IMSベースのマルチメディアブロードキャスト及びマルチキャストサービス(MBMS)におけるセキュリティキー管理
ユーザ機器UEと、SCF/NAF等の認証ノードと、BM−SC又はAS等のサービスノードとの間で共有セキュリティキーを管理するシステム、方法及びノード。SCF/NAFは、SCF/NAFが管理する完全修正ドメイン名(FQDN)空間からのFQDN等の異なるSCF/NAF識別子を各BM−SCに割り当てる。次に、SCF/NAFは、これらの割り当てられたFQDNを接続されたBM−SC及び種々のサービスとローカルに関連付ける。ネットワークは、所望のサービスに対するサービス記述において適切なFQDNをUEに送出し、UEは、FQDNを使用してセキュリティキーを導出できる。UEが所望のサービスを要求する場合、SCF/NAFはサービス識別子を適切なFQDN及び関連付けられたBM−SCと関連付けることができる。SCF/NAFは、ブートストラッピングサーバからセキュリティキーを取得するためにFQDNを使用し、それを関連付けられたBM−SCに送出する。その結果、UE及び関連付けられたBM−SCは特定のセキュリティキーを共有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークに関し、特にIPマルチメディアサブシステム(IMS)ベースのマルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスにおいて共有セキュリティキーを管理するシステム、方法及びネットワークノードに関する。
【背景技術】
【0002】
本発明に関連する既存の手順は、いくつかの第3世代パートナーシッププロジェクト(3GPP)技術仕様書において説明される。それらは以下のものを含む。
【0003】
・3GPP TS 33.220 v8.5.0 Technical Specification Group Services and System Aspects;汎用認証アーキテクチャ(GAA);汎用ブートストラッピングアーキテクチャ(リリース8)、
・3GPP TS 33.222 v8.0.0 Technical Specification Group Services and System Aspects;汎用認証アーキテクチャ(GAA);トランスポート層セキュリティを介するハイパーテキスト転送プロトコル(HTTPS)を使用したネットワークアプリケーション機能へのアクセス(リリース8)、
・3GPP TS 33.246 v8.2.0 Technical Specification Group Services and System Aspects;3Gセキュリティ;マルチメディアブロードキャスト/マルチキャストサービス(MBMS)のセキュリティ(リリース8)及び
・3GPP TS 26.237 v8.0.0 Technical Specification Group Services and System Aspects;IPマルチメディアサブシステム(IMS)ベースのパケット交換ストリーミング(PSS)及びマルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービス;プロトコル(リリース8)。
【発明の概要】
【発明が解決しようとする課題】
【0004】
図1は、ブートストラッピングサービスを使用してネットワークアプリケーション機能(NAF)を示すTS 33.222の高水準参照モデルである。ネットワークエンティティは、汎用ブートストラッピングアーキテクチャ(GBA)を特定する3GPP TS 33.220において規定される。GBAにおいて、ユーザ機器(UE)11等の移動通信装置及びブートストラッピングサーバ機能(BSF)12は、Ub参照点を介してHTTP digest AKAを実行することにより、共有キーKsを確立する。共有キーKsは、Ua参照点を介したUEとNAF13との間の通信のセキュリティを保護するように、NAF専用キー(Ks_NAFキーと呼ばれる)を導出するために後で使用される。NAFは、Zn参照点を介してNAF専用キーを取り出す。
【0005】
3GPP TS 33.222の6節は、NAF13において認証プロキシ(AP)を使用することを特定する。APは、TS 33.220において特定されたGBAアーキテクチャに準拠する。APは、このアーキテクチャにおいて使用される場合、NAFの役割をすることにより、セキュリティタスクのアプリケーションサーバ(AS)を解放する。
【0006】
図2は、認証プロキシ(AP)15の環境及び参照点を示すTS 33.222の高水準参照モデルである。TS 33.222は、NAF13においてUE11とAP15との間でトランスポート層セキュリティ(TLS)が使用されると仮定する。HTTPS要求がAPの背後のアプリケーションサーバ(AS)16a〜16nに向けられる場合、APは、TLSトンネル17(TLS Tunnel)を終了し、BSF12からNAFキー(Ks_NAF)を取出し、UE認証を実行する。APは、UEから受信したHTTP要求を1つ又は複数のASに対してプロキシする。APは、UEからの要求をASに転送する場合、ASが使用するための加入者のアイデンティティの表明を追加してもよい。
【0007】
NAFキーを使用するためのTS 33.222において規定された手順に関する問題は、共有キー材料が必要とされる場合があってもUE11及びAS16a〜16nがそのようなキー材料を全く共有しないことである。AP15は、TS 33.222においてNAF13の役割を担う。従って、NAFキー(Ks_NAF)は、TS 33.220において特定されたキー導出規則に従ってAP専用のキーであり、UEにより認識されない。
【0008】
図3は、キーを共有することに対する現在の解決方法を示すTS 26.237の高水準参照モデルである。ASと共にNAFを使用することに対して上記で規定されたこの問題は、TS 26.237において規定されたネットワークエンティティに更に当てはまる。この場合、サービス制御機能(SCF)21は、NAF/APの修正された変形例の役割を担い(従って、SCF/NAFとラベル付けされる)、MBMSブロードキャスト/マルチキャストサービスセンター(MB−SC)22は、ASの役割を担う(従って、BM−SC/ASとラベル付けされる)。図2のASのように、BM−SC/ASは、保護されたMIKEYキー管理メッセージをユニキャストチャネル又はブロードキャストチャネルを介してBM−SC/ASからUEに直接送出できるように、UE11との共有キーを必要とする。
【0009】
尚、TS 26.237は、このようにTS 33.222のAP15及びAS16との類似性について言及していない。TS 26.237における設定は、TS 33.222における設定と厳密に同一ではなく、例えばUE11とSCF21との間のTLSトンネルは必ずしも使用されない。しかし、同様の問題は依然として存在する。
【0010】
TS 26.237において、SCF21が自身のNAFキー(Ks_NAF)をBM−SC22に送出する解決方法が紹介されている。BM−SCは、BM−SCからUE11へのMIKEYキー管理メッセージを保護するために使用されるMUK(MBMSユーザキー)としてKs_NAFを使用する。図3のステップ1〜6は現在のGBA手順に従い、ステップ7は、Ks_NAF及び加入者の表明されたアイデンティティをBM−SCに送出することを説明する。
【0011】
1つのBM−SC22のみがSCF21に接続される限り(及びBM−SCはSCF専用NAFキーを乱用しないため、SCFがBM−SCに対して十分な信頼を置く限り)、TS 26.237における現在の解決方法は適切に機能する。2つ以上のBM−SCがSCFに装着される場合に問題が発生する。これは、現在の解決方法によると、SCFが、自身のKs_NAFをBM−SCに送出するため、同一のKs_NAFを接続された全てのBM−SCに送出することになるためである。同一のキーを複数のノードに与えるのは適切なセキュリティの習慣ではない。これにより、同一のKs_NAFがUE11と関連した全てのBM−SCとの間で使用される状況になる。これにより、UEに対して互いに詐称するBM−SC等の脅威をもたらすことになる。
【0012】
図4は、既存のIMSベースのMBMS登録手順中に種々のネットワークエンティティ間で送出されたメッセージを示すメッセージフローチャートである。図4は、UE11が3GPP TS 33.203に従ってIMSに登録され且つ認証されており、UEが3GPP TS 26.237において規定されたようにサービススケジュール機能(SSF)(不図示)と通信し且つ使用可能なサービスのリストを受信しており、UEが3GPP TS 33.220において規定されたようにBSF12とのGBAブートストラッピングを実行しており、且つネットワークインタフェースが3GPP TS 33.210において規定されたようにネットワークドメインセキュリティ(NDS/IP)で保護されるという前提条件に基づく。
【0013】
手順は以下の通りであり、セキュリティ手順に関する関連情報のみが示される。UE11は、IPマルチメディアコアネットワーク(IM CN)サブシステム32を介してSIP INVITEメッセージ31をSCF21に送出する。INVITEメッセージはRequest−URIにおいて「SCF」を示し、メッセージは、SIPメッセージ本体(Msg body)におけるXML文書において、UEが登録したい要求されたMBMSユーザサービス(userServiceIds)のアイデンティティを含む。XML文書は、TS 33.246においてMBMS登録に対して使用されたものと同一であり、TS 26.346において特定される。更に、ブートストラッピングトランザクション識別子(B−TID)を搬送するXML文書がある。B−TIDを搬送するXML文書は、3GPP TS26.237のAnnex Iにおいて規定される。
【0014】
SCF21は、SIP INVITEメッセージ31のヘッダからUE11のIPアドレス及びUEの表明された1つ又は複数のアイデンティティを受信する。SCFは、格納された加入情報に基づいて調査し、UEが要求されたMBMSユーザサービスにアクセスする許可を受けているかを判定する。UEが許可を受けている場合には手順は継続し、許可を受けていない場合には手順は終了する。UEに対して格納されたB−TIDがない場合又は受信したB−TIDがUEに対して格納されたものと異なる場合、SCF21は、TS 33.220において規定されたように、33及び34においてZn参照点を介してBSF12を用いてGBA使用手順を実行し、UEに対応するNAFキーを取り出す。SCFは、TS 33.246において規定されたように、NAFキーからMBMSユーザキー(MUK)を導出する。
【0015】
SCF21は、HTTP POSTメッセージ35をBM−SC22に送出する。SCFは、HTTP POSTメッセージを以下の通りポピュレートする。
−HTTPバージョンは1.1であり、RFC2616において特定される。
−Request−URIのベースは、完全なBM−SCキー管理URI(例えば、http://bmsc.home1.net:1234)を含む。
−Request−URIは、「authorized−register」に設定されるURIパラメータ「requesttype」を含む。すなわち、Request−URIは、「/keymanagement?requesttype=authorized−register」の形態を取る。
−SCFは、更なるURIパラメータをRequest−URIに追加してもよい。
−UEのアイデンティティを含むX−3GPP−Asserted−Identityヘッダ。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−authorized−register+xml」である。
−HTTPペイロードは、UEが登録したいMBMSユーザサービスの1つ以上のuserServiceIds、UEのIPアドレス、MBMSユーザキー(MUK)及びMUKの有効期限のリストを含むXML文書を含む。ペイロードのXMLスキーマは、3GPP TS 26.237のAnnex Iにおいて特定される
−SCFは、更なるHTTPヘッダをHTTP POST要求に追加してもよい。
【0016】
BM−SC22は、HTTP POSTメッセージ35を受信し、HTTP POSTが有効であることを検証し、更なる処理に対する要求を抽出する。HTTP POSTメッセージが表明されたアイデンティティと共にSCF21から送出されたものであるため、UE11がIMSにより認証されているので、BM−SCはUEを認証する必要はない。また、HTTP POSTメッセージは、SCFにより、UEが示されたMBMSユーザサービスに登録するのを許可されたことをBM−SCに対して更に示す。
【0017】
BM−SCは、受信した情報を格納し、HTTP 200 OKメッセージ36をSCF21に返送する。BM−SCは、HTTP 200 OKメッセージを以下の通りポピュレートする。
−HTTPステータス行におけるHTTPステータスコードは200である。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−register−response+xml」である。
−HTTPペイロードは、MBMSユーザサービス毎に1つのステータスコードを含むリストを含むXML文書を含む。ペイロードのXMLスキーマは、TS 33.246においてMBMS登録に対して使用されるものと同一であり、TS26.346において特定される。
【0018】
SCF21は、HTTP 200 OKメッセージ36を受信し、HTTP 200 OKメッセージからのXML本体をSIP 200 OKメッセージ37に含み、IM CNサブシステム32を介してSIP 200 OKメッセージをUE11に送出する。次に、BM−SC22は、TS 33.246において特定された手順に従って、指示されたMBMSユーザサービスに対してMIKEY MSKメッセージ(MUKで保護された)38、MTKメッセージ(MSKで保護された)39及びMBMSデータ(MTKで保護された)40をUEに送出し始める。
【0019】
この手順に関する問題は、図3に関連して上述したものと同一である。すなわち、2つ以上のBM−SCがSCFに接続される場合、BM−SC専用NAFキーを提供する方法はない。SCF21が接続された全てのBM−SCに同一のKs_NAFを送出する場合、同一のKs_NAFキーはUE11と関連した全てのBM−SCとの間で使用されることになる。これにより、UEに対して互いに詐称するBM−SC等の脅威をもたらすことになる。
【0020】
また、MIKEY MSKメッセージ38には、MIKEY MSKメッセージを保護するために使用されたMUK(すなわち、NAFキー)をUE11に対して示す十分な情報がない。MBMS TS 33.246において、NAF−Id及びB−TIDはこれを示すために使用されるが、TS 26.237において、BM−SC22は、NAFとして動作しないため、この情報を有さない。
【課題を解決するための手段】
【0021】
本発明の一実施形態において、SCF/NAF21は、GBAにおいて通常通りBSF12からKs_NAFを取り出す。SCF/NAFは、自身のKs_NAFキーを(1つ以上の)BM−SC/ASに送出する代わりに、更なるキー導出を行ない、SCF専用Ks_NAFからBM−SC/AS専用キーKs_ASを生成する。例えば、Ks_AS=KDF(Ks_NAF、ノンス)である。ここで、ノンスは、SCF/NAFにより規定され且つ関連したBM−SC/AC専用の値である。SCF/NAFは、UE11に対してノンスを示し、結果、UEは同一のKs_ASを導出することができる。UEが導出したKs_ASキーを適切なBM−SC/ASに関連付けられるように、SCF/NAFは、BM−SC/ASのアイデンティティをUEに対して更に示す。その結果、UE及びBM−SC/ASは、BM−SC/AS専用キーを共有する。
【0022】
一実施形態において、本発明は、通信ネットワークにおいて、通信装置と、認証ノードと、要求されたサービスを通信装置に提供する選択されたサービスノードとの間で共有セキュリティキーを管理する方法に関する。方法は、認証ノードが、認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付けるステップと、ネットワークにより所望のサービスに対するサービス記述を通信装置に対して使用可能にするステップとを含む。ここで、サービス記述は、所望のサービスと関連付けられる複数の認証ノード識別子のうちの1つを含み、その認証ノード識別子により通信装置はセキュリティキーを導出できるようになる。また、方法は、認証ノードにより、ネットワークにおいて複数の認証ノード識別子のうちの異なる1つを各サービスノードに割り当てることと、認証ノードが、割り当てられた認証ノード識別子を接続されたサービスノードと関連付けることとを更に含む。通信装置から所望のサービスに対する要求を受信すると、認証ノードは、割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、所望のサービスと関連付けられた認証ノード識別子を利用し、セキュリティキーを認証ノードから関連付けられたサービスノードに送出する。その結果、関連付けられたサービスノードがセキュリティキーで保護されたキー管理メッセージを通信装置に送出する場合、通信装置は、セキュリティキーを使用してメッセージを復号化し且つ検証する。
【0023】
別の実施形態において、本発明は、通信ネットワークにおいて、通信装置と、認証ノードと、要求されたサービスを通信装置に提供する選択されたサービスノードとの間で共有セキュリティキーを管理する方法に関する。方法は、サービス記述が認証ノードに対して少なくとも1つの識別子を含み、各認証ノード識別子が、異なるサービス及び異なるサービスノードと関連付けられており、ネットワークにより少なくとも1つのサービスに対するサービス記述を通信装置に対して使用可能にするステップと、既知の情報及びサービス記述において受信された認証ノード識別子の中から選択された1つの認証ノード識別子に基づいて通信装置によりセキュリティキーを導出するステップと、ここで選択された認証ノード識別子が所望のサービスと関連付けられ、所望のサービスに対する要求であって、所望のサービスに対するトランザクション識別子及びサービス識別子を含む要求を、通信装置から認証ノードに送出するステップと、を含む。方法は、認証ノードにおいてサービス識別子を認証ノード識別子と関連付けることと、セキュリティキーを取得するために認証ノードにより認証ノード識別子及びトランザクション識別子を利用することと、認証ノード識別子と関連付けられたサービスノードを識別することと、所望のサービスに対する要求メッセージを認証ノードから識別されたサービスノードに送出することとを更に含む。ここで、要求メッセージは、サービス識別子、トランザクション識別子、セキュリティキー及び通信装置に対するアドレスを含む。その結果、識別されたサービスノードがセキュリティキーで保護されたキー管理メッセージを通信装置に送出する場合、通信装置は、セキュリティキーを使用してメッセージを復号化し且つ検証する。
【0024】
別の実施形態において、本発明は、通信ネットワークにおいて、サービスを通信装置に提供するサービスノードと通信装置との間で共有セキュリティキーを管理する認証ノードに関する。認証ノードは、メモリに格納されたコンピュータプログラム命令を実行するプロセッサを含み、プロセッサは認証ノードの以下の構成要素を制御する。すなわち、プロセッサは、認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、ネットワークにおいて複数の認証ノード識別子のうちの異なる1つを各サービスノードに割り当てる手段と、割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、通信装置から所望のサービスに対する要求を受信することに応答して、割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、所望のサービスと関連付けられた割り当てられた認証ノード識別子を利用する手段と、セキュリティキーを認証ノードから関連付けられたサービスノードに送出する通信手段とを制御する。ネットワークは、所望のサービスに対するサービス記述を通信装置に対して使用可能にする。サービス記述は、所望のサービスと関連付けられる複数の認証ノード識別子のうちの1つを含み、通信装置は、セキュリティキーを導出するために認証ノード識別子を利用する。その結果、関連付けられたサービスノードがセキュリティキーで保護されたキー管理メッセージを通信装置に送出する場合、通信装置は、セキュリティキーを使用してメッセージを復号化し且つ検証する。
【0025】
別の実施形態において、本発明は、通信ネットワークにおいて、共有セキュリティキーを利用してユーザサービスを通信装置に提供するサービスノードに関する。サービスノードは、メモリに格納されたコンピュータプログラム命令を実行するプロセッサを備える。プロセッサは、サービスノードの以下の構成要素を制御する。すなわち、プロセッサは、認証ノード識別子、通信装置のIPアドレス、通信装置がサービスノードにより提供されたユーザサービスを要求したトランザクションを識別するトランザクション識別子及び共有セキュリティキーを認証ノードから取得する通信手段と、共有セキュリティキーで保護されたキー管理メッセージを通信装置に送出する通信手段であり、キー管理メッセージが認証ノード識別子及びトランザクション識別子を含む通信手段と、を制御する。通信装置は、サービスノードからキー管理メッセージを受信する場合、認証ノード識別子及びトランザクション識別子からの共有セキュリティキーを識別する。認証ノードが認証ノード識別子を通信装置に提供する場合又は通信装置がサービス記述において認証ノード識別子を受信する場合、通信装置は、認証ノード識別子を利用して共有セキュリティキーを導出し、共有セキュリティキーを使用してキー管理メッセージを復号化し且つ検証する。
【0026】
別の実施形態において、本発明は、通信ネットワークにおいて共有セキュリティキーを管理するシステムに関する。システムは、通信装置と、通信装置と通信している認証ノードと;認証ノード及び通信装置と通信しているサービスノードと、を備える。認証ノードは、認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、複数の認証ノード識別子の中から選択された1つの認証ノード識別子をサービスノードに割り当てる手段と、割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、通信装置から所望のサービスに対する要求を受信することに応答して、割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、所望のサービスと関連付けられた割り当てられた認証ノード識別子を利用する手段と、認証ノード識別子、通信装置のIPアドレス、通信装置がサービスノードにより提供されたユーザサービスを要求したトランザクションを識別するトランザクション識別子及び共有セキュリティキーをサービスノードに送出する通信手段と、を備える。サービスノードは、共有セキュリティキーで保護されたキー管理メッセージを通信装置に送出する手段を備え、キー管理メッセージが認証ノード識別子及びトランザクション識別子を備える。移動通信装置は、認証ノード識別子及びトランザクション識別子からの共有セキュリティキーを識別する手段と、ネットワークから取得したサービス記述又は認証ノードから認証ノード識別子を受信する通信手段と、認証ノード識別子を利用して共有セキュリティキーを導出する手段と、共有セキュリティキーを使用してキー管理メッセージを復号化し且つ検証する手段と、を備える。
【0027】
IMSベースのMBMS及びPSSユーザサービスにおけるキー配信に対する特定の例示的な一実施形態において、本発明は、UEが同一のキーを当該全てのBM−SCと共有するのではなく異なる(特定の)キーを複数のBM−SCの各々と共有するセキュリティ上より安全なシステムを提供するのが有利である。認証プロキシ(AP)の例場合にAS専用キーを取得する関連した一実施形態において、本発明は、UEとアプリケーションサーバ(AS)との間で共有された秘密を実現する方法を提供するのが有利である。これにより、APを用いた例の場合に開発される新しい種類のアプリケーションが可能となる。本発明は、UEが同一のキーを当該全てのASと共有するのではなく異なる(特定の)キーを各ASと共有するセキュリティ上より安全なシステムを提供する。
【図面の簡単な説明】
【0028】
【図1】ブートストラッピングサービスを使用してネットワークアプリケーション機能(NAF)を示すTS 33.222の高水準参照モデルを示す図である。
【図2】認証プロキシ(AP)の環境及び参照点を示すTS 33.222の高水準参照モデルを示す図である。
【図3】キーを共有することに対する現在の解決方法を示すTS 26.237の高水準参照モデルを示す図である。
【図4】既存のIMSベースのMBMS登録手順中に種々のネットワークエンティティ間で送出されたメッセージを示すメッセージフローチャートである。
【図5A】、
【図5B】NAF−Id(SCFが割り当てたFQDN)がサービス記述においてUEに対して示される場合、本発明のIMSベースのMBMS登録手順の第1の実施形態中に種々のネットワークエンティティ間で送出されたメッセージを示すメッセージフローチャートの一部を示す図である。
【図6A】、
【図6B】NAF−Id(SCFが割り当てたFQDN)がSIP 200 OKメッセージにおいてUEに対して示される場合、本発明のIMSベースのMBMS登録手順の第2の実施形態中に種々のネットワークエンティティ間で送出されたメッセージを示すメッセージフローチャートの一部を示す図である。
【図7】本発明のシステムの一実施形態、並びにIMSベースのMBMSユーザサービス及びPSSユーザサービスにおけるキー配信の方法を示す高水準参照モデルを示す図である。
【図8】本発明のシステムの一実施形態及び認証プロキシ(AP)の例の場合にAS専用キーを取得する方法を示す高水準参照モデルを示す図である。
【図9】本発明のシステムの例示的な一実施形態を示す概略ブロック図である。
【発明を実施するための形態】
【0029】
キー導出において使用されるNAF−IdをUEに対して示すための方法は2つある。
A)NAF−Id(SCFが割り当てたFQDN)を、サービス記述においてUEに対して示す。UEが選択するサービスに基づいて、UEは対応するNAF−Idを使用する。これはMBMS TS 33.246における現在の手順に類似するが、そこではBM−SC FQDNが示される。
B)SIP INVITE手順が終了する前にUEがNAF−Idを使用する必要はない。そこで、SCFが、SIP INVITE手順内でUEに対してNAF−Id(SCFが割り当てたFQDN)を示すことができる。この別の方法は、サービス要求を受信する際にSCFがBM−SCをユーザに動的に割り当てられるという利点を有する。これは、例えば負荷分散において有益である。
【0030】
図5A及び図5Bは、NAF−Id(SCFが割り当てたFQDN)がサービス記述においてUE11に対して示される場合(すなわち、上記の選択肢A)の、本発明のIMSベースのMBMS登録手順において種々のネットワークエンティティ間で送出されるメッセージを示す、メッセージフローチャートの一部である。図5A及び図5Bは、UEが3GPP TS 33.203に従ってIMSに登録され且つ認証されており、SIP手順が3GPP TS 33.203において規定されているようにIMSセキュリティにより保護され、UEが3GPP TS 33.220において規定されているようにBSF12とのGBAブートストラッピングを実行しており、且つネットワークインタフェースが3GPP TS 33.210において規定されているようにネットワークドメインセキュリティ(NDS/IP)で保護されるという前提条件に基づく。
【0031】
また、SCF21は、実際のMBMSユーザサービスをUEに提供する1つ以上のBM−SC22a、22bに接続している。BM−SCがNAFとして動作するTS 33.246において規定されたMBMSセキュリティとは異なり、SCFは、BM−SCの代わりにNAFとして動作する。BSF12は、NAFキー導出への入力としてNAF−Id(NAF及びUaセキュリティプロトコル識別子のFQDNを含む)を使用する。BSFからBM−SC専用NAFキーを取得するために、SCFは、BM−SC毎に別個のFQDNを割り当てる(SCFが管理するFQDN空間から)。SCFは、例えばテーブルにおいて、これらの割り当てられたFQDNを接続したBM−SCに関連付ける。
【0032】
これらの割り当てられた別個のFQDNは、2つの理由から必要である。第1に、2つのBM−SCが同一のNAFキーを取得することによりシステムのセキュリティを脅かすため、SCF21は、同一の(例えば、自身の)FQDNを使用できない。第2に、自身が与えているNAF−Idを使用する権利がNAFに与えられているかを判定することをBSF12が調査するため、SCFはBM−SCのFQDNを使用できない。一例として、SCFは、BM−SC_1 22a及びBM−SC_2 22bに対してNAF−Idを以下の通り割り当てる。 NAF−Id_1(FQDN)<=>BM−SC1(FQDN)
NAF−Id_2(FQDN)<=>BM−SC2(FQDN)
ここで、例えば、NAF−Id_1は、server1.scf.operatorA.comであり、BM−SC_1は、bmsc123.operatorB.comである。
【0033】
図5Aを参照すると、次に、GBAブートストラップ手順42、サービス記述検索手順43が実行される。UE11は、SSF41と通信し、サービス記述44、すなわちサービス保護記述等の使用可能なサービス及びそのパラメータのリストを検索する。BM−SC FQDNではなくSCFを割り当てられたFQDNが含まれることを除いて、サービス保護記述はTS 33.246において規定されたものに類似する。UEがSIP INVITEメッセージ47を送出すべき場所を認識するように、SCF21のFQDNがここでも更に必要であると仮定される。
【0034】
45において、ユーザは、サービス記述からサービスを選択し、サービス記述における選択されたサービスに関して示されているNAF−Idに対応するNAFキーを導出する。あるいは、NAFキーは、SIP INVITE手順46の後に導出されてもよい。
【0035】
UE11は、IM CNサブシステム32を介してSIP INVITEメッセージ47をSCF21に送出する。INVITEメッセージは、Request−URIにおいてSCFを示し、メッセージは、UEが登録したい要求されたMBMSユーザサービスのアイデンティティ(userServiceIds)をSIPメッセージ本文のXML文書に含む。XML文書は、TS 33.246においてMBMS登録に対して利用されたものと同一であり、TS 26.346において特定される。更に、ブートストラッピングトランザクション識別子(B−TID)を搬送するXML文書がある。B−TIDを搬送するXML文書は、3GPP TS 26.237のAnnex Iにおいて規定される。
【0036】
SCF21は、SIP INVITEメッセージ47のヘッダからUE11のIPアドレス及びUEの表明された1つ又は複数のアイデンティティを受信する。SCFは、格納された加入情報に基づいて調査し、UEが要求されたMBMSユーザサービスにアクセスする許可を受けているかを判定する。手順は、UEが許可を受けている場合は継続し、許可を受けていない場合は終了する。
【0037】
図5Bを参照すると、UEに対して格納されたB−TIDがない場合又は受信したB−TIDがUEに対して格納されたものと異なる場合、SCFは、TS 33.220において規定されているように、Zn参照点を介してBSF12を用いてGBA使用手順48を実行し、UEに対応するNAFキーを取り出す。SCFは、許可要求メッセージ49をBSFに送出し、サービス記述にこのサービスに対して示されるNAF−Idを含める。BSFは、50においてNAFキーを導出するためにNAF−Idを使用し、次に許可応答メッセージ51においてNAFキーを返送する。その後SCFは、TS 33.246において規定されているようにNAFキーからMUKを導出する。尚、新しいUaセキュリティプロトコルは、このために3GPP TS 33.220において登録される必要がある。
【0038】
次に、HTTP登録手順52において、SCF21は、HTTP POSTメッセージ53をBM−SC(示された例の場合、BM−SC_1 22a)に送出する。SCFは、HTTP POSTメッセージを以下の通りポピュレートする。
−HTTPバージョンは1.1であり、RFC2616において特定される。
−Request−URIのベースは、完全なBM−SCキー管理URI(例えば、http://bmsc.home1.net:1234)を含む。
−Request−URIは、「authorized−register」に設定されるURIパラメータ「requesttype」を含む。すなわち、Request−URIは、「/keymanagement?requesttype=authorized−register」の形態を取る。
−SCFは、更なるURIパラメータをRequest−URIに追加してもよい。
−UEのアイデンティティを含むX−3GPP−Asserted−Identityヘッダ。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−authorized−register+xml」である。
−HTTPペイロードは、UEが登録したいMBMSユーザサービスの1つ以上のuserServiceIds、UEのIPアドレス、MBMSユーザキー(MUK)、MUKの有効期限、NAF−Id及びB−TIDのリストを含むXML文書を含む。NAF−Id及びB−TIDは、使用されたMUK(すなわち、NAFキー)を識別するためにBM−SCからUEへのMIKEYメッセージに更に含まれるので、これらNAF−Id及びB−TIDが含まれる。ペイロードのXMLスキーマは、3GPP TS 26.237のAnnex Iにおいて特定される。
−SCFは、更なるHTTPヘッダをHTTP POST要求メッセージに追加してもよい。
【0039】
BM−SC_1 22aは、HTTP POSTメッセージ53を受信し、HTTP POSTメッセージが有効であることを検証し、更なる処理に対する要求を抽出する。HTTP POSTメッセージが表明されたアイデンティティと共にSCF21から送出されるため、UE11はIMSによりすでに認証されており、したがってBM−SC_1はUEを認証する必要はない。また、HTTP POSTメッセージは、UEが示されたMBMSユーザサービスに登録するのをSCFが許可したことをBM−SC_1に対して更に示す。
【0040】
BM−SC_1は、受信した情報を格納し、HTTP 200 OKメッセージ54をSCF21に返送する。BM−SC_1は、HTTP 200 OKメッセージを以下の通りポピュレートする。
−HTTPステータス行におけるHTTPステータスコードは200である。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−register−response+xml」である。
−HTTPペイロードは、MBMSユーザサービス毎に1つのステータスコードを含むリストを含むXML文書を含む。ペイロードのXMLスキーマは、TS 33.246においてMBMS登録に対して使用されるものと同一であり、TS26.346において特定される。
【0041】
SCF21は、HTTP 200 OKメッセージ54を受信し、HTTP 200 OKメッセージからのXML本体をSIP 200 OKメッセージ55に含ませ、そのSIP 200 OKメッセージをIM CNサブシステム32を介してUE11に送出する。MIKEY MSK手順56において、次に、BM−SC_1 22aは、TS 33.246において特定された手順に従って、示されたMBMSユーザサービスに対してMIKEY MSKメッセージ(MUKで保護された)57、MTKメッセージ(MSKで保護された)58及びMBMSデータ(MTKで保護された)59をUEに送出し始める。MIKEY MSKメッセージ57において、BM−SCは、HTTP POSTメッセージ53においてSCF21から受信したNAF−Id(FQDN)及びB−TIDを使用する。
【0042】
図6A及び図6Bは、NAF−Id(SCFが割り当てたFQDN)がSIP 200 OKメッセージにおいてUE11に対して示される場合(すなわち、上記選択B)の、本発明によるIMSベースのMBMS登録手順の一実施形態において種々のネットワークエンティティ間で送出されるメッセージを示すメッセージフローチャートの一部である。上記の図5A及び図5Bに対して説明されたように、同一の前提条件を適用する。
【0043】
図6Aを参照すると、GBAブートストラップ手順42に続いて、サービス記述検索手順61が実行される。UE11は、SSF41と通信し、サービス記述62、すなわちサービス保護記述等の使用可能なサービス及びそのパラメータのリストを検索する。サービス保護記述は、含まれているFQDNがBM−SC FQDNではなくSCFを指し示すことを除いては、TS 33.246において規定されているものに類似する。UEがSIP INVITEメッセージ47を送出すべき場所を認識するように、SCF21のFQDNがここでも更に必要であると仮定される。
【0044】
SIP INVITE手順63において、 UE11は、IM CNサブシステム32を介してSIP INVITEメッセージ64をSCF21に送出する。INVITEメッセージはRequest−URIにおいてSCFを示し、メッセージは、SIPメッセージ本体におけるXML文書、UEが登録したい要求されたMBMSユーザサービスのアイデンティティ(userServiceIds)を含む。XML文書は、TS 33.246においてMBMS登録に対して利用されたものと同一であり、TS 26.346において特定される。更に、ブートストラッピングトランザクション識別子(B−TID)を搬送するXML文書がある。B−TIDを搬送するXML文書は、3GPP TS 26.237のAnnex Iにおいて規定される。
【0045】
SCF21は、SIP INVITEメッセージ64のヘッダからUE11のIPアドレス及びUEのアサートされた1つ又は複数のアイデンティティを受信する。SCFは、格納された加入情報に基づいて調査し、UEが要求されたMBMSユーザサービスにアクセスする許可を受けているかを判定する。手順は、UEが許可を受けている場合は継続し、許可を受けていない場合は終了する。
【0046】
図6Bを参照すると、UEに対して格納されたB−TIDがない場合又は受信したB−TIDがUEに対して格納されたものと異なる場合、SCFは、TS 33.220において規定されているように、Zn参照点を介してBSF12を用いてGBA使用手順65を実行し、UEに対応するNAFキーを取り出す。SCFは、許可要求メッセージ66をBSFに送出し、このサービスに対してSCFが割り当てたNAF−Idを含める。BSFは、67においてNAFキーを導出するためにNAF−Idを使用し、次に許可応答メッセージ68においてNAFキーを返送する。その後SCFは、TS 33.246において規定されているようにNAFキーからMUKを導出する。尚、新しいUaセキュリティプロトコルは、このために3GPP TS 33.220において登録される必要がある。
【0047】
次に、HTTP登録手順69において、SCF21は、HTTP POSTメッセージ70をBM−SC(示された例の場合、BM−SC_1 22a)に送出する。SCFは、HTTP POSTメッセージを以下の通りポピュレートする。
−HTTPバージョンは1.1であり、RFC2616において特定される。
−Request−URIのベースは、完全なBM−SCキー管理URI(例えば、http://bmsc.home1.net:1234)を含む。
−Request−URIは、「authorized−register」に設定されるURIパラメータ「requesttype」を含む。すなわち、Request−URIは、「/keymanagement?requesttype=authorized−register」の形態を取る。
−SCFは、更なるURIパラメータをRequest−URIに追加してもよい。
−UEのアイデンティティを含むX−3GPP−Asserted−Identityヘッダ。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−authorized−register+xml」である。
−HTTPペイロードは、UEが登録したいMBMSユーザサービスの1つ以上のuserServiceIds、UEのIPアドレス、MBMSユーザキー(MUK)、MUKの有効期限、NAF−Id及びB−TIDのリストを含むXML文書を含む。NAF−Id及びB−TIDは、使用されたMUK(すなわち、NAFキー)を識別するためにBM−SCからUEへのMIKEYメッセージに更に含まれるので、これらNAF−Id及びB−TIDが含まれる。ペイロードのXMLスキーマは、3GPP TS 26.237のAnnex Iにおいて特定される。
−SCFは、更なるHTTPヘッダをHTTP POST要求メッセージに追加してもよい。
【0048】
BM−SC_1 22aは、HTTP POSTメッセージ70を受信し、HTTP POSTメッセージが有効であることを検証し、更なる処理に対する要求を抽出する。HTTP POSTメッセージがアサートされたアイデンティティと共にSCF21から送出されたため、UE11はIMSによりすでに認証されており、BM−SC_1はUEを認証する必要はない。また、HTTP POSTメッセージは、UEが示されたMBMSユーザサービスに登録するのをSCFが許可したことをBM−SC_1に対して更に示す。
【0049】
BM−SC_1は、受信した情報を格納し、HTTP 200 OKメッセージ71をSCF21に返送する。BM−SC_1は、HTTP 200 OKメッセージを以下の通りポピュレートする。
−HTTPステータス行におけるHTTPステータスコードは200である。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−register−response+xml」である。
−HTTPペイロードは、MBMSユーザサービス毎に1つのステータスコードを含むリストを含むXML文書を含む。ペイロードのXMLスキーマは、TS 33.246においてMBMS登録に対して使用されるものと同一であり、TS26.346において特定される。
【0050】
SCF21は、HTTP 200 OKメッセージ71を受信し、HTTP 200 OKメッセージからのXML本体及び使用されたNAF−IdをSIP 200 OKメッセージ72に含ませて、このSIP 200 OKメッセージをIM CNサブシステム32を介してUE11に送出する。UEは、SIP 200 OKメッセージを受信すると、TS 33.246において規定されているように、サービスに対応するNAFキーを導出するために73において受信したNAF−Idを使用し、MUKを導出する。
【0051】
MIKEY MSK手順74において、BM−SC_1 22aは、TS 33.246において特定された手順に従って、示されたMBMSユーザサービスに対しての、MIKEY MSKメッセージ(MUKで保護された)75、MTKメッセージ(MSKで保護された)76及びMBMSデータ(MTKで保護された)77をUEに送出し始めることができる。MIKEY MSKメッセージ75において、BM−SCは、HTTP POSTメッセージ70においてSCF21から受信したNAF−Id(FQDN)及びB−TIDを使用する。
【0052】
図7は、本発明のシステムの一実施形態、並びにIMSベースのMBMSユーザサービス及びPSSユーザサービスにおけるキー配信の方法を示す高水準参照モデルを示す。ステップ1において、UE11及びBSF12は、TS 33.220において規定されているようにGBAブートストラッピング手順を実行する。その結果、キーKs及びB−TIDが得られる。ステップ2において、UEは、TS 33.220において規定されているようにNAF専用キーマテリアル(Ks_NAF)を導出する。ステップ3において、UEは、SIP INVITEメッセージ(B−TIDが含まれた)をSCF21(NAFとして動作する)に送出することにより、セッション開始プロトコル(SIP)セッションを開始する。ステップ4において、SCFは、B−TIDを使用してBSFからKs_NAFを要求する。ステップ5において、BSFは、TS 33.220において規定されているようにNAF専用キーマテリアル(Ks_NAF)を導出する。ステップ6において、BSFはKs_NAFをSCFに送出する。
【0053】
新たなステップ6bにおいて、SCF21は、要求を受信すべきBM−SCを判定する。この情報はUEの要求から入手可能であってもよいし、あるいはSCFがローカルなポリシーに基づいてローカルに決定してもよい。SCFは、Ks_AS=KDF(Ks_NAF、ノンス(nonce))等のキー導出機能を使用してKs_NAFからのBM−SC専用キーKs_AS及びノンスを導出する。ノンスは、例えば完全修飾ドメイン名(FQDN)等のBM−SCのアイデンティティ、SCFにより選択された(擬似)ランダム値又はノンスとして使用可能な他の何らかの値とすることができる。
【0054】
ステップ7において、SCF21は、HTTP要求におけるKs_AS及びBM−SCのアイデンティティ(例えば、FQDN)を識別されたBM−SC22aに送出する。CR S4−090148において特定された他の情報は、要求において更に送出される(Ks_NAFがKs_ASにより置換されることを除いて)。尚、BM−SCがMIKEYメッセージのIDペイロードにおけるBM−SC22aのB−TID及びFQDNをUE11に対して含むように、それらはBM−SCに送出される。UEは、適切なMUK、すなわちKs_ASを識別するためにこれらを使用する。FQDNをSCFからBM−SCに送出することにより、BM−SCが種々のFQDNと共にUE及びSCFに対して認識されるようになる。従って、BM−SCは、BM−SCがSCFから受信したUEに同一のFQDNを送出することが保証される必要がある。
【0055】
ステップ8において、BM−SC22aは、情報を格納し、SIP 200 OKメッセージを含むHTTP要求をSCF21に対して確認応答する。ステップ9において、SCFは、SIP 200 OKメッセージをUE11に送出する。200 OKメッセージは、ノンス及びBM−SCのアイデンティティを含む。FQDNがノンスとして使用される場合、これら2つは同一の値であってもよい。ステップ9bにおいて、UEは、Ks_AS=KDF(Ks_NAF、ノンス)等のキー導出機能を使用してKs_NAFからのBM−SC専用キーKs_AS及びノンスを導出する。UEは、BM−SCのアイデンティティを含むキーKs_ASを格納する。最後にステップ10において、BM−SC22aは、MUKであるKs_ASで保護されたMIKEYキー管理メッセージをUEに送出する(TS 33.246を参照)。BM−SCは、MIKEYメッセージのIDペイロードにおいてSCF21から受信したBM−SC FQDN及びB−TIDを含む。その結果、UE11は、Ks_ASを使用してメッセージを復号化し且つ検証できる。UEは、適切なMUK(すなわち、Ks_AS)を識別するためにMIKEYメッセージのIDペイロードを使用する。
【0056】
図8は、本発明のシステムの第2の実施形態を示し、認証プロキシ(AP)のシナリオにおいてAS専用キーを取得する方法を示す高水準参照モデルを表す。本実施形態は、いくつかのAS16a及び16bがAP15の背後に常駐してもよい一般的なAP−ASの例を意図する。TLSトンネルは、UE11とAP15との間に設定されてもよいが、トンネルは本発明に関連しない。
【0057】
ステップ1において、UE11及びBSF12は、TS 33.220において規定されたようにGBAブートストラッピング手順を実行する。その結果、キーKs及びB−TIDが得られる。ステップ2において、UEは、TS 33.220において規定されたようにNAF専用キーマテリアル(Ks_NAF)を導出する。ステップ3において、UEは、HTTP要求(B−TIDが含まれた)をAP(NAFとして動作する)に送出する。ステップ4において、APは、B−TIDを使用してBSFからKs_NAFを要求する。ステップ5において、BSFは、TS 33.220において規定されているようにNAF専用キー材料(Ks_NAF)を導出する。ステップ6において、BSFはKs_NAFをAPに送出する。
【0058】
新たなステップ6bにおいて、AP15は、要求を受信すべきASを判定する。この情報はUEの要求から入手可能であってもよいし、あるいはAPがローカルなポリシーに基づいてローカルに決定してもよい。APは、Ks_AS=KDF(Ks_NAF、ノンス)等のキー導出機能を使用してKs_NAFからのAP専用キーKs_AS及びノンスを導出する。ノンスは、例えばFQDN等のASのアイデンティティ、APにより選択された(擬似)ランダム値又はノンスとして使用可能な他の何らかの値であってもよい。
【0059】
ステップ7において、AP15は、HTTP要求におけるKs_AS及びASのアイデンティティ(例えば、FQDN)を識別されたAS16aに送出する。尚、ASが種々のFQDNによりUE11及びAP15に対して認識され得るので、APは、ASのFQDNをASに送出する必要がある。UEは、適切なKs_ASを識別するためにFQDNを使用してもよい。従って、同一のFQDNは、APからASに送出され且つASからUEに送出されることが保証される必要がある。
【0060】
ステップ8において、AS16aは、情報を格納し、SIP 200 OKメッセージを含むHTTP要求をAP15に対して確認応答する。ステップ9において、APは、SIP 200 OKメッセージをUE11に送出する。200 OKメッセージは、ノンス及びBM−SCのアイデンティティを含む。FQDNがノンスとして使用される場合、これら2つは同一の値であってもよい。ステップ9bにおいて、UEは、Ks_AS=KDF(Ks_NAF、ノンス)等のキー導出機能を使用してKs_NAFからのAS専用キーKs_AS及びノンスを導出する。UEは、ASのアイデンティティを含むキーKs_ASを格納する。最後にステップ10において、AS16aは、Ks_ASで保護されたメッセージをUEに送出する。その結果、UE11は、Ks_ASを使用してメッセージを復号化し且つ検証できる。UEは、適切なKs_ASを識別するためにASのアイデンティティを使用する。
【0061】
図9は、本発明のシステムの例示的な一実施形態を示す概略ブロック図である。システムは、UE11と、SCF21と、BSF12と、BM−SC_1 22aとを含む。これらのユニットの各々の動作は、例えばメモリに格納されたコンピュータプログラム命令を実行するプロセッサにより制御され得る。図9に示された例示的な実施形態において、UEはプロセッサ81とメモリ82とを含み、SCFはプロセッサ83とメモリ84とを含み、BSFはプロセッサ85とメモリ86とを含み、BM−SC_1はプロセッサ87とメモリ88とを含む。
【0062】
Ks_NAF導出ユニット91を含むUE11が更に示される。図6に示された実施形態において、UEは、SSF41からのサービス記述においてNAF−Id(SCFが割り当てたFQDN)を受信し、SIP INVITE手順46を開始する前にKs_NAFを導出する。図7に示された実施形態において、UEは、SIP 200 OKメッセージ72においてNAF−Idを受信し、Ks_NAFを導出する。
【0063】
UE11は、IM CN32を介してSIP INVITEメッセージをSCF21に送出する。メッセージは、SIP INVITE通信ユニット92において受信される。SIP INVITE通信ユニットは、INVITEメッセージからのuserServiceId及びB−TIDをサービス/NAF−Idマッピングユニット93に転送する。サービス/NAF−Idマッピングユニット93は、userServiceIdをNAF−Id_1にマッピングする。NAF−Id_1及びB−TIDは、GBA使用通信ユニット94に転送される。GBA使用通信ユニット94は、これらのパラメータをBSF12に転送する。BSFにおけるGBA使用通信ユニット95は、パラメータを受信し、Ks_NAFを導出するKs_NAF導出ユニット96に、それら受信したパラメータを転送する。その後Ks_NAFは、それらがHTTP登録通信ユニット97に転送されるSCFに返送される。
【0064】
HTTP登録通信ユニット97は、HTTP POSTメッセージを、HTTP登録通信ユニット98においてHTTP POSTメッセージを受信するBM−SC_1 22aに、送出する。HTTP POSTメッセージは、userServiceIdと、NAF−Id_1と、UE IPアドレスと、B−TIDと、MUK(=Ks_NAF)と、MUK有効期限とを含む。BM−SC_1は、サービスステータスユニット99から各MBMSユーザサービスのステータスを取得し、userServiceIdと共にHTTP 200 OKメッセージにおいてMBMSユーザサービスコード毎に1つのステータスコードを含むリストをSCF21に送出する。SCFは、この情報をUE11に転送する。HTTP登録通信ユニット98は、情報をMIKEY MSKユニット101に更に送出する。情報は、MSK−ID_1と、NAF−Id_1と、B−TIDと、MUK(=Ks_NAF)とを含む。
【0065】
この情報を使用することにより、MIKEY MSKユニット101は、MIKEY MSKメッセージ(MUKで保護された)、MTKメッセージ(MSKで保護された)及びMBMSデータ(MTKで保護された)をKs_NAF導出ユニット91でMUK(=Ks_NAF)を導出したUE11に送出できるようになる。
【0066】
従って、本発明は、2つ以上のBM−SC22がSCF21に接続される場合にBM−SC専用NAFキーを提供する問題を解決する。更に本発明は、MIKEY MSKメッセージを保護するためにどのMUK(すなわち、NAFキー)が使用されたかをUE11に対して示す十分な情報がMIKEYメッセージにないという問題を解決する。SCF21は、B−TID及び選択されたNAF−IdをBM−SC22に送出する。BM−SC22は、どのNAFキーが使用されたかをUEに対して示すために、MIKEYメッセージ内でそれらB−TID及び選択されたNAF−Idを更に使用する。
【0067】
図6及び図7に示された実施形態において、本発明は、NAFキーを更に導出する必要がないという更なる利点を有する。NAFキーを更に導出することにより、GSMネットワーク及びUMTSネットワークにおける移動端末において使用された汎用集積回路カード(UICC)スマートカードを変更する必要が生じる。UICCベースのキー管理が使用されている場合、NAFキーはUICC内で処理される。一般にUICCの影響が標準化において望ましくないため、これは場合によっては問題となり得る。本発明のこれらの実施形態は、このような潜在的な問題を回避する。
【0068】
当然、本発明は、本発明の必須の特徴から逸脱することなく本明細書において上述された以外の他の特定の方法で実行されてもよい。従って、本発明の実施形態は、限定するものではなく例示するものとして全ての点において考慮されるべきであり、添付の請求の範囲の意味及び同等の範囲内の全ての変更は、本発明に取り入れられることを意図する。
【技術分野】
【0001】
本発明は、通信ネットワークに関し、特にIPマルチメディアサブシステム(IMS)ベースのマルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスにおいて共有セキュリティキーを管理するシステム、方法及びネットワークノードに関する。
【背景技術】
【0002】
本発明に関連する既存の手順は、いくつかの第3世代パートナーシッププロジェクト(3GPP)技術仕様書において説明される。それらは以下のものを含む。
【0003】
・3GPP TS 33.220 v8.5.0 Technical Specification Group Services and System Aspects;汎用認証アーキテクチャ(GAA);汎用ブートストラッピングアーキテクチャ(リリース8)、
・3GPP TS 33.222 v8.0.0 Technical Specification Group Services and System Aspects;汎用認証アーキテクチャ(GAA);トランスポート層セキュリティを介するハイパーテキスト転送プロトコル(HTTPS)を使用したネットワークアプリケーション機能へのアクセス(リリース8)、
・3GPP TS 33.246 v8.2.0 Technical Specification Group Services and System Aspects;3Gセキュリティ;マルチメディアブロードキャスト/マルチキャストサービス(MBMS)のセキュリティ(リリース8)及び
・3GPP TS 26.237 v8.0.0 Technical Specification Group Services and System Aspects;IPマルチメディアサブシステム(IMS)ベースのパケット交換ストリーミング(PSS)及びマルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービス;プロトコル(リリース8)。
【発明の概要】
【発明が解決しようとする課題】
【0004】
図1は、ブートストラッピングサービスを使用してネットワークアプリケーション機能(NAF)を示すTS 33.222の高水準参照モデルである。ネットワークエンティティは、汎用ブートストラッピングアーキテクチャ(GBA)を特定する3GPP TS 33.220において規定される。GBAにおいて、ユーザ機器(UE)11等の移動通信装置及びブートストラッピングサーバ機能(BSF)12は、Ub参照点を介してHTTP digest AKAを実行することにより、共有キーKsを確立する。共有キーKsは、Ua参照点を介したUEとNAF13との間の通信のセキュリティを保護するように、NAF専用キー(Ks_NAFキーと呼ばれる)を導出するために後で使用される。NAFは、Zn参照点を介してNAF専用キーを取り出す。
【0005】
3GPP TS 33.222の6節は、NAF13において認証プロキシ(AP)を使用することを特定する。APは、TS 33.220において特定されたGBAアーキテクチャに準拠する。APは、このアーキテクチャにおいて使用される場合、NAFの役割をすることにより、セキュリティタスクのアプリケーションサーバ(AS)を解放する。
【0006】
図2は、認証プロキシ(AP)15の環境及び参照点を示すTS 33.222の高水準参照モデルである。TS 33.222は、NAF13においてUE11とAP15との間でトランスポート層セキュリティ(TLS)が使用されると仮定する。HTTPS要求がAPの背後のアプリケーションサーバ(AS)16a〜16nに向けられる場合、APは、TLSトンネル17(TLS Tunnel)を終了し、BSF12からNAFキー(Ks_NAF)を取出し、UE認証を実行する。APは、UEから受信したHTTP要求を1つ又は複数のASに対してプロキシする。APは、UEからの要求をASに転送する場合、ASが使用するための加入者のアイデンティティの表明を追加してもよい。
【0007】
NAFキーを使用するためのTS 33.222において規定された手順に関する問題は、共有キー材料が必要とされる場合があってもUE11及びAS16a〜16nがそのようなキー材料を全く共有しないことである。AP15は、TS 33.222においてNAF13の役割を担う。従って、NAFキー(Ks_NAF)は、TS 33.220において特定されたキー導出規則に従ってAP専用のキーであり、UEにより認識されない。
【0008】
図3は、キーを共有することに対する現在の解決方法を示すTS 26.237の高水準参照モデルである。ASと共にNAFを使用することに対して上記で規定されたこの問題は、TS 26.237において規定されたネットワークエンティティに更に当てはまる。この場合、サービス制御機能(SCF)21は、NAF/APの修正された変形例の役割を担い(従って、SCF/NAFとラベル付けされる)、MBMSブロードキャスト/マルチキャストサービスセンター(MB−SC)22は、ASの役割を担う(従って、BM−SC/ASとラベル付けされる)。図2のASのように、BM−SC/ASは、保護されたMIKEYキー管理メッセージをユニキャストチャネル又はブロードキャストチャネルを介してBM−SC/ASからUEに直接送出できるように、UE11との共有キーを必要とする。
【0009】
尚、TS 26.237は、このようにTS 33.222のAP15及びAS16との類似性について言及していない。TS 26.237における設定は、TS 33.222における設定と厳密に同一ではなく、例えばUE11とSCF21との間のTLSトンネルは必ずしも使用されない。しかし、同様の問題は依然として存在する。
【0010】
TS 26.237において、SCF21が自身のNAFキー(Ks_NAF)をBM−SC22に送出する解決方法が紹介されている。BM−SCは、BM−SCからUE11へのMIKEYキー管理メッセージを保護するために使用されるMUK(MBMSユーザキー)としてKs_NAFを使用する。図3のステップ1〜6は現在のGBA手順に従い、ステップ7は、Ks_NAF及び加入者の表明されたアイデンティティをBM−SCに送出することを説明する。
【0011】
1つのBM−SC22のみがSCF21に接続される限り(及びBM−SCはSCF専用NAFキーを乱用しないため、SCFがBM−SCに対して十分な信頼を置く限り)、TS 26.237における現在の解決方法は適切に機能する。2つ以上のBM−SCがSCFに装着される場合に問題が発生する。これは、現在の解決方法によると、SCFが、自身のKs_NAFをBM−SCに送出するため、同一のKs_NAFを接続された全てのBM−SCに送出することになるためである。同一のキーを複数のノードに与えるのは適切なセキュリティの習慣ではない。これにより、同一のKs_NAFがUE11と関連した全てのBM−SCとの間で使用される状況になる。これにより、UEに対して互いに詐称するBM−SC等の脅威をもたらすことになる。
【0012】
図4は、既存のIMSベースのMBMS登録手順中に種々のネットワークエンティティ間で送出されたメッセージを示すメッセージフローチャートである。図4は、UE11が3GPP TS 33.203に従ってIMSに登録され且つ認証されており、UEが3GPP TS 26.237において規定されたようにサービススケジュール機能(SSF)(不図示)と通信し且つ使用可能なサービスのリストを受信しており、UEが3GPP TS 33.220において規定されたようにBSF12とのGBAブートストラッピングを実行しており、且つネットワークインタフェースが3GPP TS 33.210において規定されたようにネットワークドメインセキュリティ(NDS/IP)で保護されるという前提条件に基づく。
【0013】
手順は以下の通りであり、セキュリティ手順に関する関連情報のみが示される。UE11は、IPマルチメディアコアネットワーク(IM CN)サブシステム32を介してSIP INVITEメッセージ31をSCF21に送出する。INVITEメッセージはRequest−URIにおいて「SCF」を示し、メッセージは、SIPメッセージ本体(Msg body)におけるXML文書において、UEが登録したい要求されたMBMSユーザサービス(userServiceIds)のアイデンティティを含む。XML文書は、TS 33.246においてMBMS登録に対して使用されたものと同一であり、TS 26.346において特定される。更に、ブートストラッピングトランザクション識別子(B−TID)を搬送するXML文書がある。B−TIDを搬送するXML文書は、3GPP TS26.237のAnnex Iにおいて規定される。
【0014】
SCF21は、SIP INVITEメッセージ31のヘッダからUE11のIPアドレス及びUEの表明された1つ又は複数のアイデンティティを受信する。SCFは、格納された加入情報に基づいて調査し、UEが要求されたMBMSユーザサービスにアクセスする許可を受けているかを判定する。UEが許可を受けている場合には手順は継続し、許可を受けていない場合には手順は終了する。UEに対して格納されたB−TIDがない場合又は受信したB−TIDがUEに対して格納されたものと異なる場合、SCF21は、TS 33.220において規定されたように、33及び34においてZn参照点を介してBSF12を用いてGBA使用手順を実行し、UEに対応するNAFキーを取り出す。SCFは、TS 33.246において規定されたように、NAFキーからMBMSユーザキー(MUK)を導出する。
【0015】
SCF21は、HTTP POSTメッセージ35をBM−SC22に送出する。SCFは、HTTP POSTメッセージを以下の通りポピュレートする。
−HTTPバージョンは1.1であり、RFC2616において特定される。
−Request−URIのベースは、完全なBM−SCキー管理URI(例えば、http://bmsc.home1.net:1234)を含む。
−Request−URIは、「authorized−register」に設定されるURIパラメータ「requesttype」を含む。すなわち、Request−URIは、「/keymanagement?requesttype=authorized−register」の形態を取る。
−SCFは、更なるURIパラメータをRequest−URIに追加してもよい。
−UEのアイデンティティを含むX−3GPP−Asserted−Identityヘッダ。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−authorized−register+xml」である。
−HTTPペイロードは、UEが登録したいMBMSユーザサービスの1つ以上のuserServiceIds、UEのIPアドレス、MBMSユーザキー(MUK)及びMUKの有効期限のリストを含むXML文書を含む。ペイロードのXMLスキーマは、3GPP TS 26.237のAnnex Iにおいて特定される
−SCFは、更なるHTTPヘッダをHTTP POST要求に追加してもよい。
【0016】
BM−SC22は、HTTP POSTメッセージ35を受信し、HTTP POSTが有効であることを検証し、更なる処理に対する要求を抽出する。HTTP POSTメッセージが表明されたアイデンティティと共にSCF21から送出されたものであるため、UE11がIMSにより認証されているので、BM−SCはUEを認証する必要はない。また、HTTP POSTメッセージは、SCFにより、UEが示されたMBMSユーザサービスに登録するのを許可されたことをBM−SCに対して更に示す。
【0017】
BM−SCは、受信した情報を格納し、HTTP 200 OKメッセージ36をSCF21に返送する。BM−SCは、HTTP 200 OKメッセージを以下の通りポピュレートする。
−HTTPステータス行におけるHTTPステータスコードは200である。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−register−response+xml」である。
−HTTPペイロードは、MBMSユーザサービス毎に1つのステータスコードを含むリストを含むXML文書を含む。ペイロードのXMLスキーマは、TS 33.246においてMBMS登録に対して使用されるものと同一であり、TS26.346において特定される。
【0018】
SCF21は、HTTP 200 OKメッセージ36を受信し、HTTP 200 OKメッセージからのXML本体をSIP 200 OKメッセージ37に含み、IM CNサブシステム32を介してSIP 200 OKメッセージをUE11に送出する。次に、BM−SC22は、TS 33.246において特定された手順に従って、指示されたMBMSユーザサービスに対してMIKEY MSKメッセージ(MUKで保護された)38、MTKメッセージ(MSKで保護された)39及びMBMSデータ(MTKで保護された)40をUEに送出し始める。
【0019】
この手順に関する問題は、図3に関連して上述したものと同一である。すなわち、2つ以上のBM−SCがSCFに接続される場合、BM−SC専用NAFキーを提供する方法はない。SCF21が接続された全てのBM−SCに同一のKs_NAFを送出する場合、同一のKs_NAFキーはUE11と関連した全てのBM−SCとの間で使用されることになる。これにより、UEに対して互いに詐称するBM−SC等の脅威をもたらすことになる。
【0020】
また、MIKEY MSKメッセージ38には、MIKEY MSKメッセージを保護するために使用されたMUK(すなわち、NAFキー)をUE11に対して示す十分な情報がない。MBMS TS 33.246において、NAF−Id及びB−TIDはこれを示すために使用されるが、TS 26.237において、BM−SC22は、NAFとして動作しないため、この情報を有さない。
【課題を解決するための手段】
【0021】
本発明の一実施形態において、SCF/NAF21は、GBAにおいて通常通りBSF12からKs_NAFを取り出す。SCF/NAFは、自身のKs_NAFキーを(1つ以上の)BM−SC/ASに送出する代わりに、更なるキー導出を行ない、SCF専用Ks_NAFからBM−SC/AS専用キーKs_ASを生成する。例えば、Ks_AS=KDF(Ks_NAF、ノンス)である。ここで、ノンスは、SCF/NAFにより規定され且つ関連したBM−SC/AC専用の値である。SCF/NAFは、UE11に対してノンスを示し、結果、UEは同一のKs_ASを導出することができる。UEが導出したKs_ASキーを適切なBM−SC/ASに関連付けられるように、SCF/NAFは、BM−SC/ASのアイデンティティをUEに対して更に示す。その結果、UE及びBM−SC/ASは、BM−SC/AS専用キーを共有する。
【0022】
一実施形態において、本発明は、通信ネットワークにおいて、通信装置と、認証ノードと、要求されたサービスを通信装置に提供する選択されたサービスノードとの間で共有セキュリティキーを管理する方法に関する。方法は、認証ノードが、認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付けるステップと、ネットワークにより所望のサービスに対するサービス記述を通信装置に対して使用可能にするステップとを含む。ここで、サービス記述は、所望のサービスと関連付けられる複数の認証ノード識別子のうちの1つを含み、その認証ノード識別子により通信装置はセキュリティキーを導出できるようになる。また、方法は、認証ノードにより、ネットワークにおいて複数の認証ノード識別子のうちの異なる1つを各サービスノードに割り当てることと、認証ノードが、割り当てられた認証ノード識別子を接続されたサービスノードと関連付けることとを更に含む。通信装置から所望のサービスに対する要求を受信すると、認証ノードは、割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、所望のサービスと関連付けられた認証ノード識別子を利用し、セキュリティキーを認証ノードから関連付けられたサービスノードに送出する。その結果、関連付けられたサービスノードがセキュリティキーで保護されたキー管理メッセージを通信装置に送出する場合、通信装置は、セキュリティキーを使用してメッセージを復号化し且つ検証する。
【0023】
別の実施形態において、本発明は、通信ネットワークにおいて、通信装置と、認証ノードと、要求されたサービスを通信装置に提供する選択されたサービスノードとの間で共有セキュリティキーを管理する方法に関する。方法は、サービス記述が認証ノードに対して少なくとも1つの識別子を含み、各認証ノード識別子が、異なるサービス及び異なるサービスノードと関連付けられており、ネットワークにより少なくとも1つのサービスに対するサービス記述を通信装置に対して使用可能にするステップと、既知の情報及びサービス記述において受信された認証ノード識別子の中から選択された1つの認証ノード識別子に基づいて通信装置によりセキュリティキーを導出するステップと、ここで選択された認証ノード識別子が所望のサービスと関連付けられ、所望のサービスに対する要求であって、所望のサービスに対するトランザクション識別子及びサービス識別子を含む要求を、通信装置から認証ノードに送出するステップと、を含む。方法は、認証ノードにおいてサービス識別子を認証ノード識別子と関連付けることと、セキュリティキーを取得するために認証ノードにより認証ノード識別子及びトランザクション識別子を利用することと、認証ノード識別子と関連付けられたサービスノードを識別することと、所望のサービスに対する要求メッセージを認証ノードから識別されたサービスノードに送出することとを更に含む。ここで、要求メッセージは、サービス識別子、トランザクション識別子、セキュリティキー及び通信装置に対するアドレスを含む。その結果、識別されたサービスノードがセキュリティキーで保護されたキー管理メッセージを通信装置に送出する場合、通信装置は、セキュリティキーを使用してメッセージを復号化し且つ検証する。
【0024】
別の実施形態において、本発明は、通信ネットワークにおいて、サービスを通信装置に提供するサービスノードと通信装置との間で共有セキュリティキーを管理する認証ノードに関する。認証ノードは、メモリに格納されたコンピュータプログラム命令を実行するプロセッサを含み、プロセッサは認証ノードの以下の構成要素を制御する。すなわち、プロセッサは、認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、ネットワークにおいて複数の認証ノード識別子のうちの異なる1つを各サービスノードに割り当てる手段と、割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、通信装置から所望のサービスに対する要求を受信することに応答して、割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、所望のサービスと関連付けられた割り当てられた認証ノード識別子を利用する手段と、セキュリティキーを認証ノードから関連付けられたサービスノードに送出する通信手段とを制御する。ネットワークは、所望のサービスに対するサービス記述を通信装置に対して使用可能にする。サービス記述は、所望のサービスと関連付けられる複数の認証ノード識別子のうちの1つを含み、通信装置は、セキュリティキーを導出するために認証ノード識別子を利用する。その結果、関連付けられたサービスノードがセキュリティキーで保護されたキー管理メッセージを通信装置に送出する場合、通信装置は、セキュリティキーを使用してメッセージを復号化し且つ検証する。
【0025】
別の実施形態において、本発明は、通信ネットワークにおいて、共有セキュリティキーを利用してユーザサービスを通信装置に提供するサービスノードに関する。サービスノードは、メモリに格納されたコンピュータプログラム命令を実行するプロセッサを備える。プロセッサは、サービスノードの以下の構成要素を制御する。すなわち、プロセッサは、認証ノード識別子、通信装置のIPアドレス、通信装置がサービスノードにより提供されたユーザサービスを要求したトランザクションを識別するトランザクション識別子及び共有セキュリティキーを認証ノードから取得する通信手段と、共有セキュリティキーで保護されたキー管理メッセージを通信装置に送出する通信手段であり、キー管理メッセージが認証ノード識別子及びトランザクション識別子を含む通信手段と、を制御する。通信装置は、サービスノードからキー管理メッセージを受信する場合、認証ノード識別子及びトランザクション識別子からの共有セキュリティキーを識別する。認証ノードが認証ノード識別子を通信装置に提供する場合又は通信装置がサービス記述において認証ノード識別子を受信する場合、通信装置は、認証ノード識別子を利用して共有セキュリティキーを導出し、共有セキュリティキーを使用してキー管理メッセージを復号化し且つ検証する。
【0026】
別の実施形態において、本発明は、通信ネットワークにおいて共有セキュリティキーを管理するシステムに関する。システムは、通信装置と、通信装置と通信している認証ノードと;認証ノード及び通信装置と通信しているサービスノードと、を備える。認証ノードは、認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、複数の認証ノード識別子の中から選択された1つの認証ノード識別子をサービスノードに割り当てる手段と、割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、通信装置から所望のサービスに対する要求を受信することに応答して、割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、所望のサービスと関連付けられた割り当てられた認証ノード識別子を利用する手段と、認証ノード識別子、通信装置のIPアドレス、通信装置がサービスノードにより提供されたユーザサービスを要求したトランザクションを識別するトランザクション識別子及び共有セキュリティキーをサービスノードに送出する通信手段と、を備える。サービスノードは、共有セキュリティキーで保護されたキー管理メッセージを通信装置に送出する手段を備え、キー管理メッセージが認証ノード識別子及びトランザクション識別子を備える。移動通信装置は、認証ノード識別子及びトランザクション識別子からの共有セキュリティキーを識別する手段と、ネットワークから取得したサービス記述又は認証ノードから認証ノード識別子を受信する通信手段と、認証ノード識別子を利用して共有セキュリティキーを導出する手段と、共有セキュリティキーを使用してキー管理メッセージを復号化し且つ検証する手段と、を備える。
【0027】
IMSベースのMBMS及びPSSユーザサービスにおけるキー配信に対する特定の例示的な一実施形態において、本発明は、UEが同一のキーを当該全てのBM−SCと共有するのではなく異なる(特定の)キーを複数のBM−SCの各々と共有するセキュリティ上より安全なシステムを提供するのが有利である。認証プロキシ(AP)の例場合にAS専用キーを取得する関連した一実施形態において、本発明は、UEとアプリケーションサーバ(AS)との間で共有された秘密を実現する方法を提供するのが有利である。これにより、APを用いた例の場合に開発される新しい種類のアプリケーションが可能となる。本発明は、UEが同一のキーを当該全てのASと共有するのではなく異なる(特定の)キーを各ASと共有するセキュリティ上より安全なシステムを提供する。
【図面の簡単な説明】
【0028】
【図1】ブートストラッピングサービスを使用してネットワークアプリケーション機能(NAF)を示すTS 33.222の高水準参照モデルを示す図である。
【図2】認証プロキシ(AP)の環境及び参照点を示すTS 33.222の高水準参照モデルを示す図である。
【図3】キーを共有することに対する現在の解決方法を示すTS 26.237の高水準参照モデルを示す図である。
【図4】既存のIMSベースのMBMS登録手順中に種々のネットワークエンティティ間で送出されたメッセージを示すメッセージフローチャートである。
【図5A】、
【図5B】NAF−Id(SCFが割り当てたFQDN)がサービス記述においてUEに対して示される場合、本発明のIMSベースのMBMS登録手順の第1の実施形態中に種々のネットワークエンティティ間で送出されたメッセージを示すメッセージフローチャートの一部を示す図である。
【図6A】、
【図6B】NAF−Id(SCFが割り当てたFQDN)がSIP 200 OKメッセージにおいてUEに対して示される場合、本発明のIMSベースのMBMS登録手順の第2の実施形態中に種々のネットワークエンティティ間で送出されたメッセージを示すメッセージフローチャートの一部を示す図である。
【図7】本発明のシステムの一実施形態、並びにIMSベースのMBMSユーザサービス及びPSSユーザサービスにおけるキー配信の方法を示す高水準参照モデルを示す図である。
【図8】本発明のシステムの一実施形態及び認証プロキシ(AP)の例の場合にAS専用キーを取得する方法を示す高水準参照モデルを示す図である。
【図9】本発明のシステムの例示的な一実施形態を示す概略ブロック図である。
【発明を実施するための形態】
【0029】
キー導出において使用されるNAF−IdをUEに対して示すための方法は2つある。
A)NAF−Id(SCFが割り当てたFQDN)を、サービス記述においてUEに対して示す。UEが選択するサービスに基づいて、UEは対応するNAF−Idを使用する。これはMBMS TS 33.246における現在の手順に類似するが、そこではBM−SC FQDNが示される。
B)SIP INVITE手順が終了する前にUEがNAF−Idを使用する必要はない。そこで、SCFが、SIP INVITE手順内でUEに対してNAF−Id(SCFが割り当てたFQDN)を示すことができる。この別の方法は、サービス要求を受信する際にSCFがBM−SCをユーザに動的に割り当てられるという利点を有する。これは、例えば負荷分散において有益である。
【0030】
図5A及び図5Bは、NAF−Id(SCFが割り当てたFQDN)がサービス記述においてUE11に対して示される場合(すなわち、上記の選択肢A)の、本発明のIMSベースのMBMS登録手順において種々のネットワークエンティティ間で送出されるメッセージを示す、メッセージフローチャートの一部である。図5A及び図5Bは、UEが3GPP TS 33.203に従ってIMSに登録され且つ認証されており、SIP手順が3GPP TS 33.203において規定されているようにIMSセキュリティにより保護され、UEが3GPP TS 33.220において規定されているようにBSF12とのGBAブートストラッピングを実行しており、且つネットワークインタフェースが3GPP TS 33.210において規定されているようにネットワークドメインセキュリティ(NDS/IP)で保護されるという前提条件に基づく。
【0031】
また、SCF21は、実際のMBMSユーザサービスをUEに提供する1つ以上のBM−SC22a、22bに接続している。BM−SCがNAFとして動作するTS 33.246において規定されたMBMSセキュリティとは異なり、SCFは、BM−SCの代わりにNAFとして動作する。BSF12は、NAFキー導出への入力としてNAF−Id(NAF及びUaセキュリティプロトコル識別子のFQDNを含む)を使用する。BSFからBM−SC専用NAFキーを取得するために、SCFは、BM−SC毎に別個のFQDNを割り当てる(SCFが管理するFQDN空間から)。SCFは、例えばテーブルにおいて、これらの割り当てられたFQDNを接続したBM−SCに関連付ける。
【0032】
これらの割り当てられた別個のFQDNは、2つの理由から必要である。第1に、2つのBM−SCが同一のNAFキーを取得することによりシステムのセキュリティを脅かすため、SCF21は、同一の(例えば、自身の)FQDNを使用できない。第2に、自身が与えているNAF−Idを使用する権利がNAFに与えられているかを判定することをBSF12が調査するため、SCFはBM−SCのFQDNを使用できない。一例として、SCFは、BM−SC_1 22a及びBM−SC_2 22bに対してNAF−Idを以下の通り割り当てる。 NAF−Id_1(FQDN)<=>BM−SC1(FQDN)
NAF−Id_2(FQDN)<=>BM−SC2(FQDN)
ここで、例えば、NAF−Id_1は、server1.scf.operatorA.comであり、BM−SC_1は、bmsc123.operatorB.comである。
【0033】
図5Aを参照すると、次に、GBAブートストラップ手順42、サービス記述検索手順43が実行される。UE11は、SSF41と通信し、サービス記述44、すなわちサービス保護記述等の使用可能なサービス及びそのパラメータのリストを検索する。BM−SC FQDNではなくSCFを割り当てられたFQDNが含まれることを除いて、サービス保護記述はTS 33.246において規定されたものに類似する。UEがSIP INVITEメッセージ47を送出すべき場所を認識するように、SCF21のFQDNがここでも更に必要であると仮定される。
【0034】
45において、ユーザは、サービス記述からサービスを選択し、サービス記述における選択されたサービスに関して示されているNAF−Idに対応するNAFキーを導出する。あるいは、NAFキーは、SIP INVITE手順46の後に導出されてもよい。
【0035】
UE11は、IM CNサブシステム32を介してSIP INVITEメッセージ47をSCF21に送出する。INVITEメッセージは、Request−URIにおいてSCFを示し、メッセージは、UEが登録したい要求されたMBMSユーザサービスのアイデンティティ(userServiceIds)をSIPメッセージ本文のXML文書に含む。XML文書は、TS 33.246においてMBMS登録に対して利用されたものと同一であり、TS 26.346において特定される。更に、ブートストラッピングトランザクション識別子(B−TID)を搬送するXML文書がある。B−TIDを搬送するXML文書は、3GPP TS 26.237のAnnex Iにおいて規定される。
【0036】
SCF21は、SIP INVITEメッセージ47のヘッダからUE11のIPアドレス及びUEの表明された1つ又は複数のアイデンティティを受信する。SCFは、格納された加入情報に基づいて調査し、UEが要求されたMBMSユーザサービスにアクセスする許可を受けているかを判定する。手順は、UEが許可を受けている場合は継続し、許可を受けていない場合は終了する。
【0037】
図5Bを参照すると、UEに対して格納されたB−TIDがない場合又は受信したB−TIDがUEに対して格納されたものと異なる場合、SCFは、TS 33.220において規定されているように、Zn参照点を介してBSF12を用いてGBA使用手順48を実行し、UEに対応するNAFキーを取り出す。SCFは、許可要求メッセージ49をBSFに送出し、サービス記述にこのサービスに対して示されるNAF−Idを含める。BSFは、50においてNAFキーを導出するためにNAF−Idを使用し、次に許可応答メッセージ51においてNAFキーを返送する。その後SCFは、TS 33.246において規定されているようにNAFキーからMUKを導出する。尚、新しいUaセキュリティプロトコルは、このために3GPP TS 33.220において登録される必要がある。
【0038】
次に、HTTP登録手順52において、SCF21は、HTTP POSTメッセージ53をBM−SC(示された例の場合、BM−SC_1 22a)に送出する。SCFは、HTTP POSTメッセージを以下の通りポピュレートする。
−HTTPバージョンは1.1であり、RFC2616において特定される。
−Request−URIのベースは、完全なBM−SCキー管理URI(例えば、http://bmsc.home1.net:1234)を含む。
−Request−URIは、「authorized−register」に設定されるURIパラメータ「requesttype」を含む。すなわち、Request−URIは、「/keymanagement?requesttype=authorized−register」の形態を取る。
−SCFは、更なるURIパラメータをRequest−URIに追加してもよい。
−UEのアイデンティティを含むX−3GPP−Asserted−Identityヘッダ。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−authorized−register+xml」である。
−HTTPペイロードは、UEが登録したいMBMSユーザサービスの1つ以上のuserServiceIds、UEのIPアドレス、MBMSユーザキー(MUK)、MUKの有効期限、NAF−Id及びB−TIDのリストを含むXML文書を含む。NAF−Id及びB−TIDは、使用されたMUK(すなわち、NAFキー)を識別するためにBM−SCからUEへのMIKEYメッセージに更に含まれるので、これらNAF−Id及びB−TIDが含まれる。ペイロードのXMLスキーマは、3GPP TS 26.237のAnnex Iにおいて特定される。
−SCFは、更なるHTTPヘッダをHTTP POST要求メッセージに追加してもよい。
【0039】
BM−SC_1 22aは、HTTP POSTメッセージ53を受信し、HTTP POSTメッセージが有効であることを検証し、更なる処理に対する要求を抽出する。HTTP POSTメッセージが表明されたアイデンティティと共にSCF21から送出されるため、UE11はIMSによりすでに認証されており、したがってBM−SC_1はUEを認証する必要はない。また、HTTP POSTメッセージは、UEが示されたMBMSユーザサービスに登録するのをSCFが許可したことをBM−SC_1に対して更に示す。
【0040】
BM−SC_1は、受信した情報を格納し、HTTP 200 OKメッセージ54をSCF21に返送する。BM−SC_1は、HTTP 200 OKメッセージを以下の通りポピュレートする。
−HTTPステータス行におけるHTTPステータスコードは200である。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−register−response+xml」である。
−HTTPペイロードは、MBMSユーザサービス毎に1つのステータスコードを含むリストを含むXML文書を含む。ペイロードのXMLスキーマは、TS 33.246においてMBMS登録に対して使用されるものと同一であり、TS26.346において特定される。
【0041】
SCF21は、HTTP 200 OKメッセージ54を受信し、HTTP 200 OKメッセージからのXML本体をSIP 200 OKメッセージ55に含ませ、そのSIP 200 OKメッセージをIM CNサブシステム32を介してUE11に送出する。MIKEY MSK手順56において、次に、BM−SC_1 22aは、TS 33.246において特定された手順に従って、示されたMBMSユーザサービスに対してMIKEY MSKメッセージ(MUKで保護された)57、MTKメッセージ(MSKで保護された)58及びMBMSデータ(MTKで保護された)59をUEに送出し始める。MIKEY MSKメッセージ57において、BM−SCは、HTTP POSTメッセージ53においてSCF21から受信したNAF−Id(FQDN)及びB−TIDを使用する。
【0042】
図6A及び図6Bは、NAF−Id(SCFが割り当てたFQDN)がSIP 200 OKメッセージにおいてUE11に対して示される場合(すなわち、上記選択B)の、本発明によるIMSベースのMBMS登録手順の一実施形態において種々のネットワークエンティティ間で送出されるメッセージを示すメッセージフローチャートの一部である。上記の図5A及び図5Bに対して説明されたように、同一の前提条件を適用する。
【0043】
図6Aを参照すると、GBAブートストラップ手順42に続いて、サービス記述検索手順61が実行される。UE11は、SSF41と通信し、サービス記述62、すなわちサービス保護記述等の使用可能なサービス及びそのパラメータのリストを検索する。サービス保護記述は、含まれているFQDNがBM−SC FQDNではなくSCFを指し示すことを除いては、TS 33.246において規定されているものに類似する。UEがSIP INVITEメッセージ47を送出すべき場所を認識するように、SCF21のFQDNがここでも更に必要であると仮定される。
【0044】
SIP INVITE手順63において、 UE11は、IM CNサブシステム32を介してSIP INVITEメッセージ64をSCF21に送出する。INVITEメッセージはRequest−URIにおいてSCFを示し、メッセージは、SIPメッセージ本体におけるXML文書、UEが登録したい要求されたMBMSユーザサービスのアイデンティティ(userServiceIds)を含む。XML文書は、TS 33.246においてMBMS登録に対して利用されたものと同一であり、TS 26.346において特定される。更に、ブートストラッピングトランザクション識別子(B−TID)を搬送するXML文書がある。B−TIDを搬送するXML文書は、3GPP TS 26.237のAnnex Iにおいて規定される。
【0045】
SCF21は、SIP INVITEメッセージ64のヘッダからUE11のIPアドレス及びUEのアサートされた1つ又は複数のアイデンティティを受信する。SCFは、格納された加入情報に基づいて調査し、UEが要求されたMBMSユーザサービスにアクセスする許可を受けているかを判定する。手順は、UEが許可を受けている場合は継続し、許可を受けていない場合は終了する。
【0046】
図6Bを参照すると、UEに対して格納されたB−TIDがない場合又は受信したB−TIDがUEに対して格納されたものと異なる場合、SCFは、TS 33.220において規定されているように、Zn参照点を介してBSF12を用いてGBA使用手順65を実行し、UEに対応するNAFキーを取り出す。SCFは、許可要求メッセージ66をBSFに送出し、このサービスに対してSCFが割り当てたNAF−Idを含める。BSFは、67においてNAFキーを導出するためにNAF−Idを使用し、次に許可応答メッセージ68においてNAFキーを返送する。その後SCFは、TS 33.246において規定されているようにNAFキーからMUKを導出する。尚、新しいUaセキュリティプロトコルは、このために3GPP TS 33.220において登録される必要がある。
【0047】
次に、HTTP登録手順69において、SCF21は、HTTP POSTメッセージ70をBM−SC(示された例の場合、BM−SC_1 22a)に送出する。SCFは、HTTP POSTメッセージを以下の通りポピュレートする。
−HTTPバージョンは1.1であり、RFC2616において特定される。
−Request−URIのベースは、完全なBM−SCキー管理URI(例えば、http://bmsc.home1.net:1234)を含む。
−Request−URIは、「authorized−register」に設定されるURIパラメータ「requesttype」を含む。すなわち、Request−URIは、「/keymanagement?requesttype=authorized−register」の形態を取る。
−SCFは、更なるURIパラメータをRequest−URIに追加してもよい。
−UEのアイデンティティを含むX−3GPP−Asserted−Identityヘッダ。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−authorized−register+xml」である。
−HTTPペイロードは、UEが登録したいMBMSユーザサービスの1つ以上のuserServiceIds、UEのIPアドレス、MBMSユーザキー(MUK)、MUKの有効期限、NAF−Id及びB−TIDのリストを含むXML文書を含む。NAF−Id及びB−TIDは、使用されたMUK(すなわち、NAFキー)を識別するためにBM−SCからUEへのMIKEYメッセージに更に含まれるので、これらNAF−Id及びB−TIDが含まれる。ペイロードのXMLスキーマは、3GPP TS 26.237のAnnex Iにおいて特定される。
−SCFは、更なるHTTPヘッダをHTTP POST要求メッセージに追加してもよい。
【0048】
BM−SC_1 22aは、HTTP POSTメッセージ70を受信し、HTTP POSTメッセージが有効であることを検証し、更なる処理に対する要求を抽出する。HTTP POSTメッセージがアサートされたアイデンティティと共にSCF21から送出されたため、UE11はIMSによりすでに認証されており、BM−SC_1はUEを認証する必要はない。また、HTTP POSTメッセージは、UEが示されたMBMSユーザサービスに登録するのをSCFが許可したことをBM−SC_1に対して更に示す。
【0049】
BM−SC_1は、受信した情報を格納し、HTTP 200 OKメッセージ71をSCF21に返送する。BM−SC_1は、HTTP 200 OKメッセージを以下の通りポピュレートする。
−HTTPステータス行におけるHTTPステータスコードは200である。
−HTTPヘッダコンテンツタイプは、ペイロードのMIMEタイプ、すなわち「application/mbms−register−response+xml」である。
−HTTPペイロードは、MBMSユーザサービス毎に1つのステータスコードを含むリストを含むXML文書を含む。ペイロードのXMLスキーマは、TS 33.246においてMBMS登録に対して使用されるものと同一であり、TS26.346において特定される。
【0050】
SCF21は、HTTP 200 OKメッセージ71を受信し、HTTP 200 OKメッセージからのXML本体及び使用されたNAF−IdをSIP 200 OKメッセージ72に含ませて、このSIP 200 OKメッセージをIM CNサブシステム32を介してUE11に送出する。UEは、SIP 200 OKメッセージを受信すると、TS 33.246において規定されているように、サービスに対応するNAFキーを導出するために73において受信したNAF−Idを使用し、MUKを導出する。
【0051】
MIKEY MSK手順74において、BM−SC_1 22aは、TS 33.246において特定された手順に従って、示されたMBMSユーザサービスに対しての、MIKEY MSKメッセージ(MUKで保護された)75、MTKメッセージ(MSKで保護された)76及びMBMSデータ(MTKで保護された)77をUEに送出し始めることができる。MIKEY MSKメッセージ75において、BM−SCは、HTTP POSTメッセージ70においてSCF21から受信したNAF−Id(FQDN)及びB−TIDを使用する。
【0052】
図7は、本発明のシステムの一実施形態、並びにIMSベースのMBMSユーザサービス及びPSSユーザサービスにおけるキー配信の方法を示す高水準参照モデルを示す。ステップ1において、UE11及びBSF12は、TS 33.220において規定されているようにGBAブートストラッピング手順を実行する。その結果、キーKs及びB−TIDが得られる。ステップ2において、UEは、TS 33.220において規定されているようにNAF専用キーマテリアル(Ks_NAF)を導出する。ステップ3において、UEは、SIP INVITEメッセージ(B−TIDが含まれた)をSCF21(NAFとして動作する)に送出することにより、セッション開始プロトコル(SIP)セッションを開始する。ステップ4において、SCFは、B−TIDを使用してBSFからKs_NAFを要求する。ステップ5において、BSFは、TS 33.220において規定されているようにNAF専用キーマテリアル(Ks_NAF)を導出する。ステップ6において、BSFはKs_NAFをSCFに送出する。
【0053】
新たなステップ6bにおいて、SCF21は、要求を受信すべきBM−SCを判定する。この情報はUEの要求から入手可能であってもよいし、あるいはSCFがローカルなポリシーに基づいてローカルに決定してもよい。SCFは、Ks_AS=KDF(Ks_NAF、ノンス(nonce))等のキー導出機能を使用してKs_NAFからのBM−SC専用キーKs_AS及びノンスを導出する。ノンスは、例えば完全修飾ドメイン名(FQDN)等のBM−SCのアイデンティティ、SCFにより選択された(擬似)ランダム値又はノンスとして使用可能な他の何らかの値とすることができる。
【0054】
ステップ7において、SCF21は、HTTP要求におけるKs_AS及びBM−SCのアイデンティティ(例えば、FQDN)を識別されたBM−SC22aに送出する。CR S4−090148において特定された他の情報は、要求において更に送出される(Ks_NAFがKs_ASにより置換されることを除いて)。尚、BM−SCがMIKEYメッセージのIDペイロードにおけるBM−SC22aのB−TID及びFQDNをUE11に対して含むように、それらはBM−SCに送出される。UEは、適切なMUK、すなわちKs_ASを識別するためにこれらを使用する。FQDNをSCFからBM−SCに送出することにより、BM−SCが種々のFQDNと共にUE及びSCFに対して認識されるようになる。従って、BM−SCは、BM−SCがSCFから受信したUEに同一のFQDNを送出することが保証される必要がある。
【0055】
ステップ8において、BM−SC22aは、情報を格納し、SIP 200 OKメッセージを含むHTTP要求をSCF21に対して確認応答する。ステップ9において、SCFは、SIP 200 OKメッセージをUE11に送出する。200 OKメッセージは、ノンス及びBM−SCのアイデンティティを含む。FQDNがノンスとして使用される場合、これら2つは同一の値であってもよい。ステップ9bにおいて、UEは、Ks_AS=KDF(Ks_NAF、ノンス)等のキー導出機能を使用してKs_NAFからのBM−SC専用キーKs_AS及びノンスを導出する。UEは、BM−SCのアイデンティティを含むキーKs_ASを格納する。最後にステップ10において、BM−SC22aは、MUKであるKs_ASで保護されたMIKEYキー管理メッセージをUEに送出する(TS 33.246を参照)。BM−SCは、MIKEYメッセージのIDペイロードにおいてSCF21から受信したBM−SC FQDN及びB−TIDを含む。その結果、UE11は、Ks_ASを使用してメッセージを復号化し且つ検証できる。UEは、適切なMUK(すなわち、Ks_AS)を識別するためにMIKEYメッセージのIDペイロードを使用する。
【0056】
図8は、本発明のシステムの第2の実施形態を示し、認証プロキシ(AP)のシナリオにおいてAS専用キーを取得する方法を示す高水準参照モデルを表す。本実施形態は、いくつかのAS16a及び16bがAP15の背後に常駐してもよい一般的なAP−ASの例を意図する。TLSトンネルは、UE11とAP15との間に設定されてもよいが、トンネルは本発明に関連しない。
【0057】
ステップ1において、UE11及びBSF12は、TS 33.220において規定されたようにGBAブートストラッピング手順を実行する。その結果、キーKs及びB−TIDが得られる。ステップ2において、UEは、TS 33.220において規定されたようにNAF専用キーマテリアル(Ks_NAF)を導出する。ステップ3において、UEは、HTTP要求(B−TIDが含まれた)をAP(NAFとして動作する)に送出する。ステップ4において、APは、B−TIDを使用してBSFからKs_NAFを要求する。ステップ5において、BSFは、TS 33.220において規定されているようにNAF専用キー材料(Ks_NAF)を導出する。ステップ6において、BSFはKs_NAFをAPに送出する。
【0058】
新たなステップ6bにおいて、AP15は、要求を受信すべきASを判定する。この情報はUEの要求から入手可能であってもよいし、あるいはAPがローカルなポリシーに基づいてローカルに決定してもよい。APは、Ks_AS=KDF(Ks_NAF、ノンス)等のキー導出機能を使用してKs_NAFからのAP専用キーKs_AS及びノンスを導出する。ノンスは、例えばFQDN等のASのアイデンティティ、APにより選択された(擬似)ランダム値又はノンスとして使用可能な他の何らかの値であってもよい。
【0059】
ステップ7において、AP15は、HTTP要求におけるKs_AS及びASのアイデンティティ(例えば、FQDN)を識別されたAS16aに送出する。尚、ASが種々のFQDNによりUE11及びAP15に対して認識され得るので、APは、ASのFQDNをASに送出する必要がある。UEは、適切なKs_ASを識別するためにFQDNを使用してもよい。従って、同一のFQDNは、APからASに送出され且つASからUEに送出されることが保証される必要がある。
【0060】
ステップ8において、AS16aは、情報を格納し、SIP 200 OKメッセージを含むHTTP要求をAP15に対して確認応答する。ステップ9において、APは、SIP 200 OKメッセージをUE11に送出する。200 OKメッセージは、ノンス及びBM−SCのアイデンティティを含む。FQDNがノンスとして使用される場合、これら2つは同一の値であってもよい。ステップ9bにおいて、UEは、Ks_AS=KDF(Ks_NAF、ノンス)等のキー導出機能を使用してKs_NAFからのAS専用キーKs_AS及びノンスを導出する。UEは、ASのアイデンティティを含むキーKs_ASを格納する。最後にステップ10において、AS16aは、Ks_ASで保護されたメッセージをUEに送出する。その結果、UE11は、Ks_ASを使用してメッセージを復号化し且つ検証できる。UEは、適切なKs_ASを識別するためにASのアイデンティティを使用する。
【0061】
図9は、本発明のシステムの例示的な一実施形態を示す概略ブロック図である。システムは、UE11と、SCF21と、BSF12と、BM−SC_1 22aとを含む。これらのユニットの各々の動作は、例えばメモリに格納されたコンピュータプログラム命令を実行するプロセッサにより制御され得る。図9に示された例示的な実施形態において、UEはプロセッサ81とメモリ82とを含み、SCFはプロセッサ83とメモリ84とを含み、BSFはプロセッサ85とメモリ86とを含み、BM−SC_1はプロセッサ87とメモリ88とを含む。
【0062】
Ks_NAF導出ユニット91を含むUE11が更に示される。図6に示された実施形態において、UEは、SSF41からのサービス記述においてNAF−Id(SCFが割り当てたFQDN)を受信し、SIP INVITE手順46を開始する前にKs_NAFを導出する。図7に示された実施形態において、UEは、SIP 200 OKメッセージ72においてNAF−Idを受信し、Ks_NAFを導出する。
【0063】
UE11は、IM CN32を介してSIP INVITEメッセージをSCF21に送出する。メッセージは、SIP INVITE通信ユニット92において受信される。SIP INVITE通信ユニットは、INVITEメッセージからのuserServiceId及びB−TIDをサービス/NAF−Idマッピングユニット93に転送する。サービス/NAF−Idマッピングユニット93は、userServiceIdをNAF−Id_1にマッピングする。NAF−Id_1及びB−TIDは、GBA使用通信ユニット94に転送される。GBA使用通信ユニット94は、これらのパラメータをBSF12に転送する。BSFにおけるGBA使用通信ユニット95は、パラメータを受信し、Ks_NAFを導出するKs_NAF導出ユニット96に、それら受信したパラメータを転送する。その後Ks_NAFは、それらがHTTP登録通信ユニット97に転送されるSCFに返送される。
【0064】
HTTP登録通信ユニット97は、HTTP POSTメッセージを、HTTP登録通信ユニット98においてHTTP POSTメッセージを受信するBM−SC_1 22aに、送出する。HTTP POSTメッセージは、userServiceIdと、NAF−Id_1と、UE IPアドレスと、B−TIDと、MUK(=Ks_NAF)と、MUK有効期限とを含む。BM−SC_1は、サービスステータスユニット99から各MBMSユーザサービスのステータスを取得し、userServiceIdと共にHTTP 200 OKメッセージにおいてMBMSユーザサービスコード毎に1つのステータスコードを含むリストをSCF21に送出する。SCFは、この情報をUE11に転送する。HTTP登録通信ユニット98は、情報をMIKEY MSKユニット101に更に送出する。情報は、MSK−ID_1と、NAF−Id_1と、B−TIDと、MUK(=Ks_NAF)とを含む。
【0065】
この情報を使用することにより、MIKEY MSKユニット101は、MIKEY MSKメッセージ(MUKで保護された)、MTKメッセージ(MSKで保護された)及びMBMSデータ(MTKで保護された)をKs_NAF導出ユニット91でMUK(=Ks_NAF)を導出したUE11に送出できるようになる。
【0066】
従って、本発明は、2つ以上のBM−SC22がSCF21に接続される場合にBM−SC専用NAFキーを提供する問題を解決する。更に本発明は、MIKEY MSKメッセージを保護するためにどのMUK(すなわち、NAFキー)が使用されたかをUE11に対して示す十分な情報がMIKEYメッセージにないという問題を解決する。SCF21は、B−TID及び選択されたNAF−IdをBM−SC22に送出する。BM−SC22は、どのNAFキーが使用されたかをUEに対して示すために、MIKEYメッセージ内でそれらB−TID及び選択されたNAF−Idを更に使用する。
【0067】
図6及び図7に示された実施形態において、本発明は、NAFキーを更に導出する必要がないという更なる利点を有する。NAFキーを更に導出することにより、GSMネットワーク及びUMTSネットワークにおける移動端末において使用された汎用集積回路カード(UICC)スマートカードを変更する必要が生じる。UICCベースのキー管理が使用されている場合、NAFキーはUICC内で処理される。一般にUICCの影響が標準化において望ましくないため、これは場合によっては問題となり得る。本発明のこれらの実施形態は、このような潜在的な問題を回避する。
【0068】
当然、本発明は、本発明の必須の特徴から逸脱することなく本明細書において上述された以外の他の特定の方法で実行されてもよい。従って、本発明の実施形態は、限定するものではなく例示するものとして全ての点において考慮されるべきであり、添付の請求の範囲の意味及び同等の範囲内の全ての変更は、本発明に取り入れられることを意図する。
【特許請求の範囲】
【請求項1】
通信ネットワークにおいて、通信装置と、認証ノードと、要求されたサービスを前記通信装置に提供する選択されたサービスノードとの間で共有セキュリティキーを管理する方法であって、
前記認証ノードを識別するための、各々が異なる複数の認証ノード識別子を、前記認証ノードにより複数のサービスと関連付けるステップと、
前記複数の認証ノード識別子のうちの1つを前記ネットワークにより前記通信装置に対して使用可能にするステップと、前記認証ノード識別子は、所望のサービスと関連付けられ且つ前記通信装置がセキュリティキーを導出できるようにし、
前記認証ノードが、前記複数の認証ノード識別子のうちの異なる1つを前記ネットワーク内の各サービスノードに割り当てるステップと、
前記認証ノードが、前記割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるステップと、
前記認証ノードが、前記通信装置から前記所望のサービスに対する要求を受信すると、前記割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対する前記セキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用するステップと、
前記認証ノードから、前記セキュリティキーを前記関連付けられたサービスノードに送出するステップと、を有することを特徴とする方法。
【請求項2】
前記認証ノード識別子のうちの1つを前記通信装置に対して使用可能にする前記ステップは、前記ネットワークにより前記所望のサービスに対するサービス記述を前記通信装置に対して使用可能にすることを含み、前記サービス記述が前記所望のサービスと関連付けられた前記認証ノード識別子を含む、ことを特徴とする請求項1に記載の方法。
【請求項3】
前記関連付けられたサービスノードが前記セキュリティキーで保護されたキー管理メッセージを送出する場合、前記通信装置は、前記セキュリティキーを使用して前記メッセージを復号化し且つ検証する、ことを特徴とする請求項1に記載の方法。
【請求項4】
前記通信装置は移動ユーザ機器UEであることを特徴とする請求項1に記載の方法。
【請求項5】
前記認証ノードにより前記セキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する前記ステップは、
前記割り当てられた認証ノード識別子をブートストラッピングサーバ機能(BSF)に送出するステップと、
前記BSFが前記セキュリティキーを導出し且つ返送することを要求するステップと、を含むことを特徴とする請求項1に記載の方法。
【請求項6】
前記認証ノードにより前記セキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する前記ステップは、前記割り当てられた認証ノード識別子を利用して前記認証ノードにより前記セキュリティキーを導出することを含む、ことを特徴とする請求項1に記載の方法。
【請求項7】
通信ネットワークにおいて、通信装置と、認証ノードと、要求されたサービスを前記通信装置に提供する選択されたサービスノードと、の間で共有セキュリティキーを管理する方法であって、
前記ネットワークにより少なくとも1つのサービスに対するサービス記述を前記通信装置に対して使用可能にするステップと、前記サービス記述は前記認証ノードに対して少なくとも1つの識別子を含み、
既知の情報及び前記サービス記述において受信された前記認証ノード識別子の中から選択された1つの認証ノード識別子に基づいて前記通信装置によりセキュリティキーを導出するステップと、前記選択された認証ノード識別子は所望のサービスと関連付けられ、
前記所望のサービスに対する要求を前記通信装置から前記認証ノードに送出するステップと、前記要求は前記所望のサービスに対するトランザクション識別子及びサービス識別子を含み、各認証ノード識別子は異なるサービス及び異なるサービスノードと関連付けられ、
前記認証ノードにおいて、前記サービス識別子を認証ノード識別子と関連付けるステップと、
前記セキュリティキーを取得するために、前記認証ノードにより前記認証ノード識別子及び前記トランザクション識別子を利用するステップと、
前記認証ノード識別子と関連付けられた前記サービスノードを識別するステップと、
前記サービス識別子、前記トランザクション識別子、前記セキュリティキー及び前記通信装置に対するアドレスを含む前記所望のサービスに対する要求メッセージを、前記認証ノードから前記識別されたサービスノードに送出するステップと、を有することを特徴とする方法。
【請求項8】
前記識別されたサービスノードが、前記セキュリティキーで保護されたキー管理メッセージを前記通信装置に送出する場合、前記通信装置は、前記セキュリティキーを使用して前記メッセージを復号化し且つ検証する、ことを特徴とする請求項7に記載の方法。
【請求項9】
前記選択されたサービスノードは、複数のサービスノード識別子を有し、前記キー管理メッセージを前記移動通信装置に送出する場合、前記サービスノード識別子を前記メッセージに含める、ことを特徴とする請求項7に記載の方法。
【請求項10】
通信ネットワークにおいて、サービスを前記通信装置に提供するサービスノードと通信装置との間で共有セキュリティキーを管理する認証ノードであって、
メモリに格納されたコンピュータプログラム命令を実行するプロセッサであって、前記認証ノードにおける、
前記認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、
前記ネットワークにおいて前記複数の認証ノード識別子のうちの異なる1つを各サービスノードに割り当てる手段と、
前記割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、
前記通信装置から所望のサービスに対する要求を受信することに応答して、前記割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する手段と、
前記セキュリティキーを前記認証ノードから前記関連付けられたサービスノードに送出する通信手段と、を制御するプロセッサを備え、
前記ネットワークが前記認証ノード識別子のうちの1つを前記通信装置に対して使用可能にし、前記認証ノード識別子が、所望のサービスと関連付けられ且つ前記通信装置が前記セキュリティキーを導出できるようにする、ことを特徴とする認証ノード。
【請求項11】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記通信装置はユーザ機器UEであり、
前記認証ノードは、認証プロキシAPを有するネットワークアプリケーション機能NAFであり、
前記サービスノードはアプリケーションサーバASであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項10に記載の認証ノード。
【請求項12】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記通信装置はユーザ機器UEであり、
前記認証ノードはサービス制御機能SCFであり、
前記サービスノードは、ブロードキャスト/マルチキャストサービスセンターBM−SCであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項10に記載の認証ノード。
【請求項13】
通信ネットワークにおいて、サービスを前記通信装置に提供するサービスノードと通信装置との間で共有セキュリティキーを管理する認証ノードであって、
メモリに格納されたコンピュータプログラム命令を実行するプロセッサであって、前記認証ノードにおける、
前記認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、
前記ネットワークにおいて前記複数の認証ノード識別子のうちの異なる1つを各サービスノードに割り当てる手段と、
前記割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、
前記通信装置から所望のサービスに対する要求を受信することに応答して、前記割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する手段と、
前記セキュリティキーを前記認証ノードから前記関連付けられたサービスノードに送出する通信手段と、
前記セキュリティキーを導出するために前記割り当てられた認証ノードを利用する前記通信装置に、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を送出する通信手段と、を制御するプロセッサを備える認証ノード。
【請求項14】
前記割り当てられた認証ノード識別子を前記通信装置に送出する前記通信手段は、SIP 200 OKメッセージにおいて前記割り当てられた認証ノード識別子を前記移動通信装置に送出するSIP通信ユニットを備え、
前記セキュリティキーを前記サービスノードに送出する前記通信手段は、前記認証ノードからの第2のセキュリティキー及びトランザクション識別子を、HTTP POSTメッセージにおいて前記サービスノードに送出するHTTP通信ユニットを備える、ことを特徴とする請求項13に記載の認証ノード。
【請求項15】
通信ネットワークにおいて、共有セキュリティキーを利用してユーザサービスを通信装置に提供するサービスノードであって、
メモリに格納されたコンピュータプログラム命令を実行するプロセッサであって、前記サービスノードにおける、
認証ノード識別子、前記通信装置のIPアドレス、前記通信装置が前記サービスノードにより提供されるユーザサービスを要求したトランザクションを識別するトランザクション識別子及び前記共有セキュリティキーを認証ノードから取得する通信手段と、
前記通信装置に前記共有セキュリティキーで保護されたキー管理メッセージを送出する通信手段と、を制御するプロセッサを備え、前記キー管理メッセージは前記認証ノード識別子及び前記トランザクション識別子を含み、
前記通信装置は、前記サービスノードから前記キー管理メッセージを受信する場合、前記認証ノード識別子及び前記トランザクション識別子からの前記共有セキュリティキーを識別し、
前記認証ノードが前記認証ノード識別子を前記通信装置に提供する場合又は前記通信装置が前記サービス記述において前記認証ノード識別子を受信する場合、前記通信装置は、前記認証ノード識別子を利用して前記共有セキュリティキーを導出し、前記共有セキュリティキーを使用して前記キー管理メッセージを復号化し且つ検証する、ことを特徴とするサービスノード。
【請求項16】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記移動通信装置はユーザ機器UEであり、
前記認証ノードは、認証プロキシAPを有するネットワークアプリケーション機能NAFであり、
前記サービスノードはアプリケーションサーバASであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項15に記載のサービスノード。
【請求項17】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記移動通信装置はユーザ機器UEであり、
前記認証ノードはサービス制御機能SCFであり、
前記サービスノードは、ブロードキャスト/マルチキャストサービスセンターBM−SCであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項15に記載のサービスノード。
【請求項18】
通信ネットワークにおいて共有セキュリティキーを管理するシステムであって、
通信装置と、
前記通信装置と通信している認証ノードと、
前記認証ノード及び前記通信装置と通信しているサービスノードとを備え、
前記認証ノードは、
前記認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、
前記複数の認証ノードの中から選択された1つの認証ノード識別子を前記サービスノードに割り当てる手段と、
前記割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、
前記通信装置から所望のサービスに対する要求を受信することに応答して、前記割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する手段と、
前記認証ノード識別子、前記通信装置のIPアドレス、前記通信装置が前記サービスノードにより提供されたユーザサービスを要求したトランザクションを識別するトランザクション識別子及び前記共有セキュリティキーを前記サービスノードに送出する通信手段とを備え、
前記サービスノードは、
前記セキュリティキーで保護され且つ前記認証ノード識別子及び前記トランザクション識別子を含むキー管理メッセージを前記通信装置に送出する通信手段を備え、
前記移動通信装置は、
前記認証ノード識別子及び前記トランザクション識別子からの前記共有セキュリティキーを識別する手段と、
前記ネットワークから取得したサービス記述又は前記認証ノードのいずれかから前記認証ノード識別子を受信する通信手段と、
前記認証ノード識別子を利用して前記共有セキュリティキーを導出する手段と、
前記共有セキュリティキーを使用して前記キー管理メッセージを復号化し且つ検証する手段と、を備えることを特徴とするシステム。
【請求項19】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記移動通信装置はユーザ機器UEであり、
前記認証ノードは、認証プロキシAPを有するネットワークアプリケーション機能NAFであり、
前記サービスノードはアプリケーションサーバASであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項18に記載のシステム。
【請求項20】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記移動通信装置はユーザ機器UEであり、
前記認証ノードはサービス制御機能SCFであり、
前記サービスノードは、ブロードキャスト/マルチキャストサービスセンターBM−SCであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項18に記載のシステム。
【請求項21】
通信ネットワークにおいて、移動通信装置と、前記移動通信装置を認証する認証ノードと、サービスを前記移動通信装置に提供するサービスノードとの間で共有セキュリティキーを管理する方法であって、
前記認証ノードにおいて、前記サービスノードにより提供されたサービスを利用するための要求を前記移動通信装置から受信するステップと、前記要求はトランザクション識別子を含み、
前記認証ノードに対する認証ノードセキュリティキーを導出する前記移動通信装置を前記認証ノードが認証するステップと、
前記認証ノードセキュリティキー及びノンスを利用して導出される前記サービスノードに対するサービスノードセキュリティキーを前記認証ノードが導出するステップと、
前記サービスノードセキュリティキー及び前記トランザクション識別子を前記認証ノードから前記サービスノードに送出するステップと、
前記ノンス及び前記サービスノードの識別子を前記認証ノードから前記移動通信装置に送出し、それにより前記移動通信装置が前記認証ノードセキュリティキー及び前記ノンスから前記サービスノードセキュリティキーを導出できるようにするステップと、を有することを特徴とする方法。
【請求項22】
前記サービスノードが、前記サービスノードセキュリティキーで保護されたキー管理メッセージを前記移動通信装置に送出し、前記メッセージが前記サービスノード識別子及び前記トランザクション識別子を含む場合、前記移動通信装置は、前記サービスノードセキュリティキーを使用して前記メッセージを復号化し且つ検証する、ことを特徴とする請求項21に記載の方法。
【請求項23】
複数のサービスノードがあり、前記方法は、前記要求されたサービスを提供する前記複数のサービスノードのうちの1つを前記認証ノードにより選択するステップを更に含み、
前記認証ノードは、前記選択されたサービスノードに対するサービスノードセキュリティキーを導出し、前記サービスノードセキュリティキー、前記トランザクション識別子及び前記選択されたサービスノードに対するサービスノード識別子を前記選択されたサービスノードに送出する、ことを特徴とする請求項21に記載の方法。
【請求項24】
前記選択されたサービスノードは、複数のサービスノード識別子を有し、前記キー管理メッセージを前記移動通信装置に送出する場合に、前記認証ノードから受信した前記サービスノード識別子を前記メッセージに含める、ことを特徴とする請求項23に記載の方法。
【請求項1】
通信ネットワークにおいて、通信装置と、認証ノードと、要求されたサービスを前記通信装置に提供する選択されたサービスノードとの間で共有セキュリティキーを管理する方法であって、
前記認証ノードを識別するための、各々が異なる複数の認証ノード識別子を、前記認証ノードにより複数のサービスと関連付けるステップと、
前記複数の認証ノード識別子のうちの1つを前記ネットワークにより前記通信装置に対して使用可能にするステップと、前記認証ノード識別子は、所望のサービスと関連付けられ且つ前記通信装置がセキュリティキーを導出できるようにし、
前記認証ノードが、前記複数の認証ノード識別子のうちの異なる1つを前記ネットワーク内の各サービスノードに割り当てるステップと、
前記認証ノードが、前記割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるステップと、
前記認証ノードが、前記通信装置から前記所望のサービスに対する要求を受信すると、前記割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対する前記セキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用するステップと、
前記認証ノードから、前記セキュリティキーを前記関連付けられたサービスノードに送出するステップと、を有することを特徴とする方法。
【請求項2】
前記認証ノード識別子のうちの1つを前記通信装置に対して使用可能にする前記ステップは、前記ネットワークにより前記所望のサービスに対するサービス記述を前記通信装置に対して使用可能にすることを含み、前記サービス記述が前記所望のサービスと関連付けられた前記認証ノード識別子を含む、ことを特徴とする請求項1に記載の方法。
【請求項3】
前記関連付けられたサービスノードが前記セキュリティキーで保護されたキー管理メッセージを送出する場合、前記通信装置は、前記セキュリティキーを使用して前記メッセージを復号化し且つ検証する、ことを特徴とする請求項1に記載の方法。
【請求項4】
前記通信装置は移動ユーザ機器UEであることを特徴とする請求項1に記載の方法。
【請求項5】
前記認証ノードにより前記セキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する前記ステップは、
前記割り当てられた認証ノード識別子をブートストラッピングサーバ機能(BSF)に送出するステップと、
前記BSFが前記セキュリティキーを導出し且つ返送することを要求するステップと、を含むことを特徴とする請求項1に記載の方法。
【請求項6】
前記認証ノードにより前記セキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する前記ステップは、前記割り当てられた認証ノード識別子を利用して前記認証ノードにより前記セキュリティキーを導出することを含む、ことを特徴とする請求項1に記載の方法。
【請求項7】
通信ネットワークにおいて、通信装置と、認証ノードと、要求されたサービスを前記通信装置に提供する選択されたサービスノードと、の間で共有セキュリティキーを管理する方法であって、
前記ネットワークにより少なくとも1つのサービスに対するサービス記述を前記通信装置に対して使用可能にするステップと、前記サービス記述は前記認証ノードに対して少なくとも1つの識別子を含み、
既知の情報及び前記サービス記述において受信された前記認証ノード識別子の中から選択された1つの認証ノード識別子に基づいて前記通信装置によりセキュリティキーを導出するステップと、前記選択された認証ノード識別子は所望のサービスと関連付けられ、
前記所望のサービスに対する要求を前記通信装置から前記認証ノードに送出するステップと、前記要求は前記所望のサービスに対するトランザクション識別子及びサービス識別子を含み、各認証ノード識別子は異なるサービス及び異なるサービスノードと関連付けられ、
前記認証ノードにおいて、前記サービス識別子を認証ノード識別子と関連付けるステップと、
前記セキュリティキーを取得するために、前記認証ノードにより前記認証ノード識別子及び前記トランザクション識別子を利用するステップと、
前記認証ノード識別子と関連付けられた前記サービスノードを識別するステップと、
前記サービス識別子、前記トランザクション識別子、前記セキュリティキー及び前記通信装置に対するアドレスを含む前記所望のサービスに対する要求メッセージを、前記認証ノードから前記識別されたサービスノードに送出するステップと、を有することを特徴とする方法。
【請求項8】
前記識別されたサービスノードが、前記セキュリティキーで保護されたキー管理メッセージを前記通信装置に送出する場合、前記通信装置は、前記セキュリティキーを使用して前記メッセージを復号化し且つ検証する、ことを特徴とする請求項7に記載の方法。
【請求項9】
前記選択されたサービスノードは、複数のサービスノード識別子を有し、前記キー管理メッセージを前記移動通信装置に送出する場合、前記サービスノード識別子を前記メッセージに含める、ことを特徴とする請求項7に記載の方法。
【請求項10】
通信ネットワークにおいて、サービスを前記通信装置に提供するサービスノードと通信装置との間で共有セキュリティキーを管理する認証ノードであって、
メモリに格納されたコンピュータプログラム命令を実行するプロセッサであって、前記認証ノードにおける、
前記認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、
前記ネットワークにおいて前記複数の認証ノード識別子のうちの異なる1つを各サービスノードに割り当てる手段と、
前記割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、
前記通信装置から所望のサービスに対する要求を受信することに応答して、前記割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する手段と、
前記セキュリティキーを前記認証ノードから前記関連付けられたサービスノードに送出する通信手段と、を制御するプロセッサを備え、
前記ネットワークが前記認証ノード識別子のうちの1つを前記通信装置に対して使用可能にし、前記認証ノード識別子が、所望のサービスと関連付けられ且つ前記通信装置が前記セキュリティキーを導出できるようにする、ことを特徴とする認証ノード。
【請求項11】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記通信装置はユーザ機器UEであり、
前記認証ノードは、認証プロキシAPを有するネットワークアプリケーション機能NAFであり、
前記サービスノードはアプリケーションサーバASであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項10に記載の認証ノード。
【請求項12】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記通信装置はユーザ機器UEであり、
前記認証ノードはサービス制御機能SCFであり、
前記サービスノードは、ブロードキャスト/マルチキャストサービスセンターBM−SCであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項10に記載の認証ノード。
【請求項13】
通信ネットワークにおいて、サービスを前記通信装置に提供するサービスノードと通信装置との間で共有セキュリティキーを管理する認証ノードであって、
メモリに格納されたコンピュータプログラム命令を実行するプロセッサであって、前記認証ノードにおける、
前記認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、
前記ネットワークにおいて前記複数の認証ノード識別子のうちの異なる1つを各サービスノードに割り当てる手段と、
前記割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、
前記通信装置から所望のサービスに対する要求を受信することに応答して、前記割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する手段と、
前記セキュリティキーを前記認証ノードから前記関連付けられたサービスノードに送出する通信手段と、
前記セキュリティキーを導出するために前記割り当てられた認証ノードを利用する前記通信装置に、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を送出する通信手段と、を制御するプロセッサを備える認証ノード。
【請求項14】
前記割り当てられた認証ノード識別子を前記通信装置に送出する前記通信手段は、SIP 200 OKメッセージにおいて前記割り当てられた認証ノード識別子を前記移動通信装置に送出するSIP通信ユニットを備え、
前記セキュリティキーを前記サービスノードに送出する前記通信手段は、前記認証ノードからの第2のセキュリティキー及びトランザクション識別子を、HTTP POSTメッセージにおいて前記サービスノードに送出するHTTP通信ユニットを備える、ことを特徴とする請求項13に記載の認証ノード。
【請求項15】
通信ネットワークにおいて、共有セキュリティキーを利用してユーザサービスを通信装置に提供するサービスノードであって、
メモリに格納されたコンピュータプログラム命令を実行するプロセッサであって、前記サービスノードにおける、
認証ノード識別子、前記通信装置のIPアドレス、前記通信装置が前記サービスノードにより提供されるユーザサービスを要求したトランザクションを識別するトランザクション識別子及び前記共有セキュリティキーを認証ノードから取得する通信手段と、
前記通信装置に前記共有セキュリティキーで保護されたキー管理メッセージを送出する通信手段と、を制御するプロセッサを備え、前記キー管理メッセージは前記認証ノード識別子及び前記トランザクション識別子を含み、
前記通信装置は、前記サービスノードから前記キー管理メッセージを受信する場合、前記認証ノード識別子及び前記トランザクション識別子からの前記共有セキュリティキーを識別し、
前記認証ノードが前記認証ノード識別子を前記通信装置に提供する場合又は前記通信装置が前記サービス記述において前記認証ノード識別子を受信する場合、前記通信装置は、前記認証ノード識別子を利用して前記共有セキュリティキーを導出し、前記共有セキュリティキーを使用して前記キー管理メッセージを復号化し且つ検証する、ことを特徴とするサービスノード。
【請求項16】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記移動通信装置はユーザ機器UEであり、
前記認証ノードは、認証プロキシAPを有するネットワークアプリケーション機能NAFであり、
前記サービスノードはアプリケーションサーバASであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項15に記載のサービスノード。
【請求項17】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記移動通信装置はユーザ機器UEであり、
前記認証ノードはサービス制御機能SCFであり、
前記サービスノードは、ブロードキャスト/マルチキャストサービスセンターBM−SCであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項15に記載のサービスノード。
【請求項18】
通信ネットワークにおいて共有セキュリティキーを管理するシステムであって、
通信装置と、
前記通信装置と通信している認証ノードと、
前記認証ノード及び前記通信装置と通信しているサービスノードとを備え、
前記認証ノードは、
前記認証ノードを識別する複数の認証ノード識別子を複数のサービスと関連付ける手段と、
前記複数の認証ノードの中から選択された1つの認証ノード識別子を前記サービスノードに割り当てる手段と、
前記割り当てられた認証ノード識別子を接続されたサービスノードと関連付けるテーブルと、
前記通信装置から所望のサービスに対する要求を受信することに応答して、前記割り当てられた認証ノード識別子と関連付けられた接続されたサービスノードに対するセキュリティキーを取得するために、前記所望のサービスと関連付けられた前記割り当てられた認証ノード識別子を利用する手段と、
前記認証ノード識別子、前記通信装置のIPアドレス、前記通信装置が前記サービスノードにより提供されたユーザサービスを要求したトランザクションを識別するトランザクション識別子及び前記共有セキュリティキーを前記サービスノードに送出する通信手段とを備え、
前記サービスノードは、
前記セキュリティキーで保護され且つ前記認証ノード識別子及び前記トランザクション識別子を含むキー管理メッセージを前記通信装置に送出する通信手段を備え、
前記移動通信装置は、
前記認証ノード識別子及び前記トランザクション識別子からの前記共有セキュリティキーを識別する手段と、
前記ネットワークから取得したサービス記述又は前記認証ノードのいずれかから前記認証ノード識別子を受信する通信手段と、
前記認証ノード識別子を利用して前記共有セキュリティキーを導出する手段と、
前記共有セキュリティキーを使用して前記キー管理メッセージを復号化し且つ検証する手段と、を備えることを特徴とするシステム。
【請求項19】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記移動通信装置はユーザ機器UEであり、
前記認証ノードは、認証プロキシAPを有するネットワークアプリケーション機能NAFであり、
前記サービスノードはアプリケーションサーバASであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項18に記載のシステム。
【請求項20】
前記通信ネットワークは、インターネットプロトコルマルチメディアサブシステム(IMS)ベースのネットワークであり、
前記移動通信装置はユーザ機器UEであり、
前記認証ノードはサービス制御機能SCFであり、
前記サービスノードは、ブロードキャスト/マルチキャストサービスセンターBM−SCであり、
前記要求されたサービスは、マルチメディアブロードキャスト/マルチキャストサービス(MBMS)ユーザサービスである、ことを特徴とする請求項18に記載のシステム。
【請求項21】
通信ネットワークにおいて、移動通信装置と、前記移動通信装置を認証する認証ノードと、サービスを前記移動通信装置に提供するサービスノードとの間で共有セキュリティキーを管理する方法であって、
前記認証ノードにおいて、前記サービスノードにより提供されたサービスを利用するための要求を前記移動通信装置から受信するステップと、前記要求はトランザクション識別子を含み、
前記認証ノードに対する認証ノードセキュリティキーを導出する前記移動通信装置を前記認証ノードが認証するステップと、
前記認証ノードセキュリティキー及びノンスを利用して導出される前記サービスノードに対するサービスノードセキュリティキーを前記認証ノードが導出するステップと、
前記サービスノードセキュリティキー及び前記トランザクション識別子を前記認証ノードから前記サービスノードに送出するステップと、
前記ノンス及び前記サービスノードの識別子を前記認証ノードから前記移動通信装置に送出し、それにより前記移動通信装置が前記認証ノードセキュリティキー及び前記ノンスから前記サービスノードセキュリティキーを導出できるようにするステップと、を有することを特徴とする方法。
【請求項22】
前記サービスノードが、前記サービスノードセキュリティキーで保護されたキー管理メッセージを前記移動通信装置に送出し、前記メッセージが前記サービスノード識別子及び前記トランザクション識別子を含む場合、前記移動通信装置は、前記サービスノードセキュリティキーを使用して前記メッセージを復号化し且つ検証する、ことを特徴とする請求項21に記載の方法。
【請求項23】
複数のサービスノードがあり、前記方法は、前記要求されたサービスを提供する前記複数のサービスノードのうちの1つを前記認証ノードにより選択するステップを更に含み、
前記認証ノードは、前記選択されたサービスノードに対するサービスノードセキュリティキーを導出し、前記サービスノードセキュリティキー、前記トランザクション識別子及び前記選択されたサービスノードに対するサービスノード識別子を前記選択されたサービスノードに送出する、ことを特徴とする請求項21に記載の方法。
【請求項24】
前記選択されたサービスノードは、複数のサービスノード識別子を有し、前記キー管理メッセージを前記移動通信装置に送出する場合に、前記認証ノードから受信した前記サービスノード識別子を前記メッセージに含める、ことを特徴とする請求項23に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【公表番号】特表2012−523158(P2012−523158A)
【公表日】平成24年9月27日(2012.9.27)
【国際特許分類】
【出願番号】特願2012−503374(P2012−503374)
【出願日】平成22年3月31日(2010.3.31)
【国際出願番号】PCT/SE2010/050366
【国際公開番号】WO2010/114475
【国際公開日】平成22年10月7日(2010.10.7)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成24年9月27日(2012.9.27)
【国際特許分類】
【出願日】平成22年3月31日(2010.3.31)
【国際出願番号】PCT/SE2010/050366
【国際公開番号】WO2010/114475
【国際公開日】平成22年10月7日(2010.10.7)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]