JP2020509640A - 5gシステムにおけるセキュリティアンカー機能 - Google Patents

5gシステムにおけるセキュリティアンカー機能 Download PDF

Info

Publication number
JP2020509640A
JP2020509640A JP2019539904A JP2019539904A JP2020509640A JP 2020509640 A JP2020509640 A JP 2020509640A JP 2019539904 A JP2019539904 A JP 2019539904A JP 2019539904 A JP2019539904 A JP 2019539904A JP 2020509640 A JP2020509640 A JP 2020509640A
Authority
JP
Japan
Prior art keywords
mobility management
management function
access mobility
user equipment
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019539904A
Other languages
English (en)
Inventor
ヘンダ, ノアメン ベン
ヘンダ, ノアメン ベン
モニカ ヴィフヴェッソン,
モニカ ヴィフヴェッソン,
クリスティーネ ヨースト,
クリスティーネ ヨースト,
サモラ, ダビド カステリャノス
サモラ, ダビド カステリャノス
ヴェサ トルヴィネン,
ヴェサ トルヴィネン,
Original Assignee
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エルエム エリクソン(パブル), テレフオンアクチーボラゲット エルエム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Publication of JP2020509640A publication Critical patent/JP2020509640A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/25Maintenance of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/10Access point devices adapted for operation in multiple networks, e.g. multi-mode access points

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

ユーザ機器のためのサービング・アクセス・モビリティ管理機能の変更をハンドリングするための方法。本方法は、ソース・アクセス・モビリティ管理機能にコンテキスト要求を送ること(S2)を含む。この送ることは、ターゲット・アクセス・モビリティ管理機能から実施される。ターゲット・アクセス・モビリティ管理機能において、ソース・アクセス・モビリティ管理機能からの応答内でコンテキストが受信される(S3)。コンテキストは、セキュリティ・アンカー機能アクセス・モビリティ管理機能を識別するパラメータを含む。セキュリティ・アンカー機能アクセス・モビリティ管理機能は、ユーザ機器と共有される鍵を保持する。また、ユーザ機器におけるサービング・アクセス・モビリティ管理機能の変更をハンドリングするための方法、ならびにアクセス・モビリティ管理機能ならびにユーザ機器が、したがって開示される。【選択図】図6

Description

提案される技術は、一般に、5G通信システムにおけるセキュリティ問題に関する。
第3世代パートナーシッププロジェクト(3GPP)は、電気通信協会のグループ間の共同研究である。3GPPの初期の目的は、グローバルに適用可能な第3世代(3G)モバイルフォンシステム仕様に関して同意することであった。その範囲は、モバイル電気通信世代のさらなる世代、たとえば、3Gとも呼ばれることがあるUniversal Mobile Telecommunications System(UMTS)アーキテクチャ、および第4世代(4G)とも呼ばれるLong Term Evolution(LTE)アーキテクチャの開発および保守を含むように後で拡大された。
3GPPは、現在、5G、別名次世代(NG:Next Generation)のための規格を開発している。一般に次世代(NextGenまたはNG)、次世代システム(NGS:Next Generation System)または5Gと呼ばれる、無線通信のこの将来世代は、世界中で開発されているが、共通5G規格はまだ設けられていない。
次世代無線通信のビジョンは、現在の4G LTEネットワークと比較して、極めて高いデータレート、極端に低いレイテンシ、基地局容量の大幅な増加、およびユーザが知覚したサービス品質(QoS)の有意な改善を提供することにある。
5Gは、多くの新しいシナリオおよび使用事例をサポートすることになり、モノのインターネット(IoT)のためのイネーブラになることが予想される。NGシステムは、センサー、スマートウェアラブル、車両、機械など、広範囲の新しいデバイスへのコネクティビティを与えることが予想される。その場合、フレキシビリティが、NGシステムにおける鍵となる特性になる。これは、代替認証方法と、オペレータによって事前プロビジョニングされ、ユニバーサル集積回路カード(UICC:Universal Integrated Circuit Card)にセキュアに記憶された通常の認証および鍵一致(AKA:Authentication and Key Agreement)証明とは異なるタイプの証明とのサポートを義務づけているネットワークアクセスのためのセキュリティ要件において反映される。これにより、工場所有者または企業が、認証およびアクセスネットワークセキュリティのために工場所有者または企業自体の識別情報および証明管理システムを活用することが可能になる。
NGシステムにおける新しいセキュリティ特徴の中には、セキュリティアンカー機能(SEAF:Security Anchor Function)の導入がある。SEAFの唯一の目的は、NGコアネットワーク機能の展開におけるフレキシビリティおよびダイナミシティ(dynamicity)を満たすことである。事実上、NGシステムは、そのような特性を達成するために仮想化を活用することになる。結果として、アクセス・モビリティマネージメント機能(AMF:Access and Mobility Management Function)が、たとえば、オペレータ構内よりも潜在的にセキュアでないドメインにおいて展開されるシナリオは、妥当と思われるだけでなく、予想されるべきである。
SEAFは、制御プレーン保護および無線インターフェース保護のためなどの、任意の他の鍵(Kcn)を導出するために使用される、ユーザ機器(UE)との(Kseafと呼ばれる)鍵を確立し、共有すると考えられる。これらの鍵は、4Gシステムでは、非アクセス層(NAS:Non−Access Stratum)鍵およびKeNBに対応することになる。その場合、SEAFは、セキュアロケーション中に常駐すると仮定され、Kseafは、SEAFを決して離れないことになる。このセッティングの1つの重要な利点は、UEがアイドルになり次いで再びアクティブになるたびの、再認証を回避することであろう。事実上、認証は、特に、UEがローミングしているとき、コストがかかるプロシージャである。
NGシステムのアーキテクチャ研究中に、SEAFとAMFとがコロケートされることが決定された。これは、実際に、まず第1にそのような追加のセキュリティ機能の目的にそぐわない。依然としてSEAFの必要があるか?また、SEAFの必要がある場合、SEAFはどのように実装され得るか?レガシーシステムにおけるセキュリティ設計が、モビリティ管理エンティティ(MME)が常にオペレータCN内のセキュアロケーション中に配置されるという仮定に概念的に基づいていたことは、注目に値する。この仮定は、AMFに適用されない。高密度エリアでは、AMFは、ネットワークのエッジのより近くに、たとえば、ショッピングモールにおいて、したがって潜在的に露出したロケーションにおいて展開され得る。したがって、AMF変更中に、AMFは、等しくセキュアなドメイン中に配置されないことが可能であり、したがって、ターゲットAMFまたはソースAMFは、ターゲットAMFまたはソースAMF自体を他方のAMFから遮蔽する必要があり得る。
レガシー機構を再利用することは、以下で説明されるような新しいセキュリティセッティングでは十分でない。エボルブドパケットシステム(EPS)では、AMFの等価物はMMEである。MME変更中に、新しいMMEは、古いMMEからUEのセキュリティコンテキストをフェッチする。さらに、MMEは、常に、新しい認証をトリガする可能性を有する。
レガシー機構の場合、再認証を介してフォワードセキュリティ(forward security)が達成され得るが、バックワードセキュリティ(backward security)のための機構がない。より正確には、ターゲット側では、新しいAMFは、常に、新しい認証をトリガする可能性を有し、したがって、古いAMFが、使用される鍵を判定する可能性が低くなる。再認証の必要は、たとえば、異なるAMFのロケーションを考慮に入れたオペレータポリシーに基づき得る。
認証プロシージャのみに依拠することは、実施に関して認証プロシージャが最も重いプロシージャのうちの1つであるので、あまり効率的でない。これは、特にローミングするときに再認証の必要をなくすことによって、独立したSEAFが重要な役割を果たすことができる場合である。
目的は、AMFの変更時に、効率的であり、フォワードセキュリティを可能にする認証プロシージャを提供することである。
このおよび他の目的は、提案される技術の実施形態によって満たされる。
第1の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするための方法が提供される。本方法は、ソースAMFにコンテキスト要求を送ることを含む。この送ることは、ターゲットAMFから実施される。ターゲットAMFにおいて、ソースAMFからの応答内でコンテキストが受信される。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、ユーザ機器と共有される鍵を保持する。
第2の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするための方法が提供される。本方法は、ターゲットAMFからコンテキスト要求を受信することを含む。受信することは、ソースAMFにおいて実施される。ソースAMFから、ターゲットAMFへの応答内でコンテキストが送られる。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、ユーザ機器と共有される鍵を保持する。
第3の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするための方法が提供される。本方法は、ターゲットAMFに登録要求を送ることを含む。送ることは、ユーザ機器から実施される。前記ターゲットAMFと前記ユーザ機器との間で非アクセス層セキュリティ確立プロシージャが実施される。非アクセス層セキュリティ確立プロシージャは、ターゲットAMFによって決定された認証ストラテジーに関して、ユーザ機器に知らせる。認証ストラテジーに従って鍵プロシージャが適用される。
第4の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするための方法が提供される。本方法は、ターゲットAMFから、ユーザ機器のための新しい鍵についての要求を受信することを含む。受信することは、SEAF AMFにおいて実施される。SEAF AMFにおいて、ユーザ機器と共有される鍵から新しいコアネットワーク鍵が導出される。新しいコアネットワーク鍵は、ターゲットAMFに送られる。
第5の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするように設定されたネットワークノードが提供される。ネットワークノードは、ソースAMFにコンテキスト要求を送るように設定されたAMFを備える。AMFは、ソースAMFからの応答内でコンテキストを受信するように設定される。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、ユーザ機器と共有される鍵を保持する。
第6の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするように設定されたネットワークノードが提供される。ネットワークノードは、ターゲットAMFからコンテキスト要求を受信するように設定されたAMFを備える。AMFは、ターゲットAMFへの応答内でコンテキストを送るように設定される。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、ユーザ機器と共有される鍵を保持する。
第7の態様によれば、通信ネットワークにおいて使用するためのユーザ機器が提供される。ユーザ機器は、ターゲットAMFに登録要求を送るために設定される。ユーザ機器は、ターゲットAMFとユーザ機器との間で非アクセス層セキュリティ確立プロシージャを実施するためにさらに設定される。非アクセス層セキュリティ確立プロシージャは、ターゲットAMFによって決定された認証ストラテジーに関して、ユーザ機器に知らせる。ユーザ機器は、認証ストラテジーに従って鍵プロシージャを適用するためにさらに設定される。
第8の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするように設定されたネットワークノードが提供される。ネットワークノードは、ターゲットAMFから、ユーザ機器のための新しい鍵についての要求を受信するように設定されたAMFを備える。AMFは、ユーザ機器と共有される鍵から新しいコアネットワーク鍵を導出するようにさらに設定される。AMFは、ターゲットAMFに新しいコアネットワーク鍵を送るようにさらに設定される。
第9の態様によれば、少なくとも1つのプロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、ターゲットAMFから、ソースAMFにコンテキスト要求を送らせる命令を備えるコンピュータプログラムが提供される。コンピュータプログラムは、(1つまたは複数の)プロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、ターゲットAMFにおいて、ソースAMFからの応答内でコンテキストを受信させる、さらなる命令を備える。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、ユーザ機器と共有される鍵を保持する。
第10の態様によれば、少なくとも1つのプロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、ソースAMFにおいて、ターゲットAMFからコンテキスト要求を受信させる命令を備えるコンピュータプログラムが提供される。コンピュータプログラムは、(1つまたは複数の)プロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、ソースAMFから、ターゲットAMFへの応答内でコンテキストを送らせる、さらなる命令を備える。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、ユーザ機器と共有される鍵を保持する。
第11の態様によれば、少なくとも1つのプロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、ターゲットAMFに登録要求を送らせる命令を備えるコンピュータプログラムが提供される。コンピュータプログラムは、(1つまたは複数の)プロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、ターゲットAMFとユーザ機器との間で非アクセス層セキュリティ確立プロシージャを実施させる、さらなる命令を備える。非アクセス層セキュリティ確立プロシージャは、ターゲットAMFによって決定された認証ストラテジーに関して、ユーザ機器に知らせる。コンピュータプログラムは、(1つまたは複数の)プロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、認証ストラテジーに従って鍵プロシージャを適用させる、さらなる命令を備える。
第12の態様によれば、少なくとも1つのプロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、SEAF AMFにおいて、ターゲットAMFから、ユーザ機器のための新しい鍵についての要求を受信させる命令を備えるコンピュータプログラムが提供される。コンピュータプログラムは、(1つまたは複数の)プロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、SEAF AMFにおいて、ユーザ機器と共有される鍵から新しいコアネットワーク鍵を導出させる、さらなる命令を備える。コンピュータプログラムは、(1つまたは複数の)プロセッサによって実行されたとき、(1つまたは複数の)プロセッサに、ターゲットAMFに新しいコアネットワーク鍵を送らせる、さらなる命令を備える。
第13の態様によれば、第9から第12の態様のいずれかによるコンピュータプログラムを記憶したコンピュータ可読媒体を備えるコンピュータプログラム製品が提供される。
第14の態様によれば、第9から第12の態様のいずれかによるコンピュータプログラムを備えるキャリアが提供され、キャリアは、電子信号、光信号、電磁信号、磁気信号、電気信号、無線信号、マイクロ波信号、またはコンピュータ可読記憶媒体である。
第15の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするためのネットワークノードが提供される。ネットワークノードは、ターゲットAMFから、ソースAMFにコンテキスト要求を送るための送信機モジュールを備える。ネットワークノードは、ターゲットAMFにおいて、ソースAMFからの応答内でコンテキストを受信するための受信機モジュールをさらに備える。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、ユーザ機器と共有される鍵を保持する。
第16の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするためのネットワークノードが提供される。ネットワークノードは、ソースAMFにおいて、ターゲットAMFからコンテキスト要求を受信するための受信機モジュールを備える。ネットワークノードは、ソースAMFから、ターゲットAMFへの応答内でコンテキストを送るための送信機をさらに備える。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、ユーザ機器と共有される鍵を保持する。
第16の態様によれば、通信ネットワークにおいて使用するためのユーザ機器が提供される。ユーザ機器は、ターゲットAMFに登録要求を送るための送信機を備える。ユーザ機器は、ターゲットAMFとユーザ機器との間で非アクセス層セキュリティ確立プロシージャを実施するためのセキュリティモジュールをさらに備える。非アクセス層セキュリティ確立プロシージャは、ターゲットAMFによって決定された認証ストラテジーに関して、ユーザ機器に知らせる。ユーザ機器は、認証ストラテジーに従って鍵プロシージャを適用するための鍵ハンドリングモジュールをさらに備える。
第17の態様によれば、ユーザ機器のためのサービングAMFの変更のハンドリングをサポートするためのネットワークノードが提供される。ネットワークノードは、ターゲットAMFから、ユーザ機器のための新しい鍵についての要求を受信するための受信機を備える。ネットワークノードは、ユーザ機器と共有される鍵から新しいコアネットワーク鍵を導出するための鍵管理モジュール(key managing module)をさらに備える。ネットワークノードは、ターゲットAMFに新しいコアネットワーク鍵を送るための送信機をさらに備える。
このソリューションは、独立したSEAF機能を必要とせず、コアネットワーク内の規格化されたインターフェース、複雑さおよび追加のシグナリングの必要を省く。
このソリューションは、フォワードセキュリティのための認証の効率的な代替策を与えることによって、AMF展開におけるフレキシビリティによってもたらされるセキュリティ問題に対処する。
以下の説明を読めば、他の利点が諒解されよう。
実施形態のさらなる目的および利点とともに、実施形態は、添付の図面とともに、以下の説明を参照することによって、最も良く理解され得る。
UMTSのためのコアネットワークの簡略化された概観を示す概略図である。 EPCアーキテクチャの簡略化された概観を示す概略図である。 5Gシステムの非ローミングアーキテクチャの一実施形態の概略図である。 ターゲットAMFとSEAF AMFとの間の関係の概略図である。 初期登録中の認証のための一実施形態のシグナリングを表す図である。 ターゲットAMFの役割における、UEのためのサービングAMFの変更をハンドリングするための方法の一実施形態のステップの流れ図である。 ソースAMFの役割における、UEのためのサービングAMFの変更をハンドリングするための方法の別の実施形態のステップの流れ図である。 AMF変更中の再認証の一実施形態のシグナリングを表す図である。 ターゲットAMFがソースAMFから受信されたセキュリティ鍵を使用して継続する、一実施形態のシグナリングを表す図である。 新しい鍵導出を含む一実施形態のシグナリングを表す図である。 UEの役割における、UEのためのサービングAMFの変更をハンドリングするための方法の一実施形態のステップの流れ図である。 SEAF AMFの役割における、UEのためのサービングAMFの変更をハンドリングするための方法の一実施形態のステップの流れ図である。 AMFの一例を示す概略ブロック図である。 UEの一例を示す概略ブロック図である。 ハードウェア回路要素実装形態に基づくAMFの別の例を示す概略ブロック図である。 ハードウェア回路要素実装形態に基づくUEの別の例を示す概略ブロック図である。 プロセッサとハードウェア回路要素の両方の組合せに基づくAMFのまた別の例を示す概略ブロック図である。 プロセッサとハードウェア回路要素の両方の組合せに基づくUEのまた別の例を示す概略ブロック図である。 一実施形態による、AMFのコンピュータ実装形態の一例を示す概略図である。 一実施形態による、UEのコンピュータ実装形態の一例を示す概略図である。 AMFを備えるネットワークデバイスの一例を示す概略ブロック図である。 UEのためのサービングAMFの変更をハンドリングするためのネットワークノードの一例を示す概略図である。 UEのためのサービングAMFの変更をハンドリングするためのネットワークノードの別の例を示す概略図である。 UEの別の例を示す概略図である。 クラウド実装形態の一例を示す概略図である。 無線通信システムの一例を示す概略図である。
図面全体にわたって、同様のまたは対応する要素のために同じ参照表示が使用される。
3Gとも呼ばれることがあるUniversal Mobile Telecommunications System(UMTS)アーキテクチャ、および4Gとも呼ばれるLong Term Evolution(LTE)アーキテクチャの極めて簡単な概観から開始することが、有用であり得る。
まず第一に、それらのアーキテクチャの無線アクセスネットワーク(RAN)部分は、ユニバーサル地上無線アクセスネットワーク(UTRAN:Universal Terrestrial Radio Access Network)が3G UMTS RANであり、拡張UTRAN(eUTRAN:Evolved UTRAN)がLTE RANであるという点で異なる。UTRANは、回線交換サービスとパケット交換サービスの両方をサポートするが、eUTRANは、パケット交換サービスをサポートするにすぎない。
UTRANエアインターフェースは、スペクトル拡散変調技術に基づく広帯域符号分割多元接続(WCDMA)であるが、eUTRANは、直交周波数分割多元接続(OFDMA)と呼ばれるマルチキャリア変調方式を採用する。高速パケットアクセス(HSPA)は、WCDMAプロトコルを使用して既存の3G UMTSネットワークの性能を拡張および改善するプロトコルのセットである。
3G UMTSでは、RANは、2つのタイプのノード、すなわち、ノードBと呼ばれるアクセスノードまたは基地局と、無線ネットワークコントローラ(RNC)とに基づく。RNCは、RANを制御するノードであり、RNCはまた、RANをコアネットワーク(CN)に接続する。
図1は、UMTS100のためのコアネットワークの簡略化された概観を示す概略図である。UMTS/WCDMAのためのコアネットワークは、以下を含む。
・ 公衆交換電話網(PSTN)5への接続のためのモバイル交換センター(MSC)4をもつ回線交換(CS)ドメイン2、
・ RAN20への接続のためのサービングGPRSサポートノード(SGSN)6と、インターネット30などの外部ネットワークへの接続のためのゲートウェイGPRSサポートノード(GGSN)7とをもつパケット交換(PS)ドメイン3。
2つのドメインについて共通しているのは、ホームロケーションレジスタ(HLR)8、オペレータの加入者を追跡するホームオペレータのネットワークにおけるデータベースである。
LTE RANの鍵設計理念は、1つのタイプのノードのみ、すなわち、eノードBまたはeNBとも呼ばれる、エボルブドノードBを使用することである。LTE CNの鍵概念は、可能な範囲まで無線アクセス技術から独立していることである。LTE RAN機能は、通常、以下に関与する。
・ コーディング、インターリービング、変調、および他の一般的な物理レイヤ機能、
・ 自動再送要求(ARQ)ヘッダ圧縮および他の一般的なリンクレイヤ機能、
・ ユーザプレーン(UP)セキュリティ機能、たとえば、暗号化、およびRANシグナリングセキュリティ、たとえば、UEへのRAN発信シグナリングの暗号化および完全性保護、ならびに
・ 無線リソース管理(RRM)、ハンドオーバ、および他の一般的な無線リソース制御機能。
LTE CN機能は、通常、以下に関与する。
・ 非アクセス層(NAS)セキュリティ機能、たとえば、UEへのCNシグナリングの暗号化および完全性保護、
・ 加入者管理、
・ モビリティ管理、
・ ベアラ管理およびサービス品質(QoS)ハンドリング、
・ ポリシー制御およびユーザデータフロー、
・ 外部ネットワークへの相互接続。
LTE CNの発展および規格化は、システムアーキテクチャエボリューション(SAE)と呼ばれており、SAEにおいて規定されているコアネットワークは、より古い世代のコアネットワークとは根本的に異なり、したがってエボルブドパケットコア(EPC)と称された。
図2は、EPC102アーキテクチャの簡略化された概観を示す概略図である。EPC102の基本ノードは、以下を含む。
・ EPC102の制御プレーンノードであるモビリティ管理エンティティ(MME)11、
・ EPC102をLTE RAN20に接続するユーザプレーンノードであるサービングゲートウェイ(SG)12、および
・ EPC102をインターネット30に接続するユーザプレーンノードであるパケットデータネットワークゲートウェイ(PDN)ゲートウェイ13。
MMEはまた、普通は、HLRに対応するデータベースノードであるホーム加入者サーバ(HSS)18に接続される。
サービングゲートウェイ12およびPDNゲートウェイ13は、単一のエンティティとして設定され得る。
時々、EPC102は、LTE RAN20とともに、エボルブドパケットシステム(EPS)104と示される。
上記でさらに述べられたように、5Gは、センサー、スマートウェアラブル、車両、機械など、広範囲の新しいデバイスへのコネクティビティを与えることが予想される。その場合、フレキシビリティが、NGシステムにおける鍵となる特性になる。
3GPP SA2は、TR23.799における3GPP SA2の研究において、図3に示されている非ローミングアーキテクチャ106に関して同意した。
モビリティ管理機能(MMF)、コアネットワークモビリティ管理(CN−MM)または単にモビリティ管理(MM)と呼ばれることがあるおよび/あるいはそれらを備えるアクセス・モビリティマネージメント機能(AMF)50は、モビリティ管理をサポートするコアネットワークノードであり、したがって、EPCにおけるMMEと同様の役割を果たしている。AMF50は、EPCにおけるMMEとRANとの間のいわゆるS1インターフェースに対応する、RAN20へのいわゆるNG2インターフェース62を有する。AMF50は、UE80への、いわゆるNG1インターフェース61を有する。AMF50は、さらに、NG11インターフェース71上でセッション管理機能(SMF)51に接続される。
異なるAMF50が互いと通信するとき、これは、NG14インターフェース74上で実施される。
認証サーバ機能(AUSF)52が、プライマリ認証プロセスを担当し、NG12インターフェース72のAMF50と通信する。ユーザデータ管理(UDM)53が、NG13インターフェース73を介してAUSF52と通信し、NG8インターフェース68を介してAMF50と通信し、NG10インターフェース70を介してSMF51と通信する。
提案されるソリューションは、SEAFの概念を、その役割(ステータス)をAMF50に同化することによって実装し、ここでUE80が最初に認証する。その場合、それは、セキュリティコンテキストにおいて、プライマリグローバル一意一時ID(GUTI)(PGUTI)と呼ばれる、追加のGUTI様パラメータを介して(プライマリAMFとも呼ばれる)SEAF AMFを追跡される。プライマリGUTIは、その場合、AMF変更中にAMF50間で他のセキュリティパラメータを通って渡されることになる。ターゲットAMFは、その場合、(その特定のUE80のためのSEAFの役割を果たす)プライマリAMFを識別するためにそのパラメータを使用することができ、たとえば、ターゲットAMFがソースAMF50を完全に信用するとは限らない場合、新しいCN鍵についてプライマリAMFに照会する。
ユーザプレーン機能(UPF)54が、さらに、NG3インターフェース63によってRAN20に接続され、NG4インターフェース64によってSMF51に接続され、NG6インターフェース66によって異なるデータネットワーク(DN)55に接続される。
異なるUPF54が互いに通信するとき、これはNG9インターフェース69上で実施される。
ポリシー制御機能(PCF)65が、NG7インターフェース67を介してSMF51に接続され、NG15インターフェース75を介してAMF50と接続され、NG5インターフェース65を介してアプリケーション機能(AF)57と接続される。
SEAFは、Kseafによって示される鍵をUEと共有する。この鍵は、SEAF/AMFを介したUEとAUSFとの間のネットワークアクセスのためのプライマリ認証プロシージャの結果である。Kseafは、レガシーシステムにおけるKasmeの等価物であり、CN鍵とAN鍵との導出のためのルート鍵として働くことになる。利用可能な場合はいつでも、Kseafは、完全再認証を回避するために使用され得る。その場合、KseafがAMFを決して離れず、ここでUEが認証することが提案される。
専門用語をいくぶん乱用すると、MMFという用語は、ここでは、AMFの非SEAF役割部分を指すために使用される。次に、UE観点から、AMFは、SEAFの役割、MMFの役割、またはその両方を保証することができる。図4を参照すると、UEが特定のAMF50Pを用いて最初に認証するとき、そのAMF50Pは、両方の役割、すなわち、SEAF90とMMF91とを保証する。そのようなAMFは、以下で、(UEの)SEAF AMFと呼ばれ、ここで、P−AMF50Pとして示されることになる。UEが(たとえば、モビリティイベントの場合)後で別のターゲットAMF、すなわち、T−AMF50Tに移動するとき、ターゲットAMF50Tは、MMF91の役割のみを保証し、SEAF AMF50PはSEAF90の役割を保証する。UEがSEAF AMF以外のものによって再認証される場合、新しいAMFはSEAFのものになり、新しいKseafが使用され始める。
SEAF AMFは、UEがどこか他の場所で認証するまで、常にKseafを所有することになる。サービングAMF、すなわち、当初はSEAF AMF、または変更の後、ターゲットAMFは、常にCN鍵(NASプロトコル鍵を導出するために使用される鍵)を有することになる。したがって、任意のUEについて、2つの異なるAMFが、同じUEと何らかの形態のセキュリティコンテキストを維持および共有することに関与することは、事実であり得る。SEAF AMF50Pは、Kseafに基づいてSEAF90コンテキストを維持し、サービングAMF、たとえば、ターゲットAMF50Tは、Kcnと呼ばれる導出された鍵に基づいてCNセキュリティコンテキストを維持することになる。UEは、両方のコンテキストを維持する。また、SEAF AMFがサービングAMFであり、その場合、SEAF AMFが両方のコンテキストを維持することが可能であることに注目されたい。これがうまくいくために、何らかの形態の追加のAMF識別子が、SEAF AMFを識別するためにCNセキュリティコンテキスト中に含まれなければならず、たとえば、これは、AMFとUEとを一意に識別する追加のGUTI様パラメータと同様であり得る。残りの説明では、そのような識別子92はプライマリGUTI(PGUTI)と呼ばれる。
初期登録中のセキュリティコンテキストハンドリングを有効にするために、初期登録は、ベースラインの場合のようにハンドリングされ、図5に示されている。登録要求T10が、UE80から、AMF、すなわち、SEAF AMF50Pに送られる。P−AMF50Pは、Kseafの確立につながる、AUSF52とUE80とに関与する認証T12を管理することを決定する。結果として、AMFは、このUE80のためのSEAF AMF50Pになる。結果として、Kseaf’が確立される。対応するPGUTIは、たとえば、このSEAF AMF50Pによって割り当てられる第1のGUTIになるように選定され得る。
ここで提案される機構に関する唯一の考慮事項は、初期登録要求を受信するAMFが、したがって、SEAF役割をサポートするSEAF AMF50Pになることである。したがって、加入認証の後に、SEAF AMF50Pは、HPLMNのAUSF52からKseafを受信し、保持することになる。
認証およびKseaf配信の成功の後に、(SEAF)AMF50Pは、(SEAF)AMF50P自体をHPLMNのUDM53中に登録することと、認証されたユーザの加入プロファイルをダウンロードすることとを行うためにロケーション更新(Update Location)T17を実施することになる。
プロシージャは、登録が完了したことに関して、SEAF AMF50PがUE80に知らせることT19によって終了される。
AMF変更中のセキュリティコンテキストハンドリングは、さらなる考慮事項を必要とする。AMF変更は、一般に、モビリティイベント中に行われ得る。レガシーシステムでは、セキュリティコンテキストはMME間で転送される。NGシステムでは、常にターゲットAMFとソースAMFとの間に何らかの種類のコンテキスト転送があることになる。しかしながら、セキュリティ態様では、どのセキュリティパラメータが転送され、そのセキュリティパラメータがどのように使用され始めるかに応じて、いくつかのシナリオが可能である。システム動作中に、ターゲットAMFとも呼ばれる新しいAMFがどの決定を行うかは、たとえば、ソースAMFとも呼ばれる古いAMFとSEAF AMFとのロケーションに応じた、セキュリティポリシーに基づき得る。
図6は、UEのためのサービングAMFの変更のハンドリングをサポートするための方法の一実施形態のステップの流れ図を示す。ステップS2において、コンテキスト要求が、ターゲットAMFからソースAMFに送られる。ステップS3において、コンテキストが、ターゲットAMFにおいて、ソースAMFからの応答内で受信される。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、UEと共有される鍵を保持する。
好ましい実施形態では、ステップS2よりステップS1が先行し、S1において、登録要求がUEから受信される。
好ましい実施形態では、ステップS4において、ソースAMFとSEAF AMFとのうちの少なくとも1つの状況に基づいて、認証ストラテジーが決定される。さらにより好ましくは、決定することは、ソースAMFとSEAF AMFとのロケーションに応じたセキュリティポリシーに基づく。
マッチングプロシージャは、ソースAMFにおいて実施される。図7は、UEのためのサービングAMFの変更のハンドリングをサポートするための方法の一実施形態のステップの流れ図を示す。ステップS11において、コンテキスト要求が、ソースAMFにおいて、ターゲットAMFから受信される。ステップS12において、コンテキストが、ソースAMFからの応答内でターゲットAMFに送られる。コンテキストは、SEAF AMFを識別するパラメータ、すなわち、どのSEAF AMFが、UEと共有される鍵を保持するかを含む。
以下のセクションは、AMF変更中のセキュリティコンテキストハンドリングを実現するための異なるオプションを示す。以下の図におけるソースAMFは、SEAF AMFであり得るか、またはソースAMFは、示される代替策のいずれかに基づくモビリティプロシージャの結果として図に示されているように、別個のものであり得ることに注意されたい。
サービングAMFの変更の一実施形態の1つのシーンに接続されたシグナリングが、図8に示されている。
UE80は、ターゲットAMF50Tに登録要求T10を送る。UE登録は、ターゲットAMF50Tとも呼ばれる新しいAMFが、古いサービングAMF、すなわち、ソースAMF50Sを識別することが可能になるために、現在のNASセキュリティコンテキストからの任意の必要な情報を含むべきである。
ターゲットAMF50Tは、UEから、登録要求T10を受信し、ソースAMF50Sにコンテキスト要求T11を送り、ソースAMF50Sは相応に応答する。コンテキストは、SEAF AMF50Pを識別する追加のPGUTIパラメータを含む。
実施形態のこのシーンでは、ターゲットAMF50Tは、新しいKseafの確立につながる新しい認証T12を動作させる(run)ことを決定する。決定は、好ましくは、状況、たとえば、ソースAMF50SとSEAF AMF50PとのロケーションがPGUTIパラメータに関連することに基づく。結果として、ターゲットAMF50Tはまた、このUE80のための新しいSEAF AMFになる。結果として、新しいKseaf’が確立される。対応するPGUTIは、たとえば、このターゲットAMFによって割り当てられる第1のGUTIになるように選定され得る。PGUTIがオーバージエアで送られ、AMF間で渡されるにすぎないので、専用再割り当てプロシージャの必要がない。
ターゲットAMF50Tは、随意に、(前の)SEAF AMF50Pが、古いKseafと、対応するセキュリティコンテキストとを安全に処分することができるように(前の)SEAF AMF50Pに通知T13し得る。そのような追加のシグナリングを回避するために、UE80がSEAF AMF50Pを離れた後の一定の時間期間の間のみSEAFコンテキストが維持されることは、事実であり得る。このようにして、規定された期間が経過すると、データは自動的に削除されることになる。
NASセキュリティ確立T16が実施される。新しいCN鍵が導出され、次いで、ターゲットAMF50TとUE80との間のSMC様プロシージャを介して使用され始める。
最終的に、ターゲットAMF50Tは、ターゲットAMF50T自体をHPLMNのUDM53中に登録することと、認証されたユーザの加入プロファイルをダウンロードすることとを行うためにロケーション更新T17を実施することになる。これに基づいて、UDM53は、ソースAMF50Sにロケーションキャンセル(Cancel Location)T18を送ることになる。
UEは、認証ストラテジーに従って鍵プロシージャを適用する。
実施形態の別のシーンでは、ターゲットAMFは、ソースAMFから受信されたセキュリティ鍵を使用して継続する。このシナリオは、SEAF AMFとの対話を必要とせず、レガシー機構と同様にその最終部分中にある。図9に示されているように、CN鍵転送において、UE80は登録要求T10を送る。UE登録は、ターゲットAMF50Tが、古いサービングAMF、すなわち、ソースAMF50Sを識別することが可能になるために、現在のNASセキュリティコンテキストからの任意の必要な情報を含むべきである。
ターゲットAMF50Tは、ソースAMF50Sにコンテキスト要求T11を送り、ソースAMF50Sは相応に応答する。コンテキストは、SEAF AMF50Pを識別する追加のPGUTIパラメータを含む。
PGUTIパラメータとソースノードの識別情報の知識とに基づいて、CN鍵転送を継続するという決定が行われる。随意に、およびたとえば、アルゴリズム変更がターゲットAMF50Tによって必要とされる場合、SMC様プロシージャT16は、選定された新しいアルゴリズムを使用し始めるために動作させられる。
最終的に、ターゲットAMF50Tは、ターゲットAMF50T自体をHPLMNのUDM53中に登録することと、認証されたユーザの加入プロファイルをダウンロードすることとを行うためにロケーション更新T17を実施することになる。これに基づいて、UDM53は、ソースAMF50SにロケーションキャンセルT18を送ることになる。
UEは、認証ストラテジーに従って鍵プロシージャを適用する。
実施形態の別のシーンでは、新しい鍵導出が決定される。ターゲットAMF50Tは、図10に示されているように新しいCN鍵を取得するためにSEAF AMF50Pに照会する。
この目的で、UE80は、登録要求T10を送る。UE登録は、ターゲットAMF50Tが、古いサービングAMF、すなわち、ソースAMF50Sを識別することが可能になるために、現在のNASセキュリティコンテキストからの任意の必要な情報を含むべきである。
ターゲットAMF50Tは、ソースAMF50Sにコンテキスト要求T11を送り、ソースAMF50Sは相応に応答する。コンテキストは、SEAF AMF50Pを識別する追加のPGUTIパラメータを含む。
PGUTIパラメータとソースAMF50Sの識別情報の知識とに基づいて、鍵要求を継続するという決定が行われる。
ターゲットAMF50Tは、PGUTIによって識別されたSEAF AMF50Pに鍵要求T14を送り、SEAF AMF50Pは、現在のKseafから新しいKcnを導出することと、新しいKcnを応答内に含めることとによって相応に行動する。このKcnの導出は、同様に応答内に含まれるフレッシュネス(freshness)パラメータに基づき得る。これらの態様に関係するさらなる実施形態が、以下で説明される。
新しいCN鍵は、ターゲットAMF50TとUE80との間のSMC様プロシージャT16を介して使用され始める。UE80が、新しいKcnが使用されていることを知るために、ターゲットAMF50TからUE80へのSMC様メッセージ中に指示がなければならない。これらの態様に関係するさらなる実施形態が、以下で説明される。
最終的に、ターゲットAMF50Tは、ターゲットAMF50T自体をHPLMNのUDM53中に登録することと、認証されたユーザの加入プロファイルをダウンロードすることとを行うためにロケーション更新T17を実施することになる。これに基づいて、UDM53は、ソースAMF50SにロケーションキャンセルT18を送ることになる。
UEは、認証ストラテジーに従って鍵プロシージャを適用する。
好ましい実施形態では、図8〜図10中で表されるすべてのシーンは、選択することが可能であるべきである。
この目的で、ターゲットAMFにおいて実施される方法の好ましい実施形態では、ステップS4(図6)における認証ストラテジーは、
− AMF間の鍵の転送と、
− 新しい認証プロシージャの実行と、
− 前記SEAF AMFからの鍵の要求と
のうちの1つを含む。
図8のシーンを参照すると、ターゲットAMFにおいて実施される方法の一実施形態では、本方法は、認証ストラテジーが、新しい認証プロシージャの実行であることが決定されたことに応答して、新しい認証プロセスを動作させるさらなるステップを含む。認証プロセスは、AUSFとの対話によって新しい鍵を確立することを含む。さらに、SEAF AMFを識別する新しいパラメータが作成され、新しいSEAF AMFとしてターゲットAMFを識別する。
好ましくは、本方法はまた、元のSEAF AMFに、ターゲットAMFがUEのための新しいSEAF AMFであることを通知するさらなるステップを含む。
図9のシーンを参照すると、ターゲットAMFにおいて実施される方法の一実施形態では、本方法は、認証ストラテジーがAMF間の鍵の転送であることが決定されたことに応答して、ソースAMFとターゲットAMFとの間でCN鍵を転送するさらなるステップを含む。
図10のシーンを参照すると、ターゲットAMFにおいて実施される方法の一実施形態では、本方法は、認証ストラテジーが、SEAF AMFからの鍵の要求であることが決定されたことに応答して、鍵を要求するさらなるステップを含む。鍵を要求することは、SEAF AMFに鍵についての要求を送ることと、SEAF AMFから鍵を受信することとを含む。
好ましい実施形態では、SEAF AMFを識別するパラメータは、SEAF AMFに関連するGUTIである。
好ましい実施形態では、UEと共有される鍵は、他の鍵を導出するために使用される。
好ましい実施形態では、本方法は、ターゲットAMFとUEとの間でNAS確立プロシージャを実施するさらなるステップを含む。NAS確立プロシージャは、ターゲットAMFによって決定された認証ストラテジーに関して、UEに知らせる。
対応するプロシージャは、必要なときにソースAMFにおいて実施される。
ソースAMFにおいて実施される方法の好ましい実施形態では、認証ストラテジーがAMF間の鍵の転送であることが決定されたとき(図9参照)、本方法は、ソースAMFとターゲットAMFとの間でCN鍵を転送するさらなるステップを含む。
好ましい実施形態では、ソースAMFにおいて実施される方法は、メモリから、SEAF AMFを識別するパラメータを取り出すさらなるステップを含む。
好ましい実施形態では、パラメータは、SEAF AMFに関連するGUTIである。
好ましい実施形態では、UEと共有される鍵は、他の鍵を導出するために使用される。
UEにおいて実施されるプロシージャは、図11によって示され得、図11では、UEのためのサービングAMFの変更をハンドリングするための方法の一実施形態のステップの流れ図が示されている。ステップS21において、登録要求が、UEからターゲットAMFに送られる。好ましくは、登録要求は、ソースAMFとして、現在使用されているAMFを識別する情報を含む。
ターゲットAMFにおけるプロシージャの結果として、認証ストラテジーがターゲットAMFによって決定される。ステップS22において、NAS確立プロシージャがターゲットAMFとUEとの間で実施される。NAS確立プロシージャは、認証ストラテジーに関して、UEに知らせる。ステップS23において、認証ストラテジーに従って鍵プロシージャが適用される。
好ましくは、認証ストラテジーは、AMF間の鍵の転送と、新しい認証プロシージャの実行と、SEAF AMFからの鍵の要求とのうちの1つを含む。
いくつかのシーンでは、SEAF AMFはソリューションに寄与し、たとえば、図8および図10を参照されたい。図12は、SEAF AMFにおいて実施されるような、UEのためのサービングAMFの変更をハンドリングするための方法の一実施形態のステップの流れ図を示す。ステップS31において、UEのための新しい鍵についての要求が、SEAF AMFにおいて、ターゲットAMFから受信される。ステップS32において、新しいCN鍵が、SEAF AMFにおいて、UEと共有される鍵から導出される。ステップS33において、新しいCN鍵がターゲットAMFに送られる。
好ましい実施形態では、図8のシーンが行われるとき、追加のステップがSEAF AMFにおいて実施される。ステップS34において、通知がターゲットAMFから受信される。通知は、UEが新しいSEAF AMFを有することをSEAF AMFに知らせる。ステップS35において、UEと共有される鍵が配設される。
KseafからのKcnの導出は、UEとSEAF AMFの間で共有されるフレッシュネスパラメータに基づき得る。そのようなパラメータは、カウンタ、ナンスまたはタイムスタンプであり得る。
カウンタの場合、カウンタは、新しいKseafが確立されるたびにリセットまたは初期化され得る。その場合、このカウンタは、Kseafセキュリティコンテキストの一部となる。初期値がUEとAMFとの間で事前に同意された場合、(図10のT14において)鍵と一緒にカウンタパラメータを転送する必要がないことがある。UEは、(図10のT16において)SMCメッセージ中で何らかのタイプの「新しい鍵指示」を受信するだけでよいことになる。これは、ブーリアンパラメータであり得る。この指示に応じて、UEは、次いで、カウンタを増分し、Kseafから新しいKcnを導出し、ステップ4において新しいKcnを使用することになる。代替的に、全カウンタ値または少数のLSBが、鍵と一緒に転送され、同期失敗を回避するためにさらにUEに転送される。
ナンスまたはタイムスタンプの場合、そのようなパラメータは、ターゲットAMFに新しいCN鍵を通って転送され、次いで、さらにUEに転送される必要がある。
本明細書で使用される「ユーザ機器(UE)」、「局(STA)」および「無線通信デバイス」という非限定的な用語は、モバイルフォン、セルラーフォン、無線通信機能を装備した携帯情報端末(PDA)、スマートフォン、内部または外部モバイルブロードバンドモデムを装備したラップトップまたはパーソナルコンピュータ(PC)、無線通信機能をもつタブレットPC、ターゲットデバイス、デバイスツーデバイスUE、マシン型UEまたはマシンツーマシン通信が可能なUE、iPAD、顧客構内機器(CPE)、ラップトップ埋込み機器(LEE)、ラップトップ搭載機器(LME)、ユニバーサルシリアルバス(USB)ドングル、ポータブル電子無線通信デバイス、無線通信機能を装備したセンサーデバイスなどを指すことがある。特に、「UE」という用語、「局」という用語、および「無線通信デバイス」という用語は、無線通信システムにおいてネットワークノードと通信するか、および/または場合によっては別の無線通信デバイスと直接通信する任意のタイプの無線デバイスを備える非限定的な用語として解釈されるべきである。言い換えれば、無線通信デバイスは、通信のための任意の関連のある規格に従って無線通信のための回路要素を装備した任意のデバイスであり得る。
本明細書で使用される「有線デバイス」という用語は、ネットワークへの有線接続のために設定または準備された任意のデバイスを指すことがある。特に、有線デバイスは、有線接続のために設定されたときに無線通信機能を用いるまたは用いない上記のデバイスのうちの少なくともいくつかであり得る。
本明細書で使用される「ネットワークノード」という非限定的な用語は、基地局、アクセスポイント、ネットワークコントローラ、無線ネットワークコントローラ、基地局コントローラ、アクセスコントローラなどのネットワーク制御ノードなどを指すことがある。特に、「基地局」という用語は、ノードB、またはエボルブドノードB(eNB)などの規格化された基地局、また、マクロ/マイクロ/ピコ無線基地局、フェムト基地局としても知られるホーム基地局、リレーノード、リピータ、無線アクセスポイント、基地トランシーバ局(BTS)、およびさらには1つまたは複数のリモートラジオユニット(RRU)を制御する無線制御ノードなどを含む、異なるタイプの無線基地局を包含し得る。
以下では、「通信ユニット」という一般的な非限定的な用語は、ネットワークノードおよび/または関連する無線デバイスを含む。
本明細書で使用される「ネットワークデバイス」という用語は、限定はしないが、アクセスネットワーク、コアネットワークおよび同様のネットワーク構造におけるデバイスを含む、通信ネットワークに関して配置される任意のデバイスを指すことがある。ネットワークデバイスという用語はまた、クラウドベースネットワークデバイスを包含し得る。
本明細書で説明される方法およびデバイスは、様々なやり方で組み合わせられ、並べ替えられ得ることが諒解されよう。
たとえば、実施形態は、好適な処理回路要素が実行するためのハードウェアで、またはソフトウェアで、またはそれらの組合せで実装され得る。
本明細書で説明されるステップ、機能、プロシージャ、モジュールおよび/またはブロックは、汎用電子回路要素と特定用途向け回路要素の両方を含む、ディスクリート回路または集積回路技術など、任意の従来の技術を使用するハードウェアで実装され得る。
代替的に、または補足として、本明細書で説明されるステップ、機能、プロシージャ、モジュールおよび/またはブロックのうちの少なくともいくつかは、1つまたは複数のプロセッサまたは処理ユニットなど、好適な処理回路要素が実行するためのコンピュータプログラムなどのソフトウェアで実装され得る。
処理回路要素の例は、限定はしないが、1つまたは複数のマイクロプロセッサ、1つまたは複数のデジタル信号プロセッサ(DSP)、1つまたは複数の中央処理ユニット(CPU)、ビデオアクセラレーションハードウェア、および/あるいは1つまたは複数のフィールドプログラマブルゲートアレイ(FPGA)、または1つまたは複数のプログラマブル論理コントローラ(PLC)など、任意の好適なプログラマブル論理回路要素を含む。
また、提案される技術が実装される、任意の従来のデバイスまたはユニットの一般的な処理能力を再利用することが可能であり得ることを理解されたい。たとえば、既存のソフトウェアを再プログラムすることによって、または新しいソフトウェア構成要素を追加することによって、既存のソフトウェアを再利用することも可能であり得る。
提案される技術の一態様の一実施形態によれば、ソースAMFにコンテキスト要求を送るように設定されたAMFを備えるUEのためのサービングAMFの変更のハンドリングをサポートするように設定されたネットワークノードが提供される。AMFは、ソースAMFからの応答内でコンテキストを受信するように設定される。コンテキストは、SEAF AMFを識別するパラメータ、すなわち、どのSEAF AMFが、UEと共有される鍵を保持するかを含む。
提案される技術の一態様の一実施形態によれば、ターゲットAMFからコンテキスト要求を受信するように設定されたAMFを備えるUEのためのサービングAMFの変更のハンドリングをサポートするように設定されたネットワークノードが提供される。サービングAMFは、ターゲットAMFへの応答内でコンテキストを送るように設定される。コンテキストは、SEAF AMFを識別するパラメータ、すなわち、どのSEAF AMFが、UEと共有される鍵を保持するかを含む。
提案される技術の一態様の一実施形態によれば、ターゲットAMFからUEのための新しい鍵についての要求を受信するように設定されたAMFを備えるUEのためのサービングAMFの変更をハンドリングするように設定されたネットワークノードが提供される。AMFは、UEと共有される鍵から新しいCN鍵を導出するようにさらに設定される。AMFは、ターゲットAMFに新しいCN鍵を送るようにさらに設定される。
図13は、一実施形態による、プロセッサメモリ実装形態に基づくAMF50の一例を示す概略ブロック図である。この特定の例では、AMF50はプロセッサ110とメモリ120とを備え、メモリ120は、プロセッサ110によって実行可能な命令を備える。
一実施形態では、命令は、プロセッサ110において処理されるとき、好ましくは、AMF50が、ソースAMFとSEAF AMFとのうちの少なくとも1つの状況に基づいて認証ストラテジーを決定することを可能にする。
さらなる実施形態では、決定することは、ソースAMFとSEAF AMFとのロケーションに応じたセキュリティポリシーに基づく。
一実施形態では、命令は、プロセッサ110において処理されるとき、好ましくは、AMF50が、UEと共有される鍵から新しいCN鍵を導出することを可能にする。
AMF50は、通信回路130をも含む。通信回路130は、ネットワークにおける他のデバイスおよび/またはネットワークノードとの有線および/または無線通信のための機能を含み得る。特定の例では、通信回路130は、情報を送信および/または受信することを含む、1つまたは複数の他のノードとの通信のための無線回路要素に基づき得る。通信回路130は、プロセッサ110および/またはメモリ120に相互接続され得る。例として、通信回路130は、受信機、送信機、トランシーバ、入力/出力(I/O)回路要素、(1つまたは複数の)入力ポートおよび/または(1つまたは複数の)出力ポートのいずれかを含み得る。
一実施形態では、通信回路130は、コンテキスト要求を送ることと、応答内でコンテキストを受信することとを実施するように設定される。
一実施形態では、通信回路130は、コンテキスト要求を受信することと、応答内でコンテキストを送ることとを実施するように設定される。
一実施形態では、通信回路130は、ターゲットAMFから、UEのための新しい鍵についての要求を受信することと、ターゲットAMFに新しいコアネットワーク鍵を送ることとを行うように設定される。
提案される技術の一態様の一実施形態によれば、通信ネットワークにおいて使用するためのUEが提供される。UEは、ターゲットAMFに登録要求を送るために設定される。UEは、ターゲットAMFとUEとの間でNAS確立プロシージャを実施するためにさらに設定される。NAS確立プロシージャは、ターゲットAMFによって決定された認証ストラテジーに関して、UEに知らせる。UEは、認証ストラテジーに従って鍵プロシージャを適用するためにさらに設定される。
図14は、一実施形態による、プロセッサメモリ実装形態に基づくUE80の一例を示す概略ブロック図である。この特定の例では、UE80はプロセッサ111とメモリ121とを備え、メモリ121は、プロセッサ111によって実行可能な命令を備える。
一実施形態では、命令は、プロセッサ110において処理されるとき、好ましくは、UE80が、ターゲットAMFとUEとの間でNAS確立プロシージャを実施することと、認証ストラテジーに従って鍵プロシージャを適用することとを可能にする。
UE80は、通信回路131をも含む。通信回路131は、ネットワークにおける他のデバイスおよび/またはネットワークノードとの有線および/または無線通信のための機能を含み得る。特定の例では、通信回路131は、情報を送信および/または受信することを含む、1つまたは複数の他のノードとの通信のための無線回路要素に基づき得る。通信回路130は、プロセッサ111および/またはメモリ121に相互接続され得る。例として、通信回路131は、受信機、送信機、トランシーバ、入力/出力(I/O)回路要素、(1つまたは複数の)入力ポートおよび/または(1つまたは複数の)出力ポートのいずれかを含み得る。
一実施形態では、通信回路131は、ターゲットAMFに登録要求を送るように設定される。
図15は、一実施形態による、ハードウェア回路要素実装形態に基づくAMF50の別の例を示す概略ブロック図である。好適なハードウェア(HW)回路要素の特定の例は、1つまたは複数の好適に設定されたまたは場合によっては再設定可能な電子回路要素、たとえば、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、あるいは好適なレジスタ(REG)および/またはメモリユニット(MEM)に関して特殊な機能を実施するために相互接続された個別論理ゲートおよび/またはフリップフロップに基づく回路などの任意の他のハードウェア論理を含む。
図16は、一実施形態による、ハードウェア回路要素実装形態に基づくUE80の別の例を示す概略ブロック図である。好適なハードウェア(HW)回路要素の特定の例は、1つまたは複数の好適に設定されたまたは場合によっては再設定可能な電子回路要素、たとえば、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、あるいは好適なレジスタ(REG)および/またはメモリユニット(MEM)に関して特殊な機能を実施するために相互接続された個別論理ゲートおよび/またはフリップフロップに基づく回路などの任意の他のハードウェア論理を含む。
図17は、(1つまたは複数の)好適なメモリユニット320に関して、(1つまたは複数の)プロセッサ310−1、310−2と、ハードウェア回路要素330−1、330−2の両方の組合せに基づくAMF50のまた別の例を示す概略ブロック図である。AMF50は、1つまたは複数のプロセッサ310−1、310−2と、ソフトウェアおよびデータのためのストレージを含むメモリ320と、ASICおよび/またはFPGAなどのハードウェア回路要素330−1、330−2の1つまたは複数のユニットとを備える。したがって、全体的機能性は、1つまたは複数のプロセッサ310−1、310−2上での実行のためのプログラムされたソフトウェア(SW)と、ASICおよび/またはFPGAなど、1つまたは複数の事前設定されたまたは場合によっては再設定可能なハードウェア回路330−1、330−2との間で区分される。実際のハードウェアソフトウェア区分は、処理速度と、実装のコストと、他の要件とを含むいくつかのファクタに基づいて、システム設計者によって決定され得る。
図18は、(1つまたは複数の)好適なメモリユニット321に関して、(1つまたは複数の)プロセッサ311−1、311−2と、ハードウェア回路要素331−1、331−2の両方の組合せに基づくUE80のまた別の例を示す概略ブロック図である。UE80は、1つまたは複数のプロセッサ311−1、311−2と、ソフトウェアおよびデータのためのストレージを含むメモリ321と、ASICおよび/またはFPGAなどのハードウェア回路要素331−1、331−2の1つまたは複数のユニットとを備える。したがって、全体的機能性は、1つまたは複数のプロセッサ311−1、311−2上での実行のためのプログラムされたソフトウェア(SW)と、ASICおよび/またはFPGAなど、1つまたは複数の事前設定されたまたは場合によっては再設定可能なハードウェア回路331−1、331−2との間で区分される。実際のハードウェアソフトウェア区分は、処理速度と、実装のコストと、他の要件とを含むいくつかのファクタに基づいて、システム設計者によって決定され得る。
代替的に、または補足として、本明細書で説明されるステップ、機能、プロシージャ、モジュールおよび/またはブロックのうちの少なくともいくつかは、1つまたは複数のプロセッサまたは処理ユニットなど、好適な処理回路要素が実行するためのコンピュータプログラムなどのソフトウェアで実装され得る。
したがって、本明細書で提示される1つまたは複数の流れ図は、1つまたは複数のプロセッサによって実施されるとき、1つまたは複数のコンピュータ流れ図と見なされ得る。対応する装置が機能モジュールのグループとして規定され得、ここで、プロセッサによって実施される各ステップは、機能モジュールに対応する。この場合、機能モジュールは、プロセッサ上で動作するコンピュータプログラムとして実装される。
処理回路要素の例は、限定はしないが、1つまたは複数のマイクロプロセッサ、1つまたは複数のデジタル信号プロセッサ(DSP)、1つまたは複数の中央処理ユニット(CPU)、ビデオアクセラレーションハードウェア、および/あるいは1つまたは複数のフィールドプログラマブルゲートアレイ(FPGA)、または1つまたは複数のプログラマブル論理コントローラ(PLC)など、任意の好適なプログラマブル論理回路要素を含む。
また、提案される技術が実装される、任意の従来のデバイスまたはユニットの一般的な処理能力を再利用することが可能であり得ることを理解されたい。たとえば、既存のソフトウェアを再プログラムすることによって、または新しいソフトウェア構成要素を追加することによって、既存のソフトウェアを再利用することも可能であり得る。
図19は、一実施形態による、AMF50のコンピュータ実装形態の一例を示す概略図である。この特定の例では、本明細書で説明されるステップ、機能、プロシージャ、モジュールおよび/またはブロックのうちの少なくともいくつかは、1つまたは複数のプロセッサ410を含む処理回路要素が実行するためにメモリ420にロードされるコンピュータプログラム425、435において実装される。(1つまたは複数の)プロセッサ410およびメモリ420は、正常なソフトウェア実行を可能にするために互いに相互接続される。また、(1つまたは複数の)入力パラメータおよび/または(1つまたは複数の)得られた出力パラメータなど、関連のあるデータの入力および/または出力を可能にするために、随意の入力/出力デバイス440が(1つまたは複数の)プロセッサ410および/またはメモリ420に相互接続され得る。
「プロセッサ」という用語は、一般的な意味で、特定の処理、判定または計算タスクを実施するためにプログラムコードまたはコンピュータプログラム命令を実行することが可能な任意のシステムまたはデバイスとして解釈されるべきである。
したがって、1つまたは複数のプロセッサ410を含む処理回路要素は、コンピュータプログラム425を実行するとき、本明細書で説明されるタスクなど、明確に規定された処理タスクを実施するように設定される。
処理回路要素は、上記で説明されたステップ、機能、プロシージャおよび/またはブロックを実行することのみに専用化される必要はなく、他のタスクをも実行し得る。
特定の実施形態では、コンピュータプログラム425、435は、少なくとも1つのプロセッサ410によって実行されたとき、(1つまたは複数の)プロセッサ410に、ソースAMFにコンテキスト要求を送ることと、ソースAMFからの応答内でコンテキストを受信することとを行わせる命令を備える。コンテキストは、SEAF AMFを識別するパラメータを含む。SEAF AMFは、UEと共有される鍵を保持する。
特定の実施形態では、コンピュータプログラム425、435は、少なくとも1つのプロセッサ410によって実行されたとき、(1つまたは複数の)プロセッサ410に、ターゲットAMFからコンテキスト要求を受信することと、ターゲットAMFへの応答内でコンテキストを送ることとを行わせる命令を備える。コンテキストは、SEAF AMFを識別するパラメータ、すなわち、どのSEAF AMFが、UEと共有される鍵を保持するかを含む。
特定の実施形態では、コンピュータプログラム425、435は、少なくとも1つのプロセッサ410によって実行されたとき、(1つまたは複数の)プロセッサ410に、ターゲットAMFから、UEのための新しい鍵についての要求を受信させる命令を備える。コンピュータプログラム425、435は、(1つまたは複数の)プロセッサ410によって実行されたとき、(1つまたは複数の)プロセッサ410に、UEと共有される鍵から新しいCN鍵を導出させる、さらなる命令を備える。コンピュータプログラム425、435は、(1つまたは複数の)プロセッサ410によって実行されたとき、(1つまたは複数の)プロセッサ410に、ターゲットAMFに新しいCN鍵を送らせる、さらなる命令を備える。
図20は、一実施形態による、UE80のコンピュータ実装形態の一例を示す概略図である。この特定の例では、本明細書で説明されるステップ、機能、プロシージャ、モジュールおよび/またはブロックのうちの少なくともいくつかは、1つまたは複数のプロセッサ411を含む処理回路要素が実行するためにメモリ421にロードされるコンピュータプログラム426、436において実装される。(1つまたは複数の)プロセッサ411およびメモリ421は、正常なソフトウェア実行を可能にするために互いに相互接続される。また、(1つまたは複数の)入力パラメータおよび/または(1つまたは複数の)得られた出力パラメータなど、関連のあるデータの入力および/または出力を可能にするために、随意の入力/出力デバイス441が(1つまたは複数の)プロセッサ411および/またはメモリ421に相互接続され得る。
「プロセッサ」という用語は、一般的な意味で、特定の処理、判定または計算タスクを実施するためにプログラムコードまたはコンピュータプログラム命令を実行することが可能な任意のシステムまたはデバイスとして解釈されるべきである。
したがって、1つまたは複数のプロセッサ411を含む処理回路要素は、コンピュータプログラム426を実行するとき、本明細書で説明されるタスクなど、明確に規定された処理タスクを実施するように設定される。
処理回路要素は、上記で説明されたステップ、機能、プロシージャおよび/またはブロックを実行することのみに専用化される必要はなく、他のタスクをも実行し得る。
特定の実施形態では、コンピュータプログラム426、436は、少なくとも1つのプロセッサ411によって実行されたとき、(1つまたは複数の)プロセッサ411に、ターゲットAMFに登録要求を送らせる命令を備える。コンピュータプログラム425、435は、(1つまたは複数の)プロセッサ411によって実行されたとき、(1つまたは複数の)プロセッサ411に、ターゲットAMFとUEとの間でNAS確立プロシージャを実施させる、さらなる命令を備える。NAS確立プロシージャは、ターゲットAMFによって決定された認証ストラテジーに関して、UEに知らせる。コンピュータプログラム425、435は、(1つまたは複数の)プロセッサ411によって実行されたとき、(1つまたは複数の)プロセッサ411に、認証ストラテジーに従って鍵プロシージャを適用させる、さらなる命令を備える。
提案される技術はまた、コンピュータプログラムを備えるキャリアを提供し、キャリアは、電子信号、光信号、電磁信号、磁気信号、電気信号、無線信号、マイクロ波信号、またはコンピュータ可読記憶媒体のうちの1つである。
例として、ソフトウェアまたはコンピュータプログラム425、426、435、436は、普通は、コンピュータ可読媒体420、421、430、431、特に不揮発性媒体上で担持されるかまたはその上に記憶される、コンピュータプログラム製品として実現され得る。コンピュータ可読媒体は、限定はしないが、読取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、コンパクトディスク(CD)、デジタル多用途ディスク(DVD)、Blu−rayディスク、ユニバーサルシリアルバス(USB)メモリ、ハードディスクドライブ(HDD)ストレージデバイス、フラッシュメモリ、磁気テープ、または他の従来のメモリデバイスを含む、1つまたは複数のリムーバブルまたは非リムーバブルメモリデバイスを含み得る。したがって、コンピュータプログラムは、その処理回路要素が実行するためのコンピュータまたは等価処理デバイスの動作メモリにロードされ得る。
図21は、実施形態のいずれかによる、AMF50を備えるネットワークノード99の一例を示す概略ブロック図である。
ネットワークデバイスは、無線通信システムにおける任意の好適なネットワークデバイス、または無線通信システムに関するネットワークデバイスであり得る。例として、ネットワークデバイスは、基地局またはアクセスポイントなど、好適なネットワークノードであり得る。しかしながら、ネットワークデバイスは、代替的に、クラウドで実装されたネットワークデバイスであり得る。
別の態様によれば、無線通信システムにおけるネットワークノード99が提供され、ネットワークノードは、本明細書で説明されるAMF50を備える。通信ユニットは、無線通信システムにおける任意の好適な通信ユニットであり得る。例として、通信ユニットは、UE、STA、または同様のエンドユーザデバイスなど、無線通信デバイスであり得る。
本明細書で提示される1つまたは複数の流れ図は、1つまたは複数のプロセッサによって実施されるとき、1つまたは複数のコンピュータ流れ図と見なされ得る。対応する装置が機能モジュールのグループとして規定され得、ここで、プロセッサによって実施される各ステップは、機能モジュールに対応する。この場合、機能モジュールは、プロセッサ上で動作するコンピュータプログラムとして実装される。
したがって、メモリ中に常駐するコンピュータプログラムは、プロセッサによって実行されたとき、本明細書で説明されるステップおよび/またはタスクの少なくとも一部を実施するように設定された適切な機能モジュールとして編成され得る。
図22は、UEのためのサービングAMFの変更のハンドリングをサポートするためのAMF50を有するネットワークノード99の一例を示す概略図である。
一実施形態では、ネットワークノード99のAMF50は、ターゲットAMFから、ソースAMFにコンテキスト要求を送るための送信機モジュール510を備える。ネットワークノード99は、ターゲットAMFにおいて、ソースAMFからの応答内でコンテキストを受信するための受信機モジュール520をさらに備える。コンテキストは、SEAF AMFを識別するパラメータ、すなわち、どのSEAF AMFが、UEと共有される鍵を保持するかを含む。
一実施形態では、ネットワークノード99のAMF50は、ソースAMFにおいて、ターゲットAMFからコンテキスト要求を受信するための受信機モジュール520を備える。ネットワークノード99は、ソースAMFから、ターゲットAMFへの応答内でコンテキストを送るための送信機モジュール510をさらに備える。コンテキストは、SEAF AMFを識別するパラメータ、すなわち、どのSEAF AMFが、UEと共有される鍵を保持するかを含む。
図23は、UEのためのサービングAMFの変更のハンドリングをサポートするためのAMF50を有するネットワークノード99の別の例を示す概略図である。
一実施形態では、ネットワークノード99のAMF50は、ターゲットAMFから、UEのための新しい鍵についての要求を受信するための受信機モジュール520を備える。AMF50は、UEと共有される鍵から新しいCN鍵を導出するための鍵管理モジュール530をさらに備える。AMF50は、ターゲットAMFに新しいCN鍵を送るための送信機モジュール510をさらに備える。
図24は、通信ネットワークにおいて使用するためのUE80の一例を示す概略図である。一実施形態では、UE80は、ターゲットAMFに登録要求を送るための送信機モジュールを備える。UE80は、ターゲットAMFとUEとの間でNAS確立プロシージャを実施するためのセキュリティモジュールをさらに備える。NAS確立プロシージャは、ターゲットAMFによって決定された認証ストラテジーに関して、UEに知らせる。UE80は、認証ストラテジーに従って鍵プロシージャを適用するための鍵ハンドリングモジュールをさらに備える。
代替的に、主にハードウェアモジュールによって、または代替的に、関連のあるモジュール間の好適な相互接続をもつハードウェアによって、図22〜図24中の(1つまたは複数の)モジュールを実現することが可能である。特定の例は、1つまたは複数の好適に設定されたデジタル信号プロセッサ、ならびに他の知られている電子回路、たとえば、特殊な機能を実施するために相互接続された個別論理ゲート、および/または前述のような特定用途向け集積回路(ASIC)を含む。使用可能ハードウェアの他の例は、入力/出力(I/O)回路要素、ならびに/あるいは信号を受信および/または送信するための回路要素を含む。ソフトウェア対ハードウェアの程度は、純粋に実装選択である。
リソースがネットワーク上で遠隔ロケーションにサービスとして配信されるネットワークノードおよび/またはサーバなどのネットワークデバイスにおいて、コンピューティングサービス(ハードウェアおよび/またはソフトウェア)を提供することは、ますます普及しつつある。例として、これは、本明細書で説明される機能性が、1つまたは複数の別個の物理ノードまたはサーバに分散または再配置され得ることを意味する。機能性は、(1つまたは複数の)別個の物理ノード中に、すなわち、いわゆるクラウド中に位置し得る、1つまたは複数の一緒に働く物理および/または仮想マシンに再配置または分散され得る。これはクラウドコンピューティングとも呼ばれることがあり、クラウドコンピューティングは、ネットワーク、サーバ、ストレージ、アプリケーション、および一般的なまたはカスタマイズされたサービスなど、設定可能なコンピューティングリソースのプールへのユビキタスオンデマンドネットワークアクセスを可能にするためのモデルである。
このコンテキストにおいて有用であり得る、以下のうちの1つまたは複数を含む異なる形態の仮想化がある。
カスタマイズされたまたは一般のハードウェア上で動作する仮想化されたソフトウェアへのネットワーク機能性のコンソリデーション。これは、ネットワーク機能仮想化と呼ばれることがある。
単一のハードウェアプラットフォーム上への、別個のハードウェア上で動作する、オペレーティングシステムを含む1つまたは複数のアプリケーションスタックのコロケーション。これは、システム仮想化、またはプラットフォーム仮想化と呼ばれることがある。
増大したシステムリソース利用を獲得するために何らかの高度ドメインレベルスケジューリングおよび協調技法を使用するという目的をもつハードウェアおよび/またはソフトウェアリソースのコロケーション。これは、リソース仮想化、または集中型および協調リソースプーリングと呼ばれることがある。
いわゆる一般のデータセンターにおいて機能性を集中化することがしばしば望ましいことがあるが、他のシナリオでは、ネットワークの異なる部分にわたって機能性を分散させることが、事実上有益であり得る。
図25は、一般的な場合において、異なるネットワークデバイス間でどのように機能性が分散または区分され得るかの一例を示す概略図である。この例では、それぞれ参照番号610および620をもつ、少なくとも2つの個々の、ただし相互接続されたネットワークデバイスND1およびND2があり、ネットワークデバイスND1およびND2は、異なる機能性を有するか、またはネットワークデバイス610とネットワークデバイス620との間で区分された同じ機能性の一部を有し得る。参照番号630をもつ、ND3などの追加のネットワークデバイスがあり得、追加のネットワークデバイスは、そのような分散実装形態の一部である。ネットワークデバイス610〜630は、同じ無線通信システムの一部であり得るか、またはネットワークデバイスのうちの1つまたは複数は、無線通信システムの外側に配置された、いわゆるクラウドベースネットワークデバイスであり得る。
図26は、1つまたは複数のクラウドベースネットワークデバイス740と協働した、アクセスネットワーク710、ならびに/またはコアネットワーク720、ならびに/または運用およびサポートシステム(OSS)730を含む、無線通信システムの一例を示す概略図である。アクセスネットワーク710および/またはコアネットワーク720および/またはOSSシステム730のための関連のある機能性が、クラウドベースネットワークデバイスと、アクセスネットワークおよび/またはコアネットワークおよび/またはOSSシステムにおける関連のあるネットワークノードおよび/または通信ユニットとの間の情報の好適な転送とともに、クラウドベースネットワークデバイス740における実行のために少なくとも部分的に実装され得る。
ネットワークデバイス(ND)は、概して、ネットワークにおける他の電子デバイスに通信可能に接続されている電子デバイスとして見られ得る。
例として、ネットワークデバイスは、ハードウェア、ソフトウェアまたはそれらの組合せで実装され得る。たとえば、ネットワークデバイスは、専用ネットワークデバイス、または汎用ネットワークデバイス、またはそれらのハイブリッドであり得る。
専用ネットワークデバイスは、本明細書で開示される特徴または機能のうちの1つまたは複数を提供するためのソフトウェアの実行のために、カスタム処理回路およびプロプライエタリオペレーティングシステム(OS)を使用し得る。
汎用ネットワークデバイスは、本明細書で開示される特徴または機能のうちの1つまたは複数を提供するように設定されたソフトウェアの実行のために、コモンオフザシェルフ(COTS)プロセッサおよび標準OSを使用し得る。
例として、専用ネットワークデバイスは、一般に1つまたは複数のプロセッサのセットを含む(1つまたは複数の)処理またはコンピューティングリソースと、物理ポートと呼ばれることがある物理ネットワークインターフェース(NI)とを備えるハードウェア、ならびにソフトウェアを記憶した非一時的機械可読記憶媒体を含み得る。物理NIは、たとえば、無線で、無線ネットワークインターフェースコントローラ(WNIC)を通して、またはネットワークインターフェースコントローラ(NIC)に接続された物理ポートへのケーブルにおけるプラグインを通して、ネットワーク接続が行われるネットワークデバイス中のハードウェアとして見られ得る。動作中に、ソフトウェアは、1つまたは複数のソフトウェアインスタンスのセットをインスタンス化するためにハードウェアによって実行され得る。(1つまたは複数の)ソフトウェアインスタンスの各々、およびそのソフトウェアインスタンスを実行するハードウェアのその部分は、別個の仮想ネットワークエレメントを形成し得る。
別の例として、汎用ネットワークデバイスは、たとえば、1つまたは複数のプロセッサのセットと、しばしばCOTSプロセッサと、(1つまたは複数の)ネットワークインターフェースコントローラ(NIC)とを備えるハードウェア、ならびにソフトウェアを記憶した非一時的機械可読記憶媒体を含み得る。動作中に、(1つまたは複数の)プロセッサは、1つまたは複数のアプリケーションの1つまたは複数のセットをインスタンス化するためにソフトウェアを実行する。ある実施形態は仮想化を実装しないが、代替実施形態は、たとえば、仮想化レイヤとソフトウェアコンテナとによって表される異なる形態の仮想化を使用し得る。たとえば、1つのそのような代替実施形態は、オペレーティングシステムレベル仮想化を実装し、その場合、仮想化レイヤは、アプリケーションのセットのうちの1つを実行するために各々使用され得る複数のソフトウェアコンテナの作成を可能にする、オペレーティングシステムのカーネル(またはベースオペレーティングシステム上で実行するシム)を表す。例示的な一実施形態では、(仮想化エンジン、仮想プライベートサーバ、またはジェイル(jail)とも呼ばれる)ソフトウェアコンテナの各々は、ユーザ空間インスタンス(一般に仮想メモリ空間)である。これらのユーザ空間インスタンスは、互いとは別個であり、オペレーティングシステムが実行されるカーネル空間とは別個であり得、所与のユーザ空間中で動作するアプリケーションのセットは、明示的に可能にされない限り、他のプロセスのメモリにアクセスすることができない。別のそのような代替実施形態は、完全な仮想化を実装し、その場合、1)仮想化レイヤは、(仮想マシンモニタ(VMM)と呼ばれることがある)ハイパーバイザを表すか、またはハイパーバイザはホストオペレーティングシステムの上部で実行され、2)ソフトウェアコンテナは、各々、ハイパーバイザによって実行される仮想マシンと呼ばれる強固に隔離された形態のソフトウェアコンテナを表し、ゲストオペレーティングシステムを含み得る。
ハイパーバイザは、様々な仮想化されたインスタンス、およびいくつかの場合には実際の物理ハードウェアを作成および管理することを担当するソフトウェア/ハードウェアである。ハイパーバイザは、下にあるリソースを管理し、それらのリソースを仮想化されたインスタンスとして提示する。ハイパーバイザが単一のプロセッサのように見えるように仮想化するものは、実際は複数の別個のプロセッサを備え得る。オペレーティングシステムの観点から、仮想化されたインスタンスは、実際のハードウェア構成要素であるように見える。
仮想マシンは、プログラムが物理的な仮想化されていない機械上で実行しているかのようにプログラムを動作させる、物理マシンのソフトウェア実装形態であり、アプリケーションは、概して、アプリケーションが「ベアメタル(bare metal)」ホスト電子デバイス上で動作することとは対照的に、仮想マシン上で動作していることを知らないが、いくつかのシステムは、オペレーティングシステムまたはアプリケーションが、最適化目的のために仮想化の存在に気づくことを可能にする準仮想化(para−virtualization)を提供する。
1つまたは複数のアプリケーションの1つまたは複数のセットのインスタンス化、ならびに実装された場合の仮想化レイヤおよびソフトウェアコンテナは、(1つまたは複数の)ソフトウェアインスタンスと総称される。アプリケーションの各セット、実装された場合の対応するソフトウェアコンテナ、およびアプリケーションを実行するハードウェアのその部分(その実行に専用のハードウェアおよび/またはソフトウェアコンテナによって時間的に共有されるハードウェアのタイムスライスである)は、(1つまたは複数の)別個の仮想ネットワークエレメントを形成する。
(1つまたは複数の)仮想ネットワークエレメントは、(1つまたは複数の)仮想ネットワークエレメント(VNE)と比較して同様の機能性を実施し得る。ハードウェアのこの仮想化は、ネットワーク機能仮想化(NFV)と呼ばれることがある。したがって、NFVは、多くのネットワーク機器タイプを、データセンター、ND、および顧客構内機器(CPE)中に配置され得る、業界標準高ボリュームサーバハードウェア、物理スイッチ、および物理ストレージ上にコンソリデートするために使用され得る。しかしながら、異なる実施形態は、(1つまたは複数の)ソフトウェアコンテナのうちの1つまたは複数を別様に実装し得る。たとえば、実施形態は、各ソフトウェアコンテナがVNEに対応して示されるが、代替実施形態は、より細かいグラニュラリティレベルにおいてソフトウェアコンテナ対VNE間のこの対応またはマッピングを実装し得、VNEに対するソフトウェアコンテナの対応に関して本明細書で説明される技法が、そのようなより細かいレベルのグラニュラリティが使用される実施形態にも適用されることを理解されたい。
また別の実施形態によれば、ネットワークデバイス中に、たとえば、ネットワークデバイスND内のカードまたは回路板中に、カスタム処理回路要素/プロプライエタリOSとCOTSプロセッサ/標準OSの両方を含むハイブリッドネットワークデバイスが提供される。そのようなハイブリッドネットワークデバイスのいくつかの実施形態では、専用ネットワークデバイスの機能性を実装する仮想マシン(VM)などのプラットフォームVMが、ハイブリッドネットワークデバイス中に存在するハードウェアに準仮想化を提供することができる。
上記で説明された実施形態は、例として与えられたにすぎず、提案される技術が、上記で説明された実施形態に限定されないことを理解されたい。添付の特許請求の範囲によって規定された本範囲から逸脱することなく、様々な修正、組合せおよび変更が実施形態に対して行われ得ることが、当業者によって理解されよう。特に、異なる実施形態における異なる部分ソリューションが、技術的に可能な他の構成において組み合わせられ得る。
略語
AKA 認証および鍵一致
AN アクセスネットワーク
AMF アクセス・モビリティマネージメント機能
ARQ 自動再送要求
ASIC 特定用途向け集積回路
AUSF 認証サーバ機能
BTS 基地トランシーバ局
CD コンパクトディスク
CN コアネットワーク
COTS コモンオフザシェルフ
CPE 顧客構内機器
CPU 中央処理ユニット
CS 回線交換
DSP デジタル信号プロセッサ
DVD デジタル多用途ディスク
eNB エボルブドノードB
EPC エボルブドパケットコア
EPS エボルブドパケットシステム
eUTRAN 拡張UTRAN
FPGA フィールドプログラマブルゲートアレイ
GGSN ゲートウェイGPRSサポートノード
GUTI グローバル一意一時ID
HDD ハードディスクドライブ
HLR ホームロケーションレジスタ
HPLMN ホームパブリックランドモバイルネットワーク
HSPA 高速パケットアクセス
HSS ホーム加入者サーバ
HW ハードウェア
I/O 入力/出力
IoT モノのインターネット
LEE ラップトップ埋込み機器
LME ラップトップ搭載機器
LTE Long Term Evolution
MEM メモリユニット
MME モビリティ管理エンティティ
MMF モビリティ管理機能
MSC モバイル交換センター
NAS 非アクセス層
ND ネットワークデバイス
NFV ネットワーク機能仮想化
NG 次世代
NI ネットワークインターフェース
NIC ネットワークインターフェースコントローラ
OFDMA 直交周波数分割多元接続
OS オペレーティングシステム
OSS 運用およびサポートシステム
PC パーソナルコンピュータ
PDA 携帯情報端末
PDN パケットデータネットワークゲートウェイ
PGUTI プライマリGUTI
PLC プログラマブル論理コントローラ
PS パケット交換
PSTN 公衆交換電話網
QoS サービス品質
RAM ランダムアクセスメモリ
RAN 無線アクセスネットワーク
REG レジスタ
RNC 無線ネットワークコントローラ
ROM 読取り専用メモリ
RRM 無線リソース管理
RRU リモートラジオユニット
SAE システムアーキテクチャエボリューション
SEAF セキュリティアンカー機能
SG サービングゲートウェイ
SGSN サービングGPRSサポートノード
SMC セキュリティモードコマンド
SMF セッション管理機能
STA 局
SW ソフトウェア
UDM ユーザデータ管理
UE ユーザ機器
UICC ユニバーサル集積回路カード
UMTS Universal Mobile Telecommunications System
UP ユーザプレーン
USB ユニバーサルシリアルバス
UTRAN ユニバーサル地上波無線アクセスネットワーク
VM 仮想マシン
VMM 仮想マシンモニタ
VNE 仮想ネットワークエレメント
WCDMA 広帯域符号分割多元接続
WNIC 無線ネットワークインターフェースコントローラ

Claims (40)

  1. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするための方法であって、前記方法が、
    − ターゲット・アクセス・モビリティ管理機能(50T)から、ソース・アクセス・モビリティ管理機能(50S)にコンテキスト要求を送ること(S1)と、
    − 前記ターゲット・アクセス・モビリティ管理機能(50T)において、前記ソース・アクセス・モビリティ管理機能(50S)からの応答内でコンテキストを受信することと
    を含み、
    前記コンテキストが、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を識別するパラメータを含み、
    前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)が、前記ユーザ機器(80)と共有される鍵を保持するアクセス・モビリティ管理機能である、方法。
  2. − 前記ユーザ機器(80)から登録要求を受信すること(S1)
    をさらに含むことを特徴とする、請求項1に記載の方法。
  3. − 前記ソース・アクセス・モビリティ管理機能(50S)と前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)とのうちの少なくとも1つの状況に基づいて認証ストラテジーを決定すること(S4)
    をさらに含むことを特徴とする、請求項1または2に記載の方法。
  4. 前記決定すること(S4)が、前記ソース・アクセス・モビリティ管理機能(50S)と前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)とのロケーションに応じたセキュリティポリシーに基づくことを特徴とする、請求項3に記載の方法。
  5. 前記認証ストラテジーが、
    アクセス・モビリティ管理機能(50)間の鍵の転送と、
    新しい認証プロシージャの実行と、
    前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)からの鍵の要求と
    のうちの1つを含むことを特徴とする、請求項3または4に記載の方法。
  6. 前記認証ストラテジーが新しい認証プロシージャの実行であることが決定されたことに応答して、新しい認証プロセス(T12)を動作させることをさらに含み、前記認証プロセス(T12)が、
    − 認証サーバ機能(52)との対話によって新しい鍵を確立することと、
    − 新しいセキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)として前記ターゲット・アクセス・モビリティ管理機能(50T)を識別する新しい前記パラメータを作成することと
    を含むことを特徴とする、請求項5に記載の方法。
  7. 前記元のセキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)に、前記ターゲット・アクセス・モビリティ管理機能(50T)が、前記ユーザ機器(80)のための前記新しいセキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)であることを通知すること(T13)をさらに含むことを特徴とする、請求項6に記載の方法。
  8. 前記認証ストラテジーがアクセス・モビリティ管理機能(50)間の鍵の転送であることが決定されたことに応答して、前記ソース・アクセス・モビリティ管理機能(50S)と前記ターゲット・アクセス・モビリティ管理機能(50T)との間でコアネットワーク鍵を転送することをさらに含むことを特徴とする、請求項5に記載の方法。
  9. 前記認証ストラテジーが前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)からの鍵の要求であることが決定されたことに応答して、鍵を要求すること(T14)をさらに含み、鍵を前記要求するステップが、
    − 前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)に鍵についての要求を送るステップと、
    − 前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)から前記鍵を受信するステップと
    を含むことを特徴とする、請求項5に記載の方法。
  10. 前記パラメータが、前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)に関連するグローバル一意一時IDであることを特徴とする、請求項1から9のいずれか一項に記載の方法。
  11. 前記ターゲット・アクセス・モビリティ管理機能(50T)と前記ユーザ機器(80)との間で非アクセス層セキュリティ確立プロシージャ(T16)を実施することをさらに含み、前記非アクセス層セキュリティ確立プロシージャ(T16)が、前記ターゲット・アクセス・モビリティ管理機能(50T)によって決定された前記認証ストラテジーに関して、前記ユーザ機器(80)に知らせることを特徴とする、請求項1から10のいずれか一項に記載の方法。
  12. 前記ユーザ機器(80)と共有される前記鍵が、他の鍵を導出するために使用されることを特徴とする、請求項1から11のいずれか一項に記載の方法。
  13. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするための方法であって、前記方法が、
    − ソース・アクセス・モビリティ管理機能(50S)において、ターゲット・アクセス・モビリティ管理機能(50T)からコンテキスト要求を受信すること(S11)と、
    − 前記ターゲット・アクセス・モビリティ管理機能(50T)への応答内で、前記ソース・アクセス・モビリティ管理機能(50S)からコンテキストを送ること(S12)と
    を含み、
    前記コンテキストが、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を識別するパラメータを含み、
    前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)が、前記ユーザ機器(80)と共有される鍵を保持する、方法。
  14. メモリから、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を識別する前記パラメータを取り出すことをさらに含むことを特徴とする、請求項13に記載の方法。
  15. 前記ソース・アクセス・モビリティ管理機能(50S)と前記ターゲット・アクセス・モビリティ管理機能(50T)との間でコアネットワーク鍵を転送することをさらに含むことを特徴とする、請求項13または14に記載の方法。
  16. 前記パラメータが、前記セキュリティ・アンカー機能アクセス・モビリティ管理機能に関連するグローバル一意一時IDであることを特徴とする、請求項13から15のいずれか一項に記載の方法。
  17. 前記ユーザ機器(80)と共有される前記鍵が、他の鍵を導出するために使用されることを特徴とする、請求項13から16のいずれか一項に記載の方法。
  18. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするための方法であって、前記方法は、
    − 前記ユーザ機器(80)から、ターゲット・アクセス・モビリティ管理機能(50T)に登録要求(T10)を送ること(S21)と、
    − 前記ターゲット・アクセス・モビリティ管理機能(50T)と前記ユーザ機器(80)との間で非アクセス層セキュリティ確立プロシージャ(T16)を実施すること(S22)であって、
    前記非アクセス層セキュリティ確立プロシージャ(T16)が、前記ターゲット・アクセス・モビリティ管理機能(50T)によって決定された認証ストラテジーに関して、前記ユーザ機器(80)に知らせる、非アクセス層セキュリティ確立プロシージャ(T16)を実施すること(S22)と、
    − 前記認証ストラテジーに従って鍵プロシージャを適用すること(S23)と
    を含む、方法。
  19. 前記認証ストラテジーが、
    アクセス・モビリティ管理機能(50)間の鍵の転送と、
    新しい認証プロシージャの実行と、
    セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)からの鍵の要求と
    のうちの1つを含むことを特徴とする、請求項18に記載の方法。
  20. 前記登録要求(T10)が、ソース・アクセス・モビリティ管理機能(50S)として、現在使用されるアクセス・モビリティ管理機能(50)を識別する情報を含むことを特徴とする、請求項18または19に記載の方法。
  21. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするための方法であって、前記方法が、
    − セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)において、ターゲット・アクセス・モビリティ管理機能(50T)から、前記ユーザ機器(80)のための新しい鍵についての要求を受信すること(S31)と、
    − 前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)において、前記ユーザ機器(80)と共有される鍵から新しいコアネットワーク鍵を導出すること(S32)と、
    − 前記ターゲット・アクセス・モビリティ管理機能(50T)に前記新しいコアネットワーク鍵を送ること(S33)と
    を含む、方法。
  22. − ターゲット・アクセス・モビリティ管理機能(50T)から、前記ユーザ機器(80)が新しいセキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を有するという通知を受信すること(S34)と、
    − 前記ユーザ機器(80)と共有される前記鍵を配設すること(S35)と
    をさらに含むことを特徴とする、請求項21に記載の方法。
  23. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするように設定されたネットワークノード(99)であって、前記ネットワークノード(99)が、ソース・アクセス・モビリティ管理機能(50S)にコンテキスト要求を送るように設定されたアクセス・モビリティ管理機能(50)を備え、前記アクセス・モビリティ管理機能(50)が、前記ソース・アクセス・モビリティ管理機能(50S)からの応答内でコンテキストを受信するように設定され、前記コンテキストが、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を識別するパラメータを含み、前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)が、前記ユーザ機器(80)と共有される鍵を保持する、ネットワークノード(99)。
  24. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするように設定されたネットワークノード(99)であって、前記ネットワークノード(99)が、ターゲット・アクセス・モビリティ管理機能(50T)からコンテキスト要求を受信するように設定されたアクセス・モビリティ管理機能(50)を備え、前記アクセス・モビリティ管理機能(50)が、前記ターゲット・アクセス・モビリティ管理機能(50T)への応答内でコンテキストを送るように設定され、前記コンテキストが、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を識別するパラメータを含み、前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)が、前記ユーザ機器(80)と共有される鍵を保持する、ネットワークノード(99)。
  25. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするように設定されたネットワークノード(99)であって、前記ネットワークノード(99)が、ターゲット・アクセス・モビリティ管理機能(50T)から、前記ユーザ機器(80)のための新しい鍵についての要求を受信するように設定されたアクセス・モビリティ管理機能(50)を備え、前記アクセス・モビリティ管理機能(50)が、前記ユーザ機器(80)と共有される鍵から新しいコアネットワーク鍵を導出するようにさらに設定され、前記アクセス・モビリティ管理機能(50)が、前記ターゲット・アクセス・モビリティ管理機能(50T)に前記新しいコアネットワーク鍵を送るようにさらに設定された、ネットワークノード(99)。
  26. 前記ネットワークノード(99)がプロセッサ(110)とメモリ(120)とを備え、前記メモリ(120)が、前記プロセッサ(110)によって実行可能な命令を備えることを特徴とする、請求項23から25のいずれか一項に記載のネットワークノード。
  27. 前記ネットワークノード(99)が、前記コンテキスト要求を受信し、前記コンテキストを送るように設定された通信回路要素(130)を備えることを特徴とする、請求項23から26のいずれか一項に記載のネットワークノード。
  28. 通信ネットワークにおいて使用するためのユーザ機器(80)であって、前記ユーザ機器(80)が、ターゲット・アクセス・モビリティ管理機能(50T)に登録要求(T10)を送るために設定され、前記ユーザ機器(80)が、前記ターゲット・アクセス・モビリティ管理機能(50T)と前記ユーザ機器(80)との間で非アクセス層セキュリティ確立プロシージャ(T16)を実施するためにさらに設定され、前記非アクセス層セキュリティ確立プロシージャ(T16)が、前記ターゲット・アクセス・モビリティ管理機能(50T)によって決定された認証ストラテジーに関して、前記ユーザ機器(80)に知らせ、前記ユーザ機器(80)が、前記認証ストラテジーに従って鍵プロシージャを適用するためにさらに設定された、ユーザ機器(80)。
  29. 前記ユーザ機器(80)がプロセッサ(111)とメモリ(121)とを備え、前記メモリ(121)が、前記プロセッサ(111)によって実行可能な命令を備えることを特徴とする、請求項28に記載のユーザ機器。
  30. 前記ユーザ機器(80)が、前記登録要求を送り、セキュリティモードコマンドを受信するように設定された通信回路要素(131)を備えることを特徴とする、請求項28または29に記載のユーザ機器。
  31. 少なくとも1つのプロセッサ(410)によって実行されたとき、前記少なくとも1つのプロセッサ(410)に、ターゲット・アクセス・モビリティ管理機能(50T)から、ソース・アクセス・モビリティ管理機能(50S)にコンテキスト要求を送ることと、前記ターゲット・アクセス・モビリティ管理機能(50T)において、前記ソース・アクセス・モビリティ管理機能(50S)からの応答内でコンテキストを受信することとを行わせる命令を備えるコンピュータプログラムであって、前記コンテキストが、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を識別するパラメータを含み、前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)が、ユーザ機器(80)と共有される鍵を保持する、コンピュータプログラム。
  32. 少なくとも1つのプロセッサ(410)によって実行されたとき、前記少なくとも1つのプロセッサ(410)に、ソース・アクセス・モビリティ管理機能(50S)において、ターゲット・アクセス・モビリティ管理機能(50T)からコンテキスト要求を受信することと、前記ターゲット・アクセス・モビリティ管理機能(50T)への応答内で、前記ソース・アクセス・モビリティ管理機能(50S)からコンテキストを送ることとを行わせる命令を備えるコンピュータプログラムであって、前記コンテキストが、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を識別するパラメータを含み、前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)が、ユーザ機器(80)と共有される鍵を保持する、コンピュータプログラム。
  33. 少なくとも1つのプロセッサ(411)によって実行されたとき、前記少なくとも1つのプロセッサ(411)に、ターゲット・アクセス・モビリティ管理機能(50T)に登録要求(T10)を送ることと、前記ターゲット・アクセス・モビリティ管理機能(50T)とユーザ機器(80)との間で非アクセス層セキュリティ確立プロシージャ(T16)を実施することであって、前記非アクセス層セキュリティ確立プロシージャ(T16)が、前記ターゲット・アクセス・モビリティ管理機能(50T)によって決定された認証ストラテジーに関して、前記ユーザ機器(80)に知らせる、非アクセス層セキュリティ確立プロシージャ(T16)を実施することと、前記認証ストラテジーに従って鍵プロシージャを適用することとを行わせる命令を備えるコンピュータプログラム。
  34. 少なくとも1つのプロセッサ(410)によって実行されたとき、前記少なくとも1つのプロセッサ(410)に、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)において、ターゲット・アクセス・モビリティ管理機能(50T)から、ユーザ機器(80)のための新しい鍵についての要求を受信することと、前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)において、前記ユーザ機器(80)と共有される鍵から新しいコアネットワーク鍵を導出することと、前記ターゲット・アクセス・モビリティ管理機能(50T)に前記新しいコアネットワーク鍵を送ることとを行わせる命令を備えるコンピュータプログラム。
  35. 請求項31から34のいずれか一項に記載のコンピュータプログラムを記憶したコンピュータ可読媒体を備えるコンピュータプログラム製品。
  36. 請求項31から34のいずれか一項に記載のコンピュータプログラムを備えるキャリアであって、前記キャリアが、電子信号、光信号、電磁信号、磁気信号、電気信号、無線信号、マイクロ波信号、またはコンピュータ可読記憶媒体のうちの1つである、キャリア。
  37. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするためのネットワークノード(99)であって、前記ネットワークノード(99)が、
    − ターゲット・アクセス・モビリティ管理機能(50T)から、ソース・アクセス・モビリティ管理機能(50S)にコンテキスト要求を送るための送信機モジュール(510)と、
    − 前記ターゲット・アクセス・モビリティ管理機能(50T)において、前記ソース・アクセス・モビリティ管理機能(50S)からの応答内でコンテキストを受信するための受信機モジュール(520)と
    を備え、
    前記コンテキストが、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を識別するパラメータを含み、
    前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)が、前記ユーザ機器(80)と共有される鍵を保持する、ネットワークノード(99)。
  38. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするためのネットワークノード(99)であって、前記ネットワークノード(99)が、
    − ソース・アクセス・モビリティ管理機能(50S)において、ターゲット・アクセス・モビリティ管理機能(50T)からコンテキスト要求を受信するための受信機モジュール(510)と、
    − 前記ターゲット・アクセス・モビリティ管理機能(50T)への応答内で、前記ソース・アクセス・モビリティ管理機能(50S)からコンテキストを送るための送信機(520)と
    を備え、
    前記コンテキストが、セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)を識別するパラメータを含み、
    前記セキュリティ・アンカー機能アクセス・モビリティ管理機能(50P)が、前記ユーザ機器(80)と共有される鍵を保持する、ネットワークノード(99)。
  39. 通信ネットワークにおいて使用するためのユーザ機器(80)であって、前記ユーザ機器(80)は、
    − ターゲット・アクセス・モビリティ管理機能(50T)に登録要求(T10)を送るための送信機モジュール(540)と、
    − 前記ターゲット・アクセス・モビリティ管理機能(50T)と前記ユーザ機器(80)との間で非アクセス層セキュリティ確立プロシージャ(T16)を実施するためのセキュリティモジュール(550)であって、
    前記非アクセス層セキュリティ確立プロシージャ(T16)が、前記ターゲット・アクセス・モビリティ管理機能(50T)によって決定された認証ストラテジーに関して、前記ユーザ機器(80)に知らせる、セキュリティモジュール(550)と、
    − 前記認証ストラテジーに従って鍵プロシージャを適用するための鍵ハンドリングモジュール(560)と
    を備える、ユーザ機器(80)。
  40. ユーザ機器(80)のためのサービング・アクセス・モビリティ管理機能(50)の変更のハンドリングをサポートするためのネットワークノード(99)であって、前記ネットワークノード(99)が、
    − ターゲット・アクセス・モビリティ管理機能(50T)から、前記ユーザ機器(80)のための新しい鍵についての要求を受信するための受信機モジュール(520)と、
    − 前記ユーザ機器(80)と共有される鍵から新しいコアネットワーク鍵を導出するための鍵管理モジュール(530)と、
    − 前記ターゲット・アクセス・モビリティ管理機能(50T)に前記新しいコアネットワーク鍵を送るための送信機モジュール(510)と
    を備える、ネットワークノード(99)。
JP2019539904A 2017-01-30 2017-12-21 5gシステムにおけるセキュリティアンカー機能 Pending JP2020509640A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762451856P 2017-01-30 2017-01-30
US62/451,856 2017-01-30
PCT/EP2017/084029 WO2018137866A1 (en) 2017-01-30 2017-12-21 Security anchor function in 5g systems

Publications (1)

Publication Number Publication Date
JP2020509640A true JP2020509640A (ja) 2020-03-26

Family

ID=60937736

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019539904A Pending JP2020509640A (ja) 2017-01-30 2017-12-21 5gシステムにおけるセキュリティアンカー機能

Country Status (7)

Country Link
US (2) US20200084676A1 (ja)
EP (1) EP3520454B1 (ja)
JP (1) JP2020509640A (ja)
KR (1) KR102208868B1 (ja)
CN (1) CN110235458B (ja)
RU (1) RU2734873C1 (ja)
WO (1) WO2018137866A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109803350B (zh) * 2017-11-17 2021-06-08 华为技术有限公司 一种安全通信方法和装置
CN110798833B (zh) * 2018-08-03 2023-10-24 华为技术有限公司 一种鉴权过程中验证用户设备标识的方法及装置
CN114615023A (zh) 2018-09-05 2022-06-10 华为技术有限公司 一种通信的方法及相关的装置
CN110933591B (zh) * 2018-09-18 2021-07-16 华为技术有限公司 认证方法、设备及系统
CN110536330B (zh) * 2018-09-27 2023-06-23 中兴通讯股份有限公司 一种ue迁移方法、装置、系统及存储介质
KR102604283B1 (ko) * 2018-10-05 2023-11-20 삼성전자주식회사 정보 보안을 위한 장치 및 방법
US10893413B2 (en) * 2018-10-17 2021-01-12 Mediatek Singapore Pte. Ltd. User equipment key derivation at mobility update in mobile communications
TWI674808B (zh) * 2018-11-01 2019-10-11 財團法人資訊工業策進會 無線通訊系統及控制平面之管理之切換方法
CN111726808B (zh) * 2019-03-21 2022-06-10 华为技术有限公司 通信方法和装置
CN111866867B (zh) 2019-04-28 2022-01-14 华为技术有限公司 信息获取方法及装置
WO2020254359A1 (en) * 2019-06-17 2020-12-24 Telefonaktiebolaget Lm Ericsson (Publ) Amf reallocation handling using ue exceptions to security context rules
US10582371B1 (en) 2019-08-09 2020-03-03 Cisco Technology, Inc. Subscriber management with a stateless network architecture in a fifth generation (5G) network
CN113613248B (zh) * 2020-04-20 2023-06-16 华为技术有限公司 认证事件处理方法及装置、系统
WO2023224915A1 (en) * 2022-05-16 2023-11-23 Intel Corporation Security for distributed non-access stratum protocol in a mobile system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016073229A1 (en) * 2014-11-03 2016-05-12 Qualcomm Incorporated Apparatuses and methods for wireless communication

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2464594A1 (en) * 2004-04-14 2005-10-14 Vic Leach Device for dispensing granulated material
US20080181411A1 (en) * 2007-01-26 2008-07-31 Karl Norrman Method and system for protecting signaling information
US9276909B2 (en) * 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
GB0912944D0 (en) * 2009-07-24 2009-09-02 Vodafone Plc SMS over lte sgs interface optimisations
US8570995B2 (en) * 2009-09-30 2013-10-29 Nokia Corporation Apparatus and method for providing access to a local area network
UA108099C2 (uk) * 2010-04-15 2015-03-25 Пристрій і спосіб сигналізації про поліпшений контекст безпеки для сесійних ключів шифрування і цілісності
CN102845105B (zh) * 2010-04-16 2016-03-16 高通股份有限公司 用于从支持增强型安全性上下文的服务网络节点向旧式服务网络节点转移的装置和方法
WO2011137580A1 (en) * 2010-05-04 2011-11-10 Qualcomm Incorporated Shared circuit switched security context
US9385862B2 (en) * 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US9241302B2 (en) * 2011-06-17 2016-01-19 Qualcomm Incorporated Methods and apparatus for radio access technology search
US9049593B2 (en) * 2012-06-28 2015-06-02 Qualcomm Incorporated Method and apparatus for restricting access to a wireless system
CN105830476B (zh) * 2013-12-23 2020-05-19 皇家Kpn公司 用于从无线电接入网络提供安全的方法和系统
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
US10382206B2 (en) 2016-03-10 2019-08-13 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US10873464B2 (en) 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
EP3466135B1 (en) 2016-07-05 2022-01-05 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system
ES2935616T3 (es) 2016-09-20 2023-03-08 Nokia Solutions & Networks Oy Identificador del conjunto de claves de próxima generación
WO2018070436A1 (en) 2016-10-11 2018-04-19 Nec Corporation Method, session management function node, user plane function node, and user equipment for session management parameters maintenance and computer readable recording medium therein
CN108012267B (zh) 2016-10-31 2022-05-24 华为技术有限公司 一种网络认证方法、相关设备及系统
US11818569B2 (en) 2016-10-31 2023-11-14 Telefonaktiebolaget Lm Ericsson (Publ) Methods supporting authentication in wireless communication networks and related network nodes and wireless terminals
US20180132096A1 (en) 2016-11-08 2018-05-10 Zte Corporation Differential tracking and mobility management in communication networks
WO2018111029A1 (ko) 2016-12-15 2018-06-21 엘지전자(주) 무선 통신 시스템에서 핸드오버 수행 방법 및 이를 위한 장치
US10694434B2 (en) 2017-01-05 2020-06-23 Lg Electronics Inc. Method and base station for supporting handover
WO2018135524A1 (ja) 2017-01-17 2018-07-26 日本電気株式会社 通信システム、通信端末、amfエンティティ、及び通信方法
CN108347420B (zh) 2017-01-25 2021-02-23 华为技术有限公司 一种网络密钥处理的方法、相关设备及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016073229A1 (en) * 2014-11-03 2016-05-12 Qualcomm Incorporated Apparatuses and methods for wireless communication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TR 33.899 V0.6.0, JPN6020038215, 25 November 2016 (2016-11-25), pages 55 - 60, ISSN: 0004562131 *

Also Published As

Publication number Publication date
WO2018137866A1 (en) 2018-08-02
EP3520454A1 (en) 2019-08-07
KR102208868B1 (ko) 2021-01-29
US20200084676A1 (en) 2020-03-12
RU2734873C1 (ru) 2020-10-23
US10848967B2 (en) 2020-11-24
CN110235458A (zh) 2019-09-13
US20190289672A1 (en) 2019-09-19
EP3520454B1 (en) 2024-03-06
KR20190100327A (ko) 2019-08-28
CN110235458B (zh) 2022-10-28

Similar Documents

Publication Publication Date Title
EP3520454B1 (en) Security anchor function in 5g systems
US11963000B2 (en) Methods, apparatuses, computer programs and carriers for security management before handover from 5G to 4G system
US11849389B2 (en) Management of security contexts at idle mode mobility between different wireless communication systems
JP7286785B2 (ja) プロトコルデータユニットセッションの確立
US20240064510A1 (en) User equipment (ue) identifier request
KR102354254B1 (ko) 상이한 무선 통신 시스템들 사이의 상호연동 및/또는 이동성의 지원
US20240276211A1 (en) Methods, apparatuses, computer programs and carriers for security management before handover from 5g to 4g system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190913

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200821

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201013

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210112

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210803