JP6727294B2 - ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム - Google Patents

ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム Download PDF

Info

Publication number
JP6727294B2
JP6727294B2 JP2018515066A JP2018515066A JP6727294B2 JP 6727294 B2 JP6727294 B2 JP 6727294B2 JP 2018515066 A JP2018515066 A JP 2018515066A JP 2018515066 A JP2018515066 A JP 2018515066A JP 6727294 B2 JP6727294 B2 JP 6727294B2
Authority
JP
Japan
Prior art keywords
network
access
nas
network device
3gpp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018515066A
Other languages
English (en)
Other versions
JP2018532325A (ja
Inventor
娜 李
娜 李
▲鏡▼学 仲
▲鏡▼学 仲
▲偉▼▲偉▼ 仲
▲偉▼▲偉▼ 仲
▲ジン▼ ▲陳▼
▲ジン▼ ▲陳▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2018532325A publication Critical patent/JP2018532325A/ja
Application granted granted Critical
Publication of JP6727294B2 publication Critical patent/JP6727294B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Description

本発明は通信分野に関し、詳細には、ユーザ機器UEのアクセス方法、アクセスデバイス、およびアクセスシステムに関する。
科学および技術の発展に伴い、ワイヤレスローカルエリアネットワーク(英語:Wireless Local Area Networks、略してWLAN)などの非第3世代パートナーシッププロジェクト(英語:Non−3rd Generation Partnership Project、略してNon−3GPP)ネットワーク、およびロングタームエボリューション(英語:Long Term Evolution、略してLTE)ネットワークなどの3GPPネットワークがますます広く使用されている。Non−3GPPネットワークは、主として、個人向け家電市場ならびに家庭および企業のブロードバンドワイヤレスアクセス市場に固有であり、3GPPネットワークは、主として、電気通信事業者市場に固有であり、公衆にモバイル通信サービスを提供する。2つのタイプのワイヤレスネットワーク(Non−3GPPネットワークおよび3GPPネットワーク)は、補完的な利点を有し、したがって、Non−3GPPネットワークおよび3GPPネットワークを集束することが必要な動向である。
関連する技術では、3GPPネットワークは、2つの部分:アクセスネットワークおよびコアネットワークに分割される。ユーザ機器(英語:User Equipment、略してUE)が3GPPネットワークのアクセスネットワークを使用することにより3GPPネットワークのコアネットワークにアクセスするとき、モビリティ管理エンティティ(英語:Mobility Management Entity、略してMME)などの、モビリティ管理および他の機能に関与し、3GPPネットワークのコアネットワーク上にあるネットワークデバイスは、UEに対して発展型パケットシステム認証および鍵共有(英語:Evolved Packet System Authentication and Key Agreement、略してEPS−AKA)を実施する。認証が成功した後、UEおよびMMEは、1組の非アクセス層(英語:Non−Access Stratum、略してNAS)セキュリティコンテキストを共有する。NASセキュリティコンテキストは、3GPPネットワークの鍵、NASシーケンス番号、およびNASアルゴリズムなどの情報を含む。UEが3GPPネットワーク上の基地局のカバレージエリア内になく、Non−3GPPネットワークのカバレージエリア内にあるとき、UEは、Non−3GPPネットワークのアクセスネットワークを使用することにより3GPPネットワークのコアネットワークにアクセスし、3GPPネットワークのコアネットワーク上の認証、認可、および課金(英語:Authentication、Authorization、Accounting、略してAAA)サーバは、UEに対して拡張可能認証プロトコル(英語:Extensible Authentication Protocol、略してEAP)−AKAプロトコルベースの認証を実施する必要がある。次いで、AAAサーバは、UEがネットワークにアクセスすることを許可するように決定する。UEおよびNon−3GPPネットワークは、各々Non−3GPPネットワークのアクセス鍵またはAS鍵を生成し、UEおよびNon−3GPPネットワークは、生成されたアクセス鍵またはAS鍵を使用することによって通信を実施する。
EAP−AKAプロトコルベースの認証プロセスでは、AAAサーバがUEに対して認証を実施する必要があり、この認証プロセスでは、比較的長い遅延が発生する。その結果、全体的な通信遅延が比較的長い。
UEがNon−3GPPネットワークを使用することにより3GPPネットワークにアクセスするときの全体的な通信遅延が比較的長いという問題を解決するために、本発明は、ユーザ機器UEのアクセス方法、アクセスデバイス、およびアクセスシステムを提供する。技術的解決策は以下の通りである。
第1の態様によれば、ユーザ機器UEのアクセス方法が提供され、方法は、
第3世代パートナーシッププロジェクト3GPPネットワーク上の第1のネットワークデバイスにより、非第3世代パートナーシッププロジェクトNon−3GPPネットワーク上の第2のネットワークデバイスを使用して、ユーザ機器UEによって送信されたアクセス要求メッセージを受信するステップであって、アクセス要求メッセージがUEの識別子を含む、ステップと、
第1のネットワークデバイスにより、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1の非アクセス層NAS検証コードを生成するステップと、
アクセス要求メッセージが第2のNAS検証コードを含む場合、第1のネットワークデバイスにより、第2のNAS検証コードが第1のNAS検証コードと同じであるかどうかを検出するステップであって、第2のNAS検証コードが、UEに記憶されたNASセキュリティコンテキストに従ってUEによって生成された検証コードである、ステップと、
第2のNAS検証コードが第1のNAS検証コードと同じである場合、第1のネットワークデバイスにより、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信するステップと
を含む。
第1の態様を参照して、第1の態様の第1の可能な実装形態では、第1のネットワークデバイスにより、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信するステップの前に、方法は、
第1のネットワークデバイスにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するステップ
をさらに含む。
第1の態様の第1の可能な実装形態を参照して、第1の態様の第2の可能な実装形態では、第1のネットワークデバイスにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するステップの前に、方法は、
第1のネットワークデバイスにより、第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵を取得するステップと、
第1のネットワークデバイスにより、第2のネットワークデバイスによって送信されたNon−3GPPネットワークのタイプ識別子を受信するステップと
をさらに含む。
第1の態様を参照して、第1の態様の第3の可能な実装形態では、方法は、
第2のNAS検証コードが第1のNAS検証コードとは異なる場合、第1のネットワークデバイスにより、UEに対してセキュリティ認証を実施するステップ、または
アクセス要求メッセージがNAS検証コードを含まない場合、第1のネットワークデバイスにより、UEに対してセキュリティ認証を実施するステップ
をさらに含む。
第1の態様の第3の可能な実装形態を参照して、第1の態様の第4の可能な実装形態では、第1のネットワークデバイスにより、UEに対してセキュリティ認証を実施するステップは、
第1のネットワークデバイスにより、第2のネットワークデバイスを使用して、UEに認証メッセージを送信するステップと、
第1のネットワークデバイスにより、第2のネットワークデバイスを使用して、UEから認証メッセージに対応する認証応答メッセージを受信するステップと
を含む。
第1の態様の第4の可能な実装形態を参照して、第1の態様の第5の可能な実装形態では、第1のネットワークデバイスにより、第2のネットワークデバイスを使用して、UEから認証メッセージに対応する認証応答メッセージを受信するステップの後に、方法は、
第1のネットワークデバイスにより、第2のネットワークデバイスを使用して、UEにアクセス成功メッセージを送信するステップ
をさらに含む。
第1の態様および第1の態様の第1から第5の可能な実装形態のうちのいずれか1つを参照して、第1の態様の第6の可能な実装形態では、第1のネットワークデバイスにより、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信するステップの前に、方法は、
第1のネットワークデバイスにより、UEの能力情報を取得するステップであって、能力情報がNon−3GPPネットワーク上のUEの能力を示すために使用される、ステップと、
第1のネットワークデバイスにより、第2のネットワークデバイスに能力情報を送信するステップであって、能力情報が暗号アルゴリズムを決定するために第2のネットワークデバイスによって使用され、暗号アルゴリズムがNon−3GPPネットワークのアクセス層AS鍵を生成するために第2のネットワークデバイスによって使用される、ステップと
をさらに含む。
第1の態様および第1の態様の第1から第6の可能な実装形態のうちのいずれか1つを参照して、第1の態様の第7の可能な実装形態では、第2のネットワークデバイスはワイヤレスアクセスポイントAPである。
第2の態様によれば、ユーザ機器UEのアクセス方法が提供され、方法は、
ユーザ機器UEにより、アクセス要求メッセージを生成するステップであって、アクセス要求メッセージがUEの識別子を含む、ステップと、
UEにより、非第3世代パートナーシッププロジェクトNon−3GPPネットワーク上の第2のネットワークデバイスを使用して、第3世代パートナーシッププロジェクト3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信するステップと
を含む。
第2の態様を参照して、第2の態様の第1の可能な実装形態では、UEにより、非第3世代パートナーシッププロジェクトNon−3GPPネットワーク上の第2のネットワークデバイスを使用して、第3世代パートナーシッププロジェクト3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信するステップの後に、方法は、
UEにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するステップ
をさらに含む。
第2の態様を参照して、第2の態様の第2の可能な実装形態では、アクセス要求メッセージは第2の非アクセス層NAS検証コードを含み、ユーザ機器UEにより、アクセス要求メッセージを生成するステップの前に、方法は、
UEにより、UEに記憶されたNASセキュリティコンテキストに従って、第2のNAS検証コードを生成するステップ
をさらに含む。
第2の態様を参照して、第2の態様の第3の可能な実装形態では、UEにより、非第3世代パートナーシッププロジェクトNon−3GPPネットワーク上の第2のネットワークデバイスを使用して、第3世代パートナーシッププロジェクト3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信するステップの後に、方法は、
UEにより、第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信された認証メッセージを受信するステップであって、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが第1のNAS検証コードとは異なると第1のネットワークデバイスが判断したとき、またはアクセス要求メッセージがNAS検証コードを含まないとき、認証メッセージが第1のネットワークデバイスによって生成され、第1のNAS検証コードが、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された検証コードである、ステップと、
UEにより、第2のネットワークデバイスを使用して、第1のネットワークデバイスに認証メッセージに対応する認証応答メッセージを送信するステップと
をさらに含む。
第2の態様の第3の可能な実装形態を参照して、第2の態様の第4の可能な実装形態では、UEにより、第2のネットワークデバイスを使用して、第1のネットワークデバイスに認証メッセージに対応する認証応答メッセージを送信するステップの後に、方法は、
UEにより、第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信されたアクセス成功メッセージを受信するステップ
をさらに含む。
第2の態様の第1の可能な実装形態を参照して、第2の態様の第5の可能な実装形態では、UEにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するステップの後に、方法は、
UEにより、Non−3GPPネットワークのアクセス鍵に従って、Non−3GPPネットワークのアクセス層AS鍵を生成するステップ
をさらに含む。
第2の態様の第5の可能な実装形態を参照して、第2の態様の第6の可能な実装形態では、UEにより、Non−3GPPネットワークのアクセス鍵に従って、Non−3GPPネットワークのアクセス層AS鍵を生成するステップは、
UEにより、第2のネットワークデバイスによって送信された暗号アルゴリズムを受信するステップと、
UEにより、暗号アルゴリズム、Non−3GPPネットワークのアクセス鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成するステップと
を含む。
第2の態様および第2の態様の第1から第6の可能な実装形態のうちのいずれか1つを参照して、第2の態様の第7の可能な実装形態では、第2のネットワークデバイスはワイヤレスアクセスポイントAPである。
第3の態様によれば、ユーザ機器UEのアクセスデバイスが提供され、ユーザ機器UEのアクセスデバイスは、
非第3世代パートナーシッププロジェクトNon−3GPPネットワーク上の第2のネットワークデバイスを使用して、ユーザ機器UEによって送信されたアクセス要求メッセージを受信するように構成された第1の受信ユニットであって、アクセス要求メッセージがUEの識別子を含む、第1の受信ユニットと、
UEの識別子およびUEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1の非アクセス層NAS検証コードを生成するように構成された生成ユニットと、
アクセス要求メッセージが第2のNAS検証コードを含むとき、第2のNAS検証コードが第1のNAS検証コードと同じであるかどうかを検出するように構成された検出ユニットであって、第2のNAS検証コードが、UEに記憶されたNASセキュリティコンテキストに従ってUEによって生成された検証コードである、検出ユニットと、
第2のNAS検証コードが第1のNAS検証コードと同じであるとき、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信するように構成された第1の送信ユニットと
を含む。
第3の態様を参照して、第3の態様の第1の可能な実装形態では、デバイスは、
3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するように構成された決定ユニット
をさらに含む。
第3の態様の第1の可能な実装形態を参照して、第3の態様の第2の可能な実装形態では、デバイスは、
UEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵を取得するように構成された第1の取得ユニットと、
第2のネットワークデバイスによって送信されたNon−3GPPネットワークのタイプ識別子を受信するように構成された第2の受信ユニットと
をさらに含む。
第3の態様を参照して、第3の態様の第3の可能な実装形態では、デバイスは、
UEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵を取得するように構成された第1の取得ユニットと、
第2のNAS検証コードが第1のNAS検証コードとは異なるとき、UEに対してセキュリティ認証を実施すること、または
アクセス要求メッセージがNAS検証コードを含まないとき、UEに対してセキュリティ認証を実施すること
を行うように構成された認証ユニットと
をさらに含む。
第3の態様の第3の可能な実装形態を参照して、第3の態様の第4の可能な実装形態では、認証ユニットは、
第2のネットワークデバイスを使用して、UEに認証メッセージを送信するように構成された送信モジュールと、
第2のネットワークデバイスを使用して、UEから認証メッセージに対応する認証応答メッセージを受信するように構成された受信モジュールと
をさらに含む。
第3の態様の第4の可能な実装形態を参照して、第3の態様の第5の可能な実装形態では、デバイスは、
第2のネットワークデバイスを使用して、UEにアクセス成功メッセージを送信するように構成された第2の送信ユニット
をさらに含む。
第3の態様および第3の態様の第1から第5の可能な実装形態のうちのいずれか1つを参照して、第3の態様の第6の可能な実装形態では、デバイスは、
UEの能力情報を取得するように構成された第2の取得ユニットであって、能力情報がNon−3GPPネットワーク上のUEの能力を示すために使用される、第2の取得ユニットと、
第2のネットワークデバイスに能力情報を送信するように構成された第3の送信ユニットであって、能力情報が暗号アルゴリズムを決定するために第2のネットワークデバイスによって使用され、暗号アルゴリズムがNon−3GPPネットワークのアクセス層AS鍵を生成するために第2のネットワークデバイスによって使用される、第3の送信ユニットと
をさらに含む。
第3の態様および第3の態様の第1から第6の可能な実装形態のうちのいずれか1つを参照して、第3の態様の第7の可能な実装形態では、第2のネットワークデバイスはワイヤレスアクセスポイントAPである。
第4の態様によれば、ユーザ機器UEのアクセスデバイスが提供され、ユーザ機器UEのアクセスデバイスは、
アクセス要求メッセージを生成するように構成された第1の生成ユニットであって、アクセス要求メッセージがUEのアクセスデバイスの識別子を含む、第1の生成ユニットと、
非第3世代パートナーシッププロジェクトNon−3GPPネットワーク上の第2のネットワークデバイスを使用して、第3世代パートナーシッププロジェクト3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信するように構成された第1の送信ユニットと
を含む。
第4の態様を参照して、第4の態様の第1の可能な実装形態では、デバイスは、
3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するように構成された決定ユニット
をさらに含む。
第4の態様を参照して、第4の態様の第2の可能な実装形態では、デバイスは、
UEのアクセスデバイスに記憶されたNASセキュリティコンテキストに従って、第2のNAS検証コードを生成するように構成された第2の生成ユニット
をさらに含む。
第4の態様を参照して、第4の態様の第3の可能な実装形態では、デバイスは、
第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信された認証メッセージを受信するように構成された第1の受信ユニットであって、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが第1のNAS検証コードとは異なると第1のネットワークデバイスが判断したとき、またはアクセス要求メッセージがNAS検証コードを含まないとき、認証メッセージが第1のネットワークデバイスによって生成され、第1のNAS検証コードが、UEのアクセスデバイスの識別子および第1のネットワークデバイスに記憶されたUEのアクセスデバイスのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された検証コードである、第1の受信ユニットと、
第2のネットワークデバイスを使用して、第1のネットワークデバイスに認証メッセージに対応する認証応答メッセージを送信するように構成された第2の送信ユニットと
をさらに含む。
第4の態様の第3の可能な実装形態を参照して、第4の態様の第4の可能な実装形態では、デバイスは、
第2のネットワークデバイスを使用して、UEのアクセスデバイス向けに、第1のネットワークデバイスによって送信されたアクセス成功メッセージを受信するように構成された第2の受信ユニット
をさらに含む。
第4の態様の第1の可能な実装形態を参照して、第4の態様の第5の可能な実装形態では、デバイスは、
Non−3GPPネットワークのアクセス鍵に従って、Non−3GPPネットワークのアクセス層AS鍵を生成するように構成された第3の生成ユニット
をさらに含む。
第4の態様の第5の可能な実装形態を参照して、第4の態様の第6の可能な実装形態では、第3の生成ユニットは、
第2のネットワークデバイスによって送信された暗号アルゴリズムを受信するように構成された受信モジュールと、
暗号アルゴリズム、Non−3GPPネットワークのアクセス鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成するように構成された生成モジュールと
を含む。
第4の態様および第4の態様の第1から第6の可能な実装形態を参照して、第4の態様の第7の可能な実装形態では、第2のネットワークデバイスはワイヤレスアクセスポイントAPである。
第5の態様によれば、ユーザ機器UEのアクセスデバイスが提供され、UEのアクセスデバイスは、受信機と、送信機と、プロセッサと、バスと、メモリとを含み、バスは、受信機、送信機、プロセッサ、およびメモリを接続するように構成され、プロセッサは、メモリに記憶されたプログラムを実行するように構成され、
受信機は、非第3世代パートナーシッププロジェクトNon−3GPPネットワーク上の第2のネットワークデバイスを使用して、ユーザ機器UEによって送信されたアクセス要求メッセージを受信するように構成され、アクセス要求メッセージはUEの識別子を含み、
プロセッサは、UEの識別子およびUEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1の非アクセス層NAS検証コードを生成するように構成され、
プロセッサは、アクセス要求メッセージが第2のNAS検証コードを含むとき、第2のNAS検証コードが第1のNAS検証コードと同じであるかどうかを検出するようにさらに構成され、第2のNAS検証コードは、UEに記憶されたNASセキュリティコンテキストに従ってUEによって生成された検証コードであり、
送信機は、第2のNAS検証コードが第1のNAS検証コードと同じであるとき、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信するように構成される。
第5の態様を参照して、第5の態様の第1の可能な実装形態では、プロセッサは、
3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定する
ようにさらに構成される。
第5の態様の第1の可能な実装形態を参照して、第5の態様の第2の可能な実装形態では、プロセッサは、
UEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵を取得する
ようにさらに構成され、
受信機は、
第2のネットワークデバイスによって送信されたNon−3GPPネットワークのタイプ識別子を受信する
ようにさらに構成される。
第5の態様を参照して、第5の態様の第3の可能な実装形態では、プロセッサは、
第2のNAS検証コードが第1のNAS検証コードとは異なるとき、UEに対してセキュリティ認証を実施すること、または
アクセス要求メッセージがNAS検証コードを含まないとき、UEに対してセキュリティ認証を実施すること
を行うようにさらに構成される。
第5の態様の第3の可能な実装形態を参照して、第5の態様の第4の可能な実装形態では、プロセッサは、具体的に、
第2のネットワークデバイスを使用して、UEに認証メッセージを送信することと、
第2のネットワークデバイスを使用して、UEから認証メッセージに対応する認証応答メッセージを受信することと
を行うようにさらに構成される。
第5の態様の第4の可能な実装形態を参照して、第5の態様の第5の可能な実装形態では、送信機は、
第2のネットワークデバイスを使用して、UEにアクセス成功メッセージを送信する
ようにさらに構成される。
第5の態様および第5の態様の第1から第5の可能な実装形態のうちのいずれか1つを参照して、第5の態様の第6の可能な実装形態では、プロセッサは、
UEの能力情報を取得することであって、能力情報はNon−3GPPネットワーク上のUEの能力を示すために使用される、取得すること
を行うようにさらに構成され、
送信機は、
第2のネットワークデバイスに能力情報を送信することであって、能力情報は、暗号アルゴリズムを決定するために第2のネットワークデバイスによって使用され、暗号アルゴリズムは、Non−3GPPネットワークのアクセス層AS鍵を生成するために第2のネットワークデバイスによって使用される、送信すること
を行うようにさらに構成される。
第5の態様および第5の態様の第1から第6の可能な実装形態のうちのいずれか1つを参照して、第5の態様の第7の可能な実装形態では、第2のネットワークデバイスはワイヤレスアクセスポイントAPである。
第6の態様によれば、ユーザ機器UEのアクセスデバイスが提供され、UEのアクセスデバイスは、送信機と、プロセッサと、バスと、メモリとを含み、バスは、送信機、プロセッサ、およびメモリを接続するように構成され、プロセッサは、メモリに記憶されたプログラムを実行するように構成され、
プロセッサは、アクセス要求メッセージを生成するように構成され、アクセス要求メッセージはUEのアクセスデバイスの識別子を含み、
送信機は、非第3世代パートナーシッププロジェクトNon−3GPPネットワーク上の第2のネットワークデバイスを使用して、第3世代パートナーシッププロジェクト3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信するように構成される。
第6の態様を参照して、第6の態様の第1の可能な実装形態では、プロセッサは、
3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するようにさらに構成される。
第6の態様を参照して、第6の態様の第2の可能な実装形態では、プロセッサは、
UEのアクセスデバイスに記憶されたNASセキュリティコンテキストに従って、第2のNAS検証コードを生成するようにさらに構成される。
第6の態様を参照して、第6の態様の第3の可能な実装形態では、デバイスは、
第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信された認証メッセージを受信するように構成された受信機であって、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが第1のNAS検証コードとは異なると第1のネットワークデバイスが判断したとき、またはアクセス要求メッセージがNAS検証コードを含まないとき、認証メッセージが第1のネットワークデバイスによって生成され、第1のNAS検証コードが、UEのアクセスデバイスの識別子および第1のネットワークデバイスに記憶されたUEのアクセスデバイスのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された検証コードである、受信機
をさらに含み、
送信機は、第2のネットワークデバイスを使用して、第1のネットワークデバイスに認証メッセージに対応する認証応答メッセージを送信するようにさらに構成される。
第6の態様の第3の可能な実装形態を参照して、第6の態様の第4の可能な実装形態では、受信機は、
第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信されたアクセス成功メッセージを受信する
ようにさらに構成される。
第6の態様の第1の可能な実装形態を参照して、第6の態様の第5の可能な実装形態では、プロセッサは、
Non−3GPPネットワークのアクセス鍵に従って、Non−3GPPネットワークのアクセス層AS鍵を生成する
ようにさらに構成される。
第6の態様の第5の可能な実装形態を参照して、第6の態様の第6の可能な実装形態では、プロセッサは、具体的に、
第2のネットワークデバイスによって送信された暗号アルゴリズムを受信することと、
暗号アルゴリズム、Non−3GPPネットワークのアクセス鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成することと
を行うように構成される。
第6の態様および第6の態様の第1から第6の可能な実装形態を参照して、第6の態様の第7の可能な実装形態では、第2のネットワークデバイスはワイヤレスアクセスポイントAPである。
第7の態様によれば、ユーザ機器UEのアクセスシステムが提供され、ユーザ機器UEのアクセスシステムは、
第3の態様の任意の実装形態によるUEのアクセスデバイスと、
第4の態様の任意の実装形態によるUEのアクセスデバイスと
を含む。
第8の態様によれば、ユーザ機器UEのアクセスシステムが提供され、ユーザ機器UEのアクセスシステムは、
第5の態様の任意の実装形態によるUEのアクセスデバイスと、
第6の態様の任意の実装形態によるUEのアクセスデバイスと
を含む。
本発明において提供される技術的解決策の有益な効果は以下の通りである。本発明において提供されるUEのアクセス方法によれば、3GPPネットワーク上の第1のネットワークデバイスは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信することができるので、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された第1のNAS検証コードと同じである場合、第1のネットワークデバイスは、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信する。関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
前述の全般説明および以下の詳細説明は、例として使用され、説明用に使用されるにすぎず、本発明に対する制限として解釈されない。
本発明の実施形態における技術的解決策をより明確に説明するために、以下で、実施形態を説明するために必要とされる添付図面を簡単に説明する。明らかに、以下の説明における添付図面は本発明のいくつかの実施形態を示すにすぎず、当業者は、創造的な努力なしに、これらの添付図面から他の図面をさらに導出することができる。
本発明の一実施形態による、UEのアクセス方法が使用される実装環境の概略図である。 本発明の一実施形態による、UEのアクセス方法のフローチャートである。 本発明の一実施形態による、UEの別のアクセス方法のフローチャートである。 本発明の一実施形態による、UEの別のアクセス方法のフローチャートである。 本発明の一実施形態による、UEの別のアクセス方法のフローチャートである。 本発明の一実施形態による、Non−3GPPネットワークのAS鍵を生成するための方法のフローチャートである。 本発明の一実施形態による、UEに対してMMEによりセキュリティ認証を実施するためのフローチャートである。 本発明の一実施形態による、UEのアクセスデバイスの概略構造図である。 本発明の一実施形態による、UEの別のアクセスデバイスの概略構造図である。 本発明の一実施形態による、認証ユニットの概略構造図である。 本発明の一実施形態による、UEの別のアクセスデバイスの概略構造図である。 本発明の一実施形態による、UEの別のアクセスデバイスの概略構造図である。 本発明の一実施形態による、第3の生成ユニットの概略構造図である。 本発明の一実施形態による、UEの別のアクセスデバイスの概略構造図である。 本発明の一実施形態による、UEの別のアクセスデバイスの概略構造図である。 本発明の一実施形態による、UEの別のアクセスデバイスの概略構造図である。
前述の添付図面は、本発明の具体的な実施形態を示し、以下により詳細な説明が提供される。添付図面およびテキスト説明は、本発明の発想の範囲をいかなる方法でも限定するものではなく、特定の実施形態を参照して、当業者に本発明の概念を説明するものである。
本発明の目的、技術的解決策、および利点をより明確にするために、以下で、添付図面を参照して、詳細に本発明の実施形態をさらに説明する。
図1は、本発明の一実施形態による、UEのアクセス方法が使用される実装環境の概略図である。この実装環境には、3GPPネットワーク01およびNon−3GPPネットワーク02が含まれる場合がある。3GPPネットワーク01は第1のネットワークデバイス011を含み、Non−3GPPネットワーク02は第2のネットワークデバイス021を含む。Non−3GPPネットワーク02上のUE03は、第2のネットワークデバイス021を使用して、3GPPネットワーク01上の第1のネットワークデバイス011との情報交換を実施することができる。UE03は、3GPPネットワーク01上の第1のネットワークデバイス011とNASメッセージを共有することができる。第1のネットワークデバイス011に記憶されたNASセキュリティコンテキストは、UE03に記憶されたNASセキュリティコンテキストと同じである。
本発明の実施形態では、3GPPネットワークはLTEネットワークの場合があるか、あるいは次世代(たとえば、4.5Gもしくは5G)ネットワークまたは別規格の将来のネットワークの場合がある。Non−3GPPネットワークはWLANネットワークの場合がある。具体的には、本発明の実施形態では、3GPPネットワークがLTEネットワークであるとき、第1のネットワークデバイスはMMEの場合があり、Non−3GPPネットワークがWLANネットワークであるとき、第2のネットワークデバイスは、ワイヤレスアクセスポイント(英語:WirelessAccessPoint、略してAP)またはAPコントローラ(英語:AP Controller、略してAC)の場合がある。
以下で、本発明の実施形態における添付図面を参照して、本発明の実施形態における技術的解決策を明確かつ完全に説明する。
本発明の一実施形態はUEのアクセス方法を提供する。図2に示されたように、方法は、図1に示された第1のネットワークデバイス011に適用される場合がある。UEのアクセス方法は以下のステップを含む。
ステップ201:3GPPネットワーク上の第1のネットワークデバイスが、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信し、アクセス要求メッセージはUEの識別子を含む。
ステップ202:第1のネットワークデバイスが、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のNAS検証コードを生成する。
ステップ203:アクセス要求メッセージが第2のNAS検証コードを含む場合、第1のネットワークデバイスが、第2のNAS検証コードが第1のNAS検証コードと同じであるかどうかを検出し、第2のNAS検証コードは、UEに記憶されたNASセキュリティコンテキストに従ってUEによって生成された検証コードである。
ステップ204:第2のNAS検証コードが第1のNAS検証コードと同じである場合、第1のネットワークデバイスが、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信する。
結論として、本発明のこの実施形態において提供されるUEのアクセス方法によれば、3GPPネットワークの第1のネットワークデバイスは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信することができるので、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された第1のNAS検証コードと同じである場合、第1のネットワークデバイスは、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信する。関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
さらに、ステップ204の前に、方法は、第1のネットワークデバイスにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するステップをさらに含む。
第1のネットワークデバイスにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するステップの前に、方法は、第1のネットワークデバイスにより、第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵を取得するステップと、第1のネットワークデバイスにより、第2のネットワークデバイスによって送信されたNon−3GPPネットワークのタイプ識別子を受信するステップとをさらに含む。
さらに、方法は、第2のNAS検証コードが第1のNAS検証コードとは異なる場合、第1のネットワークデバイスにより、UEに対してセキュリティ認証を実施するステップ、またはアクセス要求メッセージがNAS検証コードを含まない場合、第1のネットワークデバイスにより、UEに対してセキュリティ認証を実施するステップをさらに含む。
第1のネットワークデバイスにより、UEに対してセキュリティ認証を実施するステップは、第1のネットワークデバイスにより、第2のネットワークデバイスを使用して、UEに認証メッセージを送信するステップと、第1のネットワークデバイスにより、第2のネットワークデバイスを使用して、認証メッセージに固有のものであり、UEによって送信された認証応答メッセージを受信するステップとを含む。
第1のネットワークデバイスにより、第2のネットワークデバイスを使用して、認証メッセージに固有のものであり、UEによって送信された認証応答メッセージを受信するステップの後に、方法は、第1のネットワークデバイスにより、第2のネットワークデバイスを使用して、UEにアクセス成功メッセージを送信するステップをさらに含む。
ステップ204の前に、方法は、第1のネットワークデバイスにより、UEの能力情報を取得するステップであって、能力情報がNon−3GPPネットワーク上のUEの能力を示すために使用される、ステップと、第1のネットワークデバイスにより、第2のネットワークデバイスに能力情報を送信するステップであって、能力情報が暗号アルゴリズムを決定するために第2のネットワークデバイスによって使用され、暗号アルゴリズムがNon−3GPPネットワークのAS鍵を生成するために第2のネットワークデバイスによって使用される、ステップとをさらに含む。
場合によっては、第2のネットワークデバイスはAPである。
場合によっては、アクセス要求メッセージはNASメッセージを含み、NASメッセージはUEの識別子を含む。アクセス要求メッセージ、認証メッセージ、認証応答メッセージ、およびアクセス成功メッセージは、送信用のEAPメッセージ内で搬送される。
結論として、本発明のこの実施形態において提供されるUEのアクセス方法によれば、3GPPネットワークの第1のネットワークデバイスは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信することができるので、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された第1のNAS検証コードと同じである場合、第1のネットワークデバイスは、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信する。関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
本発明の一実施形態はUEのアクセス方法を提供する。図3に示されたように、方法は、図1に示されたUE03に適用される場合がある。UEのアクセス方法は以下のステップを含む。
ステップ301:UEがアクセス要求メッセージを生成し、アクセス要求メッセージはUEの識別子を含む。
ステップ302:UEが、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信する。
結論として、本発明のこの実施形態において提供されるUEのアクセス方法によれば、UEは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信することができる。したがって、関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
さらに、ステップ302の後に、方法は、UEにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するステップをさらに含む。
場合によっては、アクセス要求メッセージは第2のNAS検証コードを含む。ステップ301の前に、方法は、UEにより、UEに記憶されたNASセキュリティコンテキストに従って、第2のNAS検証コードを生成するステップをさらに含む。
ステップ302の後に、方法は、UEにより、第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信された認証メッセージを受信するステップであって、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが第1のNAS検証コードとは異なると第1のネットワークデバイスが判断したとき、またはアクセス要求メッセージがNAS検証コードを含まないとき、認証メッセージが第1のネットワークデバイスによって生成され、第1のNAS検証コードが、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された検証コードである、ステップと、UEにより、第2のネットワークデバイスを使用して、第1のネットワークデバイスに認証メッセージに固有の認証応答メッセージを送信するステップとをさらに含む。
UEにより、第2のネットワークデバイスを使用して、第1のネットワークデバイスに認証メッセージに固有の認証応答メッセージを送信するステップの後に、方法は、UEにより、第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信されたアクセス成功メッセージを受信するステップをさらに含む。
UEにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するステップの後に、方法は、UEにより、Non−3GPPネットワークのアクセス鍵に従って、Non−3GPPネットワークのAS鍵を生成するステップをさらに含む。
UEにより、Non−3GPPネットワークのアクセス鍵に従って、Non−3GPPネットワークのAS鍵を生成するステップは、UEにより、第2のネットワークデバイスによって送信された暗号アルゴリズムを受信するステップと、UEにより、暗号アルゴリズム、アクセス鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成するステップとを含む。
場合によっては、第2のネットワークデバイスはAPである。
場合によっては、アクセス要求メッセージはNASメッセージを含み、NASメッセージはUEの識別子を含む。アクセス要求メッセージ、認証メッセージ、認証応答メッセージ、およびアクセス成功メッセージは、送信用のEAPメッセージ内で搬送される。
結論として、本発明のこの実施形態において提供されるUEのアクセス方法によれば、UEは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信することができる。したがって、関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
本発明の一実施形態では、3GPPネットワークがLTEネットワークであり、Non−3GPPネットワークがWLANネットワークである例が説明に使用される。この場合、第1のネットワークデバイスはMMEの場合があり、第2のネットワークデバイスはAPの場合がある。本発明のこの実施形態はUEのアクセス方法を提供する。図4−1Aおよび図4Bに示されたように、UEのアクセス方法は以下のステップを含む。
ステップ501:UEがアクセス要求メッセージを生成する。
アクセス要求メッセージはUEの識別子を含む。場合によっては、アクセス要求メッセージはNASメッセージを含み、NASメッセージはUEの識別子を含む場合がある。アクセス要求メッセージは送信用のEAPメッセージ内で搬送される。
ステップ502:UEがAPにアクセス要求メッセージを送信する。
UEは、APに、アクセス要求メッセージを搬送するEAPメッセージを送信し、その結果、APは、MMEに、アクセス要求メッセージを搬送するEAPメッセージを送信する。
ステップ503:APがMMEにアクセス要求メッセージを送信する。
アクセス要求メッセージを搬送しUEによって送信されたEAPメッセージを受信した後、APは、MMEに、アクセス要求メッセージを搬送するEAPメッセージを送信する。
ステップ504:MMEが、UEの識別子およびMMEに記憶されたUEのNASセキュリティコンテキストに従って、第1のNAS検証コードを生成する。
3GPPネットワークは、2つの部分:アクセスネットワークおよびコアネットワークに分割される。UEが3GPPネットワークのアクセスネットワークを使用することにより3GPPネットワークのコアネットワークにアクセスするとき、MMEなどの、モビリティ管理および他の機能に関与し、3GPPネットワークのコアネットワーク上にあるネットワークデバイスは、UEに対してEPS−AKA認証を実施する。EPS AKAの手順については、3GPP TS 33.401プロトコルを参照されたい。そのプロトコルでは、ユーザとネットワークとの間のアイデンティティ認証および鍵共有を実施し、アイデンティティ認証に基づいて通信暗号鍵に対してネゴシエーションを実施するために、チャレンジレスポンスメカニズムが使用される。具体的には、MMEは、ホーム加入者サーバ(英語:Home Subscriber Server、略してHSS)から認証ベクトル{RAND,AUTN,XRES,Kasme}を取得し、ここで、RANDは乱数であり、AUTNは認証トークンであり、XRESは期待応答であり、Kasmeはネットワーク鍵である。MMEはUEにRANDおよびAUTNを送信し、UEはAUTNが正しいかどうかをチェックする。AUTNが正しい場合、UEは、RANDに従って応答(英語:response、略してRES)を計算し、MMEにRESを送信する。MMEは、UEによって送信されたRESが認証ベクトル内の期待応答(英語:expected response、略してXRES)と同じであるかどうかをチェックする。UEによって送信されたRESが認証ベクトル内のXRESと同じである場合、MMEによりUEに対して実施された認証は成功する。認証が成功した後、UEおよびMMEは、1組のNASセキュリティコンテキストを共有する。MMEとUEの両方がNASセキュリティコンテキストを記憶する。NASセキュリティコンテキストは、1組のセキュリティ関連パラメータを指す。
本発明のこの実施形態では、NASセキュリティコンテキストは、Kasme、Knas.int(完全性保護鍵)またはKnas.enc(暗号解読鍵)、NASアルゴリズム、NASシーケンス番号、UEの能力情報などを含む。Kasmeは3GPPネットワークの鍵である。Knas.intは、UEとMMEとの間のNASメッセージの完全性を保護するために使用される。Knas.encは、UEとMMEとの間のNASメッセージの機密性を保護するために使用される。NASシーケンス番号は、アップリンクNASシーケンス番号またはダウンリンクNASシーケンス番号であり得る。
MMEは複数のUEのモビリティ管理を実施することに関与するので、複数のUEのNASセキュリティコンテキストはMMEに記憶され、各UEは1つの識別子に対応する。したがって、MMEは、UEの識別子に従って、UEに対応するNASセキュリティコンテキストを特定し、次いで、NASセキュリティコンテキストに従ってNAS検証コードを生成することができる。NAS検証コードは第1のNAS検証コードである。具体的には、第1のNAS検証コードは、NASセキュリティコンテキスト内の3GPPネットワークの鍵またはNASアルゴリズムに従って生成される場合がある。そのプロセスについては、関連する技術に対して参照を行うことができる。本発明のこの実施形態では詳細は記載されない。
ステップ505:アクセス要求メッセージが第2のNAS検証コードを含む場合、MMEが、第2のNAS検証コードが第1のNAS検証コードと同じであるかどうかを検出する。
第2のNAS検証コードは、UEに記憶されたNASセキュリティコンテキストに従ってUEによって生成された検証コードである。ステップ501において、アクセス要求メッセージを生成するとき、UEは、UEに記憶されたNASセキュリティコンテキストに従ってNAS検証コードを生成することができ、NAS検証コードは第2のNAS検証コードである。具体的には、第2のNAS検証コードは、NASセキュリティコンテキスト内の3GPPネットワークの鍵またはNASアルゴリズムに従って生成される場合がある。
アクセス要求メッセージが第2のNAS検証コードを含む場合、UEにより、アクセス要求メッセージを生成するステップ501の前に、方法は、UEにより、UEに記憶されたNASセキュリティコンテキストに従って第2のNAS検証コードを生成するステップをさらに含むことに留意されたい。
ステップ506:MMEが、MMEに記憶されたUEのNASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵を取得する。
MMEに記憶されたUEのNASセキュリティコンテキストは、3GPPネットワークの鍵およびNASシーケンス番号を含む。したがって、MMEは、NASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵を直接取得することができる。
ステップ507:MMEがAPによって送信されたNon−3GPPネットワークのタイプ識別子を受信する。
Non−3GPPネットワークのタイプ識別子は、ステップ503においてアクセス要求メッセージ内で搬送される場合があり、APによってMMEに送信される。代替として、Non−3GPPネットワークのタイプ識別子は、ステップ5144においてAKA認証応答メッセージ内で搬送される場合があり、APによってMMEに送信される。
テップ503において、MMEにアクセス要求メッセージを送信するとき、APは、アクセス要求メッセージにNon−3GPPネットワークのタイプ識別子またはNon−3GPPネットワークのアイデンティティ識別子を追加することができる。Non−3GPPネットワークのタイプ識別子は、Non−3GPPネットワークのタイプ、たとえばWLANタイプを示すために使用される。Non−3GPPネットワークのアイデンティティ識別子は、Non−3GPPネットワークのアイデンティティを一意に識別するために使用される。APによって送信されたアクセス要求メッセージを受信した後、MMEは、アクセス要求メッセージから、Non−3GPPネットワークのタイプ識別子またはNon−3GPPネットワークのアイデンティティ識別子を取得することができる。Non−3GPPネットワークのアイデンティティ識別子を取得した場合、MMEは、Non−3GPPネットワークのアイデンティティ識別子に従って、Non−3GPPネットワークのタイプ識別子を特定することができる。本発明のこの実施形態では、Non−3GPPネットワークのタイプ識別子またはNon−3GPPネットワークのアイデンティティ識別子はアクセス要求メッセージ内で搬送され、新しいメッセージを生成する必要がない。これにより、メッセージの数を削減し、ネットワーク負荷を低減することができる。
2のNAS検証コードが第1のNAS検証コードとは異なる場合、またはアクセス要求メッセージがNAS検証コードを含まない場合、MMEはUEに対してセキュリティ認証を実施することができる。MMEがUEに対してセキュリティ認証を実施するプロセスでは、APによってMMEに送信されるAKA認証応答メッセージに、Non−3GPPネットワークのタイプ識別子またはNon−3GPPネットワークのアイデンティティ識別子が追加される場合があり、MMEは、AKA認証応答メッセージから、Non−3GPPネットワークのタイプ識別子またはNon−3GPPネットワークのアイデンティティ識別子を取得することができる。Non−3GPPネットワークのアイデンティティ識別子を取得した場合、MMEは、Non−3GPPネットワークのアイデンティティ識別子に従って、Non−3GPPネットワークのタイプ識別子を特定することができる。同様に、本発明のこの実施形態では、Non−3GPPネットワークのタイプ識別子またはNon−3GPPネットワークのアイデンティティ識別子はAKA認証応答メッセージ内で搬送され、新しいメッセージを生成する必要がない。これにより、メッセージの数を削減し、ネットワーク負荷を低減することができる。
ステップ508:MMEが、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定する。
具体的には、MMEは、事前設定された鍵推論アルゴリズムを使用することにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従ってアクセス鍵を決定する。NASシーケンス番号はアップリンクNASシーケンス番号である。たとえば、MMEは、事前設定された鍵推論アルゴリズムを使用することにより、ステップ506において取得された3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵、ならびにステップ507において受信されたNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定することができる。Non−3GPPネットワークのアクセス鍵の計算式は以下の通りである:
K=KDF(uplink NAS count,Kasme,「WLAN」)、ここで、
KはNon−3GPPネットワーク、すなわちWLANネットワークのアクセス鍵であり、「uplink NAS count」はアップリンクNASシーケンス番号であり、Kasmeは3GPPネットワークの鍵であり、「WLAN」はNon−3GPPネットワークのタイプ識別子であり、KDFは事前設定された鍵推論アルゴリズムを示す。Non−3GPPネットワークのアクセス鍵Kの推論プロセスでは、「uplink NAS count」および「Kasme」などのパラメータに加えて、別のパラメータが含まれる場合もあることに留意されたい。
ステップ509:UEが、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定する。
同様に、UEも、事前設定された鍵推論アルゴリズムを使用することにより、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定する。具体的には、UEは、記憶されたNASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵Kasmeを取得する。NASシーケンス番号はアップリンクNASシーケンス番号である。UEはNon−3GPPネットワークのタイプ識別子を記憶する。したがって、UEはNon−3GPPネットワークのアクセス鍵を決定することができる。アクセス鍵の計算式は以下の通りである:
K=KDF(uplink NAS count,Kasme,「WLAN」)、ここで、
KはNon−3GPPネットワークのアクセス鍵であり、「uplink NAS count」はアップリンクNASシーケンス番号であり、Kasmeは3GPPネットワークの鍵であり、「WLAN」はNon−3GPPネットワークのタイプ識別子であり、KDFは事前設定された鍵推論アルゴリズムを示す。事前設定された鍵推論アルゴリズムは、ステップ508において使用される事前設定された鍵推論アルゴリズムと同じであることに留意されたい。
ステップ510:MMEがUEの能力情報を取得する。
能力情報は、Non−3GPPネットワーク上のUEの能力を示すために使用される。UEの能力情報は、MMEに記憶されたUEのNASセキュリティコンテキストに含まれる。したがって、MMEは、NASセキュリティコンテキストからUEの能力情報を取得することができる。
ステップ511:MMEがAPに能力情報を送信する。
UEの能力情報を取得した後、MMEはAPに能力情報を送信し、その結果、APは能力情報に従って暗号アルゴリズムを決定する。暗号アルゴリズムは、Non−3GPPネットワークのAS鍵を生成するためにAPによって使用される。具体的には、APはアルゴリズムリストをローカルに記憶する。アルゴリズムリストは、Non−3GPPネットワークによってサポートされる様々な暗号アルゴリズムを記録し、これらの暗号アルゴリズムは優先度の昇順または降順に配置される。Non−3GPPネットワークの暗号アルゴリズムを取得するとき、APはNon−3GPPネットワーク上のUEの能力をアルゴリズムリストと照合して、Non−3GPPネットワーク上のUEの能力に対応し、アルゴリズムリスト内にある暗号アルゴリズムを取得し、次いで、Non−3GPPネットワークの選択されたアルゴリズムとして、これらのアルゴリズムの中で最も高い優先度を有するアルゴリズムを取得する。たとえば、WLANネットワーク内のネットワークデバイスは、暗号アルゴリズムAESをサポートする(AESは、米国標準技術局NISTがDESを置き換えようとする、21世紀の暗号規格である)。
Non−3GPPネットワークはWLANネットワークである。APによって受信されたWLANネットワーク上のUEの能力がL1およびL5に対応し、WLANネットワークのアルゴリズムリストが表1に示され、表1の暗号アルゴリズムが優先度の降順で配置され、順番にアルゴリズムL1、L4、L5、およびL2であることを想定すると、APは、WLANネットワーク上のUEの能力をWLANネットワークのアルゴリズムリストと照合して、WLANネットワーク上のUEの能力に対応し、WLANネットワークによってサポートされるアルゴリズムリスト内にある暗号アルゴリズムL1およびL5を取得し、表1に従ってアルゴリズム間で高い優先度を有するアルゴリズムL1を取得し、L1を最終的な暗号アルゴリズムとして決定することができる。
Figure 0006727294
ステップ512:UEがNon−3GPPネットワークのアクセス鍵に従ってNon−3GPPネットワークのAS鍵を生成する。
具体的には、図4−2に示されたように、ステップ512は以下のステップを含む。
ステップ5121:UEがAPによって送信された暗号アルゴリズムを受信する。
UEはAPを使用して暗号アルゴリズムを取得することができる。暗号アルゴリズムは、ステップ511においてAPによって決定された暗号アルゴリズムである。APがUEにメッセージを送信するとき、UEに対応する暗号アルゴリズムがメッセージ内で示される場合があり、その結果、UEは暗号アルゴリズムを取得し、暗号アルゴリズム、Non−3GPPネットワークのアクセス鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成する。暗号アルゴリズムはステップ517においてアクセス成功メッセージ内で搬送され、APによってUEに送信される場合があるか、または4方向ハンドシェイクメッセージ内で搬送され、APによってUEに送信される場合があるか、または別のメッセージ内で搬送される場合がある。このことは本発明のこの実施形態では限定されない。
ステップ5122:UEが、暗号アルゴリズム、Non−3GPPネットワークのアクセス鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成する。
UEは、APによって送信された暗号アルゴリズム、UEによって決定されたNon−3GPPネットワークのアクセス鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成する。Non−3GPPネットワークのAS鍵の計算式は以下の通りである:
PMK=KDF(K,L1,「WLAN」)、ここで、
PMKはNon−3GPPネットワークのAS鍵であり、KはNon−3GPPネットワークのアクセス鍵であり、L1はUEの能力情報に従って決定された暗号アルゴリズムに対応するアルゴリズム識別子であり、「WLAN」はNon−3GPPネットワークのタイプ識別子であり、KDFはL1に対応するアルゴリズムを使用することを示す。
ステップ513:第2のNAS検証コードが第1のNAS検証コードと同じである場合、MMEがAPにNon−3GPPネットワークのアクセス鍵を送信する。
UEに記憶されたNASセキュリティコンテキストに従ってUEによって生成された第2のNAS検証コードが、UEの識別子およびMMEに記憶されたUEのNASセキュリティコンテキストに従ってMMEによって生成された第1のNAS検証コードと同じである場合、MMEはAPにNon−3GPPネットワークのアクセス鍵を送信する。
一方では、APがMMEによって送信されたNon−3GPPネットワークのアクセス鍵を受信した後、UEも、ステップ509において、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するので、APはUEと通信することができ、APおよびUEは、Non−3GPPネットワークの決定されたアクセス鍵に従って、エア・インターフェース・セキュリティ・アクティベーションを実施することができる。
他方では、APがMMEによって送信されたNon−3GPPネットワークのアクセス鍵を受信した後、APは、Non−3GPPネットワークのアクセス鍵、APによって決定された暗号アルゴリズム、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成することができる。UEも、ステップ512において、Non−3GPPネットワークのアクセス鍵に従ってNon−3GPPネットワークのAS鍵を生成するので、UEとAPの両方がNon−3GPPネットワークのAS鍵を生成した後、UEおよびAPは、Non−3GPPネットワークの生成されたAS鍵を使用することにより、エア・インターフェース・セキュリティ・アクティベーションのプロセスを実施して、ASセキュリティコンテキストのネゴシエーションおよびアクティベーションを完了し、WLANネットワーク上で4方向ハンドシェイク(4−way handshake)手順を実施することができる。AS鍵の計算式は以下の通りである:
PMK=KDF(K,L1,「WLAN」)、ここで、
PMKはNon−3GPPネットワークのAS鍵であり、KはNon−3GPPネットワークのアクセス鍵であり、L1はUEの能力情報に従って決定された暗号アルゴリズムに対応するアルゴリズム識別子であり、「WLAN」はNon−3GPPネットワークのタイプ識別子であり、KDFはL1に対応するアルゴリズムを使用することを示す。
ステップ514:第2のNAS検証コードが第1のNAS検証コードとは異なる場合、MMEがUEに対してセキュリティ認証を実施する。
MMEにより、UEに対してセキュリティ認証を実施するステップは、MMEにより、APを使用して、UEに認証メッセージを送信するステップと、MMEにより、APを使用して、認証メッセージに固有のものであり、UEによって送信された認証応答メッセージを受信するステップとを含む。認証メッセージは、AKA認証チャレンジメッセージおよびNASセキュリティモードコマンド(英語:Security Mode Command、略してSMC)メッセージを含む場合がある。認証メッセージに固有の認証応答メッセージは、AKA認証応答メッセージおよびNASセキュリティモード完了(英語:security mode complete、略してSMP)メッセージを含む場合がある。したがって、図4−3に示されたように、MMEにより、UEに対してセキュリティ認証を実施するステップは、具体的に、以下のステップを含む場合がある。
ステップ5141:MMEがAPにAKA認証チャレンジメッセージを送信する。
MMEは、APに、AKA認証チャレンジメッセージを搬送するEAPメッセージを送信する。
ステップ5142:APがUEにAKA認証チャレンジメッセージを送信する。
APは、UEに、AKA認証チャレンジメッセージを搬送するEAPメッセージを送信する。
ステップ5143:UEがAPにAKA認証応答メッセージを送信する。
UEは、APに、AKA認証応答メッセージを搬送するEAPメッセージを送信する。
ステップ5144:APがMMEにAKA認証応答メッセージを送信する。
APは、MMEに、AKA認証応答メッセージを搬送するEAPメッセージを送信する。
ステップ5145:MMEがAPにNAS SMCメッセージを送信する。
MMEは、APに、NAS SMCメッセージを搬送するEAPメッセージを送信する。
ステップ5146:APがUEにNAS SMCメッセージを送信する。
APは、UEに、NAS SMCメッセージを搬送するEAPメッセージを送信する。
ステップ5147:UEがAPにNAS SMPメッセージを送信する。
UEは、APに、NAS SMPメッセージを搬送するEAPメッセージを送信する。
ステップ5148:APがMMEにNAS SMPメッセージを送信する。
APは、MMEに、NAS SMPメッセージを搬送するEAPメッセージを送信する。
第2のNAS検証コードが第1のNAS検証コードとは異なる場合、MMEがUEに対してセキュリティ認証を実施した後、MMEはAPにNon−3GPPネットワークのアクセス鍵を送信する。
ステップ515:アクセス要求メッセージがNAS検証コードを含まない場合、MMEがUEに対してセキュリティ認証を実施する。
MMEにより、UEに対してセキュリティ認証を実施するステップは、MMEにより、APを使用して、UEに認証メッセージを送信するステップと、MMEにより、APを使用して、認証メッセージに固有のものであり、UEによって送信された認証応答メッセージを受信するステップとを含む場合がある。MMEがUEに対してセキュリティ認証を実施する特定のプロセスについては、ステップ514の説明に対して参照を行うことができる。詳細は本明細書では再び記載されない。
アクセス要求メッセージがNAS検証コードを含まない場合、MMEがUEに対してセキュリティ認証を実施した後、MMEはAPにNon−3GPPネットワークのアクセス鍵を送信する。
ステップ516:MMEがAPにアクセス成功メッセージを送信する。
第2のNAS検証コードが第1のNAS検証コードと同じである場合、MMEは、APを使用してUEに、アクセス成功メッセージを搬送するEAPメッセージを送信することができることに留意されたい。第2のNAS検証コードが第1のNAS検証コードとは異なる場合、またはアクセス要求メッセージがNAS検証コードを含まない場合、MMEがUEに対してセキュリティ認証を実施した後、MMEは、APを使用してUEに、アクセス成功メッセージを搬送するEAPメッセージを送信することもできる
ステップ517:APがUEにアクセス成功メッセージを送信する。
MMEがAPを使用してUEにアクセス成功メッセージを送信した後、MMEはAPにNon−3GPPネットワークのアクセス鍵を送信する。
本発明のこの実施形態において提供されるUEのアクセス方法によれば、システム間エアインターフェースのアクセス遅延が効率的に低減され、認証経路が簡略化され、ユーザ体験が改善される。UEとNon−3GPPネットワークとの間のセキュリティコンテキストは、UEと3GPPネットワークとの間のNASセキュリティコンテキストを使用することによって作成される。いくつかのシナリオでは、UEはNon−3GPPネットワークのカバレージエリア内にのみ位置する場合がある。したがって、UEのアクセス方法では、UEと3GPPネットワーク上の第1のネットワークデバイスとの間で交換されるNASメッセージは、セキュリティコンテキスト作成プロセスを完了するために、送信用のEAPメッセージの中にカプセル化される。UEのアクセス方法は、既存の3GPPネットワークセキュリティアーキテクチャに基づき、3GPPネットワーク上の第1のネットワークデバイスによりUEに対して実施される認証は、既存のEPS AKA認証手順を使用することによって完了する。UEのアクセス方法では、Non−3GPPネットワークのASを使用することにより、エア・インターフェース・セキュリティ・アクティベーションを修正する必要なしに、既存のASセキュリティメカニズムが完全に再利用される。
特に、本発明のこの実施形態において提供されるUEのアクセス方法のステップの順番は、適切に調整される場合があり、特定のケースではステップが追加または削除される場合がある。たとえば、ステップ508およびステップ509は同時に実施される場合がある。別の例を挙げると、ステップ507におけるNon−3GPPネットワークのタイプ識別子は、ステップ503においてアクセス要求メッセージ内で搬送される場合があるか、またはステップ5144においてAKA認証応答メッセージ内で搬送される場合がある。したがって、ステップ507およびステップ503が同時に実施される場合があるか、またはステップ507およびステップ5144が同時に実施される場合がある。UEのアクセス方法のステップの順番は、本発明のこの実施形態では限定されない。本発明において開示された技術的範囲内で当業者が容易に考え付くいかなる修正された方法も、本発明の保護範囲内に入るべきである。したがって、詳細は記載されない。
結論として、本発明のこの実施形態において提供されるUEのアクセス方法によれば、3GPPネットワークの第1のネットワークデバイスは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信することができるので、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された第1のNAS検証コードと同じである場合、第1のネットワークデバイスは、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信する。関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
本発明の一実施形態はUEのアクセスデバイス1を提供する。UEのアクセスデバイス1は3GPPネットワーク上に位置し、UEのアクセスデバイス1は3GPPネットワーク上の第1のネットワークデバイスであり得る。図5に示されたように、UEのアクセスデバイス1は、
Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信するように構成された第1の受信ユニット501であって、アクセス要求メッセージがUEの識別子を含む、第1の受信ユニット501と、
UEの識別子およびUEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のNAS検証コードを生成するように構成された生成ユニット502と、
アクセス要求メッセージが第2のNAS検証コードを含むとき、第2のNAS検証コードが第1のNAS検証コードと同じであるかどうかを検出するように構成された検出ユニット503であって、第2のNAS検証コードが、UEに記憶されたNASセキュリティコンテキストに従ってUEによって生成された検証コードである、検出ユニット503と、
第2のNAS検証コードが第1のNAS検証コードと同じであるとき、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信するように構成された第1の送信ユニット504と
を含む。
結論として、本発明のこの実施形態において提供されるUEのアクセスデバイスによれば、第1の受信ユニットは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信することができるので、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された第1のNAS検証コードと同じである場合、第1の送信ユニットは、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信する。関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
本発明の一実施形態はUEのアクセスデバイス1を提供する。UEのアクセスデバイス1は3GPPネットワーク上に位置し、UEのアクセスデバイス1は3GPPネットワーク上の第1のネットワークデバイスであり得る。図6−1に示されたように、UEのアクセスデバイス1は、
Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信するように構成された第1の受信ユニット501であって、アクセス要求メッセージがUEの識別子を含む、第1の受信ユニット501と、
UEの識別子およびUEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のNAS検証コードを生成するように構成された生成ユニット502と、
アクセス要求メッセージが第2のNAS検証コードを含むとき、第2のNAS検証コードが第1のNAS検証コードと同じであるかどうかを検出するように構成された検出ユニット503であって、第2のNAS検証コードが、UEに記憶されたNASセキュリティコンテキストに従ってUEによって生成された検証コードである、検出ユニット503と、
第2のNAS検証コードが第1のNAS検証コードと同じであるとき、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信するように構成された第1の送信ユニット504と、
3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するように構成された決定ユニット505と、
UEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵を取得するように構成された第1の取得ユニット506と、
第2のネットワークデバイスによって送信されたNon−3GPPネットワークのタイプ識別子を受信するように構成された第2の受信ユニット507と、
第2のNAS検証コードが第1のNAS検証コードとは異なるとき、UEに対してセキュリティ認証を実施するか、またはアクセス要求メッセージがNAS検証コードを含まないとき、UEに対してセキュリティ認証を実施するように構成された認証ユニット508と、
第2のネットワークデバイスを使用して、UEにアクセス成功メッセージを送信するように構成された第2の送信ユニット509と、
UEの能力情報を取得するように構成された第2の取得ユニット510であって、能力情報がNon−3GPPネットワーク上のUEの能力を示すために使用される、第2の取得ユニット510と、
第2のネットワークデバイスに能力情報を送信するように構成された第3の送信ユニット511であって、能力情報が暗号アルゴリズムを決定するために第2のネットワークデバイスによって使用され、暗号アルゴリズムがNon−3GPPネットワークのAS鍵を生成するために第2のネットワークデバイスによって使用される、第3の送信ユニット511と
を含む。
図6−2に示されたように、認証ユニット508は、
第2のネットワークデバイスを使用して、UEに認証メッセージを送信するように構成された送信モジュール5081と、
第2のネットワークデバイスを使用して、認証メッセージに固有のものであり、UEによって送信された認証応答メッセージを受信するように構成された受信モジュール5082と
を含む。
場合によっては、第2のネットワークデバイスはAPである。
結論として、本発明のこの実施形態において提供されるUEのアクセスデバイスによれば、第1の受信ユニットは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信することができるので、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが、UEの識別子および第1のネットワークデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された第1のNAS検証コードと同じである場合、第1の送信ユニットは、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信する。関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
本発明の一実施形態はUEのアクセスデバイス2を提供する。UEのアクセスデバイス2はNon−3GPPネットワーク上に位置し、UEのアクセスデバイス2はUEであり得る。図7に示されたように、UEのアクセスデバイス2は
アクセス要求メッセージを生成するように構成された第1の生成ユニット701であって、アクセス要求メッセージがUEのアクセスデバイスの識別子を含む、第1の生成ユニット701と、
Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信するように構成された第1の送信ユニット702と
を含む。
結論として、本発明のこの実施形態において提供されるUEのアクセスデバイスによれば、第1の送信ユニットは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信することができる。したがって、関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
本発明の一実施形態はUEのアクセスデバイス2を提供する。UEのアクセスデバイス2はNon−3GPPネットワーク上に位置し、UEのアクセスデバイス2はUEであり得る。図8−1に示されたように、UEのアクセスデバイス2は
アクセス要求メッセージを生成するように構成された第1の生成ユニット701であって、アクセス要求メッセージがUEのアクセスデバイスの識別子を含む、第1の生成ユニット701と、
Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信するように構成された第1の送信ユニット702と、
3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するように構成された決定ユニット703と、
UEのアクセスデバイスに記憶されたNASセキュリティコンテキストに従って、第2のNAS検証コードを生成するように構成された第2の生成ユニット704と、
第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信された認証メッセージを受信するように構成された第1の受信ユニット705であって、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが第1のNAS検証コードとは異なると第1のネットワークデバイスが判断したとき、またはアクセス要求メッセージがNAS検証コードを含まないとき、認証メッセージが第1のネットワークデバイスによって生成され、第1のNAS検証コードが、UEのアクセスデバイスの識別子および第1のネットワークデバイスに記憶されたUEのアクセスデバイスのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された検証コードである、第1の受信ユニット705と、
第2のネットワークデバイスを使用して、第1のネットワークデバイスに認証メッセージに固有の認証応答メッセージを送信するように構成された第2の送信ユニット706と、
第2のネットワークデバイスを使用して、UEのアクセスデバイス向けに、第1のネットワークデバイスによって送信されたアクセス成功メッセージを受信するように構成された第2の受信ユニット707と、
Non−3GPPネットワークのアクセス鍵に従って、Non−3GPPネットワークのAS鍵を生成するように構成された第3の生成ユニット708と
を含む。
図8−2に示されたように、第3の生成ユニット708は、
第2のネットワークデバイスによって送信された暗号アルゴリズムを受信するように構成された受信モジュール7081と、
暗号アルゴリズム、Non−3GPPネットワークのアクセス鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成するように構成された生成モジュール7082と
を含む。
場合によっては、第2のネットワークデバイスはAPである。
結論として、本発明のこの実施形態において提供されるUEのアクセスデバイスによれば、第1の送信ユニットは、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信することができる。したがって、関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
本発明の一実施形態はUEのアクセスデバイス3を提供する。UEのアクセスデバイス3は3GPPネットワーク上に位置し、UEのアクセスデバイス3は3GPPネットワーク上の第1のネットワークデバイスであり得る。図9に示されたように、UEのアクセスデバイス3は、受信機141と、送信機142と、(CPUなどの)プロセッサ143と、バス144と、メモリ145とを含む。バス144は、受信機141、送信機142、プロセッサ143、およびメモリ145を接続するように構成される。プロセッサ143は、メモリ145に記憶されたプログラム1451を実行するように構成される。メモリ145は、高速ランダムアクセスメモリ(英語:Random Access Memory、略してRAM)を含む場合があるか、または、少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non−volatile memory)をさらに含む場合がある。
受信機141は、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信するように構成され、アクセス要求メッセージはUEの識別子を含む。
プロセッサ143は、UEの識別子およびUEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストに従って、第1のNAS検証コードを生成するように構成される。
プロセッサ143は、アクセス要求メッセージが第2のNAS検証コードを含むとき、第2のNAS検証コードが第1のNAS検証コードと同じであるかどうかを検出するようにさらに構成され、第2のNAS検証コードは、UEに記憶されたNASセキュリティコンテキストに従ってUEによって生成された検証コードである。
送信機142は、第2のNAS検証コードが第1のNAS検証コードと同じであるとき、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信するように構成される。
結論として、本発明のこの実施形態において提供されるUEのアクセスデバイスによれば、受信機は、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信することができるので、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが、UEの識別子およびUEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストに従って、UEのアクセスデバイスによって生成された第1のNAS検証コードと同じである場合、送信機は、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信する。関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
場合によっては、プロセッサ143は、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するようにさらに構成される。
プロセッサ143は、UEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストから、3GPPネットワークのNASシーケンス番号および3GPPネットワークの鍵を取得するようにさらに構成される。
受信機141は、第2のネットワークデバイスによって送信されたNon−3GPPネットワークのタイプ識別子を受信するようにさらに構成される。
プロセッサ143は、第2のNAS検証コードが第1のNAS検証コードとは異なるとき、UEに対してセキュリティ認証を実施するか、またはアクセス要求メッセージがNAS検証コードを含まないとき、UEに対してセキュリティ認証を実施するようにさらに構成される。
プロセッサ143は、具体的に、第2のネットワークデバイスを使用して、UEに認証メッセージを送信し、第2のネットワークデバイスを使用して、認証メッセージに固有のものであり、UEによって送信された認証応答メッセージを受信するように構成される。
送信機142は、第2のネットワークデバイスを使用して、UEにアクセス成功メッセージを送信するようにさらに構成される。
プロセッサ143は、UEの能力情報を取得するようにさらに構成され、能力情報はNon−3GPPネットワーク上のUEの能力を示すために使用される。
送信機142は、第2のネットワークデバイスに能力情報を送信するようにさらに構成され、能力情報は、暗号アルゴリズムを決定するために第2のネットワークデバイスによって使用され、暗号アルゴリズムは、Non−3GPPネットワークのAS鍵を生成ために第2のネットワークデバイスによって使用される。
場合によっては、第2のネットワークデバイスはAPである。
結論として、本発明のこの実施形態において提供されるUEのアクセスデバイスによれば、受信機は、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、UEによって送信されたアクセス要求メッセージを受信することができるので、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが、UEの識別子およびUEのアクセスデバイスに記憶されたUEのNASセキュリティコンテキストに従って、UEのアクセスデバイスによって生成された第1のNAS検証コードと同じである場合、送信機は、第2のネットワークデバイスにNon−3GPPネットワークのアクセス鍵を送信する。関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
本発明の一実施形態はUEのアクセスデバイス4を提供する。UEのアクセスデバイス4はNon−3GPPネットワーク上に位置し、UEのアクセスデバイス4はUEであり得る。図10−1に示されたように、UEのアクセスデバイス4は、送信機121と、プロセッサ122と、バス123と、メモリ124とを含む。バス123は、送信機121、プロセッサ122、およびメモリ124を接続するように構成される。プロセッサ122は、メモリ124に記憶されたプログラム1241を実行するように構成される。
プロセッサ122は、アクセス要求メッセージを生成するように構成され、アクセス要求メッセージはUEのアクセスデバイスの識別子を含む。
送信機121は、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、第3世代パートナーシッププロジェクト3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信するように構成される。
結論として、本発明のこの実施形態において提供されるUEのアクセスデバイスによれば、送信機は、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信することができる。したがって、関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
場合によっては、プロセッサ122は、3GPPネットワークのNASシーケンス番号、3GPPネットワークの鍵、およびNon−3GPPネットワークの事前設定されたタイプ識別子に従って、Non−3GPPネットワークのアクセス鍵を決定するようにさらに構成される。
プロセッサ122は、UEのアクセスデバイスに記憶されたNASセキュリティコンテキストに従って、第2のNAS検証コードを生成するようにさらに構成される。
図10−2に示されたように、デバイスは、第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信された認証メッセージを受信するように構成された受信機125をさらに含み、アクセス要求メッセージが第2のNAS検証コードを含み、第2のNAS検証コードが第1のNAS検証コードとは異なると第1のネットワークデバイスが判断したとき、またはアクセス要求メッセージがNAS検証コードを含まないとき、認証メッセージは第1のネットワークデバイスによって生成され、第1のNAS検証コードは、UEのアクセスデバイスの識別子および第1のネットワークデバイスに記憶されたUEのアクセスデバイスのNASセキュリティコンテキストに従って、第1のネットワークデバイスによって生成された検証コードである。図10−2の他の参照記号については、説明用の図10−1の参照記号に対して参照を行うことができる。
それに対応して、送信機121は、第2のネットワークデバイスを使用して、第1のネットワークデバイスに認証メッセージに固有の認証応答メッセージを送信するようにさらに構成される。
場合によっては、受信機125は、第2のネットワークデバイスを使用して、第1のネットワークデバイスによって送信されたアクセス成功メッセージを受信するようにさらに構成される。
プロセッサ122は、Non−3GPPネットワークのアクセス鍵に従って、Non−3GPPネットワークのAS鍵を生成するようにさらに構成される。
プロセッサ122は、具体的に、第2のネットワークデバイスによって送信された暗号アルゴリズムを受信し、暗号アルゴリズム、アクセス鍵、およびNon−3GPPネットワークのタイプ識別子に従って、Non−3GPPネットワークのAS鍵を生成するように構成される。
場合によっては、第2のネットワークデバイスはAPである。
結論として、本発明のこの実施形態において提供されるUEのアクセスデバイスによれば、送信機は、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスにアクセス要求メッセージを送信することができる。したがって、関連する技術と比較して、本発明では、AAAサーバがUEに対して認証を実施することは必要とされず、その結果、認証プロセスにおいて発生する遅延が低減される。したがって、全体的な通信遅延が低減される。
本発明の一実施形態はUEのアクセスシステムを提供する。UEのアクセスシステムは、
図5または図6−1に示されたUEのアクセスデバイス1と、
図7または図8−1に示されたUEのアクセスデバイス2と
を含む。
本発明の一実施形態はUEのアクセスシステムを提供する。UEのアクセスシステムは、
図9に示されたUEのアクセスデバイス3と、
図10−1または図10−2に示されたUEのアクセスデバイス4と
を含む。
簡便かつ簡潔な説明を容易にするために、前述のシステム、デバイス、およびユニットの詳細な動作プロセスについては、前述の方法実施形態内の対応するプロセスに対して参照を行うことができ、詳細は本明細書では再び記載されないことは、当業者なら明確に理解されよう。
本出願において提供されるいくつかの実施形態では、開示されたシステム、装置、および方法は他の方式で実装される場合があることを理解されたい。たとえば、記載された装置実施形態は例にすぎない。たとえば、ユニット分割は論理的な機能分割にすぎず、実際の実装形態では他の分割の場合がある。たとえば、複数のユニットまたは構成要素は組み合わされるか、もしくは別のシステムに統合される場合があり、または、いくつかの特徴は無視されるか、もしくは実施されない場合がある加えて、表示または説明された相互結合もしくは直接結合または通信接続は、いくつかのインターフェース、装置、またはユニット間の間接結合または通信接続の場合があり、電気、機械、または他の形態で実装される場合がある。
別々の部分として記載されたユニットは、物理的に分かれている場合も、分かれていない場合もあり、ユニットとして表示された部分は、物理ユニットである場合も、そうでない場合もあり、1つの場所に位置する場合があるか、または複数のネットワークユニット上に分散される場合がある。ユニットの一部またはすべては、実施形態の解決策の目的を達成するために、実際の要件に応じて選択される場合がある。
加えて、本発明の実施形態における機能ユニットは1つの処理ユニットに統合される場合があり、またはユニットの各々は物理的に単独で存在する場合があり、または2つ以上のユニットは1つのユニットに統合される場合がある。統合ユニットは、ハードウェアの形態で実装される場合があるか、またはソフトウェア機能ユニットに加えてハードウェアの形態で実装される場合がある。
当業者は、実施形態のステップのうちのすべてまたはいくつかが、ハードウェアまたは関連するハードウェアに命令するプログラムによって実装される場合があることを理解することができる。プログラムは、コンピュータ可読記憶媒体に記憶される場合がある。記憶媒体には、読取り専用メモリ、磁気ディスク、または光ディスクが含まれる場合がある。
前述の説明は、本発明の例示的な実施形態にすぎず、本発明を限定するものではない。本発明の原理から逸脱することなく行われるいかなる修正、均等な置換、および改善も、本発明の保護範囲に入るべきである。
01 3GPPネットワーク
011 第1のネットワークデバイス
02 Non−3GPPネットワーク
021 第2のネットワークデバイス
03 UE
1 アクセスデバイス
2 アクセスデバイス
3 アクセスデバイス
4 アクセスデバイス
121 送信機
122 プロセッサ
123 バス
124 メモリ
1241 プログラム
125 受信機
141 受信機
142 送信機
143 プロセッサ
144 バス
145 メモリ
1451 プログラム
501 第1の受信ユニット
502 生成ユニット
503 検出ユニット
504 第1の送信ユニット
505 決定ユニット
506 第1の取得ユニット
507 第2の受信ユニット
508 認証ユニット
5081 送信モジュール
5082 受信モジュール
509 第2の送信ユニット
510 第2の取得ユニット
511 第3の送信ユニット
701 第1の生成ユニット
702 第1の送信ユニット
703 決定ユニット
704 第2の生成ユニット
705 第1の受信ユニット
706 第2の送信ユニット
707 第2の受信ユニット
708 第3の生成ユニット
7081 受信モジュール
7082 生成モジュール

Claims (18)

  1. ユーザ機器(UE)のアクセス方法であって、
    第3世代パートナーシッププロジェクト(3GPP)ネットワーク上の第1のネットワークデバイスにより、非第3世代パートナーシッププロジェクト(Non−3GPP)ネットワーク上の第2のネットワークデバイスを使用して、前記UEから送信されたアクセス要求メッセージを受信するステップであって、前記アクセス要求メッセージが前記UEの識別子を備える、ステップと、
    前記第1のネットワークデバイスにより、前記UEの前記識別子および前記第1のネットワークデバイスに記憶された前記UEのNASセキュリティコンテキストに従って、第1の非アクセス層(NAS)検証コードを生成するステップと、
    前記アクセス要求メッセージが第2のNAS検証コードを備えるとき、前記第1のネットワークデバイスにより、前記第2のNAS検証コードが前記第1のNAS検証コードと同じであるかどうかを検出するステップであって、前記第2のNAS検証コードが、前記UEに記憶されたNASセキュリティコンテキストに従って前記UEによって生成された検証コードである、ステップと、
    前記第2のNAS検証コードが前記第1のNAS検証コードと同じであるとき、前記第1のネットワークデバイスにより、前記第2のネットワークデバイスに前記Non−3GPPネットワークのアクセス鍵を送信するステップと
    を備える、方法。
  2. 前記第1のネットワークデバイスにより、前記第2のネットワークデバイスに前記Non−3GPPネットワークのアクセス鍵を送信する前記ステップの前に、前記方法が、
    前記第1のネットワークデバイスにより、前記3GPPネットワークのNASシーケンス番号、前記3GPPネットワークの鍵、および前記Non−3GPPネットワークのタイプ識別子に従って、前記Non−3GPPネットワークの前記アクセス鍵を決定するステップ
    をさらに備える、請求項1に記載の方法。
  3. 前記第1のネットワークデバイスにより、前記3GPPネットワークのNASシーケンス番号、前記3GPPネットワークの鍵、および前記Non−3GPPネットワークのタイプ識別子に従って、前記Non−3GPPネットワークの前記アクセス鍵を決定する前記ステップの前に、前記方法が、
    前記第1のネットワークデバイスにより、前記第1のネットワークデバイスに記憶された前記UEの前記NASセキュリティコンテキストから、前記3GPPネットワークの前記NASシーケンス番号および前記3GPPネットワークの前記鍵を取得するステップと、
    前記第1のネットワークデバイスにより、前記第2のネットワークデバイスから送信された前記Non−3GPPネットワークの前記タイプ識別子を受信するステップと
    をさらに備える、請求項2に記載の方法。
  4. 前記第2のNAS検証コードが前記第1のNAS検証コードとは異なるとき、前記第1のネットワークデバイスにより、前記UEに対してセキュリティ認証を実施するステップ、または
    前記アクセス要求メッセージがNAS検証コードを備えないとき、前記第1のネットワークデバイスにより、前記UEに対してセキュリティ認証を実施するステップ
    をさらに備える、請求項1に記載の方法。
  5. 前記第1のネットワークデバイスにより、前記第2のネットワークデバイスに前記Non−3GPPネットワークのアクセス鍵を送信する前記ステップの前に、前記方法が、
    前記第1のネットワークデバイスにより、前記UEの能力情報を取得するステップであって、前記能力情報が前記Non−3GPPネットワーク上の前記UEの能力を示すために使用される、ステップと、
    前記第1のネットワークデバイスにより、前記第2のネットワークデバイスに前記能力情報を送信するステップであって、前記能力情報が暗号アルゴリズムを決定するために前記第2のネットワークデバイスによって使用され、前記暗号アルゴリズムが前記Non−3GPPネットワークのアクセス層,AS,鍵を生成するために前記第2のネットワークデバイスによって使用される、ステップと
    をさらに備える、請求項1から4のいずれか一項に記載の方法。
  6. ユーザ機器(UE)のアクセス方法であって、
    前記UEにより、アクセス要求メッセージを生成するステップであって、前記アクセス要求メッセージが前記UEの識別子を備える、ステップと、
    前記UEにより、非第3世代パートナーシッププロジェクト(Non−3GPP)ネットワーク上の第2のネットワークデバイスを使用して、第3世代パートナーシッププロジェクト(3GPP)ネットワーク上の第1のネットワークデバイスに前記アクセス要求メッセージを送信するステップと
    を備え、
    前記アクセス要求メッセージが第2のNAS検証コードを備え、前記UEにより、アクセス要求メッセージを生成する前記ステップの前に、前記方法が、
    前記UEにより、前記UEに記憶されたNASセキュリティコンテキストに従って、前記第2のNAS検証コードを生成するステップ
    をさらに備える、
    方法。
  7. 前記UEにより、Non−3GPPネットワーク上の第2のネットワークデバイスを使用して、3GPPネットワーク上の第1のネットワークデバイスに前記アクセス要求メッセージを送信する前記ステップの後に、前記方法が、
    前記UEにより、前記3GPPネットワークの非アクセス層(NAS)シーケンス番号、前記3GPPネットワークの鍵、および前記Non−3GPPネットワークの事前設定されたタイプ識別子に従って、前記Non−3GPPネットワークのアクセス鍵を決定するステップ
    をさらに備える、請求項6に記載の方法。
  8. ユーザ機器(UE)のアクセスデバイスであって、
    非第3世代パートナーシッププロジェクト(Non−3GPP)ネットワーク上の第2のネットワークデバイスを使用して、前記UEから送信されたアクセス要求メッセージを受信するように構成された第1の受信ユニットであって、前記アクセス要求メッセージが前記UEの識別子を備える、第1の受信ユニットと、
    前記UEの前記識別子および前記UEの前記アクセスデバイスに記憶された前記UEのNASセキュリティコンテキストに従って、第1の非アクセス層(NAS)検証コードを生成するように構成された生成ユニットと、
    前記アクセス要求メッセージが第2のNAS検証コードを備えるとき、前記第2のNAS検証コードが前記第1のNAS検証コードと同じであるかどうかを検出するように構成された検出ユニットであって、前記第2のNAS検証コードが、前記UEに記憶されたNASセキュリティコンテキストに従って前記UEによって生成された検証コードである、検出ユニットと、
    前記第2のNAS検証コードが前記第1のNAS検証コードと同じであるとき、前記第2のネットワークデバイスに前記Non−3GPPネットワークのアクセス鍵を送信するように構成された第1の送信ユニットと
    を備える、ユーザ機器(UE)のアクセスデバイス。
  9. 3GPPネットワークのNASシーケンス番号、前記3GPPネットワークの鍵、および前記Non−3GPPネットワークのタイプ識別子に従って、前記Non−3GPPネットワークの前記アクセス鍵を決定するように構成された決定ユニット
    をさらに備える、請求項8に記載のユーザ機器(UE)のアクセスデバイス。
  10. 前記ユーザ機器(UE)のアクセスデバイスは、認証ユニットをさらに備え、
    前記認証ユニットは、
    前記第2のNAS検証コードが前記第1のNAS検証コードとは異なるとき、前記UEに対してセキュリティ認証を実施すること、または
    前記アクセス要求メッセージがNAS検証コードを備えないとき、前記UEに対してセキュリティ認証を実施すること
    を行うように構成されている、請求項8または9に記載のユーザ機器(UE)のアクセスデバイス。
  11. 前記ユーザ機器(UE)のアクセスデバイスが、
    前記UEの能力情報を取得するように構成された第2の取得ユニットであって、前記能力情報が前記Non−3GPPネットワーク上の前記UEの能力を示すために使用される、第2の取得ユニットと、
    前記第2のネットワークデバイスに前記能力情報を送信するように構成された第3の送信ユニットであって、前記能力情報が暗号アルゴリズムを決定するために前記第2のネットワークデバイスによって使用され、前記暗号アルゴリズムが前記Non−3GPPネットワークのアクセス層(AS)鍵を生成するために前記第2のネットワークデバイスによって使用される、第3の送信ユニットと
    をさらに備える、請求項8から10のいずれか一項に記載のユーザ機器(UE)のアクセスデバイス。
  12. ユーザ機器(UE)のアクセスデバイスであって、
    アクセス要求メッセージを生成するように構成された第1の生成ユニットであって、前記アクセス要求メッセージが前記UEの前記アクセスデバイスの識別子を備える、第1の生成ユニットと、
    非第3世代パートナーシッププロジェクト(Non−3GPP)ネットワーク上の第2のネットワークデバイスを使用して、第3世代パートナーシッププロジェクト(3GPP)ネットワーク上の第1のネットワークデバイスに前記アクセス要求メッセージを送信するように構成された第1の送信ユニットと、
    前記UEの前記アクセスデバイスに記憶されたNASセキュリティコンテキストに従って、第2のNAS検証コードを生成するように構成された第2の生成ユニットと
    を備える、ユーザ機器(UE)のアクセスデバイス。
  13. 前記3GPPネットワークの非アクセス層(NAS)シーケンス番号、前記3GPPネットワークの鍵、および前記Non−3GPPネットワークの事前設定されたタイプ識別子に従って、前記Non−3GPPネットワークのアクセス鍵を決定するように構成された決定ユニッ
    さらに備える、請求項12に記載のユーザ機器(UE)のアクセスデバイス。
  14. 前記第2のネットワークデバイスを使用して、前記第1のネットワークデバイスから送信された認証メッセージを受信するように構成された第1の受信ユニットと、
    前記第2のネットワークデバイスを使用して、前記第1のネットワークデバイスに前記認証メッセージに対応する認証応答メッセージを送信するように構成された第2の送信ユニットと
    をさらに備える、請求項12に記載のユーザ機器(UE)のアクセスデバイス。
  15. 前記Non−3GPPネットワークの前記アクセス鍵に従って、前記Non−3GPPネットワークのアクセス層(AS)鍵を生成するように構成された第3の生成ユニット
    をさらに備える、請求項13に記載のユーザ機器(UE)のアクセスデバイス。
  16. 前記第2のネットワークデバイスがワイヤレスアクセスポイント(AP)である、
    請求項12から15のいずれか一項に記載のユーザ機器(UE)のアクセスデバイス。
  17. ユーザ機器(UE)のアクセスシステムであって、
    請求項8から11のいずれか一項に記載のUEのアクセスデバイスと、
    請求項12から16のいずれか一項に記載のUEのアクセスデバイスと
    を備える、UEのアクセスシステム。
  18. 請求項1から7のいずれかに記載の方法をコンピュータに実行させるためのプログラム。
JP2018515066A 2015-09-22 2015-09-22 ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム Active JP6727294B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2015/090305 WO2017049461A1 (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统

Publications (2)

Publication Number Publication Date
JP2018532325A JP2018532325A (ja) 2018-11-01
JP6727294B2 true JP6727294B2 (ja) 2020-07-22

Family

ID=58385478

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018515066A Active JP6727294B2 (ja) 2015-09-22 2015-09-22 ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム

Country Status (6)

Country Link
US (1) US11178584B2 (ja)
EP (2) EP3657835B1 (ja)
JP (1) JP6727294B2 (ja)
KR (1) KR102024653B1 (ja)
CN (2) CN107005927B (ja)
WO (1) WO2017049461A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11818569B2 (en) * 2016-10-31 2023-11-14 Telefonaktiebolaget Lm Ericsson (Publ) Methods supporting authentication in wireless communication networks and related network nodes and wireless terminals
CN110583049B (zh) * 2017-05-03 2021-12-21 瑞典爱立信有限公司 Ran中的ue处理
PL3745756T3 (pl) * 2017-05-08 2022-04-25 Telefonaktiebolaget Lm Ericsson (Publ) Sposoby zapewniające bezpieczeństwo wielu połączeń NAS przy użyciu oddzielnych liczników i powiązanych węzłów sieciowych oraz terminali bezprzewodowych
EP3691317A4 (en) * 2017-09-27 2021-06-02 Nec Corporation COMMUNICATION TERMINAL, CENTRAL NETWORK DEVICE, CENTRAL NETWORK NODE, NETWORK NODE AND KEY BYPASS PROCESS
CN112738804B (zh) 2017-11-17 2021-12-21 华为技术有限公司 一种安全保护的方法及装置
WO2019122495A1 (en) * 2017-12-21 2019-06-27 Nokia Solutions And Networks Oy Authentication for wireless communications system
CN110048988B (zh) * 2018-01-15 2021-03-23 华为技术有限公司 消息的发送方法和装置
CN110351722B (zh) * 2018-04-08 2024-04-16 华为技术有限公司 一种信息发送方法、密钥生成方法以及装置
BR112020026940A2 (pt) * 2018-06-30 2021-03-30 Nokia Solutions And Networks Oy Manipulação de falha de acesso não 3gpp a 5gcn não sendo permitido
CA3106505A1 (en) * 2018-08-09 2020-02-13 Nokia Technologies Oy Method and apparatus for security realization of connections over heterogeneous access networks
US11937077B2 (en) * 2018-10-06 2024-03-19 Nokia Technologies Oy Systems and method for secure updates of configuration parameters provisioned in user equipment
CN111194095B (zh) * 2018-11-09 2022-03-15 维沃移动通信有限公司 接入控制的方法和设备
CN111182580B (zh) * 2018-11-16 2023-02-24 维沃移动通信有限公司 业务传输方法、终端和网络侧设备
CN111263424B (zh) * 2018-12-04 2022-03-08 维沃移动通信有限公司 一种接入网络的控制方法及通信设备
JP7351498B2 (ja) * 2019-02-25 2023-09-27 株式会社closip 通信システム及び通信制御方法
US11419174B2 (en) 2019-02-26 2022-08-16 Mediatek Inc. Connection recovery method for recovering a connection between a communications apparatus and a data network and the associated communications apparatus
CN114513785B (zh) * 2022-02-22 2023-10-20 新华三技术有限公司 一种终端认证方法及装置

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1674497A (zh) * 2004-03-26 2005-09-28 华为技术有限公司 Wlan终端接入移动网络的认证方法
JP5004199B2 (ja) * 2007-06-18 2012-08-22 モトローラ モビリティ インコーポレイテッド リソース準備を伴う非3gppアクセスから3gppアクセスへの異種無線アクセスシステム間ハンドオーバ
CN101083839B (zh) * 2007-06-29 2013-06-12 中兴通讯股份有限公司 在不同移动接入系统中切换时的密钥处理方法
WO2009018164A2 (en) * 2007-07-27 2009-02-05 Interdigital Patent Holdings, Inc. Method and apparatus for handling mobility between non-3gpp to 3gpp networks
PL2191608T3 (pl) * 2007-09-17 2012-01-31 Ericsson Telefon Ab L M Sposób i urządzenie w systemie telekomunikacyjnym
CN101577909B (zh) 2008-05-05 2011-03-23 大唐移动通信设备有限公司 非3gpp接入系统信任类型的获取方法、系统及装置
CN101459904B (zh) * 2008-06-17 2010-12-29 中兴通讯股份有限公司 Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统
US9276909B2 (en) 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
CN101420695B (zh) * 2008-12-16 2011-09-07 天津工业大学 一种基于无线局域网的3g用户快速漫游认证方法
CN101959281A (zh) * 2009-07-15 2011-01-26 华为技术有限公司 网络接入控制方法、接入控制设备及网络接入系统
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
US20130267203A1 (en) * 2012-04-05 2013-10-10 Zu Qiang Sending plmn id at a shared wifi access
US20140071907A1 (en) * 2012-05-04 2014-03-13 Telefonaktiebolaget L M Ericsson (Publ) Method and Apparatus for Handling PDN Connections
CN103609154B (zh) * 2012-06-08 2017-08-04 华为技术有限公司 一种无线局域网接入鉴权方法、设备及系统
CN104067665B (zh) * 2013-01-18 2018-07-20 华为技术有限公司 一种用户设备接入网络的方法及装置
CN105052184B (zh) * 2013-01-29 2019-12-27 瑞典爱立信有限公司 控制用户设备对服务接入的方法、设备及控制器
CN104080156B (zh) * 2013-03-29 2018-05-22 电信科学技术研究院 一种开启终端3gpp功能的方法及装置
US10225794B2 (en) 2013-11-06 2019-03-05 Sony Corporation Terminal device, information processing device, and information providing device
US9426649B2 (en) * 2014-01-30 2016-08-23 Intel IP Corporation Apparatus, system and method of securing communications of a user equipment (UE) in a wireless local area network
CN104540185B (zh) * 2014-12-15 2019-02-05 上海华为技术有限公司 一种接入网络的方法、接入网关及接入控制设备
CN104837182B (zh) * 2015-06-01 2018-06-01 联想(北京)有限公司 接入控制方法、控制方法、接入控制装置和控制装置

Also Published As

Publication number Publication date
WO2017049461A1 (zh) 2017-03-30
JP2018532325A (ja) 2018-11-01
US11178584B2 (en) 2021-11-16
CN108848112B (zh) 2019-07-12
KR102024653B1 (ko) 2019-09-24
CN107005927B (zh) 2022-05-31
KR20180057665A (ko) 2018-05-30
US20180220364A1 (en) 2018-08-02
EP3340690B1 (en) 2019-11-13
EP3340690A1 (en) 2018-06-27
EP3340690A4 (en) 2018-07-18
EP3657835A1 (en) 2020-05-27
CN107005927A (zh) 2017-08-01
EP3657835B1 (en) 2023-09-20
CN108848112A (zh) 2018-11-20

Similar Documents

Publication Publication Date Title
JP6727294B2 (ja) ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム
US11405780B2 (en) Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus
US11825303B2 (en) Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus
US11212676B2 (en) User identity privacy protection in public wireless local access network, WLAN, access
US11272365B2 (en) Network authentication method, and related device and system
JP6732095B2 (ja) 異種ネットワークのための統一認証
US11496320B2 (en) Registration method and apparatus based on service-based architecture
JP6203985B1 (ja) 認証証明のセキュアプロビジョニング
JP4897215B2 (ja) 通信システムにおけるキー発生方法及び装置
WO2016134536A1 (zh) 密钥生成方法、设备及系统
AU2020200523B2 (en) Methods and arrangements for authenticating a communication device
WO2009094942A1 (fr) Procédé et système de réseau de communication pour établir une conjonction de sécurité
EP2957114B1 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
WO2018120217A1 (zh) 验证密钥请求方的方法和设备
WO2023083170A1 (zh) 密钥生成方法、装置、终端设备及服务器
WO2020029735A1 (zh) 扩展的通用引导架构认证方法、装置及存储介质
WO2013152740A1 (zh) 用户设备的认证方法、装置及系统
US20240089728A1 (en) Communication method and apparatus
WO2013104301A1 (zh) 发送消息的方法、建立安全连接的方法、接入点和工作站
WO2019001509A1 (zh) 一种网络鉴权方法及系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180427

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180427

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191028

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200601

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200630

R150 Certificate of patent or registration of utility model

Ref document number: 6727294

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250