[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2024530949A - セキュアチャネルの確立方法およびその装置、関連機器、並びに記憶媒体 - Google Patents

セキュアチャネルの確立方法およびその装置、関連機器、並びに記憶媒体 Download PDF

Info

Publication number
JP2024530949A
JP2024530949A JP2024508010A JP2024508010A JP2024530949A JP 2024530949 A JP2024530949 A JP 2024530949A JP 2024508010 A JP2024508010 A JP 2024508010A JP 2024508010 A JP2024508010 A JP 2024508010A JP 2024530949 A JP2024530949 A JP 2024530949A
Authority
JP
Japan
Prior art keywords
key
message
secure channel
establishing
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2024508010A
Other languages
English (en)
Inventor
黄▲曉▼▲てぃん▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Publication of JP2024530949A publication Critical patent/JP2024530949A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本願は、セキュアチャネルの確立方法およびその装置、5Gメッセージ端末、5Gメッセージサーバ、並びに記憶媒体を開示する。ここで、前記方法は、5Gメッセージ端末が、アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を生成することと、前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立することと、を含む。一実施形態では、前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立することは、前記第1鍵に基づいて第3鍵を生成し、第1アイデンティティを含むクライアント鍵交換メッセージを前記5Gメッセージサーバに送信することと、前記5Gメッセージ端末と5Gメッセージサーバとの間のトランスポート層セキュリティ(TLS)セキュアチャネルを確立することと、を含む。【選択図】図4

Description

(関連出願への相互参照)
本願は、2021年08月09日に中国特許局に提出された、出願番号が202110910311.1である中国特許出願に基づいて提出されるものであり、当該中国特許出願の優先権を主張し、当該中国特許出願のすべての内容が参照により本願に組み込まれている。
本願は、ネットワークセキュリティ分野に関し、特に、セキュアチャネルの確立方法およびその装置、関連機器、並びに記憶媒体に関する。
関連技術では、図1に示すように、第5世代移動通信技術(5G)メッセージサービスおよびアプリケーション層における当該サービスのアーキテクチャとプロセスが定義されている。5Gメッセージサービスのセキュリティ問題を如何に解決するか、特に、5Gメッセージ端末(英語ではMSGin5G UEと表記できる)と5Gメッセージサーバ(英語ではMSGin5G Serverと表記できる)との間のネットワーク情報のセキュリティを如何に保障するかは、解決すべき緊急の課題となっている。
関連技術的課題を解決するために、本願の実施例は、セキュアチャネルの確立方法およびその装置、関連機器、並びに記憶媒体を提供する。
本願の実施例の技術的解決策は、以下のように実現される。
本願の実施例は、5Gメッセージ端末によって実行される、セキュアチャネルの確立方法を提供し、前記方法は、
アプリケーション層のための認証および鍵管理(AKMA:Authentication and Key Management for Application)サービスに基づいて、第1鍵を生成することと、
前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立することと、を含む。
上記の解決策において、前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立することは、
前記第1鍵に基づいて第3鍵を生成し、第1アイデンティティを含むクライアント鍵交換メッセージを前記5Gメッセージサーバに送信することと、
前記5Gメッセージ端末と5Gメッセージサーバとの間のトランスポート層セキュリティ(TLS:Transport Layer Security)セキュアチャネルを確立することと、を含む。
上記の解決策において、前記AKMAサービスに基づいて、第1鍵を生成する前に、前記セキュアチャネルの確立方法は、
端末とコアネットワークとの間の初期認証を行うことをさらに含む。
上記の解決策において、前記AKMAサービスに基づいて、第1鍵を生成することは、
前記5Gメッセージサーバにセッション確立要求を送信することであって、前記セッション確立要求は、第1アイデンティティを少なくとも含む、ことと、
前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成することであって、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである、ことと、を含む。
上記の解決策において、前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成することは、前記5Gメッセージサーバに前記セッション確立要求を送信する前にまたは後に行われる。
上記の解決策において、前記方法は、
5Gメッセージサーバから送信されたセッション確立応答を受信することをさらに含み、
前記第1鍵を生成することは、前記セッション確立応答を受信する前にまたは後に行われる。
本願の実施例はさらに、5Gメッセージサーバによって実行される、セキュアチャネルの確立方法を提供し、前記方法は、
AKMAサービスに基づいて、第1鍵を取得することと、
前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立することと、を含む。
上記の解決策において、前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立することは、
5Gメッセージ端末から送信された、第1アイデンティティを含むクライアント鍵交換メッセージを受信することと、
前記第1アイデンティティに基づいて、前記第1鍵を取得し、前記第1鍵を利用して、第3鍵を生成し、前記5Gメッセージサーバと5Gメッセージ端末との間のTLSセキュアチャネルを確立することと、を含む。
上記の解決策において、前記AKMAサービスに基づいて、第1鍵を取得することは、
前記5Gメッセージ端末から送信されたセッション確立要求を受信することであって、前記セッション確立要求は、第1アイデンティティを少なくとも含む、ことと、
コアネットワークに鍵要求を送信することであって、前記鍵要求は、前記第1アイデンティティを少なくとも含む、ことと、
前記コアネットワークから送信された第1情報を受信することと、を含み、前記第1情報は、前記第1アイデンティティによって識別される第2鍵に基づいて生成された前記第1鍵を少なくとも含み、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである。
上記の解決策において、前記第1情報は、前記第1鍵の周期をさらに含む。
本願の実施例はさらに、セキュアチャネルの確立装置を提供し、前記装置は、
AKMAサービスに基づいて、第1鍵を生成するように構成される第1処理ユニットと、
前記第1鍵に基づいて、5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立するように構成される第2処理ユニットと、を備える。
本願の実施例はさらに、セキュアチャネルの確立装置を提供し、前記装置は、
AKMAサービスに基づいて、第1鍵を取得するように構成される第3処理ユニットと、
前記第1鍵に基づいて、5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立するように構成される第4処理ユニットと、を備える。
本願の実施例はさらに、第1通信インターフェースと、第1プロセッサと、を備える、5Gメッセージ端末を提供し、
前記第1プロセッサは、
AKMAサービスに基づいて、第1鍵を生成し、
前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立する。
本願の実施例はさらに、第2通信インターフェースと、第2プロセッサと、を備える、5Gメッセージサーバを提供し、
前記第2プロセッサは、
AKMAサービスに基づいて、第1鍵を取得し、
前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立する。
本願の実施例はさらに、第1プロセッサと、プロセッサで実行可能なコンピュータプログラムを記憶した第1メモリと、を備える5Gメッセージ端末を提供し、
ここで、前記第1プロセッサは、前記コンピュータプログラムを実行することにより、上記の5Gメッセージ端末側のいずれか1つの方法におけるすべての処理を実行する。
本願の実施例はさらに、第2プロセッサと、プロセッサで実行可能なコンピュータプログラムを記憶した第2メモリと、を備える5Gメッセージサーバを提供し、
ここで、前記第2プロセッサは、前記コンピュータプログラムを実行することにより、上記の5Gメッセージサーバ側のいずれか1つの方法におけるすべての処理を実行する。
本願の実施例はさらに、プロセッサに、上記の5Gメッセージ端末側のいずれか1つの方法におけるすべての処理を実現させ、または上記の5Gメッセージサーバ側のいずれか1つの方法におけるすべての処理を実現させるためのコンピュータプログラムが記憶された、記憶媒体を提供する。
本願の実施例によるセキュアチャネルの確立方法およびその装置、関連機器、並びに記憶媒体では、5Gメッセージ端末は、AKMAサービスに基づいて第1鍵を生成し、5Gメッセージサーバは、AKMAサービスに基づいて第1鍵を取得し、前記5Gメッセージ端末および前記5Gメッセージサーバは、前記第1鍵に基づいて前記5Gメッセージ端末と前記5Gメッセージサーバとの間のセキュアチャネルを確立する。本願の実施例の解決策によれば、5Gメッセージ端末および5Gメッセージサーバは、AKMAサービスに基づいて第1鍵を取得し、前記第1鍵に基づいて前記5Gメッセージ端末と前記5Gメッセージサーバとの間のセキュアチャネルを確立し、このようにして、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースの保護のために、5Gメッセージ端末に認証クレデンシャルを事前に設定する必要がなく、サービスイネーブラアーキテクチャ層(SEAL:service enabler architecture layer)アーキテクチャを利用した認証メカニズムや拡張認証プロトコル(EAP:Extensible Authentication Protocol)認証フレームワークなどの追加の認証メカニズムも必要なく、且つ端末に対して新たな要求を追加する必要もなく、AKMAサービスのみに基づいて、アプリケーション層の5Gメッセージ端末と5Gメッセージサーバとの間の高速認証を実現することができ、それにより、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースのセキュリティを保障することができる。
関連技術における5Gメッセージサービスのアプリケーション層のアーキテクチャの概略図である。
関連技術における5Gメッセージ端末および5GメッセージサーバのSEALアーキテクチャに基づく認証の例示的なフローチャートである。
関連技術における5Gメッセージ端末および5Gメッセージサーバの二次認証の例示的なフローチャートである。
本願の実施例の1つのセキュアチャネルの確立方法の例示的なフローチャートである。
本願の実施例の別の1つのセキュアチャネルの確立方法の例示的なフローチャートである。
本願の適用実施例のネットワークアーキテクチャの概略図である。
本願の適用実施例の5Gメッセージ端末と5Gメッセージサーバとの間の認証の例示的なフローチャートである。
本願の実施例の1つのセキュアチャネルの確立装置の例示的な構造図である。
本願の実施例の別の1つのセキュアチャネルの確立装置の例示的な構造図である。
本願の実施例の5Gメッセージ端末の例示的な構造図である。
本願の実施例の5Gメッセージサーバの例示的な構造図である。
本願の実施例のセキュアチャネルの確立システムの例示的な構造図である。
以下では、図面および実施例を参照して、本願についてさらに詳細に説明する。
関連技術では、5Gメッセージ端末と5Gメッセージサーバとの間のネットワーク情報のセキュリティを保障するために、次の2つの方式を採用して、5Gメッセージ端末と5Gメッセージサーバとの間の認証、認可および対応するインターフェース(即ち、図1に示すMSGin5G-1インターフェース)のセキュリティを保護することができる。
方式1において、5Gメッセージ端末と5Gメッセージサーバは、SEALアーキテクチャに基づいて認証を行う。
具体的に、SEALサーバ(英語ではSEAL Serverと表記できる)は、SEAL端末(即ち、SEALクライアント(英語ではSEAL Clientと表記できる)がインストールされた5Gメッセージ端末)にアクセストークン(token)を発行し、5Gメッセージ端末がtokenを運んで5Gメッセージサーバにアクセスした後、5Gメッセージサーバは、SEALサーバとドッキングしてtoken検証を行い、token検証に合格した場合にのみ、5Gメッセージサーバは、端末の後続のビジネスインタラクション要求を許可する。
図2に示すように、5Gメッセージ端末および5GメッセージサーバのSEALアーキテクチャに基づく認証のプルセスは、以下のステップを含むことができる。
ステップ201において、5Gメッセージ端末のSEALクライアントとSEALサーバとの1つのセキュアチャネルを確立する。その後、ステップ202を実行する。
ステップ202において、SEALクライアントが、SEALサーバに認証要求を送信する。その後、ステップ203を実行する。
ここで、5Gメッセージ端末は、5Gメッセージ端末によってサポートされる認証方式に基づいて、OIDC(OpenID Connect)認証要求などの前記認証要求を送信することができる。
ステップ203において、SEALサーバが、ユーザ名とパスワードを要求するためのハイパーテキストマークアップ言語(HTML:Hyper Text Markup Language)ページをSEALクライアントに送信する。その後、ステップ204を実行する。
ステップ204において、SEALクライアントが、ユーザ名とパスワードをSEALサーバに送信する。その後、ステップ205を実行する。
ここで、SEALクライアントは、前記HTMLページに基づいて、SEALサーバにユーザ名とパスワードを送信する。
ステップ205において、SEALサーバが、ユーザ名とパスワードを検証する。検証に合格した後、ステップ206を実行する。
ステップ206において、SEALサーバが、SEALクライアントに認証応答を送信する。その後、ステップ207を実行する。
ここで、前記認証応答は、認可コード(英語ではAuthorization Codeと表記でき、AuthCodeと略称できる)を含み、前記認証応答は、ステップ202における認証要求に対応し、つまり、前記認証要求がOIDC認証要求である場合、前記認証応答は、OIDC認証応答である。
ステップ207において、SEALクライアントが、SEALサーバにtoken要求(例えば、OIDC token要求)を送信する。その後、ステップ208を実行する。
ここで、前記token要求は、AuthCodeを含む。
ステップ208において、SEALサーバが、SEALクライアントにtoken応答を送信する。その後、ステップ209を実行する。
ここで、前記token応答は、アクセスtokenを含む。
ステップ209において、5Gメッセージ端末の5Gメッセージサービスクライアントが、SEALクライアントから認証クレデンシャル(即ち、アクセスtoken)を取得する。その後、ステップ210を実行する。
ステップ210において、5Gメッセージサービスクライアントおよび5Gメッセージサーバが、1つのセキュアチャネルを確立する。その後、ステップ211を実行する。
ステップ211において、5Gメッセージサービスクライアントが、5Gメッセージサーバにアプリケーション層登録要求を送信する。その後、ステップ212を実行する。
ここで、前記アプリケーション層登録要求は、アクセスtokenを含む。
ステップ212において、5Gメッセージサーバが、SEALサーバとドッキングして、アクセスtokenを検証する。その後、ステップ213を実行する。
ステップ213において、5Gメッセージサーバが、5Gメッセージサービスクライアントのアプリケーション層登録要求を受け入れるかまたは拒否する。
ここで、5Gメッセージサーバは、アクセスtokenの検証結果に基づいて、5Gメッセージサービスクライアントのアプリケーション層登録要求を受け入れるか拒否するかを決定する。
方式2において、5Gメッセージ端末および5Gメッセージサーバは、二次認証を行う。
具体的に、5Gメッセージ端末が、5Gネットワーク初期認証(初回の認証)を完了した後、セッション管理機能(SMF:Session Management Function)がプロトコルデータユニット(PDU:Protocol Data Unit)セッションを確立するとき、5Gメッセージ端末および5Gメッセージサーバは、二次認証(二回目の認証)を行い、即ち、5Gメッセージサーバは、5Gメッセージ端末に対してEAP認証を行い、認証成功の後、SMFは、5Gメッセージ端末のためにPDUセッションを確立して、5Gメッセージサーバにアクセスする。
図3に示すように、5Gメッセージ端末および5Gメッセージサーバの二次認証のプロセスは、以下のステップを含むことができる。
ステップ301において、端末(即ち、5Gメッセージ端末)が認証サーバ機能(AUSF:Authentication Server Function)とインタラクションし、登録と初期認証プログラムを完了する。その後、ステップ302を実行する。
ステップ302において、端末が、アクセスおよびモビリティ管理機能(AMF:Access and Mobility Management Function)またはセキュリティアンカー機能(SEAF:SEcurity Anchor Function)にPDUセッション確立要求を送信する。その後、ステップ303を実行する。
ステップ303において、AMFまたはSEAFが、SMFにPDUセッション確立要求(英語ではNsmf_PDUsession_CreateSMContext Requestと表記できる)を送信する。その後、ステップ304を実行する。
ステップ304において、SMFが、AMFまたはSEAFにPDUセッション確立応答(英語ではNsmf_PDUsession_CreateSMContext Responseと表記できる)を送信する。その後、ステップ305を実行する。
ステップ305において、SMFが、統合データ管理(UDM:Unified Data Management)からサブスクライブデータを取得し、端末から送信された要求を検証する。その後、ステップ306を実行する。
ステップ306において、SMFが、EAP認証を開始する。その後、ステップ307を実行する。
ステップ307において、端末が、データネットワーク認証、認可および会計(DN-AAA:Data Network-Authentication、Authorization and Accounting)サーバ(即ち、5Gメッセージサーバ)とEAP認証要求およびEAP認証応答メッセージをインタラクションする。EAP認証を完了した後、ステップ308を実行する。
ステップ308において、DN-AAAが、EAP認証成功をSMFに通知する。その後、ステップ309を実行する。
ステップ309において、SMFが、EAP認証成功をAMFまたはSEAFに通知する。その後、ステップ310を実行する。
ステップ310において、AMFまたはSEAFが、端末にPDUセッション確立応答を送信し、端末は、5Gメッセージサーバにアクセスする。
実際の適用では、上記の方式1には、次のような欠点が存在する。
1)5Gメッセージ端末は、SEALの関連機能を実現するためには、SEALクライアントをインストールする必要があり、軽量の5Gメッセージ端末の場合、即ち、モノのインターネット端末(様々なセンサなどを含む)などの、コンピューティングリソースおよび/または記憶リソースが限られている5Gメッセージ端末の場合、リソースコストの制限により、このような5Gメッセージ端末は、SEALクライアントをインストールすることができない。
2)インタラクションプロセスが複雑である。具体的に、5Gメッセージ端末は、アクセスtokenを含む要求を5Gメッセージサーバに送信するとき、5Gメッセージサーバは、SEALサーバに対してtoken検証を要求する必要があり、言い換えれば、当該プロセスは、5GメッセージサーバとSEALサーバのインタラクションを必要とする。
実際の適用では、上記の方式2には、次のような欠点が存在する。
1)5Gメッセージサーバから5Gメッセージ端末へのアクセス認証だけは実現できるが、5Gメッセージサーバと5Gメッセージ端末との間の通信チャネルの安全性は保障できないため、5Gメッセージサーバと5Gメッセージ端末との間の通信のインターフェースを保護するために、追加の方式を採用する必要がある。
2)5Gメッセージサーバは、EAP認証フレームワークを使用する必要があるが、関連技術におけるいくつかのアプリケーション層の5Gメッセージサーバは、EAP認証フレームワークをサポートしていない。
3)5Gメッセージ端末に、ユーザ名やパスワードなどの二次認証のための認証クレデンシャルを事前に設定する必要があるが、事前に設定されたクレデンシャルの安全性は保証できない。
これを鑑みて、本願の様々な実施例において、5Gメッセージ端末および5Gメッセージサーバは、AKMAサービスに基づいて第1鍵を取得し、前記第1鍵に基づいて前記5Gメッセージ端末と前記5Gメッセージサーバとの間のセキュアチャネルを確立する。このようにして、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースの保護について、上記の方式1と方式2と比較して、本願の実施例の解決策は、5Gメッセージ端末に認証クレデンシャルを事前に設定する必要がなく、追加の認証メカニズムも必要せず、例えば、SEALアーキテクチャを利用する認証メカニズム、EAP認証フレームワークなどの追加の認証メカニズムは必要なく、端末に対して新たな要求を追加する必要もなく、AKMAサービスのみに基づいて、アプリケーション層の5Gメッセージ端末と5Gメッセージサーバとの間の高速認証を実現することができ、軽量の5Gメッセージ端末と5Gメッセージサーバとの間の認証要件を満たすことができ、それにより、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースのセキュリティを保障することができる。
本願の実施例は、5Gメッセージ端末によって実行される、セキュアチャネルの確立方法を提供し、図4に示すように、当該方法は、以下のステップを含む。
ステップ401において、AKMAサービスに基づいて、第1鍵を生成する。
ステップ402において、前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立する。
ここで、前記5Gメッセージ端末と前記5Gメッセージサーバとの間のセキュアチャネルを確立することは、前記5Gメッセージ端末と前記5Gメッセージサーバとの間のデータ伝送のためのセキュアチャネルを確立することを指し、前記セキュアチャネルを確立した後、前記5Gメッセージ端末および前記5Gメッセージサーバは、前記セキュアチャネルに基づいてデータ伝送を行うことができ、それにより、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースのセキュリティを保障することができる。
実際の適用において、前記5Gメッセージ端末は、まず、ネットワークにアクセスしてから、AKMAサービスに基づいて、前記5Gメッセージサーバとセキュアチャネルを確立する必要がある。
これを鑑みて、1つの実施例において、図4に示すように、ステップ401を実行する前に、当該方法は、以下のステップをさらに含むことができる。
ステップ400において、ネットワーク初期認証を行う。
つまり、前記5Gメッセージ端末は、端末とコアネットワークとの間の初期認証を行う。
実際の適用において、ステップ400において、前記5Gメッセージ端末は、関連技術で定義されたネットワーク初期認証プロセスに基づいて、オペレータの5Gコアネットワーク(英語では5GCと表記できる)とインタラクションすることにより、具体的には、AUSFなどの機能エンティティとインタラクションすることにより、5Gネットワークの初期認証を完了することができ、本願の実施例は、ネットワーク初期認証の具体的な方式について限定しない。
本願の実施例において、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースの保護について、5Gメッセージ端末に認証クレデンシャルを事前に設定する必要がなく、追加の認証メカニズムも必要なく、且つ端末に対して新たな要求を追加する必要もなく、ネットワークにアクセスするための初期認証クレデンシャル(即ち、加入者識別モジュール(SIM:Subscriber Identification Module)カードとオペレータネットワークに記憶された鍵であり、ユーザがオペレータネットワークにアクセスするために、即ち、ネットワーク初期認証を行うために使用される)のみを使用し、AKMAサービスに基づいて、アプリケーション層の5Gメッセージ端末と5Gメッセージサーバとの間の高速認証を実現することができ、それにより、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースのセキュリティを保障することができる。
ステップ401について、1つの実施例において、前記AKMAサービスに基づいて、第1鍵を生成することは、具体的に、
前記5Gメッセージサーバにアクセス要求を送信することであって、前記アクセス要求は、第1アイデンティティを少なくとも含む、ことと、前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成することであって、前記第2鍵は、AKMAサービスに基づいて生成されたものである、ことと、
前記5Gメッセージサーバから送信されたアクセス応答を受信することと、を含むことができる。
ここで、前記5Gメッセージサーバにアクセス要求を送信することは、前記5Gメッセージサーバにセッション確立要求を送信することとして理解してもよく、前記セッション確立要求は、第1アイデンティティを少なくとも含み、それに対応して、前記5Gメッセージサーバから送信されたアクセス応答を受信することは、前記5Gメッセージサーバから送信されたセッション確立応答を受信することとして理解してもよい。
1つの実施例において、当該方法は、
ネットワーク初期認証を完了した後、AKMAサービスに基づいて、前記第2鍵と前記第1アイデンティティを取得することをさらに含むことができる。
具体的に、実際の適用において、ステップ400において、前記5Gメッセージ端末がネットワーク初期認証を完了した後、前記5Gメッセージ端末は、コアネットワークとインタラクションし(具体的には、前記コアネットワークのAUSFなどの機能エンティティとインタラクションすることができる)、それにより、鍵KAUSFを生成し、前記5Gメッセージ端末がAKMAサービスをサポートし、且つAKMAサービス(英語ではsubscriptionと表記できる)に登録し、AKMAサービスに加入した場合、前記5Gメッセージ端末および前記コアネットワークは、鍵KAUSFおよびAKMAサービスに基づいて、AKMA中間鍵KAKMA(即ち、前記第2鍵)および当該鍵に対応する鍵識別子A-KID(即ち、前記第1アイデンティティ)を生成する。
実際の適用において、前記5Gメッセージサーバにアクセス要求を送信すること、前記5Gメッセージサーバから送信されたアクセス応答を受信すること、および前記第1鍵を生成することは、時間的に特定の順序ではない。つまり、前記5Gメッセージ端末は、まず前記5Gメッセージサーバにアクセス要求を送信してから、前記第1鍵を生成してもよく、即ち、前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成することは、前記5Gメッセージサーバに前記セッション確立要求を送信した後に行われてもよく、前記5Gメッセージ端末は、まず前記第1鍵を生成してから前記アクセス要求を送信してもよく、即ち、前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成することは、前記5Gメッセージサーバに前記セッション確立要求を送信する前に行われてもよい。それに対応して、前記5Gメッセージ端末は、まず前記5Gメッセージサーバから送信されたアクセス応答を受信してから、前記第1鍵を生成してもよく、即ち、前記第1鍵を生成することは、前記セッション確立応答を受信した後行われてもよく、前記5Gメッセージ端末は、まず前記第1鍵を生成してから前記アクセス応答を受信してもよく、即ち、前記第1鍵を生成することは、前記セッション確立応答を受信する前に行われてもよい。
実際の適用において、前記5Gメッセージサーバは、前記5Gメッセージ端末から送信された、前記第1アイデンティティを含むアクセス要求を受信した後、前記第1アイデンティティを含む鍵要求を前記コアネットワークに送信することができ、前記コアネットワークは、前記第1アイデンティティに基づいて前記第2鍵を決定し、前記第2鍵を利用して第1鍵を生成し、生成された第1鍵を前記5Gメッセージサーバに返すことができ、前記5Gメッセージサーバは、前記第1鍵を受信した後、前記5Gメッセージ端末に前記アクセス応答を送信することができる。
実際の適用において、前記コアネットワークおよび前記5Gメッセージ端末が、前記第2鍵を利用して前記第1鍵を生成する具体的な方式は、必要に応じて設定することができ、本願の実施例は、これに対して限定しない。例示的に、前記コアネットワークおよび前記5Gメッセージ端末は、前記第2鍵と、前記5Gメッセージサーバに対応するアイデンティティ(英語ではMSGin5G Server IDと表記できる)を利用し、鍵導出関数(KDF:Key Derivation Function)などの予め設定されたアルゴリズムと組み合わせて前記第1鍵を生成することができ、前記予め設定されたアルゴリズムは、前記5Gメッセージ端末および前記コアネットワークのネゴシエーションによって決定されてもよいし、オペレータによって事前に設定されたアルゴリズムであってもよく、本願の実施例は、これに対して限定しない。
実際の適用において、前記コアネットワークは、予め設定されたポリシーを利用して、前記第1鍵の周期(ライフサイクルとも呼ばれる)を決定することができ、例えば、前記第1鍵の周期は、AKMA鍵アンカー機能(AAnF:AKMA Anchor Function)などの機能エンティティによって決定されることができ、本願の実施例は、前記第1鍵の周期を決定する具体的な方式に対して限定しない。例示的に、前記コアネットワークは、5Gメッセージビジネス(即ち、5Gメッセージサービス)の要件およびオペレータの鍵管理ポリシーに基づいて、前記第1鍵の周期を決定することができる。
実際の適用において、前記コアネットワークは、生成された第1鍵を前記5Gメッセージサーバに返すとき、さらに、前記5Gメッセージサーバに前記第1鍵の周期を送信することができ、前記5Gメッセージサーバは、前記第1鍵の周期に従って前記第1鍵を維持することができ、つまり、前記第1鍵の周期に従って、前記第1鍵がまもなく期限切れになると決定した場合、前記5Gメッセージサーバは、前記コアネットワークに鍵更新要求を送信することができ、前記コアネットワークは、鍵更新要求を受信した場合、AKMAサービスに基づいて、新しい第1鍵を生成し、新しい第1鍵を前記5Gメッセージサーバに返すことができ、前記5Gメッセージサーバは、新しい第1鍵を受信した後、前記5Gメッセージ端末に鍵更新指示を送信して、前記第1鍵を更新することを前記5Gメッセージ端末に指示することができ、ここで、前記5Gメッセージ端末が前記第1鍵を更新する方式は、必要に応じて設定することができ、本願の実施例は、これに対して限定しない。例示的に、前記5Gメッセージ端末は、5Gネットワークに再度アクセスすることができ、即ち、ネットワーク初期認証を再度行うことができる。
ステップ403では、実際の適用において、前記第1鍵に基づいて、前記5Gメッセージ端末と前記5Gメッセージサーバとの間のセキュアチャネルを確立する1つの実現形態は、前記5Gメッセージ端末および前記5Gメッセージサーバが、前記第1鍵を利用して、伝送されるデータを暗号化することであってもよい。別の1つの実現形態は、前記5Gメッセージ端末および前記5Gメッセージサーバが、前記第1鍵に基づいて、TLSチャネルなどのタイプのセキュアチャネルを確立することであってもよい。
これを鑑みて、1つの実施例において、前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立することは、
前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のトランスポート層セキュリティ(TLS:transport layer security)セキュアチャネル(TLSトンネルとも呼ばれる)を確立することを含むことができる。
ここで、前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のTLSセキュアチャネルを確立することは、
前記第1鍵に基づいて第3鍵を生成し、第1アイデンティティを含むクライアント鍵交換(英語ではClientKeyExchangeと表記できる)メッセージを前記5Gメッセージサーバに送信することと、
前記5Gメッセージ端末と5Gメッセージサーバとの間のTLSセキュアチャネルを確立すること、即ち、前記第3鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のTLSセキュアチャネルを確立することと、を含むことができる。
具体的に、実際の適用において、前記5Gメッセージ端末は、前記5GメッセージサーバにTLSセキュアチャネルの確立要求を送信することができ、前記TLSセキュアチャネルの確立要求は、第2情報と第3情報を含むことができ、前記第2情報は、事前共有鍵(PSK:Pre-Shared Key)に基づく暗号化アルゴリズムを表し、前記第3情報は、前記5Gメッセージ端末がPSKに基づくTLSをサポートすることを表す。
前記5Gメッセージサーバは、前記TLSセキュアチャネルの確立要求を受信した後、前記第2情報が表す暗号化アルゴリズムから暗号化アルゴリズムを選択し、選択された暗号化アルゴリズムを含むTLSセキュアチャネルの確立応答を送信することができ、同時に、前記5Gメッセージサーバは、前記5Gメッセージ端末に第4情報を送信することができ、前記第4情報は、前記5GメッセージサーバがAKMAプロトコルをサポートすることを表す。
前記5Gメッセージ端末は、前記TLSセキュアチャネルの確立応答を受信した後、前記5GメッセージサーバとTLSハンドシェイクを行うことができ、TLSハンドシェイクのプロセスにおいて、前記5Gメッセージ端末は、前記第1鍵を利用して、TLSセキュアチャネルのプリマスタ(英語ではpremaster keyと表記でき、後続の説明では、第3鍵と記載する)を生成し、前記第1アイデンティティを含むクライアント鍵交換(英語ではClientKeyExchangeと表記できる)メッセージを前記5Gメッセージサーバに送信することができ、前記5Gメッセージサーバは、前記第1アイデンティティに基づいて、前記第1鍵を取得し、前記第1鍵を利用して、前記第3鍵を生成し、パスワード変更スイート(英語ではChangeCipherSuiteと表記できる)メッセージと、完了(Finished)メッセージを前記5Gメッセージ端末に送信してTLSハンドシェイクを終了し、TLSセキュアチャネルを確立することができ、前記TLSセキュアチャネルは、前記5Gメッセージ端末と前記5Gメッセージサーバとの間のデータインタラクションを保護することができ、それにより、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースのセキュリティを保障することができる。
ここで、TLSセキュアチャネルを確立するためには、5Gメッセージ端末および5Gメッセージサーバに、1つの対称鍵を必要とする場合
があるが、本願の実施例では、追加の認証メカニズムも必要せず、5Gメッセージ端末に認証クレデンシャルを事前に設定する必要がなく、且つ端末に対して新たな要求を追加する必要もなく、AKMAサービスの助力を得て対称鍵を取得することができ、それにより、アプリケーション層の5Gメッセージ端末と5Gメッセージサーバとの間の高速認証、認証、および5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースの保護を実現することができる。
それに対応して、本願の実施例はさらに、5Gメッセージサーバによって実行される、セキュアチャネルの確立方法を提供し、図5に示すように、当該方法は、以下のステップを含む。
ステップ501において、AKMAサービスに基づいて、第1鍵を取得する。
ステップ502において、前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立する。
ここで、前記5Gメッセージサーバと前記5Gメッセージ端末との間のセキュアチャネルを確立することは、前記5Gメッセージサーバと前記5Gメッセージ端末との間のデータ伝送のためのセキュアチャネルを確立することを指し、前記セキュアチャネルを確立した後、前記5Gメッセージサーバおよび前記5Gメッセージ端末は、前記セキュアチャネルに基づいてデータ伝送を行うことができ、それにより、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースのセキュリティを保障することができる。
ここで、1つの実施例において、前記AKMAサービスに基づいて、第1鍵を取得することは、
前記5Gメッセージ端末から送信されたアクセス要求を受信することであって、前記アクセス要求は、第1アイデンティティを少なくとも含む、ことと、
コアネットワークに鍵要求を送信することであって、前記鍵要求は、前記第1アイデンティティを少なくとも含む、ことと、
前記コアネットワークから送信された第1情報を受信することと、を含むことができ、前記第1情報は、前記第1アイデンティティによって識別される第2鍵に基づいて生成された前記第1鍵を少なくとも含み、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである。
ここで、前記5Gメッセージ端末から送信されたアクセス要求を受信することは、前記5Gメッセージ端末から送信されたセッション確立要求を受信することとして理解してもよく、前記セッション確立要求は、第1アイデンティティを少なくとも含む。
具体的に、実際の適用において、前記5Gメッセージ端末は、関連技術で定義されたネットワーク初期認証プロセスに基づいて、オペレータの5Gコアネットワークとインタラクションすることにより、5Gネットワークの初期認証を完了することができる。前記5Gメッセージ端末が前記コアネットワークにアクセスして、ネットワーク初期認証を完了した後、前記5Gメッセージ端末および前記コアネットワークは、鍵KAUSFを生成し、前記5Gメッセージ端末がAKMAサービスをサポートし、且つAKMAサービスに登録し署名した場合、前記5Gメッセージ端末および前記コアネットワークは、鍵KAUSFおよびAKMAサービスに基づいて、第2鍵および当該鍵に対応する第1アイデンティティを生成し、前記第2鍵および前記第1アイデンティティを取得した後、前記5Gメッセージ端末は、前記5Gメッセージサーバに前記アクセス要求を送信することができる。
実際の適用において、前記コアネットワークは、前記鍵要求を受信した後、前記第1アイデンティティを利用して、前記第2鍵を決定し、前記第2鍵を利用して、第1鍵を生成し、前記第1情報を用いて生成された第1鍵を前記5Gメッセージサーバに返すことができ、前記5Gメッセージサーバは、前記第1鍵を受信した後、前記5Gメッセージ端末にアクセス応答を送信することができる。
ここで、前記5Gメッセージ端末にアクセス応答を送信することは、前記5Gメッセージ端末にセッション確立応答を送信することとして理解してもよい。
実際の適用において、前記5Gメッセージサーバはさらに、前記第1鍵を維持することができる。
これを鑑みて、1つの実施例において、前記第1情報は、前記第1鍵の周期をさらに含み、当該方法は、
前記第1鍵の周期に従って、前記第1鍵を維持することをさらに含む。
具体的に、実際の適用において、前記5Gメッセージサーバは、前記第1鍵の周期に従って、前記第1鍵がまもなく期限切れになると決定した場合、前記コアネットワークに鍵更新要求を送信することができ、前記コアネットワークは、鍵更新要求を受信した場合、AKMAサービスに基づいて、新しい第1鍵を生成し、新しい第1鍵を前記5Gメッセージサーバに返すことができ、前記5Gメッセージサーバは、新しい第1鍵を受信した後、前記5Gメッセージ端末に鍵更新指示を送信して、前記第1鍵を更新することを前記5Gメッセージ端末に指示することができる。
ステップ502では、実際の適用において、前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立する1つの実現形態は、前記5Gメッセージサーバおよび前記5Gメッセージ端末が、前記第1鍵を利用して、伝送されるデータを暗号化することであってもよい。別の1つの実現形態は、前記5Gメッセージサーバおよび前記5Gメッセージ端末が、前記第1鍵に基づいて、TLSチャネルなどのタイプのセキュアチャネルを確立することであってもよい。
これを鑑みて、1つの実施例において、前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立することは、
前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のTLSセキュアチャネルを確立することを含むことができる。
ここで、前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のTLSセキュアチャネルを確立することは、
5Gメッセージ端末から送信された、第1アイデンティティを含むクライアント鍵交換メッセージを受信することと、
前記第1アイデンティティに基づいて、前記第1鍵を取得し、前記第1鍵を利用して第3鍵を生成し、前記5Gメッセージサーバと5Gメッセージ端末との間のTLSセキュアチャネルを確立すること、即ち、前記第3鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のTLSセキュアチャネルを確立することと、を含むことができる。
ここで、前記5Gメッセージ端末および前記5Gメッセージサーバが、TLSセキュアチャネルを確立するプロセスは、上記で詳細に説明しており、ここでは、繰り返して説明しない。
本願の実施例によるセキュアチャネルの確立方法では、5Gメッセージ端末は、AKMAサービスに基づいて第1鍵を生成し、5Gメッセージサーバは、AKMAサービスに基づいて第1鍵を取得し、前記5Gメッセージ端末および前記5Gメッセージサーバは、前記第1鍵に基づいて前記5Gメッセージ端末と前記5Gメッセージサーバとの間のセキュアチャネルを確立する。本願の実施例の解決策によれば、5Gメッセージ端末および5Gメッセージサーバは、AKMAサービスに基づいて第1鍵を取得し、前記第1鍵に基づいて前記5Gメッセージ端末と前記5Gメッセージサーバとの間のセキュアチャネルを確立し、このようにして、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースの保護のために、5Gメッセージ端末に認証クレデンシャルを事前に設定する必要がなく、追加の認証メカニズムも必要なく、例えば、SEALアーキテクチャを利用した認証メカニズム、EAP認証フレームワークなどの追加の認証メカニズムも必要なく、且つ端末に対して新たな要求を追加する必要もなく、AKMAサービスのみに基づいて、アプリケーション層の5Gメッセージ端末と5Gメッセージサーバとの間の高速認証を実現することができ、それにより、5Gメッセージ端末と5Gメッセージサーバとの間のインターフェースのセキュリティを保障することができる。
以下では、適用実施例を参照して、本願についてさらに詳細に説明する。
本適用実施例において、オペレータ5Gネットワークにアクセスするための初期クレデンシャル(即ち、ユーザSIMカードとオペレータネットワークに記憶された、ユーザがオペレータネットワークにアクセスするための鍵)を利用して、5Gメッセージ端末および5Gメッセージサーバのためにインターフェース保護のためのセキュリティクレデンシャル(即ち、上記の第1鍵)を確立し、つまり、ネットワーク初期認証を完了した後、5Gコアネットワークによって生成されたKAKMA(即ち、上記の第2鍵)を中間鍵として利用してアプリケーション層鍵(即ち、上記の第1鍵)を生成し、図6に示すMSGin5G-1インターフェースの保護を実現する。
本適用実施例において、5Gメッセージ端末が、コアネットワークとインタラクションし、ネットワーク初期認証を完了し、KAKMAを確立(即ち、取得)したことを前提として、図7に示すように、5Gメッセージ端末と5Gメッセージサーバとの間の認証プロセスは、具体的には、以下のステップを含むことができる。
ステップ701において、5Gメッセージ端末が、アプリケーション層セッション確立要求(A-KID、即ち、上記の第1アイデンティティを含む)を5Gメッセージサーバに送信する。その後、ステップ702を実行する。
ステップ702において、5Gメッセージサーバが、コアネットワークからK5GMSG(即ち、上記の第1鍵)を取得する。その後、ステップ703を実行する。
ここで、5Gメッセージサーバは、前記セッション確立要求を受信した後、A-KIDおよびMSGin5G Server IDを鑑賞してコアネットワークから鍵を要求し、前記コアネットワークは、A-KIDに基づいてKAKMAを決定し、KAKMAおよびMSGin5G Server IDを利用してK5GMSGを生成し、生成されたK5GMSGおよびK5GMSGの鍵周期を5Gメッセージサーバに返す。
実際の適用において、前記コアネットワークは、以下の式を利用してK5GMSGを生成することができる。
K5GMSG=KDF(KAKMA,MSGin5G Server ID) (1)
実際の適用において、K5GMSGのライフサイクルは、AAnFによって、5Gメッセージビジネスの要件およびオペレータの鍵管理ポリシーに基づいて設定されることができる。鍵がまもなく期限切れになる場合、5Gメッセージサーバは、5Gコアネットワークに対して鍵を更新するように要求することができ、5Gコアネットワークは、鍵更新要求を受信すると、AKMAサービスに基づいて新しいK5GMSGを生成することができる。
ステップ703において、5Gメッセージサーバが、アプリケーション層セッション確立応答を5Gメッセージ端末に送信する。その後、ステップ704を実行する。
ここで、前記アプリケーション層セッション確立応答は、MSGin5G Server IDを含み、前記アプリケーション層セッション確立応答は、K5GMSGを生成することを5Gメッセージ端末に指示するために使用され、前記5Gメッセージ端末は、アプリケーション層セッション確立応答を受信した後、上記の式(1)を利用してK5GMSGを生成することができる。
ステップ704において、5Gメッセージ端末および5Gメッセージサーバは、K5GMSGに基づいてセキュアチャネルを確立する。
実際の適用において、5Gメッセージ端末および5Gメッセージサーバは、K5GMSGに基づいて、TLSセキュアチャネルを確立して、MSGin5G-1インターフェースに対してセキュリティ保護を行うことができる。具体的に、K5GMSGを利用してTLSセキュアチャネルを確立するプロセスは、以下のステップを含むことができる。
1)5Gメッセージ端末が、5Gメッセージサーバに接続要求(即ち、上記のTLSセキュアチャネルの確立要求)を送信し、前記接続要求に含まれるclient helloメッセージに、PSKに基づく暗号化アルゴリズム情報(即ち、上記の第2情報)および5Gメッセージ端末がPSKに基づくTLSをサポートすることを示す情報(即ち、上記の第3情報)を運ぶ。
2)5Gメッセージサーバが、server helloメッセージ(即ち、上記のTLSセキュアチャネルの確立応答)に選択された暗号化アルゴリズムを運んで、5Gメッセージ端末に送信し、同時に、「3GPP-AKMA」を含むServerKeyExchangeメッセージ(即ち、上記の第4情報)を5Gメッセージ端末に送信して、5Gメッセージ端末に、5GメッセージサーバがAKMAプロトコルをサポートすることを示す。
3)5Gメッセージ端末が、K5GMSGを使用して、TLSのpremaster key(即ち、上記の第3鍵)を導出(即ち、生成)し、その後、A-KIDを含むClientKeyExchangeメッセージを5Gメッセージサーバに送信する。
4)5Gメッセージサーバが、受信されたA-KIDに基づいて、K5GMSGを取得し、K5GMSGを利用して、TLSのpremaster keyを導出し、ChangeCipherSuiteおよびFinishedメッセージをUEに送信してTLSハンドシェイクを終了して、TLSトンネルを確立する。
5)5Gメッセージ端末と5Gメッセージサーバとの間のデータインタラクションは、当該TLSトンネルによって保護される。
本適用実施例による解決策は、以下の利点を有する。
1)5Gメッセージ端末は、二次認証のためにクレデンシャルを事前に設定し、5Gネットワークにアクセスするための初期認証クレデンシャルを使用する必要なく、AKMAサービスに基づいて、5Gメッセージ端末と5Gメッセージサーバとの間の認証を実現することができる。
2)5Gコアネットワークの初期認証クレデンシャルおよびアプリケーション層鍵(即ち、K5GMSG)を利用して、アプリケーション層の5Gメッセージ端末と5Gメッセージサーバとの間の認証を行い、追加の認証メカニズムは必要なく、即ち、5GメッセージサーバがEAP認証フレームワークをサポートする必要がない。
3)5Gメッセージ端末に対して塚の要求がなく(即ち、SEALクライアントをインストールする必要がない)、軽量端末と5Gメッセージサーバとの間の認証要件を満たすことができる。
本願の実施例の5Gメッセージ端末側の方法を実現するために、本願の実施例はさらに、5Gメッセージ端末に配置された、セキュアチャネルの確立装置を提供し、図8に示すように、当該装置は、
AKMAサービスに基づいて、第1鍵を生成するように構成される第1処理ユニット801と、
前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立するように構成される第2処理ユニット802と、を備える。
ここで、1つの実施例において、前記第2処理ユニット802はさらに、
前記第1鍵に基づいて第3鍵を生成し、第1アイデンティティを含むクライアント鍵交換メッセージを前記5Gメッセージサーバに送信し、
前記5Gメッセージ端末と5Gメッセージサーバとの間のTLSセキュアチャネルを確立するように構成される。
1つの実施例において、前記第1処理ユニット801はさらに、前記AKMAサービスに基づいて第1鍵を生成する前に、端末とコアネットワークとの間の初期認証を行うように構成される。
1つの実施例において、前記第1処理ユニット801はさらに、
前記5Gメッセージサーバにセッション確立要求を送信し、前記セッション確立要求は、第1アイデンティティを少なくとも含み、
前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成するように構成され、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである。
1つの実施例において、前記第1処理ユニット801はさらに、前記5Gメッセージサーバに前記セッション確立要求を送信する前にまたは後に、第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成するように構成される。
1つの実施例において、前記第1処理ユニット801はさらに、
5Gメッセージサーバから送信されたセッション確立応答を受信するように構成され、
前記第1鍵を生成することは、前記セッション確立応答を受信する前にまたは後に行われる。
実際の適用において、前記第1処理ユニット801および前記第2処理ユニット802は、セキュアチャネルの確立装置におけるプロセッサによって通信インターフェースと組み合わせて実現することができる。
本願の実施例の5Gメッセージサーバ側の方法を実現するために、本願の実施例はさらに、5Gメッセージサーバに設置された、セキュアチャネルの確立装置を提供し、図9に示すように、当該装置は、
AKMAサービスに基づいて、第1鍵を取得するように構成される第3処理ユニット901と、
前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立するように構成される第4処理ユニット902と、を備える。
ここで、1つの実施例において、前記第4処理ユニット902はさらに、
5Gメッセージ端末から送信された、第1アイデンティティを含むクライアント鍵交換メッセージを受信し、
前記第1アイデンティティに基づいて、前記第1鍵を取得し、前記第1鍵を利用して、第3鍵を生成し、前記5Gメッセージサーバと5Gメッセージ端末との間のTLSセキュアチャネルを確立するように構成される。
1つの実施例において、前記第3処理ユニット901はさらに、
前記5Gメッセージ端末から送信されたセッション確立要求を受信し、前記セッション確立要求は、第1アイデンティティを少なくとも含み、
コアネットワークに鍵要求を送信し、前記鍵要求は、前記第1アイデンティティを少なくとも含み、
前記コアネットワークから送信された第1情報を受信するように構成され、前記第1情報は、前記第1アイデンティティによって識別される第2鍵に基づいて生成された前記第1鍵を少なくとも含み、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである。
実際の適用において、前記第3処理ユニット901および前記第4処理ユニット902は、セキュアチャネルの確立装置におけるプロセッサによって通信インターフェースと組み合わせて実現することができる。
なお、上記の実施例によるセキュアチャネルの確立装置がセキュアチャネルを確立するとき、上記の各プログラムモジュールの分割のみを例に挙げて説明したが、実際の応用では、必要に応じて上記の処理を異なるプログラムモジュールにより割り当てられて完了してもよく、即ち、装置の内部構造を異なるプログラムモジュールに分割して、上述の処理のすべてまたは一部を完了する。
外、上記の実施例によるセキュアチャネルの確立装置は、セキュアチャネルの確立方法の実施例と同じ構想に属し、その具体的な実現プロセスについては方法の実施例を参照し、ここでは繰り返して説明しない。
上記のプログラムモジュールのハードウェア実装に基づき、且つ本願の実施例の5Gメッセージ端末側の方法を実現するために、本願の実施例はさらに、5Gメッセージ端末を提供し、図10に示すように、当該5Gメッセージ端末1000は、
5Gメッセージサーバと情報インタラクションを行うことができる、第1通信インターフェース1001と、
前記第1通信インターフェース1001に接続され、5Gメッセージサーバとの情報インタラクションを実現するために、コンピュータプログラムを実行することにより、上記の5Gメッセージ端末側の1つまたは複数の技術的解決策による方法を実行する、第1プロセッサ1002と、
第1メモリ1003と、を備え、前記コンピュータプログラムは、前記第1メモリ1003に記憶されている。
具体的に、前記第1プロセッサ1002は、
AKMAサービスに基づいて、第1鍵を生成し、
前記第1鍵に基づいて、前記5Gメッセージ端末1000と5Gメッセージサーバとの間のセキュアチャネルを確立するように構成される。
ここで、1つの実施例において、前記第1プロセッサ1002はさらに、
前記第1鍵に基づいて第3鍵を生成し、前記第1通信インターフェース1001を介して、第1アイデンティティを含むクライアント鍵交換メッセージを前記5Gメッセージサーバに送信し、
前記5Gメッセージ端末と5Gメッセージサーバとの間のTLSセキュアチャネルを確立するように構成される。
1つの実施例において、前記第1プロセッサ1002はさらに、前記AKMAサービスに基づいて第1鍵を生成する前に、端末とコアネットワークとの間の初期認証を行うように構成される。
1つの実施例において、前記第1プロセッサ1002はさらに、
前記第1通信インターフェース1001を介して、前記5Gメッセージサーバにセッション確立要求を送信し、前記セッション確立要求は、第1アイデンティティを少なくとも含み、
前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成するように構成され、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである。
1つの実施例において、前記第1プロセッサ1002はさらに、前記5Gメッセージサーバに前記セッション確立要求を送信する前にまたは後に、第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成するように構成される。
1つの実施例において、前記第1プロセッサ1002はさらに、
前記第1通信インターフェース1001を介して、5Gメッセージサーバから送信されたセッション確立応答を受信するように構成され、
前記第1鍵を生成することは、前記セッション確立応答を受信する前にまたは後に行われる。
説明すべきこととして、第1プロセッサ1002および第1通信インターフェース1001の具体的な処理プロセスは、上記の方法を参照して理解できる。
当然、実際の適用において、5Gメッセージ端末1000内の各コンポーネントはバスシステム1004によって結合される。理解できることとして、バスシステム1004は、これらのコンポーネント間の接続通信を実現するために使用される。データバスに加えて、バスシステム1004は、電力バス、制御バスおよびステータス信号バスをさらに含む。しかし、説明を明確にするために、図10では、様々なバスがバスシステム1004と表記されている。
本願の実施例における第1メモリ1003は、様々なタイプのデータを記憶して、5Gメッセージ端末1000の動作をサポートするように構成される。これらのデータの例には、5Gメッセージ端末1000で動作される任意のコンピュータプログラムを含む。
上記の本願の実施例で開示された方法は、前記第1プロセッサ1002に適用されるか、または前記第1プロセッサ1002によって実現されることができる。前記第1プロセッサ1002は、信号の処理能力を有する集積回路チップであり得る。実現プロセスにおいて、上記の方法の各ステップは、前記第1プロセッサ1002内のハードウェアの集積論理回路またはソフトウェアの形の命令によって完了できる。上記の前記第1プロセッサ1002は、汎用プロセッサ、デジタル信号プロセッサ(DSP:Digital Signal Processor)、または他のプログラマブルロジックデバイス、ディスクリートゲートまたはトランジスタロジックデバイス、ディスクリートハードウェアコンポーネントなどであり得る。前記第1プロセッサ1002は、本願の実施例で開示された各方法、ステップおよび論理ブロック図を実現または実行できる。汎用プロセッサは、マイクロプロセッサ、または任意の従来のプロセッサなどであり得る。本願の実施例で開示される方法のステップは、ハードウェア復号化プロセッサによって直接実行されてもよいし、復号化プロセッサ内のハードウェアとソフトウェアモジュールの形成すによって実行されてもよい。ソフトウェアモジュールは、記憶媒体に配置でき、当該記憶媒体は、第1メモリ1003に配置され、前記第1プロセッサ1002は、第1メモリ1003内の情報を読み取り、そのハードウェアと組み合わせて上記の方法のステップを完了する。
例示的な実施例において、5Gメッセージ端末1000は、1つまたは複数の特定用途向け集積回路(ASIC:Application Specific Integrated Circuit)、DSP、プログラマブルロジックデバイス(PLD:Programmable Logic Device)、複合プログラマブルロジックデバイス(CPLD:Complex Programmable Logic Device)、フィールドプログラマブルゲートアレイ
(FPGA:Field-Programmable Gate Array、汎用プロセッサ、コントローラ、マイクロプロセッサ(MCU:Micro Controller Unit)、マイクロプロセッサ(Microprocessor)、または他の電子素子で実現でき、上記の方法を実行するために使用されることができる。
上記のプログラムモジュールのハードウェア実装に基づき、且つ本願の実施例の5Gメッセージサーバ側の方法を実現するために、本願の実施例はさらに、5Gメッセージサーバを提供し、図11に示すように、当該5Gメッセージサーバ1100は、
5Gメッセージ端末と情報インタラクションを行うことができる、第2通信インターフェース1101と、
前記第2通信インターフェース1101に接続され、5Gメッセージ端末との情報インタラクションを実現するために、コンピュータプログラムを実行することにより、上記の5Gメッセージサーバ側の1つまたは複数の技術的解決策による方法を実行する、第2プロセッサ1102と、
第2メモリ1103と、を備え、前記コンピュータプログラムは、前記第2メモリ1103に記憶されている。
具体的に、前記第2プロセッサ1102は、
AKMAサービスに基づいて、第1鍵を取得し、
前記第1鍵に基づいて、前記5Gメッセージサーバ1100と5Gメッセージ端末との間のセキュアチャネルを確立するように構成される。
ここで、1つの実施例において、前記第2プロセッサ1102はさらに、
前記第2通信インターフェース1101を介して、5Gメッセージ端末から送信された、第1アイデンティティを含むクライアント鍵交換メッセージを受信し、
前記第1アイデンティティに基づいて、前記第1鍵を取得し、前記第1鍵を利用して、第3鍵を生成し、前記5Gメッセージサーバと5Gメッセージ端末との間のTLSセキュアチャネルを確立するように構成される。
1つの実施例において、前記第2プロセッサ1102はさらに、
前記第2通信インターフェース1101を介して、前記5Gメッセージ端末から送信されたセッション確立要求を受信し、前記セッション確立要求は、第1アイデンティティを少なくとも含み、
前記第2通信インターフェース1101を介して、コアネットワークに鍵要求を送信し、前記鍵要求は、前記第1アイデンティティを少なくとも含み、
前記第2通信インターフェース1101を介して、前記コアネットワークから送信された第1情報を受信するように構成され、前記第1情報は、前記第1アイデンティティによって識別される第2鍵に基づいて生成された前記第1鍵を少なくとも含み、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである。
説明すべきこととして、第2プロセッサ1102および第2通信インターフェース1101の具体的な処理プロセスは、上記の方法を参照して理解できる。
当然、実際の適用において、5Gメッセージサーバ1100内の各コンポーネントはバスシステム1104によって結合される。理解できることとして、バスシステム1104は、これらのコンポーネント間の接続通信を実現するために使用される。データバスに加えて、バスシステム1104は、電力バス、制御バスおよびステータス信号バスをさらに含む。しかし、説明を明確にするために、図11では、様々なバスがバスシステム1104と表記されている。
本願の実施例における第2メモリ1103は、様々なタイプのデータを記憶して、5Gメッセージサーバ1100の動作をサポートするように構成される。これらのデータの例には、5Gメッセージサーバ1100で動作される任意のコンピュータプログラムを含む。
上記の本願の実施例で開示された方法は、前記第2プロセッサ1102に適用されるか、または前記第2プロセッサ1102によって実現されることができる。前記第2プロセッサ1102は、信号の処理能力を有する集積回路チップであり得る。実現プロセスにおいて、上記の方法の各ステップは、前記第2プロセッサ1102内のハードウェアの集積論理回路またはソフトウェアの形の命令によって完了できる。上記の前記第2プロセッサ1102は、汎用プロセッサ、DSP、または他のプログラマブルロジックデバイス、ディスクリートゲートまたはトランジスタロジックデバイス、ディスクリートハードウェアコンポーネントなどであり得る。前記第2プロセッサ1102は、本願の実施例で開示された各方法、ステップおよび論理ブロック図を実現または実行できる。汎用プロセッサは、マイクロプロセッサ、または任意の従来のプロセッサなどであり得る。本願の実施例で開示される方法のステップは、ハードウェア復号化プロセッサによって直接実行されてもよいし、復号化プロセッサ内のハードウェアとソフトウェアモジュールの形成すによって実行されてもよい。ソフトウェアモジュールは、記憶媒体に配置でき、当該記憶媒体は、第2メモリ1103に配置され、前記第2プロセッサ1102は、第2メモリ1103内の情報を読み取り、そのハードウェアと組み合わせて上記の方法のステップを完了する。
例示的な実施例において、5Gメッセージサーバ1100は、1つまたは複数のASIC、DSP、PLD、CPLD、FPGA、汎用プロセッサ、コントローラ、MCU、Microprocessor、または他の電子素子によって実現されることができ、上記の方法を実行するために使用される。
理解できることとして、本願の実施例のメモリ(第1メモリ1003、および第2メモリ1103)は、揮発性メモリまたは不揮発性メモリであってもよいし、揮発性メモリと非揮発性メモリの両方を含んでもよい。ここで、不揮発性メモリは、読み取り専用メモリ(ROM:Read Only Memory)、プログラマブル読み取り専用メモリ(PROM:Programmable Read-Only Memory)、消去可能プログラマブル読み取り専用メモリ(EPROM:Erasable Programmable Read-Only Memory)、電気的消去可能プログラマブル読み取り専用メモリ(EEPROM:Electrically Erasable Programmable Read-Only Memory)、磁気ランダムアクセスメモリ(FRAM(登録商標):ferromagnetic random access memory)、フラッシュメモリ(Flash Memory)、磁気表面メモリ、光ディスク、またはリードオンリーメモリ(CD-ROM:Compact Disc Read-Only Memory)であり得、磁気表面メモリは、磁気ディスクメモリまたは磁気テープメモリであり得る。揮発性メモリは、外部キャッシュとして使用される、ランダムアクセスメモリ(RAM:Random Access Memory)であり得る。例示的であるが限定的ではない例示によれば、多くの形のRAM、例えば、スタティックランダムアクセスメモリ(SRAM:Static Random Access Memory)、同期スタティックランダムアクセスメモリ(SSRAM:Synchronous Static Random Access Memory)、ダイナミックランダムアクセスメモリ(DRAM:Dynamic Random Access Memory)、同期ダイナミックランダムアクセスメモリ(SDRAM:Synchronous Dynamic Random Access Memory)、ダブルデータレートの同期ダイナミックランダムアクセスメモリ(DDRSDRAM:Double Data Rate Synchronous Dynamic Random Access Memory)、拡張型同期ダイナミックランダムアクセスメモリ(ESDRAM:Enhanced Synchronous Dynamic Random Access Memory)、同期接続ダイナミックランダムアクセスメモリ(SLDRAM:SyncLink Dynamic Random Access Memory)、ダイレクトメモリバスランダムアクセスメモリ(DRRAM::Direct Rambus Random Access Memory)などが利用可能である。本願の実施例で説明されるメモリは、これらおよび任意の他の適切なタイプのメモリを含むが、これらに限定されないことを意図する。
本願の実施例による方法を実現するために、本願の実施例はさらに、セキュアチャネルの確立システムを提供し、図12に示すように、当該システムは、5Gメッセージ端末1201と、5Gメッセージサーバ1202と、を備える。
ここで、説明すべきこととして、前記5Gメッセージ端末1201および前記5Gメッセージサーバ1202の具体的な処理プロセスは、上記で詳細に説明しており、ここでは、繰り返して説明しない。
例示的な実施例において、本願の実施例はさらに、記憶媒体、即ち、コンピュータ記憶媒体を提供し、具体的には、コンピュータ可読記憶媒体であり、例えば、コンピュータプログラムが記憶された第1メモリ1003を含み、上記のコンピュータプログラムは、5Gメッセージ端末1000の第1プロセッサ1002によって実行されることにより、上記の5Gメッセージ端末側の方法の前記ステップを遂行することができる。別の例として、コンピュータプログラムが記憶された第2メモリ1103を含み、上記のコンピュータプログラムは、5Gメッセージサーバ1100の第2プロセッサ1102によって実行されることにより、上記の5Gメッセージサーバ側の方法の前記ステップを遂行することができる。コンピュータ可読記憶媒体は、FRAM(登録商標)、ROM、PROM、EPROM、EEPROM、Flash Memory、磁気表面メモリ、光ディスク、またはCD-ROMなどのメモリであってもよい。
説明すべきこととして、「第1」、「第2」等の用語は、類似する対象を区別するためのものであり、特定の順番または先後順序を説明するために使用されるものではない。
さらに、本願の実施例で説明された技術的解決策は、競合することなく、任意に組み合わせることができる。
上記は、本願の好ましい実施例に過ぎず、本願の保護範囲を限定することを意図するものではない。
本願の実施例はさらに、プロセッサに、上記の5Gメッセージ端末側のいずれか1つの方法におけるすべての処理を実現させ、または上記の5Gメッセージサーバ側のいずれか1つの方法におけるすべての処理を実現させるためのコンピュータプログラムが記憶された、記憶媒体を提供する。
本発明は、例えば、以下を提供する。
(項目1)
5Gメッセージ端末によって実行される、セキュアチャネルの確立方法であって、
アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を生成することと、
前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立することと、を含む、セキュアチャネルの確立方法。
(項目2)
前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立することは、
前記第1鍵に基づいて第3鍵を生成し、第1アイデンティティを含むクライアント鍵交換メッセージを前記5Gメッセージサーバに送信することと、
前記5Gメッセージ端末と5Gメッセージサーバとの間のトランスポート層セキュリティ(TLS)セキュアチャネルを確立することと、を含む、
項目1に記載のセキュアチャネルの確立方法。
(項目3)
前記AKMAサービスに基づいて、第1鍵を生成する前に、前記セキュアチャネルの確立方法は、
端末とコアネットワークとの間の初期認証を行うことをさらに含む、
項目1または2に記載のセキュアチャネルの確立方法。
(項目4)
前記AKMAサービスに基づいて、第1鍵を生成することは、
前記5Gメッセージサーバにセッション確立要求を送信することであって、前記セッション確立要求は、第1アイデンティティを少なくとも含む、ことと、
前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成することであって、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである、ことと、を含む、
項目1または2に記載のセキュアチャネルの確立方法。
(項目5)
前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成することは、前記5Gメッセージサーバに前記セッション確立要求を送信する前にまたは後に行われる、
項目4に記載のセキュアチャネルの確立方法。
(項目6)
前記セキュアチャネルの確立方法は、
5Gメッセージサーバから送信されたセッション確立応答を受信することをさらに含み、
前記第1鍵を生成することは、前記セッション確立応答を受信する前にまたは後に行われる、
項目4に記載のセキュアチャネルの確立方法。
(項目7)
5Gメッセージサーバによって実行される、セキュアチャネルの確立方法であって、
アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を取得することと、
前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立することと、を含む、セキュアチャネルの確立方法。
(項目8)
前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立することは、
5Gメッセージ端末から送信された、第1アイデンティティを含むクライアント鍵交換メッセージを受信することと、
前記第1アイデンティティに基づいて、前記第1鍵を取得し、前記第1鍵を利用して、第3鍵を生成し、前記5Gメッセージサーバと5Gメッセージ端末との間のトランスポート層セキュリティ(TLS)セキュアチャネルを確立することと、を含む、
項目7に記載のセキュアチャネルの確立方法。
(項目9)
前記AKMAサービスに基づいて、第1鍵を取得することは、
前記5Gメッセージ端末から送信されたセッション確立要求を受信することであって、前記セッション確立要求は、第1アイデンティティを少なくとも含む、ことと、
コアネットワークに鍵要求を送信することであって、前記鍵要求は、前記第1アイデンティティを少なくとも含む、ことと、
前記コアネットワークから送信された第1情報を受信することと、を含み、前記第1情報は、前記第1アイデンティティによって識別される第2鍵に基づいて生成された前記第1鍵を少なくとも含み、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである、
項目7または8に記載のセキュアチャネルの確立方法。
(項目10)
前記第1情報は、前記第1鍵の周期をさらに含む、
項目7または8に記載のセキュアチャネルの確立方法。
(項目11)
セキュアチャネルの確立装置であって、
AKMAサービスに基づいて、第1鍵を生成するように構成される第1処理ユニットと、
前記第1鍵に基づいて、5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立するように構成される第2処理ユニットと、を備える、セキュアチャネルの確立装置。
(項目12)
セキュアチャネルの確立装置であって、
アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を取得するように構成される第3処理ユニットと、
前記第1鍵に基づいて、5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立するように構成される第4処理ユニットと、を備える、セキュアチャネルの確立装置。
(項目13)
第1通信インターフェースと、第1プロセッサと、を備える、5Gメッセージ端末であって、
前記第1プロセッサは、
アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を生成し、
前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立する、5Gメッセージ端末。
(項目14)
第2通信インターフェースと、第2プロセッサと、を備える、5Gメッセージサーバであって、
前記第2プロセッサは、
アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を取得し、
前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立する、5Gメッセージ端末。
(項目15)
第1プロセッサと、プロセッサで実行可能なコンピュータプログラムを記憶した第1メモリと、を備える5Gメッセージ端末であって、
前記第1プロセッサは、前記コンピュータプログラムを実行することにより、項目1ないし6のいずれか一項に記載のセキュアチャネルの確立方法におけるすべての処理を実行する、5Gメッセージ端末。
(項目16)
第2プロセッサと、プロセッサで実行可能なコンピュータプログラムを記憶した第2メモリと、を備える5Gメッセージサーバであって、
前記第2プロセッサは、前記コンピュータプログラムを実行することにより、項目7ないし10のいずれか一項に記載のセキュアチャネルの確立方法におけるすべての処理を実行する、5Gメッセージサーバ。
(項目17)
プロセッサに、項目1ないし6のいずれか一項に記載のセキュアチャネルの確立方法におけるすべての処理を実現させ、または項目7ないし10のいずれか一項に記載のセキュアチャネルの確立方法におけるすべての処理を実現させるためのコンピュータプログラムが記憶された、記憶媒体。

Claims (17)

  1. 5Gメッセージ端末によって実行される、セキュアチャネルの確立方法であって、
    アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を生成することと、
    前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立することと、を含む、セキュアチャネルの確立方法。
  2. 前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立することは、
    前記第1鍵に基づいて第3鍵を生成し、第1アイデンティティを含むクライアント鍵交換メッセージを前記5Gメッセージサーバに送信することと、
    前記5Gメッセージ端末と5Gメッセージサーバとの間のトランスポート層セキュリティ(TLS)セキュアチャネルを確立することと、を含む、
    請求項1に記載のセキュアチャネルの確立方法。
  3. 前記AKMAサービスに基づいて、第1鍵を生成する前に、前記セキュアチャネルの確立方法は、
    端末とコアネットワークとの間の初期認証を行うことをさらに含む、
    請求項1または2に記載のセキュアチャネルの確立方法。
  4. 前記AKMAサービスに基づいて、第1鍵を生成することは、
    前記5Gメッセージサーバにセッション確立要求を送信することであって、前記セッション確立要求は、第1アイデンティティを少なくとも含む、ことと、
    前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成することであって、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである、ことと、を含む、
    請求項1または2に記載のセキュアチャネルの確立方法。
  5. 前記第1アイデンティティによって識別される第2鍵を利用して、前記第1鍵を生成することは、前記5Gメッセージサーバに前記セッション確立要求を送信する前にまたは後に行われる、
    請求項4に記載のセキュアチャネルの確立方法。
  6. 前記セキュアチャネルの確立方法は、
    5Gメッセージサーバから送信されたセッション確立応答を受信することをさらに含み、
    前記第1鍵を生成することは、前記セッション確立応答を受信する前にまたは後に行われる、
    請求項4に記載のセキュアチャネルの確立方法。
  7. 5Gメッセージサーバによって実行される、セキュアチャネルの確立方法であって、
    アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を取得することと、
    前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立することと、を含む、セキュアチャネルの確立方法。
  8. 前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立することは、
    5Gメッセージ端末から送信された、第1アイデンティティを含むクライアント鍵交換メッセージを受信することと、
    前記第1アイデンティティに基づいて、前記第1鍵を取得し、前記第1鍵を利用して、第3鍵を生成し、前記5Gメッセージサーバと5Gメッセージ端末との間のトランスポート層セキュリティ(TLS)セキュアチャネルを確立することと、を含む、
    請求項7に記載のセキュアチャネルの確立方法。
  9. 前記AKMAサービスに基づいて、第1鍵を取得することは、
    前記5Gメッセージ端末から送信されたセッション確立要求を受信することであって、前記セッション確立要求は、第1アイデンティティを少なくとも含む、ことと、
    コアネットワークに鍵要求を送信することであって、前記鍵要求は、前記第1アイデンティティを少なくとも含む、ことと、
    前記コアネットワークから送信された第1情報を受信することと、を含み、前記第1情報は、前記第1アイデンティティによって識別される第2鍵に基づいて生成された前記第1鍵を少なくとも含み、前記第2鍵と第1アイデンティティは、AKMAサービスに基づいて生成されたものである、
    請求項7または8に記載のセキュアチャネルの確立方法。
  10. 前記第1情報は、前記第1鍵の周期をさらに含む、
    請求項7または8に記載のセキュアチャネルの確立方法。
  11. セキュアチャネルの確立装置であって、
    AKMAサービスに基づいて、第1鍵を生成するように構成される第1処理ユニットと、
    前記第1鍵に基づいて、5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立するように構成される第2処理ユニットと、を備える、セキュアチャネルの確立装置。
  12. セキュアチャネルの確立装置であって、
    アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を取得するように構成される第3処理ユニットと、
    前記第1鍵に基づいて、5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立するように構成される第4処理ユニットと、を備える、セキュアチャネルの確立装置。
  13. 第1通信インターフェースと、第1プロセッサと、を備える、5Gメッセージ端末であって、
    前記第1プロセッサは、
    アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を生成し、
    前記第1鍵に基づいて、前記5Gメッセージ端末と5Gメッセージサーバとの間のセキュアチャネルを確立する、5Gメッセージ端末。
  14. 第2通信インターフェースと、第2プロセッサと、を備える、5Gメッセージサーバであって、
    前記第2プロセッサは、
    アプリケーション層のための認証および鍵管理(AKMA)サービスに基づいて、第1鍵を取得し、
    前記第1鍵に基づいて、前記5Gメッセージサーバと5Gメッセージ端末との間のセキュアチャネルを確立する、5Gメッセージ端末。
  15. 第1プロセッサと、プロセッサで実行可能なコンピュータプログラムを記憶した第1メモリと、を備える5Gメッセージ端末であって、
    前記第1プロセッサは、前記コンピュータプログラムを実行することにより、請求項1ないし6のいずれか一項に記載のセキュアチャネルの確立方法におけるすべての処理を実行する、5Gメッセージ端末。
  16. 第2プロセッサと、プロセッサで実行可能なコンピュータプログラムを記憶した第2メモリと、を備える5Gメッセージサーバであって、
    前記第2プロセッサは、前記コンピュータプログラムを実行することにより、請求項7ないし10のいずれか一項に記載のセキュアチャネルの確立方法におけるすべての処理を実行する、5Gメッセージサーバ。
  17. プロセッサに、請求項1ないし6のいずれか一項に記載のセキュアチャネルの確立方法におけるすべての処理を実現させ、または請求項7ないし10のいずれか一項に記載のセキュアチャネルの確立方法におけるすべての処理を実現させるためのコンピュータプログラムが記憶された、記憶媒体。
JP2024508010A 2021-08-09 2022-08-08 セキュアチャネルの確立方法およびその装置、関連機器、並びに記憶媒体 Pending JP2024530949A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN202110910311.1 2021-08-09
CN202110910311.1A CN115706992A (zh) 2021-08-09 2021-08-09 安全通道建立方法、装置、相关设备及存储介质
PCT/CN2022/110922 WO2023016420A1 (zh) 2021-08-09 2022-08-08 安全通道建立方法、装置、相关设备及存储介质

Publications (1)

Publication Number Publication Date
JP2024530949A true JP2024530949A (ja) 2024-08-27

Family

ID=85179378

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2024508010A Pending JP2024530949A (ja) 2021-08-09 2022-08-08 セキュアチャネルの確立方法およびその装置、関連機器、並びに記憶媒体

Country Status (7)

Country Link
US (1) US20240349049A1 (ja)
EP (1) EP4369761A4 (ja)
JP (1) JP2024530949A (ja)
CN (1) CN115706992A (ja)
AU (1) AU2022327457A1 (ja)
CA (1) CA3228385A1 (ja)
WO (1) WO2023016420A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118677601A (zh) * 2023-03-20 2024-09-20 中国移动通信有限公司研究院 密钥更新方法、装置、通信设备及可读存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112399412B (zh) * 2019-08-19 2023-03-21 阿里巴巴集团控股有限公司 会话建立的方法及装置、通信系统
CN113163399B (zh) * 2020-01-07 2024-06-11 阿里巴巴集团控股有限公司 一种终端与服务器的通信方法和装置

Also Published As

Publication number Publication date
CA3228385A1 (en) 2023-02-16
WO2023016420A1 (zh) 2023-02-16
US20240349049A1 (en) 2024-10-17
AU2022327457A1 (en) 2024-02-29
EP4369761A4 (en) 2024-11-13
CN115706992A (zh) 2023-02-17
EP4369761A1 (en) 2024-05-15

Similar Documents

Publication Publication Date Title
US11296877B2 (en) Discovery method and apparatus based on service-based architecture
US9258344B2 (en) Multi-hop single sign-on (SSO) for identity provider (IdP) roaming/proxy
EP3329637B1 (en) System, apparatus and method for optimizing symmetric key cache using tickets issued by a certificate status check service provider
US9038138B2 (en) Device token protocol for authorization and persistent authentication shared across applications
EP3668042B1 (en) Registration method and apparatus based on service-oriented architecture
US20170099148A1 (en) Securely authorizing client applications on devices to hosted services
US20220159433A1 (en) Combined service discovery and connection setup for service-based architectures
US10262146B2 (en) Application-to-application messaging over an insecure application programming interface
CN115065703B (zh) 物联网系统及其认证与通信方法、相关设备
WO2009129753A1 (zh) 提高网络身份认证安全性的方法和装置
US11595215B1 (en) Transparently using macaroons with caveats to delegate authorization for access
CN112311543B (zh) Gba的密钥生成方法、终端和naf网元
US20200396088A1 (en) System and method for securely activating a mobile device storing an encryption key
US20190028460A1 (en) Low-overhead single sign on
US11595389B1 (en) Secure deployment confirmation of IOT devices via bearer tokens with caveats
JP2024530949A (ja) セキュアチャネルの確立方法およびその装置、関連機器、並びに記憶媒体
JP2024525557A (ja) アクセス制御方法、アクセス制御システム、および関連デバイス
WO2023227057A1 (zh) 业务授权方法、装置、网络功能及存储介质
TWI755951B (zh) 通訊系統及通訊方法
US20230318855A1 (en) Secure communication between non-paired devices registered to the same user
CN116266785A (zh) 密钥生成方法、mep服务器、应用服务器及核心网网元
CN117834158A (zh) 授权信息获取方法、装置、相关设备及存储介质
CA3240514A1 (en) Authentication and/or key management method, first device, terminal and communication device
CN113626777A (zh) 身份认证方法、存储介质和电子设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240228

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240228