JP2024506102A - 進化型パケットシステム非アクセス層セキュリティアルゴリズムを構成する方法、および関連装置 - Google Patents

進化型パケットシステム非アクセス層セキュリティアルゴリズムを構成する方法、および関連装置 Download PDF

Info

Publication number
JP2024506102A
JP2024506102A JP2023548586A JP2023548586A JP2024506102A JP 2024506102 A JP2024506102 A JP 2024506102A JP 2023548586 A JP2023548586 A JP 2023548586A JP 2023548586 A JP2023548586 A JP 2023548586A JP 2024506102 A JP2024506102 A JP 2024506102A
Authority
JP
Japan
Prior art keywords
nas security
terminal device
access
security algorithm
mobility management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023548586A
Other languages
English (en)
Inventor
フ、シアンジ
ヤン、リンピン
フ、ウェン
チアン、リ
Original Assignee
ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ホアウェイ・テクノロジーズ・カンパニー・リミテッド filed Critical ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Publication of JP2024506102A publication Critical patent/JP2024506102A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本願は、通信技術分野におけるEPS NASセキュリティアルゴリズムを構成する方法および関連装置を開示する。本願において提供される技術的解決手段において、アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されているかどうかを判断する必要があり、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、と判断した後、アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムを端末デバイスへ再び提供する。本願において提供される技術的解決手段によれば、アクセスおよびモビリティ管理機能エンティティが端末デバイスのためにEPS NASセキュリティアルゴリズムを成功裏に構成できることが保証される。

Description

本願は、2021年2月10日に中国国家知識産権局へ出願され、「進化型パケットシステム非アクセス層セキュリティアルゴリズムを構成する方法、および関連装置」と題する中国特許出願第202110183922.0号の優先権を主張する。当該特許出願は、参照により、その全体が本明細書に組み込まれる。
本願は、通信技術分野、特に、進化型パケットシステム(evolved packet system、EPS)非アクセス層(non-access stratum、NAS)セキュリティアルゴリズムを構成する方法、および関連装置に関する。
現在、第5世代(5th generation、5G)ネットワークがN26インタフェースをサポートし、ユーザ機器(user equipment、UE)がS1モードをサポートする場合、UEの登録処理は、2つのセキュリティモードコマンド(security mode command、SMC)処理を含む。
UEの登録処理では、第1のSMC処理が正常であり、第2のSMC処理が異常である場合が生じる。結果として、UEは、登録が成功した後、EPS NASセキュリティアルゴリズムを有しない。したがって、EPS NASセキュリティアルゴリズムがUEのために成功裏に構成されるのをどのように保証するかが、解決されるべき喫緊の課題になっている。
本願は、アクセスおよびモビリティ管理機能エンティティがEPS NASセキュリティアルゴリズムを端末デバイスのために成功裏に構成できることを保証するために、EPS NASセキュリティアルゴリズムを構成する方法、および関連装置を提供する。
第1の態様によれば、本願は、EPS NASセキュリティアルゴリズムを構成する方法を提供し、ここで、方法は、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する段階を含む。アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供する。
この方法において、アクセスおよびモビリティ管理機能エンティティが選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供することに失敗した場合、アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムを端末デバイスに再び提供する。アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムを端末デバイスのために成功裏に構成できることが保証され得る。
可能な実装において、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する段階の前に、方法は、アクセスおよびモビリティ管理機能エンティティが第1のメッセージを端末デバイスへ送信する段階、ここで、第1のメッセージは、選択されたEPS NASセキュリティアルゴリズムの情報要素を含む、をさらに備える。
可能な実装において、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する段階は、第1の完了メッセージが受信されていない、とアクセスおよびモビリティ管理機能エンティティが判断する段階、ここで、第1の完了メッセージは、端末デバイスが第1のメッセージを受信していることを示す、を有する。
可能な実装において、第1の完了メッセージが受信されていない、とアクセスおよびモビリティ管理機能エンティティが判断する段階は、第1の完了メッセージが予め設定された時間内に受信されていない、とアクセスおよびモビリティ管理機能エンティティが判断する段階を含む。
この実装において、アクセスおよびモビリティ管理機能エンティティは、第1の完了メッセージを予め設定された時間内に受信するのに失敗することにより、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、と判断する。これにより、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていないという、アクセスおよびモビリティ管理機能エンティティによる判断の精度が向上する。
可能な実装において、第1のメッセージは、セキュリティモードコマンドSMCメッセージであり、第1の完了メッセージは、SMC完了メッセージである。
可能な実装において、方法は、アクセスおよびモビリティ管理機能エンティティが、選択されたEPS NASセキュリティアルゴリズムを無効とマーキングする段階を備える。
この実装において、アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、と判断した後、選択されたEPS NASセキュリティアルゴリズムを無効とマーキングする。アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムが無効であることを示すマーキングされた情報に基づいて、選択されたEPS NASセキュリティアルゴリズムを端末デバイスに再び提供することにより、アクセスおよびモビリティ管理機能エンティティが選択されたEPS NASセキュリティアルゴリズムを端末デバイスに成功裏に提供できることを保証し得る。
可能な実装において、アクセスおよびモビリティ管理機能エンティティが選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供する段階の前に、方法は、アクセスおよびモビリティ管理機能エンティティが端末デバイスから登録要求メッセージを受信する段階をさらに備える。
可能な実装において、方法は、選択されたEPS NASセキュリティアルゴリズムを更新することをアクセスおよびモビリティ管理機能エンティティが決定する段階をさらに備える。アクセスおよびモビリティ管理機能エンティティは、更新済みの選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供する。
可能な実装において、方法は、更新済みの選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する段階をさらに備える。アクセスおよびモビリティ管理機能エンティティは、更新済みの選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供する。
この実装において、アクセスおよびモビリティ管理機能エンティティは、更新済みの選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、と判断した後、更新済みの選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供する。これにより、アクセスおよびモビリティ管理機能エンティティが更新済みの選択されたEPS NASセキュリティアルゴリズムを端末デバイスのために成功裏に構成できることが保証され、その結果、端末デバイス内のEPS NASセキュリティアルゴリズムは、アクセスおよびモビリティ管理機能エンティティにより判断される更新済みの選択されたEPS NASセキュリティアルゴリズムと一致する。
可能な実装において、アクセスおよびモビリティ管理機能エンティティは、N26インタフェースをサポートし、端末デバイスは、S1モードをサポートする。
可能な実装において、端末デバイスにより示される有効な第5世代モバイル通信5G NASセキュリティコンテキストがアクセスおよびモビリティ管理機能エンティティ内に存在している。
第2の態様によれば、本願は、EPS NASセキュリティアルゴリズムを構成する方法を提供し、ここで、方法は、第5世代モバイル通信5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する段階を備える。端末デバイスは、5G NASセキュリティコンテキストを削除する。端末デバイスは、第2のメッセージをアクセスおよびモビリティ管理機能エンティティへ送信し、ここで、第2のメッセージは、5G NASセキュリティコンテキストを要求するために用いられる。端末デバイスは、選択されたEPS NASセキュリティアルゴリズムの情報要素をアクセスおよびモビリティ管理機能エンティティから受信する。
この方法において、5G NASセキュリティコンテキストが端末デバイス内に既に存在している場合、対応する選択されたEPS NASセキュリティアルゴリズムが端末デバイスの5G NASセキュリティコンテキストに存在しているかどうかが、まず判断される。対応する選択されたEPS NASセキュリティアルゴリズムが5G NASセキュリティコンテキストに存在していない、と端末デバイスが判断した場合、端末デバイスは、5G NASセキュリティコンテキストを削除し、アクセスおよびモビリティ管理機能エンティティからの5G NASセキュリティコンテキストを再び要求する。アクセスおよびモビリティ管理機能エンティティは、5G NASセキュリティコンテキスト、および対応する選択されたEPS NASセキュリティアルゴリズムの情報要素を端末デバイスへ再び送信して、端末デバイスがEPS NASセキュリティアルゴリズムを成功裏に構成できることを保証する。
可能な実装において、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する段階は、アクセスおよびモビリティ管理機能エンティティからの選択されたEPS NASセキュリティアルゴリズムの情報要素が受信されていない、と端末デバイスが判断する段階を有する。
可能な実装において、アクセスおよびモビリティ管理機能エンティティからの選択されたEPS NASセキュリティアルゴリズムの情報要素が受信されていない、と端末デバイスが判断する段階は、
予め設定された時間内にアクセスおよびモビリティ管理機能エンティティから選択されたEPS NASセキュリティアルゴリズムの情報要素を受信することを端末デバイスがスキップする段階
を含む。
この実装において、選択されたEPS NASセキュリティアルゴリズムの情報要素を予め設定された時間内にアクセスおよびモビリティ管理機能エンティティから受信することの失敗に応答して、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが端末デバイス内に存在していないと判断される。これにより、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していないという、端末デバイスによる判断の精度が向上する。
可能な実装において、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する段階の前に、方法は、端末デバイスが、アクセスおよびモビリティ管理機能エンティティにより送信される第3のメッセージを受信する段階、ここで、第3のメッセージは、5G NASセキュリティコンテキストを含む、をさらに備える。端末デバイスは、第3の完了メッセージをアクセスおよびモビリティ管理機能エンティティへ送信し、ここで、第3の完了メッセージは、端末デバイスが第3のメッセージを受信していることを示す。
この実装において、端末デバイスは、アクセスおよびモビリティ管理機能エンティティにより送信され、かつ、5G NASセキュリティコンテキストを搬送する第3のメッセージを受信することにより5G NASセキュリティコンテキストをアクティブ化し、第3の完了メッセージをアクセスおよびモビリティ管理機能エンティティへ送信する。これにより、端末デバイスが5G NASセキュリティコンテキストを成功裏にアクティブ化することが保証される。
可能な実装において、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する段階は、次世代無線アクセスネットワーク鍵セット識別子ngKSIが選択されたEPS NASセキュリティアルゴリズムに対応していない、と判断する段階を有する。
この実装において、次世代無線アクセスネットワーク鍵セット識別子ngKSIが対応する選択されたEPS NASセキュリティアルゴリズムを有していない、と判断することにより、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが端末デバイス内に存在していない、と判断される。これにより、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していないという、端末デバイスによる判断の精度が向上する。
可能な実装において、方法は、端末デバイスがngKSIを無効値に設定する段階をさらに備える。
この実装において、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断した場合、端末デバイスは、次の登録要求においてアクセスおよびモビリティ管理機能エンティティからの5G NASセキュリティコンテキストを再び要求すべく、ngKSIを無効値に設定する。
可能な実装において、端末デバイスは、ロングタームエボリューションLTEシステムから切断され、第2のメッセージは、新無線NRシステムへの登録を要求するために用いられる。
可能な実装において、アクセスおよびモビリティ管理機能エンティティがN26インタフェースをサポートしている、と端末デバイスが判断する。
可能な実装において、アクセスおよびモビリティ管理機能エンティティは、N26インタフェースをサポートし、端末デバイスは、S1モードをサポートする。
第3の態様によれば、本願は、EPS NASセキュリティアルゴリズムを構成するための装置を提供する。装置は、第1の態様における方法を実装するように構成されたモジュールを備え得る。これらのモジュールは、ソフトウェアおよび/またはハードウェアを通じて実装され得る。
第4の態様によれば、本願は、EPS NASセキュリティアルゴリズムを構成するための装置を提供する。装置は、第2の態様における方法を実装するように構成されたモジュールを備え得る。これらのモジュールは、ソフトウェアおよび/またはハードウェアを通じて実装され得る。
第5の態様によれば、本願は、EPS NASセキュリティアルゴリズムを構成するための装置を提供する。装置は、メモリに連結されたプロセッサを備え得る。メモリは、プログラムコードを格納するように構成されており、プロセッサは、メモリ内のプログラムコードを実行して、第1の態様、第2の態様、または第1の態様または第2の態様の任意の実装における方法を実装するように構成されている。
任意選択的に、装置は、メモリをさらに備え得る。
第6の態様によれば、本願は、少なくとも1つのプロセッサおよび通信インタフェースを含むチップを提供し、ここで、通信インタフェースおよび少なくとも1つのプロセッサは、回線を通じて相互接続されており、少なくとも1つのプロセッサは、コンピュータプログラムまたは命令を実行して、第1の態様、第2の態様、または第1の態様または第2の態様の任意の可能な実装による方法を実行するように構成されている。
第7の態様によれば、本願は、コンピュータ可読媒体を提供し、ここで、コンピュータ可読媒体は、デバイスにより実行されるプログラムコードを格納し、プログラムコードは、第1の態様、第2の態様、または第1の態様または第2の態様の任意の可能な実装による方法を含む。
第8の態様によれば、本願は、命令を含むコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で実行された場合、コンピュータは、第1の態様、第2の態様、または第1の態様または第2の態様の任意の可能な実装による方法を実行することが可能になる。
第9の態様によれば、本願は、少なくとも1つのプロセッサおよび通信インタフェースを含むアクセスおよびモビリティ管理機能エンティティを提供し、ここで、通信インタフェースおよび少なくとも1つのプロセッサは、回線を通じて相互接続されており、通信インタフェースは、ターゲットシステムと通信し、少なくとも1つのプロセッサは、コンピュータプログラムまたは命令を実行して、第1の態様または第1の態様の可能な実装のいずれか1つによる方法を実行するように構成されている。
第10の態様によれば、本願は、少なくとも1つのプロセッサおよび通信インタフェースを含む端末デバイスを提供し、ここで、通信インタフェースおよび少なくとも1つのプロセッサは、回線を通じて相互接続されており、通信インタフェースは、ターゲットシステムと通信し、少なくとも1つのプロセッサは、コンピュータプログラムまたは命令を実行して、第2の態様または第2の態様の可能な実装のいずれか1つによる方法を実行するように構成されている。
第11の態様によれば、本願は、少なくとも1つのプロセッサおよび通信インタフェースを含む通信システムを提供し、ここで、通信インタフェースおよび少なくとも1つのプロセッサは、回線を通じて相互接続されており、通信インタフェースは、ターゲットシステムと通信し、少なくとも1つのプロセッサは、コンピュータプログラムまたは命令を実行して、第1の態様、第2の態様、または第1の態様または第2の態様の任意の可能な実装による方法を実行するように構成されている。
本願の一実施形態による5Gネットワークアーキテクチャの概略図である。
本願の一実施形態による別の5Gネットワークアーキテクチャの概略図である。
本願の一実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。
本願の一実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。
本願の別の実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。
本願の一実施形態によるEPS NASセキュリティアルゴリズムを構成する別の方法の概略フローチャートである。
本願のさらに別の実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。
本願のさらに別の実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。
本願の一実施形態によるEPS NASセキュリティアルゴリズムを構成するための装置の概略構造図である。
本願の別の実施形態によるEPS NASセキュリティアルゴリズムを構成するための装置の概略構造図である。
本願のさらに別の実施形態によるEPS NASセキュリティアルゴリズムを構成するための装置の概略構造図である。
図1は、本願の一実施形態による5Gネットワークアーキテクチャの概略図である。5Gシステムは、新無線通信システム、新アクセス技術(new radio、NR)または次世代モバイル通信システムとも称される。
図1に示されるように、ネットワークアーキテクチャは、UE、アクセスネットワーク(access network、AN)、コアネットワークおよびデータネットワーク(data network、DN)を含む。アクセスネットワークは主に、無線物理層機能、リソーススケジューリングおよび無線リソース管理、無線アクセス制御およびモビリティ管理などの機能を実装するように構成されている。コアネットワークは、管理デバイスおよびゲートウェイデバイスを含み得る。管理デバイスは主に、端末デバイスのデバイス登録、セキュリティ認証、モビリティ管理および位置管理等に用いられる。ゲートウェイデバイスは主に、端末デバイスとのチャネルを確立し、チャネルを介して端末デバイスおよび外部データネットワークの間でデータパケットを転送するように構成されている。データネットワークは、ネットワークデバイス(サーバおよびルータなど)を含み得る。データネットワークは主に、複数のデータサービスを端末デバイスに提供するために用いられる。図1は例示的なアーキテクチャ図に過ぎないことに留意されたい。図1に示される機能ユニットに加え、ネットワークアーキテクチャは、別の機能ユニットをさらに含み得る。これは、本願の本実施形態において限定されない。
5Gシステム内のアクセスネットワークは、無線アクセスネットワーク(radio access network、(R)AN)であってよい。5Gシステム内の(R)ANデバイスは、複数の5G(R)ANノードを含んでよく、5G(R)ANノードは、Wi-Fiネットワークのアクセスポイント(access point、AP)、および次世代基地局(新世代無線アクセスネットワークノード(NG-RANノード)と総称されることがあり、ここで、次世代基地局は、新エアインタフェース基地局(NR NodeB、gNB)、新世代進化型基地局(NG-eNB)、中央ユニット(central unit、CU)および分散型ユニット(distributed unit、DU)、別個の形態のgNB等を含む)、伝送受信ポイント(transmission receive point、TRP)、伝送ポイント(transmission point、TP)または別のノードなど、非3GPPアクセスネットワークを含んでよい。
図1に示されるように、コアネットワークは、アクセスおよびモビリティ管理機能(access and mobility management function、AMF)ネットワーク要素、セッション管理機能(session management function、SMF)ネットワーク要素、ユーザプレーン機能(user plane function、UPF)ネットワーク要素、認証サーバ機能(authentication server function、AUSF)ネットワーク要素、ポリシー制御機能(policy control function、PCF)ネットワーク要素、アプリケーション機能(application function、AF)ネットワーク要素、統合データ管理(unified data management、UDM)機能ネットワーク要素およびネットワークスライス選択機能(network slice selection function、NSSF)ネットワーク要素など、複数の機能ユニットを含み得る。
AMFネットワーク要素は主に、モビリティ管理およびアクセス管理など、サービスを担う。SMFネットワーク要素は主に、セッション管理、UEアドレス管理および割り当て、動的ホスト構成プロトコル機能、およびユーザプレーン機能の選択および制御等を担う。UPFは主に、データネットワーク(data network、DN)およびユーザプレーンに外部接続されたデータパケットのルーティングおよび転送、およびパケットフィルタリング、およびサービス品質(quality of service、QoS)制御に関連する機能の実行等を担う。AUSFは主に、端末デバイスの認証等を担う。PCFネットワーク要素は主に、ネットワーク挙動管理の統合ポリシーフレームワークの提供、制御プレーン機能のポリシールールの提供、およびポリシー決定に関連する登録情報の取得等を担う。これらの機能ユニットは、独立して動作してよく、または、いくつかの制御機能、例えば、端末デバイスのアクセス認証、セキュリティ暗号化および位置登録など、アクセス制御およびモビリティ管理機能、および、ユーザプレーン伝送経路の確立、リリースおよび変更など、セッション管理機能を実装するために組み合わされてよいことに留意されたい。
5Gネットワーク内の機能ユニットは、次世代(next generation、NG)ネットワークインタフェースを通じて互いに通信し得る。例えば、UEは、NGインタフェース1(略して、N1)を通じてAMFネットワーク要素との制御プレーンメッセージを伝送してよく、RANデバイスは、NGインタフェース3(略して、N3)を通じてUPFとのユーザプレーンデータ伝送チャネルを確立してよい。AN/RANデバイスは、NGインタフェース2(略して、N2)を通じてAMFネットワーク要素への制御プレーンシグナリング接続を確立してよく、UPFは、NGインタフェース4(略して、N4)を通じてSMFネットワーク要素と情報を交換してよい。UPFは、NGインタフェース6(略して、N6)を通じてデータネットワークDNとユーザプレーンデータを交換してよく、AMFネットワーク要素は、NGインタフェース11(略して、N11)を通じてSMFネットワーク要素と情報を交換してよい。SMFネットワーク要素は、NGインタフェース7(略して、N7)を通じてPCFネットワーク要素と情報を交換してよく、AMFネットワーク要素は、NGインタフェース12(略して、N12)を通じてAUSFと情報を交換してよい。
図1に示されるネットワークアーキテクチャは、基準点ベースのネットワークアーキテクチャであり、このネットワークアーキテクチャは、非ローミングシナリオにおけるネットワークアーキテクチャである。当然ながら、本願にける方法は、ローミングシナリオにも適用されてよく、ネットワークアーキテクチャは、基準点ベースのネットワークアーキテクチャに限定されない。サービスベースのインタフェースに基づくネットワークアーキテクチャも用いられ得る。
図2は、本願の別の実施形態による5Gネットワークアーキテクチャの概略図である。図2に示されるように、ネットワークアーキテクチャは主に、サービスベースのインタフェースに基づくネットワークアーキテクチャである。図1に示されるネットワークアーキテクチャと比較すると、コアネットワークは、NEFネットワーク要素およびNRFネットワーク要素をさらに含む。
サービスベースのインタフェースに基づくシナリオでは、コアネットワーク内のいくつかのネットワーク要素が、バスを通じて接続されている。図2に示されるように、AUSFネットワーク要素、AMFネットワーク要素、SMFネットワーク要素、AFネットワーク要素、UDM、PCFネットワーク要素、ネットワークストレージ機能(network repository function、NRF)ネットワーク要素、ネットワーク公開機能(network exposure function、NEF)ネットワーク要素およびNSSFネットワーク要素が、バスを通じて相互接続されている。ネットワーク要素がバスを通じて相互接続される場合、サービス指向インタフェースが用いられる。例えば、AUSFネットワーク要素は、Nausfインタフェースを通じてバスに接続され、AMFネットワーク要素は、Namfインタフェースを通じてバスに接続され、SMFネットワーク要素は、Nsmfインタフェースを通じてバスに接続され、AFネットワーク要素は、NAFネットワーク要素インタフェースを通じてバスに接続され、UDMは、Nudmインタフェースを通じてバスに接続され、PCFネットワーク要素は、NPCFネットワーク要素インタフェースを通じてバスに接続され、NRFは、Nnrfインタフェースを通じてバスに接続し、NEFは、Nnefインタフェースを通じてバスに接続し、NSSFは、Nnssfインタフェースを通じてバスに接続する。
現在、5GネットワークがN26インタフェースをサポートし、端末デバイスがS1モードをサポートする場合、UEの登録処理は、2つのSMC処理を含み得る。UEの登録処理において、第1のSMC処理は正常だが第2のSMC処理は異常であるという場合が生じ得る。この場合、UEが登録要求を再び開始するときは、第1のSMC処理が正常なので、つまり、UEおよびネットワークの間の5G NASセキュリティコンテキストが正常なので、ネットワークは、第2のSMC処理を再実行しなくてよい。しかしながら、EPS NASセキュリティアルゴリズムの構成情報は、ネットワークにより、第2のSMC処理内のUEへ配信される。結果として、UEは、登録が成功した後、EPS NASセキュリティアルゴリズムを有さず、UEが後にロングタームエボリューション(long term evolution、LTE)へハンドオーバされた場合、ハンドオーバ失敗、サービス中断および/またはサービス機能不連続などの問題が引き起こされる。
前述の問題を考慮して、本願は、新しい技術的解決手段を提供する。本願において提供される技術的解決手段は、アクセスおよびモビリティ管理機能エンティティが端末デバイスのためにEPS NASセキュリティアルゴリズムを成功裏に構成できることを保証し得る。
図3は、本願の一実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。図3に示されるように、方法は、少なくともS301からS302を含む。
S301。選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する。
本実施形態において、アクセスおよびモビリティ管理機能エンティティにより端末デバイスへ提供される選択されたEPS NASセキュリティアルゴリズムは、端末デバイスが有効なEPS NASセキュリティアルゴリズムを有しないシナリオにおいてアクセスおよびモビリティ管理機能エンティティにより端末デバイスのために選択されるEPS NASセキュリティアルゴリズムであってよい。代替的に、アクセスおよびモビリティ管理機能エンティティにより端末デバイスへ提供される選択されたEPS NASセキュリティアルゴリズムは、端末デバイスが有効なEPS NASセキュリティアルゴリズムを既に有しているシナリオにおいてアクセスおよびモビリティ管理機能エンティティにより端末デバイスのために再選択されるEPS NASセキュリティアルゴリズムであってよい。
アクセスおよびモビリティ管理機能エンティティが、選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供する実装は、アクセスおよびモビリティ管理機能エンティティが第1のメッセージを端末デバイスへ送信する、というものであり、ここで、第1のメッセージは、アクセスおよびモビリティ管理機能エンティティにより端末デバイスのために選択されるEPS NASセキュリティアルゴリズムの情報要素(information element、IE)を含む。第1のメッセージの一例は、SMCメッセージである。
本実施形態におけるNASセキュリティアルゴリズムの情報要素は、暗号化および完全性保護に用いられるアルゴリズムを示してよく、EPS NASセキュリティアルゴリズムの情報要素は、EPS内の暗号化および完全性保護に用いられるアルゴリズムを示してよい。また、本実施形態における情報要素は、情報に置き換えられ得る。情報要素は、選択されたEPS NASセキュリティアルゴリズム自体であってよく、または、選択されたEPS NASセキュリティアルゴリズムを示すために用いられる情報であってよく、例えば、選択されたEPS NASセキュリティアルゴリズムを示す有効値であってよい。例えば、本実施形態における特定の形態の情報要素は、ビットであってよい。
実装において、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する一例は、端末デバイスから第1の完了メッセージが受信されていない、とアクセスおよびモビリティ管理機能エンティティが判断することを含み、ここで、第1の完了メッセージは、アクセスおよびモビリティ管理機能エンティティにより端末デバイスのために選択されるEPS NASセキュリティアルゴリズムの情報要素を端末デバイスが受信していることを示す。例えば、アクセスおよびモビリティ管理機能エンティティが端末デバイスから第1の完了メッセージを予め設定された持続時間内に受信していない場合、選択されたEPS NASが端末デバイスへ成功裏に提供されていない、と判断され得る。第1の完了メッセージの一例は、SMC完了メッセージである。
選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する別の例は、端末デバイスがアクセスおよびモビリティ管理機能エンティティから第1のメッセージを予め設定された時間内に受信していない場合、端末デバイスが第1のインジケーションメッセージをアクセスおよびモビリティ管理機能エンティティへ送信すること、ここで、第1のインジケーションメッセージは、端末デバイスがEPS NASセキュリティアルゴリズムの情報要素を成功裏に受信していないことを示す;および、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが、第1のインジケーションメッセージを受信した後に判断することを含む。
本実施形態のいくつかの実装において、アクセスおよびモビリティ管理機能エンティティは、N26インタフェースをサポートし、端末デバイスは、S1モードをサポートする。N26インタフェースは、第4世代(4th generation、4G)コアネットワークおよび5Gコアネットワークの間のインタフェース、すなわち、モビリティ管理エンティティ機能(mobility management entity、MME)ネットワーク要素およびAMFネットワーク要素の間のインタフェースであり、4Gおよび5Gの間の相互運用に用いられる。端末デバイスがS1モードをサポートすることは、端末デバイスがLTEネットワークへの接続をサポートすることを示す。
本実施形態のいくつかの実装において、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されているかどうかをアクセスおよびモビリティ管理機能エンティティが判断する前に、または、アクセスおよびモビリティ管理機能エンティティが選択されたEPS NASセキュリティアルゴリズムを端末に提供する前に、アクセスおよびモビリティ管理機能エンティティは、端末デバイスから登録要求(Registration Request)メッセージを受信し得る。
一例において、アクセスおよびモビリティ管理機能エンティティは、端末デバイスから登録要求メッセージを受信した後、登録要求メッセージに応答して、端末デバイスにより示される有効な5G NASセキュリティコンテキストがアクセスおよびモビリティ管理機能エンティティ上に存在しているかどうかを判断し得る。有効な5G NASセキュリティコンテキストが存在している場合、アクセスおよびモビリティ管理機能エンティティが選択されたEPS NASセキュリティアルゴリズムを端末デバイスへ成功裏に提供しているかどうかが、さらに判断される。有効な5G NASセキュリティコンテキストが存在していない場合、端末デバイスにより示される有効な5G NASセキュリティコンテキストをアクティブ化するために、SMC処理が端末デバイスへ配信される。
端末デバイスにより示される有効な5G NASセキュリティコンテキストがアクセスおよびモビリティ管理機能エンティティ上に存在していない場合において、端末デバイスがS1モードをサポートしており、アクセスおよびモビリティ管理機能エンティティがN26インタフェースをサポートしているときは、アクセスおよびモビリティ管理機能エンティティは、SMC処理を端末デバイスへ初めて配信した後、さらに、SMC処理を端末デバイスへ再び配信し、端末デバイスのために選択されるEPS NASセキュリティアルゴリズムを搬送し得る。端末デバイスにより示される有効な5G NASセキュリティコンテキストがアクセスおよびモビリティ管理機能エンティティ上に存在していない場合において、端末デバイスがS1モードをサポートしておらず、および/または、アクセスおよびモビリティ管理機能エンティティがN26インタフェースをサポートしていないときは、アクセスおよびモビリティ管理機能エンティティは、SMC処理を端末デバイスへ初めて配信した後、SMC処理を端末デバイスへ再び配信し、端末デバイスのために選択されるEPS NASセキュリティアルゴリズムの情報要素を搬送しなくてよい。
本実施形態において、任意選択的に、アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、と判断した後、選択されたEPS NASセキュリティアルゴリズムが端末デバイスのために成功裏に構成されていないことを示すマーカ情報をマーキングし得る。
例えば、アクセスおよびモビリティ管理機能エンティティは、5Gネットワーク内のAMFネットワーク要素であってよく、または、6Gネットワーク内のアクセスおよびモビリティ管理機能を有するネットワーク要素であってよい。
S302。アクセスおよびモビリティ管理機能エンティティが、選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供する。
言い換えると、アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、と判断した後、選択されたEPS NASセキュリティアルゴリズムを端末デバイスに再び提供する。
例えば、アクセスおよびモビリティ管理機能エンティティが第1のメッセージを端末デバイスへ送信した後、(予め設定された時間内に)端末デバイスから第1の完了メッセージを受信していない場合、アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、と判断し得る。したがって、第1のメッセージは、端末デバイスへ再送信される。
別の例では、アクセスおよびモビリティ管理機能エンティティが第1のメッセージを端末デバイスへ送信した後、(予め設定された時間内に)端末デバイスから第1の完了メッセージを受信していない場合、アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、と判断し、選択されたEPS NASセキュリティアルゴリズムを無効値とマーキングし得る。次に、端末デバイスから登録要求メッセージを受信した後、端末デバイスの有効な5Gセキュリティコンテキストがアクセスおよびモビリティ管理機能エンティティ上に存在している場合、選択されたEPS NASセキュリティアルゴリズムが無効値とマーキングされているので、アクセスおよびモビリティ管理機能エンティティは、第1のメッセージを端末デバイスへ再送信する。この例の実装については、図4に示される実施形態が参照され得る。
別の例では、アクセスおよびモビリティ管理機能エンティティが端末デバイスへの選択されたEPS NASセキュリティアルゴリズムを更新し、更新されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、と判断した場合、選択されたEPS NASセキュリティアルゴリズムを更新するためのインジケーション情報が生成され得る。端末デバイスから初期アクセス要求メッセージ(例えば、登録要求メッセージ)が受信された場合、更新されたEPS NASセキュリティアルゴリズムは、インジケーション情報に基づき、端末デバイスへ再び提供される。この例の実装については、図5に示される実施形態が参照され得る。
一例において、アクセスおよびモビリティ管理機能エンティティは、EPSにおいて用いられる暗号化アルゴリズムおよび完全性アルゴリズムを選択し、例えば、SMCメッセージを端末デバイスへ送信することにより、選択されたEPS NASセキュリティアルゴリズムの情報要素を通じて、選択されたアルゴリズムを端末デバイスに示す。SMCメッセージは、選択されたアルゴリズムを端末デバイスに示すための選択されたEPS NASセキュリティアルゴリズムの情報要素を含む。
本願において提供される技術的解決手段において、アクセスおよびモビリティ管理機能エンティティが選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供することに失敗した場合、アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムを端末デバイスに再び提供する。アクセスおよびモビリティ管理機能エンティティは、選択されたEPS NASセキュリティアルゴリズムを端末デバイスのために成功裏に構成できることが保証され得る。
本願の本実施形態において提供される方法において、アクセスおよびモビリティ管理機能エンティティは、アクセスおよびモビリティ管理機能エンティティにより選択されるEPS NASセキュリティアルゴリズム、または、5Gおよび/または6Gネットワークをサポートしている端末デバイスが6Gネットワークに将来登録する場合に取得される5Gセキュリティアルゴリズムを再送信することに留意されたい。5Gセキュリティアルゴリズムは、端末デバイスにより、5G NASセキュリティコンテキストを後に生成するために用いられ得る。
言い換えると、端末デバイスによりNASセキュリティコンテキストを後に生成するために用いられるNASセキュリティコンテキストが端末デバイスへ成功裏に提供されていない、と判断した場合にアクセスおよびモビリティ管理機能エンティティがNASセキュリティコンテキストを端末デバイスへ送信するあらゆる方法が、本願の技術的解決手段の保護範囲に含まれ得る。
図4は、本願の一実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。図4に示されるように、方法は、少なくともS401からS414を含む。本実施形態において、アクセスおよびモビリティ管理機能エンティティは、AMFネットワーク要素である。
S401。UEが登録要求メッセージをAMFネットワーク要素へ送信し、ここで、登録要求メッセージにおいて搬送されるngKSIの値は7である。説明を簡単にするために、登録要求メッセージは、第1の登録要求メッセージと称され得る。
この場合、5G NASセキュリティコンテキストは、UE側に存在していない。したがって、UEにより開始される第1の登録要求情報においてAMFネットワーク要素へ搬送される次世代無線アクセスネットワークの鍵セット識別子(key set identifier for next generation radio access network、ngKSI)の値は7であり、ここで、7は、5G NASセキュリティコンテキストがUE側に存在していないことを示す。
S402。AMFネットワーク要素がアイデンティティ要求(identity request)メッセージをUEへ送信する。
S403。UEがアイデンティティ応答(identity response)メッセージをAMFネットワーク要素へ送信する。
S404。AMFネットワーク要素が認証要求(authentication request)メッセージをUEへ送信する。
任意選択的に、UEは、AMFネットワーク要素により送信される認証要求(authentication request)メッセージを受信した後、認証要求(authentication request)メッセージに基づいて、非アクティブな5G NASセキュリティコンテキストを生成し得る。
S405。UEが認証応答(authentication response)メッセージをAMFネットワーク要素へ送信する。
S402からS405は、UEおよびAMFネットワーク要素の間のアイデンティティ認証および認証を実行する処理である。UEがAMFネットワーク要素のアイデンティティ認証および認証に成功した後、AMFネットワーク要素は、以下の登録処理をUEと実行する。
S406。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、ngKSIの有効値を搬送する。SMCメッセージは、第1のSMCメッセージと称され得る。
UEがAMFネットワーク要素のアイデンティティ認証および認証に成功した後、AMFネットワーク要素は、第1のSMCメッセージをUEへ送信し、ここで、第1のSMCメッセージは、ngKSIの有効値を搬送すると共に、UEにおける5G NASセキュリティコンテキストをアクティブ化するために用いられる。この場合、第1のSMCメッセージにおいて搬送されるngKSIの有効値に対応する現在のセキュリティコンテキスト(current security context)は、UE内に存在する。ngKSIの有効値は、0から6までの任意の整数値であってよく、各整数値は、5G NASセキュリティコンテキストのセットに対応する。
S407。UEがSMC完了メッセージをAMFネットワーク要素へ送信する。SMC完了メッセージは、第1のSMC完了メッセージと称され得る。
UEは、AMFネットワーク要素により送信される第1のSMCメッセージを成功裏に受信し、第1のSMCメッセージにおいて搬送されるngKSIの有効値に基づいて5G NASセキュリティコンテキストを成功裏にアクティブ化した後、第1のSMC完了メッセージをAMFネットワーク要素へ送信する。これは、ngKSIの有効値に対応する5G NASセキュリティコンテキストがUEのために構成されていることを示す。
S408。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送する。SMCメッセージは、第2のSMCメッセージと称される。
AMFネットワーク要素は、UEにより送信される第1のSMC完了メッセージを受信した後、第2のSMCメッセージをUEへ送信し、ここで、第2のSMCメッセージは、選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送し、選択されたEPS NASセキュリティアルゴリズムの情報要素に対応するEPS NASセキュリティアルゴリズムをUEのために構成するように構成されている。EPS NASセキュリティアルゴリズムの情報要素は、0から7までの任意の整数値であってよく、各整数値は、1つのEPS NASセキュリティアルゴリズムに対応する。
本実施形態におけるUEはS1モードをサポートし、AMFネットワーク要素はN26インタフェースをサポートすることが理解され得る。
S409。第2のSMCメッセージに応答してUEにより送信されるSMC完了メッセージをAMFネットワーク要素が受信していない場合、AMFネットワーク要素は、選択されたEPS NASセキュリティアルゴリズムを無効とマーキングする。SMC完了メッセージは、第2のSMC完了メッセージと称される。
AMFネットワーク要素が第2のSMCメッセージをUEへ送信した後、AMFネットワーク要素は、UEにより送信される第2のSMC完了メッセージを受信していない。第2のSMCメッセージにおいてAMFにより搬送される選択されたEPS NASセキュリティアルゴリズムの情報要素に対応する選択されたEPS NASセキュリティアルゴリズムを構成することにUEが失敗していることが示されている。
可能な実装において、異常なネットワーク信号などの要因に起因して、UEは、選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送し、かつ、AMFネットワーク要素により送信される第2のSMCメッセージを受信していない。
別の可能な実装において、UEは、選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送し、かつ、AMFネットワーク要素により送信される第2のSMCメッセージを受信しているが、対応する選択されたEPS NASセキュリティアルゴリズムを選択されたEPS NASセキュリティアルゴリズムの情報要素に基づいて成功裏に構成することに失敗している。
S401からS409は、第1の登録処理と称され得る。以下で説明される登録処理は、第2の登録処理と称され得る。
S410。UEが登録要求メッセージをAMFネットワーク要素へ送信し、ここで、登録要求情報は、ngKSIの有効値を搬送する。登録要求メッセージは、第2の登録要求メッセージと称され得る。
UEは、第1の登録処理を実行した後、対応する5G NASセキュリティコンテキストを、第1のSMCメッセージにおいてAMFネットワーク要素により搬送されるngKSIの有効値に基づいて成功裏にアクティブ化している。UEがAMFネットワーク要素への第2の登録要求メッセージを開始する場合、第2の登録要求メッセージにおいて搬送されるngKSIの値は、UE内の5G NASセキュリティコンテキストに対応するngKSIの有効値である。言い換えると、UEにより第2の登録要求メッセージにおいて搬送されるngKSIの有効値は、第1の登録処理においてAMFネットワーク要素の第1のSMCメッセージにおいて搬送されるngKSIの有効値と同じである。
S411。AMFネットワーク要素が第2の登録要求メッセージをチェックする。
AMFネットワーク要素により第2の登録要求メッセージに対して実行されるチェックは、第2の登録要求メッセージに対して完全性チェックを実行すること、および、AMFネットワーク要素が第2の登録要求メッセージにおけるNASメッセージコンテナ(NAS message container)を成功裏に復号化できるかどうかを判断することを含む。
S412。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、ngKSIの有効値および選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送する。SMCメッセージは、第3のSMCメッセージと称され得る。
詳細は、以下のとおりである。AMFネットワーク要素は、端末デバイスのngKSIに対応するセキュリティコンテキストに有効なEPS NASセキュリティアルゴリズムが存在しているかどうかをチェックし、有効なEPS NASセキュリティアルゴリズムが存在していない場合、SMC処理を通じて、選択されたEPS NASセキュリティアルゴリズムを提供する。
本実施形態では、S409において、AMFネットワーク要素が、現在のセキュリティコンテキストにおけるngKSIに対応する選択されたEPS NASセキュリティアルゴリズムを無効とマーキングするので、AMFネットワーク要素は、第3のSMCメッセージをUEへ送信する。
例えば、第3のSMCメッセージにおいて搬送されるngKSIの有効値は、UEの第2の登録要求情報において搬送されるngKSIの有効値、および第1の登録要求処理におけるAMFネットワーク要素の第1のSMCメッセージにおいて搬送されるngKSIの有効値と同じである。選択されたEPS NASセキュリティアルゴリズムのものであり、かつ、第3のSMCメッセージにおいて搬送される情報要素は、EPS NASセキュリティアルゴリズムのものであり、かつ、AMFネットワーク要素により第2のSMCメッセージにおいて搬送される情報要素と同じである。端末デバイスは、選択されたEPS NASセキュリティアルゴリズムのものであり、かつ、第3のSMCメッセージにおいて搬送される情報要素に基づいて、選択されたEPS NASセキュリティアルゴリズムを構成する。
S413。UEがSMC完了メッセージをAMFネットワーク要素へ送信する。SMC完了メッセージは、第3のSMC完了メッセージと称され得る。
UEは、選択されたEPS NASセキュリティアルゴリズムのものであり、かつ、AMFネットワーク要素により第3のSMCメッセージにおいて搬送される情報要素に対応する選択されたEPS NASセキュリティアルゴリズムを成功裏に構成した後、第3のSMC完了メッセージをAMFネットワーク要素へ送信する。
S414。AMFネットワーク要素が登録成功メッセージをUEへ送信する。
UEが第2の登録要求メッセージに基づいて成功裏に登録した後、AMFネットワーク要素は、登録成功メッセージをUEへ送信する。
本願において提供される技術的解決手段において、UEがAMFネットワーク要素への登録要求メッセージを開始する場合、5G NASセキュリティコンテキストが存在しない場合、および、UEがS1モードをサポートし、ネットワークがN26インタフェースをサポートする場合、UEは、成功裏に、第1の登録処理において第1のSMCメッセージのみを受信し、5G NASセキュリティコンテキストをアクティブ化している。AMFネットワーク要素がUEから第2のSMC完了メッセージを受信していない場合、AMFネットワーク要素は、選択されたEPS NASセキュリティアルゴリズムが成功裏に構成されていないことをマーキングし、UEが第2の登録要求メッセージを開始する場合、AMFネットワーク要素は、選択されたEPS NASセキュリティアルゴリズムが成功裏に構成されていないことを示すマーキングされた情報に基づいて、選択されたEPS NASセキュリティアルゴリズムをUEに再び提供して、AMFネットワーク要素が選択されたEPS NASセキュリティアルゴリズムをUEのために成功裏に構成できることを保証する。
図5は、本願の別の実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。図5に示されるように、方法は、少なくともS501からS507を含む。本実施形態において、アクセスおよびモビリティ管理機能エンティティは、AMFネットワーク要素である。
S501。UEがサービス要求メッセージまたは登録要求メッセージをAMFネットワーク要素へ送信する。サービス要求メッセージは、第1のサービス要求メッセージと称されることがあり、登録要求メッセージは、第1の登録要求メッセージと称されることがある。
UEは、第1のサービス要求メッセージまたは第1の登録要求メッセージなど、初期アクセス処理メッセージをAMFへ送信して、リンク確立をトリガし、接続状態に入る。
本実施形態において、UEは、有効なEPS NASセキュリティアルゴリズムを有する。
S502。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、更新済みの選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送する。SMCメッセージは、第1のSMCメッセージと称され得る。
AMFネットワーク要素は、UE内の既存のEPS NASセキュリティアルゴリズムを修正することになる。したがって、AMFネットワーク要素によりUEへ送信される第1のSMCメッセージは、UEのために構成されることになる更新済みの選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送する。
S503。UEにより送信されるSMC完了メッセージをAMFネットワーク要素が受信していない場合、AMFネットワーク要素は、更新済みの選択されたEPS NASセキュリティアルゴリズムの構成の失敗をマーキングし、リンクをリリースする。SMC完了メッセージは、第1のSMC完了メッセージと称され得る。
AMFネットワーク要素が第1のSMC完了メッセージを受信していない場合、サービス要求または登録要求など、初期アクセス処理が終了される。この場合、AMFネットワーク要素は、更新済みの選択されたEPS NASセキュリティアルゴリズムの構成が失敗していることを示すために用いられるマーカ情報をマーキングし、リンクリソースをリリースする必要がある。
S504。UEがサービス要求メッセージまたは登録要求メッセージをAMFネットワーク要素へ再び送信する。サービス要求メッセージは、第2のサービス要求メッセージと称されることがあり、登録要求メッセージは、第2の登録要求メッセージと称されることがある。
UEは、第2のサービス要求メッセージまたは第2の登録要求メッセージなど、初期アクセス処理メッセージをAMFネットワーク要素へ送信し、リンク確立を再びトリガし、次に、接続状態に入る。
S505。更新済みの選択されたEPS NASセキュリティアルゴリズムの構成が失敗していることを示す識別情報が存在している、とAMFネットワーク要素が判断する。
AMFネットワーク要素は、UEにより送信される第2のサービス要求メッセージまたは第2の登録要求メッセージなど、初期アクセス処理メッセージを受信した後、更新済みの選択されたEPS NASセキュリティアルゴリズムの構成が失敗していることを示すために用いられる識別情報が存在しているかどうかを判断する必要がある。更新済みの選択されたEPS NASセキュリティアルゴリズムの構成が失敗していることを示す識別情報がAMFネットワーク要素内に存在している場合、AMFネットワーク要素は、更新済みの選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送するSMCメッセージをUEへ再送信する必要がある。
S506。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、更新済みの選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送する。SMCメッセージは、第2のSMCメッセージと称され得る。
AMFネットワーク要素は、第2のSMCメッセージをUEへ送信し、ここで、第2のSMCメッセージは、UEのために構成されることになる更新済みの選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送する。
任意選択的に、更新済みの選択されたEPS NASセキュリティアルゴリズムのものであり、かつ、第2のSMCメッセージにおいて搬送される情報要素は、更新済みの選択されたEPS NASセキュリティアルゴリズムのものであり、かつ、第1のSMCメッセージにおいて搬送される情報要素と同じであってよく、または、第1のSMCメッセージにおいて搬送される更新済みの選択されたEPS NASセキュリティアルゴリズムの情報要素とは異なっていてよい。
S507。UEがSMC完了メッセージをAMFネットワーク要素へ送信する。SMC完了メッセージは、第2のSMC完了メッセージと称され得る。
UEは、更新済みの選択されたEPS NASセキュリティアルゴリズムのものであり、かつ、AMFネットワーク要素により第2のSMCメッセージにおいて搬送される情報要素に対応する更新済みの選択されたEPS NASセキュリティアルゴリズムを成功裏に構成した後、第2のSMC完了メッセージをAMFネットワーク要素へ送信する。この場合、UE内のEPS NASセキュリティアルゴリズムは、AMFネットワーク要素内の更新済みの選択されたEPS NASセキュリティアルゴリズムと一致している。
本願において提供される技術的解決手段において、EPS NASセキュリティアルゴリズムは、UE内に存在し、AMFネットワーク要素は、UE内のEPS NASセキュリティアルゴリズムの変更を予想する。UEが接続状態にある場合、AMFネットワーク要素は、更新済みの選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送するSMCメッセージをUEへ送信するが、AMFネットワーク要素は、UEにより送信されるSMC完了メッセージに対する応答を受信しておらず、AMFネットワーク要素は、更新済みの選択されたEPS NASセキュリティアルゴリズムが成功裏に修正されていないことを示す情報をマーキングする。UEが再び接続状態にある場合、AMFネットワーク要素は、更新済みの選択されたEPS NASセキュリティアルゴリズムが成功裏に修正されていないことを示すマーキングされた情報に基づいて、更新済みの選択されたEPS NASセキュリティアルゴリズムの情報要素のSMCメッセージをUEへ再配信する。これにより、AMFネットワーク要素が更新済みの選択されたEPS NASセキュリティアルゴリズムをUEのために成功裏に構成できることが保証され、その結果、UE内のEPS NASセキュリティアルゴリズムは、AMFネットワーク要素と一致する。
図6は、本願の一実施形態によるEPS NASセキュリティアルゴリズムを構成する別の方法の概略フローチャートである。図6に示されるように、方法は、少なくともS601からS604を含む。
S601。5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する。
本実施形態において、5G NASセキュリティコンテキストは、端末デバイス内に既に存在しているが、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムは、存在していない。
端末デバイスが5G NASセキュリティコンテキストをアクティブ化する実装は、端末デバイスが登録要求メッセージをアクセスおよびモビリティ管理機能エンティティへ送信した後、アクセスおよびモビリティ管理機能エンティティが第3のメッセージを端末デバイスへ送信し、ここで、第3のメッセージは、5G NASセキュリティコンテキストを含む;端末デバイスが、第3のメッセージを受信し、第3のメッセージに基づいて5G NASセキュリティコンテキストを成功裏にアクティブ化した後、第3の完了メッセージをアクセスおよびモビリティ管理機能エンティティへ送信し、ここで、第3の完了メッセージは、端末デバイスが第3のメッセージを受信していることを示す;および、アクセスおよびモビリティ管理機能エンティティが、端末デバイスから第3の完了メッセージを受信した後、選択されたEPS NASセキュリティアルゴリズムを端末デバイスに提供する、というものである。第3のメッセージの一例は、SMCメッセージであり、第3の完了メッセージの一例は、SMC完了メッセージである。
この実装において、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する一例は、以下のこと、つまり、選択されたEPS NASセキュリティアルゴリズムの情報要素がアクセスおよびモビリティ管理機能エンティティから受信されていない、と端末デバイスが判断することを含む。例えば、端末デバイスが、選択されたEPS NASセキュリティアルゴリズムの情報要素を予め設定された時間内にアクセスおよびモビリティ管理機能エンティティから受信していない場合、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と判断され得る。
可能な実装において、アクセスおよびモビリティ管理機能エンティティは、N26インタフェースをサポートし、端末デバイスは、S1モードをサポートする。
端末デバイスが5G NASセキュリティコンテキストをアクティブ化する別の実装は、以下のとおりである、つまり、端末デバイスがLTEネットワークに接続される場合、端末デバイスは、NRシステム内のAMFネットワーク要素からの登録を要求し、登録処理を完了する。端末デバイスは、登録処理において5G NASセキュリティコンテキストをアクティブ化する。端末デバイスは、登録処理を完了した後、LTEネットワークから切断し、NRシステム内のAMFネットワーク要素からの登録を再び要求する。
この実装において、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する一例は、以下のこと、つまり、対応する選択されたEPS NASセキュリティアルゴリズムが端末デバイスのngKSIに存在していない場合、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と判断され得ることを含む。
可能な実装において、端末デバイスは、S1モードをサポートし、端末デバイスは、AMFネットワーク要素がN26インタフェースをサポートしている、と判断し得る。
S602。端末デバイスが5G NASセキュリティコンテキストを削除する。
5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断した場合、アクティブ化された5G NASセキュリティコンテキストは、削除される。
任意選択的に、5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断した場合、端末デバイスは、ngKSIを無効値に設定する、つまり、ngKSIの値を7に設定する。
S603。端末デバイスが第2のメッセージをアクセスおよびモビリティ管理機能エンティティへ送信し、ここで、第2のメッセージは、5G NASセキュリティコンテキストを要求するために用いられる。
一例において、端末デバイスが第2のメッセージをアクセスおよびモビリティ管理機能エンティティへ送信する場合、第2のメッセージにおいて搬送されるngKSIの値は7であり、7は、5G NASセキュリティコンテキストが端末デバイス内に存在していないことを示す。
任意選択的に、アクセスおよびモビリティ管理機能エンティティが、7であるngKSIの値を搬送する第2のメッセージを端末デバイスから受信した後、アクセスおよびモビリティ管理機能エンティティは、第4のメッセージを端末デバイスへ送信し、ここで、第4のメッセージは、ngKSIの有効値を含む。ngKSIの有効値は、0から6までの任意の整数値であってよく、各整数値は、5G NASセキュリティコンテキストのセットに対応する。第4のメッセージの一例は、SMCメッセージである。
端末デバイスが、アクセスおよびモビリティ管理機能エンティティにより送信され、かつ、ngKSIの有効値を搬送する第4のメッセージに基づいて、5G NASセキュリティコンテキストを成功裏にアクティブ化した場合、端末デバイスは、第4の完了メッセージをアクセスおよびモビリティ管理機能エンティティへ送信し、ここで、第4の完了メッセージは、端末デバイスが、アクセスおよびモビリティ管理機能エンティティにより送信されるngKSIの有効値を受信しており、ngKSIの有効値に対応する5G NASセキュリティコンテキストをngKSIの有効値に基づいて成功裏にアクティブ化していることを示す。第4の完了メッセージの一例は、SMC完了メッセージである。
任意選択的に、5G NASセキュリティコンテキストが端末デバイスへ提供されていることをアクセスおよびモビリティ管理機能エンティティが通知されるのを可能にするメッセージは、本願の本実施形態において、第2のメッセージと称され得る。
例えば、第2のメッセージは、登録要求メッセージであってよい。アクセスおよびモビリティ管理機能エンティティは、5G NASセキュリティコンテキストが端末デバイス内に存在しているかどうかを、登録要求メッセージにおいて搬送されるngKSIの値に基づいて判断し得る。登録要求メッセージにおいて搬送されるngKSIの値が7である場合、これは、5G NASセキュリティコンテキストが端末デバイス内に存在しておらず、アクセスおよびモビリティ管理機能エンティティが5G NASセキュリティコンテキストを端末デバイスに提供する必要があることを示す。
S604。端末デバイスが、選択されたEPS NASセキュリティアルゴリズムの情報要素をアクセスおよびモビリティ管理機能エンティティから受信する。
一例において、端末デバイスは、5G NASセキュリティコンテキストを再アクティブ化した後、5G NASセキュリティコンテキストにより送信される第5のメッセージを受信でき、ここで、第5のメッセージは、5G NASセキュリティコンテキストにより判断される選択されたEPS NASセキュリティアルゴリズムの情報要素を含む。選択されたEPS NASセキュリティアルゴリズムの情報要素は、0から7までの任意の整数値であってよく、各整数値は、1つの選択されたEPS NASセキュリティアルゴリズムに対応する。第5のメッセージの一例は、SMCメッセージである。
本願において提供される技術的解決手段において、5G NASセキュリティコンテキストが端末デバイス内に既に存在している場合、対応する選択されたEPS NASセキュリティアルゴリズムが端末デバイスの5G NASセキュリティコンテキストに存在しているかどうかが、まず判断される。対応する選択されたEPS NASセキュリティアルゴリズムが5G NASセキュリティコンテキストに存在していない、と端末デバイスが判断した場合、端末デバイスは、5G NASセキュリティコンテキストを削除し、アクセスおよびモビリティ管理機能エンティティからの5G NASセキュリティコンテキストを再び要求する。アクセスおよびモビリティ管理機能エンティティは、5G NASセキュリティコンテキスト、および対応する選択されたEPS NASセキュリティアルゴリズムの情報要素を端末デバイスへ再び送信して、端末デバイスがEPS NASセキュリティアルゴリズムを成功裏に構成できることを保証する。
図7は、本願のさらに別の実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。図7に示されるように、方法は、少なくともS701からS719を含む。本実施形態において、アクセスおよびモビリティ管理機能エンティティは、AMFネットワーク要素である。
S701。UEが登録要求メッセージをAMFネットワーク要素へ送信し、ここで、登録要求メッセージにおいて搬送されるngKSIの値は7である。説明を簡単にするために、登録要求メッセージは、第1の登録要求メッセージと称され得る。
S702。AMFネットワーク要素がアイデンティティ要求(identity request)メッセージをUEへ送信する。
S703。UEがアイデンティティ応答(identity response)メッセージをAMFネットワーク要素へ送信する。
S704。AMFネットワーク要素が認証要求(authentication request)メッセージをUEへ送信する。
S705。UEが認証応答(authentication response)メッセージをAMFネットワーク要素へ送信する。
S706。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、ngKSIの有効値を搬送する。SMCメッセージは、第1のSMCメッセージと称され得る。
S707。UEがSMC完了情報をAMFネットワーク要素へ送信する。SMC完了メッセージは、第1のSMC完了メッセージと称され得る。
本実施形態におけるS701からS707については、S401からS407が参照され得る。ここでは、詳細について再び説明しない。
S708。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送する。SMCメッセージは、第2のSMCメッセージと称される。
S709。AMFネットワーク要素により送信される第2のSMCメッセージをUEが受信していない場合、5G NASセキュリティコンテキストが削除される。
本実施形態において、AMFネットワーク要素により送信される第2のSMCメッセージをUEが受信していない考えられる理由は、第1の登録処理の中断に起因して第2のSMCメッセージがUEへの到達に失敗していることである。別の考えられる理由は、AMFネットワーク要素がS708を実行していない、つまり、AMFネットワーク要素が選択されたEPS NASセキュリティアルゴリズムの情報要素をUEへ送信していないことである。本実施形態におけるS708は、任意選択的である、つまり、必須の段階ではないことが分かり得る。
S707において、UEは、第1のSMCメッセージにおいて搬送されるngKSIの有効値に対応する5G NASセキュリティコンテキストをUEが成功裏にアクティブ化していることを示す第1のSMC完了メッセージをAMFネットワーク要素へ送信する。しかしながら、AMFネットワーク要素により送信される第2のSMCメッセージをUEが受信していない場合、これは、選択されたEPS NASセキュリティアルゴリズムのものであり、かつ、第2のSMCメッセージにおいて搬送される情報要素に対応する選択されたEPS NASセキュリティアルゴリズムがUE内に存在していないことを示す。この場合、UEは、アクティブ化された5G NASセキュリティコンテキストを削除する必要があり、AMFへの登録要求を再び開始して、5G NASセキュリティコンテキストを要求する。
S701からS709は、第1の登録処理と称され得る。以下で説明される登録処理は、第2の登録処理と称され得る。
S710。UEが登録要求メッセージをAMFネットワーク要素へ送信し、ここで、登録要求メッセージにおいて搬送されるngKSIの値は7である。登録要求メッセージは、第2の登録要求メッセージと称され得る。
S709においてUEが5G NASセキュリティコンテキストを削除するので、UEによりAMFネットワーク要素へ送信される第2の登録要求メッセージにおいて搬送されるngKSIの値は7であり、ここで、7は、5G NASセキュリティコンテキストがUE内に存在していないことを示す。
S711。AMFネットワーク要素がアイデンティティ要求(identity request)メッセージをUEへ送信する。
S712。UEがアイデンティティ応答(identity response)メッセージをAMFネットワーク要素へ送信する。
S713。AMFネットワーク要素が認証要求(authentication request)メッセージをUEへ送信する。
S714。UEが認証応答(authentication response)メッセージをAMFネットワーク要素へ送信する。
S711からS714については、S402からS405が参照されてよく、ここでは詳細について再び説明しないことに留意されたい。
S715。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、ngKSIの有効値を搬送する。SMCメッセージは、第3のSMCメッセージと称され得る。
UEがAMFネットワーク要素のアイデンティティ認証および認証に成功した後、AMFネットワーク要素は、第3のSMCメッセージをUEへ送信し、ここで、第3のSMCメッセージは、ngKSIの有効値を搬送すると共に、UEにおける5G NASセキュリティコンテキストをアクティブ化するために用いられる。
任意選択的に、第3のSMCメッセージにおいて搬送されるngKSIの有効値は、第1のSMC情報において搬送されるngKSIの有効値と同じである。
S716。UEがSMC完了メッセージをAMFネットワーク要素へ送信する。SMC完了メッセージは、第3のSMCメッセージと称され得る。
UEが、AMFにより送信される第3のSMCメッセージを成功裏に受信し、第3のSMCメッセージにおいて搬送されるngKSIの有効値に基づいて5G NASセキュリティコンテキストを成功裏にアクティブ化した後、UEは、第3のSMC完了メッセージをAMFネットワーク要素へ送信する。これは、ngKSIの有効値に対応する5G NASセキュリティコンテキストがUEのために成功裏に構成されていることを示す。ngKSIの有効値は、0から6までの任意の整数値であってよく、各整数値は、1つの5G NASセキュリティコンテキストに対応する。
S717。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送する。SMCメッセージは、第4のSMCメッセージと称され得る。
AMFネットワーク要素は、UEにより送信される第3のSMC完了メッセージを受信した後、第4のSMCメッセージをUEへ送信し、ここで、第4のSMCメッセージは、選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送し、これは、選択されたEPS NASセキュリティアルゴリズムの情報要素に対応する選択されたEPS NASセキュリティアルゴリズムをUEのために構成するために用いられる。
任意選択的に、第4のSMCメッセージにおいて搬送される選択されたEPS NASセキュリティアルゴリズムの情報要素は、第2のSMCメッセージにおいて搬送される選択されたEPS NASセキュリティアルゴリズムの情報要素と同じである。
S718。UEがSMC完了メッセージをAMFネットワーク要素へ送信する。SMC完了メッセージは、第4のSMCメッセージと称され得る。
UEは、選択されたEPS NASセキュリティアルゴリズムのものであり、かつ、AMFネットワーク要素により第4のSMCメッセージにおいて搬送される情報要素に対応する選択されたEPS NASセキュリティアルゴリズムを成功裏に構成した後、第4のSMC完了メッセージをAMFネットワーク要素へ送信する。
S719。AMFネットワーク要素が登録成功メッセージをUEへ送信する。
UEが第2の登録要求メッセージに基づいて成功裏に登録した後、AMFネットワーク要素は、登録成功メッセージをUEへ送信する。この場合、UEは、第2の登録要求メッセージを通じて5G NASセキュリティコンテキストを成功裏にアクティブ化し、選択されたEPS NASセキュリティアルゴリズムを成功裏に構成する。
本願において提供される技術的解決手段において、5G NASセキュリティコンテキストが存在していない場合、UEは、AMFへの登録要求メッセージを開始する。UEが第1のSMCメッセージのみを受信しているが、EPS NASセキュリティアルゴリズムが構成される第2のSMCメッセージを受信していない場合、UEは、アクティブ化された5G NASセキュリティコンテキストを事前に削除し、AMFネットワーク要素へ開始される登録要求メッセージにおいてAMFネットワーク要素からの5G NASセキュリティコンテキストを再び要求する。AMFネットワーク要素は、5G NASセキュリティコンテキスト、および選択されたEPS NASセキュリティアルゴリズムの情報要素を端末デバイスへ再び送信して、端末デバイスがEPS NASセキュリティアルゴリズムを成功裏に構成できることを保証する。
図8は、本願のさらに別の実施形態によるEPS NASセキュリティアルゴリズムを構成する方法の概略フローチャートである。本実施形態は、端末デバイスがLTEシステム内のNRシステムへの登録処理を完了しており、5G NASセキュリティコンテキストを成功裏にアクティブ化している場合、端末デバイスがLTEシステムから切断され、NRシステムへの登録を再び要求するシナリオに適用可能される。図8に示されるように、方法は、少なくともS801からS811を含む。本実施形態において、アクセスおよびモビリティ管理機能エンティティは、AMFネットワーク要素である。
S801。UEが、EPS NASセキュリティアルゴリズムが現在のセキュリティコンテキストに存在していない、と判断し、現在のセキュリティコンテキストを削除する。
NRシステムへの登録要求を開始する前に、UEは、ngKSIに対応する有効なEPS NASセキュリティアルゴリズムがUEの現在のセキュリティコンテキストに存在しているかどうかを判断する必要がある。ngKSIに対応する有効なEPS NASセキュリティアルゴリズムがUEの現在のセキュリティコンテキストに存在していない場合、UEの現在のセキュリティコンテキストは削除され、つまり、ngKSIにおけるNAS鍵セット識別子の値は、7へ変更され、ここで、7は、5G NASセキュリティコンテキストがUE内に存在していなことを示す。
S802。UEが登録要求メッセージをAMFネットワーク要素へ送信し、ここで、登録要求メッセージにおいて搬送されるngKSIの値は7である。
S803。AMFネットワーク要素がアイデンティティ要求(identity request)メッセージをUEへ送信する。
S804。UEがアイデンティティ応答(identity response)メッセージをAMFネットワーク要素へ送信する。
S805。AMFネットワーク要素が認証要求(authentication request)メッセージをUEへ送信する。
S806。UEが認証応答(authentication response)メッセージをAMFネットワーク要素へ送信する。
S807。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、ngKSIの有効値を搬送する。SMCメッセージは、第1のSMCメッセージと称され得る。
S808。UEがSMC完了メッセージをAMFネットワーク要素へ送信する。SMC完了メッセージは、第1のSMC完了メッセージと称され得る。
S809。AMFネットワーク要素がSMCメッセージをUEへ送信し、ここで、SMCメッセージは、選択されたEPS NASセキュリティアルゴリズムの情報要素を搬送する。SMCメッセージは、第2のSMCメッセージと称される。
S810。UEがSMC完了メッセージをAMFネットワーク要素へ送信する。
S811。AMFネットワーク要素が登録完了情報をUEへ送信する。SMC完了メッセージは、第2のSMC完了メッセージと称される。
本実施形態におけるS802からS811については、S710からS719が参照され得る。ここでは、詳細について再び説明しない。
本願において提供される技術的解決手段において、UEがLTEシステムに接続される場合、NRシステムへの登録処理が完了し、5G NASセキュリティコンテキストは、成功裏にアクティブ化されている。LTEネットワークから切断された後、UEがNRシステムへの登録要求を再び開始した場合、まず、EPS NASセキュリティアルゴリズムがUEの5G NASセキュリティコンテキストに存在しているかどうかが判断される。EPS NASセキュリティアルゴリズムがUEの5G NASセキュリティコンテキストに存在していない場合、UEの5G NASセキュリティコンテキストは、削除される。加えて、5G NASセキュリティコンテキストは、登録要求においてAMFネットワーク要素から再び要求され、AMFネットワーク要素は、5G NASセキュリティコンテキスト、および選択されたEPS NASセキュリティアルゴリズムの情報要素をUEへ送信する。これにより、UEがEPS NASセキュリティアルゴリズムを成功裏に構成できることが保証される。
図9は、本願の一実施形態によるEPS NASセキュリティアルゴリズムを構成するための装置の概略構造図である。図9に示されるように、装置900は、処理モジュール901および送信モジュール902を含み得る。装置900は、図3から図5のいずれか1つに示される実施形態におけるアクセスおよびモビリティ管理機能エンティティまたはAMFネットワーク要素により実装される動作を実装するように構成され得る。
可能な実装において、装置900は、図3に示される方法を実装するように構成され得る。例えば、処理モジュール901は、S301を実装するように構成されており、送信モジュール902は、S302を実装するように構成されている。
別の可能な実装において、装置900は、受信モジュールをさらに含み得る。この実装における装置900は、図4に示される方法を実装するように構成され得る。例えば、処理モジュール901は、S409およびS411を実装するように構成されており、送信モジュール902は、S402、S404、S406、S408、S412およびS414を実装するように構成されており、受信モジュールは、S401、S403、S405、S407、S410およびS413を実装するように構成されている。
さらに別の可能な実装において、装置900は、受信モジュールをさらに含み得る。この実装における装置900は、図5に示される方法を実装するように構成され得る。例えば、処理モジュール901は、S503およびS505を実装するように構成されており、送信モジュール902は、S502およびS506を実装するように構成されており、受信モジュールは、S501、S504およびS507を実装するように構成されている。
図10は、本願の別の実施形態によるEPS NASセキュリティアルゴリズムを構成するための装置の概略構造図である。図10に示されるように、装置1000は、処理モジュール1001、送信モジュール1002および受信モジュール1003を含み得る。装置1000は、図6から図8のいずれか1つに示される実施形態における端末デバイスにより実装される動作を実装するように構成され得る。
可能な実装において、装置1000は、図6に示される方法を実装するように構成され得る。例えば、処理モジュール1001は、S601およびS602を実装するように構成されており、送信モジュール1002は、S603を実装するように構成されており、受信モジュール1003は、S604を実装するように構成されている。
別の可能な実装において、装置1000は、図7に示される方法を実装するように構成され得る。例えば、処理モジュール1001は、S709を実装するように構成されており、送信モジュール1002は、S701、S703、S705、S707、S710、S712、S714、S716およびS718を実装するように構成されており、受信モジュール1003は、S702、S704、S706、S708、S711、S713、S715、S717およびS719を実装するように構成されている。
さらに別の可能な実装において、装置1000は、図8に示される方法を実装するように構成され得る。例えば、処理モジュール1001は、S801を実装するように構成されており、送信モジュール1002は、S802、S804、S806、S808およびS810を実装するように構成されており、受信モジュール1003は、S803、S805、S807、S809およびS811を実装するように構成されている。
図11は、本願のさらに別の実施形態によるEPS NASセキュリティアルゴリズムを構成するための装置の概略構造図である。図11に示される装置1100は、図3から図5に示される実施形態のいずれか1つにおけるアクセスおよびモビリティ管理機能エンティティまたはAMFネットワーク要素により実装される方法を実行するように構成されてよく、または、図6から図8に示される実施形態のいずれか1つにおける端末デバイスにより実装される方法を実行するように構成されてよい。
図11に示されるように、本実施形態における装置1100は、メモリ1101、プロセッサ1102、通信インタフェース1103およびバス1104を含む。メモリ1101、プロセッサ1102および通信インタフェース1103は、バス1104を通じて互いに通信する。
メモリ1101は、リードオンリメモリ(read only memory、ROM)、スタティックストレージデバイス、ダイナミックストレージデバイスまたはランダムアクセスメモリ(random access memory、RAM)であってよい。メモリ1101は、プログラムを格納し得る。メモリ1101に格納されているプログラムがプロセッサ1102により実行された場合、プロセッサ1102は、図3から図8に示される方法の段階を実行するように構成され得る。
プロセッサ1102は、汎用中央処理装置(central processing unit、CPU)、マイクロプロセッサ、特定用途向け集積回路(application specific integrated circuit、ASIC)または1つまたは複数の集積回路であってよく、関連するプログラムを実行して本願の方法の実施形態におけるEPS NASセキュリティアルゴリズムを構成する方法を実装するように構成されている。
プロセッサ1102はさらに、集積回路チップであってよく、信号処理能力を有する。実装プロセスにおいて、本願の実施形態における方法の段階は、プロセッサ1102内のハードウェアの集積論理回路、またはソフトウェアの形態の命令を通じて完了され得る。
プロセッサ1102はさらに、汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array、FPGA)または別のプログラマブル論理デバイス、ディスクリートゲートまたはトランジスタロジックデバイス、またはディスクリートハードウェアコンポーネントであってよい。本願の実施形態において開示される方法、段階および論理ブロック図は、実装または実行され得る。汎用プロセッサは、マイクロプロセッサであってよく、または、プロセッサは、任意の従来のプロセッサ等であってよい。
本願の実施形態に関連して開示される方法の段階は、ハードウェアデコードプロセッサを通じて直接、実行および完了されてよく、または、デコードプロセッサ内のハードウェアおよびソフトウェアモジュールの組み合わせを通じて、実行および完了されてよい。ソフトウェアモジュールが、ランダムアクセスメモリ、フラッシュメモリ、リードオンリメモリ、プログラマブルリードオンリメモリ、電気的消去可能プログラマブルメモリまたはレジスタなど、当技術分野における成熟した記憶媒体内に位置し得る。記憶媒体は、メモリ1101内に位置しており、プロセッサ1102は、メモリ1101内の情報を読み取り、本願の実施形態における方法において実行される必要がある機能をプロセッサのハードウェアに関連して完了する。例えば、プロセッサは、図3から図8に示される実施形態における段階/機能を実行し得る。
通信インタフェース1103は、限定されるわけではないが、あるトランシーバタイプのトランシーバ装置を用いて、装置1100および別のデバイスまたは通信ネットワークの間の通信を実装し得る。
バス1104は、装置1100のコンポーネント(例えば、メモリ1101、プロセッサ1102および通信インタフェース1103)の間で情報が伝送されるチャネル内に含まれ得る。
本願の本実施形態に示される装置1100は、電子デバイスであってよく、または電子デバイス内に構成されたチップであってよいことを理解されたい。
本願の本実施形態におけるプロセッサは、中央処理装置(central processing unit、CPU)であってよく、さらに、別の汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application specific integrated circuit、ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array、FPGA)または別のプログラマブル論理デバイス、ディスクリートゲートまたはトランジスタロジックデバイスまたはディスクリートハードウェアコンポーネント等であってよいことを理解されたい。汎用プロセッサは、マイクロプロセッサであってよく、または、プロセッサは、任意の従来のプロセッサ等であってよい。
本願の本実施形態におけるメモリは、揮発性メモリまたは不揮発性メモリであってよく、または、揮発性メモリおよび不揮発性メモリを含んでよいことをさらに理解されたい。不揮発性メモリは、リードオンリメモリ(read-only memory、ROM)、プログラマブルリードオンリメモリ(programmable ROM、PROM)、消去可能プログラマブルリードオンリメモリ(erasable PROM、EPROM)、電気的消去可能プログラマブルリードオンリメモリ(electrically EPROM、EEPROM)またはフラッシュメモリであってよい。揮発性メモリは、外部キャッシュとして用いられるランダムアクセスメモリ(random access memory、RAM)であってよい。限定的な説明ではなく例を通じて、多くの形態のランダムアクセスメモリ(random access memory、RAM)、例えば、スタティックランダムアクセスメモリ(static RAM、SRAM)、ダイナミックランダムアクセスメモリ(DRAM)、シンクロナスダイナミックランダムアクセスメモリ(synchronous DRAM、SDRAM)、ダブルデータレートシンクロナスダイナミックランダムアクセスメモリ(double data rate SDRAM、DDR SDRAM)、エンハンスドシンクロナスダイナミックランダムアクセスメモリ(enhanced SDRAM、ESDRAM)、シンクリンクダイナミックランダムアクセスメモリ(synchlink DRAM、SLDRAM)およびダイレクトラムバスダイナミックランダムアクセスメモリ(direct rambus RAM、DR RAM)が用いられ得る。
前述の実施形態の全部または一部は、ソフトウェア、ハードウェア、ファームウェア、またはそれらの任意の組み合わせを用いて実装され得る。前述の実施形態を実装するためにソフトウェアが用いられる場合、前述の実施形態の全部または一部は、コンピュータプログラム製品の形態で実装され得る。コンピュータプログラム製品は、1つまたは複数のコンピュータ命令またはコンピュータプログラムを含む。コンピュータ命令またはコンピュータプログラムがコンピュータ上でロードおよび実行された場合、本願の実施形態による処理または機能が、全てまたは部分的に生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワークまたは別のプログラマブル装置であってよい。コンピュータ命令は、コンピュータ可読記憶媒体に格納されてよく、または、あるコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体へ伝送されてよい。例えば、コンピュータ命令は、あるウェブサイト、コンピュータ、サーバまたはデータセンタから別のウェブサイト、コンピュータ、サーバまたはデータセンタへ、有線(例えば、赤外線、無線およびマイクロ波)方式で伝送されてよい。コンピュータ可読記憶媒体は、コンピュータからアクセス可能な任意の使用可能な媒体、または、1つまたは複数の使用可能な媒体を統合した、サーバまたはデータセンタなどのデータストレージデバイスであってよい。使用可能な媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスクまたは磁気テープ)、光媒体(例えば、DVD)または半導体媒体等であってよい。半導体媒体は、ソリッドステートドライブであってよい。
本明細書における「および/または」という用語は、関連する対象を説明するための対応関係のみを説明し、3つの関係が存在し得ることを表していることを理解されたい。例えば、Aおよび/またはBは、Aのみが存在する、AおよびBの両方が存在する、およびBのみが存在する、という3つの場合を表し得る。AおよびBは、単数または複数であり得る。加えて、本明細書における「/」という文字は通常、関連する対象の間の「または」の関係を示すが、「および/または」の関係も示し得る。詳細については、理解のために文脈を参照されたい。
本願において、少なくとも1つは、1つまたは複数を意味し、複数は、2つまたはそれよりも多くを意味する。「以下の項目(要素)のうちの少なくとも1つ」またはその類似表現は、これらの項目のあらゆる組み合わせを指し、単数の項目(要素)または複数の項目(要素)のあらゆる組み合わせを含む。例えば、a、bまたはcのうちの少なくとも1つは、a、b、c、a-b、a-c、b-cまたはa-b-cを表してよく、a、bおよびcは、1つまたは複数であってよい。
前述のプロセスのシーケンス番号は、本願の様々な実施形態における実行シーケンスを意味していないことを理解されたい。プロセスの実行シーケンスは、プロセスの機能および内部論理に基づいて決定されるべきであり、本願の実施形態の実装プロセスに関するいかなる限定とも解釈されるべきでない。
本明細書において開示される実施形態で説明される例と組み合わせて、ユニットおよびアルゴリズム段階が、電子ハードウェア、またはコンピュータソフトウェアおよび電子ハードウェアの組み合わせにより実装され得ることを、当業者であれば認識し得る。これらの機能がハードウェアにより実行されるか、またはソフトウェアにより実行されるかは、具体的な用途および技術的解決手段の設計上の制約条件によって決まる。当業者であれば、具体的な用途毎に説明された機能を実装するのに異なる方法を用い得るが、この実装が本願の範囲を超えるとみなされるべきではない。
簡便かつ簡単な説明を目的として、前述のシステム、装置およびユニットの詳細な動作プロセスについては、前述の方法の実施形態における対応するプロセスが参照され得ることを、当業者であれば明確に理解し得る。ここでは、詳細について再び説明しない。
本願において提供されたいくつかの実施形態において、開示されたシステム、装置および方法は別の方式で実装され得ることを理解されたい。例えば、説明された装置の実施形態は、一例に過ぎない。例えば、複数のユニットへの分割は、論理的な機能分割に過ぎず、実際の実装中の別の分割であってよい。例えば、複数のユニットまたはコンポーネントが、組み合わされてよく、または別のシステムへ統合されてよく、または、いくつかの特徴が無視され、または実行されなくてよい。加えて、表示または説明された相互連結または直接的な連結または通信接続は、いくつかのインタフェースを通じて実装されてよい。装置またはユニット間の間接的連結または通信接続は、電子的、機械的または他の形態で実装されてよい。
別個の部品として説明されるユニットは、物理的に別個であってよく、またはそうでなくてよく、ユニットとして表示される部品は、物理ユニットであってよく、またはそうでなくてよく、1つの位置に位置していてよく、または複数のネットワークユニット上に分散されていてよい。これらのユニットのいくつかまたは全てが、実施形態の解決手段の目的を実現するための実際の要件に基づいて選択され得る。
加えて、本願の実施形態における複数の機能ユニットが1つの処理ユニットへ統合されてよく、これらのユニットの各々が物理的に単独で存在してよく、または、2つまたはそれより多くのユニットが1つのユニットへ統合される。
これらの機能がソフトウェア機能ユニットの形態で実装され、独立の製品として販売または使用される場合、これらの機能は、コンピュータ可読記憶媒体に格納されてよい。そのような理解に基づいて、本願の技術的解決手段は本質的に、または、従来の技術に寄与する部分または技術的解決手段の一部は、ソフトウェア製品の形態で実装されてよい。コンピュータソフトウェア製品は、記憶媒体に格納されており、コンピュータデバイス(パーソナルコンピュータ、サーバまたはネットワークデバイス等であってよい)が本願の実施形態において説明された方法の段階の全部または一部を実行することを可能にするためのいくつかの命令を含む。前述の記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、リードオンリメモリ、ランダムアクセスメモリ、磁気ディスクまたは光ディスクなど、プログラムコードを格納できるあらゆる媒体を含む。
前述の説明は、本願の特定の実装に過ぎず、本願の保護範囲を限定するようには意図されていない。本願において開示された技術的範囲内で当業者が容易に想到するあらゆる変形または置換は、本願の保護範囲に含まれるものとする。したがって、本願の保護範囲は、特許請求の範囲の保護範囲に従うものとする。
前述の説明は、本願の特定の実装に過ぎず、本願の保護範囲を限定するようには意図されていない。本願において開示された技術的範囲内で当業者が容易に想到するあらゆる変形または置換は、本願の保護範囲に含まれるものとする。したがって、本願の保護範囲は、特許請求の範囲の保護範囲に従うものとする。
他の可能な項目
[項目1]
進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成する方法であって、
選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する段階;および
前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスに提供する段階
を備える、方法。
[項目2]
選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する前記段階の前に、
前記アクセスおよびモビリティ管理機能エンティティが第1のメッセージを前記端末デバイスへ送信する段階、ここで、前記第1のメッセージは、前記選択されたEPS NASセキュリティアルゴリズムの情報要素を含む
をさらに備える、項目1に記載の方法。
[項目3]
選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する前記段階は、
第1の完了メッセージが受信されていない、と前記アクセスおよびモビリティ管理機能エンティティが判断する段階、ここで、前記第1の完了メッセージは、前記端末デバイスが前記第1のメッセージを受信していることを示す
を有する、
項目1または2に記載の方法。
[項目4]
第1の完了メッセージが受信されていない、と前記アクセスおよびモビリティ管理機能エンティティが判断する前記段階は、
前記第1の完了メッセージが予め設定された時間内に受信されていない、と前記アクセスおよびモビリティ管理機能エンティティが判断する段階
を含む、
項目3に記載の方法。
[項目5]
前記第1のメッセージは、セキュリティモードコマンドSMCメッセージであり、前記第1の完了メッセージは、SMC完了メッセージである、項目3または4に記載の方法。
[項目6]
前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスに提供する前記段階は、
前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムの前記情報要素を前記端末デバイスへ送信する段階
を有する、
項目1から5のいずれか一項に記載の方法。
[項目7]
前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムを無効とマーキングする段階
をさらに備える、項目1から6のいずれか一項に記載の方法。
[項目8]
前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスへ提供する前記段階の前に、
前記アクセスおよびモビリティ管理機能エンティティが前記端末デバイスから登録要求メッセージを受信する段階
をさらに備える、項目1から7のいずれか一項に記載の方法。
[項目9]
前記選択されたEPS NASセキュリティアルゴリズムを更新することを前記アクセスおよびモビリティ管理機能エンティティが決定する段階;および
前記アクセスおよびモビリティ管理機能エンティティが、更新済みの選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスに提供する段階
をさらに備える、項目1に記載の方法。
[項目10]
前記更新済みの選択されたEPS NASセキュリティアルゴリズムが前記端末デバイスへ成功裏に提供されていない、と前記アクセスおよびモビリティ管理機能エンティティが判断する段階;および
前記アクセスおよびモビリティ管理機能エンティティが前記更新済みの選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスに提供する段階
をさらに備える、項目9に記載の方法。
[項目11]
前記アクセスおよびモビリティ管理機能エンティティは、N27インタフェースをサポートし、前記端末デバイスは、S1モードをサポートする、項目1から10のいずれか一項に記載の方法。
[項目12]
前記端末デバイスにより示される有効な第5世代モバイル通信5G NASセキュリティコンテキストが前記アクセスおよびモビリティ管理機能エンティティ内に存在している、項目1から11のいずれか一項に記載の方法。
[項目13]
進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成する方法であって、
第5世代モバイル通信5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する段階;
前記端末デバイスが前記5G NASセキュリティコンテキストを削除する段階;
前記端末デバイスが第2のメッセージをアクセスおよびモビリティ管理機能エンティティへ送信する段階、ここで、前記第2のメッセージは、前記5Gセキュリティコンテキストを要求するために用いられる;および
前記端末デバイスが前記アクセスおよびモビリティ管理機能エンティティから前記選択されたEPS NASセキュリティアルゴリズムの情報要素を受信する段階
を備える、方法。
[項目14]
5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する前記段階は、
前記アクセスおよびモビリティ管理機能エンティティからの前記選択されたEPS NASセキュリティアルゴリズムの前記情報要素が受信されていない、と前記端末デバイスが判断する段階
を有する、
項目13に記載の方法。
[項目15]
前記アクセスおよびモビリティ管理機能エンティティからの前記選択されたEPS NASセキュリティアルゴリズムの前記情報要素が受信されていない、と前記端末デバイスが判断する前記段階は、
予め設定された時間内に前記アクセスおよびモビリティ管理機能エンティティから前記選択されたEPS NASセキュリティアルゴリズムの前記情報要素を受信することを前記端末デバイスがスキップする段階
を含む、
項目14に記載の方法。
[項目16]
5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する前記段階の前に、
前記端末デバイスが、前記アクセスおよびモビリティ管理機能エンティティにより送信される第3のメッセージを受信する段階、ここで、前記第3のメッセージは、前記5G NASセキュリティコンテキストを含む;および
前記端末デバイスが第3の完了メッセージを前記アクセスおよびモビリティ管理機能エンティティへ送信する段階、ここで、前記第3の完了メッセージは、前記端末デバイスが前記第3のメッセージを受信していることを示す
をさらに備える、項目13から15のいずれか一項に記載の方法。
[項目17]
5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する前記段階は、
次世代無線アクセスネットワーク鍵セット識別子ngKSIが前記選択されたEPS NASセキュリティアルゴリズムに対応していない、と判断する段階
を有する、
項目13から16のいずれか一項に記載の方法。
[項目18]
前記端末デバイスが前記ngKSIを無効値に設定する段階
をさらに備える、項目17に記載の方法。
[項目19]
前記端末デバイスは、ロングタームエボリューションLTEシステムから切断され、前記第2のメッセージは、新無線NRシステムへの登録を要求するために用いられる、項目17または18に記載の方法。
[項目20]
前記アクセスおよびモビリティ管理機能エンティティがN27インタフェースをサポートしている、と前記端末デバイスが判断する、項目19に記載の方法。
[項目21]
前記アクセスおよびモビリティ管理機能エンティティは、N27インタフェースをサポートし、前記端末デバイスは、S1モードをサポートする、項目13から20のいずれか一項に記載の方法。
[項目22]
項目1から12のいずれか一項に記載の方法を実装するように構成された機能モジュールを備える、進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成する装置。
[項目23]
項目13から21のいずれか一項に記載の方法を実装するように構成された機能モジュールを備える、進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成する装置。
[項目24]
進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成するための装置であって、メモリおよびプロセッサを備え、
前記メモリは、プログラム命令を格納するように構成されている;および
前記プロセッサは、前記メモリ内の前記プログラム命令を呼び出して、項目1から12のいずれか一項に記載の方法または項目13から21のいずれか一項に記載の方法を実行するように構成されている
装置。
[項目25]
少なくとも1つのプロセッサおよび通信インタフェースを備えるチップであって、前記通信インタフェースおよび前記少なくとも1つのプロセッサは、回線を通じて相互接続されており、前記少なくとも1つのプロセッサは、コンピュータプログラムまたは命令を実行して、項目1から12のいずれか一項に記載の方法または項目13から21のいずれか一項に記載の方法を実行するように構成されている、チップ。
[項目26]
コンピュータにより実行されるプログラムコードを格納するコンピュータ可読媒体であって、前記プログラムコードは、項目1から12のいずれか一項に記載の方法または項目13から21のいずれか一項に記載の方法を実行するために用いられる命令を含む、コンピュータ可読媒体。
[項目27]
命令を備え、前記命令が実行された場合、コンピュータが項目1から12のいずれか一項に記載の方法または項目13から21のいずれか一項に記載の方法を実行することが可能になる、コンピュータプログラム製品。

Claims (27)

  1. 進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成する方法であって、
    選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する段階;および
    前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスに提供する段階
    を備える、方法。
  2. 選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する前記段階の前に、
    前記アクセスおよびモビリティ管理機能エンティティが第1のメッセージを前記端末デバイスへ送信する段階、ここで、前記第1のメッセージは、前記選択されたEPS NASセキュリティアルゴリズムの情報要素を含む
    をさらに備える、請求項1に記載の方法。
  3. 選択されたEPS NASセキュリティアルゴリズムが端末デバイスへ成功裏に提供されていない、とアクセスおよびモビリティ管理機能エンティティが判断する前記段階は、
    第1の完了メッセージが受信されていない、と前記アクセスおよびモビリティ管理機能エンティティが判断する段階、ここで、前記第1の完了メッセージは、前記端末デバイスが前記第1のメッセージを受信していることを示す
    を有する、
    請求項1または2に記載の方法。
  4. 第1の完了メッセージが受信されていない、と前記アクセスおよびモビリティ管理機能エンティティが判断する前記段階は、
    前記第1の完了メッセージが予め設定された時間内に受信されていない、と前記アクセスおよびモビリティ管理機能エンティティが判断する段階
    を含む、
    請求項3に記載の方法。
  5. 前記第1のメッセージは、セキュリティモードコマンドSMCメッセージであり、前記第1の完了メッセージは、SMC完了メッセージである、請求項3または4に記載の方法。
  6. 前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスに提供する前記段階は、
    前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムの前記情報要素を前記端末デバイスへ送信する段階
    を有する、
    請求項1から5のいずれか一項に記載の方法。
  7. 前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムを無効とマーキングする段階
    をさらに備える、請求項1から6のいずれか一項に記載の方法。
  8. 前記アクセスおよびモビリティ管理機能エンティティが前記選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスへ提供する前記段階の前に、
    前記アクセスおよびモビリティ管理機能エンティティが前記端末デバイスから登録要求メッセージを受信する段階
    をさらに備える、請求項1から7のいずれか一項に記載の方法。
  9. 前記選択されたEPS NASセキュリティアルゴリズムを更新することを前記アクセスおよびモビリティ管理機能エンティティが決定する段階;および
    前記アクセスおよびモビリティ管理機能エンティティが、更新済みの選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスに提供する段階
    をさらに備える、請求項1に記載の方法。
  10. 前記更新済みの選択されたEPS NASセキュリティアルゴリズムが前記端末デバイスへ成功裏に提供されていない、と前記アクセスおよびモビリティ管理機能エンティティが判断する段階;および
    前記アクセスおよびモビリティ管理機能エンティティが前記更新済みの選択されたEPS NASセキュリティアルゴリズムを前記端末デバイスに提供する段階
    をさらに備える、請求項9に記載の方法。
  11. 前記アクセスおよびモビリティ管理機能エンティティは、N27インタフェースをサポートし、前記端末デバイスは、S1モードをサポートする、請求項1から10のいずれか一項に記載の方法。
  12. 前記端末デバイスにより示される有効な第5世代モバイル通信5G NASセキュリティコンテキストが前記アクセスおよびモビリティ管理機能エンティティ内に存在している、請求項1から11のいずれか一項に記載の方法。
  13. 進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成する方法であって、
    第5世代モバイル通信5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する段階;
    前記端末デバイスが前記5G NASセキュリティコンテキストを削除する段階;
    前記端末デバイスが第2のメッセージをアクセスおよびモビリティ管理機能エンティティへ送信する段階、ここで、前記第2のメッセージは、前記5Gセキュリティコンテキストを要求するために用いられる;および
    前記端末デバイスが前記アクセスおよびモビリティ管理機能エンティティから前記選択されたEPS NASセキュリティアルゴリズムの情報要素を受信する段階
    を備える、方法。
  14. 5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する前記段階は、
    前記アクセスおよびモビリティ管理機能エンティティからの前記選択されたEPS NASセキュリティアルゴリズムの前記情報要素が受信されていない、と前記端末デバイスが判断する段階
    を有する、
    請求項13に記載の方法。
  15. 前記アクセスおよびモビリティ管理機能エンティティからの前記選択されたEPS NASセキュリティアルゴリズムの前記情報要素が受信されていない、と前記端末デバイスが判断する前記段階は、
    予め設定された時間内に前記アクセスおよびモビリティ管理機能エンティティから前記選択されたEPS NASセキュリティアルゴリズムの前記情報要素を受信することを前記端末デバイスがスキップする段階
    を含む、
    請求項14に記載の方法。
  16. 5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する前記段階の前に、
    前記端末デバイスが、前記アクセスおよびモビリティ管理機能エンティティにより送信される第3のメッセージを受信する段階、ここで、前記第3のメッセージは、前記5G NASセキュリティコンテキストを含む;および
    前記端末デバイスが第3の完了メッセージを前記アクセスおよびモビリティ管理機能エンティティへ送信する段階、ここで、前記第3の完了メッセージは、前記端末デバイスが前記第3のメッセージを受信していることを示す
    をさらに備える、請求項13から15のいずれか一項に記載の方法。
  17. 5G NASセキュリティコンテキストに対応する選択されたEPS NASセキュリティアルゴリズムが存在していない、と端末デバイスが判断する前記段階は、
    次世代無線アクセスネットワーク鍵セット識別子ngKSIが前記選択されたEPS NASセキュリティアルゴリズムに対応していない、と判断する段階
    を有する、
    請求項13から16のいずれか一項に記載の方法。
  18. 前記端末デバイスが前記ngKSIを無効値に設定する段階
    をさらに備える、請求項17に記載の方法。
  19. 前記端末デバイスは、ロングタームエボリューションLTEシステムから切断され、前記第2のメッセージは、新無線NRシステムへの登録を要求するために用いられる、請求項17または18に記載の方法。
  20. 前記アクセスおよびモビリティ管理機能エンティティがN27インタフェースをサポートしている、と前記端末デバイスが判断する、請求項19に記載の方法。
  21. 前記アクセスおよびモビリティ管理機能エンティティは、N27インタフェースをサポートし、前記端末デバイスは、S1モードをサポートする、請求項13から20のいずれか一項に記載の方法。
  22. 請求項1から12のいずれか一項に記載の方法を実装するように構成された機能モジュールを備える、進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成する装置。
  23. 請求項13から21のいずれか一項に記載の方法を実装するように構成された機能モジュールを備える、進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成する装置。
  24. 進化型パケットシステムEPS非アクセス層NASセキュリティアルゴリズムを構成するための装置であって、メモリおよびプロセッサを備え、
    前記メモリは、プログラム命令を格納するように構成されている;および
    前記プロセッサは、前記メモリ内の前記プログラム命令を呼び出して、請求項1から12のいずれか一項に記載の方法または請求項13から21のいずれか一項に記載の方法を実行するように構成されている
    装置。
  25. 少なくとも1つのプロセッサおよび通信インタフェースを備えるチップであって、前記通信インタフェースおよび前記少なくとも1つのプロセッサは、回線を通じて相互接続されており、前記少なくとも1つのプロセッサは、コンピュータプログラムまたは命令を実行して、請求項1から12のいずれか一項に記載の方法または請求項13から21のいずれか一項に記載の方法を実行するように構成されている、チップ。
  26. コンピュータにより実行されるプログラムコードを格納するコンピュータ可読媒体であって、前記プログラムコードは、請求項1から12のいずれか一項に記載の方法または請求項13から21のいずれか一項に記載の方法を実行するために用いられる命令を含む、コンピュータ可読媒体。
  27. 命令を備え、前記命令が実行された場合、コンピュータが請求項1から12のいずれか一項に記載の方法または請求項13から21のいずれか一項に記載の方法を実行することが可能になる、コンピュータプログラム製品。
JP2023548586A 2021-02-10 2022-02-10 進化型パケットシステム非アクセス層セキュリティアルゴリズムを構成する方法、および関連装置 Pending JP2024506102A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN202110183922.0A CN114915966A (zh) 2021-02-10 2021-02-10 配置演进分组系统非接入层安全算法的方法及相关装置
CN202110183922.0 2021-02-10
PCT/CN2022/075767 WO2022171156A1 (zh) 2021-02-10 2022-02-10 配置演进分组系统非接入层安全算法的方法及相关装置

Publications (1)

Publication Number Publication Date
JP2024506102A true JP2024506102A (ja) 2024-02-08

Family

ID=82761984

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023548586A Pending JP2024506102A (ja) 2021-02-10 2022-02-10 進化型パケットシステム非アクセス層セキュリティアルゴリズムを構成する方法、および関連装置

Country Status (6)

Country Link
US (1) US20230388802A1 (ja)
EP (1) EP4290903A4 (ja)
JP (1) JP2024506102A (ja)
CN (1) CN114915966A (ja)
TW (1) TWI816295B (ja)
WO (1) WO2022171156A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220286923A1 (en) * 2019-08-14 2022-09-08 Mediatek Singapore Pte. Ltd. Apparatuses and methods for delivery of inter-system non-access stratum (nas) security algorithms

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101835156B (zh) * 2010-05-21 2014-08-13 中兴通讯股份有限公司南京分公司 一种用户接入安全保护的方法及系统
CN102595369B (zh) * 2012-02-29 2015-02-25 大唐移动通信设备有限公司 一种nas算法的传输方法及装置
CN107786511A (zh) * 2016-08-27 2018-03-09 北京信威通信技术股份有限公司 集群系统中实现群组通信安全的方法
EP3952375B1 (en) * 2017-01-30 2022-11-23 Telefonaktiebolaget LM Ericsson (publ) Security context handling in 5g during connected mode
CN109819439B (zh) * 2017-11-19 2020-11-17 华为技术有限公司 密钥更新的方法及相关实体
KR102601585B1 (ko) * 2018-09-24 2023-11-13 노키아 테크놀로지스 오와이 Nas 메시지의 보안 보호를 위한 시스템 및 방법
CN111328455B (zh) * 2018-10-17 2023-06-23 联发科技(新加坡)私人有限公司 移动性更新时的用户设备密钥推导方法及用户设备
CN112055984A (zh) * 2019-04-08 2020-12-08 联发科技(新加坡)私人有限公司 从非接入层透明容器失败恢复5g非接入层

Also Published As

Publication number Publication date
EP4290903A1 (en) 2023-12-13
WO2022171156A1 (zh) 2022-08-18
US20230388802A1 (en) 2023-11-30
TW202239245A (zh) 2022-10-01
EP4290903A4 (en) 2024-07-03
CN114915966A (zh) 2022-08-16
TWI816295B (zh) 2023-09-21

Similar Documents

Publication Publication Date Title
JP7384979B2 (ja) パケット伝送方法、装置、およびシステム
US11051358B2 (en) Method for releasing context of user equipment in non-3GPP access network and network entity performing the same
KR102445355B1 (ko) 사용자 그룹에 대한 세션 관리 방법 및 장치
WO2018161796A1 (zh) 多接入场景中的连接处理方法和装置
US20170019945A1 (en) Dual Connectivity Re-Establishment
JP6727341B2 (ja) 通信制御方法および関連するネットワーク要素
EP3965446B1 (en) Communication method and device thereof
US20190260811A1 (en) Packet data unit session establishment method and network entity performing the same
WO2019185062A1 (zh) 一种通信方法及装置
JP2024020336A (ja) データ伝送方法、通信デバイス、及び通信システム
US10797934B1 (en) Open control plane function for wireless networks
EP3735092B1 (en) Transmission methods, transmission apparatus, computer readable storage medium and system
US11602010B2 (en) Open control plane for mobile networks
US20220303763A1 (en) Communication method, apparatus, and system
WO2019037500A1 (zh) 一种选择无线接入网设备的方法及装置
WO2019174582A1 (zh) 一种消息传输方法和装置
JP2020504521A (ja) 無線リソース制御接続の再確立
US20230388802A1 (en) Method for configuring evolved packet system non-access stratum security algorithm and related apparatus
WO2023185960A1 (zh) 通信方法及装置
WO2024160127A1 (zh) 通信方法、装置及系统
US12127306B1 (en) Open control plane for mobile networks
WO2024001889A1 (zh) V2x策略请求方法及装置
WO2015051554A1 (zh) 隧道建立方法、装置及系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230929

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230929

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240816

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240827