知財求人 - 知財ポータルサイト「IP Force」
特表2024-528153鍵更新方法、ネットワーク要素、ユーザ機器、及び記憶媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-07-26
(54)【発明の名称】鍵更新方法、ネットワーク要素、ユーザ機器、及び記憶媒体
(51)【国際特許分類】
H04W 12/0431 20210101AFI20240719BHJP
H04W 12/041 20210101ALI20240719BHJP
H04W 88/18 20090101ALI20240719BHJP
【FI】
H04W12/0431
H04W12/041
H04W88/18
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024506211
(86)(22)【出願日】2022-03-23
(85)【翻訳文提出日】2024-01-31
(86)【国際出願番号】 CN2022082520
(87)【国際公開番号】W WO2023019944
(87)【国際公開日】2023-02-23
(31)【優先権主張番号】202110949003.X
(32)【優先日】2021-08-18
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】511151662
【氏名又は名称】中興通訊股▲ふん▼有限公司
【氏名又は名称原語表記】ZTE CORPORATION
【住所又は居所原語表記】ZTE Plaza,Keji Road South,Hi-Tech Industrial Park,Nanshan Shenzhen,Guangdong 518057 China
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】游 世 林
(72)【発明者】
【氏名】劉 宇 澤
(72)【発明者】
【氏名】蔡 継 燕
(72)【発明者】
【氏名】▲シン▼ 真
(72)【発明者】
【氏名】彭 錦
(72)【発明者】
【氏名】林 兆 驥
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067EE02
5K067EE10
(57)【要約】
鍵更新方法、ネットワーク要素、ユーザ機器、及び記憶媒体を提供する。当該方法は、セッション確立要求に運ばれている鍵識別子に対応するアプリケーション鍵が無効である場合、ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信し(110)、前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定する(120)。
【特許請求の範囲】
【請求項1】
第1ネットワーク要素に適用される鍵更新方法であって、セッション確立要求に運ばれている鍵識別子に対応するアプリケーション鍵が無効である場合、ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信するステップと、
前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定するステップと、を含む、方法。
【請求項2】
鍵更新パラメータを生成するステップをさらに含み、前記鍵更新パラメータは前記アプリケーション鍵更新要求に運ばれている、請求項1に記載の方法。
【請求項3】
前記アプリケーション鍵更新要求に関連するメッセージは前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを含み、前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定する前記ステップは、
前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するステップを含む、請求項2に記載の方法。
【請求項4】
前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定する前記ステップは、鍵生成関数に基づいて、前記鍵更新パラメータ及び無効であるアプリケーション鍵を演算し、前記更新されるアプリケーション鍵を得るステップを含む、請求項3に記載の方法。
【請求項5】
前記更新されるアプリケーション鍵の有効期限を設定するステップをさらに含む、請求項2に記載の方法。
【請求項6】
前記鍵更新パラメータはハッシュ関数に基づいて生成された乱数である、請求項2に記載の方法。
【請求項7】
ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信する前記ステップは、前記第1ネットワーク要素が事業者ネットワークの外にある場合、ネットワーク露出機能NEFネットワーク要素を介して前記第2ネットワーク要素に前記アプリケーション鍵更新要求を送信するステップを含む、請求項2に記載の方法。
【請求項8】
前記アプリケーション鍵更新要求に関連するメッセージはユーザ機器から再送信されたセッション確立要求メッセージを含み、前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定する前記ステップは、
前記再送信されたセッション確立要求メッセージに基づいて前記更新されるアプリケーション鍵を照会するステップを含む、請求項1に記載の方法。
【請求項9】
前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、セッション確立に失敗したメッセージをユーザ機器に送信するステップをさらに含む、請求項8に記載の方法。
【請求項10】
第2ネットワーク要素に適用される鍵更新方法であって、第1ネットワーク要素がユーザ識別子に基づいて送信したアプリケーション鍵更新要求を受信するステップと、
前記アプリケーション鍵更新要求に基づいて、アプリケーション鍵を更新する指示情報を送信するステップと、を含む、方法。
【請求項11】
前記アプリケーション鍵更新要求に基づいて、アプリケーション鍵を更新する指示情報を送信する前記ステップは、前記アプリケーション鍵更新要求に基づいてアクセス管理機能AMFネットワーク要素にユーザデータ管理通知を送信し、前記AMFネットワーク要素を介して前記ユーザ機器にダウンリンク非アクセス層伝送メッセージを送信するステップを含む、請求項10に記載の方法。
【請求項12】
前記アプリケーション鍵更新要求は前記第1ネットワーク要素が生成した鍵更新パラメータを含み、前記ユーザデータ管理通知は前記鍵更新パラメータを含み、
前記ダウンリンク非アクセス層伝送メッセージは前記鍵更新パラメータに基づいて前記アプリケーション鍵を更新するように前記ユーザ機器に指示することに用いられる、請求項11に記載の方法。
【請求項13】
前記ユーザデータ管理通知は確認情報の返信指示をさらに含み、前記方法は、
前記AMFから送信されたユーザデータ管理応答メッセージを受信するステップであって、前記ユーザデータ管理応答メッセージは前記AMFが前記ユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものであり、前記アップリンク非アクセス層伝送メッセージは前記ユーザ機器から返信された確認情報を含むステップと、
前記第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信するステップであって、前記アプリケーション鍵更新応答メッセージは前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するように前記第1ネットワーク要素に指示することに用いられるステップと、をさらに含む、請求項12に記載の方法。
【請求項14】
前記ユーザデータ管理通知は再登録指示情報及びアプリケーション鍵更新指示情報を含み、前記ダウンリンク非アクセス層伝送メッセージは再登録フローを開始して更新されるアプリケーション鍵を獲得するように前記ユーザ機器に指示することに用いられる、請求項11に記載の方法。
【請求項15】
前記ユーザデータ管理通知は確認情報の返信指示をさらに含み、前記方法は、
前記AMFから送信されたユーザデータ管理応答メッセージを受信するステップであって、前記ユーザデータ管理応答メッセージは前記AMFが前記ユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものであり、前記アップリンク非アクセス層伝送メッセージは確認情報を含むステップと、
前記第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信するステップであって、前記アプリケーション鍵更新応答メッセージは、前記ユーザ機器にセッション確立に失敗したメッセージを返信し、前記ユーザ機器から再送信されたセッション確立要求を受信するように前記第1ネットワーク要素に指示することに用いられるステップと、をさらに含む、請求項14に記載の方法。
【請求項16】
ユーザ機器に適用される鍵更新方法であって、アプリケーション鍵を更新する指示情報を受信するステップと、
前記指示情報に基づいて無効であるアプリケーション鍵を更新するステップと、を含む、方法。
【請求項17】
アプリケーション鍵を更新する指示情報を受信する前記ステップは、AMFネットワーク要素から送信されたダウンリンク非アクセス層伝送メッセージを受信するステップを含み、前記ダウンリンク非アクセス層伝送メッセージは前記AMFが第2ネットワーク要素のユーザデータ管理通知に基づいて送信するものである、請求項16に記載の方法。
【請求項18】
前記ダウンリンク非アクセス層伝送メッセージは第1ネットワーク要素が生成した鍵更新パラメータを含み、前記指示情報に基づいて無効であるアプリケーション鍵を更新するステップは、
鍵生成関数によって、前記鍵更新パラメータ及び前記無効であるアプリケーション鍵を演算し、更新されるアプリケーション鍵を得るステップを含む、請求項17に記載の方法。
【請求項19】
前記ダウンリンク非アクセス層伝送メッセージは再登録指示情報及びアプリケーション鍵更新指示情報を含み、前記ダウンリンク非アクセス層伝送メッセージは再登録フローを開始して更新されるアプリケーション鍵を獲得するように前記ユーザ機器に指示することに用いられる、請求項17に記載の方法。
【請求項20】
前記ダウンリンク非アクセス層伝送メッセージは確認情報の返信指示をさらに含み、前記方法は、
前記AMFネットワーク要素にアップリンク非アクセス層伝送メッセージを送信するステップをさらに含み、前記アップリンク非アクセス層伝送メッセージは前記ユーザ機器から返信された確認情報を含む、請求項18又は19に記載の方法。
【請求項21】
前記指示情報に基づいて無効であるアプリケーション鍵を更新するステップは、鍵セット識別子を所定値に設定するステップであって、前記所定値は、アプリケーション鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられ、前記ネットワーク層鍵は中間鍵又は非アクセス層鍵を含むステップと、
アイドル状態にある場合、前記鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得するステップと、を含む、請求項19に記載の方法。
【請求項22】
前記指示情報に基づいて無効であるアプリケーション鍵を更新するステップは、鍵セット識別子を所定値に設定するステップであって、前記所定値は、ネットワーク鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられ、前記ネットワーク層鍵は中間鍵又は非アクセス層鍵を含むステップと、
第1ネットワーク要素から返信されたセッション確立に失敗したメッセージを受信した場合、前記鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得するステップと、を含む、請求項19に記載の方法。
【請求項23】
メモリ、プロセッサ、及びメモリに記憶され、プロセッサで動作可能なコンピュータプログラムを含み、前記プロセッサが前記プログラムを実行するときに、請求項1~9のいずれか1項に記載の鍵更新方法又は請求項10~15のいずれか1項に記載の鍵更新方法を実現する、ネットワーク要素。
【請求項24】
メモリ、プロセッサ、及びメモリに記憶され、プロセッサで動作可能なコンピュータプログラムを含み、前記プロセッサが前記プログラムを実行するときに、請求項16~22のいずれか1項に記載の鍵更新方法を実現する、ユーザ機器。
【請求項25】
コンピュータ読み取り可能な記憶媒体であって、それにコンピュータプログラムが記憶されており、当該プログラムがプロセッサにより実行されるときに、請求項1~22のいずれか1項に記載の鍵更新方法を実現する、コンピュータ読み取り可能な記憶媒体。【発明の詳細な説明】
【技術分野】
【0001】
本願は、出願番号が202110949003.Xであり、出願日が2021年08月18日である中国特許出願に基づいて提出され、当該中国特許出願の優先権を主張し、当該中国特許出願の全内容はここで参照として本願に組み込まれている。
【0002】
本願は無線通信ネットワーク技術の分野に関し、例えば、鍵更新方法、ネットワーク要素、ユーザ機器、及び記憶媒体に関する。
【背景技術】
【0003】
第5世代移動通信(5G:Fifth Generation)ネットワークアーキテクチャは、いくつかのネットワーク機能(NF:Network Function)で構成される。例えば、統合データ管理機能(UDM:Unified Data Management)ネットワーク要素は、ユーザが契約したデータの永久保存場所であり、ユーザが契約したホームネットワークにある。アクセス管理機能(AMF:Access Management Function)ネットワーク要素は、ユーザがネットワークにアクセスする需要を管理し、機器からネットワークへの非アクセス層(NAS層:Non-Access Stratum)シグナリング管理、ユーザモビリティ管理等の機能を担う。AMFネットワーク要素は、セキュリティアンカー機能(SAF:Security Anchor Function)をさらに有し、認証サーバ機能(AUSF:Authentication Server Function)ネットワーク要素及びユーザ機器(UE:User Equipment)とインタラクションすることによって、UE認証プロセスのために確立された中間鍵(KAMFと記す)及び鍵セット識別子(KSI:Key Set Identity)を受信し、AUSFからセキュリティ関連データ等を取得する。アプリケーション機能(AF:Application Function)ネットワーク要素はUEのセッションを管理する。また、5Gネットワークアーキテクチャはさらに、アプリケーションのための認証および鍵管理(AKMA:Authentication and Key Management for Applications)鍵アンカー機能(AAnF:AKMA Anchor Function)エンティティを導入する。AAnFエンティティは、ホームネットワークにあり、主にUEとAFエンティティとの間のセッション鍵を生成し、及びUEとの間のセキュリティコンテキストを維持することに用いられる。AKMA技術は、5Gネットワークのために、ユーザからアプリケーションへのエンドツーエンドのセキュリティ保護を提供する。
【0004】
UEがAFに対してアプリケーションセッション確立要求を開始した後、AFは、それに運ばれた鍵識別子に基づいて、対応するアプリケーション鍵を取得することをAAnFに要求する。アプリケーション鍵はAAnFがAKMA鍵及びアプリケーションサーバ識別子を利用して生成したものである。アプリケーション鍵の鍵生成関数パラメータには、アプリケーションサーバ識別子及びAKMA鍵の2つのパラメータのみに関する。アプリケーション鍵が無効である場合、AFは正確なアプリケーション鍵を獲得できず、アプリケーションセッションは安全に行うことができず、ユーザは信頼できるサービスを獲得することができない。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本願は、鍵更新方法、ネットワーク要素、ユーザ機器、及び記憶媒体を提供する。
【課題を解決するための手段】
【0006】
本願の実施例は、第1ネットワーク要素に適用される鍵更新方法を提供する。前記鍵更新方法は、セッション確立要求に運ばれている鍵識別子に対応するアプリケーション鍵が無効である場合、ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信するステップと、前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定するステップと、を含む。
【0007】
本願の実施例はさらに、第2ネットワーク要素に適用される鍵更新方法を提供する。前記鍵更新方法は、第1ネットワーク要素がユーザ識別子に基づいて送信したアプリケーション鍵更新要求を受信するステップと、前記アプリケーション鍵更新要求に基づいて、アプリケーション鍵を更新する指示情報を送信するステップと、を含む。
【0008】
本願の実施例はさらに、ユーザ機器に適用される鍵更新方法を提供する。前記鍵更新方法は、アプリケーション鍵を更新する指示情報を受信するステップと、前記指示情報に基づいて無効であるアプリケーション鍵を更新するステップと、を含む。
【0009】
本願の実施例はさらに、ネットワーク要素を提供する。前記ネットワーク要素は、メモリ、プロセッサ、及びメモリに記憶され、プロセッサで動作可能なコンピュータプログラムを含み、前記プロセッサが前記プログラムを実行するときに、第1ネットワーク要素に適用される又は第2ネットワーク要素に適用される上記鍵更新方法を実現する。
【0010】
本願の実施例はさらに、ユーザ機器を提供する。前記ユーザ機器は、メモリ、プロセッサ、及びメモリに記憶され、プロセッサで動作可能なコンピュータプログラムを含み、前記プロセッサが前記プログラムを実行するときに、ユーザ機器に適用される上記鍵更新方法を実現する。
【0011】
本願の実施例はさらに、コンピュータ読み取り可能な記憶媒体を提供する。コンピュータ読み取り可能な記憶媒体にコンピュータプログラムが記憶されており、当該プログラムがプロセッサにより実行されるときに上記鍵更新方法を実現する。
【図面の簡単な説明】
【0012】
【図1】一実施例に係るアプリケーション鍵生成の模式図である。
【図2】一実施例に係る鍵更新方法のフローチャートである。
【図3】一実施例に係る鍵更新方法の実現模式図である。
【図4】一実施例に係る他の鍵更新方法の実現模式図である。
【図5】一実施例に係る他の鍵更新方法のフローチャートである。
【図6】一実施例に係る更なる他の鍵更新方法のフローチャートである。
【図7】一実施例に係る鍵更新装置の構造模式図である。
【図8】一実施例に係る他の鍵更新装置の構造模式図である。
【図9】一実施例に係る更なる他の鍵更新装置の構造模式図である。
【図10】一実施例に係るネットワーク要素のハードウェアの構造模式図である。
【図11】一実施例に係るユーザ機器のハードウェアの構造模式図である。
【発明を実施するための形態】
【0013】
以下、図面及び実施例を参照して本願を説明する。ここで説明される具体的な実施例は本願を解釈するためのものに過ぎず、本願を限定するものではない。なお、矛盾がない場合、本願の実施例及び実施例の特徴を互いに任意に組み合わせることができる。なお、説明を容易にするために、図面には本願に関連する全部の構造ではなく、一部の構造のみを示している。
【0014】
AKMAシーンでは、UEが5Gネットワークにアクセスする場合に、5G-認証および鍵合意(AKA:Authentication and Key Agreement)、即ち5G-AKA、又は拡張認証プロトコル(EAP:Extensible Authentication Protocol)-AKA’、即ちEAP-AKA’によって、認証に成功した後、AUSFとモバイル機器(Mobile Equipment、MEと略称)に中間鍵(KAUSFと記す)を生成し、鍵KAUSFによってAKMAアンカー鍵KAKMAを導出し、AKMAアンカー鍵KAKMA関連鍵識別子A-KIDを生成することができる。
【0015】
図1は一実施例に係るアプリケーション鍵生成の模式図である。図1に示すように、UE(又はME)とAAnFは、まず、主認証フローを完了し、KAUSFによってKAKMAを導出し、A-KIDを生成する。それに基づき、アプリケーション鍵の生成プロセスは以下を含む。
【0016】
a.UEはアプリケーションAFに対してアプリケーションセッション確立要求を開始し、当該要求にはUEが生成したA-KIDが運ばれている。
【0017】
b.AFがA-KIDに関連するコンテキストを見つけず、且つAFが事業者ネットワークにある場合、AFはAAnFに鍵取得要求(Naanf_AKMA_ApplicationKey_Get Request)を送信し、当該鍵取得要求には、AFが受信したA-KID及びAF自身の識別子AF IDが運ばれている。AFが第三者アプリケーションに属し、事業者ネットワークの外にある場合、AFはネットワーク露出機能(NEF:Network Exposure Function)を介してAAnFに当該鍵取得要求を送信してもよい。
【0018】
c.AAnFはAFが(又はAFがNEFを介して)送信した鍵取得要求を受信した後、KAKMAに基づいてKAFを生成する。具体的には、KAF=KDF(AF ID,KAKMA)、KDFは鍵生成関数を示す。
【0019】
d.AAnFは鍵取得応答メッセージ(Naanf_AKMA_ApplicationKey_Get Response)をAFに送信し、当該応答メッセージは生成されたKAF及び対応する有効時間(expTime)を含む。AFが事業者ネットワークにある場合、当該応答メッセージにサブスクリプション永続識別子(SUPI:Subscription Permanent Identifier)又は汎用パブリックサブスクリプション識別子(GPSI:Generic Public Subscription Identifier)がさらに運ばれている。AFが第三者アプリケーションに属し、事業者ネットワークの外にある場合、AAnFはNEFを介してAFに当該応答メッセージを送信してもよく、且つユーザ識別子GPSIが運ばれている。
【0020】
e.AFはアプリケーションセッション確立応答メッセージをUEに送信する。
【0021】
上記アプリケーション鍵の生成プロセスでは、アプリケーション鍵KAFの鍵生成関数パラメータにはAF ID及びKAKMAの2つのパラメータのみに関するため、KAFの有効期限がタイムアウトし又はKAFが失効した場合、AFはKAFを更新できず、そのため、アプリケーションセッションの確立に失敗し、サービスの品質を確保することができない。
【0022】
本願の実施例では、鍵更新方法を提供し、当該方法は第1ネットワーク要素に適用できる。第1ネットワーク要素は、UEのセッションを管理するためのネットワーク要素であり、例えば、AFである。
【0023】
【0024】
ステップ110では、セッション確立要求に運ばれている鍵識別子に対応するアプリケーション鍵が無効である場合、ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信する。
【0025】
本実施例では、UEは第1ネットワーク要素に対してセッション確立要求を開始し、それに鍵識別子A-KIDが運ばれ、第1ネットワーク要素はA-KIDに基づいて対応するアプリケーション鍵KAFを照会してもよい。KAFが無効である場合、例えば、KAFの有効期限がタイムアウトした場合、又はサービスプロバイダが、KAFが安全ではないと判断した場合、第1ネットワーク要素は第2ネットワーク要素にアプリケーション鍵更新要求を送信し、それには、アプリケーションセッションの確立を要求するUEを指示するためのユーザ識別子が運ばれている。ユーザ識別子はSUPI又はGPSIであってもよい。第2ネットワーク要素はユーザが契約したデータを記憶するネットワーク要素であり、例えば、UDMである。
【0026】
ステップ120では、前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定する。
【0027】
本実施例では、アプリケーション鍵更新要求に関連するメッセージは第2ネットワーク要素から返された鍵更新応答メッセージであってもよく、当該鍵更新応答メッセージは所定のパラメータを利用してKAFを更新するように第1ネットワーク要素に指示する。また、第2ネットワーク要素はさらに、所定のパラメータを利用してKAFを更新するようにUEに指示してもよく、それによってUEと第1ネットワーク要素が使用するアプリケーション鍵の一致性を確保する。アプリケーション鍵更新要求に関連するメッセージはUEが再登録フローを完了した後に再開始するセッション確立要求であってもよい。再登録フローでは、UEとAUSFは既に新しいA-KID’及びKAKMA’を生成し、AAnFはKAKMA’に基づいてKAF’を生成する。第1ネットワーク要素は、UEから再送信されたセッション確立要求を受信した後に、A-KID’に基づいてAAnFから更新されたKAF’を再取得することができる。
【0028】
本実施例の鍵更新方法は、アプリケーション鍵が無効である場合、更新されるアプリケーション鍵を取得することを第2ネットワーク要素に要求し、アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定することができる。それによって、アプリケーションセッションの安全性及びサービスの信頼性を確保する。
【0029】
一実施例では、当該方法はステップ100をさらに含む。
【0030】
ステップ100:鍵更新パラメータを生成し、鍵更新パラメータはアプリケーション鍵更新要求に運ばれる。
【0031】
本実施例では、第1ネットワーク要素はアプリケーション鍵を更新するための鍵更新パラメータを生成し、アプリケーション鍵更新要求に運ぶ。それに基づき、第2ネットワーク要素は、鍵更新パラメータをUEに通知することができ、UEは、鍵更新パラメータに基づいてKAFを更新する。それによって、UEと第1ネットワーク要素のアプリケーション鍵の一致性を確保する。いくつかの実施例では、第1ネットワーク要素は、UEが鍵更新パラメータを獲得したと決定した場合にKAFを更新してもよい。例えば、UEが第2ネットワーク要素に確認メッセージを返し、且つ第2ネットワーク要素が第1ネットワーク要素にアプリケーション鍵更新応答メッセージを返す場合、KAFを更新し、UEと第1ネットワーク要素のアプリケーション鍵の一致性をさらに確保する。
【0032】
一実施例では、アプリケーション鍵更新要求に関連するメッセージは、第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを含む。
【0033】
ステップ120では、アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定するステップは、第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するステップを含む。
【0034】
本実施例では、アプリケーション鍵更新要求に関連するメッセージは第2ネットワーク要素から返された鍵更新応答メッセージであってもよく、当該鍵更新応答メッセージは所定のパラメータ(即ち、鍵更新パラメータ)を利用してKAFを更新するように第1ネットワーク要素に指示する。第1ネットワーク要素は、A-KIDに対応するKAFが無効であると発見すると、1つの鍵更新パラメータ(1つの乱数であってもよく、RANDAFと記す)を生成してもよい。AFは、ユーザ識別子(GPSI or SUPI)に基づいて第2ネットワーク要素に対してアプリケーション鍵更新要求を開始し、メッセージにユーザ識別子及びRANDAFが運ばれている。第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、当該RANDAFを利用してKAFを更新する。それに基づき、第2ネットワーク要素は、さらにUEに対してUEパラメータ更新要求を開始してもよい。当該UEパラメータ更新要求にRANDAFが運ばれ、それによってRANDAFを使用してKAFを更新するようにUEに指示する。
【0035】
一実施例では、鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するステップは、鍵生成関数に基づいて、鍵更新パラメータと無効であるアプリケーション鍵を演算し、更新されるアプリケーション鍵を得るステップを含む。
【0036】
本実施例では、KAKMAに基づいてKAFを生成する鍵生成関数(KDF)を利用して、RANDAFと無効であるKAFを演算することで、更新されたKAF’を得てもよい。具体的には、KAF’=KDF(RANDAF,KAF)に応じて得てもよい。
【0037】
一実施例では、当該方法は、更新されるアプリケーション鍵の有効期限を設定するステップ130をさらに含む。
【0038】
本実施例では、第1ネットワーク要素は更新されたKAF’のために有効期限を設定する。有効期限内に、KAF’はアプリケーションセッションの確立に用いることができ、有効期限を超えると、KAF’は失効し、アプリケーションセッションの確立に用いることができない。それによって、セッションの安全性を確保する。
【0039】
一実施例では、鍵更新パラメータはハッシュ関数に基づいて生成された乱数である。
【0040】
一実施例では、ステップ110で、ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信するステップは、第1ネットワーク要素が事業者ネットワークの外にある場合、ネットワーク露出機能NEFネットワーク要素を介して第2ネットワーク要素にアプリケーション鍵更新要求を送信するステップを含む。それに基づき、事業者ネットワークの外にある第1ネットワーク要素もアプリケーション鍵の更新を実現することができる。
【0041】
図3は一実施例に係る鍵更新方法の実現模式図である。図3に示すように、第1ネットワーク要素はAFであり、第2ネットワーク要素はUDMである。UEとAAnFは、まず、主認証フローを完了し、KAUSFによってKAKMAを導出し、A-KIDを生成する。それに基づき、鍵更新プロセスは主に、AFはA-KIDに対応するKAFが無効であると発見すると、1つの鍵更新パラメータRANDAFを生成することと、AFはユーザ識別子に基づいてUDMにアプリケーション鍵更新要求を送信し、それにユーザ識別子及びRANDAFが運ばれることと、UDMはUEにUEパラメータ更新要求を送信し、それにRANDAFが運ばれることと、UEはRANDAFを使用してKAFを更新し、KAF’を得ることと、AFはRANDAFを使用してKAFを更新し、KAF’を得て、KAF’の有効期限を設定することと、を含む。具体的には以下のとおりである。
【0042】
ステップ201:UEはアプリケーションAFに対してアプリケーションセッション確立要求を開始し、当該アプリケーションセッション確立要求にはUEが生成したA-KIDが運ばれている。
【0043】
ステップ202:AFはA-KIDに対応するKAFが無効であると発見する。例えば、KAF有効期限がタイムアウトし又はサービスプロバイダが、KAFが安全ではないと判断し、AFはKAFを無効にする。
【0044】
ステップ203:AFはアプリケーション鍵更新パラメータRANDAFを生成し、RANDAFはハッシュ関数に基づいて生成された乱数であってもよい。
【0045】
ステップ204:AFはユーザ識別子に基づいてUDMにアプリケーション鍵更新メッセージ(Nudm_APP_Key_Update Request)を送信し、アプリケーション鍵更新メッセージにRANDAFが運ばれる。また、AFが事業者ネットワークにある場合、アプリケーション鍵更新メッセージにユーザ識別子(SUPI又はGPSI)がさらに運ばれる。AFが第三者アプリケーションであり、事業者ネットワークの外にある場合、AFはNEFを介してUDMにアプリケーション鍵更新メッセージを送信してもよく、それにGPSIが運ばれている。
【0046】
ステップ205:UDMはUEパラメータ更新プロセスを開始し、具体的には、AMFにユーザデータ管理通知(Nudm_SDM_Notification)を送信し、それに鍵更新パラメータRANDAFが運ばれている。一実施例では、ユーザデータ管理通知には、確認メッセージ(ACK)を返信する必要があることをUEに指示するための返信指示が含まれてもよい。
【0047】
ステップ206:AMFはUEにダウンリンク非アクセス層伝送メッセージ(DL NAS TRANSPORT)を送信する。それにUDMから受信した透明なコンテナが含まれる。UEはUDMの鍵更新パラメータを検証する。UDMの鍵更新パラメータに対する安全性チェックに成功した場合、UEは鍵更新パラメータを記憶し、当該位置からRANDAFを使用し始め、又は鍵更新パラメータをユニバーサル加入者識別モジュール(USIM:Universal Subscriber Identity Module)に転送する。安全性チェックに失敗した場合、UEは鍵更新パラメータのコンテンツを廃棄する。
【0048】
ステップ207:UEは既に鍵更新パラメータを確認し、且つUDMはUDMにACKを送信することをUEに要求した場合、UEはAMFにアップリンク非アクセス層伝送メッセージ(UL NAS TRANSPORT)を送信し、それにACKを含む透明なコンテナが運ばれている。
【0049】
ステップ208:UEはRANDAFを使用してKAFを更新し、具体的には、KAF’=KDF(RANDAF,KAF)である。
【0050】
ステップ209:AMFが受信したアップリンク非アクセス層伝送メッセージにACKが運ばれている場合、AMFはUDMにユーザデータ管理応答メッセージ(Nudm_SDM_Info)を送信し、それにACKを含む透明なコンテナが運ばれている。
【0051】
ステップ210:UDMは(又はUDMはNEFを介して)AFにアプリケーション鍵更新応答メッセージ(Nudm_APPKey_Update Response)を返信する。
【0052】
ステップ211:AFはRANDAFを使用してアプリケーション鍵KAFを更新し、具体的には、KAF’=KDF(RANDAF,KAF)である。また、AFはKAF’のために有効期限を設定してもよい。
【0053】
UEとAFはKAF’を生成し、KAF’を使用してセッション通信を行うことができる。本実施例では、AFはさらにUEにアプリケーションセッション確立要求応答メッセージを返信してもよい。
【0054】
ユーザデータ管理通知に返信指示が含まれない場合、ステップ207、ステップ209を省略してもよい。
【0055】
一実施例では、アプリケーション鍵更新要求に関連するメッセージはユーザ機器から再送信されたセッション確立要求メッセージを含み、
アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定するステップは、再送信されたセッション確立要求メッセージに基づいて更新されるアプリケーション鍵を照会するステップを含む。
アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定するステップは、再送信されたセッション確立要求メッセージに基づいて更新されるアプリケーション鍵を照会するステップを含む。
【0056】
本実施例では、アプリケーション鍵更新要求に関連するメッセージは、UEから再送信されたセッション確立要求メッセージであってもよく、再送信された当該セッション確立要求メッセージは、更新されるアプリケーション鍵を取得するように第1ネットワーク要素に指示する。具体的には、第1ネットワーク要素はA-KIDに対応するKAFが無効であると発見すると、ユーザ識別子(GPSI or SUPI)に基づいて第2ネットワーク要素に対してアプリケーション鍵更新要求を開始してもよい。第2ネットワーク要素は、UEに対してUEパラメータ更新要求を開始してもよく、それに再登録指示及びアプリケーション鍵更新指示が運ばれている。UEは、再登録フローを開始し、再登録フローの後に新しいKAKMA’、A-KID’及びKAF’を生成する。UEはA-KID’を利用して新しいセッション確立要求メッセージを送信し、第1ネットワーク要素は新しいセッション確立要求メッセージを受信した後、その中のA-KID’に基づいてKAF’を照会してもよい。
【0057】
また、UEは再登録フローを開始する前、鍵セット識別子(ngKSI)を所定値に設定してもよく、アプリケーション鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられる。
【0058】
一実施例では、当該方法は、第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、セッション確立に失敗したメッセージをユーザ機器に送信するステップ112をさらに含む。
【0059】
本実施例では、第1ネットワーク要素は、第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、セッション確立に失敗したメッセージをUEに送信してもよい。UEは、セッション確立に失敗したメッセージを受信した場合に再登録フローを開始してもよい。
【0060】
図4は一実施例に係る他の鍵更新方法の実現模式図である。図4に示すように、第1ネットワーク要素はAFであり、第2ネットワーク要素はUDMである。UEとAAnFは、まず、主認証フローを完了し、KAUSFによってKAKMAを導出し、A-KIDを生成する。それに基づき、鍵更新プロセスは主に、AFはA-KIDに対応するKAFが無効であると発見すると、ユーザ識別子(GPSI又はSUPI)に基づいてUDMに対してアプリケーション鍵更新要求を開始することと、UDMはUEに対してUEパラメータ更新要求を開始し、それに再登録指示及びアプリケーション鍵更新指示が運ばれていることと、UEはngKSIを無効に修正し、ngKSIを運んでネットワークに対して再登録フローを開始することと、を含む。具体的なフローは以下のとおりである。
【0061】
ステップ301:UEはアプリケーションAFに対してアプリケーションセッション確立要求を開始し、当該要求にはUEが生成したA-KIDが運ばれている。
【0062】
ステップ302:AFはA-KIDに対応するアプリケーション鍵KAFが無効であると発見し、前記無効は、KAF有効期限がタイムアウトしたこと又はサービスプロバイダが、KAFが安全ではないと判断したことであり、AFはKAFを無効にする。
【0063】
ステップ303:AFはユーザ識別子に基づいてUDMにアプリケーション鍵更新メッセージ(Nudm_APP_Key_Update Request)を送信し、アプリケーション鍵更新メッセージにRANDAFが運ばれる。また、AFが事業者ネットワークにある場合、アプリケーション鍵更新メッセージにユーザ識別子(SUPI又はGPSI)がさらに運ばれる。AFが第三者アプリケーションであり、事業者ネットワークの外にある場合、AFはNEFを介してUDMにアプリケーション鍵更新メッセージを送信してもよく、それにGPSIが運ばれている。
【0064】
ステップ304:UDMはUEパラメータ更新プロセスを開始し、具体的には、AMFにユーザデータ管理通知(Nudm_SDM_Notification)を送信し、それに再登録指示情報及びアプリケーション鍵更新指示情報が運ばれている。
【0065】
一実施例では、ユーザデータ管理通知には、確認メッセージ(ACK)を返信する必要があることをUEに指示するための返信指示が含まれてもよい。
【0066】
ステップ305:AMFはUEにダウンリンク非アクセス層伝送メッセージ(DL NAS TRANSPORT)を送信し、それにUDMから受信した透明なコンテナが含まれる。UEはUDMの更新データを検証する。UDMの更新データに対する安全性チェックに成功した場合、UEは更新データに基づいてアプリケーション鍵を更新してもよい。安全性チェックに失敗した場合、UEは更新データのコンテンツを廃棄する。
【0067】
ステップ306:UEは既に更新データを確認し、且つUDMはUDMにACKを送信することをUEに要求した場合、UEはAMFにアップリンク非アクセス層伝送メッセージ(UL NAS TRANSPORT)を送信し、それにACKを含む透明なコンテナが運ばれている。
【0068】
ステップ307:UEはngKSIを無効に修正し、即ち、ngKSIを7に修正する。UEはACKを返信する必要がない場合、アイドル状態に戻った後、再登録指示に基づいて、ngKSIを運んでネットワークに対して再登録プロセスを開始してもよい。
【0069】
UEはACKを返信する必要がある場合、ステップ309の後、且つUEはアプリケーションセッション確立に失敗したメッセージを受信した後、ngKSIを運んでネットワークに対して再登録プロセスを開始してもよい。
【0070】
ステップ308:AMFが受信したアップリンク非アクセス層伝送メッセージにACKが運ばれている場合、AMFはUDMにユーザデータ管理応答メッセージ(Nudm_SDM_Info)を送信し、それにACKを含む透明なコンテナが運ばれている。
【0071】
ステップ309:UDMは(又はUDMはNEFを介して)AFにアプリケーション鍵更新応答メッセージ(Nudm_APPKey_ Update Response)を返信する。
【0072】
AFはアプリケーション鍵更新応答メッセージを受信した後、UEにアプリケーションセッション確立に失敗したメッセージを送信する。なお、再登録フローの後に新しいKAKMA’、A-KID’及びKAF’を生成する。再登録を完了した後、UEはA-KID’を使用してアプリケーションセッション確立要求を再開始してもよい。
【0073】
ユーザデータ管理通知に返信指示が含まれない場合、ステップ306、ステップ308を省略してもよい。
【0074】
本願の実施例では、さらに鍵更新方法を提供し、当該方法は第2ネットワーク要素に適用できる。第2ネットワーク要素はユーザが契約したデータを記憶するためのネットワーク要素であり、例えば、UDMである。
【0075】
【0076】
ステップ410では、第1ネットワーク要素がユーザ識別子に基づいて送信したアプリケーション鍵更新要求を受信する。
【0077】
本実施例では、UEは第1ネットワーク要素に対してセッション確立要求を開始し、それに鍵識別子A-KIDが運ばれ、第1ネットワーク要素はA-KIDに基づいて対応するアプリケーション鍵KAFを照会してもよい。KAFが無効である場合、第1ネットワーク要素は第2ネットワーク要素にアプリケーション鍵更新要求を送信し、それには、アプリケーションセッションの確立を要求するUEを識別するためのユーザ識別子が運ばれている。第2ネットワーク要素はアプリケーション鍵更新要求を受信した後、KAFを更新するように対応するUEに指示する。ユーザ識別子はSUPI又はGPSIであってもよい。
【0078】
ステップ420では、前記アプリケーション鍵更新要求に基づいて、アプリケーション鍵を更新する指示情報を送信する。
【0079】
本実施例では、アプリケーション鍵を更新する指示情報はKAFを更新するように対応するUEに指示することに用いられ、具体的にはAMFを介して、KAFを更新するように対応するUEに指示する。
【0080】
本実施例の鍵更新方法は、アプリケーション鍵が無効である場合、第1ネットワーク要素のアプリケーション鍵更新要求に基づいて、KAFを更新するようにUEに指示し、それによって、アプリケーションセッションの安全性及びサービスの信頼性を確保する。
【0081】
一実施例では、アプリケーション鍵更新要求に基づいて、アプリケーション鍵を更新する指示情報を送信するステップは、アプリケーション鍵更新要求に基づいてAMFネットワーク要素にユーザデータ管理通知を送信し、AMFネットワーク要素を介してユーザ機器にダウンリンク非アクセス層伝送メッセージを送信するステップを含む。
【0082】
本実施例では、第2ネットワーク要素はKAFを更新するようにUEに指示し、具体的にはAMFを介して指示してもよい。アプリケーション鍵を更新する指示情報を送信することとは、第2ネットワーク要素がAMFにユーザデータ管理通知を送信することを指してもよい。ユーザデータ管理通知には、第1ネットワーク要素が生成した鍵更新パラメータRANDAFが運ばれてもよく、それによって、鍵更新パラメータに基づいてKAFを更新するようにUEに指示する。ユーザデータ管理通知には、再登録指示情報及びアプリケーション鍵更新指示情報が運ばれてもよく、それによって、再登録フローを開始するようにUEに指示し、新しいA-KID’及びKAF’を獲得する。また、ユーザデータ管理通知にはさらに、UEが確認情報を返す必要がある返信指示が運ばれてもよい。
【0083】
一実施例では、アプリケーション鍵更新要求は第1ネットワーク要素が生成した鍵更新パラメータを含む。ユーザデータ管理通知は鍵更新パラメータを含む。ダウンリンク非アクセス層伝送メッセージは、鍵更新パラメータに基づいてアプリケーション鍵を更新するようにユーザ機器に指示することに用いられる。
【0084】
本実施例では、第1ネットワーク要素はアプリケーション鍵を更新するための鍵更新パラメータRANDAFを生成し、アプリケーション鍵更新要求に運ぶ。それに基づき、第2ネットワーク要素はユーザデータ管理通知を介して、鍵更新パラメータをAMFに通知する。AMFはダウンリンク非アクセス層伝送メッセージを介して、鍵更新パラメータをUEに通知する。UEは、鍵更新パラメータに基づいてKAFを更新する(図3のステップ203~206を参照)。それによって、UEと第1ネットワーク要素のアプリケーション鍵の一致性を確保する。
【0085】
一実施例では、ユーザデータ管理通知は確認情報の返信指示をさらに含み、当該方法は、ステップ4310~ステップ4320をさらに含む。
【0086】
ステップ4310:AMFから送信されたユーザデータ管理応答メッセージを受信する。ユーザデータ管理応答メッセージは、AMFがユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものである。アップリンク非アクセス層伝送メッセージはユーザ機器から返信された確認情報を含む。
【0087】
ステップ4320:第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信する。アプリケーション鍵更新応答メッセージは、鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するように第1ネットワーク要素に指示することに用いられる。
【0088】
本実施例では、ユーザデータ管理通知は返信指示をさらに含む。第2ネットワーク要素がAMFを介して鍵更新パラメータをUEに通知した後、UEは、鍵更新パラメータを利用してKAFを更新する一方、アップリンク非アクセス層伝送メッセージを介してAMFに確認情報を返信してもよい。その後、AMFは、第2ネットワーク要素にユーザデータ管理応答メッセージを送信してもよい。第2ネットワーク要素は、ユーザデータ管理応答メッセージを受信した後、第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信することで、鍵更新パラメータを利用してKAFを更新するように第1ネットワーク要素に指示してもよい(図3のステップ207~211を参照)。
【0089】
一実施例では、ユーザデータ管理通知は再登録指示情報及びアプリケーション鍵更新指示情報を含む。ダウンリンク非アクセス層伝送メッセージは、再登録フローを開始して更新されるアプリケーション鍵を獲得するようにユーザ機器に指示することに用いられる。
【0090】
本実施例では、ユーザデータ管理通知は再登録指示情報及びアプリケーション鍵更新指示情報を含む。再登録指示情報は、再登録フローを開始するようにUEに指示することに用いられる。再登録フローでは新しいKAKMA’、A-KID’及びKAF’を生成する。アプリケーション鍵更新指示情報は、KAF’を取得するようにUEに指示することに用いられる。それに基づき、UEは新しいA-KIDを利用してアプリケーションセッション確立要求を再開始することができる。具体的には、第2ネットワーク要素は、ユーザデータ管理通知を介して、再登録指示情報及びアプリケーション鍵更新指示情報をAMFに送信してもよい。AMFは、ダウンリンク非アクセス層伝送メッセージを介して、再登録指示情報及びアプリケーション鍵更新指示情報をUEに送信し、再登録フローを開始して更新されるアプリケーション鍵を取得するようにUEに指示する(図4のステップ304~305を参照)。それによって、UEと第1ネットワーク要素のアプリケーション鍵の一致性を確保する。
【0091】
本実施例では、UEは再登録フローを開始する前、鍵セット識別子(ngKSI)を所定値に設定してもよく、アプリケーション鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられる。
【0092】
一実施例では、ユーザデータ管理通知は確認情報の返信指示をさらに含み、当該方法は、ステップ4410~ステップ4420をさらに含む。
【0093】
ステップ4410:AMFから送信されたユーザデータ管理応答メッセージを受信する。ユーザデータ管理応答メッセージはAMFがユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものである。アップリンク非アクセス層伝送メッセージは確認情報を含む。
【0094】
ステップ4420:第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信する。アプリケーション鍵更新応答メッセージは、ユーザ機器にセッション確立に失敗したメッセージを返信し、ユーザ機器から再送信されたセッション確立要求を受信するように第1ネットワーク要素に指示することに用いられる。
【0095】
本実施例では、ユーザデータ管理通知は返信指示をさらに含む。第2ネットワーク要素がAMFを介して再登録指示情報及びアプリケーション鍵更新指示情報をUEに送信した後、UEは、再登録フローを開始することで更新されるアプリケーション鍵を取得する一方、アップリンク非アクセス層伝送メッセージを介してAMFに確認情報を返信してもよい。その後、AMFは第2ネットワーク要素にユーザデータ管理応答メッセージを送信してもよい。第2ネットワーク要素は、ユーザデータ管理応答メッセージを受信した後、第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信することで、UEが既に再登録フローの開始を確認したことを第1ネットワーク要素に通知してもよい(図4のステップ306~309を参照)。
【0096】
本願の実施例では、さらに鍵更新方法を提供し、当該方法はユーザ機器に適用できる。図6は一実施例に係る更なる他の鍵更新方法のフローチャートである。図6に示すように、本実施例に係る方法はステップ510と、ステップ520と、を含む。
【0097】
ステップ510では、アプリケーション鍵を更新する指示情報を受信する。
【0098】
ステップ520では、前記指示情報に基づいて無効であるアプリケーション鍵を更新する。
【0099】
本実施例では、UEはアプリケーション鍵を更新する指示情報に基づいて無効であるアプリケーション鍵を更新してもよい。更新されるアプリケーション鍵は、アプリケーションセッションの安全性及びサービスの信頼性を確保することができる。アプリケーション鍵を更新する指示情報は、第2ネットワーク要素がAMFを介してUEに送信するものであってもよい。それには、第1ネットワーク要素が生成した鍵更新パラメータRANDAFが運ばれてもよく、UEは鍵更新パラメータに基づいてKAFを更新する。指示情報には、再登録指示情報及びアプリケーション鍵更新指示情報が運ばれてもよく、UEはこれに基づいて再登録フローを開始し、新しいアプリケーション鍵を獲得する。また、指示情報にはさらに、UEが確認情報を返す必要がある返信指示が運ばれてもよい。
【0100】
一実施例では、アプリケーション鍵を更新する指示情報を受信するステップは、AMFネットワーク要素から送信されたダウンリンク非アクセス層伝送メッセージを受信するステップを含み、ダウンリンク非アクセス層伝送メッセージは、AMFが第2ネットワーク要素のユーザデータ管理通知に基づいて送信するものである。
【0101】
一実施例では、ダウンリンク非アクセス層伝送メッセージは第1ネットワーク要素が生成した鍵更新パラメータを含む。
ステップ520では、指示情報に基づいて無効であるアプリケーション鍵を更新するステップは、
鍵生成関数によって、鍵更新パラメータと無効であるアプリケーション鍵を演算し、更新されるアプリケーション鍵を得るステップを含む。
ステップ520では、指示情報に基づいて無効であるアプリケーション鍵を更新するステップは、
鍵生成関数によって、鍵更新パラメータと無効であるアプリケーション鍵を演算し、更新されるアプリケーション鍵を得るステップを含む。
【0102】
本実施例では、第1ネットワーク要素はアプリケーション鍵を更新するための鍵更新パラメータRANDAFを生成し、アプリケーション鍵更新要求に運ぶ。それに基づき、第2ネットワーク要素はユーザデータ管理通知を介して、鍵更新パラメータをAMFに通知してもよい。AMFは、ダウンリンク非アクセス層伝送メッセージを介して、鍵更新パラメータをUEに通知する。それに基づき、UEは鍵更新パラメータに基づいてKAFを更新し(図3のステップ203~206を参照)、具体的には、KAKMAに基づいてKAFを生成する鍵生成関数KDFを利用して、無効であるKAF及びRANDAFを演算し、更新されたKAF’を得てもよい。それによって、UEと第1ネットワーク要素のアプリケーション鍵の一致性を確保する。
【0103】
一実施例では、ダウンリンク非アクセス層伝送メッセージは再登録指示情報及びアプリケーション鍵更新指示情報を含む。
ダウンリンク非アクセス層伝送メッセージは、再登録フローを開始して更新されるアプリケーション鍵を獲得するようにユーザ機器に指示することに用いられる。
ダウンリンク非アクセス層伝送メッセージは、再登録フローを開始して更新されるアプリケーション鍵を獲得するようにユーザ機器に指示することに用いられる。
【0104】
本実施例では、ユーザデータ管理通知は再登録指示情報及びアプリケーション鍵更新指示情報を含む。再登録指示情報は再登録フローを開始するようにUEに指示することに用いられる。再登録フローでは、新しいKAKMA’、A-KID’及びKAF’を生成する。アプリケーション鍵更新指示情報はKAF’を取得するようにUEに指示することに用いられる。それに基づき、UEは、新しいA-KIDを利用してアプリケーションセッション確立要求を再開始することができる。具体的には、第2ネットワーク要素はユーザデータ管理通知を介して、再登録指示情報及びアプリケーション鍵更新指示情報をAMFに送信してもよい。AMFは、ダウンリンク非アクセス層伝送メッセージを介して、再登録指示情報及びアプリケーション鍵更新指示情報をUEに送信し、再登録フローを開始して更新されたKAFを取得するようにUEに指示する(図4のステップ304~305を参照)。それによって、UEと第1ネットワーク要素のアプリケーション鍵の一致性を確保する。
【0105】
一実施例では、ダウンリンク非アクセス層伝送メッセージは確認情報の返信指示をさらに含み、当該方法は、AMFネットワーク要素にアップリンク非アクセス層伝送メッセージを送信するステップ512をさらに含み、アップリンク非アクセス層伝送メッセージはユーザ機器から返信された確認情報を含む。
【0106】
本実施例では、第2ネットワーク要素がAMFに送信したユーザデータ管理通知に返信指示が含まれる場合、UEがAMFネットワーク要素に送信したアップリンク非アクセス層伝送メッセージに確認情報(ACK)が含まれる。
【0107】
一実施例では、指示情報に基づいて無効であるアプリケーション鍵を更新するステップは、ステップ5210~ステップ5220を含む。
【0108】
ステップ5210:鍵セット識別子を所定値に設定する。所定値は、アプリケーション鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられる。ネットワーク層鍵は、中間鍵又は非アクセス層鍵を含む。
【0109】
ステップ5220:アイドル状態にある場合、鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得する。
【0110】
本実施例では、UEは鍵セット識別子ngSKIを所定値7に設定し、アプリケーション鍵KAFが無効であること又はネットワーク層鍵(中間鍵KAUSF又は非アクセス層鍵)が無効であることを示す。ユーザデータ管理通知に返信指示が含まれない場合、UEは確認情報を返信する必要がなく、アイドル状態で鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得してもよい。
【0111】
一実施例では、指示情報に基づいて無効であるアプリケーション鍵を更新するステップは、ステップ5230~ステップ5240を含む。
【0112】
ステップ5230:鍵セット識別子を所定値に設定する。所定値は、ネットワーク鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられる。ネットワーク層鍵は、中間鍵又は非アクセス層鍵を含む。
【0113】
ステップ5240:第1ネットワーク要素から返信されたセッション確立に失敗したメッセージを受信した場合、鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得する。
【0114】
本実施例では、UEは鍵セット識別子ngSKIを所定値7に設定し、アプリケーション鍵KAFが無効であること又はネットワーク層鍵(中間鍵KAUSF又は非アクセス層鍵)が無効であることを示す。ユーザデータ管理通知に返信指示が含まれる場合、UEは確認情報を返信する必要がある。具体的には、アップリンク非アクセス層伝送メッセージを介してAMFにACKを送信してもよい。AMFは、第2ネットワーク要素にユーザデータ管理応答メッセージを送信し、第2ネットワーク要素は、第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信する(図4のステップ306~309を参照)。第1ネットワーク要素は、UEが再登録フローを開始しようとすることを確認した後、UEにセッション確立に失敗したメッセージを送信してもよい。その後、UEは鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得してもよい。
【0115】
【0116】
要求モジュール610は、セッション確立要求に運ばれている鍵識別子に対応するアプリケーション鍵が無効である場合、ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信するように構成される。
【0117】
鍵決定モジュール620は、前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定するように構成される。
【0118】
本実施例の鍵更新装置は、アプリケーション鍵が無効である場合、更新されるアプリケーション鍵を取得することを第2ネットワーク要素に要求し、アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定することができる。それによって、アプリケーションセッションの安全性及びサービスの信頼性を確保する。
【0119】
一実施例では、当該装置は、鍵更新パラメータを生成するように構成される生成モジュールをさらに含み、前記鍵更新パラメータは前記アプリケーション鍵更新要求に運ばれている。
【0120】
一実施例では、前記アプリケーション鍵更新要求に関連するメッセージは前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを含み、
鍵決定モジュール620は、具体的には、
前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するように構成される。
鍵決定モジュール620は、具体的には、
前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するように構成される。
【0121】
一実施例では、鍵決定モジュール620は、具体的には、
鍵生成関数に基づいて、前記鍵更新パラメータ及び無効であるアプリケーション鍵を演算し、前記更新されるアプリケーション鍵を得るように構成される。
鍵生成関数に基づいて、前記鍵更新パラメータ及び無効であるアプリケーション鍵を演算し、前記更新されるアプリケーション鍵を得るように構成される。
【0122】
一実施例では、当該装置は、前記更新されるアプリケーション鍵の有効期限を設定するように構成される設定モジュールをさらに含む。
【0123】
一実施例では、鍵更新パラメータはハッシュ関数に基づいて生成された乱数である。
【0124】
一実施例では、要求モジュール610は、具体的には、前記第1ネットワーク要素が事業者ネットワークの外にある場合、ネットワーク露出機能NEFネットワーク要素を介して前記第2ネットワーク要素に前記アプリケーション鍵更新要求を送信するように構成される。
【0125】
一実施例では、アプリケーション鍵更新要求に関連するメッセージはユーザ機器から再送信されたセッション確立要求メッセージを含み、
鍵決定モジュール620は、具体的には、前記再送信されたセッション確立要求メッセージに基づいて前記更新されるアプリケーション鍵を照会するように構成される。
鍵決定モジュール620は、具体的には、前記再送信されたセッション確立要求メッセージに基づいて前記更新されるアプリケーション鍵を照会するように構成される。
【0126】
一実施例では、当該装置は、前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、セッション確立に失敗したメッセージをユーザ機器に送信するように構成される失敗メッセージ送信モジュールをさらに含む。
【0127】
本実施例に係る鍵更新装置は上記実施例に係る鍵更新方法と同一の発明構想に属し、本実施例で詳細に説明していない技術的細部は上記任意の実施例を参照することができ、そして、本実施例は鍵更新方法の実行と同じ有益な効果を有する。
【0128】
【0129】
要求受信モジュール710は、第1ネットワーク要素がユーザ識別子に基づいて送信したアプリケーション鍵更新要求を受信するように構成される。
【0130】
指示モジュール720は、前記アプリケーション鍵更新要求に基づいて、アプリケーション鍵を更新する指示情報を送信するように構成される。
【0131】
本実施例の鍵更新装置は、アプリケーション鍵が無効である場合、第1ネットワーク要素のアプリケーション鍵更新要求に基づいて、KAFを更新するようにUEに指示し、それによって、アプリケーションセッションの安全性及びサービスの信頼性を確保する。
【0132】
一実施例では、指示モジュール720は、具体的には、前記アプリケーション鍵更新要求に基づいてアクセス管理機能AMFネットワーク要素にユーザデータ管理通知を送信し、前記AMFネットワーク要素を介して前記ユーザ機器にダウンリンク非アクセス層伝送メッセージを送信するように構成される。
【0133】
一実施例では、アプリケーション鍵更新要求は、前記第1ネットワーク要素が生成した鍵更新パラメータを含む。前記ユーザデータ管理通知は、前記鍵更新パラメータを含む。前記ダウンリンク非アクセス層伝送メッセージは、前記鍵更新パラメータに基づいて前記アプリケーション鍵を更新するように前記ユーザ機器に指示することに用いられる。
【0134】
一実施例では、ユーザデータ管理通知は、確認情報の返信指示をさらに含む。
当該装置は第1受信モジュールと、第1送信モジュールと、をさらに含む。
第1受信モジュールは、前記AMFから送信されたユーザデータ管理応答メッセージを受信するように構成される。前記ユーザデータ管理応答メッセージは、前記AMFが前記ユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものである。前記アップリンク非アクセス層伝送メッセージは前記ユーザ機器から返信された確認情報を含む。
第1送信モジュールは、前記第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信するように構成される。前記アプリケーション鍵更新応答メッセージは、前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するように前記第1ネットワーク要素に指示することに用いられる。
当該装置は第1受信モジュールと、第1送信モジュールと、をさらに含む。
第1受信モジュールは、前記AMFから送信されたユーザデータ管理応答メッセージを受信するように構成される。前記ユーザデータ管理応答メッセージは、前記AMFが前記ユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものである。前記アップリンク非アクセス層伝送メッセージは前記ユーザ機器から返信された確認情報を含む。
第1送信モジュールは、前記第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信するように構成される。前記アプリケーション鍵更新応答メッセージは、前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するように前記第1ネットワーク要素に指示することに用いられる。
【0135】
一実施例では、ユーザデータ管理通知は再登録指示情報及びアプリケーション鍵更新指示情報を含む。
前記ダウンリンク非アクセス層伝送メッセージは、再登録フローを開始して更新されるアプリケーション鍵を獲得するように前記ユーザ機器に指示することに用いられる。
前記ダウンリンク非アクセス層伝送メッセージは、再登録フローを開始して更新されるアプリケーション鍵を獲得するように前記ユーザ機器に指示することに用いられる。
【0136】
一実施例では、ユーザデータ管理通知は確認情報の返信指示をさらに含み、当該装置は、第2受信モジュールと、第2送信モジュールと、をさらに含む。
第2受信モジュールは、前記AMFから送信されたユーザデータ管理応答メッセージを受信するように構成される。前記ユーザデータ管理応答メッセージは、前記AMFが前記ユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものである。前記アップリンク非アクセス層伝送メッセージは、確認情報を含む。
第2送信モジュールは、前記第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信するように構成される。前記アプリケーション鍵更新応答メッセージは、前記ユーザ機器にセッション確立に失敗したメッセージを返信し、前記ユーザ機器から再送信されたセッション確立要求を受信するように前記第1ネットワーク要素に指示することに用いられる。
第2受信モジュールは、前記AMFから送信されたユーザデータ管理応答メッセージを受信するように構成される。前記ユーザデータ管理応答メッセージは、前記AMFが前記ユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものである。前記アップリンク非アクセス層伝送メッセージは、確認情報を含む。
第2送信モジュールは、前記第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信するように構成される。前記アプリケーション鍵更新応答メッセージは、前記ユーザ機器にセッション確立に失敗したメッセージを返信し、前記ユーザ機器から再送信されたセッション確立要求を受信するように前記第1ネットワーク要素に指示することに用いられる。
【0137】
本実施例に係る鍵更新装置は上記実施例に係る鍵更新方法と同一の発明構想に属し、本実施例で詳細に説明していない技術的細部は上記任意の実施例を参照することができ、そして、本実施例は鍵更新方法の実行と同じ有益な効果を有する。
【0138】
本願の実施例はさらに鍵更新装置を提供する。図9は一実施例に係る更なる他の鍵更新装置の構造模式図である。図9に示すように、前記鍵更新装置は、指示受信モジュール810と、更新モジュール820と、を含む。
指示受信モジュール810は、アプリケーション鍵を更新する指示情報を受信するように構成される。
更新モジュール820は、前記指示情報に基づいて無効であるアプリケーション鍵を更新するように構成される。
指示受信モジュール810は、アプリケーション鍵を更新する指示情報を受信するように構成される。
更新モジュール820は、前記指示情報に基づいて無効であるアプリケーション鍵を更新するように構成される。
【0139】
本実施例の鍵更新装置は、アプリケーション鍵を更新する指示情報に基づいて無効であるアプリケーション鍵を更新することができる。更新されるアプリケーション鍵はアプリケーションセッションの安全性及びサービスの信頼性を確保することができる。
【0140】
一実施例では、指示受信モジュール810は、具体的には、AMFネットワーク要素から送信されたダウンリンク非アクセス層伝送メッセージを受信するように構成される。前記ダウンリンク非アクセス層伝送メッセージは前記AMFが第2ネットワーク要素のユーザデータ管理通知に基づいて送信するものである。
【0141】
一実施例では、前記ダウンリンク非アクセス層伝送メッセージは、前記第1ネットワーク要素が生成した鍵更新パラメータを含む。
更新モジュール820は、具体的には、鍵生成関数によって、前記鍵更新パラメータ及び前記無効であるアプリケーション鍵を演算し、更新されるアプリケーション鍵を得るように構成される。
更新モジュール820は、具体的には、鍵生成関数によって、前記鍵更新パラメータ及び前記無効であるアプリケーション鍵を演算し、更新されるアプリケーション鍵を得るように構成される。
【0142】
一実施例では、ダウンリンク非アクセス層伝送メッセージは再登録指示情報及びアプリケーション鍵更新指示情報を含む。
前記ダウンリンク非アクセス層伝送メッセージは、再登録フローを開始して更新されるアプリケーション鍵を獲得するように前記ユーザ機器に指示することに用いられる。
前記ダウンリンク非アクセス層伝送メッセージは、再登録フローを開始して更新されるアプリケーション鍵を獲得するように前記ユーザ機器に指示することに用いられる。
【0143】
一実施例では、ダウンリンク非アクセス層伝送メッセージは確認情報の返信指示をさらに含む。
当該装置は、前記AMFネットワーク要素にアップリンク非アクセス層伝送メッセージを送信するように構成される確認モジュールをさらに含む。前記アップリンク非アクセス層伝送メッセージは、前記ユーザ機器から返信された確認情報を含む。
当該装置は、前記AMFネットワーク要素にアップリンク非アクセス層伝送メッセージを送信するように構成される確認モジュールをさらに含む。前記アップリンク非アクセス層伝送メッセージは、前記ユーザ機器から返信された確認情報を含む。
【0144】
一実施例では、更新モジュール820は、第1設定モジュールと、第1再登録モジュールと、を含む。
第1設定モジュールは、鍵セット識別子を所定値に設定するように構成される。前記所定値は、アプリケーション鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられる。前記ネットワーク層鍵は、合意中間鍵又は非アクセス層鍵を含む。
第1再登録モジュールは、アイドル状態にある場合、前記鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得するように構成される。
第1設定モジュールは、鍵セット識別子を所定値に設定するように構成される。前記所定値は、アプリケーション鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられる。前記ネットワーク層鍵は、合意中間鍵又は非アクセス層鍵を含む。
第1再登録モジュールは、アイドル状態にある場合、前記鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得するように構成される。
【0145】
一実施例では、更新モジュール820は、第2設定モジュールと、第2再登録モジュールと、を含む。
第2設定モジュールは、鍵セット識別子を所定値に設定するように構成される。前記所定値は、ネットワーク鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられる。前記ネットワーク層鍵は、合意中間鍵又は非アクセス層鍵を含む。
第2再登録モジュールは、第1ネットワーク要素から返信されたセッション確立に失敗したメッセージを受信した場合、前記鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得するように構成される。
第2設定モジュールは、鍵セット識別子を所定値に設定するように構成される。前記所定値は、ネットワーク鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられる。前記ネットワーク層鍵は、合意中間鍵又は非アクセス層鍵を含む。
第2再登録モジュールは、第1ネットワーク要素から返信されたセッション確立に失敗したメッセージを受信した場合、前記鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得するように構成される。
【0146】
本実施例に係る鍵更新装置は上記実施例に係る鍵更新方法と同一の発明構想に属し、本実施例で詳細に説明していない技術的細部は上記任意の実施例を参照することができ、そして、本実施例は鍵更新方法の実行と同じ有益な効果を有する。
【0147】
本願の実施例はさらにネットワーク要素を提供する。図10は一実施例に係るネットワーク要素のハードウェアの構造模式図である。図10に示すように、本願に係るネットワーク要素は、メモリ902、プロセッサ901、及びメモリに記憶され、プロセッサで動作可能なコンピュータプログラムを含み、プロセッサ901が前記プログラムを実行するときに、第1ネットワーク要素に適用される又は第2ネットワーク要素に適用される上記鍵更新方法を実現する。
【0148】
ネットワーク要素はメモリ902をさらに含んでもよい。当該ネットワーク要素のプロセッサ901は1つ又は複数あってもよく、図10は1つのプロセッサ901を例にする。メモリ902は1つ又は複数のプログラムを記憶することに用いられ、前記1つ又は複数のプログラムが前記1つ又は複数のプロセッサ901により実行され、それによって前記1つ又は複数のプロセッサ901は本願の実施例に記載の、第1ネットワーク要素に適用される又は第2ネットワーク要素に適用される鍵更新方法を実現する。
【0149】
ネットワーク要素は通信装置903、入力装置904及び出力装置905をさらに含む。
【0150】
ネットワーク要素のプロセッサ901、メモリ902、通信装置903、入力装置904及び出力装置905はバス又は他の方式で接続してもよく、図10はバスで接続することを例にする。
【0151】
入力装置904は入力された数字又は文字情報を受信し、ネットワーク要素のユーザ設定及び機能制御に関連するキー信号入力を生成することに用いてもよい。出力装置905はディスプレイスクリーン等の表示機器を含んでもよい。
【0152】
通信装置903は受信機及び送信機を含んでもよい。通信装置903はプロセッサ901の制御に基づいて情報の送受信通信を行うように構成される。
【0153】
メモリ902はコンピュータ読み取り可能な記憶媒体として、ソフトウェアプログラム、コンピュータ実行可能プログラム及びモジュール、例えば本願の実施例に記載の鍵更新方法に対応するプログラム命令/モジュール(例えば、鍵更新装置の要求モジュール610及び鍵決定モジュール620)を記憶するように構成してもよい。メモリ902はプログラム記憶領域及びデータ記憶領域を含んでもよく、プログラム記憶領域はオペレーティングシステム、少なくとも1つの機能に必要なアプリケーションプログラムを記憶することができ、データ記憶領域はネットワーク要素の使用に基づいて作成されたデータ等を記憶することができる。また、メモリ902は高速ランダムアクセスメモリを含んでもよく、不揮発性メモリ、例えば、少なくとも1つのディスク記憶デバイス、フラッシュメモリデバイス、又は他の不揮発性固体記憶デバイスをさらに含んでもよい。いくつかの実例では、メモリ902はプロセッサ901に対して遠隔的に設置されたメモリを含んでもよく、これらの遠隔メモリはネットワークを介してネットワーク要素に接続してもよい。上記ネットワークの実例はインターネット、イントラネット、ローカルエリアネットワーク、移動通信ネットワーク及びそれらの組み合わせを含むが、それらに限定されない。
【0154】
本願の実施例はさらにユーザ機器を提供する。図11は一実施例に係るユーザ機器のハードウェアの構造模式図である。図11に示すように、本願に係るユーザ機器は、メモリ912、プロセッサ911、及びメモリに記憶され、プロセッサで動作可能なコンピュータプログラムを含み、プロセッサ911が前記プログラムを実行するときに、ユーザ機器に適用される上記鍵更新方法を実現する。
【0155】
ユーザ機器はメモリ912をさらに含んでもよい。当該ユーザ機器のプロセッサ911は1つ又は複数あってもよく、図11は1つのプロセッサ911を例にする。メモリ912は1つ又は複数のプログラムを記憶することに用いられ、前記1つ又は複数のプログラムが前記1つ又は複数のプロセッサ911により実行され、それによって前記1つ又は複数のプロセッサ911は本願の実施例のユーザ機器に適用される鍵更新方法を実現する。
【0156】
ユーザ機器は通信装置913、入力装置914及び出力装置915をさらに含む。
【0157】
ユーザ機器のプロセッサ911、メモリ912、通信装置913、入力装置914及び出力装置915はバス又は他の方式で接続してもよく、図11はバスで接続することを例にする。
【0158】
入力装置914は入力された数字又は文字情報を受信し、ユーザ機器のユーザ設定及び機能制御に関連するキー信号入力を生成することに用いてもよい。出力装置915はディスプレイスクリーン等の表示機器を含んでもよい。
【0159】
通信装置913は受信機及び送信機を含んでもよい。通信装置913はプロセッサ911の制御に基づいて情報の送受信通信を行うように構成される。
【0160】
メモリ912はコンピュータ読み取り可能な記憶媒体として、ソフトウェアプログラム、コンピュータ実行可能プログラム及びモジュール、例えば本願の実施例に記載の鍵更新方法に対応するプログラム命令/モジュール(例えば、鍵更新装置の指示受信モジュール810及び更新モジュール820)を記憶するように構成してもよい。メモリ912はプログラム記憶領域及びデータ記憶領域を含んでもよく、プログラム記憶領域はオペレーティングシステム、少なくとも1つの機能に必要なアプリケーションプログラムを記憶することができ、データ記憶領域はユーザ機器の使用に基づいて作成されたデータ等を記憶することができる。また、メモリ912は高速ランダムアクセスメモリを含んでもよく、不揮発性メモリ、例えば、少なくとも1つのディスク記憶デバイス、フラッシュメモリデバイス、又は他の不揮発性固体記憶デバイスをさらに含んでもよい。いくつかの実例では、メモリ912はプロセッサ911に対して遠隔的に設置されたメモリを含んでもよく、これらの遠隔メモリはネットワークを介してユーザ機器に接続してもよい。上記ネットワークの実例はインターネット、イントラネット、ローカルエリアネットワーク、移動通信ネットワーク及びそれらの組み合わせを含むが、それらに限定されない。
【0161】
本願の実施例はさらに記憶媒体を提供し、前記記憶媒体にコンピュータプログラムが記憶されており、前記コンピュータプログラムがプロセッサにより実行されるときに、本願のいずれかの実施例に記載の鍵更新方法を実現する。当該方法は、セッション確立要求に運ばれている鍵識別子に対応するアプリケーション鍵が無効である場合、ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信するステップと、前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定するステップと、を含む。
【0162】
又は、当該方法は、第1ネットワーク要素がユーザ識別子に基づいて送信したアプリケーション鍵更新要求を受信するステップと、前記アプリケーション鍵更新要求に基づいて、アプリケーション鍵を更新する指示情報を送信するステップと、を含む。
【0163】
又は、当該方法は、アプリケーション鍵を更新する指示情報を受信するステップと、前記指示情報に基づいて無効であるアプリケーション鍵を更新するステップと、を含む。
【0164】
本願の実施例のコンピュータ記憶媒体は、1つ又は複数のコンピュータ読み取り可能な媒体の任意の組み合わせを用いてもよい。コンピュータ読み取り可能な媒体はコンピュータ読み取り可能な信号媒体又はコンピュータ読み取り可能な記憶媒体であってもよい。コンピュータ読み取り可能な記憶媒体は、例えば、電気、磁気、光、電磁、赤外線、又は半導体のシステム、装置又はデバイス、又は以上の任意の組み合わせであってもよいが、それらに限定されない。コンピュータ読み取り可能な記憶媒体のより具体的な例(全ての例を挙げるリストではない)は、1つ又は複数の導線を有する電気的接続、ポータブルコンピュータ磁気ディスク、ハードディスク、ランダムアクセスメモリ(RAM:Random Access Memory)、読み出し専用メモリ(ROM:Read Only Memory)、消去可能プログラマブル読み出し専用メモリ(EPROM:Erasable Programmable Read Only Memory)、フラッシュメモリ、光ファイバー、ポータブルCD-ROM、光記憶デバイス、磁気記憶デバイス、又は上記の任意の適切な組み合わせを含む。コンピュータ読み取り可能な記憶媒体はプログラムを含む、又は記憶する任意の有形媒体であってもよく、当該プログラムは命令実行システム、装置又はデバイスにより使用されてもよく、又はそれらと組み合わせて使用されてもよい。
【0165】
コンピュータ読み取り可能な信号媒体は、ベースバンドに、又は搬送波の一部として伝播されるデータ信号を含んでもよく、これはコンピュータ読み取り可能なプログラムコードを担持する。このように伝播されるデータ信号は、電磁信号、光信号又は上記の任意の適切な組み合わせを含むが、それらに限定されない複数の形態を用いてもよい。コンピュータ読み取り可能な信号媒体はさらに、コンピュータ読み取り可能な記憶媒体以外の任意のコンピュータ読み取り可能な媒体であってもよく、当該コンピュータ読み取り可能な媒体は、命令実行システム、装置又はデバイスにより使用され又はそれらと組み合わせて使用されるプログラムを送信、伝播又は伝送してもよい。
【0166】
コンピュータ読み取り可能な媒体に含まれるプログラムコードは、無線、電線、光ケーブル、無線周波数(RF:Radio Frequency)等、又は上記の任意の適切な組み合わせを含むが、それらに限定されない任意の適切な媒体により伝送してもよい。
【0167】
1つ又は複数のプログラム設計言語又はそれらの組み合わせによって本願の操作を実行するためのコンピュータプログラムコードを作成してもよい。前記プログラム設計言語は、オブジェクト指向のプログラム設計言語、例えばJava(登録商標)、Smalltalk、C++を含み、通常の手続き型プログラム設計言語、例えば「C」言語又は類似のプログラム設計言語をさらに含む。プログラムコードは、完全にユーザコンピュータで実行されてもよく、部分的にユーザコンピュータで実行されてもよく、独立した1つのソフトウェアパッケージとして実行されてもよく、部分的にユーザコンピュータで実行されて部分的に遠隔コンピュータで実行されてもよく、又は完全に遠隔コンピュータ又はサーバで実行されてもよい。遠隔コンピュータに関わる状況では、遠隔コンピュータは、ローカルエリアネットワーク(LAN)又はワイドエリアネットワーク(WAN)を含む任意のネットワークを介してユーザコンピュータに接続してもよく、又は、外部コンピュータに接続してもよい(例えば、インターネットサービスプロバイダを利用してインターネットを介して接続する)。
【0168】
以上は、本願の例示的な実施例に過ぎず、本願の保護範囲を限定するためのものではない。
【0169】
ユーザ端末という用語は、例えば、携帯電話、携帯データ処理装置、携帯ウェブブラウザ又は車載移動局等、任意の適切なタイプの無線ユーザ機器をカバーする。
【0170】
一般的に、本願の複数の実施例はハードウェア又は専用回路、ソフトウェア、ロジック又はそれらの任意の組み合わせで実現してもよい。例えば、いくつかの態様はハードウェアで実現してもよく、他の態様は、コントローラ、マイクロプロセッサ又は他のコンピューティング装置により実行可能なファームウェア又はソフトウェアで実現してもよく、本願はそれに限定されない。
【0171】
本願の実施例は、移動装置のデータプロセッサがコンピュータプログラム命令を実行することによって実現してもよく、例えば、プロセッサエンティティにおいて、ハードウェアによって、又はソフトウェアとハードウェアの組み合わせによって実現する。コンピュータプログラム命令は、アセンブリ命令、命令セットアーキテクチャ(Instruction Set Architecture、ISA)命令、機械命令、機械関連命令、マイクロコード、ファームウェア命令、状態設定データ、又は1つ又は複数のプログラミング言語の任意の組み合わせでプログラミングされたソースコード又はターゲットコードであってもよい。
【0172】
本願の図面における任意のロジックフローのブロック図は、プログラムステップを示してもよく、又は互いに接続されるロジック回路、モジュール及び機能を示してもよく、又はプログラムステップとロジック回路、モジュール及び機能との組み合わせを示してもよい。コンピュータプログラムはメモリに記憶されてもよい。メモリは、ローカル技術環境に適切な任意のタイプを有してもよく、任意の適切なデータ記憶技術で実現してもよく、例えば、読み出し専用メモリ(ROM:Read-Only Memory)、ランダムアクセスメモリ(RAM:Random Access Memory)、光メモリ装置及びシステム(デジタル多機能ディスク(DVD:Digital Video Disc)又は光ディスク(CD:Compact Disk)等であるが、それらに限定されない。コンピュータ読み取り可能な媒体は非瞬時記憶媒体を含んでもよい。データプロセッサは、ローカル技術環境に適切な任意のタイプであってもよく、例えば、汎用コンピュータ、専用コンピュータ、マイクロプロセッサ、デジタル信号プロセッサ(DSP:Digital Signal Processing)、特定用途向け集積回路(ASIC:Application Specific Integrated Circuit)、プログラマブルロジックデバイス(FGPA:Field-Programmable Gate Array)及びマルチコアプロセッサアーキテクチャに基づくプロセッサであるが、それらに限定されない。
【0173】
以上は、例示的且つ非限定的な例によって、本願の例示的な実施例の詳細な説明を提供した。しかし、図面及び請求項を参照して考慮すると、以上の実施例に対する様々な修正や調整は当業者にとって明らかであり、本願の範囲を逸脱することはない。従って、本願の適切な範囲は請求項に基づいて決定される。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【手続補正書】
【提出日】2024-01-31
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
第1ネットワーク要素に適用される鍵更新方法であって、セッション確立要求に運ばれている鍵識別子に対応するアプリケーション鍵が無効である場合、ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信するステップと、
前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定するステップと、を含む、方法。
【請求項2】
鍵更新パラメータを生成するステップをさらに含み、前記鍵更新パラメータは前記アプリケーション鍵更新要求に運ばれている、請求項1に記載の方法。
【請求項3】
前記アプリケーション鍵更新要求に関連するメッセージは前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを含み、前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定する前記ステップは、
前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するステップを含む、請求項2に記載の方法。
【請求項4】
前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定する前記ステップは、鍵生成関数に基づいて、前記鍵更新パラメータ及び無効であるアプリケーション鍵を演算し、前記更新されるアプリケーション鍵を得るステップを含む、請求項3に記載の方法。
【請求項5】
前記更新されるアプリケーション鍵の有効期限を設定するステップをさらに含む、請求項2に記載の方法。
【請求項6】
前記鍵更新パラメータはハッシュ関数に基づいて生成された乱数である、請求項2に記載の方法。
【請求項7】
ユーザ識別子に基づいて第2ネットワーク要素にアプリケーション鍵更新要求を送信する前記ステップは、前記第1ネットワーク要素が事業者ネットワークの外にある場合、ネットワーク露出機能NEFネットワーク要素を介して前記第2ネットワーク要素に前記アプリケーション鍵更新要求を送信するステップを含む、請求項2に記載の方法。
【請求項8】
前記アプリケーション鍵更新要求に関連するメッセージはユーザ機器から再送信されたセッション確立要求メッセージを含み、前記アプリケーション鍵更新要求に関連するメッセージに基づいて更新されるアプリケーション鍵を決定する前記ステップは、
前記再送信されたセッション確立要求メッセージに基づいて前記更新されるアプリケーション鍵を照会するステップを含み、
前記第2ネットワーク要素から送信されたアプリケーション鍵更新応答メッセージを受信した場合、セッション確立に失敗したメッセージをユーザ機器に送信するステップをさらに含む、請求項1に記載の方法。
【請求項9】
第2ネットワーク要素に適用される鍵更新方法であって、第1ネットワーク要素がユーザ識別子に基づいて送信したアプリケーション鍵更新要求を受信するステップと、
前記アプリケーション鍵更新要求に基づいて、アプリケーション鍵を更新する指示情報を送信するステップと、を含む、方法。
【請求項10】
前記アプリケーション鍵更新要求に基づいて、アプリケーション鍵を更新する指示情報を送信する前記ステップは、前記アプリケーション鍵更新要求に基づいてアクセス管理機能AMFネットワーク要素にユーザデータ管理通知を送信し、前記AMFネットワーク要素を介して前記ユーザ機器にダウンリンク非アクセス層伝送メッセージを送信するステップを含む、請求項9に記載の方法。
【請求項11】
前記アプリケーション鍵更新要求は前記第1ネットワーク要素が生成した鍵更新パラメータを含み、前記ユーザデータ管理通知は前記鍵更新パラメータを含み、
前記ダウンリンク非アクセス層伝送メッセージは前記鍵更新パラメータに基づいて前記アプリケーション鍵を更新するように前記ユーザ機器に指示することに用いられ、
前記ユーザデータ管理通知は確認情報の返信指示をさらに含み、
前記方法は、
前記AMFから送信されたユーザデータ管理応答メッセージを受信するステップであって、前記ユーザデータ管理応答メッセージは前記AMFが前記ユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものであり、前記アップリンク非アクセス層伝送メッセージは前記ユーザ機器から返信された確認情報を含むステップと、
前記第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信するステップであって、前記アプリケーション鍵更新応答メッセージは前記鍵更新パラメータに基づいて更新されるアプリケーション鍵を決定するように前記第1ネットワーク要素に指示することに用いられるステップと、をさらに含む、請求項10に記載の方法。
【請求項12】
前記ユーザデータ管理通知は再登録指示情報及びアプリケーション鍵更新指示情報を含み、前記ダウンリンク非アクセス層伝送メッセージは再登録フローを開始して更新されるアプリケーション鍵を獲得するように前記ユーザ機器に指示することに用いられ、
前記ユーザデータ管理通知は確認情報の返信指示をさらに含み、
前記方法は、
前記AMFから送信されたユーザデータ管理応答メッセージを受信するステップであって、前記ユーザデータ管理応答メッセージは前記AMFが前記ユーザ機器のアップリンク非アクセス層伝送メッセージを受信した後に送信したものであり、前記アップリンク非アクセス層伝送メッセージは確認情報を含むステップと、
前記第1ネットワーク要素にアプリケーション鍵更新応答メッセージを送信するステップであって、前記アプリケーション鍵更新応答メッセージは、前記ユーザ機器にセッション確立に失敗したメッセージを返信し、前記ユーザ機器から再送信されたセッション確立要求を受信するように前記第1ネットワーク要素に指示することに用いられるステップと、をさらに含む、請求項10に記載の方法。
【請求項13】
ユーザ機器に適用される鍵更新方法であって、アプリケーション鍵を更新する指示情報を受信するステップと、
前記指示情報に基づいて無効であるアプリケーション鍵を更新するステップと、を含む、方法。
【請求項14】
アプリケーション鍵を更新する指示情報を受信する前記ステップは、AMFネットワーク要素から送信されたダウンリンク非アクセス層伝送メッセージを受信するステップを含み、前記ダウンリンク非アクセス層伝送メッセージは前記AMFが第2ネットワーク要素のユーザデータ管理通知に基づいて送信するものである、請求項13に記載の方法。
【請求項15】
前記ダウンリンク非アクセス層伝送メッセージは第1ネットワーク要素が生成した鍵更新パラメータを含み、前記指示情報に基づいて無効であるアプリケーション鍵を更新するステップは、
鍵生成関数によって、前記鍵更新パラメータ及び前記無効であるアプリケーション鍵を演算し、更新されるアプリケーション鍵を得るステップを含む、請求項14に記載の方法。
【請求項16】
前記ダウンリンク非アクセス層伝送メッセージは再登録指示情報及びアプリケーション鍵更新指示情報を含み、前記ダウンリンク非アクセス層伝送メッセージは再登録フローを開始して更新されるアプリケーション鍵を獲得するように前記ユーザ機器に指示することに用いられ、
前記指示情報に基づいて無効であるアプリケーション鍵を更新するステップは、
鍵セット識別子を所定値に設定するステップであって、前記所定値は、アプリケーション鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられ、前記ネットワーク層鍵は中間鍵又は非アクセス層鍵を含むステップと、アイドル状態にある場合、前記鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得するステップと、を含むか、あるいは、
鍵セット識別子を所定値に設定するステップであって、前記所定値は、ネットワーク鍵が無効であること又はネットワーク層鍵が無効であることを指示することに用いられ、前記ネットワーク層鍵は中間鍵又は非アクセス層鍵を含むステップと、第1ネットワーク要素から返信されたセッション確立に失敗したメッセージを受信した場合、前記鍵セット識別子に基づいて再登録フローを開始して更新されるアプリケーション鍵を獲得するステップと、を含む、請求項14に記載の方法。
【請求項17】
前記ダウンリンク非アクセス層伝送メッセージは確認情報の返信指示をさらに含み、前記方法は、
前記AMFネットワーク要素にアップリンク非アクセス層伝送メッセージを送信するステップをさらに含み、前記アップリンク非アクセス層伝送メッセージは前記ユーザ機器から返信された確認情報を含む、請求項15に記載の方法。
【請求項18】
メモリ、プロセッサ、及びメモリに記憶され、プロセッサで動作可能なコンピュータプログラムを含み、前記プロセッサが前記プログラムを実行するときに、請求項1~8のいずれか1項に記載の鍵更新方法又は請求項9~12のいずれか1項に記載の鍵更新方法を実現する、ネットワーク要素。
【請求項19】
メモリ、プロセッサ、及びメモリに記憶され、プロセッサで動作可能なコンピュータプログラムを含み、前記プロセッサが前記プログラムを実行するときに、請求項13~17のいずれか1項に記載の鍵更新方法を実現する、ユーザ機器。
【請求項20】
コンピュータ読み取り可能な記憶媒体であって、それにコンピュータプログラムが記憶されており、当該プログラムがプロセッサにより実行されるときに、請求項1~17のいずれか1項に記載の鍵更新方法を実現する、コンピュータ読み取り可能な記憶媒体。
【国際調査報告】