(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-16
(45)【発行日】2024-10-24
(54)【発明の名称】認証方法およびシステム
(51)【国際特許分類】
H04W 12/084 20210101AFI20241017BHJP
H04W 12/069 20210101ALI20241017BHJP
H04W 12/75 20210101ALI20241017BHJP
【FI】
H04W12/084
H04W12/069
H04W12/75
(21)【出願番号】P 2023518855
(86)(22)【出願日】2021-06-25
(86)【国際出願番号】 CN2021102535
(87)【国際公開番号】W WO2022062517
(87)【国際公開日】2022-03-31
【審査請求日】2023-05-01
(32)【優先日】2020-09-24
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】504161984
【氏名又は名称】ホアウェイ・テクノロジーズ・カンパニー・リミテッド
(74)【代理人】
【識別番号】100110364
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133569
【氏名又は名称】野村 進
(72)【発明者】
【氏名】ビーディ・イン
(72)【発明者】
【氏名】ハン・ジャン
【審査官】松野 吉宏
(56)【参考文献】
【文献】中国特許出願公開第111464980(CN,A)
【文献】米国特許出願公開第2018/0343249(US,A1)
【文献】米国特許出願公開第2019/0268741(US,A1)
【文献】中国特許出願公開第111294762(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24 - 7/26
H04W 4/00 - 99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
通信ネットワーク内のユーザ機器(UE)の統一認証のためのシステムであって、前記システムは、
前記UEおよび1つ以上のネットワークエンティティによって通信可能に信頼され、前記UEおよび前記1つ以上のネットワークエンティティに接続されたサードパーティであって、前記サードパーティは、
前記UEまたは前記ネットワークエンティティの身元情報を示す身元確認情報を取得することと、
前記UEおよび前記ネットワークエンティティが前記通信ネットワークで通信を実行することを承認されるか否かについて前記UEおよび前記ネットワークエンティティを検証することと、
マッピング情報を作成することであって、前記マッピング情報は、前記身元確認情報によって示される各身元情報とそれぞれの一時認証識別子(ID)との間のマッピングを含む、ことと、
前記マッピング情報に従って、前記それぞれの一時認証IDを、前記サードパーティによって正常に検証された前記UEおよび前記ネットワークエンティティの各々に送信することと
を行うように構成された、サードパーティと、
前記UEがアクセスすることを認証された前記1つ以上のネットワークエンティティであって、前記ネットワークエンティティの各々は、前記ネットワークエンティティのそれぞれの一時認証IDに基づいて、前記UEまたは他のネットワークエンティティと通信するように構成されている、前記1つ以上のネットワークエンティティと
を備え
、
前記UEの一時認証IDは、前記UEの初期登録において生成され、前記UEまたは前記ネットワークエンティティからの要求に基づいて更新される、システム。
【請求項2】
前記サードパーティは、
前記ネットワークエンティティから前記一時認証IDを取得すること、および
前記UEの身元情報を示す前記身元確認情報に従って前記一時認証IDを生成すること
のうちの少なくとも1つを行うようにさらに構成されている、請求項1に記載のシステム。
【請求項3】
前記サードパーティは、
前記UEまたは前記ネットワークエンティティから要求を受信することであって、前記要求は、前記UEまたは前記ネットワークエンティティの身分証明書、前記UEまたは前記ネットワークエンティティの身元情報を示す前記身元確認情報、前記UEまたは前記ネットワークエンティティがアクセスすることを優先させるネットワークを示す優先度および前記UEまたは前記ネットワークエンティティがアクセスすることを優先させるサービスを示す優先度、または識別暗号によって示されるこれらの組合せ、のうちの1つ以上を含む、ことと、
受信した情報が、前記サードパーティによって保持される情報と一致するか否かを検証することと、
検証が成功すると、1つ以上のサブスクリプションを示す情報を前記UEまたは前記ネットワークエンティティに送信することと
を行うようにさらに構成されている、請求項1または2に記載のシステム。
【請求項4】
前記要求は、前記サードパーティ上で承認されるべき承認要求であり、前記サードパーティは、前記要求への応答を送信することによって前記情報を送信するように構成され、前記応答はサブスクリプション暗号を含む、請求項3に記載のシステム。
【請求項5】
前記サブスクリプション暗号は、
利用可能なインフラストラクチャプロバイダおよび前記インフラストラクチャプロバイダに関連付けられた利用可能な現在の公開鍵のリストと、
ネットワークスライスプロバイダによって提供される利用可能なスライスおよび前記ネットワークスライスプロバイダに関連付けられたサービング公開鍵のリストと、
サービスプロバイダによって提供される利用可能なサービスおよび前記サービスプロバイダに関連付けられたサービング公開鍵のリストと、
利用可能なインフラストラクチャマネージャおよび前記利用可能なインフラストラクチャマネージャに関連付けられたサービング公開鍵のリストと、
前記一時認証IDと、
前記サードパーティ内の認証、承認、およびアカウンティング(AAA)管理機能の署名であって、前記署名は前記UEまたは前記ネットワークエンティティへの承認を示す、署名と、
前記UEまたは前記ネットワークエンティティからの公開鍵および秘密鍵と、
前記サードパーティ内の前記AAA管理機能からの公開鍵と
のうちの1つ以上を示す、請求項4に記載のシステム。
【請求項6】
前記ネットワークエンティティの各々は、
前記UEにサービスを提供するように構成されたサービスプロバイダと、
前記サービスのためのネットワークスライスリソースを提供するように構成されたネットワークスライスプロバイダと、
前記サービスをサポートするためのインフラストラクチャを提供するように構成されたインフラストラクチャプロバイダと、
アクセスノードの管理下で前記インフラストラクチャまたはセルを管理するように構成されたインフラストラクチャマネージャと
のうちの1つ以上として構成されている、請求項1から5のいずれか一項に記載のシステム。
【請求項7】
前記要求は、前記サードパーティに登録されるべき初期登録要求であり、前記要求は、1つ以上のサブスクリプションを示す情報を含み、前記1つ以上のサブスクリプションを示す情報は、
前記マッピング情報と、
前記UEに関連付けられた一時セッション鍵と、
前記一時認証IDと、
利用可能なインフラストラクチャプロバイダおよび前記利用可能なインフラストラクチャプロバイダからのサービング公開鍵のリストと、
ネットワークスライスプロバイダによって提供される利用可能なスライスおよび前記ネットワークスライスプロバイダからのサービング公開鍵のリストと、
サービスプロバイダによって提供される利用可能なサービスおよび前記サービスプロバイダからのサービング公開鍵のリストと、
利用可能なインフラストラクチャマネージャおよび前記利用可能なインフラストラクチャマネージャからのサービング公開鍵のリストと
のうちの1つ以上を含む、請求項3に記載のシステム。
【請求項8】
前記サードパーティは、前記UEへの承認を示す認証情報に基づいて、前記1つ以上のサブスクリプションに署名するようにさらに構成され、
前記ネットワークエンティティの各々は、前記サードパーティの公開鍵に基づいて、示された前記サブスクリプションを検証するようにさらに構成されている、請求項3から7のいずれか一項に記載のシステム。
【請求項9】
前記ネットワークエンティティの各々は、
前記一時認証IDを更新するための要求を受信することであって、前記要求は、前記一時認証IDおよび前記要求を送信するエンティティのIDを含む、ことと、
前記一時認証IDを検証することと、
検証が成功すると、1つ以上の新しい一時認証IDを生成し、前記新しい一時認証IDに関連付けられたマッピングを含むようにローカルマッピング情報を更新することと、
前記サードパーティおよび他のネットワークエンティティに前記新しい一時認証IDを通知することと
によって前記UEのモビリティを管理するようにさらに構成されている、請求項1から8のいずれか一項に記載のシステム。
【請求項10】
前記要求は、暗号化された要求エンティティ、ランダムID、および前記要求に関連付けられた前記ネットワークエンティティの1つ以上の署名であって、前記署名の各々は前記UEへの承認を示す、1つ以上の署名、のうちの1つ以上をさらに含む承認要求である、請求項9に記載のシステム。
【請求項11】
前記他のネットワークエンティティの各々は、
前記一時認証IDを更新するための前記要求に応答して、前記UEのためのサービスサブスクリプションを含む応答を送信することと、
受信した新しい一時認証IDに従って、前記UEへの承認を示す前記署名を生成することと
を行うようにさらに構成されている、請求項10に記載のシステム。
【請求項12】
通信ネットワーク内のユーザ機器(UE)の統一認証のための方法であって、前記方法は、
前記UEおよび1つ以上のネットワークエンティティによって通信可能に信頼され、前記UEおよび前記1つ以上のネットワークエンティティに接続されたサードパーティにより、前記UEまたは前記ネットワークエンティティの身元情報を示す身元確認情報を取得するステップと、
前記サードパーティにより、前記UEおよび前記ネットワークエンティティが前記通信ネットワークで通信を実行することを承認されるか否かについて前記UEおよび前記ネットワークエンティティを検証するステップと、
前記サードパーティにより、マッピング情報を作成するステップであって、前記マッピング情報は、前記身元確認情報によって示される各身元情報とそれぞれの一時認証識別子(ID)との間のマッピングを含む、ステップと、
前記サードパーティにより、前記マッピング情報に従って、前記それぞれの一時認証IDを、前記サードパーティによって正常に検証された前記UEおよび前記ネットワークエンティティの各々に送信するステップと、
前記UEがアクセスすることを認証された前記1つ以上のネットワークエンティティにより、前記1つ以上のネットワークエンティティのそれぞれの一時認証IDに基づいて、前記UEまたは他のネットワークエンティティと通信するステップと
を含
み、
前記UEの一時認証IDは、前記UEの初期登録において生成され、前記UEまたは前記ネットワークエンティティからの要求に基づいて更新される、方法。
【請求項13】
前記サードパーティは、
前記ネットワークエンティティから前記一時認証IDを取得するステップと、
前記UEの身元情報を示す前記身元確認情報に従って前記一時認証IDを生成するステップと
のうちの少なくとも1つを行う、請求項12に記載の方法。
【請求項14】
前記サードパーティにより、前記UEまたは前記ネットワークエンティティから要求を受信するステップであって、前記要求は、前記UEまたは前記ネットワークエンティティの身分証明書、前記UEまたは前記ネットワークエンティティの身元情報を示す前記身元確認情報、前記UEまたは前記ネットワークエンティティがアクセスすることを優先させるネットワークを示す優先度および前記UEまたは前記ネットワークエンティティがアクセスすることを優先させるサービスを示す優先度、または識別暗号によって示されるこれらの組合せ、のうちの1つ以上を含む、ステップと、
前記サードパーティにより、受信した情報が、前記サードパーティによって保持される情報と一致するか否かを検証するステップと、
検証が成功すると、前記サードパーティにより、1つ以上のサブスクリプションを示す情報を前記UEまたは前記ネットワークエンティティに送信するステップと
をさらに含む、請求項12または13に記載の方法。
【請求項15】
前記要求は、前記サードパーティ上で承認されるべき承認要求であり、
前記サードパーティにより、前記要求への応答を送信することによって前記情報を送信し、前記応答はサブスクリプション暗号を含む、請求項14に記載の方法。
【請求項16】
前記サブスクリプション暗号は、
利用可能なインフラストラクチャプロバイダおよび前記インフラストラクチャプロバイダに関連付けられた利用可能な現在の公開鍵のリストと、
ネットワークスライスプロバイダによって提供される利用可能なスライスおよび前記ネットワークスライスプロバイダに関連付けられたサービング公開鍵のリストと、
サービスプロバイダによって提供される利用可能なサービスおよび前記サービスプロバイダに関連付けられたサービング公開鍵のリストと、
利用可能なインフラストラクチャマネージャおよび前記利用可能なインフラストラクチャマネージャに関連付けられたサービング公開鍵のリストと、
前記一時認証IDと、
前記サードパーティ内の認証、承認、およびアカウンティング(AAA)管理機能の署名であって、前記署名は前記UEまたは前記ネットワークエンティティへの承認を示す、署名と、
前記UEまたは前記ネットワークエンティティからの公開鍵および秘密鍵と、
前記サードパーティ内の前記AAA管理機能からの公開鍵と
のうちの1つ以上を示す、請求項15に記載の方法。
【請求項17】
前記ネットワークエンティティの各々は、
前記UEにサービスを提供するように構成されたサービスプロバイダと、
前記サービスのためのネットワークスライスリソースを提供するように構成されたネットワークスライスプロバイダと、
前記サービスをサポートするためのインフラストラクチャを提供するように構成されたインフラストラクチャプロバイダと、
アクセスノードの管理下で前記インフラストラクチャまたはセルを管理するように構成されたインフラストラクチャマネージャと
のうちの1つ以上として構成されている、請求項12から16のいずれか一項に記載の方法。
【請求項18】
前記要求は、前記サードパーティに登録されるべき初期登録要求であり、1つ以上のサブスクリプションを示す前記身元確認情報は、
前記マッピング情報と、
前記UEに関連付けられた一時セッション鍵と、
前記一時認証IDと、
利用可能なインフラストラクチャプロバイダおよび前記利用可能なインフラストラクチャプロバイダからのサービング公開鍵のリストと、
ネットワークスライスプロバイダによって提供される利用可能なスライスおよび前記ネットワークスライスプロバイダからのサービング公開鍵のリストと、
サービスプロバイダによって提供される利用可能なサービスおよび前記サービスプロバイダからのサービング公開鍵のリストと、
利用可能なインフラストラクチャマネージャおよび前記利用可能なインフラストラクチャマネージャからのサービング公開鍵のリストと
のうちの1つ以上を含む、請求項14に記載の方法。
【請求項19】
前記サードパーティにより、前記UEへの承認を示す認証情報に基づいて、前記1つ以上のサブスクリプションに署名するステップと、
前記ネットワークエンティティの各々により、前記サードパーティの公開鍵に基づいて、示された前記サブスクリプションを検証するステップと
をさらに含む、請求項14から18のいずれか一項に記載の方法。
【請求項20】
前記UEのモビリティを管理することは、
前記ネットワークエンティティの各々により、前記一時認証IDを更新するための要求を受信するステップであって、前記要求は、前記一時認証IDおよび前記要求を送信するエンティティのIDを含む、ステップと、
前記ネットワークエンティティの各々により、前記一時認証IDを検証するステップと、
検証が成功すると、前記ネットワークエンティティの各々により、1つ以上の新しい一時認証IDを生成し、前記新しい一時認証IDに関連付けられたマッピングを含むようにローカルマッピング情報を更新するステップと、
前記ネットワークエンティティの各々により、前記サードパーティおよび他のネットワークエンティティに前記新しい一時認証IDを通知するステップと
を含む、請求項12から19のいずれか一項に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2020年9月24日に出願された「AUTHENTICATION METHOD AND SYSTEM」と題される米国非仮特許出願第17/031,205号明細書の優先権を主張し、その内容は、参照により本明細書に組み込まれる。
【0002】
本開示は、通信ネットワークにおける認証に関し、具体的には、特に統一認証アーキテクチャにおける認証方法およびシステムに関する。
【背景技術】
【0003】
現在のネットワーキングシステム(例えば、現在の5Gネットワーキングシステム)では、ユーザ本人証明などの機密情報は、例えば登録のために、ユーザ機器(UE)から、受信した機密情報も記憶するホームオペレータにしばしば送信または公開される。少なくともいくつかの機密情報は、ホームオペレータ、スライス、またはサードパーティからの別のアクセスネットワーク認証のために、ホームオペレータまたはネットワーク機能に保持されてもよい。したがって、望ましくないパーティが機密情報を取得し得るリスクがあり、この可能性は、UEのプライバシー問題にさらに関する。例えば、一意のUE識別子(例えば、サブスクリプション永続識別子(SUPI)またはサブスクリプション秘匿識別子(SUCI))がアクセス管理機能(AMF)、セッション管理機能(SMF)、および認証サーバ機能(AUSF)のようなネットワーク機能に提供され得ると想定すると、特にこれらのネットワーク機能が攻撃されたとき、または一意のUE識別子が盗聴攻撃者によって追跡されたときに、深刻なセキュリティおよびプライバシー問題が発生される可能性がある。
【0004】
現在のネットワーキングシステムでは、多くのサードパーティサーバがユーザ本人証明を保持することができる。例えば、現在の技術(例えば、oauth 2.0、シングルサインオン(SSO))は、アプリケーションサーバが一時トークンを使用してリソースサーバにログインすることを可能にする。このような技術は、システム内のすべての要素が信頼されていない場合であっても、多くのサーバが機密情報および個人情報(例えば、ユーザアカウント情報、運転免許証番号、携帯電話番号)に容易にアクセスすることを可能にし得る。信頼できないエコシステム(例えば、サービス、サードパーティアプリケーション)のため、ユーザは、サービスに登録するときに、自身の機密情報および個人情報をサービスプロバイダに提供することを望まない。
【0005】
現在のネットワーキングシステムは、さらなる問題を有する。現在のネットワーキングシステムでは、ネットワーク参加者とエンティティとの間の信頼できない関係のため、複数の認証が採用されている。複数の認証のいくつかの例は、ホームオペレータによる一次登録(またはネットワークアクセス)認証、スライスアクセス認証、サービスアクセス認証、およびアプリケーションサーバとホームオペレータとの間の認証を含む。しかしながら、これらの複数の認証は、偽インフラストラクチャ、偽アプリケーションサーバ、偽基地局、および偽スライスプロバイダのような驚異アクタの悪意のある行為から生じる潜在的な影響を緩和するために実施されるが、別々の認証は、ネットワーキングシステムに、重い通信オーバヘッドおよび長い遅延ももたらす可能性がある。
【0006】
現在の第3世代パートナーシッププロジェクト(3GPP(登録商標))ネットワーキングシステムでは、UEは、UEがホームオペレータの登録エリアから移動するときに、ホームオペレータによって認証され得る。したがって、UEは、そのモビリティのため、ホームオペレータによって頻繁に認証される必要がある。この頻繁なローミング認証は、余分な通信オーバヘッドおよび長い待ち時間につながる可能性があり、不十分なネットワーク性能およびネットワークセッションまたは通話切断をもたらす可能性がある。これらの問題は、高モビリティシナリオで、例えば、高速道路上を移動している車両または高速列車内にUEが配置されているときに、悪化される可能性がある。
【0007】
したがって、従来技術の1つ以上の制限を受けない通信サービスのためのデバイスを認証するための解決策が必要である。
【0008】
この背景情報は、本発明に関連する可能性があると出願人によって信じられている情報を明らかにするために提供される。上記の情報のいずれかが本発明に対する先行技術を構成することを認めることは必ずしも意図されておらず、そのように解釈されるべきでもない。
【発明の概要】
【課題を解決するための手段】
【0009】
本開示の実施形態の目的は、UEプライバシーおよびネットワークセキュリティの保護を改善するための認証方法およびシステムを提供することである。統一認証アーキテクチャは、複数の参加者にワンタイム相互認証を提供し、一時IDまたは認証IDを有効化する。一時IDまたは認証IDは、UEアクセス認証およびセッション通信に使用される。
【0010】
本開示の実施形態によれば、通信ネットワーク内のユーザ機器(UE)の統一認証のためのシステムが提供される。システムは、UEおよび1つ以上のネットワークエンティティによって通信可能に信頼され、接続されたサードパーティを含み、サードパーティは、UEまたはネットワークエンティティの身元情報を示す身元確認情報を取得し、UEおよびネットワークエンティティが通信ネットワークで通信を実行することを承認されるか否かについてUEおよびネットワークエンティティを検証するように構成されている。サードパーティは、マッピング情報を作成するようにさらに構成され、マッピング情報は、身元確認情報によって示される各身元情報とそれぞれの一時認証識別子(ID)との間のマッピングを含み、マッピング情報に従って、それぞれの一時認証IDを、サードパーティによって正常に検証されたUEおよびネットワークエンティティの各々に送信するようにさらに構成されている。システムは、UEがアクセスすることを認証された1つ以上のネットワークエンティティをさらに含み、ネットワークエンティティの各々は、それらのそれぞれの一時認証IDに基づいてUEまたは他のネットワークエンティティと通信するように構成されている。
【0011】
この特徴の可能な技術的利点は、通信ネットワークエンティティ、例えばセル、インフラストラクチャプロバイダ、アプリケーションサーバ、およびスライスプロバイダの間の信頼できない可能性のある関係により、実施形態によるシステムが、ネットワーク/サービスへの初期アクセス中にネットワークエンティティが相互認証を実行することを可能にする統一認証を提供することができ、これによってネットワークシステムにおける重い通信オーバヘッドを軽減することであり得る。様々な実施形態では、一時IDは、様々なネットワークエンティティとの通信に使用されてもよく、これによって機密情報が信頼できるサードパーティに保持されることを可能にする。一時IDおよび相互認証の使用は、効果的なUE ID管理を可能にし、UE IDプライバシーおよびネットワークセキュリティに関する問題を軽減することができる。
【0012】
実施形態によれば、通信ネットワーク内のユーザ機器(UE)の統一認証のための方法が提供される。方法は、UEおよび1つ以上のネットワークエンティティによって通信可能に信頼され、接続されたサードパーティによって、UEまたはネットワークエンティティの身元情報を示す身元確認情報を取得するステップと、サードパーティによって、UEおよびネットワークエンティティが通信ネットワークで通信を実行することを承認されるか否かについてUEおよびネットワークエンティティを検証するステップとを含む。方法は、サードパーティによって、マッピング情報を作成するステップであって、マッピング情報は、身元確認情報によって示される各身元情報とそれぞれの一時認証識別子(ID)との間のマッピングを含む、ステップと、マッピング情報に従って、サードパーティによって、それぞれの一時認証IDを、サードパーティによって正常に検証されたUEおよびネットワークエンティティの各々に送信するステップとをさらに含む。方法は、UEがアクセスすることを認証された1つ以上のネットワークエンティティによって、それらのそれぞれの一時認証IDに基づいてUEまたは他のネットワークエンティティと通信するステップをさらに含む。
【0013】
いくつかの実施形態では、ネットワークエンティティの各々は、UEのモビリティを管理するようにさらに構成される。ネットワークエンティティは、一時認証IDを更新するための要求を受信するように構成されることができ、要求は、要求を送信して一時認証IDを検証するエンティティの一時認証IDおよびIDを含む。検証が成功すると、ネットワークエンティティは、1つ以上の新しい一時認証IDを生成し、新しい一時的認証IDに関連付けられたマッピングを含むようにローカルマッピング情報を更新し、新しい一時認証IDをサードパーティおよび他のネットワークエンティティに通知するように、構成され得る。
【0014】
この特徴の可能な技術的利点は、実施形態による統一認証システムが、高モビリティUEのための余分なメッセージ交換を緩和することができることであり得る。
【0015】
実施形態は、これらが実施される本発明の態様と併せて上記で説明されてきた。当業者は、実施形態が、説明に用いられた態様と併せて実施されてもよいが、その態様の他の実施形態を用いて実施されてもよいことを理解するだろう。実施形態が相互に排他的であるか、そうでなければ互いに両立しないとき、これは当業者にとって明らかとなる。いくつかの実施形態は、1つの態様に関連して説明され得るが、当業者にとって明らかとなるように、他の態様にも適用可能であり得る。
【0016】
本開示のいくつかの態様および実施形態は提供し得る
【0017】
本発明のさらなる特徴および利点は、以下の詳細な説明を添付の図面と組み合わせて参照することによって、明らかになるであろう。
【図面の簡単な説明】
【0018】
【
図1】現在の第3世代パートナーシッププロジェクト(3GPP(登録商標))システムにおけるアクセス認証のアーキテクチャを示す図である。
【
図2】実施形態による、分散型信頼サードパーティに基づくアクセス認証のアーキテクチャを示す図である。
【
図3】実施形態による、分散型信頼サードパーティに基づく統一認証アーキテクチャを示す図である。
【
図4】実施形態による、UEに割り当てられた公開鍵/秘密鍵を用いて分散型信頼サードパーティ内の認証、承認、およびアカウンティング(AAA)管理機能においてユーザ機器(UE)をオンラインで登録する方法を示す図である。
【
図5】実施形態による、UEに割り当てられた公開鍵/秘密鍵を用いて分散型信頼サードパーティ内のAAA管理機能においてユーザ機器(UE)をオンラインで登録する別の方法を示す図である。
【
図6】実施形態による、複数のAAA管理機能による検証手順を示す図である。
【
図7】実施形態による、
図6の検証手順中にUE公開鍵チェーン(PKC)に追加されるブロックを示す図である。
【
図8】実施形態によるセルおよびインフラストラクチャプロバイダ登録の方法を示す図である。
【
図9】実施形態による、分散型信頼サードパーティにおける様々なタイプのチェーンを示す図である。
【
図10】現在のシステムおよび実施形態による認証アーキテクチャにおけるアクセス認証プロセス中の識別子(ID)管理を示す図である。
【
図11】実施形態による、モバイルUEの初期アクセス認証プロセス中のID管理を示す図である。
【
図12】実施形態による、モバイルUEの初期アクセス認証の方法を示す図である。
【
図13】実施形態による、モバイルUE、セル、およびInf AAAにおける初期アクセス認証のための手順を示す図である。
【
図14】実施形態による、顧客を介したデバイスアクセス認証の方法を示す図である。
【
図15】実施形態による、UEの一時UE IDまたは認証UE IDの更新をトリガする方法を示す図である。
【
図16】実施形態による、ネットワークエンティティによってトリガされた一時UE IDまたは認証UE ID更新の一例を示す図である。
【
図17】実施形態による、タイプI要求エンティティによってトリガされた一時UE IDまたは認証UE ID更新の方法を示す図である。
【
図18】実施形態による、タイプII要求エンティティによってトリガされた一時UE IDまたは認証UE ID更新の方法を示す図である。
【
図19】実施形態による、UEサービスサブスクリプション提供のための方法を示す図である。
【
図20】実施形態による電子デバイスを示す概略図である。
【発明を実施するための形態】
【0019】
添付の図面全体を通して、同様の特徴は同様の符号によって識別されることに留意されたい。
【0020】
本開示において、識別子(ID)は、エンティティ(例えば、ネットワークエンティティ、UEなど)を一意に識別するために使用される情報または情報のセットを指す。
【0021】
本開示は、通信サービスのための(例えば、ブロックチェーンを使用するブロックチェーン構成または公開鍵インフラストラクチャ(PKI)を使用して構成された)分散型信頼サードパーティに基づく統一認証アーキテクチャを提供する。統一認証アーキテクチャは、プライバシー保護(例えば、IDプライバシー保護)を提供し、参加者(例えば、ユーザ機器(UE)、アプリケーションサーバ、インフラストラクチャプロバイダ、スライスプロバイダ、セル、または基地局)に(ワンタイム)相互認証を提供し、それぞれの認証資料(例えば、UEの認証資料、UE一時ID、または認証IDのうちの1つとしてのUEの公開鍵)を管理することができる。実施形態によれば、参加者によって提供される資料のいくつか(例えば、公開鍵)は、それらのチェーン(例えば、UE公開鍵チェーン(UE-PKC)、スライス公開鍵チェーン(スライス-PKC)、サービス公開鍵チェーン(サーバ-PKC)、インフラストラクチャ公開鍵チェーン(Inf-PKC)、InfM公開鍵チェーン(InfM-PKC))に記憶される。参加者のチェーンに記憶された資料は、ハードウェア改ざんされないように保護されることが可能であり、リフレッシュされた認証資料は、安全な通信チャネルを通じて配信され得る。参加者の(1つまたは複数の)チェーンを作成および管理する方法が提供される。サービング公開鍵は、使用されている公開鍵、または使用のために入手可能な公開鍵であることが理解される。
【0022】
実施形態によれば、統一認証アーキテクチャでは、各役割、参加者、またはエンティティ(例えば、サービスプロバイダ、スライスプロバイダ、インフラストラクチャプロバイダ)は分離され、オペレータ、ベンダ、またはサードパーティサービスプロバイダとして機能し得る。各役割またはUEは、(例えばブロックチェーン構成を使用して構成された)分散型信頼サードパーティに登録し、それぞれの公開鍵/秘密鍵またはサブスクリプションをそれぞれ取得し、分散型信頼サードパーティのサポート時に相互認証を実行することができる。
【0023】
実施形態によれば、統一認証アーキテクチャは、認証資料がホームオペレータまたはサーバに記憶されているので、脆弱性が存在する現在のシステムと比較して、UEプライバシー開示のリスクを低減することができる。実施形態によれば、統一認証アーキテクチャは、UE認証をネットワーク動作またはサービスから分離することができ、ローミングフリーでより少ない通信オーバヘッドおよび遅延を提供することができる。この統一認証アーキテクチャでは、UEの個人情報および機密情報は、分散型サードパーティに保持されてもよい。このようにして、UEの個人情報および機密情報は、ネットワークにとって未知であり得る。ネットワークは、実際のUE IDと認証IDまたは一時IDとの間の実際のUE IDまたはマッピング情報(例えば、マッピングテーブル)に関する知識を持たない。したがって、実際のUE IDプライバシー(またはUEの実際の身元情報)が保護され得る。実施形態によれば、統一認証アーキテクチャでは、偽セル、偽インフラストラクチャ、偽基地局、偽スライスプロバイダ、および偽サーバなどの偽ネットワークエンティティが回避され得る。したがって、参加者間、特にインフラストラクチャとアプリケーションサーバとの間の信頼できない関係から生じる影響が、効果的に緩和され得る。
【0024】
本開示は、通信ネットワーク内のユーザ機器(UE)のモビリティを管理するための方法の方法およびネットワーク機能(または装置)をさらに提供する。方法は、統一認証アーキテクチャにおけるアクセス認証中にUE識別子を管理する(例えば、UE IDをマッピングする、一時UE IDまたは認証UE IDをリフレッシュする)ステップを含み得る。アクセス認証は、サービスアクセス認証およびネットワークアクセス認証を含み得る。UEのモビリティを管理するための方法は、UEおよびネットワークエンティティに関連付けられた新しい一時IDまたは認証IDを生成するステップと、それらの間の通信関係を更新するために、生成された一時IDまたは認証IDをネットワークエンティティに通知するステップとを含み得る。実施形態によれば、統一認証アーキテクチャは、一時UE IDまたは認証UE IDを有効化することができる。実施形態によれば、元の実際のUE識別子(ID)は、(例えば、ブロックチェーンとして構成された)分散型信頼サードパーティに記憶され、一時UE IDまたは認証UE IDは、異なるエンティティまたは役割に記憶される。セッション通信およびアクセス認証に使用されるのは、一時UE IDまたは認証UE IDである。上述のように、一時UE IDまたは認証UE IDは、統一認証アーキテクチャにおけるアクセス認証中に更新またはリフレッシュされ得る。このようにして、追跡攻撃は、抵抗または防止されることが可能である。
【0025】
分離されたUE ID(例えば、一時UE IDまたは認証UE IDから分離されている元の実際のUE ID)は、UE IDプライバシーおよびネットワークセキュリティに関する問題を軽減することができる。例えば、分離されたUE IDは、偽UEによって開示されたサービス拒否(DoS)攻撃または(例えば、悪意のあるオペレータによる修正されたセルタワーから生じる)偽セルタワーの悪意のある行為に対するリスクを緩和する。
【0026】
実施形態によれば、UEは、マシンツーマシン(M2M)デバイスとして構成され得る。例えば、UEは、モノのインターネット(IoT)デバイス、ウェアラブルデバイス、車両デバイス、車載デバイス、車載機器、または当業者によって容易に理解されるようなUEの他の構成要素として構成され得る。
【0027】
いくつかの実施形態によれば、通信サービスのための分散型信頼サードパーティに基づく統一認証アーキテクチャは、衛星通信および車両のインターネット(IoV)アプリケーションに適用可能であり得る。
【0028】
図1は、5Gネットワーキングシステムなどの現在の第3世代パートナーシッププロジェクト(3GPP(登録商標))システムにおけるアクセス認証のアーキテクチャ100を示す。
図1を参照すると、現在のアクセス認証アーキテクチャ100は、サービスアクセス認証システム110およびネットワークアクセス認証システム120を含む。サービスアクセス認証システム110は、UE111、サーバ113、ならびに認証、承認、およびアカウンティング(AAA)サーバ115を備える。UE111およびサーバ113は、互いに通信可能に接続されており、サーバ113およびAAA-サーバ115は、互いに通信可能に接続されている。AAA-サーバ115は、ルート証明書を発行する信頼できる機関である中央ルート証明機関(CA)131に通信可能に接続されている。UE111は、アプリケーションサーバ(例えば、サーバ113)へのアクセスのためにサービス認証サーバ115に登録し得る。
【0029】
ネットワークアクセス認証システム120は、UE121、インフラストラクチャプロバイダ123、スライスプロバイダ125、およびホームオペレータ127を含む。UE121は、スライスプロバイダ125に通信可能に接続されたインフラストラクチャプロバイダ123に通信可能に接続されている。インフラストラクチャプロバイダ123およびスライスプロバイダ125の各々は、ホームオペレータ127に通信可能に接続されている。ホームオペレータ127は、中央ルートCA131に通信可能に接続されている。
【0030】
ネットワークアクセス認証システム120では、UE121は、ホームオペレータ127に典型的に登録し、ホームオペレータ127によって認証される。登録および認証プロセスは、インフラストラクチャプロバイダ123、スライスプロバイダ125、またはその両方を通じて実行され得る。このシステムでは、UE ID(例えば、SUPI)は、通信のためにネットワーク機能に保持される。場合によっては、スライス固有の認証が必要とされる場合、認証は、ホーム公衆陸上モバイルネットワーク(hPLMN)の動作を通じて進行することができる。例えば、スライス固有の認証は、ホーム認証サーバ機能(hAUSF)による認証を必要とし得る。
【0031】
サービスアクセス認証システム110およびネットワークアクセス認証システム120の両方について、中央ルートCA131は、証明書を生成および発行するために使用され得る。この中央アーキテクチャは欠点を有することが認識されてきた。例えば、重い証明書失効のために中央ルートCA131に対して大きな負荷がかけられる可能性があり、中央ルートCA131は頻繁に脅威アクタの標的となる。また、この中央アーキテクチャは、UE(例えば、UE111およびUE121)の機密認証資料が(サービス)アクセス認証のためにホームオペレータ、ネットワーク機能、またはサーバ(例えば、アプリケーションサーバ)内に典型的には保持されているため、ユーザプライバシー開示に関する脆弱性を有する。さらに、ネットワークアクセス認証、スライス認証、サービスアクセス認証などの複数の認証は、通信ネットワークに長い遅延および重いオーバヘッドをもたらす可能性がある。中央アーキテクチャはまた、特に高モビリティシナリオにおいて、UEのモビリティのため、ネットワークセッションまたはサービス継続を中断し得る。
【0032】
中央認証アーキテクチャのこれらの欠点を減らすために、本開示は、
図2に示されるような統一認証アーキテクチャを提供する。
図2は、本開示の実施形態による、分散型信頼サードパーティに基づくアクセス認証のための統一認証アーキテクチャ200を示す。アーキテクチャ200は、ID管理、相互認証、およびUEサブスクリプション提供を容易にする。アーキテクチャ200では、現在のシステムとは異なり、UEの公開鍵および一時IDまたは認証IDなどのUEの認証資料は、(例えば、ブロックチェーンPKIとして構成された)分散型信頼サードパーティに記憶される。この構成は、アーキテクチャ200が、プライバシー保護、ローミングフリーでより少ないネットワーク通信オーバヘッドおよび遅延などのいくつかの利点を提供することを可能にする。加えて、この統一認証アーキテクチャ200は拡張可能かつオープンであり、アーキテクチャ200内の各メンバ(エンティティ)は、権限および/または信頼レベルにおいて実質的に等しく、例えばピアツーピアで互いに接続されている。さらに、アーキテクチャ200は、偽セル、偽インフラストラクチャ、偽基地局、偽スライスプロバイダ、および偽サーバなどの偽ネットワークエンティティを効果的に阻止することができる。
【0033】
図2を参照すると、統一認証アーキテクチャ200は、サービスプロバイダ210、スライスプロバイダ220、インフラストラクチャマネージャ230、インフラストラクチャプロバイダ240、UE250、および分散型信頼サードパーティ260のうちの1つ以上を含む。サービスプロバイダ210、スライスプロバイダ220、インフラストラクチャマネージャ230、インフラストラクチャプロバイダ240、およびUE250の各々は、分散型信頼サードパーティ260に通信可能に接続されている。分散型信頼サードパーティ260の一例は、ブロックチェーン公開鍵インフラストラクチャ(PKI)として構成されるが、これは、他の適切な認証技術を使用する信頼できるパーティであってもよい。いくつかの実施形態では、統一認証アーキテクチャ200は、他のネットワークエンティティ(例えば、
図2に示されていないネットワークエンティティ)をさらに含むことができ、これらの他のネットワークエンティティは、統一認証アーキテクチャ200の一部である場合、分散型信頼サードパーティ260に通信可能に接続される。
【0034】
実施形態によれば、サービスプロバイダ210、スライスプロバイダ220、インフラストラクチャマネージャ230、およびインフラストラクチャプロバイダ240の各々は、分離され、例えば、オペレータ、ベンダ、またはサードパーティサービスプロバイダとして機能し得る。サービスプロバイダ210、スライスプロバイダ220、インフラストラクチャマネージャ230、インフラストラクチャプロバイダ240、およびUE250の各々は、(例えば、ブロックチェーンPKIとして構成された)分散型信頼サードパーティ260に登録し得、それぞれの公開鍵/秘密鍵またはサブスクリプションを取得する。サービスプロバイダ210、スライスプロバイダ220、インフラストラクチャマネージャ230、インフラストラクチャプロバイダ240、およびUE250の各々は、分散型信頼サードパーティ260のサポートによって互いに認証することができる。元の実際のUE IDは分散型信頼サードパーティ260に記憶され、様々な一時UE IDまたは認証UE IDは、それぞれサービスプロバイダ210、スライスプロバイダ220、インフラストラクチャマネージャ230、およびインフラストラクチャプロバイダ240に記憶される。これらの一時UE IDまたは認証UE IDは、各エンティティ(例えば、役割、参加者)とUEアクセス認証との間のセッション通信に使用される。
【0035】
サービスプロバイダ210は、サービスプロバイダであってもよく、スライスプロバイダ220に通信可能に接続されてもよい。サービスプロバイダ210およびスライスプロバイダ220は、分散型信頼サードパーティ260のサポート時に互いに認証する。サービスプロバイダ210およびスライスプロバイダ220は、その間のセッション通信のためにUE_server_TIDなどの一時識別子または認証識別子を使用し得る。サービスプロバイダ210とスライスプロバイダ220との間のセッション通信に使用される一時識別子または認証識別子は、サービスプロバイダ210に記憶され得る。
【0036】
スライスプロバイダ220は、スライスプロバイダであってもよく、インフラストラクチャマネージャ230に通信可能に接続されてもよい。スライスプロバイダ220およびインフラストラクチャマネージャ230は、分散型信頼サードパーティ260のサポートによって互いに認証する。スライスプロバイダ220およびインフラストラクチャマネージャ230は、その間のセッション通信のためにUE_slice_TIDなどの一時識別子または認証識別子を使用し得る。スライスプロバイダ220とインフラストラクチャマネージャ230との間のセッション通信に使用される一時識別子または認証識別子は、スライスプロバイダ220に記憶され得る。
【0037】
インフラストラクチャマネージャ230は、インフラストラクチャ240のためのマネージャエンティティであってもよく、インフラストラクチャプロバイダ240に通信可能に接続されてもよい。インフラストラクチャマネージャ230およびインフラストラクチャプロバイダ240は、分散型信頼サードパーティ260のサポートによって互いに認証する。インフラストラクチャマネージャ230およびインフラストラクチャプロバイダ240は、その間のセッション通信のためにUE_InfM_TIDなどの一時識別子または認証識別子を使用し得る。インフラストラクチャマネージャ230とインフラストラクチャプロバイダ240との間のセッション通信に使用される一時識別子または認証識別子は、インフラストラクチャマネージャ230に記憶され得る。
【0038】
インフラストラクチャプロバイダ240は、ネットワーク接続、通信、動作、および管理を可能にするネットワークリソースを提供するように構成され得る。インフラストラクチャプロバイダ240は、UE250に通信可能に接続され得る。インフラストラクチャプロバイダ240およびUE250は、分散型信頼サードパーティ260のサポートによって互いに認証する。インフラストラクチャプロバイダ240およびUE250は、その間のセッション通信のためにUE_Inf_TIDなどの一時識別子または認証識別子を使用し得る。インフラストラクチャプロバイダ240とUE250との間のセッション通信に使用される一時識別子または認証識別子は、インフラストラクチャプロバイダ240に記憶され得る。
【0039】
分散型信頼サードパーティ260は、1つ以上のAAA管理機能265を含む。AAA管理機能265の各々は、分散型信頼サードパーティ260におけるAAAを示すことができる。分散型サードパーティ260を介したAAA管理機能265は、サービスプロバイダ210、スライスプロバイダ220、インフラストラクチャマネージャ230、インフラストラクチャプロバイダ240、およびUE250の各々に通信可能に接続され得る。サービスプロバイダ210、スライスプロバイダ220、インフラストラクチャマネージャ230、インフラストラクチャプロバイダ240、およびUE250の各々は、AAA管理機能265に登録し得る。AAA管理機能265は、ID管理、認証、識別、および承認などの様々なタスクの実行またはサポートを可能にすることができる。
【0040】
図3は、本開示の実施形態による、分散型信頼サードパーティに基づく統一認証アーキテクチャ300を示す。統一認証アーキテクチャ300は、クラウドチェーン層、論理ネットワーク層、アプリケーション層、およびインフラストラクチャ層を含む。クラウドチェーン層は、トランザクションのリストを記録し得る異なるチェーン(例えば、UE公開鍵チェーン(UE-PKC))を管理し得る。クラウドチェーン層はまた、例えばUE IDマッピング情報またはマッピングテーブルを提供するなど、UE ID管理も実行し得る。クラウドチェーン層はアクセス認証のための検証動作を実行するか、または他の検証(例えば、ブラックリスト管理)を実行することができる。論理ネットワーク層は、インフラストラクチャの提供および制御、スライスの保守および提供を管理または制御し得る。論理ネットワーク層はまた、ネットワークアクセス認証または鍵管理のための検証も実行し得る。アプリケーション層は、サービスを提供し、サービスアクセス認証または鍵管理のための検証を実行することができる。インフラストラクチャ層は、物理インフラストラクチャリソースを提供し、ネットワークアクセス認証を提供することができる。実施形態によれば、同じ層内の各ドメインは、互いに信頼し得ない可能性があると考えられ得る。
【0041】
図3を参照すると、統一認証アーキテクチャ300は、サービスプロバイダ310、スライスプロバイダ320、インフラストラクチャマネージャ330、インフラストラクチャプロバイダ340、および分散型信頼サードパーティ360のうちの1つ以上を含む。いくつかの実施形態では、統一認証アーキテクチャ300は、他のネットワークエンティティをさらに含むことができ、これらの他のネットワークエンティティが統一認証アーキテクチャ300の一部を形成する場合、これらの他のネットワークエンティティは分散型信頼サードパーティ360に通信可能に接続される。
【0042】
図3をさらに参照すると、分散型信頼サードパーティ360は、スライスプロバイダ320(例えば、スライス提供AおよびスライスプロバイダB)ならびにインフラストラクチャマネージャ330に通信可能に接続されている。分散型信頼サードパーティ360は、ブロックチェーン公開鍵インフラストラクチャ(PKI)であってもよいが、これは、他の適切な認証技術を使用する信頼できるパーティであってもよい。サービスプロバイダ310は、サービスプロバイダであってもよく、サービスプロバイダ310と呼ばれてもよい。サーバまたはサービスプロバイダ310は、スライスプロバイダ320に通信可能に接続され得る。スライスプロバイダ320およびインフラストラクチャマネージャ330の各々は、
図3に示されるようなインフラストラクチャプロバイダ340のうちの1つ以上に通信可能に接続され得る。
【0043】
図3をさらに参照すると、サーバ-AAA311は、サービスプロバイダ310によって展開された認証/承認および鍵管理機能である。サーバ-AAA311は、サービスプロバイダ310と同じユニット内に配置されてもされなくてもよい。同様に、スライス-AAA321は、スライスプロバイダ320によって展開された認証/承認および鍵管理機能である。スライス-AAA321は、スライスプロバイダ320と同じユニット内に配置されてもされなくてもよい。InfM 330は、いくつかのインフラストラクチャプロバイダ(例えば、Inf340)を制御または管理し得るインフラストラクチャコントローラまたはマネージャである。InfM-AAA331は、InfM 330によって展開された認証/承認および鍵管理機能である。InfM-AAA331は、InfM 330と同じユニット内に配置されてもされなくてもよい。Inf-AAA341は、インフラストラクチャプロバイダまたはInf340によって展開された認証/承認および鍵管理機能である。Inf-AAA341は、Inf340と同じユニット内に配置されてもされなくてもよい。AAA管理機能365は、(例えば、ブロックチェーンを含むように構成されることが可能な)分散型信頼サードパーティ360における認証/承認および鍵管理機能である。
【0044】
実施形態によれば、UE(例えば、モバイルUE)は、AAA管理機能(例えば、AAA管理機能365)に登録し得る。いくつかの実施形態では、登録プロセスは現場で完了され得る。例えば、UEのユーザは、UEの登録のために身分証明書をAAA管理機能(例えば、AAA管理機能365)にもたらすことができる。いくつかの実施形態では、登録プロセスは、部分的にまたは完全にオンラインで実行されることが可能である。一例では、UEは、自身の公開鍵/秘密鍵を生成し、その識別暗号とともに公開鍵をAAA管理機能(例えば、AAA管理機能365)に提出することができる。識別暗号は、1つ以上のパラメータ、例えば、UEの身分証明書、UE ID、またはUEがアクセスすることを優先させる(1つまたは複数の)ネットワークまたは(1つまたは複数の)サービスを示すUEのアプリケーション/ネットワーク優先度を含み得る。別の例では、AAA管理機能(例えば、AAA管理機能365)は、UEのための公開鍵/秘密鍵セットを生成し、安全な通信を通じて生成された秘密鍵をUEにその後、送信してもよい。いくつかの実施形態では、この安全な通信を保証するために、秘密鍵を含む送信メッセージは、セッション鍵を使用して暗号化されてもよい。セッション鍵を使用するこの暗号化は、UEおよびAAA管理機能が信頼できる関係にないときに有用であり得る。いくつかの実施形態では、安全な通信は、UEまたはAAA管理機能によって生成された公開鍵を使用することができる。
【0045】
UEがAAA管理機能(例えば、AAA管理機能365)に登録されているとき、UEの公開鍵またはその対応する証明書は、UE-PKCに追加され得る。UEがアクセスすることを許可されたネットワークエンティティ(例えば、サービスプロバイダ310、スライスプロバイダ320、インフラストラクチャマネージャ(InfM)330、インフラストラクチャプロバイダ(Inf)340)もまた、UE-PKCに追加され得る。UEのサブスクリプションもまた、UEに記憶され得る。UEのサブスクリプションは、UEに関連付けられたインフラストラクチャIDおよびそれぞれの公開鍵のリスト、UEに関連付けられたスライスIDおよびそれぞれの公開鍵のリスト、UEに関連付けられたサービスIDおよびそれぞれの公開鍵のリスト、UEに関連付けられたインフラストラクチャマネージャIDおよびそれぞれの公開鍵のリスト、UEへの承認の指示のためのAAA管理機能の署名を有するAAA管理機能によって生成された一時UE IDまたは認証ID、AAA管理機能の公開鍵、またはUEの公開鍵/秘密鍵を含むことができる、UEに関連付けられた1つ以上のパラメータを含み得る。UEに関連付けられた他のパラメータは、当業者によって容易に理解されるだろう。
【0046】
図4は、本開示の実施形態による、UEによって生成された公開鍵/秘密鍵を用いて分散型信頼サードパーティ内のAAA管理機能においてUEをオンラインで登録する方法400を示す。
図4を参照すると、UE401は、ステップ410において、自身の公開鍵/秘密鍵、公開鍵/秘密鍵に対応するUE IDまたは(1つまたは複数の)証明書を生成する。UEの公開鍵/秘密鍵は、例えば、楕円曲線暗号(ECC)または容易に理解されるような他の適切な方法を使用して生成され得る。生成されたUE IDは、UEの公開鍵のハッシュ値であり得る。
【0047】
ステップ420において、UE401は、登録の要求をAAA管理機能402に送信する。登録要求は、セッション通信におけるユーザまたはステップ410で生成されたUE401の公開鍵を示す一時的な番号を含み得る。
【0048】
登録要求に応答して、AAA管理機能402は、ステップ430において、UE401に応答を送信する。応答は、AAA管理機能402の公開鍵を含む。いくつかの実施形態では、応答は、AAA管理機能402がUE401の公開鍵を有する場合、UE401の公開鍵を使用して暗号化され得る。UE401およびAAA管理機能402が互いに信頼していない状況では、UEおよびAAA管理機能は、互いに認証することができる。例えば、UE401およびAAA管理機能402は、既存のチャレンジ-レスポンス法または他の適切な方法を使用して互いに認証することができる。
【0049】
ステップ440において、UE401は、AAA管理機能402に、識別暗号を用いた署名付き承認要求を送信する。識別暗号の内容は、UE身分証明書(例えば、運転免許証、パスポート、出生証明書、顔認識、または指紋)、UE401がアクセスすることを優先させる(1つまたは複数の)ネットワークまたは(1つまたは複数の)サービスを示すことができるUE IDまたはUEのアプリケーション/ネットワーク優先度などの1つ以上のパラメータを含み得る。いくつかの実施形態では、識別暗号は、AAA管理機能402の公開鍵を使用して暗号化されてもよい。承認要求は、AAA管理機能402に送信される前に、UE401の秘密鍵を使用して署名されることが可能である。
【0050】
署名付き承認要求を受信すると、AAA管理機能402は、ステップ450において、自身の秘密鍵(すなわち、AAA管理機能402の秘密鍵)を使用して識別暗号を復号する。識別暗号が復号されると、AAA管理機能402は、識別暗号に含まれるUE身分証明書の正当性をチェックする。UE身分証明書の正当性は、例えば政府からのグローバルユーザ情報データベースまたは他の適切な手段を通じて確認されることが可能である。また、AAA管理機能402は、UE401の署名を検証する。UE身分証明書が有効であり、UE401の署名が検証された場合、AAA管理機能402は、UE-PKCに、UE401の公開鍵、およびUE401がアクセスすることを許可された対応する証明書またはネットワークエンティティ(例えば、サービスプロバイダ、スライスプロバイダ、インフラストラクチャマネージャ(InfM)、およびインフラストラクチャプロバイダ(Inf))を記憶または追加する。
【0051】
AAA管理機能402は、ステップ460において、サブスクリプション暗号をUE401に送信することができる。サブスクリプション暗号の内容は、利用可能なインフラストラクチャのリスト、利用可能なスライスのリスト、利用可能なサービスのリスト、利用可能なインフラストラクチャマネージャのリスト、それらの対応する現在の公開鍵、AAA管理機能402によって生成されたUE401の一時UE IDまたは認証UE ID(例えば、TB_ui)、UE401への承認の指示のためのAAA管理機能402の署名、AAA管理機能の公開鍵、およびUEの公開鍵/秘密鍵のうちの1つ以上を含み得る。いくつかの実施形態では、AAA管理機能402の署名のパラメータは、UE401のための一時UE IDまたは認証UE ID(例えば、TB_ui)を含み得る。サブスクリプション暗号は、UE401の公開鍵を使用して暗号化され得る。ステップ470において、UE401は、サブスクリプション暗号を受信し、受信したサブスクリプション暗号を復号し、サブスクリプションを記憶する。
【0052】
図5は、本開示の実施形態による、UEによって生成された公開鍵/秘密鍵を用いて分散型信頼サードパーティ内のAAA管理機能においてUEをオンラインで登録する別の方法500を示す。
図5を参照すると、ステップ510において、UE501およびAAA管理機能502は、その間の安全な通信のためにセッション鍵をまずネゴシエートする。いくつかの実施形態では、セッション鍵は、ディフィー・ヘルマン鍵共有方法または容易に理解されるような他の適切な方法を使用してネゴシエートされ得る。
【0053】
ネゴシエーション時に、UE501は、ステップ520において、登録の要求をAAA管理機能502に送信する。登録要求は、UE501の識別暗号を含み得る。識別暗号の内容は、UE501の身分証明書、UE ID、またはUE501がアクセスすることを優先させる(1つまたは複数の)ネットワークまたは(1つまたは複数の)サービスを示すUEのアプリケーション/ネットワーク優先度を含み得る。識別暗号は、ネゴシエートされたセッション鍵を使用して暗号化され得る。
【0054】
登録要求を受信すると、AAA管理機能502は、ステップ530において、識別暗号を復号し、身分証明書を取得する。身分証明書が取得されると、AAA管理機能502は、UE身分証明書の正当性をチェックする。UE身分証明書の正当性は、例えば政府からのグローバルユーザ情報データベースを通じて確認されることが可能である。UE身分証明書が有効である場合、AAA管理機能502は、対応する証明書を用いてUE501の公開鍵/秘密鍵を生成する。また、AAA管理機能502は、UE-PKCに、UE501の公開鍵、およびUE501がアクセスすることを許可された対応する証明書またはネットワークエンティティ(例えば、サービスプロバイダ、スライスプロバイダ、インフラストラクチャマネージャ(InfM)、およびインフラストラクチャプロバイダ(Inf))を記憶または追加する。
【0055】
次いで、AAA管理機能502は、ステップ540において、UE501に応答を送信する。応答は、セッション鍵を使用して暗号化され得るサブスクリプション暗号を含む。サブスクリプション暗号の内容は、UE501の公開鍵/秘密鍵、AAA管理機能502公開鍵、利用可能なインフラストラクチャのリスト、利用可能なスライスのリスト、利用可能なサービスのリスト、利用可能なインフラストラクチャマネージャ(InfM)のリスト、それらの対応する現在の公開鍵、AAA管理機能502によって生成されたUE501の一時UE IDまたは認証UE ID(例えば、TB_ui)、およびUE501への承認の指示のためのAAA管理機能502の署名のうちの1つ以上を含み得る。いくつかの実施形態では、サブスクリプション暗号は、UE501の公開鍵を使用して暗号化され得る。ステップ550において、UE501は、サブスクリプション暗号を受信し、受信したサブスクリプション暗号を復号し、サブスクリプションを記憶する。
【0056】
実施形態によれば、いずれのAAA管理機能も、
図6に示されるように、UEのトランザクションが検証に合格した場合、UEがアクセスすることを許可されたUEの公開鍵、対応する証明書、またはネットワークエンティティ(例えば、サービスプロバイダ、スライスプロバイダ、インフラストラクチャマネージャ(InfM)、インフラストラクチャプロバイダ(Inf))をUE-PKCに追加することができる。
図6は、本開示の実施形態による、複数のAAA管理機能による検証手順600を示す。
図7は、本開示の実施形態による、
図6の検証手順600中にUE-PKCに追加されるブロックを示す。
【0057】
図6および
図7を参照すると、ステップ610において、AAA管理機能1 601は、自身の署名(AAA管理機能1 601の署名)およびUEの対応する署名を有する検証されたトランザクションのリストを用いて新しいブロック720を構築する。ブロック720は、バージョン、タイムスタンプ、Mecklerツリールートなどの基本フィールドを有する。ブロック720は、AAA管理機能1 601の署名721、対応するUEの署名(例えば、UEトランザクション730)を有するUEのトランザクションのリスト722をさらに含むことができる。UEのトランザクション730の内容は、UEの公開鍵731、UEの署名732、セキュリティに関する他の情報(例えば、公開鍵の有効期限)、またはUEがアクセスを要求するネットワークエンティティ(例えば、サービスプロバイダ、スライスプロバイダ、インフラストラクチャマネージャ(InfM)、インフラストラクチャプロバイダ(Inf))などの1つ以上のパラメータを含み得る。ブロック720のプレハッシュ723は、UE Nのトランザクション711によって参照され得る。
【0058】
ブロック720が構築されると、AAA管理機能1 610は、ステップ620において、AAA管理機能2 602、AAA管理機能3 603、およびAAA管理機能n 604などの他のAAA管理機能にブロックをブロードキャストする。ブロック720は、AAA管理機能1 610の署名、UEの署名、およびUEトランザクションのうちの1つ以上を含み得る。実施形態によれば、AAA管理機能(例えば、AAA管理機能1 610、AAA管理機能2 602、AAA管理機能3 603、AAA管理機能n 604など)の各々は、同じ分散型信頼サードパーティ(例えば、ブロックチェーンPKI)内に配置されてもよい。
【0059】
AAA管理機能2 602、AAA管理機能3 603、AAA管理機能n 604、および他のAAA管理機能がブロードキャストされたブロック720をAAA管理機能1 610から受信すると、これらのAAA管理機能の各々は、ステップ630において、ブロック720に含まれる(1つまたは複数の)UEトランザクションを検証する。
【0060】
ブロードキャストされたブロック720を受信したAAA管理機能2 602、AAA管理機能3 603、AAA管理機能n 604、および他のAAA管理機能は、ステップ640において、AAA管理機能1 601に検証の結果を送信する。
【0061】
(1つまたは複数の)コンセンサス方法またはアルゴリズム(例えば、実用的ビザンチンフォルトトレランス(PBFT)、プルーフオブワーク(POW))を実行した後、ブロック720は、ステップ650において、UE-PKCに追加される。上述のように、ブロック720は、基本フィールド、例えばバージョン、タイムスタンプ、Merklerツリールートを有する。
【0062】
実施形態によれば、スライスプロバイダは、ネットワークスライスを作成または保持することができる。スライスプロバイダは、(1つまたは複数の)AAA管理機能に提出されたネットワークスライス情報を検証し、スライス用の公開鍵チェーンに追加するために、まずAAA管理機能に登録し得る。いくつかの実施形態では、登録プロセスは現場で完了され得る。いくつかの実施形態では、登録プロセスは、部分的にまたは完全にオンラインで実行されることが可能である。スライスプロバイダのオンライン登録プロセスは、
図4および
図5に示されるUEのものと本質的に同様であってもよい。登録時に、スライスプロバイダは、AAA管理機能の公開鍵とともに自身の公開鍵/秘密鍵を有する。AAA管理機能は、スライスプロバイダの公開鍵、スライスプロバイダの他の情報(例えば、スライスプロバイダID)、またはその両方を有することができる。
【0063】
AAA管理機能で登録された後、スライスプロバイダは、スライスごとに公開鍵/秘密鍵のペアを生成するように、スライス-AAA(例えば、スライスプロバイダによって展開されたスライス-AAA)に要求する。次いで、スライス-AAAは、要求トランザクションを暗号化することができ、暗号化は、署名暗号化または他の暗号技術を使用して有効化され得る。要求トランザクションは、スライスID、スライスの公開鍵/秘密鍵、対応する証明書、スライスプロバイダID、ネットワークスライスが使用することを優先させる(1つまたは複数の)サービスまたはネットワークスライスを示すスライスのアプリケーション/ネットワーク優先度を含み得る。スライス-AAAは、暗号化された要求トランザクションを検証のためにAAA管理機能に提出する。
【0064】
検証時に、AAA管理機能は、スライスの公開鍵または対応する証明書をスライス-PKCに追加する。AAA管理機能は、スライスのサブスクリプションを含み得る応答を送信する。スライスのサブスクリプションは、AAA管理機能の公開鍵、インフラストラクチャのリスト、サービスのリスト、およびそれらの公開鍵などの1つ以上のパラメータを含み得る。スライス-PKC内のブロックは、スライスIDなどの1つ以上のパラメータを含み得る。
【0065】
実施形態によれば、スライスの公開鍵/秘密鍵は、動的なネットワークスライスの変化のため、定期的に更新される必要があり得る。公開鍵/秘密鍵更新は、スライス-AAAがスライスの公開鍵/秘密鍵更新メッセージをAAA管理機能に送信することによってトリガされ得る。公開鍵/秘密鍵更新メッセージは、新しいスライスの公開鍵(更新された公開鍵)、スライスID、またはその両方を含み得る。この更新メッセージは、古いスライスの秘密鍵を使用して署名され得る。AAA管理機能は、更新メッセージを受信し、古いスライスの公開鍵を使用して署名を検証する。正常に検証されると、AAA管理機能は、有効なブロックを構築し、これをスライス-PKCに追加する。AAA管理機能は、公開鍵更新の結果を示す応答をスライス-AAAに送信することができる。
【0066】
実施形態によれば、インフラストラクチャマネージャは、AAA管理機能に登録することができる。いくつかの実施形態では、登録プロセスは現場で完了され得る。いくつかの実施形態では、登録プロセスは、部分的にまたは完全にオンラインで実行されることが可能である。インフラストラクチャマネージャのオンライン登録プロセスは、
図4および
図5に示されるUEのものと本質的に同様であってもよい。登録時に、インフラストラクチャマネージャは、AAA管理機能の公開鍵とともに自身の公開鍵/秘密鍵を有する。AAA管理機能は、インフラストラクチャマネージャの公開鍵、インフラストラクチャマネージャの他の情報(例えば、InfM ID)、またはその両方を有することができる。AAA管理機能はまた、インフラストラクチャマネージャの公開鍵、インフラストラクチャマネージャの他の情報(例えば、InfM ID)、またはその両方をInfM-PKCに追加する。
【0067】
実施形態によれば、インフラストラクチャマネージャの識別暗号は、1つ以上のパラメータ、例えば、身分証明書、およびインフラストラクチャマネージャが使用することを優先させる(1つまたは複数の)サービスまたはネットワークスライスを示すインフラストラクチャマネージャのアプリケーション/ネットワーク優先度を含み得る。インフラストラクチャマネージャのサブスクリプション暗号は、1つ以上のパラメータ、例えば、AAA管理機能の公開鍵、インフラストラクチャプロバイダのリスト、サービスのリスト、およびそれらの公開鍵を含み得る。InfM-PKC内のブロックは、InfM IDなどの1つ以上のパラメータを含み得る。
【0068】
実施形態によれば、インフラストラクチャマネージャの公開鍵/秘密鍵は、更新される必要があり得る。インフラストラクチャマネージャの公開鍵/秘密鍵の更新は、インフラストラクチャマネージャがインフラストラクチャマネージャの公開鍵/秘密鍵更新メッセージをAAA管理機能に送信することによってトリガされ得る。公開鍵/秘密鍵更新メッセージは、AAA管理機能に送信される前に古いインフラストラクチャマネージャの秘密鍵によって署名された新しいインフラストラクチャマネージャの公開鍵を含み得る。AAA管理機能は、インフラストラクチャマネージャの古い公開鍵を使用してインフラストラクチャマネージャの署名を検証し、検証されたインフラストラクチャマネージャの署名をInfM-PKCに追加する。
【0069】
実施形態によれば、サービスプロバイダまたはサーバは、AAA管理機能に登録することができる。いくつかの実施形態では、登録プロセスは現場で完了され得る。いくつかの実施形態では、登録プロセスは、部分的にまたは完全にオンラインで実行されることが可能である。サービスプロバイダのオンライン登録プロセスは、
図4および
図5に示されるUEのものと本質的に同様であってもよい。登録時に、サービスプロバイダは、AAA管理機能の公開鍵とともに自身の公開鍵/秘密鍵を有する。AAA管理機能は、サービスプロバイダの公開鍵、サービスプロバイダの他の情報(例えば、サービスプロバイダID)、またはその両方を有することができる。AAA管理機能で登録された後、サービスプロバイダは、サービスごとに公開鍵/秘密鍵のペアを生成し、サービスの公開鍵をサーバ-PKCに追加するように、サーバ-AAA(例えば、サービスプロバイダによって展開されたサーバ-AAA)に要求する。
【0070】
検証時に、AAA管理機能は、サービスの公開鍵、サービスの他の情報(例えば、サービスID)、またはその両方をサーバ-PKCに追加する。サービスのサブスクリプションは、サーバ-AAAに提供され得る。サービスのサブスクリプションは、1つ以上のパラメータ、例えば、AAA管理機能の公開鍵、インフラストラクチャプロバイダ(Inf)のリスト、ネットワークスライスまたはインフラストラクチャマネージャ(InfM)のリスト、およびそれらのそれぞれの公開鍵を含み得る。
【0071】
実施形態によれば、サービスの公開鍵/秘密鍵は、更新される必要があり得る。公開鍵/秘密鍵更新は、サーバ-AAAがサービスの公開鍵/秘密鍵更新メッセージをAAA管理機能に送信することによってトリガされ得る。公開鍵/秘密鍵更新メッセージは、サービスの新しい公開鍵(更新された公開鍵)、サービスID、またはその両方を含み得る。この更新メッセージは、AAA管理機能に送信する前にサービスの古い秘密鍵を使用して署名され得る。AAA管理機能は、更新メッセージを受信し、サービスの古い公開鍵を使用して署名を検証する。正常に検証されると、AAA管理機能は、サービスの新しい公開鍵をサーバ-PKCに追加する。
【0072】
実施形態によれば、インフラストラクチャプロバイダは、AAA管理機能に登録することができる。いくつかの実施形態では、登録プロセスは現場で完了され得る。いくつかの実施形態では、登録プロセスは、部分的にまたは完全にオンラインで実行されることが可能である。インフラストラクチャプロバイダのオンライン登録プロセスは、
図4および
図5に示されるUEのものと本質的に同様であってもよい。登録時に、インフラストラクチャプロバイダは、AAA管理機能の公開鍵とともに自身の公開鍵/秘密鍵を有する。AAA管理機能は、インフラストラクチャプロバイダの公開鍵、インフラストラクチャプロバイダの他の情報(例えば、インフラストラクチャID)、またはその両方を有することができる。AAA管理機能登録された後、インフラストラクチャプロバイダは、インフラストラクチャプロバイダごとに公開鍵/秘密鍵のペアを生成し、インフラストラクチャプロバイダの公開鍵をチェーン(例えば、Inf-PKC)に追加するように、Inf-AAA(例えば、インフラストラクチャプロバイダによって展開されたInf-AAA)に要求する。
【0073】
検証時に、AAA管理機能は、インフラストラクチャプロバイダの公開鍵、インフラストラクチャプロバイダの他の情報(例えば、Inf ID)、またはその両方をInf-PKCに追加する。インフラストラクチャプロバイダのサブスクリプションは、Inf-AAAに提供され得る。インフラストラクチャプロバイダのサブスクリプションは、1つ以上のパラメータ、例えば、AAA管理機能の公開鍵、サービスのリスト、ネットワークスライスまたはインフラストラクチャマネージャ(InfM)のリスト、およびそれぞれの公開鍵を含み得る。
【0074】
その後、
図8に示されるように、UEへの承認のためのInf-AAAの公開鍵、セルの公開鍵、およびインフラストラクチャプロバイダの署名のうちの1つ以上が、安全な通信でセルに配信され得る。したがって、セル(または基地局)は、UEへの承認のためのインフラストラクチャプロバイダの公開鍵自身の公開鍵/秘密鍵、およびインフラストラクチャプロバイダの署名のうちの1つ以上を保持することができる。
【0075】
実施形態によれば、インフラストラクチャプロバイダの公開鍵/秘密鍵は、更新される必要があり得る。公開鍵/秘密鍵更新は、Inf-AAAがインフラストラクチャプロバイダの公開鍵/秘密鍵更新メッセージをAAA管理機能に送信することによってトリガされ得る。公開鍵/秘密鍵更新メッセージは、インフラストラクチャプロバイダの新しい公開鍵(例えば、更新された公開鍵)、インフラストラクチャプロバイダID、またはその両方を含み得る。この更新メッセージは、AAA管理機能に送信する前にインフラストラクチャプロバイダの古い秘密鍵を使用して署名され得る。AAA管理機能は、更新メッセージを受信し、インフラストラクチャプロバイダの古い公開鍵を使用して署名を検証する。正常に検証されると、AAA管理機能は、インフラストラクチャプロバイダの新しい公開鍵をInf-PKCに追加する。
【0076】
図8は、本開示の実施形態によるセルおよびインフラストラクチャプロバイダ登録の方法800を示す。
図8を参照すると、Inf-AAAまたはInfプロバイダ802は、ステップ810において、自身の公開鍵/秘密鍵を生成する。ステップ820において、Inf-AAAまたはInfプロバイダ802およびAAA管理機能803は、安全な通信のためにセッション鍵を生成またはネゴシエートする。AAA管理機能803は、AAA管理機能803の公開鍵をInf-AAAまたはInfプロバイダ802に送信する。
【0077】
ステップ830において、Inf-AAAまたはInfプロバイダ802は、AAA管理機能803に、識別暗号を用いた署名付き承認要求を送信する。識別暗号の内容は、身分証明書、Inf-AAAまたはInfプロバイダ802が使用することを優先させる(1つまたは複数の)ネットワークまたはサービスを示すInf IDまたはInfアプリケーション/ネットワーク優先度などの1つ以上のパラメータを含み得る。いくつかの実施形態では、識別暗号は、AAA管理機能803の公開鍵を使用して暗号化されてもよい。承認要求は、AAA管理機能803に送信する前に、Inf-AAAまたはInfプロバイダ802の秘密鍵を使用して署名される。
【0078】
署名付き承認要求を受信すると、AAA管理機能803は、ステップ840において、自身の秘密鍵(すなわち、AAA管理機能803の秘密鍵)を使用して識別暗号を復号し得る。識別暗号が復号されると、AAA管理機能803は、Inf-AAAまたはInfプロバイダ802に関連付けられたインフラストラクチャプロバイダの署名を検証する。インフラストラクチャプロバイダの署名が検証された場合、AAA管理機能803は、インフラストラクチャプロバイダの公開鍵をInf-PKCに記憶または追加する。
【0079】
次いで、AAA管理機能803は、ステップ850において、サブスクリプション暗号を含む署名付き承認応答をInf-AAAまたはInfプロバイダ802に送信する。サブスクリプション暗号の内容は、AAA管理機能803の公開鍵、サービスのリスト、ネットワークスライスまたはインフラストラクチャマネージャ(InfM)のリスト、およびそれらの公開鍵のうちの1つ以上を含み得る。いくつかの実施形態では、サブスクリプション暗号は、Inf-AAAまたはInfプロバイダ802の公開鍵を使用して暗号化され得る。ステップ860において、Inf-AAAまたはInfプロバイダ802は、サブスクリプション暗号を受信し、受信したサブスクリプション暗号を復号し、これをローカルに記憶する。
【0080】
次いで、ステップ870において、セル801の登録が行われ、ステップ820から850と同様の方法で、サブスクリプション暗号がセル801に安全に配信される。結果として、セル801は、ステップ880において、その公開鍵/秘密鍵およびインフラストラクチャプロバイダの公開鍵を保持する。いくつかの実施形態では、セル801は、セル801への承認のためのInfプロバイダ802の署名も保持することができる。Inf-AAAまたはInfプロバイダ802は、ステップ890において、セル801の公開鍵およびセル801のIDを保持する。いくつかの実施形態では、ステップ880および890の順序は重要ではない場合がある。いくつかの実施形態では、ステップ880および890は同時に行われる。いくつかの実施形態では、ステップ880および890は、連続して、逆に、または間に遅延を伴って行われる。
【0081】
実施形態によれば、分散型信頼サードパーティ(例えば、ブロックチェーンPKI)内の任意のAAA管理機能は、管理者であってもよい。例えば、ユーザの身元情報をチェックする権限を有する官公庁またはAAA管理機能は、管理者であってもよく、したがって身分証明書(例えば、運転免許証、パスポート、出生証明書、顔認識、指紋)を検証することができる。管理者は、いくつかの機能を有することができる。管理者は、様々なチェーン(例えば、認証チェーン)を作成または保持し、チェーンごとにジェネシスブロックを生成することもできる。ジェネシスブロックは、スマートコントラクトまたはトランザクション承認プロトコルのためのポリシーを含むことができる。いくつかの実施形態では、ジェネシスブロックは空であってもよい。管理者は、管理者によって招待された、または他のメンバによって検証されたメンバを追加または削除することができる。メンバはAAA管理機能であってもよい。管理者はまた、ネットワークエンティティ(例えば、UE、スライスプロバイダ、InfM、サービスプロバイダ、およびインフラストラクチャプロバイダ)を問い合わせおよび検証すること、ならびに個人からのトランザクション、メンバからのブロック、または管理者を作成および検証することなど、メンバの機能を実行することができる。
【0082】
実施形態によれば、管理者は、様々なチェーン(例えば、認証チェーン)を作成または保持する。
図9は、本開示の実施形態による、分散型信頼サードパーティにおける様々なタイプのチェーンを示す。UE-PKC910は、1つ以上のパラメータ、例えば、公開鍵または対応する証明書を有することができる。UEの公開鍵は、スライス-AAA、スライスプロバイダ、InfM-AAA、またはAAA管理機能によって問い合わせられてもよい。スライス-PKC920は、1つ以上のパラメータ、例えば、スライスのID、スライスの公開鍵、またはチェーン内の対応する証明書を有することができる。InfM-PKC930は、1つ以上のパラメータ、例えば、インフラストラクチャマネージャのID(InfMのID)、InfMの公開鍵、またはチェーン内の対応する証明書を有することができる。サーバ-PKC940は、1つ以上のパラメータ、例えば、サーバのID、サーバの公開鍵、またはチェーン内の対応する証明書を有することができる。Inf-PKC950は、1つ以上のパラメータ、例えば、インフラストラクチャプロバイダのID(InfのID)、Infの公開鍵、またはチェーン内の対応する証明書を有することができる。実施形態によれば、スライスの公開鍵、InfMの公開鍵、サーバの公開鍵、およびインフラストラクチャプロバイダの公開鍵のうちの1つ以上が期限切れまたは危険である場合、期限切れまたは危険な公開鍵は、新しい公開鍵でリフレッシュされ得る。いくつかの実施形態では、新しい公開鍵は、古い秘密鍵を使用して署名され、期限切れまたは危険な公開鍵を保持するAAA管理機能または他のメンバに送信され得る。
【0083】
ネットワークエンティティは、それらの間の信頼できない関係のため、偽セル、偽インフラストラクチャプロバイダ、偽アプリケーションサーバ、および偽スライスプロバイダなどの脅威アクタの悪意のある挙動によってしばしば影響されることが知られている。実施形態によれば、ネットワーク/サービスへの初期アクセス中にネットワークエンティティに相互認証が提供されることが可能であり、これによってネットワークシステムにおける重い通信オーバヘッドを軽減する。様々な実施形態では、UEの一時IDまたはUEの認証IDは、様々なネットワークエンティティとの通信に使用され、これによって信頼できるサードパーティでのみUEの機密情報を有効化する。一時ID(またはUEの認証ID)および相互認証の使用は、効果的なUE ID管理を可能にし、UE IDプライバシーおよびネットワークセキュリティに関する問題を軽減し、DoS攻撃からの保護、偽セル検出、ローミングフリーでより少ない通信オーバヘッドおよび遅延のような利点を提供することができる。
【0084】
図10は、現在のシステムおよび本開示の実施形態の認証アーキテクチャにおけるアクセス認証プロセス中のID管理を示す。現在のシステム1010では、UE IDは、アクセス認証プロセス(例えば、ネットワークアクセス認証、スライスアクセス認証、またはサービスアクセス認証手順)中にネットワーク機能(例えば、AMFまたはUDMにおけるSUPI)に保持される。例えば、UE IDは、初期登録手順中はUE1011からホームインフラストラクチャプロバイダ1014に、スライス認証手順中はUE1011からスライスプロバイダ1016に、サービス認証手順中はUE1011からサービスプロバイダ1018に送信され得る。これらの認証手順中、UE IDは、他のネットワークエンティティに開示または公開され得る。また、ユーザの機密情報(例えば、ユーザ本人証明)は、サーバ、例えばホームオペレータまたはサードパーティサーバ内のUDMに保持される。これらのサーバはしばしば脅威アクタ(例えば、偽セル)の標的となるので、ユーザプライバシー開示を含み得るセキュリティ問題または望ましくない結果があり得る。
【0085】
現在のシステム1010のさらなる問題は、ネットワーク参加者またはエンティティの間の信頼できない関係のため、中央機関(例えば、中央ルートCA1012)を使用する別々の認証が必要とされ得ることである。例えば、ホームインフラストラクチャプロバイダ1014、スライスプロバイダ1016、およびサービスプロバイダ1018などの各ネットワークエンティティは、中央ルートCA1012を使用して別々に認証される必要があり得る。場合によっては、スライス固有の認証が必要とされる場合、認証は、ホーム公衆陸上モバイルネットワーク(hPLMN)の動作を通じて進行することができる。別々の認証は、通信ネットワークに長い遅延および重いオーバヘッドをもたらす可能性がある。また、X.509証明書のような証明書の重い証明書失効のため、中央ルートCA1012に対して重い負荷がかけられる可能性がある。
【0086】
現在のシステムの少なくともいくつかの欠点を減らすために、ネットワークまたはサービスへのアクセス中のID管理の方法が提供される。実施形態によれば、UEの実際の元のIDとは異なる一時UE IDまたは認証UE IDは、ネットワークエンティティ間の通信に使用される。例えば、一時UE IDまたは認証UE ID(例えば、UE ID 1)は、UE1021とインフラストラクチャプロバイダ1024との間の通信に使用されてもよく、異なる一時UE IDまたは認証UE ID(例えば、UE ID 2)は、インフラストラクチャプロバイダ1024とスライスプロバイダ1026との間の通信に使用されてもよく、もう1つの異なる一時UE IDまたは認証UE ID(例えば、UE ID 3)は、スライスプロバイダ1026とサービスプロバイダ1028との間の通信に使用されてもよい。(例えば、ブロックチェーンPKIを保持することができる)分散型信頼サードパーティ1022は、これらの一時IDまたは認証IDを管理し、IDマッピング情報に関するタスクを実行する。実施形態によれば、参加者、エンティティ、または役割(例えば、UE1021、インフラストラクチャプロバイダ1024、スライスプロバイダ1026、サービスプロバイダ1028、セル、または基地局)のための相互認証には、分散型信頼サードパーティ1022(例えば、ブロックチェーンPKI)のサポートが提供され得る。ネットワーク通信のためのこのような一時UE IDまたは認証UE IDは、UE IDプライバシーおよびネットワークセキュリティに関する問題を軽減し、ローミングフリーでより少ない通信オーバヘッドおよび遅延を提供することができる。
【0087】
図11は、本開示の実施形態による、モバイルUE初期アクセス認証プロセス中のID管理を示す。統一認証アーキテクチャ1100は、
図3に示される統一認証アーキテクチャ300と同様である。
【0088】
図11を参照すると、UE1150は、ネットワークに初期登録要求を送信し得る。この初期登録要求メッセージは、UE1150の秘密鍵を使用して署名され得る。この要求は、UE1150の一時IDまたは認証ID(例えば、TB_ui)、UEの実際のID、UE1150が選択またはアクセスすることを優先させる(1つまたは複数の)ネットワークまたはサービスを示すUEのネットワーク/サービス優先度などの1つ以上のパラメータを含み得る。1つ以上のパラメータは、UE1150への承認を示すAAA管理機能1165の公開鍵またはAAA管理機能1165の署名を使用して暗号化され得る。AAA管理機能1165は、(例えば、ブロックチェーンの仕様によって提供される)分散型信頼サードパーティ1160における認証/承認および鍵管理機能である。様々な実施形態において、UEの一時IDまたは認証ID(例えば、TB_ui)は、AAA管理機能1165から取得され得る。いくつかの実施形態では、UEの一時IDまたは認証ID(例えば、TB_ui)は、他の(一時)IDを生成するための入力パラメータであってもよく、1回だけ使用されてもよい。UEのネットワーク/サービス優先度は、対応する課金料金合意または他の合意などの1つ以上の要因に基づいて決定され得る。
【0089】
例えば、UEの要求は、インフラストラクチャプロバイダ1140またはInf-AAA1141を通じてスライスプロバイダ1120、スライス-AAA1121、またはInfM-AAA1131に、最初に送信される。次いで、UEの要求は、サービスプロバイダ1110またはサーバ-AAA1111に送信され得る。次いで、UEの要求は、スライスプロバイダ1120、スライス-AAA1121、またはInfM-AAA1131に返送され、次いで最後にAAA管理機能1165に送信され得る。
【0090】
実施形態によれば、統一認証アーキテクチャ1100における各役割、参加者、またはエンティティ(例えば、UE1150、インフラストラクチャプロバイダ1140、Inf-AAA1141、InfM 1130、InfM-AAA1131、スライスプロバイダ1120、スライス-AAA1121、サービスプロバイダ1110、サーバ-AAA1111)は、自身の秘密鍵を使用してUEの要求に署名する。また、これらのエンティティの各々は、UE1150のための一時IDまたは認証IDを生成する。例えば、インフラストラクチャプロバイダ1140またはInf-AAA1141はUE_Inf_TIDを生成することができ、スライスプロバイダ1120、スライス-AAA1121、またはInfM-AAA1131はUE_slice/InfM_TIDを生成することができ、サービスプロバイダ1110またはサーバ-AAA1111はUE_server_TIDを生成することができる。UE1150に割り当てられた一時IDまたは認証IDの各々は、AAA管理機能1165の公開鍵を使用して暗号化され得る。
【0091】
実施形態によれば、AAA管理機能1165は、暗号を復号し、すべての署名を検証する。検証に成功すると、AAA管理機能1165は、UE1150のための一時IDマッピング情報または認証IDマッピング情報(例えば、マッピングテーブル)を作成または更新する(例えば、UE1150の実際のUE IDへの一時IDまたは認証IDのマッピング情報(例えば、マッピングテーブル))。AAA管理機能1165はまた、統一認証アーキテクチャ1100における役割、参加者、またはエンティティごとにサブスクリプションを生成する。UEのサブスクリプションは、UE IDマッピング情報(例えば、マッピングテーブル)、各エンティティとの安全な通信のためのUEの一時セッション鍵、許可されたインフラストラクチャプロバイダ1140のリスト、インフラストラクチャマネージャ1130、スライスプロバイダ1120、サーバまたはサービスプロバイダ1110、およびそれらの公開鍵、ならびに利用可能なインフラストラクチャプロバイダ1140のリスト、インフラストラクチャマネージャ(InfM)1130、スライスプロバイダ1120、サーバまたはサービスプロバイダ1110およびそれらの公開鍵などの1つ以上のパラメータを含み得る。インフラストラクチャプロバイダ1140のサブスクリプションは、InfM 1130またはスライスプロバイダ1120によって生成された一時UE IDまたは認証UE ID、UEのサービス優先度、UE1150との通信のためのUEの一時セッション鍵、許可されたInfM 1130のリスト、スライスプロバイダ1120、サーバまたはサービス1110、およびそれらの公開鍵、ならびに利用可能なInfM 1130のリスト、スライスプロバイダ1120、サーバまたはサービスプロバイダ1110、およびそれらの公開鍵などの1つ以上のパラメータを含み得る。インフラストラクチャマネージャ1130のサブスクリプションまたはスライスプロバイダの1120のサブスクリプションは、インフラストラクチャプロバイダ1140またはサーバ1110によって生成された一時UE IDまたは認証UE ID、UEのサービス優先度、UE1150との通信のためのUEの一時セッション鍵、許可されたインフラストラクチャプロバイダ1140のリスト、サーバまたはサービスプロバイダ1110およびそれらの公開鍵、ならびに利用可能なインフラストラクチャプロバイダ1140のリスト、サーバまたはサービスプロバイダ1110およびそれらの公開鍵などの1つ以上のパラメータを含み得る。サーバまたはサービスプロバイダ1110のサブスクリプションは、サーバ1110によって割り当てられた一時UE IDまたは認証UE ID、UEのサービス優先度、UE1150との間の通信のためのUEの一時セッション鍵、許可されたインフラストラクチャプロバイダ1140のリスト、インフラストラクチャマネージャ1130、スライスプロバイダ1120およびそれらの公開鍵、ならびに利用可能なインフラストラクチャプロバイダ1140のリスト、インフラストラクチャマネージャ1130、スライスプロバイダ1120およびそれらの公開鍵などの1つ以上のパラメータを含み得る。実施形態によれば、上記で列挙されたサブスクリプションは、各エンティティの公開鍵を使用して暗号化され、AAA管理機能1165の秘密鍵を使用して署名され得る。AAA管理機能1165は、サブスクリプションを含むサブスクリプション暗号を各エンティティに返送する。
【0092】
実施形態によれば、各エンティティまたは機能がサブスクリプション暗号を受信すると、これらは受信したサブスクリプション暗号を検証および復号し、サブスクリプション暗号に含まれるそれらのサブスクリプションを取得する。各エンティティまたは機能は、UE1150への承認を示す署名を生成することができる。各エンティティまたは機能は、生成された署名をUE1150に送信し得る。いくつかの実施形態では、各エンティティまたは機能は、UEのプロファイル優先度に基づいて、UEのサービスサブスクリプションを生成し得る。UEのサービスサブスクリプションは、UEの一時セッション鍵を使用して暗号化され得る。UEのサービスサブスクリプションは、リソースまたは課金方法に関する合意、またはスライス-AAA1121もしくはスライスプロバイダ1120もしくはインフラストラクチャコントローラまたはマネージャ1130内のUE1150を識別するための対応するランダムID(例えば、TK_ss)、またはサーバ1110内のUE1150を識別するための他の対応するランダムID(例えば、TK_is)などの1つ以上のパラメータを含み得る。サブスクリプション暗号を受信した後、UE1150は、受信したサブスクリプション暗号を検証および復号し、復号されたサブスクリプション暗号からそのサブスクリプションを取得する。UE1150は、サブスクリプションおよび一時UE ID(または認証UE ID)をローカルに記憶し得る。
【0093】
実施形態によれば、エンティティ、例えばインフラストラクチャプロバイダ1140およびUE1150は偽セルを検出することができ、これによって承認された(正当な)セルにのみ接続する。初期アクセス手順の間、偽セルは、セルへの承認を示すインフラストラクチャプロバイダ1140の署名を通じてUE1150によって検出および識別され得る。偽セルの発見は、RACH手順の前に行われ得る。例えば、現在の技術(例えば、X.509証明書)を使用して、UE1150は、ルートCAの公開鍵を使用してルートCAによってプリインストールされたセルの証明書を検証することができる。セルの証明書は、システム情報ブロードキャストメッセージに含まれ得る。偽UEの場合、偽UE(例えば、未登録UE)は、UEの承認を示すAAA管理機能1165の署名を使用して、インフラストラクチャプロバイダ1140によって検出され得る。
【0094】
実施形態によれば、偽UEによって開始されたDoS攻撃または偽セルタワー(例えば、悪意のあるオペレータによる修正されたセルタワー)の他の悪意のある行為を回避するために、インフラストラクチャプロバイダ1140は、UE1150のためのAAA管理機能1165の署名を検証することができる。このような検証を使用して、インフラストラクチャプロバイダ1140は、UE1150がAAA管理機能1165に登録されているか、またはUE1150が承認されているか(正当であるか)を保証することができる。場合によっては、インフラストラクチャプロバイダ1140は、インフラストラクチャプロバイダ1140が登録された後、AAA管理機能1165からUEの一時IDまたは認証ID(例えば、TB_ui)を取得することができる。
【0095】
UE IDは、UE IDの機密性を空気界面攻撃から保護するために、AAA管理機能の公開鍵を使用して暗号化され得る。実施形態によれば、一時UE IDまたは認証UE IDは、AAA管理機能の公開鍵またはUEの一時セッション鍵を使用して同様に暗号化されることが可能である。他の一時IDまたは認証IDとの競合を回避するために、一時UE IDまたは認証UE IDは、いくつかの機能に従って、AAA管理機能から取得されたTB_ui(例えば、ワンタイムで使用される)とリンクされてもよい。UEの承認を示す署名は、インフラストラクチャプロバイダに対するDoS攻撃を開始し得る無効な(違法な)UEを回避するために使用されることが可能である。サブスクリプションは、機密性を保護するために暗号化され得る。メッセージは、完全性および否認不可を保護するために署名されることが可能である。セルへの承認のためのインフラストラクチャプロバイダの署名は、偽セルを回避するために使用されることが可能である。偽セル検出の手順は、RRC接続セットアップ中に実行され得る。
【0096】
図12は、本開示の実施形態による、モバイルUEの初期アクセス認証の方法1200を示す。実施形態によれば、UE1201がネットワークに最初にアクセスするとき、UE1201は、ステップ1210において、インフラストラクチャプロバイダ、またはインフラストラクチャ内のモビリティ管理機能であるInf-AAA1202に初期登録要求を送信する。ステップ1212において、Inf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、初期登録要求メッセージを受信する。初期登録メッセージを受信すると、Inf-AAA1202は、UE1201が有効であり、脅威アクタ(例えば、偽UE)ではないかどうかを検証することができる。UE1201の正当性が正常に検証された場合、UE1201は既に登録されている。このような場合、ステップ1214を実行することなくステップ1216が実行されてもよい。UE1201が検証されない場合、UE1201は、ステップ1214において、UE1201が登録されていないことを通知され得る。
【0097】
ステップ1216において、Inf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、UEの将来の一時IDまたは認証ID(例えば、UE_Inf_TID)を生成する。UEの将来の一時IDまたは認証IDはInf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)との将来の通信においてUE1201の識別に使用され得る。UEの将来の一時IDまたは認証IDは、AAA管理機能1205の公開鍵を使用して暗号化され得る。UEの将来の一時IDまたは認証IDが生成および暗号化されると、Inf-AAA1202は、スライス-AAA/InfM-AAA1203またはスライスプロバイダに要求メッセージを送信する。
【0098】
要求メッセージは、AAA管理機能から取得されたUE1201の一時IDまたは認証ID(例えば、TB_ui)、Inf-AAA1202のIDおよび署名(またはインフラストラクチャプロバイダもしくはモビリティ管理機能のもの)、UEの署名、UEのサービス優先度、および暗号化されたUEの将来の一時IDまたは認証IDのうちの1つ以上を含み得る。いくつかの実施形態では、UEの一時IDまたは認証ID(例えば、TB_ui)は、インフラストラクチャマネージャとも呼ばれ得るスライス-AAA/InfM-AAA1203またはスライスプロバイダまたはインフラストラクチャコントローラにおいてUE1201を識別するために使用される新しいランダムID(例えば、TK_is)に置き換えられてもよい。Inf-AAA1202またはインフラストラクチャプロバイダの署名の内容は、インフラストラクチャプロバイダのIDまたはインフラストラクチャプロバイダの公開鍵、もしくはインフラストラクチャプロバイダのIDのハッシュなどのインフラストラクチャプロバイダに関する情報の一部またはすべてを含み得る。Inf-AAA1202またはインフラストラクチャプロバイダの署名は、インフラストラクチャプロバイダの秘密鍵を使用して署名され得る。
【0099】
初期登録要求を受信すると、スライス-AAA/InfM-AAA1203またはスライスプロバイダまたはインフラストラクチャコントローラは、ステップ1218において、サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)に初期登録要求を送信する。スライス-AAA/InfM-AAA1203またはスライスプロバイダまたはインフラストラクチャコントローラは、ランダムID(例えば、TK_ss)を受信した要求にさらに追加し得る。このランダムIDは、サービスプロバイダ/サーバ-AAA1204においてUE1201を識別するために使用され得る。
【0100】
ステップ1220において、サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)は、一時UE IDまたは認証UE ID(例えば、UE_server_TID)を生成する。この一時UE IDまたは認証UE ID(例えば、UE_server_TID)は、サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)との将来の通信においてUEの識別に使用され得る。この一時UE IDまたは認証UE ID(例えば、UE_server_TID)は、AAA管理機能1205の公開鍵を使用して暗号化され得る。
【0101】
次いで、サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)は、スライス-AAA/InfM-AAA1203またはスライスプロバイダに初期登録応答を送信する。応答は、暗号化された一時UE IDまたは暗号化された認証UE ID(例えば、UE_server_TID)、サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)のIDおよび署名、受信した登録要求内のランダムID(例えば、TK_ss)などの1つ以上のパラメータを含み得る。サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)の署名の内容は、サービスプロバイダのIDまたはサービスプロバイダの公開鍵、もしくはサービスプロバイダのIDのハッシュなどのサービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)に関する情報の一部またはすべてを含み得る。サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)の署名は、サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)の秘密鍵を使用して署名され得る。
【0102】
ステップ1222において、スライス-AAA/InfM-AAA1203またはスライスプロバイダまたはインフラストラクチャコントローラは、一時UE IDまたは認証UE ID(例えば、UE_slice/InfM_TID)を生成する。この一時UE IDまたは認証UE ID(例えば、UE_slice/InfM_TID)は、スライス-AAA/InfM-AAA1203またはスライスプロバイダまたはインフラストラクチャコントローラとの将来の通信においてUE1201の識別に使用され得る。この一時UE IDまたは認証UE ID(例えば、UE_slice/InfM_TID)は、AAA管理機能1205の公開鍵を使用して暗号化され得る。次いで、スライス-AAA/InfM-AAA1203またはスライスプロバイダまたはインフラストラクチャマネージャは、その内容がスライス-AAA/InfM-AAA1203またはスライスプロバイダまたはインフラストラクチャコントローラ(例えば、スライス-AAA/InfM-AAA1203のID、スライス-AAA/InfM-AAA1203の公開鍵、スライス-AAA/InfM-AAA1203のハッシュ値)の情報に関する1つ以上のパラメータを含み得る、その署名を生成する。内容は、スライス-AAA/InfM-AAA1203またはスライスプロバイダまたはインフラストラクチャマネージャの秘密鍵を使用して署名され得る。
【0103】
スライス-AAA/InfM-AAA1203またはスライスプロバイダまたはインフラストラクチャマネージャは、AAA管理1205に問合せ要求を送信し得る。問合せ要求は、暗号化されたUE1201のID、AAA管理機能1205においてUE1201を識別するためのランダムID(例えば、TK_sa)、UE1201の署名、Inf-AAA 1202のIDおよび署名(またはインフラストラクチャプロバイダまたはモビリティ管理機能)のIDおよび署名、スライス-AAA/InfM-AAA1203のIDおよび署名、サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)のIDおよび署名、暗号化されたUE1201のサービス優先度、暗号化された一時UE IDまたは暗号化された認証UE ID(例えば、暗号化されたUE_Inf_TID、暗号化されたUE_slice/InfM_TID、暗号化されたUE_server_TID)などの1つ以上のパラメータを含み得る。
【0104】
ステップ1224において、AAA管理機能1205は、UE1201、Inf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)、スライス-AAA/InfM-AAA1203、サービスプロバイダ/サーバ-AAA1204(またはアプリケーションサーバ)の署名を、それらの公開鍵をそれぞれ使用して検証する。次いで、AAA管理機能1205はUEのIDを復号して取得し、UE1201のための一時IDマッピング情報または認証IDマッピング情報(例えば、マッピングテーブル)を作成または更新する(例えば、一時IDまたは認証IDをUE1201の実際のUE IDにマッピングする)。署名を検証すると、AAA管理機能1205は、許可または承認された参加者または役割およびそれらの公開鍵のリスト、利用可能な参加者およびそれらの公開鍵のリストを示すサブスクリプションを生成する。例えば、UE1201の署名が検証されるとき、UE1201のサブスクリプションは、UEの(一時)IDマッピング情報(例えば、マッピングテーブル)、各役割との安全な通信のためのUEの一時セッション鍵、許可されたインフラストラクチャ/インフラストラクチャプロバイダ、スライス/InfM、サーバ/サービスプロバイダ、およびそれらの公開鍵のリスト、利用可能なインフラストラクチャ/インフラストラクチャプロバイダ、スライス/InfM、サーバ/サービスプロバイダ、およびそれらの公開鍵のリストなどの1つ以上のパラメータを含み得る。UE1201のサブスクリプションは対応する公開鍵(例えば、UEの公開鍵)を使用して暗号化され得、AAA管理機能1205の秘密鍵を使用して署名され得る。
【0105】
ステップ1226において、AAA管理機能1205は、スライス-AAA/InfM-AAA1203に問合せ応答を送信する。この問合せ応答は、AAA管理機能1205内のUE1201を識別するためのランダムID(例えば、TK_sa)、署名暗号化されたUE1201のサブスクリプション、署名暗号化されたInf-AAA1202の(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)サブスクリプション、または署名暗号化されたスライス-AAA/InfM-AAA1203のサブスクリプション、および署名暗号化されたサービスプロバイダ/サーバ-AAA1204の(またはアプリケーションサーバの)サブスクリプションなどの1つ以上のパラメータを含み得る。実施形態によれば、署名が渡されない場合、応答は、ランダムID(例えば、TK_sa)を含み得る。
【0106】
Inf-AAA1202、スライス-AAA/InfM-AAA1203、およびサービスプロバイダ/サーバ-AAA1204のサブスクリプションの内容は、以下で定義される。(UEのサブスクリプションの内容は上記で定義されていることに留意されたい。)Inf-AAA1202の(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)サブスクリプションは、関連する通信のためのUEの一時IDまたは認証ID、UEのサービス優先度、UE1201との通信のためのUEの一時セッション鍵、許可されたスライス/InfM、サーバ/サービスプロバイダ、およびそれらの公開鍵のリスト、ならびに利用可能なスライス/InfM、サーバ/サービスプロバイダ、およびそれらの公開鍵のリストなどの1つ以上のパラメータを含み得る。スライス-AAA/InfM-AAA1203のサブスクリプションは、関連する通信のためのUEの一時IDまたは認証ID、UEのサービス優先度、UE1201との通信のためのUEの一時セッション鍵、許可されたインフラストラクチャ/インフラストラクチャプロバイダ、サーバ/サービスプロバイダ、およびそれらの公開鍵のリスト、ならびに利用可能なインフラストラクチャ/インフラストラクチャプロバイダ、サーバ/サービスプロバイダ、およびそれらの公開鍵のリストなどの1つ以上のパラメータを含み得る。署名暗号化されたサービスプロバイダ/サーバ-AAAの(またはアプリケーションサーバの)サブスクリプションは、関連する通信のためのUEの一時IDまたは認証ID、UEのサービス優先度、UE1201との通信のためのUEの一時セッション鍵、許可されたインフラストラクチャ/インフラストラクチャプロバイダ、スライス/InfM、およびそれらの公開鍵のリスト、ならびに利用可能なインフラストラクチャ/インフラストラクチャプロバイダ、スライス/InfM、およびそれらの公開鍵のリストなどの1つ以上のパラメータを含み得る。
【0107】
ステップ1228において、スライス-AAA/InfM-AAA1203は、AAA管理機能1205から受信した問合せ応答(例えば、サブスクリプション暗号)を検証および復号し、問合せ応答(例えば、サブスクリプション暗号)に含まれるスライス-AAA/InfM-AAA1203のサブスクリプションを取得する。スライス-AAA/InfM-AAA1203はまた、UE1201への承認を示すその署名も生成する。スライス-AAA/InfM-AAAの署名の内容は、スライス-AAAまたはInfM-AAA1203のID、UE1201を識別するために使用されるランダムID(例えば、TK_is)、およびランダムIDのハッシュ値(例えば、TK_isのハッシュ値)などの1つ以上のパラメータを含み得る。署名は、スライス-AAA/InfM-AAAの秘密鍵を使用して署名され得る。いくつかの実施形態では、署名は、UEのサービスサブスクリプションを生成するためにも使用され得る。UEのサービスサブスクリプションは、許可されたリソースに関する合意、合意された課金方法、およびUE1201を識別するために使用されるランダムID(例えば、TK_is)などの1つ以上のパラメータを含み得る。UEのサービスサブスクリプションは、UEの一時セッション鍵を使用して暗号化され得る。
【0108】
スライス-AAA/InfM-AAA1203のサブスクリプションが許可されたサーバを含む場合、スライス-AAA/InfM-AAA1203は、ステップ1230において、許可されたサーバに承認要求を送信する。例えば、スライス-AAA/InfM-AAAのサブスクリプションが、サービスプロバイダ/サーバ-AAA1204が許可または承認されていることを示す場合、スライス-AAA/InfM-AAA1203は、サービスプロバイダ/サーバ-AAA1204に承認要求を送信する。承認要求は、スライス-AAA/InfM-AAAの秘密鍵を使用して署名され得る。承認要求は、サービスプロバイダ/サーバ-AAA1204においてUE1201を識別するためのランダムID(例えば、TK_ss)および署名暗号化されたサービスプロバイダ/サーバ-AAAのサブスクリプションなどの1つ以上のパラメータを含み得る。
【0109】
ステップ1232においてサービスプロバイダ/サーバ-AAA1204は、スライス-AAA/InfM-AAA1203から受信した承認要求を検証および復号し、許可されたスライス-AAA/InfM-AAAの公開鍵を取得する。サービスプロバイダ/サーバ-AAA1204は、許可されたスライス-AAA/InfM-AAAの公開鍵を使用して、署名付き承認要求を検証することができる。署名付き承認要求が検証された場合、サービスプロバイダ/サーバ-AAA1204は、承認がサービスプロバイダ/サーバ-AAA1204によってUE1201に付与されたことを示す署名を生成する。サービスプロバイダ/サーバ-AAAの署名の内容は、サービスプロバイダ/サーバ-AAA1204のID、UE1201を識別するためのランダムID(例えば、TK_ss)、およびランダムIDのハッシュ値(例えば、TK_ssのハッシュ値)などの1つ以上のパラメータを含み得る。署名は、サービスプロバイダ/サーバ-AAAの秘密鍵を使用して署名され得る。いくつかの実施形態では、署名は、UEのサービスサブスクリプションを生成するためにも使用されてもよい。UEのサービスサブスクリプションは、許可されたリソースに関する合意、課金方法、およびUE1201を識別するために使用されるランダムID(例えば、TK_ss)などの1つ以上のパラメータを含み得る。UEのサービスサブスクリプションは、UEの一時セッション鍵を使用して暗号化され得る。
【0110】
ステップ1234において、サービスプロバイダ/サーバ-AAA1204は、スライス-AAA/InfM-AAA1203に応答して承認応答を送信する。承認応答は、サービスプロバイダ/サーバ-AAAの秘密鍵を使用して署名され得る。承認応答は、サービスプロバイダ/サーバ-AAA1204においてUE1201を識別するためのランダムID(例えば、TK_ss)、サービスプロバイダ/サーバ-AAA1204からの一時UE IDまたは認証ID(例えば、UE_server_TID)、およびUE1201のためのサービスプロバイダ/サーバ-AAAの署名などの1つ以上のパラメータを含み得る。いくつかの実施形態では、承認応答は、UEのプロファイルサブスクリプションをさらに含み得る。スライス-AAA/InfM-AAA1203が正当ではない(許可されていない)場合、承認応答は、UE1201のためのサービスプロバイダ/サーバ-AAAの署名およびUEのプロファイルサブスクリプションを含まなくてもよい。
【0111】
ステップ1236において、スライス-AAA/InfM-AAA1203は、署名付き承認応答を受信し、許可されたサーバの公開鍵(例えば、サービスプロバイダ/サーバ-AAA1204の公開鍵)を使用して署名付き承認応答を検証する。署名付き承認応答が検証された場合、スライス-AAA/InfM-AAA1203は、UE1201のためのサーバの署名(例えば、サービスプロバイダ/サーバ-AAA1204の署名)およびサービスプロバイダ/サーバ-AAA1204からのUEのプロファイルサブスクリプションを受け入れる。次いで、スライス-AAA/InfM-AAA1203は、Inf-AAA1202(またはインフラストラクチャ内のインフラストラクチャプロバイダまたはモビリティ管理機能)に登録応答を送信する。登録応答は、スライス-AAA/InfM-AAAの秘密鍵を使用して署名される。登録応答は、サービスプロバイダ/サーバ-AAA1204においてUE1201を識別するためのランダムID(例えば、TK_is)、UE1201のためのサービスプロバイダ/サーバ-AAAの署名、UE1201のためのスライス-AAA/InfM-AAAの署名、署名暗号化されたUEのサブスクリプション、または署名暗号化されたInf-AAA1202の(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)サブスクリプション、またはサービスプロバイダ/サーバ-AAA1204およびスライス-AAA/InfM-AAA1203からのUEのサービスサブスクリプションなどの1つ以上のパラメータを含み得る。サービスプロバイダ/サーバ-AAA1204が認証を通じて検証または許可されない場合、登録応答は、UE1201のためのサービスプロバイダ/サーバ-AAAの署名およびUEのプロファイルサブスクリプションを含まない。
【0112】
ステップ1238において、Inf-AAA1202(またはインフラストラクチャ内のインフラストラクチャプロバイダまたはモビリティ管理機能)は、登録応答に含まれる署名暗号化されたInf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)サブスクリプションを検証および復号する。次いで、Inf-AAA1202は、許可されたスライスプロバイダまたはInfM(例えば、スライス-AAA/InfM-AAA1203)の公開鍵を取得する。Inf-AAA1202は、許可されたスライスプロバイダまたはInfM(例えば、スライス-AAA/InfM-AAA1203)の公開鍵を使用して、署名付き登録応答を検証する。スライス-AAA/InfM-AAA1203が認証を通じて検証または許可されない場合、Inf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、登録応答を拒否する。スライス-AAA/InfM-AAA1203が検証された場合、Inf-AAA1202は、UE1201のための一時IDまたは認証ID(例えば、UE_slice_TID、UE_InfM_TID、UE_Inf_TID)を記憶する。検証後、Inf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、UEのサービスサブスクリプションを生成し得る。UEのサービスサブスクリプションは、許可されたリソースに関する合意および合意された課金方法などの1つ以上のパラメータを含み得る。UEのサービスサブスクリプションは、UEの一時セッション鍵によって暗号化され得る。
【0113】
ステップ1240において、Inf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、署名付き登録応答をUE1201に転送する。UE1201が検証または認証されない場合、応答は、AAA管理機能から取得されたUEの一時IDまたは認証ID(例えば、TB_ui)およびUE1201のための認証失敗の指示を含み得る。一方、UE1201が検証および認証された場合、応答は、AAA管理機能から取得されたUEの一時IDまたは認証ID(例えば、TB_ui)、署名暗号化されたUEのサブスクリプション、Inf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)、スライス-AAA/InfM-AAA1203、またはサービスプロバイダ/サーバ-AAA1204からの暗号化されたUEのサービスサブスクリプション、UE1201のためのInf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)署名、UE1201のためのスライス-AAA/InfM-AAAの署名、UE1201のためのサービスプロバイダ/サーバ-AAAの署名などの1つ以上のパラメータを含み得る。登録応答は、Inf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)秘密鍵を使用して署名され得る。
【0114】
すべての署名の検証が合格した場合、UE1201は、ステップ1242において、署名暗号化されたUEのサブスクリプションを復号し、許可されたInf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)公開鍵を取得する。UE1201はまた、UEのサブスクリプション、スライス-AAA/InfM-AAA1203の署名、サービスプロバイダ/サーバ-AAAの署名、Inf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)からのUEのサービスサブスクリプション、スライス-AAA/InfM-AAA1203、および/またはサービスプロバイダ/サーバ-AAA1204を記憶する。
【0115】
図13は、本開示の実施形態による、モバイルUE、セル、およびインフラストラクチャAAAにおける初期アクセス認証のための手順1300を示す。特に、手順1300は、インフラストラクチャAAAに焦点を当てた
図12の方法1200のステップ1210から1214およびステップ1240から1242を示す。
図13のUE1201は
図12のUE1201に対応し、セル1301およびInf-AAA1302は
図12のセル/Inf-AAA1202に対応する。
【0116】
ステップ1310において、UE1201がネットワークに接続する前に、RRC_connectionが確立されるか、またはRRC_connectionの確立が保証される。次いで、UE1201は、ステップ1312において、初期登録要求をインフラストラクチャ1302に直接、または基地局もしくはセル1301を介して送信し得る。この要求は、AAA管理機能から取得されたUE1201の一時IDまたは認証ID(例えば、TB_ui)、UEのID、UEの署名、およびUEのサービス優先度などの1つ以上のパラメータを含み得る。UEの一時IDまたは認証IDは、現在のインフラストラクチャの公開鍵(例えば、Inf-AAA1302の公開鍵)を使用して暗号化されてもよく、UEの実際のIDおよびUEのサービス優先度は、AAA管理機能の公開鍵を使用して暗号化されてもよい。いくつかの実施形態では、初期登録要求は、UE1201への承認を示すAAA管理機能の署名をさらに含み得る。初期登録要求は、UEの秘密鍵を使用して署名され得る。UEの署名の内容は、UEの情報(例えば、UEの実際のID、UEの公開鍵、またはUEの実際のIDのハッシュ値)を含み得る。
【0117】
初期登録要求がセル1301を通じて送信される場合、初期登録要求は、RRC_connection手順中にUE1201を識別するためにセル1301によって割り当てられたランダムID(例えば、RNTI)をさらに含む。セル/基地局1301は、ステップ1314において、現在のセッションでUE1201を識別するためのランダムID(例えば、RNTI)を生成する。いくつかの実施形態では、ランダムID(例えば、RNTI)は、初期登録要求においてセルのIDまたは他のランダムID(例えば、ランダムID1)に置き換えられてもよい。さらにステップ1314において、初期登録要求は、セル1301の秘密鍵を使用して署名され得る。次いで、セル/基地局1301は、署名付き登録要求をインフラストラクチャプロバイダまたはInf-AAA1302に転送する。ステップ1310から1314は、
図12の方法1200のステップ1210に対応することに留意されたい。
【0118】
ステップ1316において、Inf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、セル1301から初期登録要求メッセージを受信する。初期登録要求メッセージを受信すると、Inf-AAA1302は、UE1201が有効であり、脅威アクタ(例えば、偽UE)ではないかどうかを検証することができる。例えば、Inf-AAA1302は、UEの一時IDまたは認証IDがインフラストラクチャ内に保持されている場合、UEの一時IDまたは認証ID(例えば、TB_ui)をチェックすることができる。いくつかの実施形態では、Inf-AAA1302は、初期登録要求メッセージを受信すると、AAA管理機能の公開鍵を使用してUEの一時IDまたは認証ID(例えば、TB_ui)のハッシュ値を復号することによって、AAA管理機能(例えば、
図12のAAA管理機能1205)の署名を検証することができる。いくつかの実施形態では、Inf-AAA1302は、署名付き初期登録要求メッセージを受信すると、セルの公開鍵を使用して、必要とされる署名付き初期登録を検証することができる。ステップ1316は、
図12の方法1200のステップ1212に対応することに留意されたい。
【0119】
UE1201の正当性がステップ1316において正常に検証された場合、UE1201は既に登録されている。このような場合、ステップ1318は実行される必要がない。UE1201が検証されない場合、Inf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、ステップ1318において、UE1201が登録されていないことを示すメッセージをUE1201に送信する。ステップ1318は、
図12の方法1200のステップ1214に対応することに留意されたい。
【0120】
ステップ1320において、Inf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、署名付き登録応答をUE1201に転送する。Inf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、セル1301への承認のための署名を生成する。署名は、Inf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)の秘密鍵を使用して署名され得る。署名の内容は、有効な(正当な)セルID、UEの一時IDまたは認証ID(例えば、TB_ui)、またはUE1201に関する他の情報などの1つ以上のパラメータを含み得る。
【0121】
登録応答は、AAA管理から取得されたUEの一時IDまたは認証ID(例えば、TB_ui)、署名暗号化されたUEのサブスクリプション、Inf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)、スライス-AAA/InfM-AAA、またはサービスプロバイダ/サーバ-AAAからの暗号化されたUEのサービスサブスクリプション、UE1201のためのInf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)署名、UE1201のためのスライス-AAA/InfM-AAAの署名、UE1201のためのサービスプロバイダ/サーバ-AAAの署名などの1つ以上のパラメータを含み得る。登録応答は、Inf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)秘密鍵を使用して署名され得る。登録応答は、インフラストラクチャプロバイダID、ランダムID(例えば、ランダムID1)、セル1301への承認のための署名のリスト、および一時セッション鍵を使用して暗号化された対応する正当なセルIDのリストをさらに含み得る。登録応答は、セル1301が有効(例えば、正当)である場合、UEの一時IDまたは認証ID(例えば、UE_Inf_TIDまたはUE_slice/InfM_TID)をさらに含み得る。UEの一時IDまたは認証IDは、セルの公開鍵を使用して暗号化され得る。登録応答は、セル1301に送信される。
【0122】
登録応答を受信すると、セル1301が有効(例えば、正当)である場合、セル1301は、ステップ1322において、Inf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)秘密鍵を使用して登録応答メッセージを検証する。検証時に、セル1301は、登録応答メッセージを復号し、UEの一時IDまたは認証IDを取得する。次いで、セル1301は、UE1201に登録応答を送信する。
【0123】
登録応答がInf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)によって署名されている場合、UE1201は、ステップ1324において、登録応答、セル1301への承認のための署名、またはその両方を検証することができる。言い換えると、UE1201は、ステップ1322で上述されたように、セルブロードキャストメッセージ(例えば、システム情報ブロードキャスト(SIB)メッセージ)がInf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)秘密鍵で署名されている場合、偽セルを検出することができる。UE1201は、Inf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)公開鍵を使用して、登録応答、セル1301への承認のための署名、またはその両方を検証することができる。UE1201は、RRC_connectionが確立される前に偽セルを検出することができることに留意されたい。そのために、セル1301への承認のための署名のリストが、セルブロードキャストメッセージまたは登録応答に含まれ得る。
【0124】
セル1301が有効(正当)である場合、UE1201は、ステップ1326において、正当なセル1301との新しいRRC_connectionを確立することができる。新しいRRC_connectionを確立すると、セル1301は、ステップ1328において、Inf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)に、UEの情報の再送信の要求を送信し得る。UEの情報は、UEのサブスクリプション、UEのサービスサブスクリプション、およびUE1201への承認を示す署名を含み得る。
【0125】
ステップ1330において、Inf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)は、セル1301を通じてUE1201にUEの情報を再送信する。再送信される情報は、UEのサブスクリプション、UEのサービスサブスクリプション、およびUE1201への承認を示す署名を含み得る。Inf-AAA1302(またはインフラストラクチャプロバイダまたはモビリティ管理機能)はまた、新しい正当なセル1301にUEの一時IDまたは認証ID(例えば、UE_Inf_TID、UE_slice/InfM_TID)を通知することもできる。受信されると、セル1301は、ステップ1332において、UEの一時IDまたは認証ID(例えば、UE_Inf_TID、UE_slice/InfM_TID)を記憶する。
【0126】
ステップ1320から1332は、
図12の方法1200のステップ1240に対応することに留意されたい。
【0127】
署名の検証が確認された場合、UE1201は、ステップ1334において、署名暗号化されたUEのサブスクリプションを復号し、許可されたInf-AAAの(またはインフラストラクチャプロバイダのまたはモビリティ管理機能の)公開鍵を取得する。UE1201はまた、UEのサブスクリプション、スライス-AAA/InfM-AAAの署名、サービスプロバイダ/サーバ-AAAの署名、Inf-AAA1202(またはインフラストラクチャプロバイダまたはモビリティ管理機能)からのUEのサービスサブスクリプション、スライス-AAA/InfM-AAA1203、および/またはサービスプロバイダ/サーバ-AAA1204を記憶する。ステップ1334は、
図12の方法1200のステップ1242に対応することに留意されたい。
【0128】
ネットワークシステムには、マシンツーマシン(M2M)デバイスを通じて提供されるサービス、例えば垂直サービスがある。このような垂直サービスは、デバイスによって収集または記録された情報(例えば、温度など)を通信するための産業機器およびセンサまたはメータの有効化を含み得る。このようなサービスを提供するデバイスは、同様の特徴を有することができ、同じ会社または同じ業界(例えば、検針会社)の人々によって使用および共有され得る。そのような場合、顧客およびデバイスの所有者は、
図14に示されるように、デバイスの登録および認証手順を最初に実行することができる。
図14は、本開示の実施形態による、顧客を介したデバイスアクセス認証の方法を示す。統一認証アーキテクチャ1400は、
図11の統一認証アーキテクチャ1100と同様である。
【0129】
実施形態によれば、デバイス1450の各々は、顧客またはデバイスの所有者によって個別に認証および承認される。言い換えると、顧客1470は、デバイス1450に代わってネットワークにおいて登録手順を実行する。顧客1470は、認証および承認を要求するために、(例えば、ブロックチェーンを使用して形成された)分散型信頼サードパーティ1460内のAAA管理機能1465に初期登録要求を送信する。初期登録要求は、送信フロー1401に示されるように、サービスプロバイダ1410、スライスプロバイダ1420、インフラストラクチャマネージャ(InfM)1430、およびインフラストラクチャプロバイダ1440のうちの1つ以上を介してAAA管理機能1465に送信され得る。初期登録要求は、
図12の初期アクセス認証方法1200の同様のステップを通じて進行することができる。顧客1470がAAA管理機能1465によって検証および認証された後、送信フロー1402によって示されるように、顧客のサブスクリプション(例えば、許可されたリソースに関する合意、合意された課金方法、他の関連情報、および他の合意)、および顧客の一時ID(または認証ID)は顧客1470に返送される。顧客1470は、許可されたインフラストラクチャ/インフラストラクチャプロバイダ、スライス/InfM、およびそれらの公開鍵のリスト、ならびに利用可能なインフラストラクチャ/インフラストラクチャプロバイダ、スライス/InfM、およびそれらの公開鍵のリストなどの情報をさらに取得することができる。次いで、顧客のサブスクリプション、顧客の一時ID(または認証ID)、およびAAA管理機能1465からの情報のうちの1つ以上は、送信フロー1403によって示されるように、デバイス1450に送信され得る。
【0130】
デバイス1450は、顧客1470に登録され得る。いくつかの実施形態では、デバイス1450は、オフラインで顧客1470に登録されてもよい。いくつかの実施形態では、デバイス1450は、初期登録要求がAAA管理機能1465に送信される前に顧客1470に登録されてもよい。実施形態によれば、様々な情報、例えば、顧客のサブスクリプション、顧客の一時ID(または認証ID)、顧客の公開鍵、およびデバイスの公開鍵/秘密鍵が、デバイス1450に埋め込まれ得る。
【0131】
ネットワーキングシステムでは、UEがホームオペレータの登録エリアから移動すると、ホームオペレータは、ネットワークアクセス認証およびサービスアクセス認証に関与される必要がある。ホームオペレータの関与は、特に高モビリティシナリオで、余分なメッセージ交換をトリガする可能性がある。しかしながら、本開示の様々な実施形態では、余分なメッセージ交換は必要とされない場合がある。実施形態によれば、一時UE IDまたは認証UE IDは、セキュリティ要件およびモビリティ要件のために更新され得る。実施形態によれば、参加者またはエンティティまたは機能が既にUEを認証しているとき、UEは、AAA管理機能によって(さらに)認証される必要はなく、これにより、ホームオペレータからの追加のメッセージ交換によって生じる余分なオーバヘッドを低減する。
【0132】
実施形態によれば、UEの一時IDまたは認証IDは、セキュリティ要件またはモビリティ要件のために、リフレッシュまたは更新される必要があり得る。UEの一時IDまたは認証IDの更新は、UEまたはネットワークによってトリガされ得る。そのような場合、UEは、新しいTB_uiおよびUEへの承認を示す新しいAAA管理機能の署名などの1つ以上の新しいパラメータについて、一時UE IDまたは認証UE ID更新要求を分散型信頼サードパーティ(例えば、ブロックチェーンを使用して構成された)に直接または間接的に送信することができる。
図15は、本開示の実施形態による、UEの一時IDまたは認証IDの更新をトリガする方法1500を示す。
【0133】
図15を参照すると、UE1501は、ステップ1510において、一時UE IDまたは認証UE IDリフレッシュの要求をAAA管理機能1502に送信する。一時UE IDまたは認証UE IDリフレッシュ要求は、UEのID、UE1501への承認を示す署名、暗号化されたUEの一時IDまたは認証ID、およびUEのサービス優先度などの1つ以上のパラメータを含み得る。要求は、AAA管理機能1502の公開鍵を使用して暗号化され、UEの秘密鍵を使用して署名され得る。
【0134】
ステップ1520において、AAA管理機能1502は、UEの公開鍵を使用して受信した要求を検証し、受信した要求を復号する。AAA管理機能1502は、復号された要求からUEのIDを取得する。次いで、AAA管理機能1502は、UE1501の新しい一時UE IDまたは認証UE ID(例えば、新しいTB_ui)およびUE1501への承認を示す新しい署名を生成する。署名の内容は、UE1501の新しい一時UE IDまたは認証UE ID(例えば、新しいTB_ui)などの1つ以上のパラメータを含み得る。
【0135】
AAA管理機能1502は、ステップ1530において、一時UE IDリフレッシュ要求のための応答をUE1501に送信する。応答は、UE1501の新しい一時UE IDまたは認証UE ID(例えば、新しいTB_ui)およびUE1501への承認を示すAAA管理機能1502の署名などの1つ以上のパラメータを含み得る。応答は、UEの公開鍵を使用して暗号化され、AAA管理機能1502の秘密鍵を使用して署名され得る。
【0136】
実施形態によれば、一時UE ID更新は、セキュリティ要件またはモビリティ要件のためにネットワークエンティティによってトリガされ得る。例えば、Inf-AAAは、新しい一時UE IDまたは新しい認証UE IDを生成し、関連するエンティティ(例えば、UE、スライス-AAA、Inf-AAA)に一時UE IDまたは認証UE ID更新を通知してもよい。通知時に、関連するネットワークエンティティ(例えば、スライス-AAAまたはInf-AAA)は、UEの新しい一時IDまたは認証UE IDを使用してUEとの関係を更新し、関係更新をAAA管理機能に通知し得る。AAA管理機能は、オフライン、オンライン、または両方の組合せを介して関係更新を通知されることが可能である。
【0137】
UEが、現在UEがアクセスを有するネットワークエンティティとは異なるネットワークエンティティ(例えば、インフラストラクチャプロバイダ、スライス)によってカバーされるエリアに移動する場合、新しいネットワークエンティティは、UEのための新しい一時IDまたは認証IDを生成し、関連するネットワークエンティティ(例えば、UE、スライス-AAA、Inf-AAA)に通知することができる。次いで、関連するネットワークエンティティ(例えば、スライス-AAAまたはInf-AAA)は、UEの新しい一時IDまたはUEの新しい認証IDを使用してUEとの関係を更新し、オフライン、オンライン、または両方の組合せを介して関係更新をAAA管理機能に通知し得る。
【0138】
図16は、本開示の実施形態による、ネットワークエンティティによってトリガされた一時UE IDまたは認証UE ID更新の一例を示す。
図16を参照すると、統一認証アーキテクチャ1600は、
図14の統一認証アーキテクチャ1400と同様である。ネットワークエンティティ(サーバ1611、スライスプロバイダ1621、およびインフラストラクチャプロバイダ1641)へのアクセスを最初に有するUE1650は、インフラストラクチャプロバイダ1642によってカバーされるエリアに移動する。移動すると、UE1650は、その一時UE IDまたは認証UE IDを更新するための要求を送信する。要求は、要求を受信するネットワークエンティティの(1つまたは複数の)ID(要求エンティティ)、UE1650への承認を示す署名、暗号化された現在の一時UE IDまたは暗号化された現在の認証UE ID、UEのサービス優先度、およびUEのプロファイル優先度などの1つ以上のパラメータを含み得る。UE1650は、スライスプロバイダの署名を通じて検証され得る。検証は、UE1650が未登録UEである場合に失敗し得る。UE1650が検証されると、インフラストラクチャプロバイダ1642は、UEの新しい一時IDまたはUEの新しい認証ID(例えば、UE_Inf_TID)を生成し、スライスプロバイダ1621およびサーバ1611に通知する。スライスプロバイダ1621は、オフライン、オンライン、または両方の組合せを介して、(例えば、ブロックチェーンを使用して構成された)分散型信頼サードパーティ1660内のAAA管理機能1665に更新されたUE ID情報、例えばマッピングテーブルを送信し得る。
【0139】
同様に、UE1650がインフラストラクチャ1643およびスライスプロバイダ1622によってカバーされるエリアに再び移動する場合、UE1650は、UEの一時ID更新要求時にサーバの署名を使用して検証され得る。UE1650が検証された後、インフラストラクチャ1643およびスライスプロバイダ1622は、UEの新しい一時IDまたは認証ID(例えば、UE_Inf_TID、UE_slice_TID)を生成する。これは、サーバ1611に通知される。スライスプロバイダ1622は、オフライン、オンライン、または両方の組合せを介して、分散型信頼サードパーティ1660内のAAA管理機能1665に更新されたUE ID情報、例えばマッピングテーブルを送信し得る。
【0140】
実施形態によれば、UEモビリティアクセス認証のための3つの分類タイプの要求エンティティ、すなわち(i)タイプI-要求エンティティ(x,A,A)、(2)タイプII-要求エンティティ(x,x,A)/(A,x,A)/(A,x,x)/(A,A,x)/(x,A,x)、および(3)タイプIII-要求エンティティ(x,x,x)があると想定される。
図16に示される統一認証アーキテクチャ1600では、タイプI-要求エンティティ(x,A,A)は矢印1601で表記され得、タイプII-要求エンティティ(x,x,A)/(A,x,A)/(A,x,x)/(A,A,x)/(x,A,x)は矢印1602で表記され得る。要求エンティティのフォーマットは(インフラストラクチャID、スライスIDまたはInfM ID、サービスID)であることに留意されたい。「x」は任意のエンティティIDを指し、「A」は既にUEに承認を提供しているエンティティを指すことに、さらに留意されたい。
【0141】
様々な実施形態では、タイプI-要求エンティティおよびタイプII-要求エンティティはAAA管理機能認証を必要としない場合があるが、タイプIII-要求エンティティはAAA管理機能認証を必要とし得る。例えば、
図16をさらに参照すると、UE1650は、要求エンティティ(A,A,A)を含む初期アクセス認証を要求し、次いでUE1650は、要求エンティティ(B,A,A)、または(C,B,A)などを含み得るモビリティアクセス認証を要求する。UE1650が要求エンティティ(A,A,A)を求める場合、これは、UE1650がエンティティの登録エリアから移動しないことを意味する。一方、UE1650が要求エンティティ(x,x,x)(すなわち、タイプIII-要求エンティティ)を求める場合、これは、本明細書の他の箇所に示されるように、UE1650が初期アクセス認証を実行する必要があり得ることを意味する。
【0142】
図17は、本開示の実施形態による、タイプI要求エンティティ(x,A,A)によってトリガされた一時UE IDまたは認証UE ID更新の方法を示す。実施形態によれば、タイプI要求エンティティ(x,A,A)が一時UE IDの更新をトリガすると、UEは、スライスプロバイダまたはインフラストラクチャマネージャ(InfM)によってカバーされる同じ登録エリア内でのみ移動し、同じサービスを要求する。UEが認証および検証されると、インフラストラクチャプロバイダまたはInf-AAAは、UEの一時IDまたは認証ID(例えば、UE_Inf_TID)およびUEへの承認を示す署名を生成することができる。
【0143】
図17を参照すると、UE1701は、ステップ1710において、モビリティ登録要求をInf-AAAまたはインフラストラクチャプロバイダ1702に送信する。モビリティ登録要求は、ランダムID、現在のインフラストラクチャ(x)の公開鍵を使用して暗号化された要求エンティティのID(x,A,A)、古いスライス(A)/InfM(A)の公開鍵を使用して暗号化された古い一時IDまたは認証ID(例えば、UE_slice/InfM_TID)、UE1701への承認を示す古いスライス(A)の/InfM(A)の署名、現在のインフラストラクチャ(x)の公開鍵を使用して暗号化されたランダムID(例えば、TK_is)、古いスライス(A)/InfM(A)の公開鍵を使用して暗号化されたUEのサービス優先度などの1つ以上のパラメータを含み得る。
【0144】
モビリティ登録要求を受信すると、Inf-AAAまたはインフラストラクチャプロバイダ1702は、ステップ1720において、要求を復号し、要求に含まれる1つ以上のパラメータを取得する。例えば、Inf-AAAまたはインフラストラクチャプロバイダ1702は、現在のインフラストラクチャ(x)の公開鍵を使用して暗号化された要求エンティティのID(x,A,A)および現在のインフラストラクチャ(x)の公開鍵を使用して暗号化されたランダムID(例えば、TK_is)を取得する。Inf-AAAまたはインフラストラクチャプロバイダ1702が要求されたスライス-AAA/InfM-AAA/スライスプロバイダの公開鍵を有する場合、UE1701のためのスライス-AAA/InfM-AAA/スライスプロバイダの署名は、このステップで検証され得る。Inf-AAAまたはインフラストラクチャプロバイダ1702は、将来の通信においてUE1701を識別するために使用されるUE1701のために、新しい一時IDまたは認証ID(例えば、UE_Inf_TID)を生成する。UE1701のためのスライスの署名またはInfMの署名が検証されない(すなわち、検証が失敗した)場合、Inf-AAAまたはインフラストラクチャプロバイダ1702は、ステップ1725において、UE1701がネットワークに登録されていないことをUE1701に通知する。この登録失敗通知において、ランダムIDがUE1701に送信され得る。
【0145】
Inf-AAAまたはインフラストラクチャプロバイダ1702は、ステップ1730において、モビリティ登録要求をスライス-AAA/InfM-AAAまたはスライスプロバイダ1703に送信する。モビリティ登録要求は、インフラストラクチャID(Inf ID)、古いスライス(A)の/InfM(A)の公開鍵を使用して暗号化されたUE1701のための(例えば、UE_Inf_TID)、セッション通信においてUE1701を識別するための新しいランダムID(例えば、TK_is)、スライス-AAA/InfM-AAAの公開鍵を使用して暗号化された要求エンティティ、UE1701のための他の一時IDまたは認証ID(例えば、UE_slice/InfM_TID)、およびUEのサービス優先度などの1つ以上のパラメータを含み得る。UE1701のための他の暗号化された一時ID(例えば、UE_slice/InfM_TID)およびUEのサービス優先度もまた暗号化され得る。モビリティ登録要求は、インフラストラクチャの秘密鍵を使用して署名される。
【0146】
スライス-AAA/InfM-AAAまたはスライスプロバイダ1703は、ステップ1740において、(署名付き)モビリティ登録要求を検証し、要求を復号する。要求が検証および復号されると、スライス-AAA/InfM-AAAまたはスライスプロバイダ1703は、UE1701のための(例えば、他の)一時IDまたは認証ID(例えば、UE_slice_TIDまたはUE_InfM_ID)をローカルでチェックする。検証が正常に完了された場合、スライス-AAA/InfM-AAAまたはスライスプロバイダ1703は、受信した一時UE IDまたは認証IDのためのマッピング(例えば、UE_slice/InfM_TIDとUE_Inf_TIDとの間のマッピング)を確立または保持する。
【0147】
スライス-AAA/InfM-AAAまたはスライスプロバイダ1703は、ステップ1750において、モビリティ登録応答をInf-AAAまたはインフラストラクチャプロバイダ1702に送信する。モビリティ登録応答は、検証の結果、ならびにセッション通信においてUE1701を識別するための新しいランダムID(例えば、TK_is)、現在のインフラストラクチャ(x)の公開鍵を使用して暗号化されたUE1701のための(他の)一時IDまたは認証ID(例えば、UE_slice/InfM_TID)、インフラストラクチャ(x)の公開鍵を使用して暗号化されたUEのサービス優先度などの1つ以上のパラメータを含み得る。モビリティ登録応答は、古いスライス(A)/InfM(A)の秘密鍵を使用して署名され得る。
【0148】
ステップ1760において、Inf-AAAまたはインフラストラクチャプロバイダ1702は、モビリティ登録応答を受信および検証する。正常に検証された場合、Inf-AAAまたはインフラストラクチャプロバイダ1702は、UE1701のサービスサブスクリプションを生成する。Inf-AAAまたはインフラストラクチャプロバイダ1702は、一時UE IDまたは認証UE ID(例えば、UE_Inf_TID)のためのマッピングを確立または保持することができる。
【0149】
ステップ1770において、Inf-AAAまたはインフラストラクチャプロバイダ1702は、モビリティ登録応答をUE1701に送信する。モビリティ登録応答は、インフラストラクチャ(x)の秘密鍵を使用して署名され得る。モビリティ登録応答は、ランダムID、インフラストラクチャID、UE1701のためのインフラストラクチャの署名、セッション鍵を使用して暗号化されたUEのサービスサブスクリプションなどの1つ以上のパラメータを含み得る。UEのサービスサブスクリプションは、インフラストラクチャまたはInf-AAAまたはインフラストラクチャプロバイダ1702に関連付けられた一時UE IDまたは認証UE ID(例えば、UE_Inf_TID)を含み得る。
【0150】
UE1701は、ステップ1780において、インフラストラクチャの公開鍵を使用して署名付きモビリティ登録応答を検証し、UE1701のためのUEのサービスサブスクリプションおよびインフラストラクチャの署名を復号および記憶する。新しい一時UE IDまたは認証UE IDのためのいくつかのマッピング情報、例えば(1つまたは複数の)マッピングテーブルを収集した後、スライス-AAA/InfM-AAAまたはスライスプロバイダ1703は、ステップ1790において、オフライン、オンライン、または両方の組合せを介して、マッピング情報(例えば、(1つまたは複数の)マッピングテーブル)をAAA管理機能に送信する。
【0151】
図18は、本開示の実施形態による、タイプII-要求エンティティ(x,x,A)/(A,x,A)/(A,x,x)/(A,A,x)/(x,A,x)によってトリガされた一時UE IDまたは認証UE ID更新の方法を示す。実施形態によれば、タイプII-要求エンティティs(x,x,A)/(A,x,A)/(A,x,x)/(A,A,x)/(x,A,x)が一時UE IDまたは認証UE IDの更新をトリガすると、UEは、UEの移動期間中に同じサービスを要求する。UEは、インフラストラクチャAの現在の登録エリアに留まるか、またはそこから移動することができるが、UEは、異なるスライスプロバイダまたはインフラストラクチャマネージャ(InfM)を要求する。タイプII要求エンティティでは、UEの認証時に、スライス-AAA/InfM-AAAは、UEの一時IDまたは認証ID(例えば、UE_slice_TID、UE_InfM_TID、またはUE_Inf_TID)およびUEへの承認を示す署名を生成する。インフラストラクチャプロバイダまたはInf-AAAもまた、自身の一時UE IDまたは自身の認証UE IDを有していないときに、UEへの承認を示す署名を生成することができる。
【0152】
図18を参照すると、UE1801は、ステップ1810において、モビリティ登録要求をInf-AAAまたはインフラストラクチャプロバイダ1802またはモビリティ管理機能に送信する。モビリティ要求は、要求エンティティのID(x,x,A/A,x,A/A,x,x/x,A,x/A,A,x)、UEの一時IDまたは認証ID、ランダムID(例えば、TK_is)を用いるUE1801のための前のスライス(A)/InfM(A)の承認署名、ランダムID(例えば、TK_ss)を用いるUE1801のための前のサーバ(A)の承認署名、UEのサービス優先度、Inf_AAA/インフラストラクチャプロバイダ1802(または新しいインフラストラクチャ)へのアクセスのためのランダムIDなどの1つ以上のパラメータを含み得る。モビリティ要求は、古いインフラストラクチャ(A)へのアクセスが必要とされる場合、古いインフラストラクチャ(A)の公開鍵および古いインフラストラクチャ(A)からのその対応する署名を使用して暗号化されるUE1801の一時IDまたは認証ID(例えば、TB_ui)を含み得る。
【0153】
モビリティ要求の1つ以上のパラメータに関して、様々な実施形態では、要求エンティティのID(x,x,A/A,x,A/A,x,x/x,A,x/A,A,x)は、現在のインフラストラクチャの公開鍵(例えば、Inf-AAAまたはインフラストラクチャプロバイダ1802の公開鍵)を使用して暗号化され得る。暗号化されたUEの一時IDまたは認証IDは、前のエンティティの公開鍵を使用して暗号化され得る。暗号化されたUEの一時IDまたは認証IDは、古いスライス(A)/InfM(A)へのアクセスのために前のスライス(A)/InfM(A)の公開鍵を使用して暗号化されたUE_slice/InfM_TID、古いサーバ(A)へのアクセスのために古いサーバ(A)の公開鍵を使用して暗号化されたUE_server_TID、および/または古いインフラストラクチャ(A)へのアクセスのために古いインフラストラクチャ(A)の公開鍵を使用して暗号化されたUE_Inf_TIDを含み得る。ランダムID(例えば、TK_is)を用いるUE1801のための前のスライス(A)/InfM(A)の承認署名は現在のインフラストラクチャプロバイダの公開鍵(例えば、Inf-AAAまたはインフラストラクチャプロバイダの公開鍵)を使用して暗号化されてもよく、ランダムID(例えば、TK_ss)を用いるUE1801のための前のサーバ(A)の承認署名は、現在のインフラストラクチャプロバイダの公開鍵(例えば、Inf-AAAまたはインフラストラクチャプロバイダの公開鍵)を使用して暗号化されてもよい。UEのサービス優先度は、前のスライス(A)/InfM(A)の公開鍵、古いサーバ(A)の公開鍵、および/または前のインフラストラクチャ(A)の公開鍵を使用して暗号化され得る。
【0154】
モビリティ要求を受信すると、Inf-AAAまたはインフラストラクチャプロバイダ1802は、ステップ1812において、サーバ-AAA/サービスプロバイダの公開鍵を使用してサーバ-AAA/サービスプロバイダの承認署名を検証し得る。また、Inf-AAAまたはインフラストラクチャプロバイダ1802は、スライス-AAA/InfM-AAAの公開鍵を使用してスライス-AAA/InfM-AAAの承認署名を検証し得る。検証が失敗した場合、ステップ1814が実行され得る。ステップ1814において、Inf-AAAまたはインフラストラクチャプロバイダ1802は、UEがネットワークに登録されていないことを示すメッセージを送信する。このメッセージは、ランダムID(例えば、TK_is)を含み得る。検証が成功した場合、Inf-AAAまたはインフラストラクチャプロバイダ1802は、受信したモビリティ要求を復号し、UEの一時IDまたは認証ID(例えば、UE_Inf_TID)をローカルでチェックする。UEの一時IDまたは認証ID(例えば、UE_Inf_TID)が利用可能ではない場合、UE1801のための新しい一時IDまたは認証ID(例えば、UE_Inf_TID)が生成され、ステップ1816が実行され得る。
【0155】
Inf-AAAまたはインフラストラクチャプロバイダ1802は、ステップ1816において、承認要求をスライス-AAA/InfM-AAA1803に送信する。承認要求は、Inf-AAAまたはインフラストラクチャプロバイダのID(Inf ID)を含むことができ、Inf-AAA/インフラストラクチャプロバイダの秘密鍵を使用して署名され得る。承認要求は、現在のスライスの/InfMの公開鍵(例えば、スライス-AAA/InfM-AAAの公開鍵)を使用して暗号化された要求エンティティ、いずれかの通信エンティティが新しい場合の新しいランダムID(例えば、新しいTK_is)、UEのサービス優先度、およびUEの一時IDまたは認証ID(例えば、UE_Inf_TID)などの1つ以上のパラメータを含み得る。様々な実施形態では、暗号化されたUEのサービス優先度およびUEの一時IDまたは認証ID(例えば、UE_Inf_TID)は、前のスライス(A)の公開鍵、InfM(A)の公開鍵、または前のサーバ(A)の公開鍵を使用して暗号化され得る。
【0156】
承認要求を受信すると、スライス-AAA/InfM-AAA1803は、ステップ1818において、受信した承認要求を検証する。受信した承認要求は、Inf-AAA/インフラストラクチャプロバイダの秘密鍵を使用して署名され得る。スライス-AAA/InfM-AAA1803は、受信した承認要求を復号し、UEの一時IDまたは認証ID(例えば、UE_slice/InfM_TID)をローカルでチェックし得る。UEの一時IDまたは認証ID(例えば、UE_slice/InfM_TID)が利用可能ではない場合、スライス-AAA/InfM-AAA1803は、UE1801のための新しい一時IDまたは認証ID(例えば、UE_slice/InfM_TID)およびUE1801への承認を示す署名を生成することができる。
【0157】
スライス-AAA/InfM-AAA1803は、ステップ1820において、サーバ-AAA/サービスプロバイダ1804に承認要求を送信する。承認要求は、スライス-AAA/InfM-AAAの秘密鍵を使用して署名されてもよく、スライスIDまたはInfM ID、Inf ID、通信エンティティのいずれかが新しい場合にUE1801を識別するための新しいランダムID(例えば、新しいTK_ss)、要求エンティティのID、UEの一時IDまたは認証ID(例えば、UE_slice/InfM_TID D)、およびUEのサービス優先度などの1つ以上のパラメータを含み得る。様々な実施形態では、UE1801のための一時IDまたは認証ID(例えば、UE_slice/InfM_TID D)のうちの1つ以上は、前のサーバ(A)の公開鍵を使用して暗号化されてもよい。要求エンティティのID、UEの一時IDまたは認証ID、およびUE1801のサービス優先度のうちの1つ以上もまた暗号化されてもよい。
【0158】
承認要求を受信すると、サーバ-AAA/サービスプロバイダ1804は、ステップ1822において、受信した承認要求を検証および復号する。次いで、サーバ-AAA/サービスプロバイダ1804は、UEの一時IDまたは認証ID(例えば、UE_server_TID)をローカルでチェックする。UEの一時IDまたは認証ID(例えば、UE_server_TID)が利用可能ではない場合、サーバ-AAA/サービスプロバイダ1804は、UE1801のための新しい一時IDまたは認証ID(例えば、UE_server_TID)およびUE1801への承認を示す署名を生成することができる。
【0159】
サーバ-AAA/サービスプロバイダ1804は、ステップ1824において、スライス-AAA/InfM-AAA1803に承認応答を送信する。承認応答は、サーバ-AAA/サービスプロバイダの秘密鍵を使用して署名され得る。承認応答は、サーバ-AAA/サービスプロバイダのID、UE1801を識別するための新しいランダムID(例えば、新しいTK_ss)、UEのサービスサブスクリプション、スライス-AAA/InfM-AAAの公開鍵を使用して暗号化されたUEの一時IDまたは認証ID(例えば、UE_server_TID)、またはUE1801のための承認署名、またはUEのサービス優先度などの1つ以上のパラメータを含み得る。
【0160】
様々な実施形態では、承認応答は、サーバ-AAA/サービスプロバイダ1804がUEサービス優先度を知っている場合、UEのサービスサブスクリプションを含み得る。UEのサービスサブスクリプションは、セッション鍵を使用して暗号化され得る。承認応答は、スライス-AAA/InfM-AAA1803がUEのサービス優先度を知らない場合、UEのサービス優先度を含むことができる。UEのサービス優先度は、スライス-AAA/InfM-AAAの公開鍵を使用して暗号化され得る。UE1801が古いサーバ(A)にアクセスする場合、承認応答は、UE1801のための承認署名およびUEのサービスサブスクリプションを含まない。UEの一時IDまたは認証ID(例えば、UE_server_TID)は、スライス-AAA/InfM-AAAの公開鍵を使用して暗号化され得る。
【0161】
スライス-AAA/InfM-AAA1803は、ステップ1826において、署名付き承認応答を検証し、UE1801のための一時IDまたは認証IDのマッピングを確立する(例えばUE_server_TIDにUE_slice/InfM_TIDをマッピングする)。
【0162】
いくつかの実施形態では、スライス-AAA/InfM-AAA1803は、ステップ1828において、ID配信メッセージをサーバ-AAA/サービスプロバイダ1804に送信し得る。ID配信メッセージは、UE1801を識別するための新しいランダムID(例えば、TK_ss)、UEの一時IDまたは認証ID(例えば、UE_slice\InfM_TID)、およびUEのサービス優先度などの1つ以上のパラメータを含み得る。UEのサービス優先度は、サーバ-AAA/サービスプロバイダ1804がその記録を有していない場合、メッセージに含まれ得る。UEの一時IDまたは認証ID(例えば、UE_slice\InfM_TID)およびUEのサービス優先度は、サーバ-AAA/サービスプロバイダの公開鍵を使用して暗号化され得る。ID配信メッセージに応答して、サーバ-AAAまたはサービスプロバイダ1804は、ステップ1830において、UEのサービスサブスクリプションをスライス-AAA/InfM-AAA1803に送信し得る。UEのサービスサブスクリプションは、セッション鍵を使用して暗号化され得る。
【0163】
スライス-AAA/InfM-AAA1803は、承認応答をInf-AAA/インフラストラクチャプロバイダ1802に送信する。承認応答は、スライス-AAA/InfM-AAAの秘密鍵を使用して署名されてもよく、サーバ-AAA/サービスプロバイダのID、スライス-AAA/InfM-AAAのID、新しいランダムID(例えば、新しいTK_is)、UEの一時IDまたは認証ID(例えば、UE_slice_TIDまたはUE_InfM_TID)、UE1801のためのスライス-AAA/InfM-AAAの承認署名、サーバ-AAA/サービスプロバイダ1804からのUEのサービスサブスクリプション、スライス-AAA/InfM-AAA1803からのUEのサービスサブスクリプション、およびUEのサービス優先度などの1つ以上のパラメータを含み得る。
【0164】
様々な実施形態では、サーバ-AAA/サービスプロバイダ1804からのUEのサービスサブスクリプションおよびスライス-AAA/InfM-AAA1803からのUEのサービスサブスクリプションが暗号化され得る。UEの一時IDまたは認証ID(例えば、UE_slice_TIDまたはUE_InfM_TID)は、Inf-AAA/インフラストラクチャプロバイダの公開鍵を使用して暗号化され得る。UEのサービス優先度は、Inf-AAA/インフラストラクチャプロバイダ1802がUEのサービス優先度の記録を有していない場合、Inf-AAA/インフラストラクチャプロバイダの公開鍵を使用して暗号化され得る。UE1801が古いスライス(A)/InfM(A)にアクセスする場合、応答は、UE1801のためのスライス-AAA/InfM-AAAの承認署名およびスライス-AAA/InfM-AAA1803からのUEのサービスサブスクリプションを含まない。
【0165】
承認応答を受信すると、Inf-AAA/インフラストラクチャプロバイダ1802は、ステップ1834において、受信した承認応答を検証し、UE1801のための一時IDまたは認証IDのマッピングを確立する(例えば、UE_slice/InfM_TIDにUE_Inf_TIDをマッピングする)。
【0166】
ステップ1836において、Inf_AAA/インフラストラクチャプロバイダ1802は、ID配信メッセージをスライス-AAA/InfM-AAA1803に送信し得る。ID配信メッセージは、UE1801を識別するための新しいランダムID(例えば、新しいTK_is)、UEの一時IDまたは認証ID(例えば、UE_Inf_TID)、およびUEのサービス優先度などの1つ以上のパラメータを含み得る。様々な実施形態では、UEの一時IDまたは認証ID(例えば、UE_Inf_TID)は、スライス-AAA/InfM-AAAの公開鍵を使用して暗号化され得る。UEのサービス優先度は、スライス-AAA/InfM-AAA1803がその記録を有していない場合、スライス-AAA/InfM-AAAの公開鍵を使用して暗号化され得る。
【0167】
ステップ1838において、スライス-AAA/InfM-AAA1803は、UEのサービスサブスクリプションをInf_AAA/インフラストラクチャプロバイダ1802に送信し得る。UEのサービスサブスクリプションは、セッション鍵を使用して暗号化され得る。
【0168】
要求エンティティ(A,x,x)の場合、スライス-AAA/InfM-AAA1803は、ステップ1836の後にのみUEのサービス優先度を取得する。そのような場合、スライス-AAA/InfM-AAA1803は、ステップ1840においてID配信メッセージをサーバ-AAA/サービスプロバイダ1804に送信し得る。ID配信メッセージは、UE1801を識別するための新しいランダムID(例えば、新しいTK_ss)、UEのサービス優先度などの1つ以上のパラメータを含み得る。UEのサービス優先度は、サーバ-AAA/サービスプロバイダ1804がその記録を有していない場合、サーバ-AAA/サービスプロバイダの公開鍵を使用して暗号化され得る。
【0169】
ステップ1842において、サーバ-AAA/サービスプロバイダ1804は、UEのサービスサブスクリプションをInf_AAA/インフラストラクチャプロバイダ1802に送信し得る。UEのサービスサブスクリプションは、セッション鍵を使用して暗号化され得る。
【0170】
ステップ1844において、Inf_AAA/インフラストラクチャプロバイダ1802は、モビリティ登録応答をUE1801に送信する。モビリティ登録応答は、Inf-AAA/インフラストラクチャプロバイダの秘密鍵を使用して署名され得る。モバイル登録応答は、一時UE IDまたは認証ID(例えば、UE_slice_TID、UE_InfM_TID、UE_Inf_TID)、およびUE1801のための承認署名のうちの1つ以上を含み得る。モビリティ登録応答は、Inf_AAA/インフラストラクチャプロバイダ1802(または新しいインフラストラクチャ)へのアクセスのためのランダムID、Inf_AAA/インフラストラクチャプロバイダのID、スライス-AAA/InfM-AAAのID、サーバ-AAA/サービスプロバイダのID、Inf_AAA/インフラストラクチャプロバイダ1802、スライス-AAA/InfM-AAA1803、またはサーバ-AAA/サービスプロバイダ1804からのUEのサービスサブスクリプション、UE1801のためのスライス-AAA/InfM-AAAの承認署名、およびUE1801のためのサーバ-AAA/サービスプロバイダの承認署名などの1つ以上のパラメータを含み得る。UE1801が古いインフラストラクチャ(A)にアクセスする場合、モビリティ登録応答は、インフラストラクチャプロバイダからのUEのサービスサブスクリプションを含まない。様々な実施形態では、Inf_AAA/インフラストラクチャプロバイダ1802、スライス-AAA/InfM-AAA1803、またはサーバ-AAA/サービスプロバイダ1804からのUEのサービスサブスクリプションが暗号化され得る。
【0171】
UE1801は、ステップ1846において、Inf-AAA/インフラストラクチャプロバイダの公開鍵を使用して署名付きモビリティ登録応答を検証および復号する。次いで、UE1801は、1つ以上の一時UE IDまたは認証ID(例えば、UE_slice_TID、UE_InfM_TID、UE_Inf_TID)およびUE1801のための承認署名を保持または記憶する。
【0172】
新しい一時UE IDまたは認証IDのためのいくつかのマッピング情報、例えば(1つまたは複数の)マッピングテーブルを収集した後、スライス-AAA/InfM-AAA1803は、ステップ1848において、オフライン、オンライン、または両方の組合せを介して、マッピング情報をAAA管理に送信する。
【0173】
本開示の実施形態は、UEサブスクリプションを提供することができる。
図19は、本開示の実施形態による、UEサービスサブスクリプション提供のための方法を示す。実施形態によれば、本出願の他の箇所、例えば
図12、
図17、および
図18に示されるように、UEのサービスサブスクリプションは、(一時)セッション鍵を使用して暗号化され得る。一時セッション鍵は、UEがそのときのAAA管理機能によって認証された場合、AAA管理機能によってUEに割り当てられ得る。この一時セッション鍵は、1回だけ使用され得る。
【0174】
図19を参照すると、ステップ1910において、セッション鍵は、アクセス認証手順中に確立され得る。アクセス認証が確立された後、UE1901は、ステップ1920において、UEのサービス優先度メッセージをエンティティ(例えば、スライスコントローラ、スライスプロバイダ、インフラストラクチャプロバイダ、またはサービスプロバイダ)に送信することができる。UEのサービス優先度メッセージは、UE1901が優先させる(1つまたは複数の)リソース、課金方法、またはその両方を含み得る。
【0175】
ステップ1930において、エンティティ1902は、UEのサービスサブスクリプションについて、関連するエンティティとネゴシエートし得る。ネゴシエーションの完了時に、エンティティ1902は、UE1901が認証された場合、ステップ1940において、UEサービスサブスクリプションをUE1901に送信し得る。UEサービスサブスクリプションは、利用可能または許可されたエンティティおよびそれらの対応する鍵のリスト、セキュリティ要件(例えば、セキュリティの必要な粒度(またはレベル))、UE体験を強化するためにUEデータを収集するためのUEの認証への要求、(新しい)一時UE IDまたは認証UE ID、またはこれらの任意の組合せを含み得る。UEサービスサブスクリプションは、(一時)セッション鍵を使用して暗号化され得る。
【0176】
いくつかの実施形態では、UEサービスサブスクリプションは、UEへの登録応答に含まれ得る。この場合、UEサービスサブスクリプションは、アクセス認証手順の後にネゴシエートされてもよく、UEのサービス優先度メッセージを要求するステップ(例えば、ステップ1920)は実行されなくてもよい。
【0177】
UEサービスサブスクリプションを受信すると、UE1901は、ステップ1950において、確認応答メッセージをエンティティ1902に送信し得る。確認応答メッセージは、1901に関するデータを収集するためのUEの承認を含み得る。
【0178】
実施形態によれば、UEサービスサブスクリプションは、様々なエンティティ(例えば、スライスコントローラ、スライス/InfMプロバイダ、インフラストラクチャプロバイダ、またはサービスプロバイダ)から受信され得る。しかしながら、スライスコントローラ、スライスプロバイダ、またはインフラストラクチャマネージャによって制御され得る課金サーバは、請求金額または請求書を生成するためにこれらのUEサービスサブスクリプションを保持することができる。
【0179】
図20は、本開示の異なる実施形態による、本明細書に明示的または暗黙的に記載された上記の方法の動作および特徴のいずれかまたはすべてを実行することができる電子デバイス2000の概略図である。例えば、ネットワーク機能を備えたコンピュータが電子デバイス2000として構成されてもよい。電子デバイスは、モバイルデバイスまたはセルもしくは基地局を形成するデバイス、無線アクセスノード、制御機能、インフラストラクチャ、または無線通信アクセスネットワークもしくはコアネットワーク内の他のデバイスであってもよい。電子デバイスは、前記デバイス(例えば、スライス-AAA、サーバ-AAA、Inf-AAA、InfM-AAAなど)のうちの1つによって展開されるアプリケーションプロバイダ、インフラストラクチャプロバイダ、インフラストラクチャマネージャ、スライスプロバイダ、サービスプロバイダ、またはAAA(認証、承認、およびアカウンティング)サーバの一部を形成するデバイスであってもよい。電子デバイスは、分散型信頼サードパーティ、または分散型信頼サードパーティ内のAAAサーバもしくはAAA管理機能の一部を形成するデバイスであってもよい。
【0180】
図示されるように、デバイスは、中央処理装置(CPU)またはグラフィック処理装置(GPU)などの専用プロセッサまたは他のこのようなプロセッサユニットなどのプロセッサ2010、メモリ2020、非一時的大容量ストレージ2030、I/Oインターフェース2040、ネットワークインターフェース2050、およびトランシーバ2060を含み、これらのすべては双方向バス2070を介して通信可能に結合されている。特定の実施形態によれば、図示されている要素のいずれかまたはすべてが利用されてもよく、または要素のサブセットのみが利用されてもよい。さらに、デバイス2000は、複数のプロセッサ、メモリ、またはトランシーバなどの所定の要素の複数の例を含み得る。また、ハードウェアデバイスの要素は、双方子バスなしで他の要素に直接結合されてもよい。プロセッサおよびメモリに加えて、またはこれらの代わりに、必要とされる論理演算を実行するために、集積回路などの他の電子機器が採用されてもよい。
【0181】
メモリ2020は、スタティックランダムアクセスメモリ(SRAM)、ダイナミックランダムアクセスメモリ(DRAM)、シンクロナスDRAM(SDRAM)、読み出し専用メモリ(ROM)、このようなものの任意の組合せなどの任意のタイプの非一時的メモリを含み得る。大容量ストレージ要素2030は、ソリッドステートドライブ、ハードディスクドライブ、磁気ディスクドライブ、光学的ディスクドライブ、USBドライブ、またはデータおよびマシン実行可能プログラムコードを記憶するように構成されている任意のコンピュータプログラム製品などの任意のタイプの非一時的ストレージデバイスを含み得る。特定の実施形態によれば、メモリ2020または大容量ストレージ2030には、上記で説明された上述の方法動作のいずれかを実行するためにプロセッサ2010によって実行可能なステートメントおよび命令を記録していてもよい。
【0182】
本技術の特定の実施形態が説明目的で本明細書に記載されてきたが、本技術の範囲から逸脱することなく様々な修正がなされ得ることを理解されたい。したがって、明細書および図面は、単に添付の特許請求の範囲によって定義される本発明の例示として見なされるべきであり、本発明の範囲内にあるあらゆるおよびすべての修正、変形、組み合わせまたは均等物を網羅すると考えられる。特に、機械によって読み取り可能な信号を記憶するため、本技術の方法に従ってコンピュータの動作を制御するため、および/または本技術のシステムに従ってその構成要素の一部またはすべてを構造化するために、コンピュータプログラム製品もしくはプログラム要素、または磁気または光ワイヤ、テープ、またはディスクなどのプログラムストレージもしくはメモリデバイスを提供することは、本技術の範囲内である。
【0183】
本明細書に記載される方法に関連する動作は、コンピュータプログラム製品内のコード化された命令として実施されることが可能である。言い換えると、コンピュータプログラム製品は、コンピュータプログラム製品がメモリにロードされて無線通信デバイスのマイクロプロセッサ上で実行されたときに方法を実行するためのソフトウェアコードが記録されている、コンピュータ可読媒体である。
【0184】
さらに、本方法の各動作は、パーソナルコンピュータ、サーバ、PDAなどの任意のコンピューティングデバイス上で実行されてもよく、C++、Javaなどの任意のプログラミング言語から生成された1つ以上のプログラム要素、モジュール、またはオブジェクトのうちの1つ以上または一部に従うことができる。加えて、各動作、または各前記動作を実施するファイルまたはオブジェクトなどは、専用ハードウェアまたはその目的のために設計された回路モジュールによって実行されてもよい。
【0185】
前述の要素の説明を通じて、本発明は、ハードウェアのみを使用して、またはソフトウェアおよび必要なユニバーサルハードウェアプラットフォームを使用して実施されてもよい。このような理解に基づいて、本発明の技術的解決策は、ソフトウェア製品の形で具体化されてもよい。ソフトウェア製品は、不揮発性、または非一時的な記憶媒体に記憶されてもよく、これは、コンパクトディスク読み出し専用メモリ(CD-ROM)、USBフラッシュメモリ、または取り外し可能なハードディスクであってもよい。ソフトウェア製品は、コンピュータデバイス(パーソナルコンピュータ、サーバ、またはネットワークデバイス)が本発明の実施形態で提供される方法を実行することを可能にする、いくつかの命令を含む。例えば、このような実行は、本明細書に記載される論理演算のシミュレーションに対応していてもよい。ソフトウェア製品は、付加的または代替的に、本発明の実施形態によるデジタル論理装置またはプログラミングするための動作をコンピュータデバイスが実行することを可能にする、いくつかの命令を含んでもよい。
【0186】
本発明は、特定の特徴およびその実施形態を参照して説明されてきたが、本発明から逸脱することなく様々な修正および組合せがなされ得ることは明らかである。したがって、明細書および図面は、単に添付の特許請求の範囲によって定義される本発明の例示として見なされるべきであり、本発明の範囲内にあるあらゆるおよびすべての修正、変形、組み合わせまたは均等物を網羅すると考えられる。
【符号の説明】
【0187】
100 アクセス認証のアーキテクチャ
110 サービスアクセス認証システム
111,121,250,401,501,1011,1021,1150,1201,1501,1650,1701,1801,1901 ユーザ機器(UE)
113,1611 サーバ
115 認証、承認、およびアカウンティング(AAA)サーバ
120 ネットワークアクセス認証システム
123,240,340,1024,1140,1440,1641,1642,1702,1802 インフラストラクチャプロバイダ(Inf)
125,220,320,1016,1026,1120,1420,1621,1622,1703 スライスプロバイダ
127 ホームオペレータ
131 中央ルート証明機関(CA)
200,300,1100,1400,1600 統一認証アーキテクチャ
210,310,1018,1028,1410 サービスプロバイダ
230,330,1130,1430 インフラストラクチャマネージャ(InfM)
260,360,1022,1160,1460,1660 分散型信頼サードパーティ
265,365,402,502,803,1165,1205,1465,1502,1665 AAA管理機能(AAA Mgmt)
311,1111 サーバ-AAA
321,1121 スライス-AAA
331,1131 InfM-AAA
341,1141,1202,1302 Inf-AAA
400,500、800、1200、1500 方法
600 検証手順
601 AAA管理機能1
602 AAA管理機能2
603 AAA管理機能3
604 AAA管理機能n
711 UE Nのトランザクション
720 ブロック
721 AAA管理機能1 601の署名
722 UEのトランザクションのリスト
723 プレハッシュ
730 UEのトランザクション
731 UEの公開鍵
732 UEの署名
801,1301 セル
802 Inf-AAAまたはInfプロバイダ
910 UE-PKC
920 スライス-PKC
930 InfM-PKC
940 サーバ-PKC
950 Inf-PKC
1010 現在のシステム
1012 中央ルートCA
1014 ホームインフラストラクチャプロバイダ
1203,1803 スライス-AAA/InfM-AAA
1204 サービスプロバイダ/サーバ-AAA
1300 手順
1450 デバイス
1470 顧客
1601,1602 矢印
1643 インフラストラクチャ
1804 サーバ-AAA/サービスプロバイダ
1902 エンティティ
2000 電子デバイス
2010 プロセッサ
2020 メモリ
2030 非一時的大容量ストレージ
2040 I/Oインターフェース
2050 ネットワークインターフェース
2060 トランシーバ
2070 双方向バス