JP2024507269A - 認証のための方法及び装置 - Google Patents

認証のための方法及び装置 Download PDF

Info

Publication number
JP2024507269A
JP2024507269A JP2023550687A JP2023550687A JP2024507269A JP 2024507269 A JP2024507269 A JP 2024507269A JP 2023550687 A JP2023550687 A JP 2023550687A JP 2023550687 A JP2023550687 A JP 2023550687A JP 2024507269 A JP2024507269 A JP 2024507269A
Authority
JP
Japan
Prior art keywords
authentication
authentication method
session management
entity
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023550687A
Other languages
English (en)
Inventor
ウェン チャン,
ティアンメイ リャン,
ジュイイン ガン,
ガン レン,
ステファン ロマー,
Original Assignee
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エルエム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Publication of JP2024507269A publication Critical patent/JP2024507269A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本開示の実施形態は、認証のための方法及び装置を提供する。セッション管理及びゲートウェイエンティティで実行される方法は、端末デバイスの識別子を含むセッションの作成要求をモバイル管理エンティティから受信することを含む。方法はさらに、第1認証方法ではなく第2認証方法を使用することを判定するステップを含む。第2認証方法は、第1認証方法よりも安全性が高い。方法は、認証、認可及びアカウンティング(AAA)サーバに関連する第2認証方法の手順をトリガすることをさらに含む。

Description

本開示の非限定的かつ例示的な実施形態は、一般に、通信の技術分野に関し、具体的には、認証のための方法及び装置に関する。
このセクションは、開示の理解を深めるのに役立ち得る側面を紹介する。したがって、このセクションの記述は、この観点から読まれるべきであり、先行技術にあるもの、或いは、先行技術にないものについての承認として理解されるべきではない。
通信サービスプロバイダとネットワークオペレータは、魅力的なネットワークサービスとパフォーマンスを提供する等、消費者に価値と利便性を提供するという課題に絶えず直面している。ネットワーク技術と通信技術の急速な発展に伴い、ロングタームエボリューション(LTE)/第4世代(4G)ネットワークやニューレディオ(NR)/第5世代(5G)ネットワーク等の無線通信ネットワークは、高いトラフィック容量とエンドユーザデータレートを低遅延で実現することが期待されている。幅広い業界にわたる新しいサービスの多様な要件を満たすために、第3世代パートナシッププロジェクト(3GPP(登録商標))は、様々な通信ネットワーク向けの様々なネットワーク機能サービスを開発している。
無線通信ネットワークにおいては、様々な認証、認可及びアカウンティング(AAA)手順が存在し得る。例えば、その開示内容全体が参照により本明細書に組み込まれる3GPP(登録商標)TS29.061 V17.1.0の16項には、Gi/SgiインタフェースにおけるRADIUS(リモート認証ダイヤルインユーザサービス)の使用法が記載されている。3GPP(登録商標)TS29.561 V17.0.0の12項(その開示内容全体が参照により本明細書に組み込まれる)には、DN(データネットワーク)-AAA(ダイアメータ)の相互作用が記載されている。
その開示内容全体が参照により本明細書に組み込まれる3GPP(登録商標)TS23.501 V16.7.0の5.6.6項によれば、DN-AAAサーバによる二次認証/認可は、PDU(プロトコルデータユニット)セッション確立中にのみ定義される。UE(ユーザ装置)がPDUセッションの確立中にDN固有の識別子に対応する認証/認可情報を提供した場合、SMF(セッション管理機能)が、DNに関連付けられたSMFポリシに基づいてPDUセッション確立の認証/認可が必要であると判定する。
拡張認証プロトコル(EAP)認証は、従来のパスワード認証プロトコル(PAP)やチャレンジハンドシェイク認証プロトコル(CHAP)(PCO(プロトコル構成オプション)からのユーザ名とユーザパスワード)よりも高いセキュリティを備えているため、5GC(5Gコアネットワーク)には必須である。
従来のPAP/CHAP(PCOからのユーザ名とユーザパスワード)は、4G PDN(パケットデータネットワーク)接続設定(5G能力を持つ4Gユーザを含む)において引き続き使用されている。EAPベースの認証は4G PDN接続に対して定義されていない。
本要約は、以下の詳細な説明でさらに述べる概念の選択を簡略化した形式で紹介するために提供される。本要約は、クレームされた主題の鍵となる、或いは、必須の特徴を特定することを目的とするものではなく、特許請求の範囲を制限することを意図するものではないことが理解される。
低いセキュリティの認証方式が通信ネットワークで使用されると、セキュリティ上の問題が発生し得る。たとえば、UEがEPS(発展型パケットシステム)に接続する場合、セキュリティの問題が発生する。UEは、PDN接続設定中に従来のPAP/CHAP(PCOからのユーザ名とユーザパスワード)を使用する。セキュリティなしの生データが、PCO又はePCO(拡張プロトコル構成オプション)で転送される。
通信ネットワークでより高いセキュリティを提供するには、より高いセキュリティを備えた認証方法をサポートするソリューションを提供することが望ましい場合がある。たとえば、4G PDN接続のセキュリティを高めるために、EPSで4G PDN接続のためのEAPをサポートするソリューションを定義することが望ましい場合がある。EAPベースの認証が4G PDN接続でサポートされている場合、4Gから5Gへのモビリティ時に再認証を行う必要はない。
本開示の第1態様においては、セッション管理及びゲートウェイエンティティによって実行される方法が提供される。方法は、端末デバイスの識別子を含むセッション作成要求をモバイル管理エンティティから受信することを含む。方法はさらに、第1認証方法ではなく第2認証方法を使用することを判定することを含む。第2認証方法は、第1認証方法よりも安全性が高い。方法は、認証、認可及びアカウンティング(AAA)サーバに関連する第2認証方法の手順をトリガすることをさらに含む。
一実施形態において、方法は、端末デバイスの識別子を含むアクセス要求をAAAサーバに送信することをさらに含む。方法はさらに、認可データを含むアクセス受諾メッセージをAAAサーバから受信することを含む。
一実施形態において、アクセス要求は、無効なユーザ名又はローカルに設定されたユーザ名をさらに含む。
一実施形態において、方法は、端末デバイスに関連する認証が保留されていることを示す情報をポリシ制御機能に送信することをさらに含む。方法は、ポリシ制御機能からデフォルトのサービス品質(QoS)情報を受信することをさらに含む。
一実施形態において、第2認証方法の手順は、セッションが正常に設定された後にトリガされる。
一実施形態において、方法は、第2認証方法が成功したことを示す情報をAAAサーバから受信することをさらに含む。方法は、第2認証方法が成功したことを示す情報をポリシ制御機能に送信することをさらに含む。方法はさらに、ポリシ制御機能から少なくとも1つのサービスポリシ及び課金制御ルールを受信することを含む。
一実施形態において、方法は、第2認証方法が成功したことを示す情報とサービス品質(QoS)情報とを含むメッセージをモバイル管理エンティティに送信することをさらに含む。
一実施形態において、第2認証方法の手順中に、拡張可能認証プロトコル(EAP)メッセージ交換を伴う拡張プロトコル構成オプション(ePCO)を含む少なくとも1つのベアラ更新要求及び少なくとも1つのベアラ更新応答が、セッション管理とゲートウェイエンティティとモバイル管理エンティティとの間で使用される。
一実施形態において、方法は、第2認証方法が失敗したと判定することをさらに含む。方法はさらに、セッション削除手順をトリガすることを含む。
一実施形態において、第2認証方法が失敗したと判断することは、少なくとも、第2認証方法が失敗したことを示す情報をAAAサーバから受信することに基づく、又は、モバイル管理エンティティからのベアラ更新応答が失敗するかタイムアウトになることに基づく。
一実施形態において、第2認証方法は拡張可能認証プロトコル(EAP)を含む。
一実施形態において、第1認証方法は、パスワード認証プロトコル(PAP)又はチャレンジハンドシェイク認証プロトコル(CHAP)を含む。
一実施形態において、第1認証方法ではなく第2認証方法を使用することを判定することは、AAAサーバとの合意と、セッション作成要求に含まれる少なくとも1つのパラメータと、第2認証方法を使用するかどうかのローカル設定と、AAAサーバの能力と、端末デバイスの能力との内の少なくとも1つに基づく。
一実施形態において、AAAサーバとの合意は、特定のデータネットワーク名(DNN)又は単一ネットワークスライス選択支援情報(S-NSSAI)についてのAAAサーバとの合意を含む。
一実施形態において、セッション管理及びゲートウェイエンティティは、パケットデータネットワークゲートウェイ制御プレーンと組み合わせたセッション管理機能(SMF+PGW-C)を備える。
一実施形態において、AAAサーバはデータネットワークAAA(DN-AAA)サーバを含む。
一実施形態において、端末デバイスは第4世代(4G)ネットワークにアクセスしている。
一実施形態において、セッション作成要求は、実際のユーザ名と、データネットワーク名に特有のユーザパスワードと、を含まない。
本開示の第2態様では、モバイル管理エンティティによって実行される方法が提供される。方法は、端末デバイスからアタッチ要求を受信することを含む。方法は、端末デバイスの識別子を含むセッション作成要求をセッション管理及びゲートウェイエンティティに送信することをさらに含む。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、方法は、第2認証方法が成功したことを示す情報及びサービス品質(QoS)情報を含むメッセージをセッション管理及びゲートウェイエンティティから受信することをさらに含む。方法は、第2認証方法が成功したことを示す情報を含むメッセージを端末デバイスに送信することをさらに含む。
一実施形態において、第2認証方法の手順中に、拡張可能認証プロトコル(EAP)メッセージを伴う拡張プロトコル構成オプション(ePCO)を含む、少なくとも1つの発展型パケットシステム(EPS)ベアラコンテキスト修正要求と、少なくとも1つのEPSベアラコンテキスト修正受諾が、端末デバイスとモバイル管理エンティティとの間で使用される。
一実施形態において、アタッチ要求は、実際のユーザ名と、データネットワーク名に特有のユーザパスワードと、を含まない。
本開示の第3態様によると、端末デバイスによって実行される方法が提供される。方法は、モバイル管理エンティティにアタッチ要求を送信することを含む。第1認証方法の手順ではなく、第2認証方法の手順が、セッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、方法は、第2認証方法が成功したことを示す情報を含むメッセージをモバイル管理エンティティから受信することをさらに含む。
本開示の第4態様によると、ポリシ制御機能によって実行される方法が提供される。方法は、端末デバイスに関連する認証が保留中であることを示す情報をセッション管理及びゲートウェイエンティティから受信することを含む。方法は、セッション管理及びゲートウェイエンティティにデフォルトのサービス品質(QoS)情報を送信することをさらに含む。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、方法は、第2認証方法が成功したことを示す情報をセッション管理及びゲートウェイエンティティから受信することをさらに含む。方法はさらに、セッション管理及びゲートウェイエンティティに少なくとも1つのサービスポリシ及び課金制御ルールを送信することを含む。
本開示の第5態様においては、認証、認可及びアカウンティング(AAA)サーバによって実行される方法が提供される。方法は、端末デバイスの識別子を含むアクセス要求をセッション管理及びゲートウェイエンティティから受信することを含む。方法はさらに、認可データを含むアクセス受諾メッセージをセッション管理及びゲートウェイエンティティに送信することを含む。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも高いセキュリティを有する。
一実施形態において、方法は、第2認証方法の手順が正常に完了した後、第2認証方法が成功したことを示す情報をセッション管理及びゲートウェイエンティティに送信することをさらに含む。
一実施形態において、方法は、第2認証方法の手順が一定期間後に開始されないと判定することをさらに含む。方法はさらに、セッション管理及びゲートウェイエンティティに切断要求を送信することを含む。
本開示の第6態様では、セッション管理及びゲートウェイエンティティが提供される。セッション管理及びゲートウェイエンティティは、プロセッサと、プロセッサに結合されたメモリと、を含む。メモリは、プロセッサによって実行可能な命令を含む。セッション管理及びゲートウェイエンティティは、モバイル管理エンティティから端末デバイスの識別子を含むセッション作成要求を受信する様に動作する。セッション管理及びゲートウェイエンティティはさらに、第1認証方法ではなく第2認証方法を使用することを判定する様に動作する。第2認証方法は、第1認証方法よりも高いセキュリティを有する。セッション管理及びゲートウェイエンティティはさらに、認証、認可及びアカウンティング(AAA)サーバに関連する第2認証方法の手順をトリガする様に動作する。
本開示の第7態様によると、モバイル管理エンティティが提供される。モバイル管理エンティティは、プロセッサと、プロセッサに結合されたメモリと、を含む。メモリは、プロセッサによって実行可能な命令を含む。モバイル管理エンティティは、端末デバイスからアタッチ要求を受信する様に動作する。モバイル管理エンティティは、さらに、端末デバイスの識別子を含むセッション作成要求をセッション管理及びゲートウェイエンティティに送信する様に動作する。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも高いセキュリティを有する。
本開示の第8態様によると、端末デバイスが提供される。端末デバイスは、プロセッサと、プロセッサに結合されたメモリと、を含む。メモリは、プロセッサによって実行可能な命令を含む。端末デバイスは、アタッチ要求をモバイル管理エンティティに送信する様に動作する。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも高いセキュリティを有する。
本開示の第9態様によると、ポリシ制御機能が提供される。ポリシ制御機能は、プロセッサと、プロセッサに結合されたメモリと、を含む。メモリは、プロセッサによって実行可能な命令を含む。ポリシ制御機能は、端末デバイスに関連する認証が保留中であることを示す情報をセッション管理及びゲートウェイエンティティから受信する様に動作する。ポリシ制御機能は、セッション管理及びゲートウェイエンティティにデフォルトのサービス品質(QoS)情報を送信する様にさらに動作する。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも高いセキュリティを有する。
本開示の第10態様では、認証、認可及びアカウンティング(AAA)サーバが提供される。AAAサーバは、プロセッサと、プロセッサに結合されたメモリと、を含む。メモリは、プロセッサによって実行可能な命令を含む。AAAサーバは、さらに、認可データを含むアクセス受諾メッセージをセッション管理及びゲートウェイエンティティに送信する様に動作する。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも高いセキュリティを有する。
本開示の第11態様では、セッション管理及びゲートウェイエンティティが提供される。セッション管理及びゲートウェイエンティティは、第1受信モジュールと、第1判定モジュールと、第1トリガモジュールと、を備える。第1受信モジュールは、モバイル管理エンティティから端末デバイスの識別子を含むセッション作成要求を受信する様に構成され得る。第1判定モジュールは、第1認証方法ではなく、第1認証方法よりも高いセキュリティを有する第2認証方法を使用することを判定する様に構成され得る。第1トリガモジュールは、認証、認可及びアカウンティング(AAA)サーバに関連する第2認証方法の手順をトリガする様に構成され得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、端末デバイスの識別子を含むアクセス要求を送信する様に構成された第1送信モジュールをさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、AAAサーバから認可データを含むアクセス受諾メッセージを受信する様に構成された第2受信モジュールをさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、端末デバイスに関連する認証が保留中であることを示す情報をポリシ制御機能に送信する様に構成された第2送信モジュールをさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、ポリシ制御機能からデフォルトのサービス品質(QoS)情報を受信する様に構成された第3受信モジュールをさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、第2認証方法が成功したことを示す情報をAAAサーバから受信する様に構成された第4受信モジュールをさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、第2認証方法が成功したことを示す情報をポリシ制御機能に送信する様に構成された第3送信モジュールをさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、ポリシ制御機能から少なくとも1つのサービスポリシ及び課金制御ルールを受信する様に構成された第5受信モジュールをさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、第2認証方法が成功したことを示す情報及びサービス品質(QoS)情報を含むメッセージをモバイル管理エンティティに送信する様に構成された第4送信モジュールをさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、第2認証方法が失敗したことを判定する様に構成された第2判定モジュールをさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティは、セッション削除手順をトリガする様に構成された第2トリガモジュールをさらに備え得る。
本開示の第12態様によると、モバイル管理エンティティが提供される。モバイル管理エンティティは、第1受信モジュールと第1送信モジュールと、を備える。第1受信モジュールは、端末デバイスからアタッチ要求を受信する様に構成され得る。第1送信モジュールは、端末デバイスの識別子を含むセッション作成要求をセッション管理及びゲートウェイエンティティに送信する様に構成され得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、モバイル管理エンティティは、第2認証方法が成功したことを示す情報及びサービス品質(QoS)情報を含むメッセージをセッション管理及びゲートウェイエンティティから受信する様に構成された第2受信モジュールをさらに備え得る。
一実施形態において、モバイル管理エンティティは、第2認証方法が成功したことを示す情報を含むメッセージを端末デバイスに送信する様に構成された第2送信モジュールをさらに備え得る。
本開示の第13態様によると、端末デバイスが提供される。端末デバイスは送信モジュールを備える。送信モジュールは、モバイル管理エンティティにアタッチ要求を送信する様に構成され得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、端末デバイスは、第2認証方法が成功したことを示す情報を含むメッセージをモバイル管理エンティティから受信する様に構成された受信モジュールをさらに備え得る。
本開示の第14態様によると、ポリシ制御機能が提供される。ポリシ制御機能は、第1受信モジュールと第1送信モジュールと、を備える。第1受信モジュールは、端末デバイスからアタッチ要求を受信する様に構成され得る。第1送信モジュールは、セッション管理及びゲートウェイエンティティにデフォルトのサービス品質(QoS)情報を送信する様に構成され得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、ポリシ制御機能は、第2認証方法が成功したことを示す情報をセッション管理及びゲートウェイエンティティから受信する様に構成された第2受信モジュールをさらに備え得る。
一実施形態において、ポリシ制御機能は、少なくとも1つのサービスポリシ及び課金制御ルールをセッション管理及びゲートウェイエンティティに送信する様に構成された第2送信モジュールをさらに備え得る。
本開示の第15態様によるとてAAAサーバが提供される。AAAサーバは、第1受信モジュールと第1送信モジュールと、を備える。第1受信モジュールは、セッション管理及びゲートウェイエンティティから端末デバイスの識別子を含むアクセス要求を受信する様に構成され得る。第1送信モジュールは、認可データを含むアクセス受諾メッセージをセッション管理及びゲートウェイエンティティに送信する様に構成され得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、AAAサーバは、第2認証方法の手順が一定期間後に開始されないことを判定する様に構成された判定モジュールをさらに備え得る。
一実施形態において、AAAサーバは、セッション管理及びゲートウェイエンティティに切断要求を送信する様に構成された第2送信モジュールをさらに備え得る。
本明細書の実施形態は多くの利点を提供することができ、その例の非網羅的なリストを以下に示す。本明細書の一部の実施形態において、セキュリティ問題は、最初にEPSに接続するUEに関して解決され得る。本明細書の一部の実施形態において、セキュリティ問題は、最初にEPSに接続し、セッション存続期間中に5GSに移動するUEに関して解決され得る。本明細書の一部の実施形態において、セッション管理及びSMF等のゲートウェイエンティティは、UEが5GSに移動すると直ちにDN-AAAサーバから5GS属性を取得することができる。本明細書の一部の実施形態において、DN-AAAサーバは、再認証をトリガするときに正しい情報を有することができる。本明細書の実施形態は、上述の好ましい特徴及び利点に限定されない。当業者は、以下の詳細な説明を読めば、追加の特徴及び利点を認識するであろう。
本開示の様々な実施形態の上記及び他の態様、特徴、及び利点は、例として、類似又は同等の要素を同様の参照符号又は文字で示す添付の図面を参照しての以下の詳細な説明からより完全に明らかになるであろう。図面は、本開示の実施形態のより良い理解を容易にするために示され、必ずしも一定の縮尺で描かれてはいない。
本開示の実施形態による5Gネットワークにおける高レベルのアーキテクチャを概略的に示す図。 本開示の実施形態による4Gネットワークシステムアーキテクチャを概略的に示す図。 GTPベースのS5/S8のSgiインタフェース上のRADIUSメッセージフローの例を示す図(ユーザ認証が成功した場合)。 外部AAAサーバによる初期EAP認証のフローチャート。 本開示の一実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の別の実施形態による方法のフローチャート。 本開示の幾つかの実施形態を実施するのに適した装置を示すブロック図。 本開示の一実施形態によるセッション管理及びゲートウェイエンティティを示すブロック図。 本発明の一実施形態によるモバイル管理エンティティを示すブロック図。 本発明の一実施形態による端末デバイスを示すブロック図。 本発明の一実施形態によるポリシ制御機能を示すブロック図。 本発明の一実施形態によるAAAサーバを示すブロック図。
本開示の実施形態について、以下では、図面を参照して詳細に説明する。これらの実施形態は、本開示の範囲に対する制限を示唆するのではなく、当技術分野の当業者が本開示をよりよく理解し、したがって実施することを可能にする目的でのみ説明されることを理解されたい。本明細書全体を通して、特徴、利点又は同様の言語への言及は、本開示で実現され得るすべての特徴及び利点が、本開示の任意の単一の実施形態であるべきである、又はそうであることを意味するものではない。むしろ、特徴及び利点を指す言語は、一実施形態に関連して説明される特定の特徴、利点又は特性が、本開示の少なくとも1つの実施形態に含まれることを意味すると理解される。さらに、本開示の記載された特徴、利点及び特徴は、1つ又は複数の実施形態において任意の適切な方法で組み合わせることができる。関連技術の当業者は、本開示が、特定の実施形態の特定の特徴又は利点のうちの1つ又は複数なしで実施され得ることを認識するであろう。他の例では、本開示のすべての実施形態に存在しない特定の実施形態において、追加の特徴及び利点が認識され得る。
本明細書で使用される"ネットワーク"という用語は、ニューレディオ(NR)、ロングタームエボリューション(LTE)、LTEアドバンスド、広帯域符号分割多元接続(WCDMA(登録商標))、高速パケットアクセス(HSPA)、符号分割多元接続(CDMA)、時分割多元接続(TDMA)、周波数分割多元接続(FDMA)、直交周波数分割多元接続(OFDMA)、シングルキャリア周波数分割多元接続(SC-FDMA)及びその他の無線ネットワーク等の任意の適切な通信規格に従うネットワークを指す。CDMAネットワークは、UTRA(汎用地上無線アクセス)等の無線技術を実装し得る。UTRAは、WCDMA(登録商標)及びCDMAの他の変種を含む。TDMAネットワークは、移動通信用グローバルシステム(GSM)等の無線技術を実装し得る。OFDMAネットワークは、発展型UTRA(E-UTRA)、ウルトラモバイルブロードバンド(UMB)、IEEE802.11(Wi-Fi)、IEEE802.16(WiMAX)、IEEE802.20、フラッシュ-OFDMA、アドホックネットワーク、無線センサネットワーク等の無線技術を実装し得る。以下の説明では、"ネットワーク"及び"システム"という用語は交換可能に使用され得る。さらに、ネットワーク内の2つのデバイス間の通信は、3GPP(登録商標)等の標準組織によって定義された通信プロトコルを含むがこれに限定されない、任意の適切な通信プロトコルに従って実行され得る。例えば、通信プロトコルは、第1世代(1G)、2G、3G、4G、4.5G、5G通信プロトコル、及び/又は現在知られているか将来開発される他のプロトコル含み得る。
"ネットワークデバイス"、"ネットワークエンティティ"又は"ネットワークノード"という用語は、通信ネットワークのネットワークエンティティ(物理的又は仮想的)に実装され得る任意の適切なネットワーク機能(NF)を参照する。例えば、ネットワーク機能は、専用ハードウェア上のネットワーク要素として、専用ハードウェア上で実行されるソフトウェアインスタンスとして、又は、適切なプラットフォーム、例えば、クラウドインフラストラクチャ等でインスタンス化された仮想化機能として実装され得る。例えば、5Gシステム(5GS)は、AMF(アクセス及びモビリティ機能)、SMF(セッション管理機能)、AUSF(認証サービス機能)、UDM(統合データ管理)、PCF(ポリシ制御機能)、AF(アプリケーション機能)、NEF(ネットワーク公開機能)、UPF(ユーザプレーン機能)、NRF(ネットワークリポジトリ機能)、RAN(無線アクセスネットワーク)、SCP(サービス通信プロキシ)、NWDAF(ネットワークデータ分析機能)、NSSF(ネットワークスライス選択機能)、NSSAAF(ネットワークスライス固有認証及び認可機能)等の複数のNFを備え得る。たとえば、4Gシステム(LTE等)は、MME(移動管理エンティティ)、HSS(ホーム加入者サーバ)、ポリシ及び課金ルール機能(PCRF)、パケットデータネットワークゲートウェイ(PGW又はPG-W)、PGW制御プレーン(PGW-C)、PGWユーザプレーン(PGW-U)、サービングゲートウェイ(SGW)、SGW制御プレーン(SGW-C)、SGWユーザプレーン(SGW-U)、E-UTRANノードB(eNB)等を含み得る。他の実施形態において、ネットワーク機能は、例えば特定のネットワークに応じて、異なるタイプのNFを含み得る。
ネットワークデバイスは、端末デバイスがネットワークにアクセスしてサービスを受ける通信ネットワークにおけるアクセス機能を有するアクセスネットワークデバイスであり得る。アクセスネットワークデバイスは、基地局(BS)、アクセスポイント(AP)、マルチセル/マルチキャスト協調エンティティ(MCE)、コントローラ、又は、無線通信ネットワーク内の任意の他の適切なデバイスを含み得る。BSは、例えば、ノードB(ノードB又はNB)、発展型ノードB(eノードB又はeNB)、次世代ノードB(gノードB又はgNB)、リモート無線ユニット(RRU)、無線ヘッダ(RH)、統合アクセスバックホール(IAB)ノード、リモート無線ヘッド(RRH)、リレイ、フェムト、ピコ等の低電力ノードであり得る。
アクセスネットワークノードのさらに別の例は、MSR BS等のマルチスタンダード無線(MSR)無線装置、無線ネットワークコントローラ(RNC)又は基地局コントローラ(BSC)等のネットワークコントローラ、基地トランシーバステーション(BTS)、送信ポイント、送信ノード、測位ノード等を含む。ただし、より一般的には、ネットワークノードは、無線通信ネットワークへの端末デバイスアクセスを構成し、アレンジし、有効化及び/又は提供する様に動作可能である、或いは、無線通信ネットワークにアクセスする端末デバイスに何らかのサービスを提供することができる任意の適切なデバイス(又はデバイスのグループ)を示し得る。
用語"端末デバイス"は、通信ネットワークにアクセスしてサービスの提供を受けることができる任意のエンドデバイスを参照する。制限しない例として、端末デバイスは、移動端末、ユーザ装置(UE)、又は、他の適切なデバイスを参照する。UEは、例えば、加入者局(SS)、ポータブル加入者局、移動局(MS)、又は、アクセス端末(AT)であり得る。端末デバイスは、ポータブルコンピュータ、デジタルカメラ等の画像キャプチャ端末デバイス、ゲーム端末デバイス、音楽ストレージ及び再生機器、移動電話、セルラフォン、スマートフォン、ボイスオーバIP(VоIP)電話、無線ローカルループ電話、タブレット、ウェアラブルデバイス、携帯情報端末(PDA)、ポータブルコンピュータ、デスクトップコンピュータ、ウェアラブル端末デバイス、車載無線端末デバイス、無線エンドポイント、モバイルステーション、ラップトップ埋め込み機器(LEE)、ラップトップ搭載機器(LME)、USBドングル、スマートデバイス、無線顧客宅内機器(CPE)等を含み得るがこれらに限定されない。以下の説明では、"端末デバイス"、"端末"、"ユーザ装置"及び"UE"という用語は交換可能に使用され得る。一例として、端末デバイスは、3GPP(登録商標)(第3世代パートナシッププロジェクト)によって公布された1つ又は複数の通信標準、例えば3GPP(登録商標)のLTE標準又はNR標準に従って通信する様に構成されたUEを表し得る。本明細書で使用される"ユーザ装置"又は"UE"は、関連するデバイスを所有及び/又は操作する人間のユーザの意味で"ユーザ"を必ずしも有する必要はない。幾つかの実施形態において、端末デバイスは、人間との直接的な相互作用無しに情報を送信及び/又は受信する様に構成され得る。例えば、端末デバイスは、内部又は外部のイベントによってトリガされたとき、通信ネットワークからの要求に応じて、所定のスケジュールでネットワークに情報を送信する様に設計され得る。代わりに、UEは、人間のユーザへの販売又は人間のユーザによる操作を目的とするが、最初は特定の人間のユーザに関連付けられていないデバイスを表し得る。
さらに別の例として、IoT(Internet оf Things)シナリオでは、端末デバイスは、監視及び/又は測定を実行し、その様な監視及び/又は測定の結果を別の端末デバイス及び/又はネットワーク装置に送信する機器又は他のデバイスを表し得る。この場合、端末デバイスは、マシンツーマシン(M2M)デバイスであり、3GPP(登録商標)の文脈ではマシン型通信(MTC)デバイスとして参照され得る。特定の一例として、端末デバイスは、3GPP(登録商標)狭帯域IoT(NB-IoT)標準を実装するUEであり得る。その様な機器又はデバイスの特定の例は、センサ、電力計、産業用機械等の計測デバイス、又は冷蔵庫、テレビ等の家庭用機器、時計等の個人用ウェアラブル機器である。他のシナリオでは、端末デバイスは、その動作状態又はその動作に関連する他の機能を監視及び/又は報告できる車両又は他の機器を表し得る。
本明細書における"一実施形態"、"実施形態"、"実施形態例"等への言及は、説明された実施形態が特定の特徴、構造、又は特性を含み得ることを示すが、すべての実施形態が必ずしも特定の特徴、構造、又は特性を含むとは限らない。さらに、その様なフレーズは必ずしも同じ実施形態を参照しているわけではない。さらに、特定の特徴、構造、又は特性が実施形態に関して説明されている場合、他の実施形態に関連してその様な特性、構造、又は特性を実装することは、明示的に記述されているか否かに拘わらず、当業者の知識の範囲内では提示されている。
本明細書では、"第1"及び"第2"等の用語を使用して様々な要素を説明するが、これらの要素はこれらの用語によって限定されるべきではないことを理解されたい。これらの用語は、ある要素と別の要素を区別するためにのみ使用される。例えば、例示的な実施形態の範囲から逸脱することなく、第1要素を第2要素と呼ぶことができ、同様に、第2要素を第1要素と呼ぶことができる。本明細書で使用される"及び/又は"という用語は、関連する列挙された用語の1つ又は複数のありとあらゆる組み合わせを含む。
本明細書で使用される場合、"A及びBのうちの少なくとも1つ"又は"A又はBのうちの少なくとも1つ"という語句は、"Aのみ、Bのみ、又は、AとBの両方"を意味すると理解されるべきである。"A及び/又はB"という句は、"Aのみ、Bのみ、又は、AとBの両方"を意味すると理解されるべきである。
本明細書で使用される用語は、特定の実施形態を説明することのみを目的としており、例示的な実施形態を限定することを意図していない。単数形式は、文脈が明らかに他の場合を示している場合を除き、複数形式を含むことが意図される。ここで使用する、用語"含む"、"有する"、"備える"等は、述べられた特徴、要素及び/又は構成部品の存在を特定するが、1つ以上の他の特徴、要素、構成部品及び/又はそれらの組み合わせの存在を除外するものではない。
この文書で使用されているこれらの用語は、説明を容易にし、ノード、デバイス、又はネットワーク等を区別するためにのみ使用されていることに注意されたい。技術の発展に伴い、類似/同じ意味を持つ他の用語も使用され得る。
以下の説明及び特許請求の範囲において、定義されない限り、使用される総ての技術的及び科学的用語は、本開示の技術分野に属する当業者により通常理解されるのと同じ意味を有する。
本明細書で説明される主題は、任意の適切なコンポーネントを使用する任意の適切なタイプのシステムで実装され得るが、本明細書で開示される実施形態は、図1及び図2に示される例示的なシステムアーキテクチャに準拠する通信システムに関して説明される。簡略化のため、図1及び図2のシステムアーキテクチャは、幾つかの例示的な要素のみを示している。実際には、通信システムは、端末デバイス間、又は無線デバイスと、固定電話、サービスプロバイダ、又は任意の他のネットワークノードもしくは端末デバイス等の別の通信デバイスとの間の通信をサポートするのに適した任意の追加要素をさらに含み得る。通信システムは、通信システムによって、又は通信システムを介して提供されるサービスへの端末デバイスのアクセス及び/又は使用を容易にするために、1つ又は複数の端末デバイスに通信及び様々なタイプのサービスを提供することができる。
図1は、本開示の一実施形態による、5GSとEPC(発展型パケットコア)/E-UTRAN(発展型ユニバーサル地上無線アクセスネットワーク)との間のインタワーキングのための非ローミングアーキテクチャを概略的に示している。図1のアーキテクチャは、3GPP(登録商標)TS23.501 V16.7.0で説明されている図4.3.1-1と同じである。
図1に示す様に、N26インタフェースは、EPCとNGコアとの間のインタワーキングを可能にするための、MMEと5GS AMFとの間のCN(コアネットワーク)間インタフェースである。ネットワークにおけるN26インタフェースのサポートは、インタワーキングの場合はオプションである。N26は、S10でサポートされる機能(インタワーキングに必須)のサブセットをサポートする。PGW-C+SMFと、UPF+PGW-Uは、5GSとEPCとの間のインタワーキング専用であり、これらはオプションであり、UE MM(モビリティ管理)コアネットワーク機能とUEサブスクリプションとに基づく。5GS及びEPCインタワーキングの対象ではないUEは、インタワーキング専用ではないエンティティ、つまりPGW又はSMF/UPFのいずれかによってサービスされ得る。NG-RAN(次世代RAN)とUPF+PGW-Uとの間に別のUPF(図3には示されていない)があり得る、つまり、UPF+PGW-Uは、必要に応じて、追加のUPFに対するN9をサポートできる。SGWを示すこの仕様の図と手順では、SGWがモノリシックSGWとして配置されるか、制御プレーンとユーザプレーンの機能に分割されたSGWとして配置されかを想定していない。
図2は、本開示の別の実施形態による、5GSとEPC(発展型パケットコア)/E-UTRAN(発展型ユニバーサル地上無線アクセスネットワーク)との間のインタワーキングのための非ローミングアーキテクチャを概略的に示している。CHFは課金機能を意味する。CDRは課金データレコード意味する。BSはベーシックサービスを意味する。図2に示す様に、DN-AAAは、DN-AAA共有サーバ又はDN-AAAインバンドサーバを備え得る。DN-AAA共有サーバは、PGW-C+SMFに接続され得る。DN-AAAインバンドサーバはPGW-U+UPFに接続され得る。
図3は、GTPベースのS5/S8のSgiインタフェース上のRADIUSメッセージフローの例を示している(ユーザ認証が成功した場合)。図3は、3GPP(登録商標)TS29.061 V17.1.0の図25a.1と同じである。3GPP(登録商標)TS29.061 V17.1.0の16.4.1項に記載されている様に、アクセス要求メッセージ(GGSN/P-GWからAAAサーバに送信される)は、ユーザ名と、ユーザパスワードと、を含み得る。ユーザ名は、プロトコル構成オプション(PCO)でユーザによってGGSN/P-GWに提供される、或いは、P-GWの場合、複数の認証がサポートされているとき、IP-CAN(IP(インターネットプロトコル)-接続アクセスネットワーク)セッション確立手順中に受信した追加プロトコル構成オプション(APCO)で提供される。PPP(ポイント・トゥ・ポイント・プロトコル)PDP(パケットデータプロトコル)タイプが使用される場合、それは、PPP認証フェーズ中にユーザによってGGSN(ゲートウェイGPRS(汎用パケット無線サービス)サポートノード)に提供される。使用可能なユーザ名がない場合は、APN(アクセスポイント名)ごとに構成可能な汎用ユーザ名が存在する。ユーザパスワードは、PCOで、ユーザによってGGSN/P-GWに提供される、或いは、P-GWの場合においてPAPが使用される場合、複数の認証がサポートされているとき、IP-CANセッション確立手順中に受信されたAPCOで提供され、PPP PDPタイプが使用される場合、PPP認証フェーズ中にユーザによってGGSNに提供される。パスワードが利用できない場合は、APNごとに設定可能な汎用パスワードが存在する。セキュリティの観点から、PAPプロトコルとCHAPプロトコルにはそれぞれ脆弱性があるため、PAP/CHAPには認証に対する適切な基本的な保護がない。たとえば、ユーザ名とユーザパスワードはセキュリティなしでPCO又はePCOで転送される。
図4は、外部AAAサーバによる初期EAP認証のフローチャートである。図4は、3GPP(登録商標)TS33.501 V17.0.0の図11.1.2-1と同じであり、その開示は参照によりその全体が本明細書に組み込まれる。
3GPP(登録商標)TS33.501 V17.0.0の11.1.2項のステップ8に記載されている様に、H-SMF(ホームSMF)は、外部DN-AAAサーバからの認可を取得するためにEAP認証をトリガする。既存のN4セッションが存在しない場合、H-SMFはUPFを選択し、それとのN4セッションを確立する。H-SMFは、利用可能な場合はGPSI(汎用パブリック加入識別子)と、PDUセッションがIP PDUタイプの場合はPDUセッションに割り当てられたUEのIPアドレスと、PDUセッションがイーサネットPDUタイプの場合はMAC(媒体アクセス制御)アドレスと、をDN-AAAサーバに通知する。
ステップ9.H-SMFは、EAP要求/識別子メッセージをUEに送信する。
ステップ10.UEは、NAS(非アクセスストラタム)メッセージのSM(セッション管理)PDU DN要求コンテナ内に含まれるEAP応答/識別子メッセージを送信しなければならない。SM PDU DN要求コンテナは、ネットワークアクセス識別子(NAI)フォーマットとPDUセッションID(識別子)に準拠した、そのDN固有識別子と、を含む。
ステップ9及び10での追加のラウンドトリップを回避するために、ステップ4でUEによって二次認証識別子が送信され得る。
ステップ11.既存のN4セッションが存在しない場合、H-SMFはUPFを選択し、それとのN4セッションを確立する。SM PDU DN要求コンテナは、UEによって提供された場合、UPFに転送される。H-SMFは、UEによって提供されるSM PDU DN要求コンテナ及びローカル構成に基づいてDN AAAサーバを識別する。
ステップ12.UPFは、EAP応答/識別子メッセージを含むSM PDU DN要求コンテナをDN AAAサーバに転送する。
ステップ13.DN AAAサーバとUEは、EAP法の要求に従い、SM PDU DN要求コンテナに含まれるEAPメッセージを交換する。さらに、3GPP(登録商標)TS33.501 V17.0.0の5.6.6項で定義されている追加の認可情報が送信され得る。
ステップ14.認証手順が正常に完了すると、DN AAAサーバはEAP成功メッセージをH-SMFに送信する。
ステップ15.これにより、SMFでの認証手順が完了する。SMFは、UEとSMFとの間の認証/認可を成功させるために、DN固有ID及びDNN(又は、利用可能な場合にはDNのAAAサーバID)をリストに保存し得る。あるいは、SMFはUDM内のリストを更新し得る。
認可が成功した場合、PDUセッション確立は、3GPP(登録商標)TS23.502 V16.7.1の図4.3.2.2.1-1のステップ7aから開始し、その開示全体が参照により本明細書に組み込まれる。
図5aは、本開示の一実施形態による方法のフローチャートであり、方法は、セッション管理及ゲートウェイエンティティが実装されている装置で、或いは、セッション管理及ゲートウェイエンティティにおいて、或いは、セッション管理及ゲートウェイエンティティと通信可能に接続されている装置によって実行され得る。よって、装置は、方法500の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。セッション管理及びゲートウェイエンティティは、セッション管理機能及びゲートウェイ機能を実装できる任意の適切なネットワークエンティティであり得る。一実施形態において、セッション管理及びゲートウェイエンティティは、パケットデータネットワークゲートウェイ制御プレーンと組み合わせたセッション管理機能(SMF+PGW-C)を含み得る。
ブロック501で、セッション管理及びゲートウェイエンティティは、モバイル管理エンティティから、端末デバイスの識別子を含むセッション作成要求を受信し得る。例えば、アタッチ要求の間、モバイル管理エンティティは、セッション管理及びゲートウェイエンティティにセッション作成要求を送信し得る。一実施形態において、その開示全体が参照により本明細書に組み込まれる3GPP(登録商標)TS23.401 V16.9.0の5.3.2項及び図5.3.2.1-1に従って、MME等のモバイル管理エンティティは、セッション作成要求をサービングゲートウェイ(SGW)に送信し得る。そして、サービングゲートウェイは、セッション作成要求を、SMF+PGW-C等のセッション管理及びゲートウェイエンティティに送信し得る。
ブロック502で、セッション管理及びゲートウェイエンティティは、第1認証方法ではなく第2認証方法を使用することを判定し得る。第2認証方法は、第1認証方法よりも安全性が高い。
第2認証方法は、任意の適切な認証方法であり得る。一実施形態において、第2認証方法は拡張可能認証プロトコル(EAP)を含む。他の実施形態において、第2認証方法は、3GPP(登録商標)によって定義される第6世代(6G)又はそれ以降の6G通信ネットワークで使用される認証方法を含み得る。
第1認証方法は、任意の適切な認証方法であり得る。一実施形態において、第1認証方法は、パスワード認証プロトコル(PAP)又はチャレンジハンドシェイク認証プロトコル(CHAP)を含む。
一実施形態において、第1認証方法は、第4世代(4G)ネットワークで使用される。一実施形態において、第2認証方法は、第5世代(5G)ネットワークで使用される。
一実施形態において、端末デバイスは第4世代(4G)ネットワークにアクセスしている。
一実施形態において、セッション作成要求は、実際のユーザ名と、データネットワーク名に特有のユーザパスワードと、を除外する。たとえば、セッション作成要求は、3GPP(登録商標)TS29.061 V17.1.0の16.4.1項で説明されている様に、ユーザ名とユーザパスワードを除外し得る。
セッション管理及びゲートウェイエンティティは、様々な方法で、第1認証方法ではなく第2認証方法を使用することを判定し得る。一実施形態において、セッション管理及びゲートウェイエンティティは、第1認証方法ではなく第2認証方法を使用することを、AAAサーバとの合意と、セッション作成要求に含まれる少なくとも1つのパラメータと、第2認証方法を使用するかどうかのローカル設定と、AAAサーバの能力と、端末デバイスの能力との内の少なくとも1つに基づいて判定し得る。
たとえば、AAAサーバとの合意は、第2認証方法を使用するかどうかを示し得る。一実施形態において、AAAサーバとの合意は、特定のデータネットワーク名(DNN)又は単一ネットワークスライス選択支援情報(S-NSSAI)についてのAAAサーバとの合意を含む。
第2認証方法を使用するかどうかのローカル設定は、オペレータによって構成され得る。第2認証方法を使用するかどうかのローカル構成は、単一の端末デバイスに対して、或いは、端末デバイスのグループに対して構成され得る。
セッション作成要求に含まれる少なくとも1つのパラメータは、PAP/CHAPユーザクレデンシャルを含み得る。たとえば、UEは、EPSにアクセスする場合等、ePCO IE(情報要素)でPAP/CHAPユーザクレデンシャルを提供しない場合がある。この様な情報がセッション管理及びゲートウェイエンティティに提供されない場合、セッション管理及びゲートウェイエンティティは、第1認証方法ではなく第2認証方法を使用することを判定し得る。
AAAサーバが第2認証方法をサポートしていることをAAAサーバの能力が示している場合、セッション管理及びゲートウェイエンティティは、第1認証方法ではなく第2認証方法を使用することを判定し得る。
端末デバイスが第2認証方法をサポートしていることを端末デバイスの能力が示している場合、セッション管理及びゲートウェイエンティティは、第1認証方法ではなく第2認証方法を使用することを判定し得る。
ブロック503で、セッション管理及びゲートウェイエンティティは、認証、認可及びアカウンティング(AAA)サーバに関連する第2認証方法の手順をトリガし得る。一実施形態において、AAAサーバはデータネットワークAAA(DN-AAA)サーバを含む。
一実施形態において、第2認証方法の手順は、セッションが正常に設定された後にトリガされる。たとえば、セッションが正常に設定された後、SMF+PGW-CはEAPベースの認証手順を開始する。SMF+PGW-Cは、新しい情報EAP要求/識別子を含むベアラ更新要求メッセージをトリガし得る。EAP要求/識別子はePCOパラメータに含めることができる。MMEは、EAP要求/識別子をNASメッセージ(EPSベアラコンテキスト修正要求等)でUEに送信し得る。UEは、EAPメッセージでDN固有IDをSMF+PGW-Cに送信し得る。SMF+PGW-Cは、DN-AAAサーバへのこのEAPメッセージを使用してアクセス要求メッセージをトリガし得る。DN AAAサーバとUEは、EAP法の要求に従い、5G PDUセッションのEAP認証と同様に、ベアラ更新要求/応答手順を伴うEAPメッセージを交換する。
一実施形態において、第2認証方法が拡張可能認証プロトコル(EAP)である場合、EAPの手順は、メッセージ及びネットワークエンティティが異なるネットワークでは異なる可能性があることを除いて、図4のステップ8~15と同様であり得る。
一実施形態において、第2認証方法の手順中に、拡張可能認証プロトコル(EAP)メッセージ交換を伴う拡張プロトコル構成オプション(ePCO)を含む少なくとも1つのベアラ更新要求及び少なくとも1つのベアラ更新応答が、セッション管理とゲートウェイエンティティとモバイル管理エンティティとの間で使用される。ベアラ更新要求及びベアラ更新応答は、拡張可能認証プロトコル(EAP)メッセージ交換を伴う拡張プロトコル構成オプション(ePCO)を含むことを除いて、3GPP(登録商標)TS23.401 V16.9.0に記載されている対応するメッセージと同様であり得る。
図5bは、本開示の別の実施形態による方法510のフローチャートであり、方法510は、セッション管理及ゲートウェイエンティティが実装されている装置で、或いは、セッション管理及ゲートウェイエンティティにおいて、或いは、セッション管理及ゲートウェイエンティティと通信可能に接続されている装置によって実行され得る。よって、装置は、方法510の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。
ブロック511で、セッション管理及びゲートウェイエンティティは、端末デバイスの識別子を含むアクセス要求をAAAサーバに送信し得る。例えば、モバイル管理エンティティから端末デバイスの識別子を含むセッション作成要求を受信した後、セッション管理及びゲートウェイエンティティは、端末デバイスの識別子を含むアクセス要求をAAAサーバに送信し得る。端末デバイスの識別子は、端末デバイスを一意に識別できる任意の適切な識別子であり得る。例えば、端末デバイスの識別子は、IMSI(国際移動加入者識別)、MSISDN(移動加入者ISDN(統合サービスデジタルネットワーク)番号)、IMPI(IPマルチメディアプライベート識別子)、IMPU(IPマルチメディアパブリック識別子)又はアプリケーション固有識別子を含み得る。
ブロック512で、セッション管理及びゲートウェイエンティティは、AAAサーバから認可データを含むアクセス受諾メッセージを受信し得る。たとえば、認可データは、割り当てられたIPアドレス、アイドルタイムアウト又はセッションタイムアウト等を含み得る。
一実施形態において、アクセス要求は、無効なユーザ名又はローカルに設定されたユーザ名をさらに含み得る。別の実施形態において、アクセス要求は、認可のみを行うインジケーションをさらに含み得る。この場合、AAAサーバは最初に端末デバイスの識別子を使用して認可を行う。AAAサーバは、端末デバイスにIPアドレスを割り当て得る。AAAサーバは、第2認証方法のメッセージ(EAPメッセージ等)を待つタイマを開始し得る。第2認証方法のメッセージ(EAPメッセージ等)が受信されない場合、AAAサーバはセッション管理及びゲートウェイエンティティに切断要求を送信し得る。
図5cは、本開示の別の実施形態による方法520のフローチャートであり、方法520は、セッション管理及ゲートウェイエンティティが実装されている装置で、或いは、セッション管理及ゲートウェイエンティティにおいて、或いは、セッション管理及ゲートウェイエンティティと通信可能に接続されている装置によって実行され得る。よって、装置は、方法520の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。
ブロック521で、セッション管理及びゲートウェイエンティティは、端末デバイスに関連する認証が保留中であることを示す情報をポリシ制御機能に送信し得る。この情報により、任意のサービスがトリガ(ポリシ制御機能からのルール等)されることを回避できる。例えば、セッション管理及びゲートウェイエンティティは、AAAサーバから認可データを含むアクセス受諾メッセージを受信した後、端末デバイスに関する認証が保留中であることを示す情報をポリシ制御機能に送信し得る。この情報は、任意の適切なメッセージに含められ得る。一実施形態において、この情報は、Npcf_SMPolicyCreate要求メッセージに含められ得る。
ブロック522で、セッション管理及びゲートウェイエンティティは、ポリシ制御機能からデフォルトのサービス品質(QoS)情報を受信し得る。デフォルトのサービス品質(QoS)情報は、任意の適切なメッセージに含められ得る。一実施形態において、デフォルトのサービス品質(QoS)情報は、Npcf_SMPolicyCreate応答メッセージに含められ得る。
図5dは、本開示の別の実施形態による方法530のフローチャートであり、方法530は、セッション管理及ゲートウェイエンティティが実装されている装置で、或いは、セッション管理及ゲートウェイエンティティにおいて、或いは、セッション管理及ゲートウェイエンティティと通信可能に接続されている装置によって実行され得る。よって、装置は、方法530の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。
ブロック531で、セッション管理及びゲートウェイエンティティは、第2認証方法が成功したことを示す情報をAAAサーバから受信し得る。
ブロック532で、セッション管理及びゲートウェイエンティティは、第2認証方法が成功したことを示す情報を端末デバイスに送信し得る。
ブロック533で、セッション管理及びゲートウェイエンティティは、ポリシ制御機能から少なくとも1つのサービスポリシ及び課金制御ルールを受信し得る。
ブロック534で、セッション管理及びゲートウェイエンティティは、第2認証方法が成功したことを示す情報と、サービス品質(QoS)情報と、を含むメッセージをモバイル管理エンティティに送信し得る。
たとえば、EAP成功等の第2認証方法の成功が、DN-AAAサーバ等のAAAサーバからSMF+PGW-C等のセッション管理及びゲートウェイエンティティによって受信される。SMF+PGW-Cは、認証が成功したことをPCFに通知することを示す情報を含むNpcf_SMFPolicyUpdate要求メッセージを送信し、PCFからサービスルールを取得する。SMF+PGW-Cは、EAP成功メッセージ及びその他のQoS情報を含むベアラ更新要求メッセージをMMEに送信する。
図5eは、本開示の別の実施形態による方法540のフローチャートであり、方法540は、セッション管理及ゲートウェイエンティティが実装されている装置で、或いは、セッション管理及ゲートウェイエンティティにおいて、或いは、セッション管理及ゲートウェイエンティティと通信可能に接続されている装置によって実行され得る。よって、装置は、方法540の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。
ブロック541で、セッション管理及びゲートウェイエンティティは、第2認証方法が失敗したことを判定し得る。例えば、セッション管理及びゲートウェイエンティティは、第2認証方法が失敗したことを示す情報をAAAサーバから受信すること、又は、モバイル管理エンティティからのベアラ更新応答が失敗するかタイムアウトしたことに少なくとも基づいて、第2認証方法が失敗したことを判定し得る。
ブロック542で、セッション管理及びゲートウェイエンティティは、セッション削除手順をトリガし得る。
図5fは、本開示の別の実施形態による方法550のフローチャートであり、方法550は、モバイル管理エンティティが実装されている装置で、或いは、モバイル管理エンティティにおいて、或いは、モバイル管理エンティティと通信可能に接続されている装置によって実行され得る。よって、装置は、方法550の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。
ブロック551で、モバイル管理エンティティは端末デバイスからアタッチ要求を受信し得る。一実施形態において、アタッチ要求は、実際のユーザ名と、データネットワーク名に特有のユーザパスワードと、を除外する。
ブロック552で、モバイル管理エンティティは、セッション管理及びゲートウェイエンティティに、端末デバイスの識別子を含むセッション作成要求を送信し得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされ、第2認証方法は、第1認証方法より高いセキュリティを有する。
図5gは、本開示の別の実施形態による方法560のフローチャートであり、方法560は、モバイル管理エンティティが実装されている装置で、或いは、モバイル管理エンティティにおいて、或いは、モバイル管理エンティティと通信可能に接続されている装置によって実行され得る。よって、装置は、方法560の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。
ブロック561で、モバイル管理エンティティは、第2認証方法が成功したことを示す情報と、サービス品質(QoS)情報と、を含むメッセージをセッション管理及びゲートウェイエンティティから受信し得る。
ブロック562で、モバイル管理エンティティは、第2認証方法が成功したことを示す情報を含むメッセージを端末デバイスに送信し得る。
一実施形態において、第2認証方法の手順中に、拡張可能認証プロトコル(EAP)メッセージを伴う拡張プロトコル構成オプション(ePCO)を含む少なくとも1つの発展型パケットシステム(EPS)ベアラコンテキスト修正要求と、少なくとも1つのEPSベアラコンテキスト修正受諾が端末デバイスとモバイル管理エンティティとの間で使用される。
図5gは、本開示の別の実施形態による方法600のフローチャートであり、方法600は、端末デバイスが実装されている装置で、或いは、端末デバイスにおいて、或いは、端末デバイスと通信可能に接続されている装置によって実行され得る。よって、装置は、方法600の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。
ブロック601で、端末デバイスは、アタッチ要求をモバイル管理エンティティに送信し得る。第1認証方法の手順ではなく、第2認証方法の手順が、セッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも高い安全性を有する。
ブロック602で、端末デバイスは、第2認証方法が成功したことを示す情報含むメッセージをモバイル管理エンティティから受信し得る。
図6bは、本開示の別の実施形態による方法610のフローチャートを示し、方法6100は、ポリシ制御機能を実装している装置において、或いは、ポリシ制御機能において、或いは、ポリシ制御機能と通信可能に接続された装置によって実行され得る。よって、装置は、方法610の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。一実施形態において、ポリシ制御機能は、3GPP(登録商標)TS23.501 V16.7.0に記載されているPCFであり得る。
ブロック611で、ポリシ制御機能は、端末デバイスに関連する認証が保留中であることを示す情報をセッション管理及びゲートウェイエンティティから受信し得る。
ブロック612で、ポリシ制御機能は、セッション管理及びゲートウェイエンティティにデフォルトのサービス品質(QoS)情報を送信し得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
図6cは、本開示の別の実施形態による方法620のフローチャートを示し、方法620は、ポリシ制御機能を実装している装置において、或いは、ポリシ制御機能において、或いは、ポリシ制御機能と通信可能に接続された装置によって実行され得る。よって、装置は、方法620の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。一実施形態において、ポリシ制御機能は、3GPP(登録商標)TS23.501 V16.7.0に記載されているPCFであり得る。
ブロック621で、ポリシ制御機能は、第2認証方法が成功したことを示す情報をセッション管理及びゲートウェイエンティティから受信し得る。
ブロック622で、ポリシ制御機能は、セッション管理及びゲートウェイエンティティに少なくとも1つのサービスポリシ及び課金制御ルールを送信し得る。
図6dは、本開示の別の実施形態による方法630のフローチャートであり、方法630は、AAAサーバが実装されている装置で、或いは、AAAサーバにおいて、或いは、AAAサーバと通信可能に接続されている装置によって実行され得る。よって、装置は、方法630の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。一実施形態において、AAAサーバは、3GPP(登録商標)TS23.502 V16.7.1に記載されているDN-AAAであり得る。
ブロック631で、AAAサーバは、端末デバイスの識別子を含むアクセス要求をセッション管理及びゲートウェイエンティティから受信し得る。
ブロック632で、AAAサーバは、認可データを含むアクセス受諾メッセージをセッション管理及びゲートウェイエンティティに送信し得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
ブロック633においてオプションとして、第2認証方法の手順が正常に完了した後、AAAサーバは、第2認証方法が成功したことを示す情報をセッション管理及びゲートウェイエンティティに送信し得る。
図6eは、本開示の別の実施形態による方法640のフローチャートであり、方法640は、AAAサーバが実装されている装置で、或いは、AAAサーバにおいて、或いは、AAAサーバと通信可能に接続されている装置によって実行され得る。よって、装置は、方法640の様々な部分を達成するための手段又はモジュールと、他のコンポーネントと共に他のプロセスを達成するための手段又はモジュールを提供し得る。上記の実施形態で説明された幾つかの部分については、簡潔にするために、その詳細な説明はここでは省略される。
ブロック641で、AAAサーバは、第2認証方法の手順が一定期間後に開始されていないと判定し得る。この期間は、ネットワークオペレータによって設定され得る任意の適切な期間であり得る。
ブロック642で、AAAサーバは、切断要求をセッション管理及びゲートウェイエンティティに送信し得る。
図6fは、本開示の別の実施形態による方法のフローチャートである。
ステップ1.UEはMME及びSGWにアタッチ要求を送信する。
ステップ2.MMEは、UE識別子(IMSI又はMSISDN等)を含むセッション作成要求をSMF+PGW-Cに送信する。
ステップ3.SMFは、たとえば、特定のDNN/S-NSSAIに対するDN-AAAサーバとの合意、又はEAPベースの認証をトリガするかどうかのローカル構成に基づいて、EAPベースの認証が必要かどうかを判定できる。したがって、SMF+PGW-Cは、アクセス受諾メッセージでDN-AAAサーバから認証データ(割り当てられたIPアドレス、アイドルタイムアウト、セッションタイムアウト等)を取得するために、DN-AAAサーバにUE識別子(MSISDN等)を含むアクセス要求メッセージを送信できる。アクセス要求メッセージは、無効なユーザ名又はローカルに設定されたユーザ名をさらに含み得る。
ステップ4.DN-AAAサーバは、最初にUE識別子を使用して認証を行う。DN-AAAサーバはUEにIPアドレスを割り当て得る。DN-AAAサーバは、EAPメッセージを待つタイマを開始し得る。時間が経過してもEAPメッセージが受信されない場合、DN-AAAサーバは切断要求をトリガできる。
ステップ5.PCFが有効な場合、任意のサービスのトリガ(PCFからのルール等)されることを回避するために、SMF+PGW-Cは、認証が保留中であることを示すインジケーションをNpcf_SMPolicyCreate要求メッセージで送信する。
ステップ6.SMF+PGW-CとUPFとの間でパケット転送コントロールプレーン(PFCP)アソシエーションが確立される。
ステップ7~10.SMF+PGW-Cはセッション作成手順を続行し、セッションは現在の規格に従い正常に設定される。ステップ7.SMF+PGW-Cはセッション作成応答をMME&SGWに送信する。ステップ8.MME&SGWは、DL(ダウンリンク)NAS(アタッチ受諾)をUEに送信する。ステップ9.UEはUL(アップリンク)NAS(アタッチ完了)をMME&SGWに送信する。ステップ10.MME&SGWは、SMF+PGW-Cにベアラ修正要求を送信する。
ステップ11.セッションが正常に設定された後、SMF+PGW-CはEAPベースの認証手順を開始する。SMF+PGW-Cは、新しい情報EAP要求/識別子を含むベアラ更新要求メッセージをトリガし、EAP要求/識別子はePCOパラメータに含められ得る。
ステップ12.MMEは、EPSベアラコンテキスト修正要求等のEAPメッセージをDL NASメッセージでUEに送信する。UEは、EPSベアラコンテキスト修正応答等のEAPメッセージでDN固有の識別子をMMEに送信する。
ステップ13.MMEは、ベアラ更新応答(ePCO:EAP応答/識別子)をSMF+PGW-Cに送信する。ベアラ更新応答が失敗するかタイムアウトになると、SMFはセッション削除をトリガする。
ステップ14.SMF+PGW-Cは、アクセス要求(EAPメッセージ)をDN-AAAサーバに送信する。
ステップ15~22.DNAAAサーバとUEは、EAP法の要求に応じてEAPメッセージを交換し、ステップ15~22は、5G PDUセッションのEAP認証の対応するステップと同様であるが、ベアラ更新要求/応答手順を伴う。
ステップ15で、DN-AAAサーバはアクセスチャレンジ(EAPメッセージ)をSMF+PGW-Cに送信する。
ステップ16で、SMF+PGW-Cは、拡張認証プロトコル(EAP)メッセージを伴う拡張プロトコル構成オプション(ePCO)を含むベアラ更新要求をMMEに送信する。
ステップ17で、MMEは、拡張認証プロトコル(EAP)メッセージを伴う拡張プロトコル構成オプション(ePCO)を含む発展型パケットシステム(EPS)ベアラコンテキスト変更要求等のDL NASメッセージをUEに送信する。UEは、拡張認証プロトコル(EAP)メッセージを伴う拡張プロトコル構成オプション(ePCO)を含むEPSベアラコンテキスト修正受諾等のUL NASメッセージをMMEに送信する。
ステップ18で、MMEは、拡張認証プロトコル(EAP)メッセージを伴う拡張プロトコル構成オプション(ePCO)を含むベアラ更新応答をSMF+PGW-Cに送信する。
ステップ19で、SMF+PGW-Cは、アクセス要求(EAPメッセージ)をDN-AAAサーバに送信する。
ステップ20.SMF+PGW-CはDN-AAAサーバからEAP成功を受信する。DN-AAAサーバからアクセス拒否を受信した場合、SMFはセッション削除をトリガし得る。
ステップ21.SMF+PGW-CがDN-AAAサーバからEAP成功を受信すると、SMF+PGW-Cはベアラ更新要求(EAP成功メッセージ及びその他のQoS情報)をMMEに送信する。
ステップ22.MMEは、EPSベアラコンテキスト修正要求(EAPメッセージを伴うePCO)等のDL NASメッセージをUEに送信する。UEは、EPSベアラコンテキスト変更受諾(EAPメッセージを伴うePCO)等のUL NASメッセージをMMEに送信する。
ステップ23.MMEは、ベアラ更新応答(成功)をSMF+PGW-Cに送信する。
ステップ24.SMF+PGW-CがDN-AAAサーバからEAP成功を受信した場合、SMF+PGW-Cは、認証が成功し、PCFからサービスルールを取得できることをPCFに通知することを示す情報を含むNpcf_SMFPolicyUpdate要求メッセージを送信する。
図7は、本開示の幾つかの実施形態を実施するのに適した装置を示すブロック図である。例えば、上述のセッション管理及びゲートウェイエンティティ、モバイル管理エンティティ、端末デバイス、ポリシ制御機能及びAAAサーバのうちのいずれか1つが、装置700として、或いは、装置700を通じて実装され得る。
装置700は、デジタルプロセッサ(DP)等の少なくとも1つのプロセッサ721と、プロセッサ721に結合された少なくとも1つのメモリ(MEM)722と、を備える。装置720は、プロセッサ721に結合された送信機TX及び受信機RX723をさらに備え得る。MEM722は、プログラム(PROG)724を格納する。PROG724は、関連するプロセッサ721で実行されると、装置720が、本開示の実施形態に従い動作することを可能にする命令を含み得る。少なくとも1つのプロセッサ721と、少なくとも1つのMEM722の組み合わせは、本開示の様々な実施形態を実行する様に適合された処理手段725を形成し得る。
本開示の様々な実施形態は、プロセッサ721、ソフトウェア、ファームウェア、ハードウェア、又は、それらの組み合わせのうちの1つ又は複数によって実行可能なコンピュータプログラムによって実装され得る。
MEM722は、ローカルの技術環境に適した任意のタイプであってもよく、非限定的な例として、半導体ベースのメモリデバイス、磁気メモリデバイス及びシステム、光メモリデバイス及びシステム、固定メモリ及びリムーバブルメモリ等の任意の適切なデータストレージ技術を使用して実装され得る。
プロセッサ721は、ローカル技術環境に適切な任意タイプであり、非制限的な例として、汎用目的コンピュータ、特定目的コンピュータ、マイクロプロセッサ、デジタル信号プロセッサ(DSP)及びマルチコアプロセッサアーキテクチャに基づくプロセッサの内の1つ以上を含み得る。
装置がセッション管理及びゲートウェイエンティティとして、或いは、セッション管理及びゲートウェイエンティティで実装される実施形態において、メモリ722は、プロセッサ721によって実行可能な命令を含み、これにより、セッション管理及びゲートウェイエンティティは、上述したセッション管理及びゲートウェイエンティティに関連する方法のいずれかに従って動作する。
装置がモバイル管理エンティティとして、或いは、モバイル管理エンティティで実装される実施形態において、メモリ722は、プロセッサ721によって実行可能な命令を含み、これにより、モバイル管理エンティティは、上述したモバイル管理エンティティに関連する方法のいずれかに従って動作する。
装置が端末デバイスとして、或いは、端末デバイスで実装される実施形態において、メモリ722は、プロセッサ721によって実行可能な命令を含み、これにより、端末デバイスは、上述した端末デバイスに関連する方法のいずれかに従って動作する。
装置がポリシ制御機能として、或いは、ポリシ制御機能で実装される実施形態において、メモリ722は、プロセッサ721によって実行可能な命令を含み、これにより、ポリシ制御機能は、上述したポリシ制御機能に関連する方法のいずれかに従って動作する。
装置がAAAサーバとして、或いは、AAAサーバで実装される実施形態において、メモリ722は、プロセッサ721によって実行可能な命令を含み、これにより、AAAサーバは、上述したAAAサーバに関連する方法のいずれかに従って動作する。
図8aは、本開示の一実施形態によるセッション管理及びゲートウェイエンティティを示すブロック図である。図示する様に、セッション管理及びゲートウェイエンティティ800は、第1受信モジュール801と、第1判定モジュール802と、第1トリガモジュール803と、を備える。第1受信モジュール801は、モバイル管理エンティティから端末デバイスの識別子を含むセッション作成要求を受信する様に構成され得る。第1判定モジュール802は、第1認証方法ではなく、第1認証方法よりも高いセキュリティを有する第2認証方法を使用することを判定する様に構成され得る。第1トリガモジュール803は、認証、認可及びアカウンティング(AAA)サーバに関連する第2認証方法の手順をトリガする様に構成され得る。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、端末デバイスの識別子を含むアクセス要求を送信する様に構成された第1送信モジュール804をさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、AAAサーバから認可データを含むアクセス受諾メッセージを受信する様に構成された第2受信モジュール805をさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、端末デバイスに関連する認証が保留中であることを示す情報をポリシ制御機能に送信する様に構成された第2送信モジュール806をさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、ポリシ制御機能からデフォルトのサービス品質(QoS)情報を受信する様に構成された第3受信モジュール807をさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、第2認証方法が成功したことを示す情報をAAAサーバから受信する様に構成された第4受信モジュール808をさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、第2認証方法が成功したことを示す情報をポリシ制御機能に送信する様に構成された第3送信モジュール809をさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、ポリシ制御機能から少なくとも1つのサービスポリシ及び課金制御ルールを受信する様に構成された第5受信モジュール810をさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、第2認証方法が成功したことを示す情報及びサービス品質(QoS)情報を含むメッセージをモバイル管理エンティティに送信する様に構成された第4送信モジュール811をさらに備え得る。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、第2認証方法が失敗したことを判定する様に構成された第2判定モジュール812をさらに備える。
一実施形態において、セッション管理及びゲートウェイエンティティ800は、セッション削除手順をトリガする様に構成された第2トリガモジュール813をさらに備え得る。
図8bは、本開示の一実施形態によるモバイル管理エンティティを示すブロック図である。図示する様にモバイル管理エンティティ820は、第1受信モジュール821と、第1送信モジュール822と、を備える。第1受信モジュール821は、端末デバイスからアタッチ要求を受信する様に構成され得る。第1送信モジュール822は、端末デバイスの識別子を含むセッション作成要求をセッション管理及びゲートウェイエンティティに送信する様に構成され得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、モバイル管理エンティティ820は、さらに、第2認証方法が成功したことを示す情報及びサービス品質(QoS)情報を含むメッセージをセッション管理及びゲートウェイエンティティから受信する様に構成された第2受信モジュール823をさらに備え得る。
一実施形態において、モバイル管理エンティティ820は、第2認証方法が成功したことを示す情報を含むメッセージを端末デバイスに送信する様に構成された第2送信モジュール824をさらに備え得る。
図8cは、本開示の一実施形態による端末デバイスを示すブロック図である。図示する様に端末デバイス830は送信モジュール831を備える。送信モジュール831は、モバイル管理エンティティにアタッチ要求を送信する様に構成され得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、端末デバイス830は、第2認証方法が成功したことを示す情報を含むメッセージをモバイル管理エンティティから受信する様に構成された受信モジュール832をさらに備え得る。
図8dは、本開示の一実施形態によるポリシ制御機能を示すブロック図である。図示する様に、ポリシ制御機能840は、第1受信モジュール841と、第1送信モジュール842と、を備える。第1受信モジュール841は、端末デバイスからアタッチ要求を受信する様に構成され得る。第1送信モジュール842は、セッション管理及びゲートウェイエンティティにデフォルトのサービス品質(QoS)情報を送信する様に構成され得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、ポリシ制御機能840は、第2認証方法が成功したことを示す情報をセッション管理及びゲートウェイエンティティから受信する様に構成された第2受信モジュール843をさらに備え得る。
一実施形態において、ポリシ制御機能840は、少なくとも1つのサービスポリシ及び課金制御ルールをセッション管理及びゲートウェイエンティティに送信する様に構成された第2送信モジュール844をさらに備え得る。
図8eは、本開示一実施形態によるAAAサーバを示すブロック図である。図示する様に、AAAサーバ850は、第1受信モジュール851と、第1送信モジュール852と、を備える。第1受信モジュール851は、セッション管理及びゲートウェイエンティティから端末デバイスの識別子を含むアクセス要求を受信する様に構成され得る。第1送信モジュール852は、認可データを含むアクセス受諾メッセージをセッション管理及びゲートウェイエンティティに送信する様に構成され得る。第1認証方法の手順ではなく、第2認証方法の手順がセッション管理及びゲートウェイエンティティによってトリガされる。第2認証方法は、第1認証方法よりも安全性が高い。
一実施形態において、AAAサーバ850は、第2認証方法の手順が一定期間後に開始されないと判定する様に構成された判定モジュール853をさらに備え得る。
一実施形態において、AAAサーバ850は、セッション管理及びゲートウェイエンティティに切断要求を送信する様に構成された第2送信モジュール854をさらに備え得る。
本明細書の実施形態は多くの利点を提供することができ、その例の非網羅的なリストを以下に示す。本明細書の一部の実施形態において、セキュリティ問題は、最初にEPSに接続するUEに関して解決され得る。本明細書の一部の実施形態において、セキュリティ問題は、最初にEPSに接続し、セッション存続期間中に5GSに移動するUEに関して解決され得る。本明細書の一部の実施形態において、セッション管理及びSMF等のゲートウェイエンティティは、UEが5GSに移動すると直ちにDN-AAAサーバから5GS属性を取得することができる。本明細書の一部の実施形態において、DN-AAAサーバは、再認証をトリガするときに正しい情報を有することができる。本明細書の実施形態は、上述の好ましい特徴及び利点に限定されない。当業者は、以下の詳細な説明を読めば、追加の特徴及び利点を認識するであろう。
ユニットという用語は、電気、電気デバイス、及び/又は、電子デバイスの分野で従来の意味を有し、例えば、電気及び/又は電子回路、デバイス、モジュール、プロセッサ、メモリ、論理ソリッドステート及び/又はディスクリートデバイス、それぞれのタスク、手順、計算、出力、及び/又は表示機能等を実行するための、本明細書に記載されているコンピュータプログラム又は命令を含み得る。
機能ユニットを使用すると、セッション管理及びゲートウェイエンティティと、モバイル管理エンティティと、端末デバイスと、ポリシ制御機能と、AAAサーバは、固定プロセッサ又はメモリを必要とせず、任意のコンピューティングリソース及びストレージリソースを、通信システム内のセッション管理及びゲートウェイエンティティ、モバイル管理エンティティ、端末デバイス、ポリシ制御機能及びAAAサーバとして配置することができる。仮想化技術やネットワークコンピューティング技術の導入により、ネットワークリソースの利用効率やネットワークの柔軟性が向上し得る。
本開示の一態様によれば、コンピュータ可読記憶媒体に有形に記憶され、少なくとも1つのプロセッサ上で実行されると、少なくとも1つのプロセッサに上述した方法のいずれかを実行させる命令を含むコンピュータプログラム製品が提供される。
本開示の一態様によれば、少なくとも1つのプロセッサによって実行されると、少なくとも1つのプロセッサに上述した方法のいずれかを実行させる命令を格納するコンピュータ可読記憶媒体が提供される。
さらに、本開示は、上述したコンピュータプログラムを含むキャリアを提供し、キャリアは、電気信号、光信号、無線信号、又は、コンピュータ可読記憶媒体内の1つである。コンピュータ可読記憶媒体は、例えば、光学コンパクトディスク、RAM(ランダムアクセスメモリ)、ROM(読み取り専用メモリ)、フラッシュメモリ、磁気テープ、CD-ROM、DVD、ブルーレイディスク等の電子メモリデバイスであり得る。
本明細書で説明される技術は、様々な手段によって実装され、実施形態で説明される対応する装置の1つ又は複数の機能を実装する装置は、従来技術の手段のみならず、実施形態で説明される対応する装置の1つ又は複数の機能を実装するための手段も有し、それは、各別個の機能のための別個の手段、或いは、1つ又は複数の機能を実行する様に構成され得る手段を含み得る。例えば、これらの技法は、ハードウェア(1つ又は複数の装置)、ファームウェア(1つ又は複数の装置)、ソフトウェア(1つ又は複数のモジュール)、又はそれらの組み合わせで実装され得る。ファームウェア又はソフトウェアの場合、実装は、本明細書で説明する機能を実行するモジュール(たとえば、手順、機能等)によって行われ得る。
本明細書における例示的な実施形態が、方法及び装置のブロック図及びフローチャートを参照して上述された。ブロック図及びフローチャート図の各ブロック、ならびにブロック図及びフローチャート図のそれぞれにおけるブロックの組み合わせは、コンピュータプログラム命令を含む様々な手段によって実装できることが理解されよう。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、又は他のプログラム可能なデータ処理装置にロードされて、コンピュータ又は他のプログラム可能なデータ処理装置上で実行される命令が、フローチャートブロック又はブロックで指定された機能を実装するための手段を作成する様に、マシンを生成することができる。
さらに、特定の順序での動作を説明したが、図示した特定の順序、又は、シーケンシャル順序で実行することが必要ではなく、総ての説明した動作は、望ましい結果を達成するために実行される。特定の環境において、マルチタスク及び並行処理が有利であり得る。同様に、上記記載には、幾つかの特定の実装の詳細が含まれているが、それらは、本開示の範囲を制限するものではなく、特徴の記載は、特定の実施形態に特有のものであり得る。個別の実施形態の文脈で記述された特定の特徴は、単一実施形態において組み合わせて実装され得る。逆に、単一の実施形態の文脈で記述された種々の特徴は、複数の実施形態において個別に、或いは、任意の適切なサブコンビネーションとして実装され得る。
この仕様には多くの特定の実装の詳細が含まれているが、これらは、実装の範囲又は特許請求される内容の制限として解釈されるべきではなく、特定の実装の特定の実施形態に固有の機能の説明として解釈されるべきである。別個の実施形態の文脈で本明細書に記載されている特定の特徴は、単一の実施形態で組み合わせて実装することもできる。逆に、単一の実施形態の文脈で記述された種々の特徴は、複数の実施形態において個別に、或いは、任意の適切なサブコンビネーションとして実装され得る。さらに、特徴は特定の組み合わせで作用するものとして上で説明され、最初はその様に主張されることさえあるが、クレームされた組み合わせからの1つ又は複数の特徴は、場合によっては、その組み合わせから削除される場合があり、クレームされた組み合わせは、サブコンビネーション又はサブコンビネーションのバリエーションを対象とし得る。
技術が進歩するにつれて、本発明の概念を様々な方法で実施できることは、当業者には明らかであろう。上述の実施形態は、本開示を限定するのではなく、説明するために与えられたものであり、当業者が容易に理解する様に、本開示の精神及び範囲から逸脱することなく修正及び変更に頼ることができることを理解されたい。その様な修正及び変形は、本開示及び添付の特許請求の範囲内のものであると見做される。本開示の保護範囲は、添付の特許請求の範囲によって定義される。

Claims (68)

  1. セッション管理及びゲートウェイエンティティによって実行される方法(500)であって、
    端末デバイスの識別子を含むセッションの作成要求をモバイル管理エンティティから受信(501)することと、
    第1認証方法ではなく、前記第1認証方法より高いセキュリティを有する第2認証方法を使用することを判定(502)することと、
    認証、認可及びアカウンティング(AAA)サーバに関連する前記第2認証方法の手順をトリガ(503)することと、
    を含む方法。
  2. 請求項1に記載の方法であって、さらに、
    前記端末デバイスの前記識別子を含むアクセス要求を前記AAAサーバに送信(511)することと、
    認可データを含むアクセス受諾メッセージを前記AAAサーバから受信(512)することと、
    を含む方法。
  3. 請求項2に記載の方法であって、
    前記アクセス要求は、さらに、無効なユーザ名又はローカルに設定されたユーザ名を含む、方法。
  4. 請求項1から3のいずれか1項に記載の方法であって、さらに、
    前記端末デバイスに関連する認証が保留されていることを示す情報をポリシ制御機能に送信(521)することと、
    前記ポリシ制御機能からデフォルトのサービス品質(QoS)情報を受信(522)することと、
    を含む方法。
  5. 請求項1から4のいずれか1項に記載の方法であって、
    前記第2認証方法の前記手順は、前記セッションが正常に設定された後にトリガされる、方法。
  6. 請求項1から5のいずれか1項に記載の方法であって、さらに、
    前記第2認証方法が成功したことを示す情報を前記AAAサーバから受信(531)することと、
    前記第2認証方法が成功したことを示す情報を前記ポリシ制御機能に送信(532)することと、
    前記ポリシ制御機能から少なくとも1つのサービスポリシ及び課金制御ルールを受信(533)することと、
    を含む方法。
  7. 請求項6に記載の方法であって、さらに、
    前記第2認証方法が成功したことを示す情報と、サービス品質(QoS)情報と、を含むメッセージを前記モバイル管理エンティティに送信(534)することを含む、方法。
  8. 請求項1から7のいずれか1項に記載の方法であって、
    前記第2認証方法の前記手順の間、拡張可能認証プロトコル(EAP)メッセージ交換を伴う拡張プロトコル構成オプション(ePCO)を含む少なくとも1つのベアラ更新要求及び少なくとも1つのベアラ更新応答が、前記セッション管理及びゲートウェイエンティティと、前記モバイル管理エンティティとの間で使用される、方法。
  9. 請求項1から8のいずれか1項に記載の方法であって、さらに、
    前記第2認証方法が失敗したと判定(541)することと、
    セッション削除手順をトリガ(542)することと、
    を含む方法。
  10. 請求項9に記載の方法であって、
    前記第2認証方法が失敗したと判定することは、
    前記第2認証方法が失敗したことを示す情報を前記AAAサーバから受信することと、
    前記モバイル管理エンティティからのベアラ更新応答が失敗するかタイムアウトしたことと、の内の少なくとも1つに基づく、方法。
  11. 請求項1から10のいずれか1項に記載の方法であって、
    前記第2認証方法は、拡張可能認証プロトコル(EAP)を含む、方法。
  12. 請求項1から11のいずれか1項に記載の方法であって、
    前記第1認証方法は、パスワード認証プロトコル(PAP)又はチャレンジハンドシェイク認証プロトコル(CHAP)を含む、方法。
  13. 請求項1から12のいずれか1項に記載の方法であって、
    前記第1認証方法ではなく前記第2認証方法を使用することを判定することは、
    前記AAAサーバとの合意と、
    前記セッションの作成要求に含まれる少なくとも1つのパラメータと、
    前記第2認証方法を使用するかどうかのローカル設定と、
    前記AAAサーバの能力と、
    前記端末デバイスの能力と、
    の内の少なくとも1つに基づく、方法。
  14. 請求項13に記載の方法であって、
    前記AAAサーバとの前記合意は、特定のデータネットワーク名(DNN)又は単一ネットワークスライス選択支援情報(S-NSSAI)についての前記AAAサーバとの合意を含む、方法。
  15. 請求項1から14のいずれか1項に記載の方法であって、
    前記セッション管理及びゲートウェイエンティティは、パケットデータネットワークゲートウェイ制御プレーンと組み合わせたセッション管理機能(SMF+PGW-C)を有する、方法。
  16. 請求項1から15のいずれか1項に記載の方法であって、
    前記AAAサーバは、データネットワークAAA(DN-AAA)サーバを有する、方法。
  17. 請求項1から16のいずれか1項に記載の方法であって、
    前記端末デバイスは、第4世代(4G)ネットワークにアクセスしている、方法。
  18. 請求項1から17のいずれか1項に記載の方法であって、
    前記セッションの作成要求は、実際のユーザ名とデータネットワーク名に特有のユーザパスワードとを含まない、方法。
  19. モバイル管理エンティティによって実行される方法(550)であって、
    端末デバイスからアタッチ要求を受信(551)することと、
    前記端末デバイスの識別子を含むセッションの作成要求をセッション管理及びゲートウェイエンティティに送信(552)することと、
    を含み、
    第1認証方法の手順ではなく、第2認証方法の手順が、前記セッション管理及びゲートウェイエンティティによってトリガされ、
    前記第2認証方法は、前記第1認証方法よりも高いセキュリティを有する、方法。
  20. 請求項19に記載の方法であって、
    前記第2認証方法の前記手順は、前記セッションが正常に設定された後にトリガされる、方法。
  21. 請求項19又は20に記載の方法であって、さらに、
    前記第2認証方法が成功したことを示す情報と、サービス品質(QoS)情報と、を含むメッセージを前記セッション管理及びゲートウェイエンティティから受信(561)することと、
    前記第2認証方法が成功したことを示す情報を含むメッセージを前記端末デバイスに送信(562)することと、
    を含む方法。
  22. 請求項19から21のいずれか1項に記載の方法であって、
    前記第2認証方法の前記手順の間、拡張可能認証プロトコル(EAP)メッセージ交換を伴う拡張プロトコル構成オプション(ePCO)を含む少なくとも1つのベアラ更新要求及び少なくとも1つのベアラ更新応答が、前記セッション管理及びゲートウェイエンティティと、前記モバイル管理エンティティとの間で使用される、方法。
  23. 請求項19から22のいずれか1項に記載の方法であって、
    前記第2認証方法の前記手順の間、拡張可能認証プロトコル(EAP)メッセージ交換を伴う拡張プロトコル構成オプション(ePCO)を含む少なくとも1つの発展型パケットシステム(EPS)ベアラコンテキスト修正要求及び少なくとも1つのEPSベアラコンテキスト修正受諾が、前記端末デバイスと前記モバイル管理エンティティとの間で使用される、方法。
  24. 請求項19から23のいずれか1項に記載の方法であって、
    前記第2認証方法は、拡張可能認証プロトコル(EAP)を含む、方法。
  25. 請求項19から24のいずれか1項に記載の方法であって、
    前記第1認証方法は、パスワード認証プロトコル(PAP)又はチャレンジハンドシェイク認証プロトコル(CHAP)を含む、方法。
  26. 請求項19から25のいずれか1項に記載の方法であって、
    前記セッション管理及びゲートウェイエンティティは、パケットデータネットワークゲートウェイ制御プレーンと組み合わせたセッション管理機能(SMF+PGW-C)を有する、方法。
  27. 請求項19から26のいずれか1項に記載の方法であって、
    前記端末デバイスは、第4世代(4G)ネットワークにアクセスしている、方法。
  28. 請求項19から27のいずれか1項に記載の方法であって、
    前記セッションの作成要求は、実際のユーザ名とデータネットワーク名に特有のユーザパスワードとを含まない、方法。
  29. 請求項19から28のいずれか1項に記載の方法であって、
    前記アタッチ要求は、実際のユーザ名とデータネットワーク名に特有のユーザパスワードとを含まない、方法。
  30. 端末デバイスによって実行される方法(600)であって、
    モバイル管理エンティティにアタッチ要求を送信(601)することを含み、
    第1認証方法の手順ではなく、第2認証方法の手順が、セッション管理及びゲートウェイエンティティによってトリガされ、
    前記第2認証方法は、前記第1認証方法よりも高いセキュリティを有する、方法。
  31. 請求項30に記載の方法であって、
    前記第2認証方法の前記手順は、前記セッションが正常に設定された後にトリガされる、方法。
  32. 請求項30又は31に記載の方法であって、さらに、
    前記第2認証方法が成功したことを示す情報を含むメッセージを前記モバイル管理エンティティから受信(602)することを含む、方法。
  33. 請求項30から32のいずれか1項に記載の方法であって、
    前記第2認証方法の前記手順の間、拡張可能認証プロトコル(EAP)メッセージ交換を伴う拡張プロトコル構成オプション(ePCO)を含む少なくとも1つのベアラ更新要求及び少なくとも1つのベアラ更新応答が、前記セッション管理及びゲートウェイエンティティと、前記モバイル管理エンティティとの間で使用される、方法。
  34. 請求項30から33のいずれか1項に記載の方法であって、
    前記第2認証方法の前記手順の間、拡張可能認証プロトコル(EAP)メッセージ交換を伴う拡張プロトコル構成オプション(ePCO)を含む少なくとも1つの発展型パケットシステム(EPS)ベアラコンテキスト修正要求及び少なくとも1つのEPSベアラコンテキスト修正受諾が、前記端末デバイスと前記モバイル管理エンティティとの間で使用される、方法。
  35. 請求項30から34のいずれか1項に記載の方法であって、
    前記第2認証方法は、拡張可能認証プロトコル(EAP)を含む、方法。
  36. 請求項30から35のいずれか1項に記載の方法であって、
    前記第1認証方法は、パスワード認証プロトコル(PAP)又はチャレンジハンドシェイク認証プロトコル(CHAP)を含む、方法。
  37. 請求項30から36のいずれか1項に記載の方法であって、
    前記セッション管理及びゲートウェイエンティティは、パケットデータネットワークゲートウェイ制御プレーンと組み合わせたセッション管理機能(SMF+PGW-C)を有する、方法。
  38. 請求項30から37のいずれか1項に記載の方法であって、
    前記端末デバイスは、第4世代(4G)ネットワークにアクセスしている、方法。
  39. 請求項30から38のいずれか1項に記載の方法であって、
    前記アタッチ要求は、実際のユーザ名とデータネットワーク名に特有のユーザパスワードとを含まない、方法。
  40. ポリシ制御機能によって実行される方法(610)であって、
    端末デバイスに関連する認証が保留中であることを示す情報をセッション管理及びゲートウェイエンティティから受信(611)することと、
    前記セッション管理及びゲートウェイエンティティにデフォルトのサービス品質(QoS)情報を送信(612)することと、
    を含み、
    第1認証方法の手順ではなく、第2認証方法の手順が、前記セッション管理及びゲートウェイエンティティによってトリガされ、
    前記第2認証方法は、前記第1認証方法よりも高いセキュリティを有する、方法。
  41. 請求項40に記載の方法であって、
    前記第2認証方法の前記手順は、前記セッションが正常に設定された後にトリガされる、方法。
  42. 請求項40又は41に記載の方法であって、さらに、
    前記第2認証方法が成功したことを示す情報を前記セッション管理及びゲートウェイエンティティから受信(621)することと、
    前記セッション管理及びゲートウェイエンティティに少なくとも1つのサービスポリシ及び課金制御ルールを送信(622)することと、
    を含む方法。
  43. 請求項40から42のいずれか1項に記載の方法であって、
    前記第2認証方法は、拡張可能認証プロトコル(EAP)を含む、方法。
  44. 請求項40から43のいずれか1項に記載の方法であって、
    前記第1認証方法は、パスワード認証プロトコル(PAP)又はチャレンジハンドシェイク認証プロトコル(CHAP)を含む、方法。
  45. 請求項40から44のいずれか1項に記載の方法であって、
    前記セッション管理及びゲートウェイエンティティは、パケットデータネットワークゲートウェイ制御プレーンと組み合わせたセッション管理機能(SMF+PGW-C)を有する、方法。
  46. 請求項40から45のいずれか1項に記載の方法であって、
    前記端末デバイスは、第4世代(4G)ネットワークにアクセスしている、方法。
  47. 認証、認可及びアカウンティング(AAA)サーバによって実行される方法(630)であって、
    端末デバイスの識別子を含むアクセス要求をセッション管理及びゲートウェイエンティティから受信(631)することと、
    認可データを含むアクセス受諾メッセージを前記セッション管理及びゲートウェイエンティティに送信(632)することと、
    を含み、
    第1認証方法の手順ではなく、第2認証方法の手順が、前記セッション管理及びゲートウェイエンティティによってトリガされ、
    前記第2認証方法は、前記第1認証方法よりも高いセキュリティを有する、方法。
  48. 請求項47に記載の方法であって、
    前記アクセス要求は、さらに、無効なユーザ名又はローカルに設定されたユーザ名を含む、方法。
  49. 請求項47又は48に記載の方法であって、
    前記第2認証方法の前記手順は、セッションが正常に設定された後にトリガされる、方法。
  50. 請求項47から49のいずれか1項に記載の方法であって、さらに、
    前記第2認証方法の前記手順が正常に完了した後、前記第2認証方法が成功したことを示す情報を前記セッション管理及びゲートウェイエンティティに送信(633)することを含む、方法。
  51. 請求項47から50のいずれか1項に記載の方法であって、さらに、
    期間後に前記第2認証方法の前記手順が開始されないと判定(641)することと、
    前記セッション管理及びゲートウェイエンティティに切断要求を送信(642)することと、
    を含む方法。
  52. 請求項47から51のいずれか1項に記載の方法であって、
    前記第2認証方法は、拡張可能認証プロトコル(EAP)を含む、方法。
  53. 請求項47から52のいずれか1項に記載の方法であって、
    前記第1認証方法は、パスワード認証プロトコル(PAP)又はチャレンジハンドシェイク認証プロトコル(CHAP)を含む、方法。
  54. 請求項47から53のいずれか1項に記載の方法であって、
    前記セッション管理及びゲートウェイエンティティは、パケットデータネットワークゲートウェイ制御プレーンと組み合わせたセッション管理機能(SMF+PGW-C)を有する、方法。
  55. 請求項47から54のいずれか1項に記載の方法であって、
    前記AAAサーバは、データネットワークAAA(DN-AAA)サーバを有する、方法。
  56. 請求項47から55のいずれか1項に記載の方法であって、
    前記端末デバイスは、第4世代(4G)ネットワークにアクセスしている、方法。
  57. セッション管理及びゲートウェイエンティティ(700)であって、
    プロセッサ(721)と、
    前記プロセッサ(721)に結合されたメモリ(722)と、
    を備え、
    前記メモリは(722)は、前記プロセッサ(721)によって実行可能な命令を含み、
    前記セッション管理及びゲートウェイエンティティ(700)は、
    端末デバイスの識別子を含むセッションの作成要求をモバイル管理エンティティから受信することと、
    第1認証方法ではなく、前記第1認証方法より高いセキュリティを有する第2認証方法を使用することを判定することと、
    認証、認可及びアカウンティング(AAA)サーバに関連する前記第2認証方法の手順をトリガすることと、
    を行う様に動作する、セッション管理及びゲートウェイエンティティ。
  58. 請求項57に記載のセッション管理及びゲートウェイエンティティであって、
    前記セッション管理及びゲートウェイエンティティは、さらに、請求項2から18のいずれか1項に記載の方法を実行する様に動作する、セッション管理及びゲートウェイエンティティ。
  59. モバイル管理エンティティ(700)であって、
    プロセッサ(721)と、
    前記プロセッサ(721)に結合されたメモリ(722)と、
    を備え、
    前記メモリは(722)は、前記プロセッサ(721)によって実行可能な命令を含み、
    前記モバイル管理エンティティ(700)は、
    端末デバイスからアタッチ要求を受信することと、
    前記端末デバイスの識別子を含むセッションの作成要求をセッション管理及びゲートウェイエンティティに送信することと、
    を行う様に動作し、
    第1認証方法の手順ではなく、第2認証方法の手順が、前記セッション管理及びゲートウェイエンティティによってトリガされ、
    前記第2認証方法は、前記第1認証方法よりも高いセキュリティを有する、モバイル管理エンティティ。
  60. 請求項59に記載のモバイル管理エンティティであって、
    前記モバイル管理エンティティは、さらに、請求項20から29のいずれか1項に記載の方法を実行する様に動作する、モバイル管理エンティティ。
  61. 端末デバイス(700)であって、
    プロセッサ(721)と、
    前記プロセッサ(721)に結合されたメモリ(722)と、を備え、
    前記メモリは(722)は、前記プロセッサ(721)によって実行可能な命令を含み、
    前記端末デバイス(700)は、
    モバイル管理エンティティにアタッチ要求を送信することを行う様に動作し、
    第1認証方法の手順ではなく、第2認証方法の手順が、前記セッション管理及びゲートウェイエンティティによってトリガされ、
    前記第2認証方法は、前記第1認証方法よりも高いセキュリティを有する、端末デバイス。
  62. 請求項61に記載の端末デバイスであって、
    前記端末デバイスは、さらに、請求項31から39のいずれか1項に記載の方法を実行する様に動作されている、端末デバイス。
  63. ポリシ制御機能(700)で、あって、
    プロセッサ(721)と、
    前記プロセッサ(721)に結合されたメモリ(722)と、
    を備え、
    前記メモリは(722)は、前記プロセッサ(721)によって実行可能な命令を含み、
    前記ポリシ制御機能(700)は、
    端末デバイスに関連する認証が保留中であることを示す情報をセッション管理及びゲートウェイエンティティから受信することと、
    前記セッション管理及びゲートウェイエンティティにデフォルトのサービス品質(QoS)情報を送信することと、
    を行う様に動作し、
    第1認証方法の手順ではなく、第2認証方法の手順が、前記セッション管理及びゲートウェイエンティティによってトリガされ、
    前記第2認証方法は、前記第1認証方法よりも高いセキュリティを有する、ポリシ制御機能。
  64. 請求項63に記載のポリシ制御機能であって、
    前記ポリシ制御機能は、さらに、請求項41から46のいずれか1項に記載の方法を実行する様に動作する、ポリシ制御機能。
  65. 認証、認可及びアカウンティング(AAA)サーバ(700)であって、
    プロセッサ(721)と、
    前記プロセッサ(721)に結合されたメモリ(722)と、
    を備え、
    前記メモリは(722)は、前記プロセッサ(721)によって実行可能な命令を含み、
    前記AAAサーバ(700)は、
    端末デバイスの識別子を含むアクセス要求をセッション管理及びゲートウェイエンティティから受信することと、
    認可データを含むアクセス受諾メッセージを前記セッション管理及びゲートウェイエンティティに送信することと、
    を行う様に動作し、
    第1認証方法の手順ではなく、第2認証方法の手順が、前記セッション管理及びゲートウェイエンティティによってトリガされ、
    前記第2認証方法は、前記第1認証方法よりも高いセキュリティを有する、AAAサーバ。
  66. 請求項65に記載のAAAサーバであって、
    前記AAAサーバは、さらに、請求項48から56のいずれか1項に記載の方法を実行する様に動作する、AAAサーバ。
  67. 少なくとも1つのプロセッサで実行されると前記少なくとも1つのプロセッサに請求項1から56のいずれか1項に記載の方法を実行させる命令を格納するコンピュータ可読記憶媒体。
  68. 少なくとも1つのプロセッサで実行されると前記少なくとも1つのプロセッサに請求項1から56のいずれか1項に記載の方法を実行させる命令を含むコンピュータプログラム。
JP2023550687A 2021-02-23 2022-02-23 認証のための方法及び装置 Pending JP2024507269A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CNPCT/CN2021/077462 2021-02-23
CN2021077462 2021-02-23
PCT/CN2022/077469 WO2022179525A1 (en) 2021-02-23 2022-02-23 Method and apparatus for authentication

Publications (1)

Publication Number Publication Date
JP2024507269A true JP2024507269A (ja) 2024-02-16

Family

ID=83047751

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023550687A Pending JP2024507269A (ja) 2021-02-23 2022-02-23 認証のための方法及び装置

Country Status (5)

Country Link
US (1) US20240129312A1 (ja)
EP (1) EP4298813A1 (ja)
JP (1) JP2024507269A (ja)
CN (1) CN117322026A (ja)
WO (1) WO2022179525A1 (ja)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103067342B (zh) * 2011-10-20 2018-01-19 中兴通讯股份有限公司 一种使用eap进行外部认证的设备、系统及方法
CN110235423B (zh) * 2017-01-27 2022-10-21 瑞典爱立信有限公司 对用户设备的辅认证
CN109391940B (zh) * 2017-08-02 2021-02-12 华为技术有限公司 一种接入网络的方法、设备及系统

Also Published As

Publication number Publication date
WO2022179525A1 (en) 2022-09-01
CN117322026A (zh) 2023-12-29
EP4298813A1 (en) 2024-01-03
US20240129312A1 (en) 2024-04-18

Similar Documents

Publication Publication Date Title
JP5793812B2 (ja) データオフロードをトリガするための方法、ネットワーク側デバイス、ユーザ機器、およびネットワークシステム
EP3020219B1 (en) Trusted wireless local area network (wlan) access scenarios
KR102509333B1 (ko) 세션 관리를 위한 방법 및 장치
US20240121591A1 (en) Methods and apparatuses for event monitoring
WO2020215668A1 (en) Method and apparatus for service discovery
WO2021083645A1 (en) Method and apparatus for session management
JP2022535933A (ja) マルチユーザモバイル端末のためのサービス配信を実行するための装置、システム、方法、およびコンピュータ可読媒体
EP2787768B1 (en) Access method and system
US9641531B2 (en) Node and a method for enabling network access authorization
WO2016180179A1 (zh) WiFi网络中获取终端位置的方法、终端、LTE通信设备及系统
JP2024507269A (ja) 認証のための方法及び装置
US20230224300A1 (en) Method and Apparatus for Authentication and Authorization
WO2021000915A1 (en) Methods and apparatuses for non-ip data delivery
WO2021217611A1 (en) Method and apparatus for information synchronization
JP7412442B2 (ja) セッション管理のための方法及び装置
WO2021180170A1 (en) Method and apparatus for handover
WO2023217265A1 (en) Method and apparatus for populating alternative pgw-c/smf information
WO2024017181A1 (zh) 设备授权方法、装置及网络侧设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231002

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231002