JP2015501605A - データセキュリティチャネル処理方法およびデバイス - Google Patents

データセキュリティチャネル処理方法およびデバイス Download PDF

Info

Publication number
JP2015501605A
JP2015501605A JP2014539203A JP2014539203A JP2015501605A JP 2015501605 A JP2015501605 A JP 2015501605A JP 2014539203 A JP2014539203 A JP 2014539203A JP 2014539203 A JP2014539203 A JP 2014539203A JP 2015501605 A JP2015501605 A JP 2015501605A
Authority
JP
Japan
Prior art keywords
access
user equipment
trust relationship
authentication
child
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014539203A
Other languages
English (en)
Other versions
JP5922785B2 (ja
Inventor
▲フアン▼ 李
▲フアン▼ 李
▲書▼▲鋒▼ ▲時▼
▲書▼▲鋒▼ ▲時▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2015501605A publication Critical patent/JP2015501605A/ja
Application granted granted Critical
Publication of JP5922785B2 publication Critical patent/JP5922785B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明の実施形態は、トンネルのデータセキュリティチャネルを処理するための方法およびデバイスを提供し、方法は、アクセス側の認証および許可要求を受信し、ユーザ機器のアクセスの信頼関係を判定するステップと、ユーザ機器のS6bインタフェースセッションが存在する場合、パケットデータゲートウェイが、ユーザ機器のアクセスの信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するように、信頼関係についての情報を含むメッセージをパケットデータゲートウェイに送信するステップとを含む。本発明の実施形態では、ユーザ機器がS2cインタフェースを介してEPSネットワークにアクセスする場合、アクセス側の認証および許可要求が受信されると、アクセスされるユーザ機器のS6bインタフェースセッションがすでに存在する場合、パケットデータゲートウェイが、ユーザ機器がS2cインタフェースを介してEPSネットワークにアクセスするとき、ユーザ機器の信頼関係を取得することができるように、ユーザ機器のアクセスの信頼関係についての情報を含むメッセージがパケットデータゲートウェイに送信され、S2cトンネルのデータセキュリティの正確な確立または更新を保証する。

Description

本発明の実施形態は、通信技術の分野に関し、具体的には、データセキュリティチャネルを処理するための方法およびデバイスに関する。
モバイルブロードバンド時代の到来により、ユーザは、ブロードバンドアクセスサービスを、どこでも、いつでも使用する必要があり、これは、モバイル通信ネットワークに対する、より高い伝送速度、より小さい遅延、および、より高いシステム容量のような、より高い要求を発生させる。3GPPネットワークの利点を維持するために、3GPP標準化団体は、SAE(System Architecture Evolution、システムアーキテクチャエボリューション)計画の研究および標準化作業を開始し、2004年の終わりに、進化型パケットシステムEPS(Evolved Packet System、エボルブドパケットシステム)と呼ばれる新しいモバイル通信ネットワークフレームワークを定義した。コアネットワークの収束と統一の傾向により、3GPPは、また、EPCにアクセスするために、非3GPPアクセスネットワーク、例えば、WLAN、WiMAXなどを使用することによって、EPSシステムのコアネットワークEPC(Evolved Packet Core、エボルブドパケットシステムのコア部分)へのアクセスの可能性を提供する。
S2cインタフェースは、DSMIPv6(Mobile IPv6 Support for Dual Stack Hosts、デュアルスタックモバイルIPv6)を使用し、信頼される非3GPPアクセスネットワーク、信頼されない非3GPPアクセスネットワーク、または3GPPアクセスネットワークを使用することによって、EPSネットワークにアクセスするために使用され得る。UE(User Equipment、ユーザ機器)が、S2cインタフェースを介して、非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、DSMIPv6シグナリングを保護するために、SA(Security Association、セキュリティアソシエーション)が、UEおよびPDN-GW(Packet Data Network Gateway、パケットデータゲートウェイ、略してPGW)間に確立される。UEが、S2cインタフェースを介してEPSにアクセスする場合、PDN-GWが、UEのための認証および許可を完了し、AAAサーバからモビリティパラメータおよびサブスクリプションデータのような情報を取得するように、PDN-GWは、認証および許可要求、ならびに応答メッセージを、PDN-GNおよびAAA(Authentication Authorization Accounting、認証、許可、およびアカウンティング)サーバ間のS6bインタフェースを介して送信する。確実に、ローミングシナリオでは、AAAエージェントが、PDN-GWおよびAAAサーバ間で渡される必要がある。
UEが、S2cインタフェースを介して、信頼される非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、3GPPは、DSMIPv6トンネルがUEおよびPDN-GW間に確立された後に、DSMIPv6シグナリングを保護するために、セキュリティアソシエーションSAがUEおよびPDN-GW間に確立され、PDN-GWは、データプレーンを保護するために、UEへのチャイルドセキュリティアソシエーションChild SA(Child Security Association、チャイルドセキュリティアソシエーション)の確立を開始することができるが、UEが、信頼されない非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、IPSecセキュリティチャネルがUEおよび非3GPPゲートウェイePDG(evolved PDG、進化型パケットデータゲートウェイ)間に確立され、IPSecセキュリティチャネルを使用することによって、UEおよびPDN-GW間のデータパケットに対して、セキュリティ保護が実行される。すなわち、UEが、信頼される方法で非3GPPを使用することによってEPSにアクセスする場合、データプレーンの整合性および機密性を保護するために、Child SAがS2cトンネルに対して確立されてよく、UEが、信頼されない方法で非3GPPを使用することによってEPSにアクセスする場合、UEおよびePDG間のIPSecセキュリティチャネルが、データに対する整合性保護および機密性保護を提供し、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、3GPP自体の認証暗号化メカニズムを使用することによって、UEおよびPDN-GW間のデータセキュリティ保護が提供される。したがって、UEが、S2cインタフェースを介してEPCにアクセスする場合、PDN-GWは、アクセスシナリオが、信頼される非3GPPアクセスネットワークを使用することによるアクセスなのか、信頼されない非3GPPアクセスネットワークを使用することによるアクセスなのか、または、3GPPアクセスネットワークを使用することによるアクセスなのかを識別する必要があり、異なるデータセキュリティチャネルの確立または更新手続きを完了する。
UEが、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、その後の非3GPPアクセスネットワークを使用することによるアクセスへのハンドオーバ後のSA確立のための時間を節約するために、セキュリティアソシエーションSAが、UEおよびPDN-GW間に最初に確立されてよい。UEが、非3GPPアクセスネットワークから3GPPアクセスネットワークにハンドオーバする場合、UEおよびPDN-GW間のセキュリティアソシエーションSAは、すぐに解放されない可能性もあり、代わりに、SAは、ある期間保持され、SAタイムアウトの場合に自動的に解放される。この場合、UEが、信頼される非3GPPアクセスネットワーク、信頼されない非3GPPアクセスネットワーク、および3GPPアクセスネットワーク間でハンドオーバし、S2cインタフェースを介してEPCにアクセスする場合、SAは、すでに存在する可能性があるが、以前のSA確立中の時点でPDN-GWによって得られたアクセスネットワークの信頼関係、すなわち、その時点でのアクセスネットワークが、信頼される非3GPPアクセスであるか、もしくは、信頼されない非3GPPアクセスであるか、または、3GPPアクセスであるかについての情報は、現在のアクセスネットワークの信頼関係と一致しない可能性がある。したがって、データセキュリティチャネルは、ハンドオーバ後のアクセスシナリオにしたがって確立または更新される必要がある。
上述したように、UEが、信頼される非3GPPアクセスネットワーク、信頼されない非3GPPアクセスネットワーク、および3GPPアクセスネットワーク間でハンドオーバし、S2cインタフェースを介してEPCにアクセスする場合、異なる方法でのデータセキュリティチャネルの確立または更新を完了するために、PDN-GWは、アクセスシナリオを識別する必要がある。しかしながら、PDN-GWは、UEの現在のアクセス方法を判定することができず、したがって、データセキュリティチャネルを正確に確立または更新することができない。
本発明の実施形態は、S2cトンネルのデータセキュリティチャネルの正確な確立または更新を保証することができる、トンネルのデータセキュリティチャネルを処理するための方法およびデバイスを提供する。
一態様によれば、トンネルのデータセキュリティチャネルを処理するための方法が提供され、方法が、アクセス側の認証および許可要求を受信し、ユーザ機器のアクセスの信頼関係を判定するステップと、ユーザ機器のS6bインタフェースセッションが存在する場合、パケットデータゲートウェイが、信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するように、信頼関係についての情報を含むメッセージをパケットデータゲートウェイに送信するステップとを含む。
別の態様によれば、トンネルのデータセキュリティチャネルを処理するための方法が提供され、方法が、ユーザ機器のパケットデータネットワーク接続確立要求を受信し、ユーザ機器のS6bインタフェースセッションが存在するか、またはユーザ機器とのセキュリティアソシエーションがすでに存在する場合、許可要求メッセージを認証および許可デバイスに送信するステップと、認証および許可デバイスによって送信された許可応答メッセージを受信するステップとを含み、許可応答メッセージが、ユーザ機器のアクセスの信頼関係についての情報を含み、方法が、さらに、信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するステップを含む。
別の態様によれば、認証および許可デバイスが提供され、認証および許可デバイスが、アクセス側の認証および許可要求を受信するように構成された受信ユニットと、認証および許可要求を認証し、ユーザ機器のアクセスの信頼関係を判定し、ユーザ機器のS6bセッションが存在する場合、送信ユニットに、信頼関係についての情報を含むメッセージをパケットデータゲートウェイに送信させるように命令するように構成された認証ユニットと、メッセージをパケットデータゲートウェイに送信するように構成された送信ユニットとを含み、メッセージが、信頼関係についての情報を含む。
別の態様によれば、ゲートウェイデバイスが提供され、ゲートウェイデバイスが、ユーザ機器のパケットデータネットワーク接続確立要求を受信するように構成されると共に、認証および許可デバイスによって送信された許可応答メッセージを受信するように構成された受信ユニットを含み、許可応答メッセージが、ユーザ機器のアクセスの信頼関係についての情報を含み、ゲートウェイデバイスが、さらに、受信ユニットがパケットデータネットワーク接続確立要求を受信すると、ユーザ機器のS6bセッションが存在するかどうか、または、ユーザ機器とのセキュリティアソシエーションがすでに存在することを確認し、次に、送信ユニットに、許可要求メッセージを認証および許可デバイスに送信させるように命令するように構成された確認ユニットと、確認要求メッセージを認証および許可デバイスに送信するように構成された送信ユニットと、信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するように構成された確立ユニットとを含む。
本発明の実施形態では、UEが、S2cインタフェースを介してEPCにアクセスする場合、認証および許可デバイスは、ユーザ機器のアクセスの信頼関係についての情報を含むメッセージを送信し、または、ユーザ機器のアクセスの信頼関係についての情報を許可応答メッセージに含め、ゲートウェイデバイスは、データセキュリティチャネルの正確な確立を保証するために、メッセージに含まれる信頼関係についての情報にしたがって、データセキュリティチャネルを確立または更新する。
本発明の実施形態での技術的解決法をより明確に説明するために、以下は、実施形態または従来技術を説明するために必要な添付図面を簡単に紹介する。明らかに、以下の説明での添付図面は、単に本発明のいくつかの実施形態を示すだけであり、当業者は、創造的な努力なしで、これらの添付図面から他の図面を依然として導出することができるであろう。
3GPPによって定義され、非ローミングシナリオでEPSネットワークにアクセスするためにS2cインタフェースが使用されるシステムアーキテクチャ図である。 本発明の実施形態による、非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法である。 本発明の実施形態による、信頼される非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。 本発明の実施形態による、信頼されない非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。 本発明の実施形態による、信頼されない非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。 本発明の別の実施形態による、EPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法である。 本発明の別の実施形態による、信頼される非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。 本発明の別の実施形態による、信頼されない非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。 本発明の別の実施形態による、3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。 本発明のさらに別の実施形態による、3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。 本発明のさらに別の実施形態による、3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。 本発明の実施形態による認証および許可デバイスのブロック図である。 本発明の別の実施形態によるゲートウェイデバイスのブロック図である。 本発明のさらに別の実施形態によるゲートウェイデバイスのブロック図である。
以下は、本発明の実施形態での添付図面を参照して、本発明の実施形態での技術的解決法を明確および完全に説明する。明らかに、説明される実施形態は、本発明の実施形態のすべてではなく、一部に過ぎない。創造的な努力なしで本発明の実施形態に基づいて当業者によって得られるすべての他の実施形態は、本発明の保護範囲内に入ることになる。
図1は、3GPPによって定義され、EPSネットワークにアクセスするためにS2cインタフェースが使用されるシステムアーキテクチャ図である。本発明の実施形態は、図1に示すEPSネットワークアーキテクチャに適用され得る。
図1に示すように、S2cインタフェースは、非3GPPアクセスネットワークまたは3GPPネットワークを使用することによってEPSにアクセスするために使用されてよい。信頼される非3GPPアクセスネットワークに関して、UEは、非3GPPアクセスネットワークを使用することによってPDN-GWに直接接続するが、信頼されない非3GPPアクセスネットワークに関して、UEは、ホームネットワークによって信頼される進化型パケットデータゲートウェイePDGを使用することによってPDN-GWネットワーク要素に接続する必要がある。3GPPアクセスネットワークに関して、UEは、S-GW(Serving Gateway、サービングゲートウェイ)を使用することによってPDN-GWネットワーク要素に接続する。
UEが、S2cインタフェースを介して、PDN-GWを使用することによってEPCにアクセスする場合、UEが、信頼される非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、PDN-GWは、データプレーンを保護するために、チャイルドセキュリティアソシエーションChild SAの確立を開始する必要があり、UEが、信頼されない非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、PDN-GWは、データに対する整合性保護および機密性保護を実行するために、UEおよびePDG間でIPSecチャネルを使用することによってDSMIPv6セキュリティチャネルを確立し、UEが、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、3GPP自体の認証暗号化メカニズムを使用することによって、UEおよびPDN-GW間のデータセキュリティ保護が提供される。
以上の説明から分かるように、PDN-GWは、現在のUEのアクセスが、信頼される非3GPPアクセスネットワーク、信頼されない非3GPPアクセスネットワーク、または3GPPアクセスネットワークのどれを使用することによって実行されるのかを知る必要がある。これは、S2cトンネルのデータセキュリティチャネルを正確に確立または更新するための前提条件であり、特に、UEが、信頼される非3GPPアクセスネットワーク、3GPPアクセスネットワーク、および信頼されない非3GPPアクセスネットワーク間のハンドオーバ後に、S2cインタフェースを介してEPSにアクセスする場合、PDN-GWは、データセキュリティチャネルの正確な確立または更新を完了するために、アクセスシナリオを識別する必要がある。
本発明の実施形態では、図1に示すネットワークアーキテクチャで、UEが、S2cインタフェースを介してEPCにアクセスする場合、認証および許可デバイスは、UEのアクセスの信頼関係を判定し、PDN-GWにUEのアクセスの信頼関係指示を含むメッセージを送信する、または、UEのアクセスの信頼関係指示を、PDN-GWに送信される許可応答メッセージ内に含め、PDN-GWは、データセキュリティチャネルの正確な確立を保証するために、メッセージ内で示されるUEのアクセスの信頼関係にしたがって、データセキュリティチャネルを確立または更新する。本発明の実施形態では、認証および許可デバイスの例として、AAAサーバが使用される。特定の実施中、実施形態では、認証および許可デバイスとして、HSS(Home Subscriber Server、ホーム加入者サーバ)のような他のデバイスが使用されてもよい。
図2は、本発明の実施形態による、EPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法である。認証および許可デバイスは、ユーザ機器のアクセスの信頼関係を判定し、PDN-GWにユーザ機器のアクセスの信頼関係指示を含むメッセージを送信し、PDN-GWは、データセキュリティチャネルの正確な確立を保証するために、メッセージ内で示される、ユーザアクセスの信頼関係にしたがって、データセキュリティチャネルを確立または更新する。
201.アクセス側の認証および許可要求を受信する。
UEが、S2cインタフェースを介してEPCにアクセスする場合、AAAサーバは、アクセス側の認証および許可要求を受信し、認証および許可要求は、アクセスされるUEのための認証および許可を要求する。UEがEPCにアクセスする方法は、異なるため、UEが、信頼される非3GPPアクセスネットワークを使用することによってアクセスを実行する場合、アクセス側は、信頼される非3GPPアクセスネットワークを参照し、UEが、信頼されない非3GPPアクセスネットワークを使用することによってアクセスを実行する場合、アクセス側は、信頼されない非3GPPアクセスネットワークまたはePDGを参照する。
202.ユーザ機器のアクセスの信頼関係を判定する。
AAAサーバは、ユーザ機器のアクセスが、信頼されるアクセスまたは信頼されないアクセスのいずれであるかを、アクセス側の認証および許可要求内に担持されるパラメータにしたがって判定し、パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子Visited Network Identity(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
203.ユーザ機器のS6bインタフェースセッションが存在する場合、パケットデータゲートウェイが、信頼関係についての情報にしたがって、S2cのデータセキュリティチャネルを確立または更新するように、信頼関係についての情報を含むメッセージを、パケットデータゲートウェイに送信する。
AAAサーバは、UEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。S6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可を実行するようにAAAサーバに要求していることを示し、UEのアクセスは、ハンドオーバシナリオであるべきである。この場合、AAAサーバは、メッセージをPDN-GWに送信し、メッセージは、UEのアクセスの信頼関係、すなわち、UEのアクセスが、信頼される非3GPPアクセスまたは信頼されない非3GPPアクセスのどちらであるかを示す情報を含む。PDN-GWは、受信したUEのアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
本発明のこの実施形態では、アクセス側の認証および許可要求が受信されると、UEのS6bインタフェースセッションがすでに存在する場合、PDN-GWが、S2cトンネルのデータセキュリティチャネルを正確に確立または更新することができるように、UEのアクセスの信頼関係についての情報を含むメッセージが、PDN-GWに送信される。
以下は、具体的な例を組み合わせることによって、本発明の実施形態をより詳細に説明する。図3は、本発明の実施形態による、信頼される非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
301.UEが、EAP-RSP認証要求メッセージを、信頼される非3GPPアクセスネットワークに送信する。
302.信頼される非3GPPアクセスネットワークは、認証および許可要求をAAAサーバに送信し、認証および許可要求は、アクセスネットワーク識別子ANIDおよびアクセスタイプを含み、さらに、アクセスネットワークで使用されるセキュリティメカニズムのようなパラメータを含んでよい。ローミングシナリオでは、認証および許可要求は、AAAサーバエージェントを使用することによって、アクセスネットワークによって、AAAサーバに転送される必要があり、認証および許可要求は、さらに、訪問先ネットワーク識別子、すなわち、Visited Network Identityを含む。
AAAサーバは、UEのアクセスが、信頼されるアクセスまたは信頼されないアクセスのどちらであるかを、受信した要求内のパラメータにしたがって判定する。ここで、アクセスは、信頼されるアクセスであると判定され、すなわち、UEのアクセスは、信頼される非3GPPアクセスネットワークを使用することによって実行される。パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子Visited Network Identity(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
303.AAAサーバは、認証および許可応答メッセージを、信頼される非3GPPアクセスネットワークに送信し、応答メッセージは、信頼されるアクセスの結果を含む。
304.信頼される非3GPPアクセスネットワークは、EAP-REQ認証応答メッセージをUEに送信し、応答メッセージは、信頼されるアクセスの結果を含む。
305.AAAサーバは、UEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。S6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可についてAAAサーバに要求していることを示し、アクセスは、ハンドオーバシナリオであるべきである。AAAサーバは、信頼関係をPDN-GWに送信し、すなわち、AAAサーバは、信頼関係メッセージをPDN-GWに送信し、信頼関係メッセージは、「信頼される」または「信頼されない」である値を有する信頼関係情報要素を含む。この場合、現在、信頼されるアクセスであることを表す「信頼される」が示される。
306.信頼されるアクセスを示す信頼関係メッセージを受信した後、PDN-GWは、いつでも、UEとのChild SAを確立するための手順を開始することができる。PDN-GWは、UEによって開始されたChild SA確立要求を受信すると、要求を受け入れ、Child SAを確立する。
具体的な実施手順では、AAAサーバは、信頼される非3GPPアクセスネットワークによって送信された認証および許可要求を受信し、ユーザ機器のアクセスが信頼されるアクセスであることを判定し、UEのS6bインタフェースセッションがすでに存在する場合、AAAサーバは、信頼関係メッセージをPDN-GWに送信することができる。すなわち、ステップ305は、ステップ302の後に実行され、ステップ303、304、および305に関する厳密な実行順序は、存在しない。同様に、信頼されるアクセスを示す信頼関係メッセージを受信した後、PDN-GWは、いつでも、UEとのChild SAを確立するための手順を開始することができる。すなわち、ステップ306は、ステップ305の後にいつでも実行されてよく、ステップ303、304、および306に関する厳密な実行順序は、存在しない。しかしながら、ステップ301〜304は、概略的なフローチャート内の順序にしたがって実行される。
本発明のこの実施形態では、信頼される非3GPPアクセスネットワークの認証および許可要求が受信されると、ユーザ機器のアクセスの信頼関係が信頼されるアクセスであると判定され、UEのS6bインタフェースセッションがすでに存在する場合、PDN-GWがアクセスシナリオを識別することができ、データセキュリティチャネルの正確な確立または更新を完了することができるように、UEのアクセスの信頼関係についての情報を含むメッセージがPDN-GWに送信される。
図4は、本発明の実施形態による、信頼されない非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
401.UEは、EAP-RSP認証要求メッセージを、信頼されない非3GPPアクセスネットワークに送信する。
402.信頼されない非3GPPアクセスネットワークは、認証および許可要求をAAAサーバに送信し、認証および許可要求は、アクセスネットワーク識別子ANIDおよびアクセスタイプを含み、さらに、アクセスネットワークで使用されるセキュリティメカニズムのようなパラメータを含んでよい。ローミングシナリオでは、アクセスネットワークによって提出された認証および許可要求は、AAAサーバエージェントを使用することによって、AAAサーバに転送される必要があり、要求は、訪問先ネットワーク識別子、すなわち、Visited Network Identityを含む。
AAAサーバは、ユーザ機器のアクセスが、信頼されるアクセスまたは信頼されないアクセスのどちらであるかを、認証および許可要求内のパラメータにしたがって判定する。アクセスは、信頼されないアクセスであると判定され、すなわち、UEのアクセスは、信頼されない非3GPPアクセスネットワークを使用することによって実行される。パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子Visited Network Identity(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
403.AAAサーバは、認証および許可応答メッセージを、信頼されない非3GPPアクセスネットワークに送信し、応答メッセージは、信頼されないアクセスの結果を含む。
404.信頼されない非3GPPアクセスネットワークは、EAP-REQ認証応答メッセージをUEに送信し、応答メッセージは、信頼されないアクセスの結果を含む。
405.AAAサーバは、UEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。S6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可についてAAAサーバに要求していることを示し、現在のアクセスは、ハンドオーバシナリオであるべきである。AAAサーバは、信頼関係メッセージをPDN-GWに送信し、信頼関係メッセージは、「信頼される」または「信頼されない」である値を有する信頼関係情報要素を含む。この場合、現在のアクセスが信頼されないアクセスであることを表す「信頼されない」が示される。
UEのアクセスが信頼されないアクセスであることを示すメッセージを受信した後、PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
具体的な実施手順では、AAAサーバは、信頼されない非3GPPアクセスネットワークによって送信された認証および許可要求を受信し、UEのアクセスが信頼されないアクセスであることを判定し、UEのS6bインタフェースセッションがすでに存在する場合、AAAサーバは、信頼関係メッセージをPDN-GWに送信することができる。すなわち、ステップ405は、ステップ402の後に実行され、ステップ403、404、および405に関する厳密な実行順序は、存在しない。しかしながら、ステップ401〜404は、概略的なフローチャート内の順序にしたがって実行される。
本発明のこの実施形態では、信頼されない非3GPPアクセスネットワークの認証および許可要求が受信されると、UEのアクセスの信頼関係が信頼されないアクセスであると判定され、UEに関連するS6bインタフェースセッションがすでに存在する場合、PDN-GWがアクセスシナリオを識別することができ、データセキュリティチャネルの正確な確立または更新を完了することができるように、UEのアクセスの信頼関係についての情報を含むメッセージがPDN-GWに送信される。
図5は、本発明の実施形態による、信頼されない非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
501.UEは、UEおよびePDG間のIPSecの確立を要求するために、IKE認証要求を進化型パケットデータゲートウェイePDGに送信する。
502.ePDGは、認証および許可要求をAAAサーバに送信し、認証および許可要求は、アクセスネットワーク識別子ANIDおよびアクセスタイプを含み、さらに、アクセスネットワークで使用されるセキュリティメカニズムのようなパラメータを含んでよい。ローミングシナリオでは、認証および許可要求は、AAAサーバエージェントを使用することによって転送される必要があり、要求は、訪問先ネットワーク識別子、すなわち、Visited Network Identityを含む。
AAAサーバは、UEが、信頼されるアクセスまたは信頼されないアクセスのどちらであるかを、認証要求内のパラメータにしたがって判定する。アクセスは、信頼されないアクセスであると判定され、すなわち、UEのアクセスは、信頼されない非3GPPアクセスネットワークを使用することによって実行される。パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子Visited Network Identity(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
503.AAAサーバは、認証および許可応答メッセージをePDGに送信する。
504.ePDGは、IKE認証応答メッセージをUEに送信する。
505.AAAサーバは、UEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。S6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可についてAAAサーバに要求していることを示し、この時のアクセスは、ハンドオーバシナリオであるべきである。AAAサーバは、信頼関係メッセージをPDN-GWに送信し、信頼関係メッセージは、「信頼される」または「信頼されない」である値を有する信頼関係情報要素を含む。この場合、現在、信頼されないアクセスであることを表す「信頼されない」が示される。
UEのアクセスが信頼されないアクセスであることを示すメッセージを受信した後、PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
具体的な実施手順では、AAAサーバは、進化型パケットデータゲートウェイePDGによって送信された認証および許可要求を受信し、UEのアクセスが信頼されないアクセスであることを判定し、UEのS6bインタフェースセッションがすでに存在する場合、AAAサーバは、信頼関係メッセージをPDN-GWに送信することができる。すなわち、ステップ505は、ステップ502の後に実行され、ステップ503、504、および505に関する厳密な実行順序は、存在しない。しかしながら、ステップ501〜504は、概略的なフローチャート内の順序にしたがって実行される。
本発明のこの実施形態では、進化型パケットデータゲートウェイePDGの認証および許可要求が受信されると、UEのアクセスの信頼関係が信頼されないアクセスであると判定され、UEのS6bインタフェースセッションがすでに存在する場合、PDN-GWがアクセスシナリオを識別することができ、データセキュリティチャネルの正確な確立または更新を完了することができるように、UEのアクセスの信頼関係についての情報を含むメッセージがPDN-GWに送信される。
図6は、本発明の別の実施形態による、EPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法である。PDN-GWは、パケットデータネットワーク接続確立要求を受信し、許可要求を認証および許可デバイスに送信し、現在のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、認証および許可デバイスの応答メッセージ内に示される。
601.ユーザ機器のパケットデータネットワーク接続確立要求を受信する。
UEが、S2cインタフェースを介して、非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信するパケットデータネットワーク接続確立要求は、UEによって送信される結合更新Binding Updateメッセージであり、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信するパケットデータネットワーク接続確立要求は、MME(Mobility Management Entity、モビリティ管理ネットワーク要素)によって送信されるセッション確立メッセージであり、セッション確立メッセージは、ユーザ機器によって送信されたパケットデータネットワーク接続要求を受信した後、モビリティ管理ネットワーク要素によって送信される。
602.ユーザ機器のS6bインタフェースセッションがすでに存在するか、またはユーザ機器とのセキュリティアソシエーションがすでに存在する場合、許可要求メッセージを認証および許可デバイスに送信する。
PDN-GWは、アクセスされるUEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、PDN-GWは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するか否かを判定し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、許可要求をAAAサーバに送信する。
603.認証および許可デバイスによって送信された許可応答メッセージを受信し、許可応答メッセージは、ユーザ機器のアクセスの信頼関係についての情報を含み、信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
AAAサーバによって返された許可応答メッセージは、受信され、ユーザ機器のアクセスの信頼関係、すなわち、ユーザ機器のアクセスが、信頼される非3GPPアクセスであるか、信頼されない非3GPPアクセスであるか、または、3GPPアクセスであるかについての情報を含む。PDN-GWは、受信したユーザ機器のアクセスの信頼関係にしたがって、S2cのデータセキュリティチャネルを確立または更新する。
本発明のこの実施形態では、ユーザ機器のパケットデータネットワーク接続確立要求が受信されると、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、許可要求メッセージが認証および許可デバイスに送信され、S2cトンネルのデータセキュリティチャネルが、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新され、信頼関係は、認証および許可デバイスの応答メッセージ内に示される。
以下は、具体的な例を組み合わせることによって、本発明の別の実施形態をより詳細に説明する。図7は、本発明の別の実施形態による、信頼される非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
701.PDN-GWが、UEのローカルアドレスをUEのホームアドレスに結合し、UEおよびPDN-GW間のデータ接続を確立するように、UEが、結合更新要求Binding UpdateメッセージをPDN-GWに送信する。
702.PDN-GWが結合更新要求メッセージを受信した後、PDN-GWは、UEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、PDN-GWは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するか否かを判定し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、許可要求をAAAサーバに送信する。許可要求メッセージは、UEアイデンティティを含み、さらに、ネットワーク識別子を含む。ネットワーク識別子は、以下の情報のタイプ、すなわち、アクセスネットワーク識別子、アクセスネットワークで使用されるセキュリティメカニズム、アクセスタイプの1つまたは複数を含み、ローミングシナリオの場合、訪問先ネットワークアイデンティティがさらに含まれる。
703.AAAサーバは、ユーザ機器のアクセスが信頼されるアクセスであるか否かを、構成されたポリシーにしたがって判定し、許可応答メッセージをPDN-GWに送信し、許可応答メッセージは、ユーザ機器のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または「3GPP」である値を有する信頼関係情報要素を含む。ここで、値は、信頼される非3GPPアクセスを示す「信頼される」である。
AAAサーバによって、ユーザ機器のアクセスが信頼されるアクセスであるか否かを判定する方法は、ネットワーク識別子および信頼関係間の対応をポリシーに含めること、および、ユーザ機器のアクセスの信頼関係を判定するために、AAAサーバによって、許可応答メッセージ内のネットワーク識別子にしたがって、構成されたポリシーに問い合わせることであってよい。ポリシーでは、信頼関係が、アクセスネットワーク識別子にしたがって判定される必要があるが、許可要求メッセージが、アクセスネットワーク識別子を含まず、アクセスタイプを含む場合、AAAサーバは、アクセスタイプにしたがってアクセスネットワーク識別子を構成することもできる。具体的な方法は、以下の通りであり、すなわち、アクセスタイプは、一般的に、整数型の方法を使用することによって表され、例えば、0は、WLANを表し、2001は、HRPDを表し、したがって、AAAサーバは、アクセスタイプの整数に対応する特定のアクセスタイプ記述を知るために、アクセスタイプにしたがって、テーブルに問い合わせ、記述は、文字列を使用することによって表され、アクセスネットワーク識別子のプレフィックスとして機能し、この場合、アクセスネットワークプレフィックスは、「WLAN」および「HRPD」のような文字列であり、プレフィックスの他に、アクセスネットワーク識別子は、追加の文字列を有さなくてよく、または、生成規則が、AAAサーバ自体によって決定される。
判定方法は、以下のように実施されてよく、すなわち、信頼関係およびネットワーク識別子間の対応の記録がポリシー内に含められ、構成されたポリシーデータテーブルが問い合わされ、ネットワーク識別子に対応する信頼関係が信頼されるアクセスである場合、UEのアクセスは、信頼されるアクセスであると判定され、かつ信頼関係が信頼されないアクセスである場合、UEのアクセスは、信頼されないアクセスであると判定される。
704.PDN-GWは、結合更新確認メッセージをUEに送信する。
705.AAAサーバから、ユーザ機器のアクセスが信頼されるアクセスであることを示す許可応答メッセージを受信した後、PDN-GWは、いつでも、UEとのChild SAを確立するための手順を開始することができる。PDN-GWは、UEによって開始されたChild SA確立要求を受信すると、要求を受け入れ、Child SAを確立する。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、信頼される非3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、および、PDN-GWが、UEの結合更新要求Binding Updateメッセージを受信する場合、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、許可要求メッセージが認証および許可デバイスに送信され、S2cトンネルのデータセキュリティチャネルが、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新され、信頼関係は、認証および許可デバイスの応答メッセージ内で示され、ここでは、信頼されるアクセスである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図8は、本発明の別の実施形態による、信頼されない非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。図8の方法は、図7の方法に対応する。したがって、いくつかの詳細な説明を、適宜省略する。
801.PDN-GWが、UEのローカルアドレスをUEのホームアドレスに結合し、UEおよびPDN-GW間のデータ接続を確立するように、UEが、結合更新要求Binding UpdateメッセージをPDN-GWに送信する。
802.PDN-GWが結合更新要求メッセージを受信した後、PDN-GWは、UEのS6bセッションがすでに存在するか否か、または、UEとのセキュリティアソシエーションが確立されているか否かを判定する。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、許可要求メッセージをAAAサーバに送信する。許可要求メッセージは、UEアイデンティティを含み、さらに、ネットワーク識別子を含む。ネットワーク識別子は、以下の情報のタイプ、すなわち、アクセスネットワーク識別子、アクセスネットワークで使用されるセキュリティメカニズム、アクセスタイプの1つまたは複数を含み、ローミングシナリオの場合、訪問先ネットワークアイデンティティがさらに含まれる。
803.AAAサーバは、ユーザ機器のアクセスが信頼されるアクセスであるか否かを、構成されたポリシーにしたがって判定し、許可応答メッセージをPDN-GWに送信し、許可応答メッセージは、現在のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または「3GPP」である値を有する信頼関係情報要素を含む。ここで、値は、信頼されない非3GPPアクセスを示す「信頼されない」である。ユーザ機器のアクセスが信頼されないアクセスであることを示すメッセージを受信した後、PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
804.PDN-GWは、結合更新確認メッセージをUEに送信する。
本発明のこの実施形態では、UEが、S2cインタフェースを使用することによって、信頼されない非3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、および、PDN-GWが、UEの結合更新要求Binding Updateメッセージを受信する場合、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、許可要求メッセージが認証および許可デバイスに送信され、S2cトンネルのデータセキュリティチャネルが、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新され、信頼関係は、認証および許可デバイスの許可応答メッセージ内で示され、ここでは、信頼されないアクセスである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図9は、本発明の別の実施形態による、3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
901.UEは、PDN(Packet Data Network、パケットデータネットワーク)接続要求をMMEに送信する。
902.MMEは、UEに関するPDN接続を確立するために、セッション確立要求をPDN-GWに送信する。セッション確立要求は、UEアイデンティティ、PDNタイプ、無線アクセスタイプ、などを含む。PDNタイプは、PDN接続のためにUEに割り当てられるIPアドレスの、IPv4、IPv6、またはIPv4v6のようなタイプを示す。無線アクセスタイプは、この場合、3GPPアクセス、例えば、E-UTRANおよびUTRANを示す。ハンドオーバシナリオの場合、要求メッセージは、さらに、ハンドオーバ指示を含む。
903.セッション確立要求メッセージを受信した後、PDN-GWは、UEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、PDN-GWは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するか否かを判定し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、許可要求をAAAサーバに送信する。許可要求メッセージは、UEアイデンティティを含み、さらに、ネットワーク識別子を含みネットワーク識別子は、以下の情報のタイプ、すなわち、アクセスネットワーク識別子、および無線アクセスタイプの1つまたは複数を含む。
904.AAAサーバは、ユーザ機器のアクセスが信頼されるアクセスであるか否かを、構成されたポリシーにしたがって判定し、許可応答メッセージをPDN-GWに送信し、許可応答メッセージは、ユーザ機器のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または「3GPP」である値を有する信頼関係情報要素を含む。ここで、値は、3GPPアクセスを示す「3GPP」である。現在のアクセスが3GPPアクセスであることを示すメッセージを受信した後、PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
AAAサーバによって、ユーザ機器のアクセスが信頼されるアクセスであるか否かを判定する方法は、ネットワーク識別子および信頼関係間の対応をポリシーに含めること、および、ユーザ機器のアクセスの信頼関係を判定するために、サーバによって、許可応答メッセージ内のネットワーク識別子にしたがって、構成されたポリシーに問い合わせることであってよい。ポリシーでは、信頼関係が、アクセスネットワーク識別子にしたがって判定される必要があるが、許可要求メッセージが、アクセスネットワーク識別子を含まず、無線アクセスタイプを含む場合、AAAサーバは、無線アクセスタイプにしたがってアクセスネットワーク識別子を構成することもできる。具体的な方法は、以下の通りであり、すなわち、無線アクセスタイプは、一般的に、整数型の方法を使用することによって表され、例えば、3は、WLANを表し、かつ6は、E-UTRANを表し、したがって、AAAサーバは、無線アクセスタイプの整数に対応する特定のアクセスタイプ記述を知るために、無線アクセスタイプにしたがって、テーブルに問い合わせ、記述は、文字列を使用することによって表され、アクセスネットワーク識別子のプレフィックスとして機能し、この場合、アクセスネットワーク識別子のプレフィックスは、「WLAN」および「E-UTRAN」のような文字列であり、プレフィックスの他に、アクセスネットワーク識別子は、追加の文字列を有さなくてよく、または、生成規則が、AAAサーバ自体によって決定される。
判定方法は、以下のように実施されてよく、すなわち、信頼関係およびネットワーク識別子間の対応の記録がポリシー内に含められ、構成されたポリシーデータテーブルが問い合わされ、ネットワーク識別子に対応する信頼関係が、信頼されるアクセスである場合、ユーザ機器のアクセスは、信頼されるアクセスであると判定され、信頼関係が、信頼されないアクセスである場合、ユーザ機器のアクセスは、信頼されないアクセスであると判定され、かつ信頼関係が3GPPアクセスである場合、ユーザ機器のアクセスは、3GPPアクセスであると判定される。
905.PDN-GWは、セッション確立確認メッセージをMMEに送信する。
906.MMEは、PDN接続要求に対する応答メッセージをUEに送信する。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、MMEは、UEのPDN接続要求にしたがって、セッション確立要求メッセージをPDN-GWに送信し、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、PDN-GWは、許可要求メッセージを認証および許可デバイスに送信し、S2cトンネルのデータセキュリティチャネルを、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新し、信頼関係は、認証および許可デバイスの応答メッセージ内で示され、ここでは、3GPPアクセスである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図10は、本発明のさらに別の実施形態による、3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。PDN-GWは、パケットデータネットワーク接続確立要求を受信し、確立要求メッセージ内の情報にしたがって、ユーザ機器のアクセスの信頼関係を判定し、S2cトンネルのデータセキュリティチャネルを確立または更新する。
1001.UEは、PDN接続要求をMMEに送信する。
1002.MMEは、UEに関するPDN接続を確立するために、セッション確立要求をPDN-GWに送信する。セッション確立要求は、UEアイデンティティ、PDNタイプ、および無線アクセスタイプのような情報を含む。無線アクセスタイプは、この場合、3GPPアクセス、例えば、E-UTRANおよびUTRANを示す。PDNタイプは、PDN接続のためにUEに割り当てられるIPアドレスの、IPv4、IPv6、またはIPv4v6のようなタイプを示す。ハンドオーバシナリオの場合、要求メッセージは、さらに、ハンドオーバ指示を含む。
PDN-GWは、UEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、PDN-GWは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するか否かを判定し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、セッション確立要求内の無線アクセスタイプ情報にしたがって、ユーザ機器のアクセスの信頼関係を、3GPPアクセスであると判定する。PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
1003.PDN-GWは、セッション確立確認メッセージをMMEに送信する。
1004.MMEは、PDN接続要求に対する応答メッセージをUEに送信する。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、MMEは、UEのPDN接続要求にしたがって、セッション確立要求メッセージをPDN-GWに送信し、PDN-GWが、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されていると判定した場合、PDN-GWは、セッション確立要求メッセージ内の情報にしたがって、ユーザ機器のアクセスの信頼関係を判定し、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、ここでは3GPPである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図11は、本発明のさらに別の実施形態による、3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。PDN-GWは、UEのセキュリティアソシエーション確立要求を受信し、認証および許可要求メッセージを認証および許可デバイスに送信し、ユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、認証および許可デバイスの応答メッセージ内に示される。
1101.UEは、PDN接続要求をMMEに送信する。
1102.MMEは、UEに関するPDN接続を確立するために、セッション確立要求をPDN-GWに送信する。セッション確立要求は、UEアイデンティティ、PDNタイプ、無線アクセスタイプ、などを含む。PDNタイプは、PDN接続のためにUEに割り当てられるIPアドレスの、IPv4、IPv6、またはIPv4v6のようなタイプを示す。無線アクセスタイプは、この場合、3GPPアクセス、例えば、E-UTRANおよびUTRANを示す。ハンドオーバシナリオの場合、要求メッセージは、さらに、ハンドオーバ指示を含む。
1103.PDN-GWは、セッション確立確認メッセージをMMEに送信する。
1104.MMEは、PDN接続要求に対する応答メッセージをUEに送信する。
1105.UEは、UEおよびPDN-GW間のDSMIPv6 SAを確立するために、セキュリティアソシエーション確立要求をPDN-GWに送信し、セキュリティアソシエーション確立要求は、具体的には、IKE認証要求のようなセキュリティアソシエーション確率要求メッセージであってよく、APN(Access Point Name、アクセスポイント名)情報を含む。
1106.PDN-GWは、APNおよびPDN-GW情報を登録するために、認証および許可要求メッセージをAAAサーバに送信し、要求メッセージは、UEアイデンティティを含む。ネットワーク識別子がさらに含まれてよく、ネットワーク識別子は、以下のタイプの情報、すなわち、アクセスネットワーク識別子および無線アクセスタイプの1つまたは複数を含む。
1107.AAAサーバは、ユーザ機器のアクセスの信頼関係を、構成されたポリシーにしたがって判定し、認証および許可応答メッセージをPDN-GWに送信し、メッセージは、「信頼される」、「信頼されない」、「3GPP」、または「UNKNOWN」である値を有する信頼関係情報要素を含み、この場合、「3GPP」、または「UNKNOWN」が示され、値「3GPP」は、現在のアクセスが3GPPであることを表し、かつ値「UNKNOWN」は、AAAサーバが、ユーザ機器のアクセスの信頼関係を提供することができないことを表す。信頼関係が「UNKNOWN」であることを示すメッセージを受信した後、PDN-GWは、ユーザ機器のアクセスの信頼関係を、ステップ1102で受信したセッション確立要求内の無線アクセスタイプ情報にしたがって判定し、信頼関係は、この場合では3GPPである。
AAAによって送信され、ユーザ機器のアクセスが3GPPであることを示すメッセージを受信した後、または、ユーザ機器のアクセスの信頼関係が「UNKNOWN」であることを示すメッセージを受信した後、PDN-GWは、自分自身によって、ユーザ機器のアクセスが3GPPアクセスであると判定し、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
AAAサーバによって、ユーザ機器のアクセスが信頼されるアクセスであるか否かを判定する方法は、ネットワーク識別子および信頼関係間の対応をポリシーに含めること、および、ユーザ機器のアクセスの信頼関係を判定するために、AAAサーバによって、許可応答メッセージ内のネットワーク識別子にしたがって、構成されたポリシーに問い合わせることであってよい。ポリシーでは、信頼関係が、アクセスネットワーク識別子にしたがって判定される必要があるが、許可要求メッセージが、アクセスネットワーク識別子を含まず、無線アクセスタイプを含む場合、AAAサーバは、無線アクセスタイプにしたがってアクセスネットワーク識別子を構成することもできる。具体的な方法は、以下の通りであり、すなわち、無線アクセスタイプは、一般的に、整数型の方法を使用することによって表され、例えば、3は、WLANを表し、かつ6は、E-UTRANを表し、したがって、AAAサーバは、無線アクセスタイプの整数に対応する特定のアクセスタイプ記述を知るために、無線アクセスタイプにしたがって、テーブルに問い合わせ、記述は、文字列を使用することによって表され、アクセスネットワーク識別子のプレフィックスとして機能し、この場合、アクセスネットワーク識別子のプレフィックスは、「WLAN」および「E-UTRAN」のような文字列であり、プレフィックスの他に、アクセスネットワーク識別子は、追加の文字列を有さなくてよく、または、生成規則が、AAAサーバ自体によって決定される。
判定方法は、以下のように実施されてよく、すなわち、信頼関係およびネットワーク識別子間の対応の記録がポリシー内に含められ、構成されたポリシーデータテーブルが問い合わされ、ネットワーク識別子に対応する信頼関係が、信頼されるアクセスである場合、ユーザ機器のアクセスは、信頼されるアクセスであると判定され、信頼関係が、信頼されないアクセスである場合、ユーザ機器のアクセスは、信頼されないアクセスであると判定され、信頼関係が3GPPである場合、ユーザ機器のアクセスは、3GPPアクセスであると判定され、かつ対応する記録が見つからない場合、ユーザ機器のアクセスの信頼関係が判定され得ないことを表す「UNKNOWN」が返される。
1108.PDN-GWは、セキュリティアソシエーション確立応答メッセージをUEに送信し、応答メッセージは、PDN-GWによってUEに割り当てられたIPアドレスを含む。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、PDN-GWは、UEのセキュリティアソシエーション確立要求を受信し、次に、認証および許可要求メッセージを認証および許可デバイスに送信し、S2cトンネルのデータセキュリティチャネルを、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新し、信頼関係は、認証および許可デバイスの応答メッセージ内で示され、3GPPアクセスとして示されるか、または判定され得ない。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図12は、本発明の実施形態による認証および許可デバイスのブロック図である。図12中の認証および許可デバイス120の非制限的な例は、受信ユニット1201、認証ユニット1202、および送信ユニット1203を含む、図3〜図5および図7〜図9に示すホーム加入者サーバ/認証、許可、およびアカウンティングサーバデバイスである。
受信ユニット1201は、アクセス側の認証および許可要求を受信するように構成される。認証ユニット1202は、受信した認証および許可要求を認証し、ユーザ機器のアクセスの信頼関係を判定し、UEのS6bセッションがすでに存在する場合、送信ユニットに、信頼関係指示情報を含むメッセージをPDN-GWに送信するように命令するように構成される。送信ユニット1203は、信頼関係指示情報を含むメッセージをPDN-GWに送信するように構成される。
本発明のこの実施形態では、アクセス側の認証および許可要求が受信されると、このときのユーザ機器のアクセスの信頼関係が判定され、UEのS6bインタフェースセッションがすでに存在する場合、PDN-GWが、S2cトンネルのデータセキュリティチャネルを正確に確立または更新することができるように、ユーザ機器のアクセスの信頼関係についての情報を含むメッセージがPDN-GWに送信される。
受信ユニット1201は、アクセス側によって送信された認証および許可要求を受信する。UEが、S2cインタフェースを介してEPSネットワークにアクセスする場合、受信ユニットは、アクセス側の認証および許可要求を受信し、認証および許可要求は、アクセスのための認証および許可を要求する。アクセス方法が異なるため、UEが、信頼される非3GPPアクセスネットワークを使用することによってアクセスを実行する場合、アクセス側は、信頼される非3GPPアクセスネットワークを参照し、UEが、信頼されない非3GPPアクセスネットワークを使用することによってアクセスを実行する場合、アクセス側は、信頼されない非3GPPアクセスネットワークまたはePDGを参照する。
認証ユニット1202は、ユーザ機器のアクセスが、信頼されるアクセスまたは信頼されないアクセスのいずれであるかを、認証および許可要求内に担持されるパラメータにしたがって判定し、パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子Visited Network Identity(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。認証ユニットは、ユーザ機器のアクセスが信頼されるアクセスであるか否かを、構成されたポリシーにしたがって判定し、ポリシーは、アクセスネットワーク識別子(訪問先ネットワーク識別子が、ローミングシナリオではさらに必要とされる)および信頼関係間の対応を含む。判定方法は、認証および許可要求メッセージ内のアクセスネットワーク識別子(訪問先ネットワーク識別子が、ユーザ機器のアクセスの信頼関係を判定するために、ローミングシナリオではさらに必要とされる)にしたがって、構成されたポリシーに問い合わせることであってよい。認証および許可要求メッセージが、アクセスネットワーク識別子を含まない場合、アクセスネットワーク識別子は、アクセスタイプアイデンティティにしたがって構成される必要がある。具体的には、アクセスタイプは、一般的に、整数型の方法を使用することによって表され、例えば、0は、WLANを表し、2001は、HRPDを表し、アクセスネットワークプレフィックスは、「WLAN」および「HRPD」のような文字列であり、認証ユニット1202は、アクセスタイプの整数に対応する特定のアクセスタイプ記述を知るために、アクセスタイプにしたがって、テーブルに問い合わせ、記述は、文字列を使用することによって表され、アクセスネットワーク識別子のプレフィックスとして機能し、プレフィックスの他に、アクセスネットワーク識別子は、追加の文字列を有さなくてよく、または、生成規則が、AAAサーバ自体によって決定される。
判定方法は、以下の方法、すなわち、アクセスネットワーク識別子(訪問先ネットワーク識別子が、ローミングシナリオではさらに必要とされる)に対応する信頼関係を見つけるために、構成されたポリシーデータテーブルに問い合わせ、信頼関係が、信頼されるアクセスである場合、現在のアクセスは、信頼されるアクセスであると判定し、かつ信頼関係が、信頼されないアクセスである場合、現在のアクセスは、信頼されないアクセスであると判定する方法を使用することができる。
認証ユニットは、アクセスされるUEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。UEのS6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可を実行するように、認証および許可デバイスに以前に要求していることを示す。この場合、認証ユニットは、メッセージをPDN-GWに送信するように送信ユニットに命令し、メッセージは、ユーザ機器のアクセスの信頼関係、すなわち、ユーザ機器のアクセスが、信頼される非3GPPアクセスまたは信頼されない非3GPPアクセスのどちらであるかを示す情報を含む。
送信ユニット1203は、メッセージをPDN-GWに送信し、メッセージは、「信頼される」、または「信頼されない」である値を有する信頼関係情報要素を含み、「信頼される」は、信頼されるアクセスを表し、かつ「信頼されない」は、信頼されないアクセスを表す。PDN-GWは、受信したユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
したがって、本発明のこの実施形態では、受信ユニットが、アクセス側の認証および許可要求を受信すると、認証ユニットは、ユーザ機器のアクセスの信頼関係を判定し、ユーザ機器のS6bインタフェースセッションがすでに存在する場合、PDN-GWが、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができるように、ユーザ機器のアクセスの信頼関係についての情報を含むメッセージをに送信する。
図13は、本発明の別の実施形態によるゲートウェイデバイスのブロック図である。図13中のゲートウェイデバイス130の非制限的な例は、受信ユニット1301、確認ユニット1302、送信ユニット1303、および確立ユニット1304を含む、図3〜図5および図7〜図11に示すパケットデータゲートウェイである。
受信ユニット1301は、ユーザ機器のパケットデータネットワーク接続確立要求を受信し、かつ認証および許可デバイスによって送信された許可応答メッセージを受信し、許可応答メッセージは、ユーザ機器のアクセスの信頼関係についての情報を含み、確認ユニット1302は、受信ユニットがパケットデータネットワーク接続確立要求を受信すると、ユーザ機器のS6bセッションが存在すること、または、ユーザ機器とのセキュリティアソシエーションがすでに存在することを確認し、次に、送信ユニットに、許可要求メッセージを認証および許可デバイスに送信するように命令し、送信ユニット1303は、許可要求メッセージを認証および許可デバイスに送信し、確立ユニット1304は、許可応答メッセージ内の信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
この実施形態では、パケットデータネットワーク接続確立要求を受信すると、ゲートウェイデバイスは、許可要求メッセージを認証および許可デバイスに送信し、ユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、認証および許可デバイスの許可応答メッセージ内に示される。
受信ユニット1301は、ユーザ機器のパケットデータネットワーク接続確立要求を受信する。UEが、S2cインタフェースを介して、非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信されるパケットデータネットワーク接続確立要求は、UEによって送信される結合更新Binding Updateメッセージであり、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信するパケットデータネットワーク接続確立要求は、MMEによって送信されるセッション確立メッセージであり、セッション確立メッセージは、ユーザ機器によって送信されたパケットデータネットワーク接続要求を受信した後、モビリティ管理ネットワーク要素によって送信される。
確認ユニット1302は、現在アクセスされるUEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを確認し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、確認ユニットは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するかどうかを確認し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在する場合、または、UEとのセキュリティアソシエーションが確立されている場合、それは、ゲートウェイデバイスが、UEに対する認証および許可を実行するように認証および許可デバイスに以前に要求していることを示す。この場合、送信ユニット1303は、許可要求を認証および許可デバイスに送信するように命令される。
受信ユニット1301は、認証および許可デバイスによって返された認証応答メッセージを受信し、メッセージは、現在のアクセスの信頼関係、すなわち、現在のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスのいずれであるかを示す情報を含む。具体的な方法は、ユーザ機器のアクセスが、信頼される3GPPアクセス、信頼されない3GPPアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または「3GPP」である値を有する信頼関係情報要素を、メッセージが含むことである。
確立ユニット1304は、ユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、受信する応答メッセージに含まれる。メッセージが、ユーザ機器のアクセスが信頼されるアクセスであることを示す場合、確立ユニットは、いつでも、UEとのChild SAを確立するための手順を開始することができる。確立ユニットは、UEによって開始されたChild SA確立要求を受信すると、要求を受け入れ、Child SAを確立する。メッセージが、ユーザ機器のアクセスが信頼されないアクセスまたは3GPPアクセスであることを示す場合、確立ユニットは、Child SAを確立するための手順をもはや開始せず、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、ゲートウェイデバイスおよびUE間にすでに存在する場合、確立ユニットは、Child SA削除手順を開始する。
したがって、本発明のこの実施形態では、ゲートウェイデバイスが、パケットデータネットワーク接続確立要求を受信すると、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、許可要求が認証および許可デバイスに送信され、S2cトンネルのデータセキュリティチャネルが、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新され、信頼関係は、UEが、S2cインタフェースを介してEPSネットワークにアクセスする場合、S2cトンネルのデータセキュリティチャネルの正確な確立または更新が保証されるように、認証および許可デバイスの応答メッセージ内に示される。
図14は、本発明のさらに別の実施形態によるゲートウェイデバイスのブロック図である。図13中のゲートウェイデバイス140の非制限的な例は、受信ユニット1401、確認ユニット1402、および確立ユニット1403を含む、図10または図11に示すパケットデータゲートウェイである。
受信ユニット1401は、ユーザ機器のパケットデータネットワーク接続確立要求を受信する。確認ユニット1402は、受信ユニットがパケットデータネットワーク接続確立要求を受信すると、ユーザ機器のS6bセッションが存在すること、または、ユーザ機器とのセキュリティアソシエーションがすでに存在することを確認し、次に、ユーザ機器のアクセスの信頼関係を、要求内の無線アクセスタイプ情報にしたがって判定する。確立ユニット1403は、確認ユニットによって決定された、ユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
受信ユニット1401は、ユーザ機器のパケットデータネットワーク接続確立要求を受信し、パケットデータネットワーク接続確立要求は、MMEによって送信されるセッション確立メッセージであり、セッション確立メッセージは、ユーザ機器によって送信されたパケットデータネットワーク接続要求を受信した後に、モビリティ管理ネットワーク要素によって送信される。セッション確立要求は、UEアイデンティティ、PDNタイプ、および無線アクセスタイプのような情報を含む。無線アクセスタイプは、この場合、3GPPアクセス、例えば、E-UTRANおよびUTRANを示す。PDNタイプは、PDN接続のためにUEに割り当てられるIPアドレスの、IPv4、IPv6、またはIPv4v6のようなタイプを示す。ハンドオーバシナリオの場合、要求メッセージは、さらに、ハンドオーバ指示を含む。
確認ユニット1402は、UEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを確認し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、確認ユニット1402は、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するかどうかを確認し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在する場合、または、UEとのセキュリティアソシエーションが確立されている場合、それは、ゲートウェイデバイスが、UEに対する認証および許可を実行するように認証および許可デバイスに以前に要求していることを示す。この場合、確認ユニットは、受信ユニットによって受信されるパケットデータネットワーク接続確立要求内の無線アクセスタイプ情報にしたがって、ユーザ機器のアクセスの信頼関係を、3GPPアクセスであると判定する。
確立ユニット1403は、確認ユニットによって判定されるユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。ユーザ機器のアクセスは、3GPPアクセスであり、確立ユニットは、Child SAを確立するための手順をもはや開始せず、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、ゲートウェイデバイスおよびUE間にすでに存在する場合、確立ユニットは、Child SA削除手順を開始する。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、MMEは、UEのPDN接続要求にしたがって、セッション確立要求メッセージをゲートウェイデバイスに送信し、ゲートウェイデバイスは、UEのS6bインタフェースセッションが存在するか否か、または、UEとのセキュリティアソシエーションが確立されているか否かを判定し、S6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、ゲートウェイデバイスは、セッション確立要求メッセージ内の情報にしたがって、ユーザ機器の現在のアクセスの信頼関係を判定し、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、ここでは3GPPアクセスである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
本発明の実施形態による通信システムは、認証および許可デバイス120および/またはゲートウェイデバイス130を含むことができる。
本発明の実施形態による通信システムは、認証および許可デバイス120および/またはゲートウェイデバイス140を含むこともできる。
当業者は、本明細書に開示される実施形態で説明される例と組み合わせて、ユニットおよびアルゴリズムステップが、電子ハードウェア、コンピュータソフトウェア、またはそれらの組み合わせによって実施されてよいことを認識することができる。ハードウェアおよびソフトウェア間の互換性を明確に説明するために、上記は、各例の構成およびステップを、機能によって一般に説明してきた。機能が、ハードウェアまたはソフトウェアのどちらによって実行されるかは、技術的解決法の特定の用途および設計制約条件に依存する。当業者は、各特定の用途のための上述した機能を実施するために、異なる方法を使用することができるが、実施が本発明の範囲を越えると考えられるべきではない。
便利でおよび簡潔な説明の目的のため、前述のシステム、デバイス、およびユニットの詳細な作業プロセスについて、前述の方法の実施形態の対応するプロセスを参照することができ、詳細は、本明細書で再び説明されないことは、当業者によって明確に理解され得る。
本出願で提供されるいくつかの実施形態では、開示されるシステム、デバイス、および方法は、他の方法で実施されてよいことが理解されるべきである。例えば、上述したデバイスの実施形態は、単なる例示である。例えば、ユニットの区分は、単なる論理的機能の区分であり、実施の実施では他の区分であってよい。例えば、複数のユニットまたは構成要素が、組み合わされてよく、または、別のシステムに統合されてよく、または、いくつかの機能は、無視されてよく、または、実行されなくてよい。加えて、表示されるまたは議論される相互結合、または、直接的な結合もしくは通信接続は、いくつかのインタフェースを介して実施されてよい。デバイス間またはユニット間の間接的な結合または通信接続は、電子的、機械的、または他の形態で実施されてよい。
別個の部分として説明されるユニットは、物理的に別個であってもなくてもよく、ユニットとして表示される部分は、物理的ユニットであってもなくてもよく、1つの位置に配置されてよく、または、複数のネットワークユニットに分散されてよい。ユニットの一部または全部は、実施形態の解決法の目的を達成するための実際のニーズにしたがって選択されてよい。
加えて、本発明の実施形態の機能ユニットは、1つの処理ユニット内に統合されてよく、または、ユニットの各々は、物理的に単独で存在してよく、または、2つ以上のユニットが、1つのユニット内に統合されてよい。統合されたユニットは、ハードウェアの形態で実施されてよく、または、ソフトウェア機能ユニットの形態で実施されてよい。
統合されたユニットがソフトウェア機能ユニットの形態で実施され、独立した製品として販売または使用される場合、統合されたユニットは、コンピュータ可読記憶媒体に記憶されてよい。このような理解に基づき、本質的に本発明の技術的解決法、または、従来技術に寄与する部分、または、技術的解決法の全部もしくは一部は、ソフトウェア製品の形態で実施されてよい。コンピュータソフトウェア製品は、記憶媒体に記憶され、本発明の実施形態に記載の方法のステップの全部または一部を実行するために、コンピュータデバイス(パーソナルコンピュータ、サーバ、またはネットワークデバイスであってよい)に命令するためのいくつかの命令を含む。上記記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、読み取り専用メモリ(ROM、Read-Only Memory)、ランダムアクセスメモリ(RAM、Random Access Memory)、磁気ディスク、または光ディスクのような、プログラムコードを記憶することができる任意の媒体を含む。
前述の説明は、単に本発明の特定の実施形態であり、本発明の保護範囲を限定することを目的としない。本発明で開示される技術的範囲内の、当業者によって容易に考えられる変形または置換は、本発明の保護範囲内に入るものとする。したがって、本発明の保護範囲は、添付の特許請求の範囲に従うものとする。
120 認証および許可デバイス
130 ゲートウェイデバイス
140 ゲートウェイデバイス
1201 受信ユニット
1202 認証ユニット
1203 送信ユニット
1301 受信ユニット
1302 確認ユニット
1303 送信ユニット
1304 確立ユニット
1401 受信ユニット
1402 確認ユニット
1403 確立ユニット
モバイルブロードバンド時代の到来により、ユーザは、ブロードバンドアクセスサービスを、どこでも、いつでも使用する必要があり、これは、モバイル通信ネットワークに対する、より高い伝送速度、より小さい遅延、および、より高いシステム容量のような、より高い要求を発生させる。3GPPネットワークの利点を維持するために、3GPP標準化団体は、SAE(システムアーキテクチャエボリューション)計画の研究および標準化作業を開始し、2004年の終わりに、進化型パケットシステムEPS(エボルブドパケットシステム)と呼ばれる新しいモバイル通信ネットワークフレームワークを定義した。コアネットワークの収束と統一の傾向により、3GPPは、また、EPCにアクセスするために、非3GPPアクセスネットワーク、例えば、WLAN、WiMAXなどを使用することによって、EPSシステムのコアネットワークEPC(Evolved Packet Core、エボルブドパケットシステムのコア部分)へのアクセスの可能性を提供する。
S2cインタフェースは、DSMIPv6(デュアルスタックモバイルIPv6)を使用し、信頼される非3GPPアクセスネットワーク、信頼されない非3GPPアクセスネットワーク、または3GPPアクセスネットワークを使用することによって、EPSネットワークにアクセスするために使用され得る。UE(ユーザ機器)が、S2cインタフェースを介して、非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、DSMIPv6シグナリングを保護するために、SA(セキュリティアソシエーション)が、UEおよびPDN-GW(パケットデータゲートウェイ、略してPGW)間に確立される。UEが、S2cインタフェースを介してEPSにアクセスする場合、PDN-GWが、UEのための認証および許可を完了し、AAAサーバからモビリティパラメータおよびサブスクリプションデータのような情報を取得するように、PDN-GWは、認証および許可要求、ならびに応答メッセージを、PDN-GNおよびAAA(認証、許可、およびアカウンティング)サーバ間のS6bインタフェースを介して送信する。確実に、ローミングシナリオでは、AAAエージェントが、PDN-GWおよびAAAサーバ間で渡される必要がある。
UEが、S2cインタフェースを介して、信頼される非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、3GPPは、DSMIPv6トンネルがUEおよびPDN-GW間に確立された後に、DSMIPv6シグナリングを保護するために、セキュリティアソシエーションSAがUEおよびPDN-GW間に確立され、PDN-GWは、データプレーンを保護するために、UEへのチャイルドセキュリティアソシエーションChild SA(チャイルドセキュリティアソシエーション)の確立を開始することができるが、UEが、信頼されない非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、IPSecセキュリティチャネルがUEおよび非3GPPゲートウェイePDG(進化型パケットデータゲートウェイ)間に確立され、IPSecセキュリティチャネルを使用することによって、UEおよびPDN-GW間のデータパケットに対して、セキュリティ保護が実行される。すなわち、UEが、信頼される方法で非3GPPを使用することによってEPSにアクセスする場合、データプレーンの整合性および機密性を保護するために、Child SAがS2cトンネルに対して確立されてよく、UEが、信頼されない方法で非3GPPを使用することによってEPSにアクセスする場合、UEおよびePDG間のIPSecセキュリティチャネルが、データに対する整合性保護および機密性保護を提供し、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、3GPP自体の認証暗号化メカニズムを使用することによって、UEおよびPDN-GW間のデータセキュリティ保護が提供される。したがって、UEが、S2cインタフェースを介してEPCにアクセスする場合、PDN-GWは、アクセスシナリオが、信頼される非3GPPアクセスネットワークを使用することによるアクセスなのか、信頼されない非3GPPアクセスネットワークを使用することによるアクセスなのか、または、3GPPアクセスネットワークを使用することによるアクセスなのかを識別する必要があり、異なるデータセキュリティチャネルの確立または更新手続きを完了する。
図1に示すように、S2cインタフェースは、非3GPPアクセスネットワークまたは3GPPネットワークを使用することによってEPSにアクセスするために使用されてよい。信頼される非3GPPアクセスネットワークに関して、UEは、非3GPPアクセスネットワークを使用することによってPDN-GWに直接接続するが、信頼されない非3GPPアクセスネットワークに関して、UEは、ホームネットワークによって信頼される進化型パケットデータゲートウェイePDGを使用することによってPDN-GWネットワーク要素に接続する必要がある。3GPPアクセスネットワークに関して、UEは、S-GW(サービングゲートウェイ)を使用することによってPDN-GWネットワーク要素に接続する。
本発明の実施形態では、図1に示すネットワークアーキテクチャで、UEが、S2cインタフェースを介してEPCにアクセスする場合、認証および許可デバイスは、UEのアクセスの信頼関係を判定し、PDN-GWにUEのアクセスの信頼関係指示を含むメッセージを送信する、または、UEのアクセスの信頼関係指示を、PDN-GWに送信される許可応答メッセージ内に含め、PDN-GWは、データセキュリティチャネルの正確な確立を保証するために、メッセージ内で示されるUEのアクセスの信頼関係にしたがって、データセキュリティチャネルを確立または更新する。本発明の実施形態では、認証および許可デバイスの例として、AAAサーバが使用される。特定の実施中、実施形態では、認証および許可デバイスとして、HSS(ホーム加入者サーバ)のような他のデバイスが使用されてもよい。
AAAサーバは、ユーザ機器のアクセスが、信頼されるアクセスまたは信頼されないアクセスのいずれであるかを、アクセス側の認証および許可要求内に担持されるパラメータにしたがって判定し、パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
302.信頼される非3GPPアクセスネットワークは、認証および許可要求をAAAサーバに送信し、認証および許可要求は、アクセスネットワーク識別子ANIDおよびアクセスタイプを含み、さらに、アクセスネットワークで使用されるセキュリティメカニズムのようなパラメータを含んでよい。ローミングシナリオでは、認証および許可要求は、AAAサーバエージェントを使用することによって、アクセスネットワークによって、AAAサーバに転送される必要があり、認証および許可要求は、さらに、訪問先ネットワーク識別子を含む
AAAサーバは、UEのアクセスが、信頼されるアクセスまたは信頼されないアクセスのどちらであるかを、受信した要求内のパラメータにしたがって判定する。ここで、アクセスは、信頼されるアクセスであると判定され、すなわち、UEのアクセスは、信頼される非3GPPアクセスネットワークを使用することによって実行される。パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
402.信頼されない非3GPPアクセスネットワークは、認証および許可要求をAAAサーバに送信し、認証および許可要求は、アクセスネットワーク識別子ANIDおよびアクセスタイプを含み、さらに、アクセスネットワークで使用されるセキュリティメカニズムのようなパラメータを含んでよい。ローミングシナリオでは、アクセスネットワークによって提出された認証および許可要求は、AAAサーバエージェントを使用することによって、AAAサーバに転送される必要があり、要求は、訪問先ネットワーク識別子を含む
AAAサーバは、ユーザ機器のアクセスが、信頼されるアクセスまたは信頼されないアクセスのどちらであるかを、認証および許可要求内のパラメータにしたがって判定する。アクセスは、信頼されないアクセスであると判定され、すなわち、UEのアクセスは、信頼されない非3GPPアクセスネットワークを使用することによって実行される。パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
502.ePDGは、認証および許可要求をAAAサーバに送信し、認証および許可要求は、アクセスネットワーク識別子ANIDおよびアクセスタイプを含み、さらに、アクセスネットワークで使用されるセキュリティメカニズムのようなパラメータを含んでよい。ローミングシナリオでは、認証および許可要求は、AAAサーバエージェントを使用することによって転送される必要があり、要求は、訪問先ネットワーク識別子を含む
AAAサーバは、UEが、信頼されるアクセスまたは信頼されないアクセスのどちらであるかを、認証要求内のパラメータにしたがって判定する。アクセスは、信頼されないアクセスであると判定され、すなわち、UEのアクセスは、信頼されない非3GPPアクセスネットワークを使用することによって実行される。パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
UEが、S2cインタフェースを介して、非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信するパケットデータネットワーク接続確立要求は、UEによって送信される結合更新Binding Updateメッセージであり、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信するパケットデータネットワーク接続確立要求は、MME(Mobility Management Entity)によって送信されるセッション確立メッセージであり、セッション確立メッセージは、ユーザ機器によって送信されたパケットデータネットワーク接続要求を受信した後、モビリティ管理ネットワーク要素によって送信される。
901.UEは、PDN(パケットデータネットワーク)接続要求をMMEに送信する。
1105.UEは、UEおよびPDN-GW間のDSMIPv6 SAを確立するために、セキュリティアソシエーション確立要求をPDN-GWに送信し、セキュリティアソシエーション確立要求は、具体的には、IKE認証要求のようなセキュリティアソシエーション確率要求メッセージであってよく、APN(アクセスポイント名)情報を含む。
認証ユニット1202は、ユーザ機器のアクセスが、信頼されるアクセスまたは信頼されないアクセスのいずれであるかを、認証および許可要求内に担持されるパラメータにしたがって判定し、パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。認証ユニットは、ユーザ機器のアクセスが信頼されるアクセスであるか否かを、構成されたポリシーにしたがって判定し、ポリシーは、アクセスネットワーク識別子(訪問先ネットワーク識別子が、ローミングシナリオではさらに必要とされる)および信頼関係間の対応を含む。判定方法は、認証および許可要求メッセージ内のアクセスネットワーク識別子(訪問先ネットワーク識別子が、ユーザ機器のアクセスの信頼関係を判定するために、ローミングシナリオではさらに必要とされる)にしたがって、構成されたポリシーに問い合わせることであってよい。認証および許可要求メッセージが、アクセスネットワーク識別子を含まない場合、アクセスネットワーク識別子は、アクセスタイプアイデンティティにしたがって構成される必要がある。具体的には、アクセスタイプは、一般的に、整数型の方法を使用することによって表され、例えば、0は、WLANを表し、2001は、HRPDを表し、アクセスネットワークプレフィックスは、「WLAN」および「HRPD」のような文字列であり、認証ユニット1202は、アクセスタイプの整数に対応する特定のアクセスタイプ記述を知るために、アクセスタイプにしたがって、テーブルに問い合わせ、記述は、文字列を使用することによって表され、アクセスネットワーク識別子のプレフィックスとして機能し、プレフィックスの他に、アクセスネットワーク識別子は、追加の文字列を有さなくてよく、または、生成規則が、AAAサーバ自体によって決定される。
受信ユニット1301は、認証および許可デバイスによって返された認証応答メッセージを受信し、メッセージは、現在のアクセスの信頼関係、すなわち、現在のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスのいずれであるかを示す情報を含む。具体的な方法は、ユーザ機器のアクセスが、信頼される3GPPアクセス、信頼されない3GPPアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または「3GPP」である値を有する信頼関係情報要素を、メッセージが含むことである。
統合されたユニットがソフトウェア機能ユニットの形態で実施され、独立した製品として販売または使用される場合、統合されたユニットは、コンピュータ可読記憶媒体に記憶されてよい。このような理解に基づき、本質的に本発明の技術的解決法、または、従来技術に寄与する部分、または、技術的解決法の全部もしくは一部は、ソフトウェア製品の形態で実施されてよい。コンピュータソフトウェア製品は、記憶媒体に記憶され、本発明の実施形態に記載の方法のステップの全部または一部を実行するために、コンピュータデバイス(パーソナルコンピュータ、サーバ、またはネットワークデバイスであってよい)に命令するためのいくつかの命令を含む。上記記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク、または光ディスクのような、プログラムコードを記憶することができる任意の媒体を含む。

Claims (29)

  1. トンネルのデータセキュリティチャネルを処理するための方法であって、
    アクセス側の認証および許可要求を受信し、ユーザ機器のアクセスの信頼関係を判定するステップと、
    前記ユーザ機器のS6bインタフェースセッションが存在する場合、パケットデータゲートウェイが、信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するように、前記信頼関係についての情報を含むメッセージを前記パケットデータゲートウェイに送信するステップと
    を含む、方法。
  2. 前記アクセス側が、信頼される非3GPPアクセスネットワーク、信頼されない非3GPPアクセスネットワーク、または、進化型パケットデータゲートウェイである、請求項1に記載の方法。
  3. 前記ユーザ機器のS6bインタフェースセッションが存在する場合、前記信頼関係についての情報を含むメッセージを前記パケットデータゲートウェイに送信するステップが、
    前記ユーザ機器の前記S6bインタフェースセッションのコンテキストが存在する場合、前記信頼関係についての情報を含む前記メッセージを前記パケットデータゲートウェイに送信するステップを含む、請求項1に記載の方法。
  4. 前記信頼関係についての情報を含むメッセージを前記パケットデータゲートウェイに送信するステップが、
    信頼関係情報要素を担持するステップを含む前記パケットデータゲートウェイに前記メッセージを送信するステップを含み、前記信頼関係情報要素の値が、前記ユーザ機器の前記アクセスが信頼されるアクセスまたは信頼されないアクセスであることを示す、「信頼される」、または、「信頼されない」である、請求項1に記載の方法。
  5. 前記信頼関係についての前記情報が、前記ユーザ機器の前記アクセスが信頼されるアクセスであることを示す場合、前記パケットデータゲートウェイによって、前記信頼関係についての前記情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するステップが、
    前記パケットデータゲートウェイによって、前記ユーザ機器とのチャイルドセキュリティアソシエーションChild SAを確立するための手順を開始するステップ、または、
    前記ユーザ機器によって開始されたチャイルドセキュリティアソシエーションChild SA確立要求を受け入れるステップを含む、請求項1から4のいずれか一項に記載の方法。
  6. 前記信頼関係についての前記情報が、前記ユーザ機器の前記アクセスが信頼されないアクセスであることを示す場合、前記パケットデータゲートウェイによって、前記信頼関係についての前記情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するステップが、
    前記ユーザ機器によって送信されたチャイルドセキュリティアソシエーションChild SA確立要求を拒絶するステップ、または、
    前記ユーザ機器とのチャイルドセキュリティアソシエーションChild SAを削除するステップを含む、請求項1から4のいずれか一項に記載の方法。
  7. 前記ユーザ機器によって送信されたチャイルドセキュリティアソシエーションChild SA確立要求を拒絶するステップが、
    前記チャイルドセキュリティアソシエーションChild SA確立要求に対する応答メッセージ内で、前記ユーザ機器によって送信された前記チャイルドセキュリティアソシエーションChild SA確立要求が受け入れられないことを示すステップを含む、請求項6に記載の方法。
  8. ユーザ機器のアクセスの信頼関係を判定するステップが、
    前記ユーザ機器の前記アクセスが、信頼されるアクセスまたは信頼されないアクセスのいずれであるかを、受信した前記認証および許可要求内のパラメータにしたがって判定するステップを含み、前記パラメータが、以下、すなわち、アクセスネットワーク識別子、訪問先ネットワーク識別子、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズムの1つまたは複数を含む、請求項1に記載の方法。
  9. トンネルのデータセキュリティチャネルを処理するための方法であって、
    ユーザ機器のパケットデータネットワーク接続確立要求を受信し、前記ユーザ機器のS6bインタフェースセッションが存在するか、または前記ユーザ機器とのセキュリティアソシエーションがすでに存在する場合、許可要求メッセージを認証および許可デバイスに送信するステップと、
    前記認証および許可デバイスによって送信された許可応答メッセージを受信するステップと
    を含み、前記許可応答メッセージが、前記ユーザ機器のアクセスの信頼関係についての情報を含み、方法が、さらに、
    前記信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するステップを含む、方法。
  10. ユーザ機器のパケットデータネットワーク接続確立要求を受信するステップが、
    前記ユーザ機器によって送信された結合更新要求メッセージを受信するステップ、または、
    モビリティ管理ネットワーク要素によって送信されたセッション確立メッセージを受信するステップを含み、前記セッション確立メッセージが、前記ユーザ機器によって送信された前記パケットデータネットワーク接続要求メッセージを受信した後、前記モビリティ管理ネットワーク要素によって送信される、請求項9に記載の方法。
  11. 前記ユーザ機器のS6bインタフェースセッションがすでに存在するか、または前記ユーザ機器とのセキュリティアソシエーションがすでに存在する場合、許可要求メッセージを認証および許可デバイスに送信するステップが、
    前記ユーザ機器の前記S6bインタフェースセッションのコンテキストが存在するか、または前記ユーザ機器のセキュリティコンテキストが存在する場合、前記許可要求メッセージを前記認証および許可デバイスに送信するステップを含む、請求項9に記載の方法。
  12. 前記許可要求メッセージが、信頼関係情報要素を含み、前記信頼関係情報要素の値が、前記ユーザ機器の前記アクセスが信頼されるアクセス、信頼されないアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または3GPPである、請求項9に記載の方法。
  13. 前記信頼関係についての前記情報が、前記ユーザ機器の前記アクセスが信頼されるアクセスであることを示す場合、前記信頼関係についての前記情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するステップが、
    前記ユーザ機器とのチャイルドセキュリティアソシエーションChild SAを確立するための手順を開始するステップ、または、
    前記ユーザ機器によって開始されたチャイルドセキュリティアソシエーションChild SA確立要求を受け入れるステップを含む、請求項9から12のいずれか一項に記載の方法。
  14. 前記信頼関係についての前記情報が、前記ユーザ機器の前記アクセスが信頼されないアクセスであることを示す場合、前記信頼関係についての前記情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するステップが、
    前記ユーザ機器によって送信されたチャイルドセキュリティアソシエーションChild SA確立要求を拒絶するステップ、または、
    前記ユーザ機器とのチャイルドセキュリティアソシエーションChild SAを削除するステップを含む、請求項9から12のいずれか一項に記載の方法。
  15. 前記ユーザ機器によって送信されたチャイルドセキュリティアソシエーションChild SA確立要求を拒絶するステップが、
    前記チャイルドセキュリティアソシエーションChild SA確立要求に対する応答メッセージ内で、前記ユーザ機器によって送信された前記チャイルドセキュリティアソシエーションChild SA確立要求が受け入れられないことを示すステップを含む、請求項14に記載の方法。
  16. 前記認証および許可デバイスによって送信された許可応答メッセージを受信するステップの前に、さらに、前記認証および許可デバイスによって、構成されたポリシーにしたがって、前記ユーザ機器の前記アクセスの前記信頼関係を判定するステップを含む、請求項9から15のいずれか一項に記載の方法。
  17. 前記構成されたポリシーが、ネットワーク識別子および信頼関係間の対応を含み、前記ネットワーク識別子が、アクセスネットワーク識別子、アクセスネットワークで使用されるセキュリティメカニズム、および、訪問先ネットワークアイデンティティの1つまたは複数を含む、請求項16に記載の方法。
  18. 前記構成されたポリシーが、ネットワーク識別子および信頼関係間の対応を含み、前記ネットワーク識別子が、アクセスネットワーク識別子および無線アクセスタイプの1つまたは複数を含む、請求項16に記載の方法。
  19. 認証および許可デバイスであって、
    アクセス側の認証および許可要求を受信するように構成された受信ユニットと、
    前記認証および許可要求を認証し、ユーザ機器のアクセスの信頼関係を判定し、前記ユーザ機器のS6bセッションが存在する場合、送信ユニットに、前記信頼関係についての情報を含むメッセージをパケットデータゲートウェイに送信させるように命令するように構成された認証ユニットと、
    前記メッセージを前記パケットデータゲートウェイに送信するように構成された前記送信ユニットと
    を備え、前記メッセージが、前記信頼関係についての情報を含む、認証および許可デバイス。
  20. 前記アクセス側が、信頼される非3GPPアクセスネットワーク、信頼されない非3GPPアクセスネットワーク、または、進化型パケットデータゲートウェイである、請求項19に記載の認証および許可デバイス。
  21. 前記ユーザ機器のS6bインタフェースセッションが存在する場合、前記認証ユニットによって、送信ユニットに、前記信頼関係についての情報を含むメッセージをパケットデータゲートウェイに送信させるように命令することが、
    前記ユーザ機器の前記S6bインタフェースセッションのコンテキストが存在する場合、前記認証ユニットによって、前記送信ユニットに、前記信頼関係についての情報を含む前記メッセージを前記パケットデータゲートウェイに送信させるように命令することを含む、請求項19または20に記載の認証および許可デバイス。
  22. 前記ユーザ機器の前記アクセスの前記信頼関係が、構成されたポリシーにしたがって判定され、前記構成されたポリシーが、具体的には、
    前記認証ユニットによって、前記認証および許可要求内の情報にしたがって、前記構成されたポリシーに問い合わせることによって前記信頼関係を判定することを含み、前記構成されたポリシーが、ネットワーク識別子および信頼関係間の対応を含み、前記ネットワーク識別子が、アクセスネットワーク識別子、アクセスネットワークで使用されるセキュリティメカニズム、アクセスタイプ、および、訪問先ネットワーク識別子の少なくとも1つまたは複数を含む、請求項19から21のいずれか一項に記載の認証および許可デバイス。
  23. 前記メッセージが前記信頼関係についての情報を含むことが、前記情報具体的には、以下、すなわち、前記メッセージが信頼関係情報要素を含み、前記信頼関係情報要素の値が、前記ユーザ機器の前記アクセスが信頼されるアクセスまたは信頼されないアクセスであることを示す、「信頼される」、または、「信頼されない」であることを含む、請求項19から22のいずれか一項に記載の認証および許可デバイス。
  24. ゲートウェイデバイスであって、
    ユーザ機器のパケットデータネットワーク接続確立要求を受信するように構成されると共に、認証および許可デバイスによって送信された許可応答メッセージを受信するように構成された受信ユニットを備え、前記許可応答メッセージが、前記ユーザ機器のアクセスの信頼関係についての情報を含み、前記ゲートウェイデバイスが、さらに、
    前記受信ユニットが前記パケットデータネットワーク接続確立要求を受信すると、前記ユーザ機器のS6bセッションが存在するかどうか、または、前記ユーザ機器とのセキュリティアソシエーションがすでに存在することを確認し、次に、送信ユニットに、許可要求メッセージを前記認証および許可デバイスに送信させるように命令するように構成された確認ユニットと、
    前記確認要求メッセージを前記認証および許可デバイスに送信するように構成された前記送信ユニットと、
    前記信頼関係についての前記情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するように構成された確立ユニットと
    を備える、ゲートウェイデバイス。
  25. 受信ユニットが、ユーザ機器のパケットデータネットワーク接続確立要求を受信するように構成されることが、以下、すなわち、
    前記受信ユニットが、前記ユーザ機器によって送信された結合更新要求メッセージを受信するように構成されるか、またはモビリティ管理ネットワーク要素によって送信されたセッション確立メッセージを受信するように構成され、前記セッション確立メッセージが、前記ユーザ機器によって送信された前記パケットデータネットワーク接続要求メッセージを受信した後、前記モビリティ管理ネットワーク要素によって送信されることを含む、請求項24に記載のゲートウェイデバイス。
  26. 確認ユニットが、前記ユーザ機器のS6bセッションが存在すること、または、前記ユーザ機器とのセキュリティアソシエーションがすでに存在することを確認するように構成されることが、具体的には、以下、すなわち、
    前記確認ユニットが、前記ユーザ機器のS6bインタフェースセッションのコンテキストが存在すること、または、前記ユーザ機器のセキュリティコンテキストが存在することを確認するように構成されることを含む、請求項24に記載のゲートウェイデバイス。
  27. 前記許可応答メッセージが、前記ユーザ機器の前記アクセスの前記信頼関係を示すために使用される信頼関係情報要素を含み、前記信頼関係情報要素の、「信頼される」という値は、現在のアクセスが信頼される3GPPネットワークアクセスであることを示し、「信頼されない」という値は、現在のアクセスが信頼されない3GPPネットワークアクセスであることを示し、かつ3GPPという値は、現在のアクセスが3GPPネットワークアクセスであることを示す、請求項24から26のいずれか一項に記載のゲートウェイデバイス。
  28. 前記信頼関係についての前記情報が、前記ユーザ機器の前記アクセスが信頼されるアクセスであることを示す場合、確立ユニットが、前記信頼関係についての前記情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するように構成されることが、
    前記確立ユニットによって、前記ユーザ機器とのチャイルドセキュリティアソシエーションChild SAを確立すること、または、
    前記ユーザ機器によって開始されたチャイルドセキュリティアソシエーションChild SA確立要求を受け入れることを含む、請求項24から27のいずれか一項に記載のゲートウェイデバイス。
  29. 前記信頼関係についての前記情報が、前記ユーザ機器の前記アクセスが信頼されないアクセスまたは3GPPアクセスであることを示す場合、確立ユニットが、前記信頼関係についての前記情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新するように構成されることが、
    前記ユーザ機器によって送信されたチャイルドセキュリティアソシエーションChild SA要求を拒絶すること、または、
    前記ユーザ機器とのチャイルドセキュリティアソシエーションChild SAを削除することを含む、請求項24から27のいずれか一項に記載のゲートウェイデバイス。
JP2014539203A 2011-11-03 2011-11-03 データセキュリティチャネル処理方法およびデバイス Active JP5922785B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2011/081738 WO2013063783A1 (zh) 2011-11-03 2011-11-03 一种数据安全通道的处理方法及设备

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2016080883A Division JP6151819B2 (ja) 2016-04-14 2016-04-14 データセキュリティチャネル処理方法およびデバイス

Publications (2)

Publication Number Publication Date
JP2015501605A true JP2015501605A (ja) 2015-01-15
JP5922785B2 JP5922785B2 (ja) 2016-05-24

Family

ID=48191214

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014539203A Active JP5922785B2 (ja) 2011-11-03 2011-11-03 データセキュリティチャネル処理方法およびデバイス

Country Status (5)

Country Link
US (1) US9800563B2 (ja)
EP (1) EP2763357B1 (ja)
JP (1) JP5922785B2 (ja)
CN (1) CN103201986B (ja)
WO (1) WO2013063783A1 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103024737B (zh) * 2011-09-23 2017-08-11 中兴通讯股份有限公司 可信任非3gpp接入网元、接入移动网络及去附着方法
CN104506406B (zh) * 2011-11-03 2018-10-30 华为技术有限公司 一种鉴权认证设备
JP5922785B2 (ja) 2011-11-03 2016-05-24 ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. データセキュリティチャネル処理方法およびデバイス
MX2015008696A (es) * 2013-01-04 2016-02-25 Huawei Tech Co Ltd Metodo, aparato y sistema para seleccionar compuerta pdn.
KR102279486B1 (ko) * 2014-03-13 2021-07-20 삼성전자 주식회사 무선 통신 시스템에서 연결을 생성하는 방법 및 장치
WO2015184418A1 (en) * 2014-05-29 2015-12-03 T-Mobile Usa, Inc. Wi-fi calling using sip-ims handset and evolved packet data gateway
CN104184821B (zh) * 2014-08-29 2017-11-28 北京奇虎科技有限公司 基于推送通知的会话及终端应答反馈的方法和装置
US9420463B2 (en) * 2014-09-30 2016-08-16 Sap Se Authorization based on access token
US9807669B1 (en) * 2014-10-24 2017-10-31 Sprint Communications Company L.P. Identifying communication paths based on packet data network gateway status reports
US11019486B2 (en) 2014-11-14 2021-05-25 Nokia Solutions And Networks Oy Location information for untrusted access
WO2016101267A1 (zh) * 2014-12-26 2016-06-30 华为技术有限公司 用户设备的非可信无线局域网接入控制方法、设备和系统
FR3039953A1 (fr) * 2015-08-05 2017-02-10 Orange Procedes et dispositifs d'identification d'un serveur d'authentification
FR3039954A1 (fr) * 2015-08-05 2017-02-10 Orange Procede et dispositif d'identification de serveurs d'authentification visite et de domicile
WO2017159970A1 (ko) * 2016-03-17 2017-09-21 엘지전자(주) 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법 및 이를 위한 장치
JP6151819B2 (ja) * 2016-04-14 2017-06-21 ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. データセキュリティチャネル処理方法およびデバイス
CN109997379B (zh) 2016-11-07 2021-11-30 Lg电子株式会社 用于管理会话的方法
US20180212916A1 (en) * 2017-01-23 2018-07-26 Marshall Schaffer Systems and methods for verification and mapping of social connections
CN110099382B (zh) 2018-01-30 2020-12-18 华为技术有限公司 一种消息保护方法及装置
US10924480B2 (en) 2018-02-28 2021-02-16 Cisco Technology, Inc. Extended trust for onboarding
CN112217769B (zh) * 2019-07-11 2023-01-24 奇安信科技集团股份有限公司 基于隧道的数据解密方法、加密方法、装置、设备和介质
GB2586223A (en) * 2019-08-05 2021-02-17 British Telecomm Conditional message routing in a telecommunications network
CN114584341B (zh) * 2022-01-14 2023-06-16 苏州浪潮智能科技有限公司 一种零边界可信任网络架构系统、数据处理方法、装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010530680A (ja) * 2007-06-19 2010-09-09 パナソニック株式会社 モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106812B (zh) * 2006-07-11 2011-11-02 华为技术有限公司 通信网络及用户设备接入方法
CN101431797B (zh) * 2007-05-11 2012-02-01 华为技术有限公司 一种注册处理方法、系统及装置
CN101316205B (zh) * 2007-05-28 2011-08-10 华为技术有限公司 触发安全隧道建立方法及其装置
EP2091204A1 (en) * 2008-02-18 2009-08-19 Panasonic Corporation Home agent discovery upon changing the mobility management scheme
US8607309B2 (en) * 2009-01-05 2013-12-10 Nokia Siemens Networks Oy Trustworthiness decision making for access authentication
EP2362688B1 (en) * 2010-02-23 2016-05-25 Alcatel Lucent Transport of multihoming service related information between user equipment and 3GPP evolved packet core
EP2637285B1 (en) 2010-11-02 2020-04-01 Mitsubishi Electric Corporation Electric power steering power module and electric power steering drive control device employing same
JP5922785B2 (ja) 2011-11-03 2016-05-24 ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. データセキュリティチャネル処理方法およびデバイス

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010530680A (ja) * 2007-06-19 2010-09-09 パナソニック株式会社 モバイルノードのためのアクセスネットワーク−コアネットワーク間信頼関係検出

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6015018432; Huawei: 'Correction on Trust Relationship Indication' 3GPP TSG CT4 Meeting #54, C4-112229 , 20110826, 1-11 pages, 3GPP *
JPN6015018433; 3rd Generation Partnership Project: '3GPP EPS AAA interfaces (Release 9)' 3GPP TS 29.273 V9.7.0 (2011-06) , 20110614, 1-8,13,14,22-25,85-88,103 pages, 3GPP *

Also Published As

Publication number Publication date
US20140245403A1 (en) 2014-08-28
CN103201986A (zh) 2013-07-10
EP2763357B1 (en) 2019-03-13
CN103201986B (zh) 2014-12-10
JP5922785B2 (ja) 2016-05-24
EP2763357A1 (en) 2014-08-06
EP2763357A4 (en) 2014-10-29
WO2013063783A1 (zh) 2013-05-10
US9800563B2 (en) 2017-10-24

Similar Documents

Publication Publication Date Title
JP5922785B2 (ja) データセキュリティチャネル処理方法およびデバイス
US20200153830A1 (en) Network authentication method, related device, and system
US9992625B2 (en) System and method for location reporting in an untrusted network environment
CN112997454B (zh) 经由移动通信网络连接到家庭局域网
US8621570B2 (en) Access through non-3GPP access networks
US11888652B2 (en) VXLAN implementation method, network device, and communications system
US9438594B2 (en) Method and apparatus for establishing tunnel data security channel
MX2014005668A (es) Metodo para establecer conectividad de datos entre un dispositivo de comunicacion inalambrica y una red nucleo sobre una red de acceso ip, dispositivo de comunicacion inalambrica y sistema de comunicacion.
EP3225071B1 (en) Infrastructure-based d2d connection setup using ott services
WO2018170617A1 (zh) 一种基于非3gpp网络的入网认证方法、相关设备及系统
CN111726228B (zh) 使用互联网密钥交换消息来配置活动性检查
WO2016155012A1 (zh) 一种无线通信网络中的接入方法、相关装置及系统
WO2009152676A1 (zh) Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统
CA2779094A1 (en) User equipment (ue), home agent node (ha), methods, and telecommunications system for home network prefix (hnp) assignment
CN104506406B (zh) 一种鉴权认证设备
EP3300405A1 (en) Equipment identifier checking method, system, equipment and storage medium
WO2016183745A1 (zh) 用于建立连接的方法和设备
KR20170138498A (ko) 서비스 할당 방법 및 장치
JP6151819B2 (ja) データセキュリティチャネル処理方法およびデバイス
CN107005929B (zh) 一种分组数据网关的选择方法、相关装置及系统
WO2022174729A1 (zh) 保护身份标识隐私的方法与通信装置
WO2014110768A1 (zh) 一种移动网络对终端认证的方法和网元、终端

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150519

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150731

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160315

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160414

R150 Certificate of patent or registration of utility model

Ref document number: 5922785

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250