JP2021533680A - 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 - Google Patents
異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 Download PDFInfo
- Publication number
- JP2021533680A JP2021533680A JP2021506706A JP2021506706A JP2021533680A JP 2021533680 A JP2021533680 A JP 2021533680A JP 2021506706 A JP2021506706 A JP 2021506706A JP 2021506706 A JP2021506706 A JP 2021506706A JP 2021533680 A JP2021533680 A JP 2021533680A
- Authority
- JP
- Japan
- Prior art keywords
- access
- network
- access network
- type
- serving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title description 58
- 238000013507 mapping Methods 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 26
- 230000004044 response Effects 0.000 claims description 16
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 claims description 3
- 238000010586 diagram Methods 0.000 abstract description 56
- 230000006870 function Effects 0.000 description 35
- 208000014674 injury Diseases 0.000 description 27
- 238000005516 engineering process Methods 0.000 description 12
- 238000007726 management method Methods 0.000 description 11
- 230000011664 signaling Effects 0.000 description 11
- 238000013475 authorization Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 230000008901 benefit Effects 0.000 description 7
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 230000007935 neutral effect Effects 0.000 description 6
- 238000012795 verification Methods 0.000 description 3
- 206010000210 abortion Diseases 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000000465 moulding Methods 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
- H04W72/12—Wireless traffic scheduling
- H04W72/1215—Wireless traffic scheduling for collaboration of different radio technologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本願は、複数の異種アクセスネットワークを介したユーザ機器によるセッション確立に関する。一態様では、異種アクセスネットワークは、3GPPアクセスネットワークと非3GPPアクセスネットワーク(106)とを含み得る。非3GPPアクセスネットワーク(106)は、1つ以上の非3GPP信頼アクセスネットワーク(108)、または1つ以上の非3GPP、非信頼アクセスネットワーク(110)を含み得る。【選択図】図1
Description
本願は、一般にアクセスネットワークに関し、より詳細には、複数の異種アクセスネットワークを介したユーザ機器によるセッション確立に関する。
関連技術の説明
本節の記載は、関連技術の説明を与えるものであり、先行技術を認めるものではない。スマートフォン、スマートタブレット、ラップトップ、コンピュータ、スマートウォッチなどのユーザ機器(UE)は、多くの場合、ワイヤレスローカルエリアネットワーク(WLAN)接続性(IEEE 802.11x準拠のWLAN接続性など)と無線アクセスネットワーク接続性(EVDO、UMTS、HSPA、及びLTEを含む第3世代パートナーシッププロジェクト(3GPP)との規格セットに、全面的に、または部分的に準拠しているテクノロジなど)の両方の機能を含む。したがって、UEは、3GPPアクセスネットワークと非3GPPアクセスネットワークとで構成される2つのアクセス技術のタイプを使用して、3GPP発展型パケットコア(EPC)ネットワークに接続することができる。
本節の記載は、関連技術の説明を与えるものであり、先行技術を認めるものではない。スマートフォン、スマートタブレット、ラップトップ、コンピュータ、スマートウォッチなどのユーザ機器(UE)は、多くの場合、ワイヤレスローカルエリアネットワーク(WLAN)接続性(IEEE 802.11x準拠のWLAN接続性など)と無線アクセスネットワーク接続性(EVDO、UMTS、HSPA、及びLTEを含む第3世代パートナーシッププロジェクト(3GPP)との規格セットに、全面的に、または部分的に準拠しているテクノロジなど)の両方の機能を含む。したがって、UEは、3GPPアクセスネットワークと非3GPPアクセスネットワークとで構成される2つのアクセス技術のタイプを使用して、3GPP発展型パケットコア(EPC)ネットワークに接続することができる。
一般に、3GPPアクセスネットワークは、例えば、GPRS、UMTS、EDGE、HSPA、LTE、及びLTE Advancedを含む3GPPの規格セットによって指定された技術に、全面的に、または部分的に準拠している。非3GPPアクセスネットワークは、3GPPの規格セットによって指定されない技術に、全面的に、または部分的に準拠している。それらには、cdma2000、WLAN(IEEE 802.11x準拠のWLANなど)、または固定ネットワークなどの技術が含まれる。
3GPPの規格セットは、様々なセキュリティ機構を備えた「非3GPP」アクセス技術を指定している。信頼されていないアクセスネットワークと信頼されたアクセスネットワークである。信頼されていないアクセスネットワークには、セキュリティリスクを高め得るアクセスネットワーク(例えば、公衆WLANまたはフェムトセルアクセスネットワーク)が含まれる。信頼されたアクセスネットワークには、ネットワークオペレータがセキュリティの観点から信頼度があると認め、EPCネットワークと直接インタフェースできるアクセスネットワークが含まれる。
新しい5G規格のセットでは、5Gシステムの最も重要な特徴の1つは、5Gシステムが、アクセスに依存しない集中型のコアネットワークを提供することである。3GPPアクセス及び非3GPPアクセスを含む様々なアクセスネットワークタイプが、共通アクセスネットワーク及びコアネットワークインタフェースを介してサポートされ得る。非3GPPアクセスネットワーク(N3AN)は、5Gアクセスネットワークであり、5Gシステム(5GS)の一部であるとみなされる。
信頼されていない非3GPPアクセスの場合、N3GアクセスノードN3IWFが、NG−RANノードと同様に、制御プレーン及びユーザプレーンに対して、それぞれシグナリングインタフェースの終端を提供する。したがって、5G対応のUEは、N3IWFを介して5Gアクセスネットワークとして非3GPPアクセスネットワークに接続することにより、5Gコアネットワークにアクセスすることができる。N3IWFは、UEとAMFとの間でアップリンク及びダウンリンクの制御プレーンシグナリングを中継し、UEがAMFへの直接の制御プレーンシグナリング接続を有するようにする。さらに、N3IWFは、非3GPPアクセスネットワークを介したPDUセッションのために、UEとUPFとの間にユーザプレーン接続を提供する。
UEが、3GPPアクセスネットワークと非3GPPアクセスネットワークとの両方を介して5Gコアに登録される場合、複数の非アクセス層(NAS)接続が同時にアクティブであり得る。UEは、同じPLMNまたは異なるPLMNに登録され得る。UEが、1つのPLMNに1つのアクセス(例えば、3GPPアクセス)のタイプを介してアクセスし、別のPLMNにもう1つのアクセス(例えば、非3GPPアクセス)のタイプを介してアクセスしている場合、異なる一次認証が行われる。登録後、NAS接続は、様々なセキュリティコンテキストを利用して、様々なAMFにサービスを提供する。ただし、UEが、異なるタイプのアクセスネットワークを介して、同じサービングネットワークでの登録を要求する場合、第1のアクセスタイプを介した登録手続きの間に、共通の5G NASセキュリティコンテキストが作成され、全てのNAS接続が同じAMFによってサービスを提供される。
現在、3GPPアクセスでは、NAS接続識別子は「0」であることを前提とする。非3GPPアクセスでは、NAS接続識別子は「1」であることを前提とする。将来のリリースで、例えば、信頼されたWLANアクセス、有線アクセス、マルチファイアアクセスなど、更なる非3GPPアクセスネットワークタイプが追加された場合に問題が発生する。これらの異なるタイプの非3GPPアクセスネットワークは、それぞれが別個のNAS接続を確立する必要がある。しかし、現在のところ、異なるタイプの非3GPPアクセスネットワークを介したNAS接続のためのNAS接続識別子は、「1」の1つのみである。
したがって、複数の異なるタイプの非3GPPアクセスネットワークを介したNAS接続をサポートするシステム及び方法を提供する必要がある。他の必要性及び利点もまた、本明細書に記載される実施形態で提供される。
説明及び図面は、単に様々な実施形態の原理を例示しているにすぎない。したがって、当業者であれば、本明細書に明示的に記載されず、または示されていないが、本明細書及び特許請求の範囲に記載されている原理を具体化し、本開示の趣旨及び範囲の内に含まれる様々な構成を考案することができることが理解されよう。さらに、本明細書に記述された全ての実施例は、主に、読者が、本実施形態の原理と、本技術を発展させることに本発明者が貢献した概念とを理解するのを助けるための教育的目的にすぎないものであることが明示的に意図されており、そのような具体的に記述された実施例及び条件に限定されないものとして解釈されるべきである。さらに、本明細書では、原理、態様、及び実施形態、ならびにそれらの特定の実施例を記述する全ての記載は、それらの均等物を包含することが意図されている。
本明細書に記載された略語のいくつかが、便宜のため、以下に展開されている。
5GC 5Gコア
5GS 5Gシステム
5G−AN 5Gアクセスネットワーク
5G−GUTI 5Gグローバル固有テンポラリ識別子
5G−S−TMSI 5G S−テンポラリモバイルサブスクリプション識別子
5QI 5G QoS識別子
AKA 認証及び鍵合意
AMF コアアクセス及びモビリティ管理機能
AUSF 認証サーバ機能
EAP 拡張認証プロトコル
HPLMN ホーム公衆陸上モバイルネットワーク
IKEv2 インターネット鍵交換v2
IMSI 国際モバイル加入者識別番号
IMEI 国際モバイル機器識別番号
IPsec インターネットプロトコルセキュリティ
MCC 運用地域識別コード
MCM マルチ接続モード
MNC 電気通信事業者識別コード
N3IWF 非3GPPインターワーキング機能
NAI ネットワークアクセス識別子
NAS 非アクセス層
ngKSI 5Gシステムの鍵設定識別子
NHN−ID ニュートラルホストネットワークID
PDN パケットデータネットワーク
PLMN 公衆陸上モバイルネットワーク
QoS サービス品質
SA セキュリティアソシエーション
SCM シングル接続モード
SMC セキュリティモードコマンド
SUCI サブスクリプション秘匿化識別子
SUPI サブスクリプション永久識別子
UDM 統合データ管理
UE ユーザ機器
UICC ユニバーサル集積回路カード
USIM UMTS加入者識別モバイル
5GC 5Gコア
5GS 5Gシステム
5G−AN 5Gアクセスネットワーク
5G−GUTI 5Gグローバル固有テンポラリ識別子
5G−S−TMSI 5G S−テンポラリモバイルサブスクリプション識別子
5QI 5G QoS識別子
AKA 認証及び鍵合意
AMF コアアクセス及びモビリティ管理機能
AUSF 認証サーバ機能
EAP 拡張認証プロトコル
HPLMN ホーム公衆陸上モバイルネットワーク
IKEv2 インターネット鍵交換v2
IMSI 国際モバイル加入者識別番号
IMEI 国際モバイル機器識別番号
IPsec インターネットプロトコルセキュリティ
MCC 運用地域識別コード
MCM マルチ接続モード
MNC 電気通信事業者識別コード
N3IWF 非3GPPインターワーキング機能
NAI ネットワークアクセス識別子
NAS 非アクセス層
ngKSI 5Gシステムの鍵設定識別子
NHN−ID ニュートラルホストネットワークID
PDN パケットデータネットワーク
PLMN 公衆陸上モバイルネットワーク
QoS サービス品質
SA セキュリティアソシエーション
SCM シングル接続モード
SMC セキュリティモードコマンド
SUCI サブスクリプション秘匿化識別子
SUPI サブスクリプション永久識別子
UDM 統合データ管理
UE ユーザ機器
UICC ユニバーサル集積回路カード
USIM UMTS加入者識別モバイル
本明細書には、認証されていないユーザ機器にネットワークサービスを提供するためのシステム及び方法を提供する1つ以上の実施形態が記載されている。例えば、信頼された非3GPPアクセスネットワークにおいて、認証されていないUEのセッションを確立するための様々な方法が記載されている。
図1は、第3世代パートナーシッププロジェクト(3GPP)の規格セットまたは他のインターネットプロトコル(IP)データパケットコアネットワーク規格のタイプに完全にまたは部分的に準拠している発展型パケットコアを対象としたアクセスネットワークのタイプの実施形態の概略ブロック図を示す。このアーキテクチャは、「3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Architecture enhancements for non−3GPP accesses」と題する技術規格3GPP TS 23.402 V14.2.0(2016年12月)にさらに詳細に記載されており、この技術規格は、参照により本明細書に組み込まれる。
3GPPアーキテクチャでは、EPCネットワーク100は、1つ以上のアクセスネットワーク102に通信可能に結合されている。実施形態では、アクセスネットワーク102は、1つ以上の3GPPアクセスネットワーク104、または1つ以上の非3GPPアクセスネットワーク106を含み得る。3GPPアクセスネットワーク104は、3GPPの規格セットによって指定された技術に、全面的に、または部分的に準拠しており、例えば、GPRS、UMTS、EDGE、HSPA、LTE、及びLTE Advancedを含む。非3GPPアクセスネットワーク106は、3GPPの規格セットによって指定されない技術に、全面的に、または部分的に準拠している。非3GPPアクセスネットワーク106は、3GPPの規格セットでそのように指定され得る。非3GPPアクセスネットワーク106は、1つ以上の非3GPP信頼アクセスネットワーク108、または1つ以上の非3GPP、非信頼アクセスネットワーク110を含み得る。
信頼された非3GPPアクセスネットワーク108は、IEEE802.11x準拠のWLANネットワークなど、暗号化及びセキュアな認証方法を用いた、オペレータによって構築される、またはオペレータによってサポートされる、ワイヤレスローカルエリアネットワーク(WLAN)である。一実施形態では、信頼された非3GPPアクセスネットワーク108は、以下の例示的な特徴をサポートする。無線アクセスネットワーク(RAN)の暗号化をも要求する802.1xベースの認証、認証にEAP方式を使用する3GPPベースのネットワークアクセス、及びIPv4及び/またはIPv6プロトコルである。また一方、セキュリティタイプの異なる他のタイプの非3GPPアクセスネットワークが信頼されたと認められることをオペレータが判断する場合もある。信頼されていない非3GPPアクセスネットワーク110には、オペレータに知られていない非3GPPアクセスネットワーク、またはサポートされた認証規格を含まない非3GPPアクセスネットワークが含まれる。例えば、信頼されていない非3GPPアクセスネットワークには、一般大衆に公開されるIEEE802.11x準拠のWLANネットワーク、ホームWLAN、または非オペレータによって創設され管理される別のWLANなど、ホームWLANまたは公衆WLANが含まれ得る。
第5世代ワイヤレス(5G)のもう1つのプロトコルセットは、ワイヤレスネットワークの速度及び応答性を大幅に向上させるように設計された、携帯電話技術の最新版である。5Gという用語は、当初ITU IMT−2020規格によって定義され、この規格では、20ギガビットの理論上のピークダウンロード容量が必要とされた。さらに最近では、業界標準化団体3GPPが5Gアーキテクチャとプロトコルとを定義している。例えば、技術仕様書(TS)23.501は、ネットワークスライシングを含む5Gシステムのステージ2システムアーキテクチャを規定する。技術仕様書(TS)23.502は、5Gシステム向けの手続きを規定する。技術仕様書(TS)23.503は、5Gシステムのポリシー及び課金制御フレームワークを規定する。
5Gシステムでは、5Gアクセスネットワークは、例えば、3GPP TS 38.300に記載されている次世代(NG)無線アクセスネットワーク(NG−RAN)を含み得る。さらに、5Gアクセスネットワークは、例えば、非3GPPインターワーキング機能(N3IWF)で終端されたセキュアなIPSec/IKEトンネルを介して、UEが5Gコアネットワークに接続することができる、信頼されていない非3GPPアクセスネットワークを含み得る。非3GPPアクセスネットワーク(N3AN)は、5Gアクセスネットワークであり、5Gシステム(5GS)の一部であるとみなされる。
信頼されていない非3GPPアクセスの場合、N3IWFを含むアクセスノードは、制御プレーン及びユーザプレーンに対して、それぞれN2及びN3シグナリングインタフェースの終端を提供する。5G対応のUEは、N3IWFを介して(5Gアクセスネットワークとして)非3GPPアクセスネットワークに接続することにより、5Gコアネットワークにアクセスする。N3IWFは、UEと5Gコアネットワークとの間でアップリンク及びダウンリンクの制御プレーンNAS(N1)シグナリングを中継し、UEがコアネットワークへの直接NASシグナリング接続を有することを可能にする。さらに、N3IWFは、非3GPPアクセスネットワークを介したPDUセッションのために、UEとコアネットワークとの間にユーザプレーン接続を提供する。
図2は、非3GPPアクセスのための5Gシステムアーキテクチャの実施形態の概略ブロック図を示す。このアーキテクチャは、参照により本明細書に組み込まれる「System Architecture for the 5G System」と題する技術規格3GPP TS 23.501,Release 15 (2017年12月)で、さらに詳細に説明されている。
非3GPPアクセスネットワークは、非3GPPインターワーキング機能(N3IWF)を介して5Gコアネットワークに接続されている。N3IWFは、5Gコアネットワークの制御プレーン(CP)機能及びユーザプレーン(UP)機能を、それぞれN2インタフェース及びN3インタフェースを介してインタフェース接続する。UEは、信頼されていない非3GPPアクセスネットワークを介して5Gコアネットワークにアタッチするために、N3IWFとのIPSecトンネルを確立する。UEは、IPSecトンネルの確立手続きを通じて、5Gコアネットワークによって認証されて、5Gコアネットワークにアタッチされる。信頼されていない非3GPPアクセスを介した5GコアネットワークへのUEのアタッチに関する更なる詳細が、参照により本明細書に組み込まれる「Procedures for the 5G System」と題する3GPP TS 23.502,Release 15(2017年12月)に説明されている。
5Gシステムは、アクセス及びモビリティ管理機能(AMF)を含むホーム公衆陸上モバイルネットワークまたは同等のホームPLMN(HPLMN−5G)を含む。AMFは、RAN制御プレーンインタフェース(N2)の終端及びNAS(N1)プロトコルセットの終端と、NASの暗号化及び整合性の保護とを提供する。AMFはまた、登録及び接続の管理を提供する。AMFは、非3GPPアクセスネットワークをサポートするために様々な機能性を含み得る。例えば、AMFは、N3IWFを用いたN2インタフェース制御プロトコルのサポートと、N3IWFを介したUEとのNASシグナリングのサポートとを提供し得る。さらに、AMFは、N3IWFを介して接続されたUEの認証のサポートと、非3GPPアクセスを介して接続された、または同時に3GPPアクセス及び非3GPPアクセスを介して接続された、UEのモビリティ、認証、及び別個のセキュリティコンテキスト状態(複数可)の管理とを提供し得る。
セッション管理機能(SMF)は、セッション管理機能性、例えば、UPFとANノードとの間のトンネル維持を含む、セッションの確立、変更、及び解除を含む。SMFはまた、UEのIPアドレスの割り当て及び管理(任意選択の認可を含む)と、DHCPv4(サーバ及びクライアント)及びDHCPv6(サーバ及びクライアント)の機能とを提供する。
ユーザプレーン機能(UPF)は、データネットワークとパケットルーティング及びパケットフォワーディングとに外部PDUセッションの相互接続ポイントを提供する。UPFはまた、ポリシールール施行のユーザプレーン部分、例えば、ゲーティング、リダイレクト、トラフィックステアリングなどをサポートする。
ポリシー制御機能(PCF)は、ネットワークの挙動を統御するための統合されたポリシーフレームワークをサポートする。統合データ管理(UDM)は、3GPP AKA認証証明書の生成と、サブスクリプションデータに基づくアクセス認可(例えば、ローミング制限)と、UEのサービングNF登録管理(例えば、UEのためのサービングAMFを保存する、UEのPDUセッションのためのサービングSMFを保存する)とのサポートを含む。UDMはまた、SMS及びサブスクリプションの管理を提供する。この機能性を提供するために、UDMは、UDRに格納され得るサブスクリプションデータ(認証データを含む)を使用する。AUSFは、認証サーバ機能(AUSF)を提供する。
信頼されていない非3GPPアクセスの場合のN3IWFの機能性は、UEとのIPsecトンネル確立のサポートを含む。N3IWFは、NWuを介したUEとのIKEv2/IPsecプロトコルを終端し、UEを認証して、その5Gコアネットワークへのアクセスを認可するために必要な情報を、N2を介して中継する。N3IWFは、5GコアネットワークへのN2インタフェース及びN3インタフェースの終端を、それぞれ制御プレーン及びユーザプレーンに提供する。N3IWFは、UEとAMFとの間で、アップリンク及びダウンリンクの制御プレーンNAS(N1)シグナリングを中継する。N3IWFは、PDUセッション及びQoSに関連したSMFからの(AMFによって中継される)N2シグナリングを処理することを提供する。N3IWFは、PDUセッショントラフィックをサポートするためのIPsecセキュリティアソシエーション(IPsec SA)の確立をさらに提供する。N3IWFはまた、UEとUPFとの間で、アップリンク及びダウンリンクのユーザプレーンパケットを中継することを提供する。
図3は、複数の異種アクセスネットワークを介して5GシステムにアクセスするUEの実施形態の概略ブロック図を示す。複数の異種アクセスネットワークには、例えば、3GPPアクセス、信頼されていないWLANアクセス、及び非3GPPアクセスが含まれる。UEが、3GPPアクセスネットワーク及び非3GPPアクセスネットワークの両方を介して5Gコアに登録される場合、UEとAMFとの間で、複数の制御プレーンNASシグナリング接続が同時にアクティブになる。
UEは、セキュアな接続を確立すると、AMF/SEALに「登録要求」メッセージを送信する。登録要求メッセージには、SUCI、5G−GUTI、またはIMEIのいずれかを含む5GSモバイル識別IEが含まれる。UEから登録要求メッセージを受信した後、AMF/SEAFは、AUSFへの「認証開始要求」(5G−AIR)メッセージを準備する。SEAFは、5G−AIRメッセージにサービングネットワーク名も含める。SEAFから5G−AIRメッセージを受信した後に、AUSFは、「認証情報要求」メッセージを準備して、UDM/ARPFに送信する。UDM/ARPFは、最初に、認証管理フィールド(AMF)分離ビット=1を有する認証ベクトルを生成する。次に、UDM/ARPFは、CK’及びIK’を計算する。その後、ARPFは、認証情報レスポンスメッセージを使用して、AUSFに(RAND、AUTN、XRES、CK’、IK’)を送信する。AUSFは、EAP要求/AKA’チャレンジメッセージを含む5G−AIAメッセージを送信することでSEAFに応答する。SEAFは、NASメッセージの認証要求メッセージ内のEAP要求/AKA’チャレンジメッセージを、UEに、透過的に転送する。認証要求メッセージに対するUEからのレスポンスを受信した後、SEAFはEAPレスポンスをAUSFに転送し、AUSFは保存された情報を使用してそれを検証する。検証が成功した場合、AUSFはEAP成功及びアンカー鍵をSEAFに送信し、次いでSEAFはEAP成功でUEに応答する。AUSFが認証開始時にSEAFからSUCIを受信した場合は、AUSFは、EAP成功メッセージを送信している間にSUPIも含める。
UEが、1つのPLMNに、1つのアクセス(例えば、3GPPアクセス)のタイプを介してアクセスし、別のPLMNに、別のアクセス(例えば、非3GPPアクセス)のタイプを介してアクセスしている場合、異なる一次認証が行われる。登録後、NAS接続は、様々なセキュリティコンテキストを利用する様々なAMFによってサービスが提供される。しかしながら、図3に示すように、UEは、異なるタイプのアクセスを介して、同じサービングネットワーク(例えば、同じHPLMN−5G)での登録を要求することができる。その場合、UEの全てのNAS接続は、同じAMFによってサービスが提供される。
現在、異なるタイプのアクセスを介してUEがサービングネットワークに登録されるとき、NAS接続識別子の割り当てはハードコードされている。例えば、3GPP TSG#80総会は、参照により本明細書に組み込まれる、2018年7月15日付けのスタンドアロン(SA)リリース15、5G仕様書(REL−15)の完成を承認した。REL−15では、3GPPアクセスのNAS接続識別子は「0」であることを前提とする。非3GPPアクセスでは、NAS接続識別子は「1」であることを前提とする。このハードコードされた接続識別子の割り当ては、信頼されていないWLANアクセスなど、1つのタイプの非3GPPアクセスのみがサポートされていたため、Rel−15では問題にならなかった。しかし、将来のリリースでは、信頼されたWLANアクセス、有線アクセス、マルチファイアアクセスなど、更なる非3GPPアクセスネットワークタイプが追加されることが予想される。異なるタイプの非3GPPアクセスネットワークは、それぞれが別個のNAS接続を確立する必要がある。ネットワーク構成及びUEサービスサブスクリプションに応じて、UEは、図2に示すように、複数のアクセスネットワーク、例えば3GPPアクセスネットワークと複数の非3GPPアクセスネットワークとに同時に接続される場合がある。このような状況では、異なる非3GPPアクセスネットワークを介した接続に同じNAS接続識別子を使用しても機能しない。
さらに、異なるアクセスタイプが、異なるシーケンスでアクティブ化される場合がある。例えば、UEは、最初に非3GPPアクセスネットワークの1つを介して認証を受け、UEが3GPPアクセスネットワークを介して登録する前に、NASセキュリティコンテキストを確立することが可能である。別の可能性では、UEは、複数の非3GPPアクセスネットワークを介して登録するが、3GPPアクセスネットワークを介しては登録しない。そのため、サービングネットワーク及びアクセスタイプのペアとNAS接続との間のより柔軟な結合が望まれる。
UEにサービスを提供することを認可されたサービングネットワークにUEが接続されていることをUEが検証するために、サービングネットワークは、認証(AKA)手続き中にホームネットワークによって検証される必要がある。この検証は、一次認証及び鍵合意手続きが正常に完了した場合に、サービングネットワークが認可されていると想定されるため、暗黙的に行われる。ただし、失敗のケースは暗黙的であってはならず、明示的に定義される必要がある。
最後に、5Gシステムでは、加入者識別子は、サブスクリプション永久識別子(SUPI)と呼ばれる。SUPIは、IMSI形式またはNAI形式のいずれかで定義することができる。加入者のプライバシーを確保するために、SUPIは、5G RANを介して平文で転送されるべきではなく、サブスクリプション秘匿化識別子(SUCI)を使用することによって、無線で隠される。SUCIは、ホームネットワークを管理して安全に提供された生の公開鍵による保護スキームを使用して生成される。SUPIのサブスクリプション識別子部分のみが隠され、一方SUPIのホームネットワーク識別子部分は、ルーティング目的のためにクリアのままにする必要がある。
ルーティング情報は、アクセスネットワークタイプによって異なり得る。3GPPアクセスネットワークでは、運用地域識別コード(MCC)及び電気通信事業者識別コード(MNC)がルーティング情報の一部となる場合がある。ただし、非3GPPアクセスネットワークでは、異なるネットワーク識別子及びルーティング情報が使用され得る。例えば、マルチファイアタイプのアクセスネットワークの場合、ネットワーク識別子及びルーティング情報は、ニュートラルホストネットワークID(NHN−ID)、提携サービスプロバイダID(PSP−ID)、及びニュートラルホストアクセスモードインジケータ(NHAMI)に基づいている。NHAMIは、NHNアクセスモードを有効にする全てのマルチファイアネットワークで同じ予約されたグローバル値である。認証手続き中にモバイル識別として使用されることになる他のネットワークのタイプ及び加入者識別子形式をSUCIがサポートするために、SUCI情報要素のコーディングを一般的な方法で定義する必要がある。
また、IMSI形式及びNAI形式の両方をSUPIに使用できることを考慮すると、SUCIスキーマ出力では、MSINは、サブスクリプション識別子がIMSI形式の場合の表現に対応し、ユーザ名は、サブスクリプション識別子がNAI形式の場合の表現に対応する。IMSIベースのNAIの場合、NAIの加入者識別子部分も数字で構成されているため、SUCI情報要素定義内でIMSI形式、NAI形式、及び潜在的に他の加入者識別子形式のタイプを区別するために、追加のエンコード規則が必要である。
本明細書に記載された1つ以上の実施形態は、複数の異種アクセスネットワークを介した同時のセキュア接続を可能にするためのシステム及び方法を提供する。UEが、登録時にアクセスタイプを含むことと、異種アクセスネットワークを介した同時NAS接続マッピングを追跡することとを可能にする新しい方法とプロトコルの拡張とについて説明する。サービングネットワークの検証失敗に対処するための新しいシステム及び方法についても説明する。サブスクリプション識別子の1つのタイプとしてNAIを使用することと、マルチファイアアクセスネットワーク及びプライベートネットワークをサポートするためのサブスクリプション識別子の将来の拡張性とをサポートする新しいシステム及び方法とプロトコルの拡張とについてさらに説明する。
1. 実施形態 − UEは、登録時にアクセスタイプを含み、異種アクセスネットワークを介した同時NAS接続マッピングを追跡する機能を含む
a)UEはアクセスタイプAを介して初期登録を開始する。
図4は、UEがアクセスネットワークタイプAを介して初期登録を開始するときの、UEとコアネットワーク機能との間の認証及び鍵合意メッセージフローのための方法の実施形態の論理フロー図を示す。アクセスネットワークタイプAが信頼されていない非3GPPアクセスである場合、UEとAMFとの間に表示されるNASメッセージは、IPsecトンネルを介してトンネリングされ得る。例えば、UEは、例えばIETF RFC 7296,「Internet Key Exchange Protocol Version 2(IKEv2)」(2014年10月)に記載されているように、インターネット鍵交換(IKE)プロトコルの初期交換を開始することにより、選択したN3IWFとのIPsecセキュリティアソシエーション(SA)を確立し得る。本実施例では、アクセスネットワークタイプAは、3GPPアクセス、信頼された非3GPPアクセス、信頼されていない非3GPPアクセス、信頼されていないWLANアクセス、信頼されたWLANアクセス、マルチファイアアクセスなどを含む複数のネットワークのタイプのうちの第1のタイプである。
a)UEはアクセスタイプAを介して初期登録を開始する。
図4は、UEがアクセスネットワークタイプAを介して初期登録を開始するときの、UEとコアネットワーク機能との間の認証及び鍵合意メッセージフローのための方法の実施形態の論理フロー図を示す。アクセスネットワークタイプAが信頼されていない非3GPPアクセスである場合、UEとAMFとの間に表示されるNASメッセージは、IPsecトンネルを介してトンネリングされ得る。例えば、UEは、例えばIETF RFC 7296,「Internet Key Exchange Protocol Version 2(IKEv2)」(2014年10月)に記載されているように、インターネット鍵交換(IKE)プロトコルの初期交換を開始することにより、選択したN3IWFとのIPsecセキュリティアソシエーション(SA)を確立し得る。本実施例では、アクセスネットワークタイプAは、3GPPアクセス、信頼された非3GPPアクセス、信頼されていない非3GPPアクセス、信頼されていないWLANアクセス、信頼されたWLANアクセス、マルチファイアアクセスなどを含む複数のネットワークのタイプのうちの第1のタイプである。
UEがアクセスネットワークタイプAを介して初期登録を開始するとき、UEは登録要求メッセージにアクセスタイプを含める。登録要求メッセージは、UEからAMFに送信される。AMFは、5Gシステムのセキュリティのアンカーとして機能するセキュリティアンカー機能(SEAF)と併設されている。登録要求メッセージを受信すると、AMF/SEAFは、認証を開始するために、Nausf_UEAuthentication_Authenticate要求メッセージをAUSFに送信することにより、Nausf_UEAuthenticationサービスを呼び出す。SEAFは、Nausf_UEAuthentication_Authenticate要求に、加入者ID、サービングネットワーク名、及びアクセスタイプを含める。
Nausf_UEAuthentication_Authenticate要求メッセージを受信した後、AUSFは、受信したサービングネットワーク名を予想されるサービングネットワーク名と比較する。サービングネットワーク内の要求元のSEAFが、サービングネットワーク名の使用を認可されている場合、AUSFは、サブスクライブID、サービングネットワーク名、及びアクセスタイプを含むNudm_UEAuthentication_Get要求をUDMに送信する。
Nudm_UEAuthentication_Get要求を受信した後、UDM/ARPFは、サブスクリプションデータに基づいて、認証方法を選択する。例えば、本明細書で修正されたEAP−AKA’相互認証タイプのプロトコル(IETF RFC 5448, 「Improved Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP−AKA’)」 (2018年3月5日)に記載され、参照により本明細書に組み込まれるEAP−AKA’など)が、UEとAUSFとの間で実行され得る。
UDM/ARPFは、認証ベクトルを生成して、この認証ベクトルAV’(RAND、AUTN、XRES、CK’、IK’)をAUSFに送信し、AUSFは、そこからNudm_UEAuthentication_Get要求を受け取る。UDM/ARPFはまた、Nudm_UEAuthentication_Getレスポンスメッセージを使用して、認証ベクトルAV’がEAP−AKA’に使用されることのインジケーションを送信する。
その後、AUSF及びUEは、EAP要求/AKA’チャレンジ交換を進める。AUSFは、KAUSF鍵及びKSEAF鍵を導出し、EAP成功メッセージ及びKSEAFをNausf_UEAuthentication_Authenticateレスポンスメッセージ内に含み、それをAMF/SEAFに送信する。
Nausf_UEAuthentication_Authenticateレスポンスメッセージを受信した後、AMF/SEAFは、KAMF鍵を導出する。次に、AMFは、セキュリティコンテキスト及びセキュリティアルゴリズム情報をUEに送信するためのセキュリティモードコマンド手続きを開始する。UEは、セキュリティモードコマンドを受信してNASセキュリティコンテキストを導出し、セキュリティモードコマンド完了メッセージをAMFに送信する。
手続きが完了すると、以下の図5に示すように、アクセスネットワークタイプAの接続情報を含むように、NAS接続に対するサービングネットワーク及びアクセスタイプのマッピングテーブルが更新される。
図5は、NAS接続に対するサービングネットワーク及びアクセスタイプのマッピングテーブルの実施形態の概略ブロック図を示す。本実施例では、第1のアクセスネットワークのタイプ、例えばアクセスネットワークタイプAの接続情報を含むように、マッピングテーブルが更新される。マッピングテーブルは、UEがアクセスネットワークを介して登録した後に更新される。この表には、アクセスネットワークのタイプ、ネットワーク識別子、及びアクセスネットワーク識別子が含まれている。マッピングテーブルには、アクセスネットワークタイプAとUEとの間のNAS接続のためのNAS接続識別子も含まれている。したがって、マッピングテーブルには、NAS接続ごとに、NAS接続識別子、アクセスネットワークタイプ、ネットワーク識別子、及びアクセスネットワーク識別子が格納されている。
図6は、登録要求メッセージの内容の実施形態の概略ブロック図を示す。登録要求メッセージは、初期登録を開始するために、UEからアクセスネットワークを介してAMFに送信される。登録要求メッセージには、アクセスネットワークの情報要素「アクセスタイプ」が含まれる。アクセスタイプ情報要素の目的は、ダウンリンクシグナリングまたはユーザデータがそれを介してUEに送信されるアクセスタイプを示すことである。
図7は、登録要求メッセージ内のアクセスタイプ情報要素の実施形態の概略ブロック図を示す。アクセスタイプは、タイプ1の情報要素である。
図8は、登録要求メッセージ内のアクセスタイプ情報要素のためのアクセスタイプ値の実施形態の概略ブロック図を示す。実施形態では、アクセスタイプは、3GPPアクセス、信頼されていない非3GPPアクセス、信頼された非3GPPアクセス、信頼されていないWLANアクセス、信頼されたWLANアクセス、及びマルチファイアアクセスを含む。登録メッセージのアクセスタイプ情報要素には、代替または追加のアクセスタイプが含まれてもよい。
b1)UEがアクセスタイプCを介して後続の登録を開始し、既存のNASセキュリティコンテキストが再利用される
UEが、別のアクセスネットワークのタイプ、例えばアクセスタイプCを介して、後続の登録を開始し、UEは、すでにネットワークによって認証されていて、同じサービングネットワーク内の同じAMFによってサービスを提供されている場合、AMFは、使用可能なセキュリティコンテキストがあれば、新しい認証を実行しないことを決定してもよい。
UEが、別のアクセスネットワークのタイプ、例えばアクセスタイプCを介して、後続の登録を開始し、UEは、すでにネットワークによって認証されていて、同じサービングネットワーク内の同じAMFによってサービスを提供されている場合、AMFは、使用可能なセキュリティコンテキストがあれば、新しい認証を実行しないことを決定してもよい。
図9は、既存のNASセキュリティコンテキストが再利用される場合に、アクセスネットワークタイプCを介してUEによって登録するための方法の実施形態の論理フロー図を示す。本実施例では、UEがアクセスネットワークタイプA及びアクセスネットワークタイプBとのNAS接続を確立していることを前提とする。アクセスネットワークタイプCが信頼されていない非3GPPアクセスである場合、UEとAMFとの間に表示されるNASメッセージは、IPsecトンネルを介してトンネリングされることに留意されたい。
UEが、アクセスネットワークタイプCを示す別のアクセスネットワークを介して後続の登録を開始すると、UEは登録要求メッセージにアクセスタイプを含める。AMFは、既存のセキュリティコンテキストを再利用することを決定してもよい。利用可能な一般的な5G NASセキュリティコンテキストを使用して、新しいNAS接続が作成される。NASセキュリティコンテキストは、新しいNAS接続に固有のパラメータで更新される。手続きが完了すると、図10に示すように、アクセスネットワークCの接続情報を含むように、NAS接続に対するサービングネットワーク及びアクセスタイプのマッピングテーブルが更新される。
図10は、アクセスタイプA、アクセスタイプB、及びアクセスタイプCで登録した後のNAS接続に対するサービングネットワーク及びアクセスタイプのマッピングテーブルの実施形態の概略ブロック図を示す。本実施例では、アクセスネットワークタイプCの接続情報を含むように、マッピングテーブルが更新される。マッピングテーブルは、UEがアクセスネットワークを介して登録した後に更新される。この表には、アクセスネットワークタイプ、ネットワーク識別子、及びアクセスネットワーク識別子が含まれている。マッピングテーブルには、アクセスネットワークタイプCとUEとの間のNAS接続のためのNAS接続識別子も含まれている。NAS接続識別子は「2」である。マッピングテーブルは、UE及びAMF、及び/またはAUSFなどのその他の機能またはノードに格納され得る。
b2)UEがアクセスネットワークタイプCを介して後続の登録を開始し、新しい認証が開始される
UEが、アクセスタイプCを介して後続の登録を開始するとき、UEが同じサービングネットワークのネットワークによってすでに認証されている場合、AMFは、UEが異なるAMFによってサービスを提供されるため、またはセキュリティアルゴリズムが変更されたために、認証及び鍵合意手続きを再度実行することを決定することができる。
UEが、アクセスタイプCを介して後続の登録を開始するとき、UEが同じサービングネットワークのネットワークによってすでに認証されている場合、AMFは、UEが異なるAMFによってサービスを提供されるため、またはセキュリティアルゴリズムが変更されたために、認証及び鍵合意手続きを再度実行することを決定することができる。
図11は、新しい認証が開始されたときに、アクセスネットワークタイプCを介してUEが登録する方法の実施形態の論理フロー図である。本実施例では、UEがアクセスネットワークタイプA及びアクセスネットワークタイプBとのNAS接続を確立していることを前提とする。アクセスネットワークタイプCが信頼されていない非3GPPアクセスである場合、UEとAMFとの間に表示されるNASメッセージは、IPsecトンネルを介してトンネリングされることに留意されたい。
UEがアクセスネットワークタイプCを介して後続の登録を開始するとき、UEは登録要求メッセージにアクセスタイプを含める。AMFは、認証及び鍵合意手続きを再度実行することを決定する。AMFは、UEが異なるAMFによってサービスを提供されるため、またはセキュリティアルゴリズムが変更されたために、認証及び鍵合意手続きを再度実行することを決定する場合がある。認証及び鍵合意手続きが完了すると、UEへの新しいNASセキュリティモードコマンドがAMFによって開始されて、新しい導出された5G NASセキュリティコンテキストがアクセスタイプCでアクティブになる。
新規導出された5G NASセキュリティコンテキストを使用して、新しいNAS接続が作成される。NASセキュリティコンテキストは、新しいNAS接続に固有のパラメータで更新される。次に、AMFは、既存のアクセスタイプごとに新しい5G NASセキュリティコンテキストをアクティブにするために、他の全てのアクセスタイプに対して追加のNAS SMC手続きをトリガする。他のアクセスタイプにわたってNAS SMC手続きが成功した後に、UE及びAMFの両方は古いNASセキュリティコンテキストを削除する。手続きが完了すると、図12に示すように、アクセスネットワークタイプCの接続情報を含むように、NAS接続に対するサービングネットワーク及びアクセスタイプのマッピングテーブルが更新される。
図12は、アクセスタイプA、アクセスタイプB、及びアクセスタイプCで登録した後のNAS接続に対するサービングネットワーク及びアクセスタイプのマッピングテーブルの実施形態の概略ブロック図を示す。本実施例では、アクセスネットワークタイプCの接続情報を含むように、マッピングテーブルが更新される。マッピングテーブルは、UEがアクセスネットワークを介して登録した後に更新される。この表には、アクセスネットワークのタイプ、ネットワーク識別子、及びアクセスネットワーク識別子が含まれている。マッピングテーブルには、アクセスネットワークタイプCとUEとの間のNAS接続のためのNAS接続識別子も含まれている。NAS接続識別子は「2」である。マッピングテーブルは、UE及びAMF、及び/またはAUSFなどのその他の機能またはノードに格納され得る。
2.実施形態 − サービングネットワーク認可の失敗
UEにサービスを提供することを認可されたサービングネットワークにUEが接続されていることをUEが検証するために、サービングネットワークは、AKA手続き中にホームネットワークによって検証される必要がある。サービングネットワークが認可されている場合、AKA手続きは続行され、一次認証及び鍵合意手続きが正常に完了したならば、これはサービングネットワークが認可されたことを意味する。
UEにサービスを提供することを認可されたサービングネットワークにUEが接続されていることをUEが検証するために、サービングネットワークは、AKA手続き中にホームネットワークによって検証される必要がある。サービングネットワークが認可されている場合、AKA手続きは続行され、一次認証及び鍵合意手続きが正常に完了したならば、これはサービングネットワークが認可されたことを意味する。
しかし、サービングネットワークが認可されていない場合、認証手続きは停止し、AUSFは、サービングネットワークが認可されていないために認証が失敗したことを示すために、AMFに認証レスポンスを送信する。
図13は、サービングネットワーク認可の失敗が発生したとき、アクセスネットワークタイプAを介してUEが登録する方法の実施形態の論理フロー図を示す。アクセスネットワークタイプAが信頼されていない非3GPPアクセスである場合、UEとAMFとの間のNASメッセージは、IPsecトンネルを介してトンネリングされることに留意されたい。
Nausf_UEAuthentication_Authenticate要求メッセージを受信すると、AUSFは、受信したサービングネットワーク名を予想されるサービングネットワーク名と比較する。サービングネットワーク内の要求元のSEAFが、サービングネットワーク名の使用を認可されていない場合、AUSFは、Nausf_UEAuthentication_Authenticateレスポンスで「サービングネットワークは認可されていない」と応答する。
サービングネットワーク認可の失敗は、他のPLMN関連のエラーとは異なる。これは、UEのサブスクリプションまたはアクセス制限によるエラー、例えば、オペレータの規制によるエラーではなく、セキュリティ検証/認可のサービングネットワークエラーによるものである。現在、このようなエラー例のための原因コードはない。
PLMNエラーに関連するエラーコードの1つは、「PLMNは許可されていない」であるが、これは、サブスクリプションに起因する拒否、またはオペレータが決定した規制による拒否をUEに示すためのものである。このエラーコードは、「原因#11−PLMNは許可されていない」である。この5GMMの原因は、サブスクリプションによって、またはオペレータが決定した規制のためにUEが動作を許可されていないPLMNにおいて、UEがサービスを要求した場合に、またはネットワークが登録解除要求を開始した場合に、UEに送信される。
「PLMNは許可されていない」という理由でUEが拒否を受信した場合、UEは、5GS更新ステータスを「5U3 ローミングは許可されていない」に設定することと、登録試行カウンタをリセットすることと、そのセキュリティコンテキスト、任意の5G−GUTI、最後に訪問した登録済みTAI、TAIリスト、ngKSI、同等のPLMNのリストを削除することと、そのうえPLMN識別を「禁止されたPLMNリスト」に保存することとを行う必要がある。
ただし、サービングネットワーク認可の失敗が発生した場合、その失敗がUEサブスクリプションまたはアクセス制限に関連するエラーではないとすれば、UEは、その更新ステータスを「5U3 ローミングは許可されていない」にリセットする必要はなく、すぐに別のPLMNの選択を試みることができる。したがって、UEが様々なアクションを起こす可能性があるために、この異なる状況に対して新しい原因コードを定義することがより適切である。
例えば、サービングネットワーク認可の失敗が発生したときに、UEは、PLMNに対しての初期登録手続きを中止することと、PLMN識別を「禁止されたPLMNリスト」に格納することと、5GS更新ステータスを「5U2 更新されていない」に設定することと、PLMN選択を実施するために、状態「5GMM−登録解除.PLMN−検索」に入ることとを行ってもよい。そのため、「サービングネットワークは認可されていない」ことを示すために、新しい5GMMの拒否原因が必要とされる。
図14は、5GMM原因情報要素の実施形態の概略ブロック図を示す。5GMM原因情報要素は、UEからの5GMM要求のネットワークによる拒否の理由を示す。この情報要素には、「サービングネットワークは認可されていない」を示す新しい5GMM拒否原因が含まれている。例えば、新たな拒否は、サービングネットワーク認可の失敗をUEに伝えるための新規の原因コード#73として含まれ得る。この新規の原因コードは、サービングネットワークが認可されていないために認証プロセスを続行できない場合に使用される。
図15は、5GMM原因情報要素の原因値の実施形態の概略ブロック図を示す。原因値が更新されて、新たな「原因#73−サービングネットワークは認可されていない」が含まれる。この5GMMの原因は、UEがサービングネットワークへの登録を開始し、サービングネットワークが認可に失敗した場合にUEに送信される。
サービングネットワークの認証に失敗した後、UEは、3GPPアクセスに対して、5GMM原因「サービングネットワークは認可されていない」による登録拒否を受信する。次いでUEは、初期登録手続きを中止することと、PLMN識別を「禁止されたPLMNリスト」に格納することと、5GS更新ステータスを「5U2 更新されていない」に設定することと、PLMN選択を実施するために、状態「5GMM−登録解除.PLMN−検索」に入ることとを行う。したがって、UEは別のPLMNを選択することができる。
3. 実施形態 − サブスクリプション識別子の1つのタイプとしてNAIを使用することと、マルチファイアネットワーク及びプライベートネットワークをサポートするためのサブスクリプション識別子の将来の拡張性とをサポートする方法及びプロトコル拡張
a)様々な加入者識別タイプ/形式を加入者識別子として使用できるように、新しいフィールド「SUPI形式」が定義される
5Gシステムの各加入者には、グローバルに一意の5Gサブスクリプション永久識別子(SUPI)が割り当てられ、UDM/UDRにおいて提供される。SUPIは3GPPシステム内でのみ使用され、そのプライバシーは、2018年3月26日付けの、参照により本明細書に組み込まれる、3GPP TS 33.501、「Security architecture and procedures for 5G System」、リリース15に規定されている。次のものが有効なSUPIタイプとして識別されている。すなわちIMSI及びNAIである。
a)様々な加入者識別タイプ/形式を加入者識別子として使用できるように、新しいフィールド「SUPI形式」が定義される
5Gシステムの各加入者には、グローバルに一意の5Gサブスクリプション永久識別子(SUPI)が割り当てられ、UDM/UDRにおいて提供される。SUPIは3GPPシステム内でのみ使用され、そのプライバシーは、2018年3月26日付けの、参照により本明細書に組み込まれる、3GPP TS 33.501、「Security architecture and procedures for 5G System」、リリース15に規定されている。次のものが有効なSUPIタイプとして識別されている。すなわちIMSI及びNAIである。
SUCIは、デバイスに5G−GUTI(5Gのグローバルに一意の一時的識別)が割り当てられていない場合に、5Gシステムに関連する手続きの間に使用される部分的に暗号化されたSUPIである。SUCIは、一般に、加入者IMSIのMSIN(モバイル加入者識別番号)構成要素を暗号化することによって作成される。
UEは、ホームネットワークを管理して安全に提供された生の公開鍵を使用して、SUCIを生成する。保護スキームは、ホームネットワークの生の公開鍵を使用する。UEは、保護スキーム(例えば、いくつかのパディングスキームを適用する)によって指定される、SUPIのサブスクリプション識別子部分からスキーム入力を構築する。次に、UEは、構築されたスキーム入力を入力として保護スキームを実行し、その出力をスキーム出力として取り込む。UEは、ホームネットワーク識別子、例えば、運用地域識別コード(MCC)または電気通信事業者識別コード(MNC)を秘匿しない。次に、UEは、ホームネットワーク識別子、ホームネットワーク公開鍵の識別子、及びスキーム出力を含むSUCIを生成する。
しかしながら、IMSI形式及びNAI形式の両方をSUPIに使用できることを考慮すると、SUCIスキーマ出力では、MSINは、サブスクリプション識別子がIMSI形式の場合の表現に対応し、ユーザ名は、サブスクリプション識別子がNAI形式の場合の表現に対応する。IMSIベースのNAIの場合、NAIの加入者識別子部分も数字で構成されているため、SUCI情報要素定義内でIMSI形式、NAI形式、及び潜在的に他の加入者識別子形式のタイプを区別するために、追加のエンコード規則が必要である。
図16は、様々なSUCI構造を可能にするサブスクリプション秘匿化識別子(SUCI)用の新しい情報フィールドの実施形態の概略ブロック図を示す。新しい情報フィールドを使用して、SUPI及びSUCIのモバイル識別フォーマットは、使用されるSUPI識別タイプ/形式に基づいて調整され得る。例えば、IMSIの場合、ネットワーク識別子はMNC/MCCに基づいている。IMSIベースのNAIの場合、同様にネットワーク識別子はMNC/MCCに基づいている。非IMSIベースのNAIの場合、ネットワーク識別子は、一般的なネットワークタイプインジケータとオペレータまたは企業固有のネットワーク識別子とに基づいており、ネットワークタイプインジケータは、特別に予約された/ハードコードされたグローバルMCC/MNC値に基づき得る。マルチファイアNAI(MF−NAI)の場合、ネットワーク識別子は、特別に予約された/ハードコードされたグローバルMCC/MNC、ニュートラルホストネットワークID(NHN−ID)、及び提携サービスプロバイダID(PSP−ID)に基づいている。
図17は、サブスクリプション秘匿化識別子(SUCI)の新しい情報フィールドによってサポートされる識別タイプの実施形態の概略ブロック図を示す。新しいSUCI情報フィールドにより、加入者識別子のための様々な識別タイプが可能になる。識別タイプには、SUCI、5G−GUTI、IMEI、5G−S−TMSI、IMEISV、MACアドレス、またはデバイス識別が含まれ得る。デバイス識別には、例えば、UDI、ODIN、ブルートゥースID、シリアル番号などが含まれ得る。代替または追加の識別タイプを定義することもできる。
図18は、一般的なSUCI加入者識別形式の実施形態の概略ブロック図を示す。SUCI加入者識別構造には、ネットワークタイプインジケータ(NTI)が含まれる。ホームネットワーク識別子とルーティング識別子とは、異なるアクセスネットワークタイプによって異なる場合がある。スキーム出力フィールドは、保護スキームを使用して生成された秘匿化加入者識別子を収容している。
図19は、SUPI形式がIMSIまたはIMSIベースのNAIである場合のSUCI加入者識別形式の実施形態の概略ブロック図を示す。これは、識別のタイプが「SUCI」であり、SUPI形式が「IMSI」または「IMSIベースのNAI」である場合の5GSモバイル識別情報要素形式を示している。3GPPアクセスネットワークの場合、ホームネットワーク識別子は、PLMN ID(MCC及びMNC)を含む。運用地域識別コード(MCC)及び電気通信事業者識別コード(MNC)は、ルーティング情報の一部であり得る。
図20は、SUPI形式が非IMSIベースのNAIであり、識別のタイプが「SUCI」である場合のSUCI加入者識別形式の実施形態の概略ブロック図を示す。これは、識別のタイプが「SUCI」であり、SUPI形式が「非IMSIベースのNAI」である場合の5GSモバイル識別情報要素形式の実施例を示す。ネットワーク識別子及びルーティング情報は、ネットワーク固有のものである。ネットワークタイプインジケータ(NTI)フィールドの値は、ネットワークのタイプを示すために使用される。
図21は、SUPI形式が「非IMSIベースのNAI」であり、NTIが予約済みグローバルPLMN IDを割り当てられている場合のSUCI加入者識別形式の実施形態の概略ブロック図を示す。SUPI形式が「非IMSIベースのNAI」である場合、ネットワークタイプインジケータは、PLMN ID(MCC/MNC)の予約済みグローバル値である可能性がある。
図22は、識別のタイプが「SUCI」であり、SUPI形式が「MF−NAI」である場合のSUCI加入者識別形式の実施形態の概略ブロック図を示す。マルチファイアネットワークの場合、ネットワーク識別子及びルーティング情報は、ニュートラルホストネットワークID(NHN−ID)、提携サービスプロバイダID(PSP−ID)、及びニュートラルホストアクセスモードインジケータ(NHAMI)に基づいている。NHAMIは、NHNアクセスモードを有効にする全てのマルチファイアネットワークで同じ予約されたグローバル値である。
図23は、SUCI識別タイプの実施形態の概略ブロック図を示す。この表は、SUCI識別タイプのための追加エンコードの様々な例を示す。
図24は、例示的なユーザ機器220の実施形態の概略ブロック図を示す。ユーザ機器(UE)220は、スマートフォン、スマートタブレット、ラップトップ、スマートウォッチ、PC、テレビまたはその他のデバイスを含み得る。追加または代替の構成要素及び機能が、UE220内に含まれてもよい。さらに、本明細書に示す機能及び構成要素のうちの1つ以上は、存在しない場合があり、または他の構成要素もしくは機能と組み合わされない場合がある。
UE220は、UE220に関して本明細書で説明される機能のうちの1つ以上を実行するように構成された処理デバイス2600及びメモリデバイス2602を含む。メモリデバイス2602は、本明細書で説明される様々な機能を実行するように処理デバイス2600を制御するアプリケーション及び動作命令を格納する管理対象オブジェクト2604を含み得る。メモリデバイス2602はまた、NAS接続に対するサービングネットワーク及びアクセスタイプのマッピングテーブル2650を格納し得る。UE220はまた、IMSIの記憶のためのUSIM2608を含むUICC2606を含み得る。
UE220は、ブルートゥーストランシーバ2610、WLAN(IEEE 802.11x準拠)トランシーバ2612、モバイルRF(3G/4G/5G)トランシーバ2614、及びGPS2616をさらに含み得る。WLANトランシーバ2612は、WLANネットワークへの非3GPPアクセスインタフェースとして動作し得る。UE220は、ユーザインタフェース2618、ACアダプタ2620、バッテリモジュール2622、USBトランシーバ2624、及びイーサネットポート2628をさらに含み得る。
UE220は、デジタルカメラ2630、タッチスクリーンコントローラ2632、スピーカ2634、及びマイクロフォン2636をさらに含み得る。UE220はまた、電力管理ユニット2638を含み得る。1つ以上の内部通信バス(図示せず)が、UE220の構成要素のうちの1つ以上を通信可能に結合し得る。
図25は、例示的なAMFノードの実施形態の概略ブロック図を示す。AMFノードは、5Gコアネットワーク内の他のノードと統合され得る。追加または代替の構成要素及び機能が、AMFノード内に含まれてもよい。さらに、本明細書に示す機能及び構成要素のうちの1つ以上は、存在しない場合があり、あるいは他の構成要素または機能もしくはノードと組み合わされない場合がある。AMFノードは、本明細書で説明される機能のうちの1つ以上を実行するように構成された処理デバイス2700及びメモリデバイス2702を含む。AMFノードは、5GCネットワーク内の他のネットワークノードとインタフェースするためのポートを含むネットワークインタフェース2704を含み得る。
図26は、例示的なN3IWFの実施形態の概略ブロック図を示す。N3IWFは、ワイヤレスローカルエリアネットワークのアクセスポイント、ローカルエリアネットワークのゲートウェイなどであり得る。N3IWFは、アクセスネットワーク内の他のノードと統合されてもよい。追加または代替の構成要素及び機能が、N3IWF内に含まれてもよい。さらに、本明細書に示す機能及び構成要素のうちの1つ以上は、存在しない場合があり、または他の構成要素もしくは機能と組み合わされない場合がある。N3IWFは、本明細書で説明される機能のうちの1つ以上を実行するように構成された処理デバイス2800及びメモリデバイス2802を含む。N3IWFは、5GCネットワーク内の他のネットワークノードとインタフェースするための第1のネットワークインタフェース2804(例えば、イーサネットポート、IPポート)を含み得る。N3IWFはまた、WLANトランシーバ2806(例えば、IEEE 802.1x WLANタイプのネットワークに準拠)など、UEと通信するための1つ以上の他のインタフェースのタイプを含み得る。N3IWFはまた、セルラエアインタフェースに準拠したモバイルRFトランシーバ2808を含み得る。UE220は、WLANトランシーバ2806またはモバイルRFトランシーバ2808のうちの1つ以上を使用して、N3IWFと通信し得る。
本明細書に記載の処理デバイスは、マイクロプロセッサ、マイクロコントローラ、デジタルシグナルプロセッサ、マイクロコンピュータ、中央処理装置、フィールドプログラマブルゲートアレイ、プログラマブルロジックデバイス、ステートマシン、ロジック回路、アナログ回路、デジタル回路、及び/または回路のハードコーディング及び/または動作命令に基づいて信号(アナログ及び/またはデジタル)を操作する任意のデバイスなどの少なくとも1つの処理デバイスを含む。メモリデバイスは、非一時的メモリデバイスであり、内部メモリまたは外部メモリであり得、メモリは、単一のメモリデバイスまたは複数のメモリデバイスであり得る。メモリデバイスは、読み出し専用メモリ、ランダムアクセスメモリ、揮発性メモリ、不揮発性メモリ、静的メモリ、動的メモリ、フラッシュメモリ、キャッシュメモリ、及び/またはデジタル情報を格納する任意の非一時的メモリデバイスであり得る。用語「モジュール」は、本明細書の要素の1つ以上の実施形態の説明で使用される。モジュールは、本明細書で説明され得るように、1つ以上の機能を実行するように動作可能な1つ以上の処理デバイス及び/または1つ以上の非一時的メモリデバイスを含む。モジュールは、独立して及び/または他のモジュールと組み合わせて動作し得、他のモジュールの処理デバイス及び/またはメモリ及び/または他のモジュールの動作命令を利用し得る。本明細書でも使用されるように、モジュールは、1つ以上のサブモジュールを含み得、そのそれぞれは、1つ以上のモジュールであり得る。
本明細書で使用され得るように、「動作可能な」または「構成可能な」という用語は、要素が、記載された、または必要な対応する機能のうちの1つ以上を実行するための回路、命令、モジュール、データ、入力(複数可)、出力(複数可)などのうちの1つ以上を含むことを示し、記載された、または必要な対応する機能を実行するために、1つ以上の他のアイテムへの推論的結合をさらに含み得る。本明細書でも使用されることがあるように、用語(複数可)「結合された」、「〜に結合された」、「〜に接続された」及び/または「接続している」または「相互に接続される」は、ノード/デバイス間の直接的な接続またはリンク、及び/またはノード/デバイス間の間接的な接続を、介在するアイテム(例えば、アイテムは、構成要素、要素、回路、モジュール、ノード、デバイス、ネットワーク要素などを含むが、これらに限定されない)を介して含む。本明細書でさらに使用され得るように、推論的接続(すなわち、1つの要素が推論によって別の要素に接続されている場合)は、「接続されている」と同様に、2つのアイテム間の直接的及び間接的な接続を含む。
本開示の態様は、本明細書では、概略図、フローチャート、流れ図、構造図、またはブロック図として示されるプロセスとして説明され得ることに留意されたい。フローチャートは動作を順序プロセスとして説明する場合があるが、動作の多くは並行してまたは同時に実行することができる。さらに、動作の順序を再整理する場合がある。プロセスは、その動作が完了した時点で終了する。プロセスは、方法、関数、プロシージャ、サブルーチン、サブプログラムなどに対応し得る。プロセスが関数に対応する場合、その終了は、呼び出し元の関数、またはメイン関数への関数の戻りに対応する。
本明細書に記載された本開示の様々な特徴は、本開示から逸脱することなく、様々なシステム及びデバイスに実装することができる。本開示の上記の態様は単なる例にすぎず、本開示を限定するものとして解釈されるべきではないことに留意すべきである。本開示の態様の説明は、例示を意図するものであり、特許請求の範囲を限定するものではない。したがって、本教示は、他の装置のタイプに容易に適用することができ、多くの代替、修正、及び変形が当業者には明らかであろう。
上記の明細書では、本発明の特定の代表的な態様が、特定の例を参照して説明されている。しかしながら、特許請求の範囲に記載されている本発明の範囲から逸脱することなく、様々な修正及び変更を行い得る。本明細書及び図は、限定的ではなく例示的なものであり、修正は、本発明の範囲内に含まれることが意図されている。したがって、本発明の範囲は、単に記載された例によってではなく、特許請求の範囲及びそれらの法的同等物によって決定されるべきである。例えば、任意の装置請求項に記載された構成要素及び/または要素は、組み立てられ得、または別の方法で、様々な組み合わせで作動的に構成され得、したがって、請求項に記載された特定の構成に限定されない。
さらに、特定の実施形態に関して、特定の利益、他の利点、及び問題に対する解決策が上記で説明されているが、任意の特定の利益、利点、問題に対する解決策、あるいは任意の特定の利益、利点、または解決策を発生させる、もしくはより顕著になる可能性のある要素は、請求項のいずれかまたは全ての特許請求の範囲の重要な、必須の、または本質的な特徴もしくは構成要素として解釈されるべきではない。
本明細書で使用するとき、用語「備える(comprise)」、「備える(comprises)」、「備えている(comprising)」、「有している(having)」、「含んでいる(including)」、「含む(includes)」またはそれらの任意の変形は、要素のリストを構成するプロセス、方法、成形品、組成物または装置が、引用された要素のみを含むのではなく、明示的にリストされていない他の要素またはそのようなプロセス、方法、成形品、組成物もしくは装置に固有の要素を含むことができるように、非排他的な包含を参照することを意図している。本発明の実施において使用される上記の構造、配置、用途、割合、要素、材料、または構成要素の他の組み合わせ及び/または変更は、特に言及されていないものに加えて、同様の一般原則から逸脱することなく、特定の環境、製造仕様、設計パラメータ、または他の動作要件に変化させるか、または別の方法で特別に適合させることができる。
さらに、単数形の要素への言及は、特に明記されていない限り、「1つだけ(one and only one)」を意味するのではなく、「1つ以上(one or more)」を意味することが意図されている。特に明記されていない限り、「一部」という用語は、1つまたは複数のものを指す。当業者に知られている、または後に知られるようになる、本開示を通して記載された様々な態様の要素に対する全ての構造的及び機能的均等物は、参照により本明細書に明示的に組み込まれ、特許請求の範囲に包含されることが意図されている。さらに、本明細書に開示されているものは、そのような開示が特許請求の範囲に明示的に記載されているかどうかにかかわらず、公衆に提供されることを意図していない。いかなる特許請求の要素も、その要素が明示的に「手段」(means for)という語句を用いて記載されているか、または方法クレームの場合には、その要素が「ステップ」(step for)という語句を用いて記載されているかでない限り、米国特許法第112条(f)の定めにより、「ミーンズプラスファンクション」(means−plus−function)タイプの要素として解釈されることを意図していない。
Claims (19)
- ユーザ機器(UE)であって、
複数のアクセスネットワークタイプを介してサービングネットワークにアクセスするように構成された1つ以上のトランシーバと、
マッピングテーブルを格納するように構成されたメモリデバイスと、
処理デバイスであって、
第1のアクセスネットワークを介した前記サービングネットワークへの登録のための要求を生成することであって、前記要求が、前記第1のアクセスネットワークの第1のアクセスネットワークタイプを含む、前記生成することと、
NAS接続の確立が前記サービングネットワークによって承認されたことを示すレスポンスを受信することであって、前記レスポンスが、前記第1のアクセスネットワークタイプとNAS接続識別子とを含む、前記受信することと、
前記第1のアクセスネットワークタイプとNAS接続識別子とを含むように、前記マッピングテーブルを更新することと、
を行うように構成された前記処理デバイスと
を備える、前記ユーザ機器(UE)。 - 前記第1のアクセスネットワークタイプは、3GPPアクセス、信頼されていない非3GPPアクセス、信頼された非3GPPアクセス、信頼されていないWLANアクセス、信頼されたWLANアクセス、またはマルチファイアアクセスのうちの少なくとも1つを示す値を含む、請求項1に記載のUE。
- 前記処理デバイスは、さらに、
前記第1のアクセスネットワークタイプ、NAS接続識別子、アクセスネットワーク識別子、及びサービングネットワーク識別子を含むように、前記マッピングテーブルを更新するように構成されている、請求項2に記載のUE。 - 処理デバイスは、さらに、
第2のアクセスネットワークタイプを有する第2のアクセスネットワークを介した前記サービングネットワークへの登録のための第2の要求を生成することであって、前記第2の要求が、前記第2のアクセスネットワークの前記第2のアクセスネットワークタイプを含む、前記生成することと、
接続の確立が前記サービングネットワークによって承認されたことを示すレスポンスを受信することであって、前記レスポンスが、前記第2のアクセスネットワークタイプと第2のNAS接続識別子とを含む、前記受信することと、
前記第2のアクセスネットワークタイプと前記第2のNAS接続識別子とを含むように、前記マッピングテーブルを更新することと、
を行うように構成されている、請求項3に記載のUE。 - 前記第2のアクセスネットワークタイプは、前記第1のアクセスネットワークタイプとは異なり、前記第2のアクセスネットワークタイプは、3GPPアクセス、信頼されていない非3GPPアクセス、信頼された非3GPPアクセス、信頼されていないWLANアクセス、信頼されたWLANアクセス、またはマルチファイアアクセスのうちの第2の異なる1つを示す、請求項4に記載のUE。
- 処理デバイスは、さらに、
第3のアクセスネットワークタイプを有する第3のアクセスネットワークを介した前記サービングネットワークへの登録のための第3の要求を生成することであって、前記第3の要求が、前記第3のアクセスネットワークの前記第3のアクセスネットワークタイプを含む、前記生成することと、
接続の確立が前記サービングネットワークによって承認されたことを示すレスポンスを受信することであって、前記レスポンスが、前記第3のアクセスネットワークタイプと第3のNAS接続識別子とを含む、前記受信することと、
前記第3のアクセスネットワークタイプと前記第3のNAS接続識別子とを含むように、前記マッピングテーブルを更新することと、
を行うように構成されている、請求項5に記載のUE。 - 前記第3のアクセスネットワークタイプは、前記第1のアクセスネットワークタイプ及び前記第2のアクセスネットワークタイプとは異なり、前記第3のアクセスネットワークタイプは、3GPPアクセス、信頼されていない非3GPPアクセス、信頼された非3GPPアクセス、信頼されていないWLANアクセス、信頼されたWLANアクセス、またはマルチファイアアクセスのうちの第3の異なる1つを示す、請求項6に記載のUE。
- 前記処理デバイスは、さらに、
前記サービングネットワークに対して前記第1のアクセスネットワークを介して確立された既存のNASセキュリティコンテキストを使用するように構成されている、請求項7に記載のUE。 - 前記処理デバイスは、さらに、
前記第3のアクセスネットワークを介した接続のための認証を実行するための要求を受信することと、
前記第3のアクセスネットワークを介して前記サービングネットワークから新しいNASセキュリティコンテキストを取得することと、
前記第3のアクセスネットワークを介して前記新しいNASセキュリティコンテキストを使用して前記NAS接続を確立することと、
前記第1のアクセスネットワーク及び前記第2のアクセスネットワークのために前記新しいNASセキュリティコンテキストをアクティブ化することと、
以前のNASセキュリティコンテキストを削除することと、
を行うように構成されている、請求項7に記載のUE。 - ユーザ機器(UE)であって、
複数のアクセスネットワークタイプを介してサービングネットワークにアクセスするように構成された1つ以上のトランシーバと、
処理デバイスであって、
アクセスネットワークを介した前記サービングネットワークへの登録のための要求を生成することと、
登録拒否メッセージを受信することであって、前記登録拒否メッセージは、前記サービングネットワークが認可されていないことを示す、前記受信することと、
を行うように構成された前記処理デバイスと
を備える、前記ユーザ機器(UE)。 - 前記登録拒否メッセージは原因情報要素を含み、前記原因情報要素は「サービングネットワークは認可されていない」に対応する値を含む、請求項10に記載のUE。
- 前記処理デバイスは、さらに、
前記サービングネットワークへの登録を中止することと、
認可されていないサービングネットワークのリスト「禁止されたPLMNリスト」に、前記サービングネットワークの識別を格納することと、
を行うように構成されている、請求項10に記載のUE。 - 前記処理デバイスは、さらに、登録のために別のサービングネットワークを選択するように構成されている、請求項12に記載のUE。
- コアネットワークのノードの認証サーバ機能であって、
前記コアネットワーク内の1つ以上の他のノードと通信するように構成されたトランシーバと、
処理デバイスであって、
サービングネットワークへのアクセスを要求するUEの認証要求を受信することであって、前記認証要求が、前記サービングネットワークの識別子と加入者識別とを含む、前記受信することと、
前記サービングネットワークが認可されていないと判定することと、
認証レスポンスを生成することであって、前記認証レスポンスは、前記サービングネットワークが認可されていないことを示す、前記生成することと
を行うように構成された前記処理デバイスと、
を備える、前記認証サーバ機能。 - 前記認証レスポンスは原因情報要素を含み、前記原因情報要素は「サービングネットワークは認可されていない」に対応する値を含む、請求項14に記載のコアネットワークのノードの認証サーバ機能。
- 1つ以上のアクセスネットワークのタイプと通信するように構成されたトランシーバと、
処理デバイスであって、
複数のSUPI形式のうちの1つを決定することと、
加入者識別子のための複数の識別のタイプのうちの1つを決定することと、
保護スキームを使用して前記加入者識別子から出力されるスキームを決定することと、
SUPI形式値、識別値のタイプ、及び前記スキーム出力を含むSUCIを構築することと
によって前記SUCIを生成するように構成された前記処理デバイスと
を備える、UE。 - 前記加入者識別子のための前記複数の識別のタイプのうちの前記1つが、SUCI、5G−GUTI、IMEI、5G−S−TMSI、IMEISV、MACアドレス、またはデバイス識別のうちの1つを含む、請求項16に記載のUE。
- 前記複数のSUPI形式のうちの前記1つが、IMSI、IMSIベースのNAI、非IMSIベースのNAI、またはMF−NAIのうちの少なくとも1つを含む、請求項16に記載のUE。
- 前記処理デバイスは、さらに、複数のネットワークタイプのうちの1つを選択し、前記選択したネットワークタイプのネットワークタイプインジケータを前記SUCIの構造に含むことによって、前記SUCIを生成するように構成されている、請求項16に記載のUE。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023087590A JP2023123430A (ja) | 2018-08-09 | 2023-05-29 | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 |
| JP2024046265A JP2024095698A (ja) | 2018-08-09 | 2024-03-22 | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862716887P | 2018-08-09 | 2018-08-09 | |
| US62/716,887 | 2018-08-09 | ||
| PCT/FI2019/050573 WO2020030851A1 (en) | 2018-08-09 | 2019-08-02 | Method and apparatus for security realization of connections over heterogeneous access networks |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023087590A Division JP2023123430A (ja) | 2018-08-09 | 2023-05-29 | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021533680A true JP2021533680A (ja) | 2021-12-02 |
| JP7320598B2 JP7320598B2 (ja) | 2023-08-03 |
Family
ID=69414604
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021506706A Active JP7320598B2 (ja) | 2018-08-09 | 2019-08-02 | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 |
| JP2023087590A Pending JP2023123430A (ja) | 2018-08-09 | 2023-05-29 | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 |
| JP2024046265A Pending JP2024095698A (ja) | 2018-08-09 | 2024-03-22 | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023087590A Pending JP2023123430A (ja) | 2018-08-09 | 2023-05-29 | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 |
| JP2024046265A Pending JP2024095698A (ja) | 2018-08-09 | 2024-03-22 | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 |
Country Status (15)
| Country | Link |
|---|---|
| US (1) | US20210306849A1 (ja) |
| EP (2) | EP4408086A1 (ja) |
| JP (3) | JP7320598B2 (ja) |
| KR (3) | KR102428262B1 (ja) |
| CN (2) | CN112586047A (ja) |
| AU (3) | AU2019319095B2 (ja) |
| BR (1) | BR112021002402A2 (ja) |
| CA (2) | CA3234868A1 (ja) |
| CL (2) | CL2021000335A1 (ja) |
| CO (1) | CO2021002942A2 (ja) |
| MX (1) | MX2021001601A (ja) |
| PH (1) | PH12021550155A1 (ja) |
| SA (1) | SA521421213B1 (ja) |
| SG (1) | SG11202100720PA (ja) |
| WO (1) | WO2020030851A1 (ja) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102425582B1 (ko) * | 2018-05-11 | 2022-07-26 | 삼성전자주식회사 | 무선통신 시스템에서 정보 보호 방법 및 장치 |
| CN111436057B (zh) * | 2019-01-15 | 2022-06-28 | 华为技术有限公司 | 一种会话管理方法及装置 |
| US11785443B2 (en) * | 2019-01-21 | 2023-10-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods for providing regulation compliant privacy and related apparatuses |
| EP3935780A1 (en) * | 2019-03-04 | 2022-01-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Key derivation for non-3gpp access |
| US20210058784A1 (en) * | 2019-11-08 | 2021-02-25 | Intel Corporation | User equipment onboarding based on default manufacturer credentials unlicensed |
| US20230080836A1 (en) * | 2020-02-21 | 2023-03-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Determination of trust relationship of non-3gpp access networks in 5gc |
| EP4128882A1 (en) * | 2020-04-03 | 2023-02-08 | Lenovo (Singapore) Pte. Ltd. | Relocating an access gateway |
| WO2021197630A1 (en) * | 2020-04-03 | 2021-10-07 | Lenovo (Singapore) Pte. Ltd. | Relocating an access gateway |
| CA3180907A1 (en) * | 2020-06-03 | 2021-12-09 | Apostolis Salkintzis | Methods and apparatuses for determining an authentication type |
| WO2021259452A1 (en) * | 2020-06-22 | 2021-12-30 | Lenovo (Singapore) Pte. Ltd. | Mobile network authentication using a concealed identity |
| WO2022127792A1 (en) * | 2020-12-15 | 2022-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, entities and computer readable media for non-3gpp access authentication |
| US20240187856A1 (en) * | 2021-03-15 | 2024-06-06 | Lenovo (Singapore) Pte. Ltd. | Registration authentication based on a capability |
| US11582709B2 (en) * | 2021-03-16 | 2023-02-14 | T-Mobile Innovations Llc | Wireless communication service delivery to user equipment (UE) using an access and mobility management function (AMF) |
| WO2022215331A1 (en) * | 2021-04-08 | 2022-10-13 | Nec Corporation | Method of user equipment (ue), method of access and mobility management function (amf), method of unified data management (udm), ue, amf and udm |
| WO2022250362A1 (en) * | 2021-05-23 | 2022-12-01 | Samsung Electronics Co., Ltd. | A apparatus and method for handling deregistration procedure of user equipment for disaster roaming service in wireless network |
| CN113597022B (zh) * | 2021-07-23 | 2023-02-24 | 恒安嘉新(北京)科技股份公司 | 接口间的用户标识关联方法、装置、计算机设备和介质 |
| TWI829331B (zh) * | 2021-09-07 | 2024-01-11 | 新加坡商聯發科技(新加坡)私人有限公司 | 當ue同時支持3gpp和非3gpp接入時改進5g nas安全上下文的處理 |
| CN114301703A (zh) * | 2021-12-30 | 2022-04-08 | 中国电信股份有限公司 | 网络连接方法、网络设备和网络连接装置 |
| WO2024168472A1 (en) * | 2023-02-13 | 2024-08-22 | Zte Corporation | Wireless method and device thereof |
| EP4425832A1 (en) * | 2023-02-28 | 2024-09-04 | Nokia Technologies Oy | Verification of user equipment compliance in communication network environment |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101091430B1 (ko) * | 2005-06-14 | 2011-12-07 | 엘지전자 주식회사 | 비승인 모바일 액세스망의 이동 단말기 등록 방법 |
| US9826370B2 (en) * | 2014-10-10 | 2017-11-21 | T-Mobile Usa, Inc. | Location identifiers in mobile messaging |
| EP3267707B1 (en) * | 2015-04-03 | 2019-06-12 | Huawei Technologies Co., Ltd. | Access methods in wireless communication network |
| US9980133B2 (en) * | 2015-08-12 | 2018-05-22 | Blackberry Limited | Network access identifier including an identifier for a cellular access network node |
| EP3340690B1 (en) * | 2015-09-22 | 2019-11-13 | Huawei Technologies Co., Ltd. | Access method, device and system for user equipment (ue) |
| WO2018008944A1 (ko) * | 2016-07-04 | 2018-01-11 | 엘지전자(주) | 무선 통신 시스템에서 등록 관리 방법 및 이를 위한 장치 |
| KR20180022565A (ko) * | 2016-08-23 | 2018-03-06 | 한국전자통신연구원 | 비-ue 관련 시그널링을 지원하는 통신 방법 및 장치 |
| EP3444783A1 (en) * | 2017-08-17 | 2019-02-20 | ABB Schweiz AG | Robotic systems and methods for operating a robot |
| US20200068391A1 (en) * | 2017-05-09 | 2020-02-27 | Intel IP Corporation | Privacy protection and extensible authentication protocol authentication and autorization in cellular networks |
| CA3070876C (en) * | 2017-07-25 | 2022-07-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Subscription concealed identifier |
| CN111869251A (zh) * | 2018-01-12 | 2020-10-30 | 日本电气株式会社 | 通信终端、网络设备、通信方法和去隐藏方法 |
| WO2019137792A1 (en) * | 2018-01-12 | 2019-07-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Validation of subscription concealed identifiers in mobile networks |
| KR102371952B1 (ko) * | 2018-01-12 | 2022-03-07 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 식별자 검증 처리 |
| JP7009629B2 (ja) * | 2018-01-15 | 2022-01-25 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | ネットワーク機能インスタンス選択 |
| US10548004B2 (en) * | 2018-02-15 | 2020-01-28 | Nokia Technologies Oy | Security management in communication systems between security edge protection proxy elements |
| EP4412148A2 (en) * | 2018-05-11 | 2024-08-07 | Apple Inc. | Subscriber identity privacy protection against fake base stations |
| CN110830990B (zh) * | 2018-08-09 | 2021-04-20 | 华为技术有限公司 | 一种身份信息的处理方法、装置及存储介质 |
-
2019
- 2019-08-02 MX MX2021001601A patent/MX2021001601A/es unknown
- 2019-08-02 CN CN201980053388.2A patent/CN112586047A/zh active Pending
- 2019-08-02 WO PCT/FI2019/050573 patent/WO2020030851A1/en active Application Filing
- 2019-08-02 CA CA3234868A patent/CA3234868A1/en active Pending
- 2019-08-02 SG SG11202100720PA patent/SG11202100720PA/en unknown
- 2019-08-02 KR KR1020217004763A patent/KR102428262B1/ko active IP Right Grant
- 2019-08-02 CN CN202410507829.4A patent/CN118433706A/zh active Pending
- 2019-08-02 KR KR1020237028554A patent/KR20230128142A/ko not_active Application Discontinuation
- 2019-08-02 JP JP2021506706A patent/JP7320598B2/ja active Active
- 2019-08-02 EP EP24165791.5A patent/EP4408086A1/en active Pending
- 2019-08-02 CA CA3106505A patent/CA3106505A1/en active Pending
- 2019-08-02 US US17/266,295 patent/US20210306849A1/en active Pending
- 2019-08-02 EP EP19846960.3A patent/EP3834519A4/en active Pending
- 2019-08-02 KR KR1020217004962A patent/KR102571312B1/ko active IP Right Grant
- 2019-08-02 BR BR112021002402-6A patent/BR112021002402A2/pt unknown
- 2019-08-02 AU AU2019319095A patent/AU2019319095B2/en active Active
-
2021
- 2021-01-20 PH PH12021550155A patent/PH12021550155A1/en unknown
- 2021-02-08 CL CL2021000335A patent/CL2021000335A1/es unknown
- 2021-02-08 CL CL2021000337A patent/CL2021000337A1/es unknown
- 2021-02-09 SA SA521421213A patent/SA521421213B1/ar unknown
- 2021-03-03 CO CONC2021/0002942A patent/CO2021002942A2/es unknown
-
2022
- 2022-10-12 AU AU2022252749A patent/AU2022252749B2/en active Active
-
2023
- 2023-05-29 JP JP2023087590A patent/JP2023123430A/ja active Pending
-
2024
- 2024-01-16 AU AU2024200276A patent/AU2024200276A1/en active Pending
- 2024-03-22 JP JP2024046265A patent/JP2024095698A/ja active Pending
Non-Patent Citations (2)
| Title |
|---|
| CATT, CHINA MOBILE: "Clause 6.1.2-Clarification to authentication method selection-based on Living CR S3-181465[online]", 3GPP TSG SA WG3 #91BIS S3-181719, JPN6022014093, 14 May 2018 (2018-05-14), ISSN: 0004975991 * |
| MEDIATEK INC.: "Correction to UE actions when receiving 5GMM cause 11[online]", 3GPP TSG CT WG1 #111BIS C1-184504, JPN6022014094, 13 July 2018 (2018-07-13), ISSN: 0004975990 * |
Also Published As
| Publication number | Publication date |
|---|---|
| BR112021002402A2 (pt) | 2021-05-04 |
| JP2024095698A (ja) | 2024-07-10 |
| EP3834519A1 (en) | 2021-06-16 |
| SG11202100720PA (en) | 2021-02-25 |
| KR20210025678A (ko) | 2021-03-09 |
| CA3234868A1 (en) | 2020-02-13 |
| AU2019319095A1 (en) | 2021-02-18 |
| JP2023123430A (ja) | 2023-09-05 |
| AU2022252749A1 (en) | 2022-11-03 |
| CL2021000337A1 (es) | 2021-08-27 |
| AU2019319095B2 (en) | 2022-07-14 |
| MX2021001601A (es) | 2021-04-19 |
| JP7320598B2 (ja) | 2023-08-03 |
| SA521421213B1 (ar) | 2024-05-09 |
| KR102571312B1 (ko) | 2023-08-28 |
| PH12021550155A1 (en) | 2021-09-13 |
| WO2020030851A1 (en) | 2020-02-13 |
| EP3834519A4 (en) | 2022-12-14 |
| CO2021002942A2 (es) | 2021-04-30 |
| CN118433706A (zh) | 2024-08-02 |
| EP4408086A1 (en) | 2024-07-31 |
| CL2021000335A1 (es) | 2021-08-27 |
| KR20210024654A (ko) | 2021-03-05 |
| KR20230128142A (ko) | 2023-09-01 |
| AU2024200276A1 (en) | 2024-02-01 |
| KR102428262B1 (ko) | 2022-08-02 |
| CA3106505A1 (en) | 2020-02-13 |
| AU2022252749B2 (en) | 2023-10-19 |
| CN112586047A (zh) | 2021-03-30 |
| US20210306849A1 (en) | 2021-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7320598B2 (ja) | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 | |
| KR102542210B1 (ko) | 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링 | |
| ES2828575T3 (es) | Acceso a través de una segunda red de telecomunicaciones móviles a los servicios ofrecidos por una primera red de telecomunicaciones móviles | |
| CN110249648B (zh) | 由未经认证的用户设备执行的用于会话建立的系统和方法 | |
| RU2774977C1 (ru) | Обработка отказа в случае не разрешения доступа к 5gcn не от 3gpp |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210316 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210316 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20210329 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20210405 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220323 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220411 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220711 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220909 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221003 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230529 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20230605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230622 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230724 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7320598 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |