JP2023520387A - 通信方法、装置およびシステム - Google Patents

通信方法、装置およびシステム Download PDF

Info

Publication number
JP2023520387A
JP2023520387A JP2022558569A JP2022558569A JP2023520387A JP 2023520387 A JP2023520387 A JP 2023520387A JP 2022558569 A JP2022558569 A JP 2022558569A JP 2022558569 A JP2022558569 A JP 2022558569A JP 2023520387 A JP2023520387 A JP 2023520387A
Authority
JP
Japan
Prior art keywords
network
authentication
information
temporary
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022558569A
Other languages
English (en)
Inventor
フ、リ
ウ、ロン
Original Assignee
ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ホアウェイ・テクノロジーズ・カンパニー・リミテッド filed Critical ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Publication of JP2023520387A publication Critical patent/JP2023520387A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Abstract

ネットワーク側情報が端末デバイス上で構成されない場合に自動オンボーディングを実装するために、通信方法、装置およびシステムが提供される。方法は、端末デバイスが、1つまたは複数のネットワークの識別情報を含む補助認証情報を取得し、第1の一時認証情報と、1つまたは複数のネットワークのいずれか1つである第1のネットワークの識別情報とに基づいて、第1のネットワークのアクセス情報を決定し、第1のネットワークのアクセス情報に基づいて、第1のネットワークとの相互一時認証をトリガし、相互一時認証が成功した場合、第1のネットワークから第1のネットワークの構成情報を受信することを含む。端末デバイスは、第1のネットワークのアクセス情報に基づいて、第1のネットワークとの相互一時認証をトリガし得る。相互一時認証が成功した後に、端末デバイスは、構成情報を取得して、構成情報に基づき第1のネットワークにアクセスし得る。このようにして、端末デバイスは、ネットワーク側情報が端末デバイス上で構成されない場合に第1のネットワークのサブスクリプション情報をセキュアに取得できる。

Description

本願は、通信技術分野に関し、特に、通信方法、装置およびシステムに関する。
スタンドアロンノンパブリックネットワーク(standalone non-public network、SNPN)は、公衆陸上移動体ネットワーク(public land mobile network、PLMN)に依存することなくネットワーク機能を提供するノンパブリックネットワークである。端末デバイスは、第3世代パートナーシッププロジェクト(3rd generation partnership project、3GPP(登録商標))技術を用いることによりSNPNにアクセスし得る。PLMNにおいて、端末デバイスは、オンボーディング後にのみ、PLMNにアクセスできる。現在、ユーザは通常、端末デバイスのオンボーディングのためにモバイルサービスセンタに行っている。販売支援員は、端末デバイスの関連情報をネットワーク側にインポートする必要があり、ユーザのための加入者識別モジュール(subscriber identity module、SIM)カードを提供する。SIMカードは、端末デバイスにより選択されるネットワークについての情報を格納している。ユーザがSIMカードを端末デバイスに挿入した後に、端末デバイスは、SIMカードに格納された情報に基づいて、対応するネットワークを選択し、このネットワークにアクセスし得る。しかしながら、この方式は、非効率であり、手動での介入を必要とし、十分に自動的ではない。
加えて、SNPNシナリオでは、多数の端末デバイスが小さいモノのインターネット端末デバイスであってよい。これらの端末デバイスは、表示画面を有しておらず、数が多い。PLMNにおいて既存のオンボーディング方式が依然として用いられている場合、オンボーディング効率が低く、オペレーションおよびメンテナンススタッフの協働が必要とされる。この場合、SNPNサブスクリプションデータを有しないこれらの端末デバイスに対してオンボーディングをどのようにセキュアに実行するかは、現在早急に解決する必要がある技術課題である。
本願は、ネットワーク側情報が端末デバイス上で構成されない場合に自動オンボーディングを実装するために、通信方法、装置およびシステムを提供する。
第1の態様によれば、本願は、通信方法を提供する。この方法は、補助認証情報を取得する段階と、第1の一時認証情報と、第1のネットワークの識別情報とに基づいて第1のネットワークのアクセス情報を決定する段階と、第1のネットワークのアクセス情報に基づいて第1のネットワークとの相互一時認証をトリガする段階であって、補助認証情報は、1つまたは複数のネットワークの識別情報を含み、第1のネットワークは、1つまたは複数のネットワークのいずれか1つである、トリガする段階と、相互一時認証が成功した場合、第1のネットワークから第1のネットワークの構成情報を受信する段階とを含み得る。
この方法は、端末装置により実行され得る。端末装置は、端末デバイス、またはモジュール、例えば、端末デバイス内のチップであってよい。
前述の解決手段に基づいて、端末装置は、取得した補助認証情報と、第1の一時認証情報とに基づいて第1のネットワークのアクセス情報を決定して、第1のネットワークのアクセス情報に基づき第1のネットワークとの相互一時認証をトリガし得る。端末装置と第1のネットワークとの間の相互一時認証が成功した後に、端末装置は、第1のネットワークにアクセスするための構成情報を第1のネットワークから取得し得る。その結果、端末装置は、構成情報に基づいて、第1のネットワークにアクセスできる。このようにして、端末装置は、ネットワーク側情報が端末装置上で構成されなかった場合、第1のネットワークのサブスクリプション情報をセキュアに取得できる。
さらに、第1のネットワークの構成情報は、ネットワーク選択サブスクリプション情報を含み、ネットワーク選択サブスクリプション情報は、端末装置により、第1のネットワークにアクセスすることを選ぶために用いられる。
端末装置は、第1のネットワークの取得したネットワーク選択サブスクリプション情報を用いることにより、第1のネットワークに自動的にアクセスでき、手動オンボーディングが必要とされないことにより、オンボーディング効率の向上に役立つ。
可能な実装において、ネットワーク選択サブスクリプション情報は、サブスクリプション永続識別子(subscription permanent identifier、SUPI)、公衆陸上移動体ネットワーク識別子(public land mobile network identifier、PLMN ID)、ネットワーク識別子(network identifier、NID)、ルーティングインジケータ(ルーティングID)、単一ネットワークスライス選択支援情報(single network slice selection assistance information、NSSAI)およびデータネットワーク名(data network name、DNN) のうちの1つまたは複数を含む。
可能な実装において、第1のネットワークの構成情報は、長期認証資格情報をさらに含み、長期認証資格情報は、第1のネットワークにより第1のネットワークへのアクセスを端末装置に許可するために用いられる資格情報であってよい。
相互一時認証が成功した場合、端末装置は、オンラインサブスクリプションサーバが位置するデータネットワークの識別情報を決定し、データネットワークの識別情報をセッション管理機能ネットワークエレメントへ送信し、ユーザプレーントンネルを通じて、オンラインサブスクリプションサーバから長期認証資格情報を取得する。
任意選択的に、補助認証情報は、オンラインサブスクリプションサーバが位置するデータネットワークの識別情報をさらに含む。端末装置は、補助認証情報からデータネットワークの識別情報を取得する。
可能な実装において、第1のネットワークのアクセス情報は、第1の一時認証情報における第1の一時認証資格情報の識別子に基づいて決定される、第3の一時認証資格情報の識別子、第3の一時認証資格情報の識別子および第1のネットワークの識別情報、第3の一時認証資格情報の識別子、およびアクセス情報が一時認証のために用いられることを示す、第1のネットワークのアクセス情報のタイプ、第3の一時認証資格情報の識別子ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、第1のネットワークの識別情報およびアクセス情報のタイプ、第3の一時認証資格情報の識別子、第1のネットワークの識別情報ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、アクセス情報のタイプならびに認証、許可および課金機能ネットワークエレメントの識別情報、または、第3の一時認証資格情報の識別子、第1のネットワークの識別情報、認証、許可および課金機能ネットワークエレメントの識別情報ならびに第1のネットワークのアクセス情報のタイプのいずれか1つを含み得る。
第1のネットワークのアクセス情報が第1のネットワークのアクセス情報のタイプを含む場合、第3の一時認証資格情報の識別子が端末装置の製造者により予め構成されているので、この識別子は、第1のネットワークに格納されているSUPI(第1のネットワークにより割り当てられる)で複製されてよく、特定のタイプのアクセス情報を導入することにより、複製ユーザアイデンティティに起因して不正確なIDが見つかるという問題を回避できる。
第1のネットワークの識別情報は、PLMN IDを含む。認証、許可および課金機能ネットワークエレメントの識別情報は、ルーティングインジケータ(ルーティングID)を含む。第1の一時認証資格情報の識別子は、永久機器識別子(permanent equipment identifier、PEI)または国際移動体機器識別(international mobile equipment identity、IMEI)を含む。
可能な実装において、端末装置は、認証アンカーを通じて第1のネットワークのアクセス情報を認証、許可および課金機能ネットワークエレメントへ送信し、認証アンカーから認証要求メッセージを受信する。認証要求メッセージは、第1の検証情報を含む。端末装置は、第1の一時認証情報に基づいて、第1の検証情報に対して一時認証を実行する。
さらに、第1の検証情報は、第1のメッセージ認証コードを含む。端末装置は、第1の一時認証情報に基づいて第2の一時対称鍵を取得し、第2の一時対称鍵に基づいて第2のメッセージ認証コードを生成し、第2のメッセージ認証コードに基づいて第1のメッセージ認証コードを検証し得る。
可能な実装において、第1のメッセージ認証コードが第2のメッセージ認証コードと同じである場合、第3のチャレンジ値は、第2の一時対称鍵に基づいて生成される。第3のチャレンジ値は、認証アンカーにより、端末装置に対して一時認証を実行するために用いられる。端末装置は、認証応答メッセージを認証アンカーへ送信する。認証応答メッセージは、第3のチャレンジ値を含む。
可能な実装において、第1の一時認証情報は、端末装置の第1の秘密鍵を含み、第1の検証情報は、認証、許可および課金機能ネットワークエレメントの第2の公開鍵を含む。端末装置は、第1の秘密鍵および第2の公開鍵に基づいて、第2の一時対称鍵を生成する。
可能な実装において、第1の一時認証情報は、第1の一時認証資格情報をさらに含み、第1の一時認証資格情報は、検証パラメータと、端末装置の証明書の秘密鍵とを含み、第1の検証情報は、認証、許可および課金機能ネットワークエレメントの証明書の署名と、第3のメッセージ認証コードとを含む。端末装置は、検証パラメータに基づいて、認証、許可および課金機能ネットワークエレメントの証明書の署名を検証する。認証、許可および課金機能ネットワークエレメントの証明書の署名に対する検証が成功した場合、端末装置は、認証、許可および課金機能ネットワークエレメントの証明書の公開鍵に基づいて、第3のメッセージ認証コードを検証する。
さらに、端末装置は、第3のメッセージ認証コードを正常に検証した場合、端末装置の証明書の秘密鍵に基づいて、第4のメッセージ認証コードを生成する。端末装置は、認証応答メッセージを認証アンカーへ送信する。認証応答メッセージは、第4のメッセージ認証コードおよび第1の証明書を含む。
可能な実装において、相互一時認証は、第5世代認証および鍵共有(5G authentication and key agreement、AKA)または拡張可能認証プロトコル(extensible authentication protocol、EAP)認証および鍵共有AKA'を含む。
相互一時認証が失敗した場合、端末装置は、第1の一時認証情報と、第2のネットワークの識別情報とに基づいて、第2のネットワークのアクセス情報を決定する。第2のネットワークは、第1のネットワークとは異なる1つまたは複数のネットワークのいずれか1つである。端末装置は、第2のネットワークのアクセス情報に基づいて、第2のネットワークとの相互一時認証をトリガする。
端末装置の補助認証情報は、1つまたは複数のネットワークの識別情報を含み、端末装置は、特定のルールに従って、これらのネットワークのうちの1つまたは複数へのアクセスを試み得る。端末装置は、ネットワークXの構成情報を取得する前に、補助認証情報に基づいて、ネットワークXへのアクセスを試み得る。端末装置は、ネットワークXとの相互一時認証を完了できなかった場合、別のネットワークへのアクセスを試みる。端末装置がネットワークXとの相互一時認証を完了できた場合、ネットワークXは、ネットワークXの構成情報を端末装置へ配信する。その後、端末装置は、ネットワークXの構成情報に基づいて、ネットワークXに直接アクセスし得る。
このようにして、端末装置は、正しいネットワークを自動的に選択し、正しいネットワークの構成情報を取得して、オンボーディングを正常に実装できる。
さらに、端末装置は、第1のネットワークからアクセス拒否メッセージを受信してよく、および/または、第1のネットワークの認証に失敗する。アクセス拒否メッセージは、アクセスを拒否するための原因情報を含み得る。
可能な実装において、補助認証情報は、1つまたは複数のネットワークに対応するオンボーディングインジケーション情報をさらに含む。端末装置は、オンボーディングインジケーション情報を含むネットワークから、1つのネットワークを第1のネットワークとして選択する。
第1のネットワークがオンボーディングインジケーション情報を含む補助認証情報から選択され、アクセスされることで、オンボーディング手順をサポートしていないネットワークの選択が回避される。これにより、オンボーディング効率が向上する。
可能な実装において、端末装置は、アクセスネットワークデバイスによりブロードキャストされる補助認証情報を受信する。
オンボーディングが端末装置に対して実行されていない場合、端末装置は、構成情報をローカルに有さず、構成情報に基づいてネットワークを選択してこのネットワークにアクセスすることができない。したがって、端末装置がサブスクリプション情報を有しない場合、ブロードキャスト補助認証情報は、ネットワークアクセスに必要とされるパラメータを端末装置が取得するのに役立ち得る。その結果、端末装置は、ネットワークへのアクセスを試みることができる。
可能な実装において、第3の一時認証資格情報の識別子は、第1の一時認証資格情報の混同値である。
第1の一時認証資格情報の混同値を第3の一時認証資格情報の識別子として決定することは、端末装置のプライバシを保護するのに役立つ。
第2の態様によれば、本願は、通信方法を提供する。この方法は、認証、許可および課金機能ネットワークエレメントが、端末装置から第1のネットワークのアクセス情報を受信する段階と、第1のネットワークのアクセス情報に基づいて、第2の一時認証情報を決定する段階と、第2の一時認証情報に基づいて、端末装置との相互一時認証を実行する段階とを含む。第1のネットワークのアクセス情報は、端末装置により、第1の一時認証情報と、第1のネットワークの識別情報とに基づいて決定される。
前述の解決手段に基づいて、認証、許可および課金機能ネットワークエレメントは、第2の一時認証情報に基づいて、端末装置との相互一時認証を実行する。相互一時認証が成功した場合、端末装置は、第1のネットワークにアクセスするための構成情報を第1のネットワークから取得し得る。その結果、端末装置は、構成情報に基づいて、第1のネットワークにアクセスできる。このようにして、端末装置は、ネットワーク側情報が端末装置上で構成されなかった場合、第1のネットワークのサブスクリプション情報をセキュアに取得できる。
可能な実装において、第1のネットワークのアクセス情報は、第1の一時認証情報における第1の一時認証資格情報の識別子に基づいて決定される、第3の一時認証資格情報の識別子、第3の一時認証資格情報の識別子および第1のネットワークの識別情報、第3の一時認証資格情報の識別子、およびアクセス情報が一時認証のために用いられることを示す、アクセス情報のタイプ、第3の一時認証資格情報の識別子ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、第1のネットワークの識別情報およびアクセス情報のタイプ、第3の一時認証資格情報の識別子、第1のネットワークの識別情報ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、アクセス情報のタイプならびに認証、許可および課金機能ネットワークエレメントの識別情報、または、第3の一時認証資格情報の識別子、第1のネットワークの識別情報、認証、許可および課金機能ネットワークエレメントの識別情報ならびに第1のネットワークのアクセス情報のタイプのいずれか1つを含み得る。
第1のネットワークの識別情報は、PLMN IDを含む。認証、許可および課金機能ネットワークエレメントの識別情報は、ルーティングIDを含む。第1の一時認証資格情報の識別子は、PEIまたはIMEIを含む。
可能な実装において、認証、許可および課金機能ネットワークエレメントは、第1のネットワークのアクセス情報に基づいて、第1の検証情報を生成する。認証、許可および課金機能ネットワークエレメントは、第1の検証情報を認証アンカーへ送信する。
可能な実装において、第1の検証情報は、第1のメッセージ認証コードおよび第1のチャレンジ値を含む。認証、許可および課金機能ネットワークエレメントは、第1のネットワークのアクセス情報に基づいて、第2の一時認証情報を決定する。認証、許可および課金機能ネットワークエレメントは、第2の一時認証情報に基づいて第1の一時対称鍵を取得する。認証、許可および課金機能ネットワークエレメントは、第1の一時対称鍵に基づいて、第1のメッセージ認証コードおよび第1のチャレンジ値を別個に生成する。認証、許可および課金機能ネットワークエレメントは、第1のメッセージ認証コードおよび第1のチャレンジ値を認証アンカーへ送信する。
可能な実装において、第2の一時認証情報は、一時アルゴリズムをさらに含む。認証、許可および課金機能ネットワークエレメントは、一時アルゴリズムに従って、第1の一時対称鍵を生成する。
可能な実装において、第2の一時認証情報は、端末装置の第1の公開鍵を含む。認証、許可および課金機能ネットワークエレメントは、認証、許可および課金機能ネットワークエレメントの第2の公開鍵と、認証、許可および課金機能ネットワークエレメントの第2の秘密鍵とを生成する。認証、許可および課金機能ネットワークエレメントは、第1の公開鍵および第2の秘密鍵に基づいて、第1の一時対称鍵を生成する。
可能な実装において、第2の一時認証情報は、一時アルゴリズムをさらに含み、一時アルゴリズムは、鍵共有アルゴリズムおよび一時認証アルゴリズムを含む。認証、許可および課金機能ネットワークエレメントは、鍵共有アルゴリズムに従って、認証、許可および課金機能ネットワークエレメントの第2の公開鍵および第2の秘密鍵を生成する。認証、許可および課金機能ネットワークエレメントは、一時認証アルゴリズム、第2の秘密鍵および第1の公開鍵に基づいて、第1の一時対称鍵を生成する。
可能な実装において、第1の検証情報は、認証、許可および課金機能ネットワークエレメントの第2の公開鍵をさらに含む。認証、許可および課金機能ネットワークエレメントは、第2の公開鍵を認証アンカーへ送信する。
可能な実装において、認証、許可および課金機能ネットワークエレメントは、オンボーディングデバイスから第2の一時認証情報を受信する。
可能な実装において、第1のネットワークのアクセス情報は、第3の一時認証資格情報の識別子を含む。認証、許可および課金機能ネットワークエレメントは、第3の一時認証資格情報の識別子と同じ第2の一時認証資格情報の識別子を求めて検索し、第2の一時認証資格情報の識別子に対応する一時認証情報を第2の一時認証情報として決定する。
可能な実装において、第1のネットワークのアクセス情報は、第1のネットワークのアクセス情報のタイプをさらに含む。認証、許可および課金機能ネットワークエレメントは、一時認証情報が検索される必要があると、第1のネットワークのアクセス情報のタイプに基づいて決定する。認証、許可および課金機能ネットワークエレメントは、第3の一時認証資格情報の識別子と同じ第2の一時認証資格情報の識別子を求めて検索し、第2の一時認証資格情報の識別子に対応する一時認証情報を第2の一時認証情報として決定する。
可能な実装において、第3の一時認証資格情報の識別子は、第1の一時認証資格情報の混同値である。
第3の態様によれば、本願は、通信方法を提供する。この方法は、認証アンカーが端末装置からの第1のネットワークのアクセス情報を第1のネットワーク内の認証、許可および課金機能ネットワークエレメントへ送信する段階であって、第1のネットワークのアクセス情報は、相互一時認証を実行するよう端末装置および認証、許可および課金機能ネットワークエレメントをトリガするために用いられる、送信する段階を含む。認証アンカーは、端末装置と第1のネットワークとの間の相互一時認証が成功していると判定した場合、第1のネットワークのネットワーク選択サブスクリプション情報を端末装置へ送信するようデータ管理ネットワークエレメントをトリガする。
この解決手段に基づいて、端末装置と第1のネットワークとの間の相互一時認証が成功していると認証アンカーが判定した後に、第1のネットワークは、ネットワーク選択サブスクリプション情報を取得している端末装置が正しいと判定でき、端末は、ネットワーク選択サブスクリプション情報を送信している第1のネットワークが正しいと判定できる。
可能な実装において、認証アンカーは、サブスクリプション要求インジケーションをデータ管理ネットワークエレメントへ送信する。サブスクリプション要求インジケーションは、ネットワーク選択サブスクリプション情報を端末装置へ送信するようデータ管理ネットワークエレメントに指示する。
可能な実装において、ネットワーク選択サブスクリプション情報は、第1のネットワークの識別子、長期認証資格情報のアーカイブアドレス、端末装置のサービスパラメータまたは端末装置の長期識別情報のうちの1つまたは複数を含む。
可能な実装において、第1のネットワークのアクセス情報は、第1の一時認証情報における第1の一時認証資格情報の識別子に基づいて決定される、第3の一時認証資格情報の識別子、第3の一時認証資格情報の識別子および第1のネットワークの識別情報、第3の一時認証資格情報の識別子、およびアクセス情報が一時認証のために用いられることを示す、第1のネットワークのアクセス情報のタイプ、第3の一時認証資格情報の識別子ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、第1のネットワークの識別情報およびアクセス情報のタイプ、第3の一時認証資格情報の識別子、第1のネットワークの識別情報ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、アクセス情報のタイプならびに認証、許可および課金機能ネットワークエレメントの識別情報、または、第3の一時認証資格情報の識別子、第1のネットワークの識別情報、認証、許可および課金機能ネットワークエレメントの識別情報ならびに第1のネットワークのアクセス情報のタイプのいずれか1つを含み得る。
第1のネットワークのアクセス情報が第1のネットワークのアクセス情報のタイプを含む場合、第3の一時認証資格情報の識別子が端末装置の製造者により予め構成されているので、この識別子は、第1のネットワークに格納されているSUPI(第1のネットワークにより割り当てられる)で複製されてよく、特定のタイプのアクセス情報を導入することにより、複製ユーザアイデンティティに起因して不正確なIDが見つかるという問題を回避できる。
第1のネットワークのアクセス情報が第1のネットワークの識別情報を含む場合、AMFは、このネットワークの識別情報(例えば、PLMN ID)およびAAAの識別情報(例えば、ルーティングインジケータ(routing indicator、RI))に基づいて、AUSFを選択し得る。さらに、AUSFは、ネットワークの識別情報(PLMN ID)およびAAAの識別情報(例えば、RI)に基づいて、AAAを選択し得る。
第1のネットワークのアクセス情報がSUPIタイプを含み、SUPIタイプが、0ではない値または1ではない値であり、第1のネットワークのアクセス情報が一時認証のために用いられること、第1のネットワークのアクセス情報が、製造者により予め構成されているか、現在のネットワークにより所有されていないこと、または、RIがデフォルト値であることを示し得る場合、AMFは、ローカル構成から特定のAUSFを選択し得る。
可能な実装において、認証アンカーは、認証、許可および課金機能ネットワークエレメントから第1の検証情報を受信する。認証アンカーは、認証要求メッセージを端末装置へ送信する。認証要求メッセージは、第1の検証情報を含む。認証アンカーは、端末装置から認証応答メッセージを受信する。認証応答メッセージは、第2の検証情報を含む。認証アンカーは、第1の検証情報が第2の検証情報と同じであると判定した場合、端末装置と第1のネットワークとの間の相互一時認証が成功していると判定する。
可能な実装において、認証アンカーは、認証サーバネットワークエレメントおよびモビリティ管理ネットワークエレメントを含み、第1の検証情報は、第1のチャレンジ値または第2のチャレンジ値を含み、第2の検証情報は、第3のチャレンジ値を含む。認証サーバネットワークエレメントは、認証、許可および課金機能ネットワークエレメントから第1のチャレンジ値を受信する。認証サーバネットワークエレメントは、第1のチャレンジ値に基づいて第2のチャレンジ値を生成する。認証サーバネットワークエレメントは、第2のチャレンジ値をモビリティ管理ネットワークエレメントへ送信する。モビリティ管理ネットワークエレメントは、端末装置から第3のチャレンジ値を受信する。モビリティ管理ネットワークエレメントは、第2のチャレンジ値が第3のチャレンジ値と同じであると判定した場合、第3のチャレンジ値を認証サーバネットワークエレメントへ送信する。認証サーバネットワークエレメントは、第1のチャレンジ値が第3のチャレンジ値と同じであると判定した場合、端末装置と第1のネットワークとの間の相互一時認証が成功していると判定する。
可能な実装において、認証アンカーは、認証サーバネットワークエレメントおよびモビリティ管理ネットワークエレメントを含み、第1の検証情報は、第4のチャレンジ値を含み、第2の検証情報は、第5のチャレンジ値を含む。認証サーバネットワークエレメントは、認証、許可および課金機能ネットワークエレメントから第4のチャレンジ値を受信する。認証サーバネットワークエレメントは、第4のチャレンジ値をモビリティ管理ネットワークエレメントへ送信する。モビリティ管理ネットワークエレメントは、端末装置から第5のチャレンジ値を受信する。モビリティ管理ネットワークエレメントは、第5のチャレンジ値を認証サーバネットワークエレメントへ送信する。認証サーバネットワークエレメントは、第4のチャレンジ値が第5のチャレンジ値と同じであると判定した場合、端末装置と第1のネットワークとの間の相互一時認証が成功していると判定する。
可能な実装において、第1のネットワークのアクセス情報は、認証、許可および課金機能ネットワークエレメントの識別情報を含む。認証アンカーは、端末装置から第1のネットワークのアクセス情報を受信する。認証アンカーは、第1のネットワークのアクセス情報における認証、許可および課金機能ネットワークエレメントの識別情報に基づいて、認証、許可および課金機能ネットワークエレメントを決定する。認証アンカーは、第1のネットワークのアクセス情報を認証、許可および課金機能ネットワークエレメントへ送信する。
第4の態様によれば、本願は、通信装置を提供する。通信装置は、第1の態様における端末装置、第2の態様における認証、許可および課金機能ネットワークエレメントまたは第3の態様における認証アンカーを実装する機能を有する。この機能は、ハードウェアにより実装されてもよく、対応するソフトウェアを実行するハードウェアにより実装されてもよい。ハードウェアまたはソフトウェアは、前述の機能に対応する1つまたは複数のユニットまたはモジュールを含む。
可能な実装において、通信装置は、端末デバイスであってもよく、モジュール、例えば、端末デバイスにおいて用いられ得るチップ、チップシステムまたは回路であってもよい。有益な効果については、第1の態様における説明を参照されたい。詳細については、ここで再び説明しない。通信装置は、トランシーバおよびプロセッサを含み得る。プロセッサは、上述の端末デバイスの対応する機能を実行するために通信装置をサポートするように構成され得る。トランシーバは、アクセスネットワークデバイスおよび認証アンカー等と通信するために通信装置をサポートするように構成されている。トランシーバは、独立のレシーバ、独立のトランスミッタ、受信機能と送信機能とを統合したトランシーバ、またはインタフェース回路であってよい。
任意選択的に、通信装置は、メモリをさらに含み得る。メモリは、プロセッサに連結されてよく、通信装置に必要なプログラム命令およびデータを格納する。
トランシーバは、補助認証情報を取得するように構成されている。補助認証情報は、1つまたは複数のネットワークの識別情報を含む。プロセッサは、第1の一時認証情報と、第1のネットワークの識別情報とに基づいて、第1のネットワークのアクセス情報を決定し、第1のネットワークのアクセス情報に基づいて、第1のネットワークとの相互一時認証をトリガするように構成されている。第1のネットワークは、1つまたは複数のネットワークのいずれか1つである。
可能な実装において、トランシーバはさらに、相互一時認証が成功した、場合、第1のネットワークから第1のネットワークの構成情報を受信するように構成されている。
可能な実装において、第1のネットワークのアクセス情報は、第1の一時認証情報における第1の一時認証資格情報の識別子に基づいて決定される、第3の一時認証資格情報の識別子、第3の一時認証資格情報の識別子および第1のネットワークの識別情報、第3の一時認証資格情報の識別子、およびアクセス情報が一時認証のために用いられることを示す、第1のネットワークのアクセス情報のタイプ、第3の一時認証資格情報の識別子ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、第1のネットワークの識別情報およびアクセス情報のタイプ、第3の一時認証資格情報の識別子、第1のネットワークの識別情報ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、アクセス情報のタイプならびに認証、許可および課金機能ネットワークエレメントの識別情報、または、第3の一時認証資格情報の識別子、第1のネットワークの識別情報、認証、許可および課金機能ネットワークエレメントの識別情報ならびに第1のネットワークのアクセス情報のタイプのいずれか1つを含む。
可能な実装において、第1のネットワークの識別情報は、PLMN IDを含む。認証、許可および課金機能ネットワークエレメントの識別情報は、ルーティングIDを含む。第1の一時認証資格情報の識別子は、PEIまたはIMEIを含む。
可能な実装において、プロセッサは、具体的には、認証アンカーを通じて、第1のネットワークのアクセス情報を認証、許可および課金機能ネットワークエレメントへ送信するように構成されている。トランシーバは、具体的には、認証アンカーから認証要求メッセージを受信するように構成されている。認証要求メッセージは、第1の検証情報を含む。プロセッサは、具体的には、第1の一時認証情報に基づいて、第1の検証情報に対して一時認証を実行するように構成されている。
可能な実装において、第1の検証情報は、第1のメッセージ認証コードを含む。プロセッサは、具体的には、第1の一時認証情報に基づいて第2の一時対称鍵を取得し、第2の一時対称鍵に基づいて第2のメッセージ認証コードを生成し、第2のメッセージ認証コードに基づいて第1のメッセージ認証コードを検証するように構成されている。
可能な実装において、第1のメッセージ認証コードが第2のメッセージ認証コードと同じである場合、プロセッサはさらに、第2の一時対称鍵に基づいて第3のチャレンジ値を生成するように構成されている。第3のチャレンジ値は、認証アンカーにより、通信装置に対して一時認証を実行するために用いられる。トランシーバはさらに、認証応答メッセージを認証アンカーへ送信するように構成されている。認証応答メッセージは、第3のチャレンジ値を含む。
可能な実装において、第1の一時認証情報は、端末装置の第1の秘密鍵を含み、第1の検証情報は、認証、許可および課金機能ネットワークエレメントの第2の公開鍵を含む。
可能な実装において、プロセッサは、具体的には、第1の秘密鍵および第2の公開鍵に基づいて第2の一時対称鍵を生成するように構成されている。
可能な実装において、第1の一時認証情報は、第1の一時認証資格情報をさらに含み、第1の一時認証資格情報は、検証パラメータと、通信装置の証明書の秘密鍵とを含み、第1の検証情報は、認証、許可および課金機能ネットワークエレメントの証明書の署名と、第3のメッセージ認証コードとを含む。プロセッサは、具体的には、検証パラメータに基づいて、認証、許可および課金機能ネットワークエレメントの証明書の署名を検証し、認証、許可および課金機能ネットワークエレメントの証明書の署名に対する検証が成功した場合、認証、許可および課金機能ネットワークエレメントの証明書の公開鍵に基づいて第3のメッセージ認証コードを検証するように構成されている。
可能な実装において、第3のメッセージ認証コードに対する検証が成功した場合、プロセッサはさらに、通信装置の証明書の秘密鍵に基づいて、第4のメッセージ認証コードを生成するように構成されている。トランシーバはさらに、認証応答メッセージを認証アンカーへ送信するように構成されている。認証応答メッセージは、第4のメッセージ認証コードおよび第1の証明書を含む。
可能な実装において、相互一時認証は、5G AKAまたはEAP-AKA'を含む。
可能な実装において、第1のネットワークの構成情報は、ネットワーク選択サブスクリプション情報を含み、ネットワーク選択サブスクリプション情報は、通信装置により、第1のネットワークにアクセスすることを選ぶために用いられる。
可能な実装において、ネットワーク選択サブスクリプション情報は、SUPI、PLMN ID、NID、ルーティングID、NSSAIおよびDNNのうちの1つまたは複数を含む。
可能な実装において、第1のネットワークの構成情報は、長期認証資格情報をさらに含み、長期認証資格情報は、第1のネットワークにより第1のネットワークへのアクセスを端末装置に許可するために用いられる資格情報であってよい。トランシーバはさらに、オンラインサブスクリプションサーバが位置するデータネットワークの識別情報を決定し、データネットワークの識別情報をセッション管理機能ネットワークエレメントへ送信し、ユーザプレーントンネルを通じて、オンラインサブスクリプションサーバから長期認証資格情報を取得するように構成されている。
可能な実装において、補助認証情報は、オンラインサブスクリプションサーバが位置するデータネットワークの識別情報をさらに含む。トランシーバはさらに、補助認証情報からデータネットワークの識別情報を取得するように構成されている。
可能な実装において、プロセッサはさらに、相互一時認証が失敗した場合、第1の一時認証情報と。第2のネットワークの識別情報とに基づいて、第1のネットワークとは異なる1つまたは複数のネットワークのいずれか1つである第2のネットワークのアクセス情報を決定し、第2のネットワークのアクセス情報に基づいて、第2のネットワークとの相互一時認証をトリガするように構成されている。
可能な実装において、補助認証情報は、1つまたは複数のネットワークに対応するオンボーディングインジケーション情報をさらに含む。プロセッサはさらに、オンボーディングインジケーション情報を含むネットワークから、1つのネットワークを第1のネットワークとして選択するように構成されている。
可能な実装において、トランシーバは、具体的には、アクセスネットワークデバイスによりブロードキャストされる補助認証情報を受信するように構成されている。
可能な実装において、第3の一時認証資格情報の識別子は、第1の一時認証資格情報の混同値である。
別の可能な実装において、通信装置は、認証、許可および課金機能ネットワークエレメントであってよい。有益な効果については、第2の態様における説明を参照されたい。詳細については、ここで再び説明しない。通信装置は、トランシーバおよびプロセッサを含み得る。プロセッサは、上述の認証、許可および課金機能ネットワークエレメントの対応する機能を実行するために通信装置をサポートするように構成され得る。トランシーバは、別の認証アンカー等と通信するために通信装置をサポートするように構成されている。トランシーバは、独立のレシーバ、独立のトランスミッタ、受信機能と送信機能とを統合したトランシーバ、またはインタフェース回路であってよい。
任意選択的に、通信装置は、メモリをさらに含み得る。メモリは、プロセッサに連結されてよく、通信装置に必要なプログラム命令およびデータを格納する。
可能な実装において、トランシーバは、端末装置から第1のネットワークのアクセス情報を受信するように構成されている。プロセッサは、第1のネットワークのアクセス情報に基づいて、通信装置との相互一時認証をトリガするように構成されている。
可能な実装において、第1のネットワークのアクセス情報は、第1の一時認証情報における第1の一時認証資格情報の識別子に基づいて決定される、第3の一時認証資格情報の識別子、第3の一時認証資格情報の識別子および第1のネットワークの識別情報、第3の一時認証資格情報の識別子、およびアクセス情報が一時認証のために用いられることを示す、アクセス情報のタイプ、第3の一時認証資格情報の識別子ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、第1のネットワークの識別情報およびアクセス情報のタイプ、第3の一時認証資格情報の識別子、第1のネットワークの識別情報ならびに認証、許可および課金機能ネットワークエレメントの識別情報、第3の一時認証資格情報の識別子、アクセス情報のタイプならびに認証、許可および課金機能ネットワークエレメントの識別情報、または、第3の一時認証資格情報の識別子、第1のネットワークの識別情報、認証、許可および課金機能ネットワークエレメントの識別情報ならびに第1のネットワークのアクセス情報のタイプのいずれか1つを含む。
可能な実装において、第1のネットワークの識別情報は、PLMN IDを含む。認証、許可および課金機能ネットワークエレメントの識別情報は、ルーティングIDを含む。第1の一時認証資格情報の識別子は、PEIまたはIMEIを含む。
可能な実装において、プロセッサは、具体的には、第1のネットワークのアクセス情報に基づいて第1の検証情報を生成するように構成されている。トランシーバは、具体的には、第1の検証情報を認証アンカーへ送信するように構成されている。
可能な実装において、第1の検証情報は、第1のメッセージ認証コードおよび第1のチャレンジ値を含む。プロセッサは、具体的には、第1のネットワークのアクセス情報に基づいて第2の一時認証情報を決定し、第2の一時認証情報に基づいて第1の一時対称鍵を取得し、第1の一時対称鍵に基づいて第1のメッセージ認証コードおよび第1のチャレンジ値を別個に生成するように構成されている。トランシーバは、具体的には、第1のメッセージ認証コードおよび第1のチャレンジ値を認証アンカーへ送信するように構成されている。
可能な実装において、第2の一時認証情報は、一時アルゴリズムをさらに含む。プロセッサは、具体的には、一時アルゴリズムに従って、第1の一時対称鍵を生成するように構成されている。
可能な実装において、第2の一時認証情報は、端末装置の第1の公開鍵を含む。プロセッサは、具体的には、認証、許可および課金機能ネットワークエレメントの第2の公開鍵と、認証、許可および課金機能ネットワークエレメントの第2の秘密鍵とを生成し、第2の秘密鍵および第1の公開鍵に基づいて、第1の一時対称鍵を生成するように構成されている。
可能な実装において、第2の一時認証情報は、一時アルゴリズムをさらに含み、一時アルゴリズムは、鍵共有アルゴリズムおよび一時認証アルゴリズムを含む。プロセッサは、具体的には、鍵共有アルゴリズムに従って、認証、許可および課金機能ネットワークエレメントの第2の公開鍵および第2の秘密鍵を生成し、一時認証アルゴリズム、第2の秘密鍵および第1の公開鍵に基づいて、第1の一時対称鍵を生成するように構成されている。
可能な実装において、第1の検証情報は、認証、許可および課金機能ネットワークエレメントの第2の公開鍵をさらに含む。トランシーバはさらに、第2の公開鍵を認証アンカーへ送信するように構成されている。
可能な実装において、トランシーバはさらに、オンボーディングデバイスから第2の一時認証情報を受信するように構成されている。
可能な実装において、第1のネットワークのアクセス情報は、第3の一時認証資格情報の識別子を含む。プロセッサは、具体的には、第3の一時認証資格情報の識別子と同じ第2の一時認証資格情報の識別子を求めて検索し、第2の一時認証資格情報の識別子に対応する一時認証情報を第2の一時認証情報として決定するように構成されている。
可能な実装において、第1のネットワークのアクセス情報は、第1のネットワークのアクセス情報のタイプをさらに含む。プロセッサは、具体的には、一時認証情報が検索される必要があると第1のネットワークのアクセス情報のタイプに基づいて判定し、第3の一時認証資格情報の識別子と同じ第2の一時認証資格情報の識別子を求めて検索し、第2の一時認証資格情報の識別子に対応する一時認証情報を第2の一時認証情報として決定するように構成されている。
可能な実装において、第3の一時認証資格情報の識別子は、第1の一時認証資格情報の混同値である。
さらに別の可能な実装において、通信装置は、認証アンカーであってよい。有益な効果については、第3の態様における説明を参照されたい。詳細については、ここで再び説明しない。通信装置は、トランシーバおよびプロセッサを含み得る。プロセッサは、上述の認証アンカーの対応する機能を実行するために通信装置をサポートするように構成され得る。トランシーバは、端末デバイスならびに認証、許可および課金機能ネットワークエレメント等と通信するために通信装置をサポートするように構成されている。トランシーバは、独立のレシーバ、独立のトランスミッタ、トランシーバ、受信機能と送信機能とを統合したトランシーバ、またはインタフェース回路であってよい。
任意選択的に、通信装置は、メモリをさらに含み得る。メモリは、プロセッサに連結されてよく、通信装置に必要なプログラム命令およびデータを格納する。
トランシーバは、端末装置からの第1のネットワークのアクセス情報を第1のネットワーク内の認証、許可および課金機能ネットワークエレメントへ送信するように構成されている。第1のネットワークのアクセス情報は、相互一時認証を実行するよう通信装置と認証、許可および課金機能ネットワークエレメントとをトリガするために用いられる。プロセッサは、通信装置と第1のネットワークとの間の相互一時認証が成功していると判定された場合、第1のネットワークのネットワーク選択サブスクリプション情報を通信装置へ送信するようデータ管理ネットワークエレメントをトリガするように構成されている。
可能な実装において、通信装置と第1のネットワークとの間の相互一時認証が成功していると判定された場合、プロセッサは、トランシーバと協働して、サブスクリプション要求インジケーションをデータ管理ネットワークエレメントへ送信する。サブスクリプション要求インジケーションは、ネットワーク選択サブスクリプション情報を通信装置へ送信するようデータ管理ネットワークエレメントに指示する。
可能な実装において、ネットワーク選択サブスクリプション情報は、第1のネットワークの識別子、長期認証資格情報のアーカイブアドレス、通信装置のサービスパラメータまたは通信装置の長期識別情報のうちの1つまたは複数を含む。
可能な実装において、トランシーバは、具体的には、認証、許可および課金機能ネットワークエレメントから第1の検証情報を受信し、第1の検証情報を含む認証要求メッセージを通信装置へ送信し、第2の検証情報を含む認証応答メッセージを通信装置から受信するように構成されている。プロセッサは、具体的には、第1の検証情報が第2の検証情報と同じであると判定された場合、通信装置と第1のネットワークとの間の相互一時認証が成功していると判定するように構成されている。
可能な実装において、第1のネットワークのアクセス情報は、認証、許可および課金機能ネットワークエレメントの識別情報を含む。トランシーバは、具体的には、通信装置から第1のネットワークのアクセス情報を受信するように構成されている。プロセッサは、具体的には、第1のネットワークのアクセス情報における認証、許可および課金機能ネットワークエレメントの識別情報に基づいて、認証、許可および課金機能ネットワークエレメントを決定するように構成されている。トランシーバは、具体的には、第1のネットワークのアクセス情報を認証、許可および課金機能ネットワークエレメントへ送信するように構成されている。
第5の態様によれば、本願は、第1の態様もしくは第1の態様の可能な実装のいずれか1つによる方法、第2の態様もしくは第2の態様の可能な実装のいずれか1つによる方法、または第3の態様もしくは第3の態様の可能な実装のいずれか1つによる方法を実装するように構成された通信装置を提供する。通信装置は、前述の方法における段階を実装するようにそれぞれ構成された対応する機能モジュールを含む。この機能は、ハードウェアにより実装されてもよく、対応するソフトウェアを実行するハードウェアにより実装されてもよい。ハードウェアまたはソフトウェアは、前述の機能に対応する1つまたは複数のモジュールを含む。
可能な実装において、通信装置は、端末デバイスであってよく、処理モジュールおよびトランシーバモジュールを含んでよい。これらのモジュールは、前述の方法例における端末デバイスの対応する機能を実行し得る。詳細については、方法例の詳細な説明を参照されたい。詳細については、ここで再び説明しない。
別の可能な実装において、通信装置は、認証、許可および課金機能ネットワークエレメントであってよく、通信装置は、トランシーバモジュールおよび処理モジュールを含んでよい。これらのモジュールは、前述の方法例における認証、許可および課金機能ネットワークエレメントの対応する機能を実行し得る。詳細については、方法例の詳細な説明を参照されたい。詳細については、ここで再び説明しない。
さらに別の可能な実装において、通信装置は、認証アンカーであってよく、トランシーバモジュールおよび処理モジュールを含んでよい。これらのモジュールは、前述の方法例における認証アンカーの対応する機能を実行し得る。詳細については、方法例の詳細な説明を参照されたい。詳細については、ここで再び説明しない。
第6の態様によれば、本願は、通信システムを提供する。通信システムは、認証アンカーと、認証、許可および課金機能ネットワークエレメントとを含む。認証、許可および課金機能ネットワークエレメントは、認証アンカーを通じて、通信装置から第1のネットワークのアクセス情報を受信し、第1のネットワークのアクセス情報に基づいて、通信装置との相互一時認証をトリガするように構成されている。認証アンカーは、相互一時認証が成功した場合、第1のネットワークのネットワーク選択サブスクリプション情報を通信装置へ送信するようデータ管理ネットワークエレメントをトリガするように構成されている。
可能な実装において、システムは、データ管理ネットワークエレメントをさらに含む。認証アンカーは、具体的には、相互一時認証が成功した場合、サブスクリプション要求インジケーションをデータ管理ネットワークエレメントへ送信するように構成されている。サブスクリプション要求インジケーションは、ネットワーク選択サブスクリプション情報を通信装置へ送信するようデータ管理ネットワークエレメントに指示する。データ管理ネットワークエレメントは、認証アンカーからサブスクリプション要求インジケーションを受信し、サブスクリプション要求インジケーションに基づいてネットワーク選択サブスクリプション情報を通信装置へ送信するように構成されている。
可能な実装において、ネットワーク選択サブスクリプション情報は、第1のネットワークの識別子、長期認証資格情報のアーカイブアドレス、通信装置のサービスパラメータまたは通信装置の長期識別情報のうちの1つまたは複数を含む。
可能な実装において、第1のネットワークのアクセス情報は、第1のネットワークのアクセス情報のタイプを含み、第1のネットワークのアクセス情報のタイプは、第1のネットワークのアクセス情報が一時認証のために用いられることを示す。
認証、許可および課金機能ネットワークエレメントはさらに、通信装置との相互一時認証がトリガされる必要があると第1のネットワークのアクセス情報におけるアクセス情報タイプに基づいて判定するように構成されている。
可能な実装において、相互一時認証は、5G AKAまたはEAP-AKA'を含む。
可能な実装において、認証、許可および課金機能ネットワークエレメントは、具体的には、第1のネットワークのアクセス情報に基づいて第2の一時認証情報を決定し、第2の一時認証情報に基づいて第1の一時対称鍵を取得し、第1の一時対称鍵に基づいて第1のメッセージ認証コードおよび第1のチャレンジ値を別個に生成し、第1のメッセージ認証コードおよび第1のチャレンジ値を認証アンカーへ送信するように構成されている。
可能な実装において、第2の一時認証情報は、一時アルゴリズムをさらに含む。認証、許可および課金機能ネットワークエレメントはさらに、第2の一時認証情報における一時アルゴリズムに従って、第1の一時対称鍵を生成するように構成されている。
可能な実装において、一時アルゴリズムは、鍵共有アルゴリズムおよび一時認証アルゴリズムを含む。認証、許可および課金機能ネットワークエレメントは、具体的には、鍵共有アルゴリズムに従って、認証、許可および課金機能ネットワークエレメントの第2の公開鍵および第2の秘密鍵を生成し、一時認証アルゴリズム、第2の秘密鍵および第1の公開鍵に基づいて、第1の一時対称鍵を生成するように構成されている。
可能な実装において、認証、許可および課金機能ネットワークエレメントはさらに、第2の公開鍵を認証アンカーへ送信するように構成されている。
第7の態様によれば、本願は、コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体は、コンピュータプログラムまたは命令を格納する。コンピュータプログラムまたは命令が通信装置により実行された場合、通信装置は、第1の態様もしくは第1の態様の可能な実装のいずれか1つによる方法、第2の態様もしくは第2の態様の可能な実装のいずれか1つによる方法、または第3の態様もしくは第3の態様の可能な実装のいずれか1つによる方法を実行することが可能になる。
第8の態様によれば、本願は、コンピュータプログラム製品を提供する。コンピュータプログラム製品は、コンピュータプログラムまたは命令を含む。コンピュータプログラムまたは命令が通信装置により実行された場合、第1の態様もしくは第1の態様の可能な実装のいずれか1つによる方法、第2の態様もしくは第2の態様の可能な実装のいずれか1つによる方法、または第3の態様もしくは第3の態様の可能な実装のいずれか1つによる方法が実装される。
本願による通信システムのアーキテクチャの概略図である。
本願による通信方法の概略フローチャートである。
本願によるUEが第1のネットワークのアクセス情報をAAAへ送信する方法の概略フローチャートである。
本願によるUEと第1のネットワークとの間の相互一時認証を実行する方法の概略フローチャートである。 本願によるUEと第1のネットワークとの間の相互一時認証を実行する方法の概略フローチャートである。
本願によるUEと第1のネットワークとの間の相互一時認証を実行する方法の別の概略フローチャートである。
本願によるUEと第1のネットワークとの間の相互一時認証を実行する方法のさらに別の概略フローチャートである。
本願によるネットワーク選択サブスクリプション情報を取得する方法の概略フローチャートである。
本願によるネットワーク選択サブスクリプション情報を取得する方法の別の概略フローチャートである。
本願による長期認証資格情報を取得する方法の概略フローチャートである。
本願による通信装置の構造の概略図である。
本願による通信装置の構造の概略図である。
本願による端末デバイスの構造の概略図である。
以下では、添付図面を参照して、本願の実施形態を詳細に説明する。
図1は、本願が適用可能である通信システムのアーキテクチャの概略図である。図1に示されるように、通信システムは、ネットワーク露出ネットワークエレメントと、ポリシー制御ネットワークエレメントと、データ管理ネットワークエレメントと、認証、許可および課金機能ネットワークエレメントと、セキュリティアンカーネットワークエレメントと、モビリティ管理機能ネットワークエレメントと、セッション管理ネットワークエレメントと、認証サーバネットワークエレメントと、オンラインサブスクリプションサーバと、ユーザプレーンネットワークエレメントと、アクセスネットワークデバイスと、端末デバイスと、オンボーディングデバイスとを含み得る。ネットワーク露出ネットワークエレメントと、ポリシー制御ネットワークエレメントと、データ管理ネットワークエレメントと、認証、許可および課金機能ネットワークエレメントと、認証サーバネットワークエレメントと、モビリティ管理機能ネットワークエレメントと、セッション管理ネットワークエレメントとは、バスを通じて接続され得る。本明細書におけるバスは、通信システム内のネットワークエレメント間の接続および通信を論理的に実装できる。通信システム内のネットワークエレメント間の接続および通信は、インタフェースまたはネットワークを通じて実装され得る。セッション管理ネットワークエレメントは、ユーザプレーンネットワークエレメントに接続されている。セッション管理ネットワークエレメントは、ユーザプレーン関連ポリシーを実行するようユーザプレーンネットワークエレメントを制御するように構成されてもよく、セッション関連ポリシーを実行するようモビリティ管理ネットワークエレメントを通じて端末デバイスまたは無線アクセスネットワーク(radio access network、RAN)を制御するように構成されてもよい。
データ管理ネットワークエレメントは主に、サブスクリプション情報および認証/許可情報など、ユーザデータを管理および格納するように構成されている。第5世代(5th generation、5G)において、データ管理ネットワークエレメントは、統合データ管理(unified data management、UDM)ネットワークエレメント、または統合データレポジトリ(unified data repository、UDR)ネットワークエレメントであってよい。第6世代(6th generation、6G)など、将来の通信において、データ管理ネットワークエレメントは、依然としてUDMネットワークエレメントまたはUDRネットワークエレメントであってもよく、別の名称を有してもよい。これは、本願において限定されない。
認証、許可および課金機能ネットワークエレメントは主に、アクセスしている端末デバイスに対して一時認証を実行するように構成されており、UDMの機能であってもよく、独立のネットワークエレメントであってもよい。5Gにおいて、認証、許可および課金機能ネットワークエレメントは、認証、許可および課金(authentication, authorization, and accounting、AAA)サーバであってよい。6Gなど、将来の通信において、認証、許可および課金機能ネットワークエレメントは、依然としてAAAサーバであってもよく、別の名称を有してもよい。これは、本願において限定されない。
ポリシー制御ネットワークエレメントは主に、ユーザサブスクリプションデータ管理、課金ポリシー制御およびサービス品質(quality of service、QoS)制御等のために用いられる。5Gにおいて、ポリシー制御ネットワークエレメントは、ポリシー制御機能(policy control function、PCF)ネットワークエレメントであってよい。6Gなど、将来の通信において、ポリシー制御ネットワークエレメントは、依然としてPCFネットワークエレメントであってもよく、別の名称を有してもよい。これは、本願において限定されない。
ネットワーク露出ネットワークエレメントは主に、事業者ネットワークにより外部に露出されるアプリケーションプログラミングインタフェース(application programming interface、API)を提供するように構成されている。具体的には、外部サーバが、APIを呼び出して、事業者ネットワークとインタラクトし得る。例えば、PSは、ネットワーク露出ネットワークエレメントにより露出されるAPIを呼び出して、認証、許可および課金機能ネットワークエレメントに対し端末デバイスのオンボーディング情報を構成し得る。5Gにおいて、ネットワーク露出ネットワークエレメントは、ネットワーク露出機能(network exposure function、NEF)ネットワークエレメントであってよい。6Gなど、将来の通信において、ネットワーク露出ネットワークエレメントは、依然としてNEFネットワークエレメントであってもよく、別の名称を有してもよい。これは、本願において限定されない。
セッション管理ネットワークエレメントは主に、モバイルネットワーク内のセッション管理ならびにユーザプレーンネットワークエレメントの選択および制御のために用いられる。セッション管理は、例えば、セッションの作成、修正およびリリースである。特定の機能は、例えば、ユーザへのインターネットプロトコル(Internet Protocol、IP)アドレスの割り当てと、パケット転送機能を提供するユーザプレーンネットワークエレメントの選択とを含む。5Gにおいて、セッション管理ネットワークエレメントは、セッション管理機能(session management function、SMF)ネットワークエレメントであってよい。6Gなど、将来の通信において、セッション管理ネットワークエレメントは、依然としてSMFネットワークエレメントであってもよく、別の名称を有してもよい。これは、本願において限定されない。
モビリティ管理ネットワークエレメントは主に、モバイルネットワーク内の端末デバイスについての登録、モビリティ管理およびトラッキングエリア更新手順のために用いられる。モビリティ管理ネットワークエレメントは、非アクセス層(non-access stratum、NAS)メッセージを終了し、登録管理、接続管理、信頼性管理、追跡エリアリスト(tracking area list、TAリスト)割り当ておよびモビリティ管理等を完了し、セッション管理(session management、SM)メッセージをセッション管理ネットワークエレメントへ透過的にルーティングする。5G通信において、モビリティ管理ネットワークエレメントは、アクセスおよびモビリティ管理機能(access and mobility management function、AMF)ネットワークエレメントであってよい。6Gなど、将来の通信において、モビリティ管理ネットワークエレメントは、依然としてAMFネットワークエレメントであってもよく、別の名称を有してもよい。これは、本願において限定されない。
認証サーバネットワークエレメントは主に、拡張認証プロトコル(extensible authentication protocol、EAP)認証サービス機能を提供し、鍵を格納して、ユーザに対する認証を実装するように構成されている。5Gにおいて、認証サーバネットワークエレメントは、認証サーバ機能(authentication server function、AUSF)ネットワークエレメントであってよい。6Gなど、将来の通信において、認証サーバネットワークエレメントは、依然としてAUSFネットワークエレメントであってもよく、別の名称を有してもよい。これは、本願において限定されない。
セキュリティアンカーネットワークエレメントは主に、端末デバイスに対して認証を実行するように構成されており、AMFの機能であってよい。5Gにおいて、セキュリティアンカーネットワークエレメントは、セキュリティアンカー機能(security anchor function、SEAF)ネットワークエレメントであってよい。6Gなど、将来の通信において、セキュリティアンカーネットワークエレメントは、依然としてSEAFネットワークエレメントであってもよく、別の名称を有してもよい。これは、本願において限定されない。
ユーザプレーンネットワークエレメントは主に、ユーザプレーンサービス処理、例えば、データパケットのルーティングおよび伝送、パケット検出、サービス使用率報告、サービス品質(quality of service、QoS)処理、合法的傍受、アップリンクパケット検出およびダウンリンクデータパケット格納のために用いられる。5Gにおいて、ユーザプレーンネットワークエレメントは、ユーザプレーン機能(user plane function、UPF)ネットワークエレメントであってよい。6Gなど、将来の通信において、ユーザプレーンネットワークエレメントは、依然としてUPFネットワークエレメントであってもよく、別の名称を有してもよい。これは、本願において限定されない。
オンラインサブスクリプションサーバ(プロビジョニングサーバ、PS)は主に、端末デバイスにネットワークアクセスのための認証資格情報を提供するように構成されている。PSは、データネットワーク(data network、DN)内のオンラインサブスクリプションサービスを提供する1つまたは複数のサーバであってよい。
アクセスネットワークデバイス(無線アクセスネットワーク(radio access network、RAN)デバイスとも称される)は、端末のための無線通信機能を提供するデバイスである。アクセスネットワークデバイスは、限定されるわけではないが、5Gにおける次世代NodeB(gNodeB、gNB)、進化型NodeB(evolved NodeB、eNB)、無線ネットワークコントローラ(radio network controller、RNC)、NodeB(NodeB、NB)、基地局コントローラ(base station controller、BSC)、ベーストランシーバ基地局(base transceiver station、BTS)、ホーム基地局(例えば、ホーム進化型NodeBまたはホームNodeB、HNB)、ベースバンドユニット(baseBand unit、BBU)、送受信ポイント(transmission reception point、TRP)、送信ポイント(transmission point、TP)および移動交換局等を含む。
端末デバイス(ユーザ機器(user equipment、UE)とも称され得る)は、無線トランシーバ機能を有するデバイスであり、例えば、屋内または屋外デバイス、ハンドヘルドデバイスまたは車載デバイスなど、陸上に展開されてもよく、水上に(例えば、船上に)展開されてもよく、空中に(例えば、飛行機、気球および衛星に)展開されてもよい。端末は、携帯電話(mobile phone)、タブレットコンピュータ(パッド)、無線トランシーバ機能を有するコンピュータ、仮想現実(virtual reality、VR)端末、拡張現実(augmented reality、AR)端末、産業用制御(industrial control)における無線端末、自動運転(self driving)における無線端末、遠隔医療(telemedicine)における無線端末、スマートグリッド(smart grid)における無線端末、輸送安全性(transportation safety)における無線端末、スマートシティ(smart city)における無線端末またはスマートホーム(smart home)における無線端末等であってよい。端末デバイスは、表示画面を有してもよく、表示画面を有しなくてもよい。
オンボーディングデバイスは主に、端末デバイスの一時認証情報(例えば、第2の一時認証情報)を取得するように構成されており、N58インタフェースを直接または間接的に呼び出し得る。本願において、オンボーディングデバイスは、PLMNもしくはワイヤレスフィデリティ(wireless fidelity、Wi-Fi(登録商標))を通じて、または有線方式等でネットワークにアクセスしており、N58インタフェースを呼び出すことによりネットワーク露出ネットワークエレメントにアクセスして、ネットワーク露出ネットワークエレメントのAPIを呼び出し得るとデフォルトでみなされる。
前述のネットワークエレメントにおいて、セッション管理ネットワークエレメント、モビリティ管理ネットワークエレメント、認証サーバネットワークエレメントおよびセキュリティアンカーネットワークエレメントの全てが認証アンカーであってよいことに留意されたい。加えて、図1に示されるネットワークエレメントの形態および数は、一例として用いられているに過ぎず、本願に関する限定を構成しない。
本願における方法を説明する前に、この解決手段の理解に役立つよう、まず、前述の内容に基づいて、本願における適用シナリオをさらに説明する。内容のこの部分は、代替的に、本願の発明の概要における任意選択的な内容の一部として用いられ得る。本願において説明されるシステムアーキテクチャおよび適用シナリオは、本願における技術的解決手段をより明確に説明するように意図されているが、本願において提供される技術的解決手段を限定するようには意図されていないことに留意されたい。当業者であれば、システムアーキテクチャが進化し、新しいシナリオが出現しているので、本願において提供される技術的解決手段が同様の技術課題にも適用可能であることを認識し得る。
新たに配信されたネットワーク側情報は、UE上で構成されず、新たに配信された、UEについての情報は、ネットワーク側で構成されない。PLMNにおいて、ユーザは通常、新たに配信されたUEのオンボーディングのためにモバイルサービスセンタに行く必要があり、オンボーディングが実行されているUEのみが、PLMNにアクセスできる。この方式は、手動での介入を必要とし、十分に自動的ではなく、非効率的である。
この問題を考慮して、本願は、通信方法を提供する。この方法は、図1に示される通信システムに適用され得る。この方法における端末装置は、端末デバイスであってもよく、モジュール、例えば、端末デバイス内で用いられ得るチップであってもよい。説明しやすくするために、データ管理ネットワークエレメントがUDMネットワークエレメントであり、認証、許可および課金機能ネットワークエレメントがAAAであり、ネットワーク露出ネットワークエレメントがNEFネットワークエレメントであり、セッション管理ネットワークエレメントがSMFネットワークエレメントであり、モビリティ管理ネットワークエレメントがAMFネットワークエレメントであり、認証サーバネットワークエレメントがAUSFネットワークエレメントであり、セキュリティアンカーネットワークエレメントがSEAFネットワークエレメントであり、ユーザプレーンネットワークエレメントがUPFネットワークエレメントであり、端末デバイスがUEであり、アクセスネットワークデバイスが基地局である一例を用いることにより、本願を以下で説明する。さらに、UDMネットワークエレメントは略して、UDMであり、認証、許可および課金機能ネットワークエレメントは略して、AAAであり、PCFネットワークエレメントは略して、PCFであり、NEFネットワークエレメントは略して、NEFであり、SMFネットワークエレメントは略して、SMFであり、AMFネットワークエレメントは略して、AMFであり、UPFネットワークエレメントは略して、UPFであり、端末デバイスは略して、UEである。言い換えると、本願の以下の説明において、全てのUDMがデータ管理ネットワークエレメントに置き換えられてよく、全てのAAAが認証、許可および課金機能ネットワークエレメントに置き換えられてよく、全てのNEFがネットワーク露出ネットワークエレメントに置き換えられてよく、全てのSMFがセッション管理ネットワークエレメントに置き換えられてよく、全てのAMFがモビリティ管理ネットワークエレメントに置き換えられてよく、全てのUPFがユーザプレーンネットワークエレメントに置き換えられてよく、全てのUEが端末デバイスに置き換えられてよく、全ての基地局がアクセスネットワークデバイスに置き換えられてよい。
図1から図9を参照して、以下では、前述の技術課題を解決するために用いられる、本願において提供される通信方法を詳細に説明する。
方法手順を説明する前に、UE上で予め構成された第1の一時認証情報と、AAA上で予め構成された第2の一時認証情報とを、まず別個に説明する。
1. UEが第1の一時認証情報を予め構成する。
第1の一時認証情報は、UEにより、ネットワーク(例えば、以下の方法における第1のネットワーク)との一時認証手順を実行するために用いられる。言い換えると、第1の一時認証情報は、ネットワーク側により、UEに対して一時認証を実行するために用いられる。
可能な実装において、第1の一時認証情報は、第1の一時認証資格情報の識別子と、第1の一時認証資格情報とを含み得る。第1の一時認証資格情報は、対称鍵であってもよく、非対称鍵(例えば、秘密鍵)であってもよい。第1の一時認証資格情報の識別子は、ネットワークにより、第1の一時認証資格情報の識別子に基づいて第2の一時認証資格情報を取得するために用いられる。第1の一時認証資格情報の識別子は、例えば、UEの識別子であってよい。UEの識別子は、例えば、PEI、IMEIまたは一時識別子(identifier、ID)である。別の例では、第1の一時認証資格情報の識別子は、代替的に、UEの識別子の混同値、例えば、PEIの混同値またはIMEIの混同値であってよい。UEの識別子の混同値は、UEにより、UEの識別子に対してハッシュ演算を実行することにより取得され得る。別の例では、第1の一時認証資格情報の識別子は、代替的に、鍵識別子、例えば、無鍵署名インフラストラクチャ(keyless signature infrastructure、KSI)であってよい。第1の一時認証資格情報の識別子がUEの識別子の混同値である場合、UEのプライバシが保護され得る。
2. AAAが第2の一時認証情報を予め構成する。
第2の一時認証情報は、ネットワーク(例えば、以下の方法における第1のネットワーク)により、UEとの一時認証手順を実行するために用いられる。言い換えると、第2の一時認証情報は、UEにより、ネットワークに対して一時認証を実行するために用いられる。
図1を参照すると、AAAにより予め構成された第2の一時認証情報は、オンボーディングデバイスによりAAAへ送信され得る。例えば、オンボーディングデバイスは、第2の一時認証情報を以下の2つの方式で取得し得る。方式1:ユーザが第2の一時認証情報をオンボーディングデバイスに入力する。方式2:オンボーディングデバイスが、UEにペーストされた、第2の一時認証情報を含むQRコード(登録商標)をスキャンする。オンボーディングデバイスは、第2の一時認証情報を取得した後に、N58インタフェースを呼び出すことによりNEFにアクセスし、次に、NEFのAPIを呼び出して、アプリケーション層メッセージを用いることにより、取得した第2の一時認証情報をAAAへ送信し得る。それに応じて、第2の一時認証情報は、AAA上で予め構成される。複数のUEの第2の一時認証情報がAAA上で予め構成され得ることを理解されたい。
可能な実装において、第2の一時認証情報は、第2の一時認証資格情報の識別子と、第2の一時認証資格情報とを含む。第2の一時認証情報は、第1の一時認証情報と同じであってもよく、異なっていてもよい。以下では、それぞれの事例における詳細な説明を提供する。
事例1:第2の一時認証情報が、第1の一時認証情報と同じである。
可能な実装において、第1の一時認証情報は、UEの識別子と、第1の一時対称鍵とを含み得る。具体的には、第1の一時認証資格情報の識別子は、UEの識別子であり、第1の一時認証資格情報は、第1の一時対称鍵である。第2の一時認証情報は、UEの識別子と、第2の一時対称鍵とを含み得る。具体的には、第2の一時認証資格情報の識別子は、UEの識別子であり、第2の一時認証資格情報は、第2の一時対称鍵である。第1の一時対称鍵および第2の一時対称鍵は、対称鍵である。このことは、第1の一時認証資格情報および第2の一時認証資格情報が対称鍵であり、第1の一時認証資格情報の識別子および第2の一時認証資格情報の識別子の両方がUEの識別子である、とも理解され得る。
事例2:第2の一時認証情報が、第1の一時認証情報とは異なる。
可能な実装において、第1の一時認証情報は、UEの識別子およびUEの第1の秘密鍵(private key)を含み得る。以下、第1の秘密鍵は略して、PrUEである。具体的には、第1の一時認証資格情報の識別子は、UEの識別子であり、第1の一時認証資格情報は、UEの第1の秘密鍵PrUEである。第2の一時認証情報は、UEの識別子の混同値およびUEの第1の公開鍵を含む。以下、第1の公開鍵は略して、公開鍵PkUEである。具体的には、第2の一時認証資格情報の識別子は、UEの識別子の混同値であり、第2の一時認証資格情報は、UEの第1の公開鍵PkUEである。UEの第1の秘密鍵およびUEの第1の公開鍵は、非対称鍵のペアである。言い換えると、第1の一時認証資格情報は、UEの第1の秘密鍵PrUEであり、第2の一時認証資格情報は、UEの第1の公開鍵PkUEであり、第1の一時認証資格情報の識別子は、UEの識別子であり、第2の一時認証資格情報の識別子は、UEの識別子の混同値である。
別の可能な実装において、第1の一時認証情報は、検証パラメータの識別子と、第1の証明書(第1の証明書は、第1の証明書の識別子および第1の証明書の署名を含む)と、第1の証明書の秘密鍵PrUEとを含む。具体的には、第1の一時認証資格情報の識別子は、検証パラメータの識別子であり、第1の一時認証資格情報は、第1の証明書と、第1の証明書の秘密鍵PrUEとである。第2の一時認証情報は、検証パラメータの識別子と、検証パラメータとを含む。検証パラメータは、第1の証明書の有効性を検証するために用いられ、サードパーティの公開鍵であってよい。検証パラメータの識別子は、検証パラメータを決定するために用いられ、第1の証明書の識別子と同じであってよい。第1の証明書の識別子は、ユーザの識別子、または鍵識別子等を含む。具体的には、証明書が3GPPネットワーク内で用いられるので、第1の証明書の識別子は、UEについての情報、例えば、PEIまたはIMEIを含んでよく、第1の証明書の署名は、サードパーティにより、サードパーティの秘密鍵を用いることで第1の証明書に署名することにより取得されてよい。
さらに別の可能な実装において、第1の一時認証情報は、検証パラメータの識別子と、検証パラメータと、第1の証明書と、第1の証明書の秘密鍵PrUEとを含む。具体的には、第1の一時認証資格情報の識別子は、検証パラメータの識別子であり、第1の一時認証資格情報は、第1の証明書と、第1の証明書の秘密鍵PrUEとである。第2の一時認証情報は、検証パラメータの識別子と、検証パラメータと、第2の証明書と、第2の証明書の秘密鍵PrAAAとを含み、第2の一時認証資格情報は、検証パラメータと、第2の証明書(第2の証明書は、第2の証明書の識別子および第2の証明書の署名を含む)と、第2の証明書の秘密鍵PrAAAとを含む。検証パラメータの識別子と、検証パラメータとの関連する説明については、前述の説明を参照されたい。第2の証明書の署名は、サードパーティにより、サードパーティの秘密鍵を用いることにより第2の証明書に署名することにより取得され得る。
さらに、第2の一時認証情報は、一時アルゴリズムをさらに含んでよく、一時アルゴリズムは、第1のネットワークおよびUEが一時認証手順を実行する場合に必要とされるアルゴリズムを示す。一時アルゴリズムは、一時認証アルゴリズムおよび/または鍵共有アルゴリズムを含む。一時認証アルゴリズムは、5G認証および鍵共有(authentication and key agreement、AKA)、拡張可能認証プロトコル(extensible authentication protocol、EAP)AKA'またはEAPトランスポート層セキュリティ(transport layer security、TLS)を含む。鍵共有アルゴリズムは、ディフィー・ヘルマン(Diffie-Hellman、DH)アルゴリズム、楕円曲線ディフィー-ヘルマン(Elliptic Curve Diffie-Hellman)アルゴリズム等を含む。第2の一時認証情報は、一時アルゴリズムを含む。その結果、AAAは、含まれる一時アルゴリズムに従って、対応する一時認証手順を実行できる。このようにして、一時アルゴリズムは、異なる認証アルゴリズムをサポートする複数のUEにより構成情報を取得するために用いられ得る。構成情報は、UEにより、ネットワークの選択とネットワークへのアクセスとのために用いられる。
前述の内容に基づいて、図2は、本願による通信方法の概略フローチャートである。この方法は、以下の段階を含む。
段階201:UEが補助認証情報を取得する。
可能な実装において、アクセスネットワークデバイス(例えば、基地局)が、補助認証情報をブロードキャストし得る。それに応じて、UEは、基地局によりブロードキャストされる補助認証情報を取得する。オンボーディングが端末装置に対して実行されていない場合、端末装置は、構成情報をローカルに有さず、構成情報に基づいてネットワークを選択してこのネットワークにアクセスすることができない。したがって、端末装置がサブスクリプション情報を有しない場合、ブロードキャスト補助認証情報は、ネットワークアクセスに必要とされるパラメータを端末装置が取得するのに役立ち得る。その結果、端末装置は、ネットワークへのアクセスを試みることができる。
補助認証情報は、1つまたは複数のネットワークの識別情報を含んでよく、ネットワークの識別情報は、ネットワークのアドレス指定をするために用いられる。ネットワークの識別情報は、例えば、公衆陸上移動体ネットワーク識別子(public land mobile network identifier、PLMN ID)、ネットワーク識別子(network identifier、NID)またはネットワーク名であってよい。
さらに、補助認証情報は、オンボーディングインジケーション情報をさらに含み得る。オンボーディングインジケーション情報は、ネットワークがオンボーディング手順をサポートしていることを示す。
ここで、補助認証情報は、ネットワーク(第1のネットワークと称される)を一時的に選択し、選択されたネットワークとの相互一時認証手順を実行する際にUEを支援するために用いられる。基地局は複数の補助認証情報を同時にブロードキャストしてよく、各補助認証情報はネットワークの識別情報を含むことを理解されたい。例えば、1つのブロードキャストが、1個の補助認証情報に対応し、UEは、複数のブロードキャストを受信することにより、複数の補助認証情報を取得し得る。別の例では、1つのブロードキャストが、複数の補助認証情報に対応し、UEは、1つのブロードキャストを受信することにより、複数の補助認証情報を取得し得る。
段階202:UEが、受信した補助認証情報に基づいて、第1のネットワークにアクセスすることを選び得る。
段階202は、任意選択的な段階である。
ここで、第1のネットワークは、1つまたは複数のネットワークのいずれか1つである。同じ期間内に、UEは、取得した複数の補助認証情報の各々に含まれるネットワークの識別情報から、1つのネットワークを第1のネットワークとして選択し得る。さらに、UEにより選択される第1のネットワークは、オンボーディング手順をサポートする。
以下では、UEが第1のネットワークにアクセスすることを選ぶ2つの方式(手動方式および自動方式)の例を提供する。
手動方式では、UEは、補助認証情報に基づいて取得される全てのネットワークの識別情報を表示画面に表示し、ユーザは、UEに表示されている全てのネットワークの識別情報から、1つのネットワークを第1のネットワークとして選択し得る。さらに、補助認証情報がオンボーディングインジケーション情報をさらに含む場合、UEは、オンボーディング手順をサポートしている1つまたは複数のネットワークのみの識別情報を表示画面に表示し得る。
自動方式では、UEは、全てのネットワークの取得した識別情報、および信号強度または予め設定された順序等に基づいて、1つのネットワークを第1のネットワークとして選択し得る。さらに、補助認証情報がプライベートネットワーク識別子(例えば、NID)をさらに含む場合、UEは、信号強度または予め設定された順序等に基づいて、プライベートネットワーク識別子に対応するネットワークから、1つのネットワークを第1のネットワークとして選択し得る。第1のネットワークにアクセスすることを、プライベートネットワーク識別子を含む補助認証情報のみに基づいてUEが選ぶ理由は、プライベートネットワークのみがオンボーディング手順をサポートしており、UEが、オンボーディング手順をサポートしていないパブリックネットワークの選択を回避してオンボーディング効率を向上させ得ることである。
さらに、補助認証情報がオンボーディングインジケーション情報をさらに含む場合、UEは、信号強度または予め設定された順序等に基づいて、オンボーディング手順をサポートしているネットワークから、1つのネットワークを第1のネットワークとして選択し得る。UEは、オンボーディングインジケーション情報を含む補助認証情報のみに基づいて、第1のネットワークにアクセスすることを選び、オンボーディング手順をサポートしていないネットワークの選択を回避する。これにより、オンボーディング効率が向上する。
可能な実装において、UEは、第1のネットワークにアクセスすることを選んだ後に、第1のネットワークの識別情報を取得し得る。第1のネットワークの識別情報は、PLMN IDおよび/またはNIDを含む。
段階203:UEが、第1の一時認証情報と、第1のネットワークの識別情報とに基づいて、第1のネットワークのアクセス情報を決定し得る。
ここで、第1のネットワークのアクセス情報は、第1のネットワークにより、第2の一時認証情報を決定するために用いられる。
可能な実装において、UEは、第1の一時認証情報に基づいて、第1のネットワークのアクセス情報を決定し得る。この実装に基づいて、第1のネットワークのアクセス情報は、第3の一時認証資格情報の識別子を含んでよく、第3の一時認証資格情報の識別子は、AAAにより、第2の一時認証資格情報を決定するために用いられる。その結果、AAAは、第2の一時認証情報を決定できる。第3の一時認証資格情報の識別子は、UEにより、第1の一時認証資格情報の識別子に基づいて決定され得る。例えば、第1の一時認証資格情報の識別子は、UEの識別子であり、第3の一時認証資格情報の識別子は、UEの識別子の混同値であってよく、具体的には、UEの識別子の、UEによりUEの識別子に対してハッシュ演算を実行することにより取得される混同値であってよい。別の例では、第1の一時認証資格情報の識別子は、UEの識別子であり、第3の一時認証資格情報の識別子は、UEの識別子であってよい。別の例では、第1の一時認証資格情報の識別子が検証パラメータの識別子である場合、第3の一時認証資格情報の識別子も、検証パラメータの識別子であってよい。さらに、UEは、第1の一時認証情報および補助認証情報に基づいて、第1のネットワークのアクセス情報を決定し得る。この実装に基づいて、第1のネットワークのアクセス情報は、第3の一時認証資格情報の識別子およびAAAの識別情報を含み得る。AAAの識別情報は、AAAのアドレス指定をするために用いられる。AAAの識別情報は、例えば、ルーティングインジケータ(RI)、AAAのインターネットプロトコル(Internet Protocol、IP)アドレス、またはデフォルト値(例えば、全て「1」)であってよい。具体的には、UEは、第1の一時認証資格情報の識別子に基づいて、第3の一時認証資格情報の識別子を決定してよく、取得した補助認証情報に基づいて、AAAの識別情報を決定してよい。AAAの識別情報は、段階201における補助認証情報において保持され得る。この場合、UEは、補助認証情報からAAAの識別情報を直接取得し得る。代替的に、補助認証情報は、ネットワークの識別情報のみを含み、UEは、第1のネットワークの識別情報を第1のネットワークへ送信して、AAAの識別情報の取得を要求し得る。
別の可能な実装において、UEは、第1の一時認証情報および補助認証情報に基づいて、第1のネットワークのアクセス情報を決定し得る。具体的には、UEは、第1の一時認証資格情報の識別子に基づいて、第3の一時認証資格情報の識別子を決定し、取得した補助認証情報に基づいて、第1のネットワークの識別情報およびAAAの識別情報を決定してよい。第1のネットワークの識別情報が段階201における補助認証情報において保持される場合、UEは、補助認証情報から第1のネットワークの識別情報を直接取得し得る。第1のネットワーク内のAAAの識別情報は、段階201における補助認証情報において保持され得る。この場合、UEは、補助認証情報からAAAの識別情報を直接取得し得る。代替的に、補助認証情報は、第1のネットワークの識別情報のみを含み、UEは、第1のネットワークの識別情報を第1のネットワークへ送信して、AAAの識別情報の取得を要求し得る。この実装に基づいて、第1のネットワークのアクセス情報は、第3の一時認証資格情報の識別子と、第1のネットワークの識別情報と、AAAの識別情報とを含み得る。
別の可能な実装において、UEは、第1の一時認証情報と、AAAの識別情報に対応するデフォルト値とに基づいて、第1のネットワークのアクセス情報を決定し得る。AAAの識別情報に対応するデフォルト値は、UEにより、予め設定され方式で生成され得る。具体的には、UEは、第1の一時認証資格情報の識別子に基づいて、第3の一時認証資格情報の識別子を決定し得る。前述の説明を参照されたい。AAAの識別情報は、デフォルト値に基づいて決定され得る。この実装に基づいて、第1のネットワークのアクセス情報は、第3の一時認証資格情報の識別子と、第1のネットワークの識別情報と、AAAの識別情報とを含み得る。
さらに、任意選択的に、第1のネットワークのアクセス情報は、第1のネットワークのアクセス情報のタイプをさらに含み得る。第1のネットワークのアクセス情報のタイプは、特定のタイプであってよい。第1のネットワークのアクセス情報のタイプは、第2の一時認証情報の決定においてAAAを支援するために用いられ、第1のネットワークのアクセス情報が一時認証のために用いられること、第1のネットワークのアクセス情報が製造者により予め構成されていること、または、第1のネットワークのアクセス情報が現在のネットワークにより所有されていないことを示し得る。第1のネットワークのアクセス情報のタイプは、例えば、サブスクリプション永続識別子(subscription permanent identifier、SUPI)タイプを含む。SUPIタイプは、ゼロではない値(IMSIの場合)または1ではない値(NAIの場合)であってよく、2から7までの範囲の任意の値である。
第1のネットワークのアクセス情報は、第3の一時認証資格情報の識別子、第3の一時認証資格情報の識別子および第1のネットワークの識別情報、第3の一時認証資格情報の識別子および第1のネットワークのアクセス情報のタイプ、第3の一時認証資格情報の識別子、AAAの識別情報、第3の一時認証資格情報の識別子および第1のネットワークの識別情報、第1のネットワークのアクセス情報のタイプ、第3の一時認証資格情報の識別子、第1のネットワークの識別情報およびAAAの識別情報、第3の一時認証資格情報の識別子、第1のネットワークのアクセス情報のタイプおよびAAAの識別情報、第3の一時認証資格情報の識別子、第1のネットワークの識別情報、AAAの識別情報および第1のネットワークのアクセス情報のタイプ、第3の一時認証資格情報の識別およびデフォルト値、第3の一時認証資格情報の識別子、第1のネットワークの識別情報およびデフォルト値、第3の一時認証資格情報の識別子、第1のネットワークのアクセス情報のタイプおよびAAAの識別情報、または、第3の一時認証資格情報の識別子、第1のネットワークの識別情報、デフォルト値および第1のネットワークのアクセス情報のタイプのいずれか1つを含み得ることを理解されたい。
本願において、第1のネットワークのアクセス情報は、サブスクリプションコンシールド識別子(subscription concealed identifier、SUCI)であってよい。SUCIの構築については、3GPP TS23.003を参照されたい。SUCIは、SUPIタイプ、ホームネットワーク識別子、ルーティングインジケータ、保護スキーム識別子、ホームネットワーク公開鍵識別子および/またはスキーム出力というパラメータを含む。例えば、SUPIタイプは、ゼロではない値または1ではない値に設定されてよく、ホームネットワーク識別子は、第1のネットワークのPLMN IDに設定されてよく、ルーティングインジケータは、第1のネットワークのRIに設定されてよく、保護スキーム識別子およびホームネットワーク公開鍵識別子は、0に設定されてよく、スキーム出力は、第3の一時認証資格情報の識別子に設定されてよい。
段階204:UEが、第1のネットワークのアクセス情報に基づいて、第1のネットワークとの相互一時認証をトリガし得る。
可能な実装において、UEは、第1のネットワークのアクセス情報を第1のネットワーク内のAAAへ送信し得る。それに応じて、AAAは、UEから第1のネットワークのアクセス情報を受信する。
ここで、UEがまず、第1のネットワークのアクセス情報を認証アンカーへ送信してよく、次に、認証アンカーが、第1のネットワークのアクセス情報をAAAへ送信する。
可能な実装において、第1のネットワークのアクセス情報はさらに、第1のネットワーク内の認証アンカーにより、AAAを選択するために用いられ得る。図3における以下の説明を参照されたい。
図1を参照すると、認証アンカーは、AMF、SEAF、SMFまたはAUSFであってよく、認証アンカーは、UEが第1のネットワークとの認証手順を実行した後に、取得された一時認証結果を認識し得る。
さらに、AAAは、第1のネットワークのアクセス情報に基づいて、第2の一時認証情報を決定し得る。
段階203における第1のネットワークの異なるアクセス情報に基づいて、以下では、AAAが第1のネットワークのアクセス情報に基づいて第2の一時認証情報を決定する処理を別個に説明する。
第1のネットワークのアクセス情報は、第3の一時認証資格情報の識別子を含み、AAAは、第3の一時認証資格情報の識別子に基づいて、第2の一時認証資格情報を取得し得る。さらに、第3の一時認証資格情報の識別子に対応する一時アルゴリズムが取得され得る。
第1のネットワークのアクセス情報がアクセス情報のタイプをさらに含み、アクセス情報のタイプが、特定のタイプであり、第1のネットワークのアクセス情報が一時認証のために用いられること、第1のネットワークのアクセス情報が製造者により予め構成されていること、または、第1のネットワークのアクセス情報が現在のネットワークにより所有されていないことを示し得る場合、AAAは、一時認証情報が検索される必要があることを特定のタイプに基づいて決定し得る。第3の一時認証資格情報の識別子がUEの製造者により予め構成されているので、この識別子は、第1のネットワークに格納されているSUPI(第1のネットワークにより割り当てられる)で複製されてよく、特定のタイプのアクセス情報を導入することにより、複製ユーザアイデンティティに起因して不正確なIDが見つかるという問題を回避できる。
可能な実装において、第1のネットワークのアクセス情報は、第3の一時認証資格情報の識別子(例えば、UEの識別子の混同値)を含み、AAAは、第3の一時認証資格情報の識別子に基づき、第3の一時認証資格情報の識別子と同じ第2の一時認証資格情報の識別子を求めて複数の格納された第2の一時認証情報を検索して、第2の一時認証資格情報を取得し得る。
別の可能な実装において、第1のネットワークのアクセス情報は、AAAの識別情報(例えば、RI)および第3の一時認証資格情報の識別子(例えば、UEの識別子の混同値)を含む。認証アンカーは、AAAの識別情報に基づいてAAAを決定し、次に、決定したAAAへ第1のネットワークのアクセス情報を送信し得る。AAAは、UEの識別子の混同値に基づき、UEの識別子の混同値と同じUEの識別子の混同値を求めて複数の格納された第2の一時認証情報を検索して、UEの第2の一時認証情報を取得し得る。言い換えると、AAAは、第3の一時認証資格情報の識別子に基づいて、第2の一時認証情報を決定し得る。AAAは、UEの識別子の混同値に対応する第2の一時認証資格情報を第2の一時認証情報から取得し得る。さらに、UEの識別子の混同値に対応する一時アルゴリズムが取得され得る。
さらに別の可能な実装において、第1のネットワークのアクセス情報は、AAAの識別情報(例えば、RI)および第3の一時認証資格情報の識別子(例えば、検証パラメータの識別子)を含む。認証アンカーは、AAAの識別情報に基づいてAAAを決定し、次に、決定したAAAへ第1のネットワークのアクセス情報を送信し得る。AAAは、検証パラメータの識別子に基づき、検証パラメータの識別子と同じ検証パラメータの識別子を求めて複数の格納された第2の一時認証情報を検索して、UEの第2の一時認証情報を取得し得る。AAAは、第2の一時認証情報から、検証パラメータの識別子に対応する検証パラメータを取得し得る。さらに、検証パラメータの識別子に対応する第2の証明書と、第2の証明書の秘密鍵PrAAAとが取得され得る。さらに、検証パラメータの識別子に対応する一時アルゴリズムが取得され得る。
さらに別の可能な実装において、第1のネットワークのアクセス情報は、AAAの識別情報(例えば、デフォルト値)および第3の一時認証資格情報の識別子(例えば、UEの識別子の混同値)を含む。認証アンカーのローカル構成は、AAAのデフォルト値を含み得る。認証アンカーは、ローカル構成に基づいて、AAAを決定し得る。具体的には、認証アンカーのローカル構成は、デフォルト値に対応するAAAを含み、次に、第1のネットワークのアクセス情報は、決定されたAAAへ送信される。AAAは、UEの識別子の混同値に基づき、UEの識別子の混同値と同じUEの識別子の混同値を求めて複数の格納された第2の一時認証情報を検索して、UEの第2の一時認証情報を取得し得る。言い換えると、AAAは、第3の一時認証資格情報の識別子に基づいて、第2の一時認証情報を決定し得る。AAAは、UEの識別子の混同値に対応する第2の一時認証資格情報を第2の一時認証情報から取得し得る。さらに、UEの識別子の混同値に対応する一時アルゴリズムが取得され得る。
さらに別の可能な実装において、第1のネットワークのアクセス情報は、AAAの識別情報(例えば、RI)と、第3の一時認証資格情報の識別子(例えば、UEの識別子の混同値)と、第1のネットワークのアクセス情報のタイプ(例えば、SUPIタイプ)とを含む。認証アンカーは、AAAの識別情報に基づいてAAAを決定し、次に、決定したAAAへ第1のネットワークのアクセス情報を送信し得る。AAAは、一時認証情報が検索される必要がある、と第1のネットワークのアクセス情報のタイプに基づいて判定し、次に、UEの識別子の混同値と同じUEの識別子の混同値を求めて複数の格納された第2の一時認証情報を検索して、UEの第2の一時認証情報を取得し得る。言い換えると、AAAは、第3の一時認証資格情報の識別子に基づいて、第2の一時認証情報を決定し得る。このようにして、AAAは、UEの識別子の混同値に対応する第2の一時認証資格情報を第2の一時認証情報から取得し得る。さらに、UEの識別子の混同値に対応する一時アルゴリズムが取得され得る。
本願において、UEおよびAAAはそれぞれ、第1の一時認証情報および第2の一時認証情報に基づいて、相互一時認証を実行し得る。
可能な実装において、相互一時認証手順は、5G AKA、EAP-AKA'またはEAP TLSを通じて、UEとAAAとの間で実行され得る。用いられる具体的な一時認証手順は、AAAにより、第2の一時認証情報に含まれる一時アルゴリズムに従って決定されてもよく、UEおよび第1のネットワークにより前もってネゴシエートされてもよく、プロトコルにおいて予め定義されてもよい。これは、本願において限定されない。
段階205:相互一時認証が成功した場合、UEが第1のネットワークの構成情報を取得する。
この段階は、任意選択的な段階である。
ここで、第1のネットワークの構成情報は、端末装置により、第1のネットワークの選択と第1のネットワークへのアクセスとのために用いられる。可能な実装において、第1のネットワークの構成情報は、ネットワーク選択サブスクリプション情報および/または長期認証資格情報を含む。ネットワーク選択サブスクリプション情報は、UEにより、第1のネットワークにアクセスすることを選ぶために用いられる。言い換えると、UEは、第1のネットワークのネットワーク選択サブスクリプション情報を用いることにより、第1のネットワークにアクセスすることを選び得る。例えば、UEは、第1のネットワークお構成情報を取得した後に、最高優先度を有する第1のネットワークを順に(例えば、優先順序で)選択し、第1のネットワークに対する登録要求を開始し得る。UEが第1のネットワークに登録する処理において、第1のネットワークは、認証を開始する。長期認証資格情報は、第1のネットワークにより第1のネットワークへのアクセスを端末装置に許可するために用いられる資格情報であってよい。その結果、端末装置は、第1のネットワークにアクセスし、第1のネットワークにより提供されるサービスを取得する。
可能な実装において、ネットワーク選択サブスクリプション情報は、第1のネットワークの識別情報(例えば、PLMN IDまたはNID)と、ルーティングインジケータ(routing indicator、RI)と、端末のサービスパラメータ(例えば、QoSパラメータ)と、第1のネットワークのスライス情報(例えば、NSSAI)と、第1のネットワークのデータネットワーク名(例えば、DNN)と、UEの長期識別情報(例えば、SUPI)とを含み得る。SUPIは、一時的に用いられない。RIの定義については、3GPP TS23.003を参照されたい。
可能な実装において、長期認証資格情報は、第1のネットワークにより第1のネットワークへのアクセスを端末装置に許可するために用いられる資格情報であってよい。さらに、任意選択的に、端末装置は、長期認証資格情報に基づいて第1のネットワークにアクセスした後に、第1のネットワークにより提供されるサービスを取得し得る。例えば、第1のネットワークは、公開鍵および秘密鍵のペアを生成し、このペアのうちの公開鍵(すなわち、長期認証資格情報)を端末装置へ送信し得る。端末装置は、受信した公開鍵(すなわち、長期認証資格情報)に基づき第1のネットワークとの認証を実行して、第1のネットワークにアクセスし得る。別の例では、第1のネットワークは、対称鍵(すなわち、長期認証資格情報)を端末装置へ送信し、端末装置は、対称鍵(すなわち、長期認証資格情報)に基づき第1のネットワークとの認証を実行して、第1のネットワークにアクセスし得る。言い換えると、長期認証資格情報は、公開鍵または証明書であってもよく、第1のネットワーク内のものと同じ端末装置により受信される対称鍵であってもよい。
例えば、UEにより取得されるネットワーク選択サブスクリプション情報は、PLMN ID、NID、RIおよびSUPIを含み、UEにより取得される長期認証資格情報は、証明書である。UEは、ネットワーク選択サブスクリプション情報および長期認証資格情報を取得した後に、PLMN IDおよびNIDに基づいて、基地局のブロードキャストからの同じPLMN IDおよびNIDを有する第1のネットワークを選択し得る。UEは、PLMN ID、RIおよびSUPIに基づきSUCIを構築して第1のネットワークへのアクセスを試み、証明書を用いることにより第1のネットワークとの認証を実行して第1のネットワークのサービスを取得する。
前述の解決手段に基づいて、UEは、取得した補助認証情報と、第1の一時認証情報とに基づいて第1のネットワークのアクセス情報を決定して、第1のネットワークのアクセス情報に基づき第1のネットワークとの相互一時認証をトリガし得る。UEと第1のネットワークとの間の相互一時認証が成功した場合、UEは、第1のネットワークにアクセスするための構成情報を第1のネットワークから取得し得る。その結果、UEは、構成情報に基づいて、第1のネットワークにアクセスできる。このようにして、UEは、ネットワーク側情報がUE上で構成されなかった場合、第1のネットワークのサブスクリプション情報をセキュアに取得できる。
段階204について、図3は、本願によるUEが第1のネットワークのアクセス情報をAAAへ送信する方法の概略フローチャートである。この方法は、以下の段階を含み得る。
段階301:UEが第1のネットワークのアクセス情報をAMFへ送信する。
第1のネットワークのアクセス情報は、登録要求メッセージにおいて保持され得る。具体的には、UEは、登録要求メッセージをAMFへ送信してよく、登録要求メッセージは、第1のネットワークのアクセス情報を含む。第1のネットワークのアクセス情報の可能な実装については、段階203における関連する説明を参照されたい。詳細については、ここで再び説明しない。
段階302:AMFが、第1のネットワークのアクセス情報に基づいて、AUSFを選択し得る。
ここで、第1のネットワークのアクセス情報がAAAの識別情報(例えば、RI)を含む場合、AMFは、AAAの識別情報(例えば、RI)に基づいて、AUSFを選択し得る。第1のネットワークのアクセス情報が第1のネットワークの識別情報(PLMN ID)をさらに含む場合、AMFは、このネットワークの識別情報(PLMN ID)およびAAAの識別情報(例えば、RI)に基づいて、AUSFを選択し得る。第1のネットワークのアクセス情報がSUPIタイプを含み、SUPIタイプが、0ではない値または1ではない値であり、第1のネットワークのアクセス情報が一時認証のために用いられること、第1のネットワークのアクセス情報が、製造者により予め構成されているか、現在のネットワークにより所有されていないこと、または、RIがデフォルト値であることを示し得る場合、AMFは、ローカル構成から特定のAUSFを選択し得る。言い換えると、特定のAUSFの識別情報は、AMF上でローカルに構成され、第1のネットワークのアクセス情報が特定のAUSFの識別情報を含むか、特定のSUPIタイプを示す場合、AMFは、ローカル構成からAUSFを決定し得る。特定のAUSFは、具体的には、一時認証手順を実行するように構成されている。
段階303:AMFが、決定したAUSFへ第1のネットワークのアクセス情報を送信する。
段階304:AUSFが、第1のネットワークのアクセス情報に基づいて、AAAを選択する。
可能な実装において、第1のネットワークのアクセス情報は、AAAの識別情報を含んでよく、AUSFは、AAAの識別情報に基づいて、AAAを直接決定してよい。このネットワークのアクセス情報が第1のネットワークの識別情報(PLMN ID)をさらに含む場合、AUSFは、このネットワークの識別情報(PLMN ID)およびAAAの識別情報(例えば、RI)に基づいて、AAAを選択し得る。例えば、AUSFは、第1のネットワークのアクセス情報におけるRIに基づいて、AAAを直接選択し得る。別の可能な実装において、第1のネットワークのアクセス情報がSUPIタイプを含み、SUPIタイプが、0ではない値または1ではない値であり、第1のネットワークのアクセス情報が一時認証のために用いられること、第1のネットワークのアクセス情報が、製造者により予め構成されているか、現在のネットワークにより所有されていないこと、または、RIがデフォルト値であることを示し得る場合、AUSFは、ローカル構成においてAAAを決定し得る。言い換えると、特定のAAAの識別情報は、AUSF上でローカルに構成され、第1のネットワークのアクセス情報が特定のAAAの識別情報(すなわち、デフォルト値)を含むか、特定のSUPIタイプを示す場合、AUSFは、ローカル構成においてAAAを決定し得る。
さらに、AUSFのローカル構成は、このネットワークの識別情報とAAAの識別情報との間のマッピング関係をさらに含み得る。第1のネットワークのアクセス情報がこのネットワークの識別情報のみを含む場合、AUSFは、このネットワークの識別情報に基づいて、AAAの識別情報を取得し得る。
段階305:AUSFが第1のネットワークのアクセス情報をAAAへ送信する。それに応じて、AAAは、AUSFから第1のネットワークのアクセス情報を受信する。
以下では、UEと第1のネットワークとの間の相互一時認証の実行の3つの可能な例を提供する。UEと第1のネットワークとの間で実行される相互一時認証手順は、限定されるわけではないが、以下の3つの例を含み、以下の3つの例は、説明のための例に過ぎないことに留意されたい。
例1:UE上で予め構成された第1の一時認証資格情報は、UEの第1の秘密鍵PrUEであり、AAA上で予め構成された第2の一時認証資格情報は、UEの第1の公開鍵PkUEである。
例1に基づいて、図4Aおよび図4Bは、本願によるUEと第1のネットワークとの間の相互一時認証を実行する方法の概略フローチャートである。この方法は、以下の段階を含み得る。
段階401:AAAが第1の一時対称鍵Kt1を生成する。
ここで、AAAは、非対称鍵のペア、すなわち、第2の公開鍵PkAAAおよび第2の秘密鍵PrAAAを生成する。
可能な実装において、第2の一時認証情報は一時アルゴリズムを含んでよく、AAAは、第2の一時認証情報における一時アルゴリズムに従って、Kt1を生成してよい。さらに、一時アルゴリズムは、鍵共有アルゴリズムを含み得る。例えば、AAAは、鍵共有アルゴリズムに従ってPkAAAおよびPrAAAを生成し、次に、第2の秘密鍵PrAAAおよび第2の一時認証資格情報(すなわち、公開鍵PkUE)に基づいてKt1を生成し得る。
段階402:AAAが、Kt1および第1のアルゴリズムに基づいて、第1のチャレンジ値XRES*を生成し得る。
ここで、XRES*は、AUSFにより、UEに対して認証を実行するために用いられる。
可能な実装において、一時アルゴリズムは、第1の一時認証アルゴリズムを含み得る。具体的には、AAAは、第2の一時認証情報における第1の一時認証アルゴリズム(すなわち、第1のアルゴリズム)と、Kt1とに基づいて、XRES*を生成し得る。さらに、第1の一時認証アルゴリズムが5G AKAである場合、具体的には、AAAは、乱数RANDを生成し、次に、Kt1、RANDおよびf2アルゴリズム(すなわち、第1のアルゴリズム)に基づいてXRESを生成し、XRESおよびRANDに基づいてXRES*を生成し得る。
段階403:AAAが、Kt1および第2のアルゴリズムに基づいて、第1のメッセージ認証コードMAC1を生成し得る。
ここで、MAC1は、UEにより、第1のネットワークに対して認証を実行するために用いられる。
可能な実装において、一時アルゴリズムは、第2の一時認証アルゴリズムを含み得る。例えば、AAAは、第2の一時認証情報における第2の一時認証アルゴリズム(すなわち、第2のアルゴリズム)と、Kt1とに基づいて、MAC1を生成し得る。さらに、一時認証アルゴリズムが5G AKAまたはEAP-AKA'である場合、具体的には、AAAは、乱数RANDを生成し、次に、Kt1、RANDおよびf1アルゴリズム(すなわち、第2のアルゴリズム)に基づいてMAC1を生成し得る。
段階402と段階403との間には順序がないことに留意されたい。段階402が段階403の前に実行されてもよく、段階403が段階402の前に実行されてもよく、段階402および段階403が同時に実行されてもよい。これは、本願において限定されない。
段階404:AAAがPkAAA、XRES*、MAC1およびRANDをAUSFへ送信する。それに応じて、AUSFは、AAAからPkAAA、XRES*、MAC1およびRANDを受信する。
段階405:AUSFが、XRES*に基づいて、第2のチャレンジ値HXRES*を生成する。
可能な実装において、AUSFは、XRES*およびRANDに基づいて、HXRES*を生成し得る。HXRES*は、AMFにより、UEに対して認証を実行するために用いられる。
XRES*は、AUSFにより、UEに対して認証を実行するために用いられる。したがって、AUSFは、XRES*を格納する必要がある。
段階406:AUSFがPkAAA、HXRES*、MAC1およびRANDをAMFへ送信する。それに応じて、AMFは、AUSFからPkAAA、HXRES*、MAC1およびRANDを受信する。
HXRES*は、AMFにより、UEに対して認証を実行するために用いられる。したがって、AMFは、HXRES*を格納する必要がある。
段階407:AMFが認証要求メッセージをUEへ送信する。それに応じて、UEは、AMFから認証要求メッセージを受信する。
認証要求メッセージは、PkAAA、MAC1おRANDを含む。
段階408:UEが第2の一時対称鍵Kt2を生成する。
ここで、UEは、PkAAAを含む認証要求メッセージを受信した後に、第2の公開鍵PkAAAと、第1の一時認証情報における第1の一時認証資格情報(すなわち、秘密鍵PrUE)とに基づいて、Kt2を生成し得る。
UEは、第2の公開鍵、PkAAAおよび秘密鍵PrUEを用いることによりKt2を生成し、AAAは、第2の秘密鍵PrAAAおよび公開鍵PkUEを用いることによりKt1を生成し、Kt1およびKt2は同じであることを理解されたい。UEおよびAAAは、鍵共有アルゴリズム(すなわち、公開/秘密鍵メカニズム)を用いることにより、同じ一時対称鍵についてネゴシエートし、次に、同じ一時対称鍵に基づいて、相互一時認証を実行する。このようにして、既存の認証手順に対する修正を低減するために、既存の手順が可能な限り用いられ得る。
段階409:UEがKt2に基づいてMAC1を検証する。
可能な実装において、UEは、Kt2RANDおよび第2の一時認証アルゴリズム(f1アルゴリズム)に基づいて、XMAC1を生成する。受信したMAC1がXMAC1と同じであると判定された場合、これは、UEがMAC1を正常に検証していることを示す。つまり、UEにより第1のネットワークに対して実行された一時認証は成功している。次に、段階410が実行される。受信したMAC1が、AAAにより、Kt1、RANDおよびf1アルゴリズムに基づいて生成されていることに留意されたい。
段階410:UEが、Kt2に基づいて、第3のチャレンジ値RES*を生成し得る。
ここで、RES*は、第1のネットワークにより、UEに対して認証を実行するために用いられる。具体的には、UEは、Kt2、RANDおよびf2アルゴリズムに基づいてRESを生成し、次に、RESおよびRANDに基づいてRES*を生成し得る。
段階411:UEが認証応答メッセージをAMFへ送信する。それに応じて、AMFは、UEから認証応答メッセージを受信する。
認証応答メッセージは、第3のチャレンジ値RES*を含む。
段階412:AMFが、HXRES*に基づいて、認証応答メッセージにおける第3のチャレンジ値RES*を検証し得る。
段階406において、AMFは、HXRES*を格納し、AMFは、RES*およびRANDに基づいて、HRES*を生成し得る。HXRES*が、生成されたHRES*と同じであるとAMFが判定した場合、AMFは、RES*を正常に検証している。これは、AMFによりUEに対して実行された一時認証が成功していることを示し、次に、段階413が実行される。
段階413:検証が成功した場合、AMFは、RES*をAUSFへ送信する。
段階414:AUSFが、XRES*に基づいて、RES*を検証する。
ここで、AUSFは、RES*およびXRES*を比較する。RES*およびXRES*が同じである場合、RES*に対する検証は成功している。これは、AUSFがUEを認証していることを示す。RES*は、UEによりRESおよびRANDに基づいて生成されることに留意されたい。RESは、UEにより、Kt2、RANDおよびf2アルゴリズムに基づいて生成されてよく、XRES*は、AAAにより、XRESおよびRANDに基づいて生成され、XRESは、AAAにより、Kt1、RANDおよびf2アルゴリズムに基づいて生成される。AAAが正しいPkUEを取得し、UEおよびAAAがそれぞれ、ネゴシエーションを通じて同じKt1およびKt2を生成している場合にのみ、RES*およびXRES*は同じである。
AMFおよびAUSFの両方がUEとAAAとの間で実行される相互一時認証手順に参加し、両方が認証成功結果を取得できることが、例1から認識され得る。したがって、例1における認証アンカーは、AMFまたはAUSFであってよい。加えて、UEおよび第1のネットワークは、公開/秘密鍵メカニズムを用いることにより、既存の5G AKA認証方法に基づいて対称鍵ネゴシエーションを実行する。その結果、5G AKAを実装するために対称鍵が再使用され、システムの複雑性が低減し得る。さらに、公開/秘密鍵メカニズムが用いられ、公開鍵が公開されているので、公開鍵が端末デバイスにおいてQRコード形式でペーストされて露出されている場合でさえ、UEと第1のネットワークとの間で実行される一時認証手順のセキュリティは影響を受けない。
例2:UE上で予め構成された第1の一時認証資格情報は、UEの第1の秘密鍵PrUEであり、AAA上で予め構成された第2の一時認証資格情報は、UEの第1の公開鍵PkUEである。
例2に基づいて、図5は、本願によるUEと第1のネットワークとの間の相互一時認証を実行する方法の概略フローチャートである。この方法は、以下の段階を含み得る。
段階501:AAAが第1の一時対称鍵Kt1を生成する。
段階501については、段階401の説明を参照されたい。詳細については、ここで再び説明しない。
段階502:AAAが、Kt1および第3のアルゴリズムに基づいて、第4のチャレンジ値XRESを生成し得る。
ここで、XRESは、AUSFにより、UEに対して認証を実行するために用いられる。
可能な実装において、一時アルゴリズムは、第3の一時認証アルゴリズムを含み得る。例えば、AAAは、第2の一時認証情報における第3の一時認証アルゴリズムと、Kt1とに基づいて、XRESを生成し得る。さらに、第3の一時認証アルゴリズムがEAP-AKA'である場合、AAAは、乱数RANDを生成し、次に、Kt1、RANDおよびf2アルゴリズム(すなわち、第3のアルゴリズム)に基づいてXRESを生成し得る。
段階503:AAAが、Kt1および第4のアルゴリズムに基づいて、第3のメッセージ認証コードMAC3を生成し得る。
可能な実装において、一時アルゴリズムは、第4の一時認証アルゴリズムを含み得る。例えば、AAAは、第2の一時認証情報における第4の一時認証アルゴリズム(すなわち、第4のアルゴリズム)と、Kt1とに基づいて、MAC3を生成し得る。さらに、一時認証アルゴリズムがEAP-AKA'である場合、具体的には、AAAは、乱数RANDを生成し、次に、Kt1、RANDおよびf1アルゴリズム(すなわち、第4のアルゴリズム)に基づいてMAC3を生成し得る。
段階503については、段階403の説明を参照されたい。詳細については、ここで再び説明しない。
段階502と段階503との間には順序がないことに留意されたい。段階502が段階503の前に実行されてもよく、段階503が段階502の前に実行されてもよく、段階502および段階503が同時に実行されてもよい。これは、本願において限定されない。
段階504:AAAがPkAAA、XRES、MAC1およびRANDをAUSFへ送信する。それに応じて、AUSFは、AAAからPkAAA、XRES、MAC1およびRANDを受信する。
段階504については、段階404の説明を参照されたい。詳細については、ここで再び説明しない。
段階505:AUSFがPkAAA、XRES、MAC1およびRANDをAMFへ送信する。それに応じて、AMFは、AUSFからPkAAA、XRES、MAC1およびRANDを受信する。
XRESは、AMFにより、UEに対して認証を実行するために用いられる。したがって、AMFは、XRESを格納する必要がある。
段階506:AMFが認証要求メッセージをUEへ送信する。それに応じて、UEは、AMFから認証要求メッセージを受信する。
段階506については、段階407の説明を参照されたい。詳細については、ここで再び説明しない。
段階507:UEが第2の一時対称鍵Kt2を生成する。
段階507については、段階408の説明を参照されたい。詳細については、ここで再び説明しない。
段階508:UEがKt2に基づいてMAC3を検証する。
段階508については、段階409の説明を参照されたい。詳細については、ここで再び説明しない。
段階509:UEがKt2に基づいて第5のチャレンジ値RESを生成する。
ここで、RESは、第1のネットワークにより、UEに対して認証を実行するために用いられる。具体的には、UEは、Kt2、RANDおよびf2アルゴリズムに基づいてRESを生成し得る。
段階510:UEが認証応答メッセージをAMFへ送信する。それに応じて、AMFは、UEから認証応答メッセージを受信する。
認証応答メッセージは、第5のチャレンジ値RESを含む。
段階511:AMFがRESをAUSFへ送信する。
段階512:AUSFがXRESに基づいてRESを検証する。
ここで、AUSFは、RESおよびXRESを比較し得る。RESおよびXRESが同じである場合、RESに対する検証は成功している。これは、AUSFがUEを認証していることを示す。XRESは、AAAによりKt1、RANDおよびf2アルゴリズムに基づいて生成され、RESは、UEによりKt2、RANDおよびf2アルゴリズムに基づいて生成され得ることに留意されたい。AAAが正しいPkUEを取得し、UEおよびAAAがそれぞれ、ネゴシエーションを通じて同じKt1およびKt2を生成している場合にのみ、RES*およびXRES*は同じであることを理解されたい。
AMFはUEに対して一時認証を直接実行せず、認証はAUSFにより実行されることが、例2から認識され得る。したがって、例2における認証アンカーは、AUSFである。加えて、UEおよび第1のネットワークは、公開/秘密鍵メカニズムを用いることにより、既存のEAP-AKA'認証方法に基づいて対称鍵ネゴシエーションを実行する。その結果、EAP-AKA'を実装するために対称鍵が再使用され、システムの複雑性が低減し得る。さらに、例2において、公開/秘密鍵メカニズムが用いられ、公開鍵が公開されているので、公開鍵が端末デバイスにおいてQRコード形式でペーストされて露出されている場合でさえ、UEと第1のネットワークとの間で実行される一時認証手順のセキュリティは影響を受けない。
例3:UE上で予め構成された第1の一時認証資格情報は、第1の証明書と、第1の証明書の秘密鍵PrUEと、検証パラメータとを含み、AAA上で予め構成された第2の一時認証資格情報は、検証パラメータと、第2の証明書と、第2の証明書の第2の秘密鍵PrAAAとを含む。
図6は、本願によるUEと第1のネットワークとの間の相互一時認証を実行する方法のさらに別の概略フローチャートである。この方法は、以下の段階を含み得る。
段階601:AAAが第2の一時認証資格情報をAUSFへ送信する。それに応じて、AUSFは、AAAから第2の一時認証資格情報を受信する。
ここで、第2の一時認証資格情報は、検証パラメータを含む。任意選択的に、第2の一時認証資格情報は、第2の証明書と、第2の証明書の第2の秘密鍵PrAAAとをさらに含む。検証パラメータは、第1の証明書の署名を検証するために用いられ、信頼されているサードパーティの公開鍵であってよい。第2の証明書と、第2の証明書の第2の秘密鍵PrAAAとは、UEによりAUSFを検証するために用いられる。
段階602:AUSFが拡張可能認証プロトコル(extensible Authentication Protocol、EAP)要求メッセージをUEへ送信する。それに応じて、UEは、AUSFからEAP要求メッセージを受信する。
ここで、EAP要求メッセージは、EAP認証手順を実行するようUEに要求するために用いられる。任意選択的に、EAP要求メッセージは、第2の証明書を含み得る。UEは、検証パラメータに基づいて第2の証明書を検証する。検証パラメータは、UEにより第1の一時認証情報から取得される。
任意選択的に、EAP要求メッセージは、MAC1をさらに含んでよく、MAC1は、AUSFにより、第2の証明書の第2の秘密鍵PrAAAに基づいて生成される。UEは、第2の証明書における公開鍵に基づいて、MAC1を検証する。検証が成功した場合、これは、UEがAUSFを認証していることを示す。
段階603:UEがEAP応答メッセージをAUSFへ送信する。
ここで、EAP応答メッセージは、第1の証明書およびMAC2を含む。MAC2は、UEにより、第1の証明書の秘密鍵PrUEに基づいて生成される。PrUEは、UEにより第1の一時認証情報から取得される。
段階604:AUSFが検証パラメータに基づいて第1の証明書を検証する。
可能な実装において、AUSFは、検証パラメータと、検証パラメータの識別子とに基づいて、第1の証明書を検証する。例えば、AUSFは、サードパーティの公開鍵に基づいて、第1の証明書の署名を検証する。さらに、AUSFは、第1の証明書の公開鍵に基づいて、MAC2を検証する。任意選択的に、AUSFは、検証パラメータの識別子が、第1の証明書の受信した識別子と同じであるかどうかを比較する。これら2つの識別子が同じである場合、これは、第1の証明書に対する検証が成功していることを示す。AUSFは、第1のネットワークのアクセス情報から第1の証明書の識別子を取得してもよく、AAAから第1の証明書の識別子を取得してもよい。検証が成功した場合、これは、AUSFがUEを認証していることを示す。
AMFはUEに対して一時認証を直接実行せず、認証はAUSFにより実行されることが、例3から認識され得る。したがって、例3における認証アンカーは、AUSFである。その後、AUSFおよびUEは、EAP-TLS手順の実行を続ける。認証手順については、TS33.601 B.2.1.1を参照されたい。詳細については、ここで再び説明しない。このようにして、UEはおよび第1のネットワークは、証明書メカニズムを用いることにより、既存のEAP TLS認証方法を拡張する。その結果、既存のEAP TLS認証方法が再使用され、システムの複雑性が低減し得る。
本願において、相互一時認証が成功した場合、UEが第1のネットワークの構成情報を取得し得る。以下では、第1のネットワークの構成情報がネットワーク選択サブスクリプション情報および長期認証資格情報を含む一例を用いることにより、説明を提供する。
第1のネットワークとUEとの間の相互一時認証が成功していると判定した後に、認証アンカーは、第1のネットワークのネットワーク選択サブスクリプション情報を端末装置へ送信するようデータ管理ネットワークエレメントをトリガし得る。相互一時認証が完了した後に、認証アンカーは、サブスクリプション要求インジケーションをUDMへ送信して、UEのネットワーク選択サブスクリプション情報を端末装置へ送信するようUDMをトリガし得る。以下では、UEがネットワーク選択サブスクリプション情報を取得する3つの実装の例を提供する。
実装1:UEが取得する必要があるネットワーク選択サブスクリプション情報は、UDM上で予め構成される。例えば、管理者が、各UE用のネットワーク選択サブスクリプション情報、例えば、UEデバイス内のネットワーク選択サブスクリプション情報をUDMに対して予め構成し得る。
図7は、本願によるネットワーク選択サブスクリプション情報を取得する方法の概略フローチャートである。この方法は、以下の段階を含む。
段階701:認証アンカーがサブスクリプション要求インジケーションをUDMへ送信する。それに応じて、UDMは、認証アンカーからサブスクリプション要求インジケーションを受信する。
具体的には、一時認証が成功した後に、認証アンカーは、サブスクリプション要求インジケーションをUDMへ送信する。
認証アンカーは、AMFまたはAUSFであてよく、サブスクリプション要求インジケーションは、第1のネットワークのネットワーク選択サブスクリプション情報をUEへ送信するようUDMに指示する。これは、AMFまたはAUSFがサブスクリプション要求メッセージをUDMへ送信するとも理解され得る。
可能な実装において、認証アンカーはさらに、UEの第2の一時認証資格情報の識別子またはUEの第3の一時認証資格情報の識別子をUDMへ送信する。UEの第3の一時認証資格情報の識別子は、UEから取得され、UEの第2の一時認証資格情報の識別子は、AAAから取得される。
任意選択的に、サブスクリプション要求インジケーションは、特別なインジケーションであってもよく、メッセージ、例えばサブスクリプション要求メッセージであってもよい。サブスクリプション要求メッセージは、第1のネットワークのネットワーク選択サブスクリプション情報をUEへ送信するようUDMに指示する。
段階702:UDMが、サブスクリプション要求インジケーションに基づいて、UEのネットワーク選択サブスクリプション情報を決定する。
可能な実装において、UDMは、サブスクリプション要求インジケーションに基づいて、UEのネットワーク選択サブスクリプション情報を決定する。例えば、UDMは、サブスクリプション要求インジケーションに基づいて、予め構成されたネットワーク選択サブスクリプション情報を求めて検索する。この場合、異なるUEのネットワーク選択サブスクリプション情報は、同じであってよい。
可能な実装において、UDMは、サブスクリプション要求インジケーションと、UEの第2の一時認証資格情報の識別子またはUEの第3の一時認証資格情報の識別子とに基づいて、UEのネットワーク選択サブスクリプション情報を決定する。
例えば、UDMは、サブスクリプション要求インジケーションと、UEの第2の一時認証資格情報の識別子またはUEの第3の一時認証資格情報の識別子とに基づき、UEについて予め構成されたネットワーク選択サブスクリプション情報を求めて検索する。第2の一時認証情報が予め構成される場合、ネットワーク選択サブスクリプション情報は、UEについて同時に予め構成され得る。この場合、異なるUEのネットワーク選択サブスクリプション情報は、異なっていてよい。
段階703:UDMが、認証アンカーを通じて、UEのネットワーク選択サブスクリプション情報をUEへ送信する。
可能な実装において、UDMは、サブスクリプションデータ更新通知をAMFへ送信する。任意選択的に、サブスクリプションデータ更新通知メッセージは、ネットワーク選択サブスクリプション情報と、UEの第2の一時認証資格情報の識別子とを含むか、ネットワーク選択サブスクリプション情報と、UEの第3の一時認証資格情報の識別子とを含む。
さらに、AMFは、構成更新メッセージをUEへ送信し得る。このメッセージは、UEのネットワーク選択サブスクリプション情報を含む。
段階704:UEがUEのネットワーク選択サブスクリプション情報を構成する。
可能な実装において、UEは、AMFにより送信される構成更新メッセージを受信する。このメッセージは、UEのネットワーク選択サブスクリプション情報を含み、UEは、UEのネットワーク選択サブスクリプション情報に基づいて、UEデバイスに対して構成を実行する。
相互一時認証が成功した後に、認証アンカーは、UEのネットワーク選択サブスクリプション情報を送信するようUDMに要求し、その結果、第1のネットワークは、ネットワーク選択サブスクリプション情報を取得している端末装置が正しいと判定でき、端末装置は、ネットワーク選択サブスクリプション情報を送信している第1のネットワークが正しいと判定できることが、段階701~段階704から認識され得る。
実装2:UEが取得する必要があるネットワーク選択サブスクリプション情報は、UDM上で予め構成される。例えば、管理者が、各UE用のネットワーク選択サブスクリプション情報、例えば、SIMカード内のネットワーク選択サブスクリプション情報をUDMに対して予め構成し得る。
図8は、本願によるネットワーク選択サブスクリプション情報を取得する方法の別の概略フローチャートである。この方法は、以下の段階を含む。
段階801:認証アンカーがサブスクリプション要求インジケーションをUDMへ送信する。それに応じて、UDMは、認証アンカーからサブスクリプション要求インジケーションを受信する。
段階801については、段階701の説明を参照されたい。詳細については、ここで再び説明しない。
段階802:UDMが、サブスクリプション要求インジケーションに基づいて、UEのネットワーク選択サブスクリプション情報を決定する。
段階802については、段階702の説明を参照されたい。詳細については、ここで再び説明しない。
段階803:UDMが、UEのネットワーク選択サブスクリプション情報を保護するようAUSFに要求する。
可能な実装において、UDMは、AUSF保護要求をAUSFへ送信する。この保護要求は、UEのネットワーク選択サブスクリプション情報を含む。
段階804:AUSFがUEのネットワーク選択サブスクリプション情報を保護する。
ここで、AUSFは、Kausfを用いることにより、UEのネットワーク選択サブスクリプション情報に対して完全性保護を実行し得る。
段階805:AUSFがUEの保護されたネットワーク選択サブスクリプション情報をUDMへ送信する。
段階806:UDMが、AMFを通じて、UEの保護されたネットワーク選択サブスクリプション情報をUEへ送信する。
可能な実装において、AMFは、ダウンリンクNASトランスポートメッセージをUEへ送信する。このメッセージは、UEの保護されたネットワーク選択サブスクリプション情報を含む。
段階807:UEが、UEの保護されたネットワーク選択サブスクリプション情報に基づいて、UEのネットワーク選択サブスクリプション情報を構成する。
ここで、UEは、Kausfを用いることにより、UEの保護されたネットワーク選択サブスクリプション情報に対して完全性検証を実行すると共に、チェックが成功した後に、UEのネットワーク選択サブスクリプション情報を取得し得る。
可能な実装において、UEは、AMFにより送信されるダウンリンクNASトランスポートメッセージを受信する。NASトランスポートメッセージは、UEの保護されたネットワーク選択サブスクリプション情報を含む。UEは、Kausfを用いることにより、UEの保護されたネットワーク選択サブスクリプション情報に対して完全性チェックを実行する。検証が成功した場合、UEのネットワーク選択サブスクリプション情報が取得され得る。UEは、UEのネットワーク選択サブスクリプション情報に基づき、SIMカードに対して構成を実行する。
相互一時認証が成功した後に、認証アンカーが、UPU手順を通じてネットワーク選択サブスクリプション情報をUEへ送信するようUDMをトリガして、ネットワーク選択サブスクリプション情報が悪意を持って改ざんされるのを防止することが、段階801~段階807から認識され得る。
代替的に、段階703および段階704については、3GPP TS23.502の4.2.4における関連する説明を参照すべきであり、段階803から段階807については、3GPP TS23.502の4.20における説明を参照すべきであることに留意されたい。詳細については、ここで再び説明しない。
実装3:取得される必要があるネットワーク選択サブスクリプション情報は、認証アンカー上で予め構成され、認証アンカーは、ネットワーク選択サブスクリプション情報を取得するようUEに直接通知し得る。
例1から例3を参照すると、UEおよび第1のネットワークが例1を用いることにより相互一時認証を正常に実行した場合、AMFまたはAUSFは、サブスクリプション要求メッセージをUDMへ送信し得る。UEおよび第1のネットワークが例2を用いることにより相互一時認証を正常に実行した場合、AUSFが、サブスクリプション要求メッセージを送信するようUDMに直接通知してよい、または、AUSFがまずAMFに通知してよく、次に、AMFがサブスクリプション要求メッセージをUDMへ送信する。例えば、AUSFがサブスクリプション要求メッセージをAMFへ送信し、次に、AMFがサブスクリプション要求メッセージをUDMへ送信する。
前述の3つの実装のいずれか1つに基づいて、認証アンカーは、UEと第1のネットワークとの間の相互一時認証が成功していることを示す結果を取得した後に、制御プレーンメッセージ(例えば、NASメッセージ)をトリガすることによりUEのネットワーク選択サブスクリプション情報を取得し得る。つまり、第1のネットワークは、制御プレーン経路を通じて、UEのネットワーク選択サブスクリプション情報を構成し得る。
上記では、UEが第1のネットワークのネットワーク選択サブスクリプション情報を取得する実装を説明している。以下では、UEが長期認証資格情報を取得する方法の一例の概略フローチャートを提供する。図9に示されるように、この方法は、以下の段階を含む。
段階901:UEが、PSが位置するデータネットワークの識別情報をSMFへ送信する。
ここで、データネットワークの識別情報は、PSが位置するデータネットワークを識別する。データネットワークの識別情報は、例えば、データネットワーク名(data network name、DNN)または単一ネットワークスライス選択支援情報(single network slice selection assistance information、NSSAI)であってよい。
可能な実装において、UEは、プロトコルデータユニット(protocol data unit、PDU)セッション確立メッセージをSMFへ送信し得る。PDUセッション確立メッセージは、PSが位置するデータネットワークの識別子を含む。
以下では、UEがデータネットワークの識別情報を取得する2つの実装の例を提供する。
実装1:段階201における補助認証情報は、データネットワークの識別情報をさらに含み得る。
実装1に基づいて、UEは、取得した補助認証情報からデータネットワークの識別子を取得し得る。
実装2:データネットワークの識別情報は、代替的に、デフォルト値であってよい。
実装2に基づいて、UEは、デフォルト値に基づいて、データネットワークの識別情報を決定し得る。
段階902:SMFが、データネットワークの識別情報に基づいて、PSが位置するデータネットワークにアクセスするためのユーザプレーントンネルをUEのために確立する。
データネットワークの識別情報がデータネットワークのデフォルト識別子である場合、SMFは、ローカル構成に基づいて、データネットワークへの特定のユーザプレーントンネルをUEのために確立し得る。
任意選択的に、SMFは、UEの第2の一時認証資格情報の識別子またはUEの第3の一時認証資格情報の識別子をUDMへ送信して、UEの一時認証結果を要求し得る。SMFは、UEがデータネットワークへのアクセスを許可され得るかどうかを、一時認証結果に基づいて認識し得る。UEの第2の一時認証資格情報の識別子またはUEの第3の一時認証資格情報の識別子は、UEのPDUセッション確立メッセージに基づいて、AMFから取得され得る。
可能な実装において、一時認証が完了した後に、認証アンカーは、一時認証結果を生成するようUDMに通知し得る。一時認証結果は、成功インジケーションまたは失敗インジケーションであってもよく、データネットワークを許可するグループの識別子であってもよい。一時認証が成功していることを認証アンカーがUDMに通知した場合、UDMは、UEの第2の一時認証資格情報の識別子または第3の一時認証資格情報の識別子に対応する一時認証結果を更新する。
可能な実装において、SMFは、PDUセッション確立完了メッセージをUEへ送信して、セッションの確立が完了していることをUEに示す。具体的には、PSが位置するデータネットワークにアクセスするためのユーザプレーントンネルは、UEのために確立されている。
段階903:UEが、PSを通じて、ユーザプレーントンネルから長期認証資格情報を取得する。
ここで、UEおよびPSは、プロトコル、例えば、証明書管理プロトコル(certificate management protocol、CMP)または無線(over the air、OTA)プロトコルを用いることにより、長期認証資格情報を取得し得る。
第1のネットワークは、ユーザプレーン経路を通じてUEの長期認証資格情報を構成してよく、UEおよびPSは、既存のCMPプロトコルまたはOTAプロトコルを用いることにより長期認証資格情報を取得してよいことが、段階901~段階903から認識され得る。このようにして、この方法は、既存のPSとの互換性を有し得る。
本願において、UEと第1のネットワークとの間の相互一時認証は、代替的に、失敗することがある。この場合、第1のネットワークは、アクセス拒否メッセージをUEへ送信し得る。以下では、UEと第1のネットワークとんお間の相互一時認証が失敗する2つのシナリオの例を提供する。
シナリオ1:段階205において、AAAは、第1のネットワークのアクセス情報に基づいて、第2の一時認証資格情報を取得できない。例えば、AAAは、第1のネットワークのアクセス情報における第3の一時認証資格情報の識別子と同じ第2の一時認証資格情報の識別子を、格納された第2の一時認証情報から見つけない。これは、第1のネットワークがUEの第2の一時認証情報を取得しておらず、UEにより選択された第1のネットワークが不正確であることを示す。
シナリオ2:第1のネットワークによりUEに対して実行される一時認証が失敗する。考えられる原因は、AAAにより取得された第2の一時認証情報が不正確であることである。例えば、段階412において、AMFにより第3のチャレンジ値RES*に対して実行される検証が失敗する。別の例では、段階414において、AUSFによりRES*に対して実行される検証が失敗する。別の例では、段階512において、AUSFによりRESに対して実行される検証が失敗する。
シナリオ3:UEにより第1のネットワークに対して実行される一時認証が失敗する。考えられる原因は、AAAにより取得された第2の一時認証情報が不正確であることである。例えば、段階409において、UEによりMAC1に対して実行される検証が失敗する。別の例では、段階508において、UEによりMAC1に対して実行される検証が失敗する。別の例では、段階604において、AUSFにより第1の証明書に対して実行される検証が失敗する。
UEは、第1のネットワークからアクセス拒否メッセージを受信した後に、段階202を再び実行し得る。具体的には、UEは、補助認証情報に基づいて、新しいネットワークを再選択し得る。再選択されたネットワークは、第2のネットワークと称される。このようにして、UEは、正しいネットワークを自動的に選択し、正しいネットワークの構成情報を取得して、オンボーディングを正常に実装できる。
可能な実装において、UEは、信号強度または予め設定された順序等に基づいて、新しいネットワークを第1のネットワークとして再選択し得る。さらに、任意選択的に、UEは、代替的に、補助認証情報がプライベートネットワーク識別子を保持しているかどうかに応じて、選択を実行し得る。補助認証情報がプライベートネットワーク識別子を保持していない場合、このネットワークはスキップされ、次のネットワークがプライベートネットワーク識別子を保持しているかどうかが判定される。さらに、任意選択的に、UEは、代替的に、補助認証情報がオンボーディングインジケーション情報を保持しているかどうかに応じて、選択を実行し得る。補助認証情報がオンボーディングインジケーションを保持していない場合、このネットワークはスキップされ、次のネットワークがオンボーディングインジケーションを保持しているかどうかが判定される。
さらに、アクセス拒否メッセージは、アクセス失敗の原因値を含み得る。例えば、第2の一時認証資格情報を見つけることができないか、UEに対する認証が失敗する。それに応じて、アクセス拒否メッセージにおいて保持される原因値が、第2の一時認証資格情報を見つけることができないということである場合、UEは、受信した補助認証情報から、新しいネットワークを第2のネットワークとして再選択し得る。アクセス拒否メッセージにおいて保持される原因値が、UEに対する認証が失敗しているということである場合、UEが、受信した補助認証情報から、新しいネットワークを第2のネットワークとして再選択してもよく、第1のネットワークおよびUEが、相互一時認証手順を再び実行してもよい。
可能な実装において、UEにより第1のネットワークに対して実行される認証が失敗した場合、UEが、受信した補助認証情報から、新しいネットワークを第2のネットワークとして再選択してもよく、UEおよび第1のネットワークが、相互一時認証手順を再び実行してもよい。
前述の実施形態における機能を実装するために、認証、許可および課金機能ネットワークエレメントと、認証アンカーと、端末デバイスとは、これらの機能を実行するための対応するハードウェア構造および/またはソフトウェアモジュールを含むことが理解され得る。当業者であれば、本願で開示される実施形態において説明される例におけるモジュールおよび方法の段階との組み合わせで、本願がハードウェアまたはハードウェアとコンピュータソフトウェアとの組み合わせにより実装され得ることを容易に認識するはずである。機能がハードウェアによって実行されるか、コンピュータソフトウェアにより駆動されるハードウェアによって実行されるかは、技術的解決手段の特定の適用シナリオおよび設計上の制約によって決まる。
前述の内容および同じ概念に基づいて、図10および図11は各々、本願による通信装置の可能な構造の概略図である。これらの通信装置は、前述の方法の実施形態における認証、許可および課金機能ネットワークエレメント、認証アンカーならびに端末デバイスの機能を実装するように構成されてよく、したがって、前述の方法の実施形態の有益な効果を実装してよい。本願において、通信装置は、図1に示されるユーザ機器、または端末デバイス(例えば、ユーザ機器)内で用いられるモジュール(例えば、チップ)であってもよく、図1に示される認証、許可および課金機能ネットワークエレメントであってもよく、図1に示される認証アンカー(すなわち、セッション管理ネットワークエレメント、モビリティ管理ネットワークエレメント、認証サーバネットワークエレメントまたはセキュリティアンカーネットワークエレメント)であってもよい。
図10に示されるように、通信装置1000は、処理モジュール1001およびトランシーバモジュール1002を含む。通信装置1000は、図2から図9に示される方法の実施形態におけるUE、認証、許可および課金機能ネットワークエレメントまたは認証アンカーの機能を実装するように構成されている。
通信装置1000が、図2に示される方法の実施形態におけるUEの機能を実装するように構成されている場合、トランシーバモジュール1002は、1つまたは複数のネットワークの識別情報を含む補助認証情報を取得するように構成されており、処理モジュール1001は、第1のネットワークのアクセス情報を第1の一時認証情報と、第1のネットワークの識別情報とに基づいて決定し、1つまたは複数のネットワークのいずれか1つである第1のネットワークのアクセス情報に基づいて第1のネットワークとの相互一時認証をトリガするように構成されている。
通信装置1000が、図2に示される方法の実施形態における認証、許可および課金機能ネットワークエレメントの機能を実装するように構成されている場合、トランシーバモジュール1002は、端末装置から第1のネットワークのアクセス情報を受信するように構成されており、処理モジュール1001は、第1のネットワークのアクセス情報に基づいて通信装置との相互一時認証をトリガするように構成されており、トランシーバモジュール1002はさらに、相互一時認証が成功した場合に第1のネットワークから第1のネットワークの構成情報を受信するように構成されている。
通信装置1000が、図2に示される方法の実施形態における認証アンカーの機能を実装するように構成されている場合、トランシーバモジュール1002は、端末装置からの第1のネットワークのアクセス情報を第1のネットワーク内の認証、許可および課金機能ネットワークエレメントへ送信するように構成されている。第1のネットワークのアクセス情報は、相互一時認証を実行するよう通信装置と認証、許可および課金機能ネットワークエレメントとをトリガするために用いられ、処理モジュール1001は、通信装置と第1のネットワークとの間の相互一時認証が成功していると判定された場合、第1のネットワークのネットワーク選択サブスクリプション情報を通信装置へ送信するようデータ管理ネットワークエレメントをトリガするように構成されている。
処理モジュール1001およびトランシーバモジュール1002のより詳細な説明については、図2に示される方法の実施形態における関連する説明を直接参照されたい。詳細については、ここで再び説明しない。
本願の本実施形態における処理モジュール1001は、プロセッサまたはプロセッサ関連回路コンポーネントにより実装されてよく、トランシーバモジュール1002は、トランシーバまたはトランシーバ関連回路コンポーネントにより実装されてよいことを理解されたい。
前述の内容および同じ概念に基づいて、図11に示されるように、本願は、通信装置1100をさらに提供する。通信装置1100は、プロセッサ1101およびトランシーバ1102を含み得る。プロセッサ1101およびトランシーバ1102は、互いに連結されている。トランシーバ1102はインタフェース回路または入力/出力インタフェースであってよいことが理解され得る。任意選択的に、通信装置1100は、メモリ1103をさらに含み得る。メモリ1103は、プロセッサ1101により実行される命令を格納するか、命令を実行するために、プロセッサ1101により必要とされる入力データを格納するか、プロセッサ1101が命令を実行した後に、生成されたデータを格納するように構成されている。
通信装置1100が、図2に示される方法を実装するように構成されている場合、プロセッサ1101は、処理モジュール1001の機能を実行するように構成されており、トランシーバ1102は、トランシーバモジュール1002の機能を実行するように構成されている。
通信装置が、端末デバイス内で用いられるチップである場合、端末デバイスのチップは、前述の方法の実施形態における端末デバイスの機能を実装している。端末デバイスのチップは、端末デバイス内の別のモジュール(例えば、無線周波数モジュールまたはアンテナ)から情報を受信する。この情報は、アクセスネットワークデバイスにより端末デバイスへ送信される。代替的に、端末デバイスのチップは、端末デバイス内の別のモジュール(例えば、無線周波数モジュールまたはアンテナ)へ情報を送信する。この情報は、端末デバイスによりアクセスネットワークデバイスへ送信される。
通信装置が端末デバイスである場合、図12は、端末デバイスの構造の簡略化された概略図である。理解および例示しやすくするために、図12は、端末デバイスが携帯電話である一例を用いている。図12に示されるように、端末デバイス1200は、プロセッサ、メモリ、無線周波数回路、アンテナおよび入力/出力装置を含む。プロセッサは主に、通信プロトコルおよび通信データを処理し、端末デバイスの全体を制御し、ソフトウェアプログラムを実行し、ソフトウェアプログラムのデータを処理するように構成されており、例えば、前述の実施形態のいずれか1つにおける端末デバイスにより実行される方法を実行するために端末デバイス1200をサポートするように構成されている。メモリは主に、ソフトウェアプログラムおよびデータを格納するように構成されている。無線周波数回路は主に、ベースバンド信号と無線周波数信号との間の変換を実行し、無線周波数信号を処理するように構成されている。アンテナは主に、無線周波数信号を電磁波の形態で送信および受信するように構成されている。タッチスクリーン、ディスプレイまたはキーボードなど、入力/出力装置は主に、ユーザにより入力されるデータを受信し、データをユーザに出力するように構成されている。いくつかのタイプの端末デバイスが入力/出力装置を有していなくてよいことに留意されたい。
端末デバイスの電源がオンにされた後に、プロセッサは、メモリ内のソフトウェアプログラムを読み取り、ソフトウェアプログラムの命令を解釈および実行し、ソフトウェアプログラムのデータを処理し得る。データを送信する必要がある場合、プロセッサは、送信対象データに対してベースバンド処理を実行し、ベースバンド信号を無線周波数回路に出力する。ベースバンド信号に対して無線周波数処理を実行した後に、無線周波数回路パスは、アンテナを通じて、無線周波数信号を電磁波の形態で送信する。データが端末デバイス1200へ送信される場合、無線周波数回路は、アンテナを通じて無線周波数信号を受信し、無線周波数信号をベースバンド信号に変換し、ベースバンド信号をプロセッサに出力する。プロセッサは、ベースバンド信号をデータに変換し、このデータを処理する。
任意選択的な実装において、プロセッサは、ベースバンドプロセッサおよび中央処理装置を含み得る。ベースバンドプロセッサは主に、通信プロトコルおよび通信データを処理するように構成されている。中央処理装置は主に、端末デバイス1200の全体を制御し、ソフトウェアプログラムを実行し、ソフトウェアプログラムのデータを処理するように構成されている。図12におけるプロセッサは、ベースバンドプロセッサおよび中央処理装置の機能を統合している。ベースバンドプロセッサおよび中央処理装置は、代替的に、互いに独立したプロセッサであってよく、バスなどの技術を用いることにより相互接続されていることに留意されたい。加えて、端末デバイスは、異なるネットワーク規格に適合するために、複数のベースバンドプロセッサを含んでよく、端末デバイス1200は、端末デバイス1200の処理能力を向上させるために、複数の中央処理装置を含んでよい。端末デバイス1200のコンポーネントは、様々なバスを用いることにより接続され得る。ベースバンドプロセッサは、代替的に、ベースバンド処理回路またはベースバンド処理チップとして表され得る。中央処理装置は、代替的に、中央処理回路または中央処理チップとして表され得る。通信プロトコルおよび通信データを処理する機能は、プロセッサ内に構築されてもよく、記憶モジュールにソフトウェアプログラムの形態で格納されてもよく、プロセッサは、ソフトウェアプログラムを実行して、ベースバンド処理機能を実装する。
本願において、送信機能および受信機能を有するアンテナおよび無線周波数回路は、端末デバイスのトランシーバモジュールとみなされてよく、処理機能を有するプロセッサは、端末デバイスの処理モジュールとみなされてよい。図12に示されるように、端末デバイスは、処理モジュール1201およびトランシーバモジュール1202を含む。トランシーバモジュールは、トランシーバまたはトランシーバ装置等とも称され得る。処理モジュールは、プロセッサ、処理ボード、処理ユニットまたは処理装置等とも称され得る。任意選択的に、受信機能を実装するように構成されており、かつ、トランシーバモジュール内にあるコンポーネントは、受信モジュールとみなされてよく、送信機能を実装するように構成されており、かつ、トランシーバモジュール内になるコンポーネントは、送信モジュールとみなされてよい。言い換えると、トランシーバモジュールは、受信モジュールおよび送信モジュールを含む。例えば、受信モジュールは、レシーバまたは受信回路等とも称されてよく、送信モジュールは、トランスミッタまたは伝送回路等と称されてよい。
ダウンリンク上では、アクセスネットワークデバイスにより送信されるダウンリンク信号(データおよび/または制御情報を含む)が、アンテナを通じて受信される。アップリンク上では、アップリンク信号(データおよび/または制御情報を含む)が、アンテナを通じてアクセスネットワークデバイスまたは別の端末デバイスへ送信される。プロセッサにおいて、サービスデータおよびシグナリングメッセージが処理される。これらのモジュールは、無線アクセスネットワークにおいて用いられる無線アクセス技術(例えば、LTEシステム、NRシステムおよび別の進化型システムにおけるアクセス技術)を用いることにより、処理を実行する。プロセッサは、端末デバイスの動作を制御および管理するようにさらに構成されており、前述の実施形態における端末デバイスにより実行される処理を実行するように構成されている。プロセッサはさらに、図2におけるUEにより実行される方法を実行するために端末デバイスをサポートするように構成されている。
図12がただ1つのメモリ、1つのプロセッサおよび1つのアンテナを示していることに留意されたい。実際の端末デバイスでは、端末デバイスは、任意の数のアンテナ、メモリおよびプロセッサ等を含み得る。メモリは、記憶媒体または記憶デバイス等とも称され得る。加えて、メモリは、プロセッサから独立して配置されてもよく、プロセッサと統合されてもよい。これは、本願の本実施形態において限定されない。
トランシーバモジュール1202は、図2に示される方法の実施形態における端末デバイス側で送信動作および受信動作(または取得動作と称される)を実行するように構成されており、処理モジュール1201は、図2に示される方法の実施形態における端末デバイス側で送信動作および受信動作以外の動作を実行するように構成されていることを理解されたい。例えば、トランシーバモジュール1202は、図2に示される実施形態における端末デバイス側で送信段階および受信段階を実行するように構成されており、例えば、段階201を実行するように構成されている。処理モジュール1201は、図2に示される実施形態における端末デバイス側で送信動作および受信動作以外の動作を実行するように構成されており、例えば、段階202から段階204を実行するように構成されている。
通信装置がチップ型装置または回路である場合、通信装置は、トランシーバモジュールおよび処理モジュールを含み得る。トランシーバモジュールは、入力/出力回路および/またはインタフェース回路であってよい。処理モジュールは、チップ上に統合されたプロセッサ、マイクロプロセッサまたは集積回路であってよい。
前述の内容および同じ概念に基づいて、本願は、通信システムを提供する。通信システムは、前述の認証、許可および課金機能ネットワークエレメントおよび前述の認証アンカーを含み得る。認証、許可および課金機能ネットワークエレメントは、認証アンカーを通じて通信装置から第1のネットワークのアクセス情報を受信し、第1のネットワークのアクセス情報に基づいて通信装置との相互一時認証をトリガするように構成されている。認証アンカーは、相互一時認証が成功した場合、第1のネットワークのネットワーク選択サブスクリプション情報を通信装置へ送信するようデータ管理ネットワークエレメントをトリガするように構成されている。
さらに、このシステムは、データ管理ネットワークエレメントを含む。認証アンカーは、具体的には、相互一時認証が成功した場合、サブスクリプション要求インジケーションをデータ管理ネットワークエレメントへ送信するように構成されている。サブスクリプション要求インジケーションは、ネットワーク選択サブスクリプション情報を通信装置へ送信するようデータ管理ネットワークエレメントに指示する。データ管理ネットワークエレメントは、認証アンカーからサブスクリプション要求インジケーションを受信し、サブスクリプション要求インジケーションに基づいてネットワーク選択サブスクリプション情報を通信装置へ送信するように構成されている。
認証、許可および課金機能ネットワークエレメントのより詳細な説明については、AAA側に関連する前述の方法の実施形態における関連する説明を直接参照されたい。認証アンカーのより詳細な説明については、認証アンカー側に関連する前述の方法の実施形態における関連する説明を直接参照されたい。データ管理ネットワークエレメントのより詳細な説明については、UDM側に関連する前述の方法の実施形態における関連する説明を直接参照されたい。詳細については、ここで再び説明しない。
本願の実施形態におけるプロセッサは、中央処理装置(central processing unit、CPU)であってもよく、別の汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application-specific integrated circuit、ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array、FPGA)もしくは別のプログラマブル論理デバイス、トランジスタロジックデバイス、ハードウェアコンポーネント、またはそれらの任意の組み合わせであってもよいことが理解され得る。汎用プロセッサは、マイクロプロセッサまたは任意の従来のプロセッサであってよい。
本願の実施形態における方法の段階は、ハードウェアにより実装されてもよく、ソフトウェア命令を実行するプロセッサにより実装されてもよい。ソフトウェア命令は、対応するソフトウェアモジュールを含み得る。ソフトウェアモジュールは、ランダムアクセスメモリ(random access memory、RAM)、フラッシュメモリ、リードオンリメモリ(read-only memory、ROM)、プログラマブルリードオンリメモリ(programmable ROM、PROM)、消去可能プログラマブルリードオンリメモリ(erasable PROM、EPROM)、電気的消去可能プログラマブルリードオンリメモリ(electrically EPROM、EEPROM)、レジスタ、ハードディスク、リムーバブルハードディスク、CD-ROM、または当技術分野において周知である任意の他の形態の記憶媒体に格納され得る。例えば、記憶媒体がプロセッサに連結されることで、プロセッサは、情報を記憶媒体から読み取り、情報を記憶媒体に書き込むことができる。当然ながら、記憶媒体は、代替的に、プロセッサのコンポーネントであってよい。プロセッサおよび記憶媒体は、ASICにおいて構成され得る。加えて、ASICは、アクセスネットワークデバイスまたは端末デバイス内に位置し得る。当然ながら、プロセッサおよび記憶媒体は、代替的に、アクセスネットワークデバイスまたは端末デバイス内のディスクリートコンポーネントとして存在し得る。
前述の実施形態の全部または一部は、ソフトウェア、ハードウェア、ファームウェア、またはそれらの任意の組み合わせにより実装され得る。実施形態を実装するためにソフトウェアが用いられる場合、実施形態の全てまたは一部は、コンピュータプログラム製品の形態で実装され得る。コンピュータプログラム製品は、1つまたは複数のコンピュータプログラムまたは命令を含む。コンピュータプログラムまたは命令がロードされ、コンピュータ上で実行された場合、本願の実施形態による手順または機能が全てまたは部分的に実装される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、アクセスネットワークデバイス、ユーザ機器または別のプログラマブル装置であってよい。コンピュータプログラムまたは命令は、コンピュータ可読記憶媒体に格納されてもよく、あるコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体へ伝送されてもよい。例えば、コンピュータプログラムまたは命令は、あるウェブサイト、コンピュータ、サーバまたはデータセンタから別のウェブサイト、コンピュータ、サーバまたはデータセンタへ、有線または無線方式で伝送されてよい。コンピュータ可読記憶媒体は、コンピュータによりアクセス可能である任意の使用可能な媒体であってもよく、サーバまたはデータセンタなど、1つまたは複数の使用可能な媒体を統合したデータ記憶デバイスであってもよい。使用可能な媒体は、磁気媒体、例えば、フロッピディスク、ハードディスクまたは磁気テープであってもよく、光媒体、例えば、デジタルビデオディスク(digital video disc、DVD)であってもよく、半導体媒体、例えば、ソリッドステートドライブ(solid-state drive、SSD)であってもよい。
本願の実施形態では、別段の記載がない限り、または論理矛盾がない限り、異なる実施形態における用語および/または記載は、一貫しており、相互に参照されてよく、異なる実施形態における技術的特徴をそれらの内部論理関係に基づいて組み合わせて、新しい実施形態を形成し得る。
本願において、「および/または」は、関連する対象の間の対応関係を説明しており、3つの関係が存在し得ることを示している。例えば、Aおよび/またはBは、Aのみが存在する、AとBの両方が存在する、およびBのみが存在する、という3つの事例を示し得る。AおよびBは、単数であっても複数であってもよい。
本願の実施形態における様々な数は、説明しやすくするために区別に用いられているに過ぎず、本願の実施形態の範囲を限定するためには用いられていないことが理解され得る。前述の処理のシーケンス番号は、実行順序を意味しておらず、処理の実行順序は、処理の機能および内部論理に基づいて決定されるべきである。「第1の」および「第2の」等の用語は、同様の対象を区別するために用いられており、特定の順番または順序を説明するために用いられる必要はない。加えて、「含む(include)」、「有する(have)」という用語、およびそれらのあらゆる変形は、非排他的包含を範囲に含むように、例えば、一連の段階またはモジュールを含むように意図されている。方法、システム、製品またはデバイスは、文字通りに記載された段階またはモジュールに必ずしも限定されず、文字通りに記載されていないか、そのような処理、方法、製品またはデバイスに固有である他の段階またはモジュールを含み得る。
当業者であれば、本願の保護範囲から逸脱することなく、本願に対する様々な修正および変更を行い得ることは明らかである。本願は、本願のこれらの修正および変更を、本願の特許請求の範囲および均等技術に含まれることを条件として、包含するように意図されている。
[他の考えられる項目]
(項目1)
通信方法であって、
端末装置が補助認証情報を取得する段階であって、前記補助認証情報は、1つまたは複数のネットワークの識別情報を含む、取得する段階と、
前記端末装置が、第1の一時認証情報と、第1のネットワークの識別情報とに基づいて、前記第1のネットワークのアクセス情報を決定する段階であって、前記第1のネットワークは、前記1つまたは複数のネットワークのいずれか1つである、決定する段階と、
前記端末装置が、前記第1のネットワークの前記アクセス情報に基づいて、前記第1のネットワークとの相互一時認証をトリガする段階と、
前記相互一時認証が成功した場合、前記端末装置が、前記第1のネットワークから前記第1のネットワークの構成情報を受信する段階と
を備える、方法。
(項目2)
前記第1のネットワークの前記アクセス情報は、
前記第1の一時認証情報における第1の一時認証資格情報の識別子に基づいて決定される、第3の一時認証資格情報の識別子、
第3の一時認証資格情報の識別子および前記第1のネットワークの前記識別情報、
第3の一時認証資格情報の識別子、および前記第1のネットワークの前記アクセス情報が一時認証のために用いられることを示す、前記第1のネットワークの前記アクセス情報のタイプ、
第3の一時認証資格情報の識別子ならびに認証、許可および課金機能ネットワークエレメントの識別情報、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報および前記第1のネットワークの前記アクセス情報のタイプ、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報ならびに認証、許可および課金機能ネットワークエレメントの識別情報、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記アクセス情報のタイプならびに認証、許可および課金機能ネットワークエレメントの識別情報、または、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報、認証、許可および課金機能ネットワークエレメントの識別情報ならびに前記第1のネットワークの前記アクセス情報のタイプ
のいずれか1つを含む、
項目1に記載の方法。
(項目3)
前記第1のネットワークの前記識別情報は、公衆陸上移動体ネットワーク識別子PLMN IDを含み、
前記認証、許可および課金機能ネットワークエレメントの前記識別情報は、ルーティングインジケータルーティングIDを含み、
前記第1の一時認証資格情報の前記識別子は、永久機器識別子PEIまたは国際移動体機器識別番号IMEIを含む、
項目2に記載の方法。
(項目4)
前記第3の一時認証資格情報の前記識別子は、前記第1の一時認証資格情報の前記識別子の混同値である、項目1から3のいずれか1つに記載の方法。
(項目5)
前記端末装置が、前記第1のネットワークの前記アクセス情報に基づいて前記第1のネットワークとの前記相互一時認証をトリガする前記段階は、
前記端末装置が、認証アンカーを通じて、前記第1のネットワークの前記アクセス情報を前記認証、許可および課金機能ネットワークエレメントへ送信する段階と、
前記端末装置が、前記認証アンカーから認証要求メッセージを受信する段階であって、前記認証要求メッセージは、第1の検証情報を含む、受信する段階と、
前記端末装置が、前記第1の一時認証情報に基づいて、前記第1の検証情報に対して前記一時認証を実行する段階と
を有する、
項目1から4のいずれか1つに記載の方法。
(項目6)
前記第1の検証情報は、第1のメッセージ認証コードを含み、
前記端末装置が、前記第1の一時認証情報に基づいて、前記第1の検証情報に対して一時認証を実行する前記段階は、
前記端末装置が、前記第1の一時認証情報に基づいて、第2の一時対称鍵を取得する段階と、
前記端末装置が、前記第2の一時対称鍵に基づいて、第2のメッセージ認証コードを生成する段階と、
前記端末装置が、前記第2のメッセージ認証コードに基づいて、前記第1のメッセージ認証コードを検証する段階と
を含む、
項目5に記載の方法。
(項目7)
前記第1のメッセージ認証コードが前記第2のメッセージ認証コードと同じである場合、前記第2の一時対称鍵に基づいて第3のチャレンジ値を生成する段階であって、前記第3のチャレンジ値は、前記認証アンカーにより、前記端末装置に対して一時認証を実行するために用いられる、生成する段階と、
前記端末装置が認証応答メッセージを前記認証アンカーへ送信する段階であって、前記認証応答メッセージは、前記第3のチャレンジ値を含む、送信する段階と
をさらに備える、項目6に記載の方法。
(項目8)
前記第1の一時認証情報は、前記端末装置の第1の秘密鍵を含み、前記第1の検証情報は、前記認証、許可および課金機能ネットワークエレメントの第2の公開鍵を含み、
前記端末装置が第2の一時対称鍵を取得する前記段階は、
前記端末装置が、前記第1の秘密鍵および前記第2の公開鍵に基づいて、前記第2の一時対称鍵を生成する段階
を含む、
項目6または7に記載の方法。
(項目9)
前記第1の一時認証情報は、前記第1の一時認証資格情報をさらに含み、前記第1の一時認証資格情報は、検証パラメータと、前記端末装置の証明書の秘密鍵とを含み、前記第1の検証情報は、前記認証、許可および課金機能ネットワークエレメントの証明書の署名と、第3のメッセージ認証コードとを含み、
前記端末装置が、前記第1の一時認証情報に基づいて、前記第1の検証情報に対して一時認証を実行する前記段階は、
前記端末装置が、前記検証パラメータに基づいて、前記認証、許可および課金機能ネットワークエレメントの前記証明書の前記署名を検証する段階と、
前記認証、許可および課金機能ネットワークエレメントの前記証明書の前記署名に対する前記検証が成功した場合、前記端末装置が、前記認証、許可および課金機能ネットワークエレメントの前記証明書の公開鍵に基づいて、前記第3のメッセージ認証コードを検証する段階と
を含む、
項目6に記載の方法。
(項目10)
前記端末装置が前記第3のメッセージ認証コードを正常に検証した場合、前記端末装置が、前記端末装置の前記証明書の前記秘密鍵に基づいて、第4のメッセージ認証コードを生成する段階と、
前記端末装置が認証応答メッセージを前記認証アンカーへ送信する段階であって、前記認証応答メッセージは、前記第4のメッセージ認証コードおよび第1の証明書を含む、送信する段階と
をさらに備える、項目9に記載の方法。
(項目11)
前記相互一時認証は、第5世代認証および鍵共有5G AKAまたは拡張可能認証プロトコル認証および鍵共有EAP-AKA'を含む、項目1から10のいずれか1つに記載の方法。
(項目12)
前記第1のネットワークの前記構成情報は、ネットワーク選択サブスクリプション情報を含み、前記ネットワーク選択サブスクリプション情報は、前記第1のネットワークにアクセスすることを選ぶために前記端末装置により用いられる、項目1から11のいずれか1つに記載の方法。
(項目13)
前記ネットワーク選択サブスクリプション情報は、サブスクリプション永続識別子、SUPI、前記公衆陸上移動体ネットワーク識別子PLMN ID、ネットワーク識別子、NID、前記ルーティングインジケータルーティングID、単一ネットワークスライス選択支援情報、NSSAIおよびデータネットワーク名、DNNのうちの1つまたは複数を含む、項目12に記載の方法。
(項目14)
前記第1のネットワークの前記構成情報は、長期認証資格情報をさらに含み、前記長期認証資格情報は、前記第1のネットワークにアクセスすることを前記端末装置に許可するために前記第1のネットワークにより用いられる資格情報であり、
前記相互一時認証が成功した場合、前記端末装置が前記第1のネットワークから前記第1のネットワークの構成情報を受信する前記段階は、
前記端末装置が、オンラインサブスクリプションサーバが位置するデータネットワークの識別情報を決定する段階と、
前記端末装置が前記データネットワークの前記識別情報をセッション管理機能ネットワークエレメントへ送信する段階と、
前記端末装置が、ユーザプレーントンネルを通じて、前記オンラインサブスクリプションサーバから前記長期認証資格情報を取得する段階と
を有する、
項目1から13のいずれか1つに記載の方法。
(項目15)
前記補助認証情報は、前記オンラインサブスクリプションサーバが位置する前記データネットワークの前記識別情報をさらに含み、
前記端末装置が、オンラインサブスクリプションサーバが位置するデータネットワークの識別情報を決定する前記段階は、
前記端末装置が前記補助認証情報から前記データネットワークの前記識別情報を取得する段階
を含む、
項目14に記載の方法。
(項目16)
前記相互一時認証が失敗した場合、前記端末装置が、前記第1の一時認証情報と、前記第2のネットワークの識別情報とに基づいて、第2のネットワークの前記アクセス情報を決定する段階であって、前記第2のネットワークは、前記第1のネットワークとは異なる前記1つまたは複数のネットワークのいずれか1つである、決定する段階と、
前記端末装置が、前記第2のネットワークの前記アクセス情報に基づいて、前記第2のネットワークとの前記相互一時認証をトリガする段階と
をさらに備える、項目1に記載の方法。
(項目17)
前記補助認証情報は、前記1つまたは複数のネットワークに対応するオンボーディングインジケーション情報をさらに含み、
前記方法は、
前記端末装置が、前記オンボーディングインジケーション情報を含む前記ネットワークから、1つのネットワークを前記第1のネットワークとして選択する段階
をさらに備える、項目1から16のいずれか1つに記載の方法。
(項目18)
端末装置が補助認証情報を取得する前記段階は、
前記端末装置が、アクセスネットワークデバイスによりブロードキャストされる前記補助認証情報を受信する段階
を有する、
項目1から17のいずれか1つに記載の方法。
(項目19)
通信方法であって、
認証アンカーが、端末装置からの第1のネットワークのアクセス情報を前記第1のネットワーク内の認証、許可および課金機能ネットワークエレメントへ送信する段階であって、前記第1のネットワークの前記アクセス情報は、相互一時認証を実行するよう前記端末装置と前記認証、許可および課金機能ネットワークエレメントとをトリガするために用いられる、送信する段階と、
前記端末装置と前記第1のネットワークとの間の前記相互一時認証が成功していると判定した場合、前記認証アンカーが、前記第1のネットワークのネットワーク選択サブスクリプション情報を前記端末装置へ送信するようデータ管理ネットワークエレメントをトリガする段階と
を備える、方法。
(項目20)
前記認証アンカーが、前記第1のネットワークのネットワーク選択サブスクリプション情報を前記端末装置へ送信するようデータ管理ネットワークエレメントをトリガする前記段階は、
前記認証アンカーがサブスクリプション要求インジケーションを前記データ管理ネットワークエレメントへ送信する段階であって、前記サブスクリプション要求インジケーションは、前記ネットワーク選択サブスクリプション情報を前記端末装置へ送信するよう前記データ管理ネットワークエレメントに指示する、送信する段階
を有する、
項目19に記載の方法。
(項目21)
前記ネットワーク選択サブスクリプション情報は、サブスクリプション永続識別子、SUPI、公衆陸上移動体ネットワーク識別子PLMN ID、ネットワーク識別子、NID、ルーティングインジケータルーティングID、単一ネットワークスライス選択支援情報、NSSAIおよびデータネットワーク名、DNNのうちの1つまたは複数を含む、項目20に記載の方法。
(項目22)
前記端末装置と前記第1のネットワークとの間の前記相互一時認証が成功していると前記認証アンカーが判定する前記段階は、
前記認証アンカーが前記認証、許可および課金機能ネットワークエレメントから第1の検証情報を受信する段階と、
前記認証アンカーが認証要求メッセージを前記端末装置へ送信する段階であって、前記認証要求メッセージは、前記第1の検証情報を含む、送信する段階と、
前記認証アンカーが前記端末装置から認証応答メッセージを受信する段階であって、前記認証応答メッセージは、第2の検証情報を含む、受信する段階と、
前記第1の検証情報が前記第2の検証情報と同じであると判定した場合、前記端末装置と前記第1のネットワークとの間の前記相互一時認証が成功していると認証アンカーが判定する段階と
を有する、
項目19に記載の方法。
(項目23)
前記認証アンカーは、認証サーバネットワークエレメントおよびモビリティ管理ネットワークエレメントを含み、前記第1の検証情報は、第1のチャレンジ値または第2のチャレンジ値を含み、前記第2の検証情報は、第3のチャレンジ値を含み、
前記認証アンカーが前記認証、許可および課金機能ネットワークエレメントから第1の検証情報を受信する前記段階は、
前記認証サーバネットワークエレメントが前記認証、許可および課金機能ネットワークエレメントから前記第1のチャレンジ値を受信する段階と、
前記認証サーバネットワークエレメントが、前記第1のチャレンジ値に基づいて、前記第2のチャレンジ値を生成する段階と
を含み、
前記認証アンカーが認証要求メッセージを前記端末装置へ送信する前記段階は、
前記認証サーバネットワークエレメントが前記第2のチャレンジ値を前記モビリティ管理ネットワークエレメントへ送信する段階
を含み、
前記認証アンカーが前記端末装置から認証応答メッセージを受信する前記段階は、
前記モビリティ管理ネットワークエレメントが前記端末装置から前記第3のチャレンジ値を受信する段階
を含み、
前記第1の検証情報が前記第2の検証情報と同じであると判定した場合、前記端末装置と前記第1のネットワークとの間の前記相互一時認証が成功していると前記認証アンカーが判定する前記段階は、
前記第2のチャレンジ値が前記第3のチャレンジ値と同じであると判定した場合、前記モビリティ管理ネットワークエレメントが前記第3のチャレンジ値を前記認証サーバネットワークエレメントへ送信する段階と、
前記第1のチャレンジ値が前記第3のチャレンジ値と同じであると判定した場合、前記端末装置と前記第1のネットワークとの間の前記相互一時認証が成功していると前記認証サーバネットワークエレメントが判定する段階と
を含む、
項目19から22のいずれか1つに記載の方法。
(項目24)
前記認証アンカーは、認証サーバネットワークエレメントおよびモビリティ管理ネットワークエレメントを含み、前記第1の検証情報は、第4のチャレンジ値を含み、前記第2の検証情報は、第5のチャレンジ値を含み、
前記認証アンカーが前記認証、許可および課金機能ネットワークエレメントから第1の検証情報を受信する前記段階は、
前記認証サーバネットワークエレメントが前記認証、許可および課金機能ネットワークエレメントから前記第4のチャレンジ値を受信する段階
を含み、
前記認証アンカーが認証要求メッセージを前記端末装置へ送信する前記段階は、
前記認証サーバネットワークエレメントが前記第4のチャレンジ値を前記モビリティ管理ネットワークエレメントへ送信する段階
を含み、
前記認証アンカーが前記端末装置から認証応答メッセージを受信する前記段階は、
前記モビリティ管理ネットワークエレメントが前記端末装置から前記第5のチャレンジ値を受信する段階
を含み、
前記第1の検証情報が前記第2の検証情報と同じであると判定した場合、前記端末装置と前記第1のネットワークとの間の前記相互一時認証が成功していると前記認証アンカーが判定する前記段階は、
前記モビリティ管理ネットワークエレメントが前記第5のチャレンジ値を前記認証サーバネットワークエレメントへ送信する段階と、
前記第4のチャレンジ値が前記第5のチャレンジ値と同じであると判定した場合、前記端末装置と前記第1のネットワークとの間の前記相互一時認証が成功していると前記認証サーバネットワークエレメントが判定する段階と
を含む、
項目19から22のいずれか1つに記載の方法。
(項目25)
前記第1のネットワークの前記アクセス情報は、前記認証、許可および課金機能ネットワークエレメントの識別情報を含み、
認証アンカーが、端末装置からの第1のネットワークのアクセス情報を前記第1のネットワーク内の認証、許可および課金機能ネットワークエレメントへ送信する前記段階は、
前記認証アンカーが前記端末装置から前記第1のネットワークの前記アクセス情報を受信する段階と、
前記認証アンカーが、前記第1のネットワークの前記アクセス情報における前記認証、許可および課金機能ネットワークエレメントの前記識別情報に基づいて、前記認証、許可および課金機能ネットワークエレメントを決定する段階と、
前記認証アンカーが前記第1のネットワークの前記アクセス情報を前記認証、許可および課金機能ネットワークエレメントへ送信する段階と
を有する、
項目19から24のいずれか1つに記載の方法。
(項目26)
通信方法であって、
認証、許可および課金機能ネットワークエレメントが端末装置から第1のネットワークのアクセス情報を受信する段階であって、前記第1のネットワークの前記アクセス情報は、前記端末装置により、第1の一時認証情報と、前記第1のネットワークの識別情報とに基づいて決定される、受信する段階と、
前記認証、許可および課金機能ネットワークエレメントが、前記第1のネットワークの前記アクセス情報に基づいて、第2の一時認証情報を決定する段階と、
前記認証、許可および課金機能ネットワークエレメントが、前記第2の一時認証情報に基づいて、前記端末装置との相互一時認証を実行する段階と
を備える、方法。
(項目27)
前記第1のネットワークの前記アクセス情報は、
前記第1の一時認証情報における第1の一時認証資格情報の識別子に基づいて決定される、第3の一時認証資格情報の識別子、
第3の一時認証資格情報の識別子および前記第1のネットワークの前記識別情報、
第3の一時認証資格情報の識別子、および前記アクセス情報が一時認証のために用いられることを示す、前記アクセス情報のタイプ、
第3の一時認証資格情報の識別子ならびに認証、許可および課金機能ネットワークエレメントの識別情報、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報および前記アクセス情報のタイプ、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報ならびに前記認証、許可および課金機能ネットワークエレメントの識別情報、
第3の一時認証資格情報の識別子、前記アクセス情報のタイプならびに前記認証、許可および課金機能ネットワークエレメントの識別情報、または、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報、前記認証、許可および課金機能ネットワークエレメントの識別情報ならびに前記第1のネットワークの前記アクセス情報のタイプ
のいずれか1つを含む、
項目26に記載の方法。
(項目28)
前記第1のネットワークの前記識別情報は、公衆陸上移動体ネットワーク識別子PLMN IDを含み、
前記認証、許可および課金機能ネットワークエレメントの前記識別情報は、ルーティングインジケータルーティングIDを含み、
前記第1の一時認証資格情報の前記識別子は、永久機器識別子PEIまたは国際移動体機器識別番号IMEIを含む、
項目27に記載の方法。
(項目29)
前記第3の一時認証資格情報の前記識別子は、前記第1の一時認証資格情報の前記識別子の混同値である、項目27または28に記載の方法。
(項目30)
前記認証、許可および課金機能ネットワークエレメントが、前記第1のネットワークの前記アクセス情報に基づいて、前記端末装置との前記相互一時認証をトリガする前記段階は、
段階と、認証、許可および課金機能ネットワークエレメントが、前記第1のネットワークの前記アクセス情報に基づいて、第1の検証情報を生成する段階と、
前記認証、許可および課金機能ネットワークエレメントが前記第1の検証情報を認証アンカーへ送信する段階と
を有する、
項目26から29のいずれか1つに記載の方法。
(項目31)
前記第1の検証情報は、第1のメッセージ認証コードおよび第1のチャレンジ値を含み、
前記認証、許可および課金機能ネットワークエレメントが、前記第1のネットワークの前記アクセス情報に基づいて、第1の検証情報を生成する前記段階は、
前記認証、許可および課金機能ネットワークエレメントが、前記第1のネットワークの前記アクセス情報に基づいて、前記第2の一時認証情報を決定する段階と、
前記認証、許可および課金機能ネットワークエレメントが、前記第2の一時認証情報に基づいて前記第1の一時対称鍵を取得する段階と、
前記認証、許可および課金機能ネットワークエレメントが、前記第1の一時対称鍵に基づいて、前記第1のメッセージ認証コードおよび前記第1のチャレンジ値を別個に生成する段階と、
前記認証、許可および課金機能ネットワークエレメントが前記第1のメッセージ認証コードおよび前記第1のチャレンジ値を前記認証アンカーへ送信する段階と
を含む、
項目30に記載の方法。
(項目32)
前記第2の一時認証情報は、一時アルゴリズムをさらに含み、
前記認証、許可および課金機能ネットワークエレメントが、前記第2の一時認証情報に基づいて第1の一時対称鍵を取得する前記段階は、
前記認証、許可および課金機能ネットワークエレメントが、前記一時アルゴリズムに従って前記第1の一時対称鍵を生成する段階
を含む、
項目31に記載の方法。
(項目33)
前記第2の一時認証情報は、前記端末装置の第1の公開鍵を含み、
前記認証、許可および課金機能ネットワークエレメントが、前記第2の一時認証情報に基づいて第1の一時対称鍵を取得する前記段階は、
前記認証、許可および課金機能ネットワークエレメントが前記認証、許可および課金機能ネットワークエレメントの第2の公開鍵と、前記認証、許可および課金機能ネットワークエレメントの第2の秘密鍵とを生成する段階と、
前記認証、許可および課金機能ネットワークエレメントが、前記第2の秘密鍵および前記第1の公開鍵に基づいて、前記第1の一時対称鍵を生成する段階と
を含む、
項目31に記載の方法。
(項目34)
前記第2の一時認証情報は、前記一時アルゴリズムをさらに含み、前記一時アルゴリズムは、鍵共有アルゴリズムおよび一時認証アルゴリズムを含み、
前記認証、許可および課金機能ネットワークエレメントが、前記第2の一時認証情報に基づいて第1の一時対称鍵を取得する前記段階は、
前記認証、許可および課金機能ネットワークエレメントが、前記鍵共有アルゴリズムに従って、前記認証、許可および課金機能ネットワークエレメントの前記第2の公開鍵および前記第2の秘密鍵を生成する段階と、
前記認証、許可および課金機能ネットワークエレメントが、前記一時認証アルゴリズム、前記第2の秘密鍵および前記第1の公開鍵に基づいて、前記第1の一時対称鍵を生成する段階と
を含む、
項目31から33のいずれか1つに記載の方法。
(項目35)
前記第1の検証情報は、前記認証、許可および課金機能ネットワークエレメントの前記第2の公開鍵をさらに含み、
前記方法は、
前記認証、許可および課金機能ネットワークエレメントが前記第2の公開鍵を前記認証アンカーへ送信する段階
をさらに備える、項目33または34に記載の方法。
(項目36)
前記認証、許可および課金機能ネットワークエレメントがオンボーディングデバイスから前記第2の一時認証情報を受信する段階
をさらに備える、項目26から35のいずれか1つに記載の方法。
(項目37)
前記第1のネットワークの前記アクセス情報は、前記第3の一時認証資格情報の前記識別子を含み、
前記認証、許可および課金機能ネットワークエレメントが、前記第1のネットワークの前記アクセス情報に基づいて、第2の一時認証情報を決定する前記段階は、
前記認証、許可および課金機能ネットワークエレメントが、前記第3の一時認証資格情報の前記識別子と同じ第2の一時認証資格情報の識別子を求めて検索し、前記第2の一時認証資格情報の前記識別子に対応する一時認証情報を前記第2の一時認証情報として決定する段階
を含む、
項目27から36のいずれか1つに記載の方法。
(項目38)
前記第1のネットワークの前記アクセス情報は、前記第1のネットワークの前記アクセス情報の前記タイプをさらに含み、
前記認証、許可および課金機能ネットワークエレメントが、前記アクセス情報に基づいて、第2の一時認証情報を決定する前記段階は、
一時認証情報が検索される必要があると前記認証、許可および課金機能ネットワークエレメントが前記第1のネットワークの前記アクセス情報の前記タイプに基づいて判定する段階と、
前記認証、許可および課金機能ネットワークエレメントが、前記第3の一時認証資格情報の前記識別子と同じ前記第2の一時認証資格情報の前記識別子を求めて検索し、前記第2の一時認証資格情報の前記識別子に対応する前記一時認証情報を前記第2の一時認証情報として決定する段階と
を含む、
項目37に記載の方法。
(項目39)
認証アンカーと、認証、許可および課金機能ネットワークエレメントとを備え、
前記認証、許可および課金機能ネットワークエレメントは、前記認証アンカーを通じて、端末装置から第1のネットワークのアクセス情報を受信し、前記第1のネットワークの前記アクセス情報に基づいて、前記端末装置との相互一時認証をトリガするように構成されており、
前記認証アンカーは、前記相互一時認証が成功した場合、前記第1のネットワークのネットワーク選択サブスクリプション情報を前記端末装置へ送信するようデータ管理ネットワークエレメントをトリガするように構成されている、
通信システム。
(項目40)
前記システムは、前記データ管理ネットワークエレメントをさらに備え、
前記認証アンカーは、具体的には、前記相互一時認証が成功した場合、サブスクリプション要求インジケーションを前記データ管理ネットワークエレメントへ送信するように構成されており、前記サブスクリプション要求インジケーションは、前記ネットワーク選択サブスクリプション情報を前記端末装置へ送信するよう前記データ管理ネットワークエレメントに指示し、
前記データ管理ネットワークエレメントは、前記認証アンカーから前記サブスクリプション要求インジケーションを受信し、前記サブスクリプション要求インジケーションに基づいて、前記ネットワーク選択サブスクリプション情報を前記端末装置へ送信するように構成されている、
項目39に記載のシステム。
(項目41)
前記ネットワーク選択サブスクリプション情報は、サブスクリプション永続識別子、SUPI、公衆陸上移動体ネットワーク識別子PLMN ID、ネットワーク識別子、NID、ルーティングインジケータルーティングID、単一ネットワークスライス選択支援情報、NSSAIおよびデータネットワーク名、DNNのうちの1つまたは複数を含む、項目39または40に記載のシステム。
(項目42)
前記第1のネットワークの前記アクセス情報は、前記第1のネットワークの前記アクセス情報のタイプを含み、前記第1のネットワークの前記アクセス情報の前記タイプは、前記第1のネットワークの前記アクセス情報が一時認証のために用いられることを示し、
前記認証、許可および課金機能ネットワークエレメントはさらに、前記端末装置との前記相互一時認証がトリガされる必要があると前記第1のネットワークの前記アクセス情報における前記アクセス情報タイプに基づいて判定するように構成されている、
項目39から41のいずれか1つに記載のシステム。
(項目43)
前記相互一時認証は、第5世代認証および鍵共有5G AKAまたは拡張可能認証プロトコル認証および鍵共有EAP-AKA'を含む、項目39から41のいずれか1つに記載のシステム。
(項目44)
前記認証、許可および課金機能ネットワークエレメントは、具体的には、前記第1のネットワークの前記アクセス情報に基づいて第2の一時認証情報を決定し、前記第2の一時認証情報に基づいて第1の一時対称鍵を取得し、前記第1の一時対称鍵に基づいて第1のメッセージ認証コードおよび第1のチャレンジ値を別個に生成し、前記第1のメッセージ認証コードおよび前記第1のチャレンジ値を前記認証アンカーへ送信するように構成されている、項目39から43のいずれか1つに記載のシステム。
(項目45)
前記第2の一時認証情報は、一時アルゴリズムをさらに含み、
前記認証、許可および課金機能ネットワークエレメントはさらに、前記第2の一時認証情報における前記一時アルゴリズムに従って前記第1の一時対称鍵を生成するように構成されている、
項目44に記載のシステム。
(項目46)
前記一時アルゴリズムは、鍵共有アルゴリズムおよび一時認証アルゴリズムを含み、
前記認証、許可および課金機能ネットワークエレメントは、具体的には、前記鍵共有アルゴリズムに従って前記認証、許可および課金機能ネットワークエレメントの第2の公開鍵および第2の秘密鍵を生成し、前記一時認証アルゴリズム、前記第2の秘密鍵および第1の公開鍵に基づいて、前記第1の一時対称鍵を生成するように構成されている、
項目45に記載のシステム。
(項目47)
前記認証、許可および課金機能ネットワークエレメントはさらに、前記第2の公開鍵を前記認証アンカーへ送信するように構成されている、項目46に記載のシステム。
(項目48)
トランシーバモジュールと処理モジュールとを備える通信装置であって、
前記トランシーバモジュールは、1つまたは複数のネットワークの識別情報を含む補助認証情報を取得するように構成されており、
前記処理モジュールは、第1の一時認証情報と、前記1つまたは複数のネットワークのいずれか1つである第1のネットワークの識別情報とに基づいて、前記第1のネットワークのアクセス情報を決定し、前記第1のネットワークの前記アクセス情報に基づいて、前記第1のネットワークとの相互一時認証をトリガするように構成されており、
前記トランシーバモジュールはさらに、相互一時認証が成功した場合、前記第1のネットワークから前記第1のネットワークの構成情報を受信するように構成されている、
装置。
(項目49)
前記第1のネットワークの前記アクセス情報は、
前記第1の一時認証情報における第1の一時認証資格情報の識別子に基づいて決定される、第3の一時認証資格情報の識別子、
第3の一時認証資格情報の識別子および前記第1のネットワークの前記識別情報、
第3の一時認証資格情報の識別子、および前記第1のネットワークの前記アクセス情報が一時認証のために用いられることを示す、前記第1のネットワークの前記アクセス情報のタイプ、
第3の一時認証資格情報の識別子ならびに認証、許可および課金機能ネットワークエレメントの識別情報、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報および前記第1のネットワークの前記アクセス情報のタイプ、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報ならびに認証、許可および課金機能ネットワークエレメントの識別情報、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記アクセス情報のタイプならびに認証、許可および課金機能ネットワークエレメントの識別情報、または、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報、認証、許可および課金機能ネットワークエレメントの識別情報ならびに前記第1のネットワークの前記アクセス情報のタイプ
のいずれか1つを含む、
項目48に記載の装置。
(項目50)
前記第1のネットワークの前記識別情報は、公衆陸上移動体ネットワーク識別子PLMN IDを含み、
前記認証、許可および課金機能ネットワークエレメントの前記識別情報は、ルーティングインジケータルーティングIDを含み、
前記第1の一時認証資格情報の前記識別子は、永久機器識別子PEIまたは国際移動体機器識別番号IMEIを含む、
項目49に記載の装置。
(項目51)
前記第3の一時認証資格情報の前記識別子は、前記第1の一時認証資格情報の前記識別子の混同値である、項目49または50に記載の装置。
(項目52)
前記トランシーバモジュールは、具体的には、
前記認証アンカーを通じて、前記第1のネットワークの前記アクセス情報を前記認証、許可および課金機能ネットワークエレメントへ送信し、
第1の検証情報を含む認証要求メッセージを前記認証アンカーから受信する
ように構成されており、
前記処理モジュールは、具体的には、
前記第1の一時認証情報に基づいて、前記第1の検証情報に対して一時認証を実行する
ように構成されている、
項目48から51のいずれか1つに記載の装置。
(項目53)
前記第1の検証情報は、第1のメッセージ認証コードを含み、
前記処理モジュールは、具体的には、
前記第1の一時認証情報に基づいて第2の一時対称鍵を取得し、
前記第2の一時対称鍵に基づいて第2のメッセージ認証コードを生成し、
前記第2のメッセージ認証コードに基づいて前記第1のメッセージ認証コードを検証する
ように構成されている、
項目52に記載の装置。
(項目54)
前記処理モジュールはさらに、前記第1のメッセージ認証コードが前記第2のメッセージ認証コードと同じである場合、前記第2の一時対称鍵に基づいて第3のチャレンジ値を生成するように構成されており、前記第3のチャレンジ値は、前記認証アンカーにより、前記通信装置に対して一時認証を実行するために用いられ、
前記トランシーバモジュールはさらに、認証応答メッセージを前記認証アンカーへ送信するように構成されており、前記認証応答メッセージは、前記第3のチャレンジ値を含む、
項目53に記載の装置。
(項目55)
前記第1の一時認証情報は、前記装置の第1の秘密鍵を含み、前記第1の検証情報は、前記認証、許可および課金機能ネットワークエレメントの第2の公開鍵を含み、
前記処理モジュールは具体的には、前記第1の秘密鍵および前記第2の公開鍵に基づいて、前記第2の一時対称鍵を生成するように構成されている、
項目53または54に記載の装置。
(項目56)
前記第1の一時認証情報は、前記第1の一時認証資格情報をさらに含み、前記第1の一時認証資格情報は、検証パラメータと、前記通信装置の証明書の秘密鍵とを含み、前記第1の検証情報は、前記認証、許可および課金機能ネットワークエレメントの証明書の署名と、第3のメッセージ認証コードとを含み、
前記処理モジュールは、具体的には、前記検証パラメータに基づいて、前記認証、許可および課金機能ネットワークエレメントの前記証明書の前記署名を検証し、前記認証、許可および課金機能ネットワークエレメントの前記証明書の前記署名に対する前記検証が成功した場合、前記認証、許可および課金機能ネットワークエレメントの前記証明書の公開鍵に基づいて、第3のメッセージ認証コードを検証するように構成されている、
項目52に記載の装置。
(項目57)
前記処理モジュールはさらに、前記通信装置が前記第3のメッセージ認証コードを正常に検証した場合、前記通信装置の前記証明書の前記秘密鍵に基づいて、第4のメッセージ認証コードを生成するように構成されており、
前記トランシーバモジュールはさらに、認証応答メッセージを前記認証アンカーへ送信するように構成されており、前記認証応答メッセージは、前記第4のメッセージ認証コードおよび第1の証明書を含む、
項目56に記載の装置。
(項目58)
前記相互一時認証は、第5世代認証および鍵共有5G AKAまたは拡張可能認証プロトコル認証および鍵共有EAP-AKA'を含む、項目48から57のいずれか1つに記載の装置。
(項目59)
前記第1のネットワークの前記構成情報は、ネットワーク選択サブスクリプション情報を含み、前記ネットワーク選択サブスクリプション情報は、前記第1のネットワークにアクセスすることを選ぶために前記通信装置により用いられる、項目48から58のいずれか1つに記載の装置。
(項目60)
前記ネットワーク選択サブスクリプション情報は、サブスクリプション永続識別子、SUPI、前記公衆陸上移動体ネットワーク識別子PLMN ID、ネットワーク識別子、NID、前記ルーティングID、単一ネットワークスライス選択支援情報、NSSAIおよびデータネットワーク名、DNNのうちの1つまたは複数を含む、項目59に記載の装置。
(項目61)
前記第1のネットワークの前記構成情報は、長期認証資格情報をさらに含み、前記長期認証資格情報は、前記第1のネットワークにより、前記第1のネットワークへのアクセスを前記端末装置に許可するために用いられる資格情報であり、前記トランシーバモジュールはさらに、オンラインサブスクリプションサーバが位置するデータネットワークの識別情報を決定し、前記データネットワークの前記識別情報をセッション管理機能ネットワークエレメントへ送信し、ユーザプレーントンネルを通じて、前記オンラインサブスクリプションサーバから前記長期認証資格情報を取得するように構成されている、項目48から60のいずれか1つに記載の装置。
(項目62)
前記補助認証情報は、前記オンラインサブスクリプションサーバが位置する前記データネットワークの前記識別情報をさらに含み、前記トランシーバモジュールはさらに、前記補助認証情報から前記データネットワークの前記識別情報を取得するように構成されている、項目61に記載の装置。
(項目63)
前記処理モジュールはさらに、
前記相互一時認証が失敗した場合、前記第1の一時認証情報と、前記第1のネットワークとは異なる前記1つまたは複数のネットワークのいずれか1つである前記第2のネットワークの識別情報とに基づいて、第2のネットワークの前記アクセス情報を決定し、
前記第2のネットワークの前記アクセス情報に基づいて、前記第2のネットワークとの前記相互一時認証をトリガする
ように構成されている、
項目48に記載の装置。
(項目64)
前記補助認証情報は、前記1つまたは複数のネットワークに対応するオンボーディングインジケーション情報をさらに含み、
前記処理モジュールはさらに、前記オンボーディングインジケーション情報を含む前記ネットワークから、1つのネットワークを前記第1のネットワークとして選択するように構成されている、
項目48から63のいずれか1つに記載の装置。
(項目65)
前記トランシーバモジュールは、具体的には、アクセスネットワークデバイスによりブロードキャストされる前記補助認証情報を受信するように構成されている、項目48から64のいずれか1つに記載の装置。
(項目66)
トランシーバモジュールと処理モジュールとを備える通信装置であって、
前記トランシーバモジュールは、端末装置からの第1のネットワークのアクセス情報を前記第1のネットワーク内の認証、許可および課金機能ネットワークエレメントへ送信するように構成されており、前記第1のネットワークの前記アクセス情報は、相互一時認証を実行するよう前記通信装置と前記認証、許可および課金機能ネットワークエレメントとをトリガするために用いられ、
前記処理モジュールは、前記通信装置と前記第1のネットワークとの間の前記相互一時認証が成功していると判定された場合、前記第1のネットワークのネットワーク選択サブスクリプション情報を前記通信装置へ送信するようデータ管理ネットワークエレメントをトリガするように構成されている、
装置。
(項目67)
前記処理モジュールは、前記トランシーバモジュールと協働すると共に、前記通信装置と前記第1のネットワークとの間の前記相互一時認証が成功していると判定された場合、サブスクリプション要求インジケーションを前記データ管理ネットワークエレメントへ送信するように構成されており、前記サブスクリプション要求インジケーションは、前記ネットワーク選択サブスクリプション情報を前記通信装置へ送信するよう前記データ管理ネットワークエレメントに指示する、項目66に記載の装置。
(項目68)
前記ネットワーク選択サブスクリプション情報は、サブスクリプション永続識別子、SUPI、公衆陸上移動体ネットワーク識別子PLMN ID、ネットワーク識別子、NID、ルーティングインジケータルーティングID、単一ネットワークスライス選択支援情報、NSSAIおよびデータネットワーク名、DNNのうちの1つまたは複数を含む、項目67に記載の装置。
(項目69)
前記トランシーバモジュールは、具体的には、
前記認証、許可および課金機能ネットワークエレメントから第1の検証情報を受信し、
前記第1の検証情報を含む前記認証要求メッセージを前記通信装置へ送信し、
第2の検証情報を含む認証応答メッセージを前記通信装置から受信する
ように構成されており、
前記処理モジュールは、具体的には、前記第1の検証情報が前記第2の検証情報と同じであると判定された場合、前記通信装置と前記第1のネットワークとの間の前記相互一時認証が成功していると判定するように構成されている、
項目66に記載の装置。
(項目70)
前記第1のネットワークの前記アクセス情報は、前記認証、許可および課金機能ネットワークエレメントの識別情報を含み、
前記トランシーバモジュールは、具体的には、前記通信装置から前記第1のネットワークの前記アクセス情報を受信するように構成されており、
前記処理モジュールは、具体的には、前記第1のネットワークの前記アクセス情報における前記認証、許可および課金機能ネットワークエレメントの前記識別情報に基づいて、前記認証、許可および課金機能ネットワークエレメントを決定するように構成されており、
前記トランシーバモジュールは、具体的には、前記第1のネットワークの前記アクセス情報を前記認証、許可および課金機能ネットワークエレメントへ送信するように構成されている、
項目66から69のいずれか1つに記載の装置。
(項目71)
トランシーバモジュールと処理モジュールとを備える通信装置であって、
前記トランシーバモジュールは、端末装置から第1のネットワークのアクセス情報を受信するように構成されており、前記第1のネットワークの前記アクセス情報は、前記端末装置により、第1の一時認証情報と、前記第1のネットワークの識別情報とに基づいて決定され、
前記処理モジュールは、前記第1のネットワークの前記アクセス情報に基づいて、第2の一時認証情報を決定し、前記第2の一時認証情報に基づいて、前記通信装置との相互一時認証をトリガするように構成されている、
装置。
(項目72)
前記第1のネットワークの前記アクセス情報は、
前記第1の一時認証情報における第1の一時認証資格情報の識別子に基づいて決定される、第3の一時認証資格情報の識別子、
第3の一時認証資格情報の識別子および前記第1のネットワークの前記識別情報、
第3の一時認証資格情報の識別子、および前記アクセス情報が一時認証のために用いられることを示す、前記アクセス情報のタイプ、
第3の一時認証資格情報の識別子ならびに認証、許可および課金機能ネットワークエレメントの識別情報、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報および前記アクセス情報のタイプ、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報ならびに前記認証、許可および課金機能ネットワークエレメントの識別情報、
第3の一時認証資格情報の識別子、前記アクセス情報のタイプならびに前記認証、許可および課金機能ネットワークエレメントの識別情報、または、
第3の一時認証資格情報の識別子、前記第1のネットワークの前記識別情報、前記認証、許可および課金機能ネットワークエレメントの識別情報ならびに前記第1のネットワークの前記アクセス情報のタイプ
のいずれか1つを含む、
項目71に記載の装置。
(項目73)
前記第1のネットワークの前記識別情報は、公衆陸上移動体ネットワーク識別子PLMN IDを含み、
前記認証、許可および課金機能ネットワークエレメントの前記識別情報は、ルーティングインジケータルーティングIDを含み、
前記第1の一時認証資格情報の前記識別子は、永久機器識別子PEIまたは国際移動体機器識別番号IMEIを含む、
項目72に記載の装置。
(項目74)
前記第3の一時認証資格情報の前記識別子は、前記第1の一時認証資格情報の前記識別子の混同値である、項目72または73に記載の装置。
(項目75)
前記処理モジュールは、具体的には、前記第1のネットワークの前記アクセス情報に基づいて、第1の検証情報を生成するように構成されており、
前記トランシーバモジュールは、具体的には、前記第1の検証情報を認証アンカーへ送信するように構成されている、
項目71から74のいずれか1つに記載の装置。
(項目76)
前記第1の検証情報は、第1のメッセージ認証コードおよび第1のチャレンジ値を含み、
前記処理モジュールは、具体的には、
前記第1のネットワークの前記アクセス情報に基づいて第2の一時認証情報を決定し、
前記第2の一時認証情報に基づいて第1の一時対称鍵を取得し、
前記第1の一時対称鍵に基づいて前記第1のメッセージ認証コードおよび前記第1のチャレンジ値を別個に生成する
ように構成されており、
前記トランシーバモジュールは、具体的には、前記第1のメッセージ認証コードおよび前記第1のチャレンジ値を前記認証アンカーへ送信するように構成されている、
項目75に記載の装置。
(項目77)
前記第2の一時認証情報は、一時アルゴリズムをさらに含み、
前記処理モジュールは、具体的には、前記一時アルゴリズムに従って、前記第1の一時対称鍵を生成するように構成されている、
項目76に記載の装置。
(項目78)
前記第2の一時認証情報は、前記端末装置の第1の公開鍵を含み、
前記処理モジュールは、具体的には、
前記認証、許可および課金機能ネットワークエレメントの第2の公開鍵と、前記認証、許可および課金機能ネットワークエレメントの第2の秘密鍵とを生成し、
前記第2の秘密鍵および前記第1の公開鍵に基づいて、前記第1の一時対称鍵を生成する
ように構成されている、
項目76に記載の装置。
(項目79)
前記第2の一時認証情報は、前記一時アルゴリズムをさらに含み、前記一時アルゴリズムは、鍵共有アルゴリズムおよび一時認証アルゴリズムを含み、
前記処理モジュールは、具体的には、
前記鍵共有アルゴリズムに従って、前記認証、許可および課金機能ネットワークエレメントの前記第2の公開鍵および前記第2の秘密鍵を生成し、
前記一時認証アルゴリズム、前記第2の秘密鍵および前記第1の公開鍵に基づいて、前記第1の一時対称鍵を生成する
ように構成されている、
項目77または78に記載の装置。
(項目80)
前記第1の検証情報は、前記認証、許可および課金機能ネットワークエレメントの前記第2の公開鍵をさらに含み、
前記トランシーバモジュールはさらに、前記第2の公開鍵を前記認証アンカーへ送信するように構成されている、
項目78または79に記載の装置。
(項目81)
前記トランシーバモジュールはさらに、オンボーディングデバイスから前記第2の一時認証情報を受信するように構成されている、
項目71から80のいずれか1つに記載の装置。
(項目82)
前記第1のネットワークの前記アクセス情報は、前記第3の一時認証資格情報の前記識別子を含み、
前記処理モジュールは、具体的には、
前記第3の一時認証資格情報の前記識別子と同じ第2の一時認証資格情報の識別子を求めて検索し、
前記第2の一時認証資格情報の前記識別子に対応する一時認証情報を前記第2の一時認証情報として決定する
ように構成されている、
項目72から81のいずれか1つに記載の装置。
(項目83)
前記第1のネットワークの前記アクセス情報は、前記第1のネットワークの前記アクセス情報の前記タイプをさらに含み、
前記処理モジュールは、具体的には、
前記一時認証情報が検索される必要があると前記第1のネットワークの前記アクセス情報の前記タイプに基づいて判定し、
前記第3の一時認証資格情報の前記識別子と同じ前記第2の一時認証資格情報の前記識別子を求めて検索し、
前記第2の一時認証資格情報の前記識別子に対応する前記一時認証情報を前記第2の一時認証情報として決定する
ように構成されている、
項目72から82のいずれか1つに記載の装置。
(項目84)
プロセッサとトランシーバとを備える通信装置であって、前記トランシーバは、前記通信装置以外の通信装置から信号を受信して前記信号を前記プロセッサへ伝送するように、または前記プロセッサからの信号を前記通信装置以外の通信装置へ送信するように構成されており、前記プロセッサは、論理回路を用いることにより、またはコード命令を実行することにより、項目1から18のいずれか1つ、項目19から25のいずれか1つ、または項目26から38のいずれか1つに記載の方法を実装するように構成されている、通信装置。
(項目85)
コンピュータプログラムまたは命令を格納したコンピュータ可読記憶媒体であって、前記コンピュータプログラムまたは前記命令は、通信装置により実行された場合、項目1から18のいずれか1つ、項目19から25のいずれか1つ、または項目26から38のいずれか1つに記載の方法が実装される、コンピュータ可読記憶媒体。
(項目86)
コンピュータプログラムまたは命令を備えるコンピュータプログラム製品であって、前記コンピュータプログラムまたは前記命令が通信装置により実行された場合、項目1から18のいずれか1つ、項目19から25のいずれか1つ、または項目26から38のいずれか1つに記載の方法が実装される、コンピュータプログラム製品。

Claims (15)

  1. 通信方法であって、
    端末装置が補助認証情報を取得する段階であって、前記補助認証情報は、1つまたは複数のネットワークの識別情報を含む、取得する段階と、
    前記端末装置が、第1の一時認証情報と、第1のネットワークの識別情報とに基づいて、前記第1のネットワークのアクセス情報を決定する段階であって、前記第1のネットワークは、前記1つまたは複数のネットワークのいずれか1つである、決定する段階と、
    前記端末装置が、前記第1のネットワークの前記アクセス情報に基づいて、前記第1のネットワークとの相互一時認証をトリガする段階と、
    前記相互一時認証が失敗した場合、前記端末装置が、前記第1の一時認証情報と、第2のネットワークの識別情報とに基づいて、前記第2のネットワークのアクセス情報を決定する段階であって、前記第2のネットワークは、前記第1のネットワークとは異なる前記1つまたは複数のネットワークのいずれか1つである、決定する段階と、
    前記端末装置が、前記第2のネットワークの前記アクセス情報に基づいて、前記第2のネットワークとの相互一時認証をトリガする段階と
    を備える、方法。
  2. 前記補助認証情報は、前記1つまたは複数のネットワークに対応するオンボーディングインジケーション情報をさらに含み、
    前記方法は、
    前記端末装置が、前記オンボーディングインジケーション情報を含む前記1つまたは複数のネットワークから、1つのネットワークを前記第1のネットワークとして選択する段階
    をさらに備える、請求項1に記載の方法。
  3. 端末装置が補助認証情報を取得する前記段階は、
    前記端末装置が、アクセスネットワークデバイスによりブロードキャストされる前記補助認証情報を受信する段階
    を有する、
    請求項1または2に記載の方法。
  4. 前記端末装置が、前記補助認証情報に含まれるオンボーディングインジケーション情報を含む前記1つまたは複数のネットワークから新しいネットワークを前記第2のネットワークとして選択する段階
    をさらに備える、請求項1から3のいずれか一項に記載の方法。
  5. 前記端末装置がアクセス拒否メッセージを受信する段階と、
    前記端末装置が、前記アクセス拒否メッセージに応答して、前記補助認証情報に含まれるオンボーディングインジケーション情報を含む前記1つまたは複数のネットワークから新しいネットワークを前記第2のネットワークとして選択する段階と
    をさらに備える、請求項1から3のいずれか一項に記載の方法。
  6. 前記アクセス拒否メッセージは、アクセスを拒否するための原因情報を含む、請求項5に記載の方法。
  7. 前記アクセス拒否メッセージにおいて保持される前記原因情報は、前記端末装置の一時認証資格情報を見つけられないということである、請求項6に記載の方法。
  8. 前記相互一時認証が成功した場合、前記端末装置が前記第1のネットワークから前記第1のネットワークの構成情報を受信する段階
    をさらに備える、請求項1に記載の方法。
  9. 前記相互一時認証は、第5世代認証および鍵共有(5G AKA)、または拡張可能認証プロトコル認証および鍵共有(EAP-AKA')を含む、請求項1から8のいずれか一項に記載の方法。
  10. 前記第1のネットワークの前記構成情報は、ネットワーク選択サブスクリプション情報を含み、前記ネットワーク選択サブスクリプション情報は、前記第1のネットワークにアクセスすることを選ぶために前記端末装置により用いられる、請求項8に記載の方法。
  11. 前記ネットワーク選択サブスクリプション情報は、サブスクリプション永続識別子、SUPI、公衆陸上移動体ネットワーク識別子(PLMN ID)、ネットワーク識別子(NID)、ルーティングインジケータ、単一ネットワークスライス選択支援情報(NSSAI)およびデータネットワーク名(DNN)のうちの1つまたは複数を含む、請求項10に記載の方法。
  12. 前記第1のネットワークの前記構成情報は、長期認証資格情報をさらに含み、前記長期認証資格情報は、前記第1のネットワークにアクセスすることを前記端末装置に許可するために前記第1のネットワークにより用いられる資格情報であり、
    前記相互一時認証が成功した場合、前記端末装置が前記第1のネットワークから前記第1のネットワークの構成情報を受信する前記段階は、
    前記端末装置が、オンラインサブスクリプションサーバが位置するデータネットワークの識別情報を決定する段階と、
    前記端末装置が前記データネットワークの前記識別情報をセッション管理機能ネットワークエレメントへ送信する段階と、
    前記端末装置が、ユーザプレーントンネルを通じて、前記オンラインサブスクリプションサーバから前記長期認証資格情報を取得する段階と
    を有する、
    請求項8に記載の方法。
  13. 前記補助認証情報は、前記オンラインサブスクリプションサーバが位置する前記データネットワークの前記識別情報をさらに含み、
    前記端末装置が、オンラインサブスクリプションサーバが位置するデータネットワークの識別情報を決定する前記段階は、
    前記端末装置が前記補助認証情報から前記データネットワークの前記識別情報を取得する段階
    を含む、
    請求項12に記載の方法。
  14. 請求項1から13のいずれか一項に記載の方法のいずれか1つの前記段階を実行するための手段を備える端末装置。
  15. プロセッサに、請求項1から13のいずれか一項に記載の方法を実行させる、コンピュータプログラム。
JP2022558569A 2020-03-29 2020-03-29 通信方法、装置およびシステム Pending JP2023520387A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/081957 WO2021195816A1 (zh) 2020-03-29 2020-03-29 一种通信方法、装置及系统

Publications (1)

Publication Number Publication Date
JP2023520387A true JP2023520387A (ja) 2023-05-17

Family

ID=77926962

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022558569A Pending JP2023520387A (ja) 2020-03-29 2020-03-29 通信方法、装置およびシステム

Country Status (5)

Country Link
US (1) US20230021215A1 (ja)
EP (1) EP4114091A4 (ja)
JP (1) JP2023520387A (ja)
CN (2) CN115380570B (ja)
WO (1) WO2021195816A1 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019122495A1 (en) * 2017-12-21 2019-06-27 Nokia Solutions And Networks Oy Authentication for wireless communications system
EP3777084A1 (en) * 2018-04-06 2021-02-17 NEC Corporation Security procedures for common api framework in next generation networks
CN114499925A (zh) * 2018-08-06 2022-05-13 华为技术有限公司 一种签约信息配置方法及通信设备
WO2020036364A1 (ko) * 2018-08-13 2020-02-20 삼성전자 주식회사 단말이 사설 셀룰러 네트워크를 발견하고 선택하기 위한 방법 및 장치

Also Published As

Publication number Publication date
WO2021195816A1 (zh) 2021-10-07
CN117793712A (zh) 2024-03-29
EP4114091A1 (en) 2023-01-04
CN115380570B (zh) 2023-12-08
EP4114091A4 (en) 2023-05-10
US20230021215A1 (en) 2023-01-19
CN115380570A (zh) 2022-11-22

Similar Documents

Publication Publication Date Title
US10798767B2 (en) Method and apparatus for relaying user data between a secure connection and a data connection
US10394674B2 (en) Local recovery of electronic subscriber identity module (eSIM) installation flow
JP5992554B2 (ja) 第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法
US8611859B2 (en) System and method for providing secure network access in fixed mobile converged telecommunications networks
CN112105021B (zh) 一种认证方法、装置及系统
US20210045050A1 (en) Communications method and apparatus
US20190274039A1 (en) Communication system, network apparatus, authentication method, communication terminal, and security apparatus
US20210136070A1 (en) Subscription Information Configuration Method And Communications Device
US20230048066A1 (en) Slice authentication method and apparatus
US20230209340A1 (en) Method and apparatus for transferring network access information between terminals in mobile communication system
TWI592001B (zh) 用於對非蜂巢式裝置在wifi之上提供電話服務之系統與方法
KR20220164762A (ko) Eap 절차에서의 통보
WO2015013647A1 (en) Providing telephony services over wifi for non-cellular devices
WO2023016160A1 (zh) 一种会话建立方法和相关装置
TWI828235B (zh) 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品
US20210021433A1 (en) Digital letter of approval (dloa) for device compliance
US20230021215A1 (en) Communication Method, Apparatus, and System
US20220272533A1 (en) Identity authentication method and communications apparatus
WO2021254172A1 (zh) 一种通信方法以及相关装置
US20230102604A1 (en) Slice service verification method and apparatus
WO2022195461A1 (en) Registration authentication based on a capability
KR20230105957A (ko) 제어 평면을 이용하여 credential을 UE에 프로비저닝 시 종단 보안 형성을 위한 방법 및 장치
WO2024094319A1 (en) First node, second node, third node, fourth node and methods performed thereby for handling registration of the second node
KR20230073737A (ko) 무선 통신 시스템에서 단말의 자격 증명 정보를 프로비저닝하는 방법 및 장치
CN117014875A (zh) 由归属网络触发的用户设备(ue)的重新认证

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221107

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230815

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240314