知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-08-22
(45)【発行日】2024-08-30
(54)【発明の名称】AKMA認証サービスの拡張A-KID
(51)【国際特許分類】
H04W 12/06 20210101AFI20240823BHJP
H04W 12/04 20210101ALI20240823BHJP
H04W 12/69 20210101ALI20240823BHJP
H04L 9/08 20060101ALI20240823BHJP
H04L 9/32 20060101ALI20240823BHJP
【FI】
H04W12/06
H04W12/04
H04W12/69
H04L9/08 B
H04L9/32 100B
【請求項の数】
14
【外国語出願】
(21)【出願番号】P 2023048283
(22)【出願日】2023-03-24
(65)【公開番号】P2023147252
(43)【公開日】2023-10-12
【審査請求日】2023-05-24
(31)【優先権主張番号】202241018484
(32)【優先日】2022-03-29
(33)【優先権主張国・地域又は機関】IN
(73)【特許権者】
【識別番号】515076873
【氏名又は名称】ノキア テクノロジーズ オサケユイチア
(74)【代理人】
【識別番号】100094112
【弁理士】
【氏名又は名称】岡部 讓
(74)【代理人】
【識別番号】100106183
【弁理士】
【氏名又は名称】吉澤 弘司
(74)【代理人】
【識別番号】100114915
【弁理士】
【氏名又は名称】三村 治彦
(74)【代理人】
【識別番号】100125139
【弁理士】
【氏名又は名称】岡部 洋
(74)【代理人】
【識別番号】100209808
【弁理士】
【氏名又は名称】三宅 高志
(72)【発明者】
【氏名】ラジェシュ バブ ナタラジャン
(72)【発明者】
【氏名】サウラブ カレ
【審査官】前田 典之
(56)【参考文献】
【文献】Qualcomm Incorporated,pCR : AKMA Temporary UE Identifier,3GPP TSG SA WG3 #98Bis_e S3-200770,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_98Bis_e/Docs/S3-200770.zip>,2020年04月03日
【文献】3GPP TS 33.535 V17.5.0,3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Authentication and Key Management for Applications (AKMA) based on 3GPP credentials in the 5G System (5GS) (Release 17),2022年03月24日,pp.14-15
(58)【調査した分野】(Int.Cl.,DB名)
IPC H04B 7/24- 7/26
H04W 4/00-99/00
H04L 9/08
H04L 9/32
3GPP TSG RAN WG1-4
SA WG1-4、6
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
少なくとも1つのプロセッサと、コンピュータプログラムコードを含む少なくとも1つのメモリと
を備える装置であって、
前記少なくとも1つのメモリおよび前記コンピュータプログラムコードは、前記少なくとも1つのプロセッサを用いて、
@シンボルによって分離されたユーザ名および領域を含む識別子フォーマットを含むAKMA鍵識別子(A-KID)を生成するステップであって、前記ユーザ名は、ルーティングインジケータ(RID)、AKMA一時UE識別子(A-TID)および前記ユーザ名において前記RIDと前記A-TIDとを区別する少なくとも1つの付加記号を含むステップと、
前記A-KIDに基づいてAKMA認証サービスの機能を実行するステップと
を前記装置に実行させ、
前記少なくとも1つの付加記号は、前記ユーザ名において前記RIDの長さを示すRID長さを備える
ことを特徴とする装置。
【請求項2】
前記RID長さは、前記ユーザ名において前記RIDにプリペンドされることを特徴とする請求項1に記載の装置。
【請求項3】
前記少なくとも1つの付加記号は、前記ユーザ名において前記RIDと前記A-TIDとの間に分離記号を備えることを特徴とする請求項1に記載の装置。
【請求項4】
前記少なくとも1つの付加記号は、前記ユーザ名において前記RIDに先行するRIDラベルおよび前記A-TIDに先行するA-TIDラベルとを備えることを特徴とする請求項1に記載の装置。
【請求項5】
前記装置は、ユーザ機器(UE)を備え、前記少なくとも1つのメモリおよび前記コンピュータプログラムコードは、前記少なくとも1つのプロセッサを用いて、
前記A-KIDを生成するステップと、
前記A-KIDを含むアプリケーションセッション確立要求メッセージをAKMAアプリケーション機能(AF)に送信するステップと
を前記UEに実行させることを特徴とする請求項1に記載の装置。
【請求項6】
装置において認証および鍵管理アプリケーション(AKMA)認証サービスを実行する方法であって、@シンボルによって分離されたユーザ名および領域を有する識別子フォーマットを有するAKMA鍵識別子(A-KID)を処理するステップであって、前記ユーザ名は、ルーティングインジケータ(RID)、AKMA一時UE識別子(A-TID)およびユーザ名において前記RIDと前記A-TIDとを区別する少なくとも1つの付加記号を含むステップと、
前記A-KIDに基づいて前記AKMA認証サービスの機能を実行するステップ(1304)と
を備え、
前記少なくとも1つの付加記号は、前記ユーザ名において前記RIDの長さを示すRID長さを備える
ことを特徴とする方法。
【請求項7】
前記RID長さは、前記ユーザ名において前記RIDにプリペンドされることを特徴とする請求項6に記載の装置。
【請求項8】
前記少なくとも1つの付加記号は、前記ユーザ名において前記RIDと前記A-TIDとの間に分離記号を備えることを特徴とする請求項6に記載の方法。
【請求項9】
前記少なくとも1つの付加記号は、前記ユーザ名において前記RIDに先行するRIDラベルおよび前記A-TIDに先行するA-TIDラベルとを備えることを特徴とする請求項6に記載の方法。
【請求項10】
前記装置は、ユーザ機器(UE)を備え、前記A-KIDに基づいて前記AKMA認証サービスの機能を実行するステップは、前記A-KIDを含むアプリケーションセッション確立要求メッセージを前記UEからAKMAアプリケーション機能(AF)に送信するステップを備えることを特徴とする請求項5に記載の方法。
【請求項11】
@シンボルによって分離されたユーザ名および領域を有する識別子フォーマットを有するAKMA鍵識別子(A-KID)を処理するステップであって、前記ユーザ名は、ルーティングインジケータ(RID)、AKMA一時UE識別子(A-TID)およびユーザ名において前記RIDと前記A-KIDとを区別する少なくとも1つの付加記号を含むステップと、前記A-KIDに基づいてAKMA認証サービスの機能を実行するステップと
を装置に実行させる命令を備え、
前記少なくとも1つの付加記号は、前記ユーザ名において前記RIDの長さを示すRID長さを備える
ことを特徴とするコンピュータ可読記憶媒体。
【請求項12】
前記RID長さは、前記ユーザ名において前記RIDにプリペンドされることを特徴とする請求項11に記載のコンピュータ可読媒体。
【請求項13】
前記少なくとも1つの付加記号は、前記ユーザ名において前記RIDに先行するRIDラベルおよび前記A-TIDに先行するA-TIDラベルとを備えることを特徴とする請求項11に記載のコンピュータ可読媒体。
【請求項14】
前記装置は、ユーザ機器(UE)を備え、前記A-KIDに基づいて前記AKMA認証サービスの機能を実行するステップは、前記A-KIDを含むアプリケーションセッション確立要求メッセージを前記UEからAKMAアプリケーション機能(AF)に送信するステップを備えることを特徴とする請求項11に記載のコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
この開示は、通信システムの分野、特に次世代ネットワークに関する。
【背景技術】
【0002】
第5世代(5G:Fifth Generation)などの次世代ネットワークは、第4世代(4G:Fourth Generation)規格を超えるモバイル通信規格の次の主要な段階を意味する。4Gネットワークと比較して、次世代ネットワークは無線アクセスとネットワークアーキテクチャの点で向上され得る。次世代ネットワークは、センチメートル波帯やミリ波帯など、無線アクセスネットワーク(RAN:Radio Access Netork)のために無線スペクトルの新しい領域を利用しようとしている。
【0003】
全国や世界中で広く使用されているモバイルネットワークでは、通信が傍受され、他の種類の攻撃を受け得る。セキュリティとプライバシーを確保するために、第3世代パートナーシッププロジェクト(3GPP:3rd Generation Partnership Project)は、5Gモバイルネットワークのセキュリティメカニズムと、5Gモバイルネットワーク内で実行されるセキュリティ手順を定めている。ユーザ機器(UE:User Equipment)と5Gモバイルネットワーク間のセキュリティ手順の一つに、プライマリ認証と鍵合意がある。プライマリ認証と鍵合意の手順は、UEとネットワーク間の相互認証を可能にし、後続のセキュリティ手順でUEとサービングネットワーク間で使用できる鍵素材(keying material)を提供する。
【0004】
他のセキュリティ手順は、UEとアプリケーションプロバイダ間のもので、アプリケーション認証および鍵管理(AKMA:Authentication and Key Management for Application)と呼ばれる。AKMAは、オペレータ認証インフラストラクチャを活用して、UEとアプリケーション機能(AF:Application Function)間の通信を確保することが特徴である。AKMAは3GPP TS 33.535 (v17.5.0)で説明されており、参照により本明細書に完全に組み込まれている。AKMAは、UEを認証するために5Gプライマリ認証手順を再使用する。AKMA認証サービスの一部として、AKMA鍵識別子(A-KID:AKMA Key IDentifier)と呼ばれる鍵識別子が生成される。A-KIDは「username@realm」のフォーマットであり、A-KIDのユーザ名部分にはルーティングインジケータ(RID:Routing InDicator)とAKMA一時ユーザ識別子(A-TID:AKMA Temporary UE Identifier)が含まれる。RIDとA-TIDが可変長であり得るという問題があり、UEがユーザ名部分でRIDとA-TIDを暗号化するか、AFがA-KIDのユーザ名を復号化するかが課題となる。
【発明の概要】
【0005】
本明細書では、ユーザ名がRIDと、A-TIDと、およびユーザ名においてRIDとA-TIDとを区別する1つまたは複数の付加記号とを含む、拡張A-KIDを導入する解決策について説明する。例えば、付加記号は、ユーザ名におけるRIDの長さを示すRID長さを備え、RID長さは、ユーザ名におけるRIDの前にプリペンド(prepend)されても良い。拡張A-KIDの技術的な利点の一つは、RIDとA-TIDが可変長であるにもかかわらず、ユーザ名で容易に区別できることである。したがって、AF(または他のネットワーク機能)は、AKMA認証サービスのために拡張A-KIDのユーザ名からRIDを容易に復号できる。
【0006】
一実施形態において、AKMA要素は、少なくとも1つのプロセッサと、コンピュータプログラムコードを含む少なくとも1つのメモリとを備える。プロセッサは、@シンボルによって分離されたユーザ名および領域(realm)を有する識別子フォーマットを有する拡張A-KIDを処理するステップをAKMA要素に実行させる。ユーザ名は、RID、A-TID、およびユーザ名においてRIDとA-TIDとを区別する少なくとも1つの付加記号を含む。プロセッサは、拡張A-KIDに基づいてAKMA認証サービスの機能をAKMA要素にさらに実行させる。
【0007】
一実施形態において、少なくとも1つの付加記号は、ユーザ名におけるRIDの長さを示すRID長さを備え、RID長さはユーザ名においてRIDにプリペンドされる。
【0008】
一実施形態において、少なくとも1つの付加記号は、ユーザ名において、RIDとA-TIDとの間に分離記号を備える。
【0009】
一実施形態において、少なくとも1つの付加記号は、ユーザ名において、RIDに先行するRIDラベルとA-TIDの前にあるA-TIDラベルとを備える。
【0010】
一実施形態において、AKMA要素はユーザ機器(UE)を備える。プロセッサは、拡張A-KIDを生成するステップと、拡張A-KIDを含むAKMAアプリケーション関数(AF)にアプリケーションセッション確立要求メッセージを送信するステップとをAKMA要素にさらに実行させる。
【0011】
一実施形態において、AKMA要素は5Gコアネットワークの認証サーバ機能(AUSF:Authentication Server Function)を備える。プロセッサは、拡張A-KIDを生成するステップと、AKMAアンカー機能(AAnF:AKMA Anchor Function)を選択するステップと、拡張A-KIDを含むAAnFにAKMA要求を送信するステップとをAUSFにさらに実行させる。
【0012】
一実施形態において、AKMA要素は、5GコアネットワークのAKMAアプリケーション機能(AF)またはネットワーク露出機能(NEF:Network Exposure Function)を備える。プロセッサは、拡張A-KIDでAKMA要求を受信するステップと、少なくとも1つの付加記号に基づいてユーザ名からRIDを抽出するために拡張A-KIDを処理するステップと、RIDに基づいてAAnFを選択するステップと、拡張A-KIDを含むAAnFにAKMA要求を送信するステップとをAKMA AFまたはNEFにさらに実行させる。
【0013】
一実施形態において、AKMA要素においてAKMA認証サービスを実行する方法が開示される。方法は、@シンボルによって分離されたユーザ名および領域を有する識別子フォーマットを有する拡張A-KIDを処理するステップを備える。ユーザ名は、RID、A-TID、およびユーザ名においてRIDとA-TIDとを区別する少なくとも1つの付加記号を含む。方法は、拡張A-KIDに基づいてAKMA認証サービスの機能を実行するステップをさらに備える。
【0014】
一実施形態において、少なくとも1つの付加記号は、ユーザ名においてRIDの長さを示すRID長さを備え、RID長さはユーザ名のRIDにプリペンドされる。
【0015】
一実施形態において、少なくとも1つの付加記号は、ユーザ名においてRIDとA-TIDの間の分離記号を含む。
【0016】
一実施形態において、少なくとも1つの付加記号は、ユーザ名においてRIDに先行するRIDラベルとA-TIDに先行するA-TIDラベルを含む。
【0017】
一実施形態において、AKMA要素はUEを備える。拡張A-KIDを処理するステップは、拡張A-KIDを生成するステップを備える。拡張A-KIDに基づいてAKMA認証サービスの機能を実行するステップは、UEから、拡張A-KIDを含むAKMA AFにアプリケーションセッション確立要求メッセージを送信するステップを備える。
【0018】
一実施形態において、AKMA要素は5GコアネットワークのAUSFを備える。拡張A-KIDを処理するステップは、拡張A-KIDを生成するステップを備える。拡張A-KIDに基づいてAKMA認証サービスの機能を実行するステップは、AAnFを選択するステップと、拡張A-KIDを含むAAnFにAKMA要求を送信するステップとを備える。
【0019】
一実施形態において、AKMA要素は、5GコアネットワークのAKMA AFまたはNEFを備える。拡張A-KIDを処理するステップは、拡張A-KIDでAKMA要求を受信ステップと、少なくとも1つの付加記号に基づいてRIDを抽出するために拡張A-KIDを処理するステップとを備える。拡張A-KIDに基づいてAKMA認証サービスの機能を実行するステップは、RIDに基づいてAAnFを選択するステップと、拡張A-KIDを含むAAnFにAKMA要求を送信するステップとを備える。
【0020】
一実施形態において、AKMA要素は、@シンボルで分離されたユーザ名および領域を有する識別子フォーマットを有する拡張A-KIDを処理する手段を備える。ユーザ名は、RID、A-TID、およびユーザ名においてRIDとA-TIDとを区別する少なくとも1つの付加記号を含む。AKMA要素はさらに、拡張A-KIDに基づいてAKMA認証サービスの機能を実行する手段をさらに備える。
【0021】
他の実施形態は、コンピュータ可読媒体、他のシステム、または以下に説明する他の方法を含む。
【0022】
上記の発明の概要は、本明細書のいくつかの態様の基本的な理解を提供する。この概要は、本系最初の広範な概要ではない。これは、本明細書のキーや重要な要素を特定したり、本明細書の特定の実施形態の範囲や特許請求の範囲を説明したりすることを意図していない。その唯一の目的は、後に提示されるより詳細な説明の前段階として、本明細書のいくつかの概念を簡略化された形式で提示することである。
【図面の簡単な説明】
【0023】
ここで、本発明のいくつかの実施例を、例としてのみ、添付図面を参照して説明する。同じ参照番号は、すべての図面上で同じ要素または同じ種類の要素を表す。
【0024】
【発明を実施するための形態】
【0025】
図および以下の説明は、具体的な実施形態を例示している。したがって、当業者は、ここで明示的に説明または示されていないが、実施形態の原理を具体化し、実施形態の範囲内に含まれる様々な配置を考案することができることが理解されるであろう。さらに、本明細書に説明されるいかなる例も、実施形態の原理の理解を助けることを意図しており、そのような具体的に言及された例および条件に限定されないものとして解釈されるべきである。結果として、本発明の概念は、以下に記載されている具体的な実施形態または例に限定されるものではなく、特許請求の範囲およびそれに相当するものに限定される。
【0026】
図1は、5Gシステム100の高レベルアーキテクチャを示す。5Gシステム100は、5Gアクセスネットワーク((R)AN:Acess Network)102、5Gコアネットワーク(CN:Core Network)104、5Gユーザ機器(UE:User Equipment)106を備える通信システム(例えば、3GPPシステム)である。アクセスネットワーク102は、5Gコアネットワーク104に接続するNG-RANおよび/または非3GPPアクセスネットワークを備える。アクセスネットワーク102は、進化型UMTS地上無線アクセスネットワーク(E-UTRAN:Evolved-UMTS Terrestrial Radio Access Network)アクセス(例えば、eNodeB、gNodeB、ng-eNodeBを介して)、ワイヤレスローカルエリアネットワーク(WLAN:Wireless Local Area Network)アクセス、固定アクセス、衛星無線アクセス、新無線アクセス技術(RAT:Radio Access Technology)などをサポートすることができる。コアネットワーク104は、アクセスネットワーク102をデータネットワーク(DN:Data Network)108と相互接続する。コアネットワーク104は、ネットワーク機能(NF:Network Function)110を含み、NFは、専用ハードウェア上のネットワーク要素として、専用ハードウェア上で実行されるソフトウェアインスタンスとして、適切なプラットフォーム(例えば、クラウドインフラストラクチャ)上でインスタンス化された仮想化機能としてなどにより実装され得る。データネットワーク108は、事業者外部の公開またはプライベートのデータネットワークでも、事業者内のデータネットワーク(例えば、IMSサービスに対する)でもよい。UE106は、サービスにアクセスするためにコアネットワーク104に登録するように構成された5G対応デバイスである。UE106は、携帯電話(例えば、スマートフォン)、タブレットまたはPDA、モバイルブロードバンドアダプタを有するコンピュータなどのエンドユーザデバイスであってもよい。UE106は、音声サービス、データサービス、マシンツーマシン(M2M:Machine-to-Machine)またはマシンタイプ通信(MTC:Machine Type Communication)サービス、および/またはその他のサービスに対して有効にすることができる。
【0027】
図2は、5Gシステムの非ローミングアーキテクチャ200を示す。図2のアーキテクチャ200は、3GPP TS 23.501(v17.4.0)でさらに説明されているように、サービスベースの表現であり、本明細書に完全に含まれているかのように参照によって組み込まれている。アーキテクチャ200は、コアネットワーク104のネットワーク機能(NF:Network Function)を含み、制御プレーン(CP:Control Plane)のNFはユーザプレーン(UP:User Plane)から分離されている。コアネットワーク104の制御プレーンは、認証サーバ機能(AUSF:Authentication Server Function)210、アクセスモビリティ管理機能(AMF:Access and Mobility Management Function)212、セッション管理機能(SMF:Session Management Function)214、ポリシー制御機能(PCF:Policy Control Function)216、統合データ管理(UDM:Unified Data Management)218、ネットワークスライス選択機能(NSSF:Network Slice Selection Function)220、およびアプリケーション機能(AF:Application Function)222を含む。コアネットワーク104の制御プレーンは、ネットワーク曝露機能(NEF:Network Exposure Function)224、NFレポジトリ機能(NRF:NF Repository Function)226、サービス通信プロキシ(SCP:Service Communication Proxy)228、ネットワークスライスアドミッション制御機能(NSACF:Network Slice Admission Control Function)230、ネットワークスライス固有SNPN認証許可機能(NSSAAF:Network Slice specific and SNPN Authentication and Authorization Function)232、およびエッジアプリケーションサーバディスカバリ機能(EASDF:Edge Application Server Discovery Function)234をさらに含む。コアネットワーク104のユーザプレーンは、データネットワーク108と通信する1つまたは複数のユーザプレーン機能(UPF:User Plane Function)240を含む。UE106は、(R)AN102を介して、コアネットワーク104の制御プレーンおよびユーザプレーンにアクセスすることができる。
【0028】
図1~図2のように、5Gシステム100を備えるモバイルネットワークを実装するキャリアからサービスにアクセスできる加入者が多数存在する。加入者とモバイルネットワーク間の通信(すなわち、UEを介して)は、3GPPで規格化されているようなセキュリティメカニズムによって保護されている。加入者およびキャリアは、セキュリティメカニズムからセキュリティ保証を期待する。セキュリティメカニズムの1つは、UEとネットワーク間の相互認証を提供するプライマリ認証手順である。次に、プライマリ認証についてさらに説明する。
【0029】
プライマリ認証および鍵合意手順の目的は、UE106とネットワーク間の相互認証を可能にし、その後のセキュリティ手順においてUE106とサービスネットワーク間で使用できる鍵素材を提供することである。プライマリ認証および鍵合意手順によって生成された鍵素材は、ホームネットワークのAUSF210からサービスネットワークのセキュリティアンカー機能(SEAF:Security Anchor Function)に提供されるKSEAF鍵と呼ばれるアンカー鍵となる。SEAFは、サービングネットワークのAMF212を介して認証機能を提供し、秘密化加入永続識別子(SUPI:SUbscription Permanent Identifier)を含む加入秘密化識別子(SUCI:SUbscription Concealed Identifier)を使用したプライマリ認証をサポートする。SUPIは、5Gシステム100の各加入者に割り当てられたグローバルに一意の5G識別子である。SUCIは、SUPIタイプ、加入者のホームネットワークを識別するホームネットワーク識別子(HN-ID:Home Network Identifier)、ホームネットワークオペレータによって加入者に割り当てられ、UEのユニバーサル加入者識別モジュール(USIM)でプロビジョニングされるルーティングインジケータ(RID:Routing InDicator)、保護スキーム識別子、ホームネットワーク公開鍵識別子、およびスキーム出力を含む。アンカー鍵KSEAFは、KAUSF鍵と呼ばれる中間鍵から引き出す。KAUSF鍵は、プライマリ認証手順の結果としてUE106とホームネットワークの間で確立される。
【0030】
図3は、3GPP TS 33.501(v17.5.0)で説明されているような、プライマリ認証の開始を示すシグナリング図である。UE106は、登録要求などのN1メッセージ(すなわち、最初のNon-Access Stratum(NAS)メッセージ)をサービスネットワーク(例えば、サービングネットワークのAMF212)に送信する。UE106は、登録要求においてSUCIまたは5Gグローバル一意一時識別子(5G-GUTI:5G Global Unique Temporary Identifier)を使用する。AMF212のSEAF302は、UE106とのシグナリング接続を確立する任意の手順中に、UE106との認証を開始することができる。SEAF302は、Nausf_UE認証認証要求メッセージをAUSF210に送信してNausf_UE認証サービスを呼び出し、認証を開始する。Nausf_UE認証認証要求メッセージは、SUCIまたはSUPI、およびサービングネットワーク名(SN-Name)を含む。Nausf_UE認証認証要求メッセージを受信すると、AUSF210は、サービングネットワーク名と予想されるサービングネットワーク名を比較することによって、サービングネットワーク内の要求SEAF302がNausf_UE認証認証要求メッセージにおいてサービングネットワーク名を使用する権利があるかどうかを確認する。サービングネットワークがサービングネットワーク名の使用を許可される場合、AUSF210はUDM218にNudm_UE認証取得要求メッセージを送信する。Nudm_UE認証取得要求メッセージは、SUCIまたはSUPI、およびサービングネットワーク名を含む。Nudm_UE認証取得要求メッセージを受信すると、UDM218は、SUPI(受信した場合)を識別するか、SUPIをSUCI(受信した場合)から非表示にする加入識別秘密解除機能(SIDF:Subscription Identifier De-concealing Function)を呼び出す。UDM218(またはUDM218の認証証明レポジトリ処理機能(ARPF:Authentication credential Repository and Processing Function))は、SUPIに基づいてプライマリ認証の認証方法を選択する。
【0031】
図4は、3GPP TS33.501で説明されているような認証手順を示すシグナリング図である。Nudm_認証取得要求に対して、UDM218は5Gホーム環境認証ベクトル(5G HE AV:5G Home Environment Authentication Vector)を作成する。UDM218はKAUSF鍵を取得し、チャレンジに対する期待される応答(XRES*)を計算する。UDM218は、認証トークン(AUTN:AUthentication Token)、期待される応答(XRES*)、KAUSF鍵、およびランダムチャレンジ(RAND)を備える5G HE AVを作成する。次に、UDM218は、認証に使用される5G HE AVとともに、Nudm_UE認証取得応答メッセージをAUSF210に送信する(例えば、5G認証鍵合意(AKA:Authentication and Key Agreement))。SUCIがNudm_UEAuthentication_Get Requestに含まれていた場合、UDM218は、SUCIの秘密解除後に、Nudm_UE認証取得応答メッセージをSUPIに含む。加入者がAKMA加入を有する場合、UDM218は、Nudm_UE認証取得応答メッセージにAKMA指示とRIDとを含む。
【0032】
Nudm_UE認証取得応答メッセージに応答して、AUSF210は、受信したSUCIまたはSUPIとともに期待された応答(XRES*)を一時的に記憶する。AUSFは、その後、期待された応答(XRES*)からハッシュ期待応答(HXRES*)およびKAUSF鍵からKSEAF鍵を計算し、5G HE AVにおいてXRES*をHXRES*に、KAUSF鍵をKSEAF鍵に置き換えることによって、UDM218から受信した5G HE AVから5G認証ベクトル(5G AV:5G Authentication Vector)を生成する。AUSF210は、KSEAF鍵を削除し、認証トークン(AUTN)、ハッシュ期待応答(HXRES*)、およびランダムチャレンジ(RAND)を含む5Gサービング環境認証ベクトル(5G SE AV:5G Serving Environment Authentication Vector)を生成するためにKSEAF鍵を削除する。AUSF210は、5G SE AVを含むNausf_UE認証認証応答メッセージをSEAF302に送信する。これに応じて、SEAF302は認証トークン(AUTN)およびランダムチャレンジ(RAND)をNASメッセージ認証要求メッセージでUE106に送信する。
【0033】
図4には示されていないが、UE106は、モバイル機器(ME:Mobile Equipment)およびUSIMを含む。MEはNASメッセージ認証要求内で認証トークン(AUTN)およびランダムチャレンジ(RAND)を受信し、認証トークン(AUTN)およびランダムチャレンジ(RAND)をUSIMに転送する。USIMは、認証トークン(AUTN)を受け付けることができるかどうかを確認することで、受信した値の新しさを確認する。そうである場合、USIMはランダムチャレンジ(RAND)に基づいて応答(RES)、暗号鍵(CK)、整合性鍵(IK)を計算し、応答(RES)、CK鍵、IK鍵をMEに戻す。MEはRESからRES*を計算し、CK||IKからKAUSF鍵を、KAUSF鍵からKSEAF鍵を計算する。
【0034】
UE106は、RES*を含むNASメッセージ認証応答メッセージをSEAF302に送信する。これに応じて、SEAF302はRES*からHRES*を計算し、HRES*とHXRES*を比較する。一致した場合、SEAF302はサービングネットワークの観点から認証が成功したとみなす。SEAF302は、UE106から受信したRES*をNausf_UE認証認証要求メッセージでAUSF210に送信する。認証確認としてRES*を含むNausf_UE認証認証要求メッセージを受信すると、AUSF210はホームネットワークオペレータポリシーに基づいてKAUSFキーを記憶し、受信したRES*と記憶したXRES*を比較する。RES*とXRES*が等しい場合、AUSF210はホームネットワークの観点から認証が成功したとみなす。AUSF210は、認証結果についてUDM218に通知する(不図示)。また、AUSF210は、ホームネットワークの観点から認証が成功したかどうかを示すNausf_UE認証認証応答メッセージをSEAF302に送信する。認証が成功した場合、KSEAF鍵はNausf_UE認証認証応答メッセージでSEAF302に送信される。AUSF210が認証要求でSEAF302からSUCIを受信した場合、認証が成功した場合、AUSF210はNausf_UE認証認証応答メッセージにSUPIを含む。
【0035】
AKMA(Authentication and Key Management for Application)は、オペレータ認証インフラストラクチャを活用してUE106とAF222間の通信をセキュリティで保護する特徴を有する。図5は、AKMAの基本的なネットワークモデル500を示す。図6は、内部AF(すなわちオペレータネットワーク内にあるAF)の基準点表現におけるAKMAアーキテクチャ600を示す。図7は、外部AF(すなわち、オペレータネットワーク外にあるAF)の基準点表現におけるAKMAアーキテクチャ700を示す。
【0036】
図5において、AKMA用のネットワークモデル500は、AUSF210、AMF212、UDM218、AF222、NEF224を含む。AKMA用のネットワークモデル500は、ホーム公開モバイルネットワーク(HPLMN:Home Public Land Mobile Network)におけるアンカー機能であるAKMAアンカー機能(AAnF:AKMA Anchor Function)536も含む。AAnF536は、AKMAアンカー鍵(KAKMA)およびAKMAサービス用のSUPIを記憶し、AKMAサービス用のSUPIは、UE106が5Gプライマリ認証に成功した後にAUSF210から受信される。また、AAnF536はUE106とAF222の間で使用される鍵素材を生成し、UE AKMAコンテキストを維持する。AAnF536は、UE106のSUPIをオペレータのネットワーク内にあるAF222、またはNEF224に送信する。AKMA AF222は、AKMA鍵識別子(A-KID)を使用して、AAnF536からKAFと呼ばれるAKMAアプリケーション鍵を要求する。
【0037】
AKMAは、UE106を認証するために5Gプライマリ認証手順を再使用する。概要として、5Gプライマリ認証が成功すると、KAUSF鍵がAUSF210およびUE106に記憶される。UE106がプライマリ認証を終了した後、AF222との通信を開始する前に、UE106はKAUSF鍵からKAKMA鍵およびA-KIDを生成する。UDM218からKAUSF鍵を受信した後、AUSF210はKAUSF鍵を記憶し、KAUSF鍵からKAKMA鍵およびA-KIDを生成する。AUSF210は、KAKMA鍵およびA-KIDをUE106のSUPIとともにAAnF536に送信する。
【0038】
従来、UE106およびAUSF210によって生成されるA-KIDは、「username@realm」のフォーマットである。ユーザ名(username)はRIDおよびAKMA一時UE識別子(A-TID:AKMA Temporary UE IDentifier)を含み、領域(realm)はHN-IDを含む。RIDは、認証トラフィックをUDM218にルーティングするためにHN-IDとともに使用される。A-TIDは、A-TID派生機能を持つKAUSF鍵から引き出す。従来のA-KIDで発生する問題の1つは、RIDおよびA-TIDが可変長であることだ。これは、A-KIDのユーザ名でRIDおよびA-TIDをどのように暗号化するかという課題をUE106に提示し、(RIDに基づいて)AAnF536を選択するなど、A-KIDのユーザ名からRIDおよびA-TIDを復号化するネットワーク機能(例えば、AF222、NEF224)の課題を提示する。
【0039】
以下に説明する実施形態において、ユーザ名においてRIDとA-TIDとを容易に区別できるように、拡張A-KIDが定義される。図8は、例示的な実施形態における拡張A-KID800を示す。拡張A-KID800は、@シンボル806によって分離されたユーザ名802および領域804を有する識別子フォーマットを有する。本実施形態において、ユーザ名802は、UE106のRID812、A-TID814、およびユーザ名802においてRID812とA-TID814とを区別する1つまたは複数の付加記号810を含む。RID812とA-TID814とを区別するために使用される付加記号810は、必要に応じて変化し得る。
【0040】
図9は、例示的な実施形態における、拡張A-KID800のためのユーザ名802のフォーマット例を示す。本実施形態において、拡張A-KID800のユーザ名802は、RID812およびA-TID814を含み、RID長さ910を付加記号810として含む。RID長さ910は、ユーザ名802におけるRID812の長さを示す値(例えば、1桁または複数桁)である。したがって、ユーザ名802は、RID812およびA-TID814を連結し、RID812にRID長さ910をプリペンドすることによって構築され得る。たとえば、RID812の値が「12」であり、A-TID814の値が「5678」であるとする。したがって、この例において、拡張A-KID800のユーザ名802は、「2125678」を備え、ユーザ名802の最初の桁がRID812の長さを示す。他の例では、RID812の値が「012」で、A-TID814の値が「567」であるとする。したがって、この例における拡張A-KID800のユーザ名802は「3012567」を備えてもよく、ユーザ名802の最初の桁はRID812の長さを示す。
【0041】
図10は、例示的な実施形態における拡張A-KID800のユーザ名802の他のフォーマット例を示す。本実施形態において、拡張A-KID800のユーザ名802は、RID812およびA-TID814を含み、また、RID812およびA-TID814の間の分離記号1010(または複数の記号)を付加記号810として含む。分離記号1010は、ピリオド「.」、スペース「 」、ダッシュ「-」、または別の記号を備え得る。したがって、ユーザ名802は、RID812、分離記号1010、A-TID814の順に挿入することによって構築されてもよい。例えば、RID812の値が「12」であり、A-TID814の値が「5678」であるとする。したがって、この例における拡張A-KID800のユーザ名802は、「12.5678」を備え得る。他の例において、RID812の値が「012」で、A-TID814の値が「567」であるとする。したがって、この例において、拡張A-KID800のユーザ名802は「012.567」を備え得る。
【0042】
図11は、例示的な実施形態における拡張A-KID800におけるユーザ名802の他のフォーマット例を示す。本実施形態において、拡張A-KID800のユーザ名802は、RID812およびA-TID814を含み、さらにRID812に先行するRIDラベル1110およびA-TID814に先行するA-TIDラベル1111を付加記号810として含む。ユーザ名802は、RID812とA-TIDラベル1111の間の分離記号1010をさらに含み得る。したがって、ユーザ名802は、RIDラベル1110、RID812、A-TIDラベル1111、A-TID814の順に挿入することによって構築され得る。例えば、RID812の値が「12」で、A-TID814の値が「5678」であるとする。したがって、この例における拡張A-KID800のユーザ名802は、「rid12atid5678」を備え得る。他の例において、RID812の値が「012」であり、A-TID814の値が「567」であるとする。したがって、この例において、拡張A-KID800のユーザ名802は、「rid012atid567」を備え得る。
【0043】
図9~図11の例において、RID812は、ユーザ名802のA-TID814の前に記述される。しかしながら、RID812およびA-TID814は、ユーザ名802においてA-TID814がRID812より前になるように、他の実施形態において置き換えられてもよい。同様の概念は、このシナリオで前述したように適用される。
【0044】
拡張A-KID800の技術的な利点の一つは、RID812およびA-TID814が可変長であるにもかかわらず、ユーザ名802において容易に区別できることである。したがって、ネットワーク機能(例えば、AF222またはNEF224)は、AAnF536の選択などのために、拡張A-KID800のユーザ名802からRID812およびA-TID814を容易に復号化することができる。
【0045】
したがって、拡張A-KID800は、AKMA認証サービスにおいて使用されてもよい。図12は、例示的な実施形態におけるAKMA要素1200のブロック図である。AKMA要素1200は、AKMA認証サービスに対して有効にされる処理要素である。例えば、AKMA要素1200は、UE106と、AUSF210、AF222、NEF224、AAnF536などのネットワーク要素またはネットワーク機能(NF)、または別のタイプのデバイスとを備え得る。AKMA要素1200は、AKMA認証サービスの操作、手順、または機能をサポートするように構成された回路、論理、ハードウェア、手段などで構成されるAKMAコントローラ1202を含む。AKMA要素1200のサブシステムの1つまたは複数は、アナログおよび/またはデジタル回路で構成されるハードウェアプラットフォーム上に実装され得る。AKMAコントローラ1202は、メモリ1232にロードされるソフトウェアの命令1234(すなわちコンピュータ可読コード)を実行する1つまたは複数のプロセッサ1230に実装されてもよい。プロセッサ1230は、AKMA要素1200の機能を提供する命令1234を実行するように構成された統合ハードウェア回路を備える。プロセッサ1230は、特定の実装に応じて、1つまたは複数のプロセッサのセットを備えてもよく、マルチプロセッサコアを備えてもよい。メモリ1232は、データ、命令、アプリケーションなどのための非一時的コンピュータ可読記憶媒体であり、プロセッサ1230によってアクセス可能である。メモリ1232は、一時的または永続的に情報を記憶できるハードウェア記憶装置である。メモリ1232は、ランダムアクセスメモリ、またはその他の揮発性または不揮発性記憶装置を備える。
【0046】
図13は、例示的な実施形態におけるAKMA認証サービスを実行する方法1300を示すフローチャートである。方法1300のステップは、図12のAKMA要素1200を参照して説明されるが、当業者は、方法1300が他のシステム、装置、またはネットワーク機能で実行され得ることを理解するだろう。本明細書に説明されるフローチャートのステップは、すべてを含むわけではなく、示されていない他のステップを含む場合があり、ステップは代替の順序で実行されてもよい。
【0047】
AKMAコントローラ1202は、上述のように、拡張A-KID800を処理し、ユーザ名802は、RID812、A-TID814、およびユーザ名802のRID812とA-TID814とを区別する1つまたは複数の付加記号810を含む(ステップ1302)。例えば、AKMAコントローラ1202は、RID812、A-TID814、および付加記号810を含むユーザ名802を有する拡張A-KID800を引き出しまたは生成し得る。他の例において、AKMAコントローラ1202は、RID812、A-TID814、および付加記号810を含むユーザ名802を有する拡張A-KID800を受信し、付加記号810に基づいて、拡張A-KID800のユーザ名802からRID812を復号化または抽出できる。
【0048】
その後、AKMAコントローラ1202は、拡張A-KID800に基づいてAKMA認証サービスの1つまたは複数の機能を実行し得る(ステップ1304)。例えば、AKMAコントローラ1202は、拡張A-KID800を含む他の要素にAKMA要求を送信し得る。他の例において、AKMAコントローラ1202は、拡張A-KID800のユーザ名802から抽出されたRID812に基づいてAAnF536を選択し得る。
【0049】
AKMA要素1200の一例はUE106である。図14は、例示的な実施形態におけるUE106のブロック図である。UE106は、無線インタフェース構成要素1402、1つまたは複数のプロセッサ1404、メモリ1406、ユーザインタフェース構成要素1408、およびバッテリ1410を含む。無線インタフェース構成要素1402は、RFユニット1420(例えば、1つまたは複数の無線トランシーバ)および1つまたは複数のアンテナ1422など、UE106のローカル無線リソースを表すハードウェア構成要素である。無線インタフェース構成要素1402は、WiFi(登録商標)、Bluetooth(登録商標)、5G新無線(NR:New Radio)、ロングタームエボリューション(LTE:Long-Term Evolution)用に構成され得る。プロセッサ1404は、UE106の機能を提供する内部回路、論理、ハードウェアなどを表す。プロセッサ1404は、メモリ1406にロードされるソフトウェアの命令1440(すなわち、コンピュータプログラムコード)を実行するように構成され得る。プロセッサ1404は、特定の実装に応じて、1つまたは複数のプロセッサのセットを備えてもよく、マルチプロセッサコアを備えてもよい。メモリ1406は、データ、命令1440、アプリケーションなどのためのコンピュータ可読記憶媒体であり、プロセッサ1404によってアクセス可能である。メモリ1406は、一時的または永続的に情報を記憶できるハードウェア記憶装置である。メモリ1406は、ランダムアクセスメモリ、またはその他の任意の揮発性または不揮発性記憶装置を備え得る。ユーザインタフェース構成要素1408は、エンドユーザとインタラクションするためのハードウェア構成要素である。例えば、ユーザインタフェース構成要素1408は、ディスプレイ1450、スクリーン、タッチスクリーンなどを含むことができる(例えば、液晶ディスプレイ(LCD:Liquid Crystal Display)、発光ダイオード(LED:Light Emitting Diode)ディスプレイなど)。ユーザインタフェース構成要素1408は、キーボードまたはキーパッド1452、トラッキング装置(例えば、トラックボールまたはトラックパッド)、スピーカー、マイクなどを含んでもよく、UE106は、特に図14に示されていない様々な他の構成要素を含み得る。
【0050】
UE106は、UE106のセキュリティおよび整合性機能を提供する集積回路である加入者識別モジュール(SIM:Subscriber Identity Module)1460も含む(例えば、SIMカード、ユニバーサルSIM(USIM)など)。SIM1460は、UE106用の1つまたは複数の加入プロファイルが含まれるか、またはプロビジョニングされる。加入プロファイルは、加入、加入パラメータ、加入資格情報などが関連付けられている。加入資格情報は、加入を一意に識別し、UE106とネットワークを相互に認証するために使用されるホームネットワークの公開キー、長期秘密鍵(K)、加入識別子(例えば、SUPI)を含む一連の値である。
【0051】
プロセッサ1404は、本実施形態においてAKMAコントローラ1434を実装し得る。AKMAコントローラ1434は、AKMA認証サービスの操作、手順、または機能をサポートするように構成される。
【0052】
図15は、例示的な実施形態におけるAKMA認証サービスを実行する他の方法1500を示すフローチャートである。方法1500のステップは、図14のUE106を参照して説明されるが、当業者は、方法1500が他のシステム、デバイス、またはネットワーク機能で実行され得ることを理解するだろう。
【0053】
プライマリ認証の間、UE106は、AKMA AF222との通信を開始する前に、KAUSF鍵からKAKMA鍵およびA-KIDを生成する。本実施形態において、UE106のAKMAコントローラ1434は、拡張A-KID800を引き出しまたは生成し、ユーザ名802はRID812、A-TID814、およびユーザ名802においてRID812とA-TID814とを区別する1つまたは複数の付加記号810を含む(ステップ1502)。一例において、付加記号810はRID長さ910を備え得る。AKMAコントローラ1434は、RID812とA-TID814を連結し、ユーザ名802においてRID長さ910をRID812にプリペンドしてもよい(オプションのステップ1506)。したがって、AKMAコントローラ1434は、ユーザ名802の最初の桁(複数の桁であってもよい)としてRID長さ910を挿入し、その後にRID812を挿入し、その後にA-TID814を挿入することができる。他の例において、付加記号810は分離記号1010を備え得る。AKMAコントローラ1434は、RID812およびA-TID814を連結し、ユーザ名802においてRID812とA-TID814の間に分離記号1010を挿入することができる(オプションのステップ1508)。したがって、AKMAコントローラ1434は、RID812の後に分離記号1010を挿入し、その後にユーザ名802のA-TID814を挿入してもよい。他の例において、付加記号810はRID812およびA-TID814のラベルを備え得る。AKMAコントローラ1434は、ユーザ名において、RID812に先行してRIDラベル1110を挿入し、A-TID814に先行してA-TIDラベル1111を挿入することができる(オプションのステップ1510)。したがって、AKMAコントローラ1434は、ユーザ名802において、RIDラベル1110、RID812、A-TIDラベル1111、A-TID814の順に挿入することができる。
【0054】
次に、AKMAコントローラ1434は、拡張A-KID800を含むAKMA AF222にAKMA要求(例えば、アプリケーションセッション確立要求メッセージ)を送信する(ステップ1504)。
【0055】
AKMA要素1200の他の例は、5Gコアネットワーク104のネットワーク要素である。図16は、例示的な実施形態におけるネットワーク要素1600のブロック図である。ネットワーク要素1600は、サーバ、デバイス、装置、機器(ハードウェアを含む)、システムなどで構成され、5Gコアネットワーク104の1つまたは複数のネットワーク機能(NF)110を実装する。本実施形態において、ネットワーク要素1600は、ネットワークインタフェース構成要素1602と、1つまたは複数のプラットフォームで動作するAKMAコントローラ1404とを備えるサブシステムを含む。ネットワークインタフェース構成要素1602は、他のネットワーク要素および/またはUEと制御プレーンメッセージまたはシグナリングを交換するように構成された回路、論理、ハードウェア、手段などを備え得る。ネットワークインタフェース構成要素1602は、さまざまなプロトコル(NASプロトコルを含む)または基準点を使用して動作することができる。AKMAコントローラ1604は、AKMA認証サービスの操作、手順、または機能をサポートするように構成された回路、論理、ハードウェア、手段などを備えても良い。
【0056】
図16に示すように、ネットワーク要素1600は、5Gコアネットワーク104のAUSF210を表し得る。ネットワーク要素1600は、追加的または代替的に、AKMA AF222、NEF224、またはAAnF536を表すことができる。
【0057】
ネットワーク要素1600の1つまたは複数のサブシステムは、アナログおよび/またはデジタル回路で構成されるハードウェアプラットフォームに実装することができる。ネットワーク要素1600の1つまたは複数のサブシステムは、メモリ1632にロードされるソフトウェアの命令1634(すなわち、コンピュータ可読コード)を実行する1つまたは複数のプロセッサ1630に実装することができる。プロセッサ1630は、ネットワーク要素1600の機能を提供する命令1634を実行するように構成された統合ハードウェア回路を備える。プロセッサ1630は、特定の実装に応じて、1つまたは複数のプロセッサのセットを備えてもよく、マルチプロセッサコアを備えてもよい。メモリ1632は、データ、命令、アプリケーションなどのための非一時的コンピュータ可読記憶媒体であり、プロセッサ1630によってアクセス可能である。メモリ1632は、一時的および/または永続的に情報を記憶できるハードウェア記憶装置である。メモリ1632は、ランダムアクセスメモリ、またはその他の任意の揮発性または不揮発性記憶装置を備えても良い。
【0058】
ネットワーク要素1600は、特に図16に示されていない様々な他の構成要素を含むことができる。
【0059】
図17は、例示的な実施形態におけるAKMA認証サービスを実行する他の方法1700を示すフローチャートである。方法1700のステップは、図16のネットワーク要素1600を参照して説明されるが、当業者は、方法1700が他のシステム、デバイス、またはネットワーク機能で実行される可能性があることを理解するだろう。
【0060】
本実施形態において、ネットワーク要素1600はAUSF210を備える。AUSF210がプライマリ認証中にUDM218からAKMA指示を受信した場合、AUSF210はプライマリ認証手順が正常に完了した後、KAUSF鍵からKAKMA鍵およびA-KIDを生成する。本実施形態において、AUSF210のAKMAコントローラ1604は、拡張A-KID800を引き出しまたは生成し、ユーザ名802は、RID812、A-TID814、およびユーザ名802においてRID812とA-TID814とを区別する1つまたは複数の付加記号810を含む(ステップ1702)。一例において、付加記号810はRID長さ910を含むことができる。AKMAコントローラ1604は、RID812とA-TID814を連結し、ユーザ名802においてRID長さ910をRID812にプリペンドすることができる(オプションのステップ1708)。したがって、AKMAコントローラ1604は、ユーザ名802の最初の桁(複数の桁でもよい)としてRID長さ910を挿入し、その後にRID812を挿入し、その後にA-TID814を挿入することができる。他の例において、付加記号810は分離記号1010を含むことができる。AKMAコントローラ1604は、RID812とA-TID814を連結し、ユーザ名802においてRID812とA-TID814の間に分離記号1010を挿入することができる(オプションのステップ1710)。したがって、AKMAコントローラ1604は、ユーザ名において、RID812の後に分離記号1010を挿入し、その後にA-TID814を挿入し得る。他の例において、付加記号810はRID812とA-TID814のラベルを含み得る。AKMAコントローラ1604は、ユーザ名において、RID812に先行してRIDラベル1110を挿入し、A-TID814に先行してA-TIDラベル1111を挿入し得る(オプションのステップ1712)。したがって、AKMAコントローラ1604は、RIDラベル1110、RID812、A-TIDラベル1111、A-TID814の順にユーザ名802に挿入してもよい。
【0061】
次に、AKMAコントローラ1604は、RID812に基づいてAAnF536を選択し(ステップ1704)、拡張A-KID800を含むAAnF536にAKMA要求(例えば、Naanf_AKMA_Anchor Key_Register Request)を送信する(ステップ1706)。AKMAコントローラ1604は、AAnF536へのAKMA要求に、KAKMA鍵、UE106のSUPIなどの追加の情報を含み得る。
【0062】
図18は、例示的な実施形態においてAKMA認証サービスを実行する他の方法1800を示すフローチャートである。方法1800のステップは、図16のネットワーク要素1600を参照して説明されるが、当業者は、方法1800が他のシステム、デバイス、またはネットワーク機能で実行される可能性があることを理解するだろう。
【0063】
本実施形態において、ネットワーク要素1600は、AF222またはNEF224を備える。AF222またはNEF224は、AKMA要求に応答してAAnF536を発見するように構成される。AF222がオペレータのネットワークにある場合、AF222はAKMA要求で受信したA-KIDに基づいてAAnF536を発見する。AF222がオペレータのネットワークの外部にある場合、オペレータのネットワーク内のNEF224はAKMA要求で受信したA-KIDに基づいてAAnF536を検出する。
【0064】
AKMAコントローラ1604は、拡張A-KID800を持つAKMA要求を受信する(ステップ1802)。AKMAコントローラ1604は、拡張A-KID800を処理、復号、または解読して、付加記号810に基づいてユーザ名802からRID812を抽出する(ステップ1804)。一例において、付加記号810は、ユーザ名802にプリペンドされたRID長さ910を備え得る。したがって、AKMAコントローラ1604は、ユーザ名802の最初の桁を処理してRID長さ910を決定し(オプションのステップ1810)、RID長さ910に基づいてユーザ名802からRID812を抽出する(オプションのステップ1812)。他の例において、付加記号810は、ユーザ名802においてRID812とA-TID814の間の分離記号1010を備えても良い。したがって、AKMAコントローラ1604は、ユーザ名802の分離記号1010を識別し(オプションのステップ1814)、ユーザ名802から分離記号1010の前(または後)のRID812を抽出し得る(オプションのステップ1816)。他の例において、付加記号810はRID812およびA-TID814のラベルを備えることができる。したがって、AKMAコントローラ1604は、ユーザ名802のRID812に先行してRIDラベル1110を識別し(オプションのステップ1818)、RIDラベル1110に基づいてユーザ名802からRID812を抽出し得る(オプションのステップ1820)。
【0065】
次に、AKMAコントローラ1604は、拡張A-KID800から抽出されたRID812(ステップ1806)に基づいてAAnF536を選択する。AAnF536の選択後、AKMAコントローラ1604は、AKMAアプリケーション鍵KAFを取得するなどためにAKMA要求を、拡張A-KID800でAAnF536に送信する(ステップ1808)。たとえば、AKMA AF222は、Naanf_AKMAアプリケーション鍵取得要求メッセージを拡張A-KID800を含むAAnF536へ送信してもよい。他の例において、NEF224は、拡張A-KID800を含むAAnF536にNaanf_AKMA_AF鍵要求メッセージを送信してもよい。AAnF536は、AKMA要求の受信に応答して、拡張A-KID800を記憶する。
【0066】
図19は、例示的な実施形態においてAKMA認証サービスを実行する他の方法1900を示すフローチャートを示す。方法1900のステップは、図16のネットワーク要素1600を参照して説明されるが、当業者は、方法1900が他のシステム、デバイス、またはネットワーク機能で実行される可能性があることを理解するであろう。
【0067】
本実施形態において、ネットワーク要素1600はAAnF536を備える。AKMAコントローラ1604は、拡張A-KID800を持つAKMA要求を受信する(ステップ1902)。たとえば、AAnF536は、拡張A-KID800を含むAUSF210からNaanf_AKMAアンカー鍵登録要求メッセージを受信してもよい。他の例において、AAnF536は、拡張A-KID800を含むAKMA AF222からNaanf_AKMAアプリケーション鍵取得要求メッセージを受信してもよい。さらに他の例において、AAnF536は、拡張A-KID800を含むNEF224からNaanf_AKMA_AF鍵要求メッセージを受信してもよい。次に、AKMAコントローラ1604は、拡張A-KID800を記憶する(ステップ1904)。
【0068】
AKMA認証サービスの詳細は、拡張A-KID800を使用して以下で説明される。図20は、例示的な実施形態におけるプライマリ認証後のAKMAアンカー鍵(KAKMA)の生成を示すシグナリング図である。プライマリ認証手順の間、AUSF210は、加入資格(例えば、AKA認証ベクトル)およびNUDM_UE認証取得要求サービス操作を使用した認証方法などの認証情報を取得するために、UDM218とインタラクションする。これに応じて、UDM218は、UE106に対してKAKMA鍵を生成する必要があるかどうかのAKMA指示をAUSF210に提供してもよい。AKMA指示が含まれている場合、UDM218は、Nudm_UE認証取得要求にUE106のRIDを含む。
【0069】
AUSF210がUDM218からAKMA指示を受信した場合、AUSF210はKAUSF鍵を記憶し、プライマリ認証手順が正常に完了した後にKAUSF鍵からKAKMA鍵および拡張A-KID800を生成する。同様に、UE106はAKMA AF222との通信を開始する前に、KAKMA鍵および拡張A-KID800をKAUSF鍵から生成する。AKMA鍵素材が生成された後、AUSF210はAANF536を選択し、Naanf_AKMAアンカー登録要求メッセージ2004を使用して、UE106のSUPIとともに拡張A-KID800およびKAKMA鍵をAANF536に送信する。AANF536は、Naanf_AKMAアンカー鍵登録応答メッセージを使用してAUSF210に応答を送信する。
【0070】
図21は、例示的な実施形態におけるAKMAアプリケーション鍵(KAF)の生成を示すシグナリング図である。UE106とAKMA AF222の通信を開始する前に、UE106およびAKMA AF222はAKMAを使用するかどうかを知る必要がある。この知識は、UE106およびAKMA AF222の特定のアプリケーションに暗黙的であるかまたはAKMA AF222からUE106によって示される。UE106は、AKMA AF222との通信を開始する前に、KAUSFからAKMAアンカー鍵(KAKMA)および拡張A-KID800を生成する。UE106がAKMA AF222との通信を開始する場合、UE106はAKMA AF222へのAKMA要求に拡張A-KID800を含む(例えば、アプリケーションセッション確立要求メッセージ2104)。UE106は、メッセージを送信する前または後にKAF鍵を引き出し得る。
【0071】
AKMA AF222に拡張A-KID 800に関連するアクティブコンテキストがない場合、加記号810に基づいて拡張A-KID800のユーザ名802からRID812を抽出するためにAKMA AF222は拡張A-KID800を復号し、RID812に基づいてAANF536を選択する。次に、AKMA AF222は、、UE106のKAF鍵を要求するために拡張A-KID800を持つAANF536にNaanf_AKMA_ApplicationKey_Get要求2106を送信する。AKMA AF222は、要求に識別(AF_ID)も含む。
【0072】
AAnF536は、設定されたローカルポリシーに基づいて、またはAF_IDを使用してNRF226から提供された許可情報またはポリシーに基づいて、AKMA AF222にサービスを提供できるかどうかを確認する。成功した場合、AAnF536は、拡張A-KID800によって識別されるUE固有KAKMA鍵の存在に基づいて、加入者がAKMAの使用を許可されているかどうかを確認する。AAnF536は、KAF鍵がまだない場合はKAKMA鍵からKAF鍵を取得し、SUPI、KAF鍵、およびKAFの有効期限を使用して、Naanf_AKMA_ApplicationKey_Get応答をAKMA AF222に送信する。AKMA AF222は、AKMA応答(例えば、アプリケーションセッション確立応答)をUE106に送信する。
【0073】
図に示されている、またはここに記載されているさまざまな要素またはモジュールのいずれも、ハードウェア、ソフトウェア、ファームウェア、またはこれらのいくつかの組み合わせとして実装され得る。例えば、要素は専用ハードウェアとして実装されてもよい。専用ハードウェア要素は、「プロセッサ」、「コントローラ」、またはいくつかの類似の用語として呼ばれることがある。プロセッサによって提供される場合、機能は、単一の専用プロセッサ、単一の共有プロセッサ、または複数の個別のプロセッサによって提供され、その一部は共有される場合がある。さらに、「プロセッサ」または「コントローラ」という用語の明示的な使用は、ソフトウェアを実行できるハードウェアのみを指すと解釈すべきではなく、デジタル信号プロセッサ(DSP)ハードウェア、ネットワークプロセッサ、特定用途向け集積回路(ASIC)またはその他の回路、フィールドプログラマブルゲートアレイ(FPGA)、ソフトウェアを記憶するための読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、不揮発性ストレージ、ロジック、またはその他の物理ハードウェア構成要素またはモジュールを暗黙的に含む場合があり、これらに限定されない。
【0074】
また、要素は、その要素の機能を実行するためにプロセッサまたはコンピュータによって実行可能な命令として実装される場合がある。命令の例としては、ソフトウェア、プログラムコード、ファームウェアなどがある。命令は、要素の機能を実行するようプロセッサに指示するためにプロセッサによって実行されるときに動作する。命令は、プロセッサによって読み取り可能な記憶装置に記憶される場合がある。記憶装置の例としては、デジタルメモリやソリッドステートメモリ、磁気ディスクや磁気テープなどの磁気記憶媒体、ハードドライブ、光学的に読み取り可能なデジタルデータ記憶媒体などがある。本明細書で使用される「回路」という用語は、次の1つまたは複数またはすべてを指す場合がある。
(a)ハードウェアのみの回路実装(アナログおよび/またはデジタル回路のみの実装など)
(b)ハードウェア回路およびソフトウェアの組み合わせであって(該当する場合)、
(i)アナログおよび/またはデジタルハードウェア回路とソフトウェア/ファームウェアの組み合わせ
(ii)ハードウェアプロセッサの一部であって、ソフトウェア(デジタル信号プロセッサを含む)、ソフトウェア、およびメモリが連携して、携帯電話やサーバなどの装置にさまざまな機能を実行させる)
(c)動作にソフトウェア(例えば、ファームウェア)を必要とするが、動作に必要でない場合はソフトウェアが存在しないことがあるハードウェア回路およびプロセッサ。
(a)ハードウェアのみの回路実装(アナログおよび/またはデジタル回路のみの実装など)
(b)ハードウェア回路およびソフトウェアの組み合わせであって(該当する場合)、
(i)アナログおよび/またはデジタルハードウェア回路とソフトウェア/ファームウェアの組み合わせ
(ii)ハードウェアプロセッサの一部であって、ソフトウェア(デジタル信号プロセッサを含む)、ソフトウェア、およびメモリが連携して、携帯電話やサーバなどの装置にさまざまな機能を実行させる)
(c)動作にソフトウェア(例えば、ファームウェア)を必要とするが、動作に必要でない場合はソフトウェアが存在しないことがあるハードウェア回路およびプロセッサ。
【0075】
この回路の定義は、あらゆる請求の範囲を含む、本明細書におけるこの用語のすべての使用に適用される。さらなる例として、本明細書で使用されるように、回路という用語は、単にハードウェア回路またはプロセッサ(または複数のプロセッサ)、またはハードウェア回路またはプロセッサの一部と、それ(またはそれら)に付随するソフトウェアおよび/またはファームウェアの実装も対象とする。回路という用語は、例えば、特定の請求項の要素に該当する場合、モバイルデバイス用のベースバンド集積回路またはプロセッサ集積回路、またはサーバ、セルラーネットワークデバイス、またはその他のコンピューティングまたはネットワークデバイス内の同様の集積回路も対象とする。
【0076】
ここでは特定の実施形態について説明したが、開示の範囲はそれらの特定の実施形態に限定されない。開示の範囲は、以下の請求項およびそれに相当するものによって定義される。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
