IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 華為技術有限公司の特許一覧

<>
  • 特表-通信方法、装置およびシステム 図1
  • 特表-通信方法、装置およびシステム 図2
  • 特表-通信方法、装置およびシステム 図3
  • 特表-通信方法、装置およびシステム 図4a
  • 特表-通信方法、装置およびシステム 図4b
  • 特表-通信方法、装置およびシステム 図4c
  • 特表-通信方法、装置およびシステム 図4d
  • 特表-通信方法、装置およびシステム 図5
  • 特表-通信方法、装置およびシステム 図6
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-10-16
(54)【発明の名称】通信方法、装置およびシステム
(51)【国際特許分類】
   H04W 76/10 20180101AFI20241008BHJP
   H04W 12/06 20210101ALI20241008BHJP
   H04W 12/04 20210101ALI20241008BHJP
【FI】
H04W76/10
H04W12/06
H04W12/04
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024519730
(86)(22)【出願日】2021-09-30
(85)【翻訳文提出日】2024-05-08
(86)【国際出願番号】 CN2021122352
(87)【国際公開番号】W WO2023050373
(87)【国際公開日】2023-04-06
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.3GPP
2.ブルートゥース
3.BLUETOOTH
(71)【出願人】
【識別番号】503433420
【氏名又は名称】華為技術有限公司
【氏名又は名称原語表記】HUAWEI TECHNOLOGIES CO.,LTD.
【住所又は居所原語表記】Huawei Administration Building, Bantian, Longgang District, Shenzhen, Guangdong 518129, P.R. China
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133569
【弁理士】
【氏名又は名称】野村 進
(72)【発明者】
【氏名】王 勇
(72)【発明者】
【氏名】李 明超
(72)【発明者】
【氏名】何 青春
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA35
5K067EE02
5K067EE10
5K067EE16
(57)【要約】
本出願は、通信方法、装置、およびシステムを提供し、通信技術の分野に関する。本方法は、第1のノード/第2のノードによって、第1の情報を取得するステップと、第1の情報に基づいて第2のノードへの第1の通信接続を確立するステップであって、第1の通信接続が第1のサービスのデータを送信するのに使用され、第1の通信接続が第1の通信技術に対応する、ステップと、を含み、第1のノードは、第2の通信技術に対応するネットワークにアクセスするノードであり、第1のサービスは、第1の通信技術のサービスまたは第2の通信技術のサービスである。この解決策は、統合通信シナリオにおける異種通信技術のセキュリティ要件を満たすのに役立つ。
【特許請求の範囲】
【請求項1】
通信方法であって、前記方法が第1のノードに適用され、
第1の情報を取得するステップと、
前記第1の情報に基づいて第2のノードへの第1の通信接続を確立するステップであって、前記第1の通信接続が第1のサービスのデータを送信するのに使用され、前記第1の通信接続が第1の通信技術に対応し、
前記第1のノードが第2の通信技術に対応するネットワークにアクセスするノードであり、前記第1のサービスが前記第1の通信技術のサービスまたは前記第2の通信技術のサービスである、ステップと、
を含む、通信方法。
【請求項2】
前記第1の情報が前記第2のノードとの通信認証に使用される第1の鍵を含み、第1の情報を取得する前記ステップが
前記第2の通信技術に対応するタイプおよび/または前記第1のサービスのサービスタイプに基づいて前記第1の鍵を取得するステップ
を含む、請求項1に記載の方法。
【請求項3】
前記第1の情報が前記第2のノードとの通信認証に使用される第1の鍵を含み、前記方法が、
前記第2のノードから第1のメッセージを受信するステップであって、前記第1のメッセージが鍵タイプ指示情報またはサービスタイプ指示情報を搬送する、ステップ
をさらに含み、
第1の情報を取得する前記ステップが、
前記鍵タイプ指示情報または前記サービスタイプ指示情報に基づいて前記第1の鍵を取得するステップ
を含む、請求項1に記載の方法。
【請求項4】
前記第1の情報に基づいて第2のノードへの第1の通信接続を確立する前記ステップが、
前記第1の鍵に関連付けられた第2のメッセージを前記第2のノードに送信するステップであって、前記第2のメッセージが前記第1のノードの識別認証に使用される、ステップと、
前記第2のメッセージに応答する第3のメッセージを受信するステップであって、前記第3のメッセージが前記第2のノードの識別認証に使用される、ステップと、
前記第2のノードの識別認証が成功した場合に、前記第2のノードへ第4のメッセージを送信するステップであって、前記第4のメッセージが前記第2のノードへの前記第1の通信接続を確立するのに使用される、ステップと、
を含む、請求項2または3に記載の方法。
【請求項5】
前記第1のサービスが前記第1の通信技術のサービスである場合、前記第1の鍵は前記第1の通信技術のサービスに使用される鍵であり、または
前記第1のサービスが前記第2の通信技術のサービスである場合、前記第1の鍵は前記第2の通信技術のサービスに使用される鍵である、
請求項2から4のいずれか一項に記載の方法。
【請求項6】
前記第2の通信技術のサービスに使用される前記鍵が信頼された鍵または信頼されない鍵を含み、前記信頼された鍵は前記ネットワークを介して正常に認証される鍵であり、前記信頼されない鍵は前記ネットワークを介して認証されない鍵であり、前記信頼された鍵の優先順位は前記信頼されない鍵の優先順位より高い、請求項5に記載の方法。
【請求項7】
第1の通信接続を確立する前記ステップの前に、前記方法が、
前記ネットワークからのものであり、前記第2の通信技術のサービスに使用される鍵を受信するステップ、
をさらに含む、請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記第1の情報が前記第2のノードとの通信に使用される第1のセキュリティコンテキストを含み、第1の情報を取得する前記ステップが、
前記第2のノードから第5のメッセージを受信するステップであって、前記第5のメッセージが前記第1のセキュリティコンテキストに関連付けられた識別子を搬送する、ステップ
を含み、
第1の情報を取得する前記ステップが、
前記識別子に基づいて前記第1のセキュリティコンテキストを取得するステップ
を含む、請求項1に記載の方法。
【請求項9】
前記第1のサービスが前記第1の通信技術のサービスである場合、前記第1のセキュリティコンテキストは前記第1の通信技術のサービスに使用されるセキュリティコンテキストであり、または
前記第1のサービスが前記第2の通信技術のサービスである場合、前記第1のセキュリティコンテキストは前記第2の通信技術のサービスに使用されるセキュリティコンテキストである、
請求項8に記載の方法。
【請求項10】
前記第2の通信技術のサービスに使用される前記セキュリティコンテキストが信頼されたセキュリティコンテキストまたは信頼されないセキュリティコンテキストを含み、前記信頼されたセキュリティコンテキストが前記ネットワークを通じて正常に認証されるセキュリティコンテキストであり、前記信頼されないセキュリティコンテキストが前記ネットワークを通じて認証されないセキュリティコンテキストであり、前記信頼されたセキュリティコンテキストの優先順位が前記信頼されないセキュリティコンテキストの優先順位より高い、請求項9に記載の方法。
【請求項11】
第1の情報を取得する前記ステップの前に、前記方法が、
第6のメッセージを前記第2のノードに送信するステップであって、前記第6のメッセージが、前記第1のノードが前記第2の通信技術をサポートしていることを示すために使用される情報を搬送する、ステップ
をさらに含む、請求項1から10のいずれか一項に記載の方法。
【請求項12】
通信方法であって、前記方法が第2のノードに適用され、
第1の情報を取得するステップと、
前記第1の情報に基づいて第1のノードへの第1の通信接続を確立するステップであって、前記第1の通信接続が第1のサービスのデータを送信するのに使用され、前記第1の通信接続が第1の通信技術に対応し、
前記第1のノードが第2の通信技術に対応するネットワークにアクセスするノードであり、前記第1のサービスが前記第1の通信技術のサービスまたは前記第2の通信技術のサービスである、ステップと、
を含む、通信方法。
【請求項13】
前記第1の情報が前記第1のノードとの通信認証に使われる第1の鍵を含み、第1の情報を取得する前記ステップが、
前記第2の通信技術に対応するタイプおよび/または前記第1のサービスのサービスタイプに基づいて前記第1の鍵を取得するステップ
を含む、請求項12に記載の方法。
【請求項14】
前記方法が、
前記第1のノードへ第1のメッセージを送信するステップであって、前記第1のメッセージが前記第1の鍵に関連付けられた情報を搬送する、ステップ
をさらに含む、請求項13に記載の方法。
【請求項15】
前記第1の情報に基づいて前記第1のノードへの第1の通信接続を確立する前記ステップが、
前記第1のノードから第2のメッセージを受信するステップであって、前記第2のメッセージが前記第1の鍵に関連付けられ、前記第2のメッセージが前記第1のノードの識別認証に使用される、ステップと、
前記第1のノードの識別認証が成功した場合に、第3のメッセージを前記第1のノードに送信するステップであって、前記第3のメッセージが前記第2のノードの識別認証に使用される、ステップと、
前記第3のメッセージに応答する第4のメッセージを受信するステップであって、前記第4のメッセージが前記第2のノードへの前記第1の通信接続を確立するために使用される、ステップと、
を含む、請求項13または14に記載の方法。
【請求項16】
前記第1のサービスが前記第1の通信技術のサービスである場合、前記第1の鍵は前記第1の通信技術のサービスに使用される鍵であり、または
前記第1のサービスが前記第2の通信技術のサービスである場合、前記第1の鍵は前記第2の通信技術のサービスに使用される鍵である、
請求項13から15のいずれか一項に記載の方法。
【請求項17】
前記第2の通信技術のサービスに使われる前記鍵が信頼された鍵または信頼されない鍵を含み、前記信頼された鍵が前記ネットワークを通じて正常に認証される鍵であり、前記信頼されない鍵が前記ネットワークを通じて認証されない鍵であり、前記信頼された鍵の優先順位が前記信頼されない鍵の優先順位より高い、請求項16に記載の方法。
【請求項18】
前記第1の通信接続を確立する前記ステップの前に、前記方法が、
前記ネットワークからのものであり、前記第2の通信技術のサービスに使用される鍵を受信するステップ
をさらに含む、請求項12から17のいずれか一項に記載の方法。
【請求項19】
前記第1の情報が第1のセキュリティコンテキストを含み、前記第1のセキュリティコンテキストが前記第1のノードへの前記第1の通信接続を確立するために前記第2のノードによって使用され、第1の情報を取得する前記ステップが、
前記第2の通信技術に対応するタイプおよび/または前記第1のサービスのサービスタイプに基づいて前記第1のセキュリティコンテキストを取得するステップ
を含む、請求項12に記載の方法。
【請求項20】
前記第1のサービスが前記第1の通信技術のサービスである場合、前記第1のセキュリティコンテキストは前記第1の通信技術のサービスに使用されるセキュリティコンテキストであり、または
前記第1のサービスが前記第2の通信技術のサービスである場合、前記第1のセキュリティコンテキストは前記第2の通信技術のサービスに使用されるセキュリティコンテキストである、
請求項19に記載の方法。
【請求項21】
前記第2の通信技術のサービスに使用される前記セキュリティコンテキストが信頼されたセキュリティコンテキストまたは信頼されないセキュリティコンテキストを含み、前記信頼されたセキュリティコンテキストが前記ネットワークを通じて正常に認証されるセキュリティコンテキストであり、前記信頼されないセキュリティコンテキストが前記ネットワークを通じて認証されないセキュリティコンテキストであり、前記信頼されたセキュリティコンテキストの優先順位が前記信頼されないセキュリティコンテキストの優先順位より高い、請求項20に記載の方法。
【請求項22】
前記方法が、
第5のメッセージを前記第1のノードへ送信するステップであって、前記第5のメッセージが前記第1のセキュリティコンテキストに関連付けられた識別子を搬送する、ステップ
をさらに含む、請求項19から21のいずれか一項に記載の方法。
【請求項23】
前記方法が、
前記第1のノードから第6のメッセージを受信するステップであって、前記第6のメッセージが、前記第1のノードが前記第2の通信技術をサポートしていることを示すために使用される情報を搬送する、ステップ
をさらに含む、請求項12から22のいずれか一項に記載の方法。
【請求項24】
第1のノードに適用される通信装置であって、
第2のノードと通信するように構成された通信ユニットと、
第1の情報を取得し、前記第1の情報に基づいて前記第2のノードへの第1の通信接続を確立するように構成された処理ユニットであって、前記第1の通信接続が第1のサービスのデータを送信するのに使用され、前記第1の通信接続が第1の通信技術に対応しており、前記第1のノードが第2の通信技術に対応するネットワークにアクセスするノードであり、前記第1のサービスが前記第1の通信技術のサービスまたは前記第2の通信技術のサービスである、処理ユニットと、
を備える、通信装置。
【請求項25】
前記第1の情報が前記第2のノードとの通信認証に使用される第1の鍵を含み、前記第1のサービスが前記第1の通信技術のサービスである場合、前記第1の鍵は前記第1の通信技術のサービスに使用される鍵であり、または、前記第1のサービスが前記第2の通信技術のサービスである場合、前記第1の鍵は前記第2の通信技術のサービスに使用される鍵である、
請求項24に記載の装置。
【請求項26】
第1のノードと通信するように構成された通信ユニットと、
第1の情報を取得し、前記第1の情報に基づいて前記第1のノードへの第1の通信接続を確立するように構成された処理ユニットであって、前記第1の通信接続が第1のサービスのデータを送信するのに使用され、前記第1の通信接続が第1の通信技術に対応しており、前記第1のノードが第2の通信技術に対応するネットワークにアクセスするノードであり、前記第1のサービスが前記第1の通信技術のサービスまたは前記第2の通信技術のサービスである、処理ユニットと、
を備える、通信装置。
【請求項27】
前記第1の情報が前記第1のノードとの通信認証に使われる第1の鍵を含み、前記第1のサービスが前記第1の通信技術のサービスである場合、前記第1の鍵は、前記第1の通信技術のサービスに使用される鍵であり、または、前記第1のサービスが前記第2の通信技術のサービスである場合、前記第1の鍵は、前記第2の通信技術のサービスに使用される鍵である、請求項26に記載の装置。
【請求項28】
少なくとも1つのプロセッサとインターフェース回路とを備える通信装置であって、前記インターフェース回路が前記少なくとも1つのプロセッサにデータまたはコード命令を提供するように構成され、前記少なくとも1つのプロセッサは、論理回路を使用するか、または前記コード命令を実行することによって、請求項1から11または12から23のいずれか一項に記載の方法を実施するように構成されている、通信装置。
【請求項29】
請求項1から11のいずれか一項に記載の方法を実施するように構成された通信装置と、請求項12から23のいずれか一項に記載の方法を実施するように構成された通信装置とを備える、通信システム。
【請求項30】
コンピュータ可読記憶媒体であって、前記コンピュータ可読媒体がプログラムコードを記憶し、前記プログラムコードがコンピュータ上で実行されると、前記コンピュータが請求項1から11のいずれか一項に記載の方法を実行することが可能になり、または前記プログラムコードがコンピュータ上で実行されると、前記コンピュータが請求項12から23のいずれか一項に記載の方法を実行することが可能になる、コンピュータ可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本出願の実施形態は、通信技術分野に関し、特に、通信方法、装置、およびシステムに関する。
【背景技術】
【0002】
情報化の急速な発展に伴い、モバイル端末(例えば、携帯電話、タブレットコンピュータ、または別の携帯インテリジェント端末)は、個人にとって不可欠かつ重要なインテリジェントツールとなっている。モバイルインターネット時代には、(デスクトップワークステーションおよびサーバなどの)従来のコンピュータと比較して、これらのモバイル端末は、使用するのにより便利であるが、個人情報を脅かし損なう可能性がより高い。したがって、通信技術のセキュリティが重要である。
【0003】
インテリジェント車両、インテリジェント端末、インテリジェントホーム、およびインテリジェント製造などの新興産業の急速な発展に伴い、革新の要件および用途が絶えず出現している。いくつかのシナリオでは、異なる通信技術に基づく統合通信の設計が提案されている。しかしながら、統合通信(converged communication)シナリオにおいて異種通信(heterogeneous communication)技術のセキュリティ要件を保証する方法は、依然として緊急に解決される必要がある重要な問題である。
【発明の概要】
【0004】
本出願の実施形態は、統合通信シナリオにおける異種通信技術のセキュリティ要件を満たすのに役立つ通信方法、装置、およびシステムを提供する。
【課題を解決するための手段】
【0005】
第1の態様によれば、本出願の一実施形態は通信方法を提供する。本方法は第1のノードに適用されてもよく、第1のノードは第1の通信技術および第2の通信技術をサポートし得る。本方法は、第1の情報を取得するステップと、第1の情報に基づいて第2のノードへの第1の通信接続を確立するステップであって、第1の通信接続が第1のサービスのデータを送信するのに使用され、第1の通信接続が第1の通信技術に対応し、第1のノードが第2の通信技術に対応するネットワークにアクセスするノードである、ステップを含み得る。例えば、第1のサービスは、第1の通信技術のサービスまたは第2の通信技術のサービスであってもよい。
【0006】
前述の方法によれば、第1のノードは、第1のサービスに関連付けられた第1の情報に基づいて、第1のノードと第2のノードとの間の第1の通信接続を確立し得る。このようにして、第1のノードと第2のノードとの間のサービスデータ送信中に、第1のサービスに対応する通信接続を使用することによって、第1のサービスに対応するデータが送信され得る。統合通信シナリオにおけるセキュリティ要件を満たし、対応するサービスデータのセキュリティを保証するために、異なる通信接続が異なるサービスデータ送信に対応し得る。例えば、第1の通信技術は短距離通信技術であってもよく、第2の通信技術は第5世代移動通信技術(the 5th generation mobile communication technology,5G)であってもよい。
【0007】
本出願のこの実施形態では、説明のための例として、第1の通信技術および第1の通信技術に基づく統合シナリオのみが使用されることに留意されたい。本出願のこの実施形態は、別の統合通信シナリオにも適用され得る。第1のサービスはまた、別の通信技術に対応するサービスを含み得る。これは、本出願の実施形態において限定されない。
【0008】
第1の態様を参照すると、1つの可能な実施態様では、第1の情報は第2のノードとの通信認証に使用される第1の鍵を含んでもよく、第1の情報を取得するステップは、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて第1の鍵を取得するステップを含み得る。
【0009】
前述の方法によれば、第1のノードは、第1のノードと第2のノードとの間の接続を確立するプロセスをトリガしてもよく、第1のノードは、現在の通信シナリオおよび/またはサービス要件に基づいて第1の鍵を取得し、取得された第1の鍵に基づいて第1のノードと第2のノードとの間の対応する第1の通信接続を確立して、第1のサービスに対応するデータを送信し得る。例えば、第2の通信技術に対応するタイプは、第2の通信技術で使用される通信規格のタイプ、例えば5G技術であってもよい。
【0010】
第1の態様を参照すると、1つの可能な実施態様では、第1の情報は第2のノードとの通信認証に使用される第1の鍵を含んでもよく、本方法は、第2のノードから第1のメッセージを受信するステップであって、第1のメッセージが鍵タイプ指示情報またはサービスタイプ指示情報を搬送する、ステップをさらに含み、第1の情報を取得するステップは、鍵タイプ指示情報またはサービスタイプ指示情報に基づいて第1の鍵を取得するステップを含む。
【0011】
前述の方法によれば、第2のノードは、第1のノードと第2のノードとの間の接続を確立するプロセスをトリガしてもよく、第1のノードは、第2のノードからの鍵タイプ指示情報またはサービスタイプ指示情報に基づいて、第1のサービスに関連付けられた第1の鍵を取得し、取得された第1の鍵に基づいて第1のノードと第2のノードとの間の対応する第1の通信接続を確立して、第1のサービスに対応するデータを送信し得る。
【0012】
第1の態様を参照すると、1つの可能な実施態様では、第1の情報に基づいて第2のノードへの第1の通信接続を確立するステップは、第1の鍵に関連付けられた第2のメッセージを第2のノードに送信するステップであって、第2のメッセージが第1のノードの識別認証に使用される、ステップと、第2のメッセージに応答した第3のメッセージを受信するステップであって、第3のメッセージが第2のノードの識別認証に使用される、ステップと、第2のノードの識別認証が成功した場合に、第4のメッセージを第2のノードに送信するステップであって、第4のメッセージが第2のノードへの第1の通信接続を確立するために使用される、ステップと、を含む。
【0013】
本出願のこの実施形態では、第3のメッセージは1つのメッセージに対応し得ることに留意されたい。例えば、メッセージは、第2のノードの識別認証に使用されてもよく、第1のノードの識別認証が成功したことを暗黙的に示す。あるいは、別の例として、メッセージは、第1のノードの識別認証が成功したことを明示的に示すために使用されてもよく、第2のノードの識別認証にも使用されてもよい。あるいは、第3のメッセージは、少なくとも2つのメッセージ、例えば、第1のノードの識別認証が成功したことを示すメッセージおよび第2のノードの識別認証に使用されるメッセージに対応してもよい。第3のメッセージの具体的な実施態様は、本出願の実施形態では限定されない。同様に、第4のメッセージも1つのメッセージに対応し得る。例えば、メッセージは、第2のノードへの第1の通信接続を確立するために使用され、第2のノードの識別認証が成功したことを暗黙的に示す。あるいは、別の例として、メッセージは、第2のノードへの第1の通信接続を確立するために使用されてもよく、第2のノードの識別認証が成功したことを明示的に示すためにも使用されてもよい。あるいは、第4のメッセージは、少なくとも2つのメッセージ、例えば、第2のノードへの第1の通信接続を確立するために使用されるメッセージおよび第2のノードの識別認証が成功したことを示すために使用されるメッセージに対応してもよい。第4のメッセージの具体的な実施態様は、本出願の実施形態では限定されない。
【0014】
前述の方法によれば、第1のノードは、取得された第1の鍵に基づいて第2のノードと相互識別認証(または識別認証)を行うことができ、相互認証が成功した後で、2者間でセキュアな第1の通信接続が確立される。
【0015】
第1の態様を参照すると、1つの可能な実施態様では、第1の鍵は、第1の通信技術のサービスに使用される鍵、または第2の通信技術のサービスに使用される鍵である。
【0016】
第1の態様を参照すると、1つの可能な実施態様では、第1のサービスが第1の通信技術のサービスである場合、第1の鍵は第1の通信技術のサービスに使用される鍵であり、および/または、第1のサービスが第2の通信技術のサービスである場合、第1の鍵は第2の通信技術のサービスに使用される鍵である。
【0017】
前述の方法によれば、第1のノードは、少なくとも1つの鍵を取得することができ、第1のノードは、第1のサービスに対応する第1の通信接続を確立するために、第1のサービスに基づいて少なくとも1つの鍵から鍵を選択して、第1のサービスのサービスデータのセキュリティを保証し得る。
【0018】
第1の態様を参照すると、1つの可能な実施態様では、第2の通信技術のサービスに使用される鍵は信頼された鍵または信頼されない鍵を含み、信頼された鍵はネットワークを通じて正常に認証される鍵であり、信頼されない鍵はネットワークを通じて認証されない鍵であり、信頼された鍵の優先順位は信頼されない鍵の優先順位より高い。
【0019】
前述の方法によれば、第1のノードによって取得された少なくとも1つの鍵は、対応する優先順位および/または使用原則を有することができ、その結果、第1のノードは、第1のサービスおよび優先順位および/または使用原則に基づいて少なくとも1つの鍵から、第1のサービスに密接に関連する鍵を第1の鍵として選択し得る。
【0020】
本出願のこの実施形態では、鍵はサービスに対応することに留意されたい。第1のサービスが第1の通信技術のサービスである場合、第2の通信技術のサービスに使用される鍵は使用されず、第1のサービスが第2の通信技術のサービスである場合、第1の通信技術のサービスに使用される鍵は使用されず、信頼された鍵が存在する場合、信頼されない鍵は使用されない。
【0021】
第1の態様を参照すると、1つの可能な実施態様では、第1の通信接続を確立するステップの前に、本方法は、ネットワークからのものであり、第2の通信技術のサービスのために使用される鍵を受信するステップ、をさらに含む。
【0022】
前述の方法によれば、第1の通信技術および第2の通信技術に基づく統合通信シナリオでは、第2の通信技術に対応するネットワークを使用して、第2の通信技術のサービスに使用される鍵を第1のノードに配信することができ、第1のノードは、統合通信シナリオにおいて、鍵に基づいて第1のノードと第2のノードとの間の第1の通信接続を確立するために鍵を受信する。本出願のこの実施形態では、第2の通信技術のサービスに使用される鍵は、デフォルト値または動的に変化する値であり得ることを理解されたい。これは、本出願の実施形態において限定されない。加えて、鍵がネットワークを介して正常に認証された鍵である場合、その鍵は信頼された鍵であり、または、鍵がネットワークを介して認証されない鍵である場合、その鍵は信頼されない鍵である。
【0023】
第1の態様を参照すると、1つの可能な実施態様では、第1の情報は第2のノードとの通信に使用される第1のセキュリティコンテキストを含み、第1の情報を取得するステップは、第2のノードから第5のメッセージを受信するステップであって、第5のメッセージが第1のセキュリティコンテキストに関連付けられた識別子を搬送する、ステップを含み、第1の情報を取得するステップは、識別子に基づいて第1のセキュリティコンテキストを取得するステップを含む。
【0024】
前述の方法によれば、第2のノードにセキュリティコンテキストの複数のセットが存在してもよい。例えば、第2のノードは、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいてセキュリティコンテキストの複数のセットから第1のセキュリティコンテキストを選択し、第1のセキュリティコンテキストの識別子を示すために第5のメッセージを第1のノードに送信し得る。第1のノードは、第1のセキュリティコンテキストに関連付けられ、第2のノードによって示される識別子に基づいて、第1のサービスに対応する第1のセキュリティコンテキストを取得して、取得された第1のセキュリティコンテキストに基づいて、2者間の安全な第1の通信接続を確立し得る。例えば、第2の通信技術に対応するタイプは、第2の通信技術で使用される通信規格のタイプ、例えば5G技術であってもよい。
【0025】
第1の態様を参照すると、1つの可能な実施態様では、第1のセキュリティコンテキストは、第1の通信技術のサービスに使用されるセキュリティコンテキスト、または第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0026】
第1の態様を参照すると、1つの可能な実施態様では、第1のサービスが第1の通信技術のサービスである場合、第1のセキュリティコンテキストは第1の通信技術のサービスに使用されるセキュリティコンテキストであり、および/または、第1のサービスが第2の通信技術のサービスである場合、第1のセキュリティコンテキストは第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0027】
第1の態様を参照すると、1つの可能な実施態様では、第2の通信技術のサービスに使用されるセキュリティコンテキストは信頼されたセキュリティコンテキストまたは信頼されないセキュリティコンテキストを含み、信頼されたセキュリティコンテキストはネットワークを通じて正常に認証されるセキュリティコンテキストであり、信頼されないセキュリティコンテキストはネットワークを通じて認証されないセキュリティコンテキストであり、信頼されたセキュリティコンテキストの優先順位は信頼されないセキュリティコンテキストの優先順位より高い。
【0028】
前述の方法によれば、第1のノードと第2のノードとの間にセキュリティコンテキストの少なくとも1つのセットが存在してもよく、セキュリティコンテキストの少なくとも1つのセットは、対応する優先順位および/または使用原則を有してもよく、その結果、第1のノードは、第1のサービスおよび優先順位および/または使用原則に基づいてセキュリティコンテキストの少なくとも1つのセットから、第1のサービスに密接に関連するセキュリティコンテキストを第1のセキュリティコンテキストとして選択し得る。
【0029】
本出願のこの実施形態では、鍵と同様に、セキュリティコンテキストもサービスに対応することに留意されたい。第1のサービスが第1の通信技術のサービスである場合、第2の通信技術のサービスに使用されるセキュリティコンテキストは使用されず、第1のサービスが第2の通信技術のサービスである場合、第1の通信技術のサービスに使用されるセキュリティコンテキストは使用されず、信頼されたセキュリティコンテキストが存在する場合、信頼されないセキュリティコンテキストは使用されない。
【0030】
第1の態様を参照すると、1つの可能な実施態様では、第1の情報を取得するステップの前に、本方法は、第2のノードに第6のメッセージを送信するステップであって、第6のメッセージは第1のノードが第2の通信技術をサポートしていることを示すために使用される、ステップをさらに含む。本出願のこの実施形態では、第1のノードが第2の通信技術をサポートすることは、第1のノードが第2の通信技術のサービスの送信をサポートし、第1のノードが第2の通信技術に対応するサービス送信をサポートし、または第1のノードが第2の通信技術に基づいて実施されるサービス送信をサポートすることとしても理解されてもよいことに留意されたい。
【0031】
前述の方法によれば、第1のノードは、第1のノードによってサポートされるサービスタイプを第2のノードに通知するために、関連する指示情報を第6のメッセージに追加してもよく、その結果、第2のノードは、第2のノードと第1のノードとの間で実行されるサービスに基づいて意思決定を行い、安全な第1の通信接続を確立し、第1のサービスのデータを2者間で送信する。
【0032】
第2の態様によれば、本出願の一実施形態は通信方法を提供する。本方法は、第2のノードに適用される。第2のノードは、第1の通信技術をサポートすることができ、または第2のノードは、第1の通信技術および第2の通信技術をサポートし得る。本方法は、第1の情報を取得するステップと、第1の情報に基づいて第1のノードへの第1の通信接続を確立するステップであって、第1の通信接続が第1のサービスのデータを送信するのに使用され、第1の通信接続が第1の通信技術に対応し、第1のノードが第2の通信技術に対応するネットワークにアクセスするノードである、ステップを含み得る。例えば、第1のサービスは、第1の通信技術のサービスまたは第2の通信技術のサービスであってもよい。
【0033】
第2の態様を参照すると、1つの可能な実施態様では、第1の情報は第1のノードとの通信認証に使用される第1の鍵を含み、第1の情報を取得するステップは、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて第1の鍵を取得するステップを含む。例えば、第2の通信技術に対応するタイプは、第2の通信技術で使用される通信規格のタイプ、例えば5G技術であってもよい。第2の態様を参照すると、1つの可能な実施態様では、本方法は、第1のメッセージを第1のノードに送信するステップであって、第1のメッセージが第1の鍵に関連付けられた情報を搬送する、ステップをさらに含む。例えば、第1の鍵に関連付けられた情報は、鍵タイプ指示情報またはサービスタイプ指示情報を含み得る。任意選択の実施態様では、第1の鍵に関連付けられた情報は、代替として第1の鍵であってもよい。
【0034】
第2の態様を参照すると、1つの可能な実施態様では、第1の情報に基づいて第1のノードへの第1の通信接続を確立するステップは、第1のノードから第2のメッセージを受信するステップであって、第2のメッセージが第1の鍵に関連付けられ、第2のメッセージが第1のノードの識別認証に使用される、ステップと、第1のノードの識別認証が成功した場合に、第3のメッセージを第1のノードに送信するステップであって、第3のメッセージが第2のノードの識別認証に使用される、ステップと、第3のメッセージに応答した第4のメッセージを受信するステップであって、第4のメッセージが第2のノードへの第1の通信接続を確立するために使用される、ステップと、を含む。
【0035】
本出願のこの実施形態では、第3のメッセージは1つのメッセージに対応し得ることに留意されたい。例えば、メッセージは、第2のノードの識別認証に使用されてもよく、第1のノードの識別認証が成功したことを暗黙的に示す。あるいは、別の例として、メッセージは、第1のノードの識別認証が成功したことを明示的に示すために使用されてもよく、第2のノードの識別認証にも使用されてもよい。あるいは、第3のメッセージは、少なくとも2つのメッセージ、例えば、第1のノードの識別認証が成功したことを示すメッセージおよび第2のノードの識別認証に使用されるメッセージに対応してもよい。第3のメッセージの具体的な実施態様は、本出願の実施形態では限定されない。同様に、第4のメッセージも1つのメッセージに対応し得る。例えば、メッセージは、第2のノードへの第1の通信接続を確立するために使用され、第2のノードの識別認証が成功したことを暗黙的に示す。あるいは、別の例として、メッセージは、第2のノードへの第1の通信接続を確立するために使用されてもよく、第2のノードの識別認証が成功したことを明示的に示すためにも使用されてもよい。あるいは、第4のメッセージは、少なくとも2つのメッセージ、例えば、第2のノードへの第1の通信接続を確立するために使用されるメッセージおよび第2のノードの識別認証が成功したことを示すために使用されるメッセージに対応してもよい。第4のメッセージの具体的な実施態様は、本出願の実施形態では限定されない。
【0036】
第2の態様を参照すると、1つの可能な実施態様では、第1の鍵は、第1の通信技術のサービスに使用される鍵、または第2の通信技術のサービスに使用される鍵である。
【0037】
第2の態様を参照すると、1つの可能な実施態様では、第1のサービスが第1の通信技術のサービスである場合、第1の鍵は第1の通信技術のサービスに使用される鍵であり、および/または、第1のサービスが第2の通信技術のサービスである場合、第1の鍵は第2の通信技術のサービスに使用される鍵である。
【0038】
第2の態様を参照すると、1つの可能な実施態様では、第2の通信技術のサービスに使用される鍵は信頼された鍵または信頼されない鍵を含み、信頼された鍵はネットワークを通じて正常に認証される鍵であり、信頼されない鍵はネットワークを通じて認証されない鍵であり、信頼された鍵の優先順位は信頼されない鍵の優先順位より高い。
【0039】
第2の態様を参照すると、1つの可能な実施態様では、第1の通信接続を確立するステップの前に、本方法は、ネットワークからのものであり、第2の通信技術のサービスのために使用される鍵を受信するステップをさらに含む。
【0040】
第2の態様を参照すると、1つの可能な実施態様では、第1の情報は第1のセキュリティコンテキストを含み、第1のセキュリティコンテキストは第1のノードへの第1の通信接続を確立するために第2のノードによって使用され、第1の情報を取得するステップは、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて第1のセキュリティコンテキストを取得するステップを含む。例えば、第2の通信技術に対応するタイプは、第2の通信技術で使用される通信規格のタイプ、例えば5G技術であってもよい。
【0041】
第2の態様を参照すると、1つの可能な実施態様では、第1のセキュリティコンテキストは、第1の通信技術のサービスに使用されるセキュリティコンテキスト、または第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0042】
第2の態様を参照すると、1つの可能な実施態様では、第1のサービスが第1の通信技術のサービスである場合、第1のセキュリティコンテキストは第1の通信技術のサービスに使用されるセキュリティコンテキストであり、および/または、第1のサービスが第2の通信技術のサービスである場合、第1のセキュリティコンテキストは第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0043】
第2の態様を参照すると、1つの可能な実施態様では、第2の通信技術のサービスに使用されるセキュリティコンテキストは信頼されたセキュリティコンテキストまたは信頼されないセキュリティコンテキストを含み、信頼されたセキュリティコンテキストはネットワークを通じて正常に認証されるセキュリティコンテキストであり、信頼されないセキュリティコンテキストはネットワークを通じて認証されないセキュリティコンテキストであり、信頼されたセキュリティコンテキストの優先順位は信頼されないセキュリティコンテキストの優先順位より高い。第2の態様を参照すると、1つの可能な実施態様では、本方法は、第1のノードへ第5のメッセージを送信するステップであって、第5のメッセージが第1のセキュリティコンテキストに関連付けられた識別子を搬送する、ステップをさらに含む。
【0044】
第2の態様を参照すると、1つの可能な実施態様では、本方法は、第1のノードから第6のメッセージを受信するステップであって、第6のメッセージが、第1のノードが第2の通信技術をサポートしていることを指示するのに使用される情報を搬送する、ステップをさらに含む。本出願のこの実施形態では、第1のノードが第2の通信技術をサポートすることは、第1のノードが第2の通信技術のサービスの送信をサポートし、第1のノードが第2の通信技術に対応するサービス送信をサポートし、または第1のノードが第2の通信技術に基づいて実施されるサービス送信をサポートすることとしても理解されてもよいことに留意されたい。
【0045】
第3の態様によれば、本願の一実施形態は通信装置を提供する。通信装置は、第1のノードに適用され、第2のノードと通信するように構成された通信ユニットと、第1の情報を取得し、第1の情報に基づいて第2のノードへの第1の通信接続を確立するように構成された処理ユニットであって、第1の通信接続が第1のサービスのデータを送信するのに使用され、第1の通信接続が第1の通信技術に対応しており、第1のノードは第2の通信技術に対応するネットワークにアクセスするノードである、処理ユニットと、を含む。例えば、第1のサービスは、第1の通信技術のサービスまたは第2の通信技術のサービスである。
【0046】
第3の態様を参照すると、1つの可能な実施態様では、第1の情報は、第2のノードとの通信認証に使用される第1の鍵を含み、処理ユニットは、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて第1の鍵を取得するように構成されている。例えば、第2の通信技術に対応するタイプは、第2の通信技術で使用される通信規格のタイプ、例えば5G技術であってもよい。第3の態様を参照すると、1つの可能な実施態様では、第1の情報は、第2のノードとの通信認証に使用される第1の鍵を含み、通信ユニットは、第2のノードから第1のメッセージを受信するように構成され、第1のメッセージは鍵タイプ指示情報またはサービスタイプ指示情報を搬送し、処理ユニットは、鍵タイプ指示情報またはサービスタイプ指示情報に基づいて第1の鍵を取得するように構成されている。
【0047】
第3の態様を参照すると、1つの可能な実施態様では、通信ユニットは、第1の鍵に関連付けられた第2のメッセージを第2のノードに送信し、第2のメッセージが第1のノードの識別認証に使用され、第2のメッセージに応答する第3のメッセージを受信し、第3のメッセージが第2のノードの識別認証に使用され、第2のノードの識別認証が成功した場合に、第4のメッセージを第2のノードに送信し、第4のメッセージが第2のノードへの第1の通信接続を確立するために使用されるように構成されている。
【0048】
第3の態様を参照すると、1つの可能な実施態様では、第1の鍵は、第1の通信技術のサービスに使用される鍵、または第2の通信技術のサービスに使用される鍵である。
【0049】
第3の態様を参照すると、1つの可能な実施態様では、第1のサービスが第1の通信技術のサービスである場合、第1の鍵は第1の通信技術のサービスに使用される鍵であり、および/または、第1のサービスが第2の通信技術のサービスである場合、第1の鍵は第2の通信技術のサービスに使用される鍵である。
【0050】
第3の態様を参照すると、1つの可能な実施態様では、第2の通信技術のサービスに使用される鍵は信頼された鍵または信頼されない鍵を含み、信頼された鍵はネットワークを通じて正常に認証される鍵であり、信頼されない鍵はネットワークを通じて認証されない鍵であり、信頼された鍵の優先順位は信頼されない鍵の優先順位より高い。
【0051】
第3の態様を参照すると、1つの可能な実施態様では、処理ユニットが第1の通信接続を確立する前に、通信ユニットは、ネットワークからのものであり、第2の通信技術のサービスのために使用される鍵を受信するようにさらに構成されている。
【0052】
第3の態様を参照すると、1つの可能な実施態様では、第1の情報は、第2のノードとの通信に使用される第1のセキュリティコンテキストを含み、通信ユニットは、第2のノードから第5のメッセージを受信するように構成され、第5のメッセージが第1のセキュリティコンテキストに関連付けられた識別子を搬送し、処理ユニットは、識別子に基づいて第1のセキュリティコンテキストを取得するように構成されている。
【0053】
第3の態様を参照すると、1つの可能な実施態様では、第1のセキュリティコンテキストは、第1の通信技術のサービスに使用されるセキュリティコンテキスト、または第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0054】
第3の態様を参照すると、1つの可能な実施態様では、第1のサービスが第1の通信技術のサービスである場合、第1のセキュリティコンテキストは第1の通信技術のサービスに使用されるセキュリティコンテキストであり、および/または、第1のサービスが第2の通信技術のサービスである場合、第1のセキュリティコンテキストは第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0055】
第3の態様を参照すると、1つの可能な実施態様では、第2の通信技術のサービスに使用されるセキュリティコンテキストは信頼されたセキュリティコンテキストまたは信頼されないセキュリティコンテキストを含み、信頼されたセキュリティコンテキストはネットワークを通じて正常に認証されるセキュリティコンテキストであり、信頼されないセキュリティコンテキストはネットワークを通じて認証されないセキュリティコンテキストであり、信頼されたセキュリティコンテキストの優先順位は信頼されないセキュリティコンテキストの優先順位より高い。第3の態様を参照すると、1つの可能な実施態様では、通信ユニットは、処理ユニットが第1の情報を取得する前に第2のノードへ第6のメッセージを送信するようにさらに構成されており、第6のメッセージが第1のノードが第2の通信技術をサポートしていることを示すために使用される情報を搬送する。
【0056】
第4の態様によれば、本出願の一実施形態は、第1のノードと通信するように構成された通信ユニットと、第1の情報を取得し、第1の情報に基づいて第1のノードへの第1の通信接続を確立するように構成された処理ユニットであって、第1の通信接続が第1のサービスのデータを送信するのに使用され、第1の通信接続が第1の通信技術に対応しており、第1のノードが第2の通信技術に対応するネットワークにアクセスするノードである、処理ユニットと、を含む通信装置を提供する。例えば、第1のサービスは、第1の通信技術のサービスまたは第2の通信技術のサービスであってもよい。
【0057】
第4の態様を参照すると、1つの可能な実施態様では、第1の情報は、第1のノードとの通信認証に使用される第1の鍵を含み、処理ユニットは、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて第1の鍵を取得するように構成されている。例えば、第2の通信技術に対応するタイプは、第2の通信技術で使用される通信規格のタイプ、例えば5G技術であってもよい。第4の態様を参照すると、1つの可能な実施態様では、通信ユニットは、第1のメッセージを第1のノードに送信するようにさらに構成されており、第1のメッセージが第1の鍵に関連付けられた情報を搬送する。例えば、第1の鍵に関連付けられた情報は、鍵タイプ指示情報またはサービスタイプ指示情報を含み得る。
【0058】
第4の態様を参照すると、1つの可能な実施態様では、通信ユニットは、第1のノードから第2のメッセージを受信し、第2のメッセージが第1の鍵に関連付けられ、第2のメッセージが第1のノードの識別認証に使用され、第1のノードの識別認証が成功した場合に、第3のメッセージを第2のノードに送信し、第3のメッセージが第2のノードの識別認証に使用され、第3のメッセージに応答する第4のメッセージを受信し、第4のメッセージが第2のノードへの第1の通信接続を確立するために使用されるように構成されている。
【0059】
第4の態様を参照すると、1つの可能な実施態様では、第1の鍵は、第1の通信技術のサービスに使用される鍵、または第2の通信技術のサービスに使用される鍵である。
【0060】
第4の態様を参照すると、1つの可能な実施態様では、第1のサービスが第1の通信技術のサービスである場合、第1の鍵は第1の通信技術のサービスに使用される鍵であり、および/または、第1のサービスが第2の通信技術のサービスである場合、第1の鍵は第2の通信技術のサービスに使用される鍵である。
【0061】
第4の態様を参照すると、1つの可能な実施態様では、第2の通信技術のサービスに使用される鍵は信頼された鍵または信頼されない鍵を含み、信頼された鍵はネットワークを通じて正常に認証される鍵であり、信頼されない鍵はネットワークを通じて認証されない鍵であり、信頼された鍵の優先順位は信頼されない鍵の優先順位より高い。
【0062】
第4の態様を参照すると、1つの可能な実施態様では、処理ユニットが第1の通信接続を確立する前に、通信ユニットは、ネットワークからのものであり、第2の通信技術のサービスに使用される鍵を受信するように構成されている。
【0063】
第4の態様を参照すると、1つの可能な実施態様では、第1の情報は第1のセキュリティコンテキストを含み、第1のセキュリティコンテキストは、第1のノードへの第1の通信接続を確立するために第2のノードによって使用され、処理ユニットは、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて第1のセキュリティコンテキストを取得するように構成されている。例えば、第2の通信技術に対応するタイプは、第2の通信技術で使用される通信規格のタイプ、例えば5G技術であってもよい。
【0064】
第4の態様を参照すると、1つの可能な実施態様では、第1のセキュリティコンテキストは、第1の通信技術のサービスに使用されるセキュリティコンテキスト、または第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0065】
第4の態様を参照すると、1つの可能な実施態様では、第1のサービスが第1の通信技術のサービスである場合、第1のセキュリティコンテキストは第1の通信技術のサービスに使用されるセキュリティコンテキストであり、および/または、第1のサービスが第2の通信技術のサービスである場合、第1のセキュリティコンテキストは第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0066】
第4の態様を参照すると、1つの可能な実施態様では、第2の通信技術のサービスに使用されるセキュリティコンテキストは信頼されたセキュリティコンテキストまたは信頼されないセキュリティコンテキストを含み、信頼されたセキュリティコンテキストはネットワークを通じて正常に認証されるセキュリティコンテキストであり、信頼されないセキュリティコンテキストはネットワークを通じて認証されないセキュリティコンテキストであり、信頼されたセキュリティコンテキストの優先順位は信頼されないセキュリティコンテキストの優先順位より高い。
【0067】
第4の態様を参照すると、1つの可能な実施態様では、通信ユニットは、第5のメッセージを第1のノードへ送信するようにさらに構成されており、第5のメッセージが第1のセキュリティコンテキストに関連付けられた識別子を搬送する。
【0068】
第4の態様を参照すると、1つの可能な実施態様では、通信ユニットは、第1のノードから第6のメッセージを受信するようにさらに構成されており、第6のメッセージは、第1のノードが第2の通信技術をサポートしていることを示すために使用される情報を搬送する。
【0069】
第5の態様によれば、本出願の一実施形態は、プロセッサとメモリとを含む通信装置を提供する。メモリは、プログラムを格納するように構成され、プロセッサは、メモリに格納されたプログラムを実行するように構成され、その結果、装置は、第1の態様および第1の態様の1つの可能な実施態様のいずれか1つによる方法を実施するか、または第2の態様および第2の態様の1つの可能な実施態様のいずれか1つによる方法を実施する。
【0070】
第6の態様によれば、本出願の一実施形態は、少なくとも1つのプロセッサとインターフェース回路とを含む通信装置を提供する。インターフェース回路は、少なくとも1つのプロセッサにデータまたはコード命令を提供するように構成される。少なくとも1つのプロセッサは、論理回路を使用するか、またはコード命令を実行することによって、第1の態様および第1の態様の1つの可能な実施態様のいずれか1つによる方法、または第2の態様および第2の態様の1つの可能な実施態様のいずれか1つによる方法を実施するように構成される。
【0071】
第7の態様によれば、本出願の一実施形態は、第3の態様および第3の態様の1つの可能な実施態様のいずれか1つによる通信装置と、第4の態様および第4の態様の1つの可能な実施態様のいずれか1つによる通信装置とを含む通信システムを提供する。
【0072】
第8の態様によると、本出願の一実施形態は、コンピュータ可読記憶媒体を提供する。本コンピュータ可読記憶媒体は、プログラムコードを格納する。プログラムコードがコンピュータ上で実行されると、コンピュータは、第1の態様および第1の態様の1つの可能な実施態様のいずれか1つによる方法を実行することが可能になり、またはプログラムコードがコンピュータ上で実行されると、コンピュータは、第2の態様および第2の態様の1つの可能な実施態様のいずれか1つによる方法を実行することが可能になる。
【0073】
第9の態様によれば、本出願の一実施形態は、コンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で実行されると、コンピュータは、第1の態様および第1の態様の1つの可能な実施態様のいずれか1つによる方法を実行するか、または第2の態様および第2の態様の1つの可能な実施態様のいずれか1つによる方法を実行することが可能になる。
【0074】
第10の態様によれば、本出願の一実施形態は、チップシステムを提供する。チップシステムは、メモリに格納されたコンピュータプログラムまたはコンピュータ命令を呼び出すように構成されたプロセッサを含み、その結果、プロセッサは、第1の態様および第1の態様の1つの可能な実施態様のいずれか1つによる方法を実行するか、または第2の態様および第2の態様の1つの可能な実施態様のいずれか1つによる方法を実行する。
【0075】
第10の態様を参照すると、1つの可能な実施態様では、プロセッサはインターフェースを使用することによってメモリに結合される。
【0076】
第10の態様を参照すると、1つの可能な実施態様では、チップシステムはメモリをさらに含み、メモリはコンピュータプログラムまたはコンピュータ命令を格納する。
【0077】
第11の態様によれば、本出願の一実施形態は、プロセッサを提供する。プロセッサは、メモリに格納されたコンピュータプログラムまたはコンピュータ命令を呼び出すように構成され、その結果、プロセッサは、第1の態様および第1の態様の1つの可能な実施態様のいずれか1つによる方法を実行するか、または第2の態様および第2の態様の1つの可能な実施態様のいずれか1つによる方法を実行する。
【0078】
第12の態様によれば、本出願の一実施形態は、端末機器を提供する。端末機器は、第1の態様および第1の態様の1つの可能な実施態様のいずれか1つによる方法を実施するように、または第2の態様および第2の態様の1つの可能な実施態様のいずれか1つによる方法を実施するように構成され得る。例えば、端末機器には、インテリジェント輸送機器(車両、船舶、無人航空機、列車、トラックなど)、インテリジェント製造機器(ロボット、産業機器、インテリジェントロジスティクス、またはスマートファクトリなど)、およびインテリジェント端末(携帯電話、コンピュータ、タブレットコンピュータ、パームトップコンピュータ、デスクトップコンピュータ、ヘッドセット、音響機器、ウェアラブル機器、車載機器など)が含まれるが、これらに限定されない。
【0079】
第13の態様によれば、本出願の一実施形態は、車両を提供する。車両は、第1の態様および第1の態様の1つの可能な実施態様のいずれか1つによる方法を実施するように、および/または第2の態様および第2の態様の1つの可能な実施態様のいずれか1つによる方法を実施するように構成され得る。
【0080】
第14の態様によれば、本出願の一実施形態は、車両を提供する。車両は、第3の態様および第3の態様の1つの可能な実施態様のいずれか1つによる通信装置、ならびに/または第4の態様および第4の態様の1つの可能な実施態様のいずれか1つによる通信装置を含み得る。
【0081】
前述の態様で提供された実施態様に基づいて、本出願の実施形態がさらに組み合わされて、より多くの実施態様が提供され得る。
【0082】
第2の態様から第14の態様のいずれか1つの任意の1つの可能な実施態様で達成されることができる技術的効果については、対応して、第1の態様の任意の1つの可能な実施態様で達成することができる技術的効果の説明を参照されたい。繰り返しの内容は記載されていない。
【図面の簡単な説明】
【0083】
図1】本出願の一実施形態が適用可能なシステムアーキテクチャの概略図である。
図2】本出願の一実施形態が適用可能なシステムアーキテクチャの概略図である。
図3】本出願の一実施形態による通信方法の概略フローチャートである。
図4a】本出願の一実施形態による通信方法の概略フローチャートである。
図4b】本出願の一実施形態による通信方法の概略フローチャートである。
図4c】本出願の一実施形態による通信方法の概略フローチャートである。
図4d】本出願の一実施形態による通信方法の概略フローチャートである。
図5】本出願の一実施形態による通信装置の概略図である。
図6】本出願の一実施形態による通信装置の概略図である。
【発明を実施するための形態】
【0084】
本出願の実施形態は、統合通信シナリオにおける異種通信技術のセキュリティ要件を満たすのに役立つ通信方法、装置、およびシステムを提供する。本方法および装置は同じ技術思想に基づく。本方法の問題解決原理は装置の問題解決原理と同様であるため、装置および方法の実施態様について相互に参照することができる。繰り返し部分については詳細に説明しない。理解を容易にするために、以下では、添付の図面および実施形態を参照して説明を提供する。
【0085】
図1は、本出願の一実施形態が適用可能なシステムアーキテクチャの概略図である。
【0086】
図1に示されるように、システムアーキテクチャは、第1のノード110、第2のノード120、および第3のノード130を含み得る。第1のノード110および第2のノード120は第1の通信システムを形成してもよく、2者は第1の通信技術を使用することによって互いに通信してもよい。第1のノード110および第3のノード130は、第2の通信システムを形成してもよい。2者は、第2の通信技術を使用することによって互いに通信し得る。第1の通信技術は、第2の通信技術とは異なる。第1の通信技術および第2の通信技術に基づく統合通信シナリオでは、第1の通信システムと第2の通信システムとの間に通信接続を確立して異種通信システムを形成してもよく、その結果、対応する通信サービスが実行され、および/または通信サービスデータが異種通信システム内で送信される。例えば、異種通信システムは、統合通信システム、タイトインターワーキング(tight interworking)通信システム、またはインターワーキング(interworking)通信システムと呼ばれることもある。
【0087】
本出願のこの実施形態では、第1のノード110、第2のノード120、または第3のノード130のいずれか1つは、データ送受信能力を有する電子機器であってもよい。
【0088】
例えば、電子機器は、ユーザに音声および/またはデータ接続性を提供する機器を含む端末機器であってもよい。具体的には、端末機器は、ユーザに音声を提供する機器を含み、ユーザにデータ接続性を提供する機器を含み、またはユーザに音声およびデータ接続性を提供する機器を含む。例えば、端末機器は、無線接続機能を有するハンドヘルド機器、または無線モデムに接続された処理機器を含み得る。例えば、端末機器は、無線アクセスネットワーク(radio access network、RAN)を介してコアネットワークと通信し、RANと音声および/またはデータを交換し得る。
【0089】
具体的な実施プロセスでは、端末機器には、車両、ユーザ機器(user equipment,UE)、無線端末機器、モバイル端末機器、機器ツー機器(device-to-device,D2D)端末機器、車車間・路車間(vehicle to everything,V2X)端末機器、マシンツーマシン/マシンタイプ通信(machine-to-machine/machine-type communications,M2M/MTC)端末機器、モノのインターネット(internet of things,IoT)端末機器または狭帯域モノのインターネット(narrow band internet of things,NB-IoT)端末機器、加入者ユニット(subscriber unit)、加入者局(subscriber station)、移動局(mobile station)、モバイル(mobile)コンソール、遠隔局(remote station)、アクセスポイント(access point,AP)、リモート端末機器(remote terminal)、アクセス端末機器(access terminal)、ユーザ端末機器(user terminal)、ユーザエージェント(user agent)、またはユーザ機器(user device)が含まれ得るが、これらに限定されない。別の例では、端末機器は、具体的には、携帯電話(または「セルラー」電話と呼ばれる)または携帯端末機器を有するコンピュータ、IoT、産業制御(industrial control)機器、遠隔医療(remote medical)機器、スマートグリッド(smart grid)機器、またはスマートシティ(smart city)機器内の専用端末機器、携帯型、ポケットサイズ、ハンドヘルド型、コンピュータ内蔵型、または車載型のモバイル装置、またはパーソナル通信サービス(personal communication service,PCS)電話機、コードレス電話機、セッション開始プロトコル(Session Initiation Protocol,SIP)電話機、無線ローカルループ(Wireless Local Loop,WLL)局、もしくは携帯情報端末(Personal Digital Assistant,PDA)として実装されてもよい。任意選択の設計では、端末機器は、代替として、制限された機器、例えば、比較的低消費電力の機器、記憶能力が制限された機器、または計算能力が制限された機器として実装されてもよい。任意選択の設計では、端末機器は、バーコード、無線周波数識別(radio frequency identification,RFID)、センサ、全地球測位システム(global positioning system,GPS)、およびレーザスキャナなどの構成要素を含み得る。
【0090】
任意選択の設計では、端末機器は代替としてウェアラブル機器であってもよい。ウェアラブル機器は、ウェアラブルスマート機器、スマートウェアラブル機器などと呼ばれることもあり、ウェアラブル技術を使用することによって日常着のインテリジェントな設計を行うことによって開発されたウェアラブル機器、例えば眼鏡、手袋、時計、衣服、靴の総称である。ウェアラブル機器は、身体に直接装着されるか、またはユーザの衣服もしくは付属品に組み込まれるポータブル機器である。ウェアラブル機器は、一種のハードウェア機器であるだけでなく、ソフトウェアサポート、データ交換、およびクラウド相互作用を介して強力な機能を実装することもできる。一般化されたウェアラブルスマート機器は、完全な機能および大きなサイズを有し、スマートフォンに依存することなく完全なまたは部分的な機能を実装する機器、例えば、スマートウォッチまたはスマートグラスを含み、ある種のアプリケーション機能のみに焦点を合わせ、スマートフォンなどの別の機器と協働して使用される必要がある機器、例えば、身体兆候モニタリング用の様々なスマートバンド、スマートヘルメット、およびスマート宝飾品を含む。
【0091】
任意選択の設計では、端末機器は、代替として、マシンインテリジェント機器、例えば、自動運転(self-driving)機器、輸送安全(transportation safety)機器、仮想現実(virtual reality,VR)端末機器、または拡張現実(augmented reality,AR)端末機器であってもよい。
【0092】
上述の種々の端末機器が車両内に位置される(例えば、車両内に配置されるか、または車両内に設置される)場合、すべての端末機器が車載端末機器と見なされ得る。車載端末機器は、例えば車載ユニット(on-board unit,OBU)と呼ばれることもある。
【0093】
任意選択の設計では、端末機器は、リレー(relay)をさらに含んでもよい。あるいは、端末機器は、基地局とデータ通信を実行することができる任意の機器を含み得ることが理解される。
【0094】
例えば、電子機器は、代替としてネットワーク機器であってもよい。例えば、ネットワーク機器は、アクセスネットワーク(access network,AN)機器を含む。アクセスネットワーク機器は、1つまたは複数のセルを使用することによってアクセスネットワーク内のエアインターフェースを介して無線端末機器と通信する基地局またはアクセスポイントなどの機器を含み得る。基地局は、受信された無線フレームとインターネットプロトコル(Internet Protocol,IP)パケットとの間の変換を行い、端末機器とアクセスネットワーク内の残りの部分との間のルータとして働くように構成されていてよい。アクセスネットワーク内の残りの部分は、IPネットワークを含み得る。任意選択の設計では、ネットワーク機器は、第2の世代(2nd generation,2G)通信システムの基地局を含んでもよく、第3世代(3rd generation,3G)通信システムの基地局を含んでもよく、第4世代(4th generation,4G)通信システムの基地局、例えば、ロングタームエボリューション(long term evolution,LTE)システムまたはロングタームエボリューションアドバンスト(long term evolution-advanced,LTE-A)システムの進化型NodeB(NodeB,eNB,またはe-NodeB,evolutional NodeB)を含んでもよい。あるいは、ネットワーク機器は、第5世代(the 5th generation,5G)新無線(new radio,NR)システム(略してNRシステムとも呼ばれる)の次世代NodeB(next generation NodeB,gNB)を含んでもよく、またはクラウドアクセスネットワーク(cloud radio access network,Cloud RAN)システムにおける中央ユニット(centralized unit,CU)および分散ユニット(distributed unit,DU)、ならびに様々な将来の通信システムにおける基地局、例えば、第6世代(6th generation,6G)通信システムにおける基地局を含んでもよい。これは、本出願の実施形態において限定されない。別の例では、ネットワーク機器は、V2X内のネットワーク機器、すなわち、路側ユニット(road side unit,RSU)を含んでもよい。RSUは、V2Xアプリケーションをサポートする固定インフラストラクチャエンティティを含んでもよく、V2Xアプリケーションをサポートする別のエンティティとメッセージを交換してもよい。別の例では、ネットワーク機器は、代替として、コアネットワーク機器を含んでもよい。コアネットワーク機器は、例えば、5Gシステムにおける以下の項目、すなわち、アクセスおよびモビリティ管理機能(access and mobility management function,AMF)、セッション管理機能(session management function,SMF)、およびユーザプレーン機能(user plane function,UPF)のうちの1つまたは複数を含むか、または4Gシステムにおけるモビリティ管理エンティティ(mobility management entity,MME)などを含む。
【0095】
いくつかの技術的シナリオでは、同様のデータ送受信機能を有する電子機器は、ノードと呼ばれない場合があることを理解されたい。しかしながら、説明を容易にするために、本出願の実施形態では、データ送受信機能を有する電子機器は集合的にノードと呼ばれる。
【0096】
本出願のこの実施形態では、図1に示された異種通信システムにおいて、第1のノード110、第2のノード120、および第3のノード130の機器タイプは、同じであっても異なっていてもよい。例えば、第1のノード110、第2のノード120、および第3のノード130は、すべて端末機器またはネットワーク機器であり、あるいは、第1のノード110および第2のノード120は端末機器であってもよく、第3のノード130はネットワーク機器であってもよい。例えば、第1の通信技術は短距離通信技術であり、第2の通信技術は5G通信技術である。図2に示されるように、第1のノード110および第2のノード120は、短距離通信機能を有する端末機器であってもよく、第3のノード130は、限定はしないが、アクセス機器、すなわち、信頼された非第3世代パートナーシッププロジェクト(3rd Generation Partnership Project,3GPP)ゲートウェイ機能(Trusted Non-3GPP Gateway Function,TNGF)、ならびにコアネットワーク機器、すなわち、SMF、AMF、UPF、およびデータネットワーク(Data Network,DN)などの機能エンティティのうちの少なくとも1つを含んでもよい。第1のノード110は、第1の通信技術および第2の通信技術をサポートしてもよく、第2のノード120のマスタノード(または認証されたノードと呼ばれる)として使用されてもよい。第1のノード110は、第2のノード120と短距離通信を行う。さらに、第1のノード110は、第3のノード130と5G通信を行う。第1のノード110が第1の通信技術をサポートし得ることは、第1のノードが第1の通信技術に基づいて実施されるサービス伝送をサポートし得ること、または第1のノードが第1の通信技術のサービスをサポートし得ることとして理解されてもよく、第2のノード120が第2の通信技術をサポートすることは、第2のノードが第2の通信技術に基づいて実施されるサービス伝送をサポートし得ること、または第2のノードが第2の通信技術のサービスをサポートし得ることとして理解されてもよいことに留意されたい。
【0097】
ノードまたは機能エンティティは、インターフェースを介して互いに接続されてもよい。インターフェースシーケンス番号またはインターフェース名は、本出願の実施形態では限定されない。5Gシステムの3GPP関連標準プロトコルに基づいて定義されたインターフェースが使用されてもよく、または将来の通信システムのインターフェースが使用されてもよい。例えば、第2のノード120はYtインターフェースを介して第1のノード110と通信してもよく、第1のノード110はTaインターフェースを介してTNGFと通信してもよく、第2のノード120はNWtインターフェースを介してTNGFと通信してもよい。第2のノード120および第1のノード110は、次世代ネットワーク(next generation,N)1インターフェース(略してN1と呼ばれる)を介してAMFと通信してもよく、ネットワーク機器(例えば、TNGF)はN2インターフェース(略してN2と呼ばれる)を介してAMFと通信し、TNGFはN3インターフェース(略してN3と呼ばれる)を介してローカルUPFと通信し、UPFはN6インターフェース(略してN6と呼ばれる)を介してDNと通信する。AMFはN11インターフェース(略してN11と呼ばれる)を介してSMFと通信し、SMFはN4インターフェース(略してN4と呼ばれる)を介してUPFと通信する。このようにして、5Gネットワークは、第1のノード120を使用することによって、第2のノード110の機器ステータス、ネットワークステータス、およびサービスステータスなどの重要な情報を知覚することができ、産業におけるフィールドネットワークおよびサービスなどにリモートでアクセスし、知覚し、管理することができる。
【0098】
上記は、異種通信システムが第1のノード110、第2のノード120、および第3のノード130を含み得ることを示し、各ノードと異種通信システムの機能モジュールとの間の通信モードを示す例を提供しているにすぎず、ノードの数およびインターフェースシーケンス番号またはインターフェース名を限定しないことに留意されたい。特定の実施態様では、第1のノード110の数、第2のノード120の数、および第3のノード130の数は、それぞれ1つに限定されなくてもよい。
【0099】
加えて、本出願のこの実施形態では、任意選択の設計において、第1のノード110は、第3のノード130への無線リソース制御(radio resource control,RRC)接続を確立するプロセスを実行してもよいことに留意されたい。第1のノード110が第3のノード130とのRRC接続を確立した後、第1のノード110のRRCステータスはRRC接続状態である。その後、第1のノード110のRRCステータスは、以下の状態、すなわち、RRCアイドル(RRC_IDLE)状態、RRC接続(RRC_CONNECTED)状態、およびRRC非アクティブ(RRC_INACTIVE)状態の間で切り替えられてもよい。本出願のこの実施形態における統合通信シナリオでは、第1のノード110は前述のアイドル状態、接続状態、および非アクティブ状態のいずれかにあってもよい。これは、本出願の実施形態において限定されない。加えて、本出願のこの実施形態では、任意の2つのノード間に通信接続が確立されることは、2つのノード間の通信を実施するために2つのノード間で信号送信および交換が実行され得ることを意味する。通信接続には、物理接続または仮想接続が含まれるが、これらに限定されない。接続は、以下では1つずつ区別されない。
【0100】
本出願の実施形態では、短距離通信技術は、無線短距離通信をサポートする技術を含み得る。無線短距離通信とは、2つの通信当事者が電波を使用することによって情報を送信し、送信距離が比較的短い範囲内(例えば、100メートル以内)にあることを指し、ブルートゥース(bluetooth)技術、ワイヤレスフィデリティ(wireless fidelity,Wi-Fi)技術、近距離無線通信(near field communication,NFC)技術、Wi-Fi Aware技術、汎用短距離通信技術、およびスターアライアンス仕様の短距離通信技術を含むが、これらに限定されない。短距離通信は、ファイル転送、遠隔制御、投影、および周囲の機器(例えば、インテリジェント車両、インテリジェント端末機器、インテリジェントホーム機器、およびインテリジェント製造機器)の知覚などの様々な態様で広く適用され得る。以下では、いくつかの短距離通信技術の例について説明する。
【0101】
ブルートゥース:ブルートゥースは、機器間の短距離通信をサポートする無線技術であり、携帯電話、無線ヘッドセット、ノートブックコンピュータ、および関連する周辺機器などの複数の機器間で無線情報を交換するために使用されることができる。「ブルートゥース」技術を使用することによって、移動通信端末機器間の通信が効果的に簡略化されることができ、機器とインターネットとの間の通信も首尾よく簡略化されることができ、その結果、データ伝送がより高速かつ効率的になり、無線通信の適用範囲が広がる。
【0102】
ワイヤレスフィデリティ(wireless fidelity,Wi-Fi)技術、すなわち、ワイヤレスローカルエリアネットワーク(wireless local area networks,WLAN)直接接続またはWi-Fi Directとも呼ばれる。Wi-Fi技術は、Wi-Fiプロトコルクラスタの1つであり、中間無線アクセスポイントを使用することなく機器を互いに容易に接続できるようにする。Wi-Fi技術の用途は、ウェブ閲覧からファイル転送にまで及ぶ。Wi-Fi技術は、複数の機器が同時に互いに通信することを可能にし、Wi-Fiの速度の利点を十分に発揮することができる。この規格を満たす機器は、異なるメーカの機器であっても容易に接続されることができる。
【0103】
Wi-Fi Aware技術:Wi-Fi技術において、Wi-Fi Aware技術は、知覚および発見を担い、Wi-Fi Awareを介して近距離にある2つの機器間でピアツーピア(Peer to Peer,P2P)メッセージ交換を実施するために、Wi-Fi機器が周囲のサービス、例えば周囲の機器を知覚するのを助けることができる。Wi-Fi Awareは、周囲の機器を知覚するために使用されることができるため、例えば、近くの人を知覚すること、友人を追加して同じゲームをプレイするために接続を確立するなど、または、写真共有、位置共有などを実施するために周囲の機器を発見するなど、または、ネットワーク(例えば、セルラまたは無線ネットワーク)にアクセスせずにファイルをプリンタにセキュアに送信するなど、複数の機能が実装され得る。
【0104】
前述の短距離通信技術に加えて、他の既存の短距離通信技術、または通信技術の進化と共に将来出現し得る他の短距離通信技術もまた、この解決策に適用可能であり得ることに留意されたい。
【0105】
加えて、図2の機能エンティティまたはネットワーク要素は、代替として、サービス指向インターフェースを介して互いに対話してもよいことに留意されたい。例えば、AMFによって外部向けに提供されるサービス指向インターフェースは、ネットワークアクセスおよびモビリティ管理機能(network access and mobility management function,Namf)インターフェースであってもよく、SMFによって外部向けに提供されるサービス指向インターフェースは、ネットワークセッション管理機能(network session management function,Nsmf)インターフェースであってもよい。関連する説明については、第3世代パートナーシッププロジェクト(3rd Generation Partnership Project,3GPP)-23501規格で定義されている5Gシステムアーキテクチャ(5G system architecture)を参照されたい。詳細は本明細書では説明されない。
【0106】
システムアーキテクチャに含まれる各機能は、機能エンティティまたはネットワーク要素と呼ばれてもよく、または別の名前を有してもよい。例えば、SMFはSMFエンティティと呼ばれる場合がある。任意選択の設計では、本出願のこの実施形態における各機能は、1つの機器によって実装されてもよく、または複数の機器によって一緒に実装されてもよく、または機器内の1つまたは複数の機能モジュールによって実装されてもよい。これは、本出願の実施形態では特に限定されない。本出願のこの実施形態における各機能は、ハードウェア機器内のネットワーク要素の機能であってもよく、または専用ハードウェア上で実行されるソフトウェアの機能、ハードウェアとソフトウェアの組み合わせによって実装される機能、またはプラットフォーム(例えば、クラウドプラットフォーム)上でインスタンス化される仮想化機能であってもよいことが理解されよう。
【0107】
本出願の実施形態では、機能の分布形態は限定されないことに留意されたい。任意選択の設計では、前述のシステムアーキテクチャに含まれる機能はまた、前述の機能のうちの複数のいずれかの組み合わせ、または前述の機能のうちの複数のいずれかと別の機能との組み合わせの後に形成される別の機能エンティティ、例えば、セッション管理およびポリシー制御の2つの機能を有する機能エンティティ、セッション管理、アクセスおよびモビリティ管理、およびポリシー制御の3つの機能を有する機能エンティティ、またはネットワーク開放およびアプリケーション機能の2つの機能を有する機能エンティティに対応してもよい。
【0108】
図1および図2に示されるシステムアーキテクチャは、本出願の実施形態が適用可能なシステムアーキテクチャに対する限定を構成しないことに留意されたい。図2の端末機器の数は単なる例である。実際の用途では、ネットワーク機器は複数の端末機器にサービスを提供し得る。ネットワーク機器および複数の端末機器の全部または一部はそれぞれ、本出願の実施形態で提供される通信方法を使用し得る。本出願の実施形態における各機能または機器は、通信装置と呼ばれることもある。機能または機器は、汎用機器または専用機器であってもよい。これは、本出願の実施形態において限定されない。
【0109】
本出願の実施形態では、「少なくとも1つ」とは、1つまたは複数を意味し、「複数の」とは、2つ以上を意味することに留意されたい。「および/または」は、関連オブジェクト間の関連付け関係を記述し、3つの関係が存在し得ることを表す。例えば、Aおよび/またはBは、以下の場合を、すなわち、Aのみが存在する場合、AおよびBの両方が存在する場合、およびBのみが存在する場合を表してもよく、その場合、AおよびBはそれぞれ、単数形または複数形であり得る。文字「/」は、一般に、関連付けられる対象が「または」関係にあることを示す。「以下のうちの少なくとも1つ(の項目)」またはその類似表現は、単一の(項目)または複数の(項目)の任意の組み合わせを含む、それらの項目の任意の組み合わせを意味する。例えば、a、b、またはcのうちの少なくとも1つ(の項目)とは、a、b、c、aおよびb、aおよびc、bおよびc、またはa、b、およびcを表し、a、b、およびcは各々、単数形または複数形であり得る。
【0110】
さらに、特に明記しない限り、本出願の実施形態で言及される「第1」、「第2」、および「第3」などの序数は、複数のオブジェクトを区別するために使用されるが、複数のオブジェクトの優先順位または重要度を限定するために使用されるものではない。例えば、第1のノード、第2のノード、および第3のノードは、3つのノードの異なる優先順位または重要度などを示す代わりに、異なるノードを区別するために使用されるにすぎない。
【0111】
加えて、本出願の実施形態では、第1の通信技術のサービスは、第1の通信技術を使用することによって実施されるサービス(例えば、非5 G技術を使用することによって実施されるサービス、さらに短距離通信技術を使用することによって実施されるサービス)、または第1の通信技術に対応するサービス(例えば、非5Gサービス、さらに短距離通信サービス)として理解されてもよいことに留意されたい。第2の通信技術のサービスは、統合通信シナリオにおける第2の通信技術のサービスを含み得る。第2の通信技術のサービスは、第2の通信技術を使用することによって実施されるサービス(例えば、5Gを介して実施されるサービス)または第2の通信技術に対応するサービス(例えば、5Gサービス)として理解されてもよい。本出願の実施形態では、第1の通信接続が第1の通信技術に対応していることは、第1の通信接続が第1の通信技術に基づいて実施される接続であることとして理解されてもよい。例えば、第1の通信技術が短距離通信技術である場合、第1の通信接続は、短距離通信技術を使用することによって実施される接続である。さらに、任意選択で、通信接続は、第1の通信技術のサービスを送信するために使用されてもよく、または第2の通信技術のサービスを送信するために使用されてもよい。これについては、以下では1つずつ説明されない。本出願の実施形態では、第2の通信技術に対応するネットワークは、少なくとも第2の通信技術をサポートするネットワーク、または第2の通信技術に基づいて実施される少なくともサービス伝送をサポートするネットワーク、例えば、5Gネットワークまたは5Gコアネットワークとして理解されてもよい。
【0112】
図1および図2に示されたシステムアーキテクチャに基づいて、本出願のこの実施形態における統合通信シナリオでは、任意選択の設計において、第1のノード110および第2のノード120を含む第1の通信システムについて、第1の通信システムの通信セキュリティを保証するために、信頼された第1のノード110を選択した後、第1のノード110へのリンクを最初に確立する際に、第2のノード120は、プリセット鍵を使用することによって第1のノード110との相互識別認証を実行してもよく、識別認証が成功した後、鍵に対応するセキュリティコンテキストに基づいて2者間の通信接続が確立される。さらに、第1のノード110、第2のノード120、および第3のノード130を含む異種通信システムの通信セキュリティを保証するために、第2のノード120は、第1のノード110を使用することによって、第3のノード130への新しい識別認証および/または新しいセキュリティコンテキストネゴシエーション手順をさらに開始して、ネゴシエーションを通じて3つのノード間の新しい鍵および対応するセキュリティコンテキストを決定し得る。
【0113】
第1のノード110および第2のノード120に少なくとも2組の鍵および/または対応するセキュリティコンテキストが存在する場合、第1のノード110および第2のノード120は、選択された鍵またはセキュリティコンテキストに基づいてピアノードへのセキュアな通信接続を確立するために、少なくとも2セットの鍵および/または対応するセキュリティコンテキストから必要な鍵またはセキュリティコンテキストをさらに選択し得る。これにより、対応する通信サービスを実行し、および/または2者間で通信サービスデータを送信するためのセキュリティ要件が保証される。
【0114】
本出願のこの実施形態では、鍵はパラメータであり、平文を暗号文に変換するためのアルゴリズムまたは暗号文を平文に変換するためのアルゴリズムにおけるパラメータ入力であってもよいことに留意されたい。第1のノード110、第2のノード120、および第3のノード130のいずれか2者は、鍵に基づいて識別認証手順および/またはセキュリティコンテキスト(Security Context)ネゴシエーション手順を開始し得る。2者間の識別認証が成功した後、2者は、ネゴシエーションを通じて合意されたセキュリティコンテキスト、すなわち、アクセス制御属性を取得することができる。セキュリティコンテキストに基づいて、2者は、2者間のセキュアな通信接続を確立するために、接続確立手順を開始し得る。ネゴシエーションを通じて合意されたセキュリティコンテキストが、第1のノード110、第2のノード120、および第3のノード130のいずれか2者間に既に存在している場合、2者は、識別認証手順および/またはセキュリティコンテキストネゴシエーション手順を行う必要はなく、2者間のセキュアな通信接続を確立するための接続確立手順を開始するために、ネゴシエーションを通じて合意されたセキュリティコンテキストを直接使用し得ることを理解されたい。
【0115】
本出願のこの実施形態では、第1のノード110、第2のノード120、および第3のノード130はすべて、1つまたは複数の鍵合意アルゴリズムをサポートし得ることを理解されたい。識別認証手順および/またはセキュリティコンテキストネゴシエーション手順を開始する前に、第1のノード110、第2のノード120、および第3のノード130のいずれか2者は、情報交換を通じて2者間の鍵合意をさらに完了し得る。例えば、鍵合意アルゴリズムは、公開鍵暗号化(Rivest-Shamir-Adleman、RSA)アルゴリズムまたは楕円曲線暗号化(Elliptic Curves Cryptography,ECC)アルゴリズムなどの非対称暗号化アルゴリズム、ディフィー・ヘルマン鍵交換(Diffie-Hellman algorithm,DH)アルゴリズムまたは楕円曲線ディフィー・ヘルマン鍵交換(Elliptic Curve Diffie-Hellman key Exchange,ECDH)アルゴリズムなどの専用鍵交換アルゴリズム、および事前共有鍵(Pre-shared key,PSK)アルゴリズムなどの共有鍵アルゴリズムを含み得るが、これらに限定されない。これは、本出願の実施形態において限定されない。説明を容易にするために、以下では、一例としてPSKアルゴリズムを使用することによって、本出願の実施形態における通信方法の具体的な実装プロセスを説明する。詳細は本明細書では説明されない。
【0116】
識別認証は、「識別検証」または「識別認証」とも呼ばれ、特定の手段を使用することによってノードの識別確認を完了することを指す。識別認証方法の多くの実施態様、例えば、PSKに基づく識別認証方法、生物学的特徴に基づく識別認証方法、および公開鍵暗号化アルゴリズムに基づく識別認証方法がある。事前共有鍵に基づく識別認証は、少なくとも2つのノード間、例えば、第1のノード110と第2のノード120との間、第1のノード110と第3のノード130との間、または第1のノード110と、第2のノード120と、第3のノード130との間で、1つの鍵または鍵のグループが共有され得ることを意味する。識別認証が実行される必要があるとき、第1のノード110、第2のノード120、または第3のノード130は、ピアノードにPSK(またはPSKに関連付けられた関連パラメータであり、関連パラメータの具体的な実施態様は、本出願の実施形態では限定されない)を送信し得る。PSKを受信した後、ピアノードは、PSKがローカルに記憶された鍵と一致するかどうかをチェックする。PSKがローカルに記憶された鍵と一致する場合、識別認証が成功したと決定されてもよく、または、PSKがローカルに記憶された鍵と一致しない場合、識別認証が失敗したと決定されてもよい。ネゴシエーションを通じて合意されたセキュリティコンテキストは、任意の2つのノードが相互識別認証を正常に実行した場合にのみ取得されることができ、セキュリティコンテキストに基づいて2者間でセキュアな通信接続が確立されて、2者間で対応する通信サービスを実行し、および/または通信サービスデータを送信するためのセキュリティ要件を保証する。
【0117】
特定の実施プロセスでは、1つの可能な実施態様では、第1のノード110および第2のノード120は、第1のサービスに関連付けられた第1の情報(例えば、第1の鍵および/または第1のセキュリティコンテキストを含む)を選択し、第1の情報に基づいて情報交換を行って、第1のノード110と第2のノード120との間の第1の通信接続を確立してもよい。第1の通信接続は、第1のサービスのデータを送信して統合通信シナリオにおけるセキュリティ要件を満たすために、また、第3のノード130が第1のノード110を使用することによって第2のノード120の関連情報を知覚して、第2のノード120に対応するネットワークおよびサービスに遠隔アクセスし、知覚し、管理するなどために使用されてもよい。実施中、異なるシナリオでは、通信方法の手順は、第1のノード110または第2のノード120によってトリガされてもよい。これは、本出願の実施形態において限定されない。
【0118】
理解を容易にするために、以下で、添付の図面および実施形態を参照して通信方法を説明する。本出願で説明される方法実施形態に含まれるステップは、通信方法における任意選択のステップの例にすぎず、通信方法の具体的な実施プロセスを限定するものではないことに留意されたい。いくつかの任意選択の実施態様では、任意の方法実施形態におけるステップの実施シーケンス番号が代替として交換されてもよい。
【0119】
図3に示されるように、一例では、方法手順は、第1のノード110によってトリガされてもよく、以下のステップを含んでもよい。
【0120】
S310:第1のノード110は第1の情報を取得する。
【0121】
S320:第1のノード110は第1の情報に基づいて第2のノード120への第1の通信接続を確立し、第1の通信接続は第1のサービスのデータを送信するために使用され、第1の通信接続は第1の通信技術に対応し、第1のノード110は、第2の通信技術に対応するネットワークにアクセスするノードである。
【0122】
第1の情報は第1のサービスに関連付けられていることが理解されよう。例えば、第1のサービスは、第1の通信技術のサービスまたは第2の通信技術のサービスであってもよい。
【0123】
本出願のこの実施形態では、第1のノードおよび第2のノードは、異なるノードを区別するために記載されていることを理解されたい。いくつかの例では、第1のノードは第2のノードであってもよく、第2のノードは第1のノードであってもよい。図3に示される方法手順は、第2のノード120によってトリガされてもよい。具体的には、第2のノード120は、第1の情報を取得し、第1の情報に基づいて第1のノード110への第1の通信接続を確立し得る。これは、本出願の実施形態において限定されない。
【0124】
第1の情報は、第1のノード110と第2のノード120との間にセキュアな通信接続を確立するために必要な関連情報を含んでもよい。第1の情報は、第1のノード110または第2のノード120に予め記憶されてもよく、またはネットワーク側または別の機器側から第1のノード110または第2のノード120によって取得されてもよい。これは、本出願の実施形態において限定されない。
【0125】
本出願のこの実施形態では、第1のノード110および第2のノード120は、セキュリティコンテキストが存在しないシナリオにあってもよく、第1の情報は、第1のノード110と第2のノード120との間の通信認証に使用される第1の鍵を含んでもよい。S320の実施中に、第1のノード110は、第1の鍵に基づいて第2のノード120との識別認証およびセキュリティコンテキストネゴシエーション手順を実行してよい。さらに、第1の通信接続は、ネゴシエーションを通じて得られた第1のセキュリティコンテキストに基づいて、第1のノード110と第2のノード120との間で確立されてもよい。あるいは、第1のノード110および第2のノード120は、セキュリティコンテキストが存在するシナリオであってもよく、第1の情報は、第1のノード110と第2のノード120との間の通信に使用される第1のセキュリティコンテキストを含んでもよい。S320の実施中、第1の通信接続は、第1のセキュリティコンテキストに基づいて第1のノード110と第2のノード120との間で確立されてもよい。
【0126】
可能な設計では、第1の情報が第1のノード110と第2のノード120との間の通信認証に使用される鍵である場合、鍵は、第1のノード110または第2のノード120に対応するプリセット鍵を含んでもよく、または鍵は、第2の通信技術(例えば、第3のノード130に対応するコアネットワーク)に対応するネットワークからのものであってもよい。例えば、鍵は、第2の通信技術のサービスに使用される鍵である。
【0127】
本出願のこの実施形態では、S310およびS320の具体的な実装プロセスは場合によって異なる。理解を容易にするために、以下では方法フローチャートを参照して説明する。
【0128】
ケース1:第1の情報は、第1のノード110と第2のノード120との間の通信認証に使用される第1の鍵を含む。
【0129】
この場合、第1のノード110および第2のノード120は、第1のサービスに関連付けられた第1のセキュリティコンテキストを有していない。第1のノード110と第2のノード120との間の第1の通信接続の確立中に、第1の鍵がまず取得されてもよく、次いで、取得された第1の鍵に基づいて第1のセキュリティコンテキストの相互識別認証およびネゴシエーションが行われてもよい。2者間の識別認証が成功し、第1のセキュリティコンテキストが取得されると、第1のノード110は、第1のセキュリティコンテキストに基づいて第1のノード120と第2のノード120との間の第1の通信接続を確立するために、取得された第1のセキュリティコンテキストに基づいて第2のノード110へ、通信接続を確立するために使用されるメッセージを開始してもよい。
【0130】
方法例1:
方法例1では、第2のノード120は、第1の鍵を取得し得る。第1の鍵を取得した後、第2のノード120は、鍵タイプ指示情報またはサービスタイプ指示情報を第1のノード110に報告し得る。第1のノード110は、第2のノード120によって報告された鍵タイプ指示情報またはサービスタイプ指示情報に基づいて第1の鍵を決定し、第1のノード110と第2のノード120との間のセキュアな第1の通信接続を確立するために、第2のノード120との識別認証およびセキュリティコンテキストネゴシエーション手順を実行する。方法例1に含まれるステップS411~S419は、任意選択のステップの単なる例であることに留意されたい。いくつかの例では、以下のステップの実施シーケンス番号が代替として交換されてもよい。これは、本出願の実施形態では特に限定されない。図4aに示されるように、通信方法は、例えば、以下のステップを含み得る。
【0131】
S411(任意選択):第1のノード110は第6のメッセージ(例えば、システムメッセージ)を送信する。これに対応して、第2のノード120は第6のメッセージを受信してもよい
【0132】
例えば、第6のメッセージは、第1の指示情報を搬送する(または運ぶ)ことができ、第1の指示情報は、第1のノード110によってサポートされるサービスタイプ(第2の通信技術に対応するサービスを含む)を示すために使用され得る。
【0133】
任意選択の設計では、第1の指示情報は、第1のノード110によってサポートされる1つまたは複数の鍵合意アルゴリズムをさらに示してもよく、その結果、第2のノード120は、第1の指示情報に基づいて、第2のノード120によってサポートされる鍵合意アルゴリズムの中から、第1のノード110によってもサポートされる鍵合意アルゴリズムを選択して、2者間の鍵合意を完了し、ネゴシエーションを通じて決定された鍵合意アルゴリズム(例えば、前述のPSKアルゴリズム)に基づいて、ノード識別認証に使用される関連認証パラメータを生成し得る。第1のノード110と第2のノード120との間の鍵合意は、第6のメッセージを使用することによって実施されることに限定されなくてもよいことを理解されたい。これは、本出願の実施形態において限定されない。理解および説明を容易にするために、本明細書ではPSKアルゴリズムを説明のための例として使用する。
【0134】
さらに、第6のメッセージは、第1のノード110の識別情報(例えば、ドメイン識別子(Domain ID))をさらに搬送してもよく、識別情報は、第1のノード110を一意に識別するために使用されてもよい。
【0135】
例えば、第6のメッセージはユニキャストメッセージであってもよい。S411において、第1のノード110は第6のメッセージを第2のノード120に送信してもよい。あるいは、第6のメッセージはブロードキャストメッセージであってもよい。S411において、第1のノード110は第6のメッセージをブロードキャストしてもよく、第2のノード120はブロードキャスト信号のカバレッジエリア内にあってもよく、第6のメッセージを受信してもよい。
【0136】
第6のメッセージを受信した後、第2のノード120は、第6のメッセージを解析することによって、第1のノード110によってサポートされるサービスタイプを学習し得る。
【0137】
S412:第2のノード120(例えば、第2のノード120のサービス層)は、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて、第1の鍵または第1の鍵のタイプを取得する。
【0138】
例えば、第2の通信技術に対応するタイプは、第2の通信技術で使用される通信規格のタイプ、例えば5G技術であってもよい。
【0139】
S412の実施中に、第2のノード120は、代替として、ユーザによって入力された関連指示情報に基づいて第1の鍵もしくは第1の鍵のタイプを取得してもよく、または別の機器からの関連指示情報に基づいて第1の鍵もしくは第1の鍵のタイプを取得し得ることを理解されたい。これは、本出願の実施形態において限定されない。
【0140】
本出願のこの実施形態では、第2のノード120は、別の方法で第1の鍵または第1の鍵のタイプを取得し得ることを理解されたい。これは、本出願の実施形態において限定されない。
【0141】
本出願のこの実施形態では、第1の通信技術および第2の通信技術に基づく統合通信シナリオにおいて、第1の鍵は、以下の方法のうちのいずれか1つで実施されてもよい。
【0142】
例1:第1の鍵は、第1の通信技術のサービスに使用される鍵である。
【0143】
第1の鍵は、第1のノード110と第2のノード120との間で構成される鍵(例えば、上述の対応するプリセット鍵)であってもよい。鍵は、第1の通信技術のサービスに対応しており、第1のノード110と第2のノード120との間で識別認証およびセキュリティコンテキストネゴシエーションが完了した後に第1の通信接続を確立し、確立された第1の通信接続に基づいて、第1の通信技術のサービスまたは第1の通信技術に基づくサービスデータのセキュアな送信を実行するために使用されてもよい。これに対応して、鍵に対応するセキュリティコンテキストは、第1の通信技術のサービスのセキュリティコンテキストである。本出願のこの実施形態では、区別を容易にするために、第1の通信技術のサービスに使用される鍵が共通鍵と呼ばれることもあり、共通鍵に対応するセキュリティコンテキストが共通セキュリティコンテキストと呼ばれることもある。
【0144】
共通鍵が共通PSKであることが例として使用される。共通PSKを構成するための方法は、以下の方法のいずれか1つを含み得る。
【0145】
(1)鍵構成方法:共通PSKは、事前構成方法を使用することによって第1のノード110および第2のノード120で事前構成される。事前構成方法の詳細な実施態様は、本明細書では説明されない。
【0146】
(2)パスワード構成方法:ユーザは、第1のノード110と第2のノード120に同じパスワードを入力する。パスワードは、共通PSKに変換されてもよい。例えば、ノード内のアルゴリズム(例えば、鍵合意アルゴリズム)を使用することによって、パスワードが共通PSKに変換され得る。異なる第2のノード120は、異なるパスワードを使用することによって同じ第1のノード110に接続され得ることを理解されたい。詳細は本明細書では説明されない。
【0147】
(3)サードパーティサーバからの認証資格情報を使用することによって構成を実行するための方法:サードパーティサーバからの認証資格情報を使用することによって構成を実行するための方法の主な目的は、第2のノード120と第1のノード110とが予め設定された結合関係を満たすかどうかを識別することである。第2のノード120は、第1のノード110の識別情報を取得し、第2のノード120の識別情報および第1のノード110の識別情報を使用することによって検証情報を生成し、検証情報をサードパーティサーバに送信して認証パスワードを取得することが可能であるべきである。サードパーティサーバによって送信された認証パスワードを取得した後、第1のノード110および第2のノードは、認証パスワードに基づいて共通PSKを取得する。
【0148】
前述の構成方法のいずれかによれば、第2のノード120と第1のノード110との間に同じ共通PSKが構成され得る。本出願のこの実施形態では、第2のノード120および第1のノード110は、代替として、別の方法を使用することによって、第1の通信技術のサービスに使用されるPSKを2つのノード間で構成するプロセスを完了し得ることを理解されたい。詳細は本明細書では説明されない。
【0149】
例2:第1の鍵は、第2の通信技術のサービスに使用される鍵である。
【0150】
区別を容易にするために、第2の通信技術に使用される鍵は、融合鍵と呼ばれる場合がある。特定の実施態様では、融合鍵は、信頼された鍵または信頼されない鍵を含み得る。信頼された鍵は、ネットワークを介して正常に認証された鍵(例えば、第1のノード110を使用することによって統合通信シナリオにおいて第2のノード120によって第3のノード130に対して開始された新しい識別認証および/またはセキュリティコンテキストネゴシエーション手順を通じて第1のノード120と第2のノード110と第3のノード130との間で決定された前述の新しい鍵)である。信頼されない鍵は、ネットワークを介して認証されない鍵である(例えば、第2のノードが第1のノードへのリンクを最初に確立するときに使用される前述のプリセット鍵であり、プリセット鍵は、第1のノードと第2のノードとの間の相互識別認証に使用され得る)。本明細書におけるネットワークは、第3のノードに対応するネットワークとして理解されてもよい。例えば、ネットワークは5Gコアネットワークであってもよい。本出願のこの実施形態では、ネットワークを介して認証されない鍵は、ネットワークを介して確認されないか、またはネットワークを介して確認される必要がない鍵(例えば、デフォルト鍵)、またはネットワークを介して確認されたが正常に確認されない鍵として理解されてもよいことを理解されたい。これに対応して、第1の鍵は、信頼された鍵または信頼されない鍵であってもよい。第1の鍵は第2の通信技術のサービスに対応しており、統合通信シナリオにおいて、第2の通信技術のサービスが第1のノード110と第2のノード120と第3のノード130との間でセキュアに実施されること、または第2の通信技術を使用することによって実施されるサービスデータがセキュアに送信されることを保証するために使用されてもよい。第1の鍵は、例えば、第3のノード130と第1のノード110および第2のノード120の少なくとも一方との間のネゴシエーションを通じて得られる鍵(例えば、鍵は、対応して前述の新しい鍵であるか、または対応して信頼された鍵である)であってもよい。例えば、第1の鍵は、第3のノード130と第1のノード110とのネゴシエーションを通じて得られる鍵であってもよい。別の例として、第1の鍵は、第3のノード130と第2のノード120との間のネゴシエーションを通じて得られる鍵であってもよい。別の例として、第1の鍵は、第1のノード110と第2のノード120と第3のノード130との間のネゴシエーションを通じて得られる鍵であってもよい。別の例では、第1の鍵は信頼されない鍵であってもよい。
【0151】
例えば、融合鍵は、融合PSKである。融合PSKは、第3のノード130に対応するコアネットワークによって第1のノード110および/または第2のノード120に配信されてもよく、またはPSKは、第1のノード110または第2のノード120で構成されたデフォルトの鍵パラメータであってもよい。構成実施態様は、実施例1の3つの方法のうちの1つまたは別の実施態様であってもよい。これは、本出願の実施形態において限定されない。第1のノードまたは第2のノードは、第2の通信技術に対応するネットワークから融合鍵を受信し得る。例えば、第1の通信接続が第1のノードと第2のノードとの間で確立される前に、第1のノードまたは第2のノードは、ネットワークから融合鍵を受信し、融合鍵をローカルに記憶してもよく、その結果、第1の通信接続を確立する後続のプロセスでは、第1のノードまたは第2のノードは、第2の通信技術に対応するタイプに基づいて、および/または第1のサービスのサービスタイプに基づいて、第1の通信接続を確立するプロセスで使用される第1の鍵を決定し得る。第1の通信接続を確立する前に、第1のノードは、第2の通信技術に対応するネットワークから融合鍵を受信し、その結果、第1のノードは、第1の通信接続を確立するプロセスにおいて、受信された第1の情報に基づいて第1の鍵をさらに取得する。
【0152】
PSKが第3のノード130に対応するコアネットワーク(例えば、5Gコアネットワーク)を介して認証されていないか、または鍵合意プロセスを介して取得されていない場合、またはPSKが鍵合意プロセスの後に取得されたが合意されていない場合、融合PSKは信頼されない融合PSKである。融合PSKが、第3のノード130に対応するコアネットワークを介して認証され、および/または鍵合意プロセスの後に取得され、合意された場合、融合PSKは信頼された融合PSKである。これに対応して、信頼された融合PSKに対応するセキュリティコンテキストは、統合通信シナリオにおける第2の通信技術のサービスに使用される信頼されたセキュリティコンテキストであり、信頼されない融合PSKに対応するセキュリティコンテキストは、統合通信シナリオにおける第2の通信技術のサービスに使用される信頼されないセキュリティコンテキストである。本出願のこの実施形態では、第2の通信技術に対応するネットワークは、少なくとも第2の通信技術をサポートするネットワーク、または第2の通信技術に基づいて実施される少なくともサービス伝送をサポートするネットワークとして理解されてもよいことを理解されたい。
【0153】
S412の実施中、第2のノード120は、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプなどに基づいて、例1または例2に記載された少なくとも2つの鍵の中から鍵を第1の鍵として選択する。
【0154】
本出願のこの実施形態では、複数の鍵が存在する場合、複数の鍵は優先順位および使用原則を有し得ることに留意されたい。第1の鍵は第1のサービスに関連付けられ、第1の鍵は、少なくとも以下の原則に従って複数の鍵から選択される必要がある。第1のサービスが第1の通信技術のサービスである場合、第1の鍵は第1の通信技術のサービスに使用される鍵であり、および/または、第1のサービスが第2の通信技術に対応するサービスである場合、第1の鍵は第2の通信技術のサービスに使用される鍵である。
【0155】
共通PSK、信頼された融合PSK、および信頼されない融合PSKを例として使用すると、複数の鍵を使用するための原則は、具体的には以下の通りであってもよい。(1)統合通信シナリオでは、第2の通信技術のサービスに信頼された融合PSKが存在する場合、信頼されない融合PSKは使用されず、信頼された融合PSKが使用され、言い換えれば、信頼された融合PSKの優先順位は、信頼されない融合PSKの優先順位よりも高い。(2)統合通信シナリオでは、第2の通信技術のサービスに信頼された融合PSKが存在しない場合、共通PSKの代わりに信頼されない融合PSKが使用される。(3)第1の通信技術のサービスでは、信頼された融合PSKが存在する場合であっても、第1のノード110と第2のノード120との間のプライベートサービスのセキュリティを確保するために、共通PSKが使用される必要がある。
【0156】
前述の鍵使用原則に基づいて、第2のノード120は、第1のサービスのサービスタイプに基づいて対応する第1の鍵または第1の鍵の対応するタイプを取得してもよい。例えば、第1のサービスが統合通信シナリオにおける第2の通信技術のサービスである場合、信頼された融合PSKが存在する場合、信頼された融合PSKが使用され(さらに、信頼された融合PSKに基づいて接続が確立されない場合、信頼されない融合PSKが使用され)、信頼された融合PSKが存在しない場合、信頼されない融合PSKが使用される。通常、信頼されない融合PSKはデフォルト値であってもよい。例えば、第1のノード110および第2のノード120が第2の通信技術をサポートする機器である場合、信頼されない融合PSKは、第1のノード110および第2のノード120に構成されてもよい。別の例として、第1のサービスが第1の通信技術のサービスである場合、第1のノード110と第2のノード120は共通のPSKを使用することによって互いに第1の通信接続を確立してもよい。
【0157】
S413a:第2のノード120(例えば、第2のノード120のサービス層)は、第1のメッセージを第1のノード110に送信する。これに対応して、第1のノード110は第2のノード120から第1のメッセージを受信してもよい。
【0158】
本出願のこの実施形態では、第1のメッセージは鍵指示メッセージとも呼ばれることがあり、第1のメッセージは、第1の鍵に関連付けられた情報、例えば、鍵タイプ指示情報、サービスタイプ指示情報、または他の情報を搬送し得る。
【0159】
本出願のこの実施形態では、鍵タイプ指示情報は、鍵タイプが、信頼されない融合鍵(例えば、前述の信頼されない融合PSK)、信頼された融合鍵(例えば、前述の信頼された融合PSK)、または共通鍵(例えば、前述の共通PSK)のうちのいずれか1つであることを示すために使用され得る。サービスタイプ指示情報は、サービスタイプが、第1の通信技術のサービス、または統合通信シナリオにおける第2の通信技術のサービスのうちのいずれか1つであることを示すために使用され得る。
【0160】
いくつかの設計では、第1のメッセージは、第2のノード120の識別情報(例えば、媒体アクセス層識別子)をさらに搬送し得る。例えば、第1のメッセージは、以下のタプルとして表されてもよい。
(ID、鍵タイプ指示情報またはサービスタイプ指示情報)
【0161】
S414:第1のノード110は、鍵タイプ指示情報またはサービスタイプ指示情報に基づいて第1の鍵を取得する。
【0162】
本出願のこの実施形態では、第1のノード110は複数の鍵を記憶してもよい。S414の実施中に、第1のノード110は、鍵タイプ指示情報またはサービスタイプ指示情報に基づいて複数のローカル鍵から第1の鍵を取得し得る。あるいは、S414の実施中に、第1のノード110は、鍵タイプ指示情報またはサービスタイプ指示情報に基づいて別の機器から第1の鍵を取得し得る。これは、本出願の実施形態において限定されない。例えば、第1の鍵は、上述の共通PSK、信頼されない融合PSK、または信頼された融合PSKのいずれか1つであってもよい。共通PSK、信頼されない融合PSK、または信頼された融合PSKの構成プロセスについては、S412の関連説明を参照されたい。詳細は再び説明されない。
【0163】
したがって、第1のノード110および第2のノード120は、ネゴシエーションを通じて選択された第1の鍵について合意し得る。さらに、第1のノード110および第2のノード120は、取得された第1の鍵に基づいて識別認証およびセキュリティコンテキストネゴシエーション手順を実行し得る。
【0164】
例えば、図4aに示されるように、識別認証およびセキュリティコンテキストネゴシエーション手順は、以下のステップを含み得る。
【0165】
S415a(任意選択):第2のノード120は、アソシエーション要求メッセージを第1のノード110に送信する。これに対応して、第1のノード110はアソシエーション要求メッセージを受信する。
【0166】
例えば、アソシエーション要求メッセージは、第2のノード120の識別情報(例えば、ドメイン識別子)と、第2のノード120によって選択された鍵合意アルゴリズム(例えば、KE alg)、鍵合意パラメータ(例えば、KEtで表される)、第2のノード120のセキュリティ能力(sec capability)、および乱数(例えば、NONCEtで表される)を含むがこれらに限定されない、第2のノード120の識別認証に使用される関連認証パラメータと、を搬送し得る。セキュリティ能力は、第2のノード120によってサポートされる鍵導出関数(key derivation function,KDF)、暗号化アルゴリズム、完全性保護アルゴリズム、認証暗号化アルゴリズムなどのうちの1つまたは複数を含んでもよい。詳細は本明細書では説明されない。
【0167】
第1のノード110は、アソシエーション要求メッセージで搬送される関連情報に基づいてアソシエーション要求メッセージを処理してもよい。
【0168】
例えば、鍵構成方式で接続を行う第2のノード120について、ホワイトリストが第1のノード110に構成されている場合、第1のノード110は、第2のノード120の識別情報に基づいて、第2のノード120の固定識別情報がホワイトリストにあるかどうかを決定してもよく、第2のノード120の固定識別情報がホワイトリストにない場合、アソシエーション要求メッセージを破棄する。
【0169】
別の例として、第1のノード110は、第2のノード120によって選択された鍵合意アルゴリズムが前述の第6のメッセージで搬送された情報(例えば、第1の指示情報)にあるかどうかを決定してもよく、鍵合意アルゴリズムが情報内にない場合、第1のノード110はアソシエーション要求メッセージを破棄し、または、鍵合意アルゴリズムが情報内にある場合、第1のノード110は、第2のノード120のセキュリティ能力、第1のノード110における事前構成された最適なアルゴリズム選択のポリシー、およびサービスタイプに基づいて、優先順位が最も高い鍵導出関数、シグナリングプレーン認証暗号化アルゴリズム、およびシグナリングプレーン完全性保護アルゴリズム、ならびに優先順位が最も高いユーザプレーン認証暗号化アルゴリズムおよびユーザプレーン完全性保護アルゴリズム、または優先順位が最も高いユーザプレーン認証暗号化アルゴリズムを含む、優先順位が最も高いアルゴリズムを選択し得る。最適なアルゴリズム選択のポリシーは、優先順位に基づいてソートされたアルゴリズムのリスト、例えば、第1のノード110で事前構成された鍵導出関数優先順位リスト、シグナリングプレーン認証暗号化アルゴリズム優先順位リスト、シグナリングプレーン完全性保護アルゴリズム優先順位リスト、ユーザプレーン認証暗号化アルゴリズム優先順位リスト、およびユーザプレーン完全性保護アルゴリズム優先順位リストを使用することによって実施されてもよい。シグナリングプレーンおよびユーザプレーンのために選択されるアルゴリズムは異なっていてもよい。任意選択の設計では、選択された完全性アルゴリズムまたは認証暗号化アルゴリズムが複数のメッセージ完全性コード(Message Integrity Code,MIC)長をサポートする場合、第1のノード110は、選択されたシグナリングプレーン完全性保護アルゴリズムによってサポートされるMIC長に基づいて、シグナリングプレーン完全性保護のためのMIC長をさらに選択し得る。例えば、このプロセスは、スターアライアンス仕様の対応する動作を使用することによって実施されてもよく、または別の方法で実施されてもよい。これは、本出願の実施形態では特に限定されない。
【0170】
任意選択の設計では、第1のノード110は、第1のメッセージで搬送された関連情報および/または第1のノード110によって選択された関連アルゴリズムに基づいて、第1のノード110の識別認証に使用される関連認証パラメータをさらに生成し得る。
【0171】
例えば、第1のノード110は秘密鍵を生成し、選択された鍵合意アルゴリズム(例えば、特定の鍵合意アルゴリズムについては、S411の関連する説明を参照されたい)に従って対応する公開鍵を生成してもよい。公開鍵は、第1のノード110の鍵合意パラメータ(例えば、KEgで表される)として使用されてもよい。あるいは、第1のノード110は乱数(例えば、NONCEgで表される)を生成してもよい。あるいは、第1のノード110は、第1のメッセージで搬送されたKEtおよび鍵合意アルゴリズムに基づく計算を通じて共有鍵(例えば、KKEで表される)を取得してもよい。あるいは、第1のノード110は、選択された鍵導出関数を使用することによってKKE、NONCEt、およびNONCEgに基づく計算によって共有鍵(例えば、Kgtで表される)を取得してもよい。その計算方法は以下の通りである。
Kgt=KDF(KKE、NONCEt、NONCEg)
【0172】
あるいは、第1のノード110はKgtの識別子(例えば、Kgt IDで表される)を生成してもよい。あるいは、第1のノード110は認証パラメータ(例えば、AUTHgで表される)を計算してもよい。その計算方法は以下の通りである。
AUTHg=AUF(PSK、KKE、NONCEg、アソシエーション要求メッセージ)|上位32ビット、ここで、
AUF()|上位32ビットは、鍵導出関数AUFを使用することによって括弧内に含まれるパラメータの計算を行った後、上位32ビットの情報をAUTHgとすることを示す。前述のAUFおよびKDFは、同じ認証暗号アルゴリズムを使用する。
【0173】
第1のノード110は、取得された第1の鍵と上記の関連認証パラメータのうちの1つまたは複数とに基づいてセキュリティコンテキスト要求メッセージ(第2のメッセージの一例)を生成してよい。
【0174】
例えば、セキュリティコンテキスト要求メッセージは、限定はしないが、第1のノード110の鍵合意パラメータKEg、乱数NONCEg、第1の鍵に対応する第1のセキュリティコンテキストに関連付けられた識別子Kgt ID、選択されたアルゴリズム(algorithm)、MIC長(MIC length)、および認証パラメータAUTHgを含む、第1のノード110の識別認証に使用される関連認証パラメータを含み得る。選択されたアルゴリズム(algorithm)は、鍵導出アルゴリズム、シグナリングプレーン暗号化アルゴリズム、シグナリングプレーン完全性保護アルゴリズム、ユーザプレーン暗号化アルゴリズム、ユーザプレーン完全性保護アルゴリズム、およびユーザプレーン認証暗号化アルゴリズムのうちの1つまたは複数を含み得る。
【0175】
任意選択の設計では、第1のノード110は、選択されたシグナリングプレーン完全性保護アルゴリズムおよび選択されたシグナリングプレーン完全性保護鍵Ks.intを使用することによって、セキュリティコンテキスト要求メッセージに対して完全性保護をさらに実行し、すなわちMICを計算し、MICをセキュリティコンテキスト要求メッセージに追加してもよい。
【0176】
例えば、セキュリティコンテキスト要求メッセージは、以下のタプルとして表されてもよい。
(KEg,NONCEg,Kgt ID,algorithm,MIC length,AUTHg)MIC、ここで
()MICは、セキュリティコンテキスト要求メッセージが、完全性保護処理が実行されたメッセージであることを示す。
【0177】
S416:第1のノード110は、第1の鍵に関連付けられたセキュリティコンテキスト要求メッセージ(第2のメッセージの一例)を第2のノードへ送信する。これに対応して、第2のノード120は第1のノード110からセキュリティコンテキスト要求メッセージを受信する。
【0178】
本出願のこの実施形態では、第2のメッセージは、第1のノード110の識別認証に使用されてもよい。本出願のこの実施形態では、第2のメッセージが第1のノード110の識別認証に使用され得ることは、第2のメッセージに含まれるか、または搬送される情報が第1のノード110の識別認証に使用され得ることとして理解されてもよいことを理解されたい。
【0179】
本出願のこの実施形態では、第2のメッセージは第1の鍵に関連付けられている。任意選択の設計では、第2のメッセージで搬送される情報は、第1の鍵に基づいて生成された情報を含む。
【0180】
任意選択の設計では、第2のノード120は、第1のノード110によって選択された鍵導出関数に基づいて、第1のノード110によって使用されるのと同じ方法で計算によって、共有鍵Kgt、シグナリングプレーンセキュリティ鍵、ユーザプレーンセキュリティ鍵などを取得し得る。
【0181】
任意選択の設計では、第2のノード120は、第2のメッセージの完全性をチェックしてもよく、すなわち、MICが正しいかどうかをチェックしてもよい。完全性検証が失敗した場合、第2のノード120はメッセージを破棄し、アソシエーション要求メッセージを再送し得る。
【0182】
任意選択の設計において、第2のノード120は、ネゴシエーションによって合意された第1の鍵に基づいて、AUTHgが正しいかどうかをさらに検証し得る。AUTHg検証が失敗した場合、第2のノード120は第2のメッセージを破棄し、アソシエーション要求メッセージを再送し得る。本出願のこの実施形態では、メッセージの完全性をチェックすることは、メッセージに含まれるか、または搬送される情報の完全性をチェックすることを含み得ることを理解されたい。
【0183】
さらに、第2のノード120は、セキュリティコンテキスト要求メッセージで搬送された関連情報および/または第2のノード120の関連アルゴリズムに基づいて、第2のノード120の識別認証に使用される関連認証パラメータをさらに生成し得る。
【0184】
例えば、第2のノード120は認証パラメータAUTHtを計算してもよく、その計算方法は以下の式を満たす。
AUTHt=AUF(PSK,KKE,セキュリティコンテキスト要求メッセージ、NONCEt,第1のノード110の鍵合意アルゴリズム能力、第1の指示情報)|上位32ビット、ここで、
AUF()|上位32ビットは、鍵導出関数AUFを使用することによって、括弧内に含まれるパラメータの計算を行った後、上位32ビットの情報をAUTHtとすることを示す。前述のAUFおよびKDFは、同じ認証暗号アルゴリズムを使用する。
【0185】
任意選択の設計では、第1のノード110の識別認証の実行に成功した後、第2のノード120は、生成された関連認証パラメータに基づいてセキュリティコンテキスト応答メッセージ(第3のメッセージの一例)を生成してもよい。
【0186】
S417:第2のノード120は、セキュリティコンテキスト応答メッセージ(第3のメッセージの一例)を第1のノード110に送信する。これに対応して、第1のノード110は第2のノード120からセキュリティコンテキスト応答メッセージを受信する。
【0187】
本出願のこの実施形態では、第3メッセージは第2のノードの識別認証に使用されてもよく、第3メッセージは第1のノード110の識別認証が成功したときに送信されてよい。
【0188】
本出願のこの実施形態では、第3のメッセージは、第1のノード110の識別認証が成功したことを示すために使用されてもよく、第2のノード120の識別認証に使用されてもよく、第3のメッセージは、第1のノードの識別認証が成功したことを示すために使用される情報および第2のノードの識別認証に使用される情報を含むか、または搬送することを理解されたい。加えて、任意選択の設計では、本出願のこの実施形態では、第1のノード110の識別認証が成功したことを示すために使用される情報および第2のノード120の識別認証に使用される情報は、同じメッセージを使用することによって送信されてもよく、または異なるメッセージを使用することによって送信されてもよい。これに対応して、第3のメッセージは1つのメッセージに対応してもよく、または複数のメッセージに対応してもよい。これは、本出願の実施形態において限定されない。例えば、第3のメッセージは、AUTHtを含み得る。
【0189】
例えば、第2のノード120は、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによってセキュリティコンテキスト応答メッセージに対して完全性保護を行い得る。
【0190】
本出願のこの実施形態では、第2のノード120が、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによってセキュリティコンテキスト応答メッセージに対して完全性保護を行い得ることは、第2のノード120が、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによって、セキュリティコンテキスト応答メッセージに含まれるか、または搬送される情報に対して完全性保護を行い得ることとして理解されてもよいことを理解されたい。完全性保護によって生成されたMICは、セキュリティコンテキスト応答メッセージで搬送され得る。シグナリングプレーン暗号化保護が開始されると、第2のノード120は、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン暗号化鍵Ks.encを使用することによってセキュリティコンテキスト応答メッセージに対して暗号化保護を行い得る。
【0191】
例えば、セキュリティコンテキスト応答メッセージは以下のように表されてもよい。
(AUTHt)MIC、ここで
AUTHtは、セキュリティコンテキスト応答メッセージで搬送される関連する認証パラメータの一例であり、()MICは、セキュリティコンテキスト応答メッセージが、完全性保護処理が行われたメッセージであることを示す。
【0192】
加えて、第2のノード120がセキュリティコンテキスト応答メッセージを暗号化する(またはセキュリティコンテキスト応答メッセージに含まれるか、もしくは搬送される情報を暗号化する)場合、セキュリティコンテキスト応答メッセージを受信した後に、第1のノード110はセキュリティコンテキスト応答メッセージを解読する(またはセキュリティコンテキスト応答メッセージに含まれるか、または搬送される情報を解読する)ことができる。
【0193】
第1のノード110はセキュリティコンテキスト応答メッセージの完全性をチェックし(またはセキュリティコンテキスト応答メッセージに含まれるか、または搬送されるメッセージの完全性をチェックし)、セキュリティコンテキスト応答メッセージで搬送されるAUTHtが正しいかどうかを検証してよい。完全性またはAUTHt検証が失敗した場合、言い換えれば、第2のノード120の識別認証が失敗した場合、第1のノード110は、アソシエーション確立失敗メッセージを第2のノード120に送信してもよい。完全性および認証検証が成功した場合、第1のノード110は、第2のノード120に対して、第2のノード120の識別情報を識別するために使用される一時的ID(例えば、物理層識別子)を生成してもよい。
【0194】
第1のノード110は、セキュリティコンテキスト応答メッセージで搬送された関連情報に基づいて第2のノード120に対して識別認証を実行してよい。例えば、このプロセスは、スターアライアンス仕様の対応する動作を使用することによって実施されてもよく、または別の方法で実施されてもよい。これは、本出願の実施形態では特に限定されない。
【0195】
S418:第1のノード110は、第2のノード120の識別認証が成功すると、アソシエーション確立メッセージ(第4のメッセージの一例)を第2のノードに送信してもよい。これに対応して、第2のノード120は第1のノード110からアソシエーション確立メッセージを受信する。
【0196】
本出願のこの実施形態では、第4のメッセージは、第2のノードへの第1の通信接続を確立するために使用されてもよく、第4のメッセージは、第2のノード120の識別認証が成功した場合に送信されてもよい。
【0197】
本出願のこの実施形態では、第4のメッセージは、第2のノードの識別認証が成功したことを示すために使用されてもよく、第2のノードへの第1の通信接続を確立するように要求するために使用されてもよく、第4のメッセージは、第2のノードの識別認証が成功したことを示すために使用される情報、および第2のノードへの第1の通信接続を確立するように要求するために使用される情報を含むか、または搬送することを理解されたい。加えて、任意選択の設計では、本出願のこの実施形態では、第2のノードの識別認証が成功したことを示すために使用される情報、および第2のノードへの第1の通信接続を確立するように要求するために使用される情報は、同じメッセージを使用することによって送信されてもよく、または異なるメッセージを使用することによって送信されてもよい。これに対応して、第4のメッセージは1つのメッセージに対応してもよく、または複数のメッセージに対応してもよい。これは、本出願の実施形態において限定されない。
【0198】
例えば、第4のメッセージは、第2のノード120のために第1のノード110によって生成された以下のパラメータ、すなわち、一時的ID(T-ID)(例えば、物理層識別子)、共有鍵Kgt有効期限(Kgt expiration)、[GKc/GK]、[GK ID]、[Galgorithm]、および[GK有効期限(GK expiration)]のうちの1つまたは複数を含み得る。
【0199】
[GKc/GK]は、第2のノード120が属するグループのグループ鍵(例えば、GKで表される)が、ユニキャストモードにおいて、シグナリングプレーンの暗号化保護が有効であることが通知された場合に、第4のメッセージで搬送され、ユニキャストモードにおいて、シグナリングプレーンの暗号化保護が無効であることが通知された場合に、第4のメッセージで搬送されることを示す。GKcは、GKと保護グループ鍵GKの秘密鍵(例えば、Kgで表される)との排他的論理和処理によって得られる。
Kg=KDF(Kgt,COUNTERg,”group key”)、および
【数1】
ここで
[GK ID]は、GKの識別子であり、Galgorithmは、第2のノード120が属するグループのグループアルゴリズムである。
【0200】
任意選択の設計では、第1のノード110は、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによってアソシエーション確立メッセージに対して完全性保護を行い得る。
【0201】
本出願のこの実施形態では、第1のノード110が、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによってアソシエーション確立メッセージに対して完全性保護を行い得ることは、第1のノード110が、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによって、アソシエーション確立メッセージに含まれるか、または搬送される情報に対して完全性保護を行い得ることとして理解されてもよいことを理解されたい。完全性保護によって生成されたMICは、アソシエーション確立メッセージで搬送され得る。シグナリングプレーン暗号化保護が開始されると、第1のノード110は、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン暗号化鍵Ks.encを使用することによってアソシエーション確立メッセージの暗号化保護を行い得る。
【0202】
本出願のこの実施形態では、第1のノード110が、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン暗号化鍵Ks.encを使用することによってアソシエーション確立メッセージに対して暗号化保護を行い得ることは、第1のノード110が、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン暗号化鍵Ks.encを使用することによって、アソシエーション確立メッセージに含まれるか、または搬送される情報に対して暗号化保護を行い得ることとして理解されてもよいことを理解されたい。
【0203】
例えば、アソシエーション確立メッセージは、以下のタプルとして表されてもよい。
(Temporary ID、Kgt expiration、[GKc/GK]、[GK ID]、[Galgorithm]、[GK expiration])MIC、ここで
()MICは、アソシエーション確立メッセージが、完全性保護処理が行われたメッセージであることを示す。
【0204】
任意選択の設計では、アソシエーション確立失敗メッセージを受信した場合、第2のノード120は、アソシエーション要求メッセージを再開始し得る。
【0205】
任意選択の設計では、第2のノード120がアソシエーション確立メッセージを受信したときに、アソシエーション確立メッセージが暗号化されている(またはアソシエーション確立メッセージに含まれるか、もしくは搬送された情報が暗号化されている)場合、第2のノード120は、アソシエーション確立メッセージを解読する(またはアソシエーション確立メッセージに含まれるか、もしくは搬送された情報を解読する)ことができる。第2のノード120は、アソシエーション確立メッセージの完全性をさらにチェックしてもよい(またはアソシエーション確立メッセージに含まれるか、もしくは搬送される情報の完全性をチェックしてもよい)。
【0206】
完全性の検証が失敗した場合、第2のノード120はメッセージを破棄する。
【0207】
完全性の検証が成功した場合、以下のS419が実行される。第2のノード120は、アソシエーション完了メッセージを第1のノード110に送信し得る。これに対応して、第1のノード110は第2のノード120からアソシエーション完了メッセージを受信してもよい。アソシエーション完了メッセージは、第1の通信接続の確立が完了したことを示すために使用されてもよい。
【0208】
任意選択の設計では、第2のノード120は、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによってアソシエーション完了メッセージの完全性保護を行い得る。
【0209】
本出願のこの実施形態では、第2のノード120が、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによってアソシエーション完了メッセージに対して完全性保護を行い得ることは、第2のノード120が、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによって、アソシエーション完了メッセージに含まれるか、または搬送される情報に対して完全性保護を行い得ることとして理解されてもよいことを理解されたい。シグナリングプレーン暗号化保護が開始されると、第2のノード120は、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン暗号化鍵Ks.encを使用することによってアソシエーション完了メッセージの暗号化保護を行い得る。本出願のこの実施形態では、第2のノード120が、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン暗号化鍵Ks.encを使用することによってアソシエーション完了メッセージに対して暗号化保護を行い得ることは、第2のノード120が、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン暗号化鍵Ks.encを使用することによって、アソシエーション完了メッセージに含まれるか、または搬送される情報に対して暗号化保護を行い得ることとして理解されてもよいことを理解されたい。
【0210】
例えば、アソシエーション完了メッセージは、以下のように表されてもよい。
(アソシエーション完了メッセージ)MIC、ここで
()MICは、アソシエーション完了メッセージが、完全性保護処理が行われたメッセージであることを示す。
【0211】
第1のノード110は受信したアソシエーション完了メッセージを処理してよい。
【0212】
例えば、アソシエーション完了メッセージが暗号化されている(またはアソシエーション完了メッセージに含まれるか、もしくは搬送された情報が暗号化されている)場合、第1のノード110は、アソシエーション完了メッセージを解読する(またはアソシエーション完了メッセージに含まれるか、もしくは搬送された情報を解読する)ことができる。あるいは、第1のノード110は、アソシエーション完了メッセージの完全性をチェックしてもよい(または、アソシエーション完了メッセージに含まれるか、もしくは搬送される情報の完全性をチェックしてもよい)。完全性検証が失敗した場合、メッセージは破棄される。完全性検証が成功した場合、後続の手順が実行される。詳細は本明細書では説明されない。
【0213】
セキュリティコンテキストのネゴシエーションおよびアソシエーションが完了した後、第1のノード110および第2のノード120は、ネゴシエーションによって得られた第1のセキュリティコンテキストを記憶してもよい。
【0214】
例えば、第1のセキュリティコンテキストは、識別情報ID、一時的ID、Kgt、Kgt有効期限、Kgt ID、鍵合意アルゴリズム、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン完全性保護アルゴリズム、シグナリングプレーン暗号化鍵およびシグナリングプレーン完全性保護鍵、ユーザプレーン暗号化アルゴリズムおよびユーザプレーン完全性保護アルゴリズムまたはユーザプレーン認証暗号化アルゴリズム、ユーザプレーン暗号化鍵およびユーザプレーン完全性保護鍵またはユーザプレーン認証暗号化鍵、[GK]、[GK ID]、[グループアルゴリズム]、および [GK有効期限] を含み得るが、これらに限定されない。
【0215】
任意選択の設計では、本出願のこの実施形態では、第1のノード110および第2のノード120は、期限切れになったセキュリティコンテキストを削除するメカニズムをさらにサポートしてもよく、セキュリティコンテキストを記憶する必要があるノードがそのメカニズムをサポートするようにクロックが構成されてもよい。詳細は本明細書では説明されない。あるいは、第1のノード110は第2のノード120の識別情報と第1の鍵との対応関係をさらに記憶してもよく、第2のノード120は第1のノード110の識別情報と第1の鍵との対応関係をさらに記憶してもよい。
【0216】
第1の通信接続の確立が完了した後、第1のノード110と第2のノード120との間のサービスの実行中に、第1の通信接続に対応するサービス範囲が鍵タイプまたはサービスタイプに基づいて決定されてもよく、サービス範囲に対応するサービスが送信される。
【0217】
例えば、信頼された融合PSKに基づいて確立された通信接続(セキュリティコンテキストを含む)は、統合通信シナリオにおける第2の通信技術のサービスにのみ使用されることができる。共通のPSKに基づいて確立された通信接続(セキュリティコンテキストを含む)は、第1の通信技術のサービス(例えば、統合通信シナリオにおける第2の通信技術のサービス以外のサービスであってもよい)に使用される。
【0218】
方法例2:
方法例2では、第2のノード120は、第1の鍵を取得してもよい。第1の鍵を取得した後、第2のノード120は、第2のノード120の識別認証に使用される関連パラメータを同期して取得し、1つのメッセージ(例えば、アソシエーション要求メッセージ)に、鍵タイプ指示情報またはサービスタイプ指示情報と、第2のノード120の識別認証に使用される関連パラメータとを追加することができ、その結果、第1のノード110は、第2のノード120によって報告された鍵タイプ指示情報またはサービスタイプ指示情報に基づいて第1の鍵を決定し、第2のノード120によって報告された関連パラメータに基づいて第2のノード120との識別認証およびセキュリティコンテキストネゴシエーション手順を実行して、第1のノード110と第2のノード120との間のセキュアな第1の通信接続を確立し得る。方法例2に含まれるステップS411~S419は、任意選択のステップの単なる例であることに留意されたい。いくつかの例では、以下のステップの実施シーケンス番号が代替として交換されてもよい。これは、本出願の実施形態では特に限定されない。
【0219】
図4bに示されるように、方法例2では、通信方法は以下のステップを含み得る。
【0220】
S411(任意選択):第1のノード110は第6のメッセージ(例えば、システムメッセージ)を送信する。これに対応して、第2のノード120は第6のメッセージを受信してもよい詳細な実施態様については、図4aを参照して上述されたS411の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0221】
S412:第2のノード120(例えば、第2のノード120のサービス層)は、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて、第1の鍵または第1の鍵のタイプを取得する。詳細な実施態様については、図4aを参照して上述されたS412の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0222】
S413b(任意選択):第2のノード120は、アソシエーション要求メッセージを第1のノード110に送信する。これに対応して、第1のノード110は第2のノード120からアソシエーション要求メッセージを受信してもよい。
【0223】
図4aに記載された方法例1と比較して、方法例2では、第2のノード120によって送信されたアソシエーション要求メッセージは、鍵タイプ指示情報またはサービスタイプ指示情報を搬送する。具体的には、方法例2のアソシエーション要求メッセージは、方法例1の第1のメッセージとアソシエーション要求メッセージとの組み合わせに対応する。アソシエーション要求メッセージは、第1のノード110のIDと、鍵タイプ指示情報またはサービスタイプ指示情報と、第2のノード120によって選択されたKE alg、KEtと、第2のノード120のセキュリティ能力と、NONCEtとを含むがこれらに限定されない、第2のノード120の識別認証に使用される関連認証パラメータとを搬送し得る。セキュリティ能力は、第2のノード120によってサポートされるKDF、暗号化アルゴリズム、完全性保護アルゴリズム、および認証暗号化アルゴリズムのうちの1つまたは複数を含み得る。詳細な実施態様については、図4aを参照して上述されたS413aおよびS415aの関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0224】
S414:第1のノード110は、鍵タイプ指示情報またはサービスタイプ指示情報に基づいて第1の鍵を取得する。詳細な実施態様については、図4aを参照して上述されたS414を参照されたい。詳細は本明細書では再び説明されない。
【0225】
S416:第1のノード110は、第1の鍵に関連付けられたセキュリティコンテキスト要求メッセージ(第2のメッセージの一例)を第2のノードに送信する。これに対応して、第2のノード120は第1のノード110からセキュリティコンテキスト要求メッセージを受信する。詳細な実施態様については、図4aを参照して上述されたS416の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0226】
S417:第2のノード120は、セキュリティコンテキスト応答メッセージ(第3のメッセージの一例)を第1のノード110に送信する。これに対応して、第1のノード110は第2のノード120からセキュリティコンテキスト応答メッセージを受信する。詳細な実施態様については、図4aを参照して上述されたS417の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0227】
S418:第1のノード110は、第2のノード120の識別認証が成功すると、アソシエーション確立メッセージ(第4のメッセージの一例)を第2のノードに送信してもよい。これに対応して、第2のノード120は第1のノード110からアソシエーション確立メッセージを受信する。詳細な実施態様については、図4aを参照して上述されたS418の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0228】
S419:第2のノード120は、アソシエーション完了メッセージを第1のノード110に送信し得る。これに対応して、第1のノード110は第2のノード120からアソシエーション完了メッセージを受信してもよい。詳細な実施態様については、図4aを参照して上述されたS419の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0229】
方法例3:
方法例3では、第1のノード110は、第1の鍵を取得してもよく、第1のノード110は、第1の鍵に基づいて第2のノード120との識別認証およびセキュリティコンテキストネゴシエーション手順を実行して、第1のノード110と第2のノード120との間のセキュアな第1の通信接続を確立し得る。方法例3に含まれるステップS421~S427は、任意選択のステップの単なる例であることに留意されたい。いくつかの例では、以下のステップの実施シーケンス番号が代替として交換されてもよい。これは、本出願の実施形態では特に限定されない。
【0230】
図4cに示されるように、通信方法は、例えば、以下のステップを含み得る。
【0231】
S421(任意選択):第1のノード110は、第6のメッセージ(例えば、システムメッセージ)を送信する。これに対応して、第2のノード120は第6のメッセージを受信してもよい詳細な実施態様については、図4aを参照して上述されたS411を参照されたい。詳細は本明細書では再び説明されない。
【0232】
S422(任意選択):第2のノード120は、アソシエーション要求メッセージを第1のノード110に送信する。これに対応して、第1のノード110は第2のノード120からアソシエーション要求メッセージを受信してもよい。
【0233】
本出願のこの実施形態では、アソシエーション要求メッセージは、第2のノード120の識別情報ID(例えば、媒体アクセス層識別子)と、第2のノード120の能力を示すために使用される関連パラメータとを搬送してもよく、関連パラメータには、第2のノード120によって選択された鍵合意アルゴリズム(例えば、KE alg)、鍵合意パラメータ(例えば、KEtで表される)、第2のノード120のセキュリティ能力(sec capability)、および乱数NONCEtが含まれるが、これらに限定されない。セキュリティ能力は、第2のノード120によってサポートされる鍵導出関数KDF、暗号化アルゴリズム、完全性保護アルゴリズム、認証暗号化アルゴリズムなどのうちの1つまたは複数を含んでもよい。詳細は本明細書では再び説明されない。
【0234】
例えば、アソシエーション要求メッセージは、以下のタプルとして表されてもよい。
(ID,KE alg,KEt,sec capabilities,NONCEt)
【0235】
S423:第1のノード110は、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて第1の鍵を取得する。
【0236】
S423の実施中に、第1のノード110は、代替として、ユーザによって入力された関連指示情報に基づいて第1の鍵を取得してもよく、または別の機器からの関連指示情報に基づいて第1の鍵を取得してもよいことを理解されたい。これは、本出願の実施形態において限定されない。S423の詳細な実施態様については、図4aを参照して上述されたS412を参照されたい。詳細は本明細書では再び説明されない。
【0237】
S424:第1のノード110は第1の鍵に基づいてセキュリティコンテキスト要求メッセージ(第2のメッセージの一例)を第2のノードに送信する。これに対応して、第2のノード120は第1のノード110からセキュリティコンテキスト要求メッセージを受信する。セキュリティコンテキスト要求メッセージは第1の鍵に関連付けられている。実施態様の詳細については、図4aのS416の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0238】
S425:第2のノード120は、セキュリティコンテキスト応答メッセージ(第3のメッセージの一例)を第1のノード110に送信する。これに対応して、第1のノード110は第2のノード120からセキュリティコンテキスト応答メッセージを受信する。実施態様の詳細については、図4aのS417の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0239】
S426:第1のノード110は、第2のノード120の識別認証が成功すると、アソシエーション確立メッセージ(第4のメッセージの一例)を第2のノードに送信する。これに対応して、第2のノード120は第1のノード110からアソシエーション確立メッセージを受信する。実施態様の詳細については、図4aのS418の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0240】
S427:第2のノード120は、アソシエーション完了メッセージを第1のノード110に送信し得る。これに対応して、第1のノード110は第2のノードからアソシエーション完了メッセージを受信してもよい。実施態様の詳細については、図4aのS419の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0241】
したがって、図4a図4b、および図4cに示された通信方法では、複数の鍵が存在するシナリオにおいて、第1のノード110および第2のノード120は、第1のサービスに関連付けられた第1の鍵を選択し、第1の鍵に基づいて2者間の識別認証およびセキュリティコンテキストネゴシエーション手順を完了して、2者間の安全な第1の通信接続を確立し得る。このようにして、第1のノード110と第2のノード120との間のサービスの実行中に、サービスに対応するデータは、統合通信シナリオにおけるセキュリティ要件を満たし、対応するサービスデータのセキュリティを保証するために、異なる鍵を使用することによって確立されたセキュアな通信接続に基づいて送信され得る。
【0242】
図4aおよび図4bに示される通信方法と比較して、図4cに示される通信方法では、第1のノード110は、第2のノード120の関連する能力、例えば、登録中に報告されるサービスタイプ、サービス特徴、および通信能力に基づいて、第2のノード120のための鍵を第1の鍵として積極的に選択し得る。したがって、第2のノード120および第1のノード110は、互いに第1のメッセージ(すなわち、鍵指示メッセージ)を交換する必要がない。これは、シグナリングオーバーヘッドを低減することができる。
【0243】
ケース2:第1の情報は、第1のノード110と第2のノード120との間の通信に使用される第1のセキュリティコンテキストを含む。
【0244】
この場合、第1のノード110および第2のノード120のそれぞれには、少なくとも2セットのセキュリティコンテキスト、例えば、共通セキュリティコンテキスト、信頼されたセキュリティコンテキスト、および信頼されないセキュリティコンテキストが存在する。第1のノード110および第2のノード120は、ネゴシエーションを通じて少なくとも2セットのセキュリティコンテキストから必要な第1のセキュリティコンテキストを決定し、第1のセキュリティコンテキストに基づいてセキュアな第1の通信接続を確立し得る。ケース2に含まれるステップS431~S435は、任意選択のステップの一例に過ぎないことに留意されたい。いくつかの例では、以下のステップの実施シーケンス番号が代替として交換されてもよい。これは、本出願の実施形態では特に限定されない。
【0245】
図4dに示されるように、通信方法は、例えば、以下のステップを含み得る。
【0246】
S431(任意選択):第1のノード110は、第6のメッセージ(例えば、システムメッセージ)を送信する。これに対応して、第2のノード120は第6のメッセージを受信してもよい詳細な実施態様については、図4aを参照して上述されたS411を参照されたい。詳細は本明細書では再び説明されない。
【0247】
S432:第2のノード120は、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて、第1のセキュリティコンテキストまたは第1のセキュリティコンテキストのタイプを取得する。
【0248】
S432の実施中に、第2のノード120は、代替として、ユーザによって入力された関連指示情報に基づいて第1のセキュリティコンテキストもしくは第1のセキュリティコンテキストのタイプを取得してもよく、または別の機器からの関連指示情報に基づいて第1のセキュリティコンテキストもしくは第1のセキュリティコンテキストのタイプを取得してもよいことを理解されたい。これは、本出願の実施形態において限定されない。本出願のこの実施形態では、第2のノード120は、代替として、別の方法で第1のセキュリティコンテキストまたは第1のセキュリティコンテキストのタイプを取得し得ることを理解されたい。これは、本出願の実施形態において限定されない。
【0249】
本出願のこの実施形態では、統合通信シナリオにおいて、第1のセキュリティコンテキストは、以下の方法のいずれか1つで実施されてもよい。
【0250】
例3:第1のセキュリティコンテキストは、第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0251】
第2の通信技術のサービスに使用されるセキュリティコンテキストは信頼されたセキュリティコンテキストまたは信頼されないセキュリティコンテキストを含み、信頼されたセキュリティコンテキストはネットワークを通じて正常に認証されるセキュリティコンテキストであり、信頼されないセキュリティコンテキストはネットワークを通じて認証されないセキュリティコンテキストである。本明細書におけるネットワークは、第3のノードに対応するネットワークとして理解されてもよい。例えば、ネットワークは5Gコアネットワークであってもよい。本出願のこの実施形態では、ネットワークを通じて認証されないセキュリティコンテキストは、ネットワークを通じて確認されないか、またはネットワークを通じて確認される必要がない鍵(例えば、デフォルト鍵に対応するセキュリティコンテキスト)、またはネットワークを通じて確認されたが正常に確認されない鍵(例えば、ネットワークを通じて認証されない前述の鍵に対応するセキュリティコンテキスト)として理解されてもよいことを理解されたい。
【0252】
PSKに対応する前述のセキュリティコンテキストが例として使用される。セキュリティコンテキストが、第3のノード130に対応するコアネットワーク(例えば、5Gコアネットワーク)を介して認証されていないか、または鍵合意プロセスを介して取得されていない場合、またはセキュリティコンテキストが合意後に取得されるが合意されていない場合、セキュリティコンテキストは信頼されないセキュリティコンテキストであり、前述の信頼されない融合PSKに対応する。セキュリティコンテキストが、第3のノード130に対応するコアネットワークを介して認証され、鍵合意プロセスの後に取得され、合意された場合、セキュリティコンテキストは信頼されたセキュリティコンテキストであり、前述の信頼された融合PSKに対応する。
【0253】
例4:第1のセキュリティコンテキストは、第1の通信技術のサービスに使用されるセキュリティコンテキストである。
【0254】
前述の複数の鍵の優先順位および使用原則と同様に、本出願のこの実施形態では、少なくとも2セットのセキュリティコンテキストがセキュリティコンテキスト優先順位および使用原則を有することもできる。第1のセキュリティコンテキストは第1のサービスに関連付けられており、第1のセキュリティコンテキストは、少なくとも以下の原則に従って少なくとも2つのセキュリティコンテキストのセットから選択される必要がある。第1のサービスが第1の通信技術のサービスである場合、第1のセキュリティコンテキストは第1の通信技術のサービスに使用されるセキュリティコンテキストであり、および/または、第1のサービスが第2の通信技術のサービスである場合、第1のセキュリティコンテキストは第2の通信技術のサービスに使用されるセキュリティコンテキストである。
【0255】
例えば、(1)統合通信シナリオにおける第2の通信技術のサービスについて、統合通信シナリオにおける第2の通信技術のサービスに使用される信頼されたセキュリティコンテキストが存在する場合、統合通信シナリオにおける第2の通信技術のサービスに使用される信頼されないセキュリティコンテキストは使用されず、信頼されたセキュリティコンテキストが使用され、言い換えれば、信頼されたセキュリティコンテキストの優先順位は信頼されないセキュリティコンテキストの優先順位より高く、(2)統合通信シナリオにおける第2の通信技術のサービスについて、統合通信シナリオにおける第2の通信技術のサービスに使用されるセキュリティコンテキストが使用され、第1の通信技術のサービスに使用されるセキュリティコンテキストは使用されず、言い換えれば、統合通信シナリオにおける第2の通信技術のサービスに使用される信頼されないセキュリティコンテキストの優先順位は、第1の通信技術のサービスに使用されるセキュリティコンテキストの優先順位より高く、(3)第1の通信技術のサービスについて、統合通信シナリオにおける第2の通信技術のサービスに使用されるセキュリティコンテキストが存在する場合であっても、第1の通信技術のサービスに使用されるセキュリティコンテキストは、第1のノード110と第2のノード120との間のプライベートサービスのセキュリティを保証するために使用される必要がある。
【0256】
S432の実施中に、第2のノード120は、第2の通信技術に対応するタイプおよび/または第1のサービスのサービスタイプに基づいて、かつ前述の使用原則に基づいて、第1のセキュリティコンテキスト、例えば、第1の通信技術のサービスに使用されるセキュリティコンテキスト、統合通信シナリオにおける信頼されないセキュリティコンテキスト、または統合通信シナリオにおける信頼されたセキュリティコンテキストを取得し得る。例えば、第2の通信技術に対応するタイプは、第2の通信技術で使用される通信規格のタイプ、例えば5G技術であってもよい。
【0257】
S433:第2のノード120は、アソシエーション要求メッセージ(第5のメッセージの一例)を第1のノード110に送信する。これに対応して、第1のノード110はアソシエーション要求メッセージを受信する。
【0258】
例えば、アソシエーション要求メッセージは、第2のノード120の一時的ID(例えば、物理層識別子)および/または第1のセキュリティコンテキストに関連付けられた識別子を含んでもよい。例えば、識別子はKgt IDとして表される。
【0259】
任意選択の設計では、第2のノード120は、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによってアソシエーション要求メッセージに対して完全性保護をさらに行ってもよい。計算を通して取得されたMICは、アソシエーション要求メッセージで搬送されてもよい。
【0260】
例えば、アソシエーション要求メッセージは、以下のタプルとして表されてもよい。
(一時的ID、Kgt ID)MIC、ここで
()MICは、アソシエーション要求メッセージが、完全性保護処理が行われたメッセージであることを示す。
【0261】
S434:第1のノード110は、一時的IDおよび/またはKgt IDに基づいて第1のセキュリティコンテキストを取得する。
【0262】
任意選択の設計では、第1のノード110は、第1セキュリティコンテキストに基づいてアソシエーション要求メッセージの完全性をチェックしてもよい。
【0263】
第1のノード110が第2のノード120の一時的IDを有していない場合、または対応する第1のセキュリティコンテキストを有していない場合、または第1のノード110がMICのチェックに失敗した場合、第1のノード110は、第2のノード120に、原因値を搬送する失敗メッセージを送信し得る(図示せず)。失敗メッセージを受信した後、第2のノード120は、セキュリティコンテキストが存在しない場合、識別認証手順およびセキュリティコンテキストネゴシエーション手順を開始してもよい。例えば、その詳細については、図4aまたは図4bの方法ステップを参照されたい。詳細は本明細書では再び説明されない。
【0264】
第1のノード110がアソシエーション要求メッセージの完全性のチェックに成功した場合、第1のノード110は、第2のノード120のための新しい一時的ID(T-ID)を生成し得る。
【0265】
S435:第1のノード110はアソシエーション確立メッセージ(すなわち、第7のメッセージ)を第2のノード120に送信する。これに対応して、第2のノード120は、第1のノードから第7のメッセージを受信し得る。
【0266】
任意選択の設計では、アソシエーション確立メッセージは、第2のノード120のために第1のノード110によって生成された新しい一時的ID(T-ID)を含み得る。
【0267】
任意選択の設計では、第1のノード110は、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによってアソシエーション確立メッセージの完全性保護をさらに行ってもよい。シグナリングプレーン暗号化保護が開始されると、第1のノード110は、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン暗号化鍵Ks.encを使用することによってアソシエーション確立メッセージの暗号化保護を行い得る。
【0268】
例えば、アソシエーション確立メッセージは、以下のタプルとして表されてもよい。
(新しい一時的ID)MIC、ここで
()MICは、アソシエーション確立メッセージが、完全性保護処理が行われたメッセージであることを示す。
【0269】
第1のノード110がアソシエーション確立メッセージを暗号化する場合、第2のノード120はアソシエーション確立メッセージを復号し得る。第2のノード120はアソシエーション確立メッセージの完全性をさらにチェックし得る。完全性検証が失敗した場合、メッセージは破棄される。完全性検証が成功した場合、以下のS436が実行される。第2のノード120は、アソシエーション完了メッセージ(すなわち、第8のメッセージ)を第1のノード110に送信し得る。
【0270】
第2のノード120は、シグナリングプレーン完全性保護アルゴリズムおよびシグナリングプレーン完全性保護鍵Ks.intを使用することによってアソシエーション完了メッセージに対して完全性保護を行い得る。シグナリングプレーン暗号化保護が開始されると、第2のノード120は、シグナリングプレーン暗号化アルゴリズムおよびシグナリングプレーン暗号化鍵Ks.encを使用することによってアソシエーション完了メッセージの暗号化保護を行い得る。
【0271】
例えば、アソシエーション完了メッセージは、以下のように表されてもよい。
(アソシエーション完了メッセージ)MIC、ここで
()MICは、アソシエーション完了メッセージが、完全性保護処理が行われたメッセージであることを示す。
【0272】
したがって、図4dに示される通信方法では、セキュリティコンテキストの複数のセットが存在するシナリオにおいて、第1のノード110および第2のノード120は、第1のサービスに関連付けられた第1のセキュリティコンテキストを選択し、第1のセキュリティコンテキストに基づいて2者間の第1の通信接続を確立し得る。このようにして、第1のノード110と第2のノード120との間のサービスの実行中に、サービスに対応するデータは、統合通信シナリオにおけるセキュリティ要件を満たし、対応するサービスデータのセキュリティを保証するために、異なるセキュリティコンテキストを使用することによって確立された第1の通信接続に基づいて送信され得る。
【0273】
本出願のこの実施形態では、第2のノード120が、記憶されたセキュリティコンテキストを使用することによって第1のノード110との関連付けを複数回確立することができない場合、第2のノード120は、記憶されたセキュリティコンテキストを削除して、図4aまたは図4bに示される方法を使用することによって、第2のノード120と第1のノード110との間で、セキュリティコンテキストが存在しない関連付け手順を開始しようと試みることがあることに留意されたい。詳細は本明細書では再び説明されない。
【0274】
本出願の一実施形態は、前述の方法の実施形態において第1のノードによって実行される方法を実行するように構成された通信装置をさらに提供する。関連する特徴については、前述の方法の実施形態を参照されたい。詳細は本明細書では再び説明されない。
【0275】
図5に示されるように、装置500は、第2のノードと通信するように構成された通信ユニット501と、第1の情報を取得し、第1の情報に基づいて第2のノードへの第1の通信接続を確立するように構成された処理ユニット502と、を含んでもよく、第1の通信接続は第1のサービスのデータを送信するのに使用され、第1の通信接続は第1の通信技術に対応しており、第1のノードは、第2の通信技術に対応するネットワークにアクセスするノードである。例えば、第1のサービスは、第1の通信技術のサービスまたは第2の通信技術のサービスであってもよい。具体的な実施態様については、図1図4dに示される実施形態の関連説明を参照されたい。詳細は本明細書では再び説明されない。
【0276】
任意選択の設計では、図5に示される通信装置500は、前述の方法実施形態において第2のノードによって実行される方法を実行するようにさらに構成されてもよい。例えば、通信ユニット501は、第1のノードと通信するように構成され、処理ユニット502は、第1の情報を取得して、第1の情報に基づいて第1のノードへの第1の通信接続を確立するように構成されており、第1の通信接続は第1のサービスのデータを送信するために使用され、第1の通信接続は第1の通信技術に対応しており、第1のノードは、第2の通信技術に対応するネットワークにアクセスするノードである。例えば、第1のサービスは、第1の通信技術のサービスまたは第2の通信技術のサービスであってもよい。関連する特徴については、前述の方法の実施形態を参照されたい。詳細は本明細書では再び説明されない。
【0277】
本出願の実施形態では、モジュール分割は一例であり、論理的な機能分割にすぎないことに留意されたい。実際の実施中には、別の分割方法が使用されてもよい。本出願の実施形態における機能ユニットは1つの処理ユニットに統合されてよく、またはユニットのそれぞれは物理的に単独で存在してよく、または2つ以上のユニットが1つのユニットに統合されてよい。統合ユニットは、ハードウェアの形態で実装されてもよく、またはソフトウェア機能ユニットの形態で実装されてもよい。
【0278】
統合ユニットがソフトウェア機能ユニットの形態で実装されて独立した製品として販売または使用される場合、統合ユニットがコンピュータ可読記憶媒体に格納されてもよい。そのような理解に基づき、本出願の技術的解決策が本質的に、または現在の技術に寄与する部分が、または技術的解決策の全部もしくは一部が、ソフトウェア製品の形で実施され得る。コンピュータソフトウェア製品は、記憶媒体に記憶され、コンピュータ機器(パーソナルコンピュータ、サーバ、もしくはネットワーク機器などであってもよい)またはプロセッサ(processor)に、本出願の実施形態における方法のステップの全部または一部を実行するように命令するためのいくつかの命令を含む。前述の記憶媒体は、USBフラッシュドライブ、リムーバブル・ハード・ディスク、読み取り専用メモリ(ROM,Read-Only Memory)、ランダム・アクセス・メモリ(RAM,Random Access Memory)、磁気ディスク、光ディスクなどの、プログラムコードを格納することができる任意の媒体を含む。
【0279】
1つの可能な実施態様では、本出願の一実施形態はコンピュータ可読記憶媒体を提供する。本コンピュータ可読記憶媒体は、プログラムコードを格納する。コンピュータプログラムがコンピュータ上で実行されると、コンピュータは、前述の方法の実施形態における方法を実行することが可能となる。
【0280】
1つの可能な実施態様では、本出願の一実施形態はコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で実行されるとき、コンピュータは、前述の方法の実施形態における方法を実行することが可能になる。
【0281】
単純な実施形態では、当業者は、前述の実施形態におけるすべての通信装置が図6に示される形態であってもよいことを理解し得る。
【0282】
図6に示される装置600は、少なくとも1つのプロセッサ610および通信インターフェース630を含む。任意選択の設計では、装置はメモリ620をさらに含んでもよい。
【0283】
プロセッサ610とメモリ620との間の特定の接続媒体は、本出願の実施形態では限定されない。
【0284】
図6に示された装置では、別の機器と通信するとき、プロセッサ610は通信インターフェース630を介してデータ伝送を行い得る。
【0285】
通信装置が図6に示される形態である場合、図6のプロセッサ610は、メモリ620に格納されたコンピュータ実行可能命令を呼び出してもよく、その結果、装置600は、前述の方法実施形態のいずれかにおいて通信装置によって実行される方法を実行し得る。
【0286】
本出願の一実施形態は、チップシステムに関する。チップシステムは、メモリに格納されたコンピュータプログラムまたはコンピュータ命令を呼び出すように構成されたプロセッサを含み、その結果、プロセッサは、前述の実施形態のいずれか1つにおける方法を実行する。
【0287】
1つの可能な実施態様では、プロセッサは、インターフェースを使用することによってメモリに結合されてもよい。
【0288】
1つの可能な実施態様では、チップシステムはメモリをさらに直接含んでもよく、メモリはコンピュータプログラムまたはコンピュータ命令を格納する。
【0289】
メモリは、揮発性メモリもしくは不揮発性メモリであってもよく、または、揮発性メモリと不揮発性メモリの両方を含んでもよい。不揮発性メモリは、読み出し専用メモリ(read-only memory,ROM)、プログラマブル読み出し専用メモリ(programmable ROM,PROM)、消去可能プログラマブル読み出し専用メモリ(erasable PROM,EPROM)、電気的消去可能プログラマブル読み出し専用メモリ(electrically EPROM,EEPROM、またはフラッシュメモリであってもよい。揮発性メモリは、ランダム・アクセス・メモリ(random access memory,RAM)であってもよく、外部キャッシュとして使用される。限定的な説明ではなく例として、多くの形態のRAM、例えば、スタティック・ランダム・アクセス・メモリ(static RAM,SRAM)、ダイナミック・ランダム・アクセス・メモリ(dynamic RAM,DRAM)、シンクロナス・ダイナミック・ランダム・アクセス・メモリ(synchronous DRAM,SDRAM)、ダブル・データ・レート・シンクロナス・ダイナミック・ランダム・アクセス・メモリ(double data rate SDRAM,DDR SDRAM)、拡張シンクロナス・ダイナミック・ランダム・アクセス・メモリ(enhanced SDRAM,ESDRAM)、シンクリンク・ダイナミック・ランダム・アクセス・メモリ(synchlink DRAM,SLDRAM)、およびダイレクト・ラムバス・ランダム・アクセス・メモリ(direct rambus RAM,DR RAM)が使用され得る。
【0290】
本出願の一実施形態は、プロセッサにさらに関する。プロセッサは、メモリに格納されたコンピュータプログラムまたはコンピュータ命令を呼び出すように構成され、その結果、プロセッサは、前述の実施形態のいずれか1つにおける方法を実行する。
【0291】
例えば、本出願のこの実施形態では、プロセッサは集積回路チップであり、信号処理能力を有する。例えば、プロセッサは、フィールドプログラマブルゲートアレイ(field programmable gate array,FPGA)であってもよく、汎用プロセッサ、デジタル信号プロセッサ(digital signal processor,DSP)、特定用途向け集積回路(application specific integrated circuit,ASIC)、もしくは別のプログラマブル論理機器、個別ゲートもしくはトランジスタ論理機器、もしくは個別ハードウェア構成要素であってもよく、またはシステムオンチップ(system on chip,SoC)、中央処理機器(central processor unit,CPU)、ネットワークプロセッサ(ネットワークプロセッサ、NP)、マイクロコントローラユニット(micro controller unit,MCU)、もしくはプログラマブルコントローラ(programmable logic device,PLD)、もしくは別の集積チップであってもよく、プロセッサは、本出願の実施形態で開示された方法、ステップ、および論理ブロック図を実施または実行し得る。汎用プロセッサはマイクロプロセッサであってもよく、またはこのプロセッサは任意の従来のプロセッサなどであってもよい。本出願の実施形態を参照して開示された方法のステップは、ハードウェア復号プロセッサを使用することによって直接実行および完了されてもよく、または復号プロセッサ内のハードウェアとソフトウェアモジュールとの組み合わせを使用することによって実行および完了されてもよい。ソフトウェアモジュールは、ランダム・アクセス・メモリ、フラッシュメモリ、読み出し専用メモリ、プログラム可能読み出し専用メモリ、電気的消去可能プログラム可能メモリ、またはレジスタなどの、当技術分野における成熟した記憶媒体に位置されてもよい。記憶媒体はメモリ内に位置され、プロセッサはメモリ内の情報を読み出し、プロセッサのハードウェアと共同して前述の方法のステップを完了する。
【0292】
本出願の実施形態は、方法、システム、またはコンピュータプログラム製品として提供され得ることを理解されたい。したがって、本出願は、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、またはソフトウェアとハードウェアの組み合わせを有する実施形態の形態を使用し得る。さらに、本出願は、コンピュータ使用可能プログラムコードを含む1つまたは複数のコンピュータ使用可能記憶媒体(ディスクメモリ、CD-ROM、光メモリなどを含むが、これらに限定されない)上に実装されたコンピュータプログラム製品の形態を使用し得る。
【0293】
これらのコンピュータプログラム命令は、代替として、コンピュータまたは別のプログラマブルデータ処理機器が特定の方法で動作することを示すことができるコンピュータ可読メモリに格納されてもよく、その結果、コンピュータ可読メモリに格納された命令は、命令装置を含むアーチファクトを生成する。命令装置は、フローチャートの1つまたは複数の手順および/またはブロック図の1つまたは複数のブロックの特定の機能を実施する。
【0294】
これらのコンピュータプログラム命令は、代替として、コンピュータまたは別のプログラマブルデータ処理機器にロードされてもよく、その結果、一連の動作およびステップがコンピュータまたは別のプログラマブル機器上で実行され、その結果、コンピュータ実装処理が生成される。したがって、コンピュータまたは別のプログラマブル機器上で実行される命令は、フローチャートの1つもしくは複数の手順および/またはブロック図の1つもしくは複数のブロックにおける特定の機能を実施するためのステップを提供する。
【0295】
明らかに、当業者は、本出願の実施形態の範囲から逸脱することなく、本出願の実施形態に様々な修正および変形を行うことができる。よって、本出願の実施形態におけるこれらの修正および変形が本出願の特許請求の範囲およびそれらの均等な技術の範囲内に入る場合、本出願はこれらの修正および変形も含むよう意図されている。
【符号の説明】
【0296】
110 第1のノード
120 第2のノード
130 第3のノード
500 装置
501 通信ユニット
502 処理ユニット
600 装置
610 プロセッサ
620 メモリ
630 通信インターフェース
図1
図2
図3
図4a
図4b
図4c
図4d
図5
図6
【国際調査報告】