JP2023156302A - 5gcnへの非3gppアクセスが許可されない失敗の対処 - Google Patents

5gcnへの非3gppアクセスが許可されない失敗の対処 Download PDF

Info

Publication number
JP2023156302A
JP2023156302A JP2023116614A JP2023116614A JP2023156302A JP 2023156302 A JP2023156302 A JP 2023156302A JP 2023116614 A JP2023116614 A JP 2023116614A JP 2023116614 A JP2023116614 A JP 2023116614A JP 2023156302 A JP2023156302 A JP 2023156302A
Authority
JP
Japan
Prior art keywords
message
network
eap
5gcn
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023116614A
Other languages
English (en)
Inventor
リウ,ジェニファー
liu Jennifer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks Oy
Original Assignee
Nokia Solutions and Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Solutions and Networks Oy filed Critical Nokia Solutions and Networks Oy
Publication of JP2023156302A publication Critical patent/JP2023156302A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/18Management of setup rejection or failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】5Gコアネットワークなどのコアネットワークシステムのインターワーキング機能により、アクセスネットワーク内のユーザ機器(UE)との安全なアソシエーションを確立する。【解決手段】コアネットワークシステムにおいて、インターワーキング機能は、信頼されていないアクセスネットワーク内のユーザ機器(UE)との安全なアソシエーションを確立しようと試みる。セキュアアソシエーションが5Gコアネットワークによって承認されないとき、UEはコアネットワークから、5Gコアネットワークへの非3GPPアクセスが許可されていないことを示すレスポンスを受信する。レスポンスを受信すると、UEは、拡張認証プロトコル(EAP)レスポンスにフォーマットされた5G-Stopメッセージを送信してセッションを終了する。EAP-Response/5G-Stopメッセージには、5Gストップ値を有するメッセージIDフィールドが含まれる。【選択図】図15

Description

関連出願の相互参照
本出願は、「Method and Apparatus For Handling Authentication Failure During Security Association Establishment」と題する2018年6月30日に出願された、参照により本明細書に明示的に組み込まれる米国仮出願第62/692,722号に対する優先権を米国特許法第119条の下で主張する。
本出願は、一般にアクセスネットワークに関し、より詳細には、セキュリティアソシエーションの確立が承認されない場合のアクセスネットワークにおけるユーザ機器によるセッション確立に関する。
関連技術の説明
本節の記載は、関連技術の説明を与えるものであり、先行技術を認めるものではない。スマートフォン、スマートタブレット、ラップトップ、コンピュータ、スマートウォッチなどのユーザ機器(UE)は、多くの場合、ワイヤレスローカルエリアネットワーク(WLAN)接続性(IEEE 802.11x準拠のWLAN接続性など)と無線アクセスネットワーク接続性(EVDO、UMTS、HSPA、及びLTEを含む第3世代パートナシッププロジェクト(3GPP)との規格セットに、全面的に、または部分的に準拠しているテクノロジなど)の両方の機能を含む。したがって、UEは、3GPPアクセスネットワークと非3GPPアクセスネットワークとで構成される2種類のアクセス技術を使用して、3GPP発展型パケットコア(EPC)ネットワークに接続することができる。
一般に、3GPPアクセスネットワークは、例えば、GPRS、UMTS、EDGE、HSPA、LTE、及びLTE Advancedを含む3GPPの規格セットによって指定された技術に、全面的に、または部分的に準拠している。非3GPPアクセスネットワークは、3GPPの規格セットによって指定されない技術に、全面的に、または部分的に準拠している。それらには、cdma2000、WLAN(IEEE 802.11x準拠のWLANなど)、または固定ネットワークなどの技術が含まれる。
3GPPの規格セットは、様々なセキュリティ機構を備えた「非3GPP」アクセス技術を指定している。信頼されていないアクセスネットワークと信頼されたアクセスネットワークである。信頼されていないアクセスネットワークには、セキュリティリスクを高め得るアクセスネットワーク(例えば、公衆WLANまたはフェムトセルアクセスネットワーク)が含まれる。信頼されたアクセスネットワークには、セキュリティの観点から一定の信頼度を有し、EPCネットワークと直接インタフェースすることができるとネットワークオペレータが認めるアクセスネットワークが含まれる。
新たな5G規格のセットでは、非3GPPアクセスネットワーク(N3AN)は、5Gアクセスネットワークとして扱われ、かつ5Gシステム(5GS)の一部として扱われる。信頼されていない非3GPPアクセスの場合、非3GPPインターワーキング機能(N3IWF)が、NG-RANノードと同様に、制御プレーン及びユーザプレーンに対して、それぞれシグナリングインタフェースの終端を提供する。したがって、5G対応のUEは、N3IWFを介して、5Gアクセスネットワークとして非3GPPアクセスネットワークに接続することによって、5Gコアネットワーク(5GCN)にアクセスすることができる。N3IWFは、UEと5GCNとの間でアップリンク及びダウンリンクの制御プレーンシグナリングを中継する。さらに、N3IWFは、非3GPPアクセスネットワークを介したセッションのために、UEと5GCNとの間にユーザプレーン接続を提供する。
現在、UEとN3IWFとの間のシグナリング手順は、特定のセキュリティ認証の確立がネットワークによって承認されたときに指定される。ただし、セキュリティアソシエーションの確立がネットワークによって承認されないときに対処するために利用できる方法はない。同様に、ユーザプレーン接続の場合、ユーザプレーンセキュリティアソシエーションの確立がネットワークによって承認されないときに対処するための方法が指定される必要がある。
したがって、非3GPPアクセスネットワークを介した5GCNへのアクセスのためのセキュリティアソシエーション確立中の障害対処を支援するシステム及び方法を提供する必要性がある。他の必要性及び利点もまた、本明細書に記載された実施形態でもって提供される。
以下では、開示された主題のいくつかの態様への基本的な理解を提供するために、開示された主題の概要が示される。本概要は、開示された主題の網羅的な全体像ではない。開示された主題の主要素もしくは決定的要素を特定すること、または開示された主題の範囲を明確化することを意図したものではない。その唯一の目的は、後述するさらに詳細な説明の前置きとして、いくつかの概念を簡略化した形で提示することである。
一態様では、信頼されていないアクセスネットワークを介したコアネットワークへのネットワーク接続を管理するためのインターワーキング機能ノードが、信頼されていないアクセスネットワークを介してユーザ機器(UE)と通信するように構成された第1のネットワークインタフェースと、コアネットワーク内の1つ以上のノードと通信するように構成された第2のネットワークインタフェースとを含む。本インターワーキング機能ノードは、信頼されていないアクセスネットワーク内のUEからのコアネットワークへの接続確立の要求を処理し、コアネットワークへの要求を生成することと、接続確立がコアネットワークによって承認されないと判定することと、UEへのレスポンスメッセージを生成することとを行うように構成され、レスポンスメッセージが、信頼されていないアクセスネットワークを介した接続確立がコアネットワークによって許可されないことを示すエラーを含む、処理デバイスを備える。
別の態様では、インターワーキング機能ノードからのネットワーク接続要求に対処するためのアクセス及びモビリティ管理機能(AMF)が、コアネットワーク内のインターワーキング機能ノード及び認証機能と通信するように構成されたネットワークインタフェースを含む。本AMFはまた、信頼されていないアクセスネットワークを介したUEの認証及び安全な接続確立の要求を処理することと、認証サーバ機能(AUSF)に対する認証及びサブスクリプションチェックの要求を生成することと、認証及びサブスクリプションチェックに対するレスポンスが、認証の失敗を示すことを判定することと、認証及び安全な接続確立のレスポンスメッセージを、信頼されていないアクセスネットワークを介したコアネットワークへのアクセスが許可されないことを示す原因値をレスポンスメッセージに含むことによって生成することとを行うように構成されている処理デバイスを含む。
別の態様では、ユーザ機器(UE)が、信頼されていないアクセスネットワークを介して、インターワーキング機能ノードと通信するように構成されたネットワークインタフェースを含む。本UEは、コアネットワークへの安全なセッション確立のための登録要求を生成することと、インターワーキング機能ノードからのレスポンスメッセージを処理することと、レスポンスメッセージから、信頼されていないアクセスネットワークを介した接続確立が、コアネットワークによって許可されないことを判定することとを行うように構成されている処理デバイスを含む。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、信頼されていないアクセスネットワークを介したUEからの認証及び安全な接続確立の要求を受信することと、認証及びサブスクリプションチェックの要求を生成し、認証及びサブスクリプションチェックの要求を、第2のインタフェースを介して、アクセス及びモビリティ管理機能(AMF)に対して送信することと、AMFからの認証及びサブスクリプションチェックのレスポンスを受信することと、信頼されていないアクセスネットワークを介した接続確立がコアネットワークによって許可されないことを示すエラーを含むNASペイロードを有するUEへのインターネット鍵交換(IKE)レスポンスメッセージを生成することとを行うように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、5GCNへの非3GPPアクセスが許可されていないことを示す5GMM原因値を含む登録拒否メッセージをカプセル化するアクセス及びモビリティ管理機能からのレスポンスを受信することと、接続確立がコアネットワークによって承認されないことを示すメッセージタイプを含むペイロードを有するインターネット鍵交換(IKE)レスポンスメッセージを生成することとを行うように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、失敗理由を示すプライベート通知メッセージタイプを含む通知ペイロードを有するインターネット鍵交換(IKE)レスポンスメッセージを生成するように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、5GCNへの信頼されていない非3GPPアクセスが許可されないことを示すプライベート通知メッセージタイプを含む通知ペイロードを有するIKEレスポンスメッセージを生成することにより、IKEレスポンスメッセージを生成するように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、UEにレスポンスメッセージを送信することであって、レスポンスメッセージは、接続確立がコアネットワークによって承認されないことを示す、送信することと、UEからストップメッセージを受信することと、UEへの失敗メッセージを生成することとを行うように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、UEからのストップメッセージを処理するように構成されており、ストップメッセージは、メッセージ識別子フィールドを有する5G-Stopメッセージ形式を含み、メッセージ識別子フィールドは、5G-Stop識別子を含む。
上記の態様の1つ以上において、信頼されていないアクセスネットワーク内のUEからの接続確立の要求が、コアネットワークとのIPsecセキュリティアソシエーション(SA)を開始するためのIKE要求メッセージを含む。
上記の態様の1つ以上において、コアネットワークが5GCNであり、信頼されていないアクセスネットワークが非3GPPアクセスネットワークである。
上記の態様の1つ以上において、AMFの処理デバイスは、原因値を含む登録拒否メッセージをレスポンスメッセージにカプセル化するように構成されており、原因値は、5GCNへの非3GPPアクセスが許可されないことを示す5GMM原因値を含む。
上記の態様の1つ以上において、AMFの処理デバイスは、レスポンスメッセージに、拡張認証プロトコル(EAP)の失敗インディケーションを生成するように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、5GCNへの安全なセッション確立のための登録要求の終了を示すストップメッセージを生成することと、非3GPPアクセスネットワークを介してインターワーキング機能ノードにストップメッセージを送信することとを行うように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、5G-Stopに設定されたメッセージ識別子フィールドを含むEAP-Response形式のメッセージとしてストップメッセージを生成するように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、インターワーキング機能ノードからのEAP失敗メッセージを処理することと、セキュリティアソシエーションの削除手順を実行することとを行うように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、5GCNへの安全なセッション確立のための第2の登録要求を生成することにより、5GCNへの登録を再試行することと、インターワーキング機能ノードからの第2のレスポンスメッセージから、信頼されていないアクセスネットワークを介した接続確立が成功したことを判定することとを行うように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、更新されたパラメータで、5GCNへの安全なセッション確立のための第2の登録要求を生成するように構成されている。
以下の詳細な説明、図、及びいずれかの特許請求の範囲では、部分的に、更なる態様が述べられており、一部はその詳細な説明から得られる。上記の概説と以下の詳細な説明とはいずれも、例示及び説明のためのものにすぎず、特許請求の範囲は、開示された実施形態に限定されないことを理解されたい。
次に、本開示の実施形態による装置及び/または方法のいくつかの実施形態を、ほんの一例として、添付の図面を参照して説明する。
アクセスネットワークの種類の実施形態の概略ブロック図を示す。 非3GPPアクセスのための5Gシステムアーキテクチャの実施形態の概略ブロック図を示す。 信頼されていない非3GPPアクセスネットワークを介してUEを5GCNに登録するための方法の実施形態を示す論理フロー図を示す。 IKE SA及びシグナリングIPsec SAの確立が承認されない実施形態に対処するための方法の実施形態の論理フロー図を示す。 修復可能なエラーによる認証失敗後のEAP-5Gセッション手順の方法の実施形態の論理フロー図を示す。 修復不能なエラー障害による登録拒否のEAP-5Gセッション手順の実施形態を示す論理フロー図を示す。 EAP-Response/5G-Stopメッセージの実施形態の概略ブロック図を示す。 非3GPPアクセスを介したUE登録のためのIKE SA及びシグナリングIPsec SAの確立が承認されないときのネットワーク機能間のメッセージフローのための方法の実施形態の論理フロー図を示す。 非3GPPアクセスを介したUE登録のためのIKE SA及びシグナリングIPsec SAの確立が、サブスクリプション制限のために承認されないときのネットワーク機能間のメッセージフローのための方法の実施形態の論理フロー図を示す。 ユーザプレーンIPsecセキュリティアソシエーションの確立が承認されないときのネットワーク機能間のメッセージフローのための方法の実施形態の論理フロー図を示す。 5GMM原因情報要素1100の実施形態の概略ブロック図を示す。 5GMM原因情報要素の値の実施形態の概略ブロック図を示す。 N3IWFの方法の実施形態の論理フロー図を示す。 修復可能なエラーによる認証失敗を伴う、信頼されていないアクセスネットワークを介したコアネットワークへの登録要求の方法の実施形態の論理フロー図を示す。 修復不能なエラーによる認証失敗を伴う、信頼されていないアクセスネットワークを介したコアネットワークへの登録要求の方法の実施形態の論理フロー図を示す。 例示的なユーザ機器の実施形態の概略ブロック図を示す。 AMFノードの実施形態の概略ブロック図を示す。 N3IWFの実施形態の概略ブロック図を示す。
説明及び図面は、単に様々な実施形態の原理を例示しているにすぎない。したがって、当業者であれば、本明細書に明示的に記載されず、または示されないが、本明細書及び特許請求の範囲に記載されている原理を具体化し、本開示の趣旨及び範囲の内に含まれる様々な構成を考案できるであろうことが理解されよう。さらに、本明細書で説明された全ての実施例は、主として、読者が、本実施形態の原理と、本発明者が本技術をさらに発展させるのに貢献した概念とを理解するのを補助するための教育的目的のものであるにすぎないことが明示的に意図されており、そのような具体的に説明された実施例及び条件に限定されるものではないと解釈されるべきである。さらに、本明細書では、原理、態様、及び実施形態、ならびにそれらの具体例を説明する全ての記載は、それらの均等物を包含することが意図されている。
本明細書に記載された略語のいくつかが、便宜のため、以下に展開されている。
5GC 5Gコア
5GCN 5Gコアネットワーク
5GS 5Gシステム
5G-AN 5Gアクセスネットワーク
5GMM 5GSモビリティ管理
5G-GUTI 5Gグローバル固有テンポラリ識別子
5G-S-TMSI 5G S-テンポラリモバイルサブスクリプション識別子
5QI 5G QoS識別子
AMF アクセス及びモビリティ管理機能
AUSF 認証サーバ機能
EAP 拡張認証プロトコル
HPLMN 家庭用公衆陸上モバイルネットワーク
IKEv2 インターネット鍵交換v2
IMSI 国際モバイル加入者識別番号
IMEI 国際モバイル機器識別番号
IPsec インターネットプロトコルセキュリティ
MCM マルチ接続モード
N3IWF 非3GPPインターワーキング機能
NAS 非アクセス層
PDN パケットデータネットワーク
PLMN 公衆陸上モバイルネットワーク
QoS サービス品質
SA セキュリティアソシエーション
SCM シングル接続モード
UDM 統合データ管理
UE ユーザ機器
UICC ユニバーサル集積回路カード
USIM UMTS加入者識別モジュール
本明細書には、認証されていないユーザ機器にネットワークサービスを提供するためのシステム及び方法を提供する1つ以上の実施形態が説明されている。例えば、非3GPPアクセスネットワークにおいて、認証されていないUEのセッションを確立するための様々な方法が説明されている。
図1は、技術仕様(TS)23.501「System Architecture for the 5G System」、5Gシステムの手順を定める技術仕様(TS)23.502、ならびに5Gシステムのポリシー及び課金制御フレームワークを定める技術仕様(TS)23.503など、5Gシステム向けの第3世代パートナーシッププロジェクト(3GPP)の規格セットに、全面的にまたは部分的に準拠した5Gコアネットワーク(5GCN)100のためのアクセスネットワークの種類の実施形態の概略ブロック図を示す。
5GCN100は、1つ以上のアクセスネットワーク102に通信可能に結合されている。実施形態では、アクセスネットワーク102には、1つ以上の3GPPアクセスネットワーク104、または1つ以上の非3GPPアクセスネットワーク106が含まれ得る。3GPPアクセスネットワーク104は、3GPPの規格セットによって指定された技術に、全面的に、または部分的に準拠しており、例えば、GPRS、UMTS、EDGE、HSPA、LTE、及びLTE Advancedを含む。非3GPPアクセスネットワーク106は、3GPPの規格セットによって指定されない技術に、全面的に、または部分的に準拠している。非3GPPアクセスネットワーク106は、3GPPの規格セットでそのように指定され得る。非3GPPアクセスネットワーク106には、1つ以上の信頼された非3GPPアクセスネットワーク108、または1つ以上の信頼されていない非3GPPアクセスネットワーク110が含まれ得る。
信頼された非3GPPアクセスネットワーク108は、IEEE802.11x準拠のWLANネットワークなど、暗号化及びセキュアな認証方法を用いた、オペレータによって構築される、またはオペレータによってサポートされる、ワイヤレスローカルエリアネットワーク(WLAN)である。一実施形態では、信頼された非3GPPアクセスネットワーク108は、以下の例示的な特徴をサポートする。無線アクセスネットワーク(RAN)の暗号化をも要求する802.1xベースの認証、認証にEAP方式を使用する3GPPベースのネットワークアクセス、及びIPv4及び/またはIPv6プロトコルである。また一方、セキュリティタイプの異なる他種の非3GPPアクセスネットワークが信頼されたと認められるとオペレータが判断する場合もある。信頼されていない非3GPPアクセスネットワーク110には、オペレータに知られていない非3GPPアクセスネットワーク、またはサポートされた認証規格を含まない非3GPPアクセスネットワークが含まれる。例えば、信頼されていない非3GPPアクセスネットワークには、一般に公開されるIEEE802.11x準拠のWLANネットワーク、家庭用WLAN、または他の非オペレータによって創設され管理されるものなど、家庭用または公衆用のWLANが含まれ得る。
図2は、非3GPPアクセスのための5Gシステムアーキテクチャの実施形態の概略ブロック図を示す。このアーキテクチャは、参照により本明細書に組み込まれる「System Architecture for the 5G System」と題する技術規格3GPP TS 23.501,Release 15 (2017年12月)にさらに詳細に説明されている。
非3GPPアクセスネットワークは、非3GPPインターワーキング機能(N3IWF)を介して5GCN100に接続されている。N3IWF204は、5GCN100の制御プレーン(CP)機能及びユーザプレーン(UP)機能を、それぞれN2インタフェース及びN3インタフェースを介してインタフェース接続する。UE200は、N3IWF204とのIPセキュリティ(IPSec)トンネルを確立して、信頼されていない非3GPPアクセスネットワーク110を介して5GCN100にアタッチする。UE200は、IPSecトンネルの確立手順を通じて、5GCN100によって認証されて、5GCN100にアタッチされる。信頼されていない非3GPPアクセス110を介した5GCN100へのUE200のアタッチに関する更なる詳細が、参照により本明細書に組み込まれる「Procedures for the 5G System」と題する3GPP TS 23.502,Release 15(2017年12月)に説明されている。
5GCN100は、アクセス及びモビリティ管理機能(AMF)202を含む家庭用公衆陸上モバイルネットワークまたは同等の家庭用PLMN(HPLMN)を含む。AMF202は、制御プレーンインタフェース(N2)の終端及びNAS(N1)プロトコルセットの終端と、NASの暗号化及び整合性の保護とを提供する。AMF202はまた、登録及び接続の管理を提供する。AMF202は、非3GPPアクセスネットワーク110をサポートするために様々な機能性を含み得る。例えば、AMF202は、N3IWF204を用いたN2インタフェース制御プロトコルのサポートと、N3IWF204を介したUE200とのNASシグナリングのサポートとを提供し得る。さらに、AMF202は、N3IWF204を介して接続されたUE200の認証のサポートと、非3GPPアクセスを介して接続された、または3GPPアクセス及び非3GPPアクセスを介して同時に接続されたUE200のモビリティ、認証、及び別個のセキュリティコンテキスト状態(複数可)の管理を提供し得る。非アクセス層(NAS)は、5G規格のプロトコルセットである。5G NAS(非アクセス層)は、5GS(5Gシステム)での5GMM(5GSモビリティ管理)及び5GSM(5Gセッション管理)に関連した手順を含む。NASは、ユーザ機器(UE)と5GCN機能との間で制御シグナリングを伝達するのに用いられる。5GNASプロトコルのバージョンが、参照により本明細書に組み込まれる3GPP TS 24.501:「Access-Stratum(NAS) protocol for 5G System(5GS)」 Version 1.1(2018年5月9日)で定義されている。
セッション管理機能(SMF)206は、セッション管理機能性、例えば、UPF208とANノードとの間のトンネル維持を含む、セッションの確立、変更、及び解除を含む。SMF206はまた、UEのIPアドレスの割り当て及び管理(任意選択の認可を含む)と、DHCPv4(サーバ及びクライアント)及びDHCPv6(サーバ及びクライアント)の機能とを提供する。
ユーザプレーン機能(UPF)208は、データネットワークとパケットルーティング及びパケットフォワーディングとに外部PDUセッションの相互接続ポイントを提供する。UPF208はまた、ポリシールール施行のユーザプレーン部分、例えば、ゲーティング、リダイレクト、トラフィックステアリングなどをサポートする。
ポリシー制御機能(PCF)214は、ネットワークの挙動を統御するための統合されたポリシーフレームワークをサポートする。統合データ管理(UDM)212は、3GPP AKA認証証明書の生成、サブスクリプションデータに基づくアクセス認可(例えば、ローミング制限)、及びUEのサービングNF登録管理(例えば、UEのためのサービングAMFを保存する、UEのPDUセッションのためのサービングSMFを保存する)のサポートを含む。UDM212はまた、SMS及びサブスクリプションの管理を提供する。この機能性を提供するために、UDM212は、UDRに格納され得るサブスクリプションデータ(認証データを含む)を使用する。別のモジュールが、認証サーバ機能(AUSF)210を提供する。
信頼されていない非3GPPアクセス110の場合のN3IWF204の機能性は、UE200とのIPsecトンネル確立のサポートを含む。N3IWF204は、NWuインタフェースを介したUE200とのIKEv2/IPsecプロトコルを終端し、N3IWF204は、UE200を認証して、その5GCN100へのアクセスを認可するために必要な情報を、N2インタフェースを介して中継する。N3IWF204は、N2及びN3インタフェースの終端を、それぞれ制御プレーン及びユーザプレーンを関して、5GCN100に提供する。N3IWF204は、UE200とAMF202との間で、アップリンク及びダウンリンクの制御プレーンNAS(N1)シグナリングを中継する。N3IWF204は、PDUセッション及びQoSに関連するSMF206からの(AMF202によって中継される)N2シグナリングの対処を提供する。N3IWF204は、PDUセッショントラフィックをサポートするためのIPsecセキュリティアソシエーション(IPsec SA)の確立をさらに提供する。N3IWF204はまた、UE200とUPF208との間で、アップリンク及びダウンリンクのユーザプレーンパケットを中継することを提供する。
図3は、信頼されていない非3GPPアクセス110を介してUE200を5GCN100に登録するための方法の実施形態を示す論理フロー図を示す。本方法は、「EAP-5G」と呼ばれるベンダー固有の拡張認証プロトコル(EAP)を含む。EAPは、2004年6月付けのIETF RFC 3748:「Extensible Authentication Protocol(EAP)」で定義されている。EAP-5Gは、UE200とN3IWF204との間でNASメッセージをカプセル化するのに用いられるベンダー固有の5GS用EAP(EAP-5G)である。EAP-5Gパケットは、「拡張」EAPタイプと、SMIプライベートエンタープライズコードレジストリ(すなわち10415)の下でIANAに登録された既存の3GPPベンダーIDとを利用する。実施形態では、EAP-5Gは、NASメッセージをカプセル化するためにのみ利用される(認証のためではない)。
UE200を認証する必要がある場合、以下に本明細書で説明するように、UE200とAUSF210との間でEAP-AKA′相互認証が実行される。信頼されていない非3GPPアクセスネットワーク110を介した登録と、その後の登録手順とでは、NASメッセージがUE200とAMF202との間で交換される。
ステップ1において、UE200は、3GPPの範囲外の手順(IEEE 802.11 WLANプロトコルで指定される手順など)で、信頼されていない非3GPPアクセスネットワーク110に接続し、IPアドレスが割り当てられる。任意の非3GPP認証方法、例えば、認証なし(無料WLANの場合)や、事前共有鍵、ユーザ名/パスワードなどを用いる拡張認証プロトコル(EAP)が使用され得る。UE200が5GCN100にアタッチすることを決定すると、UE200は、5G PLMN内のN3IWF204を選択する。
ステップ2において、UE200は、例えば、IETF RFC 7296,「Internet Key Exchange Protocol Version 2(IKEv2)」(2014年10月)に記載されているように、インターネット鍵交換(IKE)プロトコルの初期交換を開始することで、選択したN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立を進める。ステップ2の後、以降のIKEメッセージは、このステップで確立されたIKE SAを使用することによって、暗号化され、整合性が保護される。
ステップ3において、UE200は、IKE_AUTH要求メッセージを送信することにより、IKE_AUTH交換を開始するものとする。AUTHペイロードはIKE_AUTH要求メッセージに含まれず、このことは、IKE_AUTH交換が、拡張認証プロトコル(EAP)シグナリングプロトコル、例えば、EAP-5Gシグナリング(IETF RFC 5448, 「Improved Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA’)」 (2018年3月5日)に記載され、参照により本明細書に組み込まれるEAP-AKA’など)を使用することを示す。
ステップ4において、N3IWF204は、EAP-Request/5G-Startパケットを含むIKE_AUTHレスポンスメッセージで応答する。EAP-Request/5G-Startパケットは、UE200に、EAP-5Gセッションを開始するよう通知する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう通知する。
ステップ5において、UE200は、5GCN100に対する登録要求、例えば、アクセスネットワークパラメータ(AN-Params)を含むEAP-Response/5G-NASパケットとNAS登録要求メッセージとを含むIKE_AUTH要求を生成して送信する。したがって、UEは、例えば、a)NASメッセージ、例えば、登録要求メッセージを包含するNAS-PDUフィールドと、b)SUPIまたは5G-GUTI、選択されたネットワーク及びS-NSSAIなどのアクセスネットワークパラメータを包含するANパラメータフィールド(3GPP TS 23.502を参照)とを含むEAP-Response/5G-NASパケットを送信することにより、EAP-5Gセッションの開始を確認する。ANパラメータ(AN-Params)は、5GCN100でのAMF202を選択するためにN3IWF204によって使用される。
ステップ6aにおいて、N3IWF204は、受信したANパラメータ及びローカルポリシーに基づいて、5GCN100内のAMF202を選択する。次に、N3IWF204は、ステップ6bにおいて、UE200から受信した登録要求を、選択したAMF202に転送する。N3IWF204は、AMF202からのNASメッセージの受信時に、UE200へのEAP-Request/5G-NASメッセージ内にNASメッセージを含む。EAP-Request/5G-NASメッセージは、NASメッセージを包含するNAS-PDUフィールドを含む。N3IWF204を介したUE200とAMF202との間の更なるNASメッセージは、EAP-Response/5G-NASメッセージ(UEからN3IWFへの向き)及びEAP-Request/5G-NASメッセージ(N3IWFからUEへの向き)のNAS-PDUフィールドに挿入される。
ステップ7a及び7bにおいて、選択したAMF202は、N3IWF204を介してUE200にNAS ID要求メッセージを送信することにより、UEの永続的ID(SUPI)を要求することを決定することができる。このNASメッセージと、それに続く全てのNASメッセージとは、EAP/5G-NASパケット内にカプセル化されて、N3IWF204によってUE200に送信される。
ステップ8において、AMF202は、UE200を認証することを決定することができる。この場合、AMF202は、UE200のSUPIまたは暗号化されたSUPIを使用することによりAUSF210を選択するものとし、ステップ8aでは、選択したAUSF210に鍵要求を送信するものとする。AUSF210は、参照により本明細書に組み込まれるTS 3GPP TS 33.501:「SecurityArchitecture and Procedures for 5G System」(Release 15(2018年3月26日))に指定されるように、ステップ8bにおいてEAP-AKA′認証を開始し得る。EAP-AKA′チャレンジパケットは、ステップ8cでN3IWFへのNAS認証メッセージ内にカプセル化され、このNAS認証メッセージは、ステップ8dでEAP/5G-NASパケット内にカプセル化される。UE200は、ステップ8eでEAP-AKAチャレンジに対する認証レスポンスを生成し、この認証レスポンスは、ステップ8fでN3IWF204によってAMFに転送される。次に、AUSF210は、ステップ8gでAMFから認証レスポンスを受信する。
UE200の認証が成功した後、ステップ8hにおいて、AUSF210は、NASのセキュリティ鍵とN3IWF204用のセキュリティ鍵(N3IWF鍵)とを導出するためにAMF202によって使用されるアンカー鍵(SEAF鍵)をAMF202に送信する。UE200はまた、アンカー鍵(SEAF鍵)を導出し、その鍵からNASのセキュリティ鍵とN3IWF204用のセキュリティ鍵(N3IWF鍵)とを導出する。N3IWF鍵は、(ステップ11において)IPsecセキュリティアソシエーションを確立するために、UE200及びN3IWF204によって使用される。AUSF210は、ステップ8aにおいて、AMF202が、暗号化されたSUPIをAUSF210に提供した場合には、SUPI(暗号化されていない)を含む。
ステップ9a及び9bで、AMF202は、セキュリティモードコマンド(SMC)要求をUE200に送信して、NASセキュリティをアクティブ化する。(N2メッセージ内の)この要求は、最初にN3IWF鍵とともにN3IWF204に送信される。ステップ8においてEAP-AKA′認証が正常に実行された場合、ステップ9aにおいてAMF202は、AUSF210から受信したEAP-SuccessをSMC要求メッセージ内にカプセル化する。
ステップ10aにおいて、UE200は、(ステップ8で開始された場合)EAP-AKA′認証を完了し、NASセキュリティコンテキスト及びN3IWF鍵を作成する。N3IWF鍵がUE200で作成された後、UE200は、EAP-Response/5G-Completeパケットを送信することによって、EAP-5Gセッションの完了を要求する。それによって、N3IWF204がAMF202からN3IWF鍵も受信していると仮定して、ステップ10bにおいて、N3IWF204がUE200にEAP-Successを送信することをトリガする。これでEAP-5Gセッションは完了し、それ以上EAP-5Gパケットを交換することはできない。N3IWF204がAMF202からN3IWF鍵を受信していない場合は、N3IWF204はEAP-Failureで応答する。
ステップ11では、UE200で作成されて、ステップ9aにおいてN3IWF204によって受信された共通のN3IWF鍵を用いることにより、UE200とN3IWF204との間にIPsec SAが確立される。このIPsec SAは、「シグナリングIPsec SA」と呼ばれる。シグナリングIPsec SAの確立後、UE200とN3IWF204との間の全てのNASメッセージは、このIPsec SAを介して交換される。シグナリングIPsec SAは、トランスポートモードで動作するように構成されるものとする。SPI値は、IPsecパケットがNASメッセージを搬送するかどうかを判定するのに用いられる。
ステップ12で、UE200は、確立されたシグナリングIPsec SAを介してSMC完了メッセージを送信し、その後の全てのNASメッセージは、このIPsec SAを介して、UE200とAMF202との間で交換される。
上記のように、UE200及びN3IWF204は、非3GPPアクセスネットワーク110を介したIKE SA及びシグナリングIPsec SAの確立が5GCN100によって承認されたときの方法を定めている。しかし、IKE SA及びシグナリングIPsec SAの確立が5GCN100によって承認されないときに対処するのに利用できるシステムまたは方法はない。さらに、ユーザプレーンについては、ユーザプレーンのIPsec SAの確立が5GCN100によって承認されないときに対処するためのシステム及び方法を指定する必要がある。一般に、5GCN100への非3GPPアクセスの拒否に対処するための方法及びシステムを確立する必要がある。
実施形態 - 非3GPPアクセスネットワークを介したUE登録が5Gコアネットワークによって承認されないときに対処するためのプロセス及びプロトコルの高度化
図4は、IKE SA及びシグナリングIPsec SAの確立が承認されないときに対処するための方法400の実施形態の論理フロー図を示す。ステップ402において、UE200は、選択したN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立の要求を進める。UE200は、IETF RFC 7296「Internet Key Exchange Protocol Version 2(IKEv2)」,(2014年10月)に記載されているインターネット鍵交換(IKE)プロトコルを使用してIPsec SAの確立を開始する。UE200は、ステップ404において、IKE_AUTH要求メッセージを送信する。ステップ406において、N3IWF204は、EAP-Request/5G-Startパケットを含むIKE_AUTHレスポンスメッセージで応答する。EAP-Request/5G-Startパケットは、UE200に、EAP-5Gセッションを開始するよう通知する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう通知する。
ステップ408において、UE200は、5GCN100に対する登録要求、例えば、アクセスネットワークパラメータ(AN-Params)を含むEAP-Response/5G-NASパケットとNAS登録要求メッセージとを含むIKE_AUTH要求を生成する。AN-Paramsは、5GCN100でAMF202を選択するためのN3IWF204によって使用される情報(例えば、SUPIまたは5G-GUTI、選択したネットワーク及びNSSAIなど)を含む。
場合によっては、例えばEAP-AKA′認証が成功しなかったなどの認証の失敗が原因で、非3GPPアクセスを介したUE登録が拒否される。その場合、IKE SA及びシグナリングIPsec SAの確立は、5GCN100によって承認されない。実施形態では、AMF202は、登録拒否(REGISTRATION REJECT)メッセージを生成し、N3IWF204は、ステップ410において、その登録拒否メッセージを包含するNAS-PDUフィールドを含むEAP-Response/5G-NASメッセージをUEに送信する。
登録拒否メッセージを受信すると、UE200は、ステップ412において、EAP-Response/5G-Stopメッセージ(IKE_Auth要求にカプセル化される)を生成して送信することにより、登録要求を終了する。UE200は、ステップ414において、N3IWF204からEAP失敗メッセージ付きのIKE_AUTHレスポンスを受信する。N3IWF204からEAP-Failureメッセージを受信すると、UE200は、IKEv2 SA削除手順を実行する。UE200は、スイッチを切るか、またはUSIMを含むUICCが除去されるまで、同じPLMNからN3IWF204へのIKE SA及びシグナリングIPsec SAの確立を再開始しない。
非3GPPアクセスネットワーク110を介したUE200の登録が拒否されると、AMF202は、登録拒否メッセージをN3IWF204に送信する。それに応答して、N3IWF204は、登録拒否メッセージを含むNAS-PDUフィールドを含むEAP-Response/5G-NASメッセージをUE200に送信する。その後のUE200のレスポンスは、登録拒否の理由に応じて異なり得る。構文エラーまたは特定の一時的な拒否理由など、修復可能なエラーの場合、UE200は、有効なパラメータを用いて登録を再び開始しようと試みることができる。他の拒否の理由では、UE200はEAP-5G手順を停止し、IKE SA及びEAPスタック関連のリソースを復元する。EAP-5G手順の停止には、5G-Stop表示が必要とされる。これらの手順はいずれも、本明細書でさらに詳細に説明されている。
実施形態 - 修復可能なエラーによる登録失敗後のEAP-5G手順の完了
図5は、修復可能なエラーによる認証失敗後のEAP-5Gセッション手順の方法500の実施形態の論理フロー図を示す。本実施形態では、信頼されていない非3GPPアクセスネットワーク110を介した5GCN100へのUE200登録要求は拒否される。
N3IWF204は、ステップ502において、EAP-Request/5G-StartメッセージをUE200に送信する。この5G開始メッセージは、UE200に、EAP-5Gセッションを開始するよう要求する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう要求する。UE200は、EAP-Response/5G-NASメッセージ内に、5GCN100への登録要求を生成しており、このEAP-Response/5G-NASメッセージは、ANパラメータと、ステップ504でのその登録要求を含むNAS-PDUフィールドとを含む。本実施形態では、5GCN100へのUE200登録は、AMF202によって拒否される。AMF202は、登録拒否メッセージをN3IWF204に送信する。それに応答して、N3IWF204は、NAS登録拒否メッセージを含むNAS-PDUフィールドを含むEAP-Request/5G-NASメッセージを、ステップ506でUE200に送信する。
登録を再試行することは必須ではないが、UE200は、5GCNへの登録を再び開始することを試みることができる。構文エラーまたは特定の一時的な拒否理由などの修復可能なエラーの場合、UE200は、更新されたパラメータで登録要求メッセージを変更し、登録を再試行し得る。あるいは、UE200は、パラメータを更新せずに、後で登録を再試行してもよい。
UE200は、必要に応じて更新されたANパラメータと、ステップ508での登録要求を含むNAS-PDUフィールドとを含むEAP-Response/5G-NASメッセージとしてフォーマットされた第2の登録要求を送信する。次に、UE200及びN3IWF204は、IKE SA及びシグナリングIPsec SAの確立を行って、NASセキュリティコンテキスト及びN3IWF鍵を作成する(図示せず)。
N3IWF鍵がUE200で作成された後、N3IWF204は、510でのEAP-successを示すセキュリティモードコマンド(SECURITY MODE COMMAND)メッセージを有したNAS PDUを含むEAP-Request/5G NASメッセージを送信する。UE200は、512でのセキュリティモード完了(SECURITY MODE COMPLETE)メッセージを含むNAS PDUを備えたEAP-Response/5G-NASメッセージを生成して送信することにより、EAP-5Gセッションの完了を要求する。それによって、N3IWF204がAMF202からN3IWF鍵も受信していると仮定して、N3IWF204がUE200にEAP-Successを送信することをトリガする。これでEAP-5Gセッションは完了し、それ以上EAP-5Gパケットを交換することはできない。
このようにして、UE200は、拒否されたときに、非3GPPアクセスネットワーク110を介して5GCN100への登録要求を再試行することができる。拒否は、構文エラーまたはANパラメータのエラーなど、修復可能なエラーが原因である場合がある。このような修復可能なエラーが修正されたときに、2回目の登録試行は成功する可能性がある。別の実施形態では、拒否は一時的な拒否理由によるものである。その後、UE200は、同じパラメータで登録を再試行し、EAP-5Gセッションを完了することができる。
実施形態 - 修復不能なエラーによる登録失敗後のEAP-5G手順の完了
図6は、修復不能なエラーまたは永続的な障害による登録拒否のEAP-5Gセッション手順の実施形態を示す論理フロー図を示す。本実施形態では、信頼されていない非3GPPアクセスネットワーク110を介した5GCN100へのUE200登録要求は再び拒否される。
N3IWF204は、ステップ602において、非3GPPアクセスネットワーク110を介した5GCN100への登録を開始するために、EAP-Request/5G-StartメッセージをUE200に送信する。UE200は、登録要求、例えば、ANパラメータと、ステップ604での登録要求を含むNAS-PDUフィールドとを含むEAP-Response/5G-NASメッセージで応答する。
EAP-AKA′認証が成功しなかったなど、修復不能なエラーが原因で認証が失敗した場合、N3IWF204はAMF202(図示せず)から登録拒否メッセージを受信する。AMF202からの登録拒否メッセージの受信に応答して、N3IWF204は、606でUE200へのEAP-Request/5G-NASメッセージを生成する。EAP-Request/5G-NASメッセージは、EAP-Failureフィールドを有するNAS登録拒否メッセージを含むNAS-PDUフィールドを含む。
UE200は、ステップ608において、EAP-Response/5G-Stopメッセージを生成して送信することにより、登録手順を終了する。5G-stopメッセージは、非3GPPアクセスネットワーク110を介した5GCN100への登録のためのEAPセッションが終了したことを示す。UE200からEAP-Response/5G-Stopメッセージを受信した後、N3IWF204は、ステップ610において、EAP-FailureメッセージをUE200に送信することにより、EAP-5Gの手順を終了する。本実施形態では、UE200は、登録時に再試行することなく、EAP-5Gセッションを停止する。
図7は、EAP-Response/5G-Stopメッセージ700の実施形態の概略ブロック図を示す。EAP-Response/5G-Stopメッセージ700は、コード702、識別子704、長さ706、タイプ708、ベンダーID710、ベンダータイプ712、メッセージ識別子(メッセージID)714、スペア716、及び拡張子718を含む例示的なフィールドを有する様々なEAPパケットを含む。EAPパケットのメッセージIDフィールド714は、5G-Stopメッセージを示すための識別子を含む。EAPパケット内のフィールドの値の例を以下の表1に示す。
Figure 2023156302000002
表1
EAP-Response/5G-Stopメッセージのフィールド例
EAPメッセージ内のメッセージ識別子(メッセージID)フィールド714は、5G Stop識別子または値を含む。EAP-Response/5G-Stopメッセージ700のフィールド及び値は例にすぎず、登録停止の同様の意味を示す他のフィールド/値またはプロトコルパケットが実装されてもよい。
実施形態 - 認証失敗のためにIPsec SAの確立が承認されないときに対処するための方法及びプロトコルの高度化
図8は、認証失敗により、非3GPPアクセスネットワーク110を介したUE200登録のためのIKE SA及びシグナリングIPsec SAの確立が承認されないときのネットワークノード機能間のメッセージフローのための方法800の実施形態の論理フロー図を示す。例えば、AKA-ChallengeまたはAKA′-challengeなどの認証手順の失敗により、IKE SA及びシグナリングIPsec SAの確立が承認されない場合がある。方法800は、UE200に障害を伝えるための新たなプライベートIKEv2通知メッセージタイプと、5GCN100へのアクセスが非3GPPアクセスネットワーク110によって許可されないことを指摘するための新たな原因値とを含む。
UE200は、ステップ802において、信頼されていない非3GPPアクセスネットワーク(N3AN)110、例えば、パブリックWLANに、802.1xプロトコルを使用して接続する。UE200が5GCN100にアタッチすることを決定すると、UE200は、ステップ804において、5G PLMN内のN3IWF204を選択する。UE200は、例えば、ステップ806において、IETF RFC 7296「Internet Key Exchange Protocol Version 2(IKEv2)」(2014年10月)に記載されているように、IKEの初期交換を開始することで、選択したN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立を進める。IKE SAの確立後、後続のIKEメッセージは暗号化され、このステップ806で確立されたIKE SAを使用することによって整合性が保護される。
次に、UE200は、ステップ808において、IKE_AUTH要求メッセージを送信することにより、IKE_AUTH交換を開始する。AUTHペイロードはIKE_AUTH要求メッセージに含まれず、このことは、IKE_AUTH交換が、EAPシグナリング(この場合はEAP-5Gシグナリング)を使用しなければならないことを示す。UE200は、このメッセージのUE IDフィールドを任意の乱数に等しく設定することになる。N3IWF204は、ステップ810において、EAP-Request/5G-Startパケットを含むIKE_AUTHレスポンスメッセージで応答する。EAP-Request/5G-Startパケットは、UE200に、EAP-5Gセッションを開始するよう通知する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう通知する。
UE200はまた、N3IWF証明書を有効にし、N3IWF204のIDがUE200によって選択されたN3IWF204と一致することを確認し得る。N3IWF204からの証明書がないか、またはID確認に失敗すると、接続に失敗する可能性がある。次に、UE200は、ステップ812で、5GCN100への登録を要求するために、EAP-Response/5G-NASパケットを含むIKE_AUTH要求を送信する。EAP-Response/5G-NASメッセージは、ANパラメータ(例えば、GUAMI、選択されたPLMN ID、要求されたNSSAI)と、登録要求を含むNAS-PDUフィールドとを含む。
次に、N3IWF204は、ANパラメータを使用してAMF202を選択し、ステップ814において、UE200から受信した登録要求をN2 NASトランスポートメッセージでAMF202に転送する。
AMF202は、UE200を認証することを決定することができる。この場合、AMF202は、ステップ816でAUSF210を選択し、そのAUSF210に鍵要求を送信する。次に、AUSF210は、ステップ818で、AKA-ChallengeまたはAKA’-challengeなどの認証手順を開始することができる。AMF202とUE200との間で、認証パケットはNAS認証メッセージ内にカプセル化され、このNAS認証メッセージはEAP-5G/5G-NASパケット内にカプセル化される。ステップ820及び822では、NASメッセージの認証要求メッセージ内のEAP-Request/AKA′-Challengeメッセージが、N3IWF204を介してUE200へ送信される。このメッセージは、認証が成功した場合に作成される部分的ネイティブセキュリティコンテキストを識別するためにUE200及びAMF202によって使用されるngKSIを含み得る。UE200は、EAP-Request/AKA′-Challengeメッセージで受信したRAND及びAUTNをUSIMに転送する。
RAND及びAUTNを受信すると、USIMは、AUTNを承認することができるかどうかを確認することにより、認証ベクトルを検証する。その場合、USIMはステップ823でレスポンスRESを計算する。UE200は、ステップ824において、NASメッセージのAuth-Respメッセージ内のEAP-Response/AKA′-Challengeメッセージを送信する。EAP-Response/AKA′-Challengeメッセージは、ステップ826及び828において、AMF202を介してAUSF210に送信される。次に、AUSF210は、メッセージの検証を試みることになる。AUSF210は、このメッセージを成功裏に検証した場合、認証を続行する。
先行する既知のシステムでは、AUSF210は、ステップ830での認証失敗のために、5GCN100への非3GPPアクセスが許可されていないと判定した場合に、エラーを返す。新しく改良されたシステム及び方法では、AMF202は、例えば認証の失敗のために5GCネットワークへの非3GPPアクセスが許可されないことを伝えるために、新たなプライベートIKEv2通知メッセージタイプを生成する。
ステップ832において、AUSF210は、EAP失敗(EAP-Failure)のEAPペイロード(EapPayload)と、認証失敗(AUTHENTICATION_FAILURE)の認証結果(authenResult)とを含むHTTP EAPセッション(EAP-session)メッセージを送信する。AMF202は、5GCN100の非3GPPアクセスが許可されていないことを示す新たな5Gモビリティ管理(5GMM)の原因(cause)を生成する。AMF202は、ステップ834で、登録拒否とEAP失敗を示すEAPメッセージ(EAP message)とを含み、5GMM原因を含むN2 NASトランスポートメッセージを生成する。5GMM原因(5GMM_cause)は、エラータイプが、例えばこの場合は、「5GCNの非3GPPアクセスは許可されていない」であることを示している。
UE200は、ステップ836において、N3IWF204から、プライベート通知メッセージタイプ(例えば、8192・・・16383などの事前定義された範囲内の任意のプライベート通知メッセージタイプ)を有する通知ペイロードを含むIKE_AUTHレスポンスメッセージを受信する。プライベートIKEv2通知メッセージには、「5GCへの非3GPPアクセスは許可されない(NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED)」の5GMM原因による登録拒否と、EAP-FailureのEAPメッセージタイプとを含むEAPレスポンス/5G-NAS PDUが含まれる。
したがって、方法800は、5GCN100への非3GPPアクセスが許可されないという登録要求の失敗をUEに通知するために、新たなプライベートIKEv2通知メッセージタイプと新たな5GMM原因値とを含む。新たなプライベートIKEv2通知メッセージが実装されるが、5GCネットワークへの非3GPPアクセスが許可されないか、または拒否されたことをUE200に通知するために、他のタイプのメッセージ、またはフォーマット、またはフィールド、またはエラータイプが実装されてもよい。
NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWEDの5GMM原因を伴うプライベート通知メッセージを受信すると、UE200は、ステップ838において、EAP-Response/5G-Stopメッセージを送信することにより、EAP-5Gセッションを終了する。UE200は、ステップ840において、N3IWF204から、EAP失敗メッセージ付きのIKE_AUTHレスポンスメッセージを受信する。
N3IWF204からEAP失敗メッセージを受信すると、UE200は、IKEv2 SA削除手順を実行し、ステップ842でIKE SAを閉じる。UE200は、スイッチを切るか、またはUSIMを含むUICCが除去されるまで、同じPLMNからN3IWF204へのIKE SA及びIPsec SAの確立を再開始しない。UE200は、ステップ844で、IKEv2 SA削除の情報(INFORMATIONAL)メッセージを送信してもよい。その後、N3IWF204は、ステップ846でIKEv2 SAを閉じることができる。
実施形態 - サブスクリプション制限のためにIPsec SAの確立が承認されないときに対処するための方法及びプロトコルの高度化
図9は、非3GPPアクセスを介したUE200登録のためのIKE SA及びシグナリングIPsec SAの確立が、サブスクリプション制限のために承認されないときのネットワーク機能間のメッセージフローのための方法900の実施形態の論理フロー図を示す。例えば、サブスクリプション制限により、IKE SA及びシグナリングIPsec SAの確立が承認されない場合がある。方法900は、UE200に障害を伝えるための新たなプライベートIKEv2通知メッセージタイプと、5GCN100へのアクセスが非3GPPアクセスネットワーク110によって許可されないことを指摘するための新たな原因値とを含む。
UE200は、ステップ902において、信頼されていない非3GPPアクセスネットワーク(N3AN)110、例えば、パブリックWLANに、802.1xプロトコルを使用して接続する。UE200が5GCN100にアタッチすることを決定すると、UE200は、ステップ904において、5G PLMN内のN3IWF204を選択する。UE200は、例えば、ステップ906において、IETF RFC 7296「Internet Key Exchange Protocol Version 2(IKEv2)」(2014年10月)に記載されているように、IKEの初期交換を開始することで、選択したN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立を進める。IKE SAの確立後、後続のIKEメッセージは暗号化され、このIKE SAで確立された鍵を使用して整合性が保護される。
次に、UE200は、ステップ908において、IKE_AUTH要求メッセージを送信することにより、IKE_AUTH交換を開始する。AUTHペイロードはIKE_AUTH要求メッセージに含まれず、このことは、IKE_AUTH交換が、EAPシグナリング(この場合はEAP-5Gシグナリング)を使用しなければならないことを示す。UE200は、このメッセージのUE IDフィールドを任意の乱数に等しく設定する。N3IWF204は、ステップ910において、EAP-Request/5G-Startパケットを含むIKE_AUTHレスポンスメッセージで応答する。EAP-Request/5G-Startパケットは、UE200に、EAP-5Gセッションを開始するよう通知する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう通知する。
UE200はまた、N3IWF証明書を有効にし、N3IWF204のIDがUEによって選択されたN3IWF204と一致することを確認し得る。N3IWF204からの証明書がないか、またはID確認に失敗すると、接続に失敗する可能性がある。次に、UE200は、ステップ912において、EAP-Response/5G-NASパケットを含むIKE_AUTH要求の中の登録要求を送信する。EAP-Response/5G-NASパケットは、GUAMI、選択されたPLMN ID、要求されたNSSAIなどのANパラメータと、登録要求を有するNAS PDUとを含む。次に、N3IWF204は、ステップ914において、AMF202を選択し、UE200から受信したNAS PDU内の登録要求をAMF202に転送する。
AMF202は、UE200を認証することを決定することができる。この場合、AMF202は、ステップ916でAUSF210を選択し、そのAUSF210に鍵要求を送信する。次に、AUSF210は、ステップ918で、AKA-ChallengeまたはAKA′-challengeなどの認証手順を開始することができる。AMF202とUE200との間で、認証パケットはNAS認証メッセージ内にカプセル化され、このNAS認証メッセージはEAP-5G/5G-NASパケット内にカプセル化される。NASメッセージの認証要求メッセージ内のEAP-Request/AKA′-Challengeメッセージが、ステップ920でAMFによってUE200に送信され、ステップ922でN3IWFによって転送される。このメッセージは、認証が成功した場合に作成される部分的ネイティブセキュリティコンテキストを識別するためにUE200及びAMF202によって使用されるngKSIを含み得る。UE200は、EAP-Request/AKA′-Challengeメッセージで受信したRAND及びAUTNを、UE200のUSIMに転送する。
RAND及びAUTNを受信すると、USIMは、AUTNを承認することができるかどうかを確認することにより、認証ベクトルを検証する。その場合、USIMはステップ923で認証レスポンスを計算する。UE200は、ステップ924において、NASメッセージのAuth-Respメッセージ内のEAP-Response/AKA′-Challengeメッセージを送信する。EAP-Response/AKA′-Challengeメッセージは、ステップ926でN3IWFによってAMFに送信され、次にステップ928でAUSF210に送信される。次に、AUSF210は、メッセージの検証を試みることになる。AUSF210は、このメッセージを成功裏に検証した場合、認証を続行する。しかしながら、AUSF210は、ステップ930において、認証を拒否し、非3GPPの5GCN100へのアクセスを許可しない場合がある。
先行する既知のシステムでは、AUSF210が認証失敗を判定すると、AUSF210はエラーを返す。新しく改良された方法では、AMF202は、5GCN100への非3GPPアクセスが許可されないことを伝えるために、新たな原因を生成する。例えば、AMF202は、例えば、サブスクリプションまたはネットワークの制限のために、5GCN100への非3GPPアクセスが許可されないことをUE200に伝えるために、新たなプライベートIKEv2通知メッセージタイプを生成することができる。
ステップ932において、AUSF210は、EAP失敗(EAP-Failure)のEAPペイロード(EapPayload)と、認証失敗(AUTHENTICATION_FAILURE)の認証結果(authenResult)とを含むHTTP EAPセッション(EAP-session)メッセージを原因とともに送信する。AMF202は、ステップ934で、登録拒否とEAP失敗のEAPメッセージ(EAP message)とを有する、5GMM原因を含むN2 NASトランスポートメッセージを生成する。5GMM原因(5GMM_cause)は、エラータイプがNON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWEDであることを示している。
N3IWF204は、5GCNへの非3GPPアクセスが許可されていないことを示す5GMM原因値と、EAP-Failureタイプメッセージとを含む登録拒否メッセージをカプセル化したAMF202からのレスポンスを受信する。N3IWF204は、ステップ936において、プライベート通知メッセージタイプ(例えば、8192・・・16383などの事前定義された範囲内の任意のプライベート通知メッセージタイプ)を有する通知(Notify)ペイロードを含むIKE_AUTHレスポンスメッセージを生成する。プライベートIKEv2通知メッセージには、「5GCへの非3GPPアクセスは許可されない(NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED)」の5GMM原因による登録拒否と、EAP-FailureのEAPメッセージタイプとを含むEAPレスポンス/5G-NAS PDUが含まれる。
このように、5GCN100への非3GPPアクセスが許可されていないことをUE200に伝えるために、新たな5GMM原因コードが実装される。この5GMM原因は、AMF202によって生成され、UE200がサブスクリプションまたはネットワークの制限により、非3GPPアクセスネットワーク110を介して5GCN100にアクセスすることが許可されていないPLMNでは、UE200が非3GPPアクセスを介してサービスを要求した場合に、この5GMM原因がUE200に送信される。したがって、UE200は、非3GPPアクセスネットワーク110を介して5GCN100へアクセスすることが拒否されたことを通知される。
UE200は、ステップ936において、N3IWF204から、プライベート通知メッセージタイプを有する通知ペイロードと、EAP-FailureのEAPメッセージと、NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWEDの5GMM原因とを含むIKE_AUTHレスポンスメッセージを受信する。この結果として、UE200は、単にエラーメッセージを受信するのではなく、理由付きの登録拒否通知を受信する。
次に、UE200は、ステップ938において、N3IWF204へのEAP-Response/5G-Stopメッセージを生成することにより、登録要求を終了する。UE200は、ステップ940において、N3IWF204から、EAP失敗メッセージ付きのIKE_AUTHレスポンスメッセージを受信する。
N3IWF204からEAP失敗メッセージを受信すると、UE200は、IKEv2 SA削除手順を実行し、ステップ942でIKE SAを閉じる。本例では、サブスクリプションまたはネットワークの制限という修正不能なエラーのため、UE200は、スイッチを切るか、またはUSIMを含むUICCが除去されるまで、同じPLMNからN3IWF204へのIKE SA及びIPsec SAの確立を再開始しない。UE200は、ステップ944で、IKEv2 SA削除の情報(INFORMATIONAL)メッセージを送信してもよい。その後、N3IWF204は、ステップ946でIKEv2 SAを閉じることができる。
実施形態 - ユーザプレーンのIPsec SAの確立が承認されないときに対処するための方法及びプロトコルの高度化
図10は、ユーザプレーンIPsecセキュリティアソシエーション(SA)の確立が承認されないときのネットワークノード機能間のメッセージフローのための方法の実施形態の論理フロー図を示す。UE200は、ステップ1002において、信頼されていない非3GPPアクセスネットワーク(N3AN)110、例えば、パブリックWLANに、802.1xプロトコルを使用して接続する。UE200が5GCN100にアタッチすることを決定すると、UE200は、ステップ1004において、5G PLMN内のN3IWF204を選択する。UE200は、ステップ1006でIKE初期交換を開始することにより、選択されたN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立を進める。本実施形態では、UE200は、1008で、選択されたN3IWF204に対してIKE SA及びシグナリングIPsec SAを正常に確立する。例えば、図3に示すように、例えば、EAP-AKA′手順などのUE200の認証が成功し、EAP-5Gが完了する。
次に、UE200は、1010でPDUセッション確立要求メッセージをAMF202に送信して、ユーザプレーンIPsec SAを確立する。このPDUセッション確立要求メッセージは、シグナリングIPsec SAを介してN3IWF204に送信され、N3IWF204は、このメッセージを、ステップ1012で、5GCN100のAMF202に透過的に転送する。AMF202は、ステップ1014で、SMF206とのセッション管理(SM)コンテキストを作成することができる。AMF202は、NAS N2インタフェースPDUセッション要求メッセージをN3IWF204に送信して、例えば、ステップ1016で、N2 PDUセッションリソースセットアップ要求において、このPDUセッションのためのアクセスリソースを確立する。PDUセッション要求は、PDUセッションID、PDUセッション確立承認、QFI、QoSプロファイルなどを含み得る。
独自のポリシー及び構成に基づいて、かつN2 PDUセッション要求で受信したQoSプロファイルに基づいて、N3IWF204は、確立するユーザプレーンIPsec SAの数と、各ユーザプレーンIPsec SAに関連付けられたQoSプロファイルとを判定する。例えば、N3IWF204は、1つのユーザプレーンIPsec SAを確立し、全てのQoSプロファイルをこのユーザプレーンIPsec SAに関連付けることを決定することができる。本例では、PDUセッションの全てのQoSフローは、1つのユーザプレーンIPsec SAを介して転送される。別の例では、N3IWF204は、複数のユーザプレーンIPsecチャイルドSAを確立し、特定のQoSプロファイルを、複数のユーザプレーンIPsecチャイルドSAのうちの種々のユーザプレーンIPsecチャイルドSAに関連付けることを決定し得る。
N3IWF204は、ステップ1018で、PDUセッションのための第1のユーザプレーンIPsecチャイルドSAを確立するために、IKE Creat_Child_SA要求をUE200に送信する。IKE Create_Child_SA要求は、SAup1のIDを持つ第1のユーザプレーンIPsecチャイルドSAを示す。この要求には、(a)チャイルドSAに関連付けられたQFI(複数可)、(b)このチャイルドSAに関連付けられたPDUセッションのID、(c)任意選択で、チャイルドSAに関連付けられたDSCP値、及び(d)UP_IP_ADDRESSを含む3GPP固有の通知(Notify)ペイロードが含まれ得る。IKE Create_Child_SA要求は、SAペイロード、N3IWF204及びUE200のトラフィックセレクタ(Traffic Selector)(TS)などの他の情報を含む場合もある。
UE200が新たなIPsecチャイルドSAを承認すると、UE200は、ステップ1020で、IKE Create_Child_SAレスポンスを送信する。UE200及びN3IWF204は、ステップ1022で、複数のIPsecチャイルドSAを確立するために、IKE Create_Child_SA要求及びレスポンスの複数回の繰り返しをやり取りし得る。追加のIPsecチャイルドSAが確立され、それぞれが1つ以上のQFI(複数可)とUP_IP_ADDRESSとに関連付けられる。
ステップ1024でのユーザプレーンIPsec SA要求が、ステップ1026でのように、UE200によって承認されない場合、UE200は、ステップ1026で、エラータイプの通知ペイロードを有するCREATE_CHILD_SAレスポンスメッセージをN3IWF204に送信する。通知メッセージのタイプは「エラー」であり得る。「エラー」の通知メッセージタイプは、IPsecチャイルドSAがUE200によって承認されないことを示す。
エラータイプの通知ペイロードを含むCREATE_CHILD_SAレスポンスメッセージを受信すると、N3IWF204は、非3GPPアクセスを介したPDUセッション確立の拒否をトリガするために、ステップ1032でN2 PDUセッションリソースセットアップレスポンスメッセージを介して、AMF202に、失敗と、セットアップに失敗したPDUセッションリソースのリストとを示す。あるいは、N3IWF204が、以前にPDUセッションのQoSフロー識別子(QFI)用に、複数のユーザプレーンIPsec SAを作成することを決定し、PDUセッションの1つ以上のユーザプレーンIPsec SAがすでにアクティブである場合、ネットワークは、ステップ1028及び1030に示すように、障害が発生したユーザプレーンIPsec SAのQFI(複数可)を、すでに確立されているユーザプレーンIPsec SAにマッピングすることにより、PDUセッションの確立を完了することを選択することができる。
ステップ1034で、PDUセッション確立拒否メッセージを示すNAS PDUを含むN2 PDUセッションリソース解放コマンドを受信すると、N3IWF204は、ステップ1036で、このPDUセッション確立拒否をUE200へ透過的に転送する。専用の5Gセッション管理(5GSM)原因(5GSM_cause)「IPsec SA障害」が、PDUセッション拒否の理由を示すために定められている。
実施形態 - 非3GPPアクセスのためのプライベートIKEv2通知メッセージタイプ
以下の表2に、非3GPPアクセス用の通知メッセージのタイプを示す。本例では、プライベートIKEv2通知メッセージ及びプライベートエラータイプを説明しているが、他のメッセージプロトコル、値、及びエラータイプを、5GCN100への非3GPPアクセスが許可されないときに、UE200へ理由またはエラーの通知を提供するのに使用してもよい。
本例では、プライベートIKEv2通知メッセージタイプが非3GPPアクセス使用のために定義されている。8192~16383の値(10進数)を持つ通知メッセージタイプが、プライベートエラー使用のために予約されているが、他の値やフィールドが実装されている場合もある。40960~65535の値(10進数)を持つ通知メッセージタイプが、プライベートステータスでの使用のために予約されている。本明細書では、本明細書で使用されるプライベートIKEv2通知メッセージタイプのみを説明する。表2で定義されているプライベート通知メッセージのエラータイプは、5GCN100への非3GPPアクセスのネゴシエーション中のエラーを示すエラー通知である。例えば、エラータイプは、5GCN100への非3GPPアクセスのためのIKEv2 SAまたはIPsec SAのネゴシエーションに応答して生成され得る。プライベート通知メッセージタイプのフィールド及び値は例にすぎず、同様の意味を示す他のフィールド/値を実装してもよい。
表2
非3GPPアクセス用の通知メッセージのタイプ
UE200は、5GCN100への非3GPPアクセスが許可されていないことを示すエラータイプを伴うメッセージを受信することができる。この結果として、UE200は、非3GPPアクセスネットワーク110を介して5GCN100へアクセスすることが拒否されたことを通知される。
実施形態 - 5GCネットワークへの非3GPPアクセスのためのサブスクリプションがないために認証失敗を通知するための原因コード
図11は、5GMM原因情報要素1100の実施形態の概略ブロック図を示す。5GMM原因情報要素1100は、5GMM原因情報要素インディケータ(IEI)1104及び原因値1106を含む。原因値1106は、UE200から5GCN100へのアクセスを求める5GMM要求がネットワークによって拒否される理由を示す。本実施形態においては、「5GCNへの非3GPPアクセスは許可されていない」に新たな原因コードが対応する。この5GMM原因は、サブスクリプション、ネットワーク制限、またはその他の認証失敗により、UE200が非3GPPアクセスを介して5GCN100にアクセスすることを許可されていないPLMNにおいて、UE200が非3GPPアクセスを介してサービスを要求した場合に、UE200に送信される。
図12は、5GMM原因情報要素の値の実施形態の概略ブロック図を示す。この例では、所定の値が「5GCNへの非3GPPアクセスは許可されていない」に対応する。UE200によって受信される他の値が、「プロトコルエラー、詳細不明」として扱われる。ネットワークが受信したその他の何らかの値も「プロトコルエラー、詳細不明」として扱われる。5GMM原因情報要素のフィールド及び値は例にすぎず、同様の意味を示す他のフィールド/値を実装してもよい。
図13は、N3IWF204の方法1300の実施形態の論理フロー図を示す。N3IWF204は、ステップ1302で1つ以上のプロトコルを使用して、5GCN100内のノードと第1のインタフェースを使用して通信する。N3IWF204は、ステップ1304で、IEEE 802.1x WLANプロトコルに準拠したWLANトランシーバなどの少なくとも第2のインタフェースを使用して、非3GPPアクセスネットワークを介してUEと通信する。
N3IWF204は、ステップ1306で、信頼されていないアクセスネットワーク内のUE200からコアネットワークへ安全な接続を確立するための登録要求を処理する。例えば、N3IWF204は、UE200からのANパラメータ及び登録要求を含むEAP-Response/5G-NASメッセージを受信する。N3IWF204は、UE200の認証及びサブスクリプションチェックのために、メッセージを5GCN100に転送する。例えば、N3IWF204は、認証及びサブスクリプションチェックの要求を生成し、この認証及びサブスクリプションチェックの要求を、AMF202に向けて、第2のインタフェースを介して送信する。
N3IWF204は、例えば、修復不能なエラーのために、ステップ1308で、接続の確立がコアネットワークによって承認されないと判定する。例えば、AMF202は、AUSF210から認証失敗のレスポンスを受信する。AMF202は、登録拒否を有するNASトランスポートメッセージと、5GMM原因を含むEAP失敗のEAPメッセージとを生成する。5GMM原因(5GMM_cause)は、エラータイプがNON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWEDであることを示している。N3IWF204は、5GCNへの非3GPPアクセスが許可されていないことを示す5GMM原因値を含む登録拒否メッセージをカプセル化したAMF202からのレスポンスを受信する。
N3IWF204は、UEへのレスポンスメッセージを生成し、このレスポンスメッセージは、ステップ1310において、信頼されていないネットワークアクセスを介した接続の確立が、コアネットワークによって許可されていないことを示す原因値を含む。例えば、N3IWF204は、接続の確立が5GCN100によって承認されないことを示すメッセージタイプまたはEAP-Failureを含むペイロードと、5GMM原因とを有するインターネット鍵交換(IKE)レスポンスメッセージを生成する。UE200へのEAP-Response/5G-NASメッセージには、EAP-Failureフィールドと5GMM原因とを含む登録拒否メッセージが含まれる。登録拒否メッセージの5GMM原因は、非3GPPアクセスが5GCN100によって許可されないことを示す。
実施形態では、UEへのIKEレスポンスメッセージは、プライベート通知メッセージタイプ(例えば、8192・・・16383などの事前定義された範囲内の任意のプライベート通知メッセージタイプ)を有する通知(Notify)ペイロードを含むIKE_AUTHレスポンスメッセージを含み得る。プライベートIKEv2通知メッセージには、「5GCへの非3GPPアクセスは許可されない(NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED)」の5GMM原因による登録拒否と、EAP-FailureのEAPメッセージタイプとを含むEAPレスポンス/5G-NAS PDUが含まれる。
N3IWF204は、ストップメッセージを含むUE200からのレスポンスを処理し、それに応答してUE200への失敗メッセージを生成する。例えば、UE200は、EAP-Response/5G-StopメッセージをN3IWF204に送信して、5GCN100との安全なセッション確立のための登録要求の終了を示す。EAP-responseパケットには、5G停止のメッセージタイプ識別子が含まれている。UE200からEAP-Response/5G-Stopメッセージを受信した後、N3IWF204は、EAP-FailureメッセージをUE200に送信することにより、EAP-5Gの手順を終了する。N3IWF204は、方法1300でこれらのステップを実行するものとして説明されているが、UE及びコアネットワークと通信する他のノードまたはモジュールが、本明細書で説明されるステップのうちの1つ以上を行ってもよい。
図14は、修復可能なエラーによる認証失敗を伴う、信頼されていないアクセスネットワークを介したコアネットワークへの登録要求の方法1400の実施形態の論理フロー図を示す。UE200は、ステップ1402で、非3GPPアクセスネットワークを介して5GCN100内のインターワーキング機能(N3IWF204など)へ通信するように構成される。UE200は、1404で、非3GPPアクセスネットワークを介した5GCN100への登録を要求し得る。UE200は、1406で、5GCN100への非3GPPアクセスが許可されていないという通知を含むレスポンスメッセージを処理する。UE200は、ステップ1408において、エラーまたは拒否理由が修復可能であると判定する。UE200は、この第2の登録要求におけるパラメータを第1の試行から修正することができる。あるいは、UEは、同じパラメータを用いて後で登録を再試行することを決定することができる。次に、UE200は、1410で、非3GPPアクセスネットワークを介して、第2の登録要求を5GCN100に送信する。次に、UE200は、ステップ1412で、セッションの確立が成功したというレスポンスを処理する。
図15は、修復不能なエラーによる認証失敗を伴う、信頼されていないアクセスネットワークを介したコアネットワークへの登録要求の方法1500の実施形態の論理フロー図を示す。UE200は、ステップ1502で、非3GPPアクセスネットワークを介して5GCN100内のインターワーキング機能(N3IWF204など)へ通信するように構成される。UE200は、1504で、非3GPPアクセスネットワークを介した5GCN100への登録を要求し得る。UE200は、1506で、5GCN100への非3GPPアクセスが許可されていないという通知を含むレスポンスメッセージを処理する。UE200は、ステップ1508において、エラーまたは拒否理由が修復可能ではないと判定する。UE200は、ステップ1510において、セッションを終了し、ストップメッセージを含むレスポンスを生成する。UE200は、ステップ1512において、失敗メッセージを受信し、削除手順を実行して、セッションを閉じる。
図16は、例示的なユーザ機器200の実施形態の概略ブロック図を示す。ユーザ機器(UE)200は、非3GPPアクセスネットワーク110を介して通信するように動作可能なスマートフォン、スマートタブレット、ラップトップ、スマートウォッチ、PC、テレビまたは他のデバイスを含み得る。追加または代替の構成要素及び機能が、UE200内に含まれてもよい。さらに、本明細書に示す機能及び構成要素のうちの1つ以上は、存在しない場合があり、または他の構成要素もしくは機能と組み合わされない場合がある。
UE200は、UE200に関して本明細書で説明される機能のうちの1つ以上を実行するように構成された処理デバイス1600及びメモリデバイス1602を含む。メモリデバイス1602は、本明細書で説明される様々な機能を実行するように処理デバイス1600を制御するアプリケーション及び動作命令を格納する管理対象オブジェクト1604を含み得る。UE200はまた、IMSIの記憶のためのUSIM1608を含むUICC1606を含み得る。他の実施形態では、例えば、UE200はUICC1606を有さない、UE200は動作不能なUICC1606を有するなど、UE200はUICC機能を有さない。
UE200は、ブルートゥーストランシーバ1610、WLAN(IEEE 802.11x準拠)トランシーバ1612、モバイルRF(3G/4G)トランシーバ1614、及びGPS1616をさらに含み得る。WLANトランシーバ1612は、WLANネットワークへの非3GPPアクセスインタフェースとして動作し得る。UE200は、ユーザインタフェース1618、ACアダプタ1620、バッテリモジュール1622、USBトランシーバ1624、及びイーサネットポート1628をさらに含み得る。
UE200は、デジタルカメラ1630、タッチスクリーンコントローラ1632、スピーカ1634、及びマイクロフォン1636をさらに含み得る。UE200はまた、電力管理ユニット1638を含み得る。1つ以上の内部通信バス(図示せず)が、UE200の構成要素のうちの1つ以上を通信可能に結合し得る。
図17は、例示的なAMF202の実施形態の概略ブロック図を示す。AMF202は、AMF202の機能性を備えた任意の1つ以上のノードを含む。AMF202は、5GCN100内の他のノードと統合され得る。追加または代替の構成要素及び機能が、AMF202内に含まれてもよい。さらに、本明細書に示す機能及び構成要素のうちの1つ以上は、存在しない場合があり、あるいは他の構成要素または機能もしくはノードと組み合わされない場合がある。AMF202は、AMF202に関して本明細書で説明される機能のうちの1つ以上を実行するように構成された処理デバイス1700及びメモリデバイス1702を含む。AMF202は、5GCN100内の他のネットワークノードとインタフェースするためのポートを含むネットワークインタフェース1704を含み得る。
図18は、例示的なN3IWF204の実施形態の概略ブロック図を示す。N3IWF204は、ワイヤレスローカルエリアネットワーク内のアクセスポイント、ローカルエリアネットワーク内のゲートウェイ、または本明細書で説明されるインターワーキング機能を含む他のタイプのノードであり得る。N3IWF204は、アクセスネットワークまたは5GCN100内の他のノードと統合させてもよい。追加または代替の構成要素及び機能が、N3IWF204内に含まれてもよい。さらに、本明細書に示す機能及び構成要素のうちの1つ以上は、存在しない場合があり、または他の構成要素もしくは機能と組み合わされない場合がある。
N3IWF204は、本明細書で説明される機能のうちの1つ以上を実行するように構成された処理デバイス1800及びメモリデバイス1802を含む。N3IWF204は、5GCN100内の他のネットワークノードとインタフェースするための第1のネットワークインタフェース1804(例えば、イーサネットポート、IPポート)を含み得る。N3IWF204はまた、WLANトランシーバ1806(例えば、IEEE 802.1x WLANタイプのネットワークに準拠)など、UEと通信するための1つ以上の他のタイプのインタフェースを含み得る。N3IWF204はまた、セルラエアインタフェースに準拠したモバイルRFトランシーバ1808を含み得る。UE200は、WLANトランシーバ1806またはモバイルRFトランシーバ1808のうちの1つ以上を使用して、N3IWF204と通信し得る。
実施形態では、処理デバイスは、信頼されていない非3GPPアクセスネットワークを介してUE200からIPsecセキュリティアソシエーション(SA)要求を受信し、IKEプロトコルなど、信頼されていない非3GPPアクセスネットワーク内のUE200の認証プロトコルを実行するように構成される。次に、N3IWF204は、IPsec SA要求がコアネットワークによって承認されないことを示す認証レスポンスを取得することができる。その後、N3IWF204は、UE200への認証レスポンスを生成することができ、この認証レスポンスは、信頼されていないアクセスネットワークを介したUE200によるコアネットワークへのアクセスが拒否されることを示す。
本明細書に記載の処理デバイスは、マイクロプロセッサ、マイクロコントローラ、デジタルシグナルプロセッサ、マイクロコンピュータ、中央処理装置、フィールドプログラマブルゲートアレイ、プログラマブルロジックデバイス、ステートマシン、ロジック回路、アナログ回路、デジタル回路、及び/または回路のハードコーディング及び/または動作命令に基づいて信号(アナログ及び/またはデジタル)を操作する任意のデバイスなどの少なくとも1つの処理デバイスを含む。メモリデバイスは、非一時的メモリデバイスであり、内部メモリまたは外部メモリであり得、メモリは、単一のメモリデバイスまたは複数のメモリデバイスであり得る。メモリデバイスは、読み出し専用メモリ、ランダムアクセスメモリ、揮発性メモリ、不揮発性メモリ、静的メモリ、動的メモリ、フラッシュメモリ、キャッシュメモリ、及び/またはデジタル情報を格納する任意の非一時的メモリデバイスであり得る。用語「モジュール」は、本明細書の要素の1つ以上の実施形態の説明で使用される。モジュールは、本明細書で説明され得るように、1つ以上の機能を実行するように動作可能な1つ以上の処理デバイス及び/または1つ以上の非一時的メモリデバイスを含む。モジュールは、独立して及び/または他のモジュールと組み合わせて動作し得、他のモジュールの処理デバイス及び/またはメモリ及び/または他のモジュールの動作命令を利用し得る。本明細書でも使用されるように、モジュールは、1つ以上のサブモジュールを含み得、そのそれぞれは、1つ以上のモジュールであり得る。
本明細書で使用され得るように、「動作可能な」または「構成可能な」という用語は、要素が、記載された、または必要な対応する機能のうちの1つ以上を実行するための回路、命令、モジュール、データ、入力(複数可)、出力(複数可)などのうちの1つ以上を含むことを示し、記載された、または必要な対応する機能を実行するために、1つ以上の他のアイテムへの推論的結合をさらに含み得る。本明細書でも使用されることがあるように、用語(複数可)「結合された」、「~に結合された」、「~に接続された」及び/または「接続している」または「相互に接続される」は、ノード/デバイス間の直接的な接続またはリンク、及び/またはノード/デバイス間の間接的な接続を、介在するアイテム(例えば、アイテムは、構成要素、要素、回路、モジュール、ノード、デバイス、ネットワーク要素などを含むが、これらに限定されない)を介して含む。本明細書でさらに使用され得るように、推論的接続(すなわち、1つの要素が推論によって別の要素に接続されている場合)は、「接続されている」と同様に、2つのアイテム間の直接的及び間接的な接続を含む。
本開示の態様は、本明細書では、概略図、フローチャート、流れ図、構造図、またはブロック図として示されるプロセスとして説明され得ることに留意されたい。フローチャートは動作を順序プロセスとして説明する場合があるが、動作の多くは並行してまたは同時に実行することができる。さらに、動作の順序を再整理する場合がある。プロセスは、その動作が完了した時点で終了する。プロセスは、方法、関数、プロシージャ、サブルーチン、サブプログラムなどに対応し得る。プロセスが関数に対応する場合、その終了は、呼び出し元の関数、またはメイン関数への関数の戻りに対応する。
本明細書に記載された本開示の様々な特徴は、本開示から逸脱することなく、様々なシステム及びデバイスに実装することができる。本開示の上記の態様は単なる例にすぎず、本開示を限定するものとして解釈されるべきではないことに留意すべきである。本開示の態様の説明は、例示を意図するものであり、特許請求の範囲を限定するものではない。したがって、本教示は、他のタイプの装置に容易に適用することができ、多くの代替、修正、及び変形が当業者には明らかであろう。
上記の明細書では、本発明の特定の代表的な態様が、特定の例を参照して説明されている。しかしながら、特許請求の範囲に記載されている本発明の範囲から逸脱することなく、様々な修正及び変更を行い得る。本明細書及び図は、限定的ではなく例示的なものであり、修正は、本発明の範囲内に含まれることが意図されている。したがって、本発明の範囲は、単に記載された例によってではなく、特許請求の範囲及びそれらの法的同等物によって決定されるべきである。例えば、任意の装置請求項に記載された構成要素及び/または要素は、組み立てられ得、または別の方法で、様々な組み合わせで作動的に構成され得、したがって、請求項に記載された特定の構成に限定されない。
さらに、特定の実施形態に関して、特定の利益、他の利点、及び問題に対する解決策が上記で説明されているが、任意の特定の利益、利点、問題に対する解決策、あるいは任意の特定の利益、利点、または解決策を発生させる、もしくはより顕著になる可能性のある要素は、請求項のいずれかまたは全ての特許請求の範囲の重要な、必須の、または本質的な特徴もしくは構成要素として解釈されるべきではない。
本明細書で使用するとき、用語「備える(comprise)」、「備える(comprises)」、「備えている(comprising)」、「有している(having)」、「含んでいる(including)」、「含む(includes)」またはそれらの任意の変形は、要素のリストを構成するプロセス、方法、成形品、組成物または装置が、引用された要素のみを含むのではなく、明示的にリストされていない他の要素またはそのようなプロセス、方法、成形品、組成物もしくは装置に固有の要素を含むことができるように、非排他的な包含を参照することを意図している。本発明の実施において使用される上記の構造、配置、用途、割合、要素、材料、または構成要素の他の組み合わせ及び/または変更は、特に言及されていないものに加えて、同様の一般原則から逸脱することなく、特定の環境、製造仕様、設計パラメータ、または他の動作要件に変化させるか、または別の方法で特別に適合させることができる。
さらに、単数形の要素への言及は、特に明記されていない限り、「1つだけ(one and only one)」を意味するのではなく、「1つ以上(one or more)」を意味することが意図されている。特に明記されていない限り、「一部」という用語は、1つまたは複数のものを指す。当業者に知られている、または後に知られるようになる、本開示を通して記載された様々な態様の要素に対する全ての構造的及び機能的均等物は、参照により本明細書に明示的に組み込まれ、特許請求の範囲に包含されることが意図されている。さらに、本明細書に開示されているものは、そのような開示が特許請求の範囲に明示的に記載されているかどうかにかかわらず、公衆に提供されることを意図していない。いかなる特許請求の要素も、その要素が明示的に「手段」(means for)という語句を用いて記載されているか、または方法クレームの場合には、その要素が「ステップ」(step for)という語句を用いて記載されているかでない限り、米国特許法第112条(f)の定めにより、「ミーンズプラスファンクション」(means-plus-function)タイプの要素として解釈されることを意図していない。

Claims (20)

  1. 信頼されていないアクセスネットワークを介したコアネットワークへのネットワーク接続を管理するためのインターワーキング機能ノードであって、
    前記信頼されていないアクセスネットワークを介してユーザ機器(UE)と通信するように構成された第1のネットワークインタフェースと、
    前記コアネットワーク内の1つ以上のノードと通信するように構成された第2のネットワークインタフェースと、
    処理デバイスであって、
    前記信頼されていないアクセスネットワーク内の前記UEからの前記コアネットワークへの接続確立の要求を処理し、前記コアネットワークへの要求を生成することと、
    前記接続確立が前記コアネットワークによって承認されないと判定することと、
    前記UEへのレスポンスメッセージを生成することと
    を行うように構成されており、前記レスポンスメッセージが、前記信頼されていないアクセスネットワークを介した前記接続確立が前記コアネットワークによって許可されないことを示すエラーを含む、前記処理デバイスと
    を備える、前記インターワーキング機能ノード。
  2. 前記処理デバイスが、
    前記信頼されていないアクセスネットワークを介した前記UEからの認証及び安全な接続確立の要求を、前記第1のネットワークインタフェースから受信することと、
    認証及びサブスクリプションチェックの要求を生成し、認証及びサブスクリプションチェックの前記要求を、前記第2のネットワークインタフェースを介して、アクセス及びモビリティ管理機能(AMF)に向けて送信することと、
    前記AMFからの認証及びサブスクリプションチェックのレスポンスを、前記第2のネットワークインタフェースから受信することと、
    前記信頼されていないアクセスネットワークを介した前記接続確立が前記コアネットワークによって許可されないことを示す前記エラーを含むNASペイロードを有する前記UEへのインターネット鍵交換(IKE)レスポンスメッセージを生成することと
    を行うように構成されている、請求項1に記載のインターワーキング機能ノード。
  3. 前記処理デバイスは、さらに、
    5GCNへの非3GPPアクセスが許可されていないことを示す5GMM原因値を含む登録拒否メッセージをカプセル化する前記アクセス及びモビリティ管理機能からのレスポンスを受信することと、
    前記接続確立が前記コアネットワークによって承認されないことを示すメッセージタイプを含むペイロードを有する前記IKEレスポンスメッセージを生成することと
    を行うように構成されている、請求項2に記載のインターワーキング機能ノード。
  4. 前記処理デバイスは、さらに、
    失敗理由を示すプライベート通知メッセージタイプを含む通知ペイロードを有する前記IKEレスポンスメッセージを生成することにより、前記IKEレスポンスメッセージを生成するように構成されている、請求項2に記載のインターワーキング機能ノード。
  5. 前記処理デバイスは、さらに、
    前記5Gコアネットワーク(5GCN)への信頼されていない非3GPPアクセスが許可されないことを示すプライベート通知メッセージタイプを含む通知ペイロードを有する前記IKEレスポンスメッセージを生成することにより、前記IKEレスポンスメッセージを生成するように構成されている、請求項2に記載のインターワーキング機能ノード。
  6. 前記処理デバイスは、さらに、
    前記UEに前記レスポンスメッセージを送信することであって、前記レスポンスメッセージは、前記接続確立が前記コアネットワークによって承認されないことを示す、前記送信することと、
    前記UEからストップメッセージを受信することと、
    前記UEへの失敗メッセージを生成することと
    を行うように構成されている、請求項1に記載のインターワーキング機能ノード。
  7. 前記処理デバイスは、さらに、
    前記UEからの前記ストップメッセージを処理するように構成され、前記ストップメッセージは、メッセージ識別子フィールドを有する5G-Stopメッセージ形式を含み、前記メッセージ識別子フィールドは、5G-Stop識別子を含む、請求項6に記載のインターワーキング機能ノード。
  8. 前記信頼されていないアクセスネットワーク内の前記UEからの前記接続確立の前記要求が、前記コアネットワークとのIPsecセキュリティアソシエーション(SA)を開始するためのIKE要求メッセージを含む、請求項1に記載のインターワーキング機能ノード。
  9. 前記コアネットワークが5GCNであり、前記信頼されていないアクセスネットワークが非3GPPアクセスネットワークである、請求項1に記載のインターワーキング機能ノード。
  10. インターワーキング機能ノードからのネットワーク接続要求に対処するためのアクセス及びモビリティ管理機能(AMF)であって、
    コアネットワーク内の前記インターワーキング機能ノード及び認証機能と通信するように構成されたネットワークインタフェースと、
    処理デバイスであって、
    信頼されていないアクセスネットワークを介したUEの認証及び安全な接続確立の要求を処理することと、
    認証サーバ機能(AUSF)に向けて認証及びサブスクリプションチェックの要求を生成することと、
    前記認証及びサブスクリプションチェックに対するレスポンスが、認証の失敗を示すことを判定することと、
    認証及び安全な接続確立のレスポンスメッセージを、前記信頼されていないアクセスネットワークを介した前記コアネットワークへのアクセスが許可されないことを示す原因値を前記レスポンスメッセージにカプセル化することによって生成することと
    を行うように構成されている、前記処理デバイスと
    を備える、前記アクセス及びモビリティ管理機能(AMF)。
  11. 前記信頼されていないアクセスネットワークが非3GPPアクセスネットワークであり、前記コアネットワークが5Gコアネットワーク(5GCN)である、請求項10に記載のAMF。
  12. 前記処理デバイスは、
    前記原因値を含む登録拒否メッセージを前記レスポンスメッセージにカプセル化するように構成され、前記原因値は、前記5GCNへの非3GPPアクセスが許可されないことを示す5GMM原因値を含む、請求項11に記載のAMF。
  13. 前記処理デバイスは、
    前記レスポンスメッセージに、拡張認証プロトコル(EAP)失敗インディケーションを生成するように構成されている、請求項12に記載のAMF。
  14. ユーザ機器であって、
    信頼されていないアクセスネットワークを介して、インターワーキング機能ノードと通信するように構成されたネットワークインタフェースと、
    処理デバイスであって、
    コアネットワークへの安全なセッション確立のための登録要求を生成することと、前記インターワーキング機能ノードからのレスポンスメッセージを処理することと、
    前記レスポンスメッセージから、前記信頼されていないアクセスネットワークを介した前記安全なセッション確立が、前記コアネットワークによって許可されないことを判定することと
    を行うように構成されている、前記処理デバイスと
    を備える、前記ユーザ機器。
  15. 前記信頼されていないアクセスネットワークが非3GPPアクセスネットワークであり、前記コアネットワークが5Gコアネットワーク(5GCN)である、請求項14に記載のユーザ機器。
  16. 前記処理デバイスは、さらに、
    前記5GCNへの安全なセッション確立のための前記登録要求の終了を示すストップメッセージを生成することと、
    前記非3GPPアクセスネットワークを介して前記インターワーキング機能ノードに前記ストップメッセージを送信することと、
    を行うように構成されている、請求項15に記載のユーザ機器。
  17. 前記処理デバイスは、さらに、
    5G-Stopに設定されたメッセージ識別子フィールドを含むEAP-Response形式のメッセージとして前記ストップメッセージを生成するように構成されている、請求項16に記載のユーザ機器。
  18. 前記処理デバイスは、さらに、
    前記インターワーキング機能ノードからのEAP失敗メッセージを処理することと、
    セキュリティアソシエーションの削除手順を実行することと、
    を行うように構成されている、請求項17に記載のユーザ機器。
  19. 前記処理デバイスは、さらに、
    前記5GCNへの安全なセッション確立のための第2の登録要求を生成することにより、前記5GCNへの登録を再試行することと、
    前記インターワーキング機能ノードからの第2のレスポンスメッセージから、前記信頼されていないアクセスネットワークを介した前記接続確立が成功したことを判定することと
    を行うように構成されている、請求項15に記載のユーザ機器。
  20. 前記処理デバイスは、さらに、
    更新されたパラメータで、前記5GCNへの安全なセッション確立のための前記第2の登録要求を生成するように構成されている、請求項19に記載のユーザ機器。
JP2023116614A 2018-06-30 2023-07-18 5gcnへの非3gppアクセスが許可されない失敗の対処 Pending JP2023156302A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201862692722P 2018-06-30 2018-06-30
US62/692,722 2018-06-30
JP2020573395A JP7317056B2 (ja) 2018-06-30 2019-06-28 5gcnへの非3gppアクセスが許可されない失敗の対処
PCT/US2019/039992 WO2020006515A1 (en) 2018-06-30 2019-06-28 Handling failure of non-3gpp access to 5gcn not being allowed

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2020573395A Division JP7317056B2 (ja) 2018-06-30 2019-06-28 5gcnへの非3gppアクセスが許可されない失敗の対処

Publications (1)

Publication Number Publication Date
JP2023156302A true JP2023156302A (ja) 2023-10-24

Family

ID=67470646

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020573395A Active JP7317056B2 (ja) 2018-06-30 2019-06-28 5gcnへの非3gppアクセスが許可されない失敗の対処
JP2023116614A Pending JP2023156302A (ja) 2018-06-30 2023-07-18 5gcnへの非3gppアクセスが許可されない失敗の対処

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2020573395A Active JP7317056B2 (ja) 2018-06-30 2019-06-28 5gcnへの非3gppアクセスが許可されない失敗の対処

Country Status (15)

Country Link
US (1) US20210136582A1 (ja)
EP (1) EP3811588A1 (ja)
JP (2) JP7317056B2 (ja)
KR (3) KR102435266B1 (ja)
CN (2) CN116647394A (ja)
AU (2) AU2019293046B2 (ja)
BR (1) BR112020026940A2 (ja)
CA (1) CA3104374A1 (ja)
CL (1) CL2020003401A1 (ja)
CO (1) CO2021000912A2 (ja)
MX (1) MX2021000159A (ja)
PH (1) PH12020552227A1 (ja)
SG (1) SG11202012478QA (ja)
WO (1) WO2020006515A1 (ja)
ZA (1) ZA202100508B (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3858083B1 (en) * 2018-09-27 2023-11-01 Lenovo (Singapore) Pte. Ltd. Accessing a 5g network via a non-3gpp access network
CN113141676B (zh) * 2020-01-19 2022-10-11 大唐移动通信设备有限公司 非3gpp接入的终端进入连接状态的方法及通信设备
US20230080836A1 (en) * 2020-02-21 2023-03-16 Telefonaktiebolaget Lm Ericsson (Publ) Determination of trust relationship of non-3gpp access networks in 5gc
EP4111722A4 (en) * 2020-03-30 2023-08-23 Samsung Electronics Co., Ltd. METHOD AND APPARATUS FOR PROVIDING AN AKMA SERVICE IN A WIRELESS COMMUNICATION SYSTEM
US11785658B2 (en) * 2021-06-24 2023-10-10 Mediatek Inc. Method and apparatus for performing internet reachability management with aid of indicator
US11729849B1 (en) * 2021-07-20 2023-08-15 T-Mobile Usa, Inc. UE retry during network overload
CN116980897A (zh) * 2022-04-22 2023-10-31 华为技术有限公司 通信方法和装置
CN115175264A (zh) * 2022-07-21 2022-10-11 亚信科技(中国)有限公司 接入核心网的方法、装置及处理器可读存储介质
CN115868125A (zh) * 2022-09-07 2023-03-28 北京小米移动软件有限公司 通信方法、装置、系统、电子设备及介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8332912B2 (en) * 2007-01-04 2012-12-11 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for determining an authentication procedure
ES2447546T3 (es) * 2008-04-11 2014-03-12 Telefonaktiebolaget L M Ericsson (Publ) Acceso a través de redes de acceso no-3GPP
WO2011129107A1 (ja) * 2010-04-16 2011-10-20 パナソニック株式会社 経路切替システム、経路切替方法、及び移動端末
CN111064756B (zh) * 2015-08-07 2022-01-18 华为技术有限公司 终端接入3gpp网络的处理方法及装置
MY201177A (en) * 2015-09-22 2024-02-08 Huawei Tech Co Ltd Access method, device and system for user equipment (ue)
EP3151599A1 (en) 2015-09-30 2017-04-05 Apple Inc. Authentication failure handling for cellular network access through wlan
US9877198B1 (en) * 2016-09-08 2018-01-23 Alcatel-Lucent Usa Inc. Network access backoff mechanism
WO2018097601A1 (ko) * 2016-11-27 2018-05-31 엘지전자(주) 무선 통신 시스템에서의 등록 해제 방법 및 이를 위한 장치
US10327278B2 (en) * 2017-03-24 2019-06-18 Qualcomm Incorporated Mechanisms for establishing user plane connectivity for non-3GPP access
WO2019201241A1 (en) * 2018-04-17 2019-10-24 Mediatek Singapore Pte. Ltd. Apparatuses and methods for handling access type restriction information

Also Published As

Publication number Publication date
KR102435266B1 (ko) 2022-08-22
MX2021000159A (es) 2021-05-27
CN116647394A (zh) 2023-08-25
KR20210024152A (ko) 2021-03-04
ZA202100508B (en) 2022-07-27
US20210136582A1 (en) 2021-05-06
KR102542210B1 (ko) 2023-06-14
JP7317056B2 (ja) 2023-07-28
KR102666042B1 (ko) 2024-05-13
AU2019293046A1 (en) 2021-01-21
WO2020006515A1 (en) 2020-01-02
KR20220119762A (ko) 2022-08-30
BR112020026940A2 (pt) 2021-03-30
CL2020003401A1 (es) 2021-07-02
JP2021530896A (ja) 2021-11-11
SG11202012478QA (en) 2021-01-28
PH12020552227A1 (en) 2021-06-28
AU2022204645A1 (en) 2022-07-21
KR20230086812A (ko) 2023-06-15
CN112602298B (zh) 2023-06-30
EP3811588A1 (en) 2021-04-28
AU2019293046B2 (en) 2022-03-31
CN112602298A (zh) 2021-04-02
CA3104374A1 (en) 2020-01-02
CO2021000912A2 (es) 2021-04-19

Similar Documents

Publication Publication Date Title
JP7317056B2 (ja) 5gcnへの非3gppアクセスが許可されない失敗の対処
JP7320598B2 (ja) 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置
KR101961301B1 (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
CN110249648B (zh) 由未经认证的用户设备执行的用于会话建立的系统和方法
US20170289799A1 (en) Lte-level security for neutral host lte
RU2774977C1 (ru) Обработка отказа в случае не разрешения доступа к 5gcn не от 3gpp

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230816

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230816