間のインタフェースを介してKsueをSUEに指示する。MUEとSUEの間の情報伝達に暗号化メカニズムが使用されている場合は、例えばアプリケーション層暗号化、非3GPP暗号化メカニズムを使用する。
【0112】
ステップ6で、MUEはgNBに第1鍵情報を送信する。第1鍵情報はMUEのAS鍵を用いて暗号化及び/又は完全性保護を行う。第1鍵情報は、Ksue、SUE関連パラメータ、第1指示情報(KgNB又はS-KgNBを用いてKsueを計算することを指示する指示情報)、SUE識別子のうちの少なくとも1つを含む。
【0113】
ステップ6で、gNBは第1鍵情報を受信した後、SUE識別子に基づいてSUEの識別情報を検証し、検証が成功した後、後続でSUEと通信する際のAS暗号化及び/又は完全性保護のためにKsueを保存する。
【0114】
ステップ7~8は例1のステップ7~8と同様であり、ここでは詳細な説明を省略する。
【0115】
説明すべきことは、本例において、プロキシ要求、SUE識別子、sue-counter値についての説明は、特に断りのない限り例1を参照することができ、ここでは詳細な説明を省略する点である。
【0116】
例3では、特定のシーンにおいて、セキュリティ上の理由によりエアインタフェースを介してSUE keyを伝送できないことがあることから、セキュリティを保証するように、SCGのkeyをSUEのために再利用することができる。具体的には以下のステップを含む。
【0117】
ステップ1で、MUEのASセキュリティをアクティブ化し、基地局とのASセキュリティコンテキストが確立されている。
【0118】
ステップ2で、SUEは、MUEのSCG keyを使用することを要求する。
【0119】
ステップ3で、MUEはSUEの要求を受信する。
【0120】
ステップ4で、MUEは生成された第2key(例えば、SCGの鍵S-KgNB)をKsueとしてSUEに送信する。MUEはS-KgNBをSUEに送信する際に、MUEとSUEの間の情報伝達の暗号化メカニズム、例えば、アプリケーション層暗号化、非3GPP暗号化メカニズムを使用する。
【0121】
選択的に、SUEに送信する前に、MUEはgNBに第4情報を送信してネットワークから返した確認情報を受信する。第4情報はSCG鍵を他のUE(SUE)に用いることを要求するためのものである。
【0122】
ステップ5で、MUEはgNBに第1鍵情報を送信する。第1鍵情報は、第2指示情報(MUEのSCG鍵をSUEに用いることを指示するための情報)、SUE識別子を含む。
【0123】
ステップ6で、gNBは第1鍵情報を受信した後、SUE識別子に基づいてSUEの識別情報を検証し、検証が成功した後、後続でSUEと通信する際のAS暗号化及び/又は完全性保護のためにS-KgNBを使用する。
【0124】
ステップ7~8は例1のステップ7~8と同様であり、ここでは詳細な説明を省略する。
【0125】
説明すべきことは、本例において、プロキシ要求、SUE識別子、sue-counter値についての説明は、特に断りのない限り例1を参照することができ、ここでは詳細な説明を省略する点である。
【0126】
例4では、MUEは該MUEとSUEに公知の1組のパラメータに基づいて、SUE keyを導出する。具体的には以下のステップを含む。
【0127】
ステップ1~3は例1と同様であり、ここでは詳細な説明を省略する。
【0128】
ステップ4で、MUEは目標情報と少なくとも1つの入力パラメータに基づいてKsueを計算する。目標情報はMUEとSUEのいずれにおいても保存されている1ないし複数の同じ又は関連するパラメータであり、例えば、同一のメーカの携帯電話、時計が有する識別番号である。上記入力パラメータは、Sue-counter、乱数、SUEのPCI、周波数ポイント等のうちの1つ又は複数を含む。
【0129】
ステップ5で、MUEはステップ4の1ないし複数の入力パラメータをSUEに指示し、SUEは目標情報と当該1組の入力パラメータに基づいてKsueを計算する。
【0130】
ステップ6で、MUEはgNBに第1鍵情報を送信する。該第1鍵情報は、Ksue、上記入力パラメータ、目標情報、SUE識別子のうちの少なくとも1つを含む。
【0131】
ステップ7で、gNBは第1鍵情報を受信した後、SUE識別子に基づいてSUEの識別情報を検証し、検証が成功した後、後続でSUEと通信する際のAS暗号化及び/又は完全性保護のためにKsueを保存/計算する。
【0132】
ステップ8で、Ksueに更新が必要になる場合、MUE又はSUEは、更新したKsue又はKsueを計算するための1ないし複数の入力パラメータだけをgNB及び/又はSUEに通知する。
【0133】
上記フローにおいて、SUEは、目標情報と1ないし複数の入力パラメータに基づいてKsueを算出し、Ksueを計算するための1ないし複数の入力パラメータをMUEに送信し、MUEを介してネットワーク側機器に転送してもよい。
【0134】
説明すべきことは、本例において、プロキシ要求、SUE識別子、sue-counter値についての説明は、特に断りのない限り例1を参照することができ、ここでは詳細な説明を省略する点である。
【0135】
例示的に、上記4つの例において、Ksueを計算するためのパラメータに変更が生じた場合、Ksueを更新する必要がある。一例において、第1条件を満たす場合、MUEはKsueを改めて計算する。次に、MUEは新しいKsue又はKsueを導出するのに必要な関連情報をgNBに通知する。別の例において、第1条件を満たす場合、SUEはKsueを改めて計算する。次に、SUEは新しいKsue又はKsueを導出するのに必要な関連情報をgNBに通知する(方式は上記4つの例を参照できる)。説明すべきことは、いずれの場合でも、SUEとgNBは新しいKsueについて、KRRCenc、KUPenc、KRRCint、KUPint鍵を改めて計算する点である。
【0136】
一例において、上記第1条件は、
KgNB、KeNB、S-KgNB、S-KeNBのうちの1つを用いて計算したKsueの値が変更した場合、
Sue-counter wrap around(最大値を上回ったら0からカウントする)の場合、
SUEのPCI、周波数ポイント情報が変更した場合、
SUEの任意のSRB又はDRBの上り/下りのPDCP COUNTs値がまもなく境界値になる場合、のうちの少なくとも1つを含む。
KgNB、KeNB、S-KgNB、S-KeNBのうちの1つを用いて計算したKsueの値が変更した場合、
Sue-counter wrap around(最大値を上回ったら0からカウントする)の場合、
SUEのPCI、周波数ポイント情報が変更した場合、
SUEの任意のSRB又はDRBの上り/下りのPDCP COUNTs値がまもなく境界値になる場合、のうちの少なくとも1つを含む。
【0137】
説明すべきことは、本願の実施例で提供される鍵取得方法の実行主体は鍵取得装置であってもよく、又は該鍵取得装置内の、鍵取得方法を実行するための制御モジュールであってもよく、該鍵取得装置はUEであってもよい点である。本願の実施例において、UEを例にして本願の実施例で提供される鍵取得方法を説明する。
【0138】
図4は本願の実施例で提供される鍵取得装置の構造模式図を示し、図4に示すように、該鍵取得装置は、ネットワーク側機器に第1鍵情報を送信するための送信モジュール401を備える。上記第1鍵情報は、第2UEの第1鍵を指示するためのものである。上記第1鍵は、上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
【0139】
選択的に、図4に示すように、該鍵取得装置は、上記第2UEから上記第2UEの第1鍵の全部もしくは一部の情報を取得するための取得モジュール402をさらに備える。
【0140】
選択的に、上記第1鍵情報は、上記第2UEの第1鍵の全部もしくは一部の情報を含むか、又は上記第2UEの第1鍵の全部もしくは一部の情報及び上記第2UEのUE識別子を含む。
【0141】
選択的に、図4に示すように、該鍵取得装置は、目標情報と入力パラメータに基づいて、上記第2UEの第1鍵を計算するための計算モジュール403をさらに備える。上記目標情報は、第1情報又は上記第1UEのセキュリティ鍵を含む。上記第1情報は、上記第1UEと上記第2UEに保存されている同じパラメータ又は関連パラメータである。上記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。上記入力パラメータは、目標パラメータ、上記第2UEが位置するセルのPCI、上記第2UEが位置するセルの周波数ポイント情報、上記第2UEの機器情報のうちの少なくとも1つを含む。上記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含む。
【0142】
選択的に、上記目標情報は上記第1情報である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、上記第1情報のうちの少なくとも1つを含む。又は、上記目標情報は上記セキュリティ鍵である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、第1指示情報のうちの少なくとも1つを含む。上記第1指示情報は、第1UEのセキュリティ鍵を用いて該第2UEの第1鍵を生成することを指示するためのものである。
【0143】
選択的に、図4に示すように、該鍵取得装置400は、受信モジュール404と処理モジュール405をさらに備える。受信モジュール404は、上記第2UEから鍵要求を受信するために用いられ、上記鍵要求は、上記第1UEの第2鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものであり、上記第2鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。処理モジュール405は、受信モジュール404が受信した上記鍵要求に応じて、上記第2鍵を上記第2UEの第1鍵とするために用いられる。
【0144】
選択的に、上記第1鍵情報は、第2指示情報、上記第2UEのUE識別子のうちの少なくとも1つを含む。上記第2指示情報は、第1UEのセキュリティ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである。
【0145】
選択的に、上記受信モジュール404はさらに、上記第2UEからプロキシ要求を受信するために用いられ、上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものである。上記送信モジュール401はさらに、上記第2UEにプロキシ応答を送信するために用いられ、上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものである。
【0146】
選択的に、上記送信モジュール401はさらに、第2情報を送信するために用いられ、上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
【0147】
選択的に、上記送信モジュール401はさらに、第1条件を満たす場合に、上記ネットワーク側機器又は第2UEに第2鍵情報を送信するために用いられ、上記第2鍵情報は更新後の第1鍵を指示するためのものである。
【0148】
選択的に、上記第1条件は、第2UEの第1鍵の変更、第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。
【0149】
選択的に、上記送信モジュール401はさらに、上記第2UEに上記第1鍵を送信するために用いられる。
【0150】
本願の実施例で提供される鍵取得装置は、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告し、これにより鍵取得装置は該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
【0151】
図5は本願の実施例で提供される鍵取得装置の構造模式図を示し、図5に示すように、該鍵取得装置は、第1UEにプロキシ要求を送信するための送信モジュール501を備える。送信モジュール501はさらに、第1UEからフィードバックされたプロキシ応答を受信すると、上記第1UEに目標鍵情報を送信するために用いられ、上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、上記目標鍵情報は、上記第1鍵を指示するためのものであり、上記第1鍵は、上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
【0152】
選択的に、上記目標鍵情報は、上記第1鍵の全部もしくは一部の情報、又は、鍵要求を含む。上記鍵要求は、上記第1UEの第2鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである。上記第2鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。
【0153】
選択的に、図5に示すように、該鍵取得装置500は、上記第1UEから第2情報を受信するための受信モジュール502をさらに備え、上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
【0154】
選択的に、送信モジュール501はさらに、第1条件を満たす場合に、ネットワーク側機器及び/又は上記第1UEに第3鍵情報を送信するために用いられ、上記第3鍵情報は更新後の第1鍵を指示するためのものである。
【0155】
選択的に、上記第1条件は、第2UEの第1鍵の変更、第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。
【0156】
選択的に、受信モジュール502はさらに、上記第1UEから第1鍵情報を受信するために用いられ、上記第1鍵情報は第2UEの第1鍵を指示するためのものである。
【0157】
選択的に、上記受信モジュール502はさらに、ネットワーク側機器から第3情報を受信するために用いられ、上記第3情報は、上記第2UEのセキュリティ状態をアクティブ化及び/又は上記第2UEのセキュリティ鍵を確認するためのものである。上記送信モジュール501はさらに、上記ネットワーク側機器に応答情報をフィードバックするために用いられ、上記応答情報は、上記第2UEのアップリンクセキュリティがアクティブ化されたことを指示するためのものである。
【0158】
本願の実施例で提供される鍵取得装置は、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第1UEが第2UEのプロキシとして送信した第1鍵情報を取得して、その中から第2UEのセキュリティ鍵を取得することができ、これにより鍵取得装置は該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
【0159】
図6は本願の実施例で提供される鍵取得装置の構造模式図を示し、図6に示すように、該鍵取得装置600は、第1UEから第1鍵情報を受信するための受信モジュール601を備え、上記第1鍵情報は、第2UEの第1鍵を指示するためのものであり、上記第2UEの第1鍵は、上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
【0160】
選択的に、図6に示すように、該鍵取得装置600は、決定モジュール602をさらに備える。上記受信モジュール601はさらに、目標UEから目標鍵情報を受信するために用いられ、上記目標UEは第1UE又は第2UEを含む。決定モジュール602は、上記目標鍵情報に基づいて、更新後の上記第2UEの第1鍵を決定するために用いられ、上記目標鍵情報は、上記更新後の上記第2UEの第1鍵を指示するためのものである。
【0161】
選択的に、図6に示すように、該鍵取得装置600は、第1条件を満たす場合に、目標UEに第4鍵情報を送信するための送信モジュール603をさらに備え、上記目標UEは第1UE又は第2UEを含み、上記目標鍵情報は、上記更新後の上記第2UEの第1鍵を指示するためのものである。
【0162】
選択的に、上記送信モジュール603はさらに、第2条件を満たす場合に、上記第2UEに第3情報を送信するために用いられる。上記受信モジュール601はさらに、上記第2UEから応答情報を受信するために用いられ、上記第3情報は、上記第2UEのセキュリティをアクティブ化及び/又は上記第2UEのセキュリティ鍵を確認するためのものであり、上記応答情報は、上記第2UEのセキュリティがアクティブ化されたことを指示するためのものであり、上記第2条件は、上記第2UEがRRC接続状態に入ること、上記ネットワーク側機器が上記第2UEのセキュリティコンテキストを確立したこと、上記第2UEのダウンリンクデータが到着し且つセキュリティ状態がアクティブ化されていないことのうちの少なくとも1つを含む。
【0163】
本願の実施例で提供される鍵取得装置は、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第2UEにプロキシ要求を送信することで、第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告することを要求し、これにより鍵取得装置は該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
【0164】
上記鍵取得装置は装置であってもよく、UE内のコンポーネント、集積回路、又はチップであってもよい。該装置は、携帯型の端末であっても、又は非携帯型の端末であってもよい。例示的に、携帯型の端末は上記に列挙した端末のタイプを含んでもよいが、これらに限定されない。非携帯型の端末は、サーバ、ネットワーク接続ストレージ(Network Attached Storage,NAS)、パーソナルコンピュータ(personal computer,PC)、テレビジョン(television,TV)、現金自動預払機又はキオスク等であってもよく、本願の実施例では具体的に限定しない。
【0165】
本願の実施例における鍵取得装置はオペレーティングシステムを有する装置であってもよい。該オペレーティングシステムはアンドロイド(登録商標)(Android(登録商標))オペレーティングシステムであってもよく、IOSオペレーティングシステムであってもよく、他の可能なオペレーティングシステムであってもよく、本願の実施例では具体的に限定しない。
【0166】
本願の実施例で提供される鍵取得装置は、方法実施例において実現される各プロセスを実現し、同様な技術効果を達成することができる。重複を避けるために、ここでは詳細な説明を省略する。
【0167】
選択的に、図7に示すように、本願の実施例は通信機器700をさらに提供する。該通信機器700は、プロセッサ701と、メモリ702と、メモリ702に記憶され、上記プロセッサ701によって実行可能なプログラムもしくは命令とを備え、例えば、該通信機器700は端末である場合、該プログラムもしくは命令がプロセッサ701によって実行されると、上記鍵取得方法実施例の各プロセスが実現され、同様な技術効果を達成することができる。該通信機器700はネットワーク側機器である場合、該プログラムもしくは命令がプロセッサ701によって実行されると、上記鍵取得方法実施例の各プロセスが実現され、同様な技術効果を達成することができる。重複を避けるために、ここでは詳細な説明を省略する。
【0168】
図8は本願の実施例を実現する端末のハードウェア構造模式図である。
【0169】
該端末100は、高周波ユニット101、ネットワークモジュール102、オーディオ出力ユニット103、入力ユニット104、センサ105、表示ユニット106、ユーザ入力ユニット107、インタフェースユニット108、メモリ109、及びプロセッサ110等の部材を含むが、それらに限定されない。
【0170】
当業者であれば、端末100は各部材に給電する電源(例えば、電池)をさらに含んでもよく、電源は電源管理システムによってプロセッサ110に論理的に接続し、さらに電源管理システムによって充放電の管理、及び電力消費管理等の機能を実現できることが理解可能である。図8に示す端末構造は端末を限定するものではなく、端末は図示より多く又はより少ない部材、又は一部の部材の組合せ、又は異なる部材配置を含んでもよく、ここでは説明を省略する。
【0171】
本願の実施例において、入力ユニット104は、ビデオキャプチャモード又は画像キャプチャモードで画像キャプチャ装置(例えば、カメラ)が取得したスチル画像又はビデオの画像データを処理するグラフィックスプロセッシングユニット(Graphics Processing Unit,GPU)1041、及びマイクロホン1042を含んでもよいことを理解すべきである。表示ユニット106は表示パネル1061を含んでもよく、液晶ディスプレイ、有機発光ダイオード等の形態で表示パネル1061を構成することができる。ユーザ入力ユニット107はタッチパネル1071及び他の入力機器1072を含む。タッチパネル1071はタッチスクリーンとも呼ばれる。タッチパネル1071は、タッチ検出装置及びタッチコントローラとの2つの部分を含んでもよい。他の入力機器1072は、物理キーボード、機能ボタン(例えば、音量制御ボタン、スイッチボタン等)、トラックボール、マウス、操作レバーを含んでもよいが、それらに限定されず、ここでは詳細な説明を省略する。
【0172】
本願の実施例において、高周波ユニット101はネットワーク側機器からのダウンリンクデータを受信した後、プロセッサ110で処理し、また、アップリンクのデータをネットワーク側機器に送信する。通常、高周波ユニット101は、アンテナ、少なくとも1つの増幅器、受送信機、カプラー、低騒音増幅器、デュプレクサ等を含むが、それらに限定されない。
【0173】
メモリ109は、ソフトウェアプログラムもしくは命令及び様々なデータを記憶するために用いることができる。メモリ109は、オペレーティングシステム、少なくとも1つの機能に必要なアプリケーションもしくは命令(例えば、音声再生機能、画像再生機能等)等を記憶可能なプログラムもしくは命令記憶領域と、データ記憶領域とを主に含んでもよい。また、メモリ109は、高速ランダムアクセスメモリを含んでもよく、非揮発性メモリをさらに含んでもよい。非揮発性メモリは、読み取り専用メモリ(Read-Only Memory,ROM)、プログラマブル読み取り専用メモリ(Programmable ROM,PROM)、消去可能プログラマブル読み取り専用メモリ(Erasable PROM,EPROM)、電気消去可能プログラマブル読み取り専用メモリ(Electrically EPROM,EEPROM)又はラッシュメモリであってもよく、例えば、少なくとも1つのディスク記憶装置、フラッシュメモリ、又は他の非揮発性ソリッドステート記憶装置である。
【0174】
プロセッサ110は、1つ又は複数の処理ユニットを含んでもよい。選択的に、プロセッサ110に、オペレーティングシステム、ユーザインタフェース及びアプリケーションもしくは命令等を主に処理するアプリケーションプロセッサと、無線通信を主に処理するベースバンドプロセッサのようなモデムプロセッサとを統合することができる。上記モデムプロセッサはプロセッサ110に統合されなくてもよいことが理解可能である。
【0175】
高周波ユニット101は、ネットワーク側機器に第1鍵情報を送信するために用いられ、上記第1鍵情報は第2UEの第1鍵を指示するためのものであり、上記第1鍵は上記第2UEが上記ネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
【0176】
選択的に、プロセッサ110は、上記第2UEから上記第2UEの第1鍵の全部もしくは一部の情報を取得するために用いられる。
【0177】
選択的に、上記第1鍵情報は、上記第2UEの第1鍵の全部もしくは一部の情報を含むか、又は上記第2UEの第1鍵の全部もしくは一部の情報及び上記第2UEのUE識別子を含む。
【0178】
選択的に、プロセッサ110はさらに、目標情報と入力パラメータに基づいて、上記第2UEの第1鍵を計算するために用いられる。上記目標情報は、第1情報又は上記第1UEのセキュリティ鍵を含む。上記第1情報は、上記第1UEと上記第2UEに保存されている同じパラメータ又は関連パラメータである。上記第1UEのセキュリティ鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。上記入力パラメータは、目標パラメータ、上記第2UEが位置するセルのPCI、上記第2UEが位置するセルの周波数ポイント情報、上記第2UEの機器情報のうちの少なくとも1つを含む。上記目標パラメータは、カウンタ、乱数、シーケンスのうちの少なくとも1つを含む。
【0179】
選択的に、上記目標情報は上記第1情報である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、上記第1情報のうちの少なくとも1つを含む。又は、上記目標情報は上記セキュリティ鍵である場合、上記第1鍵情報は、上記第1鍵、上記入力パラメータ、上記第2UEのUE識別子、第1指示情報のうちの少なくとも1つを含む。上記第1指示情報は、第1UEのセキュリティ鍵を用いて該第2UEの第1鍵を生成することを指示するためのものである。
【0180】
選択的に、高周波ユニット101は、上記第2UEから鍵要求を受信するために用いられ、上記鍵要求は、上記第1UEの第2鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものであり、上記第2鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。プロセッサ110は、上記鍵要求に応じて、上記第2鍵を上記第2UEの第1鍵とするために用いられる。
【0181】
選択的に、上記第1鍵情報は、第2指示情報、上記第2UEのUE識別子のうちの少なくとも1つを含む。上記第2指示情報は、第1UEのセキュリティ鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを指示するためのものである。
【0182】
選択的に、上記高周波ユニット101はさらに、上記第2UEからプロキシ要求を受信するために用いられ、上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものである。上記送信モジュール401はさらに、上記第2UEにプロキシ応答を送信するために用いられ、上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものである。
【0183】
選択的に、上記高周波ユニット101はさらに、第2情報を送信するために用いられ、上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
【0184】
選択的に、上記高周波ユニット101はさらに、第1条件を満たす場合に、上記ネットワーク側機器又は第2UEに第2鍵情報を送信するために用いられ、上記第2鍵情報は更新後の第1鍵を指示するためのものである。
【0185】
選択的に、上記第1条件は、第2UEの第1鍵の変更、第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。
【0186】
選択的に、上記高周波ユニット101はさらに、上記第2UEに上記第1鍵を送信するために用いられる。
【0187】
本願の実施例で提供されるUEは、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告し、これにより該UEは該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
【0188】
上記高周波ユニット101は、第1UEにプロキシ要求を送信するために用いられる。上記高周波ユニット101はさらに、第1UEからフィードバックされたプロキシ応答を受信すると、上記第1UEに目標鍵情報を送信するために用いられ、上記プロキシ要求は、上記第2UEのセキュリティプロセスのプロキシを要求するためのものであり、上記プロキシ応答は、上記第1UEが上記第2UEのセキュリティプロセスのプロキシを受け付けることを指示するためのものであり、上記目標鍵情報は上記第1鍵を指示するためのものであり、上記第1鍵は、上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うためのものである。
【0189】
選択的に、上記目標鍵情報は、上記第1鍵の全部もしくは一部の情報、又は、鍵要求を含む。上記鍵要求は、上記第1UEの第2鍵を用いて上記第2UEが上記ネットワークと通信する際のデータに対して暗号化及び/又は完全性保護を行うことを要求するためのものである。上記第2鍵は第1サブ鍵又は第2サブ鍵を含み、上記第1サブ鍵は第1アクセスネットワーク要素に関連する鍵であり、上記第2サブ鍵は第2アクセスネットワーク要素に関連する鍵である。
【0190】
選択的に、上記高周波ユニット101はさらに、上記第1UEから第2情報を受信するために用いられ、上記第2情報は、上記第1UEが他のUEのセキュリティプロセスをプロキシする能力を有することを指示するためのものである。
【0191】
選択的に、上記高周波ユニット101はさらに、第1条件を満たす場合に、ネットワーク側機器及び/又は上記第1UEに第3鍵情報を送信するために用いられ、上記第3鍵情報は更新後の第1鍵を指示するためのものである。
【0192】
選択的に、上記第1条件は、第2UEの第1鍵の変更、第2UEの第1鍵を計算するための情報の変更のうちの少なくとも1つを含む。
【0193】
選択的に、上記高周波ユニット101はさらに、上記第1UEから第1鍵情報を受信するために用いられ、上記第1鍵情報は第2UEの第1鍵を指示するためのものである。
【0194】
選択的に、上記高周波ユニット101はさらに、ネットワーク側機器から第3情報を受信するために用いられ、上記第3情報は、上記第2UEのセキュリティ状態をアクティブ化及び/又は上記第2UEのセキュリティ鍵を確認するためのものである。上記高周波ユニット101はさらに、上記ネットワーク側機器に応答情報をフィードバックするために用いられ、上記応答情報は、上記第2UEのアップリンクセキュリティがアクティブ化されたことを指示するためのものである。
【0195】
本願の実施例で提供されるUEは、エアインタフェースを介して伝送されるデータ及び/又はシグナリングに対する暗号化及び/又は完全性保護ができるように、第2UEにプロキシ要求を送信することで、第1UEを介してネットワーク側機器に第2UEのセキュリティ鍵を報告することを要求し、これにより該UEは該セキュリティ鍵を用いて該第2UEがネットワーク側機器と通信する際のデータに対して暗号化及び/又は完全性保護を行うことができるようになり、該第2UEとネットワーク側機器間の通信の信頼性が効果的に保証される。
【0196】
具体的に、本願の実施例はネットワーク側機器をさらに提供する。図9に示すように、該ネットワーク側機器900は、アンテナ901、高周波装置902及びベースバンド装置903を含む。アンテナ901は高周波装置902に接続される。アップリンク方向において、高周波装置902は、アンテナ901を介して情報を受信して、受信した情報をベースバンド装置903に送信して処理する。ダウンリンク方向において、ベースバンド装置903は、送信対象となる情報を処理し、高周波装置902に送信し、高周波装置902は、受信した情報を処理してからアンテナ901を介して送信する。
【0197】
上記帯域処理装置は、ベースバンド装置903内に位置してもよく、以上の実施例においてネットワーク側機器によって実行される方法はベースバンド装置903において実現することができ、該ベースバンド装置903はプロセッサ904及びメモリ905を含む。
【0198】
ベースバンド装置903は、例えば、少なくとも1つのベースバンドボードを含んでもよく、該ベースバンドボードに複数のチップが設置され、図9に示すように、そのうちの1つのチップは、例えば、メモリ905に接続され、メモリ905内のプログラムを呼び出して以上の方法実施例に示したネットワーク側機器の動作を実行するプロセッサ904である。
【0199】
該ベースバンド装置903は、高周波装置902と情報を交換するためのネットワークインタフェース906をさらに含んでもよく、該インタフェースは、例えば、共通公衆無線インタフェース(common public radio interface,CPRI)である。
【0200】
具体的に、本願の実施例のネットワーク側機器は、メモリ905に記憶され、プロセッサ904によって実行可能な命令もしくはプログラムをさらに備え、プロセッサ904はメモリ905内の命令もしくはプログラムを呼び出して図6に示す各モジュールにより実行される方法を実行して、同様な技術効果を達成することができる。重複を避けるために、ここでは詳細な説明を省略する。
【0201】
本願の実施例は可読記憶媒体をさらに提供する。上記可読記憶媒体には、プログラムもしくは命令が記憶されており、該プログラムもしくは命令がプロセッサによって実行されると、上記鍵取得方法実施例の各プロセスが実現され、同様な技術効果を達成することができる。重複を避けるために、ここでは詳細な説明を省略する。
【0202】
上記プロセッサは上記実施例に記載の端末内のプロセッサである。上記可読記憶媒体は、コンピュータ読み取り専用メモリ(Read-Only Memory,ROM)、ランダムアクセスメモリ(Random Access Memory,RAM)、磁気ディスク又は光ディスク等のコンピュータ可読記憶媒体を含む。
【0203】
本願の実施例はチップをさらに提供する。上記チップはプロセッサ及び通信インタフェースを備え、上記通信インタフェースと上記プロセッサが結合され、上記プロセッサはネットワーク側機器プログラムもしくは命令を実行して、上記鍵取得方法実施例の各プロセスを実現するために用いられ、同様な技術効果を達成することができる、重複を避けるために、ここでは詳細な説明を省略する。
【0204】
本願の実施例で言及したチップはシステムレベルチップ、システムチップ、チップシステム又はシステムオンチップ等と呼ばれてもよいことを理解すべきである。
【0205】
説明すべきことは、本明細書において、用語「含む」、「からなる」又はその他のあらゆる変形は、非排他的包含を含むように意図され、それにより一連の要素を含むプロセス、方法、物品又は装置は、それらの要素のみならず、明示されていない他の要素、又はこのようなプロセス、方法、物品又は装置に固有の要素をも含む点である。特に断らない限り、語句「1つの……を含む」により限定される要素は、該要素を含むプロセス、方法、物品又は装置に別の同じ要素がさらに存在することを排除するものではない。また、指摘すべきことは、本願の実施形態における方法及び装置の範囲は、図示又は検討された順序で機能を実行することに限定されず、係る機能に応じて実質的に同時に又は逆の順序で機能を実行することも含み得る点であり、例えば、説明されたものと異なる順番で、説明された方法を実行してもよく、さらに様々なステップを追加、省略、又は組み合わせてもよい。また、何らかの例を参照して説明した特徴は他の例において組み合わせられてもよい。
【0206】
以上の実施形態に対する説明によって、当業者であれば上記実施例の方法がソフトウェアと必要な共通ハードウェアプラットフォームとの組合せという形態で実現できることを明確に理解可能であり、当然ながら、ハードウェアによって実現してもよいが、多くの場合において前者はより好ましい実施形態である。このような見解をもとに、本願の技術的解決手段は実質的に又は従来技術に寄与する部分はソフトウェア製品の形で実施することができ、該コンピュータソフトウェア製品は、記憶媒体(例えばROM/RAM、磁気ディスク、光ディスク)に記憶され、端末(携帯電話、コンピュータ、サーバ、エアコン、又はネットワーク側機器等であってもよい)に本願の各実施例に記載の方法を実行させる複数の命令を含む。
【0207】
以上、図面を参照しながら本願の実施例を説明したが、本願は上記の具体的な実施形態に限定されず、上記の具体的な実施形態は例示的なものに過ぎず、限定的なものではなく、本願の示唆をもとに、当業者が本願の趣旨及び特許請求の保護範囲から逸脱することなくなし得る多くの形態は、いずれも本願の保護範囲に属するものとする。
〔関連出願の相互参照〕
〔関連出願の相互参照〕
【0208】
本出願は、2020年05月27日に中国で出願した中国特許出願番号202010463814.4の優先権を主張し、その全ての内容は引用によって本文に取り込まれる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
