JP2024519200A - 5gsからepcの再選択のセキュリティハンドリング - Google Patents

5gsからepcの再選択のセキュリティハンドリング Download PDF

Info

Publication number
JP2024519200A
JP2024519200A JP2023565953A JP2023565953A JP2024519200A JP 2024519200 A JP2024519200 A JP 2024519200A JP 2023565953 A JP2023565953 A JP 2023565953A JP 2023565953 A JP2023565953 A JP 2023565953A JP 2024519200 A JP2024519200 A JP 2024519200A
Authority
JP
Japan
Prior art keywords
security context
tau request
mapped
network entity
context
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023565953A
Other languages
English (en)
Inventor
ドミニク・フランソワ・ブレッサネッリ
オサマ・ロトフォラー
コゴル・ティナ
アビシェーク・バトナーゲル
ヴィタリー・ドラプキン
レナイグ・ジュヌヴィエーヴ・シャポニエール
Original Assignee
クアルコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US17/662,978 external-priority patent/US20220369176A1/en
Application filed by クアルコム,インコーポレイテッド filed Critical クアルコム,インコーポレイテッド
Publication of JP2024519200A publication Critical patent/JP2024519200A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Alarm Systems (AREA)

Abstract

本明細書で開示する態様は、5GSからEPCの再選択のセキュリティハンドリングを容易にする。UEにおける例示的な方法は、第1のTAU要求を送信するステップであって、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ステップを含む。例示的な方法はまた、第2のTAU要求を送信するステップであって、第2のTAU要求が情報の第1のセットを含み、第2のTAU要求が、第2のアップリンクカウントを使用して完全性保護される、ステップを含む。例示的な方法はまた、第1のセキュリティコンテキスト、および第1のアップリンクカウントまたは第2のアップリンクカウントのうちの少なくとも1つに基づく、マッピングされたセキュリティコンテキストに基づいて通信するステップを含む。

Description

関連出願の相互参照
本出願は、その全体が参照により本明細書に明確に組み込まれる、2021年5月12日に出願された「SECURITY HANDLING OF 5GS TO EPC RESELECTION」と題する米国仮出願第63/187,784号、および2022年5月11日に出願された「SECURITY HANDLING OF 5GS TO EPC RESELECTION」と題する米国特許非仮出願第17/662,978号の利益および優先権を主張する。
本開示は、一般に、通信システムに関し、より詳細には、通信システムにおいて採用されるセキュリティ機能およびセキュリティ機構に関する。
ワイヤレス通信システムは、テレフォニー、ビデオ、データ、メッセージング、およびブロードキャストなどの様々な電気通信サービスを提供するために広く展開されている。典型的なワイヤレス通信システムは、利用可能なシステムリソースを共有することによって複数のユーザとの通信をサポートすることが可能な多元接続技術を採用し得る。そのような多元接続技術の例には、符号分割多元接続(CDMA)システム、時分割多元接続(TDMA)システム、周波数分割多元接続(FDMA)システム、直交周波数分割多元接続(OFDMA)システム、シングルキャリア周波数分割多元接続(SC-FDMA)システム、および時分割同期符号分割多元接続(TD-SCDMA)システムがある。
これらの多元接続技術は、異なるワイヤレスデバイスが都市、国家、地域、さらには地球規模で通信することを可能にする共通プロトコルを提供するために、様々な電気通信規格において採用されている。例示的な電気通信規格は5G新無線(NR)である。5G NRは、レイテンシ、信頼性、セキュリティ、(たとえば、モノのインターネット(IoT)を伴う)スケーラビリティに関連する新たな要件、および他の要件を満たすように、第3世代パートナーシッププロジェクト(3GPP)によって公表された継続的なモバイルブロードバンド進化の一部である。5G NRは、拡張モバイルブロードバンド(eMBB)、大規模マシンタイプ通信(mMTC)、および超高信頼低レイテンシ通信(URLLC)に関連付けられたサービスを含む。5G NRのいくつかの態様は、4Gロングタームエボリューション(LTE)規格に基づくことがある。5G NR技術にはさらなる改善が必要である。これらの改善はまた、他の多元接続技術、およびこれらの技術を採用する電気通信規格に適用可能であり得る。
以下は、1つまたは複数の態様の基本的理解をもたらすために、そのような態様の簡略化された概要を提示する。本概要は、すべての企図される態様の広範な概説ではない。本概要は、すべての態様の主要または重要な要素を識別するものでもなく、いずれかまたはすべての態様の範囲を定めるものでもない。その唯一の目的は、後で提示されるより詳細な説明の前置きとして、1つまたは複数の態様のいくつかの概念を簡略化された形で提示することである。
本開示の一態様では、ワイヤレス通信のための、方法、コンピュータ可読媒体、および装置が提供される。装置は、ユーザ機器(UE)を含み得る。例示的な装置は、第1のネットワークエンティティに第1のトラッキングエリア更新(TAU)要求を送信することであって、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護(integrity protect)され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ことを行い得る。例示的な装置はまた、第1のネットワークエンティティに第2のTAU要求を送信することであって、第2のTAU要求が情報の第1のセットを含み、第2のTAU要求が、第2のアップリンクカウントを使用して完全性保護される、ことを行い得る。例示的な装置はまた、第1のセキュリティコンテキスト、および第1のアップリンクカウントまたは第2のアップリンクカウントのうちの少なくとも1つに基づいて、マッピングされたセキュリティコンテキストを導出し得る。さらに、例示的な装置は、マッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信し得る。
本開示の一態様では、ワイヤレス通信のための、方法、コンピュータ可読媒体、および装置が提供される。装置は、UEを含み得る。例示的な装置は、第1のRATとは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のTAU要求を送信することであって、第1のネットワークエンティティが第2のRATに関連付けられ、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護される、ことを行い得る。例示的な装置はまた、第1のセキュリティコンテキスト、第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出し得る。さらに、例示的な装置は、第1のネットワークエンティティに第1のTAU要求の反復を送信することであって、第1のTAU要求の反復が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、ことを行い得る。例示的な装置はまた、第1のセキュリティコンテキスト、第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出し得る。例示的な装置はまた、第1のネットワークエンティティからダウンリンク送信を受信し得る。さらに、例示的な装置は、第1の完全性鍵および第2の完全性鍵のうちの少なくとも1つを使用して、ダウンリンク送信における完全性検査を実行し得る。例示的な装置はまた、導出された完全性鍵を使用して、ダウンリンク送信における完全性検査が成功するとき、UEのマスターセキュリティ鍵を設定することであって、マスターセキュリティ鍵が、導出された完全性鍵を導出するために使用された、第1のマッピングされたセキュリティコンテキストまたは第2のマッピングされたセキュリティコンテキストに基づいて設定される、ことを行い得る。
本開示の別の態様では、ワイヤレス通信のための、方法、コンピュータ可読媒体、および装置が提供される。装置は、モビリティ管理エンティティ(MME)など、第1のネットワークエンティティを含み得る。例示的な装置は、UEによって生成された第1のTAU要求を受信することであって、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ことを行い得る。例示的な装置はまた、第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力することであって、第2のネットワークエンティティが第1のRATに関連付けられる、ことを行い得る。さらに、例示的な装置は、第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを受信することであって、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出される、ことを行い得る。例示的な装置はまた、第2のTAU要求を受信することであって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、第2のTAU要求が情報の第1のセットを含む、ことを行い得る。例示的な装置はまた、第2のTAU要求に基づいて、第2のネットワークエンティティのための第2のコンテキスト要求を出力し得る。例示的な装置はまた、第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを受信することであって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、ことを行い得る。さらに、例示的な装置は、第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを送信し得る。
本開示の別の態様では、ワイヤレス通信のための、方法、コンピュータ可読媒体、および装置が提供される。装置は、アクセスおよびモビリティ管理機能(AMF:Access and Mobility Management Function)など、第2のネットワークエンティティを含み得る。例示的な装置は、第1のコンテキスト要求を受信することであって、第1のコンテキスト要求が、UEによって生成された少なくとも第1のTAU要求を含み、第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のRATが、第1のネットワークエンティティに関連付けられた第2のRATとは異なる、ことを行い得る。例示的な装置はまた、第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出し得る。例示的な装置は、第1のネットワークエンティティのための第1のマッピングされたセキュリティコンテキストを出力し得る。さらに、例示的な装置は、第2のコンテキスト要求を受信することであって、第2のコンテキスト要求が、UEによって生成された少なくとも第2のTAU要求を含み、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、ことを行い得る。例示的な装置はまた、第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出し得る。さらに、例示的な装置は、第1のネットワークエンティティのための第2のマッピングされたセキュリティコンテキストを出力し得る。
本開示の一態様では、MMEなどの第1のネットワークエンティティにおけるワイヤレス通信のための、方法、コンピュータ可読媒体、および装置が提供される。例示的な装置は、UEから第1のTAU要求を受信することであって、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ことを行い得る。例示的な装置はまた、第1のTAU要求に基づいて、第2のネットワークエンティティに、第1のコンテキスト要求を送信することであって、第2のネットワークエンティティが第1のRATに関連付けられる、ことを行い得る。さらに、例示的な装置は、第1のコンテキスト要求に基づいて、第2のネットワークエンティティから、第1のマッピングされたセキュリティコンテキストを受信することであって、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出される、ことを行い得る。さらに、例示的な装置は、UEから第2のTAU要求を受信することであって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、第2のTAU要求が情報の第1のセットを含む、ことを行い得る。例示的な装置はまた、第2のTAU要求に基づいて、第2のネットワークエンティティに、第2のコンテキスト要求を送信し得る。例示的な装置はまた、第2のコンテキスト要求に基づいて、第2のネットワークエンティティから、第2のマッピングされたセキュリティコンテキストを受信することであって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、ことを行い得る。さらに、例示的な装置は、第2のマッピングされたセキュリティコンテキストに基づいて、UEにダウンリンクメッセージを送信し得る。
本開示の別の態様では、AMFなどの第2のネットワークエンティティにおけるワイヤレス通信のための、方法、コンピュータ可読媒体、および装置が提供される。例示的な装置は、第1のネットワークエンティティから、第1のコンテキスト要求を受信することであって、第1のコンテキスト要求が、UEによって生成された少なくとも第1のTAU要求を含み、第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のRATが、第1のネットワークエンティティに関連付けられた第2のRATとは異なる、ことを行い得る。例示的な装置はまた、第1のTAU要求における完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出し得る。さらに、例示的な装置は、第1のネットワークエンティティに、第1のマッピングされたセキュリティコンテキストを送信し得る。例示的な装置はまた、第1のネットワークエンティティから第2のコンテキスト要求を受信することであって、第2のコンテキスト要求が、UEによって生成された少なくとも第2のTAU要求を含み、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、ことを行い得る。さらに、例示的な装置は、第2のTAU要求における完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出し得る。例示的な装置はまた、第1のネットワークエンティティに、第2のマッピングされたセキュリティコンテキストを送信し得る。
本開示の別の態様では、UEにおけるワイヤレス通信のための方法、コンピュータ可読媒体、および装置が提供される。例示的な装置は、第1のネットワークエンティティに第1のTAU要求を送信することであって、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ことを行い得る。例示的な装置はまた、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、第1のマッピングされたセキュリティコンテキストを導出し得る。さらに、例示的な装置は、第1のネットワークエンティティに第2のTAU要求を送信することであって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、第2のTAU要求が情報の第1のセットを含む、ことを行い得る。例示的な装置はまた、第1のセキュリティコンテキストおよび第2のアップリンクカウントに基づいて、第2のマッピングされたセキュリティコンテキストを導出し得る。さらに、例示的な装置は、第2のマッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信し得る。
本開示の別の態様では、UEにおけるワイヤレス通信のための、方法、コンピュータ可読媒体、および装置が提供される。例示的な装置は、第1のRATとは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のTAU要求を送信することであって、第1のネットワークエンティティが第2のRATに関連付けられ、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ことを行い得る。例示的な装置はまた、第1のネットワークエンティティに第1のTAU要求の反復を送信することであって、第1のTAU要求の反復が情報の第1のセットを含み、第1のTAU要求の反復が、第1のアップリンクカウントを使用して完全性保護される、ことを行い得る。さらに、例示的な装置は、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、マッピングされたセキュリティコンテキストを導出し得る。例示的な装置はまた、マッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信し得る。
本開示の別の態様では、UEにおけるワイヤレス通信のための、方法、コンピュータ可読媒体、および装置が提供される。例示的な装置は、第1のRATとは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のTAU要求を送信することであって、第1のネットワークエンティティが第2のRATに関連付けられ、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護される、ことを行い得る。例示的な装置はまた、第1のセキュリティコンテキスト、第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出し得る。さらに、例示的な装置は、第1のネットワークエンティティに第1のTAU要求の反復を送信することであって、第1のTAU要求の反復が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、ことを行い得る。例示的な装置はまた、第1のセキュリティコンテキスト、第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出し得る。さらに、例示的な装置は、第1のネットワークエンティティからダウンリンク送信を受信し得る。例示的な装置はまた、第1の完全性鍵および第2の完全性鍵のうちの少なくとも1つを使用して、ダウンリンク送信における完全性検査を実行し得る。さらに、例示的な装置は、導出された完全性鍵を使用して、ダウンリンク送信における完全性検査の実行が成功するとき、UEのマスターセキュリティ鍵を設定することであって、マスターセキュリティ鍵が、それぞれの完全性鍵に基づいて設定される、ことを行い得る。
上記の目的および関係する目的の達成のために、1つまたは複数の態様は、以下で十分に説明されるとともに特に特許請求の範囲の中で指摘される特徴を備える。以下の説明および図面は、1つまたは複数の態様のいくつかの例示的な特徴を詳細に記載する。しかしながら、これらの特徴は、様々な態様の原理が採用され得る様々な方法のほんのいくつかを示すものである。
ワイヤレス通信システムおよびアクセスネットワークの一例を示す図である。 本開示の様々な態様による、第1のフレームの一例を示す図である。 本開示の様々な態様による、サブフレーム内のDLチャネルの一例を示す図である。 本開示の様々な態様による、第2のフレームの一例を示す図である。 本開示の様々な態様による、サブフレーム内のULチャネルの一例を示す図である。 アクセスネットワークにおける基地局およびユーザ機器(UE)の一例を示す図である。 本明細書で開示する教示による、第1のネットワークノードと、第2のネットワークノードと、UEと、発展型パケットコア(EPC)と、コアネットワーク(たとえば、5Gコア(5GC))とを含む、ワイヤレス通信システムおよびアクセスネットワークの一例を示す図である。 本明細書で開示する教示による、異なるセキュリティコンテキストの例を示す図である。 本明細書で開示する教示による、第1のRATから第2のRATへのアイドルモードモビリティを示す例示的な通信フローの図である。 本明細書で開示する教示による、UEにおけるワイヤレス通信の方法のフローチャートである。 本明細書で開示する教示による、UEにおけるワイヤレス通信の方法のフローチャートである。 本明細書で開示する教示による、UEにおけるワイヤレス通信の方法のフローチャートである。 本明細書で開示する教示による、UEにおけるワイヤレス通信の方法のフローチャートである。 本明細書で開示する教示による、例示的な装置のためのハードウェア実装形態の一例を示す図である。 本明細書で開示する教示による、ネットワークエンティティにおけるワイヤレス通信の方法のフローチャートである。 本明細書で開示する教示による、ネットワークエンティティにおけるワイヤレス通信の方法のフローチャートである。 本明細書で開示する教示による、ネットワークエンティティにおけるワイヤレス通信の方法のフローチャートである。 本明細書で開示する教示による、ネットワークエンティティにおけるワイヤレス通信の方法のフローチャートである。 例示的なネットワークエンティティのためのハードウェア実装形態の一例を示す図である。 例示的なネットワークエンティティのためのハードウェア実装形態の一例を示す図である。
任意の数のワイヤレスネットワークが、所与の地理的エリアの中に展開され得る。各ワイヤレスネットワークは、特定の無線アクセス技術(RAT)をサポートし得、1つまたは複数の周波数上で動作し得る。いくつかの例では、UEは、5Gなどの第1のRATに関連付けられた第1のセルに接続され得る。第1のセルは、UEにサポートを提供することができないことがある。たとえば、5Gのカバレージは、いくつかの展開シナリオではユビキタスではないことがある。他の例では、第1のRATは、ボイスオーバーサービスが第1のRATを介して開始される、ボイスオーバーなどのサービスを提供することができないことがある。UEにサポートを提供するために、UEおよび第1のRATは、第1のRATから、サービスに関してUEにサポートを提供し得る第2のRATへの再選択をサポートし得る。たとえば、ボイスオーバーサポートをサポートするために、UEおよび第1のセルは、第2のRATに関連付けられた第2のセルにUEがフォールバックする、フォールバックプロシージャをサポートし得る。
UEが第1のセルから第2のセルにフォールバックするとき、UEは、再選択プロシージャを実行し得る。たとえば、UEは、5Gから発展型パケットコア(EPC)の再選択プロシージャを実行し得る。UEが再選択プロシージャを実行するとき、UEは、第2のセルおよび関連付けられた第2のRATのトラッキングエリア内にUE自体を登録するために、TAUプロシージャを開始し得る。
ワイヤレス通信システムにわたる通信のセキュリティを提供するために、ワイヤレス通信システムのデバイス間で交換されるメッセージは、完全性保護され得る。完全性保護は、1つまたは複数のセキュリティ鍵を含むセキュリティコンテキストに基づき得る。いくつかの例では、セキュリティコンテキストは、認証、完全性保護、および暗号化のための1つまたは複数のセキュリティパラメータを含み得、鍵セット識別子(KSI:key set identifier)によって識別可能であり得る。いくつかの例では、各RATは、それぞれのセキュリティコンテキストに関連付けられ得る。第1のセルから第2のセルへの再選択を容易にするために、それぞれのRATのネットワークエンティティは、あるRATに関連付けられた第1のセキュリティコンテキストを、別のRATに関連付けられた第2のセキュリティコンテキストにマッピングすることを容易にし得る。たとえば、5Gに関連付けられたネットワークエンティティは、5GセキュリティコンテキストをEPCセキュリティコンテキストにマッピングすることを容易にし得る。いくつかの例では、5GセキュリティコンテキストをEPCセキュリティコンテキストにマッピングすることは、5Gセキュリティコンテキストを使用して、EPCセキュリティコンテキストを導出することを含み得る。EPCセキュリティコンテキストは、UEが第1のセルから第2のセルに切り替えた後、EPCネットワークに関連付けられた第2のセルと通信することを可能にし得る。
いくつかのシナリオでは、UEが第2のセルとの接続を確立し、TAU要求メッセージを送信した後、無線リンク障害(RLF)が発生し得る。そのような例では、UEは、TAU要求メッセージを再送信し得る。しかしながら、第1のセキュリティコンテキストの、第2のセキュリティコンテキストへのマッピングは、不整合を生じることがあり、それによって通信障害を引き起こし得る可能性があり得る。
本明細書で開示する例は、上記で説明したTAU要求メッセージの反復のハンドリングにおける不整合を除去するための技法を提供する。第1の態様では、開示する技法は、ネットワークがどのようにTAU要求メッセージの反復をハンドリングするかを修正することによって、不整合を除去し得る。第2の態様では、開示する技法は、UEがどのようにTAU要求メッセージを完全性保護するかを修正することによって、不整合を除去し得る。第3の態様では、開示する技法は、UEがどのようにメッセージの完全性検証を実行するかを修正することによって、不整合を除去し得る。
本明細書で提示する態様は、ワイヤレス通信システムのデバイスが、RLFの場合の5GSからEPCの再選択と、改善されたモビリティサポートを容易にする発展型パケットシステム(EPS)TAU要求の再送信とのセキュリティハンドリングを容易にすることを可能にし得る。
図面に関して以下に記載する詳細な説明は、様々な構成について説明するものであり、本明細書で説明する概念が実践され得る唯一の構成を表すものではない。詳細な説明は、様々な概念の完全な理解を与える目的で、具体的な詳細を含む。しかしながら、これらの概念は、これらの具体的な詳細なしに実践され得る。場合によっては、そのような概念を不明瞭にすることを避けるために、よく知られている構造および構成要素がブロック図の形態で示される。
電気通信システムのいくつかの態様が、様々な装置および方法に関して提示される。これらの装置および方法は、以下の詳細な説明において説明され、様々なブロック、構成要素、回路、プロセス、アルゴリズムなど(「要素」と総称される)によって添付の図面において示される。これらの要素は、電子ハードウェア、コンピュータソフトウェア、またはそれらの任意の組合せを使用して実装される場合がある。そのような要素がハードウェアとして実装されるか、またはソフトウェアとして実装されるかは、特定の適用例および全体的なシステムに課された設計制約に依存する。
例として、要素または要素の任意の部分または要素の任意の組合せは、1つまたは複数のプロセッサを含む「処理システム」として実装され得る。プロセッサの例は、マイクロプロセッサ、マイクロコントローラ、グラフィックス処理ユニット(GPU)、中央処理ユニット(CPU)、アプリケーションプロセッサ、デジタル信号プロセッサ(DSP)、縮小命令セットコンピューティング(RISC)プロセッサ、システムオンチップ(SoC)、ベースバンドプロセッサ、フィールドプログラマブルゲートアレイ(FPGA)、プログラマブル論理デバイス(PLD)、ステートマシン、ゲート論理、個別ハードウェア回路、および本開示全体にわたって説明する様々な機能を実行するように構成された他の好適なハードウェアを含む。処理システムの中の1つまたは複数のプロセッサは、ソフトウェアを実行し得る。ソフトウェアは、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語、またはそれ以外として呼ばれるかどうかにかかわらず、命令、命令セット、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェア構成要素、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行ファイル、実行スレッド、プロシージャ、関数、またはそれらの任意の組合せを意味するものと広く解釈されるべきである。
したがって、1つまたは複数の例示的な態様、実装形態、および/または使用事例では、説明する機能は、ハードウェア、ソフトウェア、またはそれらの任意の組合せにおいて実装され得る。ソフトウェアにおいて実装される場合、機能は、コンピュータ可読媒体上に記憶され得るか、またはコンピュータ可読媒体上に1つもしくは複数の命令もしくはコードとして符号化され得る。コンピュータ可読媒体は、コンピュータ記憶媒体を含む。記憶媒体は、コンピュータによってアクセスされ得る任意の利用可能な媒体であり得る。例として、そのようなコンピュータ可読媒体は、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、電気的消去可能プログラマブルROM(EEPROM)、光ディスクストレージ、磁気ディスクストレージ、他の磁気記憶デバイス、コンピュータ可読媒体のタイプの組合せ、またはコンピュータによってアクセスされ得る命令もしくはデータ構造の形態のコンピュータ実行可能コードを記憶するために使用され得る任意の他の媒体を備え得る。
態様、実装形態、および/または使用事例について、いくつかの例を例示することによって本出願で説明するが、多くの異なる構成およびシナリオにおいて、追加のまたは異なる態様、実装形態、および/または使用事例が生じ得る。本明細書で説明する態様、実装形態、および/または使用事例は、多くの異なるプラットフォームタイプ、デバイス、システム、形状、サイズ、およびパッケージング構成にわたって実装され得る。たとえば、態様、実装形態、および/または使用事例は、集積チップ実装形態および他の非モジュール構成要素ベースのデバイス(たとえば、エンドユーザデバイス、車両、通信デバイス、コンピューティングデバイス、産業機器、小売/購買デバイス、医療デバイス、人工知能(AI)対応デバイスなど)によって生じる場合がある。いくつかの例は、使用事例または適用例を特に対象とすることもまたはしないこともあるが、説明する例の幅広い種類の適用可能性が生じ得る。態様、実装形態、および/または使用事例は、チップレベルまたはモジュール式の構成要素から、非モジュール式、非チップレベルの実装形態まで、さらに本明細書の1つまたは複数の技法を組み込んだ集約型、分散型、または相手先商標製造会社(OEM)デバイスまたはシステムまでの範囲に及ぶ場合がある。いくつかの実践的な設定では、説明する態様および特徴を組み込むデバイスはまた、特許請求および説明する態様の実装および実践のために、追加の構成要素および特徴を含み得る。たとえば、ワイヤレス信号の送信および受信は、アナログおよびデジタル目的のいくつかの構成要素(たとえば、アンテナ、RFチェーン、電力増幅器、変調器、バッファ、プロセッサ、インターリーバ、加算器(adder)/加算器(summer)などを含むハードウェア構成要素)を必然的に含む。本明細書で説明する技法は、様々なサイズ、形状、および構造の多種多様なデバイス、チップレベル構成要素、システム、分散型構成、集約型または分解型構成要素、エンドユーザデバイスなどにおいて実践され得る。
5G NRシステムなどの通信システムの展開は、様々な構成要素または構成部品を用いて複数の方法で構成され得る。5G NRシステム、またはネットワークでは、基地局(BS)、または基地局機能を実行する1つもしくは複数のユニット(または、1つもしくは複数の構成要素)などのネットワークノード、ネットワークエンティティ、ネットワークのモビリティ要素、無線アクセスネットワーク(RAN)ノード、コアネットワークノード、ネットワーク要素、またはネットワーク機器は、集約型または分解型アーキテクチャにおいて実装され得る。たとえば、BS(ノードB(NB)、発展型NB(eNB)、NR BS、5G NB、アクセスポイント(AP)、送信受信ポイント(TRP)、またはセルなど)は、集約型基地局(スタンドアロンBSまたはモノリシックBSとしても知られる)、または分解型基地局として実装され得る。
集約型基地局は、単一のRANノード内に物理的にまたは論理的に組み込まれる無線プロトコルスタックを利用するように構成され得る。分解型基地局は、2つ以上のユニット(1つもしくは複数の中央もしくは集中型ユニット(CU)、1つもしくは複数の分散ユニット(DU)、または1つもしくは複数の無線ユニット(RU)など)の間で物理的にまたは論理的に分散される、プロトコルスタックを利用するように構成され得る。いくつかの態様では、CUは、RANノード内で実装され得、1つまたは複数のDUは、CUとコロケートされ得るか、または代替的に、1つもしくは複数の他のRANノード全体にわたって地理的にもしくは仮想的に分散され得る。DUは、1つまたは複数のRUと通信するように実装され得る。CU、DU、およびRUの各々は、仮想ユニット、すなわち、仮想中央ユニット(VCU)、仮想分散ユニット(VDU)、または仮想無線ユニット(VRU)として実装され得る。
基地局動作またはネットワーク設計は、基地局機能のアグリゲーション特性を考慮し得る。たとえば、分解型基地局は、統合アクセスバックホール(IAB)ネットワーク、オープン無線アクセスネットワーク(O-RAN(O-RAN Allianceによって後援されたネットワーク構成など))、または仮想化無線アクセスネットワーク(vRAN、クラウド無線アクセスネットワーク(C-RAN)としても知られる)において利用され得る。分解は、様々な物理的ロケーションにおける2つ以上のユニットにわたって機能を分散させること、ならびに仮想的に少なくとも1つのユニットのための機能を分散させることを含み得、それによって、ネットワーク設計における柔軟性を可能にすることができる。分解型基地局または分解型RANアーキテクチャの様々なユニットは、少なくとも1つの他のユニットとのワイヤードまたはワイヤレス通信のために構成され得る。
図1は、ワイヤレス通信システムおよびアクセスネットワークの一例を示す図100である。示されたワイヤレス通信システムは、分解型基地局アーキテクチャを含む。分解型基地局アーキテクチャは、バックホールリンクを介してコアネットワーク120と直接的に、または1つもしくは複数の分解型基地局ユニット(E2リンクを介してニアリアルタイム(Near-RT)RANインテリジェントコントローラ(RIC)(たとえば、Near-RT RIC125)、もしくはサービス管理およびオーケストレーション(SMO:Service Management and Orchestration)フレームワーク(たとえば、SMOフレームワーク105)に関連付けられた非リアルタイム(Non-RT)RIC115、またはその両方)を通してコアネットワーク120と間接的に通信することができる、1つまたは複数のCU(たとえば、CU110)を含み得る。CU110は、F1インターフェースなど、それぞれのミッドホールリンクを介して、1つまたは複数のDU(たとえば、DU130)と通信し得る。DU130は、それぞれのフロントホールリンクを介して、1つまたは複数のRU(たとえば、RU140)と通信し得る。RU140は、1つまたは複数の無線周波数(RF)アクセスリンクを介して、それぞれのUE(たとえば、UE104)と通信し得る。いくつかの実装形態では、UE104は、複数のRUによって同時にサービスされ得る。
ユニットの各々、すなわち、CU(たとえば、CU110)、DU(たとえば、DU130)、RU(たとえば、RU140)、ならびにNear-RT RIC(たとえば、Near-RT RIC125)、Non-RT RIC(たとえば、Non-RT RIC115)、およびSMOフレームワーク105は、ワイヤードまたはワイヤレス伝送媒体を介して信号、データ、または情報(総称して、信号)を受信または送信するように構成された、1つまたは複数のインターフェースを含み得るか、あるいは1つまたは複数のインターフェースに結合され得る。ユニットの各々、またはユニットの通信インターフェースに命令を与える関連するプロセッサもしくはコントローラは、伝送媒体を介して他のユニットのうちの1つまたは複数と通信するように構成され得る。たとえば、ユニットは、ワイヤード伝送媒体上で他のユニットのうちの1つまたは複数に対して、信号を受信または送信するように構成された、ワイヤードインターフェースを含み得る。さらに、ユニットは、ワイヤレス伝送媒体上で他のユニットのうちの1つまたは複数に対して、信号の受信または送信、あるいはその両方を行うように構成された、受信機、送信機、またはトランシーバ(RFトランシーバなど)を含み得る、ワイヤレスインターフェースを含み得る。
いくつかの態様では、CU110は、1つまたは複数の上位レイヤ制御機能をホストし得る。そのような制御機能は、無線リソース制御(RRC)、パケットデータコンバージェンスプロトコル(PDCP)、サービスデータ適応プロトコル(SDAP)などを含み得る。各制御機能は、CU110によってホストされた他の制御機能と信号を通信するように構成されたインターフェースとともに実装され得る。CU110は、ユーザプレーン機能(すなわち、中央ユニットユーザプレーン(CU-UP:Central Unit - User Plane))、制御プレーン機能(すなわち、中央ユニット制御プレーン(CU-CP:Central Unit - Control Plane))、またはそれらの組合せをハンドリングするように構成され得る。いくつかの実装形態では、CU110は、1つまたは複数のCU-UPユニット、および1つまたは複数のCU-CPユニットに論理的に分割され得る。CU-UPユニットは、O-RAN構成において実装されるとき、E1インターフェースなどのインターフェースを介して、CU-CPユニットと双方向通信することができる。CU110は、ネットワーク制御およびシグナリングのために、必要に応じて、DU130と通信するように実装され得る。
DU130は、1つまたは複数のRUの動作を制御するために、1つまたは複数の基地局機能を含む、論理ユニットに対応し得る。いくつかの態様では、DU130は、3GPP(登録商標)によって規定されたものなどの機能分割に少なくとも部分的に応じて、無線リンク制御(RLC)レイヤ、媒体アクセス制御(MAC)レイヤ、および1つまたは複数の上位の物理(PHY)レイヤ(前方誤り訂正(FEC)符号化および復号、スクランブリング、変調、復調などのためのモジュールなど)のうちの1つまたは複数をホストし得る。いくつかの態様では、DU130は、1つまたは複数の下位のPHYレイヤをさらにホストし得る。各レイヤ(またはモジュール)は、DU130によってホストされた他のレイヤ(またはモジュール)と、またはCU110によってホストされた制御機能と、信号を通信するように構成されたインターフェースとともに実装され得る。
下位レイヤ機能は、1つまたは複数のRUによって実装され得る。いくつかの展開では、DU130によって制御されたRU140は、下位レイヤ機能分割などの機能分割に少なくとも部分的に基づいて、RF処理機能、もしくは下位PHYレイヤ機能(高速フーリエ変換(FFT)、逆FFT(iFFT)、デジタルビームフォーミング、物理ランダムアクセスチャネル(PRACH)抽出およびフィルタ処理などを実行することなど)、またはその両方をホストする、論理ノードに対応し得る。そのようなアーキテクチャでは、RU140は、1つまたは複数のUE(たとえば、UE104)との通信をオーバージエア(OTA)でハンドリングするように実装され得る。いくつかの実装形態では、RU140との制御およびユーザプレーン通信のリアルタイム態様および非リアルタイム態様は、対応するDUによって制御され得る。いくつかのシナリオでは、この構成は、DUおよびCU110がvRANアーキテクチャなどのクラウドベースRANアーキテクチャにおいて実装されることを可能にすることができる。
SMOフレームワーク105は、非仮想化および仮想化ネットワーク要素のRAN展開およびプロビジョニングをサポートするように構成され得る。非仮想化ネットワーク要素の場合、SMOフレームワーク105は、運用および保守インターフェース(O1インターフェースなど)を介して管理され得るRANカバレージ要件のための専用物理リソースの展開をサポートするように構成され得る。仮想化ネットワーク要素の場合、SMOフレームワーク105は、クラウドコンピューティングプラットフォームインターフェース(O2インターフェースなど)を介して(仮想化ネットワーク要素をインスタンス化するなどのために)ネットワーク要素ライフサイクル管理を実行するために、クラウドコンピューティングプラットフォーム(オープンクラウド(O-Cloud)190など)と対話するように構成され得る。そのような仮想化ネットワーク要素は、限定はしないが、CU、DU、RU、およびNear-RT RICを含み得る。いくつかの実装形態では、SMOフレームワーク105は、O1インターフェースを介して、オープンeNB(O-eNB)111などの4G RANのハードウェア態様と通信することができる。さらに、いくつかの実装形態では、SMOフレームワーク105は、O1インターフェースを介して、1つまたは複数のRUと直接通信することができる。SMOフレームワーク105はまた、SMOフレームワーク105の機能をサポートするように構成されたNon-RT RIC115を含み得る。
Non-RT RIC115は、RAN要素およびリソース、モデルトレーニングおよび更新を含む人工知能(AI)/機械学習(ML)(AI/ML)ワークフロー、またはNear-RT RIC125におけるアプリケーション/機能のポリシーベースガイダンスの、非リアルタイム制御および最適化を可能にする、論理機能を含むように構成され得る。Non-RT RIC115は、(たとえばA1インターフェースを介して)Near-RT RIC125に結合され得るか、またはNear-RT RIC125と通信し得る。Near-RT RIC125は、1つもしくは複数のCU、1つもしくは複数のDU、またはその両方、ならびにO-eNBをNear-RT RIC125と接続する、インターフェース上での(たとえばE2インターフェースを介した)データ収集およびアクションを介して、RAN要素およびリソースのニアリアルタイム制御および最適化を可能にする、論理機能を含むように構成され得る。
いくつかの実装形態では、Near-RT RIC125において展開されることになるAI/MLモデルを生成するために、Non-RT RIC115は、外部サーバからパラメータまたは外部エンリッチメント情報を受信し得る。そのような情報は、Near-RT RIC125によって利用され得、非ネットワークデータソースから、またはネットワーク機能から、SMOフレームワーク105またはNon-RT RIC115において受信され得る。いくつかの例では、Non-RT RIC115またはNear-RT RIC125は、RAN挙動または性能を調整するように構成され得る。たとえば、Non-RT RIC115は、性能のための長期的な傾向およびパターンを監視し、AI/MLモデルを採用して、SMOフレームワーク105(O1を介した再構成など)を通して、またはRAN管理ポリシー(A1ポリシーなど)の作成を介して、是正アクションを実行し得る。
CU110、DU130、およびRU140のうちの少なくとも1つは、基地局102と呼ばれることがある。したがって、基地局102は、CU110、DU130、およびRU140(各構成要素が基地局102中に含まれても含まれなくてもよいことを表すために、点線で示された各構成要素)のうちの1つまたは複数を含み得る。基地局102は、コアネットワーク120へのアクセスポイントをUE104に提供する。基地局102は、マクロセル(大電力セルラー基地局)および/またはスモールセル(小電力セルラー基地局)を含み得る。スモールセルは、フェムトセル、ピコセル、およびマイクロセルを含む。スモールセルとマクロセルの両方を含むネットワークは、異種ネットワークとして知られていることがある。異種ネットワークはまた、限定加入者グループ(CSG)として知られる制限付きグループにサービスを提供し得るホーム発展型ノードB(eNB)(HeNB)を含み得る。RU(たとえば、RU140)とUE(たとえば、UE104)との間の通信リンクは、UE104からRU140へのアップリンク(UL)(逆方向リンクとも呼ばれる)送信、および/またはRU140からUE104へのダウンリンク(DL)(順方向リンクとも呼ばれる)送信を含み得る。通信リンクは、空間多重化、ビームフォーミング、および/または送信ダイバーシティを含む、多入力多出力(MIMO)アンテナ技術を使用し得る。通信リンクは、1つまたは複数のキャリアを通したものであり得る。基地局102/UE104は、各方向における送信のために使用される合計Yx MHz(x本のコンポーネントキャリア)までのキャリアアグリゲーションにおいて割り振られた、キャリア当たりY MHz(たとえば、5、10、15、20、100、400MHzなど)までの帯域幅のスペクトルを使用し得る。キャリアは、互いに隣接してもしなくてもよい。キャリアの割振りは、DLおよびULに関して非対称であってよい(たとえば、UL用よりも多数またはより少数のキャリアがDL用に割り振られてよい)。コンポーネントキャリアは、1次コンポーネントキャリアと、1つまたは複数の2次コンポーネントキャリアとを含み得る。1次コンポーネントキャリアは1次セル(PCell)と呼ばれることがあり、2次コンポーネントキャリアは2次セル(SCell)と呼ばれることがある。
いくつかのUEは、デバイス間(D2D)通信(たとえば、D2D通信リンク158)を使用して互いに通信し得る。D2D通信リンク158は、DL/ULワイヤレスワイドエリアネットワーク(WWAN)スペクトルを使用し得る。D2D通信リンク158は、物理サイドリンクブロードキャストチャネル(PSBCH)、物理サイドリンク発見チャネル(PSDCH)、物理サイドリンク共有チャネル(PSSCH)、および物理サイドリンク制御チャネル(PSCCH)など、1つまたは複数のサイドリンクチャネルを使用し得る。D2D通信は、たとえば、Bluetooth、米国電気電子技術者協会(IEEE)802.11規格に基づくWi-Fi、LTE、またはNRなどの、様々なワイヤレスD2D通信システムを通したものであり得る。
ワイヤレス通信システムは、たとえば、5GHz無認可周波数スペクトルなどにおいて、通信リンク154を介してUE104と通信しているWi-Fi AP150(Wi-Fi局(STA)とも呼ばれる)をさらに含み得る。無認可周波数スペクトル内で通信するとき、UE104/Wi-Fi AP150は、チャネルが利用可能であるか否かを決定するために、通信するより前にクリアチャネルアセスメント(CCA)を実行し得る。
電磁スペクトルはしばしば、周波数/波長に基づいて、様々なクラス、帯域、チャネルなどに再分割される。5G NRでは、2つの初期動作帯域が、周波数範囲の呼称FR1(410MHz~7.125GHz)およびFR2(24.25GHz~52.6GHz)として識別されている。FR1の一部分は6GHzよりも高いが、FR1は、しばしば、様々な文書および論文において(互換的に)「サブ6GHz」帯域と呼ばれる。同様の命名法上の問題がFR2に関して生じることがあるが、これは、国際電気通信連合(ITU)によって「ミリ波」帯域として識別される極高周波(EHF)帯域(30GHz~300GHz)とは異なるにもかかわらず、文書および論文において、しばしば、「ミリ波」帯域と(互換的に)呼ばれる。
FR1とFR2との間の周波数は、しばしば、中間帯域周波数と呼ばれる。最近の5G NR研究では、これらの中間帯域周波数のための動作帯域を周波数範囲の呼称FR3(7.125GHz~24.25GHz)として識別している。FR3内に収まる周波数帯域は、FR1特性および/またはFR2特性を継承してよく、したがって、FR1および/またはFR2の特徴を中間帯域周波数へ有効に拡張してよい。加えて、5G NR動作を52.6GHzを超えて拡張するために、より高い周波数帯域が現在検討されている。たとえば、3つのより高い動作帯域が、周波数範囲の呼称FR2-2(52.6GHz~71GHz)、FR4(71GHz~114.25GHz)、およびFR5(114.25GHz~300GHz)として識別されている。これらのより高い周波数帯域の各々が、EHF帯域内に収まる。
上記の態様を念頭に置いて、別段に明記されていない限り、「サブ6GHz」などの用語が、本明細書で使用される場合、6GHz未満であり得るか、FR1内にあり得るか、または中間帯域周波数を含み得る周波数を、広く表す場合がある。さらに、別段に明記されていない限り、「ミリ波」などの用語が、本明細書で使用される場合、中間帯域周波数を含み得るか、FR2、FR4、FR2-2、および/もしくはFR5内にあり得るか、またはEHF帯域内にあり得る周波数を、広く表す場合がある。
基地局102およびUE104は、各々、ビームフォーミングを容易にするための、アンテナ要素、アンテナパネル、および/またはアンテナアレイなど、複数のアンテナを含み得る。基地局102は、1つまたは複数の送信方向において、UE104にビームフォーミングされた信号182を送信し得る。UE104は、1つまたは複数の受信方向において、基地局102からビームフォーミングされた信号を受信し得る。UE104はまた、1つまたは複数の送信方向において、基地局102にビームフォーミングされた信号184を送信し得る。基地局102は、1つまたは複数の受信方向においてUE104からビームフォーミングされた信号を受信し得る。基地局102/UE104は、基地局102/UE104の各々に対する最良の受信方向および送信方向を決定するためにビームトレーニングを実行し得る。基地局102に対する送信方向および受信方向は、同じであっても同じでなくてもよい。UE104に対する送信方向および受信方向は、同じであっても同じでなくてもよい。
基地局102は、gNB、ノードB、eNB、アクセスポイント、トランシーバ基地局、無線基地局、無線トランシーバ、トランシーバ機能、基本サービスセット(BSS)、拡張サービスセット(ESS)、送信受信ポイント(TRP)、ネットワークノード、ネットワークエンティティ、ネットワーク機器、もしくは何らかの他の好適な用語を含むことがあり、かつ/またはそのように呼ばれることがある。基地局102は、統合アクセスおよびバックホール(IAB)ノード、中継ノード、サイドリンクノード、(CUおよびDUを含む)ベースバンドユニット(BBU)およびRUをもつ集約型(モノリシック)基地局として、またはCU、DU、および/もしくはRUのうちの1つもしくは複数を含む分解型基地局として実装され得る。分解型基地局および/または集約型基地局を含み得る、基地局のセットは、次世代(NG)RAN(NG-RAN)と呼ばれることがある。
コアネットワーク120は、アクセスおよびモビリティ管理機能(AMF)(たとえば、AMF161)、セッション管理機能(SMF)(たとえば、SMF162)、ユーザプレーン機能(UPF)(たとえば、UPF163)、統合データ管理(UDM)(たとえば、UDM164)、1つまたは複数のロケーションサーバ168、ならびに他の機能エンティティを含み得る。AMF161は、UE104とコアネットワーク120との間のシグナリングを処理する制御ノードである。AMF161は、登録管理、接続管理、モビリティ管理、および他の機能をサポートする。SMF162は、セッション管理および他の機能をサポートする。UPF163は、パケットルーティング、パケット転送、および他の機能をサポートする。UDM164は、認証および鍵一致(AKA)クレデンシャルの生成、ユーザ識別情報ハンドリング、アクセス認可、およびサブスクリプション管理をサポートする。1つまたは複数のロケーションサーバ168は、ゲートウェイモバイルロケーションセンター(GMLC)(たとえば、GMLC165)、およびロケーション管理機能(LMF)(たとえば、LMF166)を含むものとして示されている。しかしながら、一般に、1つまたは複数のロケーションサーバ168は、GMLC165、LMF166、位置決定エンティティ(PDE)、サービングモバイルロケーションセンター(SMLC)、モバイル測位センター(MPC)などのうちの1つまたは複数を含み得る、1つまたは複数のロケーション/測位サーバを含み得る。GMLC165およびLMF166は、UEロケーションサービスをサポートする。GMLC165は、UE測位情報にアクセスするためのクライアント/アプリケーション(たとえば、緊急サービス)のためのインターフェースを提供する。LMF166は、UE104の位置を計算するために、AMF161を介してNG-RANおよびUE104から測定値および支援情報を受信する。NG-RANは、UE104の位置を決定するために、1つまたは複数の測位方法を利用し得る。UE104を測位することは、信号測定、位置推定、および測定に基づく任意の速度計算を伴い得る。信号測定は、UE104および/またはサービング基地局(たとえば、基地局102)によって行われ得る。測定された信号は、衛星測位システム(SPS)170(たとえば、全地球航法衛星システム(GNSS)、全地球測位システム(GPS)、非地上波ネットワーク(NTN)、または他の衛星位置/ロケーションシステムのうちの1つまたは複数)、LTE信号、ワイヤレスローカルエリアネットワーク(WLAN)信号、Bluetooth信号、地上波ビーコンシステム(TBS:terrestrial beacon system)、センサーベース情報(たとえば、気圧センサー、モーションセンサー)、NR拡張セルID(NR E-CID:NR enhanced cell ID)方法、NR信号(たとえば、マルチラウンドトリップ時間(Multi-RTT:multi-round trip time)、DL発射角(DL-AoD)、DL到着時間差(DL-TDOA)、UL到着時間差(UL-TDOA)、およびUL到来角(UL-AoA)測位)、および/または他のシステム/信号/センサーのうちの1つまたは複数に基づき得る。
UEの例は、セルラーフォン、スマートフォン、セッション開始プロトコル(SIP)フォン、ラップトップ、携帯情報端末(PDA)、衛星ラジオ、全地球測位システム、マルチメディアデバイス、ビデオデバイス、デジタルオーディオプレーヤ(たとえば、MP3プレーヤ)、カメラ、ゲームコンソール、タブレット、スマートデバイス、ウェアラブルデバイス、車両、電気メーター、ガスポンプ、大型もしくは小型の調理家電、ヘルスケアデバイス、インプラント、センサー/アクチュエータ、ディスプレイ、または任意の他の同様の機能デバイスを含む。UEのうちのいくつかは、IoTデバイス(たとえば、パーキングメーター、ガスポンプ、トースター、車両、心臓モニタなど)と呼ばれることがある。UE104は、局、移動局、加入者局、モバイルユニット、加入者ユニット、ワイヤレスユニット、リモートユニット、モバイルデバイス、ワイヤレスデバイス、ワイヤレス通信デバイス、リモートデバイス、モバイル加入者局、アクセス端末、モバイル端末、ワイヤレス端末、リモート端末、ハンドセット、ユーザエージェント、モバイルクライアント、クライアント、または任意の他の好適な用語で呼ばれることもある。いくつかのシナリオでは、UEという用語は、デバイスコンスタレーション構成などにおける1つまたは複数のコンパニオンデバイスにも適用され得る。これらのデバイスのうちの1つまたは複数は、ネットワークに集合的にアクセスしてもよく、かつ/またはネットワークに個別にアクセスしてもよい。
再び図1を参照すると、いくつかの態様では、UE104など、基地局と通信しているデバイスは、ワイヤレス通信の1つまたは複数の態様を管理するように構成され得る。たとえば、UE104は、RLFの場合の5GSからEPCの再選択と、EPS TAU要求の再送信とのセキュリティハンドリングを容易にするように構成された、UEセキュリティハンドリング構成要素198を含み得る。いくつかの態様では、UEセキュリティハンドリング構成要素198は、第1のネットワークエンティティに第1のTAU要求を送信することであって、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ことを行うように構成され得る。アップリンクカウントは、通信されたアップリンクメッセージの量を示し得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のネットワークエンティティに第2のTAU要求を送信することであって、第2のTAU要求が情報の第1のセットを含み、第2のTAU要求が、第2のアップリンクカウントを使用して完全性保護される、ことを行うように構成され得る。さらに、例示的なUEセキュリティハンドリング構成要素198は、第1のセキュリティコンテキスト、および第1のアップリンクカウントまたは第2のアップリンクカウントのうちの少なくとも1つに基づいて、マッピングされたセキュリティコンテキストを導出するように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、マッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信するように構成され得る。
別の態様では、UEセキュリティハンドリング構成要素198は、第1のRATとは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のTAU要求を送信することであって、第1のネットワークエンティティが第2のRATに関連付けられ、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護される、ことを行うように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のセキュリティコンテキスト、第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出するように構成され得る。完全性鍵は、通信における完全性検査を実行するために使用される鍵であり得る。さらに、例示的なUEセキュリティハンドリング構成要素198は、第1のネットワークエンティティに第1のTAU要求の反復を送信することであって、第1のTAU要求の反復が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、ことを行うように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のセキュリティコンテキスト、第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出するように構成され得る。さらに、例示的なUEセキュリティハンドリング構成要素198は、第1のネットワークエンティティからダウンリンク送信を受信するように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1の完全性鍵および第2の完全性鍵のうちの少なくとも1つを使用して、ダウンリンク送信における完全性検査を実行するように構成され得る。完全性検査は、完全性鍵を使用して実行され、ダウンリンク送信の完全性を確認し得る。さらに、例示的なUEセキュリティハンドリング構成要素198は、導出された完全性鍵を使用して、ダウンリンク送信における完全性検査が成功するとき、UEのマスターセキュリティ鍵を設定することであって、マスターセキュリティ鍵が、導出された完全性鍵を導出するために使用された、第1のマッピングされたセキュリティコンテキストまたは第2のマッピングされたセキュリティコンテキストに基づいて設定される、ことを行うように構成され得る。マスターセキュリティ鍵は、他のセキュリティ鍵を導出するために使用される鍵であり得る。
いくつかの態様では、UEセキュリティハンドリング構成要素198は、第1のネットワークエンティティに第1のTAU要求を送信するように構成され得る。第1のTAU要求は、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得る。第1のTAU要求は、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得、第1のTAU要求は、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含み得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、第1のマッピングされたセキュリティコンテキストを導出するように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のネットワークエンティティに第2のTAU要求を送信するように構成され得る。第2のTAU要求は、第1のセキュリティコンテキストを使用して符号化され得、第2のTAU要求は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され得、第2のTAU要求は、情報の第1のセットを含み得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のセキュリティコンテキストおよび第2のアップリンクカウントに基づいて、第2のマッピングされたセキュリティコンテキストを導出するように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第2のマッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信するように構成され得る。
別の態様では、UEセキュリティハンドリング構成要素198は、第1のRATとは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のTAU要求を送信するように構成され得る。第1のネットワークエンティティは、第2のRATに関連付けられ得る。第1のTAU要求は、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得、第1のTAU要求は、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得、第1のTAU要求は、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含み得る。
例示的なUEセキュリティハンドリング構成要素198はまた、第1のネットワークエンティティに第1のTAU要求の反復を送信するように構成され得る。第1のTAU要求の反復は、情報の第1のセットを含み得、第1のTAU要求の反復は、第1のアップリンクカウントを使用して完全性保護され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、マッピングされたセキュリティコンテキストを導出するように構成され得る。さらに、例示的なUEセキュリティハンドリング構成要素198は、マッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信するように構成され得る。
別の態様では、UEセキュリティハンドリング構成要素198は、第1のRATとは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のTAU要求を送信するように構成され得る。第1のネットワークエンティティは、第2のRATに関連付けられ得る。第1のTAU要求は、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得、第1のTAU要求は、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のセキュリティコンテキスト、第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出するように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のネットワークエンティティに第1のTAU要求の反復を送信するように構成され得る。第1のTAU要求の反復は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され得る。さらに、例示的なUEセキュリティハンドリング構成要素198はまた、第1のセキュリティコンテキスト、第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出するように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1のネットワークエンティティからダウンリンク送信を受信するように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、第1の完全性鍵および第2の完全性鍵のうちの少なくとも1つを使用して、ダウンリンク送信における完全性検査を実行するように構成され得る。例示的なUEセキュリティハンドリング構成要素198はまた、導出された完全性鍵を使用して、ダウンリンク送信における完全性検査の実行が成功するとき、UEのマスターセキュリティ鍵を設定するように構成され得る。マスターセキュリティ鍵は、それぞれの完全性鍵に基づいて設定される。
別の構成では、ネットワークエンティティは、RLFの場合の5GSからEPCの再選択と、改善されたモビリティサポートを容易にするEPS TAU要求の再送信とのセキュリティハンドリングを容易にすることによって、ワイヤレス通信の1つまたは複数の態様を管理するように構成され得る。たとえば、ネットワークエンティティは、ネットワークセキュリティハンドリング構成要素199を含み得る。ネットワークセキュリティハンドリング構成要素199の態様は、MME、AMF(たとえば、AMF161)、および/または基地局(たとえば、基地局102)によって実装され得る。
ネットワークセキュリティハンドリング構成要素199は、UEによって生成された第1のTAU要求を受信することであって、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ことを行うように構成され得る。さらに、ネットワークセキュリティハンドリング構成要素199は、第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力することであって、第2のネットワークエンティティが第1のRATに関連付けられる、ことを行うように構成され得る。ネットワークセキュリティハンドリング構成要素199はまた、第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを受信することであって、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出される、ことを行うように構成され得る。さらに、ネットワークセキュリティハンドリング構成要素199は、第2のTAU要求を受信することであって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、第2のTAU要求が情報の第1のセットを含む、ことを行うように構成され得る。ネットワークセキュリティハンドリング構成要素199はまた、第2のTAU要求に基づいて、第2のネットワークエンティティのための第2のコンテキスト要求を出力するように構成され得る。さらに、ネットワークセキュリティハンドリング構成要素199は、第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを受信することであって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、ことを行うように構成され得る。ネットワークセキュリティハンドリング構成要素199はまた、第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを送信するように構成され得る。
別の態様では、ネットワークセキュリティハンドリング構成要素199は、第1のコンテキスト要求を受信することであって、第1のコンテキスト要求が、UEによって生成された少なくとも第1のTAU要求を含み、第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のRATが、第1のネットワークエンティティに関連付けられた第2のRATとは異なる、ことを行うように構成され得る。さらに、ネットワークセキュリティハンドリング構成要素199は、第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出するように構成され得る。ネットワークセキュリティハンドリング構成要素199はまた、第1のネットワークエンティティのための第1のマッピングされたセキュリティコンテキストを出力するように構成され得る。さらに、ネットワークセキュリティハンドリング構成要素199は、第2のコンテキスト要求を受信することであって、第2のコンテキスト要求が、UEによって生成された少なくとも第2のTAU要求を含み、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、ことを行うように構成され得る。ネットワークセキュリティハンドリング構成要素199はまた、第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出するように構成され得る。さらに、ネットワークセキュリティハンドリング構成要素199は、第1のネットワークエンティティのための第2のマッピングされたセキュリティコンテキストを出力するように構成され得る。
いくつかの態様では、ネットワークセキュリティハンドリング構成要素199は、UEから第1のTAU要求を受信するように構成され得る。第1のTAU要求は、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得、第1のTAU要求は、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得、第1のTAU要求は、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含み得る。例示的なネットワークセキュリティハンドリング構成要素199はまた、第1のTAU要求に基づいて、第2のネットワークエンティティに、第1のコンテキスト要求を送信するように構成され得る。第2のネットワークエンティティは、第1のRATに関連付けられ得る。例示的なネットワークセキュリティハンドリング構成要素199はまた、第1のコンテキスト要求に基づいて、第2のネットワークエンティティから、第1のマッピングされたセキュリティコンテキストを受信するように構成され得る。第1のマッピングされたセキュリティコンテキストは、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出され得る。さらに、例示的なネットワークセキュリティハンドリング構成要素199は、UEから第2のTAU要求を受信するように構成され得る。第2のTAU要求は、第1のセキュリティコンテキストを使用して符号化され得、第2のTAU要求は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され得、第2のTAU要求は、情報の第1のセットを含み得る。例示的なネットワークセキュリティハンドリング構成要素199はまた、第2のTAU要求に基づいて、第2のネットワークエンティティに、第2のコンテキスト要求を送信するように構成され得る。さらに、例示的なネットワークセキュリティハンドリング構成要素199は、第2のコンテキスト要求に基づいて、第2のネットワークエンティティから、第2のマッピングされたセキュリティコンテキストを受信するように構成され得る。第2のマッピングされたセキュリティコンテキストは、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出され得る。例示的なネットワークセキュリティハンドリング構成要素199はまた、第2のマッピングされたセキュリティコンテキストに基づいて、UEにダウンリンクメッセージを送信するように構成され得る。
別の態様では、ネットワークセキュリティハンドリング構成要素199は、第1のネットワークエンティティから、第1のコンテキスト要求を受信することであって、第1のコンテキスト要求が、UEによって生成された少なくとも第1のTAU要求を含む、ことを行うように構成され得る。第1のTAU要求は、第1のアップリンクカウントを使用して完全性保護され得、第1のTAU要求は、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得、第1のRATは、第1のネットワークエンティティに関連付けられた第2のRATとは異なり得る。例示的なネットワークセキュリティハンドリング構成要素199はまた、第1のTAU要求における完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出するように構成され得る。例示的なネットワークセキュリティハンドリング構成要素199はまた、第1のネットワークエンティティに、第1のマッピングされたセキュリティコンテキストを送信するように構成され得る。さらに、例示的なネットワークセキュリティハンドリング構成要素199は、第1のネットワークエンティティから第2のコンテキスト要求を受信するように構成され得る。第2のコンテキスト要求は、UEによって生成された少なくとも第2のTAU要求を含み得、第2のTAU要求は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される。例示的なネットワークセキュリティハンドリング構成要素199はまた、第2のTAU要求における完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出するように構成され得る。例示的なネットワークセキュリティハンドリング構成要素199はまた、第1のネットワークエンティティに、第2のマッピングされたセキュリティコンテキストを送信するように構成され得る。
本明細書で提示する態様は、ワイヤレス通信システムのデバイスが、RLFの場合の5GSからEPCの再選択と、改善されたモビリティサポートを容易にするEPS TAU要求の再送信とのセキュリティハンドリングを容易にすることを可能にし得る。
以下の説明は、5G NR(および、詳細には、5GからEPCの再選択)を対象とする例を提供するが、本明細書で説明する概念は、UEが第1のRATに関連付けられたセルから第2のRATに関連付けられた第2のセルへの再選択を実行し得る、LTE、LTE-A、CDMA、GSM、および/または他のワイヤレス技術などの他の同様の分野に適用可能であり得る。
図2Aは、5G NRフレーム構造内の第1のサブフレームの一例を示す図200である。図2Bは、5G NRサブフレーム内のDLチャネルの一例を示す図230である。図2Cは、5G NRフレーム構造内の第2のサブフレームの一例を示す図250である。図2Dは、5G NRサブフレーム内のULチャネルの一例を示す図280である。5G NRフレーム構造は、サブキャリアの特定のセット(キャリアシステム帯域幅)に対してサブキャリアのセット内のサブフレームがDLもしくはULのいずれかに専用である周波数分割複信(FDD)であってよく、または、サブキャリアの特定のセット(キャリアシステム帯域幅)に対してサブキャリアのセット内のサブフレームがDLとULの両方に専用である時分割複信(TDD)であってよい。図2A、図2Cによって提供される例では、5G NRフレーム構造はTDDであると仮定され、サブフレーム4はスロットフォーマット28で(大部分がDLで)構成され、ここで、DはDLであり、UはULであり、FはDL/UL間の使用にとってフレキシブルであり、サブフレーム3はスロットフォーマット1で(すべてがULで)構成される。サブフレーム3、4は、それぞれ、スロットフォーマット1、28で示されるが、任意の特定のサブフレームは、様々な利用可能なスロットフォーマット0~61のうちのいずれかで構成されてもよい。スロットフォーマット0、1は、それぞれ、すべてDL、ULである。他のスロットフォーマット2~61は、DL、UL、およびフレキシブルなシンボルの混合を含む。UEは、受信されたスロットフォーマットインジケータ(SFI)を通じて、(DL制御情報(DCI)を通じて動的に、または無線リソース制御(RRC)シグナリングを通じて半静的に/静的に)スロットフォーマットで構成される。以下の説明は、TDDである5G NRフレーム構造にも適用されることに留意されたい。
図2A~図2Dはフレーム構造を示し、本開示の態様は、異なるフレーム構造および/または異なるチャネルを有し得る他のワイヤレス通信技術に適用可能であり得る。フレーム(10ms)は、10個の等しいサイズのサブフレーム(1ms)に分割され得る。各サブフレームは、1つまたは複数のタイムスロットを含み得る。サブフレームは、7、4、または2つのシンボルを含み得るミニスロットも含み得る。各スロットは、サイクリックプレフィックス(CP)がノーマルであるか拡張であるかに応じて、14個または12個のシンボルを含み得る。ノーマルCPの場合、各スロットは14個のシンボルを含むことができ、拡張CPの場合、各スロットは12個のシンボルを含むことができる。DL上のシンボルは、CP直交周波数分割多重(OFDM)(CP-OFDM)シンボルであってよい。UL上のシンボルは、CP-OFDMシンボル(高スループットシナリオ用)または離散フーリエ変換(DFT)拡散OFDM(DFT-s-OFDM)シンボル(シングルキャリア周波数分割多元接続(SC-FDMA)シンボルとも呼ばれる)(電力制限シナリオ用であって、単一のストリーム送信に限定される)であってよい。サブフレーム内のスロットの数は、CPおよびヌメロロジーに基づく。ヌメロロジーは、サブキャリア間隔(SCS)を定義し、事実上、1/SCSに等しいシンボル長/持続時間を定義する。
ノーマルCP(14個のシンボル/スロット)の場合、異なるヌメロロジーμ0~4は、それぞれ、サブフレーム当たり1、2、4、8、および16個のスロットを可能にする。拡張CPの場合、ヌメロロジー2は、サブフレーム当たり4つのスロットを可能にする。したがって、ノーマルCPおよびヌメロロジーμの場合、14個のシンボル/スロットおよび2μ個のスロット/サブフレームがある。Table 1(表1)に示されているように、サブキャリア間隔は2μ*15kHzに等しくてよく、ただし、μはヌメロロジー0~4である。したがって、ヌメロロジーμ=0は15kHzのサブキャリア間隔を有し、ヌメロロジーμ=4は240kHzのサブキャリア間隔を有する。シンボル長/持続時間は、サブキャリア間隔と逆関係にある。図2A~図2Dは、スロット当たり14個のシンボルを有するノーマルCPおよびサブフレーム当たり4つのスロットを有するヌメロロジーμ=2の一例を提供する。スロット持続時間は0.25msであり、サブキャリア間隔は60kHzであり、シンボル持続時間は約16.67μsである。フレームのセット内には、周波数分割多重される1つまたは複数の異なる帯域幅パート(BWP)(図2B参照)があり得る。各BWPは、特定のヌメロロジーおよびCP(ノーマルまたは拡張)を有し得る。
リソースグリッドは、フレーム構造を表すために使用され得る。各タイムスロットは、12個の連続するサブキャリアに及ぶリソースブロック(RB)(物理RB(PRB)とも呼ばれる)を含む。リソースグリッドは、複数のリソース要素(RE)に分割される。各REによって搬送されるビット数は、変調方式に依存する。
図2Aに示されているように、REのうちのいくつかは、UE用の参照(パイロット)信号(RS)を搬送する。RSは、UEにおけるチャネル推定のために、復調RS(DM-RS)(1つの特定の構成用にRとして示されるが、他のDM-RS構成が可能である)およびチャネル状態情報参照信号(CSI-RS)を含み得る。RSはまた、ビーム測定RS(BRS)、ビーム改善RS(BRRS)、および位相トラッキングRS(PT-RS)を含み得る。
図2Bは、フレームのサブフレーム内の様々なDLチャネルの一例を示す。物理ダウンリンク制御チャネル(PDCCH)は、1つまたは複数の制御チャネル要素(CCE)(たとえば、1、2、4、8、または16個のCCE)内でDCIを搬送し、各CCEは6つのREグループ(REG)を含み、各REGはRBのOFDMシンボルの中に12個の連続するREを含む。1つのBWP内のPDCCHは、制御リソースセット(CORESET)と呼ばれることがある。UEは、CORESET上でのPDCCH監視機会の間にPDCCHサーチスペース(たとえば、共通サーチスペース、UE固有サーチスペース)の中のPDCCH候補を監視するように構成され、ここで、PDCCH候補は、異なるDCIフォーマットおよび異なるアグリゲーションレベルを有する。追加のBWPは、チャネル帯域幅にわたって、より高いおよび/またはより低い周波数に位置してもよい。1次同期信号(PSS)は、フレームの特定のサブフレームのシンボル2内にあり得る。PSSは、サブフレーム/シンボルタイミングおよび物理レイヤ識別情報を決定するためにUE104によって使用される。2次同期信号(SSS)は、フレームの特定のサブフレームのシンボル4内にあり得る。SSSは、物理レイヤセル識別情報グループ番号および無線フレームタイミングを決定するためにUEによって使用される。物理レイヤ識別情報および物理レイヤセル識別情報グループ番号に基づいて、UEは物理セル識別子(PCI)を決定することができる。PCIに基づいて、UEはDM-RSのロケーションを決定することができる。マスタ情報ブロック(MIB)を搬送する物理ブロードキャストチャネル(PBCH)は、PSSおよびSSSと論理的にグループ化されて、同期信号(SS)/PBCHブロック(SSブロック(SSB)とも呼ばれる)を形成し得る。MIBは、システム帯域幅の中のRBの数およびシステムフレーム番号(SFN)を提供する。物理ダウンリンク共有チャネル(PDSCH)は、ユーザデータ、システム情報ブロック(SIB)などのPBCHを通じて送信されないブロードキャストシステム情報、およびページングメッセージを搬送する。
図2Cに示されているように、基地局におけるチャネル推定のために、REのうちのいくつかは、DM-RS(1つの特定の構成用にRとして示されるが、他のDM-RS構成が可能である)を搬送する。UEは、物理アップリンク制御チャネル(PUCCH)用のDM-RS、および物理アップリンク共有チャネル(PUSCH)用のDM-RSを送信し得る。PUSCH DM-RSは、PUSCHの最初の1つまたは2つのシンボルの中で送信され得る。PUCCH DM-RSは、短いPUCCHが送信されるかまたは長いPUCCHが送信されるかに応じて、かつ使用される特定のPUCCHフォーマットに応じて、異なる構成で送信され得る。UEは、サウンディング参照信号(SRS)を送信し得る。SRSは、サブフレームの最後のシンボルにおいて送信され得る。SRSはコム構造を有してよく、UEはコムのうちの1つにおいてSRSを送信してよい。SRSは、UL上での周波数依存スケジューリングを可能にするためのチャネル品質推定のために基地局によって使用され得る。
図2Dは、フレームのサブフレーム内の様々なULチャネルの一例を示す。PUCCHは、一構成では、図示のように位置し得る。PUCCHは、スケジューリング要求、チャネル品質インジケータ(CQI)、プリコーディング行列インジケータ(PMI)、ランクインジケータ(RI)、およびハイブリッド自動再送要求(HARQ)肯定応答(ACK)(HARQ-ACK)フィードバック(すなわち、1つまたは複数のACKおよび/または否定ACK(NACK)を示す1つまたは複数のHARQ ACKビット)などのアップリンク制御情報(UCI)を搬送する。PUSCHはデータを搬送し、追加として、バッファステータス報告(BSR)、電力ヘッドルーム報告(PHR)、および/またはUCIを搬送するために使用され得る。
図3は、第2のワイヤレスデバイスとワイヤレス通信を交換するように構成される、第1のワイヤレスデバイスの一例を示すブロック図である。図3の図示の例では、第1のワイヤレスデバイスは、基地局310を含み得、第2のワイヤレスデバイスは、UE350を含み得、基地局310は、アクセスネットワークにおいてUE350と通信している場合がある。図3に示されているように、基地局310は、送信プロセッサ(TXプロセッサ316)と、送信機318Txと、受信機318Rxと、アンテナ320と、受信プロセッサ(RXプロセッサ370)と、チャネル推定器374と、コントローラ/プロセッサ375と、メモリ376とを含む。例示的なUE350は、アンテナ352と、送信機354Txと、受信機354Rxと、RXプロセッサ356と、チャネル推定器358と、コントローラ/プロセッサ359と、メモリ360と、TXプロセッサ368とを含む。他の例では、基地局310および/またはUE350は、追加または代替の構成要素を含み得る。
DLでは、インターネットプロトコル(IP)パケットは、コントローラ/プロセッサ375に提供され得る。コントローラ/プロセッサ375は、レイヤ3およびレイヤ2の機能を実装する。レイヤ3は、無線リソース制御(RRC)レイヤを含み、レイヤ2は、サービスデータ適応プロトコル(SDAP)レイヤ、パケットデータコンバージェンスプロトコル(PDCP)レイヤ、無線リンク制御(RLC)レイヤ、および媒体アクセス制御(MAC)レイヤを含む。コントローラ/プロセッサ375は、システム情報(たとえば、MIB、SIB)のブロードキャスト、RRC接続制御(たとえば、RRC接続ページング、RRC接続確立、RRC接続修正、およびRRC接続解放)、無線アクセス技術(RAT)間モビリティ、およびUE測定報告のための測定構成に関連付けられたRRCレイヤ機能と、ヘッダ圧縮/解凍、セキュリティ(暗号化、解読、完全性保護、完全性検証)、およびハンドオーバサポート機能に関連付けられたPDCPレイヤ機能と、上位レイヤパケットデータユニット(PDU)の転送、ARQを介した誤り訂正、RLCサービスデータユニット(SDU)の連結、セグメンテーション、およびリアセンブリ、RLCデータPDUの再セグメンテーション、ならびにRLCデータPDUの並べ替えに関連付けられたRLCレイヤ機能と、論理チャネルとトランスポートチャネルとの間のマッピング、トランスポートブロック(TB)上へのMAC SDUの多重化、TBからのMAC SDUの逆多重化、スケジューリング情報報告、HARQを介した誤り訂正、優先度処理、および論理チャネル優先順位付けに関連付けられたMACレイヤ機能とを提供する。
TXプロセッサ316およびRXプロセッサ370は、様々な信号処理機能に関連付けられたレイヤ1機能を実装する。物理(PHY)レイヤを含むレイヤ1は、トランスポートチャネル上の誤り検出、トランスポートチャネルの前方誤り訂正(FEC)コーディング/復号、インターリービング、レートマッチング、物理チャネル上へのマッピング、物理チャネルの変調/復調、およびMIMOアンテナ処理を含み得る。TXプロセッサ316は、様々な変調方式(たとえば、2位相シフトキーイング(BPSK)、4位相シフトキーイング(QPSK)、M位相シフトキーイング(M-PSK)、M直交振幅変調(M-QAM))に基づく信号コンスタレーションへのマッピングをハンドリングする。コーディングおよび変調されたシンボルは、次いで、並列ストリームに分割され得る。各ストリームは、次いで、時間領域OFDMシンボルストリームを搬送する物理チャネルを生成するために、OFDMサブキャリアにマッピングされ、時間領域および/または周波数領域において参照信号(たとえば、パイロット)と多重化され、次いで、逆高速フーリエ変換(IFFT)を使用して一緒に合成されることがある。OFDMストリームは、複数の空間ストリームを生成するために空間的にプリコーディングされる。チャネル推定器374からのチャネル推定値は、コーディングおよび変調方式を決定するために、ならびに空間処理のために使用され得る。チャネル推定値は、UE350によって送信された参照信号および/またはチャネル状態フィードバックから導出され得る。各空間ストリームは、次いで、別個の送信機(たとえば、送信機318Tx)を介して、アンテナ320のうちの異なるアンテナに提供され得る。各送信機318Txは、送信のためにそれぞれの空間ストリームで無線周波数(RF)キャリアを変調し得る。
UE350において、各受信機354Rxは、アンテナ352のうちのそのそれぞれのアンテナを通して信号を受信する。各受信機354Rxは、RFキャリア上に変調された情報を復元し、その情報をRXプロセッサ356に提供する。TXプロセッサ368およびRXプロセッサ356は、様々な信号処理機能に関連付けられたレイヤ1機能性を実装する。RXプロセッサ356は、UE350に向けられた任意の空間ストリームを復元するために、情報に対して空間処理を実行し得る。複数の空間ストリームがUE350に向けられる場合、複数の空間ストリームのうちの2つまたはそれ以上が、RXプロセッサ356によって単一のOFDMシンボルストリームに合成され得る。RXプロセッサ356は、次いで、高速フーリエ変換(FFT)を使用して、OFDMシンボルストリームを時間領域から周波数領域に変換する。周波数領域信号は、OFDM信号のサブキャリアごとに別個のOFDMシンボルストリームを含む。各サブキャリア上のシンボル、および参照信号は、基地局310によって送信された最も可能性の高い信号コンステレーションポイントを決定することによって復元および復調される。これらの軟判定は、チャネル推定器358によって計算されたチャネル推定値に基づいてもよい。次いで、軟判定は、復号およびデインターリーブされて、物理チャネル上で基地局310によって最初に送信されたデータおよび制御信号を復元する。次いで、データおよび制御信号は、レイヤ3およびレイヤ2の機能を実装するコントローラ/プロセッサ359に提供される。
コントローラ/プロセッサ359は、プログラムコードとデータとを記憶するメモリ360に関連付けられ得る。メモリ360は、コンピュータ可読媒体と呼ばれることがある。ULでは、コントローラ/プロセッサ359は、IPパケットを復元するために、トランスポートチャネルと論理チャネルとの間の逆多重化、パケットリアセンブリ、解読、ヘッダ解凍、および制御信号処理を提供する。コントローラ/プロセッサ359はまた、HARQ動作をサポートするために、ACKプロトコルおよび/またはNACKプロトコルを使用する誤り検出を担う。
基地局310によるDL送信に関して説明した機能と同様に、コントローラ/プロセッサ359は、システム情報(たとえば、MIB、SIB)収集、RRC接続、および測定報告に関連付けられたRRCレイヤ機能と、ヘッダ圧縮/解凍、およびセキュリティ(暗号化、解読、完全性保護、完全性検証)に関連付けられたPDCPレイヤ機能と、上位レイヤPDUの転送、ARQを介した誤り訂正、RLC SDUの連結、セグメンテーション、およびリアセンブリ、RLCデータPDUの再セグメンテーション、ならびにRLCデータPDUの並べ替えに関連付けられたRLCレイヤ機能と、論理チャネルとトランスポートチャネルとの間のマッピング、TB上へのMAC SDUの多重化、TBからのMAC SDUの逆多重化、スケジューリング情報報告、HARQを介した誤り訂正、優先度処理、および論理チャネル優先順位付けに関連付けられたMACレイヤ機能とを提供する。
基地局310によって送信された参照信号またはフィードバックからチャネル推定器358によって導出されたチャネル推定値は、適切なコーディングおよび変調方式を選択するために、かつ空間処理を容易にするために、TXプロセッサ368によって使用され得る。TXプロセッサ368によって生成された空間ストリームは、別個の送信機(たとえば、送信機354Tx)を介して、アンテナ352のうちの異なるアンテナに提供され得る。各送信機354Txは、送信のためにそれぞれの空間ストリームでRFキャリアを変調し得る。
UL送信は、UE350における受信機機能に関して説明したものと同様の方法で基地局310において処理される。各受信機318Rxは、アンテナ320のうちのそのそれぞれのアンテナを通じて信号を受信する。各受信機318Rxは、RFキャリア上に変調された情報を復元し、その情報をRXプロセッサ370に提供する。
コントローラ/プロセッサ375は、プログラムコードとデータとを記憶するメモリ376に関連付けられ得る。メモリ376は、コンピュータ可読媒体と呼ばれることがある。ULでは、コントローラ/プロセッサ375は、IPパケットを復元するために、トランスポートチャネルと論理チャネルとの間の逆多重化、パケットリアセンブリ、解読、ヘッダ解凍、制御信号処理を行う。コントローラ/プロセッサ375はまた、HARQ動作をサポートするために、ACKプロトコルおよび/またはNACKプロトコルを使用する誤り検出を担う。
TXプロセッサ368、RXプロセッサ356、およびコントローラ/プロセッサ359のうちの少なくとも1つが、図1のUEセキュリティハンドリング構成要素198に関連した態様を実行するように構成され得る。
TXプロセッサ316、RXプロセッサ370、およびコントローラ/プロセッサ375のうちの少なくとも1つが、図1のネットワークセキュリティハンドリング構成要素199に関連した態様を実行するように構成され得る。
図4は、本明細書で提示するように、第1のネットワークノード402aと、第2のネットワークノード402bと、UE404と、発展型パケットコア(たとえば、EPC410)と、コアネットワーク430(たとえば、5Gコア(5GC))とを含む、ワイヤレス通信システムおよびアクセスネットワークの一例を示す図400である。本明細書ではまとめて「ネットワークノード402a/402b」と呼ばれることがある、第1のネットワークノード402aおよび/または第2のネットワークノード402bの態様は、図1の基地局102、および/またはCU110、DU130、および/またはRU140など、基地局102の構成要素によって実装され得る。UE404の態様は、図1のUE104によって実装され得る。
図4の例では、第1のネットワークノード402aは、4G LTE(発展型ユニバーサルモバイルテレコミュニケーションズシステム(UMTS)地上波無線アクセスネットワーク(E-UTRAN)と総称される)のために構成され得、第1のバックホールリンク452(たとえば、S1インターフェース)を通してEPC410とインターフェースし得る。第2のネットワークノード402bは、5G NR(次世代RAN(NG-RAN)と総称される)のために構成され得、第2のバックホールリンク454を通してコアネットワーク430とインターフェースし得る。他の機能に加えて、ネットワークノード402a/402bは、以下の機能、すなわち、ユーザデータの転送、無線チャネルの暗号化および解読、完全性保護、ヘッダ圧縮、モビリティ制御機能(たとえば、ハンドオーバ、デュアル接続性)、セル間干渉協調、接続のセットアップおよび解放、負荷分散、非アクセス層(NAS)メッセージのための配信、NASノード選択、同期、無線アクセスネットワーク(RAN)共有、マルチメディアブロードキャストマルチキャストサービス(MBMS)、加入者および機器の追跡、RAN情報管理(RIM)、ページング、測位、ならびに警告メッセージの送達のうちの1つまたは複数を実行し得る。ネットワークノード402a/402bは、第3のバックホールリンク456(たとえば、X2インターフェース)を介して互いと直接または間接的に(たとえば、EPC410またはコアネットワーク430を通して)通信し得る。第1のバックホールリンク452、第2のバックホールリンク454、および第3のバックホールリンク456は、ワイヤードまたはワイヤレスであり得る。
ネットワークノード402a/402bは、UE404とワイヤレス通信し得る。ネットワークノード402a/402bの各々は、それぞれの地理的カバレージエリア406に通信カバレージを提供し得る。重複する地理的カバレージエリアがあり得る。図4の例では、ネットワークノード402a/402bとUE404との間の通信リンク408は、UE404からそれぞれのネットワークノードへのアップリンク(UL)(逆方向リンクとも呼ばれる)送信、および/またはそれぞれのネットワークノードからUE404へのダウンリンク(DL)(順方向リンクとも呼ばれる)送信を含み得る。通信リンク408は、空間多重化、ビームフォーミング、および/または送信ダイバーシティを含む、MIMOアンテナ技術を使用し得る。通信リンクは、1つまたは複数のキャリアを通したものであり得る。
EPC410は、モビリティ管理エンティティ(たとえば、MME412)、他のMME414、サービングゲートウェイ416、マルチメディアブロードキャストマルチキャストサービス(MBMS)ゲートウェイ(たとえば、MBMS GW418)、ブロードキャストマルチキャストサービスセンター(たとえば、BM-SC420)、およびパケットデータネットワーク(PDN)ゲートウェイ(たとえば、PDNゲートウェイ422)を含み得る。MME412は、ホーム加入者サーバ(たとえば、HSS424)と通信している場合がある。MME412は、UE404とEPC410との間のシグナリングを処理する制御ノードである。一般に、MME412は、ベアラおよび接続管理を提供する。すべてのユーザインターネットプロトコル(IP)パケットは、サービングゲートウェイ416を通じて転送され、サービングゲートウェイ416自体は、PDNゲートウェイ422に接続される。PDNゲートウェイ422は、UE IPアドレス割振りならびに他の機能を提供する。PDNゲートウェイ422およびBM-SC420は、IPサービス426に接続される。IPサービス426は、インターネット、イントラネット、IPマルチメディアサブシステム(IMS)、PSストリーミングサービス、および/または他のIPサービスを含み得る。BM-SC420は、MBMSユーザサービスプロビジョニングおよび配信のための機能を提供し得る。BM-SC420は、コンテンツプロバイダMBMS送信のためのエントリポイントとして働くことがあり、パブリックランドモバイルネットワーク(PLMN)内のMBMSベアラサービスを許可および開始するために使用されることがあり、MBMS送信をスケジュールするために使用されることがある。MBMS GW418は、特定のサービスをブロードキャストするマルチキャストブロードキャスト単一周波数ネットワーク(MBSFN)エリアに属するネットワークノード402a/402bにMBMSトラフィックを配信するために使用されることがあり、セッション管理(開始/停止)およびeMBMS関連の課金情報を収集することを担うことがある。
コアネットワーク430は、アクセスおよびモビリティ管理機能(たとえば、AMF432)、他のAMF434、セッション管理機能(たとえば、SMF436)、ならびにユーザプレーン機能(たとえば、UPF438)を含み得る。AMF432は、統合データ管理(たとえば、UDM440)と通信している場合がある。AMF432は、UE404とコアネットワーク430との間のシグナリングを処理する制御ノードである。一般に、AMF432は、QoSフローおよびセッション管理を提供する。すべてのユーザIPパケットは、UPF438を通して転送される。UPF438は、UEのIPアドレス割振りならびに他の機能を提供する。UPF438は、IPサービス442に接続される。IPサービス442は、インターネット、イントラネット、IPマルチメディアサブシステム(IMS)、パケット交換(PS)ストリーミング(PSS)サービス、および/または他のIPサービスを含み得る。
図4の例では、MME412および/またはAMF432は、RLFの場合の5GSからEPCの再選択と、改善されたモビリティサポートを容易にするEPS TAU要求の再送信とのセキュリティハンドリングを容易にすることによって、ワイヤレス通信の1つまたは複数の態様を管理するように構成され得る。たとえば、MME412および/またはAMF432は、第2のネットワークノード402bに関連付けられた5Gネットワークから、第1のネットワークノード402aに関連付けられたEPSネットワークへのハンドオーバを容易にするように構成され得る。MME412および/またはAMF432は、ネットワークセキュリティハンドリング構成要素497を含み得る。ネットワークセキュリティハンドリング構成要素497の態様は、図1および/または図3のネットワークセキュリティハンドリング構成要素199と同様であり得る。
非アクセス層(NAS)は、無線インターフェースにおけるUEとMMEとの間の制御プレーンの最も高い層を形成する。NASの一部であるプロトコルは、UEのモビリティのサポートを提供する。NASセキュリティは、NASプロトコルへのサービスを提供するNASの追加の機能である。たとえば、NASセキュリティは、NASシグナリングメッセージの完全性保護および暗号化を提供し得る。
認証、完全性保護、および暗号化のためのセキュリティパラメータは、セキュリティコンテキストと呼ばれることがあり、鍵セット識別子(KSI)によって識別され得る。セキュリティコンテキストを表す情報は、UE、およびUEにサービスするネットワーク(たとえば、サービングネットワーク)において記憶され得る。NASシグナリングメッセージを通信することに関して、セキュリティコンテキストは、「NASセキュリティコンテキスト」と呼ばれることがあり、鍵、鍵に関連付けられた鍵セット識別子、UEセキュリティ能力(たとえば、UEによって実装される暗号化および完全性アルゴリズムに対応する識別子のセット)、アップリンクNASカウント、およびダウンリンクNASカウントを含み得る。セキュリティコンテキストがアクティブ化されるとき、アップリンクNASカウントおよびダウンリンクNASカウントは、各々、0に設定され得、それぞれのNASメッセージが通信されるとき、順次増分され得る。したがって、アップリンクNASカウント値は、通信されたアップリンクNASメッセージの量を示し得、ダウンリンクNASカウント値は、アクティブなセキュリティコンテキストに関連付けられた通信されたダウンリンクNASメッセージの量を示し得る。
UEが5Gネットワークに接続されるとき、5Gセキュリティコンテキストは、5Gにおける鍵セット識別子(ngKSI)によって識別される、5G NASマスターセキュリティ鍵(KAMF)を含み得る。5G NASマスターセキュリティ鍵は、本明細書では「5G NAS鍵」または「5Gマスターセキュリティ鍵」と呼ばれることもある。UEがEPSネットワークに接続されるとき、EPSセキュリティコンテキストは、EPSのための鍵セット識別子(eKSI)によって識別されるEPS NASマスターセキュリティ鍵(KASME)を含み得る。EPS NASマスターセキュリティ鍵は、本明細書では「EPS NAS鍵」または「EPSマスターセキュリティ鍵」と呼ばれることもある。
図5は、本明細書で提示するように、異なるセキュリティコンテキストの例を示す。たとえば、図5は、第1のセキュリティコンテキスト500と、5Gネットワークに関連付けられた第2のセキュリティコンテキスト520と、EPSネットワークに関連付けられた第3のセキュリティコンテキスト540とを含む。セキュリティコンテキストは、たとえば、NASメッセージを送信するとき、および/またはNASメッセージを受信するとき、NASシグナリングを完全性保護するために使用され得るデータを含む。セキュリティコンテキストデータは、それぞれのRANに関連付けられたNASシグナリングを完全性保護することに関連付けられ得る。たとえば、第2のセキュリティコンテキスト520は、5G NASメッセージを送信すること、および/または5G NASメッセージを検証することを行うために使用される、5Gセキュリティコンテキストデータを含み得る。第3のセキュリティコンテキスト540は、EPS NASメッセージを送信すること、および/またはEPS NASメッセージを検証することを行うために使用される、EPSセキュリティコンテキストデータを含み得る。
図5の例では、第1のセキュリティコンテキスト500は、マスターセキュリティ鍵502と、マスターセキュリティ鍵502に関連付けられたKSI504とを含む。たとえば、KSI504は、マスターセキュリティ鍵502を示し得る。第1のセキュリティコンテキスト500はまた、UEによって実装される暗号化および完全性アルゴリズムに対応する識別子のセットを含み得る、UEセキュリティ能力506を含む。たとえば、UEセキュリティ能力506は、完全性鍵および暗号鍵、ならびに選択された完全性および暗号化アルゴリズムの関連付けられた識別子を含み得る。第1のセキュリティコンテキスト500はまた、アップリンクNASカウント508およびダウンリンクNASカウント510を含む、NASカウントペアを含む。アップリンクNASカウント508は、通信されたアップリンクNASメッセージの量を示し、ダウンリンクNASカウント510は、アクティブなセキュリティコンテキストに関連付けられた通信されたダウンリンクNASメッセージの量を示す。セキュリティコンテキストがアクティブ化されるとき、アップリンクNASカウント508およびダウンリンクNASカウント510は、開始値に設定され得る(たとえば、0に設定され得る)。NASカウント値が開始値に設定された後、NASカウント値は、それぞれのNASメッセージが通信されるとき、増分され得る。
上記で説明したように、第2のセキュリティコンテキスト520は、5G NASメッセージを完全性保護することを容易にするために、5Gセキュリティコンテキストデータを含む。たとえば、第2のセキュリティコンテキスト520は、5G鍵522(KAMF)と、5G KSI524(ngKSI)と、5G UEセキュリティ能力526と、5GアップリンクNASカウント528と、5GダウンリンクNASカウント530とを含む。第2のセキュリティコンテキスト520の5Gセキュリティコンテキストデータは、第1のセキュリティコンテキスト500のセキュリティコンテキストデータと同様であり得るが、5Gネットワークのために構成され得る。
第3のセキュリティコンテキスト540は、EPS NASメッセージを完全性保護することを容易にするために、EPSセキュリティコンテキストデータを含む。たとえば、第3のセキュリティコンテキスト540は、EPS鍵542(KASME)と、EPS KSI544(eKSI)と、EPS UEセキュリティ能力546と、EPSアップリンクNASカウント548と、EPSダウンリンクNASカウント550とを含む。第3のセキュリティコンテキスト540のEPSセキュリティコンテキストデータは、第1のセキュリティコンテキスト500のセキュリティコンテキストデータと同様であり得るが、EPSネットワークのために構成され得る。
セキュリティコンテキストは、「現在」の状態または「非現在」の状態など、状態に関連付けられ得る。現在のセキュリティコンテキストは、アクティブ化されるセキュリティコンテキストである。非現在のセキュリティコンテキストは、現在のものでないセキュリティコンテキスト(たとえば、アクティブ化されないセキュリティコンテキスト)である。セキュリティコンテキストは、「ネイティブ」タイプまたは「マッピングされた」タイプなど、タイプに関連付けられ得る。ネイティブセキュリティコンテキストは、「完全ネイティブ」セキュリティコンテキスト、または「部分ネイティブ」セキュリティコンテキストを含む。セキュリティコンテキストは、一度に1つのタイプおよび1つの状態のものであり得る。ただし、特定のセキュリティコンテキストのタイプは、経時的に変化し得る。たとえば、部分ネイティブセキュリティコンテキストは、完全ネイティブセキュリティコンテキストに変換し得る。
ネイティブセキュリティコンテキストは、プライマリ認証プロシージャによって作成され、かつネイティブ鍵セット識別子(たとえば、ネイティブeKSIまたはネイティブngKSI)によって識別される鍵(たとえば、EPS鍵KASMEまたは5G鍵KAMF)をもつ、セキュリティコンテキストである。たとえば、プライマリ認証プロシージャは、UEとネットワークとの間の相互認証を可能にし、後続のセキュリティプロシージャにおいてUEとネットワークとの間で使用され得るキーイングマテリアルを提供し得る。UEがネットワークに登録すると、UEおよびネットワークは、プライマリ認証プロシージャを実行し得、プライマリ認証プロシージャが成功すると、ネイティブセキュリティコンテキストが生成され得る。UEは、ネイティブセキュリティコンテキストのコピーを記憶し得、ネットワークは、MMEおよび/またはAMFなどのネットワークエンティティにおいて、UEに関連付けられたネイティブセキュリティコンテキストのコピーを記憶し得る。
ネイティブセキュリティコンテキストは、ネイティブ鍵を識別するネイティブKSIを含み得る。ネイティブKSIは、プライマリ認証プロシージャの間に導出され得、UEおよびネットワークが認証プロシージャを呼び出すことなしに、ネイティブセキュリティコンテキストを識別することを可能にし得る。したがって、ネイティブKSIは、認証プロシージャを実行する必要なしに、UEとネットワークとの間の後続の接続セットアップの間に、ネイティブセキュリティコンテキストの再使用を可能にし得る。
ネイティブセキュリティコンテキストは、部分ネイティブセキュリティコンテキストまたは完全ネイティブセキュリティコンテキストであり得る。部分ネイティブセキュリティコンテキストは、関連付けられた鍵セット識別子(たとえば、5G KSI524またはEPS KSI544)、UEセキュリティ能力、およびNASカウントペア(たとえば、アップリンクNASカウント値およびダウンリンクNASカウント値)とともに、鍵(たとえば、5G鍵522またはEPS鍵542)を含む、セキュリティコンテキストである。部分ネイティブセキュリティコンテキストは、プライマリ認証によって作成され得、「非現在」の状態にある。完全ネイティブセキュリティコンテキストは、部分ネイティブセキュリティコンテキストのセキュリティコンテキストデータを含み、かつ、NAS完全性鍵および暗号鍵、ならびに選択されたNAS完全性および暗号化アルゴリズムの関連付けられた鍵セット識別子も含む、セキュリティコンテキストである。完全ネイティブセキュリティコンテキストは、「現在」の状態または「非現在」の状態にあり得る。
マッピングされたセキュリティコンテキストは、そのための鍵が、異なるRANに関連付けられた鍵から導出される、セキュリティコンテキストである。たとえば、マッピングされた5Gセキュリティコンテキストは、EPS鍵(たとえば、EPS鍵542)から導出される、マッピングされた5G鍵(KAMF)を含む。マッピングされたEPSセキュリティコンテキストは、5G鍵(たとえば、5G鍵522)から導出される、マッピングされたEPS鍵(KASME)を含む。
マッピングされたセキュリティコンテキストは、第2のネットワークのネイティブ鍵から導出された、マッピングされた鍵に関連付けられる、第1のネットワークのマッピングされたKSIを含み得る。たとえば、マッピングされた5Gセキュリティコンテキストは、EPSネットワークのEPS鍵から導出された、マッピングされた5G鍵に関連付けられる、マッピングされた5G KSIを含む。マッピングされたKSIは、マッピングされた鍵を導出するとき、UEおよびネットワークにおいて生成され得る。したがって、マッピングされたKSIは、マッピングされた鍵の使用を示し得る。
いくつかの態様では、セキュリティコンテキスト不一致が、たとえば、第2のネットワークから第1のネットワークへの再選択(たとえば、5GSからEPSの再選択)の間に、UEと第1のネットワークとの間で発生し得る。展開において実行される5GSからEPSの再選択プロシージャの数は、たとえば、展開シナリオにおける5Gのユビキタスでないカバレージのために多くなり得る。さらに、5Gネットワークは、IPマルチメディアサブシステム(IMS)音声通話を最初にサポートしないことがある。そのようなシナリオでは、5Gネットワークに関連付けられたセルにキャンプオンされたUEは、たとえば、音声通話を確立しようと試みるために、EPSネットワークに関連付けられたセルにリダイレクトされ得る。
図6は、本明細書で提示するような、ネットワークノード602と、UE604と、MME606と、AMF608との間の例示的な通信フロー600を示す。図示の例では、通信フロー600は、5GSからEPSへのアイドルモードモビリティを実行することを容易にする。たとえば、UE604は、第1のRAT(たとえば、5Gネットワーク)に関連付けられた第1のセルに接続および/またはキャンプオンされ得、第2のRAT(たとえば、EPSネットワークまたはLTEネットワーク)に関連付けられた第2のセルにリダイレクトされ得る。図6の例では、MME606は、EPSネットワーク607に関連付けられ得、AMF608は、5Gネットワーク609に関連付けられ得る。例示的な通信フロー600は、第2のセル(たとえば、EPSネットワーク607)にリダイレクトされた後のトラッキングエリア更新(TAU)要求プロシージャ、または第2のセルとの初期アタッチプロシージャを実行することに関連付けられ得る。
ネットワークノード602の態様は、図1の基地局102、ならびに/またはCU、DU、および/もしくはRUなど、基地局102の構成要素によって実装され得る。UE604の態様は、図1のUE104によって実装され得る。MME606の態様は、図4のMME412によって実装され得る。AMF608の態様は、図1のAMF161、図4のAMF432および/または他のAMF434によって実装され得る。図6の例では、UE604は、ネットワークノード602を介してMME606と通信する。たとえば、UE604は、ネットワークノード602によって受信されるアップリンクメッセージを送信し得、ネットワークノード602は、次いで、アップリンクメッセージをMME606に転送する。ダウンリンク方向では、MME606は、ネットワークノード602によって受信され、次いでネットワークノード602によってUE604に転送される、メッセージを送信し得る。
図6の例では、UE604は、5Gネットワーク609からEPSネットワーク607への再選択を実行中である。したがって、UE604は、現在の(またはアクティブな)5Gセキュリティコンテキストである、図5の第2のセキュリティコンテキスト520など、5Gセキュリティコンテキスト690で構成される。UE604は、MME606およびEPSネットワーク607との通信を容易にするために、現在の5Gセキュリティコンテキストの5Gセキュリティコンテキストデータに基づいて、マッピングされたEPSセキュリティコンテキストを導出し得る。
図6に示されているように、UE604は、MME606によって受信される第1のTAU要求メッセージ610を送信する。UE604は、EPSネットワーク607におけるUE604の実際のトラッキングエリアの登録を更新するために、第1のTAU要求メッセージ610を送信し得る。UE604は、EPS NASメッセージを介して、第1のTAU要求メッセージ610を送信し得る。したがって、第1のTAU要求メッセージ610は、EPSネットワーク607に関連付けられたパラメータを含み得る。
たとえば、第1のTAU要求メッセージ610は、マッピングされたEPSグローバル一意一時UE識別情報(Globally Unique Temporary UE Identity)(たとえば、マッピングされたEPS GUTI612)と、図5のEPS UEセキュリティ能力546など、UE604のEPSセキュリティ能力とを含む。マッピングされたEPS GUTI612は、5G GUTIから導出され得る。UE604は、5Gネットワーク609に登録するとき、5G GUTIで構成され得る。5G GUTIは、UE604に関連付けられた5G鍵が記憶されているAMFをポイントし得る。したがって、マッピングされたEPS GUTI612は、5Gネットワーク609におけるUE604の最新のセキュリティコンテキストを有するAMFの情報と、AMF内のUEの識別子とを含み得る。たとえば、マッピングされたEPS GUTI612は、AMF608に関連付けられたアドレスと、UE604に関連付けられた一時モバイルサブスクリプション識別子(Temporary Mobile Subscription Identifier)(たとえば、TMSI613)とを含み得る。
UE604は、マッピングされたEPS GUTI612を導出するために使用された5G GUTIによって識別された5Gセキュリティコンテキスト690を使用して、第1のTAU要求メッセージ610を完全性保護し得る。たとえば、UE604は、第1のTAU要求メッセージ610のためのNASメッセージ認証コード(たとえば、NAS-MAC614)を計算し得る。UE604は、5G NASメッセージのためのNAS-MACの計算と同様のNAS-MAC614を計算し得る。第1のTAU要求メッセージ610の完全性保護のためのアップリンクNASカウントは、5GアップリンクNASカウントと同じ値(たとえば、図5の5GアップリンクNASカウント528と同じ値)であり得る。結果として、通信システムにわたるアップリンクNASカウント値が増加される。第1のTAU要求メッセージ610は、eKSIパラメータ616を含み得、UE604は、eKSIパラメータ616中に、5Gセキュリティコンテキスト690に対応する5G KSI(ngKSI)を含め得る。
図6の例では、第1のTAU要求メッセージ610を送信した後、UE604は、618において、5Gセキュリティコンテキスト690の5GアップリンクNASカウントを1だけ増分し得る。
620において、MME606は、UE604に関連付けられた5Gセキュリティコンテキストを記憶するAMFのAMFアドレスを取得し得る。たとえば、MME606は、第1のTAU要求メッセージ610のマッピングされたEPS GUTI612を使用して、AMF608のAMFアドレスを取得し得る。
図6に示されているように、MME606は、AMF608によって受信されるコンテキスト要求メッセージ622を送信し得る。コンテキスト要求メッセージ622は、第1のTAU要求メッセージ610の情報の全部、またはその情報の一部分を含み得る。たとえば、コンテキスト要求メッセージ622は、NAS-MAC614およびeKSIパラメータ616を含み得る。コンテキスト要求メッセージ622はまた、マッピングされたEPS GUTI612を含み得る。
630において、AMF608は、たとえば、コンテキスト要求メッセージ622に基づいて、UE604に関連付けられた5G NASセキュリティコンテキスト692を識別し得る。AMF608は、コンテキスト要求メッセージ622のeKSIパラメータ616中に含まれた5G KSIを使用して、UE604に関連付けられた5G NASセキュリティコンテキスト692を識別し得る。
632において、AMF608は、5G NASセキュリティコンテキスト692を使用して、第1のTAU要求メッセージ610を検証し得る。AMF608は、第1のTAU要求メッセージ610が5G NASメッセージであったかのように、第1のTAU要求メッセージ610を検証し得る。AMF608が第1のTAU要求メッセージ610の検証に成功する場合、AMF608は、634において、マッピングされたEPSセキュリティコンテキスト636を生成し得る。たとえば、AMF608は、5G NASセキュリティコンテキスト692を使用して、マッピングされたEPSセキュリティコンテキスト636を導出し得る。AMF608は、たとえば、第1のTAU要求メッセージ610から導出された5GアップリンクNASカウントを使用して、5G鍵(KAMF)から、マッピングされたEPS鍵(KASME')を導出することによって、マッピングされたEPSセキュリティコンテキスト636を導出し得る。たとえば、UE604は、5GアップリンクNASカウントを使用して、第1のTAU要求メッセージ610を完全性保護し得る。AMF608が、UE604の5G NASセキュリティコンテキスト692を識別し、第1のTAU要求メッセージ610を検証すると、AMF608は、5GアップリンクNASカウントを決定するための能力を有し得る。
AMF608は、コンテキスト要求メッセージ622の5G KSI(ngKSI)から取られた値に基づいて、マッピングされたEPS鍵(KASME')のためのマッピングされたEPS KSI(eKSI)を決定し得る。マッピングされたEPSセキュリティコンテキスト636における、EPSアップリンクおよびダウンリンクNASカウント値は、それぞれ、5G NASセキュリティコンテキスト692のアップリンクおよびダウンリンクNASカウント値に設定され得る。AMF608は、EPS NASアルゴリズムを、(たとえば、接続確立プロシージャまたは接続再確立プロシージャの間に)UE604に前に示されたものに設定し得る。
図6に示されているように、AMF608は、MME606によって受信されるコンテキスト応答メッセージ638を出力し得る。コンテキスト応答メッセージ638は、マッピングされたEPSセキュリティコンテキスト636を含み得る。いくつかの例では、AMF608は、コンテキスト応答メッセージ638を送信した後、マッピングされたEPSセキュリティコンテキスト636を導出するために使用された5G NASセキュリティコンテキスト692を破棄(または消去)し得る。いくつかの例では、AMF608は、コンテキスト応答メッセージ638を送信した後、タイマーを開始し、タイマーが満了した後、5G NASセキュリティコンテキスト692を破棄し得る。
図6の図示の例では、UE604は、640において、UEマッピングされたEPSセキュリティコンテキスト642を生成し得る。たとえば、UE604は、AMF608によるマッピングされたEPSセキュリティコンテキスト636の導出と同様の方法で、UEマッピングされたEPSセキュリティコンテキスト642を導出し得る。UE604は、EPS NASアルゴリズムを、(たとえば、接続確立プロシージャまたは接続再確立プロシージャの間に)AMF608から前に受信されたものに設定し得る。UE604は、MME606から受信されたEPS NASメッセージの処理のために使用するために、UEマッピングされたEPSセキュリティコンテキスト642をアクティブ化し得る。
650において、MME606は、UEセキュリティアルゴリズムをセキュリティアルゴリズム情報694と比較し得る。MME606は、ネットワーク管理を介して、セキュリティアルゴリズム情報694で構成され得る。セキュリティアルゴリズム情報694は、使用のために可能にされるアルゴリズムのリストを含み得る。セキュリティアルゴリズム情報694におけるアルゴリズムは、優先度に従って順序付けられ得る。MME606は、コンテキスト応答メッセージ638のマッピングされたEPSセキュリティコンテキスト636中に含まれたEPS NASアルゴリズムを、セキュリティアルゴリズム情報694と比較し得る。MME606は、650において、セキュリティアルゴリズムを比較して、別のEPS NASアルゴリズムを選択するか否かを決定し得る。MME606が、アルゴリズム変更を実行することを決定する場合、MME606は、セキュリティアルゴリズム情報694から、最高優先度をもつとともにUE604にとって利用可能でもあるEPS NASアルゴリズムを選択し得る。たとえば、MME606は、図5のEPS UEセキュリティ能力546など、UEのUEセキュリティ能力を使用して、どのEPS NASアルゴリズムをセキュリティアルゴリズム情報694から選択するかを決定し得る。
MME606が、別のEPS NASアルゴリズムを選択することを決定する場合、UE604およびMME606は、NASセキュリティモードコマンド(SMC)プロシージャ(たとえば、NAS SMCプロシージャ660)を実行して、選択されたEPS NASアルゴリズムを用いて新しいNAS鍵を導出し得る。650において、MME606がアルゴリズム変更を実行しないことを決定する場合、または、MME606およびUE604がNAS SMCプロシージャ660を実行した後、MME606は、UE604によって受信されるTAU受付メッセージ662を出力し得る。MME606は、EPS NASメッセージを介して、TAU受付メッセージ662を出力(たとえば、送信または通信)し得る。
664において、UE604は、TAU受付メッセージ662の完全性検証を実行し得る。たとえば、UE604は、UEマッピングされたEPSセキュリティコンテキスト642のマッピングされたEPS鍵(KASME')を使用して、TAU受付メッセージ662の完全性検証を実行し得る。完全性検証が成功する場合、UE604は、MME606によって受信されるTAU完了メッセージ666を送信し得る。完全性検証が失敗する場合、UE604は、TAU完了メッセージ666を破棄し得る。
上記で説明したように、UE604は、5Gネットワーク609に関連付けられた第1のセルから、EPSネットワーク607に関連付けられた第2のセルへの再選択に基づいて、図6のプロシージャを開始し得る。しかしながら、UE604およびMME606におけるセキュリティコンテキストが一致しない場合があることがあり得る。
たとえば、EPSネットワーク607に関連付けられた第2のセルとの接続を確立し、第1のTAU要求メッセージ610を送信した後、UE604は、無線リンク障害(RLF)を受けることがある。そのような例では、UE604は、たとえば、EPSネットワーク607に関連付けられた別のセルとの新しいRRC接続を確立した後、または第2のセルとのRRC接続を再確立した後、第1のTAU要求メッセージ610を再送信し得る。たとえば、UE604は、MME606によって受信される第2のTAU要求メッセージ670を送信し得る。第2のTAU要求メッセージ670は、第1のTAU要求(たとえば、第1のTAU要求メッセージ610)と同じ情報を含み得る。
しかしながら、第2のTAU要求メッセージ670を送信するとき、UE604は、第2のTAU要求メッセージ670を完全性保護するために、更新された5G NASアップリンクカウント値を使用し得る。たとえば、第1のTAU要求メッセージ610を完全性保護するために使用された5G NASアップリンクカウント値は、5であり得、第2のTAU要求メッセージ670を完全性保護するために使用された5G NASアップリンクカウント値は、6であり得る。
いくつかの例では、MME606が第2のTAU要求メッセージ670を受信するとき、MME606は、672において、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670のコンテンツを比較するように構成され得る。いくつかの例では、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670のコンテンツ(たとえば、情報要素)が同じであるとき、MME606は、第2のTAU要求メッセージ670を破棄し、第1のTAU要求メッセージ610に基づいて、図6のTAU要求プロシージャの実行を継続し得る。そのような例では、MME606は、第2のTAU要求メッセージ670に基づいて、AMF608に別のコンテキスト要求メッセージを送ることを控え得る。
別のコンテキスト要求メッセージを送ることを控えることは、発生し得るセキュリティコンテキストマッピングがないので、MME間シナリオにおいて十分であり得ることが諒解されよう。さらに、別のコンテキスト要求メッセージを送ることを控えることは、NONCE_UEに応じたフレッシュネスがコンテキストマッピングのために使用され得るので、UMTSからEPSへの再選択を実行するとき、十分であり得る。本明細書で使用する「NONCE_UE」は、UEによってUMTSからEPSのセキュリティマッピングのフレッシュネスを容易にするために生成された32ビット擬似乱数を指す。NONCE_UEは、マッピングされたEPS鍵(KASME')を計算するために、3Gセキュリティ鍵などの既存のセキュリティ鍵とともに、入力として使用され得る。
しかしながら、図6の例において説明したように、5GからEPSの再選択を実行するとき(たとえば、5Gネットワーク609からEPSネットワーク607への再選択を実行するとき)、AMF608は、TAU要求メッセージに関連付けられた5G NASアップリンクカウントを使用して、(たとえば、634において)マッピングされたEPSセキュリティコンテキスト636を生成し得る。たとえば、AMF608は、第1のTAU要求メッセージ610に関連付けられた5G NASアップリンクカウントの値5を使用して、AMF608がコンテキスト応答メッセージ638を通してMME606に提供する、マッピングされたEPSセキュリティコンテキスト636を生成し得る。マッピングされたEPSセキュリティコンテキスト636は、5G NASアップリンクカウントに基づくMME EPS鍵(KASME'_MME)を含み得る。したがって、MME606は、5の5G NASアップリンクカウント値に基づくMME EPS鍵(KASME'_MME)で構成され得る。
同様に、UE604は、TAU要求メッセージに関連付けられた同じ5G NASアップリンクカウントを使用して、(たとえば、640において)UEマッピングされたEPSセキュリティコンテキスト642を生成し得る。たとえば、第1のTAU要求メッセージ610に関して、UE604は、640において、第1のUE EPS鍵(KASME'_UE)を含む、UEマッピングされたEPSセキュリティコンテキスト642を生成し得る。
しかしながら、第2のTAU要求メッセージ670を送信した後、UE604は、680において、新しいUEマッピングされたEPSセキュリティコンテキスト682を生成し得る。新しいUEマッピングされたEPSセキュリティコンテキスト682は、第2のTAU要求メッセージ670に関連付けられた5G NASアップリンクカウント値に少なくとも部分的に基づき得る。たとえば、新しいUEマッピングされたEPSセキュリティコンテキスト682は、第2のTAU要求メッセージ670に関連付けられた6の5G NASアップリンクカウント値に基づき得る。そのような例では、新しいUEマッピングされたEPSセキュリティコンテキスト682は、第2のUE EPS鍵(KASME'_UE2)を含み得る。マッピングされたEPSセキュリティコンテキスト636および新しいUEマッピングされたEPSセキュリティコンテキスト682は、それぞれ異なる5G NASアップリンクカウント値を使用して、AMF608およびUE604において各々導出され得るので、MME606におけるMME EPS鍵(KASME'_MME)および第2のUE EPS鍵(KASME'_UE2)も異なり得ることが諒解されよう。結果として、マッピングされたEPS鍵KASME'_MME、KASME'_UE2が異なるので、UE604は、MME606から受信されたEPS NASメッセージをドロップし得る。すなわち、UE604およびMME606は、不一致のマッピングされたEPSセキュリティコンテキストおよびマッピングされたEPS鍵を使用中であるので、UE604は、完全性計算における不一致のために、MME606からのEPS NASメッセージ(たとえば、TAU受付メッセージ662、および/またはNAS SMCプロシージャ660に関連付けられたメッセージ)をドロップまたは拒否し得る。そのようなシナリオは、サービス中断および/または通話途切れを生じ得る。
本明細書で開示する例は、上記で説明したTAU要求メッセージの反復のハンドリングにおける不整合を除去するための技法を提供する。第1の態様では、開示する技法は、MME606がどのようにTAU要求メッセージの反復をハンドリングするかを修正することによって、不整合を除去し得る。第2の態様では、開示する技法は、UE604がどのようにTAU要求メッセージの完全性保護を実行するかを修正することによって、不整合を除去し得る。第3の態様では、開示する技法は、UE604がどのようにEPS NASメッセージの完全性検証を実行するかを修正することによって、不整合を除去し得る。
上記で説明したように、MME606が第2のTAU要求メッセージ670を受信するとき、MME606は、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670のコンテンツ(たとえば、情報要素)が同じであるとき、第2のTAU要求メッセージ670を破棄し、AMF608に別のコンテキスト要求メッセージを送信することを控え得る。第1の例示的な態様では、開示する技法は、MMEがどのようにTAU要求メッセージの反復をハンドリングするかを修正することによって、上記で説明した不整合を除去し得る。
たとえば、MME606は、MME606がTAU要求からAMFアドレスを取得することができるとき、AMF608にコンテキスト要求メッセージを送信するか否かを決定するように構成され得る。すなわち、672において説明したように、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670が同じコンテンツ(たとえば、同じ情報要素)を含むことに基づいて、第2のコンテキスト要求メッセージを送信することを控えるのではなく、MME606は、MME606がAMFアドレスを取得することができるか否かに基づいて、第2のコンテキスト要求メッセージ674を送信するか否かを決定し得る。したがって、第2のTAU要求メッセージ670が、マッピングされたEPS GUTI612など、AMFアドレスを含むマッピングされたEPS GUTIを含む場合、MME606は、新しいマッピングされたEPSセキュリティコンテキストを要求する第2のコンテキスト要求メッセージ674をAMF608に送信することを決定し得る。
そのような例では、AMF608は、第2のコンテキスト要求メッセージ674中に含まれた、第2のTAU要求メッセージ670に関連付けられた5G NASアップリンクカウント(たとえば、値6)に基づいて、マッピングされたEPSセキュリティコンテキスト636を生成し得る。結果として、マッピングされたEPSセキュリティコンテキスト636および新しいUEマッピングされたEPSセキュリティコンテキスト682は、同じ5G NASアップリンクカウント(たとえば、値6)に基づいて導出され得、それによって、それぞれのマッピングされたEPS鍵KASME'_MME、KASME'_UE2も同じである結果になり得る。いくつかの例では、UE604は、684において、(たとえば、680における)新しいUEマッピングされたEPSセキュリティコンテキスト682の導出に基づいて、UEマッピングされたEPSセキュリティコンテキスト642から新しいUEマッピングされたEPSセキュリティコンテキスト682に、UE604のセキュリティコンテキストを更新し得る。
いくつかの例では、MME606が、AMF608からマッピングされたEPSセキュリティコンテキストを受信するとき、MME606は、そのマッピングされたセキュリティコンテキストを更新するように構成され得る。たとえば、いくつかのシナリオでは、MME606は、UE604に送信するためにEPS NASメッセージを生成し得、生成されたEPS NASメッセージのうちの1つまたは複数の送信が保留中である間に、新しいマッピングされたEPSセキュリティコンテキストを受信し得る。そのような例では、MME606は、より古いマッピングされたEPSセキュリティコンテキストを使用して完全性保護される、保留中のEPS NASメッセージを破棄するように構成され得る。
MME606が、第2のコンテキスト要求メッセージ674を送信するためのアドレスを取得することができる限り、MME606は、マッピングされたEPSセキュリティコンテキストを要求するコンテキスト要求メッセージを送信し得ることが諒解されよう。したがって、いくつかの例では、マッピングされたEPS GUTI中に含まれたアドレスは、AMF(たとえば、AMF608)に対応し得る。他の例では、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670のマッピングされたEPS GUTI中に含まれたアドレスは、MMEにマッピングし得る。
いくつかの例では、MME606は、UE604にTAU受付メッセージ662を送信する前に、同じ情報要素をもつ第2のTAU要求メッセージ670を受信し得る。いくつかのそのような例では、MME606は、上記で説明したように、(たとえば、第2のコンテキスト要求メッセージ674を介して)AMF608に第2のTAU要求メッセージ670を転送し得る。他の例では、MME606は、認証を実行し、UE604への後続のNASメッセージを保護するために使用されることになる新しいネイティブEPSセキュリティコンテキストをアクティブ化し得る。たとえば、MME606は、MME606およびUE604がEPS NASメッセージの完全性検証を実行するために同じEPS鍵(KASME)を使用中であるように、UE604とのNAS SMCプロシージャ660を実行することを決定し得る。
いくつかの例では、MME606は、UE604にTAU受付メッセージ662を送信した後、同じ情報要素をもつ第2のTAU要求メッセージ670を受信し得る。いくつかのそのような例では、MME606は、認証を実行し、UE604への後続のNASメッセージを保護するために使用されることになる新しいネイティブEPSセキュリティコンテキストをアクティブ化することを決定し得る。たとえば、MME606は、MME606およびUE604がEPS NASメッセージの完全性検証を実行するために同じEPS鍵(KASME)を使用中であるように、UE604とのNAS SMCプロシージャ660を実行することを決定し得る。
いくつかの例では、MME606は、TAU受付メッセージ662を送信した後、かつUE604からTAU完了メッセージ666を受信する前に、同じ情報要素をもつ第2のTAU要求メッセージ670を受信し得る。シングル登録モードにおいて動作するUE604を伴う、IDLEモードにおける、N1モードからS1モードへのシステム間変更以外の態様では、MME606は、TAU受付メッセージ662を再送し得る。いくつかのそのような例では、MME606は、TAU完了メッセージ666が予想される場合、タイマー(たとえば、T3450タイマー)を再開し得る。シングル登録モードにおいて動作するUE604を伴う、IDLEモードにおける、N1モードからS1モードへのシステム間変更の態様では、MME606は、UE604との認証プロシージャを開始し、その後、新しい部分ネイティブEPSセキュリティコンテキストを使用に取り入れようと試みるために、セキュリティモード制御プロシージャ(たとえば、NAS SMCプロシージャ660)を実行することが続き得る。新しい部分ネイティブEPSセキュリティコンテキストを使用に取り入れることが成功する場合、MME606は、新しい部分ネイティブEPSセキュリティコンテキストを完全ネイティブEPSセキュリティコンテキストとして設定し得る。MME606はまた、TAU受付メッセージ662を再送し、(新しい)完全ネイティブEPSセキュリティコンテキストを使用して、TAU受付メッセージ662の再送を完全性保護し得る。いくつかの例では、MME606はまた、T3450タイマーを再開し得る。そのような例では、T3450タイマーに関する再送信カウンタは、増分されないことがある。
いくつかの例では、MME606は、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670を受信し得、TAU受付メッセージ662またはTAU拒否メッセージをまだ送っていないことがある。第1のTAU要求メッセージ610および第2のTAU要求メッセージ670における情報要素のうちの1つまたは複数が異なる場合、第1のTAU要求メッセージ610に基づいて開始されたTAUプロシージャがアボートされ得、第2のTAU要求メッセージ670に基づいて開始された新しいTAUプロシージャが進行し得る(たとえば、進み得る)。
第1のTAU要求メッセージ610および第2のTAU要求メッセージ670における情報要素が同じである(たとえば、異なっていない)場合、シングル登録モードにおいて動作するUE604を伴う、IDLEモードにおける、N1モードからS1モードへのシステム間変更以外の態様では、MME606は、(たとえば、第1のTAU要求メッセージ610に基づいて)前に開始されたTAUプロシージャを継続し、第2のTAU要求メッセージ670を破棄し得る。すなわち、MME606は、第2のTAU要求メッセージ670に基づいて、新しいマッピングされたEPSセキュリティコンテキストを要求する第2のコンテキスト要求メッセージ674をAMF608に送信することを控え得る。
シングル登録モードにおいて動作するUE604を伴う、IDLEモードにおける、N1モードからS1モードへのシステム間変更の態様では、MME606は、完全性検査を実行するために、および最新のマッピングされたEPSセキュリティコンテキストを取得するために、および前のTAUプロシージャを継続するために、(たとえば、別のコンテキスト要求メッセージを通して)AMF608に新しいTAU要求メッセージを転送し得る。たとえば、MME606は、(たとえば、第2のコンテキスト要求メッセージ674を通して)AMF608に第2のTAU要求メッセージ670を転送し得る。一例として、完全性検査は、完全性鍵、アップリンクカウント、送信の方向(たとえば、ダウンリンク送信のダウンリンク方向を示す1ビットインジケータ)、およびダウンリンク送信のペイロードに基づき得る。AMF608は、(たとえば、632において)第2のTAU要求メッセージ670を検証し得る。次いで、AMF608は、第2のTAU要求メッセージ670に基づいて、新しいマッピングされたEPSセキュリティコンテキストを生成し得る。たとえば、新しいマッピングされたEPSセキュリティコンテキストは、第2のTAU要求メッセージ670に関連付けられた5G NASアップリンクカウント(たとえば、値6)に少なくとも部分的に基づき得る。結果として、新しいMME EPS鍵(たとえば、KASME'_MME)を含む、MME606に提供されたマッピングされたEPSセキュリティコンテキスト636は、新しいUE EPS鍵(KASME'_UE2)を含む新しいUEマッピングされたEPSセキュリティコンテキスト682と同じであり得る。結果として、MME606が新しいMME EPS鍵(たとえば、KASME'_MME)を使用して、後続のNASメッセージ(たとえば、TAU受付メッセージ662)を完全性保護するとき、UE604は、664において、後で受信されたNASメッセージ(たとえば、TAU受付メッセージ662)における完全性検証の実行に成功し得る。いくつかの例では、UE604は、684において、(たとえば、680における)新しいUEマッピングされたEPSセキュリティコンテキスト682の導出に基づいて、マッピングされたEPSセキュリティコンテキスト642から新しいUEマッピングされたEPSセキュリティコンテキスト682に、UE604のセキュリティコンテキストを更新し得る。
いくつかの例では、AMF608に、第1のTAU要求メッセージ610と同じ情報要素を含んでいる第2のTAU要求メッセージ670を転送するのではなく、MME606は、認証プロシージャと、その後に続くセキュリティモード制御プロシージャを開始して、新しい部分ネイティブEPSセキュリティコンテキストを使用に取り入れることを決定し得る。新しい部分ネイティブEPSセキュリティコンテキストを使用に取り入れることが成功する(たとえば、NAS SMCプロシージャ660が成功する)場合、MME606は、新しい部分ネイティブEPSセキュリティコンテキストを完全ネイティブEPSセキュリティコンテキストに設定し得、完全ネイティブEPSセキュリティが、TAU受付メッセージ662など、UE604に送られる任意の将来のNASメッセージを保護するために使用され得る。
上記で説明したように、UE604が第1のTAU要求メッセージ610および第2のTAU要求メッセージ670を送信するとき、UE604は、それぞれの5G NASアップリンクカウントを使用して、それぞれのTAU要求メッセージを完全性保護する。第2の例示的な態様では、開示する技法は、UE604がどのようにTAU要求メッセージの完全性保護を実行するかを修正することによって、不整合を除去し得る。たとえば、UE604は、第1のTAU要求メッセージ610、および第1のTAU要求メッセージの反復(たとえば、第2のTAU要求メッセージ670)など、2つの連続するTAU要求メッセージを送信するとき、同じ5G NASアップリンクカウント値を使用するように構成され得る。たとえば、UE604は、618において、5Gセキュリティコンテキスト690の5GアップリンクNASカウントを1だけ増分することをスキップし得る。
5G NASアップリンクカウントを増分することなしに、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670を送信することによって、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670は、同じ5G NASアップリンクCOUNT値を使用して完全性保護され得る。結果として、AMF608によって(たとえば、634において)生成された、マッピングされたEPSセキュリティコンテキスト636、およびUE604によって(たとえば、680において)生成された新しいUEマッピングされたEPSセキュリティコンテキスト682は、同じであり得る。したがって、(たとえば、664において)UE604において受信された後続のNASメッセージにおいて実行された完全性検証は成功し得、UE604と、EPSネットワーク607に関連付けられたセルとの間の通信の継続は成功し得る。いくつかの例では、UE604は、684において、(たとえば、680における)新しいUEマッピングされたEPSセキュリティコンテキスト682の導出に基づいて、UEマッピングされたEPSセキュリティコンテキスト642から新しいUEマッピングされたEPSセキュリティコンテキスト682に、UE604のセキュリティコンテキストを更新し得る。
すなわち、5G NASアップリンクカウント値が、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670について同じであるので、それぞれのTAU要求メッセージは、同じコンテンツ(たとえば、同じ情報要素)を含んでおり、同じ5G NASアップリンクCOUNT値を使用して各々完全性保護される。いくつかの例では、MME606が、第1のTAU要求メッセージ610および第2のTAU要求メッセージ670を受信する場合、MME606は、第2のTAU要求メッセージ670を破棄し、第1のTAU要求メッセージ610に基づいて、TAUプロシージャを継続し得る。MME606が第1のTAU要求メッセージ610を受信しないが(たとえば、無線リンク障害が発生し、ネットワークノード602がRRC接続セットアップ完了情報を含んでいる1つまたは複数のRLCパケットを逃した場合)、MME606が第2のTAU要求メッセージ670を受信する、他の例では、MME606は、第2のTAU要求メッセージ670を使用して、(たとえば、AMF608に対してマッピングされたEPSセキュリティコンテキストを要求するために)図6のTAUプロシージャを実行し得る。いずれのシナリオでも、マッピングされたEPS鍵(KASME'_MME、KASME'_UE2)は同じであり、したがって、UE604と、EPSネットワーク607に関連付けられたセルとの間の通信の継続は成功し得る。
第3の例示的な態様では、開示する技法は、UE604がどのようにEPS NASメッセージの完全性検証を実行するかを修正することによって、TAU要求メッセージの反復のハンドリングにおける不整合を除去し得る。たとえば、UE604は、(たとえば、664において)異なるEPS鍵に基づいて、完全性検証を実行しようと試み得る。
たとえば、UE604は、5G鍵(KAMF)、および第1のTAU要求メッセージ610に関連付けられた5G NASアップリンクカウント(たとえば、値5)に基づいて、UEマッピングされたEPSセキュリティコンテキスト642の第1のEPS鍵(KASME'1)を導出し得る。次いで、UE604は、第1のEPS鍵(KASME'1)から第1のNAS完全性鍵(NAS_IK1)を導出し得る。
UE604はまた、5G鍵(KAMF)、および第2のTAU要求メッセージ670に関連付けられた5G NASアップリンクカウント(たとえば、値6)に基づいて、新しいUEマッピングされたEPSセキュリティコンテキスト682の第2のEPS鍵(KASME'2)を導出し得る。次いで、UE604は、第2のEPS鍵(KASME'2)から第2のNAS完全性鍵(NAS_IK2)を導出し得る。
UE604が、MME606からEPS NAS完全性保護されたメッセージ(たとえば、TAU受付メッセージ662)を受信するとき、UE604は、NAS完全性鍵(たとえば、NAS_IK1およびNAS_IK2)を使用して、(たとえば、664において)完全性検証を実行しようと試み得る。NAS完全性鍵のうちの1つが、完全性検証がパスすることを可能にする場合、UE604は、それぞれのNAS完全性鍵を選択し、それぞれのNAS完全性鍵に基づいて、EPSネットワーク607に関連付けられたセルと通信するように進む。たとえば、完全性検証が、第1のNAS完全性鍵(NAS_IK1)を使用して成功する場合、UE604は、第1のEPS鍵(KASME'1)をEPS鍵(KASME)として設定し得る。UE604はまた、第2のEPS鍵(KASME'2)、および第2のEPS鍵(KASME'2)から導出された他のいかなる鍵も消去し得る。同様に、完全性検証が、第2のNAS完全性鍵(NAS_IK2)を使用して成功する場合、UE604は、第2のEPS鍵(KASME'2)をEPS鍵(KASME)として設定し得る。UE604はまた、第1のEPS鍵(KASME'1)、および第1のEPS鍵(KASME'1)から導出された他のいかなる鍵も消去し得る。NAS完全性鍵(NAS_IK1、NAS_IK2)の両方を使用して、完全性検証の実行が失敗する(たとえば、NAS完全性鍵のいずれも完全性検証の実行に成功しなかった)場合、UE604は、EPS NASメッセージをドロップし得る。
上記の説明は、2つのTAU要求メッセージを含む例を提供するが、他の例が任意の好適な量のTAU要求メッセージを含み得ることが諒解されよう。たとえば、z個の可能なNASアップリンクCOUNT値(たとえば、x、x+1、x+2、...z)があり得る。完全性検証が、5G NASアップリンクCOUNT yを使用してy EPS鍵(KASME'y)から導出されたNAS完全性鍵(NAS_IK_y)を使用して、完了に成功し、ただし、yが、可能なz個のNASアップリンクCOUNT値(たとえば、x、x+1、x+2、...z)のうちの1つである場合、UE604は、y EPS鍵(KASME'y)をEPS鍵(KASME)として設定し、すべての他のEPS鍵(KASME')およびそれらのそれぞれ導出された鍵を消去し得る。
図7は、ワイヤレス通信の方法のフローチャート700である。方法は、UE(たとえば、UE104、UE350、UE404、および/または図11の装置1104)によって実行され得る。方法は、RLF、およびTAU要求メッセージの再送信を含む例における、第1のセルから第2のセルの再選択のセキュリティハンドリングを改善することによって、通信性能を改善することを容易にし得る。
702において、UEは、図6の第1のTAU要求メッセージ610に関して説明したように、第1のネットワークエンティティに第1のTAU要求を送信する。第1のTAU要求は、図6の5Gセキュリティコンテキスト690など、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得る。第1のTAU要求は、図5の5GアップリンクNASカウント528など、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得る。第1のTAU要求は、図6のマッピングされたEPS GUTI612など、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含み得る。702における、第1のTAU要求の送信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
いくつかの例では、UEは、第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のTAU要求を送信し得る。たとえば、UEは、5GSからEPSの再選択を実行するとき、第1のTAU要求を送信し得る。図6のMME606、EPSネットワーク607、および5Gネットワーク609に関して説明したように、第2のRATは、第1のRATとは異なり得、第1のネットワークエンティティは、第2のRATに関連付けられ得る。
704において、UEは、図6の第2のTAU要求メッセージ670に関して説明したように、第1のネットワークエンティティに第2のTAU要求を送信する。図6のマッピングされたEPS GUTI612、NAS-MAC614、およびeKSIパラメータ616に関して説明したように、第2のTAU要求は、情報の第1のセットを含み得る。第2のTAU要求は、第2のアップリンクカウントを使用して完全性保護され得る。704における、第2のTAU要求の送信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
706において、UEは、図6のUEマッピングされたEPSセキュリティコンテキスト642、および/または新しいUEマッピングされたEPSセキュリティコンテキスト682に関して説明したように、第1のセキュリティコンテキスト、および第1のアップリンクカウントまたは第2のアップリンクカウントのうちの少なくとも1つに基づいて、マッピングされたセキュリティコンテキストを導出する。706における、マッピングされたセキュリティコンテキストの導出は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
708において、UEは、図6のTAU完了メッセージ666に関して説明したように、マッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信する。714における、マッピングされたセキュリティコンテキストに基づく通信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
図8は、ワイヤレス通信の方法のフローチャート800である。方法は、UE(たとえば、UE104、UE350、UE404、および/または図11の装置1104)によって実行され得る。方法は、RLF、およびTAU要求メッセージの再送信を含む例における、第1のセルから第2のセルの再選択のセキュリティハンドリングを改善することによって、通信性能を改善することを容易にし得る。
802において、UEは、図6の第1のTAU要求メッセージ610に関して説明したように、第1のネットワークエンティティに第1のTAU要求を送信する。第1のTAU要求は、図6の5Gセキュリティコンテキスト690など、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得る。第1のTAU要求は、図5の5GアップリンクNASカウント528など、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得る。第1のTAU要求は、図6のマッピングされたEPS GUTI612など、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含み得る。802における、第1のTAU要求の送信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
いくつかの例では、UEは、第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のTAU要求を送信し得る。たとえば、UEは、5GSからEPSの再選択を実行するとき、第1のTAU要求を送信し得る。図6のMME606、EPSネットワーク607、および5Gネットワーク609に関して説明したように、第2のRATは、第1のRATとは異なり得、第1のネットワークエンティティは、第2のRATに関連付けられ得る。
804において、UEは、図6の第2のTAU要求メッセージ670に関して説明したように、第1のネットワークエンティティに第2のTAU要求を送信する。図6のマッピングされたEPS GUTI612、NAS-MAC614、およびeKSIパラメータ616に関して説明したように、第2のTAU要求は、情報の第1のセットを含み得る。第2のTAU要求は、第2のアップリンクカウントを使用して完全性保護され得る。804における、第2のTAU要求の送信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
806において、UEは、図6のUEマッピングされたEPSセキュリティコンテキスト642、および/または新しいUEマッピングされたEPSセキュリティコンテキスト682に関して説明したように、第1のセキュリティコンテキスト、および第1のアップリンクカウントまたは第2のアップリンクカウントのうちの少なくとも1つに基づいて、マッピングされたセキュリティコンテキストを導出する。806における、マッピングされたセキュリティコンテキストの導出は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
814において、UEは、図6のTAU完了メッセージ666に関して説明したように、マッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信する。814における、マッピングされたセキュリティコンテキストに基づく通信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
いくつかの例では、UE604がどのようにTAU要求メッセージの完全性保護を実行するかを修正することによって、UE604がTAU要求の反復における不整合を除去する、図6の第2の態様に関して説明したように、第2のTAU要求は、804において、第1のTAU要求の反復を含み得、第2のアップリンクカウントは、第1のアップリンクカウントと同じ値であり得る。いくつかの例では、UEは、無線リンク障害の発生に基づいて、第2のTAU要求を送信し得る。いくつかの例では、マッピングされたセキュリティコンテキストは、第2のRATに関連付けられ得る。たとえば、マッピングされたセキュリティコンテキストは、図6のUEマッピングされたEPSセキュリティコンテキスト642、または新しいUEマッピングされたEPSセキュリティコンテキスト682に関連付けられ得る。
いくつかの例では、図6のUEマッピングされたEPSセキュリティコンテキスト642に関して説明したように、第2のTAU要求は、第1のTAU要求の反復を含み得、第2のアップリンクカウントは、804において、第1のアップリンクカウントとは異なり得、マッピングされたセキュリティコンテキストは、第1のマッピングされたセキュリティコンテキストであり得る。
いくつかのそのような例では、UEは、808において、図6の新しいUEマッピングされたEPSセキュリティコンテキスト682に関して説明したように、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、第2のマッピングされたセキュリティコンテキストを導出し得る。UEは、第1のセキュリティコンテキストを使用して、第2のTAU要求を符号化し得、第2のTAU要求は、第2のアップリンクカウントを使用して完全性保護され得る。たとえば、第1のTAU要求は、5のアップリンクNASカウント値を使用して完全性保護され得、第2のTAU要求は、6のアップリンクNASカウント値を使用して完全性保護され得る。808における、第2のマッピングされたセキュリティコンテキストの導出は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
810において、UEは、図6の684に関して説明したように、第1のマッピングされたセキュリティコンテキストの導出に基づいて、第2のマッピングされたセキュリティコンテキストから第1のマッピングされたセキュリティコンテキストに、UEのセキュリティコンテキストを更新し得る。810における、UEのセキュリティコンテキストの更新は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
812において、UEは、UEのセキュリティコンテキストを更新した後、第2のマッピングされたセキュリティコンテキストを使用して完全性保護される保留中の送信を破棄し得る。812における、保留中の送信の破棄は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
図9は、ワイヤレス通信の方法のフローチャート900である。方法は、UE(たとえば、UE104、UE350、UE404、および/または図11の装置1104)によって実行され得る。方法は、RLF、およびTAU要求メッセージの再送信を含む例における、第1のセルから第2のセルの再選択のセキュリティハンドリングを改善することによって、通信性能を改善することを容易にし得る。
902において、UEは、図6の第1のTAU要求メッセージ610に関して説明したように、第1のRATとは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のTAU要求を送信する。図6のMME606およびEPSネットワーク607に関して説明したように、第1のネットワークエンティティは、第2のRATに関連付けられ得る。第1のTAU要求は、図6の5Gセキュリティコンテキスト690など、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得る。第1のTAU要求は、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得る。902における、第1のTAU要求の送信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
904において、UEは、第1のNAS完全性鍵(NAS_IK1)に関して説明したように、第1のセキュリティコンテキスト、第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出する。たとえば、UEは、5G鍵(KAMF)、および第1のTAU要求メッセージ610に関連付けられた5G NASアップリンクカウント(たとえば、値5)に基づいて、UEマッピングされたEPSセキュリティコンテキスト642の第1のEPS鍵(KASME'1)を導出し得る。次いで、UEは、第1のEPS鍵(KASME'1)から第1のNAS完全性鍵(NAS_IK1)を導出し得る。904における、第1の完全性鍵の導出は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
906において、UEは、図6の第2のTAU要求メッセージ670に関して説明したように、第1のネットワークエンティティに第1のTAU要求の反復を送信する。第1のTAU要求の反復は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され得る。たとえば、第1のTAU要求は、5のアップリンクNASカウント値を使用して完全性保護され得、第2のTAU要求は、6のアップリンクNASカウント値を使用して完全性保護され得る。906における、第1のTAU要求の反復の送信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
908において、UEは、第2のEPS鍵(KASME'2)からの第2のNAS完全性鍵(NAS_IK2)に関して説明したように、第1のセキュリティコンテキスト、第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出する。たとえば、UEは、5G鍵(KAMF)、および第2のTAU要求メッセージ670に関連付けられた5G NASアップリンクCOUNT値(たとえば、6)に基づいて、新しいUEマッピングされたEPSセキュリティコンテキスト682の第2のEPS鍵(KASME'2)を導出し得る。次いで、UEは、第2のEPS鍵(KASME'2)から第2のNAS完全性鍵(NAS_IK2)を導出し得る。908における、第2の完全性鍵の導出は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
910において、UEは、図6のTAU受付メッセージ662に関して説明したように、第1のネットワークエンティティからダウンリンク送信を受信する。910における、ダウンリンク送信の受信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
912において、UEは、図6の664に関して説明したように、第1の完全性鍵および第2の完全性鍵のうちの少なくとも1つを使用して、ダウンリンク送信における完全性検査を実行する。912における、完全性検査の実行は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
914において、UEは、導出された完全性鍵を使用して、ダウンリンク送信における完全性検査が成功するとき、UEのマスターセキュリティ鍵を設定する。マスターセキュリティ鍵は、完全性検査の実行に成功するために使用されたそれぞれの完全性鍵に基づいて設定され得る。914における、マスターセキュリティ鍵の設定は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
図10は、ワイヤレス通信の方法のフローチャート1000である。方法は、UE(たとえば、UE104、UE350、UE404、および/または図11の装置1104)によって実行され得る。方法は、RLF、およびTAU要求メッセージの再送信を含む例における、第1のセルから第2のセルの再選択のセキュリティハンドリングを改善することによって、通信性能を改善することを容易にし得る。
1002において、UEは、図6の第1のTAU要求メッセージ610に関して説明したように、第1のRATとは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のTAU要求を送信する。図6のMME606およびEPSネットワーク607に関して説明したように、第1のネットワークエンティティは、第2のRATに関連付けられ得る。第1のTAU要求は、図6の5Gセキュリティコンテキスト690など、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得る。第1のTAU要求は、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得る。1002における、第1のTAU要求の送信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
いくつかの例では、UEは、1004において、図6のUEマッピングされたEPSセキュリティコンテキスト642に関して説明したように、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、第1のマッピングされたセキュリティコンテキストを導出し得る。1004における、第1のマッピングされたセキュリティコンテキストの導出は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
1006において、UEは、第1のNAS完全性鍵(NAS_IK1)に関して説明したように、第1のセキュリティコンテキスト、第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出する。たとえば、UEは、5G鍵(KAMF)、および第1のTAU要求メッセージ610に関連付けられた5G NASアップリンクカウント(たとえば、値5)に基づいて、UEマッピングされたEPSセキュリティコンテキスト642の第1のEPS鍵(KASME'1)を導出し得る。次いで、UEは、第1のEPS鍵(KASME'1)から第1のNAS完全性鍵(NAS_IK1)を導出し得る。1006における、第1の完全性鍵の導出は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
1008において、UEは、図6の第2のTAU要求メッセージ670に関して説明したように、第1のネットワークエンティティに第1のTAU要求の反復を送信する。第1のTAU要求の反復は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され得る。たとえば、第1のTAU要求は、5のアップリンクNASカウント値を使用して完全性保護され得、第2のTAU要求は、6のアップリンクNASカウント値を使用して完全性保護され得る。1008における、第1のTAU要求の反復の送信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
1010において、UEは、第2のEPS鍵(KASME'2)からの第2のNAS完全性鍵(NAS_IK2)に関して説明したように、第1のセキュリティコンテキスト、第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出する。たとえば、UEは、5G鍵(KAMF)、および第2のTAU要求メッセージ670に関連付けられた5G NASアップリンクCOUNT値(たとえば、6)に基づいて、新しいUEマッピングされたEPSセキュリティコンテキスト682の第2のEPS鍵(KASME'2)を導出し得る。次いで、UEは、第2のEPS鍵(KASME'2)から第2のNAS完全性鍵(NAS_IK2)を導出し得る。1010における、第2の完全性鍵の導出は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
1012において、UEは、図6のTAU受付メッセージ662に関して説明したように、第1のネットワークエンティティからダウンリンク送信を受信する。1012における、ダウンリンク送信の受信は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
1014において、UEは、図6の664に関して説明したように、第1の完全性鍵および第2の完全性鍵のうちの少なくとも1つを使用して、ダウンリンク送信における完全性検査を実行する。1014における、完全性検査の実行は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
1016において、UEは、導出された完全性鍵を使用して、ダウンリンク送信における完全性検査が成功するとき、UEのマスターセキュリティ鍵を設定する。マスターセキュリティ鍵は、完全性検査の実行に成功するために使用されたそれぞれの完全性鍵に基づいて設定され得る。1016における、マスターセキュリティ鍵の設定は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
いくつかの例では、次いで、UEは、マスターセキュリティ鍵を設定した後、他の導出された完全性鍵に関係する情報を破棄し得る。たとえば、UEは、1016において、マスターセキュリティ鍵を第1のマッピングされたセキュリティコンテキストに設定し得る。そのような例では、UEは、1018において、ダウンリンク送信における完全性検査が、第1の完全性鍵を使用して成功するとき、第2のマッピングされたセキュリティコンテキスト、および第2のマッピングされたセキュリティコンテキストを使用して導出されたいかなる鍵も消去し得る。1018における、第2のマッピングされたセキュリティコンテキストの消去は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
他の例では、UEは、1016において、マスターセキュリティ鍵を第2のマッピングされたセキュリティコンテキストに設定し得る。そのような例では、UEは、1020において、ダウンリンク送信における完全性検査が、第2の完全性鍵を使用して成功するとき、第1のマッピングされたセキュリティコンテキスト、および第1のマッピングされたセキュリティコンテキストを使用して導出されたいかなる鍵も消去し得る。1020における、第1のマッピングされたセキュリティコンテキストの消去は、図11の装置1104のUEセキュリティハンドリング構成要素198によって実行され得る。
図11は、装置1104のためのハードウェア実装形態の一例を示す図1100である。装置1104は、UEであり得るか、UEの構成要素であり得るか、またはUE機能を実装し得る。いくつかの態様では、装置1104は、1つまたは複数のトランシーバ(たとえば、セルラーRFトランシーバ1122)に結合されたセルラーベースバンドプロセッサ1124(モデムとも呼ばれる)を含み得る。セルラーベースバンドプロセッサ1124は、オンチップメモリ1124'を含み得る。いくつかの態様では、装置1104は、1つまたは複数の加入者識別モジュール(SIM)カード1120と、セキュアデジタル(SD)カード1108およびスクリーン1110に結合されたアプリケーションプロセッサ1106とをさらに含み得る。アプリケーションプロセッサ1106は、オンチップメモリ1106'を含み得る。いくつかの態様では、装置1104は、Bluetoothモジュール1112、WLANモジュール1114、SPSモジュール1116(たとえば、GNSSモジュール)、1つもしくは複数のセンサーモジュール1118(たとえば、気圧センサー/高度計、慣性管理ユニット(IMU)、ジャイロスコープ、および/または加速度計などのモーションセンサー、光検出および測距(LIDAR)、無線支援検出および測距(RADAR:radio assisted detection and ranging)、音響航法および測距(SONAR:sound navigation and ranging)、磁力計、測位のために使用されるオーディオおよび/または他の技術)、追加のメモリモジュール1126、電源1130、および/またはカメラ1132をさらに含み得る。Bluetoothモジュール1112、WLANモジュール1114、およびSPSモジュール1116は、オンチップトランシーバ(TRX)(または場合によっては、単に受信機(RX))を含み得る。Bluetoothモジュール1112、WLANモジュール1114、およびSPSモジュール1116は、それら自体の専用のアンテナを含み得、かつ/または通信のために1つまたは複数のアンテナ1180を利用し得る。セルラーベースバンドプロセッサ1124は、トランシーバ(たとえば、セルラーRFトランシーバ1122)を通して、1つまたは複数のアンテナ1180を介して、UE104と、および/またはネットワークエンティティ1102に関連付けられたRUと通信する。セルラーベースバンドプロセッサ1124およびアプリケーションプロセッサ1106は、それぞれ、オンチップメモリ1124'およびオンチップメモリ1106'など、コンピュータ可読媒体/メモリを各々含み得る。追加のメモリモジュール1126も、コンピュータ可読媒体/メモリと見なされ得る。各コンピュータ可読媒体/メモリ(たとえば、オンチップメモリ1124'、オンチップメモリ1106'、および/または追加のメモリモジュール1126)は、非一時的であり得る。セルラーベースバンドプロセッサ1124およびアプリケーションプロセッサ1106は、コンピュータ可読媒体/メモリ上に記憶されたソフトウェアの実行を含む、一般的な処理を各々担う。ソフトウェアは、セルラーベースバンドプロセッサ1124/アプリケーションプロセッサ1106によって実行されると、セルラーベースバンドプロセッサ1124/アプリケーションプロセッサ1106に上記で説明した様々な機能を実行させる。コンピュータ可読媒体/メモリはまた、ソフトウェアを実行するときにセルラーベースバンドプロセッサ1124/アプリケーションプロセッサ1106によって操作されるデータを記憶するためにも使用され得る。セルラーベースバンドプロセッサ1124/アプリケーションプロセッサ1106は、UE350の構成要素であってよく、メモリ360ならびに/またはTXプロセッサ368、RXプロセッサ356、およびコントローラ/プロセッサ359のうちの少なくとも1つを含み得る。一構成では、装置1104は、プロセッサチップ(モデムおよび/またはアプリケーション)であってよく、セルラーベースバンドプロセッサ1124および/またはアプリケーションプロセッサ1106のみを含んでよく、別の構成では、装置1104は、UE全体(たとえば、図3のUE350参照)であってよく、装置1104の追加のモジュールを含み得る。
上記で説明したように、UEセキュリティハンドリング構成要素198は、第1のネットワークエンティティに第1のトラッキングエリア更新(TAU)要求を送信することであって、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、こと、第1のネットワークエンティティに第2のTAU要求を送信することであって、第2のTAU要求が情報の第1のセットを含み、第2のTAU要求が、第2のアップリンクカウントを使用して完全性保護される、こと、第1のセキュリティコンテキスト、および第1のアップリンクカウントまたは第2のアップリンクカウントのうちの少なくとも1つに基づいて、マッピングされたセキュリティコンテキストを導出すること、ならびにマッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信することを行うように構成される。
別の態様では、UEセキュリティハンドリング構成要素198は、第1の無線アクセス技術(RAT)とは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のトラッキングエリア更新(TAU)要求を送信することであって、第1のネットワークエンティティが第2のRATに関連付けられ、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護される、こと、第1のセキュリティコンテキスト、第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出すること、第1のネットワークエンティティに第1のTAU要求の反復を送信することであって、第1のTAU要求の反復が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、こと、第1のセキュリティコンテキスト、第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出すること、第1のネットワークエンティティからダウンリンク送信を受信すること、第1の完全性鍵および第2の完全性鍵のうちの少なくとも1つを使用して、ダウンリンク送信における完全性検査を実行すること、ならびに導出された完全性鍵を使用して、ダウンリンク送信における完全性検査が成功するとき、UEのマスターセキュリティ鍵を設定することであって、マスターセキュリティ鍵が、導出された完全性鍵を導出するために使用された、第1のマッピングされたセキュリティコンテキストまたは第2のマッピングされたセキュリティコンテキストに基づいて設定される、ことを行うように構成され得る。
UEセキュリティハンドリング構成要素198は、セルラーベースバンドプロセッサ1124、アプリケーションプロセッサ1106、またはセルラーベースバンドプロセッサ1124とアプリケーションプロセッサ1106の両方の内部にあり得る。UEセキュリティハンドリング構成要素は、述べられたプロセス/アルゴリズムを実行するように特に構成された1つもしくは複数のハードウェア構成要素であるか、述べられたプロセス/アルゴリズムを実行するように構成された1つもしくは複数のプロセッサによって実装されるか、1つもしくは複数のプロセッサによる実装のためにコンピュータ可読媒体内に記憶されるか、またはそれらの何らかの組合せであり得る。
示されるように、装置1104は、様々な機能のために構成された様々な構成要素を含み得る。たとえば、UEセキュリティハンドリング構成要素は、図7、図8、図9、および/または図10のフローチャートにおけるアルゴリズムのブロックの各々を実行する、1つまたは複数のハードウェア構成要素を含み得る。
一構成では、装置1104、および詳細には、セルラーベースバンドプロセッサ1124および/またはアプリケーションプロセッサ1106は、第1のネットワークエンティティに第1のトラッキングエリア更新(TAU)要求を送信するための手段であって、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、手段と、第1のネットワークエンティティに第2のTAU要求を送信するための手段であって、第2のTAU要求が情報の第1のセットを含み、第2のTAU要求が、第2のアップリンクカウントを使用して完全性保護される、手段と、第1のセキュリティコンテキスト、および第1のアップリンクカウントまたは第2のアップリンクカウントのうちの少なくとも1つに基づいて、マッピングされたセキュリティコンテキストを導出するための手段と、マッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信するための手段とを含む。
別の構成では、例示的な装置1104はまた、第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のTAU要求を送信するための手段であって、第2のRATが第1のRATとは異なり、第1のネットワークエンティティが、第2のRATに関連付けられる、手段を含む。
別の構成では、第2のTAU要求は、第1のTAU要求の反復を含み、第2のアップリンクカウントは、第1のアップリンクカウントと同じ値である。
別の構成では、例示的な装置1104はまた、無線リンク障害の発生に基づいて、第2のTAU要求を送信するための手段を含む。
別の構成では、マッピングされたセキュリティコンテキストは、第2のRATに関連付けられる。
別の構成では、第2のアップリンクカウントは、第1のアップリンクカウントとは異なり、マッピングされたセキュリティコンテキストは、第1のマッピングされたセキュリティコンテキストであり、例示的な装置1104はまた、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、第2のマッピングされたセキュリティコンテキストを導出するための手段であって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のアップリンクカウントを使用して完全性保護され、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントに基づいて導出される、手段を含む。
別の構成では、例示的な装置1104はまた、第1のマッピングされたセキュリティコンテキストの導出に基づいて、第2のマッピングされたセキュリティコンテキストから第1のマッピングされたセキュリティコンテキストに、UEのセキュリティコンテキストを更新するための手段と、UEのセキュリティコンテキストを更新した後、第2のマッピングされたセキュリティコンテキストを使用して完全性保護される保留中の送信を破棄するための手段とを含む。
別の構成では、第2のTAU要求は、第1のTAU要求の反復を含む。
一構成では、装置1104、および詳細には、セルラーベースバンドプロセッサ1124および/またはアプリケーションプロセッサ1106は、第1の無線アクセス技術(RAT)とは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のトラッキングエリア更新(TAU)要求を送信するための手段であって、第1のネットワークエンティティが第2のRATに関連付けられ、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護される、手段と、第1のセキュリティコンテキスト、第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出するための手段と、第1のネットワークエンティティに第1のTAU要求の反復を送信するための手段であって、第1のTAU要求の反復が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、手段と、第1のセキュリティコンテキスト、第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出するための手段と、第1のネットワークエンティティからダウンリンク送信を受信するための手段と、第1の完全性鍵および第2の完全性鍵のうちの少なくとも1つを使用して、ダウンリンク送信における完全性検査を実行するための手段と、導出された完全性鍵を使用して、ダウンリンク送信における完全性検査が成功するとき、UEのマスターセキュリティ鍵を設定するための手段であって、マスターセキュリティ鍵が、導出された完全性鍵を導出するために使用された、第1のマッピングされたセキュリティコンテキストまたは第2のマッピングされたセキュリティコンテキストに基づいて設定される、手段とを含む。
別の構成では、例示的な装置1104はまた、ダウンリンク送信における完全性検査が、第1の完全性鍵を使用して成功するとき、第2のマッピングされたセキュリティコンテキスト、および第2のマッピングされたセキュリティコンテキストを使用して導出されたいかなる鍵も消去するための手段であって、マスターセキュリティ鍵が、第1のマッピングされたセキュリティコンテキストを含む、手段を含む。
別の構成では、例示的な装置1104はまた、ダウンリンク送信における完全性検査が、第2の完全性鍵を使用して成功するとき、第1のマッピングされたセキュリティコンテキスト、および第1のマッピングされたセキュリティコンテキストを使用して導出されたいかなる鍵も消去するための手段であって、マスターセキュリティ鍵が、第2のマッピングされたセキュリティコンテキストを含む、手段を含む。
別の構成では、例示的な装置1104はまた、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、第1のマッピングされたセキュリティコンテキストを導出するための手段を含む。
手段は、手段によって列挙された機能を実行するように構成された、装置1104のUEセキュリティハンドリング構成要素198であり得る。上記で説明したように、装置1104は、TXプロセッサ368、RXプロセッサ356、およびコントローラ/プロセッサ359を含み得る。したがって、一構成では、手段は、手段によって列挙された機能を実行するように構成された、TXプロセッサ368、RXプロセッサ356、および/またはコントローラ/プロセッサ359であり得る。
図12は、ワイヤレス通信の方法のフローチャート1200である。方法は、第1のネットワークエンティティ(たとえば、基地局102、もしくは基地局102の構成要素、MME412、AMF432、図16のネットワークエンティティ1602、および/または図17のネットワークエンティティ1760)によって実行され得る。方法は、RLF、およびTAU要求メッセージの再送信を含む例における、第1のセルから第2のセルの再選択のセキュリティハンドリングを改善することによって、通信性能を改善することを容易にし得る。
第1のネットワークエンティティは、UEおよび第2のネットワークエンティティと通信している場合がある。いくつかの例では、第1のネットワークエンティティは、図6のMME606などのMMEを含み得、第2のネットワークエンティティは、図6のAMF608などのAMFを含み得る。
1202において、第1のネットワークエンティティは、図6の第1のTAU要求メッセージ610に関して説明したように、UEによって生成された第1のTAU要求を取得する。第1のTAU要求は、図6の5Gセキュリティコンテキスト690など、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得る。第1のTAU要求は、第1のTAU要求メッセージ610に関連付けられた5G NASアップリンクカウントなど、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得る。第1のTAU要求は、図6のマッピングされたEPS GUTI612に関して説明したように、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含み得る。1202における、第1のTAU要求の取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1204において、第1のネットワークエンティティは、図6のコンテキスト要求メッセージ622およびAMF608に関して説明したように、第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力する。第2のネットワークエンティティは、5Gネットワーク609に関連付けられているAMF608など、第1のRATに関連付けられ得る。いくつかの例では、第1のコンテキスト要求は、図6の第1のTAU要求メッセージ610のマッピングされたEPS GUTI612など、第2のRATにマッピングされた識別子を含み得る。いくつかの例では、第1のTAU要求は、第1のアップリンクカウントを使用して完全性保護され得る。1204における、第1のコンテキスト要求の出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1206において、第1のネットワークエンティティは、図6のマッピングされたEPSセキュリティコンテキスト636に関して説明したように、第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを取得する。第1のマッピングされたセキュリティコンテキストは、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出され得る。1206における、第1のマッピングされたセキュリティコンテキストの取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1208において、第1のネットワークエンティティは、図6の第2のTAU要求メッセージ670に関して説明したように、第2のTAU要求を取得する。第2のTAU要求は、第1のセキュリティコンテキストを使用して符号化され得る。第2のTAU要求は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され得る。たとえば、第1のTAU要求は、5のアップリンクNASカウント値を使用して完全性保護され得、第2のTAU要求は、6のアップリンクNASカウント値を使用して完全性保護され得る。図6のマッピングされたEPS GUTI612、NAS-MAC614、およびeKSIパラメータ616に関して説明したように、第2のTAU要求は、情報の第1のセットを含み得る。いくつかの例では、第2のTAU要求は、第1のTAU要求の反復を含み得る。1208における、第2のTAU要求の取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1210において、第1のネットワークエンティティは、図6の第2のコンテキスト要求メッセージ674に関して説明したように、第2のTAU要求に基づいて、第2のネットワークエンティティのための第2のコンテキスト要求を出力する。1210における、第2のコンテキスト要求の出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1212において、第1のネットワークエンティティは、第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを取得することであって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、ことを行う。第2のマッピングされたセキュリティコンテキストを取得する態様は、図6のマッピングされたEPSセキュリティコンテキスト636に関して説明したように、第1のマッピングされたセキュリティコンテキストを取得することと同様であり得る。1212における、第2のマッピングされたセキュリティコンテキストの取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1214において、第1のネットワークエンティティは、図6のTAU受付メッセージ662に関して説明したように、第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを出力する。1214における、ダウンリンクメッセージの出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
図13は、ワイヤレス通信の方法のフローチャート1300である。方法は、第1のネットワークエンティティ(たとえば、基地局102、もしくは基地局102の構成要素、MME412、AMF432、図16のネットワークエンティティ1602、および/または図17のネットワークエンティティ1760)によって実行され得る。方法は、RLF、およびTAU要求メッセージの再送信を含む例における、第1のセルから第2のセルの再選択のセキュリティハンドリングを改善することによって、通信性能を改善することを容易にし得る。
第1のネットワークエンティティは、UEおよび第2のネットワークエンティティと通信している場合がある。いくつかの例では、第1のネットワークエンティティは、図6のMME606などのMMEを含み得、第2のネットワークエンティティは、図6のAMF608などのAMFを含み得る。
1302において、第1のネットワークエンティティは、図6の第1のTAU要求メッセージ610に関して説明したように、UEによって生成された第1のTAU要求を取得する。第1のTAU要求は、図6の5Gセキュリティコンテキスト690など、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得る。第1のTAU要求は、第1のTAU要求メッセージ610に関連付けられた5G NASアップリンクカウントなど、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得る。第1のTAU要求は、図6のマッピングされたEPS GUTI612に関して説明したように、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含み得る。1302における、第1のTAU要求の取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
いくつかの例では、第1のネットワークエンティティは、1304において、図6の620に関して説明したように、第2のRATにマッピングされた識別子に基づいて、第2のネットワークエンティティのアドレスを導出し得る。1304における、第2のネットワークエンティティのアドレスの導出は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1306において、第1のネットワークエンティティは、図6のコンテキスト要求メッセージ622およびAMF608に関して説明したように、第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力する。第2のネットワークエンティティは、5Gネットワーク609に関連付けられているAMF608など、第1のRATに関連付けられ得る。いくつかの例では、第1のコンテキスト要求は、図6の第1のTAU要求メッセージ610のマッピングされたEPS GUTI612など、第2のRATにマッピングされた識別子を含み得る。いくつかの例では、第1のTAU要求は、第1のアップリンクカウントを使用して完全性保護され得る。1306における、第1のコンテキスト要求の出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1308において、第1のネットワークエンティティは、図6のマッピングされたEPSセキュリティコンテキスト636に関して説明したように、第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを取得する。第1のマッピングされたセキュリティコンテキストは、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出され得る。1308における、第1のマッピングされたセキュリティコンテキストの取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1310において、第1のネットワークエンティティは、図6の第2のTAU要求メッセージ670に関して説明したように、第2のTAU要求を取得する。第2のTAU要求は、第1のセキュリティコンテキストを使用して符号化され得る。第2のTAU要求は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され得る。たとえば、第1のTAU要求は、5のアップリンクNASカウント値を使用して完全性保護され得、第2のTAU要求は、6のアップリンクNASカウント値を使用して完全性保護され得る。図6のマッピングされたEPS GUTI612、NAS-MAC614、およびeKSIパラメータ616に関して説明したように、第2のTAU要求は、情報の第1のセットを含み得る。いくつかの例では、第2のTAU要求は、第1のTAU要求の反復を含み得る。1310における、第2のTAU要求の取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1312において、第1のネットワークエンティティは、図6の第2のコンテキスト要求メッセージ674に関して説明したように、第2のTAU要求に基づいて、第2のネットワークエンティティのための第2のコンテキスト要求を出力する。1312における、第2のコンテキスト要求の出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1314において、第1のネットワークエンティティは、第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを取得することであって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、ことを行う。第2のマッピングされたセキュリティコンテキストを取得する態様は、図6のマッピングされたEPSセキュリティコンテキスト636に関して説明したように、第1のマッピングされたセキュリティコンテキストを取得することと同様であり得る。1314における、第2のマッピングされたセキュリティコンテキストの取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1316において、第1のネットワークエンティティは、図6のTAU受付メッセージ662に関して説明したように、第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを出力する。1316における、ダウンリンクメッセージの出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
いくつかの例では、1318において、第1のネットワークエンティティは、第2のマッピングされたセキュリティコンテキストを取得することに基づいて、第1のマッピングされたセキュリティコンテキストから第2のマッピングされたセキュリティコンテキストに、第1のネットワークエンティティのセキュリティコンテキストを更新し得る。1318における、第1のネットワークエンティティのセキュリティコンテキストの更新は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
さらに、1320において、第1のネットワークエンティティは、第1のネットワークエンティティのセキュリティコンテキストを更新した後、第1のマッピングされたセキュリティコンテキストを使用して完全性保護される保留中のダウンリンク送信を破棄し得る。1320における、保留中のダウンリンク送信の破棄は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
いくつかの例では、第1のネットワークエンティティは、1316において、ダウンリンクメッセージを出力した後、かつダウンリンクメッセージに応答して、アップリンクメッセージを取得する前に、1310において、同じ情報要素をもつ第2のTAU要求メッセージを取得し得る。たとえば、第1のネットワークエンティティは、TAU受付メッセージ662を出力した後、かつTAU完了メッセージ666を取得する前に、第2のTAU要求メッセージを取得し得る。
第1のネットワークエンティティが、N1モードからS1モードへの非システム間変更に基づいて、1302において、第1のTAU要求を取得するいくつかの例では、UEは、シングル登録モードにおいて動作するように構成され、ダウンリンクメッセージは、TAU受付メッセージを含み、第1のネットワークエンティティは、ダウンリンクメッセージを再送し得る。いくつかの例では、第1のネットワークエンティティは、図6のTAU完了メッセージ666など、TAU完了メッセージがUEから予想されるとき、T3450タイマーを再開し得る。第1のネットワークエンティティはまた、T3450タイマーに関する再送信カウンタを増分することをスキップし得る。
第1のネットワークエンティティが、N1モードからS1モードへのシステム間変更に基づいて、1302において、第1のTAU要求を取得するいくつかの例では、UEは、シングル登録モードにおいて動作するように構成され、ダウンリンクメッセージは、TAU受付メッセージを含み、第1のネットワークエンティティは、UEとの認証プロシージャを開始し得る。第1のネットワークエンティティはまた、新しい部分ネイティブEPSセキュリティコンテキストを現在の完全ネイティブEPSセキュリティコンテキストに移行させるために、セキュリティモード制御プロシージャを実行し得る。たとえば、第1のネットワークエンティティは、UEとEPS NASメッセージを通信することを容易にするために、部分ネイティブEPSセキュリティコンテキストを完全ネイティブEPSセキュリティコンテキストに移行させるために、UEとのNAS SMCプロシージャ660を実行し得る。
セキュリティモード制御プロシージャが成功するいくつかの例では、第1のネットワークエンティティは、ダウンリンクメッセージ反復を出力することであって、ダウンリンクメッセージ反復が、現在の完全ネイティブEPSセキュリティコンテキストを使用して完全性保護される、ことを行い得る。第1のネットワークエンティティはまた、図6のTAU完了メッセージ666など、TAU完了メッセージがUEから予想されるとき、T3450タイマーを再開し得る。第1のネットワークエンティティはまた、T3450タイマーに関する再送信カウンタを増分することをスキップし得る。
第1のネットワークエンティティが、N1モードからS1モードへの非システム間変更に基づいて、1302において、第1のTAU要求を取得し、UEがシングル登録モードにおいて動作するように構成される、いくつかの例では、第1のネットワークエンティティは、第2のTAU要求に基づいて、TAUプロシージャの開始をスキップし得る。第1のネットワークエンティティはまた、第1のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを完全性保護し得る。
第1のネットワークエンティティが、N1モードからS1モードへのシステム間変更に基づいて、1302において、第1のTAU要求を取得し、UEがシングル登録モードにおいて動作するように構成される、いくつかの例では、第1のネットワークエンティティは、第2のTAUプロシージャを開始することを決定し得る。たとえば、第1のネットワークエンティティは、1312において、第2のネットワークエンティティに第2のコンテキスト要求を出力し得る。第1のネットワークエンティティはまた、第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを完全性保護し得る。
いくつかの例では、第1のネットワークエンティティは、TAU要求メッセージを受信し得、TAU受付メッセージまたはTAU拒否メッセージをまだ送っていないことがある。TAU要求メッセージにおける情報要素のうちの1つまたは複数が異なる場合、第1のTAU要求メッセージに基づいて開始されたTAUプロシージャがアボートされ得、第2のTAU要求メッセージに基づいて開始されたTAUプロシージャが進行し得る(たとえば、進み得る)。
TAU要求メッセージにおける情報要素が同じである(たとえば、異なっていない)場合、シングル登録モードにおいて動作するUEを伴う、IDLEモードにおける、N1モードからS1モードへのシステム間変更以外の態様では、第1のネットワークエンティティは、(たとえば、第1のTAU要求メッセージに基づいて)前に開始されたTAUプロシージャを継続し、第2のTAU要求メッセージを破棄し得る。すなわち、第1のネットワークエンティティは、第2のTAU要求メッセージに基づいて、新しいマッピングされたEPSセキュリティコンテキストを要求する第2のコンテキスト要求メッセージを第2のネットワークエンティティに送信することを控え得る。
シングル登録モードにおいて動作するUEを伴う、IDLEモードにおける、N1モードからS1モードへのシステム間変更の態様では、第1のネットワークエンティティは、完全性検査を実行するために、および最新のマッピングされたEPSセキュリティコンテキストを取得するために、および前のTAUプロシージャを継続するために、(たとえば、別のコンテキスト要求メッセージを通して)第2のネットワークエンティティに新しいTAU要求メッセージを転送し得る。たとえば、第1のネットワークエンティティは、(たとえば、第2のコンテキスト要求メッセージを通して)第2のネットワークエンティティに第2のTAU要求メッセージを転送し得る。第2のネットワークエンティティは、第2のTAU要求メッセージを検証し得る。次いで、第2のネットワークエンティティは、第2のTAU要求メッセージに基づいて、新しいマッピングされたEPSセキュリティコンテキストを生成し得る。たとえば、新しいマッピングされたEPSセキュリティコンテキストは、第2のTAU要求メッセージに関連付けられた5G NASアップリンクCOUNT値(たとえば、6)に少なくとも部分的に基づき得る。結果として、新しいMME EPS鍵(たとえば、KASME'_MME)を含む、第1のネットワークエンティティに提供されたマッピングされたEPSセキュリティコンテキストは、新しいUE EPS鍵(KASME'_UE2)を含む新しいマッピングされたセキュリティコンテキストと同じであり得る。結果として、第1のネットワークエンティティが新しいMME EPS鍵(たとえば、KASME'_MME)を使用して、後続のNASメッセージ(たとえば、TAU受付メッセージ)を完全性保護するとき、UEは、後で受信されたNASメッセージ(たとえば、TAU受付メッセージ)における完全性検証の実行に成功し得る。いくつかの例では、UEは、新しいマッピングされたEPSセキュリティコンテキストの導出に基づいて、マッピングされたEPSセキュリティコンテキストから新しいマッピングされたEPSセキュリティコンテキストに、UEのセキュリティコンテキストを更新し得る。
図14は、ワイヤレス通信の方法のフローチャート1400である。方法は、第2のネットワークエンティティ(たとえば、基地局102、もしくは基地局102の構成要素、MME412、AMF432、図16のネットワークエンティティ1602、および/または図17のネットワークエンティティ1760)によって実行され得る。方法は、RLF、およびTAU要求メッセージの再送信を含む例における、第1のセルから第2のセルの再選択のセキュリティハンドリングを改善することによって、通信性能を改善することを容易にし得る。
第2のネットワークエンティティは、第1のネットワークエンティティと通信している場合がある。いくつかの例では、第1のネットワークエンティティは、図6のMME606などのMMEを含み得、第2のネットワークエンティティは、図6のAMF608などのAMFを含み得る。
1402において、第2のネットワークエンティティは、第1のコンテキスト要求を取得することであって、第1のコンテキスト要求が、図6のコンテキスト要求メッセージ622に関して説明したように、UEによって生成された少なくとも第1のTAU要求を含む、ことを行う。第1のTAU要求は、図6の5Gセキュリティコンテキスト690など、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得る。第1のTAU要求は、第1のTAU要求メッセージ610に関連付けられた5G NASアップリンクカウントなど、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得る。第1のRATは、第1のネットワークエンティティに関連付けられた第2のRATとは異なり得る。たとえば、第1のRATは、5Gネットワーク609に対応し得、第1のネットワークエンティティに関連付けられた第2のRATは、図6のMME606に関連付けられたEPSネットワーク607に対応し得る。1402における、第1のコンテキスト要求の取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1404において、第2のネットワークエンティティは、図6の632、634、およびマッピングされたEPSセキュリティコンテキスト636に関して説明したように、第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出する。1404における、第1のマッピングされたセキュリティコンテキストの導出は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1406において、第2のネットワークエンティティは、図6のマッピングされたEPSセキュリティコンテキスト636、およびコンテキスト応答メッセージ638に関して説明したように、第1のネットワークエンティティのための第1のマッピングされたセキュリティコンテキストを出力する。1406における、第1のマッピングされたセキュリティコンテキストの出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1408において、第2のネットワークエンティティは、第2のコンテキスト要求を取得することであって、第2のコンテキスト要求が、図6のTAU要求を含む第2のコンテキスト要求メッセージ674に関して説明したように、UEによって生成された少なくとも第2のTAU要求を含む、ことを行う。第2のTAU要求は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され得る。たとえば、第1のTAU要求は、5のアップリンクNASカウント値を使用して完全性保護され得、第2のTAU要求は、6のアップリンクNASカウント値を使用して完全性保護され得る。1408における、第2のコンテキスト要求の取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1410において、第2のネットワークエンティティは、第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出する。第2のマッピングされたセキュリティコンテキストを導出する態様は、図6の632、634、およびマッピングされたEPSセキュリティコンテキスト636に関して説明したように、第1のマッピングされたセキュリティコンテキストを導出することと同様であり得る。1410における、第2のマッピングされたセキュリティコンテキストの導出は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1412において、第2のネットワークエンティティは、第1のネットワークエンティティのための第2のマッピングされたセキュリティコンテキストを出力する。第2のマッピングされたセキュリティコンテキストを出力する態様は、図6のマッピングされたEPSセキュリティコンテキスト636、およびコンテキスト応答メッセージ638に関して説明したように、第1のマッピングされたセキュリティコンテキストを出力することと同様であり得る。1412における、第2のマッピングされたセキュリティコンテキストの出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
図15は、ワイヤレス通信の方法のフローチャート1500である。方法は、第2のネットワークエンティティ(たとえば、基地局102、もしくは基地局102の構成要素、MME412、AMF432、図16のネットワークエンティティ1602、および/または図17のネットワークエンティティ1760)によって実行され得る。方法は、RLF、およびTAU要求メッセージの再送信を含む例における、第1のセルから第2のセルの再選択のセキュリティハンドリングを改善することによって、通信性能を改善することを容易にし得る。
第2のネットワークエンティティは、第1のネットワークエンティティと通信している場合がある。いくつかの例では、第1のネットワークエンティティは、図6のMME606などのMMEを含み得、第2のネットワークエンティティは、図6のAMF608などのAMFを含み得る。
1502において、第2のネットワークエンティティは、第1のコンテキスト要求を取得することであって、第1のコンテキスト要求が、図6のコンテキスト要求メッセージ622に関して説明したように、UEによって生成された少なくとも第1のTAU要求を含む、ことを行う。第1のTAU要求は、図6の5Gセキュリティコンテキスト690など、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され得る。第1のTAU要求は、第1のTAU要求メッセージ610に関連付けられた5G NASアップリンクカウントなど、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され得る。第1のRATは、第1のネットワークエンティティに関連付けられた第2のRATとは異なり得る。たとえば、第1のRATは、5Gネットワーク609に対応し得、第1のネットワークエンティティに関連付けられた第2のRATは、図6のMME606に関連付けられたEPSネットワーク607に対応し得る。1502における、第1のコンテキスト要求の取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
いくつかの例では、第1のコンテキスト要求は、図6の例示的なマッピングされたEPS GUTI612など、第2のRATにマッピングされた識別子をさらに含み得る。
1504において、第2のネットワークエンティティは、図6の632、634、およびマッピングされたEPSセキュリティコンテキスト636に関して説明したように、第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出する。1504における、第1のマッピングされたセキュリティコンテキストの導出は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
いくつかの例では、第2のネットワークエンティティは、図6の632、および5G NASセキュリティコンテキスト692に関して説明したように、第1のセキュリティコンテキストに基づいて、第1のTAU要求における第1の完全性検査を実行し得る。
1506において、第2のネットワークエンティティは、図6のマッピングされたEPSセキュリティコンテキスト636、およびコンテキスト応答メッセージ638に関して説明したように、第1のネットワークエンティティのための第1のマッピングされたセキュリティコンテキストを出力する。1506における、第1のマッピングされたセキュリティコンテキストの出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
いくつかの例では、1508において、第2のネットワークエンティティは、第1のマッピングされたセキュリティコンテキストを出力した後、タイマーを開始し得る。1508における、タイマーの開始は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
いくつかの例では、1510において、第2のネットワークエンティティは、タイマーが満了した後、第1のマッピングされたセキュリティコンテキストを消去し得る。1510における、第1のマッピングされたセキュリティコンテキストの消去は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1512において、第2のネットワークエンティティは、第2のコンテキスト要求を取得することであって、第2のコンテキスト要求が、図6のTAU要求を含む第2のコンテキスト要求メッセージ674に関して説明したように、UEによって生成された少なくとも第2のTAU要求を含む、ことを行う。第2のTAU要求は、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され得る。たとえば、第1のTAU要求は、5のアップリンクNASカウント値を使用して完全性保護され得、第2のTAU要求は、6のアップリンクNASカウント値を使用して完全性保護され得る。1512における、第2のコンテキスト要求の取得は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
いくつかの例では、第2のTAU要求は、第1のTAU要求の反復を含み得る。
1514において、第2のネットワークエンティティは、第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出する。第2のマッピングされたセキュリティコンテキストを導出する態様は、図6の632、634、およびマッピングされたEPSセキュリティコンテキスト636に関して説明したように、第1のマッピングされたセキュリティコンテキストを導出することと同様であり得る。1514における、第2のマッピングされたセキュリティコンテキストの導出は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
1516において、第2のネットワークエンティティは、第1のネットワークエンティティのための第2のマッピングされたセキュリティコンテキストを出力する。第2のマッピングされたセキュリティコンテキストを出力する態様は、図6のマッピングされたEPSセキュリティコンテキスト636、およびコンテキスト応答メッセージ638に関して説明したように、第1のマッピングされたセキュリティコンテキストを出力することと同様であり得る。1516における、第2のマッピングされたセキュリティコンテキストの出力は、図16のネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199、および/または図17のネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497によって実行され得る。
図16は、ネットワークエンティティ1602のためのハードウェア実装形態の一例を示す図1600である。ネットワークエンティティ1602は、BSであり得るか、BSの構成要素であり得るか、またはBS機能を実装し得る。ネットワークエンティティ1602は、CU1610、DU1630、またはRU1640のうちの少なくとも1つを含み得る。たとえば、ネットワークセキュリティハンドリング構成要素199によってハンドリングされるレイヤ機能に応じて、ネットワークエンティティ1602は、CU1610、CU1610とDU1630の両方、CU1610、DU1630、およびRU1640の各々、DU1630、DU1630とRU1640の両方、またはRU1640を含み得る。CU1610は、CUプロセッサ1612を含み得る。CUプロセッサ1612は、オンチップメモリ1612'を含み得る。いくつかの態様では、CU1610は、追加のメモリモジュール1614と、通信インターフェース1618とをさらに含み得る。CU1610は、F1インターフェースなどのミッドホールリンクを通して、DU1630と通信する。DU1630は、DUプロセッサ1632を含み得る。DUプロセッサ1632は、オンチップメモリ1632'を含み得る。いくつかの態様では、DU1630は、追加のメモリモジュール1634と、通信インターフェース1638とをさらに含み得る。DU1630は、フロントホールリンクを通して、RU1640と通信する。RU1640は、RUプロセッサ1642を含み得る。RUプロセッサ1642は、オンチップメモリ1642'を含み得る。いくつかの態様では、RU1640は、追加のメモリモジュール1644と、1つまたは複数のトランシーバ1646と、アンテナ1680と、通信インターフェース1648とをさらに含み得る。RU1640は、UE104と通信する。オンチップメモリ(たとえば、オンチップメモリ1612'、オンチップメモリ1632'、および/またはオンチップメモリ1642')、および/または追加のメモリモジュール(たとえば、追加のメモリモジュール1614、追加のメモリモジュール1634、および/または追加のメモリモジュール1644)は、コンピュータ可読媒体/メモリと各々見なされ得る。各コンピュータ可読媒体/メモリは、非一時的であり得る。CUプロセッサ1612、DUプロセッサ1632、RUプロセッサ1642の各々は、コンピュータ可読媒体/メモリ上に記憶されたソフトウェアの実行を含む、一般的な処理を担う。ソフトウェアは、対応するプロセッサによって実行されると、プロセッサに上記で説明した様々な機能を実行させる。コンピュータ可読媒体/メモリはまた、ソフトウェアを実行するとき、プロセッサによって操作されるデータを記憶するためにも使用され得る。
上記で説明したように、ネットワークセキュリティハンドリング構成要素199は、ユーザ機器(UE)によって生成された第1のトラッキングエリア更新(TAU)要求を受信することであって、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、こと、第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力することであって、第2のネットワークエンティティが第1のRATに関連付けられる、こと、第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを受信することであって、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出される、こと、第2のTAU要求を受信することであって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、第2のTAU要求が情報の第1のセットを含む、こと、第2のTAU要求に基づいて、第2のネットワークエンティティのための第2のコンテキスト要求を出力すること、第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを受信することであって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、こと、ならびに第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを送信することを行うように構成される。
別の態様では、ネットワークセキュリティハンドリング構成要素199は、第1のコンテキスト要求を受信することであって、第1のコンテキスト要求が、ユーザ機器(UE)によって生成された少なくとも第1のトラッキングエリア更新(TAU)要求を含み、第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のRATが、第1のネットワークエンティティに関連付けられた第2のRATとは異なる、こと、第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出すること、第1のネットワークエンティティのための第1のマッピングされたセキュリティコンテキストを出力すること、第2のコンテキスト要求を受信することであって、第2のコンテキスト要求が、UEによって生成された少なくとも第2のTAU要求を含み、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、こと、第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出すること、および第1のネットワークエンティティのための第2のマッピングされたセキュリティコンテキストを出力することを行うように構成され得る。
ネットワークセキュリティハンドリング構成要素199は、CU1610、DU1630、およびRU1640のうちの1つまたは複数の1つまたは複数のプロセッサ内にあり得る。ネットワークセキュリティハンドリング構成要素199は、述べられたプロセス/アルゴリズムを実行するように特に構成された1つもしくは複数のハードウェア構成要素であるか、述べられたプロセス/アルゴリズムを実行するように構成された1つもしくは複数のプロセッサによって実装されるか、1つもしくは複数のプロセッサによる実装のためにコンピュータ可読媒体内に記憶されるか、またはそれらの何らかの組合せであり得る。
一構成では、ネットワークエンティティ1602は、第1のネットワークエンティティであり得、ユーザ機器(UE)によって生成された第1のトラッキングエリア更新(TAU)要求を取得するための手段であって、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、手段と、第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力するための手段であって、第2のネットワークエンティティが第1のRATに関連付けられる、手段と、第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを取得するための手段であって、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出される、手段と、第2のTAU要求を取得するための手段であって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、第2のTAU要求が情報の第1のセットを含む、手段と、第2のTAU要求に基づいて、第2のネットワークエンティティのための第2のコンテキスト要求を出力するための手段と、第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを取得するための手段であって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、手段と、第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを出力するための手段とを含む。
別の構成では、第1のコンテキスト要求は、第2のRATにマッピングされた識別子を含み、第1のTAU要求は、第1のアップリンクカウントを使用して完全性保護される。
別の構成では、例示的なネットワークエンティティ1602はまた、第2のRATにマッピングされた識別子に基づいて、第2のネットワークエンティティのアドレスを導出するための手段を含む。
別の構成では、例示的なネットワークエンティティ1602はまた、第2のマッピングされたセキュリティコンテキストを取得することに基づいて、第1のマッピングされたセキュリティコンテキストから第2のマッピングされたセキュリティコンテキストに、第1のネットワークエンティティのセキュリティコンテキストを更新するための手段と、第1のネットワークエンティティのセキュリティコンテキストを更新した後、第1のマッピングされたセキュリティコンテキストを使用して完全性保護される保留中のダウンリンク送信を破棄するための手段とを含む。
別の構成では、第2のTAU要求は、第1のTAU要求の反復を含む。
別の構成では、第1のTAU要求は、N1モードからS1モードへの非システム間変更に基づいて取得され、UEは、シングル登録モードにおいて動作するように構成され、ダウンリンクメッセージは、TAU受付メッセージを含み、例示的なネットワークエンティティ1602はまた、ダウンリンクメッセージを再送するための手段を含む。
別の構成では、例示的なネットワークエンティティ1602はまた、TAU完了メッセージがUEから予想されるとき、T3450タイマーを再開するための手段と、T3450タイマーに関する再送信カウンタを増分することをスキップするための手段とを含む。
別の構成では、第1のTAU要求は、N1モードからS1モードへのシステム間変更に基づいて取得され、UEは、シングル登録モードにおいて動作するように構成され、ダウンリンクメッセージは、TAU受付メッセージを含み、例示的なネットワークエンティティ1602はまた、認証プロシージャを開始するための手段と、新しい部分ネイティブ発展型パケットシステム(EPS)セキュリティコンテキストを現在の完全ネイティブEPSセキュリティコンテキストに移行させるために、セキュリティモード制御プロシージャを実行するための手段とを含む。
別の構成では、例示的なネットワークエンティティ1602はまた、セキュリティモード制御プロシージャが成功するとき、ダウンリンクメッセージ反復を出力することであって、ダウンリンクメッセージ反復が、現在の完全ネイティブEPSセキュリティコンテキストを使用して完全性保護される、ことを行うための手段と、TAU完了メッセージがUEから予想されるとき、T3450タイマーを再開するための手段と、T3450タイマーに関する再送信カウンタを増分することをスキップするための手段とを含む。
別の構成では、第1のTAU要求は、N1モードからS1モードへの非システム間変更に基づいて取得され、UEは、シングル登録モードにおいて動作するように構成され、例示的なネットワークエンティティ1602はまた、第2のTAU要求に基づいて、TAUプロシージャの開始をスキップするための手段と、第1のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを完全性保護するための手段とを含む。
別の構成では、第1のTAU要求は、N1モードからS1モードへのシステム間変更に基づいて取得され、UEは、シングル登録モードにおいて動作するように構成され、例示的なネットワークエンティティ1602はまた、第2のTAUプロシージャを開始することを決定するための手段であって、第2のネットワークエンティティに第2のコンテキスト要求を出力すること、および第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを完全性保護することを含む、手段を含む。
別の構成では、第1のネットワークエンティティは、モビリティ管理エンティティ(MME)を含み、第2のネットワークエンティティは、アクセスおよびモビリティ管理機能(AMF)を含む。
一構成では、ネットワークエンティティ1602は、第2のネットワークエンティティであり得、第1のコンテキスト要求を取得するための手段であって、第1のコンテキスト要求が、ユーザ機器(UE)によって生成された少なくとも第1のトラッキングエリア更新(TAU)要求を含み、第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のRATが、第1のネットワークエンティティに関連付けられた第2のRATとは異なる、手段と、第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出するための手段と、第1のネットワークエンティティのための第1のマッピングされたセキュリティコンテキストを出力するための手段と、第2のコンテキスト要求を取得するための手段であって、第2のコンテキスト要求が、UEによって生成された少なくとも第2のTAU要求を含み、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、手段と、第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出するための手段と、第1のネットワークエンティティのための第2のマッピングされたセキュリティコンテキストを出力するための手段とを含む。
別の構成では、第1のコンテキスト要求は、第2のRATにマッピングされた識別子をさらに含む。
別の構成では、第2のTAU要求は、第1のTAU要求の反復を含む。
別の構成では、例示的なネットワークエンティティ1602はまた、第1のマッピングされたセキュリティコンテキストを出力した後、タイマーを開始するための手段と、タイマーが満了した後、第1のマッピングされたセキュリティコンテキストを消去するための手段とを含む。
別の構成では、例示的なネットワークエンティティ1602はまた、第1のセキュリティコンテキストに基づいて、第1のTAU要求における第1の完全性検査を実行するための手段を含む。
別の構成では、第1のネットワークエンティティは、モビリティ管理エンティティ(MME)を含み、第2のネットワークエンティティは、アクセスおよびモビリティ管理機能(AMF)を含む。
手段は、手段によって列挙された機能を実行するように構成された、ネットワークエンティティ1602のネットワークセキュリティハンドリング構成要素199であり得る。上記で説明したように、ネットワークエンティティ1602は、TXプロセッサ316、RXプロセッサ370、およびコントローラ/プロセッサ375を含み得る。したがって、一構成では、手段は、手段によって列挙された機能を実行するように構成された、TXプロセッサ316、RXプロセッサ370、および/またはコントローラ/プロセッサ375であり得る。
図17は、ネットワークエンティティ1760のためのハードウェア実装形態の一例を示す図1700である。一例では、ネットワークエンティティ1760は、コアネットワーク120内にあり得る。ネットワークエンティティ1760は、ネットワークプロセッサ1712を含み得る。ネットワークプロセッサ1712は、オンチップメモリ1712'を含み得る。いくつかの態様では、ネットワークエンティティ1760は、追加のメモリモジュール1714をさらに含み得る。ネットワークエンティティ1760は、CU1702と直接(たとえば、バックホールリンク)または間接的に(たとえば、RICを通して)、ネットワークインターフェース1780を介して通信する。オンチップメモリ1712'および追加のメモリモジュール1714は、コンピュータ可読媒体/メモリと各々見なされ得る。各コンピュータ可読媒体/メモリは、非一時的であり得る。ネットワークプロセッサ1712は、コンピュータ可読媒体/メモリ上に記憶されたソフトウェアの実行を含む、一般的な処理を担う。ソフトウェアは、対応するプロセッサによって実行されると、プロセッサに上記で説明した様々な機能を実行させる。コンピュータ可読媒体/メモリはまた、ソフトウェアを実行するとき、プロセッサによって操作されるデータを記憶するためにも使用され得る。
上記で説明したように、ネットワークセキュリティハンドリング構成要素497は、ユーザ機器(UE)によって生成された第1のトラッキングエリア更新(TAU)要求を受信することであって、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、こと、第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力することであって、第2のネットワークエンティティが第1のRATに関連付けられる、こと、第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを受信することであって、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出される、こと、第2のTAU要求を受信することであって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、第2のTAU要求が情報の第1のセットを含む、こと、第2のTAU要求に基づいて、第2のネットワークエンティティのための第2のコンテキスト要求を出力すること、第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを受信することであって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、こと、ならびに第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを送信することを行うように構成される。
別の態様では、ネットワークセキュリティハンドリング構成要素497は、第1のコンテキスト要求を受信することであって、第1のコンテキスト要求が、ユーザ機器(UE)によって生成された少なくとも第1のトラッキングエリア更新(TAU)要求を含み、第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のRATが、第1のネットワークエンティティに関連付けられた第2のRATとは異なる、こと、第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出すること、第1のネットワークエンティティのための第1のマッピングされたセキュリティコンテキストを出力すること、第2のコンテキスト要求を受信することであって、第2のコンテキスト要求が、UEによって生成された少なくとも第2のTAU要求を含み、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、こと、第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出すること、および第1のネットワークエンティティのための第2のマッピングされたセキュリティコンテキストを出力することを行うように構成され得る。
ネットワークセキュリティハンドリング構成要素497は、ネットワークプロセッサ1712内にあり得る。ネットワークセキュリティハンドリング構成要素497は、述べられたプロセス/アルゴリズムを実行するように特に構成された1つもしくは複数のハードウェア構成要素であるか、述べられたプロセス/アルゴリズムを実行するように構成された1つもしくは複数のプロセッサによって実装されるか、1つもしくは複数のプロセッサによる実装のためにコンピュータ可読媒体内に記憶されるか、またはそれらの何らかの組合せであり得る。ネットワークエンティティ1760は、様々な機能のために構成された様々な構成要素を含み得る。
一構成では、ネットワークエンティティ1760は、第1のネットワークエンティティであり得、ユーザ機器(UE)によって生成された第1のトラッキングエリア更新(TAU)要求を取得するための手段であって、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、手段と、第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力するための手段であって、第2のネットワークエンティティが第1のRATに関連付けられる、手段と、第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを取得するための手段であって、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出される、手段と、第2のTAU要求を取得するための手段であって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、第2のTAU要求が情報の第1のセットを含む、手段と、第2のTAU要求に基づいて、第2のネットワークエンティティのための第2のコンテキスト要求を出力するための手段と、第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを取得するための手段であって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、手段と、第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを出力するための手段とを含む。
別の構成では、第1のコンテキスト要求は、第2のRATにマッピングされた識別子を含み、第1のTAU要求は、第1のアップリンクカウントを使用して完全性保護される。
別の構成では、例示的なネットワークエンティティ1760はまた、第2のRATにマッピングされた識別子に基づいて、第2のネットワークエンティティのアドレスを導出するための手段を含む。
別の構成では、例示的なネットワークエンティティ1760はまた、第2のマッピングされたセキュリティコンテキストを取得することに基づいて、第1のマッピングされたセキュリティコンテキストから第2のマッピングされたセキュリティコンテキストに、第1のネットワークエンティティのセキュリティコンテキストを更新するための手段と、第1のネットワークエンティティのセキュリティコンテキストを更新した後、第1のマッピングされたセキュリティコンテキストを使用して完全性保護される保留中のダウンリンク送信を破棄するための手段とを含む。
別の構成では、第2のTAU要求は、第1のTAU要求の反復を含む。
別の構成では、第1のTAU要求は、N1モードからS1モードへの非システム間変更に基づいて取得され、UEは、シングル登録モードにおいて動作するように構成され、ダウンリンクメッセージは、TAU受付メッセージを含み、例示的なネットワークエンティティ1760はまた、ダウンリンクメッセージを再送するための手段を含む。
別の構成では、例示的なネットワークエンティティ1760はまた、TAU完了メッセージがUEから予想されるとき、T3450タイマーを再開するための手段と、T3450タイマーに関する再送信カウンタを増分することをスキップするための手段とを含む。
別の構成では、第1のTAU要求は、N1モードからS1モードへのシステム間変更に基づいて取得され、UEは、シングル登録モードにおいて動作するように構成され、ダウンリンクメッセージは、TAU受付メッセージを含み、例示的なネットワークエンティティ1760はまた、認証プロシージャを開始するための手段と、新しい部分ネイティブ発展型パケットシステム(EPS)セキュリティコンテキストを現在の完全ネイティブEPSセキュリティコンテキストに移行させるために、セキュリティモード制御プロシージャを実行するための手段とを含む。
別の構成では、例示的なネットワークエンティティ1760はまた、セキュリティモード制御プロシージャが成功するとき、ダウンリンクメッセージ反復を出力することであって、ダウンリンクメッセージ反復が、現在の完全ネイティブEPSセキュリティコンテキストを使用して完全性保護される、ことを行うための手段と、TAU完了メッセージがUEから予想されるとき、T3450タイマーを再開するための手段と、T3450タイマーに関する再送信カウンタを増分することをスキップするための手段とを含む。
別の構成では、第1のTAU要求は、N1モードからS1モードへの非システム間変更に基づいて取得され、UEは、シングル登録モードにおいて動作するように構成され、例示的なネットワークエンティティ1760はまた、第2のTAU要求に基づいて、TAUプロシージャの開始をスキップするための手段と、第1のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを完全性保護するための手段とを含む。
別の構成では、第1のTAU要求は、N1モードからS1モードへのシステム間変更に基づいて取得され、UEは、シングル登録モードにおいて動作するように構成され、例示的なネットワークエンティティ1760はまた、第2のTAUプロシージャを開始することを決定するための手段であって、第2のネットワークエンティティに第2のコンテキスト要求を出力すること、および第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを完全性保護することを含む、手段を含む。
別の構成では、第1のネットワークエンティティは、モビリティ管理エンティティ(MME)を含み、第2のネットワークエンティティは、アクセスおよびモビリティ管理機能(AMF)を含む。
一構成では、ネットワークエンティティ1760は、第2のネットワークエンティティであり得、第1のコンテキスト要求を取得するための手段であって、第1のコンテキスト要求が、ユーザ機器(UE)によって生成された少なくとも第1のトラッキングエリア更新(TAU)要求を含み、第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のRATが、第1のネットワークエンティティに関連付けられた第2のRATとは異なる、手段と、第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出するための手段と、第1のネットワークエンティティのための第1のマッピングされたセキュリティコンテキストを出力するための手段と、第2のコンテキスト要求を取得するための手段であって、第2のコンテキスト要求が、UEによって生成された少なくとも第2のTAU要求を含み、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、手段と、第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出するための手段と、第1のネットワークエンティティのための第2のマッピングされたセキュリティコンテキストを出力するための手段とを含む。
別の構成では、第1のコンテキスト要求は、第2のRATにマッピングされた識別子をさらに含む。
別の構成では、第2のTAU要求は、第1のTAU要求の反復を含む。
別の構成では、例示的なネットワークエンティティ1760はまた、第1のマッピングされたセキュリティコンテキストを出力した後、タイマーを開始するための手段と、タイマーが満了した後、第1のマッピングされたセキュリティコンテキストを消去するための手段とを含む。
別の構成では、例示的なネットワークエンティティ1760はまた、第1のセキュリティコンテキストに基づいて、第1のTAU要求における第1の完全性検査を実行するための手段を含む。
別の構成では、第1のネットワークエンティティは、モビリティ管理エンティティ(MME)を含み、第2のネットワークエンティティは、アクセスおよびモビリティ管理機能(AMF)を含む。
手段は、手段によって列挙された機能を実行するように構成された、ネットワークエンティティ1760のネットワークセキュリティハンドリング構成要素497であり得る。上記で説明したように、ネットワークエンティティ1760は、ネットワークプロセッサ1712を含み得る。したがって、一構成では、手段は、手段によって列挙された機能を実行するように構成されたネットワークプロセッサ1712であり得る。
本明細書で開示する例は、上記で説明したTAU要求メッセージの反復のハンドリングにおける不整合を除去するための技法を提供する。たとえば、開示する技法は、ネットワークがどのようにTAU要求メッセージの反復をハンドリングするかを修正することによって、不整合を除去し得る。開示する技法は、追加または代替として、UEがどのようにTAU要求メッセージを完全性保護するかを修正することによって、不整合を除去し得る。さらに、開示する技法は、UEがどのようにメッセージの完全性検証を実行するかを修正することによって、不整合を除去し得る。
開示するプロセス/フローチャートにおけるブロックの特定の順序または階層が、例示的な手法の例示であることを理解されたい。設計選好に基づいて、プロセス/フローチャートにおけるブロックの特定の順序または階層は、並べ替えられる場合があることを理解されたい。さらに、いくつかのブロックが組み合わせられてよく、または省略されてよい。添付の方法請求項は、様々なブロックの要素を例示的な順序で提示しており、提示された特定の順序または階層に限定されない。
上記の説明は、本明細書で説明した様々な態様を任意の当業者が実践することを可能にするように提供される。これらの態様に対する様々な修正は当業者には容易に明らかであり、本明細書で定義する一般原理は他の態様に適用され得る。したがって、特許請求の範囲は、本明細書で説明する態様に限定されず、クレーム文言と一致する全範囲を与えられるべきである。単数形での要素への言及は、そのように明記されていない限り、「唯一無二の」を意味せず、「1つまたは複数の」を意味する。「場合(if)」、「とき(when)」、および「間(while)」などの用語は、即時の時間的な関係または反応を暗示しない。すなわち、これらの句、たとえば、「とき(when)」は、アクションの発生に応答したまたはアクションの発生中の即時のアクションを暗示するのではなく、条件が満たされた場合にアクションが生じることになるが、アクションが生じるための特定のまたは即時の時間制約を必要としないことを単に暗示する。「例示的」という語は、「例、事例、または例示として機能すること」を意味するように本明細書で使用される。「例示的」として本明細書で説明するいかなる態様も、必ずしも他の態様よりも好ましいかまたは有利であると解釈されるべきではない。別段に明記されていない限り、「いくつかの」という用語は1つまたは複数を指す。「A、B、またはCのうちの少なくとも1つ」、「A、B、またはCのうちの1つまたは複数」、「A、B、およびCのうちの少なくとも1つ」、「A、B、およびCのうちの1つまたは複数」、および「A、B、C、またはそれらの任意の組合せ」などの組合せは、A、B、および/またはCの任意の組合せを含み、複数のA、複数のB、または複数のCを含み得る。具体的には、「A、B、またはCのうちの少なくとも1つ」、「A、B、またはCのうちの1つまたは複数」、「A、B、およびCのうちの少なくとも1つ」、「A、B、およびCのうちの1つまたは複数」、および「A、B、C、またはそれらの任意の組合せ」などの組合せは、Aのみ、Bのみ、Cのみ、AおよびB、AおよびC、BおよびC、またはAおよびBおよびCであってもよく、任意のそのような組合せは、A、B、またはCの1つまたは複数のメンバーを含んでもよい。セットは、要素のセットとして解釈されるべきであり、ただし、要素は1つまたは複数からなる。したがって、Xのセットの場合、Xは、1つまたは複数の要素を含むことになる。第1の装置が第2の装置からデータを受信するか、または第2の装置にデータを送信する場合、データは、第1の装置と第2の装置との間で直接、または装置のセットを通して第1の装置と第2の装置との間で間接的に受信/送信され得る。当業者に知られているか、または後で知られることになる、本開示全体にわたって説明した様々な態様の要素のすべての構造的および機能的な均等物は、参照により本明細書に明確に組み込まれ、特許請求の範囲によって包含される。さらに、本明細書で開示するものはいずれも、そのような開示が特許請求の範囲において明示的に列挙されているかどうかにかかわらず、公に供されるものではない。「モジュール」、「機構」、「要素」、「デバイス」などの語は、「手段」という語の代用ではないことがある。したがって、いかなるクレーム要素も、その要素が「のための手段」という句を使用して明確に列挙されていない限り、ミーンズプラスファンクションとして解釈されるべきではない。
本明細書で使用する「に基づいて」という句は、情報、1つまたは複数の条件、1つまたは複数のファクタなどの閉集合を指すものと解釈されるべきではない。言い換えれば、「Aに基づいて」という句(ただし、「A」は情報、条件、ファクタなどであり得る)は、異なるように明記されていない限り、「Aに少なくとも基づいて」として解釈されるべきである。
以下の態様は、例示的なものにすぎず、限定はしないが、本明細書で説明する他の態様または教示と組み合わせられ得る。
態様1は、UEにおけるワイヤレス通信の方法であって、第1のネットワークエンティティに第1のトラッキングエリア更新(TAU)要求を送信するステップであって、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ステップと、第1のネットワークエンティティに第2のTAU要求を送信するステップであって、第2のTAU要求が情報の第1のセットを含み、第2のTAU要求が、第2のアップリンクカウントを使用して完全性保護される、ステップと、第1のセキュリティコンテキスト、および第1のアップリンクカウントまたは第2のアップリンクカウントのうちの少なくとも1つに基づいて、マッピングされたセキュリティコンテキストを導出するステップと、マッピングされたセキュリティコンテキストに基づいて、第1のネットワークエンティティと通信するステップとを含む方法である。
態様2は、第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のTAU要求を送信するステップであって、第2のRATが第1のRATとは異なり、第1のネットワークエンティティが、第2のRATに関連付けられる、ステップをさらに含む、態様1の方法である。
態様3は、第2のTAU要求が、第1のTAU要求の反復を含み、第2のアップリンクカウントが、第1のアップリンクカウントと同じ値であることをさらに含む、態様1および2のいずれかの方法である。
態様4は、無線リンク障害の発生に基づいて、第2のTAU要求を送信するステップをさらに含む、態様1から3のいずれかの方法である。
態様5は、マッピングされたセキュリティコンテキストが、第2のRATに関連付けられることをさらに含む、態様1および2のいずれかの方法である。
態様6は、第2のアップリンクカウントが、第1のアップリンクカウントとは異なり、マッピングされたセキュリティコンテキストが、第1のマッピングされたセキュリティコンテキストであることをさらに含む、態様1および2のいずれかの方法であって、方法が、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、第2のマッピングされたセキュリティコンテキストを導出するステップであって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のアップリンクカウントを使用して完全性保護され、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントに基づいて導出される、ステップをさらに含む。
態様7は、第1のマッピングされたセキュリティコンテキストの導出に基づいて、第2のマッピングされたセキュリティコンテキストから第1のマッピングされたセキュリティコンテキストに、UEのセキュリティコンテキストを更新するステップと、UEのセキュリティコンテキストを更新した後、第2のマッピングされたセキュリティコンテキストを使用して完全性保護される保留中の送信を破棄するステップとをさらに含む、態様1および6のいずれかの方法である。
態様8は、第2のTAU要求が、第1のTAU要求の反復を含むことをさらに含む、態様1、6、および7のいずれかの方法である。
態様9は、メモリに結合され、態様1から8のいずれかを実装するように構成された、少なくとも1つのプロセッサを含む、UEにおけるワイヤレス通信のための装置である。
態様10において、態様9の装置が、少なくとも1つのプロセッサに結合された少なくとも1つのアンテナをさらに含む。
態様11において、態様9または10の装置が、少なくとも1つのプロセッサに結合されたトランシーバをさらに含む。
態様12は、態様1から8のいずれかを実装するための手段を含む、ワイヤレス通信のための装置である。
態様13において、態様12の装置が、態様1から8のいずれかの方法を実行するために手段に結合された少なくとも1つのアンテナをさらに含む。
態様14において、態様12または13の装置が、態様1から8のいずれかの方法を実行するために手段に結合されたトランシーバをさらに含む。
態様15は、コンピュータ実行可能コードを記憶する非一時的コンピュータ可読記憶媒体であって、コードが、実行されると、プロセッサに態様1から8のいずれかを実装させる、非一時的コンピュータ可読記憶媒体である。
態様16は、UEにおけるワイヤレス通信の方法であって、第1の無線アクセス技術(RAT)とは異なる第2のRATに関連付けられた第2のセルに接続するために、第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のトラッキングエリア更新(TAU)要求を送信するステップであって、第1のネットワークエンティティが第2のRATに関連付けられ、第1のTAU要求が、第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護される、ステップと、第1のセキュリティコンテキスト、第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出するステップと、第1のネットワークエンティティに第1のTAU要求の反復を送信するステップであって、第1のTAU要求の反復が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、ステップと、第1のセキュリティコンテキスト、第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出するステップと、第1のネットワークエンティティからダウンリンク送信を受信するステップと、第1の完全性鍵および第2の完全性鍵のうちの少なくとも1つを使用して、ダウンリンク送信における完全性検査を実行するステップと、導出された完全性鍵を使用して、ダウンリンク送信における完全性検査が成功するとき、UEのマスターセキュリティ鍵を設定するステップであって、マスターセキュリティ鍵が、導出された完全性鍵を導出するために使用された、第1のマッピングされたセキュリティコンテキストまたは第2のマッピングされたセキュリティコンテキストに基づいて設定される、ステップとを含む方法である。
態様17は、ダウンリンク送信における完全性検査が、第1の完全性鍵を使用して成功するとき、第2のマッピングされたセキュリティコンテキスト、および第2のマッピングされたセキュリティコンテキストを使用して導出されたいかなる鍵も消去するステップであって、マスターセキュリティ鍵が、第1のマッピングされたセキュリティコンテキストを含む、ステップをさらに含む、態様16の方法である。
態様18は、ダウンリンク送信における完全性検査が、第2の完全性鍵を使用して成功するとき、第1のマッピングされたセキュリティコンテキスト、および第1のマッピングされたセキュリティコンテキストを使用して導出されたいかなる鍵も消去するステップであって、マスターセキュリティ鍵が、第2のマッピングされたセキュリティコンテキストを含む、ステップをさらに含む、態様16の方法である。
態様19は、第1のセキュリティコンテキストおよび第1のアップリンクカウントに基づいて、第1のマッピングされたセキュリティコンテキストを導出するステップをさらに含む、態様16から18のいずれかの方法である。
態様20は、メモリに結合され、態様16から19のいずれかを実装するように構成された、少なくとも1つのプロセッサを含む、UEにおけるワイヤレス通信のための装置である。
態様21において、態様20の装置が、少なくとも1つのプロセッサに結合された少なくとも1つのアンテナをさらに含む。
態様22において、態様20または21の装置が、少なくとも1つのプロセッサに結合されたトランシーバをさらに含む。
態様23は、態様16から19のいずれかを実装するための手段を含む、ワイヤレス通信のための装置である。
態様24において、態様23の装置が、態様16から19のいずれかの方法を実行するために手段に結合された少なくとも1つのアンテナをさらに含む。
態様25において、態様23または24の装置が、態様16から19のいずれかの方法を実行するために手段に結合されたトランシーバをさらに含む。
態様26は、コンピュータ実行可能コードを記憶する非一時的コンピュータ可読記憶媒体であって、コードが、実行されると、プロセッサに態様16から19のいずれかを実装させる、非一時的コンピュータ可読記憶媒体である。
態様27は、第1のネットワークエンティティにおけるワイヤレス通信の方法であって、ユーザ機器(UE)によって生成された第1のトラッキングエリア更新(TAU)要求を取得するステップであって、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のTAU要求が、第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、ステップと、第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力するステップであって、第2のネットワークエンティティが第1のRATに関連付けられる、ステップと、第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを取得するステップであって、第1のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第1のアップリンクカウントから導出される、ステップと、第2のTAU要求を取得するステップであって、第2のTAU要求が、第1のセキュリティコンテキストを使用して符号化され、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、第2のTAU要求が情報の第1のセットを含む、ステップと、第2のTAU要求に基づいて、第2のネットワークエンティティのための第2のコンテキスト要求を出力するステップと、第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを取得するステップであって、第2のマッピングされたセキュリティコンテキストが、第1のセキュリティコンテキストおよび第2のアップリンクカウントから導出される、ステップと、第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを出力するステップとを含む方法である。
態様28は、第1のコンテキスト要求が、第2のRATにマッピングされた識別子を含み、第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護されることをさらに含む、態様27の方法である。
態様29は、第2のRATにマッピングされた識別子に基づいて、第2のネットワークエンティティのアドレスを導出するステップをさらに含む、態様27および28のいずれかの方法である。
態様30は、第2のマッピングされたセキュリティコンテキストを取得することに基づいて、第1のマッピングされたセキュリティコンテキストから第2のマッピングされたセキュリティコンテキストに、第1のネットワークエンティティのセキュリティコンテキストを更新するステップと、第1のネットワークエンティティのセキュリティコンテキストを更新した後、第1のマッピングされたセキュリティコンテキストを使用して完全性保護される保留中のダウンリンク送信を破棄するステップとをさらに含む、態様27から29のいずれかの方法である。
態様31は、第2のTAU要求が、第1のTAU要求の反復を含むことをさらに含む、態様27から30のいずれかの方法である。
態様32は、第1のTAU要求が、N1モードからS1モードへの非システム間変更に基づいて取得され、UEが、シングル登録モードにおいて動作するように構成され、ダウンリンクメッセージが、TAU受付メッセージを含むことをさらに含む、態様27から31のいずれかの方法であり、方法が、ダウンリンクメッセージを再送するステップをさらに含む。
態様33は、TAU完了メッセージがUEから予想されるとき、T3450タイマーを再開するステップと、T3450タイマーに関する再送信カウンタを増分することをスキップするステップとをさらに含む、態様27から32のいずれかの方法である。
態様34は、第1のTAU要求が、N1モードからS1モードへのシステム間変更に基づいて取得され、UEが、シングル登録モードにおいて動作するように構成され、ダウンリンクメッセージが、TAU受付メッセージを含むことをさらに含む、態様27から31のいずれかの方法であり、方法が、認証プロシージャを開始するステップと、新しい部分ネイティブ発展型パケットシステム(EPS)セキュリティコンテキストを現在の完全ネイティブEPSセキュリティコンテキストに移行させるために、セキュリティモード制御プロシージャを実行するステップとをさらに含む。
態様35は、セキュリティモード制御プロシージャが成功するとき、ダウンリンクメッセージ反復を出力するステップであって、ダウンリンクメッセージ反復が、現在の完全ネイティブEPSセキュリティコンテキストを使用して完全性保護される、ステップと、TAU完了メッセージがUEから予想されるとき、T3450タイマーを再開するステップと、T3450タイマーに関する再送信カウンタを増分することをスキップするステップとをさらに含む、態様27および34のいずれかの方法である。
態様36は、第1のTAU要求が、N1モードからS1モードへの非システム間変更に基づいて取得され、UEが、シングル登録モードにおいて動作するように構成されることをさらに含む、態様27から31のいずれかの方法であり、方法が、第2のTAU要求に基づいて、TAUプロシージャの開始をスキップするステップと、第1のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを完全性保護するステップとをさらに含む。
態様37は、第1のTAU要求が、N1モードからS1モードへのシステム間変更に基づいて取得され、UEが、シングル登録モードにおいて動作するように構成されることをさらに含む、態様27から31のいずれかの方法であり、方法が、第2のTAUプロシージャを開始することを決定するステップであって、第2のネットワークエンティティに第2のコンテキスト要求を出力すること、および第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを完全性保護することを含む、ステップをさらに含む。
態様38は、第1のネットワークエンティティが、モビリティ管理エンティティ(MME)を含み、第2のネットワークエンティティが、アクセスおよびモビリティ管理機能(AMF)を含むことをさらに含む、態様27から37のいずれかの方法である。
態様39は、メモリに結合され、態様27から38のいずれかを実装するように構成された、少なくとも1つのプロセッサを含む、UEにおけるワイヤレス通信のための装置である。
態様40において、態様39の装置が、少なくとも1つのプロセッサに結合された少なくとも1つのアンテナをさらに含む。
態様41において、態様39または40の装置が、少なくとも1つのプロセッサに結合されたトランシーバをさらに含む。
態様42は、態様27から38のいずれかを実装するための手段を含む、ワイヤレス通信のための装置である。
態様43において、態様42の装置が、態様27から38のいずれかの方法を実行するために手段に結合された少なくとも1つのアンテナをさらに含む。
態様44において、態様42または43の装置が、態様27から38のいずれかの方法を実行するために手段に結合されたトランシーバをさらに含む。
態様45は、コンピュータ実行可能コードを記憶する非一時的コンピュータ可読記憶媒体であって、コードが、実行されると、プロセッサに態様27から38のいずれかを実装させる、非一時的コンピュータ可読記憶媒体である。
態様46は、第2のネットワークエンティティにおけるワイヤレス通信の方法であって、第1のコンテキスト要求を取得するステップであって、第1のコンテキスト要求が、ユーザ機器(UE)によって生成された少なくとも第1のトラッキングエリア更新(TAU)要求を含み、第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護され、第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、第1のRATが、第1のネットワークエンティティに関連付けられた第2のRATとは異なる、ステップと、第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出するステップと、第1のネットワークエンティティのための第1のマッピングされたセキュリティコンテキストを出力するステップと、第2のコンテキスト要求を取得するステップであって、第2のコンテキスト要求が、UEによって生成された少なくとも第2のTAU要求を含み、第2のTAU要求が、第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、ステップと、第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出するステップと、第1のネットワークエンティティのための第2のマッピングされたセキュリティコンテキストを出力するステップとを含む方法である。
態様47は、第1のコンテキスト要求が、第2のRATにマッピングされた識別子をさらに含むことをさらに含む、態様46の方法である。
態様48は、第2のTAU要求が、第1のTAU要求の反復を含むことをさらに含む、態様46および47のいずれかの方法である。
態様49は、第1のマッピングされたセキュリティコンテキストを出力した後、タイマーを開始するステップと、タイマーが満了した後、第1のマッピングされたセキュリティコンテキストを消去するステップとをさらに含む、態様46から48のいずれかの方法である。
態様50は、第1のセキュリティコンテキストに基づいて、第1のTAU要求における第1の完全性検査を実行するステップをさらに含む、態様46から49のいずれかの方法である。
態様51は、第1のネットワークエンティティが、モビリティ管理エンティティ(MME)を含み、第2のネットワークエンティティが、アクセスおよびモビリティ管理機能(AMF)を含むことをさらに含む、態様46から50のいずれかの方法である。
態様52は、メモリに結合され、態様46から51のいずれかを実装するように構成された、少なくとも1つのプロセッサを含む、UEにおけるワイヤレス通信のための装置である。
態様53において、態様52の装置が、少なくとも1つのプロセッサに結合された少なくとも1つのアンテナをさらに含む。
態様54において、態様52または53の装置が、少なくとも1つのプロセッサに結合されたトランシーバをさらに含む。
態様55は、態様46から51のいずれかを実装するための手段を含む、ワイヤレス通信のための装置である。
態様56において、態様55の装置が、態様46から51のいずれかの方法を実行するために手段に結合された少なくとも1つのアンテナをさらに含む。
態様57において、態様55または56の装置が、態様46から51のいずれかの方法を実行するために手段に結合されたトランシーバをさらに含む。
態様58は、コンピュータ実行可能コードを記憶する非一時的コンピュータ可読記憶媒体であって、コードが、実行されると、プロセッサに態様46から51のいずれかを実装させる、非一時的コンピュータ可読記憶媒体である。
102、310 基地局
104、350、404、604 UE
105 SMOフレームワーク
110、1610、1702 CU
111 オープンeNB(O-eNB)
115 非リアルタイム(Non-RT)RIC、Non-RT RIC
120、430 コアネットワーク
125 Near-RT RIC
130、1630 DU
140、1640 RU
150 Wi-Fi AP
154 通信リンク
158 D2D通信リンク
161、432、608 AMF
162、436 SMF
163、438 UPF
164、440 UDM
165 GMLC
166 LMF
168 ロケーションサーバ
170 衛星測位システム(SPS)
182、184 ビームフォーミングされた信号
190 オープンクラウド(O-Cloud)
198 UEセキュリティハンドリング構成要素
199、497 ネットワークセキュリティハンドリング構成要素
316、368 TXプロセッサ
318Tx、354Tx 送信機
318Rx、354Rx 受信機
320、352、1180、1680 アンテナ
356、370 RXプロセッサ
358、374 チャネル推定器
359、375 コントローラ/プロセッサ
360、376 メモリ
402a 第1のネットワークノード、ネットワークノード
402b 第2のネットワークノード、ネットワークノード
406 地理的カバレージエリア
408 通信リンク
410 EPC
412、606 MME
414 他のMME
416 サービングゲートウェイ
418 MBMS GW
420 BM-SC
422 PDNゲートウェイ
424 HSS
426、442 IPサービス
434 他のAMF
452 第1のバックホールリンク
454 第2のバックホールリンク
456 第3のバックホールリンク
500 第1のセキュリティコンテキスト
502 マスターセキュリティ鍵
504 KSI
506 UEセキュリティ能力
508 アップリンクNASカウント
510 ダウンリンクNASカウント
520 第2のセキュリティコンテキスト
522 5G鍵
524 5G KSI
526 5G UEセキュリティ能力
528 5GアップリンクNASカウント
530 5GダウンリンクNASカウント
540 第3のセキュリティコンテキスト
542 EPS鍵
544 EPS KSI
546 EPS UEセキュリティ能力
548 EPSアップリンクNASカウント
550 EPSダウンリンクNASカウント
602 ネットワークノード
607 EPSネットワーク
609 5Gネットワーク
610 第1のTAU要求メッセージ
612 マッピングされたEPS GUTI
613 TMSI
614 NAS-MAC
616 eKSIパラメータ
622 コンテキスト要求メッセージ
636 マッピングされたEPSセキュリティコンテキスト
638 コンテキスト応答メッセージ
642 UEマッピングされたEPSセキュリティコンテキスト、マッピングされたEPSセキュリティコンテキスト
660 NAS SMCプロシージャ
662 TAU受付メッセージ
666 TAU完了メッセージ
670 第2のTAU要求メッセージ
674 第2のコンテキスト要求メッセージ
682 新しいUEマッピングされたEPSセキュリティコンテキスト
690 5Gセキュリティコンテキスト
692 5G NASセキュリティコンテキスト
694 セキュリティアルゴリズム情報
1102、1602、1760 ネットワークエンティティ
1104 装置
1106 アプリケーションプロセッサ
1106'、1124'、1612'、1632'、1642'、1712' オンチップメモリ
1108 セキュアデジタル(SD)カード
1110 スクリーン
1112 Bluetoothモジュール
1114 WLANモジュール
1116 SPSモジュール
1118 センサーモジュール
1120 加入者識別モジュール(SIM)カード
1122 セルラーRFトランシーバ
1124 セルラーベースバンドプロセッサ
1126、1614、1634、1644、1714 追加のメモリモジュール
1130 電源
1132 カメラ
1612 CUプロセッサ
1618、1638、1648 通信インターフェース
1632 DUプロセッサ
1642 RUプロセッサ
1646 トランシーバ
1712 ネットワークプロセッサ
1780 ネットワークインターフェース

Claims (30)

  1. ユーザ機器(UE)におけるワイヤレス通信のための装置であって、
    メモリと、
    前記メモリに結合された少なくとも1つのプロセッサと
    を備え、前記メモリに結合された前記少なくとも1つのプロセッサが、
    第1のネットワークエンティティに第1のトラッキングエリア更新(TAU)要求を送信することであって、前記第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、前記第1のTAU要求が、前記第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、前記第1のTAU要求が、前記第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、こと、
    前記第1のネットワークエンティティに第2のTAU要求を送信することであって、前記第2のTAU要求が前記情報の第1のセットを含み、前記第2のTAU要求が、第2のアップリンクカウントを使用して完全性保護される、こと、
    前記第1のセキュリティコンテキスト、および前記第1のアップリンクカウントまたは前記第2のアップリンクカウントのうちの少なくとも1つに基づいて、マッピングされたセキュリティコンテキストを導出すること、ならびに
    前記マッピングされたセキュリティコンテキストに基づいて、前記第1のネットワークエンティティと通信すること
    を行うように構成される、装置。
  2. 前記装置が、
    前記少なくとも1つのプロセッサに結合された少なくとも1つのアンテナをさらに備え、前記メモリに結合された前記少なくとも1つのプロセッサが、前記第2のRATに関連付けられた第2のセルに接続するために、前記第1のRATに関連付けられた第1のセルからの変更を実行するとき、前記第1のTAU要求を送信することであって、前記第2のRATが前記第1のRATとは異なり、前記第1のネットワークエンティティが、前記第2のRATに関連付けられる、ことを行うように構成される、請求項1に記載の装置。
  3. 前記第2のTAU要求が、前記第1のTAU要求の反復を含み、前記第2のアップリンクカウントが、前記第1のアップリンクカウントと同じ値である、請求項2に記載の装置。
  4. 前記メモリに結合された前記少なくとも1つのプロセッサが、無線リンク障害の発生に基づいて、前記第2のTAU要求を送信するように構成される、請求項3に記載の装置。
  5. 前記マッピングされたセキュリティコンテキストが、前記第2のRATに関連付けられる、請求項2に記載の装置。
  6. 前記第2のアップリンクカウントが、前記第1のアップリンクカウントとは異なり、前記マッピングされたセキュリティコンテキストが、第1のマッピングされたセキュリティコンテキストであり、前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記第1のセキュリティコンテキストおよび前記第1のアップリンクカウントに基づいて、第2のマッピングされたセキュリティコンテキストを導出することであって、前記第2のTAU要求が、前記第1のセキュリティコンテキストを使用して符号化され、前記第2のアップリンクカウントを使用して完全性保護され、前記第1のマッピングされたセキュリティコンテキストが、前記第1のセキュリティコンテキストおよび前記第2のアップリンクカウントに基づいて導出される、こと
    を行うようにさらに構成される、請求項1に記載の装置。
  7. 前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記第1のマッピングされたセキュリティコンテキストの導出に基づいて、前記第2のマッピングされたセキュリティコンテキストから前記第1のマッピングされたセキュリティコンテキストに、前記UEのセキュリティコンテキストを更新すること、および
    前記UEの前記セキュリティコンテキストを更新した後、前記第2のマッピングされたセキュリティコンテキストを使用して完全性保護される保留中の送信を破棄すること
    を行うようにさらに構成される、請求項6に記載の装置。
  8. 前記第2のTAU要求が、前記第1のTAU要求の反復を含む、請求項6に記載の装置。
  9. ユーザ機器(UE)におけるワイヤレス通信のための装置であって、
    メモリと、
    前記メモリに結合された少なくとも1つのプロセッサと
    を備え、前記メモリに結合された前記少なくとも1つのプロセッサが、
    第1の無線アクセス技術(RAT)とは異なる第2のRATに関連付けられた第2のセルに接続するために、前記第1のRATに関連付けられた第1のセルからの変更を実行するとき、第1のネットワークエンティティに第1のトラッキングエリア更新(TAU)要求を送信することであって、前記第1のネットワークエンティティが前記第2のRATに関連付けられ、前記第1のTAU要求が、前記第1のRATに関連付けられた第1のセキュリティコンテキストを使用して符号化され、前記第1のTAU要求が、前記第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護される、こと、
    前記第1のセキュリティコンテキスト、前記第1のアップリンクカウント、および第1のマッピングされたセキュリティコンテキストに基づいて、第1の完全性鍵を導出すること、
    前記第1のネットワークエンティティに前記第1のTAU要求の反復を送信することであって、前記第1のTAU要求の前記反復が、前記第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、こと、
    前記第1のセキュリティコンテキスト、前記第2のアップリンクカウント、および第2のマッピングされたセキュリティコンテキストに基づいて、第2の完全性鍵を導出すること、
    前記第1のネットワークエンティティからダウンリンク送信を受信すること、
    前記第1の完全性鍵および前記第2の完全性鍵のうちの少なくとも1つを使用して、前記ダウンリンク送信における完全性検査を実行すること、ならびに
    導出された完全性鍵を使用して、前記ダウンリンク送信における前記完全性検査が成功するとき、前記UEのマスターセキュリティ鍵を設定することであって、前記マスターセキュリティ鍵が、前記導出された完全性鍵を導出するために使用された、前記第1のマッピングされたセキュリティコンテキストまたは前記第2のマッピングされたセキュリティコンテキストに基づいて設定される、こと
    を行うように構成される、装置。
  10. 前記装置が、
    前記少なくとも1つのプロセッサに結合された少なくとも1つのアンテナ
    をさらに備え、前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記ダウンリンク送信における前記完全性検査が、前記第1の完全性鍵を使用して成功するとき、前記第2のマッピングされたセキュリティコンテキスト、および前記第2のマッピングされたセキュリティコンテキストを使用して導出されたいかなる鍵も消去すること
    を行うようにさらに構成され、
    前記マスターセキュリティ鍵が、前記第1のマッピングされたセキュリティコンテキストを含む、請求項9に記載の装置。
  11. 前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記ダウンリンク送信における前記完全性検査が、前記第2の完全性鍵を使用して成功するとき、前記第1のマッピングされたセキュリティコンテキスト、および前記第1のマッピングされたセキュリティコンテキストを使用して導出されたいかなる鍵も消去すること
    を行うようにさらに構成され、
    前記マスターセキュリティ鍵が、前記第2のマッピングされたセキュリティコンテキストを含む、請求項9に記載の装置。
  12. 前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記第1のセキュリティコンテキストおよび前記第1のアップリンクカウントに基づいて、前記第1のマッピングされたセキュリティコンテキストを導出すること
    を行うようにさらに構成される、請求項9に記載の装置。
  13. 第1のネットワークエンティティにおけるワイヤレス通信のための装置であって、
    メモリと、
    前記メモリに結合された少なくとも1つのプロセッサと
    を備え、前記メモリに結合された前記少なくとも1つのプロセッサが、
    ユーザ機器(UE)によって生成された第1のトラッキングエリア更新(TAU)要求を取得することであって、前記第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、前記第1のTAU要求が、前記第1のセキュリティコンテキストに基づいて、第1のアップリンクカウントを使用して完全性保護され、前記第1のTAU要求が、前記第1のネットワークエンティティに関連付けられた第2のRATにマッピングされた識別子を含む情報の第1のセットを含む、こと、
    前記第1のTAU要求に基づいて、第2のネットワークエンティティのための第1のコンテキスト要求を出力することであって、前記第2のネットワークエンティティが前記第1のRATに関連付けられる、こと、
    前記第1のコンテキスト要求に基づいて、第1のマッピングされたセキュリティコンテキストを取得することであって、前記第1のマッピングされたセキュリティコンテキストが、前記第1のセキュリティコンテキストおよび前記第1のアップリンクカウントから導出される、こと、
    第2のTAU要求を取得することであって、前記第2のTAU要求が、前記第1のセキュリティコンテキストを使用して符号化され、前記第2のTAU要求が、前記第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護され、前記第2のTAU要求が前記情報の第1のセットを含む、こと、
    前記第2のTAU要求に基づいて、前記第2のネットワークエンティティのための第2のコンテキスト要求を出力すること、
    前記第2のコンテキスト要求に基づいて、第2のマッピングされたセキュリティコンテキストを取得することであって、前記第2のマッピングされたセキュリティコンテキストが、前記第1のセキュリティコンテキストおよび前記第2のアップリンクカウントから導出される、こと、ならびに
    前記第2のマッピングされたセキュリティコンテキストに基づいて、ダウンリンクメッセージを出力すること
    を行うように構成される、装置。
  14. 前記第1のコンテキスト要求が、前記第2のRATにマッピングされた前記識別子を含み、前記第1のTAU要求が、前記第1のアップリンクカウントを使用して完全性保護される、請求項13に記載の装置。
  15. 前記装置が、
    前記少なくとも1つのプロセッサに結合された少なくとも1つのアンテナ
    をさらに備え、前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記第2のRATにマッピングされた前記識別子に基づいて、前記第2のネットワークエンティティのアドレスを導出すること
    を行うようにさらに構成される、請求項13に記載の装置。
  16. 前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記第2のマッピングされたセキュリティコンテキストを取得することに基づいて、前記第1のマッピングされたセキュリティコンテキストから前記第2のマッピングされたセキュリティコンテキストに、前記第1のネットワークエンティティのセキュリティコンテキストを更新すること、および
    前記第1のネットワークエンティティの前記セキュリティコンテキストを更新した後、前記第1のマッピングされたセキュリティコンテキストを使用して完全性保護される保留中のダウンリンク送信を破棄すること
    を行うようにさらに構成される、請求項13に記載の装置。
  17. 前記第2のTAU要求が、前記第1のTAU要求の反復を含む、請求項13に記載の装置。
  18. 前記第1のTAU要求が、N1モードからS1モードへの非システム間変更に基づいて取得され、前記UEが、シングル登録モードにおいて動作するように構成され、前記ダウンリンクメッセージが、TAU受付メッセージを含み、前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記ダウンリンクメッセージを再送すること
    を行うようにさらに構成される、請求項13に記載の装置。
  19. 前記メモリに結合された前記少なくとも1つのプロセッサが、
    TAU完了メッセージが前記UEから予想されるとき、T3450タイマーを再開すること、および
    前記T3450タイマーに関する再送信カウンタを増分することをスキップすること
    を行うようにさらに構成される、請求項18に記載の装置。
  20. 前記第1のTAU要求が、N1モードからS1モードへのシステム間変更に基づいて取得され、前記UEが、シングル登録モードにおいて動作するように構成され、前記ダウンリンクメッセージが、TAU受付メッセージを含み、前記メモリに結合された前記少なくとも1つのプロセッサが、
    認証プロシージャを開始すること、および
    新しい部分ネイティブ発展型パケットシステム(EPS)セキュリティコンテキストを現在の完全ネイティブEPSセキュリティコンテキストに移行させるために、セキュリティモード制御プロシージャを実行すること
    を行うようにさらに構成される、請求項13に記載の装置。
  21. 前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記セキュリティモード制御プロシージャが成功するとき、ダウンリンクメッセージ反復を出力することであって、前記ダウンリンクメッセージ反復が、前記現在の完全ネイティブEPSセキュリティコンテキストを使用して完全性保護される、こと、
    TAU完了メッセージが前記UEから予想されるとき、T3450タイマーを再開すること、および
    前記T3450タイマーに関する再送信カウンタを増分することをスキップすること
    を行うようにさらに構成される、請求項20に記載の装置。
  22. 前記第1のTAU要求が、N1モードからS1モードへの非システム間変更に基づいて取得され、前記UEが、シングル登録モードにおいて動作するように構成され、前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記第2のTAU要求に基づいて、TAUプロシージャの開始をスキップすること、および
    前記第1のマッピングされたセキュリティコンテキストに基づいて、前記ダウンリンクメッセージを完全性保護すること
    を行うようにさらに構成される、請求項13に記載の装置。
  23. 前記第1のTAU要求が、N1モードからS1モードへのシステム間変更に基づいて取得され、前記UEが、シングル登録モードにおいて動作するように構成され、前記メモリに結合された前記少なくとも1つのプロセッサが、
    第2のTAUプロシージャを開始することを決定することであって、
    前記第2のネットワークエンティティに前記第2のコンテキスト要求を出力すること、および
    前記第2のマッピングされたセキュリティコンテキストに基づいて、前記ダウンリンクメッセージを完全性保護すること
    を含む、こと
    を行うようにさらに構成される、請求項13に記載の装置。
  24. 前記第1のネットワークエンティティが、モビリティ管理エンティティ(MME)を含み、前記第2のネットワークエンティティが、アクセスおよびモビリティ管理機能(AMF)を含む、請求項13に記載の装置。
  25. 第2のネットワークエンティティにおけるワイヤレス通信のための装置であって、
    メモリと、
    前記メモリに結合された少なくとも1つのプロセッサと
    を備え、前記メモリに結合された前記少なくとも1つのプロセッサが、
    第1のコンテキスト要求を取得することであって、前記第1のコンテキスト要求が、ユーザ機器(UE)によって生成された少なくとも第1のトラッキングエリア更新(TAU)要求を含み、前記第1のTAU要求が、第1のアップリンクカウントを使用して完全性保護され、前記第1のTAU要求が、第1の無線アクセス技術(RAT)に関連付けられた第1のセキュリティコンテキストを使用して符号化され、前記第1のRATが、第1のネットワークエンティティに関連付けられた第2のRATとは異なる、こと、
    前記第1のTAU要求における第1の完全性検査が成功するとき、第1のマッピングされたセキュリティコンテキストを導出すること、
    前記第1のネットワークエンティティのための前記第1のマッピングされたセキュリティコンテキストを出力すること、
    第2のコンテキスト要求を取得することであって、前記第2のコンテキスト要求が、前記UEによって生成された少なくとも第2のTAU要求を含み、前記第2のTAU要求が、前記第1のアップリンクカウントとは異なる第2のアップリンクカウントを使用して完全性保護される、こと、
    前記第2のTAU要求における第2の完全性検査が成功するとき、第2のマッピングされたセキュリティコンテキストを導出すること、および
    前記第1のネットワークエンティティのための前記第2のマッピングされたセキュリティコンテキストを出力すること
    を行うように構成される、装置。
  26. 前記第1のコンテキスト要求が、前記第2のRATにマッピングされた識別子をさらに含む、請求項25に記載の装置。
  27. 前記第2のTAU要求が、前記第1のTAU要求の反復を含む、請求項25に記載の装置。
  28. 前記装置が、
    前記少なくとも1つのプロセッサに結合された少なくとも1つのアンテナ
    をさらに備え、前記メモリに結合された前記少なくとも1つのプロセッサが、
    前記第1のマッピングされたセキュリティコンテキストを出力した後、タイマーを開始すること、および
    前記タイマーが満了した後、前記第1のマッピングされたセキュリティコンテキストを消去すること
    を行うようにさらに構成される、請求項25に記載の装置。
  29. 前記少なくとも1つのプロセッサが、前記第1のセキュリティコンテキストに基づいて、前記第1のTAU要求における前記第1の完全性検査を実行するように構成される、請求項25に記載の装置。
  30. 前記第1のネットワークエンティティが、モビリティ管理エンティティ(MME)を含み、前記第2のネットワークエンティティが、アクセスおよびモビリティ管理機能(AMF)を含む、請求項25に記載の装置。
JP2023565953A 2021-05-12 2022-05-12 5gsからepcの再選択のセキュリティハンドリング Pending JP2024519200A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202163187784P 2021-05-12 2021-05-12
US63/187,784 2021-05-12
US17/662,978 2022-05-11
US17/662,978 US20220369176A1 (en) 2021-05-12 2022-05-11 Security handling of 5gs to epc reselection
PCT/US2022/029035 WO2022241144A1 (en) 2021-05-12 2022-05-12 Security handling of 5gs to epc reselection

Publications (1)

Publication Number Publication Date
JP2024519200A true JP2024519200A (ja) 2024-05-09

Family

ID=82163404

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023565953A Pending JP2024519200A (ja) 2021-05-12 2022-05-12 5gsからepcの再選択のセキュリティハンドリング

Country Status (5)

Country Link
EP (1) EP4338451A1 (ja)
JP (1) JP2024519200A (ja)
KR (1) KR20240007908A (ja)
TW (1) TW202249508A (ja)
WO (1) WO2022241144A1 (ja)

Also Published As

Publication number Publication date
EP4338451A1 (en) 2024-03-20
TW202249508A (zh) 2022-12-16
WO2022241144A1 (en) 2022-11-17
KR20240007908A (ko) 2024-01-17

Similar Documents

Publication Publication Date Title
US20230379692A1 (en) Managing ml processing model
US11558786B2 (en) Transmission of group handover message
US20220369176A1 (en) Security handling of 5gs to epc reselection
JP2024519200A (ja) 5gsからepcの再選択のセキュリティハンドリング
WO2024007186A1 (en) Techniques to facilitate avoiding rrc re-establishment
US20240049251A1 (en) Dynamic pdcch skipping for extended reality
US20230319929A1 (en) Rrc reestablishment between tn and ntn
US20230403610A1 (en) Multiplexing of multiple handover commands
US20240155456A1 (en) Determination of l2 reset in lower layer mobility
WO2024021046A1 (en) Method and apparatus of mobile-terminated small data transmission (mt-sdt)
US20240114420A1 (en) Conditional handover including target mcg and target scgs
US20240147325A1 (en) Pdu set information forwarding during mobility events
US20230396357A1 (en) Indication of network condition at a remote ue
WO2022261813A1 (en) Enhancement of user equipment location for non-3gpp access
US20240179554A1 (en) Nw assistance for measurement and mobility enhancement
WO2024092746A1 (en) Signaling to inform a network node a user equipment-to-user equipment link between a remote user equipment and a relay user equipment
US20230076119A1 (en) Multiple tb configuration in multi-pdsch grant
WO2024092602A1 (en) Beam reporting for a candidate cell in l1 and l2 mobility
US20230328719A1 (en) Semi-persistent waveform switching for uplink
CN117322025A (zh) 5gs至epc重选的安全性处置
WO2023206121A1 (en) L1 reporting enhancement in mtrp for predictive beam management
US20240154931A1 (en) Domain name system query handling for an edge application service
US20240114421A1 (en) Multiple secondary cell group configuration
US20220141656A1 (en) Handling of slices subject to network slice specific authentication and authorization procedure
WO2024118141A1 (en) Nw assistance for measurement and mobility enhancement