知財求人 - 知財ポータルサイト「IP Force」
▶ 中国移動通信有限公司研究院の特許一覧 ▶ 中国移動通信集団有限公司の特許一覧
特表2025-501420認証及び/又は鍵管理方法、第一機器、端末及び通信機器
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2025-01-20
(54)【発明の名称】認証及び/又は鍵管理方法、第一機器、端末及び通信機器
(51)【国際特許分類】
H04W 12/041 20210101AFI20250110BHJP
H04L 9/08 20060101ALI20250110BHJP
H04W 12/043 20210101ALI20250110BHJP
H04W 76/12 20180101ALI20250110BHJP
【FI】
H04W12/041
H04L9/08 B
H04L9/08 E
H04W12/043
H04W76/12
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024539857
(86)(22)【出願日】2022-12-28
(85)【翻訳文提出日】2024-07-09
(86)【国際出願番号】 CN2022142733
(87)【国際公開番号】W WO2023125642
(87)【国際公開日】2023-07-06
(31)【優先権主張番号】202111681982.1
(32)【優先日】2021-12-31
(33)【優先権主張国・地域又は機関】CN
(31)【優先権主張番号】202210701819.5
(32)【優先日】2022-06-20
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】518389015
【氏名又は名称】中国移動通信有限公司研究院
【氏名又は名称原語表記】China Mobile Communication Co., Ltd Research Institute
【住所又は居所原語表記】32 Xuanwumen West Street, Xicheng District, Beijing 100053, China
(71)【出願人】
【識別番号】518301095
【氏名又は名称】中国移動通信集団有限公司
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】庄 小君
(72)【発明者】
【氏名】黄 ▲曉▼▲ティン▼
(72)【発明者】
【氏名】田 野
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA35
5K067EE02
5K067EE10
5K067EE16
(57)【要約】
本開示には、認証及び/又は鍵管理方法、第一機器、端末、及び通信機器が開示されている。ここで、方法は、第一機器が、ユーザ機器(UE)により発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信することと、前記第一機器が、前記鍵識別子に基づいて前記UEとの間の第一鍵を取得することとを含む。
【特許請求の範囲】
【請求項1】
認証及び/又は鍵管理方法であって、第一機器が、ユーザ機器UEにより発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信することと、
前記第一機器が、前記鍵識別子に基づいて前記UEとの間の第一鍵を取得することとを含む、
認証及び/又は鍵管理方法。
【請求項2】
前記方法は、前記第一機器が、前記第一鍵に基づいて、第二機器のために前記UEと前記第二機器間の第二鍵を生成することを更に含む、請求項1に記載の方法。
【請求項3】
前記第一機器が、前記第一鍵に基づいて、第二機器のために前記UEと前記第二機器間の第二鍵を生成することは、前記第一機器が、前記第一鍵と前記第二機器の識別子情報に基づいて第二鍵を生成することを含む、請求項2に記載の方法。
【請求項4】
前記方法は、前記第一機器が、前記UEから第三鍵に基づいて保護されているデータを受信して、前記データを第二機器に送信すること、
及び/又は、
前記第一機器が、第二機器から送信されたデータを受信し、前記データを前記第一鍵に基づいて保護して、前記データを前記UEに送信すること、を更に含み、
前記第三鍵は、前記UEにより生成され、前記第一鍵と同じものである、請求項1に記載の方法。
【請求項5】
前記鍵識別子に基づいて前記UEとの間の第一鍵を取得することは、前記第一機器が、前記鍵識別子に基づいて、ローカルにおいて前記鍵識別子に対応する第一鍵を取得すること、又は、
前記第一機器が前記鍵識別子に基づいて、アプリケーション層認証及び鍵管理アンカ機能(AAnF)から前記鍵識別子に対応する第一鍵を取得すること、を含む、請求項1に記載の方法。
【請求項6】
前記方法は、前記第一機器が、前記UEに、前記UEがアクセス可能な第二機器のリストを提供することを更に含む、請求項1に記載の方法。
【請求項7】
前記方法は、前記第一機器が前記UEと、トランスポート層セキュリティ(TLS)安全チャネルを確立することを更に含む、請求項1に記載の方法。
【請求項8】
前記第一機器が前記UEと、TLS安全チャネルを確立することは、前記第一機器が、前記第一鍵又は前記第一鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することを含む、請求項7に記載の方法。
【請求項9】
前記方法は、前記第一機器がUEに第一保護データを送信することを更に含み、
前記第一保護データには、前記第一機器により前記第一鍵又は前記第一鍵の派生鍵に基づいて保護されているデータが含まれる、請求項1、7及び8のいずれか1項に記載の方法。
【請求項10】
前記方法は、前記第一機器が前記UEから送信された、第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを受信することを更に含み、前記第三鍵は、UEにより生成された、前記第一鍵と同じ鍵である、請求項1、7及び8のいずれか1項に記載の方法。
【請求項11】
前記第一機器が一組のアプリケーション機能(AF)/アプリケーションサーバ(AS)、又は同じ信頼ドメインにあるAF/ASを代理することに用いられる、請求項1に記載の方法。
【請求項12】
前記第一機器がアプリケーション層認証及び鍵管理(AKMA)アプリケーションプロキシ、又は認証プロキシ、又はAKMA認証プロキシを含む、請求項1に記載の方法。
【請求項13】
認証及び/又は鍵管理方法であって、UEが、第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信することと、
前記UEが、前記第一機器から送信された第一保護データを受信することと、を含み、
前記第一保護データには、前記第一機器により第一鍵又は第一鍵の派生鍵に基づいて保護されているデータが含まれ、前記第一鍵が、前記第一機器により前記鍵識別子に基づいて取得されたものである、認証及び/又は鍵管理方法。
【請求項14】
前記方法は、前記UEが、前記第一鍵と同じ第三鍵を生成し、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを前記第一機器に送信して、前記第一機器が前記データを第二機器に送信するようにすること、
及び/又は、
前記UEが、第二鍵と同じ第四鍵を生成し、前記第二機器から送信された第二保護データを受信すること、
及び/又は、
前記UEが、前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信すること、を更に含み、
前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものである、請求項13に記載の方法。
【請求項15】
前記方法は、前記UEが、前記第一機器から、前記UEがアクセス可能な第二機器のリストを取得することを更に含む、請求項13に記載の方法。
【請求項16】
前記方法は、前記UEが前記第一機器と、TLS安全チャネルを確立することを更に含む、請求項13に記載の方法。
【請求項17】
前記UEが前記第一機器と、TLS安全チャネルを確立することは、前記UEが、前記第一鍵と同じ第三鍵を生成することと、
前記UEが、前記第三鍵又は前記第三鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することと、を含む、請求項13に記載の方法。
【請求項18】
前記第一機器が一組のAF/AS、又は同じ信頼ドメインにあるAF/ASを代理することに用いられる、請求項13に記載の方法。
【請求項19】
前記第一機器がAKMAアプリケーションプロキシ、又は認証プロキシ、又はAKMA認証プロキシを含む、請求項13に記載の方法。
【請求項20】
認証及び/又は鍵管理に用いられる第一機器であって、UEにより発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信するように構成される第一処理モジュールと、
前記鍵識別子に基づいて前記UEとの間の第一鍵を取得するように構成される第一取得モジュールとを含む、第一機器。
【請求項21】
認証及び/又は鍵管理に用いられる端末であって、第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信するように構成される第二処理モジュールと、
前記第一機器から送信された第一保護データを受信するように構成される第一受信モジュールと、を含み、
前記第一保護データには、前記第一機器により第一鍵又は第一鍵の派生鍵に基づいて保護されているデータが含まれ、前記第一鍵が、前記第一機器により前記鍵識別子に基づいて取得されたものである、端末。
【請求項22】
通信機器であって、メモリ、プロセッサ及び前記メモリに記憶され前記プロセッサ上で実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行する際に、請求項1~12のいずれか1項に記載の認証及び/又は鍵管理方法、又は請求項13~19のいずれか1項に記載の認証及び/又は鍵管理方法を実現する、通信機器。
【請求項23】
コンピュータプログラムが記憶されたコンピュータ可読記憶媒体であって、前記コンピュータプログラムが、プロセッサにより実行される際、請求項1~12のいずれか1項に記載の認証及び/又は鍵管理方法のステップ、又は請求項13~19のいずれか1項に記載の認証及び/又は鍵管理方法のステップを実現する、コンピュータ可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の相互参照)
本開示は、2021年12月31日に提出された出願番号202111681982.1の中国特許出願、及び、2022年06月20日に提出された出願番号202210701819.5の中国特許出願に基づいており、これらの中国特許出願の優先権を主張し、これらの中国特許出願の全ての内容は、参照として引用により本開示に組み込まれる。
本開示は、2021年12月31日に提出された出願番号202111681982.1の中国特許出願、及び、2022年06月20日に提出された出願番号202210701819.5の中国特許出願に基づいており、これらの中国特許出願の優先権を主張し、これらの中国特許出願の全ての内容は、参照として引用により本開示に組み込まれる。
【0002】
本開示は、通信技術の技術分野に関し、特に認証及び/又は鍵管理方法、第一機器、端末及び通信機器に関する。
【背景技術】
【0003】
現在、5G(第5世代移動通信技術)における3GPP(登録商標)証明に基づいて、上位層アプリケーションに認証及び鍵管理能力を提供するためのアーキテクチャとプロセスが存在している。図1から図4に示されているように、これには、AKMA(Authentication and Key Management for Applications、アプリケーション層認証及び鍵管理)の基本ネットワークモデル、AKMA推論及びアンカリングプロセス、及びAKMAアプリケーション鍵(KAF)の推論手順が含まれる。
【0004】
UE(User Equipment、ユーザ機器、日本語では端末又はユーザとも呼ばれる)が複数のAF(Application Function、アプリケーション機能)と同時にAKMAを用いてアプリケーション層共有鍵を生成する必要があるとき、以下の問題が存在している。AFがAKMAをサポートしていない場合、図4に示されているようなAKMAアプリケーションキー推論手順を使用して、UEとAF間のアプリケーション鍵を生成することができない。また、全てのAFが同じ信頼ドメインに属している場合、1つのUEが各AFごとにAKMAを確立すると、AUSF(Authentication Server Function、認証サーバ機能)及びAAnF(AKMA Anchor Function、AKMAアンカ機能)はそれぞれのUEとAF間にKAKMA(AKMA Anchor Key、AKMAアンカ鍵)及びKAF(AKMA Application Key、AKMAアプリケーション鍵)を個別に生成することになり、AUSF及びAAnFのリソースを消費して、ネットワーク帯域の消耗を引き起こしてしまい、また、攻撃者が悪意のあるUEを使って故意にAKMA手順を開始することで、AUSFとAAnFのリソースを消耗させることも可能である。
【発明の概要】
【発明が解決しようとする課題】
【0005】
関連の技術課題を解決するために、本開示の実施例において、認証及び/又は鍵管理方法、端末、及び通信機器が提供されている。
【課題を解決するための手段】
【0006】
本開示の実施例の技術的手段は、以下のように実現される。
【0007】
本開示の実施例において、認証及び/又は鍵管理方法であって、
第一機器が、UEにより発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信することと、
前記第一機器が、前記鍵識別子に基づいて前記UEとの間の第一鍵を取得することとを含む、
認証及び/又は鍵管理方法が提供されている。
第一機器が、UEにより発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信することと、
前記第一機器が、前記鍵識別子に基づいて前記UEとの間の第一鍵を取得することとを含む、
認証及び/又は鍵管理方法が提供されている。
【0008】
上記技術的手段において、前記方法は、前記第一機器が、前記第一鍵に基づいて、第二機器のために前記UEと前記第二機器間の第二鍵を生成することを更に含む。
【0009】
上記技術的手段において、前記第一機器が、前記第一鍵に基づいて、第二機器のために前記UEと前記第二機器間の第二鍵を生成することは、
前記第一機器が、前記第一鍵と前記第二機器の識別子情報に基づいて第二鍵を生成することを含む。
前記第一機器が、前記第一鍵と前記第二機器の識別子情報に基づいて第二鍵を生成することを含む。
【0010】
上記技術的手段において、前記方法は、
前記第一機器が、前記UEから第三鍵に基づいて保護されているデータを受信して、前記データを第二機器に送信すること、
及び/又は、
前記第一機器が、第二機器から送信されたデータを受信し、前記データを前記第一鍵に基づいて保護して、前記データを前記UEに送信すること、を更に含み、
前記第三鍵は、前記UEにより生成され、前記第一鍵と同じものである。
前記第一機器が、前記UEから第三鍵に基づいて保護されているデータを受信して、前記データを第二機器に送信すること、
及び/又は、
前記第一機器が、第二機器から送信されたデータを受信し、前記データを前記第一鍵に基づいて保護して、前記データを前記UEに送信すること、を更に含み、
前記第三鍵は、前記UEにより生成され、前記第一鍵と同じものである。
【0011】
上記技術的手段において、前記鍵識別子に基づいて前記UEとの間の第一鍵を取得することは、
前記第一機器が、前記鍵識別子に基づいて、ローカルにおいて前記鍵識別子に対応する第一鍵を取得すること、又は、
前記第一機器が前記鍵識別子に基づいて、AAnFから該鍵識別子に対応する第一鍵を取得すること、を含む。
前記第一機器が、前記鍵識別子に基づいて、ローカルにおいて前記鍵識別子に対応する第一鍵を取得すること、又は、
前記第一機器が前記鍵識別子に基づいて、AAnFから該鍵識別子に対応する第一鍵を取得すること、を含む。
【0012】
上記技術的手段において、前記方法は、前記第一機器が、前記UEに、前記UEがアクセス可能な第二機器のリストを提供することを更に含む。
【0013】
上記技術的手段において、前記方法は、前記第一機器が前記UEと、TLS(トランスポート層セキュリティ)安全チャネルを確立することを更に含む。
【0014】
上記技術的手段において、前記第一機器が前記UEと、TLS安全チャネルを確立することは、
前記第一機器が、前記第一鍵又は前記第一鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することを含む。
前記第一機器が、前記第一鍵又は前記第一鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することを含む。
【0015】
上記技術的手段において、前記方法は、
前記第一機器がUEに第一保護データを送信することを更に含み、前記第一保護データには、前記第一機器により前記第一鍵又は前記第一鍵の派生鍵に基づいて保護されているデータが含まれる。
前記第一機器がUEに第一保護データを送信することを更に含み、前記第一保護データには、前記第一機器により前記第一鍵又は前記第一鍵の派生鍵に基づいて保護されているデータが含まれる。
【0016】
上記技術的手段において、前記方法は、
前記第一機器がUEから送信された、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを受信することを更に含み、前記第三鍵は、UEにより生成された、前記第一鍵と同じ鍵である。
前記第一機器がUEから送信された、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを受信することを更に含み、前記第三鍵は、UEにより生成された、前記第一鍵と同じ鍵である。
【0017】
上記技術的手段において、前記第一機器が一組のAF/AS(Application Server、アプリケーションサーバ)、又は同じ信頼ドメインにあるAF/ASを代理することに用いられる。
【0018】
上記技術的手段において、前記第一機器がAAP/AP(AAPはAKMA Application Proxy(AKMAアプリケーションプロキシ)又はAKMA Authentication Proxy(AKMA認証プロキシ)の略であり、APはAuthentication Proxy(認証プロキシ)の略である)を含む。
【0019】
本開示の実施例において、認証及び/又は鍵管理方法であって、
UEが、前記第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信することと、
前記UEが、前記第一機器から送信された第一保護データを受信することと、を含み、
前記第一保護データには、前記第一機器により第一鍵又は第一鍵の派生鍵に基づいて保護されているデータが含まれ、前記第一鍵が、前記第一機器により前記鍵識別子に基づいて取得されたものである、
認証及び/又は鍵管理方法が更に提供されている。
UEが、前記第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信することと、
前記UEが、前記第一機器から送信された第一保護データを受信することと、を含み、
前記第一保護データには、前記第一機器により第一鍵又は第一鍵の派生鍵に基づいて保護されているデータが含まれ、前記第一鍵が、前記第一機器により前記鍵識別子に基づいて取得されたものである、
認証及び/又は鍵管理方法が更に提供されている。
【0020】
上記技術的手段において、前記方法は、
前記UEが、前記第一鍵と同じ第三鍵を生成し、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを前記第一機器に送信して、前記第一機器が前記データを第二機器に送信するようにすること、
及び/又は、
前記UEが、前記第二鍵と同じ第四鍵を生成し、前記第二機器から送信された第二保護データを受信すること、
及び/又は、
前記UEが、前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信すること、を更に含み、
前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものである。
前記UEが、前記第一鍵と同じ第三鍵を生成し、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを前記第一機器に送信して、前記第一機器が前記データを第二機器に送信するようにすること、
及び/又は、
前記UEが、前記第二鍵と同じ第四鍵を生成し、前記第二機器から送信された第二保護データを受信すること、
及び/又は、
前記UEが、前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信すること、を更に含み、
前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものである。
【0021】
上記技術的手段において、前記方法は、前記UEが、前記第一機器から、前記UEがアクセス可能な第二機器のリストを取得することを更に含む。
【0022】
上記技術的手段において、前記方法は、前記UEが前記第一機器と、TLS安全チャネルを確立することを更に含む。
【0023】
上記技術的手段において、前記UEが前記第一機器と、TLS安全チャネルを確立することは、
前記UEが、前記第一鍵と同じ第三鍵を生成することと、
前記UEが、前記第三鍵又は前記第三鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することと、を含む。
前記UEが、前記第一鍵と同じ第三鍵を生成することと、
前記UEが、前記第三鍵又は前記第三鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することと、を含む。
【0024】
上記技術的手段において、前記第一機器が一組のAF/AS、又は同じ信頼ドメインにあるAF/ASを代理することに用いられる。
【0025】
上記技術的手段において、前記第一機器は、AAP/APを含む。
【0026】
本開示の実施例において、認証及び/又は鍵管理に用いられる第一機器であって、
UEにより発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信するように構成される第一処理モジュールと、
前記鍵識別子に基づいて前記UEとの間の第一鍵を取得するように構成される第一取得モジュールとを含む、
第一機器が更に提供されている。
UEにより発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信するように構成される第一処理モジュールと、
前記鍵識別子に基づいて前記UEとの間の第一鍵を取得するように構成される第一取得モジュールとを含む、
第一機器が更に提供されている。
【0027】
上記技術的手段において、前記第一機器は、前記第一鍵に基づいて、第二機器のために前記UEと前記第二機器間の第二鍵を生成するように構成される生成モジュールを更に含む。
【0028】
上記技術的手段において、前記生成モジュールは、更に、前記第一鍵と前記第二機器の識別子情報に基づいて第二鍵を生成するように構成される。
【0029】
上記技術的手段において、前記第一処理モジュールは、更に、
前記UEから第三鍵に基づいて保護されているデータを受信して、前記データを第二機器に送信するように、
及び/又は、
第二機器から送信されたデータを受信し、前記データを前記第一鍵に基づいて保護して、前記データを前記UEに送信するように、構成され、
前記第三鍵は、前記UEにより生成され、前記第一鍵と同じものである。
前記UEから第三鍵に基づいて保護されているデータを受信して、前記データを第二機器に送信するように、
及び/又は、
第二機器から送信されたデータを受信し、前記データを前記第一鍵に基づいて保護して、前記データを前記UEに送信するように、構成され、
前記第三鍵は、前記UEにより生成され、前記第一鍵と同じものである。
【0030】
上記技術的手段において、前記第一取得モジュールは、更に、
前記鍵識別子に基づいて、ローカルにおいて該鍵識別子に対応する第一鍵を取得するように、又は、
前記鍵識別子に基づいて、AAnFから該鍵識別子に対応する第一鍵を取得するように構成される。
前記鍵識別子に基づいて、ローカルにおいて該鍵識別子に対応する第一鍵を取得するように、又は、
前記鍵識別子に基づいて、AAnFから該鍵識別子に対応する第一鍵を取得するように構成される。
【0031】
上記技術的手段において、前記第一処理モジュールは、更に、
前記UEに、前記UEがアクセス可能な第二機器のリストを提供するように構成される。
前記UEに、前記UEがアクセス可能な第二機器のリストを提供するように構成される。
【0032】
上記技術的手段において、前記第一処理モジュールは、更に、前記UEと、TLS安全チャネルを確立するように構成される。
【0033】
上記技術的手段において、前記第一処理モジュールは、更に、前記第一鍵又は前記第一鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成するように構成される。
【0034】
上記技術的手段において、前記第一処理モジュールは、更に、UEに第一保護データを送信するように構成され、
前記第一保護データには、前記第一機器により前記第一鍵又は前記第一鍵の派生鍵に基づいて保護されているデータが含まれる。
前記第一保護データには、前記第一機器により前記第一鍵又は前記第一鍵の派生鍵に基づいて保護されているデータが含まれる。
【0035】
上記技術的手段において、前記第一処理モジュールは、更に、前記UEから送信された、第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを受信するように構成され、前記第三鍵は、UEにより生成された、前記第一鍵と同じ鍵である。
【0036】
上記技術的手段において、前記第一機器が一組のAF/AS、又は同じ信頼ドメインにあるAF/ASを代理することに用いられる。
【0037】
上記技術的手段において、前記第一機器は、AAP/APを含む。
【0038】
本開示の実施例において、認証及び/又は鍵管理に用いられる端末であって、
前記第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信するように構成される第二処理モジュールと、
前記第一機器から送信された第一保護データを受信するように構成される第一受信モジュールと、を含み、
前記第一保護データには、前記第一機器により前記第一鍵又は第一鍵の派生鍵に基づいて保護されているデータが含まれ、前記第一鍵が、前記第一機器により前記鍵識別子に基づいて取得されたものである、
端末が更に提供されている。
前記第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信するように構成される第二処理モジュールと、
前記第一機器から送信された第一保護データを受信するように構成される第一受信モジュールと、を含み、
前記第一保護データには、前記第一機器により前記第一鍵又は第一鍵の派生鍵に基づいて保護されているデータが含まれ、前記第一鍵が、前記第一機器により前記鍵識別子に基づいて取得されたものである、
端末が更に提供されている。
【0039】
上記技術的手段において、前記端末は、
前記第一鍵と同じ第三鍵を生成し、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを前記第一機器に送信して、前記第一機器が前記データを第二機器に送信するように構成される第三処理モジュールと、
前記第二鍵と同じ第四鍵を生成するように構成される第四処理モジュールと、
第二受信モジュールであって、前記第二機器から送信された第二保護データを受信するように構成され、前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものであり、
及び/又は、
前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信するように構成される第二受信モジュールと、を更に含む。
前記第一鍵と同じ第三鍵を生成し、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを前記第一機器に送信して、前記第一機器が前記データを第二機器に送信するように構成される第三処理モジュールと、
前記第二鍵と同じ第四鍵を生成するように構成される第四処理モジュールと、
第二受信モジュールであって、前記第二機器から送信された第二保護データを受信するように構成され、前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものであり、
及び/又は、
前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信するように構成される第二受信モジュールと、を更に含む。
【0040】
上記技術的手段において、前記端末は、前記第一機器から、前記UEがアクセス可能な第二機器のリストを取得するように構成される第二取得モジュールを更に含む。
【0041】
上記技術的手段において、前記第二処理モジュールは、更に、前記第一機器と、TLS安全チャネルを確立するように構成される。
【0042】
上記技術的手段において、前記第二処理モジュールは、更に、
前記第一鍵と同じ第三鍵を生成することと、
前記第三鍵又は前記第三鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することとを実行するように構成される。
前記第一鍵と同じ第三鍵を生成することと、
前記第三鍵又は前記第三鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することとを実行するように構成される。
【0043】
上記技術的手段において、前記第一機器が一組のAF/AS、又は同じ信頼ドメインにあるAF/ASを代理することに用いられる。
【0044】
上記技術的手段において、前記第一機器は、AAP/APを含む。
【0045】
本開示の実施例において、通信機器であって、
メモリ、プロセッサ及び前記メモリに記憶され前記プロセッサ上で実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行する際に、上述の認証及び/又は鍵管理方法を実現する、通信機器が更に提供されている。
メモリ、プロセッサ及び前記メモリに記憶され前記プロセッサ上で実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行する際に、上述の認証及び/又は鍵管理方法を実現する、通信機器が更に提供されている。
【0046】
本開示の実施例において、コンピュータプログラムが記憶されたコンピュータ可読記憶媒体であって、該コンピュータプログラムが、プロセッサにより実行される際、上述の認証及び/又は鍵管理方法のステップを実現する、コンピュータ可読記憶媒体。
【発明の効果】
【0047】
本開示の上述技術的手段は、少なくとも以下の有益な効果を奏する。
【0048】
本開示の実施例に係る認証及び/又は鍵管理方法、第一機器、及び、通信機器では、AKMA基本ネットワークモデルにAAP/AP(すなわち第一機器であり、ここで、AAPはAKMAアプリケーションプロキシ又はAKMA認証プロキシを指し、APは、認証プロキシを指す)を導入して、該AAP/APは、一組又は同じ信頼ドメインにあるAF/ASのプロキシとされるか、又は、一組又は同じ信頼ドメインにあるAF/ASの中の特定の1つAF/ASがAAP/APとされてもよい。つまり、AAP/APが1つ以上のAF/ASに代わってAKMAアプリケーション鍵を申し込むことができる。AF/ASはAAP/APを信頼している。これにより、AUSF及びAAnFが、UEとAF/ASとのためにAKMAアプリケーション鍵を確立するためのリソースを減少させ、AKMA鍵を取得する際の遅延を減少させ、低遅延シナリオのサービスニーズを満たす。それに、関連技術においてAFがAKMA基本ネットワークモデルをサポートしていないが、それでもAKMAを用いてアプリケーション層の認証と鍵提供を実現する必要があるという問題も解決できる。
【図面の簡単な説明】
【0049】
【図1】関連技術におけるAKMAの基本ネットワークモデルの概略図である。
【図2a】関連技術におけるAFがコアネットワーク内にある場合のAKMAの参照点のネットワークモデルの概略図である。
【図2b】関連技術におけるAFがコアネットワーク外にある場合のAKMAの参照点のネットワークモデルの概略図である。
【図3】関連技術におけるKAKMAの推論とアンカリング手順のフローチャートである。
【図4】関連技術におけるAKMAアプリケーション鍵推論手順の概略図である。
【図5】本開示の実施例に係るAAP/APが導入されたAKMAネットワークモデルの概略図である。
【図6a】本開示の実施例に係るAAP/APが導入されたAF/ASがコアネットワーク内にある場合のAKMA参照点のネットワークモデルの概略図である。
【図6b】本開示の実施例に係るAAP/APが導入されたAF/ASがコアネットワーク外にある場合のAKMA参照点のネットワークモデルの概略図である。
【図7】本開示の実施例に係る認証及び/又は鍵管理方法のフローチャートである。
【図8】本開示の実施例に係る別の認証及び/又は鍵管理方法のフローチャートである。
【図9】本開示の実施例に係る認証及び/又は鍵管理方法の概略図である。
【図10】本開示の実施例に係る別の認証及び/又は鍵管理方法のフローチャートである。
【図11】本開示の実施例に係る第一機器の構造の概略図である。
【図12】本開示の実施例に係る端末の構造の概略図である。
【図13】本開示の実施例に係るエッジクラウドシステムにおける低遅延シナリオでのAAP/APの展開の概略図である。
【発明を実施するための形態】
【0050】
本開示の解決しようとする技術的問題、技術的手段及び利点をより明確にするよう、以下、図面と具体的な実施例を参照しながら、詳細を記述する。
【0051】
図5、図6a、図6bに示すように、本開示の実施例において、AAP/APが導入されたAKMA基本ネットワークモデル、AAP/APが導入されたAF/ASがコアネットワーク内にある場合のAKMA参照点のネットワークモデルの概略図、AAP/APが導入されたAF/ASがコアネットワーク外にある場合のAKMA参照点のネットワークモデルの概略図を提供している。AAP/APは関連するアーキテクチャに新たに追加されたエンティティであり、ここで、AAPはAKMAアプリケーションプロキシ(AKMA Application Proxy)又はAKMA認証プロキシ(Authentication Proxy)を指し、APは認証プロキシ(Authentication Proxy)を指す。該AAP/APは一組又は同じ信頼ドメインにあるAF/ASのプロキシとされるか、又は、一組又は同じ信頼ドメインにあるAF/ASの中の特定の1つのAF/ASが、AAP/APとされてもよい。AAP/APは1つ以上のAF/ASに代わってAKMAアプリケーション鍵を申し込むことができる。AF/ASはAAP/APを信頼しており、それぞれのAF/ASは同じ信頼ドメインに属していてもよく、例えば、同じ垂直産業の一組のアプリケーションに属している。更に、AFは、5Gシステムの他のネットワーク機能(又はネットワークエレメント)と同様に、ネットワーク機能に従って定義された名称であることが、理解されるであろう。一方で、ASはサービスレベルに従った定義であり、サービス機能によって分類される。よって、一般的にはASはネットワーク層から見えないが、通常、AFの実現としてはASであってもよい。つまり、或る場合にはAFとASは等価な概念となってもよい。
【0052】
本開示の実施例において、AAP/APが導入された後のKAKMAの推論とアンカリングプロセスは元の標準プロセスと同様である。図3に示すプロセスのように、UEとAAnFの両方がKAKMAを備えており、その時点でAKMAアプリケーション鍵の推論手順が行われる。
【0053】
UEとAAP/AP間の通信が始まる前に、UEとAAP/APはAKMAが使用可能かどうか、それに、UEがAAP/APを通じてどのAF/ASとアプリケーション鍵を生成できるかを知っておく必要がある。これは、UEとAAP/APの具体的なアプリケーションに暗黙的に含まれているか、又は、AAP/APがUEに指示を出すことで行われる。例えば、ユーザがアクセスを開始すると、AAP/APはUa*プロトコルを通じてAKMA起動メッセージと、UEがAAP/AP経由でアクセスできるAF/ASのリストを返信する。該AF/ASリストには各AF/ASの識別子が含まれている。ここで、1つのAAP/APが維持するAF/ASの識別子は重複しない。
【0054】
図7に示すように、本開示の実施例において、認証及び/又は鍵管理方法が提供されており、前記方法は、ステップ701とステップ702を含む。
【0055】
ステップ701、第一機器が、ユーザ機器UEにより発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信する。
【0056】
ここで、該第一機器にはAAP/APが含まれてもよく、具体的には、通信事業者ネットワーク内部のAAP/AP、又は、通信事業者ネットワーク外部のAAP/APを含んでもよく、AAP/APが通信事業者ネットワーク外部にある場合、AAP/APはNEFを通じてコアネットワークのネットワークエレメントと通信する。
【0057】
該セッション確立要求メッセージに含まれている鍵識別子は、AKMA鍵識別子A-KIDであってもよい。
【0058】
実際の応用時、該AAP/APは、通信事業者ネットワークの認証及び許可を受けた後、AKMA鍵識別子A-KIDを通じてAAnFに、AKMAアプリケーション鍵KAFを要求できるようになる。AAP/APは、一組若しくは同じ信頼ドメインにあるAF/ASのプロキシとされ得るか、又は、一組若しくは同じ信頼ドメインにあるAF/ASの中の特定の1つのAF/ASがAAP/APの役割を担い得、これらのAF/ASのためにKAFからAKMA鍵を推論する。
【0059】
ステップ702、前記第一機器が、前記鍵識別子に基づいてUEとの間の第一鍵を取得する。
【0060】
該ステップにおいて、第一機器が該鍵識別子に基づいて、第一機器とUE間の第一鍵を取得し、該第一鍵はAKMAアプリケーション鍵KAFであってもよく、そして、第一機器は該第一鍵に基づいて、一組又は同じ信頼ドメインにある他のAF/ASのためにAKMA鍵を推論することができるようになる。
【0061】
具体的に、前記鍵識別子に基づいてUEとの間の第一鍵を取得することは、
前記第一機器が、前記鍵識別子に基づいて、ローカルにおいて前記鍵識別子に対応する第一鍵を取得すること、又は、
前記第一機器が前記鍵識別子に基づいて、AAnFから前記鍵識別子に対応する第一鍵を取得すること、を含む。
前記第一機器が、前記鍵識別子に基づいて、ローカルにおいて前記鍵識別子に対応する第一鍵を取得すること、又は、
前記第一機器が前記鍵識別子に基づいて、AAnFから前記鍵識別子に対応する第一鍵を取得すること、を含む。
【0062】
本開示の実施例において、第一機器は、一組又は同じ信頼ドメインにあるAF/ASのプロキシとされ得る。同じ信頼ドメインにあるAF/ASのプロキシとされる場合、該第一機器は、前記第一鍵に基づいて、第二機器のために、UEと第二機器間の第二鍵を生成することができる。具体的には、前記第一機器は、前記第一鍵と前記第二機器の識別子情報に基づいて第二鍵を生成することができ、ここで、該第二機器と第一機器は同じ信頼ドメインにある。
【0063】
本開示の実施例において、該第一機器と第二機器又はUEとの間でデータ伝送が行われる。具体的には、前記第一機器は、UEから第三鍵に基づいて保護されているデータを受信して、前記データを第二機器に送信する。前記第三鍵は、前記UEにより生成され、前記第一鍵と同じものであり、及び/又は、前記第一機器が、第二機器から送信されたデータを受信し、該データを前記第一鍵に基づいて保護して、前記データ(つまり、前記第一鍵に基づいて保護されたデータ)を前記UEに送信する。
【0064】
実際の応用において、前記第一機器は、前記UEに、前記UEがアクセス可能な第二機器のリストを提供することができる。該リストには、各第二機器の識別子が含まれてもよく、かつ、第二機器の識別子は重複しない。
【0065】
一実施例において、該方法は、前記第一機器が前記UEと、TLS安全チャネルを確立することを含んでもよく、このように、前記第一機器と前記UEとは、TLS安全チャネルを通じて安全伝送を行えるようになる。
【0066】
当業者が理解できることに、安全チャネルを確立する本質は、第一機器とUEはそれぞれ、対称鍵を1ペア推論し、該対称鍵を用いてデータの暗号化及び/又は完全性保護を行う、ということである。
【0067】
本開示の実施例において、前記第一機器がUEと、TLS安全チャネルを確立することは、具体的には、前記第一機器が、前記第一鍵又は前記第一鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することを含んでもよい。つまり、本出案の実施例において、AKMA技術に基づいて生成された第一鍵又はその派生鍵をTLSチャネル確立のためのプリ共有鍵(Pre-shared key/secret、又はPre shared key/secret)として利用し、TLS安全チャネルのプリマスター鍵(Premaster key/secret)又は外部プリ共有鍵(external pre-shared key/secret、PSK)を生成してもよい。(プリマスター鍵と外部プリ共有鍵の概念は等価であり、説明を簡潔にするために、以降はプリマスター鍵という名称で説明する)。後続では、プリマスター鍵又はプリマスター鍵の派生鍵に基づいて、データの暗号化及び/又は完全性保護を行うことができる。このようにすることで、AKMAメカニズムにより生成された第一鍵又はその派生鍵を巧みに利用してTLSチャネルのプリ共有鍵設定の問題を解決するとともに、TLS安全チャネルメカニズムを利用して、第一機器とUE間の通信の安全性を効果的に保証することができるという利点がある。該案は、追加の複雑な操作や大規模な機器改造を必要とせず、シンプルかつ実現が容易であり、大規模な展開や普及に適している。
【0068】
いくつかの実施例において、該方法は、
前記第一機器がUEに第一保護データを送信することを更に含んでもよく、前記第一保護データには、前記第一機器により前記第一鍵又は前記第一鍵の派生鍵に基づいて保護されているデータが含まれる。
前記第一機器がUEに第一保護データを送信することを更に含んでもよく、前記第一保護データには、前記第一機器により前記第一鍵又は前記第一鍵の派生鍵に基づいて保護されているデータが含まれる。
【0069】
いくつかの実施例において、該方法は、
前記第一機器が前記UEから送信された第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを受信することを更に含んでもよく、前記第三鍵は、前記UEにより生成され、前記第一鍵と同じ鍵である。
前記第一機器が前記UEから送信された第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを受信することを更に含んでもよく、前記第三鍵は、前記UEにより生成され、前記第一鍵と同じ鍵である。
【0070】
前記第一機器とUEが、TLS安全チャネルを利用して通信の安全を保護している場合、ここでの第一鍵又は前記第一鍵の派生鍵は、すなわちTLSチャネルのプリマスター鍵又はプリマスター鍵の派生鍵であり、そして、プリマスター鍵又はプリマスター鍵の派生鍵を利用してデータの安全保護を行うことになる。
【0071】
同様に、前記第一機器とUEが、TLS安全チャネルを利用して通信の安全を保護している場合、ここでの第三鍵又は第三鍵の派生鍵は、すなわちTLSチャネルのプリマスター鍵又はその派生鍵であり、そして、プリマスター鍵又はプリマスター鍵の派生鍵を利用してデータの安全保護を行うことになる。
【0072】
ここでの派生鍵とは、第一鍵/第三鍵に基づいて一回以上の派生を経て得られる鍵を指す。第一鍵からn回派生した後の派生鍵はTLSチャネルのプリ共有鍵とされ得、第一鍵からm回派生した後の派生鍵はTLSチャネルのプリマスター鍵とされ得、第三鍵の派生鍵も第一鍵の派生鍵と類似して扱われる。
【0073】
以下、ネットワークの展開に合わせて本提案に係る技術的手段を記述する。
【0074】
図8、9に示すように、本開示の実施例において、認証及び/又は鍵管理方法が提供されており、前記方法は、ステップ801~803を含む。
【0075】
ステップ801、AAP/APが、UEにより発信された、AKMA鍵識別子が付帯されているセッション確立要求メッセージを受信する。
【0076】
ここで、A-KIDの正式名称はAKMA Key IDentifier(AKMA鍵識別子)であり、AKMA鍵識別子と略称されている。
【0077】
具体的には、実際の応用時、該ステップの前にKAUSFからKAKMAとA-KIDを推論することができる。
【0078】
UEがAAP/APとの通信を起動する際に、Application Session Establishment Request(すなわちアプリケーション層のセッション確立要求)メッセージにA-KIDパラメータを含める。該メッセージを送信する前又は送信した後に、UEはKAKMA及び/又はKAFを推論する可能性がある。
【0079】
ステップ802、AKMA鍵識別子に基づいて、UEとの間のKAFを取得する。
【0080】
実際の応用において、該AAP/APは1つのAAnFを選択して鍵要求メッセージを送信し、前記AAnFからの応答メッセージに付帯されるAKMAアプリケーション鍵KAFを受信することができる。
【0081】
ここで、AAP/APには、A-KIDに関連するアクティブ化したコンテキストがない場合、AAP/APは1つのAAnFを選択し、AAnFにNaanf_AKMA_ApplicationKey_Get Requestメッセージ(すなわち鍵要求メッセージ)を送信してUEのKAFを要求する。AAP/APは関連技術で定義されたプロセスに従って1つのAAnFを選択することができる。
【0082】
ここで、鍵要求メッセージにはA-KIDとAF/ASの識別子(例えばAF_ID)が付帯されている。AF_IDにはAFのFQDN(Fully Qualified Domain Name、全限定ドメイン名)と安全プロトコル識別子が含まれてもよく、該安全プロトコル識別子はUa*プロトコル識別子として表されてもよい。ここで、Ua*プロトコル識別子はAAP/APとUE間で使用される安全プロトコルを識別するために使用される。
【0083】
実際の応用時、AAnFは設定されたローカルポリシー又はNRF(ネットワークリポジトリ機能)によって提供される許可情報又はポリシーに基づいて、AAP/APにサービスを提供するかどうかを確認することができる。具体的には、AAnFがAAP/APにサービスを提供するかどうかを確認することは、
前記AAnFがAF/ASの識別子に基づいて前記AAnFが、AAP/APにサービスを提供可能であるかをチェックすること、
チェックの結果が、前記AAnFがAAP/APにサービスを提供可能である場合、前記A-KIDに基づいて、AAnFに有効なKAKMAが存在するかを確認すること、
前記AAnFに有効なKAKMAが存在する場合、ユーザの使用が許可され得るAKMAを決定すること、
前記AAnFに有効なKAKMAが存在しない場合、エラー応答を発すること、を含んでもよい。
前記AAnFがAF/ASの識別子に基づいて前記AAnFが、AAP/APにサービスを提供可能であるかをチェックすること、
チェックの結果が、前記AAnFがAAP/APにサービスを提供可能である場合、前記A-KIDに基づいて、AAnFに有効なKAKMAが存在するかを確認すること、
前記AAnFに有効なKAKMAが存在する場合、ユーザの使用が許可され得るAKMAを決定すること、
前記AAnFに有効なKAKMAが存在しない場合、エラー応答を発すること、を含んでもよい。
【0084】
図9に示すように、AAnFにKAFがない場合、AAnFはKAKMAからUEのAKMAアプリケーション鍵KAFを推論する。
【0085】
具体的なKAFの推論手順は関連技術における定義に従って実行され得、本開示の実施例において繰り返して述べない。
【0086】
図9に示すように、AAnFはAAP/APにNaanf_AKMA_ApplicationKey_Get Responseメッセージ(すなわち鍵応答メッセージ)を送信することができ、該鍵応答メッセージにはKAFとライフサイクルが付帯されている。つまり、AAP/APはAAnFから送信された鍵応答メッセージに付帯されているUEのAKMAアプリケーション鍵KAFとライフサイクルを受信する。
【0087】
ステップ803、UEにアプリケーション層セッション確立応答メッセージを送信する。
【0088】
図8と図9を組み合わせて見ると、AAP/APがUEにApplication Session Establishment Response(すなわちアプリケーション層セッション確立応答)メッセージを送信する場合、図9の第4番目のステップの情報でAKMA鍵要求が失敗したことが示されていれば、AAP/APはアプリケーションセッション確立要求を拒否し、本ステップでエラー原因を付帯するべきである。次に、UEは最新のA-KIDを付帯する新たなアプリケーションセッション確立要求をAAP/APに発信する可能性がある。
【0089】
実際の応用時、AAP/APが通信事業者ネットワーク外部にある場合、AAP/APはNEF(Network Exposure Function、ネットワーク公開機能)を通じてAAnFからKAFとライフサイクルを取得できる。
【0090】
UEとAAP/APの間でKAFを有した後、AAP/APは、AAP/APに関連するAF/ASに基づいて、鍵を推論することができる。例えば、KAFとAF/ASの識別子を入力として使用して、UEとAF/AS間のアプリケーションキーを推論する。UEは同じアルゴリズムに基づいてUEとAF/AS間のアプリケーション鍵を生成する。UEがAF/ASにアプリケーション要求を送信すると、AF/ASはAAP/APにアプリケーション鍵を要求し、その後、UEとの間で該鍵に基づいて後続きの認証又はセッション保護を行うことができる。
【0091】
実際の応用時、AAP/APはAF/ASのために個別の鍵を推論しなくてもよい。この場合、UEがAF/ASと通信するときには、AF/ASの識別子をサービスメッセージに付帯してAAP/APに送信することができ、AAP/APがそれをAF/ASに転送する。UEとAAP/AP間は認証とデータ伝送保護が行われており、またAAP/APとAF/AS間は相互信頼に基づく安全プロトコル通信が行われているため、UEからAAP/APへ、そしてAAP/APからAF/ASへのアプリケーション層の逐次的な安全保護が実現され得る。これにより、UEから各AF/ASへのデータ伝送の安全性が実現される。
【0092】
本開示の実施例に係る認証及び/又は鍵管理方法では、AKMA基本ネットワークモデルにAAP/APを導入して、該AAP/APは、一組又は同じ信頼ドメインにあるAF/ASのプロキシとされるか、又は、一組又は同じ信頼ドメインにあるAF/ASの中の特定の1つAF/ASがAAP/APとされてもよい。つまり、AAP/APが1つ以上のAF/ASに代わってAKMAアプリケーション鍵を申し込むことができる。AF/ASはAAP/APを信頼している。これにより、AUSF及びAAnFが、UEとAF/ASとのためにAKMAアプリケーション鍵を確立するためのリソースを減少させ、AKMA鍵を取得する際の遅延を減少させ、低遅延シナリオのサービスニーズを満たす。
【0093】
図10に示すように、本開示の実施例において、認証及び/又は鍵管理方法が提供されており、前記方法は、ステップ1001及び1002を含む。
【0094】
ステップ1001、UEが、第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信する。
【0095】
ここで、第一機器はAAP/APを含んでもよく、具体的には、通信事業者ネットワーク内部のAAP/AP、又は、通信事業者ネットワーク外部のAAP/APを含んでもよい。AAP/APが通信事業者ネットワーク外部にある場合、AAP/APはNEFを通じてコアネットワークのネットワークエレメントと通信することができる。
【0096】
ステップ1002、前記UEが、第一機器から送信された第一保護データを受信する。
【0097】
具体的には、該第一保護データは、第一機器が第一鍵又は第一鍵の派生鍵に基づいて保護しているデータを含む。前記第一鍵は、前記第一機器が鍵識別子に基づいて取得したものであり、該第一鍵はAKMAアプリケーション鍵KAFであってもよい。
【0098】
第一機器に関しては、第一機器が、一組のAF/AS又は同じ信頼ドメインにあるAF/ASのプロキシとして、第一鍵を取得した後、これらのAF/ASのためにKAFからAKMA鍵を推論することができる。該第一鍵は、前記第一機器が、前記鍵識別子に基づいて取得したものであり、具体的には、第一機器は、前記鍵識別子に基づいてローカルから、該鍵識別子に対応の第一鍵を取得することができる。又は、前記第一機器は、前記鍵識別子に基づいてAAnFから、該鍵識別子に対応の第一鍵を取得することができる。
【0099】
その一方、前記UEに関しては、前記UEが、前記第一鍵と同じ第三鍵及び第二鍵と同じ第四鍵を生成することができる。つまり、UE側のAKMAアプリケーション鍵はUE自体が生成し、それぞれ第一機器及び第二機器との通信に使用される第三鍵及び第四鍵を生成し、かつ、第三鍵及び第四鍵は、それぞれ第一鍵及び第二鍵と同じである。AF/ASのAKMAアプリケーション鍵はAAP/APにより生成される。上述のように、第一鍵及び第二機器の識別情報に基づいて、第二鍵が生成される。
【0100】
本開示の実施例において、該第一機器と、第二機器又はUEとの間でデータ伝送が行われ、具体的に、前記UEは、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを前記第一機器に送信して、前記第一機器が前記データを第二機器に送信するようにしてもよく、
及び/又は、前記UEは、前記第二機器から送信された第二保護データを受信してもよく、前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものであり、
及び/又は、前記UEが、前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信してもよい。
及び/又は、前記UEは、前記第二機器から送信された第二保護データを受信してもよく、前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものであり、
及び/又は、前記UEが、前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信してもよい。
【0101】
いくつかの実施例において、前記方法は、前記UEが前記第一機器と、TLS安全チャネルを確立することを更に含む。
【0102】
いくつかの実施例において、前記UEが前記第一機器と、TLS安全チャネルを確立することは、具体的に、
前記UEが、前記第一鍵と同じ第三鍵を生成することと、
前記UEが、前記第三鍵又は前記第三鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することと、を含んでもよい。UEに関するこの部分の内容は、前述の第一機器に関する内容で既に説明されており、ここでは繰り返して述べない。
前記UEが、前記第一鍵と同じ第三鍵を生成することと、
前記UEが、前記第三鍵又は前記第三鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することと、を含んでもよい。UEに関するこの部分の内容は、前述の第一機器に関する内容で既に説明されており、ここでは繰り返して述べない。
【0103】
実際の応用において、前記第一機器は、UEに、UEがアクセス可能な第二機器のリストを提供することができる。つまり、前記UEは、第一機器から、UEがアクセス可能な第二機器のリストを取得することができ、該リストには、各第二機器の識別子が含まれてもよく、かつ、第二機器の識別子は重複しない。
【0104】
本開示の実施例に係る認証及び/又は鍵管理方法では、AKMA基本ネットワークモデルにAAP/APを導入して、AAP/APが1つ以上のAF/ASに代わってAKMAアプリケーション鍵を申し込むことができる。AF/ASはAAP/APを信頼しており、UEが、該APP/APとのインタラクションを通じて、AAP/APとの間の第一鍵を取得して、AUSF及びAAnFが、UEとAF/ASとのためにAKMAアプリケーション鍵を確立するためのリソースを減少させ、AKMA鍵を取得する際の遅延を減少させ、低遅延シナリオのサービスニーズを満たす。
【0105】
図11に示すように、本開示の実施例において、認証及び/又は鍵管理に用いられる第一機器が提供されており、前記第一機器は、第一処理モジュール1101及び第一取得モジュール1102を含む。
【0106】
前記第一処理モジュール1101は、UEにより発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信するように構成され、
前記第一取得モジュール1102は、前記鍵識別子に基づいて前記UEとの間の第一鍵を取得するように構成される。
前記第一取得モジュール1102は、前記鍵識別子に基づいて前記UEとの間の第一鍵を取得するように構成される。
【0107】
一実施例において、前記第一機器は、生成モジュールを更に含んでもよい。
前記生成モジュールは、前記第一鍵に基づいて、第二機器のために前記UEと前記第二機器間の第二鍵を生成するように構成される。
前記生成モジュールは、前記第一鍵に基づいて、第二機器のために前記UEと前記第二機器間の第二鍵を生成するように構成される。
【0108】
一実施例において、前記生成モジュールは、更に、前記第一鍵と前記第二機器の識別子情報に基づいて第二鍵を生成するように構成される。
【0109】
一実施例において、前記第一処理モジュール1101は、更に、
前記UEから第三鍵に基づいて保護されているデータを受信して、前記データを第二機器に送信するように、
及び/又は、
第二機器から送信されたデータを受信し、前記データを前記第一鍵に基づいて保護して、前記データを前記UEに送信するように、構成され、
前記第三鍵は、前記UEにより生成され、前記第一鍵と同じものである。
前記UEから第三鍵に基づいて保護されているデータを受信して、前記データを第二機器に送信するように、
及び/又は、
第二機器から送信されたデータを受信し、前記データを前記第一鍵に基づいて保護して、前記データを前記UEに送信するように、構成され、
前記第三鍵は、前記UEにより生成され、前記第一鍵と同じものである。
【0110】
一実施例において、前記第一取得モジュール1102は、更に、
前記鍵識別子に基づいて、ローカルにおいて該鍵識別子に対応する第一鍵を取得するように、又は、
前記鍵識別子に基づいて、AAnFから該鍵識別子に対応する第一鍵を取得するように構成される。
前記鍵識別子に基づいて、ローカルにおいて該鍵識別子に対応する第一鍵を取得するように、又は、
前記鍵識別子に基づいて、AAnFから該鍵識別子に対応する第一鍵を取得するように構成される。
【0111】
一実施例において、前記第一処理モジュール1101は、更に、前記UEに、前記UEがアクセス可能な第二機器のリストを提供するように構成される。
【0112】
一実施例において、前記第一処理モジュール1101は、更に、前記UEと、TLS安全チャネルを確立するように構成される。
【0113】
一実施例において、前記第一処理モジュール1101は、更に、前記第一鍵又は前記第一鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成するように構成される。
【0114】
一実施例において、前記第一処理モジュール1101は、更に、UEに第一保護データを送信するように構成され、前記第一保護データには、前記第一機器により前記第一鍵又は前記第一鍵の派生鍵に基づいて保護されているデータが含まれる。
【0115】
一実施例において、前記第一処理モジュール1101は、更に、前記UEから送信された、第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを受信するように構成され、前記第三鍵は、UEにより生成された、前記第一鍵と同じ鍵である。
【0116】
本開示の実施例に係る第一機器では、該第一機器が1つ以上のAF/ASに代わってAKMAアプリケーション鍵を申し込むことができる。これらのAF/ASは第一機器を信頼しており、同じ信頼ドメインに属するものであってもよい。これにより、AUSF及びAAnFが、UEとAF/ASとのためにAKMAアプリケーション鍵を確立するためのリソースを減少させ、AKMA鍵を取得する際の遅延を一定の程度で減少させ、低遅延シナリオのサービスニーズを満たす。
【0117】
なお、本開示の実施例に係る第一機器は、上述の認証及び/又は鍵管理方法を実行可能な装置であり、そのため、上述の認証及び/又は鍵管理方法の全ての実施例は、該第一機器に適用しており、かつ、同じ又は類似の有益な効果を達成できる。
【0118】
図12に示すように、本開示の実施例において、認証及び/又は鍵管理に用いられる端末が更に提供されており、前記端末は、第二処理モジュール1201及び第一受信モジュール1202を含み、
第二処理モジュール1201が、第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信するように構成され、
第一受信モジュール1202が、前記第一機器から送信された第一保護データを受信するように構成され、
前記第一保護データには、前記第一機器により第一鍵又は第一鍵の派生鍵に基づいて保護されているデータが含まれ、前記第一鍵が、前記第一機器により前記鍵識別子に基づいて取得されたものである。
第二処理モジュール1201が、第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信するように構成され、
第一受信モジュール1202が、前記第一機器から送信された第一保護データを受信するように構成され、
前記第一保護データには、前記第一機器により第一鍵又は第一鍵の派生鍵に基づいて保護されているデータが含まれ、前記第一鍵が、前記第一機器により前記鍵識別子に基づいて取得されたものである。
【0119】
一実施例において、前記端末は、
前記第一鍵と同じ第三鍵を生成し、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを前記第一機器に送信して、前記第一機器が前記データを第二機器に送信するように構成される第三処理モジュールと、
前記第二鍵と同じ第四鍵を生成するように構成される第四処理モジュールと、
第二受信モジュールであって、前記第二機器から送信された第二保護データを受信するように構成され、前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものであり、
及び/又は、
前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信するように構成される第二受信モジュールと、を更に含んでもよい。
前記第一鍵と同じ第三鍵を生成し、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを前記第一機器に送信して、前記第一機器が前記データを第二機器に送信するように構成される第三処理モジュールと、
前記第二鍵と同じ第四鍵を生成するように構成される第四処理モジュールと、
第二受信モジュールであって、前記第二機器から送信された第二保護データを受信するように構成され、前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものであり、
及び/又は、
前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信するように構成される第二受信モジュールと、を更に含んでもよい。
【0120】
一実施例において、前記端末は、前記第一機器から、前記UEがアクセス可能な第二機器のリストを取得するように構成される第二取得モジュールを更に含んでもよい。
【0121】
一実施例において、前記第二処理モジュール1201は、更に、前記第一機器と、TLS安全チャネルを確立するように構成される。
【0122】
一実施例において、前記第二処理モジュール1201は、更に、
前記第一鍵と同じ第三鍵を生成することと、
前記第三鍵又は前記第三鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することとを実行するように構成される。
前記第一鍵と同じ第三鍵を生成することと、
前記第三鍵又は前記第三鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することとを実行するように構成される。
【0123】
本開示の実施例に係る端末では、AKMA基本ネットワークモデルにAAP/APを導入して、AAP/APが1つ以上のAF/ASに代わってAKMAアプリケーション鍵を申し込むことができる。AF/ASはAAP/APを信頼しており、UEが、該APP/APとのインタラクションを通じて、AAP/APとの間の第一鍵を取得して、AUSF及びAAnFが、UEとAF/ASとのためにAKMAアプリケーション鍵を確立するためのリソースを減少させ、AKMA鍵を取得する際の遅延を減少させ、低遅延シナリオのサービスニーズを満たす。
【0124】
なお、本開示の実施例に係る端末は、上述の認証及び/又は鍵管理方法を実行可能な装置であり、そのため、上述の認証及び/又は鍵管理方法の全ての実施例は、該端末に適用しており、かつ、同じ又は類似の有益な効果を達成できる。
【0125】
関連するAKMAネットワークモデルをエッジコンピューティングのシナリオに適用する際、1つのメーカーが複数のAPP(Application、アプリケーション)を持っている可能性がある。これらのAPPはAF/ASとされ、UEとAPP間の共有鍵としてAKMAアプリケーション鍵を使用し、後続のアプリケーション層保護用の鍵を推論するために使用する場合、各APPはコアネットワーク内のAAnFにAKMAアプリケーション鍵を要求する必要がある。遅延に厳しいサービスにとっては、アプリケーション層共有鍵の生成時間が低遅延要件を満たせない可能性がある。
【0126】
図13に示すように、本開示の実施例において、エッジクラウドシステムにおける低遅延シナリオのAAP/AP展開アーキテクチャが提供されている。エッジクラウド上に遅延要件が厳しい複数のAPP(例えば、APP1、APP2など)を展開しており、これらのAPPがAF/ASとされる。この場合、AAP/APがあらかじめコアクラウドのNEF及びAAnFとインタラクションして鍵を取得することで、全てのAPPがこの安全チャネルを使用できるようになり、個別のAPPごとにコアクラウドから鍵を取得する必要がなくなる。その結果、UEとAPP間のアプリケーション層の安全チャネルを確立し、低遅延の要件を満たすことができる。
【0127】
本開示の実施例において、メモリ、プロセッサ及び前記メモリに記憶され前記プロセッサ上で実行可能なプログラムを含む通信機器が更に提供しており、前記プロセッサが、前記プログラムを実行する際に、上記の認証及び/又は鍵管理方法の実施例における各手順を実現し、かつ、同じ技術的効果を達成でき、重複を避けるため、ここで繰り返して述べない。
【0128】
本開示の実施例において、コンピュータプログラムが記憶されたコンピュータ可読記憶媒体が更に提供されており、該コンピュータプログラムが、プロセッサにより実行される際、上記の認証及び/又は鍵管理方法の実施例における各手順を実現し、かつ、同じ技術的効果を達成でき、重複を避けるため、ここで繰り返して述べない。ここで、前記コンピュータ可読記憶媒体としては、例えば、リードオンリーメモリ(Read-Only Memory、ROMと略称)、ランダムアクセスメモリ(Random Access Memory、RAMと略称)、磁気ディスク又は光ディスクなどのものである。
【0129】
当業者であれば、本開示の実施例が、方法、システム又はコンピュータプログラム製品として提供され得ることを理解しているであろう。そのため、本開示が、完全にハードウェアベースの実施例、完全にソフトウェアベースの実施例、又はハードウェアとソフトウェアの組み合わせによる実施例の形で実現可能である。また、本開示は、コンピュータ利用可能なコードが含まれる1つ以上のコンピュータ可読記憶媒体(磁気メモリ及び光学メモリなどが含まれるがそれらに限られない)上に実施されたコンピュータプログラム製品の形式でも実現できる。
【0130】
本開示は、本開示の実施例の方法、機器(システム)及びコンピュータプログラム製品に関するフローチャート及び/又はブロック図を参照して記述されている。フローチャート及び/又はブロック図の各プロセス及び/又はブロック、並びに、フローチャート及び/又はブロック図におけるプロセス及び/又はブロックの組合せは、コンピュータプログラム指令によって実現され得ることが理解されるであろう。これらのコンピュータプログラム指令は、汎用コンピュータ、専用コンピュータ、埋め込み型プロセッサ、又はその他のプログラム可能なデータ処理機器のプロセッサに提供されて、機械を生成する。この機械は、コンピュータ又は他のプログラム可能なデータ処理機器のプロセッサによって実行される指令を介して、フローチャート中の1つ又は複数のプロセス及び/又はブロック図中の1つ又は複数のブロックで指定された機能を実現する装置を生成するものである。
【0131】
これらのコンピュータプログラム指令は、特定の方法で動作するようにコンピュータ又はその他のプログラム可能なデータ処理機器を指示するコンピュータ可読記憶媒体に記憶され、コンピュータ可読記憶媒体で記憶された指令は、フローチャート中の1つ又は複数のプロセス及び/又はブロック図中の1つ又は複数のブロックで指定された機能を実行する、紙製品が含まれる指令装置を構成する。
【0132】
これらのコンピュータプログラム指令は、コンピュータ又はその他のプログラム可能なデータ処理機器にロードされ得、一連の操作ステップをコンピュータ又は他のプログラム可能な装置上で実行させることで、コンピュータにより実現される処理を生成する。これにより、コンピュータ又は他のプログラム可能な機器で実行される指令が、フローチャート中の1つ又は複数のプロセス及び/又はブロック図中の1つ又は複数のブロックで指定された機能を実現するステップを提供する。
【0133】
以上は本開示のいくつかの実施例である。なお、当業者にとって、本開示の原理から逸脱することなく多くの改良及び変更を加えることができ、それらも本開示の保護範囲と見なされるべきである。
【符号の説明】
【0134】
1101 第一処理モジュール
1102 第一取得モジュール
1201 第二処理モジュール
1202 第一受信モジュール
1102 第一取得モジュール
1201 第二処理モジュール
1202 第一受信モジュール
【図1】
【図2a】
【図2b】
【図3】
【図4】
【図5】
【図6a】
【図6b】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【手続補正書】
【提出日】2024-07-09
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
認証及び/又は鍵管理方法であって、第一機器が、ユーザ機器UEにより発信された、鍵識別子が付帯されているセッション確立要求メッセージを受信することと、
前記第一機器が、前記鍵識別子に基づいて前記UEとの間の第一鍵を取得することとを含む、
認証及び/又は鍵管理方法。
【請求項2】
前記方法は、前記第一機器が、前記第一鍵に基づいて、第二機器のために前記UEと前記第二機器間の第二鍵を生成することを更に含む、請求項1に記載の方法。
【請求項3】
前記第一機器が、前記第一鍵に基づいて、第二機器のために前記UEと前記第二機器間の第二鍵を生成することは、前記第一機器が、前記第一鍵と前記第二機器の識別子情報に基づいて第二鍵を生成することを含む、請求項2に記載の方法。
【請求項4】
前記方法は、前記第一機器が、前記UEから第三鍵に基づいて保護されているデータを受信して、前記データを第二機器に送信すること、
及び/又は、
前記第一機器が、第二機器から送信されたデータを受信し、前記データを前記第一鍵に基づいて保護して、前記データを前記UEに送信すること、を更に含み、
前記第三鍵は、前記UEにより生成され、前記第一鍵と同じものである、請求項1に記載の方法。
【請求項5】
前記鍵識別子に基づいて前記UEとの間の第一鍵を取得することは、前記第一機器が、前記鍵識別子に基づいて、ローカルにおいて前記鍵識別子に対応する第一鍵を取得すること、又は、
前記第一機器が前記鍵識別子に基づいて、アプリケーション層認証及び鍵管理アンカ機能(AAnF)から前記鍵識別子に対応する第一鍵を取得すること、を含む、請求項1に記載の方法。
【請求項6】
前記方法は、前記第一機器が、前記UEに、前記UEがアクセス可能な第二機器のリストを提供することを更に含む、請求項1に記載の方法。
【請求項7】
前記方法は、前記第一機器が前記UEと、トランスポート層セキュリティ(TLS)安全チャネルを確立することを更に含む、請求項1に記載の方法。
【請求項8】
前記第一機器が前記UEと、TLS安全チャネルを確立することは、前記第一機器が、前記第一鍵又は前記第一鍵の派生鍵に基づいて、前記TLS安全チャネルのプリマスター鍵又は外部プリ共有鍵を生成することを含む、請求項7に記載の方法。
【請求項9】
前記方法は、前記第一機器がUEに第一保護データを送信することを更に含み、
前記第一保護データには、前記第一機器により前記第一鍵又は前記第一鍵の派生鍵に基づいて保護されているデータが含まれる、請求項1に記載の方法。
【請求項10】
前記方法は、前記第一機器が前記UEから送信された、第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを受信することを更に含み、前記第三鍵は、UEにより生成された、前記第一鍵と同じ鍵である、請求項1に記載の方法。
【請求項11】
前記第一機器が一組のアプリケーション機能(AF)/アプリケーションサーバ(AS)、又は同じ信頼ドメインにあるAF/ASを代理することに用いられる、請求項1に記載の方法。
【請求項12】
前記第一機器がアプリケーション層認証及び鍵管理(AKMA)アプリケーションプロキシ、又は認証プロキシ、又はAKMA認証プロキシを含む、請求項1に記載の方法。
【請求項13】
認証及び/又は鍵管理方法であって、UEが、第一機器に、鍵識別子が付帯されているセッション確立要求メッセージを送信することと、
前記UEが、前記第一機器から送信された第一保護データを受信することと、を含み、
前記第一保護データには、前記第一機器により第一鍵又は第一鍵の派生鍵に基づいて保護されているデータが含まれ、前記第一鍵が、前記第一機器により前記鍵識別子に基づいて取得されたものである、認証及び/又は鍵管理方法。
【請求項14】
前記方法は、前記UEが、前記第一鍵と同じ第三鍵を生成し、前記第三鍵又は第三鍵の派生鍵に基づいて保護されているデータを前記第一機器に送信して、前記第一機器が前記データを第二機器に送信するようにすること、
及び/又は、
前記UEが、第二鍵と同じ第四鍵を生成し、前記第二機器から送信された第二保護データを受信すること、
及び/又は、
前記UEが、前記第一機器により前記第一鍵に基づいて保護され、転送されたデータを受信すること、を更に含み、
前記第二保護データには、前記第二機器により前記第二鍵に基づいて保護されているデータが含まれ、前記第二鍵が、前記第一機器により前記第一鍵に基づいて、前記第二機器のために生成されたものである、請求項13に記載の方法。
【請求項15】
通信機器であって、メモリ、プロセッサ及び前記メモリに記憶され前記プロセッサ上で実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行する際に、請求項1~12のいずれか1項に記載の認証及び/又は鍵管理方法、又は請求項13又は14に記載の認証及び/又は鍵管理方法を実現する、通信機器。
【国際調査報告】