JP2024520916A - セキュリティ保護有効化方式を決定するための方法、通信方法、および通信装置 - Google Patents
セキュリティ保護有効化方式を決定するための方法、通信方法、および通信装置 Download PDFInfo
- Publication number
- JP2024520916A JP2024520916A JP2023569905A JP2023569905A JP2024520916A JP 2024520916 A JP2024520916 A JP 2024520916A JP 2023569905 A JP2023569905 A JP 2023569905A JP 2023569905 A JP2023569905 A JP 2023569905A JP 2024520916 A JP2024520916 A JP 2024520916A
- Authority
- JP
- Japan
- Prior art keywords
- security protection
- terminal device
- policy
- network element
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 577
- 238000004891 communication Methods 0.000 title claims abstract description 448
- 230000004913 activation Effects 0.000 title claims description 197
- 230000008859 change Effects 0.000 claims abstract description 78
- 230000008569 process Effects 0.000 claims abstract description 50
- 230000006870 function Effects 0.000 claims description 378
- 238000001514 detection method Methods 0.000 claims description 311
- 238000012545 processing Methods 0.000 claims description 100
- 230000015654 memory Effects 0.000 claims description 63
- 238000004590 computer program Methods 0.000 claims description 17
- 230000003213 activating effect Effects 0.000 claims description 5
- 238000007726 management method Methods 0.000 description 206
- 230000004044 response Effects 0.000 description 24
- 230000011664 signaling Effects 0.000 description 13
- 238000013461 design Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 6
- 238000013523 data management Methods 0.000 description 5
- 238000013507 mapping Methods 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本出願は、セキュリティ保護有効化方式を決定するための方法、通信方法、および通信装置を提供する。本方法は、次のことを含み得る。すなわち、第一の端末機器が、コア・ネットワーク要素から第一の識別子を受信し、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用されること。第一の端末機器が、サービスのために第二の端末機器との接続を確立するプロセスにおいて、第一の端末機器が、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定すること。および、第一の端末機器は、第一の情報を第二の端末機器に送信し、第一の情報は、接続に対してセキュリティ保護を有効にするか否かを示すこと。前述の方法によれば、二つの端末機器は、接続を正常に確立することができる。
Description
本出願は、通信分野に関し、より具体的には、セキュリティ保護有効化方式を決定するための方法、通信方法、および通信装置に関する。
本出願は、2021年5月13日に中国国家知識産権局に出願され、「セキュリティ保護有効化方式を決定するための方法、通信方法、および通信装置」と題される中国特許出願第202110524279.3号に対する優先権を主張しており、本出願は、その全体を参照することにより、本明細書に組み込まれる。
第五世代(5G)の近接ベースのサービス(ProSe)については、ポリシー制御機能(PCF)が、地理的に異なる場所におけるProSeサービスのセキュリティ保護ポリシーを端末機器に送信する。ProSe手順では、検出手順は、相手側の端末機器を検出するためのみに使用される。検出手順の後に、PC5ユニキャスト接続確立手順を実行する必要がある。
しかしながら、検出手順の後のPC5ユニキャスト接続確立手順では、二つの端末機器が地理的に異なる場所に配置される場合、二つの端末機器によって使用されるセキュリティ保護ポリシーが一致しないことがある。二つの端末機器のセキュリティ保護ポリシーが一致しない場合、受信側の端末機器は、ユニキャスト接続の確立を拒否する。その結果、ユニキャスト接続の確立は失敗する。
本出願は、二つの端末機器が正常に接続を確立することができるように、セキュリティ保護有効化方式を決定するための方法を提供する。
第一の態様によれば、セキュリティ保護有効化方式を決定するための方法が提供される。本方法は、次のことを含む。すなわち、第一の端末機器が、コア・ネットワーク要素から第一の識別子を受信し、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用されること。第一の端末機器が第二の端末機器とのサービス用接続を確立するプロセスにおいて、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定すること。および、第一の端末機器が、第一の情報を第二の端末機器に送信し、第一の情報は、接続に対してセキュリティ保護を有効にするか否かを示すこと。
前述の技術的解決策に基づいて、第一の端末機器が第二の端末機器とのサービス用接続を確立するプロセスにおいて、第一の端末機器は、二つの端末機器のセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定する代わりに、第一の識別子に基づいて、サービス用接続に対してセキュリティ保護を有効にするか否かを決定し得る。これにより、二つの端末機器のセキュリティ保護ポリシーが一致しない場合に、接続に対するセキュリティ保護を有効にするか否かを正常に判定することができない事態を回避することができ、接続確立の失敗によって引き起こされる、シグナリングの無駄をさらに回避することができる。
例えば、コア・ネットワーク要素は、ポリシー制御機能ネットワーク要素、または直接通信検出名称管理機能ネットワーク要素などである。
例えば、第一の識別子は、次のことのうちの一つまたは複数である。すなわち、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および第一の指示情報。ここで、第一の指示情報は、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。
可能な実装では、第一の識別子は第一の指示情報であり、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。すなわち、第一の端末機器は、第一の指示情報に基づいて、第一のセキュリティ保護ポリシーおよび第二のセキュリティ保護ポリシーのうちセキュリティレベルがより高いセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定し、第一のセキュリティ保護ポリシーは、サービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーである。
第二のセキュリティ保護ポリシーは、第二の端末機器によって第一の端末機器に送信される。例えば、接続を確立するプロセスにおいて、第二の端末機器は、直接通信要求メッセージを第一の端末機器に送信し、直接通信要求メッセージは、第二のセキュリティ保護ポリシーを含む。別の例として、接続を確立するプロセスにおいて、第二の端末機器は、直接セキュリティモードコマンド完了メッセージを第一の端末機器に送信し、直接セキュリティモードコマンド完了メッセージは、第二セキュリティ保護ポリシーを含む。
別の可能な実装では、第一の識別子は第一の指示情報であり、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定することは、次のことを含む。すなわち、第一の端末機器は、第一の指示情報に基づいて、第一のセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定することであって、第一のセキュリティ保護ポリシーは、サービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであること。
前述の技術的解決策に基づいて、第一の端末機器は、第一の指示情報に基づいて、第一のセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定し、これにより、第一の端末機器の処理ロジックがより簡単になり、第一の端末機器の処理効率を向上させることができる。
別の可能な実装では、第一の識別子は新たなセキュリティ保護ポリシーであり、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。すなわち、第一の端末機器は、新たなセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定する。
前述の技術的解決策に基づいて、第一の端末機器は、第一の指示情報に基づいて、新たなセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定し、これにより、第一の端末機器の処理ロジックがより単純になり、第一の端末機器の処理効率を向上させることができる。
別の可能な実装では、第一の識別子は新たなセキュリティ保護有効化方式であり、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定することは、次のことを含む。第一の端末機器は、新たなセキュリティ保護有効化方式に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定すること。
前述の技術的解決策に基づいて、第一の端末機器は、第一の指示情報および新たなセキュリティ保護有効化方式に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定し、これにより、第一の端末機器の処理ロジックがより単純になり、第一の端末機器の処理効率を向上させることができる。
第一の態様に関し、第一の態様の幾つかの実装では、第一の端末機器が、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定することは、次のことを含む。すなわち、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しない場合、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定することであって、第一のセキュリティ保護ポリシーは、サービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーであること。
第一の態様に関し、第一の態様の幾つかの実装では、第一の端末機器が、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定することは、次のことを含む。すなわち、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行うと判定される場合、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定すること。
前述の技術的解決策に基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行うと判定される場合、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。これにより、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行わないために引き起こされる接続確立の失敗を回避することができる。
可能な実装では、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行うと判定するための方法は、次のことを含む。すなわち、第一の端末機器は、サービスの検出手順において、第二の端末機器からサービス検出コードを受信することであって、サービス検出コードは第一の識別子に対応し、第一の端末機器は、サービス検出コードに基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行うと決定すること。
別の可能な実装では、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行うと決定する方法は、次のことを含む。すなわち、第一の端末機器は、接続を確立するプロセスにおいて、第二の端末機器から第一のメッセージを受信するが、第一のメッセージは第一の識別子を含み、第一の端末機器は、第一の識別子に基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行うと決定すること。
第一の態様に関し、第一の態様の幾つかの実装では、コア・ネットワーク要素は、第一の直接通信検出名称管理機能ネットワーク要素であり、第一の識別子はサービス検出コードに対応し、本方法は、次のことをさらに含む。すなわち、第一の端末機器は、第一の直接通信検出名称管理機能ネットワーク要素からサービス検出コードを受信すること。
第一の直接通信検出名称管理機能ネットワーク要素は、第一の端末機器に対してサービスを提供する。
前述の技術的解決策に基づいて、第一の端末機器によって取得される第一の識別子は、サービス検出コードに対応し、これにより、前記第一の端末機器は、サービス検出コードに基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行うか否かを決定する。
第二の態様によれば、セキュリティ保護有効化方式を決定するための方法が提供される。本方法は、次のことを含む。すなわち、第二の端末機器が、コア・ネットワーク要素から第一の識別子を受信することであって、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用されること。第二の端末機器が第一の端末機器とのサービス用接続を確立するプロセスにおいて、第二の端末機器は、第一の識別子を第一の端末機器に送信すること。第二の端末機器は、第一の端末機器から第一の情報を受信することであって、第一の情報は、接続に対してセキュリティ保護を有効にするか否かを示し、第一の情報は、第一の識別子に基づいて第一の端末機器によって決定されること。および、第二の端末機器は、第一の情報に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定すること。
前述の技術的解決策に基づいて、第二の端末機器は、第一の識別子を第一の端末機器に送信する。これは、第一の端末機器は、第一の識別子に基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行うと判定することに役立ち、これにより、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを判定することができる。
第三の態様によれば、セキュリティ保護有効化方式を決定するための方法が提供される。本方法は、次のことを含む。すなわち、第二の端末機器は、コア・ネットワーク要素から第一の識別子を受信することであって、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用され、第一の識別子は、サービス検出コードに対応し、第二の端末機器は、サービスの検出手順において第一の端末機器にサービス検出コードを送信すること。第二の端末機器がサービスのために第一の端末機器との接続を確立するプロセスにおいて、第二の端末機器は、第一の端末機器から第一の情報を受信することであって、第一の情報は、接続に対してセキュリティ保護を有効にするか否かを示し、第一の情報は、第一の識別子に基づいて第一の端末機器によって決定されること。および、第二の端末機器は、第一の情報に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定すること。
前述の技術的解決策に基づいて、第二の端末機器は、第一の識別子に対応するサービス検出コードを第一の端末機器に送信する。これは、第一の端末機器が、サービス検出コードに基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的な変更のサポートを行うと判定することに役立ち、これにより、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを判定することができる。
例えば、コア・ネットワーク要素は、ポリシー制御機能ネットワーク要素、または直接通信検出名称管理機能ネットワーク要素などである。
例えば、第一の識別子は、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および第一の指示情報のうちの一つまたは複数であるが、第一の指示情報は、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。
第二の態様または第三の態様に関し、第二の態様または第三の態様の幾つかの実装では、第二の端末装置は、接続に対するセキュリティ保護有効化方式が第二のセキュリティ保護ポリシーに一致するかどうかを確認しないが、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーである。
前述の技術的解決策に基づいて、第二の端末機器は、接続にするセキュリティ保護有効化方式がローカル端のセキュリティ保護ポリシーと一致するかどうかを確認しなくてよく、これにより、第二の端末機器の処理リソースを節約することができる。
第二の態様または第三の態様に関し、第二の態様または第三の態様の幾つかの実装では、第一の情報は、第一の識別子をさらに含む。
前述の技術的解決策に基づいて、第二の端末機器は、第一の情報に含まれる第一の識別子に基づいて、接続に対するセキュリティ保護有効化方式が第一の識別子に基づいて決定されることを決定し得る。
第四の態様によれば、通信方法が提供される。本方法は、次のことを含む。すなわち、第一のコア・ネットワーク要素が、第一のサービスのセキュリティ保護ポリシー構成および第二の指示情報に基づいて、第一の識別子を決定することであって、第二の指示情報は、第一のサービスのセキュリティ保護ポリシーが接続確立中に強制的に変更することが可能であり、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用されること。および、第一のコア・ネットワーク要素は、第一の識別子を端末機器に送信すること。
前述の技術的解決策に基づいて、第一のサービスのセキュリティ保護ポリシー構成および第二の指示情報に基づいて第一の識別子を決定した後、コア・ネットワーク要素は、第一の識別子を端末機器に送信する。これは、端末機器が第一の識別子に基づいてセキュリティ保護ポリシーを変更することに役立つ。これにより、両端にある端末機器のセキュリティ保護ポリシーが一致しないために引き起こされる、第一のサービスの接続確立の失敗を回避することができる。
例えば、第一のコア・ネットワーク要素は、ポリシー制御機能ネットワーク要素、または直接通信検出名称管理機能ネットワーク要素などである。
第四の態様に関し、第四の態様の幾つかの実装では、第一のコア・ネットワーク要素が第一のサービスのセキュリティ保護ポリシー構成および第二の指示情報に基づいて第一の識別子を決定することは、次のことを含む。すなわち、セキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定される場合、第一のコア・ネットワーク要素は、セキュリティ保護ポリシー構成および第二の指示情報に基づいて第一の識別子を決定し、複数のセキュリティ保護ポリシーは、地理的に異なる場所にある第一のサービスのセキュリティ保護ポリシーを含むこと。
前述の技術的解決策に基づいて、セキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定される場合、第一のコア・ネットワーク要素は、第一の識別子を決定し、これにより、第一のコア・ネットワーク要素の処理リソースを節約することができる。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一のコア・ネットワーク要素は、第二のコア・ネットワーク要素から第二の指示情報を受信すること。
例えば、第一のコア・ネットワーク要素は、ポリシー制御機能ネットワーク要素であり、第二のコア・ネットワーク要素は、アプリケーション機能ネットワーク要素である。または、第一のコア・ネットワーク要素は、直接通信検出名称管理機能ネットワーク要素であり、第二のコア・ネットワーク要素は、ポリシー制御機能ネットワーク要素である。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一のコア・ネットワーク要素は、第一の要求メッセージを第二のコア・ネットワーク要素に送信することであって、第一の要求メッセージは、第二の指示情報を要求するために使用されること。
第四の態様に関し、第四の態様の幾つかの実装では、第一のコア・ネットワーク要素が第一の要求メッセージを第二のコア・ネットワーク要素に送信することは、次のことを含む。すなわち、セキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定される場合、第一のコア・ネットワーク要素は、第一の要求メッセージを第二のコア・ネットワーク要素に送信することであって、複数のセキュリティ保護ポリシーは、地理的に異なる場所にある第一のサービスのセキュリティ保護ポリシーを含むこと。
第四の態様に関し、第四の態様の幾つかの実装では、第一のコア・ネットワーク要素は、第二の直接通信検出名称管理機能ネットワーク要素であり、端末機器は、第二の端末機器であり、第一のコア・ネットワーク要素が第一の識別子を端末機器に送信することは、次のことを含む。すなわち、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないと判定される場合、第二の直接通信検出名称管理機能ネットワーク要素は、第一の識別子を第二の端末機器に送信することであって、第一のセキュリティ保護ポリシーは、第一のサービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、第一のサービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーであり、第一の端末機器は、第一のサービスのために第二の端末機器との接続を確立する端末機器であること。
第二の直接通信検出名称管理機能ネットワーク要素は、第二の端末機器にサービスを提供する。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第二の直接通信検出名称管理ネットワーク要素が、第一の直接通信検出名称管理ネットワーク要素から第一のセキュリティ保護ポリシーを受信すること。および、第二の直接通信検出名称管理ネットワーク要素が、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないと判定すること。
第一の直接通信検出名称管理機能ネットワーク要素は、第一の端末機器にサービスを提供する。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第二の直接通信検出名称管理ネットワーク要素が、第二のセキュリティ保護ポリシーを第一の直接通信検出名称管理ネットワーク要素に送信すること。および、第二の直接通信検出名称管理ネットワーク要素が、第一の直接通信検出名称管理ネットワーク要素から第三の指示情報を受信することであって、第三の指示情報は、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないことを示すこと。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさら含む。すなわち、第二の直接通信検出名称管理機能ネットワーク要素が、第二の端末機器の位置情報に基づいて、第二のセキュリティ保護ポリシーを決定すること。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第二の直接通信検出名称管理機能ネットワーク要素が、第二の端末機器から位置情報を受信すること。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第二の直接通信検出名称管理機能ネットワーク要素は、ゲートウェイ・モバイル・ロケーション・センターを作動させて、位置特定サービスを使用することによって位置情報を取得すること。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第二の直接通信検出名称管理機能ネットワーク要素が、第二の端末機器にサービスを提供するアクセスおよびモビリティ管理機能ネットワーク要素から第二の端末機器の位置情報を要求すること。
第四の態様に関し、第四の態様の幾つかの実装では、第一のコア・ネットワーク要素は、第一の直接通信検出名称管理機能ネットワーク要素であり、端末機器は、第一の端末機器であり、第一のコア・ネットワーク要素が第一の識別子を端末機器に送信することは、次のことを含む。すなわち、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないと判定される場合、第一の直接通信検出名称管理機能ネットワーク要素は、第一の識別子を第一の端末機器に送信することであって、第一のセキュリティ保護ポリシーは、第一のサービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、第一のサービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーであり、第二の端末機器は、第一のサービスのために第一の端末機器との接続を確立する端末機器であること。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理ネットワーク要素が、第二の直接通信検出名称管理ネットワーク要素から第二のセキュリティ保護ポリシーを受信すること。および、第一の直接通信検出名称管理ネットワーク要素が、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないと判定すること。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理ネットワーク要素は、第一のセキュリティ保護ポリシーを第二の直接通信検出名称管理ネットワーク要素に送信すること。および、第一の直接通信検出名称管理ネットワーク要素は、第二の直接通信検出名称管理ネットワーク要素から第三の指示情報を受信することであって、第三の指示情報は、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないことを示すこと。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理機能ネットワーク要素が、第一の端末機器の位置情報に基づいて、第一のセキュリティ保護ポリシーを決定すること。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理機能ネットワーク要素が、第一の端末機器から位置情報を受信すること。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理機能ネットワーク要素が、ゲートウェイ・モバイル・ロケーション・センターを作動させて、位置特定サービスを使用することによって位置情報を取得すること。
第四の態様に関し、第四の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理機能ネットワーク要素が、第一の端末機器にサービスを提供するアクセスおよびモビリティ管理機能ネットワーク要素から第一の端末機器の位置情報を要求すること。
第四の態様に関し、第四の態様の幾つかの実装では、第一のコア・ネットワーク要素は、直接通信検出名称管理機能ネットワーク要素であり、第一の識別子は、直接通信検出メッセージにて伝送される。
第五の態様によれば、通信方法が提供される。本方法は、次のことを含む。すなわち、アプリケーション機能ネットワーク要素が、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なることを決定するが、複数のセキュリティ保護ポリシーには、地理的に異なる場所にある第一のサービスのセキュリティ保護ポリシーが含まれること。および、アプリケーション機能ネットワーク要素が、第二の指示情報をポリシー制御機能ネットワーク要素に送信することであって、第二の指示情報は、第一のサービスのセキュリティ保護ポリシーが接続確立中に強制的に変更することが可能であることを示すこと。
前述の技術的解決策に基づいて、アプリケーション機能ネットワーク要素は、第二の指示情報をポリシー制御機能ネットワーク要素に送信し、これにより、ポリシー制御機能ネットワーク要素は、第二の指示情報に基づいて第一の識別子を決定する。
第五の態様に関し、第五の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、アプリケーション機能ネットワーク要素が、ポリシー制御機能ネットワーク要素から第一の要求メッセージを受信することであって、第一の要求メッセージは、第二の指示情報を要求するために使用されること。および、アプリケーション機能ネットワーク要素は、第一の要求メッセージに基づいて、第二の指示情報をポリシー制御機能ネットワーク要素に送信すること。
第六の態様によれば、通信方法が提供される。本方法は、次のことを含む。すなわち、第二の直接通信検出名称管理ネットワーク要素が、第二の要求メッセージを第一の直接通信検出名称管理ネットワーク要素に送信することであって、第二の要求メッセージは、第一の識別子の取得を要求するために使用され、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用されること。第二の直接通信検出名称管理ネットワーク要素が、第一の直接通信検出名称管理ネットワーク要素から第二のメッセージを受信することであって、第二のメッセージは、第一の識別子を含むこと。および、第二の直接通信検出名称管理ネットワーク要素が、第一の識別子を第二の端末機器に送信すること。
第二の直接通信検出名称管理機能ネットワーク要素は、第二の端末機器にサービスを提供する。第一の直接通信検出名称管理機能ネットワーク要素は、第一の端末機器にサービスを提供する。第一の端末機器は、第二の端末機器と接続を確立する端末機器である。
前述の技術的解決策に基づいて、第一の識別子を取得した後、第二の直接通信検出名称管理機能ネットワーク要素は、第一の識別子を第二の端末機器に送信する。これは、端末機器が第一の識別子に基づいてセキュリティ保護ポリシーを変更するのに役立つ。これにより、両端にある端末機器のセキュリティ保護ポリシーが一致しないために引き起こされる、第一のサービスの接続確立の失敗を回避することができる。
例えば、第一の識別子は、次のことのうちの一つまたは複数である。すなわち、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および第一の指示情報。ここで、第一の指示情報は、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。
第六の態様に関し、第六の態様の幾つかの実装では、第二の要求メッセージは、第二のセキュリティ保護ポリシーを含み、第二のメッセージは、サービス検出コードおよび/または第三の指示情報をさらに含み、第三の指示情報は、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致せず、サービス検出コードは、第一の識別子に対応することを示す。第一のセキュリティ保護ポリシーは、サービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーであり、第一の端末機器は、サービスのために第二の端末機器との接続を確立する端末機器である。
第六の態様に関し、第六の態様の幾つかの実装では、第二の直接通信検出名称管理ネットワーク要素が第一の識別子を第二の端末機器に送信することは、次のことを含む。すなわち、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないと判定される場合、第二の直接通信検出名称管理機能ネットワーク要素は、第一の識別子を第二の端末機器に送信することであって、第一のセキュリティ保護ポリシーは、サービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーであり、第一の端末機器は、サービスのために第二の端末機器との接続を確立する端末機器であること。
第六の態様に関し、第六の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第二の直接通信検出名称管理ネットワーク要素が、第一の直接通信検出名称管理ネットワーク要素から第一のセキュリティ保護ポリシーを受信すること。および、第二の直接通信検出名称管理ネットワーク要素は、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないと判定すること。
第六の態様に関し、第六の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第二の直接通信検出名称管理ネットワーク要素が、第二のセキュリティ保護ポリシーを第一の直接通信検出名称管理ネットワーク要素に送信すること。および、第二の直接通信検出名称管理ネットワーク要素が、第一の直接通信検出名称管理ネットワーク要素から第三の指示情報を受信することであって、第三の指示情報は、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないことを示すこと。
第六の態様に関し、第六の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理機能ネットワーク要素が、第一の端末機器の位置情報に基づいて、第一のセキュリティ保護ポリシーを決定すること。
第六の態様に関し、第六の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理機能ネットワーク要素が、第一の端末機器から位置情報を受信すること。
第六の態様に関し、第六の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理機能ネットワーク要素が、ゲートウェイ・モバイル・ロケーション・センターを作動させて、位置特定サービスを使用することによって位置情報を取得すること。
第六の態様に関し、第六の態様の幾つかの実装では、本方法は、次のことをさらに含む。すなわち、第一の直接通信検出名称管理機能ネットワーク要素が、第一の端末機器にサービスを提供するアクセスおよびモビリティ管理機能ネットワーク要素から第一の端末機器の位置情報を要求すること。
第六の態様に関し、第六の態様の幾つかの実装では、第一の識別子は、直接通信検出メッセージにて伝送される。
第七の態様によれば、通信装置が提供される。本通信装置は、送受信ユニットおよび処理ユニットを含む。この送受信ユニットは、コア・ネットワーク要素から第一の識別子を受信するように構成されるが、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用される。本通信装置がサービスのために第二の端末機器との接続を確立するプロセスにおいて、処理ユニットは、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定するように構成される。送受信ユニットは、第一の情報を第二の端末機器に送信するように構成されるが、第一の情報は、接続に対してセキュリティ保護を有効にするか否かを示す。
例えば、コア・ネットワーク要素は、ポリシー制御機能ネットワーク要素、または直接通信検出名称管理機能ネットワーク要素などである。
例えば、第一の識別子は、次のことのうちの一つまたは複数である。すなわち、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および第一の指示情報。ここで、第一の指示情報は、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。
可能な実装では、第一の識別子は、第一の指示情報であり、処理ユニットは、第一の指示情報に基づいて、かつ、第一のセキュリティ保護および第二のセキュリティ保護ポリシーにおけるより高いセキュリティレベルを有するセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定するように、具体的に構成されるが、第一のセキュリティ保護ポリシーは、サービスにおいて通信装置によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーである。
別の可能な実装では、第一の識別子は、第一の指示情報であり、処理ユニットは、第一の指示情報に基づいて、かつ、第一のセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定するように、具体的に構成されるが、第一のセキュリティ保護ポリシーは、サービスにおいて通信装置によって使用されるセキュリティ保護ポリシーである。
別の可能な実装では、第一の識別子は、新たなセキュリティ保護ポリシーであり、処理ユニットは、新たなセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定するように、具体的に構成される。
別の可能な実装では、第一の識別子は、新たなセキュリティ保護有効化方式であり、処理ユニットは、新たなセキュリティ保護有効化方式に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定するように、具体的に構成される。
第七の態様に関し、第七の態様の幾つかの実装では、処理ユニットは、次のことを行うように、具体的に構成される。すなわち、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しない場合、第一の識別子に基づいて、接続に対してセキュリティ保護ポリシーを有効にするか否かを決定すること。ここで、第一のセキュリティ保護ポリシーは、サービスにおいて通信装置によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーである。
第七の態様に関し、第七の態様の幾つかの実装では、処理ユニットは、次のことを行うように、具体的に構成される。すなわち、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うと判定される場合、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定すること。
可能な実装では、送受信機ユニットは、サービスの検出手順において第二の端末機器からサービス検出コードを受信するようにさらに構成されが、サービス検出コードは、第一の識別子に対応する。処理ユニットは、サービス検出コードに基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うことを判定するようにさらに構成される。
別の可能な実装では、送受信ユニットは、接続を確立するプロセスにおいて、第二の端末機器から第一のメッセージを受信するようにさらに構成されるが、第一のメッセージは、第一の識別子を含む。処理ユニットは、第一の識別子に基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うことを判定するようにさらに構成される。
第七の態様に関し、第七の態様の幾つかの実装では、コア・ネットワーク要素は、第一の直接通信検出名称管理機能ネットワーク要素であり、第一の識別子は、サービス検出コードに対応し、送受信ユニットは、第一の直接通信検出名称管理機能ネットワーク要素からサービス検出コードを受信するようにさらに構成される。
第八の態様によれば、通信装置が提供される。本通信装置は、送受信ユニットおよび処理ユニットを含む。この送受信ユニットは、コア・ネットワーク要素から第一の識別子を受信するように構成されるが、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用される。通信装置がサービスのために第一の端末機器との接続を確立するプロセスにおいて、送受信ユニットは、第一の識別子を第一の端末機器に送信するようにさらに構成される。 送受信ユニットは、第一の端末機器から第一の情報を受信するようにさらに構成されるが、第一の情報は、接続に対してセキュリティ保護を有効にするか否かを示し、第一の情報は、第一の識別子に基づいて第一の端末機器によって決定される。処理ユニットは、第一の情報に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定するように構成される。
第九の態様によれば、通信装置が提供される。本通信装置は、送受信ユニットおよび処理ユニットを含む。この送受信ユニットは、コア・ネットワーク要素から第一の識別子を受信するように構成されるが、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用され、第一の識別子は、サービス検出コードに対応する。送受信ユニットは、サービスの検出手順においてサービス検出コードを第一の端末機器に送信するようにさらに構成される。本通信装置がサービスのために第一の端末機器との接続を確立するプロセスにおいて、送受信ユニットは、第一の端末機器から第一の情報を受信するようにさらに構成され、第一の情報は、接続に対してセキュリティ保護を有効にするか否かを示し、第一の情報は、第一の識別子に基づいて第一の端末機器によって決定される。処理ユニットは、第一の情報に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定するように構成される。
例えば、コア・ネットワーク要素は、ポリシー制御機能ネットワーク要素、または直接通信検出名称管理機能ネットワーク要素などである。
例えば、第一の識別子は、次のことのうちの一つまたは複数を含む。すなわち、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および第一の指示情報。ここで、第一の指示情報は、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。
第八の態様または第九の態様に関し、第八の態様または第九の態様の幾つかの実装では、本通信装置は、接続に対してセキュリティ保護有効化方式が第二のセキュリティ保護ポリシーに一致するかどうかを確認しないが、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーである。
第八の態様または第九の態様に関し、第八の態様または第九の態様の幾つかの実装では、第一の情報は、第一の識別子をさらに含む。
第十の態様によれば、通信装置が提供される。本通信装置は、送受信ユニットおよび処理ユニットを含む。この処理ユニットは、第一のサービスのセキュリティ保護ポリシー構成および第二の指示情報に基づいて、第一の識別子を決定するように構成されるが、第二の指示情報は、第一のサービスのセキュリティ保護ポリシーが接続確立中に強制的に変更することが可能であることを示し、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用される。送受信ユニットは、第一の識別子を端末機器に送信するように構成される。
例えば、本通信装置は、ポリシー制御機能ネットワーク要素、または直接通信検出名称管理機能ネットワーク要素などである。
第十の態様に関し、第十の態様の幾つかの実装では、処理ユニットは、次のことを実行するように具体的に構成される。すなわち、セキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定される場合、セキュリティ保護ポリシー構成および第二の指示情報に基づいて、第一の識別子を判定すること。ここで、複数のセキュリティ保護ポリシーは、地理的に異なる場所にある第一のサービスのセキュリティ保護ポリシーを含む。
第十の態様に関し、第十の態様の幾つかの実装では、送受信機ユニットは、第二のコア・ネットワーク要素から第二の指示情報を受信するようにさらに構成される。
例えば、本通信装置は、ポリシー制御機能ネットワーク要素であり、第二のコア・ネットワーク要素は、アプリケーション機能ネットワーク要素である。または、本通信装置は、直接通信検出名称管理機能ネットワーク要素であり、第二のコア・ネットワーク要素は、ポリシー制御機能ネットワーク要素である。
第十の態様に関し、第十の態様の幾つかの実装では、送受信機ユニットは、第一の要求メッセージを第二のコア・ネットワーク要素に送信するようにさらに構成されるが、第一の要求メッセージは、第二の指示情報を要求するために使用される。
第十の態様に関し、第十の態様の幾つかの実装では、送受信ユニットは、次のことを行うように具体的に構成される。すなわち、セキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定される場合、第一の要求メッセージを第二のコア・ネットワーク要素に送信すること。ここで、複数のセキュリティ保護ポリシーには、地理的に異なる場所にある第一のサービスのセキュリティ保護ポリシーが含まれる。
第十の態様に関し、第十の態様の幾つかの実装では、本通信装置は、第二の直接通信検出名称管理機能ネットワーク要素であり、端末機器は、第二の端末機器であり、送受信機ユニットは、次のことを行うように具体的に構成される。すなわち、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないと判定される場合、第一の識別子を第二の端末機器に送信すること。ここで、第一のセキュリティ保護ポリシーは、第一のサービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、第一のサービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーであり、第一の端末機器は、第一のサービスのために第二の端末機器との接続を確立する端末機器である。
第十の態様に関し、第十の態様の幾つかの実装では、送受信機ユニットは、第一の直接通信検出名称管理ネットワーク要素から第一のセキュリティ保護ポリシーを受信するようにさらに構成される。処理ユニットは、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないことを判定するようにさらに構成される。
第十の態様に関し、第十の態様の幾つかの実装では、送受信機ユニットは、第二のセキュリティ保護ポリシーを第一の直接通信検出名称管理ネットワーク要素に送信するようにさらに構成される。送受信ユニットは、第一の直接通信検出名称管理ネットワーク要素から第三の指示情報を受信するようにさらに構成されるが、第三の指示情報は、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないことを示す。
第十の態様に関し、第十の態様の幾つかの実装では、処理ユニットは、第二の端末機器の位置情報に基づいて、第二のセキュリティ保護ポリシーを決定するようにさらに構成される。
第十の態様に関し、第十の態様の幾つかの実装では、送受信ユニットは、第二の端末機器から位置情報を受信するようにさらに構成される。
第十の態様に関し、第十の態様の幾つかの実装では、処理ユニットは、ゲートウェイ・モバイル・ロケーション・センターを作動させて、位置特定サービスを使用することによって位置情報を取得するように構成される。
第十の態様に関し、第十の態様の幾つかの実装では、処理ユニットは、第二の端末機器にサービスを提供するアクセスおよびモビリティ管理機能ネットワーク要素から第二の端末機器の位置情報を要求するようにさらに構成される。
第十の態様に関し、第十の態様の幾つかの実装では、本通信装置は、第一の直接通信検出名称管理機能ネットワーク要素であり、端末機器は、第一の端末機器であり、送受信機ユニットは、次のことを行うように具体的に構成される。すなわち、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないと判定される場合、第一の識別子を第一の端末機器に送信すること。ここで、第一のセキュリティ保護ポリシーは、第一のサービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、第一のサービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーであり、第二の端末機器は、第一のサービスのために第一の端末機器との接続を確立する端末機器である。
第十の態様に関し、第十の態様の幾つかの実装では、送受信機ユニットは、第二の直接通信検出名称管理ネットワーク要素から第二のセキュリティ保護ポリシーを受信するようにさらに構成される。処理ユニットは、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないことを判定するようにさらに構成される。
第十の態様に関し、第十の態様の幾つかの実装では、送受信機ユニットは、第一のセキュリティ保護ポリシーを第二の直接通信検出名称管理ネットワーク要素に送信するようにさらに構成される。送受信ユニットは、第二の直接通信検出名称管理ネットワーク要素から第三の指示情報を受信するようにさらに構成されるが、第三の指示情報は、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないことを示す。
第十の態様に関し、第十の態様の幾つかの実装では、処理ユニットは、第一の端末機器の位置情報に基づいて、第一のセキュリティ保護ポリシーを決定するようにさらに構成される。
第十の態様に関し、第十の態様の幾つかの実装では、送受信ユニットは、第一の端末機器から位置情報を受信するようにさらに構成される。
第十の態様に関し、第十の態様の幾つかの実装では、処理ユニットは、ゲートウェイ・モバイル・ロケーション・センターゲートウェイ・モバイル・ロケーション・センターを作動させて、位置特定サービスを使用することによって位置情報を取得するようにさらに構成される。
第十の態様に関し、第十の態様の幾つかの実装では、処理ユニットは、第一の端末機器にサービスを提供するアクセスおよびモビリティ管理機能ネットワーク要素から第一の端末機器の位置情報を要求するようにさらに構成される。
第十の態様に関し、第十の態様の幾つかの実装では、本通信装置は、直接通信検出名称管理機能ネットワーク要素であり、第一の識別子は、直接通信検出メッセージにて伝送される。
第十一の態様によれば、通信装置が提供される。本通信装置は、送受信ユニットおよび処理ユニットを含む。この処理ユニットは、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なることを判定するように構成されるが、複数のセキュリティ保護ポリシーは、地理的に異なる場所にある第一のサービスのセキュリティ保護ポリシーを含む。送受信ユニットは、第二の指示情報をポリシー制御機能ネットワーク要素に送信するように構成されるが、第二の指示情報は、第一のサービスのセキュリティ保護ポリシーが接続確立中に強制的に変更することが可能であることを示す。
第十一の態様に関し、第十一の態様の幾つかの実装では、送受信機ユニットは、ポリシー制御機能ネットワーク要素から第一の要求メッセージを受信するようにさらに構成されが、第一の要求メッセージは、第二の指示情報を要求するために使用される。送受信ユニットは、第一の要求メッセージに基づいて第二の指示情報をポリシー制御機能ネットワーク要素に送信するように、具体的に構成される。
第十二の態様によれば、通信装置が提供される。本通信装置は、送受信ユニットを含む。この送受信機ユニットは、第二の要求メッセージを第一の直接通信検出名称管理ネットワーク要素に送信するように構成されるが、第二の要求メッセージは第一の識別子の取得を要求するために使用され、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用される。送受信機ユニットは、第一の直接通信検出名称管理ネットワーク要素から第二のメッセージを受信するようにさらに構成されるが、第二のメッセージは。第一の識別子を含む。送受信ユニットは、第一の識別子を第二の端末機器に送信するようにさらに構成される。
例えば、第一の識別子は、次のことのうちの一つまたは複数である。すなわち、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および第一の指示情報。ここで、第一の指示情報は、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。
第十二の態様に関し、第十二の態様の幾つかの実装では、第二の要求メッセージは、第二のセキュリティ保護ポリシーを含み、第二のメッセージは、サービス検出コードおよび/または第三の指示情報をさらに含み、第三の指示情報は、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致せず、サービス検出コードが第一の識別子に対応することを示す。第一のセキュリティ保護ポリシーは、サービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーであり、第一の端末機器は、 サービスのために第二の端末機器との接続を確立する。
第十二の態様に関し、第十二の態様の幾つかの実装では、送受信機ユニットは、次のことを行うように具体的に構成される。すなわち、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーに一致しないと判定される場合、第一の識別子を第二の端末機器に送信すること。ここで、第一のセキュリティ保護ポリシーは、サービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーであり、第二のセキュリティ保護ポリシーは、サービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーであり、第一の端末機器は、サービスのために第二 の端末機器との接続を確立する端末機器である。
第十二の態様に関し、第十二の態様の幾つかの実装では、送受信機ユニットは、第一の直接通信検出名称管理ネットワーク要素から第一のセキュリティ保護ポリシーを受信するようにさらに構成される。本通信装置は、処理ユニットをさらに含み、この処理ユニットは、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないことを判定するように構成される。
第十二の態様に関し、第十二の態様の幾つかの実装では、送受信機ユニットは、第二のセキュリティ保護ポリシーを第一の直接通信検出名称管理ネットワーク要素に送信するようにさらに構成される。送受信ユニットは、第一の直接通信検出名称管理ネットワーク要素から第三の指示情報を受信するようにさらに構成されるが、第三の指示情報は、第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないことを示す。
第十二の態様に関し、第十二の態様の幾つかの実装では、処理ユニットは、第一の端末機器の位置情報に基づいて、第一のセキュリティ保護ポリシーを決定するようにさらに構成される。
第十二の態様に関し、第十二の態様の幾つかの実装では、送受信ユニットは、第一の端末機器から位置情報を受信するようにさらに構成される。
第十二の態様に関し、第十二の態様の幾つかの実装では、処理ユニットは、ゲートウェイ・モバイル・ロケーション・センターを作動させて、位置特定サービスを使用することによって位置情報を取得するようにさらに構成される。
第十二の態様に関し、第十二の態様の幾つかの実装では、処理ユニットは、第一の端末機器にサービスを提供するアクセスおよびモビリティ管理機能ネットワーク要素から第一の端末機器の位置情報を要求するようにさらに構成される。
第十二の態様に関し、第十二の態様の幾つかの実装では、第一の識別子は、直接通信検出メッセージにて伝送される。
第十三の態様によれば、本出願は、プロセッサを含む通信装置を提供する。このプロセッサは、メモリに結合され、メモリ内の命令を実行して、第一の態様または第一の態様の可能な実装のうちの何れか一つにおける方法を実装するように構成され得る。本通信装置は、メモリをさらに含む。本通信装置は、通信インターフェースをさらに含み、プロセッサは、通信インターフェースに結合される。
一つの実装では、本通信装置は、第一の端末機器である。本通信装置が第一の端末機器である場合、通信インターフェースは、送受信機または入出力インターフェースであり得る。
別の実装では、本通信機器は、第一の端末機器に構成されるチップまたはチップシステムである。本通信装置が第一の端末機器に構成されるチップまたはチップシステムである場合、通信インターフェースは、入出力インターフェースであり得る。
送受信機は、送受信機回路とし得る。入出力インターフェースは、入出力回路として得る。
第十四の態様によれば、本出願は、プロセッサを含む通信装置を提供する。このプロセッサは、メモリに結合され、メモリ内の命令を実行して、第二の態様もしくは第二の態様の可能な実装うちのの何れか一つの方法を実装するか、または第三の態様もしくは第三の態様の可能な実装うちのの何れか一つの方法を実装するように構成され得る。本通信装置は、メモリをさらに含む。本通信装置は、通信インターフェースをさらに含み、プロセッサは、通信インターフェースに結合される。
一つの実装では、本通信装置は、第二の端末機器である。本通信装置が第二の端末機器である場合、通信インターフェースは、送受信機または入出力インターフェースであり得る。
別の実装では、本通信機器は、第二の端末機器に構成されるチップまたはチップシステムである。本通信装置が第二の端末機器に構成されるチップまたはチップシステムである場合、通信インターフェースは、入出力インターフェースであり得る。
送受信機は、送受信機回路とし得る。入出力インターフェースは、入出力回路とし得る。
第十五の態様によれば、本出願は、プロセッサを含む通信装置を提供する。このプロセッサは、メモリに結合され、メモリ内の命令を実行して、第四の態様または第四の態様の可能な実装のうちの何れか一つの方法を実装するように構成され得る。本通信装置は、メモリをさらに含む。本通信装置は、通信インターフェースをさらに含み、プロセッサは、通信インターフェースに結合される。
一つの実装では、本通信機器は、コア・ネットワーク要素である。本通信装置がコア・ネットワーク要素である場合、通信インターフェースは、送受信機または入出力インターフェースであり得る。
別の実装では、本通信機器は、コア・ネットワーク要素に構成されるチップまたはチップシステムである。本通信装置がコア・ネットワーク要素に構成されるチップまたはチップシステムである場合、通信インターフェースは、入出力インターフェースであり得る。
送受信機は、送受信機回路とし得る。入出力インターフェースは、入出力回路とし得る。
第十六の態様によれば、本出願は、プロセッサを含む通信装置を提供する。このプロセッサは、メモリに結合され、メモリ内の命令を実行して、第五の態様または第五の態様の可能な実装のうちの何れか一つの方法を実装するように構成され得る。本通信装置は、メモリをさらに含む。本通信装置は、通信インターフェースをさらに含み、プロセッサは、通信インターフェースに結合される。
一つの実装では、本通信機器は、アプリケーション機能ネットワーク要素である。本通信装置がアプリケーション機能ネットワーク要素である場合、通信インターフェースは、送受信機または入出力インターフェースであり得る。
別の実装では、本通信機器は、アプリケーション機能ネットワーク要素に構成されるチップまたはチップシステムである。本通信装置がアプリケーション機能ネットワーク要素に構成されるチップまたはチップシステムである場合、通信インターフェースは、入出力インターフェースであり得る。
送受信機は、送受信機回路とし得る。入出力インターフェースは、入出力回路とし得る。
第十七の態様によれば、本出願は、プロセッサを含む通信装置を提供する。このプロセッサは、メモリに結合され、メモリ内の命令を実行して、第六の態様または第六の態様の可能な実装のうちの何れか一つの方法を実装するように構成され得る。本通信装置は、メモリをさらに含む。本通信装置は、通信インターフェースをさらに含み、プロセッサは、通信インターフェースに結合される。
一つの実装では、本通信機器は、直接通信検出名称管理機能ネットワーク要素である。本通信装置が直接通信検出名称管理機能ネットワーク要素である場合、通信インターフェースは、送受信機または入出力インターフェースであり得る。
別の実装では、本通信機器は、直接通信検出名称管理機能ネットワーク要素に構成されるチップまたはチップシステムである。本通信装置が直接通信検出名称管理機能ネットワーク要素に構成されるチップまたはチップシステムである場合、通信インターフェースは、入出力インターフェースであり得る。
送受信機は、送受信機回路とし得る。入出力インターフェースは、入出力回路とし得る。
第十八の態様によれば、本出願は、入力回路、出力回路、および処理回路を含む、プロセッサを提供する。この処理回路は、入力回路を介して信号を受信し、出力回路を介して信号を送信するように構成され、これにより、プロセッサは、前述の態様における方法を実行する。
具体的な実装プロセスでは、プロセッサは、チップとし得て、入力回路は、入力ピンとし得て、出力回路は、出力ピンとし得て、処理回路は、トランジスタ、ゲート回路、トリガ、または各種論理回路などとし得る。入力回路によって受信される入力信号は、例えば、これに限定されないが、受信機によって受信および入力され得て、出力回路によって出力される信号は、例えば、これに限定されないが、送信機に出力され、送信機によって送信され得て、入力回路および出力回路は同じ回路であり得るが、回路は、異なる瞬間に入力回路および出力回路として使用される。プロセッサおよび各種回路の具体的な実装は、本出願の実施形態では限定されない。
第十九の態様によれば、本出願は、通信インターフェースおよびプロセッサを含む、処理装置を提供する。この通信インターフェースは、プロセッサに結合される。通信インターフェースは、情報を入力および/または出力するように構成される。この情報には、命令またはデータのうちの少なくとも一つが含まれる。プロセッサは、コンピュータプログラムを実行するように構成され、これにより、本処理装置は、前述の態様における方法を実行する。
第二十の態様によれば、本出願は、プロセッサおよびメモリを含む、処理装置を提供する。このプロセッサは、メモリに格納される命令を読み取り、受信機を使用することによって信号を受信し、送信機を使用することによって信号を送信するように構成され、これにより、本処理装置は、前述の態様における方法を実行する。
任意選択として、一つまたは複数のプロセッサが存在する。メモリがある場合、代替的に、一つまたは複数のメモリがあり得る。
任意選択として、メモリは、プロセッサと一体化されてもよいし、またはメモリおよびプロセッサは、別個に配置されてもよい。
具体的な実装プロセスでは、メモリは、読取専用メモリ(ROM)のような非一時的メモリとし得る。メモリおよびプロセッサは、一つのチップに集積されてもよいし、または異なるチップに分かれて配置されてもよい。メモリの種類、ならびにメモリおよびプロセッサが配置される方式は、本出願の本実施形態に限定されない。
関連情報交換プロセスでは、例えば、指示情報を送信するステップは、プロセッサから指示情報を出力するプロセスであり得て、指示情報を受信するステップは、受信される指示情報をプロセッサに入力するプロセスであり得ると理解されるべきである。具体的には、プロセッサによって出力される情報は、送信機に出力され得て、プロセッサによって受信される入力情報は、受信機からのものであり得る。送信機および受信機は、総称して送受信機と呼ばれることもある。
第十九の態様および第二十の態様における装置は、チップであり得る。プロセッサは、ハードウェアによって実装されてもよいし、またはソフトウェアによって実装されてもよい。プロセッサがハードウェアによって実現される場合、プロセッサは、論理回路、または集積回路などとし得る。プロセッサがソフトウェアによって実現される場合、プロセッサは、汎用プロセッサとし得て、メモリに格納されるソフトウェアコードを読み取ることによって実装される。メモリは、プロセッサに統合されてもよいし、またはプロセッサの外部に配置され、独立して存在してもよい。
第二十一の態様によれば、本出願は、コンピュータプログラム製品を提供する。本コンピュータプログラム製品には、コンピュータプログラム(コードまたは命令とも呼ばれる)が含まれる。このコンピュータプログラムが実行されると、コンピュータは、前述の態様における方法を実行することが可能になる。
第二十二の態様によれば、本出願は、コンピュータ可読記憶媒体を提供する。本コンピュータ可読記憶媒体は、コンピュータプログラム(コードまたは命令とも呼ばれる)を格納する。コンピュータ可読記憶媒体がコンピュータ上で実行されると、コンピュータは、前述の態様における方法を実行することが可能になる。
第二十三の態様によれば、本出願は、第一の端末機器および第二の端末機器を含む、または第一の端末機器および/もしくは第二の端末機器、コア・ネットワーク要素、およびアプリケーション機能ネットワーク要素を含む、通信システムを提供する。
以下に、添付の図面を参照して、本出願の技術的解決策を説明する。
本出願の実施形態における技術的解決策は、例えば、ロングタームエボリューション(LTE)システム、LTE周波数分割二重(FDD)システム、LTE時分割複信(TDD)システム、ユニバーサル移動体通信システム(UMTS)、マイクロ波アクセスのための世界的相互運用性(WiMAX)通信システム、5Gシステムまたは新無線(NR)、第六世代(6G)システム、または将来の移動体通信システムなどの、種々の通信システムに適用され得る。本出願における5G移動体通信システムには、非スタンドアロン(NSA)型5G移動体通信システムまたはスタンドアロン(スタンドアロン、SA)型5G移動体通信システムが含まれる。あるいは、通信システムは、公衆陸上移動体ネットワーク(PLMN)、機器間(D2D)通信システム、マシン間(M2M)通信システム、モノのインターネット(IoT)通信システム、または別の通信システムなどの、各種通信システムに適用され得る。
本出願の実施形態における技術的解決策の理解を容易にするために、最初に、本出願における幾つかの基本概念を簡単に説明する。
第一は、検出タイプである。
本出願の実施形態では、検出タイプには、オープン検出または制限付き検出が含まれる。オープン検出および制限付き検出の関連説明については、第三世代パートナーシッププロジェクト(3GPP)の技術標準(TS)23.303、v16.1.0を参照されたい。詳細については、本明細書では説明されない。例えば、端末機器が明確なゲームパートナーなしでゲームをプレイする場合、端末機器は、オープン検出を開始し、ゲームパートナーを「ランダムに」見付けることができる。端末機器がゲームをプレイするための明確なパートナーを有する場合、端末機器は、検出を制限することによってパートナーを「指定」し得る。端末機器によって指定されるパートナーのみがゲームにアクセスすることができ、他のパートナーは、ゲームにアクセスすることができない。
第二は、検出モデルである。
第四世代(4G)ProSe標準(3GPP技術仕様(TS)23.303、V16.0.0)では、モデルAおよびモデルBからなる二つの検出モデルが定義されている。モデルAおよびモデルBの違いは、検出の開始方式にある。
モデルAは「私はここにいる」ことを意味する。モデルAの検出プロセスにおいては、両端にあるユーザー装置(UE)は、それぞれ宣言型UEおよび監視型UEである。宣言型UEが「私はここにいる」のブロードキャストを行う。宣言型UEによるブロードキャストを受けるメッセージを受信した後、監視型UEは、監視型UEのサービス要件が満たされるかどうかに応じて、宣言型UEとの近接ベースのサービス接続を確立するかどうかを決定する。具体的には、ProSeパラメータを取得した後、宣言型UEは、宣言型UEが関心を有する近接ベースのサービスのブロードキャストを積極的に行う。監視型UEがProSeパラメータを取得した後、ProSeパラメータは、監視型UEが関心を有する近接ベースのサービスを監視するために使用される。換言すると、モデルAの検出プロセスでは、第一のメッセージは、宣言型UEによって開始され、宣言型UEからメッセージを受信した後、監視型UEは、監視型UEのサービス要件が満たされているかどうかに応じて、ユニキャスト確立手順の開始を続行するかどうかを決定する。
モデルBは、「誰が其処にいるのか/あなたは何処にいるのか?」ことを意味する。モデルBの検出手順では、両端にあるUEが、それぞれ検出先UEおよび検出元UEとなる。モデルBの検出手順では、第一のメッセージは、検出元UEによって開始されて、近接ベースのサービスを要求する。要求を受信した後、検出先UEは、検出先UEが近接ベースのサービスを提供することができるかどうかに応じて、要求メッセージに応答するかどうかを決定する。さらに、応答メッセージを受信した後、検出元UEは、ユニキャスト確立手順を開始する。
第三は、セキュリティ保護ポリシーおよびセキュリティ保護ポリシーの一致である。
セキュリティ保護ポリシーは、セキュリティ保護を有効にするか否かを記述するために使用されるポリシーであり、セキュリティ保護方法を決定するために使用され得る。本出願の実施形態では、様々なシナリオにおいて使用されるセキュリティ保護ポリシーには、次の保護ポリシーのうちの少なくとも一つが含まれる。すなわち、
PC5接続における制御プレーン機密性保護ポリシー、
PC5接続における制御プレーン完全性保護ポリシー、
PC5接続におけるユーザープレーン機密性保護ポリシー、または
PC5接続におけるユーザープレーン完全性保護ポリシー。
PC5接続における制御プレーン機密性保護ポリシー、
PC5接続における制御プレーン完全性保護ポリシー、
PC5接続におけるユーザープレーン機密性保護ポリシー、または
PC5接続におけるユーザープレーン完全性保護ポリシー。
制御プレーン機密性保護は、伝送中のシグナリングの機密性を保護することである。制御プレーン完全性保護は、伝送中のシグナリングの完全性を保護することである。ユーザープレーン機密性保護は、伝送中のユーザープレーンデータの機密性を保護することである。ユーザープレーン完全性保護は、伝送中のユーザープレーンデータの完全性を保護することである。本願の実施形態において、完全性とは、取得されるシグナリングまたはデータが元のシグナリングまたはデータと一致し、変更されていないことを意味する。したがって、完全性保護は、攻撃者がシグナリングまたはデータを攻撃することを防止するために使用される。機密性とは、実際のコンテンツを直接見ることができないことを意味する。したがって、機密性保護は、攻撃者が「読めない」ようにするために使用される。さらに、本願の実施形態における機密性保護は、暗号化保護と呼ばれることもある。これについては、本明細書では一律に説明され、詳細については、改めて後述しない。
本出願の実施形態では、制御プレーン機密性保護ポリシーおよび制御プレーン完全性保護ポリシーは、制御プレーンのセキュリティ保護ポリシーに属し、ユーザープレーン機密性保護ポリシーおよびユーザープレーン完全性保護ポリシーは、ユーザープレーンのセキュリティ保護ポリシーに属する。これについては、本明細書では一律に説明され、詳細については、改めて後述しない。
本願発明の実施形態では、セキュリティ保護ポリシーの三つの可能な値がある。すなわち、必須(REQUIRED)、不要(NOT NEEDED)、および優先(PREFERRED)である。REQUIREDは、セキュリティを有効にする必要があることを示し、NOT NEEDEDは、セキュリティを有効にする必要がないことを示し、PREFERREDは、セキュリティを有効にすることが好適であること、すなわち、セキュリティが有効にされてもよいし、または無効にされてもよいことを示す。これについては、本明細書では一律に説明され、詳細については、改めて後述しない。
アプリケーション要件に基づいて直接接続されるアプリケーションサーバまたはアプリケーション機能ネットワーク要素によって決定されるセキュリティ保護ポリシーの具体的な値名は、前述の3タイプ(REQUIRED、NOT NEEDED、PREFERRED)ではない方がよいことは、留意されるべきである。ただし、アプリケーション要件に基づいて直接接続されるサーバまたはアプリケーション機能ネットワーク要素によって決定されるセキュリティ保護ポリシーも、セキュリティ有効化必須、セキュリティ有効化不要、セキュリティ有効化優先に分類される。本明細書において、具体的な名称は限定されない。換言すると、直接接続されるアプリケーションサーバまたはアプリケーション機能ネットワーク要素によって決定されるセキュリティ保護ポリシーにおいて、セキュリティを有効にする必要があることを示す値がREQUIREDでなくてもよく、セキュリティを有効にすることが好適であることを示す値がPREFERREDでなくてもよく、および/またはセキュリティを有効にする必要がないことを示す値がNOT NEEDEDでなくてもよい。コア・ネットワーク要素は、アプリケーション要件に基づいて直接接続されるアプリケーションサーバまたはアプリケーション機能ネットワーク要素によって決定されるセキュリティ保護ポリシーに対して、ネットワークに使用される前述の3値、すなわち、REQUIRED、NOT NEEDED、およびPREFERREDへのマッピングを行う。以下の実施形態では、区別を容易にするために、アプリケーション要件に基づいて直接接続されるアプリケーションサーバまたはアプリケーション機能ネットワーク要素によって決定されるセキュリティ保護ポリシー構成は、セキュリティ保護ポリシー構成#1と表記される。
例えば、PC5接続における制御プレーンの機密性保護ポリシーが、例として使用される。この場合、PC5接続における制御プレーンの機密性保護ポリシーは、次のことを含む。すなわち、PC5接続における制御プレーンの機密性保護が有効にされる(REQUIRED)こと、PC5接続における制御プレーンの機密性保護を無効化する(NOT NEEDED)こと、またはPC5接続における制御プレーン機密性保護が任意選択である(PREFERRED)こと。PC5接続における制御プレーンの完全性保護ポリシー、PC5接続におけるユーザープレーンの機密性保護ポリシー、またはPC5接続におけるユーザープレーンの機密性保護ポリシーの例については、PC5接続における制御プレーンの機密性保護ポリシーの例を参照されたい。詳細については、本明細書では改めて説明されない。
本出願の実施形態では、セキュリティ保護ポリシーが送信される場合、一般に、3タイプ(REQUIRED、NOT NEEDED、PREFERRED)のうちの一つのタイプのみが送信のために選択されることは、留意されるべきである。幾つかの特別なシナリオでは、少なくとも二つのタイプが送信のために選択され、タイプのうちの一つがPREFERREDである。例えば、NOT NEEDEDおよびPREFERREDが送信される場合、それは、セキュリティ保護が無効になっている方が望ましいことを示す。REQUIREDおよびPREFERREDが送信される場合、それは、セキュリティ保護が有効になっている方が望ましいことを示す。
本出願の実施形態では、セキュリティ保護ポリシーにおける保護ポリシーについて、一方の端末機器の保護ポリシーは、保護が有効(REQUIRED)であり、他方の端末機器の保護ポリシーは、保護が無効(NOT NEEDED)であると仮定すると、二つの端末機器の保護ポリシーが一致しないと見做されてよく、そうでない場合、二つの端末機器の保護ポリシーが一致すると見做されてもよい。
例えば、PC5接続におけるユーザープレーンの機密性保護が、例として使用される。PC5接続における第一の端末機器のユーザープレーン機密性保護ポリシーが無効(NOT NEEDED)であり、PC5接続における第二の端末機器のユーザープレーン機密性保護ポリシーが有効(REQUIRED)であると仮定するか、またはPC5接続における第一の端末機器のユーザープレーン機密性保護ポリシーが有効(REQUIRED)であり、PC5接続における第二の端末機器のユーザープレーン機密性保護ポリシーが無効(NOT NEEDED)であると仮定すると、PC5接続における第一の端末機器および第二の端末機器のポリシーのユーザープレーン機密性保護ポリシーが一致しないと判定され得る。PC5接続における第一の端末機器および第二の端末機器のユーザープレーン機密性保護ポリシーが他の値である場合、PC5接続における第一の端末機器および第二の端末機器のユーザープレーン機密性保護ポリシーは一致すると見做され得る。
可能な実装では、本出願の実施形態において、セキュリティ保護ポリシーが保護ポリシーを含む場合、セキュリティ保護ポリシーが一致するということは、保護ポリシーが一致することを意味する。例えば、セキュリティ保護ポリシーがPC5接続におけるユーザープレーン機密性保護ポリシーのみを含むと仮定すると、PC5接続におけるユーザープレーン機密性保護ポリシーが一致すれば、セキュリティ保護ポリシーは一致すると見做され得る。
別の可能な実装では、本出願の実施形態において、セキュリティ保護ポリシーが複数の保護ポリシーを含む場合、セキュリティ保護ポリシーが一致するということは、複数の保護ポリシーの各々が一致することを意味する。例えば、セキュリティ保護ポリシーには、PC5接続におけるユーザープレーン機密性保護ポリシーおよび完全性保護ポリシーが含まれると仮定すると、PC5接続におけるユーザープレーン機密性保護ポリシーが一致し、PC5接続におけるユーザープレーン完全性保護ポリシーが一致する場合、セキュリティ保護ポリシーが一致すると見做され得て、そうでない場合は、セキュリティ保護ポリシーが一致していないと見做される。
本出願の実施形態では、PC5接続における制御プレーン機密性保護ポリシー、PC5接続における制御プレーン完全性保護ポリシー、PC5接続におけるユーザープレーン機密性保護ポリシー、およびPC5接続におけるユーザープレーン完全性保護ポリシーにおける幾つかの保護ポリシーは、同じであってもよいし、または異なっていてもよい。これは、本出願の実施形態では特に限定されない。
第四は、セキュリティ保護方法である。
本出願の実施形態におけるセキュリティ保護方法は、以下の二種類に分類される。
1.PC5接続の制御プレーンにおいて使用されるセキュリティ保護方法は、PC5接続の制御プレーンのシグナリングを保護するために使用される。
2.PC5接続のユーザープレーンにおいて使用されるセキュリティ保護方法は、PC5接続のユーザープレーンデータを保護するために使用される
本出願の実施形態では、本明細書におけるセキュリティ保護方法には、機密性保護および/または完全性保護を有効にするか否かが含まれる。これは、本明細書では一律に説明され、詳細については、改めて後述しない。
例えば、PC5接続の制御プレーンにおいて使用されるセキュリティ保護方法には、PC5接続における制御プレーンの機密性保護および/または完全性保護を有効化するかどうかが含まれ得る、またはPC5接続のユーザープレーンにおいて使用されるセキュリティ保護方法には、PC5接続におけるユーザープレーンの機密性保護および/または完全性保護を有効化するかどうかが含まれ得る。本出願の実施形態では、PC5接続の制御プレーンにおいて使用されるセキュリティ保護方法と、PC5接続のユーザープレーンにおいて使用されるセキュリティ保護方法は、PC5接続のセキュリティ保護方法に属することは、留意されるべきである。これは、本明細書では一律に説明され、詳細については、改めて後述しない。
以下、本出願の実施形態における添付図面を参照して、本出願の実施形態における技術的解決策を説明する。特に指定のない限り、本出願の実施形態の説明における「/」は、関連するオブジェクト間の関係「または」を表す。例えば、A/Bは、AまたはBを表し得る。本出願において、「および/または」は、関連オブジェクトを記述するための関連関係のみを記述し、三つの関係が存在し得ることを表す。例えば、Aおよび/またはBは、以下の三つの場合を表し得る。すなわち、Aのみが存在する、AおよびBの両方が存在する、Bのみが存在する。AおよびBは、単数でも複数でもよい。また、本出願の明細書において、「複数」とは、特に断りのない限り、二つ以上を意味する。「以下の項目(部分)の少なくとも一つ」またはその類似表現は、単数の項目(部分)または複数の項目(部分)の任意の組み合わせを含む、これらの項目の任意の組み合わせを指す。例えば、a、b、またはcの少なくとも一つの項目(部分)とは、a、b、c、aおよびb、aおよびc、bおよびc、またはa、b、およびcを示すことがあるが、a、b、およびcは、単数でもよいし、または複数でもよい。さらに、本出願の実施形態における技術的解決策を明確に説明するために、基本的に同じ機能または目的を提供する同じ項目または類似の項目を区別するために、本出願の実施形態において「第一」および「第二」などの用語が使用される。当業者であれば、「第一」および「第二」などの用語は、数量または実行順序を限定するのではなく、「第一」および「第二」などの用語は、明確な差異を示すのではないと理解し得る。また、本出願の実施形態において、「例」または「例えば」などの語は、例、例証、または説明を与えることを表すために使用される。本出願の実施形態において、「例」または「例えば」として説明される実施形態または設計方式は、他の実施形態または設計方式よりも好適である、またはより多くの利点を有するものとして説明されるべきではない。正確には、「例」または「例えば」となどの言葉の使用は、理解を容易にするために、相対的な概念を特定の方法で提示することが意図されている。
さらに、本出願の実施形態において説明されるネットワークアーキテクチャおよびサービスシナリオは、本出願の実施形態における技術的解決策をより明確に説明することが意図されており、本出願の実施形態において提供される技術的解決策に対する制限を構成しない。当業者は、次のことを知り得る。すなわち、ネットワークアーキテクチャの進化および新たなサービスシナリオの出現に伴い、本出願の実施形態に提供される技術的解決策は、同様の技術的問題にも適用可能である。
本出願の実施形態の理解を容易にするために、まず、本出願の実施形態の適用シナリオを、図1を参照して、詳細に説明する。
図1は、本出願の一実施形態による方法に適用可能なネットワークアーキテクチャを示す模式図である。図に示されるように、ネットワークアーキテクチャには、具体的には次のネットワーク要素が含まれ得る。
1.ユーザー機器(UE):端末装置、端末、アクセス端末、加入者ユニット、加入者局、移動局、遠隔局、遠隔端末、移動装置、ユーザー端末、無線通信装置、ユーザーエージェント、またはユーザー装置と呼ばれることがある。端末装置は、代わりに、携帯電話、コードレス電話、セッション開始プロトコル(SIP)電話、無線ローカルループ(WLL)局、携帯情報端末(PDA)、無線通信機能を有するハンドヘルド機器、コンピューティング機器、無線モデムに接続される別の処理機器、車両搭載機器、無人航空機、ウェアラブル機器、5Gネットワークにおける端末機器、または進化した公衆陸上移動体ネットワーク(PLMN)における端末機器などとし得る。本願の実施形態では、これに限定されない。UEは、Uuインターフェースを介して次世代無線アクセスネットワーク(NG-RAN)機器に接続され得る。例えば、図1に示されるUE #AおよびUE #Dは、Uuインターフェースを介してNG-RANに接続され得る。また、近接ベースのサービスアプリケーション機能を有する二つのUEが、PC5インターフェースを介して接続され得る。例えば、図1に示されるように、UE #AおよびUE #Bは、PC5インターフェースを介して接続され、UE #BおよびUE #Cは、PC5インターフェースを介して接続され、UE #AおよびUE #5は、PC5インターフェースを介して接続されている。
2.アクセスネットワーク(AN): 特定のエリアにおいて許可されたユーザーにネットワークアクセス機能を提供するために使用され、ユーザーレベル、およびサービス要件などに基づいて、異なる品質を有する伝送トンネルを使用することができる。アクセスネットワークが異なれば、異なるアクセス技術が使用されることがある。現在のアクセスネットワーク技術には、第三世代(3G)システムに使用される無線アクセスネットワーク技術、4Gシステムに使用される無線アクセスネットワーク技術、または(例えば、5Gシステムに使用される無線アクセス技術)図1に示されるNG-RAN技術などが含まれる。
無線通信技術に基づくネットワークアクセス機能を実装するアクセスネットワークは、無線アクセスネットワーク(RAN)と呼ばれることもある。無線アクセスネットワークは、無線リソースを管理し、端末にアクセスサービスを提供し、さらに端末およびコア・ネットワーク間の制御信号およびユーザーデータの転送を完了することができる。
無線アクセスネットワーク機器は、例えば、基地局(ノードB)、進化型ノードB(eNB、またはeNodeB)、5G移動体通信システムにおける次世代ノード基地局(gNB )、移動体通信システムにおける基地局、またはワイヤレス・フィデリティ(Wi-Fi)システムにおけるアクセスポイント(AP)などとし得る、またはクラウド無線アクセスネットワーク(CRAN)シナリオにおける無線コントローラとし得る。あるいは、無線アクセスネットワーク機器は、中継局、アクセスポイント、車載機器、無人航空機、ウェアラブル機器、5Gネットワークにおけるネットワーク機器、または進化型PLMNにおけるネットワーク機器などとし得る無線アクセスネットワーク機器によって使用される具体的な技術および具体的な機器形態は、本出願の実施形態において限定されない。
3.アクセス管理ネットワーク要素:主に、モビリティ管理およびアクセス管理を実行するように構成され、ユーザー装置およびポリシー制御機能(PCF)ネットワーク要素などの間においてユーザーポリシーの転送を担当し、モビリティ管理エンティティ(MME)の機能におけるセッション管理以外の機能、例えば、合法的傍受機能またはアクセス許可(または認証)機能を実装するように構成される。
5G通信システムでは、アクセス管理ネットワーク要素は、アクセスおよびモビリティ管理機能(AMF)ネットワーク要素とし得る。将来の通信システムでは、アクセス管理ネットワーク要素は、依然としてAMFネットワーク要素であり得る、または別の名称を有し得る。これは、本出願に限定されない。
4.セッション管理ネットワーク要素:主に、セッションの管理、ユーザー機器のインターネットプロトコル(IP)アドレスの割り当ておよび管理、ユーザープレーン機能インターフェース、ならびにポリシー制御および課金機能インターフェースを管理することができるエンドポイントの選択、ダウンリンクデータ通知の実行などを行うように構成される。
5G通信システムでは、セッション管理ネットワーク要素は、セッション管理機能(SMF)ネットワーク要素とし得る。将来の通信システムでは、セッション管理ネットワーク要素は、依然としてSMFネットワーク要素であり得る、または別の名称を有し得る。これは、本出願では限定されない。
5.ユーザープレーンネットワーク要素:パケットルーティングおよび転送、ユーザープレーンデータのサービス品質(QoS)処理、ユーザープレーンデータの転送、セッション/フローレベルベースの課金統計、および帯域幅制限などの機能を実行するように構成される。
5G通信システムでは、ユーザープレーンネットワーク要素は、ユーザープレーン機能(UPF)ネットワーク要素とし得る。将来の通信システムでは、ユーザープレーンネットワーク要素は、依然としてUPFネットワーク要素であり得る、または別の名称を有し得る。これは、本出願では限定されない。
6.データネットワーク要素:データ送信のためのネットワークを提供するように構成される。
5G通信システムでは、データネットワーク要素は、データネットワーク(DN)要素とし得る。将来の通信システムでは、データネットワーク要素は、依然としてDN要素であり得る、または別の名称を有し得る。これは、本出願では限定されない。
7.ポリシー制御ネットワーク要素:ネットワーク動作のための統一ポリシーフレームワークに関するガイダンスの提供、および制御プレーン機能ネットワーク要素(例えば、AMFネットワーク要素またはSMFネットワーク要素)のためのポリシー課金ルール情報の提供など行うように構成される。
4G通信システムでは、ポリシー制御ネットワーク要素は、ポリシーおよび課金ルール機能(PCRF)ネットワーク要素とし得る。5G通信システムでは、ポリシー制御ネットワーク要素は、ポリシー制御機能(PCF)ネットワーク要素とし得る。将来の通信システムでは、ポリシー制御ネットワーク要素は、依然としてPCFネットワーク要素であり得る、または別の名称を有し得る。これは、本出願では限定されない。
8.データ管理ネットワーク要素:ユーザー装置識別子、アクセス認証の処理、登録管理およびモビリティ管理の実行などを行うように構成される。
5G通信システムでは、データ管理ネットワーク要素は、統合データ管理(UDM)ネットワーク要素とし得る。4G通信システムでは、データ管理ネットワーク要素は、ホーム加入者サーバ(HSS)ネットワーク要素とし得る。将来の通信システムでは、データ管理ネットワーク要素は、依然としてUDMネットワーク要素であり得る、または別の名称を有し得る。これは、本出願では限定されない。
9.データリポジトリネットワーク要素:サブスクリプションデータ、ポリシーデータ、アプリケーションデータ、および他種類のデータのアクセス機能を担当するように構成される。
5G通信システムでは、データリポジトリネットワーク要素は、統合データリポジトリ(UDR)ネットワーク要素とし得る。将来の通信システムでは、データリポジトリネットワーク要素は、依然としてUDR要素であり得る、または別の名称を有し得る。これは、本出願に限定されない。
10.ネットワーク公開機能(NEF)エンティティ:3GPPネットワーク機能によって提供されるサービスおよび能力を、外部に安全に公開するために使用される。
11.ProSeアプリケーションサーバ:DNのアプリケーション機能(AF)とし得る。ProSeアプリケーションサーバ機能を有するAFは、リリース23.501R-15に定義されるAFの全ての機能、ならびにProSeサービスに使用される関連機能を有する。換言すると、ユーザープレーンアーキテクチャでは、ProSeアプリケーションサーバおよびUEは、UE-RAN-UPF-AFパスを通じて、ユーザープレーン通信を実行する。ProSeアプリケーションサーバは、制御プレーンアーキテクチャにおけるNEFを使用することにより、5Gコア・ネットワーク(5GC)における別のネットワーク機能(NF)とさらに通信し、例えば、NEFを使用することによりPCFと通信し得る。ProSeアプリケーションサーバがDNのAFであり、そのAFが5GCのオペレーターによって処分される場合、ProSeアプリケーションサーバは、制御プレーンアーキテクチャにおけるNEFを使用しないことにより、5GCにおける別のNFとさらに直接通信し、例えば、PCFと直接通信し得る。
12.5G直接通信検出名称管理機能(DDNMF):オープン近接ベースのサービス検出のために、近接ベースのサービスアプリケーション識別子および近接ベースのサービスアプリケーションコードの間のマッピング関係を割り当てて処理する機能を有する。制限された近接ベースのサービス検出では、5G DDNMFは、PC2インターフェースを介して近接ベースのサービスサーバプリケーションサーバと通信して、検出要求の認可を処理し得て、また、アプリケーション識別子と、制限された近接ベースのサービスで使用されるコードとの間のマッピング関係を割り当てて処理する機能も有し、制限された近接ベースのサービスに使用されるコードには、近接ベースのサービス制限コード(ProSe制限コード)、近接ベースのサービス要求コード(ProSeクエリ コード)、および近接ベースのサービス応答コード(ProSe応答コード)が含まれる。
現在の標準定義では、5G DDNMFは、PLMN粒度内にある。すなわち、一つのPLMNには5G DDNMFが 一つのみある。一つの5G DDNMFは、モバイル国コード(MCC)およびモバイルネットワークコード(MNC)を使用して一意に決定することができる。
ネットワーク要素または機能は、ハードウェア機器におけるネットワーク要素とし得る、専用ハードウェア上で実行されるソフトウェア機能とし得る、またはプラットフォーム(例えば、クラウドプラットフォームなど)上でインスタンス化される仮想化機能とし得ると理解され得る。ネットワーク要素または機能は、一つの機器によって実装されてもよく、複数の機器によって共同して実装されてもよく、あるいは一つの機器における一つの機能モジュールであってもよい。これは、本出願の実施形態では特に限定されない。
さらに、図1に示される本出願の実施形態に適用可能な前述のネットワークアーキテクチャは、説明のための一例に過ぎず、本出願の実施形態に適用可能なネットワークアーキテクチャは、これに限定されない。前述のネットワーク要素の機能を実装することができる任意のネットワークアーキテクチャが、本出願の実施形態に適用可能である。
例えば、幾つかのネットワークアーキテクチャでは、AMFネットワーク要素、SMFネットワーク要素、PCFネットワーク要素、UDMネットワーク要素などのネットワーク機能要素エンティティは全て、ネットワーク機能(NF)ネットワーク要素と呼ばれる。あるいは、他の幾つかのネットワークアーキテクチャでは、AMFネットワーク要素、SMFネットワーク要素、PCFネットワーク要素、およびUDMネットワーク要素などのネットワーク要素のセットは、制御プレーン機能ネットワーク要素と呼ばれることがある。
ProSeの場合、ユニキャスト通信を確立する前に、両端にあるUEは、まずProSe検出手順を実行して、通信のためのピアUEを決定する必要がある。
図2を参照すると、UE#1がUE#2へのユニキャスト接続を確立する例を使用して、二つのUE間にユニキャスト接続を確立するプロセスを、以下に説明する。検出手順において、UE#1およびUE#2は、モデルAにおいてそれぞれ監視型UEおよび宣言型UEに対応してもよいし、またはUE#1およびUE#2は、モデルBにおいてそれぞれ検出元UEおよび検出先UEに対応してもよい。
S210:UE#1は、直接通信要求(DCR)メッセージをUE#2に送信して、PC5ユニキャスト通信の確立を開始する。
直接通信要求メッセージには、UE#1のセキュリティ能力およびUE#1の制御プレーンセキュリティ保護ポリシーが含まれ得る。UEのセキュリティ機能は、UEによってサポートを受けるセキュリティ保護アルゴリズムであり、セキュリティ保護アルゴリズムには、機密性保護アルゴリズムおよび/または完全性保護アルゴリズムが含まれる。
S220:UE#1およびUE#2は、直接認証およびキー確立手順を実行する。
S230:UE#2は、直接セキュリティモード(DSM)指示メッセージをUE#1に送信する。
UE#2は、UE#1から直接通信要求メッセージを受信した後、まず、UE#1の制御プレーンセキュリティ保護ポリシーがローカル端の制御プレーンセキュリティ保護ポリシーと一致するか否かを判定する。
UE#1の制御プレーンセキュリティ保護ポリシーがローカル端の制御プレーンセキュリティ保護ポリシーと一致しない場合、UE#2は、接続の確立を拒否する。UE#1の制御プレーンセキュリティ保護ポリシーがローカル端の制御プレーンセキュリティ保護ポリシーと一致する場合、UE#2は、二つのUEの制御プレーンセキュリティ保護ポリシーに基づいて、制御プレーンセキュリティ保護有効化方式を決定する。さらに、UE#2は、直接セキュリティモード指示メッセージをUE#1に送信し、ここで、直接セキュリティモード指示メッセージは、選択されたセキュリティ保護アルゴリズムを含み、セキュリティ保護アルゴリズムは、機密性保護アルゴリズムおよび完全性保護アルゴリズムを含む。直接セキュリティモード指示メッセージに含まれるセキュリティ保護アルゴリズムは、UE#2によって決定される制御プレーンセキュリティ保護有効化方式、UE#1のセキュリティ能力、およびUE#2のセキュリティ能力に基づいて決定されることは、留意されるべきである。
UE#2によって選択される制御プレーン機密性保護有効化方式および完全性保護有効化方式は、直接セキュリティモード指示メッセージにおいて伝送されるセキュリティ保護アルゴリズムを使用することにより、UE#1に指示され得る。例えば、ヌル・アルゴリズム(ヌル)は、対応するセキュリティ保護が有効になっていないことを示し、非ヌル・アルゴリズム(non-ヌル)は、対応するセキュリティ保護を有効化することを示す。
S240:UE#1は、直接セキュリティモード完了メッセージをUE#2に送信する。
UE#2から直接セキュリティモード指示メッセージを受信した後、UE#1は、直接セキュリティモード指示メッセージにおいて伝送される選択済みのセキュリティアルゴリズムによって暗黙的に示されるセキュリティ保護有効化方式が、ローカル端の制御プレーンセキュリティ保護ポリシーを満たすかどうかを検出する。そうでない場合、UE#1は、接続の確立を拒否する。そうである場合、UE#1は、直接セキュリティモード完了メッセージをUE#2に送信する。直接セキュリティモード完了メッセージには、UE#1のユーザープレーンセキュリティ保護ポリシーが含まれる。
S250:UE#2は、直接通信受諾(DCA)メッセージをUE#1に送信する。
UE#2は、UE#1から直接セキュリティモード完了メッセージを受信した後、まず、UE#1のユーザープレーンセキュリティ保護ポリシーがローカル端のユーザープレーンセキュリティ保護ポリシーと一致するか否かを判定する。
UE#1のユーザープレーンセキュリティ保護ポリシーがローカル端のユーザープレーンセキュリティ保護ポリシーと一致しない場合、UE#2は、接続の確立を拒否する。UE#1のユーザープレーンセキュリティ保護ポリシーがローカル端のユーザープレーンセキュリティ保護ポリシーと一致する場合、UE#2は、二つのUEのユーザープレーンセキュリティ保護ポリシーに基づいて、ユーザープレーンセキュリティ保護有効化方式を決定する。さらに、UE#2は、直接通信受諾メッセージをUE#1に送信し、この直接通信受諾メッセージは、ユーザープレーンセキュリティ設定情報を含み、選択されたユーザープレーンセキュリティ保護有効化方式のUE#1に通知するために使用される。
上述されるように、ユニキャスト接続確立手順において、二つのUEは、両端にあるセキュリティ保護ポリシーが一致しないため、ユニキャスト接続の確立に失敗することがある。その結果、ユニキャスト接続確立手順前の検出手順においてシグナリングが無駄になり、直接接続サービスのネットワークリソース効率および相互作用に影響が出る。
これを考慮して、本出願は、二つのUEが正常に接続を確立することができるように、セキュリティ保護有効化方式を決定するための方法を提供する。
本出願の実施形態において提供される方法の実行本体の具体的な構造は、本出願の実施形態において提供される方法のコードを記録するプログラムが、本出願の実施形態において提供される方法に従って通信を実行するように動作することができれば、本出願の以下の実施形態において特に限定されないと、理解されるべきである。例えば、本出願の実施形態において提供される方法は、端末機器、コア・ネットワーク機器、または端末機器またはコア・ネットワーク装置内にあって、このプログラムを呼び出して実行することができる機能モジュールによって実行され得る。
本出願の実施形態において記録されるセキュリティ保護ポリシーには、制御プレーンセキュリティ保護ポリシーおよび/またはユーザープレーンセキュリティ保護ポリシーが含まれることは、さらに留意されるべきである。さらに、制御プレーンセキュリティ保護ポリシーは、制御プレーン機密性保護ポリシーおよび/または制御プレーン完全性保護ポリシーを含み、ユーザープレーンセキュリティ保護ポリシーは、ユーザープレーン機密性保護ポリシーおよび/またはユーザープレーン完全性保護ポリシーを含む。本出願の実施形態に記録されるセキュリティ保護有効化方式には、制御プレーンセキュリティ保護有効化方式および/またはユーザープレーンセキュリティ保護有効化方式が含まれる。さらに、制御プレーンセキュリティ保護有効化方式は、制御プレーン機密性保護有効化方式および/または制御プレーン完全性保護有効化方式を含む。ユーザープレーンセキュリティ保護有効化方式は、ユーザープレーン機密性保護有効化方式および/またはユーザープレーン完全性保護有効化方式を含む。
一般性を失うことなく、例として端末機器またはコア・ネットワーク装置間の相互作用を使用することにより、本出願の実施形態において提供されるセキュリティ保護有効化方式を決定するための方法を、以下に詳細に説明する。
図3は、本出願の一実施形態による、セキュリティ保護有効化方式を決定するための方法を示す模式的フローチャートである。図3に示されるように、方法300は、S310ないしS340を含み得る。以下にステップを詳細に説明する。
S310:第一の端末機器および第二の端末機器は、コア・ネットワーク要素から第一の識別子をそれぞれ受信する。
第一の端末機器の場合、コア・ネットワーク要素は、第一の端末機器にサービスを提供する第一のポリシー制御機能ネットワーク要素、または第一の直接通信検出名称管理機能ネットワーク要素などとし得る。本出願では、これに限定されない。第二の端末機器の場合、コア・ネットワーク要素は、第二の端末機器にサービスを提供する第二のポリシー制御機能ネットワーク要素、または第二の直接通信検出名称管理機能ネットワーク要素などとし得る。第一の端末機器および第二の端末機器は、同じコア・ネットワーク要素から第一の識別子を取得してもよいし、または異なるコア・ネットワーク要素から第一の識別子を取得してもよい。以下、図4を参照して、端末機器がポリシー制御機能ネットワーク要素から如何に第一の識別子を取得するかを説明する。簡潔にするため、本明細書では詳細は説明されない。
第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用される。具体的には、第一の識別子は、第一のサービスにおいて端末機器によって使用されるセキュリティ保護ポリシーを変更するために使用され、第一のサービスにおいて端末機器によって使用されるセキュリティ保護ポリシーは、端末機器のためのポリシー制御機能ネットワーク要素によって構成される。
例えば、第一の識別子は、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および指示情報#1(第一の指示情報の一例)のうちの一つまたは複数である。
新たなセキュリティ保護ポリシーは、第一のサービスのセキュリティ保護ポリシー構成に基づいて、コア・ネットワーク要素によって決定されるセキュリティ保護ポリシーである。新たなセキュリティ保護ポリシーは、セキュリティ保護ポリシー構成に含まれるセキュリティ保護ポリシーと同じであってもよいし、またはセキュリティ保護ポリシー構成に含まれるセキュリティ保護ポリシーと異なっていてもよい。これは、本出願の実施形態では限定されない。第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用されるため、新たなセキュリティ保護ポリシーは、端末機器のセキュリティ保護ポリシーが変更されるときに使用されるセキュリティ保護ポリシーと見做され得る。
新たなセキュリティ保護有効化方式は、第一のサービスのセキュリティ保護ポリシー構成に基づいて、コア・ネットワーク要素によって決定されるセキュリティ保護有効化方式である。新たなセキュリティ保護有効化方式は、セキュリティ保護ポリシー構成に含まれるセキュリティ保護ポリシーと一致する場合もあれば、セキュリティ保護ポリシー構成に含まれるセキュリティ保護ポリシーと一致しない場合もある。これは、本出願の実施形態では限定されない。セキュリティ保護有効化方式がセキュリティ保護ポリシーと一致することは、次のようなことであり得る。すなわち、セキュリティ保護有効化方式は、セキュリティ保護が有効であり、かつ、セキュリティ保護ポリシーの値がNOT NEEDEDである。または、セキュリティ保護有効化方式は、セキュリティ保護が無効であり、かつ、セキュリティ保護ポリシーの値がREQUIREDではないことになる。セキュリティ保護有効化方式がセキュリティ保護ポリシーと一致しないことは、次のようなことであり得る。すなわち、セキュリティ保護有効化方式は、セキュリティ保護が有効であり、かつ、セキュリティ保護ポリシーの値がNOT NEEDEDである。または、セキュリティ保護有効化方式は、セキュリティ保護が無効であり、かつ、セキュリティ保護ポリシーの値がREQUIREDであることになる。第一の識別子は端末機器のセキュリティ保護ポリシーを変更するために使用されるため、新たなセキュリティ保護有効化方式は、端末機器のセキュリティ保護ポリシーが変更されるときに使用されるセキュリティ保護有効化方式と見做され得る。
指示情報#1は、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。具体的には、指示情報#1は、第一のサービスの接続を確立するプロセスにおいて、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。あるいは、指示情報#1は、第一のサービスにおいて端末機器によって使用されるセキュリティ保護ポリシーの強制的変更が許可されることを示す。
例えば、第一の識別子は、セキュリティ保護ポリシー強制的変更識別子と名付けられてもよい。例えば、第一の識別子は、「無効化識別子」または「上書き識別子」と表記されてもよい。
任意選択として、第一の識別子は、端末機器によって使用されるセキュリティ保護有効化方式をさらに示し得て、端末機器のセキュリティ保護ポリシーを変更するために使用されない。具体的には、第一の識別子は、第一のサービスにおいて端末機器によって使用されるセキュリティ保護有効化方式を示す。
S320:第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。
具体的には、第一の端末機器が第二の端末機器に第一のサービスの接続を確立するプロセスにおいて、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを判定する。例えば、第一のサービスは直接接続サービスであり、第一のサービスの接続はユニキャスト接続である。
第一の端末機器は、コア・ネットワーク要素から取得される第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定してもよいし、または第二の端末機器から取得される第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定してもよいことは、留意されるべきである。第一の端末機器が、コア・ネットワーク要素から取得される第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する場合、第一の端末機器は、既定では、第一の識別子に基づいて、第一のサービスのためのセキュリティ保護を有効にするか否かを決定し得て、それによって追加の処理ロジックを排除し、第一の端末機器の処理効率を向上させると理解され得る。第一の端末機器が、第二の端末機器から取得される第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する場合、第一の端末機器は、第一の識別子に基づいて、第一のサービスの接続に対するセキュリティ保護を有効にするか否かを決定するか否かを自律的に選択し得る。これは、より良い柔軟性を有している。
第一の端末機器および第二の端末機器は、検出モードAにおいて、それぞれ宣言型UEおよび監視型UEであるか、または、第一の端末機器および第二の端末機器は、それぞれ検出モードBにおいて、検出先UEおよび検出元UEである。接続確立手順において、検出手順の後、第二の端末機器は、接続確立手順において開始型UEであり、第一の端末機器は、接続確立手順において、受信型UEである。
接続に対してセキュリティ保護を有効にするか否かには、接続に対する制御プレーンセキュリティ保護、および/または接続に対するユーザープレーンセキュリティ保護を有効にするか否かが含まれる。接続に対して制御プレーン セキュリティ保護を有効にするか否かには、接続に対する制御プレーン機密性保護および/または接続に対する制御プレーン完全性保護を有効にするか否かが含まれる。接続対してユーザープレーンセキュリティ保護を有効にするか否かには、接続に対するユーザープレーン機密性保護および/または接続に対するユーザープレーン完全性保護を有効にするか否かが含まれる。
接続に対してセキュリティ保護を有効にするか否かは、接続に対するセキュリティ保護有効化方式と同等であり得ると、理解され得る。したがって、S320は、第一の端末機器が第一の識別子に基づいて接続に対するセキュリティ保護有効化方式を決定することに置き換え得る。接続に対するセキュリティ保護有効化方式には、制御プレーンセキュリティ保護有効化方式および/またはユーザープレーンセキュリティ保護有効化方式が含まれる。制御プレーンセキュリティ保護有効化方式は、制御プレーン機密性保護有効化方式および/または制御プレーン完全性保護有効化方式を含む。ユーザープレーンセキュリティ保護有効化方式は、ユーザープレーン機密性保護有効化方式および/またはユーザープレーン完全性保護有効化方式を含む。セキュリティ保護有効化方式には、セキュリティ保護有効にすること、またはセキュリティ保護を無効にすることが含まれる。
S310において説明されるように、第一の識別子は、異なる形式であってもよい。さらに、第一の識別子が異なる場合、第一の端末機器によって、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを判定するための方法も異なる。詳細は以下の通りである。
可能な実装では、第一の識別子は指示情報#1である。
一例では、第一の端末機器は、指示情報#1およびセキュリティ保護ポリシー#1(第一のセキュリティ保護ポリシーの一例)に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。セキュリティ保護ポリシー#1は、第一のサービスにおいて第一の端末機器によって使用されるセキュリティ保護ポリシーである。したがって、第一の端末機器は、指示情報#1に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する際に、第一の端末機器は、ローカル端のセキュリティ保護ポリシーに基づいて、接続に対してセキュリティ保護を有効にするか否かを直接決定する。第一の端末機器は、指示情報#1に基づいて、セキュリティ保護ポリシー#1に従って、接続に対してセキュリティ保護を有効にするか否かを決定する。これにより、第一の端末機器の処理ロジックがより単純になり、第一の端末機器の処理効率が向上する。
例えば、第一の端末機器が指示情報#1を取得し、セキュリティ保護ポリシー#1に含まれる制御プレーンセキュリティ保護ポリシー#1および/またはユーザープレーンセキュリティ保護ポリシー#1がセキュリティ保護を有効にする必要があることである場合、第一の端末機器は、接続に対して制御プレーンセキュリティ保護および/またはユーザープレーンセキュリティ保護を有効にすると決定する。接続に対して制御プレーンセキュリティ保護を有効にすると決定することには、接続に対して制御プレーン機密性保護および/または制御プレーン完全性保護を有効にすると決定することが含まれ、接続に対してユーザープレーンセキュリティ保護を有効にすると決定することには、接続に対してユーザープレーン機密性保護および/またはユーザープレーン完全性保護を有効にすると決定することが含まれる。
具体的には、第一の端末機器が指示情報#1を取得するとき、制御プレーンセキュリティ保護ポリシー#1に含まれる制御プレーン機密性保護ポリシーの値がREQUIREDである場合、第一の端末機器は、接続に対して制御プレーン機密性保護を有効にすると決定する。制御プレーンセキュリティ保護ポリシー#1に含まれる制御プレーン完全性保護ポリシーの値がREQUIREDである場合、第一の端末機器は、接続に対して制御プレーン完全性保護を有効にすると決定する。ユーザープレーンセキュリティ保護ポリシー#1に含まれるユーザープレーン機密性保護ポリシーの値がREQUIREDである場合、第一の端末機器は、接続に対してユーザープレーン機密性保護を有効にすると決定する。または、ユーザープレーンセキュリティ保護ポリシー#1に含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDである場合、第一の端末機器は、接続に対してユーザープレーン完全性保護を有効にすると決定する。
別の例として、第一の端末機器が指示情報#1を取得し、セキュリティ保護ポリシー#1に含まれる制御プレーンセキュリティ保護ポリシー#1および/またはユーザープレーンセキュリティ保護ポリシー#1がセキュリティ保護を有効にすることが必要がない場合、第一の端末機器は、接続に対して制御プレーンセキュリティ保護および/またはユーザープレーンセキュリティ保護を無効にすると決定する。接続に対する制御プレーンセキュリティ保護を無効にすることには、接続に対する制御プレーン機密性保護および/または制御プレーン完全性保護を無効にすることが含まれ、接続に対するユーザープレーンセキュリティ保護を無効にすることには、接続に対するユーザープレーン機密性保護および/またはユーザープレーン完全性保護を無効にすることが含まれる。
具体的には、第一の端末機器は、指示情報#1を取得するときに、制御プレーンセキュリティ保護ポリシー#1に含まれる制御プレーン機密性保護ポリシーの値がNOT NEEDEDである場合、第一の端末機器は、接続に対して制御プレーン機密性保護を無効にすると決定する。制御プレーンセキュリティ保護ポリシー#1に含まれる制御プレーン完全性保護ポリシーの値がNOT NEEDEDである場合、第一の端末機器は、接続に対する制御プレーン完全性保護を無効にすると決定する。ユーザープレーンセキュリティ保護ポリシー#1に含まれるユーザープレーン機密性保護ポリシーの値がNOT NEEDEDである場合、第一の端末機器は、接続に対するユーザープレーン機密性保護を無効にすると決定する。
任意選択として、指示情報#1に基づいて、セキュリティ保護ポリシー#1に従って、接続に対して完全性保護を有効にするか否かを決定するとき、第一の端末機器は、第一の端末機器によってサポートを受けることができる完全性保護レートをさらに考慮し得る。
別の例では、第一の端末機器は、指示情報#1、セキュリティ保護ポリシー#1、および第一の端末機器によってサポートを受けることができる完全性保護レートに基づいて、接続に対して完全性保護を有効にするか否かを決定し、これにより、第一の端末機器は、第一の端末機器のリアルタイム処理能力に基づいて、完全性保護を有効にするか否かを決定することができる。これは、第一の端末機器のリアルタイム要件により適している。
例えば、第一の端末機器は、指示情報#1を取得し、セキュリティ保護ポリシー#1に含まれる制御プレーン完全性保護ポリシー#1、および/またはユーザープレーン完全性保護ポリシー#1が、セキュリティ保護を有効化することが必要であり、第一の端末機器によってサポートを受けることができる完全性保護レートが、制御プレーン完全性保護および/またはユーザープレーン完全性保護の有効化のサポートを行うことができる。この場合、第一の端末機器は、接続に対して制御プレーン完全性保護および/またはユーザープレーン完全性保護を有効にすると決定する。
具体的には、第一の端末機器が指示情報#1を取得する際に、制御プレーンセキュリティ保護ポリシー#1に含まれる制御プレーン完全性保護ポリシーの値がREQUIREDであり、第一の端末機器によってサポートを受けることができる完全性保護レートが制御プレーン完全性保護の有効化のサポートを行うことができる場合、第一の端末機器は、接続に対して制御プレーン完全性保護を有効にすると決定する。または、ユーザープレーンセキュリティ保護ポリシー#1に含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDであり、第一の端末機器によってサポートを受けることができる完全性保護レートがユーザープレーン完全性保護の有効化のサポートを行う場合、第一の端末機器は、接続に対してユーザープレーン完全性整合性保護を有効にすると決定する。
さらに別の例として、第一の端末機器は、指示情報#1を取得し、セキュリティ保護ポリシー#1に含まれる制御プレーン完全性保護ポリシー#1および/またはユーザープレーン完全性保護ポリシー#1は、セキュリティ保護を有効化することが必要であり、第一の端末機器によってサポートを受けることができる完全性保護レートは、制御プレーン完全性保護および/またはユーザープレーン完全性保護の有効化のサポートを行わない。この場合、第一の端末機器は、接続に対する制御プレーン完全性保護および/またはユーザープレーン完全性保護を無効にすると決定する。
具体的には、第一の端末機器が指示情報#1を取得する際に、制御プレーンセキュリティ保護ポリシー#1に含まれる制御プレーン完全性保護ポリシーの値がREQUIREDである場合、第一の端末機器によってサポートを受けることができる完全性保護レートは、制御プレーン完全性保護の有効化のサポートを行わない場合、第一の端末機器は、接続に対して制御プレーン完全性保護を無効にすると決定する。または、ユーザープレーンセキュリティ保護ポリシー#1に含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDであり、第一の端末機器によってサポートを受けるできる完全性保護レートがユーザープレーン完全性保護の有効化のサポートを行わない場合、第一の端末機器は、接続に対してユーザープレーン完全性保護を無効にすると決定する。
さらに別の例では、第一の端末機器は、指示情報#1、セキュリティ保護ポリシー#1、およびセキュリティ保護ポリシー#2(第二のセキュリティ保護ポリシーの一例)に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。
セキュリティ保護ポリシー#2は、第一のサービスにおいて第二の端末機器によって使用されるセキュリティ保護ポリシーでにおいてあり、セキュリティ保護ポリシー#2は、第二の端末機器によって第一の端末機器に送信される。例えば、接続を確立するプロセスにおいて、第二の端末機器は、DCRメッセージを第一の端末機器に送信するが、DCRメッセージには、セキュリティ保護ポリシー#2が含まれる。具体的には、DCRメッセージは、制御プレーンセキュリティ保護ポリシー#2および/またはユーザープレーンセキュリティ保護ポリシー#2を含む。別の例として、接続を確立するプロセスにおいて、第二の端末機器は、DSM完了メッセージを第一の端末機器に送信し、DSM完了メッセージには、セキュリティ保護ポリシー#2が含まれる。具体的には、DSM完了メッセージは、制御プレーンセキュリティ保護ポリシー#2および/またはユーザープレーンセキュリティ保護ポリシー#2を含む。
例えば、第一の端末機器が指示情報#1を取得すると、第一の端末機器は、セキュリティ保護ポリシー#1およびセキュリティ保護ポリシー#2において、より高いセキュリティレベルを有するセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定する。降順におけるセキュリティ保護ポリシーのセキュリティレベルは、次の通りにである。すなわち、セキュリティ保護ポリシーは、セキュリティ保護を有効にする必要があることにおいてあり、セキュリティ保護ポリシーは、セキュリティ保護を有効化し得る、または無効化し得ることにおいてあり、セキュリティ保護ポリシーは、セキュリティ保護を有効にする必要がないことにである。
例えば、第一の端末機器が指示情報#1を取得すると、セキュリティ保護ポリシー#1に含まれる制御プレーンセキュリティ保護ポリシー#1および/又はユーザープレーンセキュリティ保護ポリシー#1が、セキュリティ保護を有効にする必要がなく、セキュリティ保護ポリシー#2に含まれる制御プレーンセキュリティ保護ポリシー#2および/またはユーザープレーンセキュリティ保護ポリシー#2が、セキュリティ保護を有効にする必要があることにである場合、第一の端末機器は、セキュリティ保護ポリシー#2のセキュリティレベルがより高いと判定し、第一の端末機器は、セキュリティ保護ポリシー#2に基づいて、接続に対して制御プレーンセキュリティ保護および/またはユーザープレーンセキュリティ保護を有効にすると決定する。別の例として、セキュリティ保護ポリシー#1に含まれる制御プレーンセキュリティ保護ポリシー#1および/またはユーザープレーンセキュリティ保護ポリシー#1が、セキュリティ保護を有効にする必要があり、セキュリティ保護ポリシー#2に含まれる制御プレーンセキュリティ保護ポリシー#2および/またはユーザープレーンセキュリティ保護ポリシー#2が、セキュリティ保護を有効にする必要がない場合、第一の端末機器は、セキュリティ保護ポリシー#1のセキュリティレベルの方がより高いと判定し、第一の端末機器は、セキュリティ保護ポリシー#1に基づいて、接続に対して制御プレーンセキュリティ保護および/またはユーザープレーンセキュリティ保護を有効にすると決定する。別の例として、セキュリティ保護ポリシー#1に含まれる制御プレーンセキュリティ保護ポリシー#1および/またはユーザープレーンセキュリティ保護ポリシー#1が、セキュリティ保護を有効にする必要があり、セキュリティ保護ポリシー#2に含まれる制御プレーンセキュリティ保護ポリシー#2および/またはユーザープレーンセキュリティ保護ポリシー#2が、セキュリティ保護が有効においてあっても無効においてあってもよい場合、第一の端末機器は、セキュリティ保護ポリシー#1のセキュリティレベルの方が高いと判定し、第一の端末機器は、セキュリティ保護ポリシー#1に基づいて、接続に対して制御プレーンセキュリティ保護および/またはユーザープレーンセキュリティ保護を有効にすると決定する。
別の可能な実装では、第一の識別子は、新たなセキュリティ保護ポリシーにである。それに応じて、第一の端末機器は、新たなセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定する。第一の端末機器は、新たなセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定し、これにより、第一の端末機器の処理ロジックがより単純になり、第一の端末機器の処理効率が向上する。
例えば、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護ポリシーにおいてあり、新たなセキュリティ保護ポリシーがセキュリティ保護を有効にする必要があることにである場合、第一の端末機器は、接続に対してセキュリティ保護を有効にすると決定する。
具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子がセキュリティ保護ポリシーにである。新たなセキュリティ保護ポリシーに含まれる制御プレーンセキュリティ保護ポリシーが、セキュリティ保護を有効にする必要があることにである場合、第一の端末機器は、接続に対して制御プレーンセキュリティ保護を有効にすると決定する。新たなセキュリティ保護ポリシーに含まれるユーザープレーンセキュリティ保護ポリシーが、セキュリティ保護を有効にする必要があることにである場合、第一の端末機器は、接続に対してユーザープレーンセキュリティ保護を有効にすると決定する。
より具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護ポリシーにである。新たなセキュリティ保護ポリシーに含まれる制御プレーン機密性保護ポリシーの値がREQUIREDにである場合、第一の端末機器は、接続に対して制御プレーン機密性保護を有効にすると決定する。新たなセキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値がREQUIREDにである場合、第一の端末機器は、接続に対して制御プレーン完全性保護を有効にすると決定する。新たなセキュリティ保護ポリシーに含まれるユーザープレーン機密性保護ポリシーの値がREQUIREDにである場合、第一の端末機器は、接続に対してユーザープレーン機密性保護を有効にすると決定する。または、新たなセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDにである場合、第一の端末機器は、接続に対してユーザープレーン完全性保護を有効にすると決定する。
別の例として、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護ポリシーにおいてあり、新たなセキュリティ保護ポリシーがセキュリティ保護を有効にする必要がないことにである場合、第一の端末機器は、接続に対してセキュリティ保護を無効にすると決定する。
具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護ポリシーにである新たなセキュリティ保護ポリシーに含まれる制御プレーンセキュリティ保護ポリシーが、セキュリティ保護を有効にする必要がないことにである場合、第一の端末機器は、接続に対して制御プレーンセキュリティ保護を無効にすると決定する。新たなセキュリティ保護ポリシーに含まれるユーザープレーンセキュリティ保護ポリシーが、セキュリティ保護を有効にする必要がないことにである場合、第一の端末機器は、接続に対してユーザープレーンセキュリティ保護を無効にすると決定する。
より具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護ポリシーにである。新たなセキュリティ保護ポリシーに含まれる制御プレーン機密性保護ポリシーの値がNOT NEEDEDにである場合、第一の端末機器は、接続に対して制御プレーン機密性保護を無効にすると決定する。新たなセキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値がNOT NEEDEDにである場合、第一の端末機器は、接続に対して制御プレーン完全性保護を無効にすると決定する。新たなセキュリティ保護ポリシーに含まれるユーザープレーン機密性保護ポリシーの値がNOT NEEDEDにである場合、第一の端末機器は、接続に対してユーザープレーン機密性保護を無効にすると決定する。または、新たなセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値がNOT NEEDEDてにである場合、第一の端末機器は、接続に対してユーザープレーン完全性保護を無効にすると決定する。
さらに別の例として、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護ポリシーにおいてあり、新たなセキュリティ保護ポリシーが、セキュリティ保護が有効においてあっても無効においてあってもよいことにである場合、第一の端末機器は、接続に対してセキュリティ保護を有効にするか、接続に対してセキュリティ保護を無効にするかを決定し得る。例えば、第一の端末機器は、ローカルエンドのセキュリティ保護要件に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。例えば、第一の端末機器は、ローカル端のセキュリティ保護要件に基づいて、接続に対してセキュリティ保護を有効するか否かを決定する。第一の端末機器のセキュリティ保護要件が、セキュリティ保護を有効化することにである場合、第一の端末機器は、接続に対してセキュリティ保護を有効にすると決定する。または、第一の端末機器のセキュリティ保護要件が、セキュリティ保護を無効化することにである場合、第一の端末機器は、接続に対してセキュリティ保護を無効にすると決定する。
具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護ポリシーにである。新たなセキュリティ保護ポリシーに含まれる制御プレーンセキュリティ保護ポリシーが、セキュリティ保護を有効にしても無効にしてもよいことにである場合、第一の端末機器は、接続に対して制御プレーンセキュリティ保護を有効にすると決定し得る、または接続に対して制御プレーンセキュリティ保護を無効にすると決定し得る。新たなセキュリティ保護ポリシーに含まれるユーザープレーンセキュリティ保護ポリシーが、セキュリティ保護が有効においてあっても無効においてあってもよいことにである場合、第一の端末機器は、接続に対してユーザープレーンセキュリティ保護を有効にすると決定してもよいし、または接続に対してユーザープレーンセキュリティ保護を無効にすると決定してもよい。
より具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護ポリシーにである。新たなセキュリティ保護ポリシーに含まれる制御プレーン機密性保護ポリシーの値がPREFERREDにである場合、第一の端末機器は、接続に対して制御プレーンセキュリティ保護を有効にすると決定し得る、または接続に対して制御プレーンセキュリティ保護を無効にすると決定し得る。新たなセキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値がPREFERREDにである場合、第一の端末機器は、接続に対して制御プレーンセキュリティ保護を有効にすると決定し得る、または接続に対して制御プレーンセキュリティ保護を無効にすると決定し得る。新たなセキュリティ保護ポリシーに含まれるユーザープレーン機密性保護ポリシーの値がPREFERREDにである場合、第一の端末機器は、接続に対してユーザープレーンセキュリティ保護を有効にすると決定し得る、または接続に対してユーザープレーンセキュリティ保護を無効にすると決定し得る。または、新たなセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値がPREFERREDにである場合、第一の端末機器は、接続に対してユーザープレーンセキュリティ保護を有効にすると決定し得る、または接続に対してユーザープレーンセキュリティ保護を無効にすると決定し得る。
本出願の本実施形態は、新たなセキュリティ保護ポリシーに含まれる制御プレーンセキュリティ保護ポリシーおよびユーザープレーンセキュリティ保護ポリシーの値が同じにであるかどうかを限定することなく、新たなセキュリティ保護ポリシーに含まれる制御プレーン機密性保護ポリシーおよび制御プレーン完全性保護ポリシーの値が同じにであるかどうかを限定することなく、新たなセキュリティ保護ポリシーに含まれるユーザープレーン機密性保護ポリシーおよびユーザープレーン完全性保護ポリシーの値が同じにであるかどうかを決定しないと、理解されるべきにである。
さらに別の可能な実装では、第一の識別子は、新たなセキュリティ保護有効化方式にである。それに応じて、第一の端末機器は、新たなセキュリティ保護有効化方式に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。第一の端末機器は、新たなセキュリティ保護有効化方式に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定し、これにより、第一の端末機器の処理ロジックがより単純になり、第一の端末機器の処理効率が向上する。
例えば、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護有効化方式においてあり、新たなセキュリティ保護有効化方式が、セキュリティ保護を有効化することにである場合、第一の端末機器は、単一接続に対してセキュリティ保護を有効にすると決定する。
具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護有効化方式にである。新たなセキュリティ保護有効化方式に含まれる制御プレーンセキュリティ保護有効化方式が、セキュリティ保護を有効にすることにである場合、第一の端末機器は、接続に対して制御プレーンセキュリティ保護を有効にすると決定する。新たなセキュリティ保護有効化方式に含まれるユーザープレーンセキュリティ保護有効化方式が、セキュリティ保護を有効にすることにである場合、第一の端末機器は、接続に対してユーザープレーンセキュリティ保護を有効にすると決定する。
より具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護有効化方式にである。新たなセキュリティ保護有効化方式に含まれる制御プレーン機密性保護有効化方式が、機密性保護を有効化することにである場合、第一の端末機器は、接続に対して制御プレーン機密性保護を有効化すると決定する。新たなセキュリティ保護有効化方式に含まれる制御プレーン完全性保護有効化方式が、完全性保護を有効化することにである場合、第一の端末機器は、接続に対して制御プレーン完全性保護を有効にすると決定し、新たなセキュリティ保護有効化方式に含まれるユーザープレーン機密性保護有効化方式が、機密性保護を有効化することにである場合、第一の端末機器は、接続に対してユーザープレーン機密性保護を有効にすると決定する。または、新たなセキュリティ保護有効化方式に含まれるユーザープレーン完全性保護有効化方式が、完全性保護を有効化することにである場合、第一の端末機器は、接続に対してユーザープレーン完全性保護を有効にすると決定する。
別の例として、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護有効化方式においてあり、新たなセキュリティ保護有効化方式がセキュリティ保護を無効にすることにである場合、第一の端末機器は、接続に対してセキュリティ保護を無効にすると決定する。
具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護有効化方式にである。新たなセキュリティ保護有効化方式に含まれる制御プレーンセキュリティ保護有効化方式が、セキュリティ保護が無効になることにである場合、第一の端末機器は、接続に対して制御プレーンセキュリティ保護を無効にすると決定する。新たなセキュリティ保護有効化方式に含まれるユーザープレーンセキュリティ保護有効化方式が、セキュリティ保護が無効になることにである場合、第一の端末機器は、接続に対してユーザープレーンセキュリティ保護を無効にすると決定する。
より具体的には、第一の端末機器が第一の識別子を取得し、第一の識別子が新たなセキュリティ保護有効化方式にである。新たなセキュリティ保護有効化方式に含まれる制御プレーン機密性保護有効化方式が、機密性保護が無効になることにである場合、第一の端末機器は、接続に対して制御プレーン機密性保護を無効にすると決定する。新たなセキュリティ保護有効化方式に含まれる制御プレーン完全性保護有効化方式が、完全性保護が無効になることにである場合、第一の端末機器は、接続に対して制御プレーン完全性保護を無効にすると決定し、新たなセキュリティ保護有効化方式に含まれるユーザープレーン機密性保護有効化方法が、機密性保護が無効になることにである場合、第一の端末機器は、接続に対してユーザープレーン機密性保護を無効にすると決定する。または、ユーザープレーン完全性保護有効化方式が、完全性保護が無効になることにである場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーン完全性保護有効化方式が、完全性保護が無効になることにである場合、第一の端末機器は、接続に対してユーザープレーン完全性保護を無効にすると決定する。
本出願の本実施形態は、新たなセキュリティ保護有効化方式に含まれる制御プレーンセキュリティ保護有効化方式およびユーザープレーンセキュリティ保護有効化方式が同じにであるかどうかを限定することなく、新たなセキュリティ保護有効化方式に含まれる制御プレーン機密性保護有効化方式および制御プレーン完全性保護有効化方式が同じにであるかどうかを限定することなく新たなセキュリティ保護有効化方式に含まれるユーザープレーン機密性保護有効化方式およびユーザープレーン完全性保護有効化方式が同じにであるかどうかを決定しないと、理解されるべきである。
さらに別の可能な実装では、第一の識別子は、新たなセキュリティ保護有効化方式および新たなセキュリティ保護ポリシーにある。それに応じて、第一の端末機器は、新たなセキュリティ保護有効化方式または新たなセキュリティ保護ポリシーに基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。
さらに別の可能な実装では、第一の識別子は、指示情報#1および新たなセキュリティ保護ポリシーである。それに応じて、第一の端末機器は、指示情報#1に基づいて、および/または新たなセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定する。
さらに別の可能な実装では、第一の識別子は、指示情報#1および新たなセキュリティ保護有効化方式である。それに応じて、第一の端末機器は、指示情報#1および/または新たなセキュリティ保護有効化方式に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。
さらに別の可能な実装では、第一の識別子は、指示情報#1、新たなセキュリティ保護ポリシー、および新たなセキュリティ保護有効化方式である。それに応じて、第一の端末機器は、指示情報#1および新たなセキュリティ保護有効化方式に基づいて、新たなセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定する。
さらに別の可能な実装では、第一の識別子が端末機器によって使用されるセキュリティ保護有効化方式を示す場合、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。具体的には、第一の端末機器によって、新たなセキュリティ保護有効化方式に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定するための方法への参照を行い得る。第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定し、これにより、第一の端末機器の処理ロジックがより単純になり、第一の端末機器の処理効率が向上する。
上述されるように、第一の端末機器が、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する場合、第一の端末機器は、セキュリティ保護ポリシー#1および/またはセキュリティ保護ポリシー#2を考慮しなくてもよい。したがって、第一の端末機器によって決定される、接続に対するセキュリティ保護有効化方式は、セキュリティ保護ポリシー#1および/またはセキュリティ保護ポリシー#2と一致しないことがある。したがって、第一の識別子が端末機器のセキュリティ保護ポリシーを変更するために使用されるということは、セキュリティ保護有効化方式が、端末機器のためのポリシー制御機能ネットワーク要素によって構成されるセキュリティ保護ポリシーに従って決定されないことがあると理解され得るが、セキュリティ保護有効化方式は、第一の識別子に基づいて決定される。
任意選択として、S320の前に、方法300は、第一の端末機器が、セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致するかどうかを判定することをさらに含む。
セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致することは、セキュリティ保護ポリシー#1の値がREQUIREDであり、かつ、セキュリティ保護ポリシー#2の値がNOT NEEDEDでないこと、セキュリティ保護ポリシー#1の値はNOT NEEDEDであり、かつ、セキュリティ保護ポリシー#2の値がREQUIREDではないこと、セキュリティ保護ポリシー#1およびセキュリティ保護ポリシー#2の両方の値がPREFERREDであること、セキュリティ保護ポリシー#2の値がREQUIREDであり、かつ、セキュリティ保護ポリシー#1の値がNOT REQUIREDでないこと、または、セキュリティ保護ポリシー#2の値がNOT NEEDEDであり、かつ、セキュリティ保護ポリシー#1の値がREQUIREDでないこととし得る。
セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致しないことは、セキュリティ保護ポリシー#1の値がNOT NEEDEDであり、かつ、セキュリティ保護ポリシー#2の値がREQUIREDであること、または、セキュリティ保護ポリシー#1の値はREQUIREDであり、かつ、セキュリティ保護ポリシー#2の値はNOT NEEDEDであることとし得る。さらに、第一の端末機器は、セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致しないと判定すると、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。
S320に説明されるように、第一の端末機器が、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定すると、第一の端末機器および第二の端末機器の間のセキュリティ保護ポリシーの不一致によって引き起こされる、接続確立の失敗が防止することができ、これにより、接続確立手順前の検出手順のシグナリングがさらに無駄になることがなくすことが可能であり、これによってネットワークリソースの効率およびサービスの相互作用に影響を与えることがなくなる。
任意選択として、S320の前に、方法300は、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うかどうかを、第一の端末機器が判定することをさらに含む。
可能な実装では、第一の端末機器が、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うどうかを決定することは、次のことを含む。すなわち、第一の端末機器は、第一のサービスの検出手順において第二の端末機器からサービス検出パラメータを受信すること。および、第一の端末機器は、サービス検出パラメータに基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うかどうかを判定すること。具体的には、サービス検出パラメータが第一の識別子に対応する場合、第一の端末機器は、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うと判定する。または、サービス検出パラメータが第一の識別子に対応しない場合、第一の端末機器は、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行わないと判定する。
本実装では、第一の端末機器および第二の端末機器は、サービス検出パラメータおよび第一の識別子を事前に取得し得て、サービス検出パラメータおよび第一の識別子の間には対応関係があると理解され得る。サービス検出パラメータおよび第一の識別子の対応関係の形式は、第一の識別子がサービス検出パラメータにて伝送されていることであってもよいし、または[サービス検出パラメータ、第一の識別子]のマッピング関係であってもよい。以下では、方法500を参照して、端末機器がサービス検出パラメータおよび第一の識別子を如何に取得するかを説明する。
第二の端末機器に関して、第二の端末機器が第一の識別子に対応するサービス検出パラメータを事前に取得し、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行う場合、第一のサービスの検出手順において、第二の端末機器は、第一の識別子と対応関係を有するサービス検出パラメータを送信する。第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行わない場合、第一のサービスの検出手順において、第二の端末機器は、第一の識別子と対応関係を有しないサービス検出パラメータを送信する。
例えば、サービス検出パラメータは、サービス検出コードである。
別の可能な実装では、第一の端末機器が、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うのかどうかを決定することには、次のことが含まれる。すなわち、第一の端末機器は、接続を確立するプロセスにおいて第二の端末機器から第一のメッセージを受信する。第一の端末機器は、第一のメッセージに基づいて、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うかどうかを判定する。具体的には、第一のメッセージが第一の識別子を含む場合、第一の端末機器は、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うと判定する。または、第一のメッセージが第一の識別子を含方式い場合、第一の端末機器は、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行わないと判定する。
第二の端末機器に関して、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行う場合、第二の端末機器は、第一のメッセージにおける第一の識別子を伝送する。または、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行わない場合、第二の端末機器は、第一のメッセージにおける第一の識別子を伝送しない。
例えば、第一のメッセージは、DCRメッセージであり、または第一のメッセージは、 DSM完了メッセージである。
さらに、第一の端末機器は、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うと判定する場合、第一の端末機器は、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。S330:第一の端末機器は、第一の情報を送信する。それに応じて、S330では、第二の端末機器は、第一の情報を受信する。第一の情報は、接続に対してセキュリティ保護を有効にするか否かを示す。
例えば、第一の情報には、セキュリティ保護アルゴリズムが含まれる。セキュリティ保護アルゴリズムがヌル・アルゴリズムである場合、それは、接続のセキュリティ保護を無効化することを示す。または、セキュリティ保護アルゴリズムが非ヌル・アルゴリズムの場合、接続のセキュリティ保護を有効化することを示す。
任意選択として、第一の情報が第一の識別子をさらに含む場合、それは、接続に対するセキュリティ保護有効化方式が第一の識別子に基づいて決定されることを示す。
例えば、第一の情報は、DSM指示メッセージであり、または、第一の情報は、DCAメッセージである。例えば、第二の端末機器からDCRメッセージを受信した後、第一の端末機器は、第一の識別子に基づいて、接続に対して制御プレーンセキュリティ保護を有効にするか否かを決定し、DSM指示メッセージを第二の端末機器に送信するが、DSM指示メッセージは、接続に対して制御プレーンセキュリティ保護を有効にするか否かを示す。さらに、第二の端末機器からDSM完了メッセージを受信した後、第一の端末機器は、第一の識別子に基づいて、接続に対してユーザープレーンセキュリティ保護を有効にするか否かを決定し、DCAメッセージを第二の端末機器に送信し、DCAメッセージは、接続に対してユーザープレーンセキュリティ保護を有効にするか否かを示す。
S340:第二の端末機器は、第一の情報に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定する。
具体的には、第一の情報が接続に対してセキュリティ保護を有効にすることを示す場合、第二の端末機器は、接続に対してセキュリティ保護を有効にする。または、第一の情報が接続に対してセキュリティ保護を無効にすることを示す場合、第二の端末機器は、接続に対してセキュリティ保護を無効にする。
任意選択として、第二の端末機器が事前に第一の識別子を取得する場合、すなわち、それは、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うことを示す場合、第二の端末機器は、セキュリティ保護ポリシーの一致チェックを実行しない。換言すると、第二の端末機器は、第一の情報に基づいて決定される、接続に対するセキュリティ保護有効化方式がセキュリティ保護ポリシー#2を満たすか否かを確認しない。
任意選択として、第二の端末機器が事前に第一の識別子を取得し、接続を確立するプロセスにおいて、第二の端末機器は第一のメッセージにおいて第一の識別子を伝送する、すなわち、それは、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うことを示す場合、第二の端末機器は、セキュリティ保護ポリシーの一致チェックを実行しない。換言すると、第二の端末機器は、第一の情報に基づいて決定される、接続に対するセキュリティ保護有効化方式がセキュリティ保護ポリシー#2を満たすか否かを確認しない。例えば、第一のメッセージは、DCRメッセージであり、または第一のメッセージは、DSM完了メッセージである。
任意選択として、第一の情報が第一の識別子を含む場合、第二の端末機器は、第一の識別子に基づいて、接続に対するセキュリティ保護有効化方式が第一の識別子に基づいて決定されると判定する。さらに、第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行う場合、接続に対してセキュリティ保護を有効にするか否かということが、第一の情報に基づいて決定される。
本出願の本実施形態では、第一の端末機器が第一のサービスのために第二の端末機器との接続を確立するプロセスにおいて、第一の端末機器は、第一の識別子に基づいて、二つの端末機器のセキュリティ保護ポリシーに従って、接続に対してセキュリティ保護を有効にするか否かを決定する代わりに、接続に対してセキュリティ保護を有効にするか否かを決定し得る。これにより、二つの端末機器のセキュリティ保護ポリシーが一致しない場合に、接続に対してセキュリティ保護を有効にするか否かを正常に判定することができない事態を回避することができ、接続確立失敗によって引き起こされる、シグナリングの無駄をさらに回避することができる。
さらに、第一の端末機器が、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定するとき、第一の端末機器は、接続に対するセキュリティ保護有効化方式がローカル端のセキュリティ保護ポリシーに一致するかどうかを確認しなくてもよく、または、第一の端末機器は、第二の端末機器のセキュリティ保護ポリシーがローカル端のセキュリティ保護ポリシーと一致するかどうかを確認しなくてもよく、これにより、端末機器の処理リソースを節約することができる。第二の端末機器が、第一の識別子に基づいて、接続に対してセキュリティ保護を有効にするか否かを決定するとき、第二の端末機器は、接続に対するセキュリティ保護有効化方式がローカル端のセキュリティ保護ポリシーに一致するかどうかを確認しなくてもよく、これにより、端末機器の処理リソースを節約することができる。
図3における方法は、図4ないし図7Aおよび図7Bにおける具体的なの実施形態を参照して、詳細に後述される。図4および図5を参照すると、端末機器によって、コア・ネットワーク要素から第一の識別子を受信する方法を説明する。図6A、図6B、図7A、および図7Bを参照すると、図3における方法は、第一のサービスがProSeサービスであり、第一のサービスの接続がPC5のユニキャスト接続である例を使用して、詳細に説明される。
本出願の一実施形態による、通信方法を示す模式的フローチャートである。図4に示されるように、方法400は、S410ないしS450を含み得る。以下にステップを詳細に説明する。図4において、コア・ネットワーク要素がポリシー制御機能ネットワーク要素である例は、端末機器によってコア・ネットワーク要素から第一の識別子を受信する方法を説明するために使用される。
S410:アプリケーション機能ネットワーク要素は、第一のサービスのセキュリティ保護ポリシー構成#1に含まれる複数のセキュリティ保護ポリシーの値が異なり、複数のセキュリティ保護ポリシーには、地理的に異なる場所にある第一のサービスの接続のセキュリティ保護ポリシーが含まれると判定する。
具体的には、アプリケーション機能ネットワーク要素は、アプリケーション要件に基づいて、第一のサービスのセキュリティ保護ポリシー構成#1を決定し、第一のサービスのセキュリティ保護ポリシー構成#1は、複数のセキュリティ保護ポリシーと、複数のセキュリティを含み、複数の保護ポリシーは、地理的に異なる場所にある第一のサービスの接続の制御プレーンセキュリティ保護ポリシーおよび/またはユーザープレーンセキュリティ保護ポリシーに対応する。セキュリティ保護ポリシーには、機密性保護ポリシーおよび/または完全性保護ポリシーが含まれることは、留意されるべきである。例えば、制御プレーンセキュリティ保護ポリシーは、制御プレーン機密性保護ポリシーおよび/または制御プレーン完全性保護ポリシーを含み、ユーザープレーンセキュリティ保護ポリシーは、ユーザープレーン機密性保護ポリシーおよび/またはユーザープレーン完全性保護ポリシーを含む。例えば、第一のサービスのセキュリティ保護ポリシー構成#1を表1に示す。第一のサービスのセキュリティ保護ポリシー構成#1には、三つのセキュリティ保護ポリシーが含まれ、三つのセキュリティ保護ポリシーは3箇所の地理的な場所にそれぞれに対応すると仮定する。地理的な場所#Aでは、第一のサービスの接続のセキュリティ保護ポリシーは、セキュリティ保護ポリシー#Aである。地理的な場所#Bでは、第一のサービスの接続のセキュリティ保護ポリシーは、セキュリティ保護ポリシー#Bである。地理的な場所#Cでは、第一のサービスの接続のセキュリティ保護ポリシーは、セキュリティ保護ポリシー#Cである。
別の例として、第一のサービスのセキュリティ保護ポリシー構成#1を表2に示す。第一のサービスのセキュリティ保護ポリシー構成#1には、二つのセキュリティ保護ポリシーが含まれ、二つのセキュリティ保護ポリシーは、3箇所の地理的な場所に対応すると仮定する。地理的な場所#Aでは、第一のサービスの接続のセキュリティ保護ポリシーは、セキュリティ保護ポリシー#Aである。地理的な場所#Bおよび地理的な場所#Cでは、第一のサービスの接続のセキュリティ保護ポリシーは、セキュリティ保護ポリシー#Bである。
さらに、アプリケーション機能ネットワーク要素は、複数のセキュリティ保護ポリシーの値が同じであるかどうかを判定する。複数のセキュリティ保護ポリシーの値が異なる場合、アプリケーション機能ネットワーク要素は、指示情報#2(第二の指示情報の一例)を生成する。指示情報#2は、接続確立中に、第一のサービスのセキュリティ保護ポリシーが強制的に変更されることがあることを示す。あるいは、指示情報#2は、接続確立中に、第一のサービスのセキュリティ保護ポリシーが強制的に変更されることがあることを示し、接続確立中に第一のサービスのセキュリティ保護ポリシーが強制的に変更されると、第一のサービスを利用する全ての端末機器が、同じセキュリティ保護ポリシーを使用する。あるいは、指示情報#2は、接続確立中に、第一のサービスのセキュリティ保護ポリシーが強制的に変更されることがあることを示し、接続確立中に第一のサービスのセキュリティ保護ポリシーが強制的に変更されると、第一のサービスを利用する全ての端末機器が、同じセキュリティ保護有効化方式を使用する。例えば、指示情報#2は、セキュリティ保護ポリシー強制的変更指示と名付けられ得る。例えば、第一の識別子は、「無効化指示」または「上書き指示」として表され得る。
上述されるように、第一のサービスのセキュリティ保護ポリシー構成#1に含まれる複数のセキュリティ保護ポリシーは、地理的に異なる場所に対応する。複数のセキュリティ保護ポリシーの値が異なる場合、それは、地理的に異なる場所にある第一のサービスの接続のセキュリティ保護ポリシーが異なることを示す。地理的に異なる場所にある端末機器については、異なるセキュリティ保護ポリシーが、第一のサービスの接続に使用され得る。例えば、第一のサービスのセキュリティ保護ポリシー構成#1を表1に示す。セキュリティ保護ポリシー#Aおよびセキュリティ保護ポリシー#Bの値が異なる場合、地理的な場所#Aにある端末機器#Aおよび地理的な場所#Bにある端末機器#Bは、第一のサービスの接続において異なるセキュリティ保護ポリシーを使用し得る。
複数のセキュリティ保護ポリシーの値が異なることは、複数のセキュリティ保護ポリシーのうちの何れか二つの値が異なること、または複数のセキュリティ保護ポリシーのうちの少なくとも二つの値が異なることを含む。
上述されるように、セキュリティ保護ポリシーには、制御プレーンセキュリティ保護ポリシーおよび/またはユーザープレーンセキュリティ保護ポリシーが含まれる。二つのセキュリティ保護ポリシーの値が異なることには、二つのセキュリティ保護ポリシーにそれぞれ含まれる制御プレーンセキュリティ保護ポリシーおよび/またはユーザープレーンセキュリティ保護ポリシーが異なることが含まれる。例えば、二つのセキュリティ保護ポリシーの値が異なることには、二つのセキュリティ保護ポリシーに含まれる制御プレーンのセキュリティ保護ポリシーの値が異なること、二つのセキュリティ保護ポリシーに含まれるユーザープレーンのセキュリティ保護ポリシーの値が異なること、または、二つのセキュリティ保護ポリシーに含まれる制御プレーンのセキュリティ保護ポリシーの値が異なり、かつ、二つのセキュリティ保護ポリシーに含まれるユーザープレーンのセキュリティ保護ポリシーの値が異なることが含まれる。
さらに、二つの制御プレーンセキュリティ保護ポリシーが異なることには、二つの制御プレーンセキュリティ保護ポリシーにそれぞれ含まれる制御プレーン機密性保護ポリシーおよび/または制御プレーン完全性保護ポリシーが異なることが含まれる。例えば、二つの制御プレーンセキュリティ保護ポリシーの値が異なることには、二つの制御プレーンセキュリティ保護ポリシーに含まれる制御プレーン機密性保護ポリシーの値が異なること、二つの制御プレーン セキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値は異なること、または、二つの制御プレーンセキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値が異なり、かつ、二つの制御プレーンセキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値が異なることが含まれる。
二つのユーザープレーンセキュリティ保護ポリシーが異なることには、二つのユーザープレーンセキュリティ保護ポリシーにそれぞれ含まれるユーザープレーン機密性保護ポリシーおよび/またはユーザープレーン完全性保護ポリシーが異なることが含まれる。例えば、二つのユーザープレーンセキュリティ保護ポリシーの値が異なることには、二つのユーザープレーンセキュリティ保護ポリシーに含まれるユーザープレーン機密性保護ポリシーの値が異なること、二つのユーザープレーンセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値が異なること、または、二つのユーザープレーンセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値が異なり、かつ、二つのユーザープレーンセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値が異なることが含まれる。
任意選択として、アプリケーション機能ネットワーク要素は、既定では、指示情報#2を生成し得る。換言すると、第一のサービスのセキュリティ保護ポリシー構成#1に含まれる複数のセキュリティ保護ポリシーの値が同一であるかどうかに関わらず、アプリケーション機能ネットワーク要素は、指示情報#2を生成する。さらに、アプリケーション機能ネットワーク要素は、指示情報#2を生成する前に、複数のセキュリティ保護ポリシーの値が同じであるかどうかを判定しなくてもよい。
任意選択として、S410の前に、方法400は、S430をさらに含む。すなわち、アプリケーション機能ネットワーク要素は、要求メッセージ#1(第一の要求メッセージの一例)を受信する。要求メッセージ#1は、指示情報#2を要求するために使用される。アプリケーション機能ネットワーク要素は、要求メッセージ#1を受信した後、要求メッセージ#1に基づいて指示情報#2を生成する。例えば、要求メッセージ#1は、ネットワーク公開機能ネットワーク要素を使用することにより、ポリシー制御機能ネットワーク要素によってアプリケーション機能ネットワーク要素に送信される。別の例として、要求メッセージ#1は、ポリシー制御機能ネットワーク要素によってアプリケーション機能ネットワーク要素に直接送信される。
S420:アプリケーション機能ネットワーク要素は、指示情報#2を送信する。それに応じて、S420では、ポリシー制御機能ネットワーク要素(第一のコア・ネットワーク要素の一例)は、指示情報#2を受信する。
方法300では、ポリシー制御機能ネットワーク要素は、第一の端末機器および/または第二の端末機器にサービスを提供する。
例えば、アプリケーション機能ネットワーク要素は、指示情報#2をネットワーク公開機能ネットワーク要素に送信し、次いで、ネットワーク公開機能ネットワーク要素は、指示情報#2を統合データウェアハウスネットワーク要素に送信し、次いで、統合データウェアハウスネットワーク要素は、指示情報#2をポリシー制御機能ネットワーク要素に送信する。
別の例として、アプリケーション機能ネットワーク要素は、指示情報#2をポリシー制御機能ネットワーク要素に直接送信する。
任意選択として、S420の前に、方法400は、S430をさらに含む。すなわち、ポリシー制御機能ネットワーク要素は、要求メッセージ#1をアプリケーション機能ネットワーク要素に送信し、要求メッセージ#1は、指示情報#2の取得を要求するために使用される。それに応じて、アプリケーション機能ネットワーク要素は、要求メッセージ#1を受信した後、指示情報#2をポリシー制御機能ネットワーク要素に送信する。
任意選択として、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定し判定すると、ポリシー制御機能ネットワーク要素は、要求メッセージ#1をアプリケーション機能ネットワーク要素に送信する。セキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの異なる値の意味については、S410における説明を参照されたい。
第一のサービスのセキュリティ保護ポリシー構成は、アプリケーション機能ネットワーク要素から取得される第一のサービスのセキュリティ保護ポリシー構成#1に基づいて決定される。アプリケーション機能ネットワーク要素から取得される第一のサービスのセキュリティ保護ポリシー構成#1に基づいて、第一のサービスのセキュリティ保護ポリシー構成を決定することは、ネットワーク公開機能ネットワーク要素によって実行されてもよいし、または別のコア・ネットワーク要素、例えば、ポリシー機能制御ネットワーク要素によって実行されてもよいことは、留意されるべきである。セキュリティ保護ポリシー構成#1に含まれる複数のセキュリティ保護ポリシーは、セキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーのセキュリティ保護要件と同じであり、異なるのは、セキュリティ保護ポリシーの名称が異なってもよいし、または同じであってもよいことにあるは、理解されるべきである。例えば、セキュリティ保護ポリシー設定#1に含まれるセキュリティ保護ポリシー#Aと、セキュリティ保護ポリシー設定に含まれるセキュリティ保護ポリシー#Aとは、両方ともセキュリティ有効化が必要であり、セキュリティ保護ポリシー設定#1に含まれるセキュリティ保護ポリシー#Aの値は、REQUIREDであり、セキュリティ保護ポリシー構成#1に含まれるセキュリティ保護ポリシー#Aの値はREQUIREDでなくてもよい。
S440:ポリシー制御機能ネットワーク要素は、第一のサービスのセキュリティ保護ポリシー構成および指示情報#2に基づいて、第一の識別子を決定する。
第一のサービスのセキュリティ保護ポリシー構成は、アプリケーション機能ネットワーク要素から取得される第一のサービスのセキュリティ保護ポリシー構成#1に基づいて決定される。アプリケーション機能ネットワーク要素から取得される第一のサービスのセキュリティ保護ポリシー構成#1に基づいて、第一のサービスのセキュリティ保護ポリシー構成を決定することは、ネットワーク公開機能ネットワーク要素によって実行されてもよく、または、別のコア・ネットワーク要素、例えば、ポリシー機能制御ネットワーク要素によって実行されてもよいことは、留意されるべきである。
第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用される。具体的には、第一の識別子は、第一のサービスにおいて端末機器によって使用されるセキュリティ保護ポリシーを変更するために使用され、第一のサービスにおいて端末機器によって使用されるセキュリティ保護ポリシーは、端末機器のためのポリシー制御機能ネットワーク要素によって構成される。
例えば、第一の識別子は、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および指示情報#1のうちの一つまたは複数である。
新たなセキュリティ保護ポリシーは、第一のサービスのセキュリティ保護ポリシー構成および指示情報#2に基づいて、ポリシー制御機能ネットワーク要素によって決定されるセキュリティ保護ポリシーである。新たなセキュリティ保護ポリシーは、セキュリティ保護ポリシー構成に含まれるセキュリティ保護ポリシーと同じであってもよいし、またはセキュリティ保護ポリシー構成に含まれるセキュリティ保護ポリシーと異なってもよい。これは、本出願の実施形態では限定されない。第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用されるため、新たなセキュリティ保護ポリシーは、端末機器のセキュリティ保護ポリシーが変更されるときに使用されるセキュリティ保護ポリシーと見做され得る。
新たなセキュリティ保護有効化方式は、第一のサービスのセキュリティ保護ポリシー構成および指示情報#2に基づいて、ポリシー制御機能ネットワーク要素によって決定されるセキュリティ保護有効化方式である。新たなセキュリティ保護有効化方式は、セキュリティ保護ポリシー構成に含まれるセキュリティ保護ポリシーと一致することもあるし、または、セキュリティ保護ポリシー構成に含まれるセキュリティ保護ポリシーと一致しないこともある。これは、本出願の実施形態では限定されない。セキュリティ保護有効化方式がセキュリティ保護ポリシーと一致することは、次のこととし得る。すなわち、セキュリティ保護有効化方式は、セキュリティ保護が有効であり、かつ、セキュリティ保護ポリシーの値がNOT NEEDEDでないこと、または、セキュリティ保護有効化方式は、セキュリティ保護が無効であり、かつ、セキュリティ保護ポリシーの値がREQUIREDではないこと。セキュリティ保護有効化方式がセキュリティ保護ポリシーと一致しないことは、次のこととし得る。すなわち、セキュリティ保護有効化方式は、セキュリティ保護が有効であり、かつ、セキュリティ保護ポリシーの値がNOT NEEDEDであること、または、セキュリティ保護有効化方式は、セキュリティ保護が無効であり、かつ、セキュリティ保護ポリシーの値がREQUIREDであること。第一の識別子が端末機器のセキュリティ保護ポリシーを変更するために使用されるため、新たなセキュリティ保護有効化方式は、端末機器のセキュリティ保護ポリシーが変更されるときに使用されるセキュリティ保護有効化方式と見做され得る。
指示情報#1は、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。具体的には、指示情報#1は、第一のサービスの接続を確立するプロセスにおいて、端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す。あるいは、指示情報#1は、第一のサービスにおいて端末機器によって使用されるセキュリティ保護ポリシーの強制的変更が許可されることを示す。
任意選択として、第一の識別子は、端末機器によって使用されるセキュリティ保護有効化方式をさらに示し得て、端末機器のセキュリティ保護ポリシーを変更するために使用されない。具体的には、第一の識別子は、第一のサービスにおいて端末機器によって使用されるセキュリティ保護有効化方式を示す。
可能な実装では、指示情報#2を受信すると、ポリシー制御機能ネットワーク要素は、第一のサービスのセキュリティ保護ポリシー構成および指示情報#2に基づいて、第一の識別子を決定する。
別の可能な実装では、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定し判定すると、ポリシー制御機能ネットワーク要素は、セキュリティ保護ポリシー構成および指示情報#2に基づいて、第一の識別子を決定する。具体的には、複数のセキュリティ保護ポリシーの意味、および複数のセキュリティ保護ポリシーの異なる値の意味については、S410における説明を参照されたい。
以下に、ポリシー制御機能ネットワーク要素が第一の識別子を決定する方式を、詳細に説明する。
例えば、ポリシー制御機能ネットワーク要素は、次の幾つかの方式においてセキュリティ保護ポリシー構成および指示情報#2に基づいて、第一の識別子を決定する。
方式1
指示情報#2が、接続確立中に、第一のサービスのセキュリティ保護ポリシーが強制的に変更されるときに、セキュリティ保護を有効にする必要があることをさらに示す場合、ポリシー制御機能ネットワーク要素は、指示情報#2に基づいて、第一の識別子が新たなセキュリティ保護ポリシーであり、新たなセキュリティ保護ポリシーの値はREQUIREDであることを決定する。
具体的には、指示情報#2が制御プレーンセキュリティ保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護ポリシーに含まれる制御プレーンセキュリティ保護ポリシーの値がREQUIREDである。または、指示情報#2がユーザープレーンセキュリティ保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーンセキュリティ保護ポリシーの値がREQUIREDである。
より具体的には、指示情報#2が制御プレーン機密性保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護ポリシーに含まれる制御プレーン機密性保護ポリシーの値がREQUIREDである。指示情報#2が、制御プレーン完全性保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値がREQUIREDである。指示情報#2がユーザープレーン機密性保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーン機密性保護ポリシーの値がREQUIREDである。または、指示情報#2がユーザープレーン完全性保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDである。
指示情報#2が、接続確立中に、第一のサービスのセキュリティ保護ポリシーが強制的に変更されるときに、セキュリティ保護を有効にする必要がないことをさらに示す場合、ポリシー制御機能ネットワーク要素は、指示情報#2に基づいて、第一の識別子は新たなセキュリティ保護ポリシーであり、新たなセキュリティ保護ポリシーの値はNOT NEEDEDである。
具体的には、指示情報#2が制御プレーンセキュリティ保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護ポリシーに含まれる制御プレーンセキュリティ保護ポリシーの値はNOT NEEDEDである。または、指示情報#2がユーザープレーンセキュリティ保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーンセキュリティ保護ポリシーの値はNOT NEEDEDである。
より具体的には、指示情報#2が制御プレーン機密性保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護ポリシーに含まれる制御プレーン機密性保護ポリシーの値はNOT NEEDEDである。指示情報#2が制御プレーン完全性保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値はNOT NEEDEDである。指示情報#2がユーザープレーン機密性保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーン機密性保護ポリシーの値はNOT NEEDEDである。または、指示情報#2がユーザープレーン完全性保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値はNOT NEEDEDである。
方式2
指示情報#2が、接続確立中に、第一のサービスのセキュリティ保護ポリシーが強制的に変更されるときに、セキュリティ保護を有効にする必要があることをさらに示す場合、ポリシー制御ネットワーク要素は、指示情報#2に基づいて、第一の識別子が、新たなセキュリティ保護有効化方式であり、新たなセキュリティ保護有効化方式が、セキュリティ保護を有効化することである。
具体的には、指示情報#2が制御プレーンセキュリティ保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護有効化方式に含まれる制御プレーンセキュリティ保護有効化方式は、セキュリティ保護を有効化することである。または、指示情報#2がユーザープレーンセキュリティ保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーンセキュリティ保護有効化方式は、セキュリティ保護を有効化することである。
より具体的には、指示情報#2が制御プレーン機密性保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護有効化方式に含まれる制御プレーン機密性保護有効化方式は、機密性保護を有効化することである。指示情報#2が制御プレーン完全性保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護有効化方式に含まれる制御プレーン完全性保護有効化方式は、完全性保護を有効化することである。指示情報#2がユーザープレーン機密性保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーン機密性保護有効化方式は、機密性保護を有効化することである。または、指示情報#2がユーザープレーン完全性保護を有効にする必要があることをさらに示す場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーン完全性保護有効化方式は、完全性保護を有効化することである。
指示情報#2が、接続確立中に、第一のサービスのセキュリティ保護ポリシーが強制的に変更されるときに、セキュリティ保護を有効にする必要がないことをさらに示す場合、ポリシー制御機能ネットワーク要素は、指示情報#2に基づいて、第一の識別子が、新たなセキュリティ保護有効化方式であり、新たなセキュリティ保護有効化方式が、セキュリティ保護を無効化することである。
具体的には、指示情報#2が制御プレーンセキュリティ保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護有効化方式に含まれる制御プレーンセキュリティ保護有効化方式は、セキュリティ保護を無効化することである。または、指示情報#2がユーザープレーンセキュリティ保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーンセキュリティ保護有効化方式は、セキュリティ保護を無効化することである。
より具体的には、指示情報#2が制御プレーン機密性保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護有効化方式に含まれる制御プレーン機密性保護有効化方式は、機密性保護を無効化することである。指示情報#2が制御プレーン完全性保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護有効化方式に含まれる制御プレーン完全性保護有効化方式は、完全性保護を無効化することである。指示情報#2がユーザープレーン機密性保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーン機密性保護有効化方式は、機密性保護を無効化することである。または、指示情報#2がユーザープレーン完全性保護を有効にする必要がないことをさらに示す場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーン完全性保護有効化方式は、完全性保護を無効化することである。
任意選択として、方法2では、ポリシー制御機能ネットワーク要素によって決定される第一の識別子は、端末機器によって使用されるセキュリティ保護有効化方式を示し、端末機器のセキュリティ保護ポリシーを変更するために使用されない。具体的には、端末機器によって使用される第一の識別子で示されるセキュリティ保護有効化方式は、前述の新たなセキュリティ保護有効化方式と同じである。詳細については、本明細書では改めて説明されない。
方式3
指示情報#2が、接続確立中に第一のサービスのセキュリティ保護ポリシーが強制的に変更され得ることを示す、または指示情報#2が、第一のサービスを利用する全ての端末機器が同じセキュリティ保護ポリシーを使用することを示す場合、第一の識別子は、ポリシー制御機能ネットワーク要素によって決定される指示情報#1が、指示情報#1である。
方式4
指示情報#2が、接続確立中に第一のサービスのセキュリティ保護ポリシーが強制的に変更され得ることを示す、または指示情報#2が、接続確立中に第一のサービスのセキュリティ保護ポリシーが強制的に変更され得ることを示し、接続確立中に第一のサービスのセキュリティ保護ポリシーが強制的に変更されると、第一のサービスを利用する全ての端末機器が、同じセキュリティ保護ポリシーを使用する場合、ポリシー制御機能ネットワーク要素は、第一のサービスのセキュリティ保護ポリシー構成に基づいて第一の識別子を決定し、第一の識別子は、新たなセキュリティ保護ポリシーである。
例えば、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーのうちの少なくとも一つの値がREQUIREDである場合、新たなセキュリティ保護ポリシーの値がREQUIREDである。
具体的には、複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれる制御プレーンセキュリティ保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護ポリシーに含まれる制御プレーンセキュリティ保護ポリシーの値がREQUIREDである。または、複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれるユーザープレーンセキュリティ保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーンセキュリティ保護ポリシーの値がREQUIREDである。
より具体的には、複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれる制御プレーン機密性保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護ポリシーに含まれる制御プレーン機密性保護ポリシーの値がREQUIREDである。複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれる制御プレーン完全性保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値がREQUIREDである。複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれるユーザープレーン機密性保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーン機密性保護ポリシーの値がREQUIREDである。または、複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDである。
例えば、複数のセキュリティ保護ポリシーのうちの何れか一つの値がREQUIREDでない場合、新たなセキュリティ保護ポリシーの値はNOT NEEDEDである。
具体的には、複数のセキュリティ保護ポリシーのうちの何れか一つに含まれる制御プレーンセキュリティ保護ポリシーの値がいずれかでない場合、新たなセキュリティ保護ポリシーに含まれる制御プレーンセキュリティ保護ポリシーの値はNOT NEEDEDである。または、複数のセキュリティ保護ポリシーの何れか一つに含まれるユーザープレーンセキュリティ保護ポリシーの値がREQUIREDではない場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーンセキュリティ保護ポリシーの値はNOT NEEDEDである。
より具体的には、複数のセキュリティ保護ポリシーのうちの何れか一つに含まれる制御プレーン機密性保護ポリシーの値がREQUIREDでない場合、新たなセキュリティ保護ポリシーに含まれる制御プレーン機密性保護ポリシーの値はNOT NEEDEDである。複数のセキュリティ保護ポリシーのうちの何れか一つに含まれる制御プレーン完全性保護ポリシーの値がREQUIREDではない場合、新たなセキュリティ保護ポリシーに含まれる制御プレーン完全性保護ポリシーの値はNOT NEEDEDである。複数のセキュリティ保護ポリシーのうちの何れか一つに含まれるユーザープレーン機密性保護ポリシーの値がREQUIREDではない場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーン機密性保護ポリシーの値はNOT NEEDEDである。または、複数のセキュリティ保護ポリシーの何れか一つに含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDではない場合、新たなセキュリティ保護ポリシーに含まれるユーザープレーン完全性保護ポリシーの値はNOT NEEDEDである。
方式5
指示情報#2が、接続確立中に第一のサービスのセキュリティ保護ポリシーが強制的に変更され得ることを示す、または指示情報#2が、接続確立中に第一のサービスのセキュリティ保護ポリシーが強制的に変更され得ることを示し、接続確立中に第一のサービスのセキュリティ保護ポリシーが強制的に変更されると、第一のサービスを利用する全ての端末機器が、同じセキュリティ保護ポリシーを使用する場合、ポリシー制御機能ネットワーク要素は、第一のサービスのセキュリティ保護ポリシー構成に基づいて第一の識別子を決定し、第一の識別子は、新たなセキュリティ保護有効化方式である。
例えば、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーのうちの少なくとも一つの値がREQUIREDである場合、新たなセキュリティ保護有効化方式は、セキュリティ保護を有効化することである。
具体的には、複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれる制御プレーンセキュリティ保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護有効化方式に含まれる制御プレーンセキュリティ保護有効化方式は、セキュリティ保護を有効化することである。または、複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれるユーザープレーンセキュリティ保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーンセキュリティ保護有効化方式は、セキュリティ保護を有効化することである。
より具体的には、複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれる制御プレーン機密性保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護有効化方式に含まれる制御プレーン機密性保護有効化方式は、機密性保護を有効化することである。複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれる制御プレーン完全性保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護有効化方式に含まれる制御プレーン完全性保護有効化方式は、完全性保護を有効化することである。複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれるユーザープレーン機密性保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーン機密性保護有効化方式は、機密性保護を有効化することである。または、複数のセキュリティ保護ポリシーのうちの少なくとも一つに含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーン完全性保護有効化方式は、完全性保護を有効化することである。
例えば、複数のセキュリティ保護ポリシーのうちの何れか一つの値がREQUIREDではない場合、新たなセキュリティ保護有効化方式は、セキュリティ保護を無効化することである。
具体的には、複数のセキュリティ保護ポリシーのうちの何れか一つに含まれる制御プレーンセキュリティ保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護有効化方式に含まれる制御プレーンセキュリティ保護有効化方式は、セキュリティ保護を無効化することである。または、複数のセキュリティ保護ポリシーの何れか一つに含まれるユーザープレーンセキュリティ保護ポリシーの値がREQUIREDである場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーンセキュリティ保護有効化方式は、セキュリティ保護を無効化することである。
より具体的には、複数のセキュリティ保護ポリシーのうちの何れか一つに含まれる制御プレーン機密性保護ポリシーの値がREQUIREDではない場合、新たなセキュリティ保護有効化方式に含まれる制御プレーン機密性保護有効化方式は、機密性保護を有効化することである。複数のセキュリティ保護ポリシーのうちの何れか一つに含まれる制御プレーン完全性保護ポリシーの値がREQUIREDではない場合、新たなセキュリティ保護有効化方式に含まれる制御プレーン完全性保護有効化方式は、完全性保護を無効化することである。複数のセキュリティ保護ポリシーのうちの何れか一つに含まれるユーザープレーン機密性保護ポリシーの値がREQUIREDではない場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーン機密性保護有効化方式は、機密性保護を無効化することである。または、複数のセキュリティ保護ポリシーのうちの何れか一つに含まれるユーザープレーン完全性保護ポリシーの値がREQUIREDではない場合、新たなセキュリティ保護有効化方式に含まれるユーザープレーン完全性保護有効化方式は、完全性保護を無効化することである。
任意選択として、方法5では、ポリシー制御機能ネットワーク要素によって決定される第一の識別子は、端末機器によって使用されるセキュリティ保護有効化方式を示し、端末機器のセキュリティ保護ポリシーを変更するために使用されない。具体的には、端末機器によって使用され、第一の識別子によって指示されるセキュリティ保護有効化方式は、前述の新たなセキュリティ保護有効化方式と同じである。詳細については、本明細書では改めて説明されない。
任意選択として、ポリシー制御機能ネットワーク要素は、第一のサービスのセキュリティ保護ポリシー構成に基づいて、第一の識別子を決定し得る。換言すると、ポリシー制御機能ネットワーク要素が指示情報#2を受信しなくても、ポリシー制御機能ネットワーク要素は、第一のサービスのセキュリティ保護ポリシー構成に基づいて、第一の識別子を決定し得る。具体的には、第一のサービスのセキュリティ保護ポリシーに含まれる複数のセキュリティ保護ポリシーの値が異なると判定する場合、ポリシー制御機能ネットワーク要素は、第一のサービスのセキュリティ保護ポリシー構成に基づいて、第一の識別子を決定する。ポリシー制御機能ネットワーク要素が第一のサービスのセキュリティ保護ポリシー構成に基づいて第一の識別子を決定する方法については、方式4から方式5を参照されたい。簡潔にするため、詳細については、本明細書では改めて説明されない。
任意選択として、ポリシー制御機能ネットワーク要素は、ネットワーク公開機能ネットワーク要素または統合データウェアハウスネットワーク要素から第一の識別子をさらに受信し得る。換言すると、ネットワーク公開機能ネットワーク要素または統合データウェアハウスネットワーク要素は、第一の識別子を判定し、次いで、第一の識別子をポリシー制御機能ネットワーク要素に送信する。具体的には、ネットワーク公開機能ネットワーク要素または統合データウェアハウスネットワーク要素が第一の識別子を判定する方式は、ポリシー制御機能ネットワーク要素が第一の識別子を判定する方式と同じである。簡潔にするために、詳細については、本明細書では改めて説明されない。
S450:ポリシー制御機能ネットワーク要素は、第一の識別子を送信する。それに応じて、S450では、端末機器は、第一の識別子を受信する。
例えば、第一のサービスのセキュリティ保護ポリシー構成を端末機器に送信するとき、ポリシー制御機能ネットワーク要素は、第一の識別子を端末機器に送信し得る。換言すると、ポリシー制御機能ネットワーク要素は、第一のサービスのセキュリティ保護ポリシー構成および第一の識別子を含む同じシグナリングの部分を端末機器に送信し得る。
本出願の本実施形態では、第一のサービスのセキュリティ保護ポリシー構成および指示情報#2に基づいて、第一の識別子を決定した後、ポリシー制御機能ネットワーク要素は、第一の識別子を端末機器に送信する。これは、端末機器が第一の識別子に基づいてセキュリティ保護ポリシーを変更するのに役立つ。これは、両端にある端末機器のセキュリティ保護ポリシーが一致しないために引き起こされる、第一のサービスの接続確立失敗を回避することができる。
本出願の一実施形態による、通信方法を示す模式的フローチャートである。図5に示されるように、方法500は、S510およびS520を含み得る。以下にステップを詳細に説明する。図5では、コア・ネットワーク要素が直接通信検出名称管理機能ネットワーク要素である例は、コア・ネットワーク要素から端末機器によって第一の識別子を受信する方法を説明するために使用される。
S510:直接通信検出名称管理機能ネットワーク要素#A(第一のコア・ネットワーク要素の一例)は、第一の識別子を取得する。
直接通信検出名称管理機能ネットワーク要素#Aは、端末機器#Aにサービスを提供し、端末機器#Aは、方法300における第一の端末機器または第二の端末機器である。第一の識別子の説明については、S440を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
例えば、直接通信検出名称管理機能ネットワーク要素#Aは、次の幾つかの方式において第一の識別子を取得する。
方式1
直接通信検出名称管理機能ネットワーク要素#Aは、ポリシー制御機能ネットワーク要素#Aから第一の識別子を受信する。ポリシー制御機能ネットワーク要素#Aは、端末機器#Aに対してサービスを提供する。
例えば、ポリシー制御機能ネットワーク要素#Aは、既定では、第一の識別子を直接通信検出名称管理機能ネットワーク要素#Aに送信する。例えば、第一のサービスのセキュリティ保護ポリシー構成を直接通信検出名称管理機能ネットワーク要素#Aに送信する場合、ポリシー制御機能ネットワーク要素#Aは、既定では、第一の識別子を直接通信検出名称管理機能ネットワーク要素#に送信する。
第一の識別子は、ポリシー制御機能ネットワーク要素#Aによって決定されるか、または第一の識別子は、ポリシー制御機能ネットワーク要素#Aによってネットワーク公開機能ネットワーク要素から受信されるか、または第一の識別子は、ポリシー制御機能ネットワーク#Aによって統合データウェアハウスネットワーク要素から受信される。具体的には、ポリシー制御機能ネットワーク要素#Aが第一の識別子を決定する方法については、S440を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
任意選択として、方法500は、直接通信検出名称管理機能ネットワーク要素#Aが、要求メッセージ#2をポリシー制御機能ネットワーク要素#Aに送信し、要求メッセージ#2は、第一の識別子の取得を要求するために使用されることをさらに含む。それに応じて、ポリシー制御機能ネットワーク要素#Aは、要求メッセージ#2を受信した後、第一の識別子を直接通信検出名称管理機能ネットワーク要素#Aに送信する。
任意選択として、要求メッセージ#2を受信した後、ポリシー制御機能ネットワーク要素#Aは、第一のサービスのセキュリティ保護ポリシー構成および指示情報#2に基づいて、第一の識別子を決定し、次いで、第一の識別子を直接通信検出名称管理機能ネットワーク要素#Aに送信する。指示情報#2の説明については、S420を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
任意選択として、要求メッセージ#2を受信した後、ポリシー制御機能ネットワーク要素#Aは、要求メッセージ#1をアプリケーション機能ネットワーク要素に送信し、要求メッセージ#1は、指示情報#2の取得を要求するために使用される。さらに、アプリケーション機能ネットワーク要素から指示情報#2を受信した後、ポリシー制御機能ネットワーク要素#Aは、第一のサービスのセキュリティ保護ポリシー構成および指示情報#2に基づいて、第一の識別子を決定し、次いで、第一の識別子を直接通信検出名称管理機能ネットワーク要素#Aに送信する。
任意選択として、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定する場合、直接通信検出名称管理機能ネットワーク要素#Aは、要求メッセージ#2をポリシー制御機能ネットワーク要素#Aに送信して、第一の識別子の取得を要求する。第一のサービスのセキュリティ保護ポリシー構成は、直接通信検出名称管理機能ネットワーク要素#Aによってポリシー制御機能ネットワーク要素#Aから取得される。具体的には、複数のセキュリティ保護ポリシーの意味、および複数のセキュリティ保護ポリシーの異なる値の意味については、前述のS410における説明を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
方式2
直接通信検出名称管理機能ネットワーク要素#Aは、第一のサービスのセキュリティ保護ポリシー構成および指示情報#2に基づいて、第一の識別子を決定する。
第一のサービスのセキュリティ保護ポリシー構成および指示情報#2は、直接通信検出名称管理機能ネットワーク要素#Aによってポリシー制御機能ネットワーク要素#Aから取得される。
例えば、ポリシー制御機能ネットワーク要素#Aは、既定では、指示情報#2を直接通信検出名称管理機能ネットワーク要素#Aに送信する。例えば、第一のサービスのセキュリティ保護ポリシー設定を直接通信検出名称管理機能ネットワーク要素#Aに送信する場合、ポリシー制御機能ネットワーク要素#Aは、既定では、指示情報#2を直接通信検出名称管理機能ネットワーク要素#Aに送信する。
任意選択として、方法500は、直接通信検出名称管理機能ネットワーク要素#Aが、要求メッセージ#1をポリシー制御機能ネットワーク要素#Aに送信し、要求メッセージ#1は、指示情報#2の取得を要求するために使用されることをさらに含む。それに応じて、ポリシー制御機能ネットワーク要素#Aは、要求メッセージ#1を受信した後、指示情報#2を直接通信検出名称管理機能ネットワーク要素#Aに送信する。
任意選択として、要求メッセージ#1を受信した後、ポリシー制御機能ネットワーク要素#Aは、要求メッセージ#1をアプリケーション機能ネットワーク要素に送信し、要求メッセージ#1は、指示情報#2の取得を要求するために使用される。さらに、ポリシー制御機能ネットワーク要素#Aは、アプリケーション機能ネットワーク要素から指示情報#2を受信した後、指示情報#2を直接通信検出名称管理機能ネットワーク要素#Aに送信する。
任意選択として、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定する場合、直接通信検出名称管理機能ネットワーク要素#Aは、要求メッセージ#1をポリシー制御機能ネットワークに送信して、指示情報#2の取得を要求する。第一のサービスのセキュリティ保護ポリシー構成は、直接通信検出名称管理機能ネットワーク要素#Aによってポリシー制御機能ネットワーク要素#Aから取得される。具体的には、複数のセキュリティ保護ポリシーの意味、および複数のセキュリティ保護ポリシーの異なる値の意味については、前述のS410における説明を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。。
指示情報#2を取得した後、直接通信検出名称管理機能ネットワーク要素#Aは、第一のサービスのセキュリティ保護ポリシー構成および指示情報#2に基づいて、第一の識別子を決定する。具体的には、直接通信検出名称管理機能ネットワーク要素#Aが第一の識別子を決定する方法については、S440における方法1ないし方法5を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
方式3
直接通信検出名称管理機能ネットワーク要素#Aは、直接通信検出名称管理機能ネットワーク要素#Bから第一の識別子を取得する。直接通信検出ネーム管理機能ネットワーク要素#Bは、端末機器#Bに対してサービスを提供する。端末機器#Bは、前述の方法300における第一の端末機器または第二の端末機器であり、端末機器#Bは、端末機器#Aとは異なる。例えば、端末機器#Aは、前述の方法300における第一の端末機器であり、端末機器#Bは、前述の方法300における第二の端末機器である。別の例では、端末機器#Aは、前述の方法300における第二の端末機器であり、端末機器#Bは、前述の方法300における第一の端末機器である。
具体的には、直接通信検出名称管理機能ネットワーク要素#Aおよび直接通信検出名称管理機能ネットワーク要素#Bが同じPLMNにない場合、直接通信検出名称管理機能ネットワーク要素#Aは、直接通信検出名称管理機能ネットワーク要素#Bから第一の識別子を取得し得る。
例えば、直接通信検出名称管理機能ネットワーク要素#Bから第一のサービスのサービス検出パラメータを取得する場合、直接通信検出名称管理機能ネットワーク要素#Aは、直接通信検出名称管理ネットワーク要素から第一の識別子を取得する。具体的には、ダイレクト通信検出名称管理機能ネットワーク要素#Aは、要求メッセージ#3(第二の要求メッセージの一例)を直接通信検出名称管理機能ネットワーク要素に送信する。要求メッセージ#3は、第一のサービスのサービス検出パラメータの取得を要求するために使用され、または、要求メッセージ#3は、第一のサービスのサービス検出パラメータおよび第一の識別子の取得を要求するために使用される。さらに、直接通信検出名称管理機能ネットワーク要素#Bは、要求メッセージ#3を受信した後、直接通信検出名称管理機能ネットワーク要素#Aに第二のメッセージを送信し、第二のメッセージには、第一のサービスのサービス検出パラメータが含まれる。
例えば、サービス検出パラメータは、サービス検出コードである。
任意選択として、直接通信検出名称管理機能ネットワーク要素#Bによって送信されるサービス検出パラメータおよび第一の識別子の間に対応関係が存在する。サービス検出パラメータおよび第一の識別子の間の対応関係の形態は、第一の識別子がサービス検出パラメータに伝送されてもよいし、または[サービス検出パラメータ、第一の識別子]のマッピング関係であってもよい。サービス検出パラメータおよび第一の識別子の間の対応関係は、サービス検出パラメータが第一の識別子に基づいてインデックス付けされ得て、第一の識別子もサービス検出パラメータに基づいてインデックス付けされ得ることを示す。
任意選択として、直接通信検出名称管理機能ネットワーク要素#Aによって送信される要求メッセージ#3は、セキュリティ保護ポリシー#Aを含むが、セキュリティ保護ポリシー#Aは、第一のサービスにおいて端末機器#Aによって使用されるセキュリティ保護ポリシーである。それに応じて、要求メッセージ#3を受信した後、直接接続サービス検出名称管理機能ネットワーク要素#Bは、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致するかどうかを判定し、セキュリティ保護ポリシー#Bは、第一のサービスのために端末機器#Bによって使用されるセキュリティ保護ポリシーである。
セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致することは、次のこととし得る。すなわち、セキュリティ保護ポリシー#Aの値がREQUIREDであり、かつ、セキュリティ保護ポリシー#Bの値がNOT NEEDEDでないこと、セキュリティ保護ポリシー#Aの値はNOT NEEDEDであり、かつ、セキュリティ保護ポリシー#Bの値はREQUIREDでないこと、セキュリティ保護ポリシー#Aおよびセキュリティ保護ポリシー#Bの両方の値がPREFERREDであること、セキュリティ保護ポリシー#Bの値はREQUIREDであるが、セキュリティ保護ポリシー#Aの値はNOT NEEDEDでないこと、またはセキュリティ保護ポリシー#Bの値はNOT NEEDEDであり、かつ、セキュリティ保護ポリシー#Aの値はREQUIREDでないこと。
セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しないことは、セキュリティ保護ポリシー#Aの値がNOT NEEDEDであり、かつ、セキュリティ保護ポリシー#Bの値がREQUIREDであること、またはセキュリティ保護ポリシー#Aの値はREQUIREDであり、かつ、セキュリティ保護ポリシー #Bの値はNOT NEEDEDであることとし得る
セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致する場合、直接通信検出名称管理機能ネットワーク要素#Bは、第一の識別子を直接通信検出名称管理ネットワーク要素#Aに送信しない、または直接通信検出名称管理ネットワーク要素#Bによって直接通信検出名称管理ネットワーク要素#Aに送信される第二のメッセージは、第一の識別子および指示情報#3(第三の指示情報の一例)を含むか、または第二のメッセージが第一の識別子、サービス検出パラメータ、および指示情報#3を含む。指示情報#3は、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致することを示す。
セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しない場合、直接通信検出名称管理機能ネットワーク要素#Bによって直接通信検出名称管理ネットワーク要素#Aに送信される第二のメッセージは、第一の識別子を含む、または第二のメッセージは、第一の識別子および検出パラメータを含む、または第二のメッセージは、第一の識別子および指示情報#3を含む、または第二のメッセージは、第一の識別子、サービス検出パラメータ、および指示情報#3を含む。指示情報#3は、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しないことを示す。
セキュリティ保護ポリシー#Aは、端末機器#Aの位置情報に基づいて、直接通信検出名称管理機能ネットワーク要素#Aによって決定される。換言すると、直接通信検出名称管理機能ネットワーク要素#Aは、端末機器#Aの位置情報に基づいて、第一のサービスのセキュリティ保護ポリシー構成からセキュリティ保護ポリシー#Aを決定し得る。例えば、端末機器#Aの位置情報は、端末機器#Aから直接通信検出名称管理機能ネットワーク要素#Aに送信される。例えば、端末機器#Aは、位置情報を含む検出要求メッセージを直接通信検出ネーム管理機能ネットワーク要素#Aに送信し、検出要求メッセージは、サービス検出パラメータの取得を要求するために使用される。あるいは、端末機器#Aの位置情報は、ゲートウェイモバイルロケーションセンター(GMLC)がロケーションサービス(LCS)を使用することを引き起こすことによって、直接通信検出名称管理機能ネットワーク要素#Aによって取得される。あるいは、端末機器#Aの位置情報は、直接通信検出名称管理機能ネットワーク要素#Aによって、アクセスおよびモビリティ管理機能ネットワーク要素#Aから取得されるが、アクセスおよびモビリティ管理機能ネットワーク要素#Aは、端末機器#Aにサービスを提供するネットワーク要素である。
同様に、直接通信検出ネーム管理機能ネットワーク要素#Bは、端末機器#Bの位置情報を端末機器#Bから取得し得る。あるいは、直接通信検出名称管理機能ネットワーク要素#Bは、GMLCを引き起こして、LCSを利用することによって、端末機器#Bの位置情報を取得する。あるいは、端末機器#Bの位置情報は、直接通信検出名称管理機能ネットワーク要素#Bによって、アクセスおよびモビリティ管理機能ネットワーク要素#Bから取得されるが、アクセスおよびモビリティ管理機能ネットワーク要素#Bは、端末機器#Bにサービスを提供するネットワーク要素である。さらに、直接通信検出名称管理機能ネットワーク要素#Bは、端末機器#Bの位置情報に基づいて、第一のサービスのセキュリティ保護ポリシー構成からセキュリティ保護ポリシー#Bを決定し得る。
任意選択として、S510の前に、方法500は、直接通信検出名称管理機能ネットワーク要素#Aは、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致するかどうかを判定することをさらに含む。セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しない場合、直接通信検出名称管理機能ネットワーク要素#Aは、S510では、方式1ないし方式3において第一の識別子を取得する。セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致する場合、直接通信検出名称管理機能ネットワーク要素#Aは第一の識別子を取得しない。
例えば、直接通信検出名称管理機能ネットワーク要素#Aは、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致するかどうかを、次の二つの方式において判定する。
方式1
直接通信検出名称管理機能ネットワーク要素#Aは、セキュリティ保護ポリシー#Aを直接通信検出名称管理機能ネットワーク要素#Bに送信する。直接通信検出名称管理機能ネットワーク要素#Aは、直接通信検出名称管理機能ネットワーク要素#Bによって送信される指示情報#3を受信し、指示情報#3は、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致するかどうかを示す。さらに、直接通信検出名称管理機能ネットワーク要素#Aは、指示情報#3に基づいて、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致するか否かを判定する。指示情報#3が、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致することを示す場合、直接通信検出名称管理機能ネットワーク要素#Aは、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致すると判定する。または、指示情報#3が、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しないことを示す場合、直接通信検出名称管理機能ネットワーク要素#Aは、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しないと判定する。
あるいは、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致すると判定する場合、直接通信検出名称管理機能ネットワーク要素#Bは、指示情報#3を直接通信検出名称管理機能ネットワーク要素#Aに送信しない。または、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しないと判定する場合、直接通信検出名称管理機能ネットワーク要素#Bは、指示情報#3を直接通信検出名称管理機能ネットワーク要素#Aに送信し、指示情報#3は、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しないことを示す。さらに、直接通信検出名称管理機能ネットワーク要素#Bは、指示情報#3を受信した後、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しないと判定する。
方式2
直接通信検出名称管理機能ネットワーク要素#Aは、直接通信検出名称管理機能ネットワーク要素#Bからセキュリティ保護ポリシー#Bを受信する。直接通信検出名称管理機能ネットワーク要素#Aは、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致するか否かを判定する。
S520:直接通信検出名称管理機能ネットワーク要素#Aは、第一の識別子を送信する。それに応じて、S520では、端末機器#Aは、第一の識別子を受信する。
例えば、直接通信検出名称管理機能ネットワーク要素#Aは、第一の識別子を含む直接通信検出メッセージを端末機器#Aに送信する。
任意選択として、第一の識別子を取得した後、直接通信検出名称管理機能ネットワーク要素#Aは、第一の識別子を第一のサービスの検出パラメータに関連付け、第一の識別子および検出パラメータを端末機器#Aに送信する。直接通信検出名称管理機能ネットワーク要素#Aが第一の識別子をサービス検出パラメータに関連付けた後、第一の識別子およびサービス検出パラメータの間に対応関係が存在すると理解され得る。
任意選択として、第一の識別子を全てのサービス検出パラメータに関連付ける前に、直接通信検出名称管理機能ネットワーク要素#Aは、第一の識別子を幾つかのサービス検出パラメータにも関連付け得る。これは、本出願の実施形態においては限定されない。
任意選択として、S520の前に、方法500は、直接通信検出名称管理機能ネットワーク要素#Aは、セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致するかどうかを判定することをさらに含む。セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致しない場合、直接通信検出名称管理機能ネットワーク要素#Aは、第一の識別子を端末機器#Aに送信する。セキュリティ保護ポリシー#Aがセキュリティ保護ポリシー#Bと一致する場合、直接通信検出名称管理機能ネットワーク要素#Aは、端末機器#Aに第一の識別子を送信しない。
本出願の本実施形態では、第一の識別子を取得した後、直接通信検出名称管理機能ネットワーク要素は、第一の識別子を端末機器に送信する。これは、端末機器が第一の識別子に基づいてセキュリティ保護ポリシーを変更するのに役立つ。これは、両端にある端末機器のセキュリティ保護ポリシーが一致しないために引き起こされる、第一のサービスの接続確立失敗を回避することができる。
以下に、図6A、図6B、図7A、および図7Bを参照して、本出願の一実施形態に提供されるセキュリティ保護有効化方式を決定するための方法を説明する。
以下の実施形態では、第一の端末機器がA-UEである例、第二の端末機器がM-UEである例、第一のサービスがProSeサービスである例、および第一のサービスの接続がPC5ユニキャスト接続である例が使用されることは、留意されるべきである。さらに、以下の実施形態では、A-PCFおよびA-5G DDNMFがA-UEにサービスを提供し、M-PCFおよびM-5GM-5G DDNMFがM-UEにサービスを提供する。
図6Aおよび図6Bは、本出願の一実施形態による、セキュリティ保護有効化方式を決定するための方法を示す模式的フローチャートである。図6Aおよび図6Bに示されるように、方法600は、S601ないしS609を含み得る。以下にステップを詳細に説明する。
S601:AFは、ProSeサービスのセキュリティ保護ポリシー構成#1に含まれる複数のPC5ユニキャストセキュリティ保護ポリシーの値が異なると判定する。
具体的には、AFは、アプリケーション要件に基づいて、ProSeサービスのセキュリティ保護ポリシー構成#1を決定し、ProSeサービスのセキュリティ保護ポリシー構成#1は、複数のPC5ユニキャストセキュリティ保護ポリシーを含む。複数のPC5ユニキャストセキュリティ保護ポリシーは、地理的に異なる場所にあるProSeサービスのPC5ユニキャスト接続の制御プレーンセキュリティ保護ポリシーおよび/またはユーザープレーンセキュリティ保護ポリシーを含む。セキュリティ保護ポリシーには、機密性保護ポリシーおよび/または完全性保護ポリシーが含まれることは、留意されるべきである。例えば、制御プレーンセキュリティ保護ポリシーは、制御プレーン機密性保護ポリシーおよび/または制御プレーン完全性保護ポリシーを含み、ユーザープレーンセキュリティ保護ポリシーは、ユーザープレーン機密性保護ポリシーおよび/またはユーザープレーン完全性保護ポリシーを含む。
ProSeサービスのセキュリティ保護ポリシー構成#1の詳細については、S410における第一のサービスのセキュリティ保護ポリシー構成#1に関する前述の説明を参照されたい。複数のPC5ユニキャストセキュリティ保護ポリシーの異なる値の意味については、S410における複数のセキュリティ保護ポリシーの異なる値の意味についての前述の説明を参照されたい。
さらに、ProSeサービスのセキュリティ保護ポリシー設定#1に含まれる複数のPC5ユニキャストセキュリティ保護ポリシーの値が異なると判定する場合、AFは、指示情報#2を生成する。指示情報#2は、PC5のユニキャスト接続確立中に、ProSeサービスのセキュリティ保護ポリシーが強制的に変更されことがあることを示す。あるいは、指示情報#2は、ProSeサービスを利用する全ての端末機器が同じセキュリティ保護ポリシーを使用することを示す。
任意選択として、AFは、既定では、指示情報#2を生成し得る。換言すると、複数のPC5ユニキャストセキュリティ保護ポリシーの値が同一であるか否かに関わらず、AFは、指示情報#2を生成する。さらに、AFは、指示情報#2を生成する前に、複数のPC5ユニキャストセキュリティ保護ポリシーの値が同一であるか否かを判定しなくてもよい。
任意選択として、A-PCF/M-PCFから要求メッセージ#1を受信した後、AFは、要求メッセージ#1に基づいて、指示情報#2を生成する。要求メッセージ#1は、指示情報#2を要求するために使用される。例えば、要求メッセージ#1は、A-PCF/M-PCFによって、NEFを使用することによってAFに送信される。別の例として、要求メッセージ#1は、A-PCF/M-PCFによって、AFに直接送信される。
S602A:AFは、ProSeサービスのセキュリティ保護ポリシー構成#1をA-PCFに送信する。
A-PCFは、AFから取得されるProSeサービスのセキュリティ保護ポリシー構成#1に基づいて、ProSeサービスのセキュリティ保護ポリシー構成を決定し、ProSeサービスのセキュリティ保護ポリシー構成には、複数のPC5ユニキャストセキュリティ保護ポリシーの値が含まれる。
S602b:AFは、ProSeサービスのセキュリティ保護ポリシー構成#1をM-PCFに送信する。
M-PCFは、AFから取得されるProSeサービスのセキュリティ保護ポリシー構成#1に基づいて、ProSeサービスのセキュリティ保護ポリシー構成を決定し、ProSeサービスのセキュリティ保護ポリシー構成には、複数のPC5ユニキャストセキュリティ保護ポリシーの値が含まれる。
任意選択として、ProSeサービスのセキュリティ保護ポリシー構成#1をA-PCF/M-PCFに送信する場合、AFは、指示情報#2をA-PCF/M-PCFに送信する。換言すると、AFは、ProSeサービスのセキュリティ保護ポリシー設定#1および指示情報#2を含む同一のシグナリングの部分をA-PCF/M-PCFに送信する。
任意選択として、要求メッセージ#1を受信した後、AFは、指示情報#2をA-PCF/M-PCFに送信する。
任意選択として、複数のPC5ユニキャストセキュリティ保護ポリシーの値が異なると判定する場合、A-PCF/M-PCFは、要求メッセージ#1をAFに送信する。
S603:A-PCF/M-PCFは、第一の識別子を決定する。
具体的には、A-PCF/M-PCFが第一の識別子を決定する方式については、前述のS440における説明を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
S604A:A-PCFは、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をA-UEに送信する。
具体的には、A-PCFは、UE構成更新手順(UE構成更新手順)を作動させるようにAMFに指示して、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をA-UEに送信し得る。換言すると、A-PCFは、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をAMFに送信し、次い、AMFは、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をA-UEに送信する。
S604B:M-PCFは、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をM-UEに送信する。
具体的には、M-PCFは、UE構成更新手順を作動させるようにAMFに指示して、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をM-UEに送信し得る。換言すると、M-PCFは、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をAMFに送信し、次いで、AMFは、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をM-UEに送信する。
S605:A-UEおよびM-UEは、ProSeサービスの検出手順を実行する。
具体的には、A-UEおよびM-UEは、モデルAの検出手順を実行してもよいし、またはモデルBの検出手順を実行してもよい。これは、本出願の実施形態では限定されない。
任意選択として、A-UEは、モデルAの検出手順におけるメッセージ内に第一の識別子を伝送する。
任意選択として、A-UEおよび/またはM-UEは、モデルBの検出手順におけるメッセージ内に第一の識別子を伝送する。
S606:M-UEは、DCR/DSM完了メッセージをA-UEに送信する。
DCR/DSM完了メッセージは、セキュリティ保護ポリシー#2を含み、セキュリティ保護ポリシー#2は、ProSeサービスのPC5ユニキャスト接続においてM-UEによって使用されるセキュリティ保護ポリシーであり、セキュリティ保護ポリシー#2は、M-UEの地理的な場所に基づいて、複数のPC5ユニキャストセキュリティ保護ポリシーからM-UEによって決定される。セキュリティ保護ポリシー#2は、制御プレーンセキュリティ保護ポリシー#2および/またはユーザープレーンセキュリティ保護ポリシー#2を含む。制御プレーンセキュリティ保護ポリシー#2には、制御プレーン機密性保護ポリシーおよび/または制御プレーン完全性保護ポリシーが含まれる。ユーザープレーンセキュリティ保護ポリシ#2には、ユーザープレーン機密性保護ポリシおよび/またはユーザープレーン完全性保護ポリシが含まれる。
例えば、M-UEは、DCRメッセージをA-UEに送信し、DCRメッセージには、制御プレーンセキュリティ保護ポリシー#2が含まれる。
例えば、M-UEは、DCRメッセージをA-UEに送信し、DCRメッセージには、制御プレーンセキュリティ保護ポリシー#2およびユーザープレーンセキュリティ保護ポリシー#2が含まれる。
例えば、M-UEは、DSM完了メッセージをA-UEに送信し、DSM完了メッセージには、ユーザープレーンセキュリティ保護ポリシー#2が含まれる。
例えば、M-UEは、DSM完了メッセージをA-UEに送信し、DSM完了メッセージには、制御プレーンセキュリティ保護ポリシー#2およびユーザープレーンセキュリティ保護ポリシー#2が含まれる。
任意選択として、M-UEは、DCR/DSM完了メッセージ内に第一の識別子を伝送する。
S607:A-UEは、第一の識別子に基づいて、PC5ユニキャスト接続に対するセキュリティ保護有効化方式を決定する。
具体的には、A-UEがPC5ユニキャスト接続に対するセキュリティ保護有効化方式を決定する方法については、前述のS320を参照されたい。
任意選択として、DCR/DSM完了メッセージが第一の識別子を含む場合、A-UEは、第一の識別子に基づいて、PC5ユニキャスト接続に対するセキュリティ保護有効化方式を決定する。
任意選択として、DCR/DSM完了メッセージが第一の識別子を含む場合、A-UEは、セキュリティ保護ポリシー#2がローカル端のセキュリティ保護ポリシーと一致するかどうかを確認しなくてもよく、これにより、端末機器の処理リソースを節約することができる。
S608:A-UEは、DSM指示/DCAメッセージをM-UEに送信する。DSM指示/DCAメッセージには、PC5 ユニキャスト接続に対するセキュリティ保護有効化方式が含まれる。
PC5ユニキャスト接続に対するセキュリティ保護有効化方式には、制御プレーンセキュリティ保護有効化方式および/またはユーザープレーンセキュリティ保護有効化方式が含まれる。制御プレーンセキュリティ保護有効化方式は、制御プレーン機密性保護有効化方式および/または制御プレーン完全性保護有効化方式を含む。ユーザープレーンセキュリティ保護有効化方式は、ユーザープレーン機密性保護有効化方式および/またはユーザープレーン完全性保護有効化方式を含む。
例えば、A-UEがS606においてDCRメッセージを受信し、DCRメッセージが制御プレーンセキュリティ保護ポリシー#2を含む場合、A-UEは、S607においてPC5ユニキャスト接続に対する制御プレーンセキュリティ保護有効化方式を決定する。さらに、S608では、A-UEは、DSM指示メッセージをM-UEに送信し、DSM指示メッセージは、制御プレーンセキュリティ保護有効化方式を含む。
例えば、S606においてM-UEがDCRメッセージをA-UEに送信し、DCRメッセージが制御プレーンセキュリティ保護ポリシー#2およびユーザープレーンセキュリティ保護ポリシー#2を含む場合、A-UEは、S607におけるPC5ユニキャスト接続に対するプレーンセキュリティ保護有効化方式およびユーザープレーンセキュリティ保護有効化方式を決定する。さらに、S608では、A-UEは、DSM指示メッセージをM-UEに送信し、DSM指示メッセージは、制御プレーンセキュリティ保護有効化方式およびユーザープレーンセキュリティ保護有効化方式を含む。
例えば、S606においてM-UEがDSM完了メッセージをA-UEに送信し、DSM完了メッセージがユーザープレーンセキュリティ保護ポリシー#2を含む場合、A-UEは、S607においてPC5ユニキャスト接続に対するユーザープレーンセキュリティ保護有効化方式を決定する。さらに、S608では、A-UEは、DCAメッセージをM-UEに送信し、DCAメッセージは、ユーザープレーンセキュリティ保護有効化方式を含む。
例えば、S606では、M-UEがDSM完了メッセージをA-UEに送信し、DSM完了メッセージが制御プレーンセキュリティ保護ポリシー#2およびユーザープレーンセキュリティ保護ポリシー#2を含む場合、A-UEは、S607におけるPC5ユニキャスト接続に対する制御プレーンセキュリティ保護有効化方式およびユーザープレーンセキュリティ保護有効化方式を決定する。さらに、S608では、A-UEは、DCAメッセージをM-UEに送信し、DCAメッセージは、制御プレーンセキュリティ保護有効化方式およびユーザープレーンセキュリティ保護有効化方式を含む。
任意選択として、A-UEは、DSM指示/DCA メッセージ内に第一の識別子を伝送する。
S609:M-UEは、セキュリティ保護を有効/無効にする。
例えば、M-UEがDSM指示/DCAメッセージを受信し、そのDSM指示/DCAメッセージが、PC5ユニキャスト接続に対するセキュリティ保護有効化方式を含む場合、M-UEは、PC5ユニキャスト接続のセキュリティ保護有効化方式に基づいて、PC5ユニキャスト接続に対するセキュリティ保護を有効/無効にすると決定する。PC5ユニキャスト接続に対するセキュリティ保護有効化方式がセキュリティ保護を有効化することである場合、M-UEは、PC5ユニキャスト接続に対してセキュリティ保護を有効にすると決定する。または、PC5ユニキャスト接続に対するセキュリティ保護有効化方式がセキュリティ保護を無効化することである場合、M-UEは、PC5ユニキャスト接続に対してセキュリティ保護を有効にしないと決定する。
任意選択として、M-UEは、セキュリティ保護有効化方式がセキュリティ保護ポリシー#2と一致するかどうかを確認しない。
任意選択として、DSM指示/DCAメッセージが第一の識別子を含む場合、M-UEは、セキュリティ保護有効化方式がセキュリティ保護ポリシー#2と一致するかどうかを確認しない。
図7Aおよび図7Bは、本出願の一実施形態による、セキュリティ保護有効化方式を決定するための方法を示す模式的フローチャートである。図7Aおよび図7Bに示されるように、方法700は、S701ないしS711を含み得る。以下にステップを詳細に説明する。
S701:AFは、ProSeサービスのセキュリティ保護ポリシー構成#1に含まれる複数のPC5ユニキャストセキュリティ保護ポリシーの値が異なると判定する。
これは、図6Aおよび図6BにおけるS601と同様である。簡潔にするため、詳細については、本明細書では改めて説明されない。
S702a:AFは、ProSeサービスのセキュリティ保護ポリシー構成#1をA-PCFに送信する。
A-PCFは、AFから取得されるProSeサービスのセキュリティ保護ポリシー構成#1に基づいて、ProSeサービスのセキュリティ保護ポリシー構成を決定し、ProSeサービスのセキュリティ保護ポリシー構成には、複数のPC5ユニキャストセキュリティ保護ポリシーの値が含まれる。
S702b:AFは、ProSeサービスのセキュリティ保護ポリシー構成#1をM-PCFに送信する。
M-PCFは、AFから取得されるProSeサービスのセキュリティ保護ポリシー構成#1に基づいて、ProSeサービスのセキュリティ保護ポリシー構成を決定し、ProSeサービスのセキュリティ保護ポリシー構成には、複数のPC5ユニキャストセキュリティ保護ポリシーの値が含まれる。
任意選択として、ProSeサービスのセキュリティ保護ポリシー構成#1をA-PCF/M-PCFに送信する場合、AFは、指示情報#2をA-PCF/M-PCFに送信する。換言すると、AFは、ProSeサービスのセキュリティ保護ポリシー設定#1および指示情報#2を含む同一のシグナリングの部分をA-PCF/M-PCFに送信する。
任意選択として、要求メッセージ#1を受信した後、AFは、指示情報#2をA-PCF/M-PCFに送信する。
任意選択として、複数のPC5ユニキャストセキュリティ保護ポリシーの値が異なると判定する場合、A-PCF/M-PCFは、要求メッセージ#1をAFに送信する。
任意選択として、A-5G DDNMFから要求メッセージ#1を受信した後、A-PCFは、要求メッセージ#1をAFに送信する。
S703a:A-PCFは、複数のPC5ユニキャストセキュリティ保護ポリシーをA-UEに送信する。
任意選択として、A-PCFが複数のPC5ユニキャストセキュリティ保護ポリシーをA-UEに送信する前に、A-PCFは、第一の識別子を決定し得る。A-PCFが第一の識別子を決定する場合、A-PCFは、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をA-UEに送信する。
具体的には、A-PCFが第一の識別子を決定する方法については、S440における前述の説明を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
S703b:M-PCFは、複数のPC5ユニキャストセキュリティ保護ポリシーをM-UEに送信する。
任意選択として、M-PCFが複数のPC5ユニキャストセキュリティ保護ポリシーをM-UEに送信する前に、M-PCFは、第一の識別子を決定し得る。M-PCFが第一の識別子を決定する場合、M-PCFは、複数のPC5ユニキャストセキュリティ保護ポリシーおよび第一の識別子をM-UEに送信する。
具体的には、M-PCFが第一の識別子を決定する方法については、S440における前述の説明を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
S704a:A-UEは、検出要求メッセージをA-5G DDNMFに送信する。
要求メッセージは、ProSeサービスのサービス検出パラメータの取得を要求するために使用される。検出要求メッセージには、ProSeサービスを識別するためのProSeサービスのアプリケーション識別子が含まれる。
任意選択として、検出要求メッセージは、A-UEの位置情報を含む。
S704b:M-UEは、検出要求メッセージをM-5G DDNMFに送信する。
検出要求メッセージは、ProSeサービスのサービス検出パラメータの取得を要求するために使用される。検出要求メッセージには、ProSeサービスを識別するためのProSeサービスのアプリケーション識別子が含まれる。
任意選択として、検出要求メッセージは、M-UEの位置情報を含む。
S705:A-5G DDNMF/M-5G DDNMFは、第一の識別子を取得する。
具体的には、A-5G DDNMF/M-5G DDNMFが第一の識別子を決定する方法については、S510における前述の説明を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
S705では、A-5G DDNMF/M-5G DDNMFは、サービス検出パラメータをさらに決定し、サービス検出パラメータは、ProSeコードを含み、ProSeは、以下のうちの一つまたは複数を含むと理解され得る。すなわち、ProSeアプリケーション・コード、ProSe検出コード、ProSeクエリコード、またはProSe応答コード。
任意選択として、A-5G DDNMF/M-5G DDNMFが第一の識別子を取得した後、A-5G DDNMF/M-5G DDNMFは、第一の識別子をProSeコードに関連付け得る。A-5G DDNMF/M-5G DDNMFが第一の識別子をProSeコードに関連付けた後、第一の識別子およびProSeコードの間に対応関係が存在すると理解され得る。
A-5G DDNMFとM-5G DDNMFが同じPLMNにない場合、M-5G DDNMFは、A-5G DDNMFからのProSeコードの取得を要求することは、留意されるべきである。任意選択として、M-5G DDNMFは、A-5G DDNMFからの第一の識別子の取得をさらに要求し得る。
A-5G DDNMFおよびM-5G DDNMFが同じPLMNにある場合、M-5G DDNMFおよびA-5G DDNMFは、同じネットワーク要素にあり、M-5G DDNMFは、ProSeコードをローカルに取得し得る。
任意選択として、M-5G DDNMFは、セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致しないと判定する場合に、第一の識別子を取得し得る。セキュリティ保護ポリシー#1は、ProSeサービスのPC5ユニキャスト接続において、A-UEによって使用されるセキュリティ保護ポリシーである。セキュリティ保護ポリシー#1は、A-UEの位置情報に基づいて、A-5G DDNMFによって決定される。A-UEの位置情報は、A-5G DDNMFによってA-UEから受信され得る。A-UEの位置情報は、A-5G DDNMFがLCSを使用するように作動させることによって、GMLCによって取得される。または、A-UEの位置情報は、A-5G DDNMFによってA-AMFから取得されるが、A-AMFは、A-UEにサービスを提供するネットワーク要素である。A-5G DDNMFは、A-AMFからA-UEの位置情報を直接取得してもよいし、またはA-PCFは、A-AMFからA-UEの位置情報を取得し、その位置情報をA-5G DDNMFに送信してもよい。セキュリティ保護ポリシー#2は、ProSeサービスのPC5ユニキャスト接続において、M-UEによって使用されるセキュリティ保護ポリシーである。セキュリティ保護ポリシー#2は、M-UEの位置情報に基づいて、M-5G DDNMFによって決定される。M-UEの位置情報は、M-5G DDNMFによってM-UEから受信され得る。M-UEの位置情報は、LCSを使用するようにM-5G DDNMFを作動させることによって、GMLCによって取得される。または、M-UEの位置情報は、M-5G DDNMFによってM-AMFから取得されるが、M-AMFは、M-UEにサービスを提供するネットワーク要素である。M-5G DDNMFは、M-AMFからM-UEの位置情報を直接取得してもよいし、またはM-PCFは、M-AMFからM-UEの位置情報を取得し、その位置情報をM-5G DDNMFに送信してもよい。
M-5G DDNMF は、次の方式においてセキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致しないと判定し得る。
方式1
M-5G DDNMFは、要求メッセージ#3をA-5G DDNMFに送信が、要求メッセージ#3は、ProSeサービスのサービス検出パラメータを要求するために使用され、要求メッセージ#3は、セキュリティ保護ポリシー#2を含む。セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2に一致しないと判定した後、A-5G DDNMFは、サービス検出パラメータおよび第一の識別子をM-5G DDNMFFに送信するか、またはA-5G DDNMFは、サービス検出パラメータ、第一の識別子、および指示情報#3をM-5G DDNMFに送信し、指示情報#3は、セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2に一致しないことを示す。
任意選択として、サービス検出パラメータにおけるProSeコードおよび第一の識別子の間に対応関係がある。
方式2
M-5G DDNMFは、要求メッセージ#2をA-5G DDNMFに送信し、要求メッセージ#2は、第一の識別子を要求するために使用され、要求メッセージ#2は、セキュリティ保護ポリシー#2を含む。セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致しないと判定した後、A-5G DDNMFは、第一の識別子および指示情報#3をM-5G DDNMFに送信するか、またはA-5G DDNMFは、第一の識別子および指示情報#3を送信し、指示情報#3は、セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致しないことを示す。
方式3
M-5G DDNMFは、セキュリティ保護ポリシー#1をA-5G DDNMFに送信する。セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致しないと判定した後、A-5G DDNMFは、指示情報#3をM-5G DDNMFに送信し、指示情報#3は、セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#1に一致しないことを示す。
指示情報#3を受信した後、M-5GM-5G DDNMFは、S510では、方式1および方式2にて第一の識別子を取得する。
方式4
A-5G DDNMFは、セキュリティ保護ポリシー#1をM-5G DDNMF に送信する。セキュリティ保護ポリシー#1がセキュリティ保護ポリシー#2と一致しないと判定した後、M-5GM-5G DDNMFは、S510では、方式1ないし方式3にて第一の識別子を取得する。
S706a:A-5G DDNMFは、検出応答メッセージをA-UEに送信する。
検出応答メッセージには、サービス検出パラメータおよび第一の識別子が含まれる。任意選択として、サービス検出パラメータにおけるProSeコードおよび第一の識別子の間に対応関係がある。
S706b:M-5GM-5G DDNMFは、検出応答メッセージをM-UEに送信する。
検出応答メッセージには、サービス検出パラメータが含まれる。M-5G DDNMGが第一の識別子を取得する場合、検出応答メッセージは、第一の識別子をさらに含む。任意選択として、サービス検出パラメータにおけるProSeコードおよび第一の識別子の間に対応関係がある。
S707:A-UEおよびM-UEは、 ProSeサービスの検出手順を実行する。
具体的には、A-UEおよびM-UEは、モデルAの検出手順を実行してもよいし、またはモデルBの検出手順を実行してもよい。これは、本出願の実施形態では限定されない。
任意選択として、A-UEがA-5G DDNMFから、第一の識別子に対応するProSeコードを受信し、A-UEがセキュリティ保護ポリシーの強制的変更を許可する場合、A-UEは、検出手順における検出メッセージにて、第一の識別子に対応するProSeコードを伝送する。それに応じて、M-UEが第一の識別子に対応するProSeコードを受信する場合、M-UEは、A-UEがセキュリティ保護ポリシーの強制的変更を許可すると判定する。
任意選択として、M-UEが第一の識別子に対応するProSeコードをM-5GM-5G DDNMFから受信し、 M-UEがセキュリティ保護ポリシーの強制的変更を許可する場合、M-UEは、検出手順における検出メッセージにいて、第一の識別子に対応するProSeコードを伝送する。それに応じて、A-UEが第一の識別子に対応するProSeコードを受信する場合、A-UEは、M-UEがセキュリティ保護ポリシーの強制的変更を許可すると判定する。
S708:M-UEは、DCR/DSM完了メッセージをA-UEに送信する。
これは、図6Aおよび図6BにおけるS606と同様である。簡潔にするため、詳細については、本明細書では改めて説明されない。
S709:A-UEは、第一の識別子に基づいて、PC5ユニキャスト接続に対するセキュリティ保護有効化方式を決定する。
具体的には、A-UEがPC5ユニキャスト接続に対するセキュリティ保護有効化方式を決定する方法については、前述のS320を参照されたい。
任意選択として、DCR/DSM完了メッセージが第一の識別子を含む場合、A-UEは、第一の識別子に基づいて、PC5ユニキャスト接続に対するセキュリティ保護有効化方式を決定する。
任意選択として、A-UEが検出手順において第一の識別子に対応するProSeコードを受信した場合、A-UEは、第一の識別子に基づいて、PC5ユニキャスト接続のセキュリティ保護有効化方式を決定する。
任意選択として、DCR/DSM完了メッセージが第一の識別子を含む場合、A-UEは、セキュリティ保護ポリシー#2がローカル端のセキュリティ保護ポリシーと一致するかどうかを確認しなくてもよく、これにより、端末機器の処理リソースを節約することができる。
S710:A-UEは、DSM指示/DCAメッセージをM-UEに送信する。DSM指示/DCAメッセージには、PC5ユニキャスト接続に対してセキュリティ保護有効化方式が含まれる。
これは、図6Aおよび図6BにおけるS608と同様である。簡潔にするため、詳細については、本明細書では改めて説明されない。
S711:M-UEは、セキュリティ保護を有効/無効にする。
例えば、M-UEがDSM指示/DCAメッセージを受信し、そのDSM指示/DCAメッセージにPC5ユニキャスト接続に対するセキュリティ保護有効化方式が含まれる場合、M-UEは、PC5ユニキャスト接続のセキュリティ保護有効化方式に基づいて、PC5ユニキャスト接続に対してセキュリティ保護を有効/無効にすると決定する。PC5ユニキャスト接続に対するセキュリティ保護有効化方式がセキュリティ保護を有効にすることである場合、M-UEは、PC5ユニキャスト接続に対してセキュリティ保護を有効にすると決定する。または、PC5ユニキャスト接続に対するセキュリティ保護有効化方式がセキュリティ保護を無効にすることである場合、M-UEは、PC5ユニキャスト接続に対してセキュリティ保護を有効にしないと決定する。
任意選択として、M-UEは、セキュリティ保護有効化方式がセキュリティ保護ポリシー#2と一致するかどうかを確認しない。
任意選択として、DSM指示/DCAメッセージが第一の識別子を含む場合、M-UEは、セキュリティ保護有効化方式がセキュリティ保護ポリシー#2と一致するかどうかを確認しない、これにより、端末機器の処理リソースを節約することができる。
任意選択として、M-UEが検出手順において第一の識別子に対応するProSeコードを受信する場合、M-UEは、セキュリティ保護有効化方式がセキュリティ保護ポリシー#2と一致するかどうかを確認しない、これにより、端末機器の処理リソースを節約することができる。
本出願の実施形態に提供される方法は、図3ないし図7Bを参照して、詳細に上述されている。以下、図8および図9を参照して、本出願の実施形態に提供される通信装置について、詳細に説明する。装置の実施形態の説明は、方法の実施形態の説明に対応すると理解されるべきである。したがって、詳細に説明されない内容については、前述の方法の実施形態を参照されたい。簡潔にするために、詳細については、本明細書では改めて説明されない。
本出願の実施形態では、前述の方法の例に基づいて、機能モジュールの分割が、送信側装置または受信側装置上で実行され得る。例えば、各機能モジュールは、各機能に対応する分割によって取得されてもよいし、または二つ以上の機能が、一つの処理モジュールに統合されてもよい。統合モジュールは、ハードウェアの形態に実装されてもよいし、またはソフトウェア機能モジュールの形態に実装されてもよい。本出願の実施形態では、モジュール分割は一例であり、単なる論理的な機能分割に過ぎないこは、留意されるべきである。実際の実装の間、別の分割方法が使用されることがある。各機能モジュールが、各対応する機能に基づく分割によって取得される例は、説明のために以下に使用される。
図8は、本出願の一実施形態による、通信装置800を示す模式的ブロック図である。図に示されるように、通信装置800は、送受信ユニット810および処理ユニット820を含み得る。
可能な設計では、通信装置800は、前述の方法の実施形態における第一の端末機器であってもよいし、または前述の方法の実施形態における第一の端末機器の機能を実装するように構成されるチップであってもよい。
通信装置800は、本出願の実施形態による、方法300ないし方法700における第一の端末機器に相当し得ると理解されるべきである。通信装置800は、図3における方法300、図4における方法4200、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700にて、第一の端末機器によって実行されるステップを実行するように構成されるユニットを含み得るさらに、通信装置800におけるユニットおよび前述の他の動作および/または機能は、図3における方法300、図4における方法200、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700の対応する手順を実装するために使用される。ユニットが前述の対応するステップを実行する具体的なプロセスは、前述の方法の実施形態に詳細に説明されると理解されるべきである。簡潔にするため、詳細については、本明細書では改めて説明されない。
別の可能な設計では、通信装置800は、前述の方法の実施形態における第二の端末機器であってもよいし、または前述の方法の実施形態における第二の端末機器の機能を実装するように構成されるチップであってもよい。
通信装置800は、本出願の実施形態による、方法300ないし方法700における第二の端末機器に相当し得ると理解されるべきである。通信装置800は、図3における方法300、図4における方法200、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700にて、第二の端末機器によって実行されるステップを実行するように構成されるユニットを含み得る。さらに、通信装置800におけるユニットおよび前述の他の動作および/または機能は、図3における方法300、図4における方法200、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700の対応する手順を実装するために使用される。ユニットが前述の対応するステップを実行する具体的なプロセスは、前述の方法の実施形態に詳細に説明されると理解されるべきである。簡潔にするため、詳細については、ここで説明されない。
別の可能な設計では、通信装置800は、前述の方法実施形態におけるポリシー制御機能ネットワーク要素であってもよく、または前述の方法実施形態におけるポリシー制御機能ネットワーク要素の機能を実装するように構成されるチップであってもよい。
通信装置800は、本出願の実施形態による、方法400、方法600、および方法700におけるポリシー制御機能ネットワーク要素に相当し得ると理解されるべきである。通信装置800は、図4における方法400、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700にて、ポリシー制御機能ネットワーク要素によって実行される方法を実行するように構成されるユニットを含み得る。さらに、通信装置800におけるユニットおよび前述の他の動作および/または機能は、図4における方法400、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700の対応する手順を実装するために使用される。ユニットが前述の対応するステップを実行する具体的なプロセスは、前述の方法の実施形態に詳細に説明されると理解されるべきである。簡潔にするため、詳細については、ここで説明されない。
別の可能な設計では、通信装置800は、前述の方法の実施形態における直接通信検出名称管理機能ネットワーク要素であってもよく、または前述の方法の実施形態における直接通信検出名称管理機能ネットワーク要素の機能を実装するように構成されるチップであってもよい。
通信装置800は、本出願の実施形態による、方法500ないし方法700における直接通信検出名称管理機能ネットワーク要素に相当し得ると理解されるべぎてある。通信装置800は、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700にて、直接通信検出名称管理機能ネットワーク要素によって実行される方法を実行するように構成されるユニットを含み得る。さらに、通信装置800におけるユニットおよび前述の他の動作および/または機能は、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700の対応する手順を実装するために使用される。ユニットが前述の対応するステップを実行する具体的なプロセスは、前述の方法の実施形態に詳細に説明されると理解されるべきである。詳細については、ここで説明されない。
別の可能な設計では、通信装置800は、前述の方法実施形態におけるアプリケーション機能ネットワーク要素であってもよく、または前述の方法実施形態におけるアプリケーション機能ネットワーク要素の機能を実装するように構成されるチップであってもよい。
通信装置800は、本出願の実施形態による、方法400、方法600、および方法700におけるアプリケーション機能ネットワーク要素に相当し得ると理解されるべきである。通信装置800は、図4における方法400、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700にて、アプリケーション機能ネットワーク要素によって実行される方法を実行するように構成されるユニットを含み得る。さらに、通信装置800におけるユニットおよび前述の他の動作および/または機能は、図4における方法400、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700の対応する手順を実装するために使用される。ユニットが前述の対応するステップを実行する具体的なプロセスは、前述の方法の実施形態に詳細に説明されると理解されるべきである。簡潔にするため、詳細については、ここで説明されない。
さらに、通信装置800の送受信ユニット810は、図9に示される通信機器900における送受信機920に相当し得て、通信装置800における処理ユニット820は、図9に示される通信機器900におけるプロセッサ910に相当し得ると理解されるべきである。
さらに、通信装置800がチップである場合、チップは、送受信ユニットおよび処理ユニットを含むと理解されるべきである。送受信ユニットは、入出力回路または通信インターフェースであってもよい。処理ユニットは、プロセッサ、マイクロプロセッサ、またはチップ上に集積される集積回路であってもよい。
送受信ユニット810は、通信装置800の信号受信および送信の動作を実装するように構成され、処理ユニット820は、通信装置800の信号処理の動作を実装するように構成される。
任意選択として、通信装置800は、記憶ユニット830をさらに含み、記憶ユニット830は、命令を格納するように構成される。
図9は、本出願の一実施形態による、通信機器900を示す模式的ブロック図である。図に示されるように、通信機器900は、少なくとも一つのプロセッサ910および送受信機920を含む。プロセッサ910は、メモリに結合され、メモリに格納される命令を実行して、信号を送信する、および/または信号を受信するように送受信機920を制御するように構成される。任意選択として、通信機器900は、命令を格納するように構成されるメモリ930をさらに含む。
プロセッサ910およびメモリ930は、一つの処理装置に結合されてもよく、プロセッサ910は、メモリ930に格納されるプログラムコードを実行して、前述の機能を実現するように構成されると理解されるべきである。具体的な実装の間、メモリ930は、代わりにプロセッサ910に統合されてもよいし、またはプロセッサ910から独立していてもよい。
さらに、送受信機920は、レシーバ(または受信機と呼ばれる)およびトランスミッタ(または送信機と呼ばれる)を含み得ると理解されるべきである。送受信機920は、アンテナをさらに含み得る。一つまたは複数のアンテナが存在することがある。送受信機920は、通信インターフェースまたはインターフェース回路であってもよい。
通信機器900がチップである場合、チップは、送受信ユニットおよび処理ユニットを含む。送受信ユニットは、入出力回路または通信インターフェースであってもよい。処理ユニットは、プロセッサ、マイクロプロセッサ、またはチップ上に集積される集積回路であってもよい。本出願の実施形態は、プロセッサおよびインターフェースを含む処理装置をさらに提供する。プロセッサは、前述の方法の実施形態における方法を実行するように構成され得る。
処理装置はチップであり得ると理解されるべきである。例えば、処理装置は、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積チップ(ASIC)、システムオンチップ(SoC )、中央処理ユニット(CPU)、ネットワークプロセッサ(NP)、デジタル信号処理回路(DSP)、マイクロコントローラ(MCU)、プログラマブルコントローラ(PLD)、または別の統合チップとし得る。
実装プロセスでは、前述の方法におけるステップは、プロセッサにおけるハードウェア集積論理回路を使用することによって、またはソフトウェアの形態における命令を使用することによって実装することができる。本出願の実施形態を参照して開示される方法のステップは、ハードウェアプロセッサによって直接実行されてもよいし、またはプロセッサにおけるハードウェアおよびソフトウェアモジュールの組み合わせを使用することによって、実行されてもよい。ソフトウェアモジュールは、ランダムアクセスメモリ、フラッシュメモリ、読取専用メモリ、プログラマブル読取専用メモリ、電気的に消去可能なプログラマブルメモリ、またはレジスタなどの、当技術分野における永久記憶媒体に配置され得る。記憶媒体は、メモリに配置され、プロセッサは、メモリ内の情報を読み取り、プロセッサのハードウェアと組み合わせて前述の方法におけるステップを完了する。繰り返しを避けるため、詳細については、ここで改めて説明されない。
本出願の実施形態におけるプロセッサは、集積回路チップであり得て、信号処理能力を有することは、留意されるべきである。実装プロセスでは、前述の方法の実施形態におけるステップは、プロセッサにおけるハードウェア集積論理回路を使用することによって、またはソフトウェアの形態における命令を使用することによって、実装することができる。プロセッサは、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲート アレイ(FPGA)、または別のプログラマブルロジック機器、離散ゲート、またはトランジスタ 論理機器、または離散ハードウェアコンポーネントとし得る。それは、本出願の実施形態に開示される方法、ステップ、および論理ブロック図を実装または実行し得る。汎用プロセッサは、マイクロプロセッサであってもよいし、またはプロセッサは、従来の任意のプロセッサなどであってもよい。本出願の実施形態を参照して開示される方法のステップは、ハードウェア復号化プロセッサによって直接実行されてもよいし、または復号化プロセッサにおけるハードウェアおよびソフトウェアモジュールの組み合わせを使用することによって、実行されてもよい。ソフトウェアモジュールは、ランダムアクセスメモリ、フラッシュメモリ、読取専用メモリ、プログラマブル読取専用メモリ、電気的に消去可能なプログラマブルメモリ、またはレジスタなどの、当技術分野における永久記憶媒体に配置され得る。記憶媒体は、メモリに配置され、プロセッサは、メモリ内の情報を読み取り、プロセッサのハードウェアと組み合わせて前述の方法におけるステップを完了する。
本出願の実施形態におけるメモリは、揮発性メモリもしくは不揮発性メモリであってもよく、あるいは揮発性メモリおよび不揮発性メモリを含んでもよいと理解されるべきである。不揮発性メモリは、読取専用メモリ(ROM)、プログラマブル読取専用メモリ(PROM)、消去可能なプログラマブル読取専用メモリ(EPROM)、電気的に消去可能なプログラマブルメモリ(EEPROM)、またはフラッシュ メモリとし得る。揮発性メモリは、外部キャッシュとして使用されるランダムアクセスメモリ(RAM)であり得る。限定的ではなく例として説明するが、例えば、静的ランダムアクセスメモリ(SRAM)、動的ランダムアクセスメモリ(DRAM)、同期動的ランダムアクセスメモリ(SDRAM)、ダブルデータレート同期動的ランダムアクセスメモリ(DDR SDRAM)、強化型同期動的ランダムアクセスメモリ(ESDRAM)、同期リンク動的ランダムアクセスメモリ(SLDRAM)、および直接ラムバス動的ランダムアクセスメモリ(DR RAM)とし得る。本明細書に説明されるシステムおよび方法のメモリには、これらおよび別の適切な種類のメモリが含まれるが、これらに限定されないことは、留意されるべきである。
本出願の実施形態に提供される方法によれば、本出願は、コンピュータプログラム製品をさらに提供する。コンピュータプログラム製品は、コンピュータプログラムコードを含み、コンピュータプログラムコードがコンピュータ上で実行されると、コンピュータは、図3、ないし図7Aおよび図7Bに示される実施形態の何れか一つによる方法を実行することが可能になる。
本出願の実施形態に提供される方法によれば、本出願は、コンピュータ可読媒体をさらに提供する。コンピュータ可読記憶媒体は、プログラムコードを格納する。プログラムコードがコンピュータ上で実行されると、コンピュータは、図3、ないし図7Aおよび図7Bに示される実施形態の何れか一つにおける方法を実行することが可能になる。
本出願の実施形態に提供される方法によれば、本出願は、システムをさらに提供する。このシステムは、第一の端末機器および第二の端末機器を含む。
本出願の実施形態に提供される方法によれば、本出願は、システムをさらに提供する。このシステムは、第一の端末機器、第二の端末機器、ポリシー制御機能ネットワーク要素、直接通信検出名称管理機能ネットワーク要素、およびアプリケーション機能ネットワーク要素を含む。
前述の実施形態の全部または一部は、ソフトウェア、ハードウェア、ファームウェア、またはそれらの任意の組み合わせを使用することによって、実装され得る。実施形態を実装するためにソフトウェアが使用される場合、実施形態の全部または一部は、コンピュータプログラム製品の形態に実装され得る。コンピュータプログラム製品には、一つまたは複数のコンピュータ命令が含まれる。コンピュータ命令がコンピュータ上にロードされて実行されると、本出願の実施形態による手順または機能が全てまたは部分的に生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または他のプログラム可能な装置とし得る。コンピュータ命令は、コンピュータ可読記憶媒体に格納されてもよいし、またはコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に送信されてもよい。例えば、コンピュータ命令は、ウェブサイト、コンピュータ、サーバ、またはデータセンターから有線方式(例えば、同軸ケーブル、光ファイバー、デジタル加入者線(DSL)など)、または無線方式(例えば、赤外線、電波、またはマイクロ波など)において送信され得る。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の使用可能な媒体、またはデータ記憶機器、例えば、一つまたは複数の使用可能な媒体を統合する、サーバもしくデータセンターとし得る。利用可能な媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスクドライブ、磁気テープなど)、光学媒体(例えば、デジタルビデオディスク(DVD)など)、または半導体媒体(例えば、ソリッドステートドライブ(SSD)など)などとし得る。
前述の装置の実施形態におけるネットワーク側機器および端末機器は、方法の実施形態におけるネットワーク側機器または端末機器に相当する。対応するモジュールまたはユニットは、対応するステップを実行する。例えば、方法の実施形態では、通信ユニット(送受信機)が、受信ステップまたは送信ステップを実行し、送信ステップおよび受信ステップ以外のステップは、処理ユニット(プロセッサ)によって実行され得る。具体的なユニットの機能については、対応する方法の実施形態を参照されたい。プロセッサは、一つまたは複数存在することがある。
本明細書に使用される「コンポーネント」、「モジュール」、および「システム」などの専門用語は、コンピュータ関連のエンティティ、ハードウェア、ファームウェア、ハードウェアおよびソフトウェアの組み合わせ、ソフトウェア、または実行中のソフトウェアを示すために使用される。例えば、コンポーネントは、プロセッサ上で実行するプロセス、プロセッサ、オブジェクト、実行可能ファイル、実行スレッド、プログラム、および/またはコンピュータとし得るが、これらに限定されない。図面を使用して例証されるように、コンピューティング機器と、コンピューティング機器上で実行するアプリケーションとの両方が、コンポーネントとし得る。一つまたは複数のコンポーネントが、プロセスおよび/または実行スレッド内に常駐することがあり、コンポーネントは、一つのコンピュータ上に配置され得る、および/または二つ以上のコンピュータ間に分散され得る。さらに、これらのコンポーネントは、種々のデータ構造を格納する種々のコンピュータ可読媒体から実行され得る。例えば、コンポーネントは、ローカルプロセスおよび/またはリモートプロセスを使用することによって、例えば、一つまたは複数のデータパケットを有する信号(例えば、ローカルシステム、分散システムにおける別のコンポーネントと相互作用する二つのコンポーネントからのデータ、および/または信号を使用することによって他のシステムと相互作用するインターネットなどのネットワークを介するデータなど)に基づいて、通信し得る。
当業者であれば、本明細書に開示される実施形態に説明される例と組み合わせて、ユニットおよびアルゴリズムのステップが電子ハードウェア、またはコンピュータソフトウェアおよび電子ハードウェアの組み合わせによって実装され得ることに気が付かれ得る。機能がハードウェアによって実行されるかソフトウェアによって実行されるかは、特定のアプリケーションと、技術的解決策の設計制約条件とによって異なる。当業者であれば、異なる方法を使用して、特定各用途について説明される機能を実装し得るが、その実装がこの用途の範囲を超えると考えられるべきではない。
便宜的かつ簡潔な説明の目的のために、前述のシステム、装置、およびユニットにおける詳細な動作プロセスについては、前述の方法の実施形態における対応するプロセスを参照することは、当業者によって明確に理解され得る。詳細については、ここで改めて説明されない。
本出願に提供される幾つかの実施形態では、開示されるシステム、装置、および方法が、他の方法において実装され得ることと理解されるべきである。例えば、説明される装置の実施形態は、単なる一例にすぎない。例えば、ユニットへの分割は、論理的な機能分割に過ぎず、実際の実装時には別の分割となることもある。例えば、複数のユニットまたはコンポーネントが、別のシステムに結合もしくは統合され得る、または一部の機能が無視されたり、実行されなかったりすることがある。さらに、表示もしくは説明される相互結合、直接結合、または通信接続は、幾つかのインターフェースを使用することによって、実装され得る。装置もしくはユニットの間の間接的な結合または通信接続は、電子的、機械的、または他の形態において実装され得る。
別個の部品として説明されるユニットは、物理的に別個であることもあれば、またはそうでないこともあり、ユニットとして表示される部品は、物理的なユニットであることもあれば、またはそうでないこともあり、一つの位置に配置されることもあれば、または複数のネットワークユニット上に分散されることもある。ユニットの一部または全部は、実施形態の解決策の目的を達成するための実際の要件に基づいて、選択され得る。
さらに、本出願の実施形態における機能ユニットは、一つの処理ユニットに統合されてもよく、ユニットの各々が、物理的に単独で存在してもよく、または二つ以上のユニットが、一つのユニットに統合されてもよい。
機能が、ソフトウェア機能ユニットの形態において実装され、独立した製品として販売もしくは使用される場合、これらの機能は、コンピュータ可読記憶媒体に格納され得る。このような理解に基づいて、本質的に本出願の技術的解決策、または従来技術に寄与する部分、または技術的解決策の一部は、ソフトウェア製品の形態において実施され得る。コンピュータソフトウェア製品は、記憶媒体に格納され、コンピュータ機器(パーソナルコンピュータ、サーバ、またはネットワーク機器であり得る)に、本出願の実施形態に記載される方法のステップの全部もしくは一部を実行するように指示するための複数の命令を含む。前述の記憶媒体には、USBフラッシュドライブ、リムーバブルハードディスク、読取専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク、または光ディスクなどの、プログラムコードを格納することができる、任意の媒体が含まれる。
前述の説明は、単なる本出願の具体的な実装例であるが、本出願の保護範囲を限定することを意図されていない。本出願に開示される技術的範囲内に当業者によって容易に考え出される、何れかの変形または置換は、本出願の保護範囲内に含まれるはずである。したがって、本出願の保護範囲は、請求項の保護範囲に依存するはずである。
例えば、直接通信検出名称管理機能ネットワーク要素#Bから第一のサービスのサービス検出パラメータを取得する場合、直接通信検出名称管理機能ネットワーク要素#Aは、直接通信検出名称管理ネットワーク要素#Bから第一の識別子を取得する。具体的には、ダイレクト通信検出名称管理機能ネットワーク要素#Aは、要求メッセージ#3(第二の要求メッセージの一例)を直接通信検出名称管理機能ネットワーク要素#Bに送信する。要求メッセージ#3は、第一のサービスのサービス検出パラメータの取得を要求するために使用され、または、要求メッセージ#3は、第一のサービスのサービス検出パラメータおよび第一の識別子の取得を要求するために使用される。さらに、直接通信検出名称管理機能ネットワーク要素#Bは、要求メッセージ#3を受信した後、直接通信検出名称管理機能ネットワーク要素#Aに第二のメッセージを送信し、第二のメッセージには、第一のサービスのサービス検出パラメータが含まれる。
通信装置800は、本出願の実施形態による、方法300ないし方法700における第一の端末機器に相当し得ると理解されるべきである。通信装置800は、図3における方法300、図4における方法400、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700にて、第一の端末機器によって実行されるステップを実行するように構成されるユニットを含み得るさらに、通信装置800におけるユニットおよび前述の他の動作および/または機能は、図3における方法300、図4における方法400、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700の対応する手順を実装するために使用される。ユニットが前述の対応するステップを実行する具体的なプロセスは、前述の方法の実施形態に詳細に説明されると理解されるべきである。簡潔にするため、詳細については、本明細書では改めて説明されない。
通信装置800は、本出願の実施形態による、方法300ないし方法700における第二の端末機器に相当し得ると理解されるべきである。通信装置800は、図3における方法300、図4における方法400、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700にて、第二の端末機器によって実行されるステップを実行するように構成されるユニットを含み得る。さらに、通信装置800におけるユニットおよび前述の他の動作および/または機能は、図3における方法300、図4における方法400、図5における方法500、図6Aおよび図6Bにおける方法600、図7Aおよび図7Bにおける方法700の対応する手順を実装するために使用される。ユニットが前述の対応するステップを実行する具体的なプロセスは、前述の方法の実施形態に詳細に説明されると理解されるべきである。簡潔にするため、詳細については、ここで説明されない。
Claims (48)
- セキュリティ保護有効化方式を決定するための方法であって、
第一の端末機器によって、コア・ネットワーク要素から第一の識別子を受信するステップであって、第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用される、ステップと、
前記第一の端末機器がサービスのために第二の端末機器との接続を確立するプロセスにおいて、前記第一の端末機器によって、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定するステップと、
前記第一の端末機器によって、前記第二の端末機器に第一の情報を送信するステップであって、前記第一の情報は、前記接続に対してセキュリティ保護を有効にするか否かを示す、ステップ
を備える、方法。 - 前記第一の識別子は、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および第一の指示情報のうちの一つまたは複数であり、前記第一の指示情報は、前記端末機器のセキュリティ保護ポリシーの強制的変更が許可されることを示す、請求項1に記載の方法。
- 前記第一の識別子は、前記第一の指示情報であり、前記第一の端末機器によって、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定する前記ステップは、
前記第一の端末機器によって、前記第一の指示情報に基づいて、第一のセキュリティ保護ポリシーおよび第二のセキュリティ保護ポリシーのうち、セキュリティレベルがより高いセキュリティ保護ポリシーに従って、前記接続に対してセキュリティ保護を有効にするか否かを決定するステップであって、前記第一のセキュリティ保護ポリシーは、前記サービスにおいて前記第一の端末機器によって使用されるセキュリティ保護ポリシーであり、前記第二のセキュリティ保護ポリシーは、前記サービスにおいて前記第二の端末機器によって使用されるセキュリティ保護ポリシーである、ステップ
を含む、請求項1に記載の方法。 - 前記第一の識別子は、前記第一の指示情報であり、前記第一の端末機器によって、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定する前記ステップは、
前記第一の端末機器によって、前記第一の指示情報に基づいて、第一のセキュリティ保護ポリシーに従って、前記接続に対してセキュリティ保護を有効にするか否かを決定するステップであって、前記第一のセキュリティ保護ポリシーは、前記第一の端末機器によって前記サービスにおいて使用されるセキュリティ保護ポリシーである、ステップ
を含む、請求項1または2に記載の方法。 - 前記第一の識別子は、前記新たなセキュリティ保護ポリシーであり、前記第一の端末機器によって、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定する前記ステップは、
前記新たなセキュリティ保護ポリシーに従って前記第一の端末機器によって、前記接続に対してセキュリティ保護を有効にするか否かを決定するステップ
を含む、請求項1または2に記載の方法。 - 前記第一の識別子は、前記新たなセキュリティ保護有効化方式であり、前記第一の端末機器によって、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定する前記ステップは、
前記第一の端末機器によって、前記新たなセキュリティ保護有効化方式に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定するステップ
を含む、請求項1または2に記載の方法。 - 前記第一の端末機器によって、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定する前記ステップは、
前記第一のセキュリティ保護ポリシーが前記第二のセキュリティ保護ポリシーと一致しない場合、前記第一の端末機器によって、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定するステップであって、前記第一のセキュリティ保護ポリシーは、前記サービスにおける前記第一の端末機器によって使用される前記セキュリティ保護ポリシーであり、前記第二のセキュリティ保護ポリシーは、前記サービスにおける前記第二の端末機器によって使用される前記セキュリティ保護ポリシーである、ステップ
を含む、請求項1ないし6の何れか一つに記載の方法。 - 前記第一の端末機器によって、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定する前記ステップは、
前記第二の端末機器がセキュリティ保護ポリシーの強制的変更のサポートを行うと判定される場合、前記第一の端末機器によって、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定するステップ
を含む、請求項1ないし7の何れか一つに記載の方法。 - 前記第一の端末機器によって、前記サービスの検出手順において、サービス検出コードを前記第二の端末機器から受信するステップであって、前記サービス検出コードが前記第一の識別子に対応する、ステップと、
前記第一の端末機器によって、前記サービス検出コードに基づいて、前記第二の端末機器が前記セキュリティ保護ポリシーの強制的変更のサポートを行うと決定するステップと
をさらに備える、請求項8に記載の方法。 - 前記第一の端末機器によって、前記接続を確立するプロセスにおいて前記第二の端末機器から第一のメッセージを受信するステップであって、前記第一のメッセージが、前記第一の識別子を含む、ステップと、
前記第一の端末機器によって、前記第一の識別子に基づいて、前記第二の端末機器が前記セキュリティ保護ポリシーの強制的変更のサポートを行うと決定するステップと
をさらに備える、請求項8に記載の方法。 - 前記コア・ネットワーク要素は、第一の直接通信検出名称管理機能ネットワーク要素であり、前記第一の識別子は、前記サービス検出コードに対応しており、
前記第一の端末機器によって、前記第一の直接通信検出名称管理機能ネットワーク要素から前記サービス検出コードを受信するステップ
をさらに備える、請求項1ないし10の何れか一つに記載の方法。 - セキュリティ保護有効化方式を決定するための方法であって、
第二の端末機器によってコア・ネットワーク要素から第一の識別子を受信するステップであって、前記第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用される、ステップと、
前記第二の端末機器がサービスのために第一の端末機器との接続を確立するプロセスにおいて、前記第二の端末機器によって、前記第一の識別子を前記第一の端末機器に送信するステップと、
前記第二の端末機器によって、前記第一の端末機器から第一の情報を受信するステップであって、前記第一の情報は、前記接続に対してセキュリティ保護を有効にするか否かを指示し、前記第一の情報は、前記第一の端末機器によって前記第一の識別子に基づいて決定される、ステップと、
前記第二の端末機器によって、前記第一の情報に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定するステップと
を備える、方法。 - セキュリティ保護有効化方式を決定するための方法であって、
第二の端末機器によって、コア・ネットワーク要素から第一の識別子を受信するステップであって、前記第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用され、第一の識別子は、サービス検出コードに対応する、ステップと、
前記第二の端末機器によって、サービスの検出手順において、前記サービス検出コードを第一の端末機器に送信するステップと、
前記第二の端末機器が前記サービスのために前記第一の端末機器との接続を確立するプロセスにおいて、前記第二の端末機器によって、前記第一の端末機器から第一の情報を受信するステップであって、前記第一の情報は、前記接続に対してセキュリティ保護を有効にするか否かを指示し、前記第一の情報は、前記第一の端末機器によって前記第一の識別子に基づいて決定される、ステップと、
前記第二の端末機器によって、前記第一の情報に基づいて、前記接続に対してセキュリティ保護を有効にするか否かを決定するステップと
を備える、方法。 - 前記第一の識別子は、新たなセキュリティ保護ポリシー、新たなセキュリティ保護有効化方式、および第一の指示情報のうちの一つまたは複数であり、前記第一の指示情報は、前記端末機器の前記セキュリティ保護ポリシーを強制的に変更することを可能にすることを示す、請求項12または13に記載の方法。
- 前記第一の情報は、前記第一の識別子をさらに含む、請求項12ないし14の何れか一つに記載の方法。
- 通信方法であって、
第一のコア・ネットワーク要素によって、第一のサービスのセキュリティ保護ポリシー構成および第二の指示情報に基づいて第一の識別子を決定するステップであって、前記第二の指示情報は、前記第一のサービスのセキュリティ保護ポリシーを接続確立中に強制的に変更することが可能であることを指示し、および前記第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用される、ステップと、
前記第一のコア・ネットワーク要素によって、前記第一の識別子を前記端末機器に送信するステップと
を備える、方法。 - 第一のコア・ネットワーク要素によって、第一のサービスのセキュリティ保護ポリシー構成および第二の指示情報に基づいて、第一の識別子を決定する前記ステップは、
前記セキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定される場合、前記第一のコア・ネットワーク要素によって、前記セキュリティ保護ポリシー構成および前記第二の指示情報に基づいて、前記第一の識別子を決定するステップであって、前記複数のセキュリティ保護ポリシーは、地理的に異なる場所にある前記第一のサービスのセキュリティ保護ポリシーを含む、ステップ
を含む、請求項16に記載の方法。 - 前記第一のコア・ネットワーク要素によって、第二のコア・ネットワーク要素から前記第二の指示情報を受信するステップ
をさらに備える、請求項16または17に記載の方法。 - 前記第一のコア・ネットワーク要素によって、第一の要求メッセージを前記第二のコア・ネットワーク要素に送信するステップであって、前記第一の要求メッセージは、前記第二の指示情報を要求するために使用される、ステップ
をさらに備える、請求項18に記載の方法。 - 前記第一のコア・ネットワーク要素によって、前記第一の要求メッセージを前記第二のコア・ネットワーク要素に送信する前記ステップは、
前記セキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なると判定される場合、前記第一のコア・ネットワーク要素によって、前記第一の要求メッセージを前記第二のコア・ネットワーク要素に送信するステップであって、前記複数のセキュリティ保護ポリシーは、地理的に異なる場所にある前記第一のサービスのセキュリティ保護ポリシーを含む、ステップ
を含む、請求項19に記載の方法。 - 前記第一のコア・ネットワーク要素は、ポリシー制御機能ネットワーク要素であり、前記第二のコア・ネットワーク要素は、アプリケーション機能ネットワーク要素であり、または
前記第一のコア・ネットワーク要素は、直接通信検出名称管理機能ネットワーク要素であり、前記第二のコア・ネットワーク要素は、ポリシー制御機能ネットワーク要素である、
請求項18ないし20の何れか一つに記載の方法。 - 前記第一のコア・ネットワーク要素は、第二の直接通信検出名称管理機能ネットワーク要素であり、前記端末機器は、第二の端末機器であり、前記第一のコア・ネットワークによって、前記第一の識別子を前記端末機器に送信する前記ステップは、
第一のセキュリティ保護ポリシーが第二のセキュリティ保護ポリシーと一致しないと判定される場合、前記第二の直接通信検出名称管理機能ネットワーク要素によって、前記第一の識別子を前記第二の端末機器に送信するステップであって、前記第一のセキュリティ保護ポリシーは、前記第一のサービスにおいて前記第一の端末機器によって使用されるセキュリティ保護ポリシーであり、前記第二のセキュリティ保護ポリシーは、前記第一のサービスにおいて前記第二の端末機器によって使用されるセキュリティ保護ポリシーであり、前記第一の端末機器は、前記第一のサービスのために前記第二の端末機器との接続を確立する端末機器である、ステップ
を含む、請求項16ないし21の何れか一つに記載の方法。 - 前記第二の直接通信検出名称管理機能ネットワーク要素によって、第一の直接通信検出名称管理機能ネットワーク要素から前記第一のセキュリティ保護ポリシーを受信するステップと、
前記第二の直接通信検出名称管理機能ネットワーク要素によって、前記第一のセキュリティ保護ポリシーが前記第二のセキュリティ保護ポリシーと一致しないと判定するステップと
をさらに備える、請求項22に記載の方法。 - 前記第二の直接通信検出名称管理機能ネットワーク要素によって、前記第二のセキュリティ保護ポリシーを第一の直接通信検出名称管理ネットワーク要素に送信するステップと、
前記第二の直接通信検出名称管理機能ネットワーク要素によって、前記第一の直接通信検出名称管理ネットワーク要素から第三の指示情報を受信するステップであって、前記第三の指示情報は、前記第一のセキュリティ保護ポリシーが前記第二のセキュリティ保護ポリシーと一致しないことを示す、ステップと
をさらに備える、請求項22に記載の方法。 - 前記第二の直接通信検出名称管理機能ネットワーク要素によって、前記第二の端末機器の位置情報に基づいて前記第二のセキュリティ保護ポリシーを決定するステップ
をさらに備える、請求項22ないし24の何れか一つに記載の方法。 - 前記第二の直接通信検出名称管理機能ネットワーク要素によって、前記第二の端末機器から位置情報を受信するステップ
をさらに備える、請求項25に記載の方法。 - 前記第二の直接通信検出名称管理機能ネットワーク要素によって、位置特定サービスを使用して前記位置情報を取得するために、ゲートウェイ・モバイル・ロケーション・センターを作動させるステップ
をさらに備える、請求項25に記載の方法。 - 前記第一のコア・ネットワーク要素は、前記直接通信検出名称管理機能ネットワーク要素であり、前記第一の識別子は、直接通信検出メッセージにて伝送される、
請求項16ないし27の何れか一つに記載の方法。 - 通信方法であって、
アプリケーション機能ネットワーク要素によって、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なることを判定するステップであって、前記複数のセキュリティ保護ポリシーは、地理的に異なる場所にある前記第一のサービスのセキュリティ保護ポリシーを含む、ステップと、
前記アプリケーション機能ネットワーク要素によって、第二の指示情報をポリシー制御機能ネットワーク要素に送信するステップであって、前記第二の指示情報は、前記第一のサービスのセキュリティ保護ポリシーを接続確立中に強制的に変更することが可能であることを示す、ステップと
を備える、方法。 - 前記アプリケーション機能ネットワーク要素によって、前記ポリシー制御機能ネットワーク要素から第一の要求メッセージを受信するステップであって、前記第一の要求メッセージは、前記第二の指示情報を要求するために使用される、ステップ
をさらに備え、
前記アプリケーション機能ネットワーク要素によって、第二の指示情報をポリシー制御機能ネットワーク要素に送信する前記ステップは、
前記アプリケーション機能ネットワーク要素によって、前記第一の要求メッセージに基づいて前記第二の指示情報を前記ポリシー制御機能ネットワーク要素に送信するステップ
を含む、
請求項29に記載の方法。 - 通信装置であって、前記通信装置は、送受信ユニットおよび処理ユニットを備え、
前記送受信ユニットは、コア・ネットワーク要素から第一の識別子を受信するように構成され、前記第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用され、
サービスのために第二の端末機器との接続を確立するプロセスにおいて、前記処理ユニットは、前記第一の識別子に基づいて、前記接続に対してセキュリティ保護を有効にするかどうかを決定するように構成され、
前記送受信ユニットは、第一の情報を前記第二の端末機器に送信するようにさらに構成され、前記第一の指示情報は、前記接続に対してセキュリティ保護を有効にするかどうかを指示する、
通信装置。 - 通信装置であって、前記通信装置は、送受信ユニットおよび処理ユニットを備え、
送受信ユニットは、コア・ネットワーク要素から第一の識別子を受信するようにさらに構成され、前記第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用され、
サービスのために第一の端末機器との接続を確立するプロセスにおいて、前記送受信ユニットは、前記第一の識別子を前記第一の端末機器に送信するようにさらに構成され、
前記送受信ユニットは、前記第一の端末機器から前記第一の情報を受信するようにさらに構成され、前記第一の情報は、前記接続に対してセキュリティ保護を有効にするかどうかを指示し、前記第一の情報は、前記第一の識別子に基づく前記第一の端末機器によって決定され、
前記処理ユニットは、前記第一の情報に基づいて、前記接続に対してセキュリティ保護を有効にするかどうかを決定するように構成される、
通信装置。 - 通信装置であって、前記通信装置は、送受信ユニットおよび処理ユニットを備え、
前記送受信ユニットは、コア・ネットワーク要素から第一の識別子を受信するように構成され、前記第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用され、前記第一の識別子は、サービス検出コードに対応し、
前記送受信ユニットは、サービスの検出手順において前記サービス検出コードを第一の端末機器に送信するようにさらに構成され、
前記サービスのために前記第一の端末機器との接続を確立するプロセスにおいて、前記送受信ユニットは、前記第一の端末機器から第一の情報を受信するようにさらに構成され、前記第一の情報は、前記接続に対してセキュリティ保護を有効にするかどうかを指示し、前記第一の情報は、前記第一の識別子に基づく前記第一の端末機器によって決定され、
前記処理ユニットは、前記第一の情報に基づいて、前記接続に対してセキュリティ保護を有効にするかどうかを決定するように構成される、
通信装置。 - 通信装置であって、前記通信装置は、送受信ユニットおよび処理ユニットを備え、
前記処理ユニットは、第一のサービスのセキュリティ保護ポリシー構成および第二の指示情報に基づいて、第一の識別子を決定するように構成され、前記第二の指示情報は、接続確立中に前記第一のサービスのセキュリティ保護ポリシーを強制的に変更することが可能であることを指示し、前記第一の識別子は、前記端末機器のセキュリティ保護ポリシーを変更するために使用され、
前記送受信ユニットは、前記第一の識別子を前記端末機器に送信するように構成される、
通信装置。 - 通信装置であって、前記通信装置は、送受信ユニットおよび処理ユニットを備え、
前記処理ユニットは、第一のサービスのセキュリティ保護ポリシー構成に含まれる複数のセキュリティ保護ポリシーの値が異なることを判定するように構成され、前記複数のセキュリティ保護ポリシーは、様々な地理的位置にある前記第一のサービスのセキュリティ保護ポリシーを含み、
前記送受信ユニットは、第二の指示情報をポリシー制御機能ネットワーク要素に送信するように構成され、前記第二の指示情報は、前記第一のサービスのセキュリティ保護ポリシーを接続確立中に強制的に変更することが可能であることを指示する、
通信装置。 - 通信装置であって、前記通信装置は、送受信ユニットおよび処理ユニットを備え、
前記送受信ユニットは、第二の要求メッセージを第一の直接通信検出名称管理ネットワーク要素に送信するように構成され、前記第二の要求メッセージは、第一の識別子の取得を要求するために使用され、前記第一の識別子は、端末機器のセキュリティ保護ポリシーを変更するために使用され、
前記送受信ユニットは、前記第一の直接通信検出名称管理ネットワーク要素から第二のメッセージを受信するようにさらに構成され、前記第二のメッセージは、前記第一の識別子を含み、
前記送受信ユニットは、前記第一の識別子を第二の端末機器に送信するようにさらに構成される、
通信装置。 - 通信インターフェースおよび少なくとも一つのプロセッサを備える通信装置であって、前記通信インターフェースおよび前記少なくとも一つのプロセッサが、回線を介して相互接続され、前記通信インターフェースが、請求項1から11の何れか一つに記載の方法における前記装置側で、メッセージを受信および送信する動作を実行するように構成され、
前記少なくとも一つのプロセッサは、請求項1から11の何れか一つに記載の方法における前記装置によって実行される、メッセージ処理または制御動作を実行するための命令を呼び出す、
通信装置。 - 通信インターフェースおよび少なくとも一つのプロセッサを備える通信装置であって、前記通信インターフェースおよび前記少なくとも一つのプロセッサが、回線を通じて相互接続され、前記通信インターフェースが、請求項12に記載の方法における前記装置側で、メッセージを受信および送信する動作を実行するように構成され、
前記少なくとも一つのプロセッサは、請求項12に記載の方法における前記装置によって実行される、メッセージ処理または制御動作を実行するための命令を呼び出す、
通信装置。 - 通信インターフェースおよび少なくとも一つのプロセッサを備える通信装置であって、前記通信インターフェースおよび前記少なくとも一つのプロセッサが、回線を介して相互接続され、前記通信インターフェースが、請求項13ないし15の何れか一つに記載の方法における前記装置側で、メッセージを受信および送信する動作を実行するように構成され、
前記少なくとも一つのプロセッサは、請求項13ないし15の何れか一つに記載の方法における前記装置によって実行される、メッセージ処理または制御動作を実行するための命令を呼び出す、
通信装置。 - 通信インターフェースおよび少なくとも一つのプロセッサを備える通信装置であって、前記通信インターフェースおよび前記少なくとも一つのプロセッサが、回線を介して相互接続され、前記通信インターフェースが、請求項16ないし28の何れか一つに記載の方法における前記装置側で、メッセージを受信および送信する動作を実行するように構成され、
前記少なくとも一つのプロセッサは、請求項16ないし28の何れか一つに記載の方法における前記装置によって実行される、メッセージ処理または制御動作を実行するための命令を呼び出す、
通信装置。 - 通信インターフェースおよび少なくとも一つのプロセッサを備える通信装置であって、前記通信インターフェースおよび前記少なくとも一つのプロセッサが、回線を介して相互接続され、前記通信インターフェースが、請求項29または30に記載の方法における前記装置側で、メッセージを受信および送信する動作を実行するように構成され、
前記少なくとも一つのプロセッサは、請求項29または30に記載の方法における前記装置によって実行される、メッセージ処理または制御動作を実行するための命令を呼び出す、
通信装置。 - 前記装置は端末機器である、請求項37ないし41の何れか一つに記載の装置。
- チップシステムであって、前記チップシステムは、少なくとも一つのプロセッサおよびインターフェース回路を備え、前記インターフェース回路および前記少なくとも一つのプロセッサは、回線を介して相互接続され、前記プロセッサは、請求項1ないし30の何れか一つに記載の方法を実行するための命令を動作させる、チップシステム。
- 請求項1ないし30の何れか一つに記載の方法を実行するように構成される、プロセッサ。
- 通信装置であって、
メモリであって、コンピュータプログラムを格納するように構成される、メモリと、
送受信機であって、送信するステップおよび受信するステップを実行するように構成される、送受信機と、
プロセッサであって、前記メモリから前記コンピュータプログラムを呼び出し、前記コンピュータプログラムを実行して、前記通信装置が請求項1ないし30の何れか一つに記載の方法を実行することを可能にするように構成される、プロセッサと
を備える、通信装置。 - コンピュータ可読記憶媒体であって、前記コンピュータ可読記憶媒体は、コンピュータプログラムを記憶し、前記コンピュータプログラムがコンピュータ上で実行されると、前記コンピュータは、請求項1ないし30の何れか一つに記載の方法を実行する、
コンピュータ可読記憶媒体。 - 命令を含むコンピュータプログラム製品であって、前記コンピュータプログラム製品がコンピュータ上で動作すると、前記コンピュータは、請求項1ないし30の何れか一つに記載の方法を実行することが可能になる、
コンピュータプログラム製品。 - 請求項31ないし36の何れか一つに記載の装置を備える、通信システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110524279.3 | 2021-05-13 | ||
CN202110524279.3A CN115348585A (zh) | 2021-05-13 | 2021-05-13 | 确定安全保护开启方式的方法、通信方法及通信装置 |
PCT/CN2022/092338 WO2022237857A1 (zh) | 2021-05-13 | 2022-05-12 | 确定安全保护开启方式的方法、通信方法及通信装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2024520916A true JP2024520916A (ja) | 2024-05-27 |
Family
ID=83977931
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023569905A Pending JP2024520916A (ja) | 2021-05-13 | 2022-05-12 | セキュリティ保護有効化方式を決定するための方法、通信方法、および通信装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20240080345A1 (ja) |
EP (1) | EP4322583A1 (ja) |
JP (1) | JP2024520916A (ja) |
CN (1) | CN115348585A (ja) |
BR (1) | BR112023023630A2 (ja) |
WO (1) | WO2022237857A1 (ja) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016164493A1 (en) * | 2015-04-06 | 2016-10-13 | Interdigital Patent Holdings, Inc. | METHODS, APPARATUSES AND SYSTEMS DIRECTED TO PROXIMITY SERVICES (ProSe) DIRECT DISCOVERY |
CN110912854B (zh) * | 2018-09-15 | 2021-03-23 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
-
2021
- 2021-05-13 CN CN202110524279.3A patent/CN115348585A/zh active Pending
-
2022
- 2022-05-12 JP JP2023569905A patent/JP2024520916A/ja active Pending
- 2022-05-12 EP EP22806819.3A patent/EP4322583A1/en active Pending
- 2022-05-12 WO PCT/CN2022/092338 patent/WO2022237857A1/zh active Application Filing
- 2022-05-12 BR BR112023023630A patent/BR112023023630A2/pt unknown
-
2023
- 2023-11-10 US US18/506,241 patent/US20240080345A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
BR112023023630A2 (pt) | 2024-02-06 |
EP4322583A1 (en) | 2024-02-14 |
WO2022237857A1 (zh) | 2022-11-17 |
CN115348585A (zh) | 2022-11-15 |
US20240080345A1 (en) | 2024-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220330361A1 (en) | Method for establishing connection and obtaining relay service code and communications apparatus | |
US20220217611A1 (en) | Service Configuration Method, Communication Apparatus, and Communication System | |
US20230029714A1 (en) | Authorization method, policy control function device, and access and mobility management function device | |
CN112020104B (zh) | 用于背景数据传输的方法、通信装置和通信系统 | |
US11310658B2 (en) | Method and apparatus for determining status of terminal device, and device | |
US11564080B2 (en) | Method, apparatus, and system for sending terminal policy | |
US20230232196A1 (en) | Data communication method and communication apparatus | |
US20230422016A1 (en) | Network access method and apparatus | |
CN116390203A (zh) | 选择网络的方法和装置 | |
EP3949354B1 (en) | Method and apparatus for service discovery | |
WO2021165856A1 (en) | Partial support of access network information | |
WO2023071770A1 (zh) | 获取数据分析结果的方法及通信装置 | |
WO2023060409A1 (zh) | 感知控制方法、装置、设备、系统及存储介质 | |
KR20240060670A (ko) | 통신 방법 및 장치 | |
US20230071815A1 (en) | Path section between uu and pc5 | |
JP2024520916A (ja) | セキュリティ保護有効化方式を決定するための方法、通信方法、および通信装置 | |
WO2024032041A1 (zh) | 通信方法和通信装置 | |
WO2023160390A1 (zh) | 通信方法与装置 | |
US20240155325A1 (en) | Information obtaining method and apparatus, and system | |
US20220353340A1 (en) | Communication Method and Communication Apparatus | |
WO2023143212A1 (zh) | 一种通信方法及装置 | |
WO2022156517A1 (en) | Method and apparatus for relay service code management | |
WO2023015973A1 (zh) | 一种网络切片准入控制方法和装置 | |
WO2023051428A1 (zh) | 信息传输的方法和装置 | |
WO2023202337A1 (zh) | 通信方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231219 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240119 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231219 |