JP2023040195A - 通信方法、及びユーザ装置 - Google Patents

通信方法、及びユーザ装置 Download PDF

Info

Publication number
JP2023040195A
JP2023040195A JP2023002193A JP2023002193A JP2023040195A JP 2023040195 A JP2023040195 A JP 2023040195A JP 2023002193 A JP2023002193 A JP 2023002193A JP 2023002193 A JP2023002193 A JP 2023002193A JP 2023040195 A JP2023040195 A JP 2023040195A
Authority
JP
Japan
Prior art keywords
message
rrc
ran
security context
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023002193A
Other languages
English (en)
Inventor
クンダン ティワリ
Gundan Thiwari
利之 田村
Toshiyuki Tamura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JP2023040195A publication Critical patent/JP2023040195A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/25Maintenance of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/12Access restriction or access information delivery, e.g. discovery data delivery using downlink control channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】AS接続確立手順中にASレイヤにおけるユーザサブスクリプション及びロケーション関連情報のプライバシー保護のための手順を実現するモバイル通信システム、ユーザ装置、RANノード及び通信方法提供する。【解決手段】ユーザ装置(UE:User Equipment)の通信方法であって、無線リソース設定手順を開始するためのTMSI(Temporary Mobile Subscriber Identity)を有する第1のメッセージを基地局/(R)ANノード、MME、AMFに送信し、第1のメッセージにはセキュリティがなく、TMSI及び第1のセキュリティ関連パラメータを含む第2のメッセージが基地局からコアネットワーク装置に送信された後、第2のセキュリティ関連パラメータによって保護された無線リソース設定手順が実行される。【選択図】図1

Description

本開示は、モバイル通信システム、ユーザ装置、RANノード、及び通信方法に関する。
5Gシステム(5GS:5G System)は、ネットワークスライス機能(Network Slicing function)を導入する。(シングル)ネットワークスライス選択支援情報(Network Slice Selection Assistance Information)(S-NSSAI)は、ネットワークスライスを識別するための識別子として使用され、(S-)NSSAIは、ネットワークオペレータが関与するサービスレベルアグリーメント(SLA:service-level agreement)を準拠するために、ユーザ装置(UE:User Equipment)、5Gアクセスネットワーク(5G-AN)及び5Gコアネットワーク(5GC)の間で使用される。(S-)NSSAIの処理は、3GPP TS 23.501(非特許文献2)、TS 23.502(非特許文献3)及びTS 38.331(非特許文献6)において規定されている。
3GPP TR 21.905: "Vocabulary for 3GPP Specifications" 3GPP TS 23.501: "System Architecture for the 5G System; Stage 2" 3GPP TS 23.502: "Procedures for the 5G System; Stage 2" V15.2.0 (2018-06) 3GPP TS 24.501: "Non-Access-Stratum (NAS) protocol Stage 3" V15.0.0 (2018-06) 3GPP TS 38.413: "NG Application Protocol (NGAP) " V15.0.0 (2018-06) 3GPP TS 38.331": "Radio Resource Control (RRC) protocol specification" V15.3.0 (2018-09)
3GPP TS 38.331(非特許文献6)は、RRCメッセージが、(S-)NSSAIのリストをUEからNG-RANに送信(carry)できることを記述しているが、ユーザプライバシが保証できないため、3GPP SA3グループは、(S-)NSSAIをRRCレイヤにおいて平文(clear text)で送信することが受け入れることができないというセキュリティの懸念を表明している。
セキュリティの理由により、NSSAI情報が、UEから5G-ANに送信できない場合、ネットワークスライスベースの輻輳制御(congestion control)、又は要求されたNSSAIの初期AMF選択(initial AMF selection)、又は5G-ANにおけるRANベースのリソース割り当てが動作しない。
結果として、輻輳したネットワークスライスの大量のトラフィックは、AMFに到達し、AMFは、そのような大きなトラフィックに対して耐えられない可能性があるため、AMFは制御不能になり得る。
そのような障害シナリオを解消するために、5G-ANは、ネットワークスライスが輻輳している場合、AMFの前で、そのようなトラフィックを規制すべきである。要求されたNSSAIは、初期AMF選択に使用される。AS接続確立(AS connection establishment)中に、正しいAMFが選択されない場合、AMFの再割り当てが、多くの登録手順において行われる。これは、ネットワークにおけるシグナリングオーバヘッドを発生させる。要求されたNSSAIは、スライシングリソースのRANベースの割り当てをUEに適用するために使用される。要求されたNSSAIがRANにおいて利用可能ではない場合、RANは、ASシグナリング接続確立の間に、リソースのRANベースの割り当てを行うことができない。
上述した課題を鑑みて、本開示は、様々な課題のうちの少なくとも1つを解決するための解決策を提供することを目的とする。
本開示の第1の態様では、移動通信システムが提供され、前記移動通信システムは、ユーザ装置(UE:user equipment)であって、前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを取得し、前記ASセキュリティコンテキストを用いて、ネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を暗号化し、前記第1のメッセージを送信するUEと、前記ASセキュリティコンテキストを取得し、前記UEから前記第1のメッセージを受信し、前記ASセキュリティコンテキストを用いて、前記第1のメッセージ又は前記センシティブIEを復号化し、前記NSSAIを取得する無線アクセスネットワーク(RAN:radio access network)ノードと、を備える。
本開示の第2の態様では、移動通信システムが提供され、前記移動通信システムは、ユーザ装置(UE:user equipment)であって、前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを取得し、前記ASセキュリティコンテキストを用いて、ネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を暗号化するUEと、前記UEから前記第1のメッセージを受信し、前記ASセキュリティコンテキストを用いて、前記第1のメッセージ又は前記センシティブIEを復号化し、前記ASセキュリティコンテキスト、及び前記第1のメッセージの復号化された部分又は前記復号化された第1のメッセージを含む第2のメッセージを送信する第1のコアネットワークノードと、前記第1のコアネットワークノードから前記第2のメッセージを受信し、前記ASセキュリティコンテキスト及び前記NSSAIを取得する無線アクセスネットワーク(RAN:radio access network)ノードと、を備える。
本開示の第3の態様では、ユーザ装置(UE)のための通信方法が提供され、前記通信方法は、無線アクセスネットワーク(RAN:radio access network)ノードから、前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを受信すること、前記ASセキュリティコンテキストを用いて、ネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を暗号化すること、及び前記第1のメッセージを前記RANノードに送信すること、を含む。
本開示の第4の態様では、無線アクセスネットワーク(RAN)ノードのための通信方法が提供され、前記通信方法は、UEに、前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを送信すること、及び前記ASセキュリティコンテキストを用いることによって、暗号化されたネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ、又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を前記UEから受信すること、を含む。
本開示の第5の態様では、ユーザ装置(UE)が提供され、前記UEは、トランシーバ回路と、コントローラとを含み、前記コントローラは、無線アクセスネットワーク(RAN:radio access network)ノードから前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを受信し、前記ASセキュリティコンテキストを用いて、ネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ、又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を暗号化し、前記RANノードに前記第1のメッセージを送信する。
本開示の第6の態様では、無線アクセスネットワーク(RAN)ノードが提供され、前記RANノードは、トランシーバ回路と、コントローラとを含み、前記コントローラは、ユーザ装置(UE:user equipment)に、前記UEのアクセスストラタム(AS;access stratum)セキュリティコンテキストを送信し、前記UEから前記ASセキュリティコンテキストを用いることによって、暗号化されたネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ、又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を受信する。
図1は、第1の態様にかかるシグナリングフローを示す。
図2は、第2の態様にかかるシグナリングフローを示す。
図3は、第3の態様にかかるシグナリングフローを示す。
図4は、第4の態様にかかるシグナリングフローを示す。
図5は、第5の態様にかかるシグナリングフローを示す。
図6は、UEの構成例を示すブロック図である。
図7は、(R)ANの構成例を示すブロック図である。
図8は、AMFの構成例を示すブロック図である。
略語
本開示の目的のために、3GPP TR 21.905(非特許文献1)及び以下に与えられる略語が適用される。本開示で定義された略語は、3GPP TR 21.905(非特許文献1)において同じ略語が存在する場合、その定義よりも優先される。
5GC 5G Core Network
5GS 5G System
5G-AN 5G Access Network
5G-GUTI 5G Globally Unique Temporary Identifier
5G S-TMSI 5G S-Temporary Mobile Subscription Identifier
5QI 5G QoS Identifier
AF Application Function
AMF Access and Mobility Management Function
AN Access Node
AS Access Stratum
AUSF Authentication Server Function
CM Connection Management
CP Control Plane
CSFB Circuit Switched (CS) Fallback
DL Downlink
DN Data Network
DNAI DN Access Identifier
DNN Data Network Name
EDT Early Data Transmission
EPS Evolved Packet System
EPC Evolved Packet Core
FQDN Fully Qualified Domain Name
GFBR Guaranteed Flow Bit Rate
GMLC Gateway Mobile Location Centre
GPSI Generic Public Subscription Identifier
GUAMI Globally Unique AMF Identifier
HR Home Routed (roaming)
I-RNTI I-Radio Network Temporary Identifier
LADN Local Area Data Network
LBO Local Break Out (roaming)
LMF Location Management Function
LRF Location Retrieval Function
MAC Medium Access Control
MFBR Maximum Flow Bit Rate
MICO Mobile Initiated Connection Only
MME Mobility Management Entity
N3IWF Non-3GPP Inter Working Function
NAI Network Access Identifier
NAS Non-Access Stratum
NEF Network Exposure Function
NF Network Function
NG-RAN Next Generation Radio Access Network
NR New Radio
NRF Network Repository Function
NSI ID Network Slice Instance Identifier
NSSAI Network Slice Selection Assistance Information
NSSF Network Slice Selection Function
NSSP Network Slice Selection Policy
NWDAF Network Data Analytics Function
PCF Policy Control Function
PEI Permanent Equipment Identifier
PER Packet Error Rate
PFD Packet Flow Description
PLMN Public land mobile network
PPD Paging Policy Differentiation
PPI Paging Policy Indicator
PSA PDU Session Anchor
QFI QoS Flow Identifier
QoE Quality of Experience
(R)AN (Radio) Access Network
RLC Radio Link Control
RM Registration Management
RQA Reflective QoS Attribute
RQI Reflective QoS Indication
RRC Radio Resource Control
SA NR Standalone New Radio
SBA Service Based Architecture
SBI Service Based Interface
SD Slice Differentiator
SDAP Service Data Adaptation Protocol
SEAF Security Anchor Functionality
SEPP Security Edge Protection Proxy
SMF Session Management Function
S-NSSAI Single Network Slice Selection Assistance Information
SSC Session and Service Continuity
SST Slice/Service Type
SUCI Subscription Concealed Identifier
SUPI Subscription Permanent Identifier
UAC Unified Access Control
UDSF Unstructured Data Storage Function
UL Uplink
UL CL Uplink Classifier
UPF User Plane Function
UDR Unified Data Repository
URSP UE Route Selection Policy
SMS Short Message Service
SMSF SMS Function
MT Mobile Terminated
UAC Unified Access Control
ODACD Operator Defined Access Category Definitions
OS Operating System
MO Mobile Originated
MT Mobile Terminated
USIM Universal Subscriber Identity Module
UICC Universal integrated circuit card
SIB System Information Block
定義
本開示の目的のために、3GPP TR 21.905(非特許文献1)及び非特許文献2~6に与えられる用語及び定義が適用される。本開示で定義された用語は、3GPP TR 21.905(非特許文献1)において同じ用語が存在する場合、その定義よりも優先される。
第1の態様(課題ステートメントを解決するための解決策1):
第1の態様は、NG-RANにより、コアネットワークからASセキュリティパラメータをフェッチし、それをUEに送信し、センシティブ情報(sensitive information)を暗号化することを含む。
図1は、解決策1のシグナリングフローを示す。
解決策1を実行するために、UEは、解決策1の手順をサポートするNG-RAN能力(capability)を知る必要がある。これは、以下の2つの方法で実現できる。
-NG-RANは、BCCHを介して、その能力を報知(broadcast)する。
NG-RANは、解決策1に説明されるように、ASセキュリティのサポートを示す情報を報知する。
-NG-RANは、PRACHを介して、PRACH responseメッセージにおいて、その能力を示す。ステップ1が実行される前に、NG-RANは、解決策1で説明されるASセキュリティのサポートを示す情報をUEからのPRACH preambleメッセージの応答として送信する。
解決策1の詳細なステップは、以下に与えられる。
0.UEは、ネットワークへの通常のサービスのための登録手順を正常に実行する。
UE及びネットワークは、5G非アクセスストラタム(NAS:Non-Access Stratum)セキュリティコンテキストを確立する。ネットワークは、オプションで、5Gアクセスストラタム(Access Stratum)セキュリティコンテキストを確立する。
1.5GMM-IDLE状態にあるUEは、NASシグナリング接続確立手順を開始する。NASシグナリング接続手順の一部として、UEは、最初に、UE一時識別子(UE temporary identity)又は登録されたAMFを識別するAMF識別子又はRRC確立要因(RRC establishment cause)のうち、少なくとも1つを含む、暗号化されていない第1のRRCメッセージを送信することにより、ASシグナリング接続(例えば、RRC接続(RRC Connection))の確立を開始する。
UE一時識別子、又はAMF識別子、又はRRC確立要因の包含は、ASセキュリティコンテキストを取得するために、NG-RANがAMFに接続(contact)する必要があることをNG-RANにより解釈されることができる。
一例では、UE一時識別子は、5G-S-TMSIであり得る。AMF識別子は、登録されたPLMN識別子(MCC及びMNC)又はAMF識別子の少なくとも1つを含み得る。AMF識別子は、AMF Region ID、AMF Set ID及びAMF Pointerであり得る。
一例では、NG-RANが5GCに接続されたgNBである場合、第1のRRCメッセージは、RRC Setup Requestメッセージ、RRC Reestablishment Requestメッセージ又はRRC Resume Requestメッセージであり得る。
一例では、NG-RANが5GCに接続されたNG-RANである場合、第1のRRCメッセージは、RRC Connection Requestメッセージ、RRC Connection Reestablishment Requestメッセージ又はRRC Connection Resume Requestメッセージであり得る。
2.NG-RANは、第1のRRCメッセージを受信すると、AMFにUEのASセキュリティコンテキストをNG-RANに送信することを要求する、第1のNGAPメッセージを、登録されたAMF(例えば、登録されたPLMN識別子により識別されるAMF+UEから受信したAMF識別子)に送信する。
NG-RANが、登録されたAMFとしてUEのために受信されたAMFに到達可能でない場合、NG-RANは、任意のAMFを選択してもよく、第1のNGAPメッセージを送信する。
一例では、第1のNGAPメッセージは、Initial UEメッセージ又は既知のNGAPメッセージ又は新しいNGAPメッセージであり得る。
3.第1のNGAPメッセージで受信された、登録されたPLMN識別子+AMF識別子の値に応じて、AMF1は、5G ASセキュリティコンテキストをフェッチするために、UE security context requestメッセージをAMF2に送信する。UE security context requestメッセージは、メッセージ番号2で受信された5G S-TMSIを含む。AMF2は、5G S-TMSI又は登録されたAMF識別子及び登録されたPLMN識別子の内容に基づいてAMF1により選択される。このメッセージは、Namf_Communication_UEContextTransfer、又はNudsf_Unstructured Data Management_Query、又は新しいメッセージであり得る。
4.AMF2は、UE security context responseメッセージをAMF1に送信する。UE security context responseメッセージは、5G ASセキュリティコンテキストを含む。
このメッセージは、Namf_Communication_UEContextTransferへの応答、又はNudsf_Unstructured Data Management_Queryへの応答、又は新しいメッセージであり得る。
5.AMF1は、5G-S-TMSIを含むUE security context responseメッセージを受信すると、UE一時識別子(例えば、5G-S-TMSI)に対応するAMF2におけるUEセキュリティコンテキストを特定する。又は、AMF1は、メッセージ番号4を受信することにより、5G ASセキュリティコンテキストを取得する。
AMF1は、UEの5G ASセキュリティコンテキストを含む第2のNGAPメッセージをNG-RANに送信する。
一例では、第2のNGAPメッセージは、Initial Context Setupメッセージ又は既知のNGAPメッセージであり得る。
6.NG-RANは、UEの5G ASセキュリティコンテキストを記憶する(store)。
7.NG-RANは、5G ASセキュリティコンテキスト及びSRB1の無線ベアラ設定(radio bearer configuration)を第2のRRCメッセージでUEに送信する。第2のRRCメッセージは、以下の方法のいずれかで送信される:
i)第2のRRCメッセージは、暗号化されて送信される。
5G ASセキュリティコンテキストは暗号化されない。
ii)第2のRRCメッセージは、暗号化せずに送信される。
一例では、NG-RANが5GCに接続されたgNBである場合、第2のRRCメッセージは、RRC Setupメッセージ、RRC Reestablishmentメッセージ又はRRC Resumeメッセージであり得る。
一例では、NG-RANが5GCに接続されたng-eNBである場合、第2のRRCメッセージは、RRC Connection Setupメッセージ、RRC Connection Reestablishmentメッセージ又はRRC Connection Resumeメッセージであり得る。
8.UEが第2のRRCメッセージを受信した場合、UEは、5G ASセキュリティコンテキストを記憶する。
9.UEは、第3のRRCメッセージを送信する。第3のRRCメッセージ内の情報要素は、暗号化される。
UEのRRCレイヤは、解決策1の第3のRRCメッセージが、ASセキュリティが有効である(AS security enabled)ことを上位レイヤに通知してもよい。このインジケーションにより、UEの上位レイヤは、保護する必要があるパラメータを有するNASメッセージを構築してもよい。例えば、第3のRRCメッセージのNASメッセージは、SUPI、(S-)NSSAI、MSISDN又はIMEISVを有してもよい。
一例では、UEは、5G ASセキュリティを用いて、第3のRRCメッセージを暗号化する。
一例では、UEは、センシティブ情報要素(例えば、S-NSSAI及び他のIE)のみを暗号化する。
一例では、NG-RANが5GCに接続されたgNBである場合、第3のRRCメッセージは、RRC Setup Completeメッセージ、RRC Reestablishment Completeメッセージ、又はRRC Resume Completeメッセージであり得る。
一例では、NG-RANが5GCと接続されたng-eNBである場合、第3のRRCメッセージは、RRC Connection Setup Completeメッセージ、RRC Connection Reestablishment Complete メッセージ、又はRRC Connection Resume Completeメッセージであり得る。
10.NG-RANは、記憶された5G ASセキュリティコンテキストを用いて、IEを復号化する。IEが復号化された後、NG-RANは、復号化されたIE及びNG-RANの現在の状況に応じて、動作する。
RRC接続(RRC connection)が解放された場合、UE及びNG-RANは、5G ASセキュリティコンテキストを削除する。すなわち、UE及びNG-RANは、記憶されたセキュリティコンテキストを使用しない。
11.NG-RANは、第3のNGAPメッセージをAMF1に送信する。
一例では、第3のNGAPメッセージは、Initial Context Setupメッセージ又は既知のNGAPメッセージであり得る。
新しいRRC接続確立手順が開始された場合、UE及びネットワークは、ステップ1~ステップ11に従う。
一例では、UE及びNG-RANは、5G ASセキュリティコンテキストを維持する。UE及びNG-RANは、後続のRRC確立手順中に、RRCメッセージを暗号化及び復号化するために5G ASセキュリティコンテキストを使用する。
一例では、5G ASセキュリティコンテキストは、次の要素の少なくとも1つを含み得る:それらの識別子を有するASレベル(AS level with their identifiers)、ネクストホップパラメータ(NH:Next Hop parameter)、ネクストホップアクセスキー導出に使用されるネクストホップチェーンカウンタパラメータ(NCC:Next Hop Chaining Counter parameter)、選択されたASレベルの暗号化アルゴリズム(selected AS level cryptographic algorithms)の識別子、ネットワーク側のUPセキュリティポリシー(UP Security Policy)及びリプレイ保護(replay protection)に使用されるカウンタ。
一例では、5G NASセキュリティコンテキストは、関連するキーセット識別子を有するキーKAMF、UEセキュリティ能力(UE security capabilities)又はアップリンク及びダウンリンクNAS COUNT値のうち少なくとも1つを含み得る。
一例では、UEが、有効な5G-GUTIを有する場合、NASレイヤは、常にASレイヤに5G-GUTIを与える。ASレイヤは、5G-S-TMSI及び登録されたAMF識別子を導出するために5G-GUTIを使用する。
これに代えて、一例では、NG-RANは、1つ又は複数のAMF識別子を含み、NG-RANが第1のNGAPメッセージを送信すべき、又は送信し得るAMFのリストを示すAMFリストを報知し得る。この場合、UEは、報知されたAMFリストを受信し、AMFリストのうちの1つ又は複数のAMF識別子を第1のRRCメッセージに設定し、第1のRRCメッセージをNG-RANに送信してもよい。NG-RANは、第1のNGAPメッセージを、第1のRRCメッセージに含まれる1つのAMF識別子により示されたAMFに送信する。この例では、上述したステップ0は、必須でなくてもよい。言い換えると、この例では、AMF識別子は、登録されたAMFを識別しなくてもよい。
ここで、AMFリストは、Minimum SI(System Information)により報知されてもよい。Minimum SIは、MIB(Master Information Block)及びSIB1(System Information Block type1)の少なくとも1つを含む。これに代えて又はこれに加えて、AMFリストは、他のSI(例えば、SIB2、SIB3、SIB4、...SIB9)により報知されてもよい。そのため、AMFリストは、UEの要求に応じて報知されてもよい。
第2の態様(課題ステートメントを解決するための解決策2):
第2の態様は、NG-RANによりコアネットワークからASセキュリティパラメータをフェッチすること、及び暗号化されたアクセスストラタム情報要素(Access Stratum Information Element)を復号化するために、それを使用することを含む。
図2は、解決策2のシグナリングフローを示す。
解決策2を実行するために、UEは、解決策2の手順をサポートすることについてのNG-RAN能力(NG-RAN capability)を知っている必要がある。これは、以下の2つの方法により実現できる。
―NG-RANは、NG-RANの能力を、BCCHを介して報知する。NG-RANは、解決策2に説明されるASセキュリティのサポートを示す情報を報知する。
―NG-RANは、NG-RANの能力を、PRACHを介して、PRACH responseメッセージで示す。ステップ1が実行される前に、NG-RANは、UEからのPRACH preambleメッセージに対する応答として、解決策2に説明されるASセキュリティのサポートを示す情報を送信する。
解決策2の詳細なステップは、以下に与えられる。
0.UEは、ネットワークへの通常のサービスのための登録手順を正常に実行する。UE及びネットワークは、5G非アクセスストラタム(NAS:Non-Access Stratum)を確立する。ネットワークは、オプションで、5Gアクセスストラタムセキュリティコンテキストを確立する。
1.5GMM IDLE状態にあるUEは、NASシグナリング接続確立手順を開始する。NASシグナリング接続手順の一部として、UEは、UE一時識別子を含む、暗号化されていない第1のRRCメッセージを送信することにより、ASシグナリング接続の確立を開始する。
一例では、UE一時識別子は、5G-S-TMSIであり得る。
一例では、NG-RANが5GCに接続されたgNBである場合、第1のRRCメッセージは、RRC Setup Requestメッセージ、RRC Reestablishment Requestメッセージ、又はRRC Resume Requestメッセージであり得る。
一例では、NG-RANが5GCに接続されたng-eNBである場合、第1のRRCメッセージは、RRC Connection Requestメッセージ、RRC Connection Reestablishment Requestメッセージ、又はRRC Connection Resume Requestメッセージであり得る。
2.NG-RANは、SRB1の無線ベアラ設定を含む第2のRRCメッセージをUEに送信する。
一例では、NG-RANが5GCに接続されたgNBである場合、第2のRRCメッセージは、RRC Setupメッセージ、RRC Reestablishmentメッセージ、又はRRC Resumeメッセージであり得る。
一例では、NG-RANが5GCに接続されたng-eNBである場合、第2のRRCメッセージは、RRC Connection Setupメッセージ、RRC Connection Reestablishmentメッセージ、又はRRC Connection Resumeメッセージであり得る。
3.UEは、第2のRRCメッセージに応答して、第3のRRCメッセージを送信する。第3のRRCメッセージは、センシティブIE(例えば、S-NSSAI)を含まない。第3のRRCメッセージは、UE一時識別子又は登録されたAMFのAMF識別子を含む。
UE一時識別子、AMF識別子、又はRRC確立要因の包含は、ASセキュリティコンテキストを取得するために、NG-RANがAMFに接続(contact)する必要があることをNG-RANにより解釈されることができる。
一例では、UE一時識別子は、5G-S-TMSIであり得る。AMF識別子は、登録されたPLMN識別子(MCC及びMNC)又はAMF識別子の少なくとも1つを含み得る。AMF識別子は、AMF Region ID、AMF Set ID及びAMF Pointerであり得る。
一例では、NG-RANが5GCに接続されたgNBである場合、第3のRRCメッセージは、RRC Setup Completeメッセージ、RRC Reestablishment Completeメッセージ、又はRRC Resume Completeメッセージであり得る。
一例では、NG-RANが5GCに接続されたng-eNBである場合、第3のRRCメッセージは、RRC Connection Setup Completeメッセージ、RRC Connection Reestablishment Complete メッセージ、又はRRC Connection Resume Completeメッセージであり得る。
4.NG-RANは、第3のRRCメッセージを受信すると、登録されたAMFに第1のNGAPメッセージを送信し、AMFに、UEのASセキュリティコンテキストをNG-RANに送ることを要求する。
NG-RANが、登録されたAMFとしてUEのために受信されたAMFに到達可能でない場合、NG-RANは、任意のAMFを選択してもよく、第1のNGAPメッセージを送信する。
一例では、第1のNGAPメッセージは、Initial UEメッセージ又は既知のNGAPメッセージであり得る。
5.第1のNGAPメッセージで受信された5G S-TMSIの値に応じて、AMF1は、5G ASセキュリティコンテキストをフェッチするために、UE security context requestメッセージをAMF2に送信してもよい。UE security context requestメッセージは、メッセージ番号2で受信される5G S-TMSIを含む。AMF2は、5G S-TMSI又は登録されたAMF識別子及び登録されたPLMNの内容に基づいてAMF1により選択される。このメッセージは、Namf_Communication_UEContextTransfer又はNudsf_Unstructured Data Management_Queryであり得る。
6.AMF2は、UE security context responseメッセージをAMF1に送信する。UE security context responseメッセージは、5G ASセキュリティコンテキストを含む。
このメッセージは、Namf_Communication_UEContextTransferへの応答、又はNudsf_Unstructured Data Management_Queryへの応答であり得る。
7.AMF1は、5G-S-TMSIを含むUE security context responseメッセージを受信すると、UE一時識別子(例えば、5G-S-TMSI)に対応するAMF2におけるUEセキュリティコンテキストを特定する。又は、AMF1は、メッセージ番号6を受信することにより5G ASセキュリティコンテキストを取得する。
AMF1は、UEの5G ASセキュリティコンテキストを含む第2のNGAPメッセージをNG-RANに送信する。
一例では、第2のNGAPメッセージは、Initial Context Setupメッセージ又は既知のNGAPメッセージであり得る。
8.NG-RANは、UEの5G ASセキュリティコンテキストを記憶する。
9.NG-RANは、5G ASセキュリティコンテキストを含む第4のRRCメッセージをUEに送信する。
10.UEは、5G ASセキュリティコンテキストを記憶する。
UEのRRCレイヤは、解決策2の第3のRRCメッセージが、ASセキュリティが有効である(AS security enabled)ことを上位レイヤに通知してもよい。このインジケーションにより、UEの上位レイヤは、保護する必要があるパラメータを有するNASメッセージを構築してもよい。例えば、第3のRRCメッセージのNASメッセージは、SUPI、(S-)NSSAI、MSISDN又はIMEISVを有してもよい。
11.UEは、第3のRRCメッセージをNG-RANに送信する。UEは、以下のステップのいずれかを実行する:
i)第5のRRCメッセージを暗号化し、それをNG-RANに送信する。
ii)センシティブIE(例えば、S-NSSAI)のみを暗号化し、暗号化されたセンシティブIEを第5のRRCメッセージで送信する。
12.第5のRRCメッセージを受信するとNG-RANは、以下のステップのいずれかを実行する:
i)RRCメッセージが暗号化されている場合、第5のRRCメッセージを復号化し、センシティブIEを取得する。
ii)センシティブIEが暗号化されている場合、暗号化されたIEを復号化する。
13.NG-RANは、第3のNGAPメッセージをAMF1に送信する。
一例では、第3のNGAPメッセージは、Initial Context Setupメッセージ又は既知のNGAPメッセージであり得る。
UEが5GMM-IDLE状態になる場合、つまり、RRC接続が解放された場合、UE及びNG-RANは、5G ASセキュリティを削除する。
新しいRRC接続確立手順が開始された場合、UE及びネットワークは、ステップ1~13に従う。
一例では、UE及びNG-RANは、5G ASセキュリティコンテキストを維持する。UE及びNG-RANは、後続のRRC確立手順中にRRCメッセージを暗号化及び復号化するために、5G ASセキュリティコンテキストを使用する。
第4のRRCメッセージは、SECURITY MODE COMMANDメッセージ、又は既存のRRCメッセージ、又は新しいRRCメッセージである。第5のRRCメッセージは、SECURITY MODE COMPLETEメッセージ、又は既存のRRCメッセージ、又は新しいRRCメッセージである。
一例では、5G ASセキュリティコンテキストは、次の要素の少なくとも1つを含み得る:それらの識別子を有するASレベル(AS level with their identifiers)、ネクストホップパラメータ(NH:Next Hop parameter)、ネクストホップアクセスキー導出に使用されるネクストホップチェーンカウンタパラメータ(NCC:Next Hop Chaining Counter parameter)、選択されたASレベルの暗号化アルゴリズム(selected AS level cryptographic algorithms)の識別子、ネットワーク側のUPセキュリティポリシー(UP Security Policy)及びリプレイ保護(replay protection)に使用されるカウンタ。
一例では、5G NASセキュリティコンテキストは、関連するキーセット識別子を有するキーKAMF、UEセキュリティ能力(UE security capabilities)又はアップリンク及びダウンリンクNAS COUNT値のうち少なくとも1つを含み得る。
一例では、UEが、有効な5G-GUTIを有する場合、NASレイヤは、常にASレイヤに5G-GUTIを与える。ASレイヤは、5G-S-TMSI及び登録されたAMF識別子を導出するために5G-GUTIを使用する。
これに代えて、一例では、NG-RANは、1つ又は複数のAMF識別子を含み、NG-RANが第1のNGAPメッセージを送信すべき、又は送信し得るAMFのリストを示すAMFリストを、専用のシグナリングにより、報知又は送信してもよい。この場合、UEは、AMFリストを受信し、AMFリストのうちの1つ又は複数のAMF識別子を第3のRRCメッセージに設定し、第3のRRCメッセージをNG-RANに送信してもよい。NG-RANは、第1のNGAPメッセージを、第3のRRCメッセージに含まれる1つのAMF識別子により示されたAMFに送信する。この例では、上述したステップ0は、必須でなくてもよい。言い換えると、この例では、AMF識別子は、登録されたAMFを識別しなくてもよい。
ここで、AMFリストは、Minimum SI(System Information)により報知されてもよい。Minimum SIは、MIB(Master Information Block)及びSIB1(System Information Block type1)の少なくとも1つを含む。これに代えて又はこれに加えて、AMFリストは、他のSI(例えば、SIB2、SIB3、SIB4、...SIB9)により報知されてもよい。そのため、AMFリストは、UEの要求に応じて報知されてもよい。
第3の態様(課題ステートメントを解決するための解決策3):
第3の態様では、コアネットワークは、ASセキュリティコンテキストをUEに提供し、NG-RANは、RRC接続確立手順中に、コアネットワークからセキュリティコンテキストをフェッチする。
図3は、解決策3のシグナリングフローを示す。
解決策3を実行するために、UEは、解決策3の手順をサポートすることについてのNG-RAN能力(NG-RAN capability)を知っている必要がある。これは、以下の2つの方法により実現できる。
―NG-RANは、NG-RANの能力を、BCCHを介して報知する。NG-RANは、解決策3に説明されるASセキュリティのサポートを示す情報を報知する。
―NG-RANは、NG-RANの能力を、PRACHを介して、PRACH responseメッセージで示す。ステップ2が実行される前に、NG-RANは、UEからのPRACH preambleメッセージに対する応答として、解決策3に説明されるASセキュリティのサポートを示す情報を送信する。
解決策3の詳細なステップは、以下に与えられる。
0.UEは、ネットワークへの通常のサービスのための登録手順を正常に実行する。UE及びネットワークは、5G非アクセスストラタム(NAS:Non-Access Stratum)セキュリティコンテキスト及び5Gアクセスストラタムセキュリティコンテキストを確立する。UE及びネットワークは、5G非アクセスストラタム(NAS:Non-Access Stratum)を確立する。ネットワークは、登録手順中に、ASセキュリティコンテキストをUEに提供する。
5G ASセキュリティコンテキストは、以下のNASメッセージのいずれかでUEに提供される:
i)registration acceptメッセージにおいて;
ii)Security Mode Commandメッセージにおいて;
iii)既存のNASメッセージにおいて;又は
iv)新しいNASメッセージにおいて。
1.UEは、5G ASセキュリティコンテキストを記憶する。
2.5GMM IDLE状態にあるUEは、NASシグナリング接続確立手順を開始する。UEは、UE一時識別子又は登録されたAMFのAMF識別子を含む、暗号化されていない第1のRRCメッセージを送信することにより、ASシグナリング接続の確立を開始する。
UE一時識別子、AMF識別子、又はRRC確立要因の包含は、ASセキュリティコンテキストを取得するために、NG-RANがAMFに接続(contact)する必要があることをNG-RANにより解釈されることができる。
一例では、UE一時識別子は、5G-S-TMSIで構成される。
3.NG-RANは、第1のRRCメッセージを受信すると、UE一時識別子5G-S-TMSIを含む第1のNGAPメッセージをUEの登録されたAMFに送信し、AMFにUEのASセキュリティコンテキストをNG-RANに送信することを要求する。AMFは、第1のRRCメッセージで受信されたAMF識別子を用いて、UEの登録されたAMFを特定する。
NG-RANが、登録されたAMFとしてUEのために受信されたAMFに到達可能でない場合、NG-RANは、任意のAMF(例えば、デフォルトAMF)を選択してもよく、第1のNGAPメッセージを送信する。
一例では、第1のNGAPメッセージは、Initial UEメッセージ又は既知のNGAPメッセージ又は新しいNGAPメッセージであり得る。
4.第1のNGAPメッセージ内の、受信された5G S-TMSI、又は登録されたAMF識別子及び登録されたPLMNの値に応じて、AMF1は、5G ASセキュリティコンテキストをフェッチするために、UE security context requestメッセージをAMF2に送信してもよい。UE security context requestメッセージは、メッセージ番号3で受信された5G S-TMSIを含む。AMF2は、5G S-TMSI又は登録されたPLMN及び登録されたAMF識別子の内容に基づいて、AMF1を選択する。このメッセージは、Namf_Communication_UEContextTransfer又はNudsf_Unstructured Data Management_Query又は新しいメッセージであり得る。
5.AMF2は、UE security context responseメッセージをAMF1に送信する。UE security context responseメッセージは、5G ASセキュリティコンテキストを含む。
このメッセージは、Namf_Communication_UEContextTransferへの応答、Nudsf_Unstructured Data Management_Queryへの応答、又は新しいメッセージであり得る。
6.AMF1は、5G-S-TMSIを含むUE security context responseメッセージを受信すると、UE一時識別子(例えば、5G-S-TMSI)に対応するAMF2におけるUEセキュリティコンテキストを特定する。又はAMF1は、メッセージ番号5を受信することにより5G ASセキュリティコンテキストを取得する。
AMF1は、UEの5G ASセキュリティコンテキストを含む第2のNGAPメッセージをNG-RANに送信する。
一例では、第2のNGAPメッセージは、Initial Context Setupメッセージ又は既知のNGAPメッセージであり得る。
7.NG-RANは、UEの5G ASセキュリティコンテキストを記憶する。
8.NG-RANは、SIB1の無線ベアラ設定を含む第2のRRCメッセージを送信する。
9.第2のRRCメッセージを受信すると、UEは、以下のステップのいずれかを実行する:
i)ステップ1において、記憶された5G ASセキュリティコンテキストを用いて、センシティブIE(S-NSSAI)又は非センシティブIE(non-sensitive IE)を含む第3のRRCメッセージを暗号化する。
ii)ステップ1において、記憶された5G ASセキュリティコンテキストを用いて、センシティブIE(例えば、S-NSSAI)のみを暗号化する。
10.UEは、第3のRRCメッセージをNG-RANに送信する。第3のRRCメッセージ内の情報要素は、ステップ9において説明されたように暗号化されている。
11.第3のRRCメッセージを受信すると、NG-RANは、以下のステップのいずれかを実行する:
i)第3のRRCメッセージが暗号化されていた場合、第3のRRCメッセージを復号化し、センシティブIEを取得する。
ii)センシティブIEのみが暗号化されている場合、第3のRRCメッセージの暗号化されたIEを復号化する。
12.NG-RANは、第3のNGAPメッセージをAMF1に送信する。
一例では、第3のNGAPメッセージは、Initial Context Setupメッセージ又は既知のNGAPメッセージ又は新しいNGAPメッセージであり得る。
UEが5GMM IDLEモードになると、つまり、RRC接続が解放される場合、NG-RANは、5G ASセキュリティを削除し、5G ASセキュリティコンテキストを保持する。
UE及びネットワークは、新しいRRC接続確立手順が開始される場合、ステップ2~12に従う。
一例では、UE及びNG-RANは、5G ASセキュリティコンテキストを維持する。UE及びNG-RANは、後続のRRC確立手順中に、RRCメッセージを暗号化及び復号化するために、5G ASセキュリティコンテキストを使用する。
NG-RANが5GCに接続されたng-eNBである場合、第1のRRCメッセージは、RRC Connection Requestメッセージであり、第2のRRCメッセージは、RRC Connection setupメッセージであり、第3のRRCメッセージは、RRC Connection setup completeメッセージである。
一例では、5G ASセキュリティコンテキストは、次の要素の少なくとも1つにより構成される:それらの識別子を有するASレベル(AS level with their identifiers)、ネクストホップパラメータ(NH:Next Hop parameter)、ネクストホップアクセスキー導出に使用されるネクストホップチェーンカウンタパラメータ(NCC:Next Hop Chaining Counter parameter)、選択されたASレベルの暗号化アルゴリズム(selected AS level cryptographic algorithms)の識別子、ネットワーク側のUPセキュリティポリシー(UP Security Policy)及びリプレイ保護(replay protection)に使用されるカウンタ。
一例では、5G NASセキュリティコンテキストは、関連するキーセット識別子を有するキーKAMF、UEセキュリティ能力(UE security capabilities)又はアップリンク及びダウンリンクNAS COUNT値のうち少なくとも1つにより構成される。
一例では、UEが、有効な5G-GUTIを有する場合、NASレイヤは、常にASレイヤに5G-GUTIを与える。ASレイヤは、5G-S-TMSI及び登録されたAMF識別子を導出するために5G-GUTIを使用する。
第4の態様(課題ステートメントを解決するための解決策4):
第4の態様では、5GCは、ASセキュリティコンテキストをUEに提供し、NG-RANは、暗号化されたRRC IE又はRRCメッセージを復号化するために、暗号化されたRRC IE又はRRCメッセージをAMFに送信する。
図4は、解決策4のシグナリングフローを示す。
解決策4を実行するために、UEは、解決策4の手順をサポートすることについてのNG-RAN能力(NG-RAN capability)を知っている必要がある。これは、以下の2つの方法により実現できる。
―NG-RANは、NG-RANの能力を、BCCHを介して報知する。NG-RANは、解決策4に説明されるASセキュリティのサポートを示す情報を報知する。
―NG-RANは、NG-RANの能力を、PRACHを介して、PRACH responseメッセージで示す。ステップ2が実行される前に、NG-RANは、UEからのPRACH preambleメッセージに対する応答として、解決策4に説明されるASセキュリティのサポートを示す情報を送信する。
―NG-RANは、NG-RANの能力をステップ3で示す。
解決策4の詳細なステップは、以下に示される。
0.UEは、ネットワークへの通常のサービスのための登録手順を正常に実行する。UE及びネットワークは、登録手順中に、5G非アクセスストラタム(NAS:Non-Access Stratum)セキュリティコンテキストを確立する。ネットワークは、登録手順中に、ASセキュリティコンテキストをUEに提供する。
5G ASセキュリティコンテキストは、以下のNASメッセージのいずれかにおいてUEに提供される:
i)registration acceptメッセージにおいて;
ii)Security Mode Commandメッセージにおいて;
iii)既存のNASメッセージにおいて;又は
iv)新しいNASメッセージにおいて。
1.UEは、5G ASセキュリティコンテキストを記憶する。
2.5GMM-IDLE状態にあるUEは、NASシグナリング接続確立手順を開始する。NASシグナリング接続手順の一部として、UEは、UE一時識別子を含む、暗号化されていない第1のRRCメッセージを送信することにより、ASシグナリング接続の確立を開始する。
一例では、UE一時識別子は、5G-S-TMSIで構成される。
3.第1のRRCメッセージを受信すると、NG-RANは、SIB1の無線ベアラ設定を含む第2のRRCメッセージを送信する。
4.第2のRRCメッセージを受信すると、UEは、以下のステップのいずれかを実行する:
i)5G ASセキュリティコンテキストを用いて、センシティブIE(例えば、(S-NSSAI)又は他のIE)を含む第3のRRCメッセージを暗号化する。
ii)5G ASセキュリティコンテキストを用いて、センシティブIE(例えば、S-NSSAI)のみを暗号化する。
一例では、NG-RANはまた、第2のNGAPメッセージにおいて5G-S-TMSIを含む。
5.UEは、暗号化されたセンシティブIE(例えば、S-NSSAI)、NAS PDU及び非センシティブIE(non-sensitive IE)の少なくとも1つを含む第3のRRCメッセージをネットワークに送信する。
6.第3のRRCメッセージを受信すると、NG-RANは、以下のステップのいずれかを実行する:
i)5G-S-TMSI及びステップ5で受信された第3のメッセージを含む第1のNGAPメッセージをAMF1に送信する。
ii)5G-S-TMSI及び第3のRRCメッセージで受信された、暗号化されたIEを含む第1のNGAPメッセージをAMF1に送信する。
7.第1のNGAPメッセージ内の受信された5G-S-TMSIの値に応じて、AMF1は、5G ASセキュリティコンテキストをフェッチするために、UE security context requestメッセージをAMF2に送信する。UE security context requestメッセージは、メッセージ番号2で受信された5G S-TMSIを含む。AMF2は、5G S-TMSI又は登録されたAMF識別子及び登録されたPLMNの内容に基づいて、AMF1により選択される。このメッセージは、Namf_Communication_UEContextTransfer又はNudsf_Unstructured Data Management_Query又は新しいメッセージであり得る。
8.AMF2は、UE security context responseメッセージをAMF1に送信する。UE security context responseメッセージは、5G ASセキュリティコンテキストを含む。
このメッセージは、Namf_Communication_UEContextTransferへの応答、又はNudsf_Unstructured Data Management_Queryへの応答、又は新しいメッセージであり得る。
9.AMF1は、5G-S-TMSIを含むUE security context responseメッセージを受信すると、UE一時識別子(例えば、5G-S-TMSI)に対応するAMF2におけるUEセキュリティコンテキストを特定する。又は、AMF1は、メッセージ番号8を受信することにより、5G ASセキュリティコンテキストを取得する。
AMF1は、以下のステップのいずれかを実施する:
i)第1のNGAPメッセージの暗号化された部分を復号化する。
ii)第3のRRCメッセージを復号化する。
10.AMF1は、第1のNGAPメッセージの復号化された部分、又は復号化された第3のRRCメッセージを有する第2のNGAPメッセージをNG-RANに送信する。
一例では、第2のNGAPメッセージは、Initial Context Setupメッセージ又は既知のNGAPメッセージ又は新しいNGAPメッセージであり得る。
11.NG-RANは、UEの5G ASセキュリティコンテキストを記憶する。NG-RANは、復号化されたIEを使用してNG-RAN手順、例えば、3GPP仕様で規定されているように、ネットワークスライスの過負荷制御を実行する。
UEが5GMM IDLEモードになると、つまりRRC接続が解放されると、NG-RANは、5G ASセキュリティを削除し、UEは、5G ASセキュリティコンテキストを保持する。
新しいRRC接続確立手順が開始される場合、UE及びネットワークは、ステップ2~11に従う。
NG-RANが5GCに接続されたng-eNBである場合、第1のRRCメッセージは、RRC Connection Requestメッセージ又はRRC Connection Reestablishment Requestメッセージ又はRRC Resume Requestメッセージであり、第2のRRCメッセージは、RRC Connection setupメッセージ又はRRC Connection Reestablishmentであり、第3のRRCメッセージは、RRC Connection setup completeメッセージ又はRRC Connection Reestablishment completeメッセージである。
NG-RANが5GCに接続されたgNBである場合、第1のRRCメッセージは、RRC SETUP REQUEST又はRRC Reestabishment Requestであり、第2のRRCメッセージは、RRC SETUP又はRRC Reestablishmentメッセージであり、第3のRRCメッセージは、RRC SETUP COMPLETEメッセージ又はRRC reestablishment completeメッセージである。
一例では、5G ASセキュリティコンテキストは、次の要素の少なくとも1つで構成される:それらの識別子を有するASレベル(AS level with their identifiers)、ネクストホップパラメータ(NH:Next Hop parameter)、ネクストホップアクセスキー導出に使用されるネクストホップチェーンカウンタパラメータ(NCC:Next Hop Chaining Counter parameter)、選択されたASレベルの暗号化アルゴリズム(selected AS level cryptographic algorithms)の識別子、ネットワーク側のUPセキュリティポリシー(UP Security Policy)及びリプレイ保護(replay protection)に使用されるカウンタ。
一例では、5G NASセキュリティコンテキストは、関連するキーセット識別子を有するキーKAMF、UEセキュリティ能力(UE security capabilities)又はアップリンク及びダウンリンクNAS COUNT値のうち少なくとも1つで構成される。
一例では、UEが有効な5G-GUTIを有している場合、NASレイヤは、常に、ASレイヤに5G-GUTIを与える。ASレイヤは、5G-S-TMSI及び登録されたAMF識別子を導出するために、5G-GUTIを使用する。
第5の態様(課題ステートメントを解決するための解決策5):
第5の態様では、コアネットワークは、登録手順中に、ASセキュリティコンテキストをUE及びNG-RANに提供する。
図5は、解決策5のシグナリングフローを示す。
解決策5の詳細なステップは、以下に与えられる。
0.UEは、ネットワークへの通常のサービスのための登録手順を正常に実行する。UE及びネットワークは、5G非アクセスストラタム(NAS:Non-Access Stratum)セキュリティコンテキストを確立する。ネットワークは、登録手順中に、ASセキュリティコンテキストをUE及びNG-RANに提供する。
5G ASセキュリティコンテキストは、以下のNASメッセージのいずれかにおいてUEに提供される:
i)registration acceptメッセージにおいて;
ii)Security Mode Commandメッセージにおいて;
iii)既存のNASメッセージにおいて;又は
iv)新しいNASメッセージにおいて。
5G-ASセキュリティコンテキストは、以下のNASメッセージのいずれかにおいてNG-RANに提供される:
i)既存のNGAPメッセージ;又は
ii)新しいNGAPメッセージ。
1a.UEは、5G ASセキュリティコンテキストを記憶する。
1b.NG-RANは、5G ASセキュリティコンテキストを記憶する。
2.5GMM IDLE状態にあるUEは、NASシグナリング接続確立手順を開始する。NASシグナリング接続手順の一部として、UEは、UE一時識別子を含む、暗号化されていない第1のRRCメッセージを送信することにより、ASシグナリング接続の確立を開始する。
一例では、UE一時識別子は、5G-S-TMSIで構成される。
3.第1のRRCメッセージを受信すると、NG-RANは、SIB1の無線ベアラ設定を含む第2のRRCメッセージを送信する。
4.第2のRRCメッセージを受信すると、UEは、以下のステップのいずれかを実行する:
i)ステップ1aにおいて記憶された5G ASセキュリティコンテキストを用いて、IE(S-NSSAI又は他のIE)を含む第3のRRCメッセージを暗号化する。
ii)ステップ1aにおいて記憶された5G ASセキュリティキーを用いて、センシティブIE(例えば、S-NSSAI)のみを暗号化する。
5.UEは、第3のRRCメッセージをNG-RANに送信する。
6.第3のRRCメッセージを受信すると、NG-RANは、以下のステップのいずれかを実行する:
i)RRCメッセージが暗号化されている場合、ステップ1bにおいて記憶された5G ASセキュリティコンテキストを用いて、第3のRRCメッセージを復号化する。
ii)ステップ1bにおいて記憶された5G ASセキュリティコンテキトを用いて、第3のRRCメッセージ内の、暗号化されたIEを復号化する。
NG-RANは、復号化されたIEを使用してNG-RAN手順、例えば、3GPP仕様で規定されているように、ネットワークスライスの過負荷制御を実行する。
RRC接続が解放される場合、UE及びNG-RANは、UE 5G ASセキュリティコンテキストを維持する。
NG-RANが5GCに接続されたng-eNBである場合、第1のRRCメッセージは、RRC Connection RequestメッセージRRC Reestablishment Request又はRRC Resumeメッセージであり、第2のRRCメッセージは、RRC Connection setupメッセージ又はRRC Reestablishment又はRRC Resumeメッセージであり、第3のRRCメッセージは、RRC Connection setup complete又はRRC Reestablishment Complete又はRRC Resume Completeメッセージである。
NG-RANが5GCに接続されたgNBである場合、第1のRRCメッセージは、RRC SETUP REQUESTメッセージ又はRRC Reestablishment Requestメッセージ又はRRC Resume Requestメッセージであり、第2のRRCメッセージは、RRC SETUPメッセージ又はRRC Reestablishment又はRRC Resumeメッセージであり、第3のRRCメッセージは、RRC SETUP COMPLETEメッセージ又はRRC Resume Completeメッセージ又は RRC Reestablishment Completeメッセージである。
一例では、5G ASセキュリティコンテキストは、次の要素の少なくとも1つで構成される:それらの識別子を有するASレベル(AS level with their identifiers)、ネクストホップパラメータ(NH:Next Hop parameter)、ネクストホップアクセスキー導出に使用されるネクストホップチェーンカウンタパラメータ(NCC:Next Hop Chaining Counter parameter)、選択されたASレベルの暗号化アルゴリズム(selected AS level cryptographic algorithms)の識別子、ネットワーク側のUPセキュリティポリシー(UP Security Policy)及びリプレイ保護(replay protection)に使用されるカウンタ。
一例では、5G NASセキュリティコンテキストは、関連するキーセット識別子を有するキーKAMF、UEセキュリティ能力(UE security capabilities)又はアップリンク及びダウンリンクNAS COUNT値のうち少なくとも1つで構成される。
一例では、UEが有効な5G-GUTIを有している場合、NASレイヤは、常に、ASレイヤに5G-GUTIを与える。ASレイヤは、5G-TMSI及び登録されたAMF識別子を導出するために5G-GUTIを使用する。
第6の態様(課題ステートメントを解決するための解決策6):
1)解決策1~5の場合、UEが在圏している(camped)現在のセルが、最後の登録エリアとは別の登録エリアに属している場合、NG-RANは、5G-GUTI(5G-S-TMSI及びAMF識別子)を、デフォルトAMF、又は現在のセルをサービングする任意のAMF(例えば、デフォルトAMF)に送信し、デフォルトAMF又は任意のAMFに、登録されたAMFから5G ASセキュリティコンテキストをフェッチするように要求する。5G ASセキュリティコンテキストに加えて、NG-RANはまた、UEの追加のコンテキスト(例えば、アクセス及びモビリティ関連パラメータ、NASセキュリティパラメータ、ESMパラメータ)をフェッチするように要求してもよい。
2)デフォルトAMFは、5G-GUTIに基づいて、登録されたAMFを特定し、5G-GUTIを含むメッセージを、登録されたAMFに送信し、AMFにUE 5G ASセキュリティコンテキスト、及びオプションで、ステップ1)において言及した他のパラメータを送信することを要求する。
3)登録されたAMFは、5G-GUTIを用いて、UEコンテキストを特定し、5G ASセキュリティコンテキスト、及びオプションで、メッセージにおける他のUEパラメータを、デフォルトAMFに送信する。
4)デフォルトAMFは、UE 5G ASセキュリティコンテキストを取得した後、解決策1~5に定義されている手順にしたがって、これをUE又はNG-RANに送信する。
解決策1~5において、一例では、UEは、(例えば、UEが5G NASセキュリティコンテキストのみを有している場合)5G NASセキュリティコンテキストを使用し、センシティブIEを含むRRCメッセージ(例えば、全ての解決策1~5における第3のRRCメッセージ)又はRRCメッセージ(例えば、全ての解決策1~5における第3のRRCメッセージ)内のセンシティブIE自体を暗号化してもよい。
解決策1~5において、5G ASセキュリティコンテキストは、少なくとも、ホームネットワークパブリックキー(home network public key)、ホームネットワークパブリックキー識別子(Home Network Public Key Identifier)、及びプロテクションスキーム識別子(Protection Scheme Identifier)、つまり、SUPIからSUCIを算出するために使用されるパラメータで構成される。
登録されたAMF識別子は、UEが登録手順を正常に実行した最新のAMFのAMF識別子である。
登録されたPLMNは、UEが登録手順を正常に実行した最新のPLMNである。
一例では、解決策1~5は、セキュリティ保護なしで(例えば、完全性又は暗号化なしで)、UEがセンシティブ情報(例えば、S-NSSAI)を送信することを禁止するオペレータポリシーを無効にする。つまり、オペレータポリシーで、RRC接続確立中にセンシティブ情報を送信しない、又はセキュリティ保護なしでセンシティブ情報を送信しないように指定されており、UE及びネットワークが解決策1~5をサポートしている場合、UE及びネットワークは、解決策1~5に従い、ネットワークに送信されるオペレータポリシーを無視する。
一例では、ネットワーク及びUEが解決策1~6のいずれか1つをサポートしている場合、ネットワークは、RRC接続確立手順中に、NG-RANに、センシティブIEを送信しないようにUEに要求するオペレータポリシーを送信しない。
上記の全ての解決策1~6では、UEはオプションで、NAS手順中に(例えば、登録手順中に)又はRRC手順中に(例えば、RRC接続確立手順中に)、5G ASセキュリティコンテキストを用いたASレベルのセキュリティ保護をサポートするために、その能力、又は5G NASセキュリティコンテキストをNG-RAN及び2つのAMFに送信する。一例では、UEは、以下の能力をNG-RAN又はAMFに別々に送信する:
i)UEは、5G ASセキュリティコンテキストを用いて、RRC接続確立中に、センシティブ情報に対するセキュリティ保護をサポートする。
ii)UEは、5G NASセキュリティコンテキストを用いて、RRC接続確立中に、センシティブ情報に対するセキュリティ保護をサポートする。
iii)UEは、少なくとも、ホームネットワークパブリックキー、ホームネットワークパブリックキー識別子及びプロテクションスキーム識別子を用いて、RRC接続確立中に、センシティブ情報に対するセキュリティ保護をサポートする。
一例では、全ての解決策1~5は、暗号化(encryption)は、暗号化(ciphering)を意味する。
全ての解決策1~5において、センシティブ情報要素は、不当な開示から保護される、ユーザ情報又はUE能力を意味する。センシティブ情報へのアクセスは保護されるべきである。センシティブ情報の保護は、法的又は倫理的な理由、個人のプライバシーに関連する課題、又は所有権上の考慮事項のために必要になる場合がある。この例は、ユーザの永続的な識別子(user permanent identity)(例えば、SUPI)又はユーザがアクセスしているサービス(例えば、S-NSSAI)に関連する情報である。
他の態様
本開示における、ユーザ装置(又は「UE」、「移動局」、「モバイルデバイス」又は「ワイヤレスデバイス」)は、無線インタフェースを介してネットワークに接続されるエンティティである。
なお、本明細書におけるUEは、専用の通信デバイスに限定されるものではなく、以下の段落で説明するように、本明細書で説明するUEとしての通信機能を有する任意のデバイスに適用できることに留意されたい。
(3GPPにより使用されている用語としての)用語「ユーザ装置」又は「UE」、「移動局」、「モバイルデバイス」、及び「ワイヤレスデバイス」は、一般的に互いに同義であることを意図しており、ターミナル、携帯電話、スマートフォン、タブレット、セルラIoT端末、IoTデバイス、機械等のスタンドアローン移動局を含んでもよい。
用語「UE」及び「ワイヤレスデバイス」はまた、長期間静止したままのデバイスを包含することが理解される。
UEは、例えば、生産設備・製造設備および/またはエネルギー関連機械のアイテム(一例として、ボイラー、機関、タービン、ソーラーパネル、風力発電機、水力発電機、火力発電機、原子力発電機、蓄電池、原子力システム、原子力関連機器、重電機器、真空ポンプなどを含むポンプ、圧縮機、ファン、送風機、油圧機器、空気圧機器、金属加工機械、マニピュレータ、ロボット、ロボット応用システム、工具、金型、ロール、搬送装置、昇降装置、貨物取扱装置、繊維機械、縫製機械、印刷機、印刷関連機械、紙工機械、化学機械、鉱山機械、鉱山関連機械、建設機械、建設関連機械、農業用機械および/または器具、林業用機械および/または器具、漁業用機械および/または器具、安全および/または環境保全器具、トラクター、軸受、精密ベアリング、チェーン、歯車(ギアー)、動力伝動装置、潤滑装置、弁、管継手、および/または上記で述べた任意の機器又は機械のアプリケーションシステムなど)であっても良い。
UEは、例えば、輸送用装置のアイテム(一例として、車両、自動車、二輪自動車、自転車、列車、バス、リヤカー、人力車、船舶(ship and other watercraft)、飛行機、ロケット、人工衛星、ドローン、気球など)であっても良い。
UEは、例えば、情報通信用装置のアイテム(例えば、電子計算機及び関連装置、通信装置及び関連装置、電子部品等)であっても良い。
UEは、例えば、冷凍機、冷凍機応用製品および装置、商業およびサービス用機器、自動販売機、自動サービス機、事務用機械及び装置、民生用電気・電子機械器具(一例として音声機器、スピーカー、ラジオ、映像機器、テレビ、オーブンレンジ、炊飯器、コーヒーメーカー、食洗機、洗濯機、乾燥機、扇風機、換気扇及び関連製品、掃除機など)であっても良い。
UEは、例えば、電子応用システムまたは電子応用装置(一例として、X線装置、粒子加速装置、放射性物質応用装置、音波応用装置、電磁応用装置、電力応用装置など)であっても良い。
UEは、例えば、電球、照明、計量機、分析機器、試験機及び計測機械(一例として、煙報知器、対人警報センサ、動きセンサ、無線タグなど)、時計(watchまたはclock)、理化学機械、光学機械、医療用機器および/または医療用システム、武器、利器工匠具、または手道具などであってもよい。
UEは、例えば、無線通信機能を備えたパーソナルデジタルアシスタントまたは装置(一例として、無線カードや無線モジュールなどを取り付けられる、もしくは挿入するよう構成された電子装置(例えば、パーソナルコンピュータや電子計測器など))であっても良い。
UEは、例えば、有線や無線通信技術を使用した「あらゆるモノのインターネット(IoT:Internet of Things)」において、以下のアプリケーション、サービス、ソリューションを提供する装置またはその一部であっても良い。
Internet of Thingsデバイス(もしくはモノ)は、デバイスが互いに、および他の通信デバイスとの間で、データ収集およびデータ交換することを可能にする適切な電子機器、ソフトウェア、センサー、ネットワーク接続、などを備える。IoTデバイスは、内部メモリの格納されたソフトウェア指令に従う自動化された機器であっても良い。IoTデバイスは、人間による監督または対応を必要とすることなく動作しても良い。IoTデバイスは、長期間にわたって備え付けられている装置および/または、長期間に渡って非活性状態(inactive)状態のままであっても良い。IoTデバイスは、(一般的に)据え置き型な装置の一部として実装され得る。IoTデバイスは、非据え置き型の装置(例えば車両など)に埋め込まれ得る、または監視される/追跡される動物や人に取り付けられ得る。
IoT技術は、データを送受信するために通信ネットワークに接続できる任意の通信デバイスに実装することができ、そのような通信デバイスが人間の入力またはメモリに格納されたソフトウェア命令によって制御されるかどうかに関係がないことは、理解できるであろう。
IoTデバイスが、マシンタイプ通信(MTC:Machine Type Communication)デバイス、またはマシンツーマシン(M2M:Machine to Machine)通信デバイス、または狭帯域-IoT UE(NB-IoT UE)と呼ばれることもあるのは理解されよう。UEは、1つまたは複数のIoTまたはMTCアプリケーションをサポートすることができることが理解されよう。MTCアプリケーションのいくつかの例は、以下の表(出典:3GPP TS 22.368 V14.0.1(2017-08) Annex B、その内容は参照により本明細書に組み込まれる)に列挙されている。このリストは、網羅的ではなく、一例としてのマシンタイプ通信アプリケーションを示すものである。
Figure 2023040195000002
アプリケーション、サービス、及びソリューションは、MVNO(Mobile Virtual Network Operator)サービス、緊急無線通信システム、PBX(Private Branch eXchange)システム、PHS/デジタルコードレステレコミュニケーションシステム、POS(Point of sale)システム、アドバタイズコーリングシステム、MBMS(Multimedia Broadcast and Multicast Service)、V2X(Vehicle to Everything)システム、電車無線システム、位置関連サービス、災害/緊急無線通信サービス、コミュニティサービス、ビデオストリーミングサービス、フェムトセルアプリケーションサービス、VoLTE(Voice over LTE)サービス、充電サービス、ラジオオンデマンドサービス、ローミングサービス、活動監視サービス、通信事業者/通信NW選択サービス、機能制限サービス、PoC(Proof of Concept)サービス、個人情報管理サービス、アドホックネットワーク/DTN(Delay Tolerant Networking)サービス等でもよい。
さらに、上記のUEカテゴリは、本文書に記載されている技術的アイデアおよび例示的な態様の適用例にすぎない。言うまでもなく、これらの技術的アイデアおよび態様は、上記のUEに限定されず、それに様々な修正を加えることができる。
ユーザ装置(UE)
図6は、UEの主要なコンポーネントを図示するブロック図である。示されるように、UE10は、1つ又は複数のアンテナ12を介して、接続されたノードに信号を送信し、接続されたノードから信号を受信するように動作可能なトランシーバ回路11を含む。必ずしも図6に示されているわけではないが、UE10は、もちろん、従来のモバイルデバイス(ユーザインタフェース13等)の全ての通常の機能を有し、これは、適切に、ハードウェア、ソフトウェア、及びファームウェアの任意の1つ又は任意の組み合わせによって提供され得る。ソフトウェアは、メモリにプリインストールされているか、電気通信ネットワークを介して、又は、例えば、リムーバブルデータストレージデバイス(RMD)からダウンロードされてもよい。
コントローラ14は、メモリ15に格納されたソフトウェアに従ってUE10の動作を制御する。例えば、コントローラ14は、中央処理ユニット(CPU)により実現され得る。ソフトウェアは、とりわけ、オペレーティングシステム16、及び少なくとも、トランシーバ制御モジュール18を有する通信制御モジュール17を含む。通信制御モジュール17は(そのトランシーバ制御サブモジュールを用いて、)シグナリング、及びUE10と、基地局/(R)ANノード、MME、AMF(及び他のコアネットワークノード)等の他のノードとの間のシグナリング、アップリンク/ダウンリンクデータパケットを処理(生成/送信/受信)することを担当する。このようなシグナリングは、例えば、接続確立及び保守(例えば、RRCメッセージ)、定期的な位置更新関連メッセージ(例えば、に関連する、適切にフォーマットされたシグナリングメッセージ(tracking area update、paging area updates、location area update)を含み得る。
(R)ANノード
図7は、例えば、基地局(LTEにおける'eNB'、5Gにおける'ng-eNB'、'gNB')等の例示的な(R)ANノードの主要なコンポーネントを図示するブロック図である。示されるように、(R)ANノード20は、1つ又は複数のアンテナ22を介して、接続されたUEに信号を送信し、接続されたUEから信号を受信するように動作可能であるトランシーバ回路21と、ネットワークインタフェース23を介して、(直接的に又は間接的に)他のネットワークノードに信号を送信し、他のネットワークノードから信号を受信するように構成される。コントローラ24は、メモリ25に格納されたソフトウェアに従って(R)ANノード20の動作を制御する。例えば、コントローラ24は、中央処理ユニット(CPU)により実現され得る。ソフトウェアは、メモリ25にプレインストールされ得るか、および/または、例えば、電気通信ネットワークを介して、またはリムーバブルデータストレージデバイス(RMD)からダウンロードされ得る。ソフトウェアは、とりわけ、オペレーティングシステム26及び少なくともトランシーバ制御モジュール28を有する通信制御モジュール27を含む。
(トランシーバ制御サブモジュールを用いる)通信制御モジュール27は、(R)ANノード20と他のノード、(例えば、直接的に又は間接的に)UE、MME、AMF等との間のシグナリングの処理(生成/送信/受信)することを担当する。シグナリングは、例えば、無線接続及び(特定のUEのための)ロケーション手順に関連する、適切にフォーマットされたシグナリングメッセージを含み、具体的には、接続確立及び保守(例えば、RRC connection establishment及び他のRRCメッセージ)、周期ロケーションアップデート関連メッセージ(例えば、tracking area update、paging area updates、location area update)、S1 APメッセージ及びNG APメッセージ(つまり、N2基準点によるメッセージ)等に関する、適切にフォーマットされたシグナリングメッセージを含む。そのようなシグナリングはまた、例えば、送信ケースにおける報知情報(例えば、マスター情報及びシステム情報)を含む。
コントローラ24はまた、実装される場合、UEモビリティ推定、及び/又は移動軌道推定等の関連タスクを処理するように(ソフトウェア又はハードウェアにより)構成される。
AMF
図8は、AMFの主要コンポーネントを図示するブロック図である。AMF30は、5GCに含まれる。示されるように、AMF30は、ネットワークインタフェース32を介して、(UEを含む)他のノードに信号を送信し、他のノードから信号を受信するように動作可能なトランシーバ回路31を含む。コントローラ33は、メモリ34に格納されたソフトウェアに従って、AMF30の動作を制御する。例えば、コントローラ33は、中央処理ユニット(CPU)により実現し得る。ソフトウェアは、メモリ34に予めインストールされてもよく、及び/又は電気通信ネットワークを介して、又は、例えば、リムーバブルデータストレージデバイス(RMD)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステム35、及び少なくともトランシーバ制御モジュール37を有する通信制御モジュール36を含む。
(トランシーバ制御サブモジュールを用いる)通信制御モジュール36は、(直接的に又は間接的に)AMFと、UE、基地局/(R)ANノード(例えば、「gNB」又は「eNB」)等の他のノードとの間のシグナリングを処理(生成/送信/受信)することを担当する。そのようなシグナリングは、例えば、本明細書に記載の手順に関連する、適切にフォーマットされたシグナリングメッセージ、例えば、UEからのNASメッセージ、及びUEへのNASメッセージを伝達するためのNG APメッセージ(つまり、N2基準点によるメッセージ)等を含み得る。
当業者によって理解されるように、本開示は、方法およびシステムとして具体化され得る。したがって、本開示は、完全にハードウェアの態様、ソフトウェアの態様、又はソフトウェア及びハードウェアの態様を組み合わせた態様の形式をとることができる。
ブロック図の各ブロックは、コンピュータプログラム命令によって実装できることが理解されよう。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、又は他のプログラム可能なデータ処理装置のプロセッサに提供され、コンピュータ又は他のプログラム可能なデータ処理装置のプロセッサを介して実行される命令が、フローチャート及び/又はブロックダイヤグラムブロックに指定された機能/動作を実施するための手段を生成するように、機械を生成することができる。汎用プロセッサは、マイクロプロセッサでもよいが、代替的に、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ又はステートマシンでもよい。プロセッサは、例えば、複数のマイクロプロセッサ、1つ又は複数のマイクロプロセッサ又は任意の他のそのような構成等のコンピュータデバイスの組み合わせにより実装されてもよい。
本明細書に開示された例に関連して記載された方法又はアルゴリズムは、ハードウェアで、プロセッサにより実施されるソフトウェアモジュールで、又は2つの組み合わせで直接的に具体化されてもよい。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバルディスク、CD-ROM又は本技術分野で知られている他の形態の記憶媒体に存在してもよい。記憶媒体は、プロセッサが、記憶媒体から情報を読み取り、記憶媒体に情報を書き込むことができるように、プロセッサに結合されてもよい。代替的に、記憶媒体は、プロセッサに不可欠であり得る。プロセッサと記憶媒体とは、ASICに存在してもよい。
開示された例の前述の説明は、当業者が本開示を作成又は使用することを可能にするために提供される。これらの例に対する様々な改変は、当業者には明らかであり、本明細書で定義される一般的な原理は、本開示の精神又は範囲から逸脱することなく、他の例に適用することができる。したがって、本開示は、本明細書に示される例に限定されることを意図するものではなく、本明細書に開示される原理及び新規の特徴と一致する最も広い範囲を与えられるべきである。
例えば、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
ユーザ装置(UE:user equipment)であって、前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを取得し、前記ASセキュリティコンテキストを用いて、ネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を暗号化し、前記第1のメッセージを送信するUEと、
前記ASセキュリティコンテキストを取得し、前記UEから、前記第1のメッセージを受信し、前記ASセキュリティコンテキストを用いて、前記第1のメッセージ又は前記センシティブIEを復号化し、前記NSSAIを取得する無線アクセスネットワーク(RAN:radio access network)ノードと、を備える移動通信システム。
(付記2)
第1のコアネットワークノードをさらに備え、
前記UEは、前記UEのUE識別子を、前記RANノードを介して、前記第1のコアネットワークノードに送信し、前記RANノードから受信された第2のメッセージに含まれる前記ASセキュリティコンテキストを取得し、
前記第1のコアネットワークノードは、前記UE識別子に基づいて、前記ASセキュリティコンテキストをフェッチし、前記ASセキュリティコンテキストを含む第3のメッセージを前記RANノードに送信し、
前記RANノードは、前記第3のメッセージに含まれる前記ASセキュリティコンテキストを取得し、前記ASセキュリティコンテキストを含む前記第2のメッセージを前記UEに送信する、付記1に記載の移動通信システム。
(付記3)
前記第1のコアネットワークノードから前記UE識別子を受信し、前記UE識別子に基づいて前記ASセキュリティコンテキストをフェッチし、前記取得されたASセキュリティコンテキストを送信する第2のコアネットワークノードをさらに備え、
前記第3のメッセージに含まれる前記ASセキュリティコンテキストは、前記第1のコアネットワークノード及び前記第2のコアネットワークノードによりフェッチされる、付記2に記載の移動通信システム。
(付記4)
前記UEは、コアネットワークにより提供される前記ASセキュリティコンテキストを取得する、付記1に記載の移動通信システム。
(付記5)
前記RANノードは、前記コアネットワークにより提供される前記ASセキュリティコンテキストを取得する、付記4に記載の移動通信システム。
(付記6)
ユーザ装置(UE:user equipment)であって、前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを取得し、前記ASセキュリティコンテキストを用いて、ネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を暗号化するUEと、
前記UEから前記第1のメッセージを受信し、前記ASセキュリティコンテキストを用いて、前記第1のメッセージ又は前記センシティブIEを復号化し、前記ASセキュリティコンテキスト、及び前記第1のメッセージの復号化された部分又は前記復号化された第1のメッセージを含む第2のメッセージを送信する第1のコアネットワークノードと、
前記第1のコアネットワークノードから前記第2のメッセージを受信し、前記ASセキュリティコンテキスト及び前記NSSAIを取得する無線アクセスネットワーク(RAN:radio access network)ノードと、を備える移動通信システム。
(付記7)
前記UEは、前記UEのUE識別子を、前記RANノードを介して、前記第1のコアネットワークノードに送信し、
前記第1のコアネットワークノードは、前記UE識別子に基づいて、前記ASセキュリティコンテキストをフェッチする、付記6に記載の移動通信システム。
(付記8)
前記第1のコアネットワークノードから前記UE識別子を受信し、前記UE識別子に基づいて、前記UEの前記ASセキュリティコンテキストをフェッチし、前記取得されたASセキュリティコンテキストを送信する第2のコアネットワークノードをさらに備え、
前記第2のメッセージに含まれる前記ASセキュリティコンテキストは、前記第1のコアネットワークノード及び前記第2のコアネットワークノードによってフェッチされる、付記7に記載の移動通信システム。
(付記9)
前記UEは、コアネットワークにより提供される前記ASセキュリティコンテキストを取得する、付記5~8のいずれか1項に記載の移動通信システム。
(付記10)
ユーザ装置(UE:user equipment)のための通信方法であって、前記通信方法は、
無線アクセスネットワーク(RAN:radio access network)ノードから前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを受信すること、
前記ASセキュリティコンテキストを用いて、ネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を暗号化すること、及び
前記第1のメッセージを前記RANノードに送信すること、を含む通信方法。
(付記11)
最後に登録されたコアネットワークノードの識別子を前記RANノードに送信することをさらに含み、前記RANノードは、ASセキュリティコンテキストを取得するために前記識別子を使用する、付記10に記載の移動通信システム。
(付記12)
無線アクセスネットワーク(RAN)ノードのための通信方法であって、前記通信方法は、
ユーザ装置(UE:user equipment)に、前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを送信すること、及び
前記ASセキュリティコンテキストを用いることによって、暗号化されたネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ、又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を前記UEから受信すること、を含む通信方法。
(付記13)
前記UEから、最後に登録されたコアネットワークノードの識別子を受信すること、
前記識別子をコアネットワークノードに送信すること、及び
前記コアネットワークノードから、前記識別子に関連する前記ASコンテキストを受信すること、をさらに含む付記12に記載の通信方法。
(付記14)
ユーザ装置(UE)であって、
トランシーバ回路とコントローラとを備え、
前記コントローラは、
無線アクセスネットワーク(RAN:radio access network)ノードから、前記UEのアクセスストラタム(AS:access stratum)セキュリティコンテキストを受信し、
前記ASセキュリティコンテキストを用いて、ネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ、又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を暗号化し、
前記第1のメッセージを前記RANノードに送信する、UE。
(付記15)
無線アクセスネットワーク(RAN)ノードであって、
トランシーバ回路とコントローラとを備え、
前記コントローラは、
ユーザ装置(UE:user equipment)に、前記UEのアクセスストラタム(AS;access stratum)セキュリティコンテキストを送信し、
前記ASセキュリティコンテキストを用いることによって、暗号化されたネットワークスライス選択支援情報(NSSAI:Network Slice Selection Assistance Information)を含む、第1のメッセージ、又は前記第1のメッセージに含まれるセンシティブ情報要素(IE:information element)を前記UEから受信する、RANノード。
この出願は、2018年11月2日に出願されたインド特許出願第201811041578号に基づく優先権の利益を主張し、その開示は、参照により、全体が本明細書に組み込まれる。
10 UE
11 トランシーバ回路
12 アンテナ
13 ユーザインタフェース
14 コントローラ
15 メモリ
16 オペレーティングシステム
17 通信制御モジュール
18 トランシーバ制御モジュール
20 (R)ANノード
21 トランシーバ回路
22 アンテナ
23 ネットワークインタフェース
24 コントローラ
25 メモリ
26 オペレーティングシステム
27 通信制御モジュール
28 トランシーバ制御モジュール
30 AMF
31 トランシーバ回路
32 ネットワークインタフェース
33 コントローラ
34 メモリ
35 オペレーティングシステム
36 通信制御モジュール
37 トランシーバ制御モジュール

Claims (6)

  1. ユーザ装置(UE:User Equipment)の通信方法であって、
    無線リソース設定手順を開始するためのTMSI(Temporary Mobile Subscriber Identity)を有する第1のメッセージを基地局に送信し、前記第1のメッセージにはセキュリティがなく、
    前記TMSIおよび第1のセキュリティ関連パラメータを含む第2のメッセージが前記基地局からコアネットワーク装置に送信された後、第2のセキュリティ関連パラメータによって保護された前記無線リソース設定手順が実行される、通信方法。
  2. 請求項1に記載のユーザ装置の通信方法であって、
    前記基地局は、セキュリティのない前記第1のメッセージのTMSIに基づき前記コアネットワーク装置を識別する、通信方法。
  3. 請求項1又は2に記載のユーザ装置の通信方法であって、
    前記第1のメッセージは、RRC(Radio Resource Control)接続再確立要求メッセージであり、第2のメッセージは、NGAP(NG Application Protocol)メッセージである、通信方法。
  4. ユーザ装置(UE:User Equipment)であって、
    トランシーバ回路とコントローラとを備え、
    前記コントローラは、
    無線リソース設定手順を開始するためのTMSI(Temporary Mobile Subscriber Identity)を有する第1のメッセージを基地局に送信し、前記第1のメッセージにはセキュリティがなく、
    前記TMSIおよび第1のセキュリティ関連パラメータを含む第2のメッセージが前記基地局からコアネットワーク装置に送信された後、 第2のセキュリティ関連パラメータによって保護された前記無線リソース設定手順が実行される、ユーザ装置。
  5. 請求項4に記載のユーザ装置であって、
    前記基地局は、セキュリティのない前記第1のメッセージのTMSIに基づき前記コアネットワーク装置を識別する、ユーザ装置。
  6. 請求項4又は5に記載のユーザ装置であって、
    前記第1のメッセージは、RRC(Radio Resource Control)接続再確立要求メッセージであり、第2のメッセージは、NGAP(NG Application Protocol)メッセージである、ユーザ装置。
JP2023002193A 2018-11-02 2023-01-11 通信方法、及びユーザ装置 Pending JP2023040195A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN201811041578 2018-11-02
IN201811041578 2018-11-02
JP2021521550A JP7211503B2 (ja) 2018-11-02 2019-10-28 通信方法、及び基地局
PCT/JP2019/042180 WO2020090743A1 (en) 2018-11-02 2019-10-28 Procedure to update the parameters related to unified access control

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2021521550A Division JP7211503B2 (ja) 2018-11-02 2019-10-28 通信方法、及び基地局

Publications (1)

Publication Number Publication Date
JP2023040195A true JP2023040195A (ja) 2023-03-22

Family

ID=68503192

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2021521550A Active JP7211503B2 (ja) 2018-11-02 2019-10-28 通信方法、及び基地局
JP2023002193A Pending JP2023040195A (ja) 2018-11-02 2023-01-11 通信方法、及びユーザ装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2021521550A Active JP7211503B2 (ja) 2018-11-02 2019-10-28 通信方法、及び基地局

Country Status (3)

Country Link
US (2) US20210400473A1 (ja)
JP (2) JP7211503B2 (ja)
WO (1) WO2020090743A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11889303B2 (en) * 2021-06-30 2024-01-30 Netscout Systems, Inc. 5G N1/N2 interface monitoring system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014087643A1 (en) * 2012-12-06 2014-06-12 Nec Corporation Mtc key management for sending key from network to ue
CN105850167B (zh) * 2013-12-24 2019-07-23 日本电气株式会社 Sce所用的设备、系统和方法
EP3319354B1 (en) 2015-07-31 2020-12-30 Huawei Technologies Co., Ltd. V2x communication methods and related apparatuses
KR102358918B1 (ko) 2016-07-04 2022-02-07 삼성전자 주식회사 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치
US10433174B2 (en) * 2017-03-17 2019-10-01 Qualcomm Incorporated Network access privacy
CN116963180A (zh) * 2017-04-25 2023-10-27 华为技术有限公司 一种负荷迁移的方法、装置和系统
US10637858B2 (en) * 2018-02-23 2020-04-28 T-Mobile Usa, Inc. Key-derivation verification in telecommunications network
US11350272B2 (en) * 2018-11-01 2022-05-31 Qualcomm Incorporated Encrypting network slice selection assistance information
WO2020090764A1 (en) * 2018-11-02 2020-05-07 Nec Corporation SECURITY PROCEDURE FOR UE's IN 5GLAN GROUP COMMUNICATION
EP4022956A1 (en) * 2019-08-29 2022-07-06 Telefonaktiebolaget Lm Ericsson (Publ) Amf re-allocation solution with network slice isolation

Also Published As

Publication number Publication date
JP7211503B2 (ja) 2023-01-24
WO2020090743A1 (en) 2020-05-07
US20240236661A9 (en) 2024-07-11
US20240137756A1 (en) 2024-04-25
US20210400473A1 (en) 2021-12-23
JP2022505487A (ja) 2022-01-14

Similar Documents

Publication Publication Date Title
JP6828849B2 (ja) ユーザ装置に関する方法及びユーザ装置
JP7298718B2 (ja) ユーザ機器、方法、及びプログラム
JP7115636B2 (ja) 統合型アクセスコントロールに関連するパラメータの更新手順
JP7447931B2 (ja) Ueによって実行される方法及びamfによって実行される方法
JP7088414B2 (ja) 統一されたアクセス制御に関連するパラメータを更新する手順
JP7127689B2 (ja) コアネットワーク装置、通信端末、及び通信方法
WO2020090764A1 (en) SECURITY PROCEDURE FOR UE's IN 5GLAN GROUP COMMUNICATION
JP2023015260A (ja) 方法、ue、及びamfノード
JP2024133565A (ja) 移動管理ノード、ユーザ機器及び方法
JP7163980B2 (ja) 方法及びue
US20240137756A1 (en) Procedure to update the parameters related to unified access control
WO2023106347A1 (en) Method of user equipment (ue), method of communication apparatus, ue and communication apparatus
WO2023182199A1 (en) Method of user equipment (ue), ue, method of communication apparatus and communication apparatus
WO2024095966A1 (en) Method of user equipment (ue), method of communication apparatus, ue and communication apparatus
WO2023182200A1 (en) Method of communication apparatus, method of user equipment (ue), communication apparatus and ue

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240319

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20240513

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240717

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240924