JP2018537872A - 通信ネットワークにおける非アクセス層接続を確立するための通信ネットワーク及び方法 - Google Patents

通信ネットワークにおける非アクセス層接続を確立するための通信ネットワーク及び方法 Download PDF

Info

Publication number
JP2018537872A
JP2018537872A JP2017559323A JP2017559323A JP2018537872A JP 2018537872 A JP2018537872 A JP 2018537872A JP 2017559323 A JP2017559323 A JP 2017559323A JP 2017559323 A JP2017559323 A JP 2017559323A JP 2018537872 A JP2018537872 A JP 2018537872A
Authority
JP
Japan
Prior art keywords
management function
request message
communication terminal
key
session management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017559323A
Other languages
English (en)
Other versions
JP6511542B2 (ja
Inventor
アルフ ツーゲンマイヤー,
アルフ ツーゲンマイヤー,
スリサクル タコルスリー,
スリサクル タコルスリー,
マラ レディ サマ,
マラ レディ サマ,
リカルド グエルゾーニ,
リカルド グエルゾーニ,
ウルフギャング キース,
ウルフギャング キース,
ヤリ ムティカイネン,
ヤリ ムティカイネン,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Publication of JP2018537872A publication Critical patent/JP2018537872A/ja
Application granted granted Critical
Publication of JP6511542B2 publication Critical patent/JP6511542B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/15Setup of multiple wireless link connections

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】モバイル無線通信ネットワークにおいて効率的なモビリティ管理機能及びセッション管理機能を提供する。
【解決手段】通信ネットワークは、モビリティ管理機能及び認証機能を提供するように構成された共通制御プレーン回路と、各々がそれぞれのセッション管理機能を提供するように構成された1つ又は複数の専用制御プレーン回路とを備える。認証機能は、通信端末を認証し、通信端末用の第1の鍵を生成することを含む。モビリティ管理機能は、通信端末によって送信された第1の要求メッセージに応答して、生成された第1の鍵を使用して、認証された通信端末との間で非アクセス層接続を提供することを含む。認証機能は、各選択されたセッション管理機能用のそれぞれの第2の鍵を生成することをさらに含む。各セッション管理機能は、それぞれに生成された第2の鍵を使用して、認証された通信端末との間で非アクセス層接続を提供することを含む。
【選択図】図6

Description

様々な実施形態は、一般に、通信ネットワークにおける非アクセス層(non−access stratum)接続を確立するための通信ネットワーク及び方法に関する。
[関連出願の相互参照]
本出願は、2016年11月1日に欧州特許庁に出願された欧州特許出願第16196716号の優先権を主張し、当該出願は、その全体が参照により本明細書に組み込まれる。
一般に、モバイル無線通信ネットワークにおいては、モビリティ管理機能及びセッション管理機能が必要とされる。
たとえば、第5世代モバイル無線通信ネットワークなどの今後のモバイル無線通信ネットワークは、効率的なモビリティ管理機能及びセッション管理機能が必要となる。さらに、ユーザ装置(user equipment)など端末デバイスに、暗号による安全な方法でこうした機能を提供することが望ましいであろう。
通信ネットワークは、モビリティ管理機能及び認証機能を提供するように構成された共通制御プレーン回路と、各々がそれぞれのセッション管理機能を提供するように構成された1つ又は複数の専用制御プレーン回路とを備える。認証機能は、通信端末を認証すること、及び、通信端末用の第1の鍵を生成することを含む。モビリティ管理機能は、通信端末によって送信された第1の要求メッセージに応答して、生成された第1の鍵を使用して、認証された通信端末との間で非アクセス層接続を提供することを含む。認証機能は、各選択されたセッション管理機能用のそれぞれの第2の鍵を生成することをさらに含む。各セッション管理機能は、それぞれに生成された第2の鍵を使用して、認証された通信端末との間で非アクセス層接続を提供することを含む。
図面において、同一の参照符号は全体的に、異なる図面全体を通して同一の部分を参照している。図面は必ずしも縮尺通りではなく、全体的に本発明の原理を示すことに重点が置かれている。以下の説明において、以下の図面を参照して本発明の様々な実施形態が記載されている。
様々な実施形態によるモバイル無線通信ネットワークを示す図である。 第1のプロセス状態における様々な実施形態による、図1のモバイル無線通信ネットワークの一部を示す図である。 第2のプロセス状態における様々な実施形態による、図1のモバイル無線通信ネットワークの一部を示す図である。 第3のプロセス状態における様々な実施形態による、図1のモバイル無線通信ネットワークの一部を示す図である。 第4のプロセス状態における様々な実施形態による、図1のモバイル無線通信ネットワークの一部を示す図である。 様々な実施形態による非アクセス層(NAS:Non−Access Stratum)接続を確立するための第1の実施例を示す第1のメッセージ流れ図である。 様々な実施形態によるNAS接続を確立するための第2の実施例を示す第2のメッセージ流れ図である。
以下の詳細な説明は、本発明を実施することができる特定の詳細及び実施形態を図解によって示す添付の図面を参照する。
本明細書では「例示的な」という用語は、「実例、事例、又は例証として役立つ」という意味で使用されている。「例示的な」として本明細書に記載の任意の実施形態又はひな型は、他の実施形態又はひな型よりも好ましい又は有益であると、必ずしも解釈されるべきではない。
本明細書で使用する「回路」又は「回路構成」(1つ又は複数の「回路」を含むことができる)は、任意の種類の論理実装エンティティであると理解することができ、これは、メモリ、ファームウェア及びそれらの任意の組合せに記憶されたソフトウェアを実行する、特殊目的の回路構成又はプロセッサとすることができる。さらに、「回路」又は「回路構成」は、プログラマブルプロセッサ、たとえばマイクロプロセッサ(たとえば、複数命令セットコンピュータ(CISC)プロセッサ又は縮小命令セットコンピュータ(RISC)プロセッサ)といった、ハードワイヤード論理回路又はプログラマブル論理回路とすることができる。「回路」又は「回路構成」はまた、ソフトウェア、たとえば任意の種類のコンピュータプログラム、たとえばバーチャルマシンコード、たとえばJava(登録商標)を使用するコンピュータプログラムを実行する、プロセッサとすることができる。以下でより詳細に説明する各機能の任意の他の種類の実装形態も、「回路」又は「回路構成」として理解することができる。任意の2つ(又はそれ以上)の記載された回路又は回路構成は、結合されて1つの回路又は回路構成となると理解することもできる。
様々な実施形態は、モビリティ管理(MM:Mobility Management)及び通信セッション管理(SM:Session Management)の機能の分離を有するモバイル無線通信ネットワークのアーキテクチャにおける、非アクセス層(NAS)のセキュリティ設定をできるようにする効率的な機構を提供することができる。言い換えれば、様々な実施形態は、端末デバイス(たとえば、ユーザ装置又は任意の他の無線通信端末ノード)と様々な通信ネットワーク機能(たとえばコアネットワーク機能)との間で、暗号による安全なNAS通信接続を確立するための効率的な機構を提供することができる。この様々な通信ネットワーク機能には、たとえば、端末デバイスとMM機能(たとえば、共通制御プレーン回路内に設けられる)との間の暗号による安全なNAS通信接続、並びに、端末デバイスと複数のSM機能のうちそれぞれ1つ(たとえば、それぞれ専用制御プレーン回路内に設けられる)との間の暗号による安全なNAS通信接続といった、個々のNAS終端点がそれぞれ設けられている。
NASは、端末デバイス、たとえば携帯電話とも呼ばれるユーザ装置(UE:User Equipment)と、無線ネットワークを経由して透過的に通過する、コアノード(たとえば、移動交換局(MSC:Mobile Switching Center)、サービング汎用パケット(GPRS)無線サービスサポートノード(SGSN)、モビリティ管理エンティティ(MME:Mobility Management Entity)等)とも呼ばれるコアネットワーク(CN)の1つ又は複数のエンティティとの間を通過するメッセージのプロトコルとして理解することができる。NASメッセージの例としては、エリアアップデート又はアタッチメッセージ、認証メッセージ、サービス要求、モビリティ管理メッセージなどがある。端末デバイスが無線接続を確立すると、端末デバイスは、無線接続を使用してコアノードと通信を行い、通信サービス(複数可)を調整する。NASとアクセス層の相違は、アクセス層は明確に端末デバイスと無線ネットワーク間の対話に対して設けられているが、NASは端末デバイスとコアネットワークノード間の対話に対して設けられるという点にある。
図1は、様々な実施形態によるモバイル無線通信ネットワーク100を示す。
通信ネットワーク100は、たとえば1つ又は複数の(一般に任意の数の)端末デバイス102など、1つ又は複数の端末デバイス102を備えることができる。端末デバイス102は、パーソナルコンピュータ、ラップトップ、ノートブック、スマートフォン、カメラ、センサ構造、個々のセンサ、アクター構造、個々のアクター、中継装置などを含む、任意のタイプの通信デバイスに備えられ、又は、実装することができる。
通信ネットワーク100は、たとえば1つ又は複数の(一般に任意の数の)進化型NodeB(eNB)104など、1つ又は複数の基地局104をさらに備えることができる。各端末デバイス102は、1つ又は複数の基地局104、たとえば1つ又は複数のeNB104に接続することができる。
さらに、通信ネットワーク100は、コアネットワーク106を備えることができる。コアネットワーク106は、1つ又は複数の回路構成を備えることができ、この回路構成は1つ又は複数のコアネットワークエンティティ、言い換えれば、1つ又は複数のコアネットワーク機能を備えることができる。
一例として、コアネットワーク106は、モビリティ管理機能108及び認証機能(図1には図示せず)を提供するように構成された共通制御プレーン回路を含むことができる。モビリティ管理機能108は、モバイル無線通信ネットワーク100の共通制御プレーンに、個々のNAS終端点を提供することができる。言い換えれば、モビリティ管理NAS終端点は、モビリティ管理NASメッセージを処理するように機能することができる。モビリティ管理機能108は、たとえば端末デバイスアップデート位置機能などといった様々なモビリティサービスを提供することができる。さらに、以下でより詳細に説明するように、モビリティ管理機能108は、端末デバイス102と個々の独立したセッション管理機能110,112との間で通信をルーティングするためのNASルーティング機能をさらに提供することができる。ここで、各セッション管理機能は、独立した専用制御プレーン回路114,116によって実装される。各専用制御プレーン回路114,116は、それぞれのユーザプレーン118,120及び関連するユーザプレーン機能をさらに含むか、又は実装することができる。各セッション管理機能は、個々のNAS終端点を提供することができる。端末デバイス102は、複数の通信サービスに加入することがあり、したがって、異なるセッション管理機能終端点で終端する異なる通信セッションを有する。
コアネットワーク106は、様々なエンティティ及び回路構成、たとえばユーザデータ管理(UDM:user data management)回路/ホーム加入者サーバ(HSS:home subscriber server)122をさらに含むことができる。さらに、コアネットワーク106は、他のセクレタリ(secretaries)及び構成要素を所望のもの及び通常提供されるものとしてさらに含むことができるが、これらは詳細な聞き取りにおいては記載されないが、それにもかかわらず通信ネットワーク100の中に様々な実施形態にしたがって提供される。
図2は、第1のプロセス状態200における様々な実施形態による、図1のモバイル無線通信ネットワークの一部を示す。
より詳細には、図2は、端末デバイス102と共通制御プレーン回路202の間の暗号による安全なNAS通信接続を確立するためのプロセスを示す。図2に示すように、共通制御プレーン回路202は、モビリティ管理機能108及び認証機能204を含むか、又は実装することができる。
端末デバイス102と共通制御プレーン回路202の間の、暗号による安全なNAS通信接続を確立するための方法を開始するために、端末デバイス(たとえばUE)102は、アタッチ要求メッセージ206を生成し、モビリティ管理機能108に送信することができる。アタッチ要求メッセージ206を受信した後に、モビリティ管理機能108は、アタッチ要求メッセージ206を受信した先である端末デバイス102用の認証要求208を生成し、それを認証機能204に供給することができる。認証要求208を受信したことに応答して、認証機能204は認証プロセス210を実施して(たとえば、認証機能208と端末デバイス102の間の通信によって)、認証要求208の指示にしたがって端末デバイス102を認証する。認証機能204が端末デバイス102を首尾よく認証できない場合には、この方法は終了し通信接続は確立されない。認証機能204が端末デバイス102を首尾よく認証できた場合には、認証機能204は、暗号化、デジタル署名など任意の所望の暗号化サービスに使用することができる第1の暗号鍵212(以下において、第1の鍵又はマスター鍵又はベース鍵とも呼ばれる)を生成することができる。第1の暗号鍵212は、通信端末102と関連付けるか、又は割り当てることができる。第1の暗号鍵212は、対称鍵でも非対称鍵でもよい。一例として、第1の暗号鍵212は、認証機能204によって生成された一対の非対称鍵の秘密鍵とすることができる。様々な実施形態において、第1の暗号鍵212は秘密対称鍵とすることができる。認証機能204は、第1の暗号鍵212をモビリティ管理機能108に供給することができ、その結果、モビリティ管理機能108は、第1の暗号鍵212を所有することになる。モビリティ管理機能108は、第1の暗号鍵212を記憶することができる。次いで、図2に示すように、モビリティ管理機能108は、セキュリティモードコマンドメッセージ214を生成し、それを端末デバイス102に送信することができる。セキュリティモードコマンドメッセージ214は、(現に首尾よく認証された)端末デバイス102と共通制御プレーン回路202、より詳細には、その中のモビリティ管理機能108との間に、第1の暗号による安全なNAS接続302(図3を参照)を確立する。モビリティ管理機能108は第1の暗号鍵212を使用して、第1の暗号による安全なNAS接続302を保証するのに使用される暗号化サービスを提供する。
図3は、第2のプロセス状態300における様々な実施形態による、図1のモバイル無線通信ネットワークの一部を示す。
第1の暗号による安全なNAS接続302を確立した後で、端末デバイス102が、モビリティ管理機能108が実装されている共通制御プレーンとは別個の専用制御プレーン機能中の1つ又は複数のセッション管理機能と、暗号による安全なNAS接続の確立をしようとすることを想定する。これを行うために、端末デバイス102はパケットデータネットワーク(PDN:packet data network)接続要求メッセージ304を生成し、それをモビリティ管理機能108に送信することができる。PDN接続要求メッセージ304を受信した後で、モビリティ管理機能108は、PDN接続要求メッセージ304を受信した先である端末デバイス102用の認証要求306をさらに生成し、それを認証機能204に供給することができる。PDN接続要求メッセージ304は、セッション管理機能によって提供される、1つ又は複数の所望の通信セッション又は通信サービスを示す特定のパラメータ、及び/又は、関連するセッション固有のパラメータ若しくはサービス固有のパラメータを含むことができる。認証要求306を受信したことに応答して、認証機能204は別の認証プロセス308を再度任意選択で実施して(たとえば、認証機能208と端末デバイス102の間の通信によって)、認証要求306の指示にしたがって端末デバイス102を認証する。別の認証(言い換えれば、端末デバイス102の第2の認証)は、PDN接続要求メッセージ304において要求された、通信セッションに固有の認証パラメータを使用して実行することができるということに留意されたい。認証パラメータは、上記のようにPDN接続要求メッセージ304に含むことができる。しかし、別の認証プロセス308は任意選択的であることに留意されたい。別の認証プロセス308が提供され、認証機能204が端末デバイス102を再度首尾よく認証できない場合に、この方法は終了し、通信接続は確立できない。認証機能204が端末デバイス102を再度首尾よく認証できる場合に、認証機能204は、暗号化、デジタル署名など、任意の所望の暗号化サービスにも使用することができる第2の暗号鍵310(以下において、第2の鍵310、又は派生鍵310とも呼ばれる)を生成することができる。認証機能204は、第2の暗号鍵310を第1の暗号鍵212から導出することによって生成することができる。第1の暗号鍵212からの第2の暗号鍵310の導出は、一般に、任意の所望の方法で実施することができる。第2の暗号鍵310はまた、対称鍵でも非対称鍵でもよい。一例として、第2の暗号鍵310は、認証機能204によって生成された一対の非対称鍵の秘密鍵とすることができる。様々な実施形態において、第2の暗号鍵310は秘密対称鍵とすることができる。認証機能204は、第2の暗号鍵310をモビリティ管理機能108に供給することができ、その結果、モビリティ管理機能108は、第2の暗号鍵310を所有することになる。モビリティ管理機能108は、第2の暗号鍵310を記憶することができる。
次いで、図3に示すように、モビリティ管理機能108は、第2の暗号鍵310を含むことができるPDN接続要求メッセージ312を生成し、PDN接続要求メッセージ312を、所望の選択された専用の第1の制御プレーン回路114へ、より詳細には、専用の第1の制御プレーン回路114によって提供され実装された、所望の選択された独立の第1のセッション管理機能110へ送信することができる。その結果、第1のセッション管理機能110は、第2の暗号鍵310を所有することになり、それを専用の第1の制御プレーン回路114のメモリに記憶することができる。次に、第1のセッション管理機能110又は別の適切なエンティティは、第2のセキュリティモードコマンドメッセージ314を生成し、それを端末デバイス102に送信し、それぞれに生成された第2の暗号鍵310を使用して、認証された通信端末102との間で非アクセス層接続402(図4を参照)を確立することができる。言い換えれば、第2のセキュリティモードコマンドメッセージ314は、(首尾よく認証された)端末デバイス102と専用の第1の制御プレーン回路114、より詳細には、その中の第1のセッション管理機能110との間に、第2の暗号による安全なNAS接続402(図4を参照)を確立する。第1のセッション管理機能110は、第2の暗号鍵310を使用して、第2の暗号による安全なNAS接続402を保証するのに使用される暗号化サービスを提供する。
図4は、第3のプロセス状態400における様々な実施形態による、図1のモバイル無線通信ネットワークの一部を示す。
図4に示すように、次に、端末デバイス102とコアネットワークの異なるエンティティの間に、独立の2つの、暗号による安全なNAS接続、すなわち、端末デバイス102とモビリティ管理機能108の間の第1の暗号による安全なNAS接続302、及び、端末デバイス102と第1のセッション管理機能110(これはモビリティ管理機能108とは別のものである)の間の第2の暗号による安全なNAS接続402が提供される。これにより、それぞれ独立したセッション管理機能によって提供される、それぞれ所望の通信セッションの特性を考慮することができる暗号による安全なNAS接続を実装することが可能となる。これにより、通信セッションの暗号による安全なNAS接続は、モビリティ管理機能のNAS接続の特性と比較して、通信セッションのそれぞれの要求又は通信セッションの特定の特性に適合することができる。この第3の状態において、1つの暗号による安全なNAS接続のみが、セッション管理機能、すなわち第1のセッション管理機能110に提供されるということに留意されたい。専用の第2の制御プレーン回路116の、第2のセッション管理機能112に対して確立されたNAS接続は今のところない。
図5は、第4のプロセス状態500における様々な実施形態による、図1のモバイル無線通信ネットワークの一部を示す。
端末デバイス102と、専用の第2の制御プレーン回路116によって提供され及び実装された第2のセッション管理機能112との間においても、暗号による安全なNAS接続を確立するために、第2のセッション管理機能112によって提供された所望の通信セッションの特定のパラメータを使用して、図3を参照して上述したプロセスと同種の類似のプロセスを実施することができる。この場合、第1の暗号鍵212から導出することもできる第3の暗号鍵は、認証機能204によって生成することができ、たとえば、モビリティ管理機能108を経由して第2のセッション管理機能112に提供することができるということを理解されたい。このプロセスを実施後に、(首尾よく認証された)端末デバイス102と、専用の第2の制御プレーン回路116、より詳細には、その中の第2のセッション管理機能112との間の、第3の暗号による安全なNAS接続502(図5を参照)が確立される。第2のセッション管理機能112は、第3の暗号鍵を使用して第3の暗号による安全なNAS接続502を保証するのに使用される暗号化サービスを提供する。
端末デバイス102と各個別のセッション管理機能の間において、独立した暗号による安全なNAS接続中のそれぞれの個々の接続を確立することが望ましいので、プロセスは、同数の通信セッション、したがって同数の専用制御プレーン回路、そして、その回路内に提供されたセッション管理機能に対して、図3を参照して説明したように類似の方法で繰り返すことができる。
確立されたNAS接続302、402、及び502はまた図1に示されている。ここではオプションは符号で表され、NAS接続302、402、及び502はすべて、モビリティ管理機能108を経由してルーティングされている。言い換えれば、モビリティ管理機能108は、それぞれのセッション管理機能へのセッション管理のNASメッセージのルートを定めるように構成されたNASルーティング機能を提供することができる。代替として、第2及び第3の暗号による安全なNAS接続402及び502は、端末デバイス102並びに、それぞれ第1のセッション管理機能110及び第2のセッション管理機能112によって、直接確立することができる。
図6は、様々な実施形態による、NAS接続を確立するための第1の例を示す第1のメッセージ流れ図600を示す。
図6に示すように、端末デバイス102は、アタッチ要求メッセージ602を生成し、それを基地局(たとえば、eNB)104に送信することができる。基地局(たとえば、eNB)104は、アタッチ要求メッセージ602を、共通制御プレーン回路202によって提供され、実装されたモビリティ管理機能108に転送することができる。モビリティ管理機能108がアタッチ要求メッセージ602を受信後に、識別要求/応答プロセス604が、端末デバイス102とモビリティ管理機能108の間で実施される。さらに、モビリティ管理機能108は、サブスクリプション要求メッセージ606を生成し、それをユーザデータ管理(UDM)回路/ホーム加入者サーバ(HSS)122に送信することができる。これらはメッセージに応答して、サブスクリプション応答メッセージ608を生成し、それをモビリティ管理機能108に返信することができる。次いで、モビリティ管理機能108は、認証要求610を生成し、それを認証機能204に供給することができる。認証機能204は、認証プロセスを実施し、たとえば、端末デバイス102に送信することができるNAS認証要求メッセージ612を生成することによって、端末デバイス102を認証することができる。認証機能108に対して端末デバイス102自体を認証するために、端末デバイス102は、NAS認証要求メッセージ612に応答して、NAS認証応答メッセージ614を生成し、それを認証機能204に返信することができる。端末デバイス102を首尾よく認証できた場合には、認証機能108は認証承認メッセージ616を生成し、それをモビリティ管理機能108に供給することができる。認証承認メッセージ616は、上でおおまかに説明したように、第1の暗号鍵を含むことができる。言い換えれば、このプロセス段階では、両方のエンティティ、すなわち、端末デバイス102及びモビリティ管理機能108は、暗号による安全な第1のNAS接続622を確立するために使用することができる、第1の暗号鍵を所有する。モビリティ管理機能108は、第1の暗号鍵を使用して、NASセキュリティモードコマンドメッセージ618を生成することができる。次いで、モビリティ管理機能108は、NASセキュリティモードコマンドメッセージ618を端末デバイス102に送信することができる。暗号による安全な第1のNAS接続622を確立するために、端末デバイス102は、NASセキュリティモードコマンド応答メッセージ620を生成し、それをモビリティ管理機能108に送信することができる。モビリティ管理機能108が、NASセキュリティモードコマンド応答メッセージ620を受信するとすぐに、暗号など関連した暗号化サービス用の第1の暗号鍵を使用した暗号による安全な第1のNAS接続622が確立される。
次に、端末デバイス102は、PDN接続要求メッセージ624を生成し、それをモビリティ管理機能108に送信することができる。PDN接続要求メッセージ624を受信すると、モビリティ管理機能108は、セッション管理機能選択プロセス626を実施し、1つ又は複数のセッション管理機能、並びに、受信したPDN接続要求メッセージ624に従った関連する通信セッション、及び/又は、通信サービスを選択することができる。たとえば、第1のセッション管理機能110を選択した後で、モビリティ管理機能108は、第1のセッション管理機能110を識別する情報を含むことができる認証要求メッセージ628を生成し、その認証要求メッセージ628を認証機能204に供給することができる。認証要求メッセージ628を受信した後で、認証機能204は、さらに認識プロセスを任意選択で実施し、第1のセッション管理機能110と関連付けられた、選択された通信セッション又は通信サービスに特有の認証パラメータを任意選択で使用して、端末デバイス102を再度認証することができる。この任意選択的なプロセスは、たとえば、スライス(slice)認証及びセッション管理NASコンテキストセットアップ要求メッセージ630を生成し、それらを端末デバイス102に送信する、認証機能204によって実施することができる。セッション管理NASコンテキストセットアップ要求メッセージ630を用いて生成されたセッション管理NASコンテキストは、632においてHSS122によって特定のスライスに結び付けることができる。認証機能204は、第1の暗号鍵から第2の暗号鍵を導出することができ、この第2の暗号鍵は、選択された第1のセッション管理機能110と関連付けられており、又は、第1のセッション管理機能110に割り当てられている。さらに、認証機能204は、認証承認メッセージ634を生成することができ、このメッセージは、選択された第1のセッション管理機能110、及び、関連した第2の暗号鍵、たとえば第2の暗号鍵自体、又は第2の暗号鍵が記憶されるメモリのロケーションに対するポインタについての情報を含むことができる。さらに、認証機能204は、認証承認メッセージ634をモビリティ管理機能108に供給することができる。認証承認メッセージ634及びそれとともに第2の暗号鍵を受信すると、モビリティ管理機能108は、PDN接続要求メッセージ636を生成し、それを第1のセッション管理機能110に送信することができる。PDN接続要求メッセージ636は、UE(ユーザ装置)SM(セッション管理)サブスクリプション情報及び第2の暗号鍵を含むことができる。PDN接続要求メッセージ636を受信すると、第1のセッション管理機能110は、第2の暗号鍵を使用してNASセキュリティモードコマンドメッセージ638を生成し、それをモビリティ管理機能108に送信することができる。モビリティ管理機能108は、NASセキュリティモードコマンドメッセージ638を端末デバイス102に転送することができる。NASセキュリティモードコマンドメッセージを受信すると、端末デバイス102は次に、NASセキュリティモードコマンド応答メッセージ640を生成し、それをモビリティ管理機能108に送信することによって、第2のNAS接続642を確立することができる。モビリティ管理機能108はこの場合も、このメッセージ640を第1のセッション管理機能110に転送することができる。第1のセッション管理機能110は次いで、PDN接続応答メッセージ644を生成し、それをモビリティ管理機能108に送信することができる。モビリティ管理機能108はさらに、PDN接続応答メッセージ644を端末デバイス102に転送することができる。端末デバイス102と第2のセッション管理機能112の間の図6の矢印646によって表されているように、端末デバイス102と第2のセッション管理機能112の間で、第3の暗号による安全なNAS接続を確立するために、図6の点線648で囲まれたプロセスが、第2のセッション管理機能112と関連付けられた通信セッション、又は通信サービスのために、同様な方法で繰り返し実施することができる。
本例において、セッション管理機能NAS認証は、それぞれのPDN接続要求メッセージが、それぞれのセッション管理機能、たとえば第1のセッション管理機能110に転送される前に実施することができるということに留意されたい。
図7は、様々な実施形態による、NAS接続を確立するための第2の例を示す第2のメッセージ流れ図700を示す。
図7に示すように、端末デバイス102は、アタッチ要求メッセージ602を生成し、それを基地局(たとえば、eNB)104に送信することができる。基地局(たとえば、eNB)104は、アタッチ要求メッセージ602を、共通制御プレーン回路202によって提供され、実装されたモビリティ管理機能108に転送することができる。モビリティ管理機能108がアタッチ要求メッセージ602を受信後に、識別要求/応答プロセス604が、端末デバイス102とモビリティ管理機能108の間で実施される。さらに、モビリティ管理機能108は、サブスクリプション要求メッセージ606を生成し、それをユーザデータ管理(UDM)回路/ホーム加入者サーバ(HSS)122に送信することができる。これらはメッセージに応答して、サブスクリプション応答メッセージ608を生成し、それをモビリティ管理機能108に返信することができる。次いで、モビリティ管理機能108は、認証要求610を生成し、それを認証機能204に供給することができる。認証機能204は、認証プロセスを実施し、たとえば、端末デバイス102に送信することができるNAS認証要求メッセージ612を生成することによって、端末デバイス102を認証することができる。認証機能108に対して端末デバイス102自体を認証するために、端末デバイス102は、NAS認証要求メッセージ612に応答して、NAS認証応答メッセージ614を生成し、それを認証機能204に返信することができる。端末デバイス102を首尾よく認証できた場合には、認証機能108は認証承認メッセージ616を生成し、それをモビリティ管理機能108に供給することができる。認証承認メッセージ616は、上でおおまかに説明したように、第1の暗号鍵を含むことができる。言い換えれば、このプロセス段階では、両方のエンティティ、すなわち、端末デバイス102及びモビリティ管理機能108は、次いで暗号による安全な第1のNAS接続622を確立するために使用することができる、第1の暗号鍵を所有する。モビリティ管理機能108は、第1の暗号鍵を使用して、NASセキュリティモードコマンドメッセージ618を生成することができる。次いで、モビリティ管理機能108は、NASセキュリティモードコマンドメッセージ618を端末デバイス102に送信することができる。これにより、端末デバイス102も第1の暗号鍵を所有することができる。暗号による安全な第1のNAS接続622を確立するために、端末デバイス102は、NASセキュリティモードコマンド応答メッセージ620を生成し、それをモビリティ管理機能108に送信することができる。モビリティ管理機能108が、NASセキュリティモードコマンド応答メッセージ620を受信するとすぐに、暗号など関連した暗号化サービス用の第1の暗号鍵を使用した暗号による安全な第1のNAS接続622が確立される。
次に、端末デバイス102は、PDN接続要求メッセージ624を生成し、それをモビリティ管理機能108に送信することができる。PDN接続要求メッセージ624を受信すると、モビリティ管理機能108は、セッション管理機能選択プロセス626を実施し、1つ又は複数のセッション管理機能、並びに、受信したPDN接続要求メッセージ624に従った関連する通信セッション、及び/又は、通信サービスを選択することができる。たとえば、第1のセッション管理機能110を選択した後で、モビリティ管理機能108は、UE(ユーザ装置)SM(セッション管理)サブスクリプション情報を含むことができるPDN接続要求メッセージ702を生成し、それを第1のセッション管理機能110に送信することができる。PDN接続要求メッセージ702を受信すると、第1のセッション管理機能110は、第1のセッション管理機能110と関連付けられた通信サービス又は通信セッションについての情報、たとえば第1のセッション管理機能110を識別する情報を含む認証要求メッセージ704を生成し、それを認証機能204に送信することができる。認証要求メッセージ704を受信した後で、認証機能204は、さらに認識プロセスを任意選択で実施し、第1のセッション管理機能110と関連付けられた、選択された通信セッション又は通信サービスに特有の認証パラメータを任意選択で使用して、端末デバイス102を再度認証することができる。この任意選択的なプロセスは、たとえば、スライス(slice)認証及びセッション管理NASコンテキストセットアップ要求メッセージ706を生成し、それらを端末デバイス102に送信する、認証機能204によって実施することができる。セッション管理NASコンテキストセットアップ要求メッセージ706を用いて生成されたセッション管理NASコンテキストは、708においてHSS122によって特定のスライスに結び付けることができる。認証機能204は、第1の暗号鍵から第2の暗号鍵を導出することができ、この第2の暗号鍵は、選択された第1のセッション管理機能110と関連付けられており、又は、第1のセッション管理機能110に割り当てられている。さらに、認証機能204は、認証承認メッセージ710を生成することができ、このメッセージは、選択された第1のセッション管理機能110、及び、関連した第2の暗号鍵、たとえば第2の暗号鍵自体、又は第2の暗号鍵が記憶されるメモリのロケーションに対するポインタについての情報を含むことができる。さらに、認証機能204は、認証承認メッセージ710を第1のセッション管理機能110に送信することができる。認証承認メッセージ710及びそれとともに第2の暗号鍵を受信すると、第1のセッション管理機能110は、第2の暗号鍵を使用してNASセキュリティモードコマンドメッセージ712を生成し、それをモビリティ管理機能108に送信することができる。モビリティ管理機能108は、NASセキュリティモードコマンドメッセージ712を端末デバイス102に転送することができる。NASセキュリティモードコマンドメッセージ712を受信すると、端末デバイス102は次に、NASセキュリティモードコマンド応答メッセージ714を生成し、それをモビリティ管理機能108に送信することによって、第2のNAS接続716を確立することができる。モビリティ管理機能108はこの場合も、このメッセージ714を第1のセッション管理機能110に転送することができる。第1のセッション管理機能110は次いで、PDN接続応答メッセージ718を生成し、それをモビリティ管理機能108に送信することができる。モビリティ管理機能108はさらに、PDN接続応答メッセージ718を端末デバイス102に転送することができる。
端末デバイス102と第2のセッション管理機能112の間の矢印720により図7において表されているように、端末デバイス102と第2のセッション管理機能112の間で、第3の暗号による安全なNAS接続を確立するために、図7の点線722で囲まれたプロセスが、第2のセッション管理機能112と関連付けられた通信セッション、又は通信サービスのために、同様な方法で繰り返し実施することができる。
本実施例において、それぞれのPDN接続要求メッセージは、セッション管理NAS認証プロセスが実施される前に、それぞれのセッション管理機能、たとえば第1のセッション管理機能110に転送されるということに留意されたい。
この説明に照らして、スライスは、場合によってはアクセスネットワーク及びコアネットワークを含む、完全な論理ネットワーク(電気通信サービス及びネットワーク機能を提供する)を含むと理解することができる。たとえばUEといった端末デバイスは、1つの無線アクセスネットワークを介して、複数のスライスに同時にアクセスすることができる。こうした場合において、これらのスライスは、いくつかの制御プレーン機能、たとえばモビリティ管理機能を共有することができる。たとえばUEといった端末デバイスに対してサービスを提供する、通信ネットワークスライスインスタンス(複数可)のコアネットワーク部分は、コアネットワークによって選択することができる。
様々な実施形態において、MM機能及びSM機能が分離されているとき、すなわち、各NAS終端点に異なる暗号NAS鍵を割り当てるとき、NASセキュリティ通信を設定するための機構が用意されている。
たとえばUEといった端末デバイスは、それぞれのSM機能に対して、通信するための異なる暗号NAS鍵及びマップを保持することができる。
異なるネットワーク機能における異なるNAS終端、すなわち、MM機能におけるNG1 NAS終端及びSM機能におけるSM NAS終端が、様々な実施形態において提供されうる。
様々な実施形態は、MM NAS鍵によって暗号化されたMM NASメッセージを使用して、SM NAS鍵によって暗号化されたSM NASメッセージをカプセル化することができる。
様々な実施形態は、SMに特有な認証及びNAS確立が、通信ネットワークに企業に特有なセキュリティモデル、たとえば通信サービスビジネスモデルとしての認証を可能とするようにする効果をもたらすことができる。
本発明を特定の実施形態を参照して詳細に示し説明してきたが、当業者においては、形状及び細部における様々な変更が、添付の特許請求の範囲によって定義された本発明の趣旨及び範囲を逸脱することなく実施可能であることを理解されたい。本発明の範囲はしたがって、添付の特許請求の範囲によって示され、特許請求の範囲と同等のものの意義及び範囲内のあらゆる変更は、したがって、包含されるものとする。

Claims (14)

  1. モビリティ管理機能及び認証機能を提供するように構成された共通制御プレーン回路と、
    各々がそれぞれのセッション管理機能を提供するように構成された、1つ又は複数の専用制御プレーン回路と
    を備える通信ネットワークであって、
    前記認証機能が、通信端末を認証し、前記通信端末用の第1の鍵を生成するように構成されており、
    前記モビリティ管理機能が、前記通信端末によって送信された第1の要求メッセージに応答して、生成された前記第1の鍵を使用して、認証された前記通信端末との間で暗号による安全な非アクセス層接続を提供するように構成されており、
    前記モビリティ管理機能が、前記通信端末によって送信された第2の要求メッセージに応答して、少なくとも1つのセッション管理機能を選択するようにさらに構成されており、
    前記モビリティ管理機能が、前記認証機能に要求して、前記通信端末を認証し、前記第2の要求メッセージを各選択されたセッション管理機能に転送する前に、各選択されたセッション管理機能用のそれぞれの第2の鍵を生成するようにさらに構成されており、
    前記モビリティ管理機能が、前記それぞれの第2の鍵とともに前記第2の要求メッセージを、各選択されたセッション管理機能に転送するようにさらに構成されており、
    各セッション管理機能が、前記それぞれの第2の鍵を使用して、認証された前記通信端末との間で非アクセス層接続を提供するように構成されている、通信ネットワーク。
  2. 前記第1の要求メッセージが、アタッチ要求メッセージである、請求項1に記載の通信ネットワーク。
  3. 前記第2の要求メッセージが、パケットデータネットワーク接続要求メッセージである、請求項1又は2に記載の通信ネットワーク。
  4. モビリティ管理機能及び認証機能を提供するように構成された共通制御プレーン回路と、
    各々がそれぞれのセッション管理機能を提供するように構成された、1つ又は複数の専用制御プレーン回路と、
    を備える通信ネットワークであって、
    前記認証機能が、通信端末を認証し、前記通信端末用の第1の鍵を生成するように構成されており、
    前記モビリティ管理機能が、前記通信端末によって送信された第1の要求メッセージに応答して、生成された前記第1の鍵を使用して、認証された前記通信端末との間で暗号による安全な非アクセス層接続を提供するように構成されており、
    前記モビリティ管理機能が、前記通信端末によって送信された第2の要求メッセージに応答して、少なくとも1つのセッション管理機能を選択するようにさらに構成されており、
    前記モビリティ管理機能が、前記第2の要求メッセージを選択された前記セッション管理機能に転送する前に、前記認証機能に要求して、それぞれの第2の鍵を前記第1の鍵から各選択されたセッション管理機能用に導出し、前記それぞれの第2の鍵及び前記第2の要求メッセージを、各選択されたセッション管理機能に転送するように構成されており、
    各セッション管理機能が、前記それぞれの第2の鍵を使用して、認証された前記通信端末との間で非アクセス層接続を提供するように構成されている、通信ネットワーク。
  5. 前記第1の要求メッセージが、アタッチ要求メッセージである、請求項4に記載の通信ネットワーク。
  6. 前記第2の要求メッセージが、パケットデータネットワーク接続要求メッセージである、請求項4又は5に記載の通信ネットワーク。
  7. 前記認証機能によって生成された、前記第1の鍵、及び/又は、1つ若しくは複数の前記それぞれの第2の鍵を記憶するように構成されたホーム加入者サーバをさらに備える、請求項1〜2,4〜5のいずれか一項に記載の通信ネットワーク。
  8. 通信ネットワークにおいて、通信端末用の1つ又は複数の暗号による安全な非アクセス層接続を確立するための方法であって、
    認証機能により、前記通信端末を認証し、前記通信端末用の第1の鍵を生成するステップと、
    モビリティ管理機能により、前記通信端末によって送信された第1の要求メッセージに応答して、生成された前記第1の鍵を使用して、認証された前記通信端末との間で暗号による安全な非アクセス層接続を確立するステップと、
    前記モビリティ管理機能により、前記通信端末によって送信された第2の要求メッセージに応答して、少なくとも1つのセッション管理機能を選択するステップと、
    前記モビリティ管理機能により、前記認証機能に要求して、前記通信端末を認証し、前記第2の要求メッセージを各選択されたセッション管理機能に転送する前に、各選択されたセッション管理機能用のそれぞれの第2の鍵を生成するステップと、
    前記モビリティ管理機能により、前記第2の要求メッセージ及び前記それぞれの第2の鍵を、各選択されたセッション管理機能に転送するステップと、
    各セッション管理機能が、前記それぞれの第2の鍵を使用して、認証された前記通信端末との間で非アクセス層接続を確立するステップと
    を含む、方法。
  9. 前記第1の要求メッセージが、アタッチ要求メッセージである、請求項8に記載の方法。
  10. 前記第2の要求メッセージが、パケットデータネットワーク接続要求メッセージである、請求項8又は9に記載の方法。
  11. 通信ネットワークにおいて、通信端末用の1つ又は複数の暗号による安全な非アクセス層接続を確立するための方法であって、
    認証機能により、前記通信端末を認証し、前記通信端末用の第1の鍵を生成するステップと、
    モビリティ管理機能により、前記通信端末によって送信された第1の要求メッセージに応答して、生成された前記第1の鍵を使用して、認証された前記通信端末との間で暗号による安全な非アクセス層接続を確立するステップと、
    前記モビリティ管理機能により、前記通信端末によって送信された第2の要求メッセージに応答して、少なくとも1つのセッション管理機能を選択するステップと、
    前記モビリティ管理機能により、前記第2の要求メッセージを選択された前記セッション管理機能に転送する前に、前記認証機能に要求して、それぞれの第2の鍵を前記第1の鍵から各選択されたセッション管理機能用に導出し、前記それぞれの第2の鍵及び前記第2の要求メッセージを、各選択されたセッション管理機能に転送するステップと、
    を含み、
    各セッション管理機能が、前記それぞれの第2の鍵を使用して、認証された前記通信端末との間で非アクセス層接続を提供するように構成されている、方法。
  12. 前記第1の要求メッセージが、アタッチ要求メッセージである、請求項11に記載の方法。
  13. 前記第2の要求メッセージが、パケットデータネットワーク接続要求メッセージである、請求項11又は12に記載の方法。
  14. ホーム加入者サーバにおいて、前記認証機能によって生成された前記第1の鍵、及び/又は、1つ若しくは複数の前記それぞれの第2の鍵を記憶するステップをさらに含む、請求項8〜9,11〜12のいずれか一項に記載の方法。
JP2017559323A 2016-11-01 2017-10-20 通信ネットワークにおける非アクセス層接続を確立するための通信ネットワーク及び方法 Active JP6511542B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP16196716.1A EP3316608B1 (en) 2016-11-01 2016-11-01 A communication network and a method for establishing non-access stratum connections in a communication network
EP16196716.1 2016-11-01
PCT/EP2017/076889 WO2018082944A1 (en) 2016-11-01 2017-10-20 A communication network and a method for establishing non-access stratum connections in a communication network

Publications (2)

Publication Number Publication Date
JP2018537872A true JP2018537872A (ja) 2018-12-20
JP6511542B2 JP6511542B2 (ja) 2019-05-15

Family

ID=57249698

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017559323A Active JP6511542B2 (ja) 2016-11-01 2017-10-20 通信ネットワークにおける非アクセス層接続を確立するための通信ネットワーク及び方法

Country Status (3)

Country Link
EP (1) EP3316608B1 (ja)
JP (1) JP6511542B2 (ja)
WO (1) WO2018082944A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113179503B (zh) * 2018-07-16 2022-09-02 Oppo广东移动通信有限公司 一种数据传输方法、摄像头及计算机存储介质
DE102021002580A1 (de) 2020-06-04 2021-12-09 Sew-Eurodrive Gmbh & Co Kg Verfahren zum Betreiben eines Kommunikationssystems und Kommunikationssystem

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
HUAWEI ET AL.: "Basic security call flow for UE initial attach, [online]", 3GPP TSG-SA WG3 #84BIS S3-161492, JPN6019010871, 5 October 2016 (2016-10-05) *
HUAWEI ET AL.: "Definition and Clarification for Security Policy Control Function,[online]", 3GPP TSG SA WG3 #85 S3-161712, JPN6019010875, 31 October 2016 (2016-10-31) *
NEC: "pCR to TR 33.899: Security Mode procedure for NextGen,[online]", 3GPP TSG SA WG3 #85 S3-161626, JPN6019010877, 31 October 2016 (2016-10-31) *
QUALCOMM INC.: "Isolation of slices using UP security terminating in the network,[online]", 3GPP TSG SA WG3 #85 S3-161729, JPN6019010869, 31 October 2016 (2016-10-31) *
ZTE: "NextGen Core Architecture solution for sharing Network Function across multiple Network Slices,[onl", 3GPP TSG-SA WG2 #114 S2-162260, JPN6019010873, 22 April 2016 (2016-04-22) *

Also Published As

Publication number Publication date
EP3316608B1 (en) 2019-01-09
JP6511542B2 (ja) 2019-05-15
WO2018082944A1 (en) 2018-05-11
EP3316608A1 (en) 2018-05-02

Similar Documents

Publication Publication Date Title
KR102144303B1 (ko) 키 구성 방법, 보안 정책 결정 방법 및 장치
JP7035163B2 (ja) ネットワークセキュリティ管理方法および装置
KR102601585B1 (ko) Nas 메시지의 보안 보호를 위한 시스템 및 방법
EP2676398B1 (en) Wireless device, registration server and method for provisioning of wireless devices
US11570617B2 (en) Communication method and communications apparatus
CN108574969A (zh) 多接入场景中的连接处理方法和装置
CN110365470B (zh) 一种密钥生成方法和相关装置
TW201715864A (zh) 用於網路切分的金鑰層級
CN1835436B (zh) 一种通用鉴权网络及一种实现鉴权的方法
WO2019096075A1 (zh) 一种消息保护的方法及装置
US11284254B2 (en) Service-based 5G core authentication endpoints
WO2013185735A2 (zh) 一种加密实现方法及系统
CN109155734B (zh) 基于身份标识密码技术的密钥生成和分发方法
CN110651504A (zh) 通信终端、网络装置、通信方法及非暂时性计算机可读介质
WO2021047454A1 (zh) 位置信息获取、位置服务配置方法和通信设备
CN109155915A (zh) 通信方法、网络侧设备和用户设备
EP3703317B1 (en) Method and device for accessing local network
US20110002272A1 (en) Communication apparatus and communication method
US20240187257A1 (en) Digital letter of approval (dloa) for device compliance
CN115362692A (zh) 一种通信方法、装置及系统
JP6511542B2 (ja) 通信ネットワークにおける非アクセス層接続を確立するための通信ネットワーク及び方法
WO2017128306A1 (zh) 通信方法及设备
JP2018533853A (ja) 移動無線通信ネットワークに移動端末の接続を確立するための方法、及び無線アクセスネットワーク構成要素
CN114867004A (zh) 核心网系统
WO2014183528A1 (zh) 双连接处理方法、装置及基站

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190408

R150 Certificate of patent or registration of utility model

Ref document number: 6511542

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250