DE112019004201T5 - Kernnetzwerkgerät, kommunikationsendgerät, kommunikationssystem, authentifizierungsverfahren und kommunikationsverfahren - Google Patents

Kernnetzwerkgerät, kommunikationsendgerät, kommunikationssystem, authentifizierungsverfahren und kommunikationsverfahren Download PDF

Info

Publication number
DE112019004201T5
DE112019004201T5 DE112019004201.7T DE112019004201T DE112019004201T5 DE 112019004201 T5 DE112019004201 T5 DE 112019004201T5 DE 112019004201 T DE112019004201 T DE 112019004201T DE 112019004201 T5 DE112019004201 T5 DE 112019004201T5
Authority
DE
Germany
Prior art keywords
communication terminal
authentication
processing
core network
slice
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112019004201.7T
Other languages
English (en)
Inventor
Naoaki Suzuki
Toshiyuki Tamura
Anand Raghawa Prasad
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of DE112019004201T5 publication Critical patent/DE112019004201T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Abstract

Ein Ziel besteht darin, ein Kernnetzwerkgerät bereitzustellen, das in der Lage ist, eine Sekundärauthentifizierung, die für jedes Netzwerk-Slice durchgeführt werden soll, effizient durchzuführen. Ein Kernnetzwerkgerät (10) gemäß der vorliegenden Offenbarung beinhaltet eine Authentifizierungseinheit (11), die dazu ausgelegt ist, während der Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk eine erste Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung in dem Kernnetzwerk berechtigt ist, durchzuführen, eine Kommunikationseinheit (13), die dazu ausgelegt ist, Berechtigungslisteninformationen zu empfangen, die mindestens ein Netzwerk-Slice angeben, das von dem Kommunikationsendgerät in einem bedienenden Netzwerk verwendet werden kann, und eine Authentifizierungseinheit (12), die dazu ausgelegt ist, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts im Kernnetzwerk eine zweite Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist, durchzuführen.

Description

  • Technisches Gebiet
  • Die vorliegende Offenbarung betrifft ein Kernnetzwerkgerät, ein Kommunikationsendgerät, ein Kommunikationssystem, ein Authentifizierungsverfahren und ein Kommunikationsverfahren.
  • Stand der Technik
  • In einem Fünftgeneration(5G)-Netzwerk wurde die Bereitstellung eines Dienstes unter Verwendung eines Netzwerk-Slice besprochen. Das Netzwerk-Slice ist mindestens ein logisches Netzwerk, das in einem physischen Netzwerk definiert ist. Ein gewisses Netzwerk-Slice kann beispielsweise ein Netzwerk-Slice sein, das einen öffentlichen Sicherheitsdienst bereitstellt. Ferner kann ein anderes Netzwerk-Slice ein Netzwerk-Slice sein, das eine extrem kurze Verzögerungszeit garantiert, und kann ein Netzwerk-Slice sein, in dem viele Internet-der-Dinge(IoT)-Endgeräte gleichzeitig untergebracht sind.
  • Ferner wird in dem 5G-Netzwerk auch angenommen, dass ein Kommunikationsbetreiber ein Netzwerk-Slice an eine Drittpartei mit einer Originalteilnehmerdatenbank vermietet. In diesem Fall wurde zusätzlich zur Authentifizierung eines Kommunikationsendgeräts, das auf ein öffentliches terrestrisches Mobilfunknetz (PLMN: Public Land Mobile Network) zugreift, die Durchführung der Authentifizierung eines Kommunikationsendgeräts, das auf ein Netzwerk-Slice zugreift, besprochen. Ein Kommunikationsendgerät, das auf das PLMN zugreift, und ein Kommunikationsendgerät, das auf ein Netzwerk-Slice zugreift, sind dasselbe Kommunikationsendgerät. Die Authentifizierung eines Kommunikationsendgeräts, das auf das PLMN zugreift, wird beispielsweise als Primärauthentifizierung bezeichnet. Die Authentifizierung eines Kommunikationsendgeräts, das auf ein Netzwerk-Slice zugreift, wird beispielsweise als Sekundärauthentifizierung bezeichnet. Die Sekundärauthentifizierung beinhaltet auch die Verarbeitung zum Autorisieren des Zugriffs auf ein Netzwerk-Slice und kann als Slice-spezifische Sekundärauthentifizierung und Autorisierung bezeichnet werden.
  • Die Nichtpatentliteratur 1 beschreibt einen Überblick über die Primärauthentifizierung und die Sekundärauthentifizierung, die an einem Benutzergerät (UE) durchgeführt werden, das ein Kommunikationsendgerät ist. Die Primärauthentifizierung wird basierend auf Authentifizierungsinformationen durchgeführt, die in 3rd Generation Partnership Project (3GPP) zwischen dem UE und einem Kernnetzwerkgerät wie etwa einer AMF-Entität (AMF: Access Management Function - Zugriffsmanagementfunktion) und einer AUSF-Entität (AUSF: Authentication Server Function - Authentifizierungsserverfunktion) bestimmt werden. Andererseits wird die Sekundärauthentifizierung basierend auf Authentifizierungsinformationen durchgeführt, die nicht in 3GPP zwischen dem UE und einem von einer Drittpartei verwalteten Authentifizierung-Autorisierung- und-Abrechnung-Server (AAA-Server) bestimmt werden. Die im 3GPP bestimmten Authentifizierungsinformationen können beispielsweise Authentifizierungsinformationen sein, die verwendet werden, wenn das UE auf das PLMN zugreift. Die Authentifizierungsinformationen, die nicht im 3GPP bestimmt werden, können beispielsweise Authentifizierungsinformationen sein, die von der Drittpartei verwaltet werden. Insbesondere können die von der Drittpartei verwalteten Authentifizierungsinformationen Benutzer-IDs und Passwörter (Berechtigungsnachweise) sein, die auf dem AAA-Server verwaltet werden.
  • Darüber hinaus beschreibt die Nichtpatentliteratur 1 einen Überblick über die Authentifizierungsverarbeitung während eines PDU-Sitzungsaufbaus zum Durchführen einer Authentifizierung für den Zugriff auf ein Netzwerk-Slice, wenn eine PDU-Sitzung zum ersten Mal in einem spezifischen Netzwerk-Slice erstellt wird.
  • Referenzliste
  • Nichtpatentliteratur
  • [Nichtpatentliteratur 1] 3GPP TS 23.740 V0.5.0 (2018-08), Abschnitt 6.3.1 und Abschnitt 6.3.2
  • Kurzdarstellung der Erfindung
  • Technisches Problem
  • Das UE kann auf mehrere Netzwerk-Slices zugreifen. Beispielsweise sind Identifikationsinformationen über mehrere Netzwerk-Slices, auf die das UE zugreifen kann, in Teilnehmerinformationen des UE enthalten. Das Netzwerk-Slice, auf das das UE zugreifen kann, kann beispielsweise ein Netzwerk-Slice sein, das zuvor von einem das UE betreibenden Benutzer angewendet oder angemeldet wurde.
  • Wenn mehrere Netzwerk-Slices, auf die das UE zugreifen kann, in den Teilnehmerinformationen enthalten sind, wird die Sekundärauthentifizierung für jedes der Netzwerk-Slices während der Registrierungsverarbeitung des UE durchgeführt. Somit gibt es ein Problem, dass mit zunehmender Anzahl von Netzwerk-Slices, die in den Teilnehmerinformationen enthalten sind, die Zeit und Verarbeitungslast, die für die Sekundärauthentifizierung erforderlich sind, zunehmen und die Zeit, die erforderlich ist, bis das UE eine Kommunikation unter Verwendung eines Netzwerk-Slice durchführt, und eine Verarbeitungslast zunehmen.
  • Eine Aufgabe der vorliegenden Offenbarung besteht darin, ein Kernnetzwerkgerät, ein Kommunikationsendgerät, ein Kommunikationssystem, ein Authentifizierungsverfahren und ein Kommunikationsverfahren bereitzustellen, die in der Lage sind, eine für jedes Netzwerk-Slice durchzuführende Sekundärauthentifizierung effizient durchzuführen.
  • Lösung für das Problem
  • Ein Kernnetzwerkgerät gemäß einem ersten Aspekt der vorliegenden Offenbarung beinhaltet eine erste Authentifizierungseinheit, die dazu ausgelegt ist, während der Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk eine erste Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung in dem Kernnetzwerk berechtigt ist, durchzuführen, eine Kommunikationseinheit, die dazu ausgelegt ist, Berechtigungslisteninformationen zu empfangen, die mindestens ein Netzwerk-Slice angeben, das von dem Kommunikationsendgerät in einem bedienenden Netzwerk verwendet werden kann, und eine zweite Authentifizierungseinheit, die dazu ausgelegt ist, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts im Kernnetzwerk eine zweite Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist, durchzuführen.
  • Ein Kommunikationsendgerät gemäß einem zweiten Aspekt der vorliegenden Offenbarung beinhaltet eine Kommunikationseinheit, die dazu ausgelegt ist, während der Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk Fähigkeitsinformationen zu einem Kernnetzwerkgerät zu übertragen, die angeben, ob eine Verarbeitung, die assoziiert ist mit der zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, durchgeführt werden kann.
  • Ein Kommunikationssystem gemäß einem dritten Aspekt der vorliegenden Offenbarung beinhaltet ein erstes Kernnetzwerkgerät, das dazu ausgelegt ist, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk eine erste Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist, durchzuführen, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts im Kernnetzwerk eine zweite Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, durchzuführen, und Informationen zu übertragen, die ein Netzwerk-Slice angeben, an dem die zweite Authentifizierungsverarbeitung durchgeführt wird, und ein zweites Kernnetzwerkgerät, das dazu ausgelegt ist, Informationen zu empfangen, die ein Netzwerk-Slice angeben, an dem die zweite Authentifizierungsverarbeitung durchgeführt wird, zu bestimmen, ob die zweite Authentifizierungsverarbeitung in Bezug auf das Kommunikationsendgerät durchgeführt wird, wenn das Kommunikationsendgerät das Netzwerk-Slice zum ersten Mal verwendet, nachdem die Registrierungsverarbeitung abgeschlossen ist, die zweite Authentifizierungsverarbeitung durchzuführen, wenn die zweite Authentifizierungsverarbeitung nicht durchgeführt wird, und die zweite Authentifizierungsverarbeitung nicht durchzuführen, wenn die zweite Authentifizierungsverarbeitung bereits durchgeführt wird.
  • Ein Authentifizierungsverfahren gemäß einem vierten Aspekt der vorliegenden Offenbarung beinhaltet Durchführen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, einer ersten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist; Empfangen von Berechtigungslisteninformationen, die mindestens ein Netzwerk-Slice angeben, das von dem Kommunikationsendgerät in einem bedienenden Netzwerk verwendet werden kann, und Durchführen, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts im Kernnetzwerk, einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, das in den Berechtigungslisteninformationen enthalten ist.
  • Ein Kommunikationsverfahren gemäß einem fünften Aspekt der vorliegenden Offenbarung beinhaltet Erzeugen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, von Fähigkeitsinformationen, die angeben, ob eine Verarbeitung, die assoziiert ist mit einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, durchgeführt werden kann, und Übertragen der Fähigkeitsinformationen zu einem Kernnetzwerkgerät.
  • Vorteilhafte Auswirkungen der Erfindung
  • Die vorliegende Offenbarung ist in der Lage, ein Kernnetzwerkgerät, ein Kommunikationsendgerät, ein Kommunikationssystem, ein Authentifizierungsverfahren und ein Kommunikationsverfahren bereitzustellen, die in der Lage sind, eine für jedes Netzwerk-Slice durchzuführende Sekundärauthentifizierung effizient durchzuführen.
  • Figurenliste
    • 1 ist ein Konfigurationsdiagramm eines Kernnetzwerkgeräts gemäß einer ersten beispielhaften Ausführungsform.
    • 2 ist ein Konfigurationsdiagramm eines Kommunikationssystems gemäß einer zweiten beispielhaften Ausführungsform.
    • 3 ist ein Diagramm, das einen Ablauf einer Registrierungsverarbeitung gemäß der zweiten beispielhaften Ausführungsform veranschaulicht.
    • 4 ist ein Konfigurationsdiagramm eines Kommunikationsendgeräts gemäß einer dritten beispielhaften Ausführungsform.
    • 5 ist ein Diagramm, das einen Ablauf einer Registrierungsverarbeitung gemäß der dritten beispielhaften Ausführungsform veranschaulicht.
    • 6 ist ein Diagramm, das einen Ablauf einer Registrierungsverarbeitung gemäß einer vierten beispielhaften Ausführungsform veranschaulicht.
    • 7 ist ein Diagramm, das einen Ablauf einer Authentifizierungsverarbeitung während eines PDU-Sitzungsaufbaus gemäß einer fünften beispielhaften Ausführungsform veranschaulicht.
    • 8 ist ein Diagramm, das einen Ablauf einer Authentifizierungsverarbeitung während des PDU-Sitzungsaufbaus gemäß der fünften beispielhaften Ausführungsform veranschaulicht.
    • 9 ist ein Diagramm des Kommunikationsendgeräts und eines UE gemäß jeder der beispielhaften Ausführungsformen.
    • 10 ist ein Konfigurationsdiagramm des Kernnetzwerkgeräts und einer AMF gemäß jeder der beispielhaften Ausführungsformen.
  • Beschreibung von Ausführungsformen
  • (Erste beispielhafte Ausführungsform)
  • Ausführungsformen der vorliegenden Offenbarung werden nachstehend unter Bezugnahme auf die Zeichnungen beschrieben. Ein Konfigurationsbeispiel eines Kernnetzwerkgeräts 10 gemäß einer ersten beispielhaften Ausführungsform wird unter Verwendung von 1 beschrieben. Das Kernnetzwerkgerät 10 kann ein Computergerät sein, das von einem Prozessor betrieben wird, der ein in einem Speicher gespeichertes Programm ausführt.
  • Das Kernnetzwerkgerät 10 beinhaltet eine Authentifizierungseinheit 11, eine Authentifizierungseinheit 12 und eine Kommunikationseinheit 13. Die Authentifizierungseinheit 11, die Authentifizierungseinheit 12 und die Kommunikationseinheit 13 können Software oder ein Modul sein, dessen Verarbeitung von einem Prozessor durchgeführt wird, der ein in einem Speicher gespeichertes Programm ausführt. Alternativ können die Authentifizierungseinheit 11, die Authentifizierungseinheit 12 und die Kommunikationseinheit 13 Hardware wie etwa eine Schaltung oder ein Chip sein.
  • Die Authentifizierungseinheit 11 führt während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk eine Authentifizierungsverarbeitung durch zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist. Die von der Authentifizierungseinheit 11 durchgeführte Authentifizierung eines Kommunikationsendgeräts entspricht einer Primärauthentifizierung. Das Kommunikationsendgerät kann beispielsweise ein Zellulartelefonendgerät, ein Smartphone-Endgerät oder ein Endgerät vom Tablet-Typ sein. Alternativ kann das Kommunikationsendgerät ein Internet-der-Dinge(IoT)-Endgerät oder ein Maschinentypkommunikation(MTC)-Endgerät sein. Alternativ kann das Kommunikationsendgerät ein UE sein, das als ein allgemeiner Name für ein Kommunikationsendgerät in 3GPP verwendet wird.
  • Das Kernnetzwerk ist ein Netzwerk, das in einem 5G-Netzwerk enthalten ist. Das 5G-Netzwerk beinhaltet ein Zugriffsnetzwerk, auf das ein Kommunikationsendgerät direkt zugreift, und ein Kernnetzwerk, in dem mehrere Zugriffsnetzwerke zusammengestellt sind.
  • Beispielsweise kann die Registrierungsverarbeitung durchgeführt werden, nachdem das Kommunikationsendgerät von einem AUS-Zustand in einen EIN-Zustand übergegangen ist. Alternativ kann die Registrierungsverarbeitung nach Ablauf eines vorbestimmten Zeitraums seit der letztmaligen Durchführung der Registrierungsverarbeitung durchgeführt werden. Die Registrierungsverarbeitung kann beispielsweise eine Registrierungsverarbeitung sein, deren Betrieb im 3GPP bestimmt wird. Das Kommunikationsendgerät ist im Kernnetzwerk registriert, und somit führt das Kernnetzwerk ein Bewegungsmanagement, ein Sitzungsmanagement und dergleichen des Kommunikationsendgeräts durch.
  • Die Kommunikationseinheit 13 empfängt Berechtigungslisteninformationen, die mindestens ein Netzwerk-Slice angeben, das von dem Kommunikationsendgerät in einem bedienenden Netzwerk verwendet werden kann. Das bedienende Netzwerk ist ein Netzwerk, das einen Kommunikationsdienst für einen Bereich bereitstellt, in dem sich das Kommunikationsendgerät befindet. Das bedienende Netzwerk kann ein öffentliches terrestrisches Heimat-Mobilfunknetz (HPLMN) sein, das Teilnehmerinformationen des Kommunikationsendgeräts verwaltet, und kann ein Visited(besuchtes)-PLMN (VPLMN) sein, das als ein Roaming-Ziel dient.
  • Alle Netzwerk-Slices, auf die das Kommunikationsendgerät zugreifen kann, sind in den Teilnehmerinformationen des Kommunikationsendgeräts enthalten. Das Netzwerk-Slice, das dem Kommunikationsendgerät bereitgestellt werden kann, variiert für jedes bedienende Netzwerk. Daher kann das Kommunikationsendgerät möglicherweise nicht in der Lage sein, alle in den Teilnehmerinformationen enthaltenen Netzwerk-Slices in einem aktuell verbundenen bedienenden Netzwerk zu verwenden. Ein Netzwerk-Slice, das in den Berechtigungslisteninformationen enthalten ist, ist ein Netzwerk-Slice, das im bedienenden Netzwerk verwendet werden kann, unter Netzwerk-Slices, die in den Teilnehmerinformationen des Kommunikationsendgeräts enthalten sind. Somit kann ein in den Berechtigungslisteninformationen enthaltenes Netzwerk-Slice Teil aller in den Teilnehmerinformationen enthaltenen Netzwerk-Slices sein.
  • Die Kommunikationseinheit 13 kann die Berechtigungslisteninformationen von einem anderen Kernnetzwerkgerät empfangen, das in dem HPLMN angeordnet ist, oder kann die Berechtigungslisteninformationen von einem anderen Kernnetzwerkgerät empfangen, das in dem VPLMN angeordnet ist.
  • Die Authentifizierungseinheit 12 führt während einer Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk eine Authentifizierungsverarbeitung durch zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist. Die von der Authentifizierungseinheit 12 durchgeführte Authentifizierung entspricht einer Sekundärauthentifizierung. Wenn mehrere Netzwerk-Slices in den Berechtigungslisteninformationen enthalten sind, kann die Authentifizierungseinheit 12 mit jeder Drittpartei zusammenarbeiten, die jedes der Netzwerk-Slices verwaltet, und die Authentifizierungsverarbeitung des Kommunikationsendgeräts durchführen.
  • Wie oben beschrieben, führt die Authentifizierungseinheit 12 des Kernnetzwerkgeräts 10 die Authentifizierungseinheit genauso oft durch wie die Anzahl der Netzwerk-Slices, die in den Berechtigungslisteninformationen enthalten sind. Hierin ist die Anzahl von in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slices kleiner als die der in den Teilnehmerinformationen enthaltenen Netzwerk-Slices. Somit wird die Zeit, die für die Authentifizierungsverarbeitung erforderlich ist, die von der Authentifizierungseinheit 12 während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk durchgeführt wird, weiter verkürzt als die Zeit, wenn die Authentifizierungsverarbeitung für die gleiche Anzahl von Malen wie die Anzahl von in den Teilnehmerinformationen enthaltenen Netzwerk-Slices durchgeführt wird.
  • Ferner führt das Kernnetzwerkgerät 10 ein als Nächstes angegebenes Authentifizierungsverfahren durch. Zunächst führt das Kernnetzwerkgerät 10 eine erste Authentifizierungsverarbeitung durch zum Bestimmen, ob ein Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung in einem Kernnetzwerk berechtigt ist, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk. Als Nächstes empfängt das Kernnetzwerkgerät 10 Berechtigungslisteninformationen, die mindestens ein Netzwerk-Slice angeben, das von dem Kommunikationsendgerät in einem bedienenden Netzwerk verwendet werden kann. Als Nächstes führt das Kernnetzwerkgerät 10 eine zweite Authentifizierungsverarbeitung durch zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk.
  • (Zweite beispielhafte Ausführungsform)
  • Dann wird ein Konfigurationsbeispiel eines Kommunikationssystems gemäß einer zweiten beispielhaften Ausführungsform unter Verwendung von 2 beschrieben. Das Kommunikationssystem in 2 beinhaltet ein UE 20, ein bedienendes PLMN 30, ein HPLMN 40 und ein Drittpartei-Netzwerk 50. Es wird angenommen, dass das UE 20 in einem Bereich vorhanden ist, in dem das bedienende PLMN 30 einen Kommunikationsdienst bereitstellt. Das UE 20 entspricht einem Kommunikationsendgerät. Das bedienende PLMN 30 entspricht einem bedienenden Netzwerk. In 2 kann das bedienende PLMN 30 als ein VPLMN bezeichnet werden. Das Drittpartei-Netzwerk 50 kann ein Netzwerk sein, das von einem Kommunikationsbetreiber verwaltet wird, der sich von einem Kommunikationsbetreiber, der das bedienende PLMN 30 verwaltet, und einem Kommunikationsbetreiber, der das HPLMN 40 verwaltet, unterscheidet. Das Drittpartei-Netzwerk 50 kann beispielsweise ein Netzwerk sein, das von einem Betreiber verwaltet wird, der einen Anwendungsdienst bereitstellt.
  • Das bedienende PLMN 30 beinhaltet eine Zugriffsverwaltungsfunktion(AMF)-Entität 31 (im Folgenden als eine AMF 31 bezeichnet), eine Besucht-Sitzungsverwaltungsfunktion(V-SMF)-Entität 32 (im Folgenden als eine V-SMF 32 bezeichnet) und eine Benutzerebenenfunktion(UPF)-Entität 33 (im Folgenden als eine UPF 33 bezeichnet). Die AMF 31 entspricht dem Kernnetzwerkgerät 10 in 1.
  • Das HPLMN 40 beinhaltet eine Vereinheitlichte-Datenverwaltung(UDM)-Entität 41 (im Folgenden als eine UDM 41 bezeichnet), eine Authentifizierungsserverfunktion(AUSF)-Entität 42 (im Folgenden als eine AUSF 42 bezeichnet), eine Netzwerk-Slice-Auswahlfunktion(NSSF)-Entität 43 (im Folgenden als eine NSSF 43 bezeichnet), eine Netzwerkaussetzungsfunktion(NEF)-Entität 44 (im Folgenden als eine NEF 44 bezeichnet), eine H-SMF-Entität 45 (im Folgenden als eine H-SMF 45 bezeichnet) und eine UPF-Entität 46 (im Folgenden als eine UPF 46 bezeichnet).
  • Das Drittpartei-Netzwerk 50 beinhaltet einen Authentifizierung-Autorisierung-und-Abrechnung-Server (AAA-Server) 51.
  • Die AMF 31 verwaltet den Zugang, die Mobilität und dergleichen in Bezug auf das UE 20. Darüber hinaus arbeitet die AMF 31 mit der AUSF 42, dem UDM 41 und dergleichen zusammen und führt eine Primärauthentifizierungsverarbeitung in Bezug auf das UE 20 durch. Die V-SMF 32 führt eine Sitzungsverwaltung in Bezug auf das UE 20 durch. Die Sitzungsverwaltung beinhaltet das Erstellen, Ändern und Entfernen einer Sitzung. Die UPF 33 führt ein Routing oder einen Transfer von Benutzerebenendaten zwischen dem UE 20 und der UPF 46 durch.
  • Die UDM 41 verwaltet Teilnehmerinformationen in Bezug auf das UE 20. Identifikationsinformationen über mehrere Netzwerk-Slices, auf die das UE 20 zugreifen kann, sind in den Teilnehmerinformationen enthalten. Das Netzwerk-Slice, auf das das UE 20 zugreifen kann, kann beispielsweise ein Netzwerk-Slice sein, das zuvor von einem das UE 20 betreibenden Benutzer angewendet oder angemeldet wurde.
  • Die AUSF 42 verwaltet Authentifizierungsinformationen in Bezug auf das UE 20. Die Authentifizierungsinformationen können beispielsweise ein Sicherheitsschlüssel, ein Authentifizierungsalgorithmus und dergleichen sein, die sich auf das UE 20 beziehen. Die NSSF 43 überträgt zu der AMF 31 Identifikationsinformationen über ein Netzwerk-Slice, das vom UE 20 im bedienenden PLMN 30 verwendet werden kann. Die Identifikationsinformationen über ein Netzwerk-Slice können beispielsweise Netzwerk-Slice-Auswahlunterstützungsinformationen (NSSAI) sein. Ferner leitet die AUSF 42 Daten weiter, die zwischen dem im Drittpartei-Netzwerk 50 angeordneten AAA-Server 51 und einem im HPLMN 40 angeordneten Knotengerät übertragen werden.
  • Die NEF 44 leitet Daten weiter, die zwischen dem im Drittpartei-Netzwerk 50 angeordneten AAA-Server 51 und dem im HPLMN 40 angeordneten Knotengerät übertragen werden. Die H-SMF 45 führt zusammen mit der V-SMF 32 eine Sitzungsverwaltung in Bezug auf das UE 20 durch. Die UPF 46 führt ein Routing oder einen Transfer von Benutzerebenendaten zwischen der UPF 33 und dem Drittpartei-Netzwerk 50 durch. Beispielsweise kann die UPF 46 ein Routing von Benutzerebenendaten zwischen einem Anwendungsserver (nicht veranschaulicht), der in dem Drittpartei-Netzwerk 50 angeordnet ist, und der UPF 33 durchführen.
  • Die V-SMF 32, die UPF 33, die H-SMF 45 und die UPF 46 bilden ein Netzwerk-Slice 60. Jede der V-SMF 32, der UPF 33, der H-SMF 45 und der UPF 46 kann nur für das Netzwerk-Slice 60 verwendet werden und kann mit einem anderen Netzwerk-Slice geteilt werden. Das Netzwerk-Slice 60 ist ein Netzwerk-Slice, das vom Drittpartei-Netzwerk 50 verwaltet wird. Mit anderen Worten, wenn das UE 20 einen vom Drittpartei-Netzwerk 50 bereitgestellten Dienst verwendet, ist das UE 20 mit dem Netzwerk-Slice 60 verbunden.
  • Der AAA-Server 51 führt eine Sekundärauthentifizierungsverarbeitung in Bezug auf das UE 20 durch, das das Netzwerk-Slice 60 verwendet.
  • In dem Konfigurationsbeispiel in 2 sind die AUSF 42 und die NEF 44 dazu ausgelegt, Daten weiterzuleiten, die zwischen der AMF 31 und dem AAA-Server 51 übertragen werden, jedoch kann ein anderes unabhängiges Knotengerät (nicht veranschaulicht), das sich von der AUSF 42 und der NEF 44 unterscheidet, dazu ausgelegt sein, Daten weiterzuleiten. Ferner enthält das Kommunikationssystem möglicherweise nicht die NEF 44, und die AUSF 42 kann dazu ausgelegt sein, Daten weiterzuleiten, die zwischen der AMF 31 und dem AAA-Server 51 übertragen werden. Das Knotengerät, das zwischen der AMF 31 und dem AAA-Server 51 übertragene Daten weiterleitet, kann eine AAA-Proxy-Funktion (AAA-F) sein.
  • Dann wird ein Ablauf der Registrierungsverarbeitung in Bezug auf das UE 20 unter Verwendung von 3 beschrieben. Zunächst überträgt das UE 20 eine Registrierungsanforderungsnachricht zu der AMF 31 (S11). Die Registrierungsanforderung enthält angeforderte NSSAI. Die angeforderten NSSAI sind NSSAI, die von dem UE 20 an das bedienende PLMN 30 bereitgestellt werden. Mit anderen Worten sind die angeforderten NSSAI NSSAI, die ein Netzwerk-Slice angeben, das das UE 20 im bedienenden PLMN 30 verwenden oder mit diesem verbinden soll. Einzel-Netzwerk-Slice-Auswahlunterstützungsinformationen (S-NSSAI) sind Identifikationsinformationen, die ein Netzwerk-Slice angeben, und mehrere S-NSSAIs können in den NSSAI enthalten sein.
  • Es ist zu beachten, dass die AMF 31 die angeforderten NSSAI möglicherweise aus einer anderen Nachricht als der Registrierungsanforderungsnachricht (S11) erfasst. In Schritt S12 überträgt die AMF 31 beispielsweise eine NAS-Sicherheitsmodusbefehlsnachricht zu dem UE 20, und das UE 20 gibt als eine Antwort auf die NAS-Sicherheitsmodusbefehlsnachricht eine NAS-Sicherheitsmodus-Abgeschlossen-Nachricht an die AMF 31 zurück. In diesem Fall kann das UE 20 die angeforderten NSSAI in der NAS-Sicherheitsmodus-Abgeschlossen-Nachricht setzen, und die AMF 31 kann die angeforderten NSSAI erfassen. Ferner kann beispielsweise vor Schritt S12 die AMF 31 eine Identitätsanforderungsnachricht zu dem UE 20 übertragen, und das UE 20 kann an die AMF 31 eine Identitätsantwortnachricht als eine Antwort auf die Identitätsanforderungsnachricht zurückgeben. In diesem Fall kann das UE 20 die angeforderten NSSAI in der Identitätsantwortnachricht setzen, und die AMF 31 kann die angeforderten NSSAI erfassen.
  • Ferner kann die AMF 31 eine Nachricht einschließlich der angeforderten NSSAI von einem beliebigen anderen Knotengerät als dem UE 20 empfangen und kann die angeforderten NSSAI erfassen. Beispielsweise kann ein beliebiges Knotengerät eine Nachricht einschließlich angeforderter NSSAI empfangen, die von dem UE 20 übertragen wird. In diesem Fall kann die AMF 31 die angeforderten NSSAI erfassen, indem sie die Nachricht einschließlich der angeforderten NSSAI von dem beliebigen Knotengerät empfängt.
  • Als Nächstes wird in dem UE 20, der AMF 31 und der AUS 42 eine Sicherheitsprozedur für den Zugriff auf ein bestehendes PLMN durchgeführt (S12). Das bestehende PLMN ist beispielsweise das bedienende PLMN 30 und das HPLMN 40. Insbesondere wird in Schritt S12 eine Primärauthentifizierungsverarbeitung in Bezug auf das UE 20 durchgeführt. Beispielsweise führt die AMF 31 die Primärauthentifizierungsverarbeitung in Bezug auf das UE 20 unter Verwendung von Authentifizierungsinformationen durch, die von der AUSF 42 empfangen werden. Die durch die AMF 31 von der AUSF 42 empfangenen Authentifizierungsinformationen können beispielsweise auch als 3GPP-Berechtigungsnachweise bezeichnet werden. Mit anderen Worten können die durch die AMF 31 von der AUSF 42 empfangenen Authentifizierungsinformationen Authentifizierungsinformationen sein, die im 3GPP bestimmt sind. Beispielsweise können die 3GPP-Berechtigungsnachweise eine permanente Subskriptionskennung (SUPI) als eine Benutzer-ID des UE 20 und Authentifizierungsinformationen enthalten, die verwendet werden, wenn das UE 20 auf das bedienende PLMN 30 zugreift.
  • Beispielsweise besteht die Primärauthentifizierungsverarbeitung darin, eine SUPI in einer Authentifizierungs- und Schlüsselvereinbarung (AKA: Authentication and Key Agreement) zu authentifizieren, die zwischen der AMF 31 und dem UE 20 durchgeführt wird. Mit anderen Worten authentifiziert die AMF 31 eine SUPI, die das UE 20 in der zwischen dem UE 20 und der AMF 31 durchgeführten AKA angibt. Darüber hinaus kann die Primärauthentifizierungsverarbeitung eine Autorisierungsverarbeitung in Bezug auf das UE 20 beinhalten. Beispielsweise kann die Primärauthentifizierungsverarbeitung die Autorisierung der Verwendung des bedienenden PLMN 30 durch das UE 20 unter Verwendung von von der UDM 41 erfassten Teilnehmerinformationen des UE 20 beinhalten. Mit anderen Worten kann die AMF 31 das UE 20 autorisieren, das bedienende PLMN 30 zu verwenden, unter Verwendung von Teilnehmerinformationen des UE 20, die von der UDM 41 erfasst werden. Die Primärauthentifizierungsverarbeitung kann als Primärauthentifizierungs- und Primärautorisierungsverarbeitung bezeichnet werden.
  • Als Nächstes überträgt die AMF 31 eine Nudm_SDM_Get-Nachricht zu der UDM 41 (S13). Als Nächstes überträgt die UDM 41 eine Nudm_SDM_Get-Antwortnachricht zu der AMF 31 (S14). Die Nudm_SDM_Get-Antwortnachricht enthält subskribierte S(Einzel)-NSSAI. Die S-NSSAI sind Identifikationsinformationen, die ein Netzwerk-Slice angeben. Die subskribierten S-NSSAI sind Identifikationsinformationen, die ein in den Teilnehmerinformationen enthaltenes Netzwerk-Slice angeben. In der Nudm -SDM -Get-Antwortnachricht können mehrere subskribierte S-NSSAIs (subskribierte S-NSSAIs) enthalten sein.
  • Als Nächstes überträgt die AMF 31 eine Nnssf_NSSelection_Get-Nachricht zu der NSSF 43 (S15). Als Nächstes überträgt die NSSF 43 eine Nnssf_NSSelection_Get-Antwortnachricht zu der AMF 31 (S16). Die Nnssf_NSSelection_Get-Antwortnachricht enthält Zulässig-NSSAI. Die zulässigen NSSAI enthalten Identifikationsinformationen (S-NSSAI) über ein Netzwerk-Slice, das von dem UE 20 im bedienenden PLMN 30 verwendet werden kann, unter mehreren subskribierten S-NSSAIs. Mehrere S-NSSAIs (S-NSSAIs) können in den zulässigen NSSAI enthalten sein. Hierin wird angenommen, dass die Anzahl der in den zulässigen NSSAI enthaltenen S-NSSAIs kleiner ist als die Anzahl der in der Nudm_SDM_Get-Antwortnachricht enthaltenen mehreren subskribierten S-NSSAIs. Mit anderen Worten wird angenommen, dass die in den zulässigen NSSAI enthaltenen S-NSSAI Teil der mehreren in der Nudm_SDM_Get-Antwortnachricht enthaltenen subskribierten S-NSSAIs sind. Beispielsweise kann die NSSF 43 subskribierte S-NSSAI, die sich auf das UE 20 beziehen, von der UDM 41 erfassen und S-NSSAI verwalten, die ein Netzwerk-Slice angeben, das vom UE 20 im bedienenden PLMN 30 verwendet werden kann.
  • Als Nächstes prüft die AMF 31, ob eine Sekundärauthentifizierungsverarbeitung in einem Netzwerk-Slice angewendet wird, das von jeder der in den zulässigen NSSAI enthaltenen S-NSSAIs angegeben wird (S17). Die AMF 31 kann unter Verwendung eines Richtlinienservers und dergleichen prüfen, ob die Sekundärauthentifizierungsverarbeitung in jedem Netzwerk-Slice angewendet wird, das in den zulässigen NSSAI enthalten ist. Beispielsweise gibt es unter Drittpartei-Netzwerken auch ein Drittpartei-Netzwerk, das eine Richtlinie enthält, die die Sekundärauthentifizierungsverarbeitung nicht anwendet, wenn ein vom Drittpartei-Netzwerk verwaltetes Netzwerk-Slice verwendet wird.
  • Der Richtlinienserver kann Informationen verwalten, die sich darauf beziehen, ob jedes Netzwerk-Slice eine Sekundärauthentifizierung in Bezug auf das UE 20 anfordert. Ferner können in einem anderen Knotengerät als dem Richtlinienserver die Informationen verwaltet werden, die sich darauf beziehen, ob die Sekundärauthentifizierung in Bezug auf das UE 20 angefordert wird. In diesem Fall kann die AMF 31 die Prüfung in Schritt S17 unter Verwendung des Knotengeräts durchführen, das die Informationen verwaltet, die sich darauf beziehen, ob die Sekundärauthentifizierung in Bezug auf das UE 20 angefordert wird.
  • Beispielsweise kann die AMF 31 die Prüfung in Schritt S17 unter Verwendung der UDM 41 durchführen. In diesem Fall kann die AMF 31 aus der Nudm_SDM_Get-Antwortnachricht (S14) die Informationen empfangen, die sich darauf beziehen, ob die Sekundärauthentifizierungsverarbeitung in einem von den subskribierten S-NSSAI angegebenen Netzwerk-Slice angewendet wird. Darüber hinaus kann die AMF 31 die Prüfung in Schritt S17 unter Verwendung der empfangenen Informationen durchführen.
  • Als Nächstes wird in dem UE 20, der AMF 31, der AUSF 42 und dem AAA-Server 51 eine Sicherheitsprozedur für den Zugriff auf das Netzwerk-Slice 60 durchgeführt, auf das die Sekundärauthentifizierungsverarbeitung angewendet wird (S18). Insbesondere wird in Schritt S18 die Sekundärauthentifizierungsverarbeitung in Bezug auf das UE 20 durchgeführt. Beispielsweise können bei der Sekundärauthentifizierung Authentifizierungsinformationen verwendet werden, die von einer Drittpartei verwaltet werden. Die von der Drittpartei verwalteten Authentifizierungsinformationen können eine Benutzer-ID, die verwendet wird, wenn das UE 20 das Netzwerk-Slice 60 verwendet, und ein Passwort, das im AAA-Server 51 verwaltet wird, enthalten.
  • Bei der Sekundärauthentifizierungsverarbeitung kann eine Authentifizierungsprozedur unter Verwendung eines EAP (Extensible Authentication Protocol - erweiterbares Authentifizierungsprotokoll) durchgeführt werden. Beispielsweise benachrichtigt die AMF 31 das UE 20 über die S-NSSAI und überträgt eine Anforderungsnachricht zum Anfordern der Übertragung einer Benutzer-ID und eines in den S-NSSAI verwendeten Passworts. Darüber hinaus überträgt die AMF 31 die Benutzer-ID und das vom UE 20 empfangene Passwort über die AUSF 42 zu dem AAA-Server 51. Der AAA-Server 51 kann die von der AUSF 42, d. h. dem UE 20, empfangene Benutzer-ID, die sich auf das UE 20 bezieht, authentifizieren und ferner das UE 20 unter Verwendung der Benutzer-ID und des Passworts, die vom UE 20 empfangen werden, zur Verwendung des Netzwerk-Slice 60 autorisieren. Die Sekundärauthentifizierungsverarbeitung kann die Authentifizierung des UE 20 und die Autorisierung der Verwendung des Netzwerk-Slice 60 durch das UE 20 beinhalten. Alternativ kann die Sekundärauthentifizierungsverarbeitung als Sekundärauthentifizierungsverarbeitung und Sekundärautorisierungsverarbeitung bezeichnet werden.
  • Die Sekundärauthentifizierungsverarbeitung wird für jedes Netzwerk-Slice in der Registrierungsverarbeitung in Bezug auf das UE 20 durchgeführt. Mit anderen Worten wird die Sekundärauthentifizierungsverarbeitung in der Registrierungsverarbeitung genauso oft wiederholt wie die Anzahl der S-NSSAIs, die ein Netzwerk-Slice angeben, auf das die Sekundärauthentifizierungsverarbeitung angewendet wird, unter den in den zulässigen NSSAI enthaltenen S-NSSAIs.
  • Wie oben beschrieben, ist die Anzahl der in den zulässigen NSSAI enthaltenen S-NSSAIs kleiner als die Anzahl der von der UDM 41 übertragenen subskribierten S-NSSAIs. Darüber hinaus gibt es unter den Netzwerk-Slices, die von den in den zulässigen NSSAI enthaltenen S-NSSAIs angegeben werden, auch ein Netzwerk-Slice, auf das die Sekundärauthentifizierungsverarbeitung nicht angewendet wird. Somit ist die Anzahl von Netzwerk-Slices, auf die die Sekundärauthentifizierungsverarbeitung angewendet wird, kleiner als die Anzahl von Netzwerk-Slices, die von den in den zulässigen NSSAI enthaltenen S-NSSAIs angegeben werden. Infolgedessen ist in dem Kommunikationssystem in 2 die Anzahl der Male der Sekundärauthentifizierungsverarbeitung, die in der Registrierungsverarbeitung in Bezug auf das UE 20 durchgeführt wird, kleiner als die, wenn die Sekundärauthentifizierungsverarbeitung für die gleiche Anzahl von Malen wie die Anzahl der subskribierten S-NSSAIs, die von der UDM 41 übertragen werden, wiederholt wird. Auf diese Weise können das UE 20, die AMF 31, die AUSF 42 und der AAA-Server 51 die für die Sekundärauthentifizierungsverarbeitung in der Registrierungsverarbeitung erforderliche Zeit weiter reduzieren als die, wenn die Sekundärauthentifizierungsverarbeitung für die gleiche Anzahl von Malen wiederholt wird wie die Anzahl der subskribierten S-NSSAIs. Darüber hinaus können das UE 20, die AMF 31, die AUSF 42 und der AAA-Server 51 eine Verarbeitungslast reduzieren, die für die Sekundärauthentifizierungsverarbeitung erforderlich ist.
  • Ferner wird die Verarbeitung zum Registrieren des UE 20 in dem Kernnetzwerk für jedes Zugriffsnetzwerk durchgeführt. Somit kann das UE 20 die Registrierungsanforderungsnachricht über jedes Zugriffsnetzwerk wie etwa 3GPP-Zugriff und Nicht-3GPP-Zugriff zu der AMF 31 übertragen. Der 3GPP-Zugriff ist ein Zugriffsnetzwerk, das ein im 3GPP bestimmtes Drahtloskommunikationsverfahren unterstützt. Der Nicht-3GPP-Zugriff ist ein Zugriffsnetzwerk, das ein Drahtloskommunikationsverfahren unterstützt, das sich von dem im 3GPP bestimmten Drahtloskommunikationsverfahren unterscheidet.
  • Die AMF 31 empfängt die Registrierungsanforderungsnachricht vom UE 20 über einen des 3GPP-Zugriffs und des Nicht-3GPP-Zugriffs und führt die Sekundärauthentifizierung durch. Beispielsweise wird angenommen, dass die AMF 31 die Registrierungsanforderungsnachricht über den 3GPP-Zugriff empfängt und die Sekundärauthentifizierung durchführt. Wenn hierin die AMF 31 die Registrierungsanforderungsnachricht über den Nicht-3GPP-Zugriff empfängt, wird die Sekundärauthentifizierung in einem Netzwerk-Slice, auf dem die Sekundärauthentifizierung in Bezug auf das UE 20 bereits durchgeführt wird, möglicherweise nicht durchgeführt, und kann weggelassen werden. Auf diese Weise kann verhindert werden, dass die Authentifizierung für dasselbe UE in demselben Netzwerk-Slice überlappend durchgeführt wird. Auf diese Weise kann im Vergleich zu einem Fall, in dem die Sekundärauthentifizierungsverarbeitung nicht weggelassen wird, die für die Sekundärauthentifizierungsverarbeitung in der Registrierungsverarbeitung erforderliche Zeit reduziert werden, und eine für die Sekundärauthentifizierungsverarbeitung erforderliche Verarbeitungslast kann reduziert werden. Ähnlich wie in einem Fall, in dem die Sekundärauthentifizierung basierend auf der über den Nicht-3GPP-Zugriff empfangenen Registrierungsanforderungsnachricht durchgeführt wird, kann auch die Sekundärauthentifizierung basierend auf der über den 3GPP-Zugriff empfangenen Registrierungsanforderungsnachricht weggelassen werden.
  • Wenn ferner die Sekundärauthentifizierung in Bezug auf die S-NSSAI des UE 20 fehlschlägt, kann die AMF 31 die S-NSSAI, die dem UE 20 in den zulässigen N-SSAI bereitgestellt werden, durch andere S-NSSAI ersetzen, wenn die Sekundärauthentifizierung erfolgreich ist, und kann die S-NSSAI an das UE 20 liefern. Beispielsweise können die S-NSSAI nach dem Ersetzen die Standard-S-NSSAI sein. Ferner können die S-NSSAI nach dem Ersetzen mit einer Kennung, die angibt, dass die S-NSSAI ersetzt wurden, und einer Kennung, die die S-NSSAI vor dem Ersetzen angibt, versehen werden. Das UE 20 erkennt, dass der Zugriff auf ein Netzwerk-Slice, das von den S-NSSAI angegeben wird, nach dem Ersetzen autorisiert ist. Auf diese Weise kann die AMF 31 eine Situation verhindern, in der das UE 20 auf kein Netzwerk-Slice zugreifen kann. Mit anderen Worten kann die AMF 31 das UE 20, das nicht authentifiziert werden kann, so führen, dass das UE 20 auf ein spezifisches Netzwerk-Slice zugreift.
  • (Dritte beispielhafte Ausführungsform)
  • Dann wird ein Konfigurationsbeispiel eines Kommunikationsendgeräts 70 gemäß einer dritten beispielhaften Ausführungsform unter Verwendung von 4 beschrieben. Das Kommunikationsendgerät 70 kann ein Computergerät sein, das von einem Prozessor betrieben wird, der ein in einem Speicher gespeichertes Programm ausführt. Ferner wird das in der ersten beispielhaften Ausführungsform beschriebene Kernnetzwerkgerät 10 als ein Kernnetzwerkgerät verwendet, das mit dem Kommunikationsendgerät 70 kommuniziert.
  • Das Kommunikationsendgerät 70 beinhaltet eine Steuereinheit 71 und eine Kommunikationseinheit 72. Die Steuereinheit 71 und die Kommunikationseinheit 72 können Software oder ein Modul sein, dessen Verarbeitung von einem Prozessor durchgeführt wird, der ein in einem Speicher gespeichertes Programm ausführt. Alternativ können die Steuereinheit 71 und die Kommunikationseinheit 72 Hardware wie etwa eine Schaltung oder ein Chip sein.
  • Die Steuereinheit 71 erzeugt während einer Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts 70 in einem Kernnetzwerk Fähigkeitsinformationen, die angeben, ob eine mit der Authentifizierungsverarbeitung assoziierte Verarbeitung zum Bestimmen, ob das Kommunikationsendgerät 70 ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, durchgeführt werden kann.
  • Die Authentifizierungsverarbeitung zum Bestimmen, ob ein Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, entspricht der Sekundärauthentifizierungsverarbeitung. Die Verarbeitung, die assoziiert ist mit der Authentifizierungsverarbeitung zum Bestimmen, ob ein Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, beinhaltet die Verarbeitung zum Empfangen, durch das Kommunikationsendgerät 70, einer Nachricht und dergleichen, die von dem Kernnetzwerkgerät 10 in der Sekundärauthentifizierungsverarbeitung übertragen wird. Darüber hinaus beinhaltet die Verarbeitung, die assoziiert ist mit der Authentifizierungsverarbeitung zum Bestimmen, ob ein Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, die Verarbeitung zum Lesen eines Parameters und dergleichen, die für eine empfangene Nachricht gesetzt sind. Darüber hinaus beinhaltet die Verarbeitung, die assoziiert ist mit der Authentifizierungsverarbeitung zum Bestimmen, ob ein Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, die Verarbeitung zum Übertragen einer Nachricht oder zum Antworten auf das Kernnetzwerkgerät 10, um die Sekundärauthentifizierungsverarbeitung normal fortzusetzen.
  • Die Kommunikationseinheit 72 überträgt die in der Steuereinheit 71 erzeugten Fähigkeitsinformationen zu dem Kernnetzwerkgerät 10.
  • Das Kernnetzwerkgerät 10 bestimmt, ob die vom Kommunikationsendgerät 70 empfangenen Fähigkeitsinformationen angeben, dass das Kommunikationsendgerät 70 die mit der Sekundärauthentifizierungsverarbeitung assoziierte Verarbeitung durchführen kann. Wenn das Kernnetzwerkgerät 10 bestimmt, dass das Kommunikationsendgerät 70 die mit der Sekundärauthentifizierungsverarbeitung assoziierte Verarbeitung durchführen kann, führt das Kernnetzwerkgerät 10 die Sekundärauthentifizierungsverarbeitung in Bezug auf das Kommunikationsendgerät 70 während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts 70 in dem Kernnetzwerk durch. Wenn das Kernnetzwerkgerät 10 die Fähigkeitsinformationen vom Kommunikationsendgerät 70 nicht empfängt, kann das Kernnetzwerkgerät 10 bestimmen, dass das Kommunikationsendgerät 70 die mit der Sekundärauthentifizierungsverarbeitung assoziierte Verarbeitung nicht durchführen kann.
  • Wenn beispielsweise das Kernnetzwerkgerät 10 die Sekundärauthentifizierungsverarbeitung auf einem Kommunikationsendgerät durchführt, auf dem die mit der Sekundärauthentifizierung assoziierte Verarbeitung nicht durchgeführt werden kann, kann das Kernnetzwerkgerät 10 keine Informationen, die für die Sekundärauthentifizierungsverarbeitung benötigt werden, vom Kommunikationsendgerät empfangen. Mit anderen Worten verschwendet das Kernnetzwerkgerät 10 Zeit im Zusammenhang mit der Sekundärauthentifizierungsverarbeitung, obwohl die Sekundärauthentifizierung fehlschlagen wird.
  • Andererseits kann das Kommunikationsendgerät 70 gemäß der dritten beispielhaften Ausführungsform die Fähigkeitsinformationen, die angeben, ob die mit der Sekundärverarbeitung assoziierte Verarbeitung durchgeführt werden kann, zu dem Kernnetzwerkgerät 10 übertragen. Darüber hinaus führt das Kernnetzwerkgerät 10 an dem Kommunikationsendgerät 70, das bestimmte, dass die mit der Sekundärverarbeitung assoziierte Verarbeitung nicht durchgeführt werden kann, die Sekundärauthentifizierungsverarbeitung in Bezug auf das Kommunikationsendgerät 70 während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts 70 in dem Kernnetzwerk nicht durch und setzt die Verarbeitung in Erwägung dessen fort, dass die Sekundärauthentifizierungsverarbeitung erfolgreich ist oder fehlschlägt. Auf diese Weise können Zeit und Verarbeitungslast im Zusammenhang mit der Sekundärauthentifizierungsverarbeitung reduziert werden.
  • Für das Kommunikationsendgerät 70, das bestimmt, dass die mit der Sekundärverarbeitung assoziierte Verarbeitung nicht durchgeführt werden kann, kann das Kernnetzwerkgerät 10 für jedes Netzwerk-Slice bestimmen, ob die Sekundärauthentifizierungsverarbeitung als erfolgreich oder fehlgeschlagen angesehen wird. Beispielsweise kann davon ausgegangen werden, dass gewisse S-NSSAI als erfolgreich angesehen werden, andere S-NSSAI jedoch als fehlschlagend angesehen werden.
  • Ferner führt das Kommunikationsendgerät 70 ein als Nächstes angegebenes Kommunikationsverfahren durch. Zuerst erzeugt das Kommunikationsendgerät 70 während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk Fähigkeitsinformationen, die angeben, ob eine Verarbeitung, die assoziiert ist mit einer Zweitauthentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, durchgeführt werden kann. Als Nächstes überträgt das Kommunikationsendgerät 70 die Fähigkeitsinformationen zu einem Kernnetzwerkgerät.
  • Dann wird ein Ablauf der Registrierungsverarbeitung in Bezug auf das UE 80 unter Verwendung von 5 beschrieben. Das UE 80 entspricht dem Kommunikationsendgerät 70. Zunächst überträgt das UE 80 eine Registrierungsanforderungsnachricht zu einer AMF 31 (S21). Die Registrierungsanforderung enthält angeforderte NSSAI und eine UE-Fähigkeit. Die UE-Fähigkeit entspricht den Fähigkeitsinformationen, die angeben, ob das UE 80 die mit der Sekundärauthentifizierungsverarbeitung assoziierte Verarbeitung durchführen kann. Die UE-Fähigkeit kann durch eine Sicherheitsfähigkeit oder einen anderen Ausdruck repräsentiert werden.
  • Es ist zu beachten, dass die AMF 31 die angeforderten NSSAI und/oder die UE-Fähigkeit möglicherweise aus einer anderen Nachricht als der Registrierungsanforderungsnachricht (S21) erfasst. Wenn beispielsweise die AMF 31 in Schritt S22 eine NAS-Sicherheitsmodusbefehlsnachricht zu dem UE 80 überträgt, gibt das UE 80 als eine Antwort auf die NAS-Sicherheitsmodusbefehlsnachricht eine NAS-Sicherheitsmodus-Abgeschlossen-Nachricht an die AMF 31 zurück. In diesem Fall kann das UE 80 die angeforderten NSSAI und/oder die UE-Fähigkeit in der NAS-Sicherheitsmodus-Abgeschlossen-Nachricht setzen, und die AMF 31 kann die angeforderten NSSAI und/oder die UE-Fähigkeit erfassen. Ferner kann beispielsweise vor Schritt S22, wenn die AMF 31 eine Identitätsanforderungsnachricht zu dem UE 80 überträgt, das UE 80 an die AMF 31 eine Identitätsantwortnachricht als eine Antwort auf die Identitätsanforderungsnachricht zurückgeben. In diesem Fall kann das UE 80 die angeforderten NSSAI und/oder die UE-Fähigkeit in der Identitätsantwortnachricht setzen, und die AMF 31 kann die angeforderten NSSAI und/oder die UE-Fähigkeit erfassen.
  • Ferner kann die AMF 31 eine Nachricht einschließlich der angeforderten NSSAI und/oder der UE-Fähigkeit von einem beliebigen anderen Knotengerät als dem UE 80 empfangen und kann die angeforderten NSSAI und/oder die UE-Fähigkeit erfassen. Beispielsweise kann ein beliebiges Knotengerät eine Nachricht einschließlich der angeforderten NSSAI und/oder der UE-Fähigkeit empfangen, die von dem UE 80 übertragen wird. In diesem Fall kann die AMF 31 die angeforderten NSSAI und/oder die UE-Fähigkeit erfassen, indem sie die Nachricht einschließlich der angeforderten NSSAI und/oder der UE-Fähigkeit von dem beliebigen Knotengerät empfängt, das die Nachricht empfangen hat.
  • Die Schritte S22 bis S27 sind den Schritten S12 bis S17 in 3 ähnlich, und daher wird eine ausführliche Beschreibung davon weggelassen.
  • Als Nächstes, wenn eine vorbestimmte Anforderung erfüllt ist, führt die AMF 31 die Sekundärauthentifizierung in Schritt S28 durch, und wenn die vorbestimmte Anforderung nicht erfüllt ist, führt die AMF 31 die Sekundärauthentifizierung in Schritt S28 nicht durch. Wenn die vorbestimmte Anforderung erfüllt ist, kann angegeben werden, dass die mit der Sekundärauthentifizierungsverarbeitung assoziierte Verarbeitung durchgeführt werden kann, und ein Netzwerk-Slice, das eine Verbindung anfordert, ist ein Netzwerk-Slice, auf das die Sekundärauthentifizierung angewendet wird. Wenn die vorbestimmte Anforderung nicht erfüllt ist, wird möglicherweise nicht angegeben, dass die mit der Sekundärauthentifizierungsverarbeitung assoziierte Verarbeitung durchgeführt werden kann, oder ein Netzwerk-Slice, das eine Verbindung anfordert, ist kein Netzwerk-Slice, auf das die Sekundärauthentifizierung angewendet wird.
  • Die AMF 31, die die Sekundärauthentifizierung nicht durchführt, kann angeben, dass keine Authentifizierungsprozedur unter Verwendung eines EAP durchgeführt wird. Beispielsweise kann die AMF 31, die die Sekundärauthentifizierung nicht durchführt, angeben, dass eine Anforderungsnachricht zum Anfordern der Übertragung einer Benutzer-ID und eines Passworts, die in einem von den S-NSSAI angegebenen Netzwerk-Slice verwendet werden, nicht von der AMF 31 zum UE 80 übertragen wird.
  • Ferner kann die AMF 31, die die Sekundärauthentifizierung nicht durchführt, angeben, dass die AMF 31 eine Registrierungsverweigerungsnachricht einschließlich eines spezifischen Ursachencodes als Antwort auf die Registrierungsanforderungsnachricht zurücksendet (S21). Der spezifische Ursachencode kann als ein spezifischer 5GMM-Ursachenwert bezeichnet werden. Beispielsweise kann der spezifische Ursachencode bedeuten, dass die AMF 31 die Sekundärauthentifizierung nicht durchführt, oder kann bedeuten, dass die AMF 31 bestimmt, dass das UE 80 die mit der Sekundärauthentifizierungsverarbeitung assoziierte Verarbeitung nicht durchführen kann.
  • Wenn die Registrierungsverweigerungsnachricht einschließlich eines solchen spezifischen Ursachencodes empfangen wird, kann das UE 80 außerdem die in den angeforderten NSSAI enthaltenen S-NSSAI ändern und die Registrierungsanforderungsnachricht übertragen (S21). Beispielsweise können die S-NSSAI nach der Änderung die Standard-S-NSSAI sein. Alternativ kann das UE 80 ein anderes PLMN auswählen, das sich von dem PLMN unterscheidet, zu dem die Registrierungsanforderungsnachricht übertragen wird, das PLMN ändern und die Registrierungsanforderungsnachricht übertragen (S21).
  • 5 veranschaulicht, dass in Schritt S27 die AMF 31 prüft, ob die Sekundärauthentifizierungsverarbeitung in einem Netzwerk-Slice angewendet wird, das von jeder der in den zulässigen NSSAI enthaltenen S-NSSAIs angegeben wird, was nicht darauf beschränkt ist. Beispielsweise kann die AMF 31 prüfen, ob die Sekundärauthentifizierungsverarbeitung in einem Netzwerk-Slice angewendet wird, das durch jede der mehreren in Schritt S24 empfangenen subskribierten S-NSSAIs angegeben wird.
  • Wie oben beschrieben, kann das UE 80 gemäß der dritten beispielhaften Ausführungsform die UE-Fähigkeit zu der AMF 31 übertragen, die angibt, ob die mit der Sekundärauthentifizierungsverarbeitung assoziierte Verarbeitung durchgeführt werden kann. Auf diese Weise führt die AMF 31 die Sekundärauthentifizierung an dem UE 80 nur dann durch, wenn das UE 80 die mit der Sekundärauthentifizierungsverarbeitung assoziierte Verarbeitung durchführen kann. Wenn das UE 80 die mit der Sekundärauthentifizierung assoziierte Verarbeitung nicht durchführen kann, können folglich die Zeit und eine Verarbeitungslast, die mit der Sekundärauthentifizierungsverarbeitung verbunden sind, reduziert werden.
  • (Vierte beispielhafte Ausführungsform)
  • Dann wird ein Ablauf der Registrierungsverarbeitung in Bezug auf das UE 90 unter Verwendung von 6 beschrieben. Es wird angenommen, dass das UE 90 eine Konfiguration ähnlich der des in 4 veranschaulichten Kommunikationsendgeräts 70 aufweist.
  • Zunächst überträgt das UE 90 eine Registrierungsanforderungsnachricht zu einer AMF 31 (S31). Die Registrierungsanforderung enthält Informationen darüber, dass ein bevorzugtes Netzwerk-Slice ein Netzwerk-Slice ist, auf das das UE 90 unmittelbar nach Abschluss der Registrierungsverarbeitung zugreift. Das bevorzugte Netzwerk-Slice kann als ein Netzwerk-Slice mit einem hohen Grad an Dringlichkeit bezeichnet werden. Das bevorzugte Netzwerk-Slice kann eines oder kann zwei oder mehr sein. Wenn beispielsweise mehrere S-NSSAIs in angeforderten NSSAI enthalten sind, können die angeforderten NSSAI S-NSSAI, die ein bevorzugtes Netzwerk-Slice angeben, und S-NSSAI, die ein Netzwerk-Slice angeben, das kein bevorzugtes Netzwerk-Slice ist, enthalten. Unmittelbar nach Abschluss der Registrierungsverarbeitung kann beispielsweise ein Zeitpunkt vor Ablauf eines vorbestimmten Zeitraums nach Abschluss der Registrierungsverarbeitung sein.
  • Die Schritte S32 bis S37 sind den Schritten S22 bis S27 in 5 ähnlich, und daher wird eine ausführliche Beschreibung davon weggelassen.
  • Als Nächstes führt die AMF 31 eine Sekundärauthentifizierung in Bezug auf ein Netzwerk-Slice durch, das eine vorbestimmte Anforderung erfüllt, und führt keine Sekundärauthentifizierung in Bezug auf ein Netzwerk-Slice durch, das die vorbestimmte Anforderung nicht erfüllt (S38).
  • Beispielsweise führt die AMF 31 die Sekundärauthentifizierung in Schritt S38 in Bezug auf ein Netzwerk-Slice durch, das ein bevorzugtes Netzwerk-Slice ist und ein Netzwerk-Slice ist, auf das die Sekundärauthentifizierung angewendet wird. In diesem Fall führt die AMF 31 keine Sekundärauthentifizierung in Schritt S38 auf einem Netzwerk-Slice durch, das kein bevorzugtes Netzwerk-Slice ist und ein Netzwerk-Slice ist, auf das die Sekundärauthentifizierung angewendet wird. Mit anderen Worten führt die AMF 31 keine Sekundärauthentifizierung bei der Registrierungsverarbeitung auf einem Netzwerk-Slice durch, das kein bevorzugtes Netzwerk-Slice ist und ein Netzwerk-Slice ist, auf das die Sekundärauthentifizierung angewendet wird.
  • Die Sekundärauthentifizierung für ein Netzwerk-Slice, das kein bevorzugtes Netzwerk-Slice ist und ein Netzwerk-Slice ist, auf das die Sekundärauthentifizierung angewendet wird, kann durchgeführt werden, wenn das UE 90 zum ersten Mal auf das Netzwerk-Slice zugreift. Mit anderen Worten kann die Sekundärauthentifizierung für ein Netzwerk-Slice, das kein bevorzugtes Netzwerk-Slice ist und ein Netzwerk-Slice ist, auf das die Sekundärauthentifizierung angewendet wird, durchgeführt werden, wenn das UE 90 eine PDU-Sitzung mit dem Netzwerk-Slice aufbaut.
  • Ferner kann, wie in 5 beschrieben, die AMF 31 die Sekundärauthentifizierung gemäß der folgenden Anforderung durchführen, wenn das UE 90 eine UE-Fähigkeit zusammen mit Informationen über das bevorzugte Netzwerk-Slice zu der AMF 31 überträgt. Wenn beispielsweise das UE 90 eine mit der Sekundärauthentifizierung assoziierte Verarbeitung durchführen kann, kann die AMF 31 die Sekundärauthentifizierung auf einem Netzwerk-Slice durchführen, das ein bevorzugtes Netzwerk-Slice ist und auf das die Sekundärauthentifizierung angewendet wird. Mit anderen Worten, wenn das UE 90 die mit der Sekundärauthentifizierung assoziierte Verarbeitung nicht durchführen kann, führt die AMF 31 möglicherweise nicht die Sekundärauthentifizierung in Bezug auf das UE 90 in einem Netzwerk-Slice durch, das ein bevorzugtes Netzwerk-Slice ist und auf das die Sekundärauthentifizierung angewendet wird.
  • Wie oben beschrieben, kann das UE 90 gemäß der vierten beispielhaften Ausführungsform Informationen, die ein bevorzugtes Netzwerk-Slice angeben, zu der AMF 31 übertragen. Auf diese Weise kann die AMF 31 nur die Sekundärauthentifizierung auf einem bevorzugten Netzwerk-Slice durchführen, ohne die Sekundärauthentifizierung durchzuführen, die sich auf alle Netzwerk-Slices bezieht, die als Netzwerk-Slices bestimmt werden, auf die die Sekundärauthentifizierung in Schritt S37 angewendet wird. Im Vergleich zu einem Fall, in dem die AMF 31 die Sekundärauthentifizierung für alle Netzwerk-Slices durchführt, kann die Zeit im Zusammenhang mit der Sekundärauthentifizierung reduziert werden und kann ebenfalls eine Verarbeitungslast in Bezug auf die Sekundärauthentifizierungsverarbeitung reduziert werden, wenn die AMF 31 nur die Sekundärauthentifizierung für ein bevorzugtes Netzwerk-Slice durchführt.
  • (Fünfte beispielhafte Ausführungsform)
  • Dann wird ein Ablauf der Authentifizierungsverarbeitung während des PDU-Sitzungsaufbaus gemäß einer fünften beispielhaften Ausführungsform unter Verwendung von 7 beschrieben. In 7 wird der Ablauf der Verarbeitung in dem in 2 beschriebenen Kommunikationssystem beschrieben. Wenn die Sekundärauthentifizierungsverarbeitung in der Registrierungsverarbeitung und die Authentifizierungsverarbeitung während des PDU-Sitzungsaufbaus einzeln durchgeführt werden, tritt das folgende Problem auf.
  • Die Authentifizierungsverarbeitung während des PDU-Sitzungsaufbaus wird von einer SMF aktiviert. Wenn zu diesem Zeitpunkt die SMF nicht erkennt, dass die Sekundärauthentifizierungsverarbeitung des UE in einem spezifischen Netzwerk-Slice in der Registrierungsverarbeitung durchgeführt wird, führt die SMF die Sekundärauthentifizierungsverarbeitung des UE in dem spezifischen Netzwerk-Slice während des PDU-Sitzungsaufbaus durch. Somit tritt ein Problem auf, dass die Sekundärauthentifizierungsverarbeitung während der Registrierungsverarbeitung und des PDU-Sitzungsaufbaus überlappend durchgeführt wird.
  • Somit benachrichtigt in der fünften beispielhaften Ausführungsform die AMF 31 die V-SMF 32 oder die H-SMF 45 über Informationen, die sich auf ein Netzwerk-Slice beziehen, auf dem bereits eine Sekundärauthentifizierung durchgeführt wird. Auf diese Weise wird vermieden, dass die Sekundärauthentifizierungsverarbeitung während der Registrierungsverarbeitung und des PDU-Sitzungsaufbaus überlappend durchgeführt wird.
  • Zunächst überträgt das UE 20 eine NAS-Nachricht einschließlich einer PDU-Sitzungsaufbauanforderung zu der AMF 31 (S41). Die PDU-Sitzungsaufbauanforderung enthält S-NSSAI, die angeben, dass ein Netzwerk-Slice ein Verbindungsziel ist.
  • Als Nächstes wählt die AMF 31 die V-SMF 32 aus und überträgt eine Nsmf_PDUSession_CreateSMContext-Anforderung zu der V-SMF 32 (S42). Anstelle der Nsmf_PDUSession_CreateSMContext-Anforderung kann eine Nsmf_PDUSession_UpdateSMContext-Anforderung übertragen werden.
  • Die Nsmf_PDUSession_CreateSMContext-Anforderung enthält eine permanente Subskriptionskennung (SUPI) des UE 20, die S-NSSAI und ein Flag, das angibt, dass die Authentifizierungsverarbeitung des UE 20 in einem von den S-NSSAI angegebenen Netzwerk-Slice bereits durchgeführt wird. Die S-NSSAI sind S-NSSAI, die in der in Schritt S41 empfangenen Nachricht enthalten sind. Die AMF 31 enthält das Flag in der Nsmf_PDUSession_CreateSMContext-Anforderung und benachrichtigt somit die V-SMF 32, dass die Sekundärauthentifizierung des UE 20 in einem spezifischen Netzwerk-Slice bereits durchgeführt wird.
  • Als Nächstes überträgt die V-SMF 32 zu der AMF 31 eine Nsmf PDUSession_CreateSMContext-Antwort als eine Antwort auf die Nsmf_PDUSession_CreateSMContext-Anforderung (S43).
  • Als Nächstes überträgt die V-SMF 32 die in Schritt S42 empfangene Nsmf_PDUSession_CreateSMContext-Anforderung zu der H-SMF 45 (S44). Die H-SMF 45 kann durch Empfangen der Nsmf_PDUSession_CreateSMContext-Anforderung bestimmen, ob die Sekundärauthentifizierungsverarbeitung des UE 20 in dem von den S-NSSAI angegebenen Netzwerk-Slice bereits durchgeführt wird.
  • Als Nächstes erfasst die H-SMF 45 von der UDM 41 Teilnehmerdaten, die der SUPI entsprechen, die in der Nsmf_PDUSession_CreateSMContext-Anforderung enthalten ist (S45).
  • Wenn das Flag nicht in der Nsmf_PDUSession_CreateSMContext-Anforderung enthalten ist, initiiert die H-SMF 45 als Nächstes eine EAP-Authentifizierung, um die Sekundärauthentifizierungsverarbeitung in Bezug auf das UE 20 durchzuführen (S46). Wenn andererseits das Flag in der Nsmf_PDUSession_CreateSMContext-Anforderung enthalten ist, bestimmt die H-SMF 45, dass die auf das UE 20 bezogene Authentifizierungsverarbeitung bereits durchgeführt wird, und initiiert die EAP-Authentifizierung in Schritt S46 nicht.
  • Dann wird ein Ablauf einer Authentifizierungsverarbeitung während des PDU-Sitzungsaufbaus gemäß der fünften beispielhaften Ausführungsform, die sich von der in 7 unterscheidet, unter Verwendung von 8 beschrieben.
  • Zunächst wird ein N4-Sitzungsaufbau zwischen der V-SMF 32 und der UPF 33 durchgeführt (S51). Als Nächstes überträgt die V-SMF 32 eine Authentifizierungs-/Autorisierungsanforderung über die UPF 33 zu dem AAA-Server 51 (S52). Als Nächstes überträgt der AAA-Server 51 eine Authentifizierungs-/Autorisierungsantwort über die UPF 33 zu der V-SMF 32 (S53). Als Nächstes überträgt die V-SMF 32 ein Namf_Communication_N1N2-MessageTransfer einschließlich der vom AAA-Server 51 übertragenen Authentifizierungsnachricht zu der AMF 31 (S54).
  • Als Nächstes überträgt die AMF 31 zu der V-SMF 32 eine Antwort als eine Antwort auf das Namf_Communication_N1N2-MessageTransfer (S55). Die AMF 31 enthält in der Antwort ein Flag, das angibt, dass die Sekundärauthentifizierungsverarbeitung des UE 20 in einem Netzwerk-Slice, mit dem das UE 20 verbunden werden muss, bereits durchgeführt wird.
  • Als Nächstes überträgt die AMF 31 einen NAS-SM-Transport einschließlich der Authentifizierungsnachricht zu dem UE 20 (S56). Als Nächstes überträgt das UE 20 einen NAS-SM-Transport einschließlich der Authentifizierungsnachricht zu der AMF 31 (S57). Als Nächstes überträgt die AMF 31 ein Nsmf_PDUSession_UpdateSMContext einschließlich der Authentifizierungsnachricht zu der V-SMF 32 (S58). Als Nächstes überträgt die V-SMF 32 eine Antwort zu der AMF 31 (S59).
  • Wenn hierin die V-SMF 32 nicht das Flag empfangen hat, das angibt, dass die Sekundärauthentifizierungsverarbeitung des UE 20 schon in Schritt S55 durchgeführt wird, überträgt die V-SMF 32 eine Authentifizierungs-/Autorisierungsanforderung über die UPF 33 zu dem AAA-Server 51 (S60). Die Authentifizierungs-/Autorisierungsanforderung enthält die Authentifizierungsnachricht. Nachdem der AAA-Server 51 die Authentifizierungsverarbeitung des UE 20 in einem spezifischen Netzwerk-Slice durchgeführt hat, überträgt der AAA-Server 51 eine Authentifizierungs-/Autorisierungsantwort über die UPF 33 zu der V-SMF 32 (S61).
  • Wenn in Schritt S55 die V-SMF 32 das Flag empfangen hat, das angibt, dass die Sekundärauthentifizierungsverarbeitung des UE 20 in dem Netzwerk-Slice, mit dem das UE 20 verbunden werden muss, bereits durchgeführt wird, wird die Verarbeitung nach Schritt S60 nicht durchgeführt.
  • In 8 ist die Verarbeitung des Einschlusses des Flags in die Antwort in Schritt S55 beschrieben, aber das Flag kann in dem Nsmf_PDUSession_UpdateSMContext in Schritt S58 enthalten sein. Alternativ kann die AMF 31 das Flag unabhängig von der Verarbeitung des PDU-Sitzungsaufbaus nach Durchführung der Registrierungsverarbeitung anstelle während des PDU-Sitzungsaufbaus zu der V-SMF 32 oder der H-SMF 45 übertragen. In diesem Fall kann es sein, dass die V-SMF 32 oder die H-SMF 45 die Verarbeitung nach S52 nicht durchführt und weglässt.
  • Wie oben beschrieben, kann die AMF 31 die V-SMF 32 oder die H-SMF 45 über die Informationen informieren, die sich auf die bereits durchgeführte Sekundärauthentifizierungsverarbeitung beziehen. Infolgedessen kann vermieden werden, dass die Sekundärauthentifizierungsverarbeitung während der Registrierungsverarbeitung und des PDU-Sitzungsaufbaus überlappend durchgeführt wird. Auf diese Weise kann die mit der Sekundärauthentifizierung verbundene Zeit reduziert werden, und eine mit der Sekundärauthentifizierungsverarbeitung verbundene Verarbeitungslast kann ebenfalls reduziert werden.
  • Es ist zu beachten, dass die vorliegende Offenbarung nicht auf die oben beschriebenen beispielhaften Ausführungsformen beschränkt ist und in geeigneter Weise modifiziert werden kann, ohne vom Schutzumfang der vorliegenden Offenbarung abzuweichen.
  • Dann wird ein Konfigurationsbeispiel des Kernnetzwerkgeräts 10, der AMF 31, der SMF, des Kommunikationsendgeräts 70, des UE 20, des UE 80 und des UE 90, die in den mehreren oben beschriebenen beispielhaften Ausführungsformen beschrieben sind, nachstehend beschrieben.
  • 9 ist ein Blockdiagramm, das das Konfigurationsbeispiel des Kommunikationsendgeräts 70, des UE 20, des UE 80 und des UE 90 veranschaulicht. Ein Hochfrequenz(HF)-Sendeempfänger 1101 führt eine analoge HF-Signalverarbeitung zur Kommunikation mit einer Basisstation durch. Die vom HF-Sendeempfänger 1101 durchgeführte analoge HF-Signalverarbeitung beinhaltet eine Frequenzaufwärtsumwandlung, eine Frequenzabwärtsumwandlung und eine Verstärkung. Der HF-Sendeempfänger 1101 ist mit einer Antenne 1102 und einem Basisbandprozessor 1103 gekoppelt. Mit anderen Worten empfängt der HF-Sendeempfänger 1101 Modulationssymboldaten (oder OFDM-Symboldaten) vom Basisbandprozessor 1103, erzeugt ein Übertragungs-HF-Signal und liefert das Übertragungs-HF-Signal an die Antenne 1102. Ferner erzeugt der HF-Sendeempfänger 1101 ein Basisbandempfangssignal basierend auf einem durch die Antenne 1102 empfangenen Empfangs-HF-Signal und liefert das Basisbandempfangssignal an den Basisbandprozessor 1103.
  • Der Basisbandprozessor 1103 führt eine digitale Basisbandsignalverarbeitung (Datenebenenverarbeitung) und eine Steuerebenenverarbeitung für eine Drahtloskommunikation durch. Die digitale Basisbandsignalverarbeitung beinhaltet (a) Datenkomprimierung/-dekomprimierung, (b) Segmentierung/Verkettung von Daten und (c) Erzeugung/Zerlegung eines Übertragungsformats (Übertragungsrahmens). Darüber hinaus beinhaltet die digitale Basisbandsignalverarbeitung (d) Übertragungspfadcodierung/-decodierung, (e) Modulation (Symbolabbildung)/Demodulation, (f) Erzeugung von OFDM-Symboldaten (Basisband-OFDM-Signal) durch inverse schnelle Fourier-Transformation (IFFT), und dergleichen. Andererseits beinhaltet die Steuerebenenverarbeitung die Kommunikationsverwaltung einer Schicht 1 (z. B. Sendeleistungssteuerung), einer Schicht 2 (z. B. Drahtlosressourcenverwaltung und Verarbeitung einer hybriden automatischen Wiederholungsanforderung (HARQ)) und einer Schicht 3 (z. B. Anschluss, Mobilität und Signalisierung im Zusammenhang mit der Anrufverwaltung).
  • Beispielsweise kann in einem Fall von LTE und 5G die digitale Basisbandsignalverarbeitung durch den Basisbandprozessor 1103 eine Signalverarbeitung einer PDCP-Schicht (PDCP: Packet Data Convergence Protocol - Paketdatenkonvergenzprotokoll), einer RLC-Schicht (RLC: Radio Link Control - Funklinksteuerung), einer MAC-Schicht und einer PHY-Schicht beinhalten. Ferner kann die Steuerebenenverarbeitung durch den Basisbandprozessor 1103 die Verarbeitung eines NAS-Protokolls (Non-Access Stratum - Nicht-Zugangs-Stratum), eines RRC-Protokolls und eines MAC-CE beinhalten.
  • Der Basisbandprozessor 1103 kann einen Modemprozessor (z. B. einen Digitalsignalprozessor (DSP)), der die digitale Basisbandsignalverarbeitung durchführt, und einen Protokollstapelprozessor (z. B. eine Zentralverarbeitungseinheit (CPU) oder eine Mikroverarbeitungseinheit (MPU)), der die Steuerebenenverarbeitung durchführt, enthalten. In diesem Fall kann der Protokollstapelprozessor, der die Steuerebenenverarbeitung durchführt, üblicherweise mit einem später beschriebenen Anwendungsprozessor 1104 verwendet werden.
  • Der Anwendungsprozessor 1104 wird auch als eine CPU, eine MPU, ein Mikroprozessor oder ein Prozessorkern bezeichnet. Der Anwendungsprozessor 1104 kann mehrere Prozessoren (mehrere Prozessorkerne) enthalten. Der Anwendungsprozessor 1104 erreicht verschiedene Funktionen des Kommunikationsendgeräts 70, des UE 20, des UE 80 und des UE 90 durch Ausführen eines Systemsoftwareprogramms (Betriebssystems (OS)), das aus einem Speicher 1106 oder einem nicht veranschaulichten Speicher gelesen wird. Alternativ erreicht der Anwendungsprozessor 1104 verschiedene Funktionen des Kommunikationsendgeräts 70, des UE 20, des UE 80 und des UE 90 durch Ausführen verschiedener Anwendungsprogramme, die aus dem Speicher 1106 oder dem nicht veranschaulichten Speicher gelesen werden. Das Anwendungsprogramm kann beispielsweise eine Anrufanwendung, ein Webbrowser, ein Mailer, eine Kamerabedienungsanwendung oder eine Musikwiedergabeanwendung sein.
  • Bei einem Aufbau können, wie durch eine gestrichelte Linie (1105) in 9 angegeben, der Basisbandprozessor 1103 und der Anwendungsprozessor 1104 auf einem Chip integriert sein. Mit anderen Worten können der Basisbandprozessor 1103 und der Anwendungsprozessor 1104 als ein System-on-Chip(SoC)-Gerät 1105 montiert sein. Das SoC-Gerät kann auch als ein System-Large-Scale-Integration (LSI) oder als ein Chipsatz bezeichnet werden.
  • Der Speicher 1106 ist ein flüchtiger Speicher, ein nichtflüchtiger Speicher oder eine Kombination des flüchtigen Speichers und des nichtflüchtigen Speichers. Der Speicher 1106 kann mehrere Speichergeräte enthalten, die physisch unabhängig sind. Der flüchtige Speicher ist beispielsweise ein statischer Direktzugriffsspeicher (SRAM), ein dynamischer RAM (DRAM) oder eine Kombination aus SRAM und DRAM. Der nichtflüchtige Speicher ist ein Masken-Nur-Lese-Speicher (MROM), ein elektrisch löschbarer programmierbarer ROM (EEPROM), ein Flash-Speicher, ein Festplattenlaufwerk oder eine beliebige Kombination aus MROM, EEPROM, Flash-Speicher und Festplattenlaufwerk. Beispielsweise kann der Speicher 1106 ein externes Speichergerät enthalten, auf das vom Basisbandprozessor 1103, vom Anwendungsprozessor 1104 und vom SoC 1105 zugegriffen werden kann. Der Speicher 1106 kann ein eingebautes Speichergerät enthalten, das in den Basisbandprozessor 1103, den Anwendungsprozessor 1104 oder das SoC 1105 integriert ist. Darüber hinaus kann der Speicher 1106 einen Speicher in einer universellen integrierten Schaltungskarte (UICC) enthalten.
  • Der Speicher 1106 kann ein Softwaremodul (Computerprogramm) speichern, das eine Befehlsgruppe und Daten zum Durchführen einer Verarbeitung durch das Kommunikationsendgerät 70, das UE 20, das UE 80 und das UE 90 enthält, die in den mehreren oben beschriebenen beispielhaften Ausführungsformen beschrieben sind. In einem Aufbau kann der Basisbandprozessor 1103 oder der Anwendungsprozessor 1104 dazu ausgelegt sein, die in der oben beschriebenen beispielhaften Ausführungsform beschriebene Verarbeitung durchzuführen, indem das Softwaremodul aus dem Speicher 1106 gelesen und das Softwaremodul ausgeführt wird.
  • 10 ist ein Blockdiagramm, das ein Konfigurationsbeispiel des Steuergeräts 10, der AMF 31 und der SMF veranschaulicht. Mit Bezug auf 10 beinhalten das Kernnetzwerkgerät 10, die AMF 31 und die SMF eine Netzwerkschnittstelle 1201, einen Prozessor 1202 und einen Speicher 1203. Die Netzwerkschnittstelle 1201 wird zur Kommunikation mit einem anderen Netzwerkknotengerät verwendet, was ein Kommunikationssystem bildet. Die Netzwerkschnittstelle 1201 kann beispielsweise eine Netzwerkschnittstellenkarte (NIC) enthalten, die der IEEE 802.3-Serie entspricht.
  • Der Prozessor 1202 führt die Verarbeitung des Kernnetzwerkgeräts 10, der AMF 31 und der SMF durch, die unter Verwendung der Sequenzdiagramme und der Flussdiagramme in den oben beschriebenen beispielhaften Ausführungsformen beschrieben sind, indem er Software (Computerprogramm) aus dem Speicher 1203 liest und die Software ausführt. Der Prozessor 1202 kann beispielsweise ein Mikroprozessor, eine Mikroverarbeitungseinheit (MPU) oder eine Zentralverarbeitungseinheit (CPU) sein. Der Prozessor 1202 kann mehrere Prozessoren enthalten.
  • Der Speicher 1203 besteht aus einer Kombination eines flüchtigen Speichers und eines nichtflüchtigen Speichers. Der Speicher 1203 kann eine Speicherung enthalten, die vom Prozessor 1202 entfernt angeordnet ist. In diesem Fall kann der Prozessor 1202 über eine nicht veranschaulichte E/A-Schnittstelle auf den Speicher 1203 zugreifen.
  • In dem Beispiel von 10 wird der Speicher 1203 zum Speichern einer Softwaremodulgruppe verwendet. Der Prozessor 1202 kann die Verarbeitung des Kernnetzwerkgeräts 10, der AMF 31 und der SMF durchführen, die in den oben beschriebenen beispielhaften Ausführungsformen beschrieben sind, indem er die Softwaremodulgruppe aus dem Speicher 1203 liest und die Softwaremodulgruppe ausführt.
  • Wie unter Verwendung von 10 beschrieben, führt jeder Prozessor, der in dem Kernnetzwerkgerät 10, der AMF 31 und der SMF enthalten ist, ein oder mehrere Programme einschließlich einer Befehlsgruppe aus, um einen Computer zu veranlassen, einen unter Verwendung der Zeichnungen beschriebenen Algorithmus durchzuführen.
  • In dem oben beschriebenen Beispiel wird ein Programm unter Verwendung eines nichttransitorischen computerlesbaren Mediums verschiedener Typen gespeichert und kann einem Computer zugeführt werden. Das nichttransitorische computerlesbare Medium enthält ein greifbares Speicherungsmedium verschiedener Typen. Beispiele für das nichttransitorische computerlesbare Medium beinhalten ein magnetisches Aufzeichnungsmedium, ein optisches magnetisches Aufzeichnungsmedium (zum Beispiel eine optische Magnetplatte), eine CD-ROM (Nur-Lese-Speicher), eine CD-R, eine CD-R/W und einen Halbleiterspeicher. Das magnetische Aufzeichnungsmedium kann beispielsweise eine Flexible-Disk, ein Magnetband und ein Festplattenlaufwerk sein. Ein Halbleiterspeicher kann beispielsweise ein Masken-ROM, ein programmierbarer ROM (PROM), ein löschbarer PROM (EPROM), ein Flash-ROM und ein Direktzugriffsspeicher (RAM) sein. Ferner kann ein Programm von einem transitorischen computerlesbaren Medium verschiedener Typen an einen Computer geliefert werden. Beispiele für das transitorische computerlesbare Medium beinhalten ein elektrisches Signal, ein optisches Signal und eine elektromagnetische Welle. Das transitorische computerlesbare Medium kann einem Computer ein Programm über einen drahtgebundenen Kommunikationspfad wie etwa ein elektrisches Kabel und eine optische Faser oder einen drahtlosen Kommunikationspfad liefern.
  • Ein Benutzergerät (UE) (oder einschließlich einer Mobilstation, eines mobilen Endgeräts, eines mobilen Geräts, eines drahtlosen Geräts oder dergleichen) in der vorliegenden Beschreibung ist eine Entität, die über eine Drahtlosschnittstelle mit einem Netzwerk verbunden ist.
  • Das UE in der vorliegenden Beschreibung ist nicht auf ein dediziertes Kommunikationsgerät beschränkt und kann ein beliebiges Gerät wie nachstehend beschrieben sein, das eine Kommunikationsfunktion wie das in der vorliegenden Beschreibung beschriebene UE beinhaltet.
  • Sowohl „Benutzergerät (UE) (als ein im 3GPP verwendetes Wort)“, „Mobilstation“, „mobiles Endgerät“, „mobiles Gerät“ als auch „drahtloses Endgerät“ als ein Begriff sollen allgemein synonym zueinander verwendet werden und können eine eigenständige Mobilstation sein, wie etwa ein Endgerät, ein Zellulartelefon, ein Smartphone, ein Tablet, ein zellulares IoT-Endgerät und ein IoT-Gerät.
  • Es ist zu beachten, dass das „UE“ und das „drahtlose Endgerät“ als ein Begriff auch ein Gerät einschließen, das für einen langen Zeitraum stationär ist.
  • Ferner kann das UE beispielsweise Produktionsanlagen, Herstellungsanlagen und/oder eine energiebezogene Maschine sein (als ein Beispiel ein Boiler, ein Motor, eine Turbine, ein Solarpanel, ein Windkraftgenerator, ein Wasserkraftgenerator, ein Wärmekraftgenerator, ein Atomkraftgenerator, eine Speicherbatterie, ein Atomkraftsystem, atomkraftbezogene Geräte, schwere elektrische Geräte, eine Pumpe mit einer Vakuumpumpe und dergleichen, ein Kompressor, ein Ventilator, ein Luftgebläse, ein Hydraulikgerät, ein Luftdruckgerät, eine Metallbearbeitungsmaschine, ein Manipulator, ein Roboter, ein Roboteranwendungssystem, ein Werkzeug, eine Matrize, eine Rolle, ein Fördergerät, ein Hebe- und Senkgerät, ein Frachtgerät, eine Textilmaschine, eine Nähmaschine, ein Drucker, eine druckbezogene Maschine, eine Papiermaschine, eine chemische Maschine, eine Bergbaumaschine, eine bergbaubezogene Maschine, eine Baumaschine, eine baubezogene Maschine, eine landwirtschaftliche Maschine und/oder ein landwirtschaftliches Gerät, eine Forstmaschine und/oder ein Forstgerät, eine Fischereimaschine und/oder ein Fischereigerät, ein Sicherheits- und/oder Umweltschutzgerät, ein Traktor, ein Lager, ein Präzisionslager, eine Kette, ein Zahnrad, ein Kraftübertragungsgerät, ein Schmiergerät, ein Ventil, eine Rohrverschraubung und/oder ein Anwendungssystem beliebiger oben beschriebener Geräte oder Maschinen).
  • Ferner kann das UE beispielsweise ein Transportgerät sein (als ein Beispiel ein Fahrzeug, ein Auto, ein Zweiradfahrzeug, ein Fahrrad, ein Zug, ein Bus, ein Fahrradwagen, eine Rikscha, ein Schiff und ein anderes Wasserfahrzeug, ein Flugzeug, eine Rakete, ein Satellit, eine Drohne, ein Ballon und dergleichen).
  • Ferner kann das UE beispielsweise ein Informationskommunikationsgerät sein (als ein Beispiel ein elektronischer Computer und ein zugehöriges Gerät, ein Kommunikationsgerät und ein zugehöriges Gerät, eine elektronische Komponente und dergleichen).
  • Ferner kann das UE beispielsweise ein Gefrierschrank, ein Gefrieranwendungsprodukt und -gerät, ein Handels- und Servicegerät, ein Verkaufsautomat, ein automatischer Serviceautomat, eine Büromaschine und ein Bürogerät, elektrische und elektronische Verbraucherapparate (als ein Beispiel Sprachgeräte, ein Lautsprecher, ein Radio, Videogeräte, ein Fernseher, eine multifunktionale Mikrowelle, ein Reiskocher, eine Kaffeemaschine, ein Geschirrspüler, ein Trockner, ein Lüfter, ein Ventilator und ein zugehöriges Produkt, ein Staubsauger und dergleichen) sein.
  • Ferner kann das UE beispielsweise ein elektronisches Anwendungssystem oder ein elektronisches Anwendungsgerät sein (als ein Beispiel ein Röntgengerät, ein Teilchenbeschleunigungsgerät, ein Anwendungsgerät für radioaktive Substanzen, ein Schallwellenanwendungsgerät, ein elektromagnetisches Anwendungsgerät, ein Stromversorgungsgerät und dergleichen).
  • Ferner kann das UE beispielsweise eine Glühbirne, eine Beleuchtung, eine Waage, ein Analysegerät, eine Testmaschine und eine Messmaschine (als ein Beispiel ein Rauchmelder, ein Menschenalarmsensor, ein Bewegungssensor, ein Drahtlos-Tag und dergleichen), eine Armbanduhr oder eine Uhr, eine physikalische und chemische Maschine, eine optische Maschine, medizinische Ausrüstung und/oder ein medizinisches System, eine Waffe, Besteck, ein Handwerkzeug oder dergleichen sein.
  • Ferner kann das UE beispielsweise ein Personal Digital Assistant oder ein Gerät sein, das eine Drahtloskommunikationsfunktion enthält (als ein Beispiel ein elektronisches Gerät (zum Beispiel ein Personal Computer, ein elektronisches Messinstrument und dergleichen), an/in dem eine Drahtloskarte, ein Drahtlosmodul und dergleichen angebracht oder eingesetzt sind).
  • Ferner kann das UE beispielsweise ein Gerät sein, das die folgende Anwendung, den folgenden Dienst und die folgende Lösung oder einen Teil des Geräts im „Internet der Dinge (IoT)“ unter Verwendung von drahtgebundenen und drahtlosen Kommunikationstechniken bereitstellt.
  • Ein IoT-Gerät (oder -Gegenstand) beinhaltet geeignete elektronische Geräte, Software, Sensoren, Netzwerkverbindungen und dergleichen, die die Datensammlung und den Datenaustausch zwischen Geräten und mit einem anderen Kommunikationsgerät ermöglichen.
  • Ferner kann das IoT-Gerät ein automatisiertes Gerät sein, das einer in einem internen Speicher gespeicherten Softwareanweisung folgt.
  • Ferner kann das IoT-Gerät arbeiten, ohne dass es von einem Menschen überwacht oder gehandhabt werden muss. Ferner kann das IoT-Gerät ein Gerät sein, das für einen langen Zeitraum ausgestattet ist und/oder über einen langen Zeitraum in einem inaktiven Zustand bleibt.
  • Ferner kann das IoT-Gerät als Teil eines stationären Geräts montiert sein. Das IoT-Gerät kann in ein nicht stationäres Gerät (z. B. ein Fahrzeug und dergleichen) eingebettet sein oder an einem Tier und einer zu überwachenden/zu verfolgenden Person angebracht sein.
  • Es versteht sich, dass eine IoT-Technik an jedem Kommunikationsgerät montiert werden kann, das mit einem Kommunikationsnetzwerk verbunden werden kann, das Daten unabhängig von der Steuerung durch Eingabe eines Menschen oder eines in einem Speicher gespeicherten Softwarebefehls überträgt und empfängt.
  • Es versteht sich, dass das IoT-Gerät als ein Maschinentypkommunikation(MTC)-Gerät, ein Maschine-zu-Maschine(M2M)-Kommunikationsgerät oder ein Schmalband-IoT(NB-IoT)-UE bezeichnet werden kann.
  • Ferner kann verstanden werden, dass das UE eine oder mehrere IoT- oder MTC-Anwendungen unterstützen kann.
  • Einige Beispiele für die MTC-Anwendung sind in der folgenden Tabelle aufgeführt (Quelle: 3GPP TS22.368 V13.2.0 (2017-01-13), Anhang B, dessen Inhalt als eine Referenz in die vorliegende Beschreibung aufgenommen wird). Die Liste ist nicht vollständig und gibt eine MTC-Anwendung als ein Beispiel an.
    DIENSTBEREICH MTC-ANWENDUNG
    SICHERHEIT ÜBERWACHUNGSSYSTEM BACKUP DES FESTNETZTELEFONS KONTROLLE DES PHYSISCHEN ZUGANGS (BEISPIELSWEISE ZUGANG ZU EINEM GEBÄUDE UND DERGLEICHEN) SICHERHEIT EINES AUTOS/FAHRERS
    TRACK & TRACE (VERFOLGUNG) FLOTTENMANAGEMENT BESTELLUNGSVERWALTUNG TELEMATIKVERSICHERUNG: PAY AS YOU DRIVE (PAYD) VERMÖGENS VERWALTUNG NAVIGATION VERKEHRSINFORMATIONEN STRASSENMAUT OPTIMIERUNG/LENKUNG DES STRASSENVERKEHRS
    ZAHLUNG POINT OF SALES (POS) VERKAUFSAUTOMATEN SPIELMASCHINEN
    GESUNDHEIT ÜBERWACHUNG VON VITALPARAMETERN UNTERSTÜTZUNG VON ÄLTEREN ODER BEHINDERTEN MENSCHEN WEBZUGANG- TELEMEDIZIN -PUNKTE FERNDIAGNOSE
    FERNWARTUNG/-STEUERUNG SENSOR BELEUCHTUNG PUMPEN VENTILE AUFZUGS STEUERUNG VERKAUF SAUTOMATENSTEUERUNG FAHRZEUGDIAGNO SE
    ZÄHLERWESEN LEISTUNG GAS WASSER HEIZUNG STROMNETZREGELUNG INDUSTRIELLES ZÄHLERWESEN
    VERBRAUCHERGERÄTE DIGITALER FOTORAHMEN DIGITALKAMERA E-BUCH
  • Die Anwendung, der Dienst und die Lösung können beispielsweise ein Dienst/System eines mobilen virtuellen Netzwerkbetreibers (MVNO), ein drahtloser Dienst/ein drahtloses System zur Katastrophenverhütung, ein Dienst/System für private drahtlose Telefone (Nebenstellenanlage (PBX)), ein PHS-/digitaler schnurloser Telefondienst/-system, ein Point-of-Sale(POS)-System, ein Werbeübertragungsdienst/-system, ein Multicasting(Multimedia Broadcast and Multicast Service (MBMS))-Dienst/-System, ein Fahrzeug-zu-Allem(V2X: Fahrzeug-zu-Fahrzeug-Kommunikation und Straße-zu-Fahrzeug- und Fußgängerzu-Fahrzeug-Kommunikation)-Dienst/-System, ein mobiler(s) drahtloser(s) Zugdienst/-system, ein positionsinformationsbezogener(s) Dienst/System, ein drahtloser(s) Katastrophen-/Notfalldienst/-system, ein Internet-der-Dinge(IoT)-Dienst/-System, ein Kommunikationsdienst/-system, ein Videoverteilungsdienst/-system, ein Femto-Zellen-Anwendungsdienst/-system, ein Voice-over-LTE(VoLTE)-Dienst/-System, ein Drahtlos-TAG-Dienst/-System, ein Ladungsdienst/-system, ein Radio-on-Demand-Dienst/-System, ein Roaming-Dienst/-System, ein Dienst/System zur Überwachung des Benutzerverhaltens, ein Kommunikationsträger/Kommunikations-NW-Auswahldienst/-system, ein Funktionsbegrenzungsdienst/-system, ein Proof-of-Concept(PoC)-Dienst/-System, ein endgerätespezifischer(s) Dienst/System zur Verwaltung persönlicher Informationen, ein endgerätespezifischer(s) Anzeige- und Videodienst/-system, ein endgerätespezifischer(s) Nichtkommunikationsdienst/-system, ein Ad-hoc-NW/DTN(Delay Tolerant Networking - verzögerungstolerantes Networking)-Dienst/-System und dergleichen.
  • Es ist zu beachten, dass die oben beschriebenen Kategorien des UE lediglich Anwendungsbeispiele der technischen Idee und der in der vorliegenden Beschreibung beschriebenen beispielhaften Ausführungsformen sind. Die vorliegende Offenbarung ist nicht auf die Beispiele beschränkt, und natürlich können verschiedene Modifikationen vom Fachmann vorgenommen werden.
  • Obwohl die Erfindung der vorliegenden Anmeldung unter Bezugnahme auf die beispielhaften Ausführungsformen beschrieben wurde, ist die Erfindung der vorliegenden Anmeldung nicht auf die oben beschriebenen beispielhaften Ausführungsformen beschränkt. Verschiedene Modifikationen, die vom Fachmann verstanden werden können, können an der Konfiguration und den Einzelheiten der Erfindung der vorliegenden Anmeldung im Schutzumfang der Erfindung vorgenommen werden.
  • Diese Anmeldung basiert auf der und beansprucht die Priorität der japanischen Patentanmeldung Nr. 2018-185420 , eingereicht am 28. September 2018, deren Offenbarung hiermit durch Bezugnahme in ihrer Gesamtheit aufgenommen ist.
  • Ein Teil oder das Ganze der oben beschriebenen beispielhaften Ausführungsformen kann auch wie in den nachstehenden Ergänzungsanmerkungen beschrieben werden, was nicht darauf beschränkt ist.
  • (Ergänzungsanmerkung 1)
  • Ein Kernnetzwerkgerät, das Folgendes beinhaltet:
    • ein erstes Authentifizierungsmittel zum Durchführen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, einer ersten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist;
    • ein Kommunikationsmittel zum Empfangen von Berechtigungslisteninformationen, die mindestens ein Netzwerk-Slice angeben, das von dem Kommunikationsendgerät in einem bedienenden Netzwerk verwendet werden kann; und
    • ein zweites Authentifizierungsmittel zum Durchführen, während einer Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk, einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist.
  • (Ergänzungsanmerkung 2)
  • Das Kernnetzwerkgerät gemäß der Ergänzungsanmerkung 1, wobei, wenn mehrere der Netzwerk-Slices in den Berechtigungslisteninformationen enthalten sind, das zweite Authentifizierungsmittel dazu ausgelegt ist, zu bestimmen, ob die zweite Authentifizierungsverarbeitung in jedem der Netzwerk-Slices durchgeführt werden muss, und die zweite Authentifizierungsverarbeitung für jedes der Netzwerk-Slices durchzuführen, für die die zweite Authentifizierungsverarbeitung durchgeführt werden muss.
  • (Ergänzungsanmerkung 3)
  • Das Kernnetzwerkgerät gemäß der Ergänzungsanmerkung 1 oder 2, wobei das Kommunikationsmittel dazu ausgelegt ist, zu einem mit dem Netzwerk-Slice assoziierten Authentifizierungsserver Identifikationsinformationen über das Kommunikationsendgerät zu übertragen, das verwendet wird, wenn das Kommunikationsendgerät das Netzwerk-Slice verwendet.
  • (Ergänzungsanmerkung 4)
  • Das Kernnetzwerkgerät gemäß der Ergänzungsanmerkung 3, wobei das Kommunikationsmittel dazu ausgelegt ist, Identifikationsinformationen über das Kommunikationsendgerät vom Kommunikationsendgerät für jedes der in den Berechtigungslisteninformationen enthaltene Netzwerk-Slices zu erfassen.
  • (Ergänzungsanmerkung 5)
  • Das Kernnetzwerkgerät gemäß einer der Ergänzungsanmerkungen 1 bis 4, wobei, wenn das zweite Authentifizierungsmittel dazu ausgelegt ist, die zweite Authentifizierungsverarbeitung während der Registrierungsverarbeitung durchzuführen, bei der das Kommunikationsendgerät das Kommunikationsendgerät im Kernnetzwerk über ein erstes Zugriffsnetzwerk registriert, das zweite Authentifizierungsmittel dazu ausgelegt ist, die zweite Authentifizierungsverarbeitung während der Registrierungsverarbeitung wegzulassen, bei der das Kommunikationsendgerät das Kommunikationsendgerät über ein zweites Zugriffsnetzwerk im Kernnetzwerk registriert.
  • (Ergänzungsanmerkung 6)
  • Das Kernnetzwerkgerät gemäß einer der Ergänzungsanmerkungen 1 bis 5, wobei, wenn das zweite Authentifizierungsmittel dazu ausgelegt ist, zu bestimmen, dass das Kommunikationsendgerät kein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist, das zweite Authentifizierungsmittel dazu ausgelegt ist, das Kommunikationsendgerät über Identifikationsinformationen über ein vorbestimmtes Netzwerk-Slice zu benachrichtigen.
  • (Ergänzungsanmerkung 7)
  • Ein Kernnetzwerkgerät, das Folgendes beinhaltet:
    • ein Kommunikationsmittel zum Empfangen, von einem Kommunikationsendgerät, einer Registrierungsanforderungsnachricht, die Informationen enthält, die angeben, ob das Kommunikationsendgerät Slice-spezifische Authentifizierung und Autorisierung unterstützt, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in einem Kernnetzwerk; und
    • ein Authentifizierungsmittel zum Durchführen, wenn die Informationen angeben, dass das Kommunikationsendgerät Slice-spezifische Authentifizierung und Autorisierung unterstützt, einer Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung.
  • (Ergänzungsanmerkung 8)
  • Das Kernnetzwerkgerät gemäß der Ergänzungsanmerkung 7, wobei das Authentifizierungsmittel dazu ausgelegt ist, keine Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung durchzuführen, wenn die Informationen angeben, dass das Kommunikationsendgerät keine Slice-spezifische Authentifizierung und Autorisierung unterstützt.
  • (Ergänzungsanmerkung 9)
  • Das Kernnetzwerkgerät gemäß der Ergänzungsanmerkung 7 oder 8, wobei, wenn das Authentifizierungsmittel dazu ausgelegt ist, die Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung nicht durchzuführen, das Kommunikationsmittel dazu ausgelegt ist, eine Registrierungsverweigerungsnachricht einschließlich eines spezifischen Ursachencodes als Antwort auf die Registrierungsanforderungsnachricht zu dem Kommunikationsendgerät zu übertragen.
  • (Ergänzungsanmerkung 10)
  • Ein Kommunikationsendgerät, das Folgendes beinhaltet:
    • ein Kommunikationsmittel zum Übertragen, zu einem Kernnetzwerkgerät, einer Registrierungsanforderungsnachricht, die Informationen enthält, die angeben, ob ein Kommunikationsendgerät Slice-spezifische Authentifizierung und Autorisierung unterstützt.
  • (Ergänzungsanmerkung 11)
  • Das Kommunikationsendgerät gemäß der Ergänzungsanmerkung 10, wobei, falls das Kommunikationsendgerät die Slice-spezifische Authentifizierung und Autorisierung nicht unterstützt, ein Kernnetzwerkgerät, das die Registrierungsanforderungsnachricht empfängt, keine Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung durchführt.
  • (Ergänzungsanmerkung 12)
  • Das Kommunikationsendgerät gemäß der Ergänzungsanmerkung 10 oder 11, wobei, falls das Kernnetzwerkgerät dazu ausgelegt ist, keine Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung durchzuführen, das Kommunikationsmittel dazu ausgelegt ist, vom Kernnetzwerkgerät eine Registrierungsverweigerungsnachricht einschließlich eines spezifischen Ursachencodes als Antwort auf die Registrierungsanforderungsnachricht zu empfangen.
  • (Ergänzungsanmerkung 13)
  • Ein Kernnetzwerkgerät, das Folgendes beinhaltet:
    • ein erstes Authentifizierungsmittel zum Durchführen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, einer ersten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu seiner Registrierung im Kernnetzwerk berechtigt ist;
    • ein Kommunikationsmittel zum Empfangen, von dem Kommunikationsendgerät, von Informationen, die sich auf mehrere Netzwerk-Slices beziehen, die verwendet werden sollen, und Informationen, die sich auf ein Netzwerk-Slice beziehen, das bevorzugt unter den mehreren Netzwerk-Slices verwendet wird; und
    • ein zweites Authentifizierungsmittel zum Durchführen, während einer Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk, einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung des bevorzugt verwendeten Netzwerk-Slice berechtigt ist.
  • (Ergänzungsanmerkung 14)
  • Das Kernnetzwerkgerät gemäß der Ergänzungsanmerkung 13, wobei das zweite Authentifizierungsmittel dazu ausgelegt ist, die zweite Authentifizierungsverarbeitung durchzuführen, wenn das Kommunikationsendgerät zum ersten Mal das Netzwerk-Slice verwendet, an dem die zweite Authentifizierungsverarbeitung nicht durchgeführt wird, nachdem die Registrierungsverarbeitung abgeschlossen ist.
  • (Ergänzungsanmerkung 15)
  • Ein Kommunikationsendgerät, das Folgendes beinhaltet:
    • ein Kommunikationsmittel zum Übertragen, zu einem Kernnetzwerkgerät, von Informationen, die sich auf mehrere Netzwerk-Slices beziehen, die verwendet werden sollen, und Informationen, die sich auf ein Netzwerk-Slice beziehen, das bevorzugt unter den mehreren Netzwerk-Slices verwendet wird, während der Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk.
  • (Ergänzungsanmerkung 16)
  • Das Kommunikationsendgerät gemäß der Ergänzungsanmerkung 15, wobei das Kommunikationsmittel dazu ausgelegt ist, in einer Registrierungsanforderungsnachricht Informationen einzuschließen, die sich auf das Netzwerk-Slice beziehen, das bevorzugt verwendet wird, und Informationen, die sich auf ein Netzwerk-Slice beziehen, das sich von dem Netzwerk-Slice unterscheidet, das bevorzugt verwendet wird, und die Registrierungsanforderungsnachricht zu übertragen.
  • (Ergänzungsanmerkung 17)
  • Ein Kommunikationssystem, das Folgendes beinhaltet:
    • ein erstes Kernnetzwerkgerät, das dazu ausgelegt ist, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk eine erste Authentifizierungsverarbeitung durchzuführen, um zu bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk eine zweite Authentifizierungsverarbeitung durchzuführen, um zu bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, und Informationen zu übertragen, die ein Netzwerk-Slice angeben, an dem die zweite Authentifizierungsverarbeitung durchgeführt wird; und
    • ein zweites Kernnetzwerkgerät, das dazu ausgelegt ist, Informationen zu empfangen, die ein Netzwerk-Slice angeben, an dem die zweite Authentifizierungsverarbeitung durchgeführt wird, um zu bestimmen, ob die zweite Authentifizierungsverarbeitung in Bezug auf das Kommunikationsendgerät durchgeführt wird, wenn das Kommunikationsendgerät das Netzwerk-Slice zum ersten Mal verwendet, nachdem die Registrierungsverarbeitung abgeschlossen ist, die zweite Authentifizierungsverarbeitung durchzuführen, wenn die zweite Authentifizierungsverarbeitung nicht durchgeführt wird, und die zweite Authentifizierungsverarbeitung nicht durchzuführen, wenn die zweite Authentifizierungsverarbeitung bereits durchgeführt wird.
  • (Ergänzungsanmerkung 18)
  • Das Kommunikationssystem gemäß der Ergänzungsanmerkung 17, wobei das erste Kernnetzwerkgerät während einer PDU-Sitzungsaufbauverarbeitung Informationen überträgt, die ein Netzwerk-Slice angeben, an dem die zweite Authentifizierungsverarbeitung durchgeführt wird.
  • (Ergänzungsanmerkung 19)
  • Ein Authentifizierungsverfahren in einem Kernnetzwerkgerät, wobei das Authentifizierungsverfahren Folgendes beinhaltet:
    • Durchführen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, einer ersten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist;
    • Empfangen von Berechtigungslisteninformationen, die mindestens ein Netzwerk-Slice angeben, das von dem Kommunikationsendgerät in einem bedienenden Netzwerk verwendet werden kann; und
    • Durchführen, während einer Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk, einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist.
  • (Ergänzungsanmerkung 20)
  • Ein Kommunikationsverfahren in einem Kommunikationsendgerät, wobei das Kommunikationsverfahren Folgendes beinhaltet:
    • Erzeugen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, von Fähigkeitsinformationen, die angeben, ob eine Verarbeitung, die assoziiert ist mit einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, durchgeführt werden kann; und
    • Übertragen der Fähigkeitsinformationen zu einem Kernnetzwerkgerät.
  • Bezugszeichenliste
    • 10
    Kernnetzwerkgerät
    11
    Authentifizierungseinheit
    12
    Authentifizierungseinheit
    13
    Kommunikationseinheit
    20
    UE
    30
    bedienendes PLMN
    31
    AMF
    32
    V-SMF
    33
    UPF
    40
    HPLMN
    41
    UDM
    42
    AUSF
    43
    NSSF
    44
    NEF
    45
    H-SMF
    46
    UPF
    50
    Drittpartei-Netzwerk
    51
    AAA-Server
    60
    Netzwerk-Slice
    70
    Kommunikationsendgerät
    71
    Steuereinheit
    72
    Kommunikationseinheit
    80
    UE
    90
    UE
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2018185420 [0139]

Claims (20)

  1. Kernnetzwerkgerät, das Folgendes umfasst: ein erstes Authentifizierungsmittel zum Durchführen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, einer ersten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist; ein Kommunikationsmittel zum Empfangen von Berechtigungslisteninformationen, die mindestens ein Netzwerk-Slice angeben, das von dem Kommunikationsendgerät in einem bedienenden Netzwerk verwendet werden kann; und ein zweites Authentifizierungsmittel zum Durchführen, während einer Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk, einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist.
  2. Kernnetzwerkgerät nach Anspruch 1, wobei, wenn mehrere der Netzwerk-Slices in den Berechtigungslisteninformationen enthalten sind, das zweite Authentifizierungsmittel dazu ausgelegt ist, zu bestimmen, ob die zweite Authentifizierungsverarbeitung in jedem der Netzwerk-Slices durchgeführt werden muss, und die zweite Authentifizierungsverarbeitung für jedes der Netzwerk-Slices durchzuführen, für die die zweite Authentifizierungsverarbeitung durchgeführt werden muss.
  3. Kernnetzwerkgerät nach Anspruch 1 oder 2, wobei das Kommunikationsmittel dazu ausgelegt ist, zu einem mit dem Netzwerk-Slice assoziierten Authentifizierungsserver Identifikationsinformationen über das Kommunikationsendgerät zu übertragen, das verwendet wird, wenn das Kommunikationsendgerät das Netzwerk-Slice verwendet.
  4. Kernnetzwerkgerät nach Anspruch 3, wobei das Kommunikationsmittel dazu ausgelegt ist, Identifikationsinformationen über das Kommunikationsendgerät vom Kommunikationsendgerät für jedes der in den Berechtigungslisteninformationen enthaltene Netzwerk-Slices zu erfassen.
  5. Kernnetzwerkgerät nach einem der Ansprüche 1 bis 4, wobei, wenn das zweite Authentifizierungsmittel dazu ausgelegt ist, die zweite Authentifizierungsverarbeitung während der Registrierungsverarbeitung durchzuführen, bei der das Kommunikationsendgerät das Kommunikationsendgerät im Kernnetzwerk über ein erstes Zugriffsnetzwerk registriert, das zweite Authentifizierungsmittel dazu ausgelegt ist, die zweite Authentifizierungsverarbeitung während der Registrierungsverarbeitung wegzulassen, bei der das Kommunikationsendgerät das Kommunikationsendgerät über ein zweites Zugriffsnetzwerk im Kernnetzwerk registriert.
  6. Kernnetzwerkgerät nach einem der Ansprüche 1 bis 5, wobei, wenn das zweite Authentifizierungsmittel dazu ausgelegt ist, zu bestimmen, dass das Kommunikationsendgerät kein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist, das zweite Authentifizierungsmittel dazu ausgelegt ist, das Kommunikationsendgerät über Identifikationsinformationen über ein vorbestimmtes Netzwerk-Slice zu benachrichtigen.
  7. Kernnetzwerkgerät, das Folgendes umfasst: ein Kommunikationsmittel zum Empfangen, von einem Kommunikationsendgerät, einer Registrierungsanforderungsnachricht, die Informationen enthält, die angeben, ob das Kommunikationsendgerät Slice-spezifische Authentifizierung und Autorisierung unterstützt, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in einem Kernnetzwerk; und ein Authentifizierungsmittel zum Durchführen, wenn die Informationen angeben, dass das Kommunikationsendgerät Slice-spezifische Authentifizierung und Autorisierung unterstützt, einer Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung.
  8. Kernnetzwerkgerät nach Anspruch 7, wobei das Authentifizierungsmittel dazu ausgelegt ist, keine Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung durchzuführen, wenn die Informationen angeben, dass das Kommunikationsendgerät keine Slice-spezifische Authentifizierung und Autorisierung unterstützt.
  9. Kernnetzwerkgerät nach Anspruch 7 oder 8, wobei, wenn das Authentifizierungsmittel dazu ausgelegt ist, die Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung nicht durchzuführen, das Kommunikationsmittel dazu ausgelegt ist, eine Registrierungsverweigerungsnachricht einschließlich eines spezifischen Ursachencodes als Antwort auf die Registrierungsanforderungsnachricht zu dem Kommunikationsendgerät zu übertragen.
  10. Kommunikationsendgerät, das Folgendes umfasst: ein Kommunikationsmittel zum Übertragen, zu einem Kernnetzwerkgerät, einer Registrierungsanforderungsnachricht, die Informationen enthält, die angeben, ob ein Kommunikationsendgerät Slice-spezifische Authentifizierung und Autorisierung unterstützt.
  11. Kommunikationsendgerät nach Anspruch 10, wobei, falls das Kommunikationsendgerät die Slice-spezifische Authentifizierung und Autorisierung nicht unterstützt, ein Kernnetzwerkgerät, das die Registrierungsanforderungsnachricht empfängt, keine Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung durchführt.
  12. Kommunikationsendgerät nach Anspruch 10 oder 11, wobei, falls das Kernnetzwerkgerät dazu ausgelegt ist, keine Verarbeitung in Bezug auf die Slice-spezifische Authentifizierung und Autorisierung durchzuführen, das Kommunikationsmittel dazu ausgelegt ist, vom Kernnetzwerkgerät eine Registrierungsverweigerungsnachricht einschließlich eines spezifischen Ursachencodes als Antwort auf die Registrierungsanforderungsnachricht zu empfangen.
  13. Kernnetzwerkgerät, das Folgendes umfasst: ein erstes Authentifizierungsmittel zum Durchführen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, einer ersten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist; ein Kommunikationsmittel zum Empfangen, von dem Kommunikationsendgerät, von Informationen, die sich auf mehrere Netzwerk-Slices beziehen, die verwendet werden sollen, und Informationen, die sich auf ein Netzwerk-Slice beziehen, das bevorzugt unter den mehreren Netzwerk-Slices verwendet wird; und ein zweites Authentifizierungsmittel zum Durchführen, während einer Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk, einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung des bevorzugt verwendeten Netzwerk-Slice berechtigt ist.
  14. Kernnetzwerkgerät nach Anspruch 13, wobei das zweite Authentifizierungsmittel dazu ausgelegt ist, die zweite Authentifizierungsverarbeitung durchzuführen, wenn das Kommunikationsendgerät zum ersten Mal das Netzwerk-Slice verwendet, an dem die zweite Authentifizierungsverarbeitung nicht durchgeführt wird, nachdem die Registrierungsverarbeitung abgeschlossen ist.
  15. Kommunikationsendgerät, das Folgendes umfasst: ein Kommunikationsmittel zum Übertragen, zu einem Kernnetzwerkgerät, von Informationen, die sich auf mehrere Netzwerk-Slices beziehen, die verwendet werden sollen, und Informationen, die sich auf ein Netzwerk-Slice beziehen, das bevorzugt unter den mehreren Netzwerk-Slices verwendet wird, während der Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk.
  16. Kommunikationsendgerät nach Anspruch 15, wobei das Kommunikationsmittel dazu ausgelegt ist, in einer Registrierungsanforderungsnachricht Informationen einzuschließen, die sich auf das Netzwerk-Slice beziehen, das bevorzugt verwendet wird, und Informationen, die sich auf ein Netzwerk-Slice beziehen, das sich von dem Netzwerk-Slice unterscheidet, das bevorzugt verwendet wird, und die Registrierungsanforderungsnachricht zu übertragen.
  17. Kommunikationssystem, das Folgendes umfasst: ein erstes Kernnetzwerkgerät, das dazu ausgelegt ist, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk eine erste Authentifizierungsverarbeitung durchzuführen, um zu bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist, während der Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk eine zweite Authentifizierungsverarbeitung durchzuführen, um zu bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, und Informationen zu übertragen, die ein Netzwerk-Slice angeben, an dem die zweite Authentifizierungsverarbeitung durchgeführt wird; und ein zweites Kernnetzwerkgerät, das dazu ausgelegt ist, Informationen zu empfangen, die ein Netzwerk-Slice angeben, an dem die zweite Authentifizierungsverarbeitung durchgeführt wird, um zu bestimmen, ob die zweite Authentifizierungsverarbeitung in Bezug auf das Kommunikationsendgerät durchgeführt wird, wenn das Kommunikationsendgerät das Netzwerk-Slice zum ersten Mal verwendet, nachdem die Registrierungsverarbeitung abgeschlossen ist, die zweite Authentifizierungsverarbeitung durchzuführen, wenn die zweite Authentifizierungsverarbeitung nicht durchgeführt wird, und die zweite Authentifizierungsverarbeitung nicht durchzuführen, wenn die zweite Authentifizierungsverarbeitung bereits durchgeführt wird.
  18. Kommunikationssystem nach Anspruch 17, wobei das erste Kernnetzwerkgerät während einer PDU-Sitzungsaufbauverarbeitung Informationen überträgt, die ein Netzwerk-Slice angeben, an dem die zweite Authentifizierungsverarbeitung durchgeführt wird.
  19. Authentifizierungsverfahren in einem Kernnetzwerkgerät, wobei das Authentifizierungsverfahren Folgendes umfasst: Durchführen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, einer ersten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zu einer Registrierung im Kernnetzwerk berechtigt ist; Empfangen von Berechtigungslisteninformationen, die mindestens ein Netzwerk-Slice angeben, das von dem Kommunikationsendgerät in einem bedienenden Netzwerk verwendet werden kann; und Durchführen, während einer Registrierungsverarbeitung zum Registrieren des Kommunikationsendgeräts in dem Kernnetzwerk, einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines in den Berechtigungslisteninformationen enthaltenen Netzwerk-Slice berechtigt ist.
  20. Kommunikationsverfahren in einem Kommunikationsendgerät, wobei das Kommunikationsverfahren Folgendes umfasst: Erzeugen, während einer Registrierungsverarbeitung zum Registrieren eines Kommunikationsendgeräts in einem Kernnetzwerk, von Fähigkeitsinformationen, die angeben, ob eine Verarbeitung, die assoziiert ist mit einer zweiten Authentifizierungsverarbeitung zum Bestimmen, ob das Kommunikationsendgerät ein Kommunikationsendgerät ist, das zur Verwendung eines Netzwerk-Slice berechtigt ist, durchgeführt werden kann; und Übertragen der Fähigkeitsinformationen zu einem Kernnetzwerkgerät.
DE112019004201.7T 2018-09-28 2019-09-25 Kernnetzwerkgerät, kommunikationsendgerät, kommunikationssystem, authentifizierungsverfahren und kommunikationsverfahren Pending DE112019004201T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018185420 2018-09-28
JP2018-185420 2018-09-28
PCT/JP2019/037495 WO2020067112A1 (ja) 2018-09-28 2019-09-25 コアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法

Publications (1)

Publication Number Publication Date
DE112019004201T5 true DE112019004201T5 (de) 2021-06-02

Family

ID=69949927

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112019004201.7T Pending DE112019004201T5 (de) 2018-09-28 2019-09-25 Kernnetzwerkgerät, kommunikationsendgerät, kommunikationssystem, authentifizierungsverfahren und kommunikationsverfahren

Country Status (7)

Country Link
US (1) US20220046416A1 (de)
EP (1) EP3860180A4 (de)
JP (2) JP7099536B2 (de)
CN (1) CN112806042A (de)
DE (1) DE112019004201T5 (de)
MX (1) MX2021003638A (de)
WO (1) WO2020067112A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2592356B (en) * 2020-02-12 2022-07-27 Samsung Electronics Co Ltd Network security
CN113630783B (zh) * 2020-05-07 2023-11-03 华为技术有限公司 一种通信方法及装置
JP7165784B1 (ja) * 2021-06-24 2022-11-04 ソフトバンク株式会社 通信システム、プログラム、及び通信制御方法
CN114697963A (zh) * 2022-03-29 2022-07-01 中国南方电网有限责任公司 终端的身份认证方法、装置、计算机设备和存储介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10652813B2 (en) * 2016-04-01 2020-05-12 Ntt Docomo, Inc. Slice management system and slice management method
KR102529714B1 (ko) * 2016-06-15 2023-05-09 인터디지탈 패튼 홀딩스, 인크 네트워크 슬라이스 발견 및 선택
EP3487198A1 (de) * 2016-07-15 2019-05-22 Nec Corporation Kommunikationssystem, teilnehmerinformationsverwaltungsverfahren, informationserfassungsverfahren, übergangsloses computerlesbares medium und kommunikationsendgerät
EP3528532B1 (de) * 2016-10-11 2021-10-27 LG Electronics Inc. Verfahren zur anwendung einer reflektiven dienstgüte in einem drahtloskommunikationssystem und vorrichtung dafür
RU2755258C2 (ru) * 2017-01-27 2021-09-14 Телефонактиеболагет Лм Эрикссон (Пабл) Вторичная аутентификация пользовательского устройства
CN108401275A (zh) * 2017-02-06 2018-08-14 财团法人工业技术研究院 用户设备注册方法、网络控制器与网络通信系统
WO2018171863A1 (en) * 2017-03-21 2018-09-27 Nokia Technologies Oy Enhanced registration procedure in a mobile system supporting network slicing
JP6939052B2 (ja) 2017-04-26 2021-09-22 富士フイルムビジネスイノベーション株式会社 周回体駆動装置、画像形成装置、周回体位置調整方法、および周回体位置調整プログラム
WO2018231028A1 (ko) * 2017-06-17 2018-12-20 엘지전자(주) 무선 통신 시스템에서 단말의 등록 방법 및 이를 위한 장치
US11382145B2 (en) * 2018-08-06 2022-07-05 Huawei Technologies Co., Ltd. Systems and methods to support group communications
US11539699B2 (en) * 2018-08-13 2022-12-27 Lenovo (Singapore) Pte. Ltd. Network slice authentication
CN112740732A (zh) * 2018-09-18 2021-04-30 Oppo广东移动通信有限公司 用于网络切片鉴权的方法和设备

Also Published As

Publication number Publication date
EP3860180A4 (de) 2021-09-01
EP3860180A1 (de) 2021-08-04
JPWO2020067112A1 (ja) 2021-08-30
MX2021003638A (es) 2021-05-27
CN112806042A (zh) 2021-05-14
JP2022126821A (ja) 2022-08-30
WO2020067112A1 (ja) 2020-04-02
JP7099536B2 (ja) 2022-07-12
US20220046416A1 (en) 2022-02-10

Similar Documents

Publication Publication Date Title
DE112019000089B4 (de) Verfahren und System zum Anzeigen von SMS-Abonnement für das UE bei Änderung des SMS-Abonnements in einem Netzwerk
DE112019004201T5 (de) Kernnetzwerkgerät, kommunikationsendgerät, kommunikationssystem, authentifizierungsverfahren und kommunikationsverfahren
DE102016201360A1 (de) VERFAHREN UND VORRICHTUNG ZUM AUSWÄHLEN VON BOOTSTRAP ESIMs
DE112019006104T5 (de) Funkzugangsnetzknoten, Funkgerät und Verfahren dafür
DE102018208578A1 (de) Aktualisieren von profilen für sekundäre drahtlose vorrichtungen
DE112019000120T5 (de) Vorgang zur aktualisierung der parameter in bezug auf eine einheitliche zugriffssteuerung
DE102016123895A1 (de) Verbesserung zellularer Konnektivität nach einem VoLTE-Konnektivitätsausfall
DE112021004223T5 (de) Ue-verfahren und ue
JP7272468B2 (ja) Amfノード及びamfノードにおける方法
DE102021100911A1 (de) VERFAHREN UND VORRICHTUNGEN ZUM AUFTEILEN VON KI/ML-OPERATIONEN FÜR DATENANALYSE ZWISCHEN EINER NF EINES 5G-NETZES UND EINER AF GEMÄß EINER KI/ML-OPERATIONSRICHTLINIE
US10887754B2 (en) Method of registering a mobile terminal in a mobile communication network
DE102016106610A1 (de) Erneutes Aktivieren eines ersten Zugriffspunktnamens unter Verwendung eines zweiten Zugriffspunktnamens
JP7380005B2 (ja) 無線端末、コアネットワークノード、及びこれらの方法
DE102021108923A1 (de) Diskontinuierlicher empfangsbetrieb über nr sidelink
JP2023145688A (ja) 無線端末及び通信方法
SE1751485A1 (en) Methods, subscriber identity component and managing node for providing wireless device with connectivity
EP3873031A1 (de) Kommunikationssystemkomponente und verfahren zum sammeln von daten in einem kommunikationssystem
EP3205133B1 (de) Verfahren zur übertragung einer zuordnung hinsichtlich einer eingebetteten, universellen, integrierten schaltungseinheit von einem ersten mobilfunknetzwerkbetreiber zu einem zweiten mobilfunknetzwerkbetreiber
EP3997897B1 (de) Verfahren und vorrichtungen zur verwendung einer expositionsfunktion eines drahtlosen kommunikationsnetzes
JP7428265B2 (ja) 通信端末及びその方法
DE112017007823T5 (de) Systeme und verfahren zum verhindern von herabstufungsangriffen in einem telekommunikationsnetz
WO2022070546A1 (ja) コアネットワークノード、User Equipment、及びこれらの方法
JP7131721B2 (ja) Amfノード及びその方法
US20220255944A1 (en) Seamless feature access for a device through a device management server
US20220279430A1 (en) Communication method, core network node, and wireless device

Legal Events

Date Code Title Description
R012 Request for examination validly filed