JP6775683B2 - 次世代システムの認証 - Google Patents
次世代システムの認証 Download PDFInfo
- Publication number
- JP6775683B2 JP6775683B2 JP2019521802A JP2019521802A JP6775683B2 JP 6775683 B2 JP6775683 B2 JP 6775683B2 JP 2019521802 A JP2019521802 A JP 2019521802A JP 2019521802 A JP2019521802 A JP 2019521802A JP 6775683 B2 JP6775683 B2 JP 6775683B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- upf
- eap
- response
- computer program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004590 computer program Methods 0.000 claims description 63
- 230000004044 response Effects 0.000 claims description 62
- 238000000034 method Methods 0.000 claims description 59
- 238000012795 verification Methods 0.000 claims description 28
- 238000013475 authorization Methods 0.000 claims description 16
- 230000006870 function Effects 0.000 description 27
- 238000004891 communication Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000000926 separation method Methods 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000002085 persistent effect Effects 0.000 description 4
- 239000007787 solid Substances 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- XQVWYOYUZDUNRW-UHFFFAOYSA-N N-Phenyl-1-naphthylamine Chemical compound C=1C=CC2=CC=CC=C2C=1NC1=CC=CC=C1 XQVWYOYUZDUNRW-UHFFFAOYSA-N 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 102100028188 Cystatin-F Human genes 0.000 description 1
- 101710169749 Cystatin-F Proteins 0.000 description 1
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Communication Control (AREA)
- Computer And Data Communications (AREA)
Description
本開示は、ネットワークにおける2次認証のための方法および装置に関する。
3rd Generation Partnership Project(第3世代移動体通信システム標準化プロジェクト)(3GPP)は現在、次世代(NG)システムとも称される、5Gの標準を開発している。5Gが多くの新しいシナリオおよびユースケースをサポートすること、およびモノのインターネット(IoT)のイネーブラーとなることが期待されている。NGシステムが、センサー、スマートウェアラブル、車両、機械などのような広範にわたる新しいデバイスに接続をもたらすことが期待されている。したがって、柔軟性はNGシステムにおいて重要な特性である。これは、オペレータによって事前プロビジョンされ、ユニバーサル集積回路カード(UICC)に安全に格納されている通常の認証および鍵合意(AKA)資格情報と比較して、代替の認証方法およびさまざまなタイプの資格情報のサポートを義務づけるネットワークアクセスのセキュリティ要件に反映されている。これにより、工場所有者または企業は、認証およびアクセスネットワークセキュリティのために各自の識別および資格情報管理システムを活用できるようになる。
NGシステムの新しい機能の中には、ネットワークスライシングの概念がある。ネットワークスライス(NS)は、基本的に、特定のサービスを提供することに専用のコアネットワークのインスタンスである。これにより、オペレータは、サービス品質(QoS)に関して各々がさまざまなサービス要件を備える、多種多様な新しいユースケースを処理することができるようになる。たとえば、オペレータは、非常に低いレイテンシを必要とする(ミッションクリティカルプッシュツートーク(MCPTT)のような)公共安全サービスのためのミッションクリティカルNSと並行して、さらには非常に低い帯域幅を伴う電気メーターのためのIoT NSと並行して、通常のモバイルブロードバンド(MBB)サービスのためにNSを実行していることもある。
ネットワークスライシングに関連して研究されているトピックの中には、異なるNSにアクセスするための認証および認可の手順の分離がある。
本明細書において提示される実施形態の目的は、次世代システムにおいて認証の分離を可能にすることである。
第1の態様によれば、ネットワークにおける2次認証のための方法が提示される。方法は、ユーザ機器(UE)によって実行され、ユーザプレーン(UP)機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立することと、UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信することと、EAPベースの認証応答をUPFに送信することとを備える。
方法は、セキュリティアンカー機能(SEAF)との1次認証を確立することをさらに備えることができる。
方法は、UPFからEAPベースの認証結果を受信することをさらに備えることができる。
UEはさらに、次世代(NG)UEであってもよい。UPFはさらに、NG UPFであってもよい。
第2の態様によれば、ネットワークにおける2次認証のための方法が提示される。方法は、ユーザプレーン(UP)機能(UPF)によって実行され、ユーザ機器(UE)とのユーザプレーン(UP)セッションまたは接続を確立することと、拡張認証プロトコル(EAP)ベースの認証要求をUEに送信することと、EAPベースの認証応答をUEから受信することとを備える。
方法は、受信されたEAPベースの認証応答の検証要求を、認証、認可、アカウンティング(AAA)サーバに送信することと、AAAサーバから検証応答を受信することとをさらに備えることができる。
方法は、認証結果をUEに送信することであって、認証はAAAサーバからの検証応答に基づく、送信することをさらに備えることができる。
UEはさらに、次世代(NG)UEであってもよい。UPFはさらに、NG UPFであってもよい。
第3の態様によれば、ネットワークにおける動作のためのユーザ機器(UE)が提示される。UEは、プロセッサと、コンピュータプログラム製品とを備える。コンピュータプログラム製品は、プロセッサによって実行されるとき、UEに、UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立することと、UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信することと、EAPベースの認証応答をUPFに送信することとを行わせる命令を格納する。
UEに、セキュリティアンカー機能(SEAF)との1次認証を確立することをさらに行わせてもよい。
UEに、UPFからEAPベースの認証結果を受信することをさらに行わせもよい。
UEはさらに、次世代(NG)UEであってもよい。UPFはさらに、NG UPFであってもよい。
第4の態様によれば、ネットワークにおいて動作可能なユーザプレーン(UP)機能(UPF)が提示される。UPFは、プロセッサと、コンピュータプログラム製品とを備える。コンピュータプログラム製品は、プロセッサによって実行されるとき、UPFに、ユーザ機器(UE)とのユーザプレーン(UP)セッションまたは接続を確立することと、拡張認証プロトコル(EAP)ベースの認証要求をUEに送信することと、EAPベースの認証応答をUEから受信することとを行わせる命令を格納する。
UPFに、受信されたEAPベースの認証応答の検証要求を、認証、認可、アカウンティング(AAA)サーバに送信することと、AAAサーバから検証応答を受信することとをさらに行わせてもよい。
UPFに、認証結果をUEに送信することであって、認証はAAAサーバからの検証応答に基づく、送信することをさらに行わせてもよい。
UEはさらに、次世代(NG)UEであってもよい。UPFはさらに、NG UPFであってもよい。
第5の態様によれば、ネットワークにおける動作のためのユーザ機器(UE)が提示される。UEは、UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立するための手段と、UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信するための手段と、EAPベースの認証応答をUPFに送信するための手段とを備える。
UEは、セキュリティアンカー機能(SEAF)との1次認証を確立するための手段をさらに備えることができる。
UEは、UPFからEAPベースの認証結果を受信するための手段をさらに備えることができる。
UEはさらに、次世代(NG)UEであってもよい。UPFはさらに、NG UPFであってもよい。
第6の態様によれば、ネットワークにおいて動作可能なユーザプレーン(UP)機能(UPF)が提示される。UPFは、ユーザ機器(UE)とのユーザプレーン(UP)セッションまたは接続を確立するための手段と、拡張認証プロトコル(EAP)ベースの認証要求をUEに送信するための手段と、EAPベースの認証応答をUEから受信するための手段とを備える。
UPFは、受信されたEAPベースの認証応答の検証要求を、認証、認可、アカウンティング(AAA)サーバに送信するための手段と、AAAサーバから検証応答を受信する手段とをさらに備えることができる。
UPFは、認証結果をUEに送信するための手段であって、認証はAAAサーバからの検証応答に基づく手段をさらに備えることができる。
UEはさらに、次世代(NG)UEであってもよい。UPFはさらに、NG UPFであってもよい。
第7の態様によれば、ネットワークにおける2次認証のためのコンピュータプログラムが提示される。コンピュータプログラムは、ユーザ機器(UE)において実行されるとき、UEに、UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立することと、UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信することと、EAPベースの認証応答をUPFに送信することとを行わせるコンピュータプログラムコードを備える。
UEはさらに、次世代(NG)UEであってもよい。UPFはさらに、NG UPFであってもよい。
第8の態様によれば、ネットワークにおける2次認証のためのコンピュータプログラムが提示される。コンピュータプログラムは、ユーザプレーン(UP)機能(UPF)において実行されるとき、UPFに、ユーザ機器(UE)とのユーザプレーン(UP)セッションまたは接続を確立することと、拡張認証プロトコル(EAP)ベースの認証要求をUEに送信することと、EAPベースの認証応答をUEから受信することとを行わせるコンピュータプログラムコードを備える。
UEはさらに、次世代(NG)UEであってもよい。UPFはさらに、NG UPFであってもよい。
第9の態様によれば、コンピュータプログラム製品が提示される。コンピュータプログラム製品は、コンピュータプログラムと、コンピュータプログラムが格納されるコンピュータ可読ストレージ手段とを備える。概して、特許請求の範囲において使用されるすべての用語は、本明細書においてそうではないと明示的に規定されていない限り、当技術分野におけるそれらの通常の意味に従って解釈されるものとする。「(a/an/the)要素、装置、コンポーネント、手段、ステップなど」のすべての参照は、そうではないと特に明記のない限り、要素、装置、コンポーネント、手段、ステップなどの少なくとも1つの例を参照するものとして広義に解釈されるものとする。本明細書において開示される任意の方法のステップは、特に明記のない限り、開示されている正確な順序で実行される必要はない。
これ以降、本発明の概念は、添付の図面を参照して、例証として説明される。
これ以降、本発明の概念は、本発明の概念の特定の実施形態が示される添付の図面を参照して以下にさらに詳細に説明される。しかし、この発明の概念は、多数の異なる形態で具現化されてもよく、本明細書において記載される実施形態に限定されるものと解釈されるべきではなく、これらの実施形態は、この開示が綿密かつ完全なものとなり、本発明の概念の範囲を当業者に十分に伝達できるように、例証として提供されている。説明全体を通じて、類似する番号は類似する要素を示す。
異なるネットワークスライス(NS)にアクセスするための認証および認可の手順を分離する1つの可能なシナリオは次のとおりである。NGユーザ機器(UE)が特定のNSにアクセスするために、オペレータは、2次NS固有の認証が後に続く、初期ネットワークアクセスのための1次(通常)認証を最初に実行することになる。2次NS固有の認証は、場合によっては、サードパーティの制御の下であってもよい。これは、サードパーティサービスプロバイダと、たとえば専用のNSインスタンスにおいてこのサードパーティにアクセスおよびトランスポートサービスを提供しているモバイルネットワークオペレータ(MNO)との間の信頼を想定している。
Long Term Evolution(LTE)において、説明されるシナリオに関連し得るメカニズムがある。このメカニズムは、TS23.401からの条項5.3.2において説明される。これは、いわゆる暗号化オプション要求に基づいており、プロトコル設定オプション(PCO)と称される情報要素を使用する。
PCOは、非アクセス階層(NAS)メッセージにおける情報要素の1つである。PCOは、モビリティ管理エンティティ(MME)およびサービングゲートウェイ(S−GW)を通じて情報をPDN−GWに透過的に送信するためにパケットデータネットワーク(PDN)接続要求のような複数のタイプのメッセージにおいて使用されることがある。たとえば、PCOは、ダイナミックホスト設定プロトコルバージョン4(DHCPv4)を用いてデフォルトベアラアクティブ化の後に限りインターネットプロトコルバージョン4(IPv4)アドレスを取得するようUEが選択することを指示するアドレス割り当てプリファレンスを含むことができる。
PCOの1つのユースケースは、パスワード認証プロトコル(PAP)やチャレンジハンドシェーク認証プロトコル(CHAP)のユーザ名とパスワードのPDN−GWへの転送であり、次いでアクセス認可のために認証、認可、アカウンティング(AAA)サーバを通じてこれらを実行する。AAAサーバは、外部ドメインに配置されてもよい。ユーザ名およびパスワードは、機密事項であり、保護される必要があるため、UEが暗号化を必要とするPCO(たとえば、PAP/CHAPユーザ名およびパスワード)を送信しようとする場合、UEは、接続要求メッセージで暗号化オプション転送フラグを設定して、認証およびNASセキュリティセットアップが完了した後に限りPCOを送信するものとする。
図2は、LTEにおいてPDN−GWを通じてそのような追加の(つまり、2次の)認証手順を実行するために必要とされるメッセージフローを示す。後段において、ステップのさらに詳細な説明が提供される。
UEは、UEドメイン内にある。MME、S−GW、ホーム加入者サーバ(HSS)、およびPDN−GWは、MNOドメイン内にある。AAAサーバは、サードパーティドメイン内にある。
ステップ1において、UEは、暗号化オプション転送フラグが設定された接続要求メッセージをMMEに送信する。
ステップ2において、認証および鍵共有(AKA)手順が、UEとHSSの間で実行される。認証に成功すると、次のステップが実行される。
ステップ3において、NASセキュリティが、セキュアモードコマンド(SMC)を使用してセットアップされる。NASセキュリティがセットアップされた後、すべてのNASメッセージは機密性および保全性が保護される。
ステップ4において、MMEは、PCOの取得のために、暗号化オプション要求メッセージをUEに送信する。
ステップ5において、UEは、PCO情報要素にPAP/CHAPユーザ名およびパスワードを含む暗号化オプション応答メッセージで応答する。UEが複数のPDNのサブスクリプションを有する場合、UEは、メッセージにアクセスポイント名(APN)も含む。
ステップ6において、MMEは、受信されたデータを暗号化し、PDN−GWを識別するために可能な提供されたAPNを使用して、作成セッション要求メッセージでS−GWを通じてPCOをターゲットPDN−GWに転送する。
ステップ7において、PDN−GWは、diameter/radiusアクセス要求メッセージで受信されたPAP/CHAP情報を外部AAAサーバに送信する。成功すると、セッション作成手順が通常どおりに進行する。
したがって、上記のステップ4〜7は、ステップ2の第1の認証が完了した後に実行される2次認証を表す。しかし、NGシステムにおいてこのメカニズムまたは拡張を使用することは、何らかの欠点をもたらすことになる。
第1に、メカニズムは、可能な認証方法に関して極めて限定されている。現在、PAPおよびCHAPのサポートしかない。しかし、今日のPAPは、セキュリティの観点からは陳腐化しており、基本的に使用することが可能であるのはCHAPのみである。
第2に、その他の方法をサポートし、認証情報のトランスポートのためにPCO情報要素を使用するために、メカニズムは、この目的に専用のMMEとS−GWならびにS−GWとPDN−GWの間の特別メッセージを指定するように求められる。すなわち、単に1回だけにはとどまらない往復回数が要求される認証方法を処理することになる。
さらに、このメカニズムが、さらに細分化されるNGアーキテクチャにどのように適合するかを見極めることは困難である。実際に、新しいアーキテクチャの特徴(TR 23.799)を考慮すると、たとえば、モビリティ管理機能(MMF)およびセッション管理機能SMFへのMMEの分離に関する進行中の取組み(TR 23.799)、ならびに制御およびユーザプレーン分離のための制御とユーザプレーンの分離(CUPS)の取組み(TR 23.714)に関して、UEとPDN−GWの間のパスのホップはおそらくはさらに多くなる。このことは、コアネットワーク(CN)におけるさらに多くの過負荷およびシグナリングを暗示する。
最後に、UEとPDN−GWとの間に直接プロトコルがないので、このメカニズムは次善策である。特に多くの方法がトランスポート層に厳しい勧告および要件を有するので、その他の認証方法をサポートするのに十分に汎用的なものにすることは技術的に困難となろう。
ユーザプレーン(UP)で2次認証を実行することは、これがセットアップされると提示される。PDNへの完全なアクセスを許可するのではなく、2次認証の手順に対して限定されたUPセッションが実行されてもよい。2次認証が完了すると、限定されたUPセッションは、データネットワークに完全アクセスを有するセッションにアップグレードされてもよい。RFC3748において規定されているように、拡張認証プロトコル(EAP)の使用もまた提示される。EAPは、UEと潜在的に外部のAAAサーバとの間の認証のために使用され、ここでNG−UP機能(UPF)は、LTEにおけるPDN−GWの役割と類似する役割を果たし、EAPオーセンティケータの機能を保証する。EAPペイロードは、プロトコルがIPベースである、RFC5191において規定されているように、ネットワークアクセスの認証を搬送するためのプロトコル(PANA)によって搬送される。もう1つの代替は、NG−UPFがEAPサーバの機能を保証するものである。
提示される解決策は、EAPを使用し、EAPは幅広く使用され、EAPトランスポート層セキュリティ(TLS)、EAP認証および鍵合意(AKA)、EAPトンネル化TLS(TTLS)、およびEAP保護拡張認証プロトコル(PEAP)のような多数の認証方法のサポートを提供する。提示される解決策は、IPベースであり、したがってアクセスネットワーク(AN)のタイプに非依存である。さらに、解決策はUPベースであるため、2次認証は、たとえNG−UEが複数の、場合によっては同時のNS接続をサポートするようなシナリオであっても、NS固有ベースで独立して実行され得る。EAPを使用することにより、解決策はまた、異なるタイプの資格情報および認証方法をサポートする。EAP交換は、エアインターフェイスを介する保護から恩恵を受けることができる。
したがって、2次認証は、NG−UEにIPアドレスが割り当てられた後のUPベアラの流れである。次いで、EAPは、NG−UEと(潜在的に外部の)AAAサーバの間の認証に使用され、ここでNG−UPFはEAPオーセンティケータの機能を保証する。
NG−UPFがEAPオーセンティケータの役割を果たす実施形態は、図3を参照して提示される。
図3は、UPベースの2次認証が外部AAAサーバで実行されるフローを示す。NG−UEは、UEドメイン内にある。NGモビリティ管理機能(MMF)、NGセッション管理機能(SMF)、NGセキュリティアンカー機能(SEAF)、およびNG−UPFは、MNOドメイン内にある。NG−UPFは、LTEにおけるPDN−GWに対応するUPFである。AAAサーバは、サードパーティドメイン内にある。NG−UPFの要件は、場合によっては、SGiインターフェイスのサポートのようなLTEにおけるPDN−GWのすべての必要とされるUP機能のサポートに加えて、PANAおよびEAPのサポートを含めることである。一般に、NGプレフィックスは、LTE概念に対応するNGシステム機能に使用される。
ステップ1において、NG−UEは、接続手順を開始する接続要求を送信する。本明細書において提示される解決策は、ネットワークスライシングがどのようにサポートされるか、たとえばNSインスタンスがどのように選択されるか、およびNG−UEがどのように適正なNSインスタンスに方向付けられるかには依存していない。
ステップ2において、NG−UEは、NG SEAFとの1次認証を実行する。NG SEAFは、NG認証サーバ機能(AUSF)にさらに接続されてもよい。その後、2次認証は、NG SEAFおよびNG MMFがどのように配備されるか(つまり、連結されるかまたは分離されるか)にも、NGSEAFの位置(ホームまたは訪問先の地上波公共移動通信ネットワーク(PLMN))にも依存することはない。
ステップ3において、制御プレーンセキュリティは、NG−UEと、NG NASのエンドポイントの間で確立される。NG NASのエンドポイントは、たとえばNG MMFまたはNG SMFであってもよい。
ステップ4において、プロトコルデータユニット(PDU)セッションは、それ以降、NG UPFを介するNG−UEとデータネットワークの間のUPデータのトランスポートのために確立される。ステップ4は、2次認証手順を実行することのみを許容する限定されたセッションであってもよい。その後、2次認証は、NG−UEとNG−UPFの間のIP接続を確立するので、セットアップされているUPに依存する。
ステップ5において、2次EAPベースの認証は、NG−UEとNG−UPFの間で実行され、ここでEAPオーセンティケータの機能を保証し、バックエンドの外部AAAサーバに依存する。NG−UEは、その後、この認証手順の結果に基づいてデータネットワークにおけるアクセスを許可される。
この提示される解決策は、非3GPPアクセスがどのように統合されるか、およびステップ1からステップ3がここで示されるとおり正確に、または異なるように実行されるかどうかには非依存である。ステップ4において達成されるNG−UEとNG−UPFの間にIP接続が確立される限り、EAPベースの認証は、ステップ5において実行され得る。無線アクセスネットワーク(RAN)セキュリティが、ステップ5の前に確立されている場合は、EAP交換はエアインターフェイス上でも保護される。
図4は、図3を参照して説明されるように、NG−UPFと、EAPオーセンティケータとしてのNG−UPFを伴うNG−UEの間のEAPベースの2次認証のプロトコルアーキテクチャを示す。図4に示されるアーキテクチャは、UEとPDN−GWの間のUPトラフィックのトランスポートに関しては、LTEのアーキテクチャと類似する。グレー表示されたボックスは、上記で説明されるEAPベースの2次認証を提供するために必要とされる追加のプロトコル層を強調する。
EAPサーバとしてのUG−UPFとのEAPベースの2次認証のプロトコルアーキテクチャによる実施形態は、図5を参照して提示される。
この実施形態において、NG−UPFはEAP交換を終了させ、完全なEAPサーバの機能を保証する。したがって、この実施形態のメッセージフローは、ステップ5において外部AAAサーバがコンタクトされていないことを除いては、図3のメッセージフローと類似している。
NG−UEと、コアネットワーク内のUPトラフィックを終了させ、場合によっては外部AAAサーバと対話するNG−UPFとの間のNGシステムにおける追加または2次認証のメカニズムが提示された。NG−UPFは、LTEにおけるPDN−GWに対応する。メカニズムは、NG−UPFがEAPオーセンティケータの役割またはEAPサーバの機能を保証するように、UPトラフィック上のIPを介するEAPに基づく。
本明細書において説明される実施形態が実施され得る通信ネットワーク4は、図1に提示される。ユーザ機器(UE)1は、基地局(BS)2に無線により接続可能である。BS2は、コアネットワーク(CN)3に接続される。
実施形態によれば、ネットワークにおける2次認証のための方法が、図6Aを参照して提示される。方法は、次世代(NG)ユーザ機器(UE)によって実行され、NG−UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立すること110、拡張認証プロトコル(EAP)ベースの認証要求をNG−UPFから受信すること130、およびEAPベースの認証応答をNG−UPFに送信すること140を備える。
方法は、NG SEAFとの1次認証を確立すること100をさらに備えることができる。
方法は、UPFからEAPベースの認証結果を受信することをさらに備えることができる。
実施形態によれば、コアネットワークにおける2次認証のための方法が、図6Bを参照して提示される。方法は、次世代(NG)ユーザプレーン(UP)機能(UPF)によって実行され、NGユーザ機器(UE)とのユーザプレーン(UP)セッションまたは接続を確立すること110、拡張認証プロトコル(EAP)ベースの認証要求をNG UEに送信すること120、およびEAPベースの認証応答をNG UEから受信すること150を備える。
方法は、受信されたEAPベースの認証応答の検証要求を、認証、認可、アカウンティング(AAA)サーバに送信すること160、および検証応答をAAAサーバから受信すること170をさらに備えることができる。
方法は、認証結果をUEに送信することをさらに備えることができ、認証はAAAサーバからの検証応答に基づく。
実施形態によれば、ネットワークにおける動作のためのNG UEが、図7を参照して提示される。NG UE1は、プロセッサ10、およびコンピュータプログラム製品12、13を備える。コンピュータプログラム製品は、プロセッサによって実行されるとき、NG UEに、NG−UPFとのUPセッションまたは接続を確立すること110、EAPベースの認証要求をNG−UPFから受信すること130、およびEAPベースの認証応答をNG−UPFに送信すること140を行わせる命令を格納する。
実施形態によれば、コアネットワークにおいて動作可能なNG−UPFが、図8を参照して提示される。UG−UPFは、プロセッサ10、およびプロセッサによって実行されるとき、NG−UPFに、NG UEとのUPセッションまたは接続を確立すること110、EAPベースの認証要求をNG−UPFに送信すること120、およびEAPベースの認証応答をNG UEから受信すること150を行わせる命令を格納するコンピュータプログラム製品12、13を備える。
実施形態によれば、ネットワークにおける動作のためのNG UEが、図9を参照して提示される。NG UEは、NG−UPFとのUPセッションまたは接続を確立する110ため、EAPベースの認証要求をNG−UPFから受信する130ため、およびEAPベースの認証応答をNG−UPFに送信する140ための通信マネージャ61を備える。
実施形態によれば、ネットワークにおいて動作可能なNG−UPFが、図10を参照して提示される。NG−UPFは、NG UEとのUPセッションまたは接続を確立する110ため、EAPベースの認証要求をNG UEに送信する120ため、およびEAPベースの認証応答をNG UEから受信する150ための通信マネージャ71を備える。
実施形態によれば、ネットワークにおける2次認証のためのコンピュータプログラム14、15が提示される。コンピュータプログラムは、NG UE上で実行されるとき、NG UEに、NG−UPFとのUPセッションまたは接続を確立すること110、EAPベースの認証要求をNG−UPFから受信すること130、およびEAPベースの認証応答をNG−UPFに送信すること140を行わせるコンピュータプログラムコードを備える。
実施形態によれば、ネットワークにおける2次認証のためのコンピュータプログラム14、15が提示される。コンピュータプログラムは、NG−UPF上で実行されるとき、NG−UPFに、NG UEとのUPセッションまたは接続を確立すること110、EAPベースの認証要求をNG UEに送信すること120、およびEAPベースの認証応答をNG UEから受信すること150を行わせるコンピュータプログラムコードを備える。
実施形態によれば、コンピュータプログラム製品12、13が提示される。コンピュータプログラム製品は、上記で提示されるように、コンピュータプログラム14、15、およびコンピュータプログラム14、15が格納されているコンピュータ可読ストレージ手段を備える。
図7は、NG UE1の一部のコンポーネントを示す概略図である。プロセッサ10は、メモリに格納されているコンピュータプログラム14のソフトウェア命令を実行することができる、適切な中央演算処理装置(CPU)、マルチプロセッサ、マイクロコントローラ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路などのうちの1つまたは複数の任意の組合せを使用して提供されてもよい。したがって、メモリは、コンピュータプログラム製品12の一部であるか、または一部を形成するものと見なされてもよい。プロセッサ10は、図12および図13を参照して本明細書において説明される方法を実行するように設定されてもよい。
メモリは、読取り書込みメモリおよび読取り専用メモリ(ROM)の任意の組合せであってもよい。メモリはまた、たとえば磁気メモリ、光メモリ、ソリッドステートメモリ、またはさらにリモートに搭載されたメモリの任意の1つまたは組合せであってもよい、永続ストレージを備えることもできる。
データメモリの形式の第2のコンピュータプログラム製品13はまた、たとえば、プロセッサ10でのソフトウェア命令の実行中にデータを読み取りおよび/または格納するために提供されてもよい。データメモリは、読取りおよび書込みメモリと読取り専用メモリ(ROM)の任意の組合せであってもよく、また、たとえば磁気メモリ、光メモリ、ソリッドステートメモリ、またはリモートに搭載されたメモリの任意の1つまたは組合せであってもよい、永続ストレージを備えることもできる。データメモリは、たとえば、NG UE1の機能を向上させるために、その他のソフトウェア命令15を保留することができる。
NG UE1は、たとえばユーザインターフェイスを含む、入出力(I/O)インターフェイス11をさらに備えることができる。NG UE1は、その他のノードからシグナリングを受信するように設定された受信機と、シグナリングをその他のノード(図示せず)に送信するように設定された送信機とをさらに備えることができる。NG UE1のその他のコンポーネントは、本明細書において提示される概念を不明瞭にすることがないように省略される。
図9は、NG UE1の機能ブロックを示す概略図である。モジュールは、キャッシュサーバで実行するコンピュータプログラムのような単独のソフトウェア命令として、または特殊用途向け集積回路、フィールドプログラマブルゲートアレイ、ディスクリート論理コンポーネント、送受信機などのような単独のハードウェアとして、またはその組合せとして実装されてもよい。代替の実施形態において、機能ブロックの一部はソフトウェアにより実装されてもよく、その他はハードウェアにより実装されてもよい。図6Aに示される方法におけるステップに対応するモジュールは、通信マネージャユニット61および決定モジュールユニット60を備える。モジュールの1つまたは複数がコンピュータプログラムによって実装される実施形態において、これらのモジュールは必ずしもプロセスモジュールに対応するわけではないが、一部のプログラミング言語が通常はプロセスモジュールを含まないので、これらが実装されるプログラミング言語による命令として記述され得ることを理解されたい。
通信マネージャ61は、ネットワークにおける動作のためのものである。このモジュールは、図6Aの確立UPステップ110、受信要求ステップ130、および送信応答ステップ140に対応する。このモジュールは、コンピュータプログラムを実行しているとき、たとえば、図7のプロセッサ10によって実装されてもよい。
決定マネージャ60は、ネットワークにおける動作のためのものである。このモジュールは、図6Aの1次認証ステップ100に対応する。このモジュールは、コンピュータプログラムを実行しているとき、たとえば、図7のプロセッサ10によって実装されてもよい。
図8は、NG−UPF3の一部のコンポーネントを示す概略図である。プロセッサ10は、メモリに格納されているコンピュータプログラム14のソフトウェア命令を実行することができる、適切な中央演算処理装置(CPU)、マルチプロセッサ、マイクロコントローラ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路などのなどの1つまたは複数の任意の組合せを使用して提供されてもよい。したがって、メモリは、コンピュータプログラム製品12の一部であるか、または一部を形成するものと見なされてもよい。プロセッサ10は、図6Bを参照して本明細書において説明される方法を実行するように設定されてもよい。
メモリは、読取り書込みメモリ(RAM)および読取り専用メモリ(ROM)の任意の組合せであってもよい。メモリはまた、たとえば磁気メモリ、光メモリ、ソリッドステートメモリ、またはさらにリモートに搭載されたメモリの任意の1つまたは組合せであってもよい、永続ストレージを備えることもできる。
データメモリの形式の第2のコンピュータプログラム製品13はまた、たとえば、プロセッサ10でのソフトウェア命令の実行中にデータを読み取りおよび/または格納するために提供されてもよい。データメモリは、読取りおよび書込みメモリ(RAM)と読取り専用メモリ(ROM)の任意の組合せであってもよく、また、たとえば磁気メモリ、光メモリ、ソリッドステートメモリ、またはさらにリモートに搭載されたメモリの任意の1つまたは組合せであってもよい、永続ストレージを備えることもできる。データメモリは、たとえば、NG−UPF3の機能を向上させるために、その他のソフトウェア命令15を保留することができる。
NG−UPF3は、たとえばユーザインターフェイスを含む、入出力(I/O)インターフェイス11をさらに備えることができる。NG−UPF3は、その他のノードからシグナリングを受信するように設定された受信機と、シグナリングをその他のノード(図示せず)に送信するように設定された送信機とをさらに備えることができる。NG−UPF3のその他のコンポーネントは、本明細書において提示される概念を不明瞭にすることがないように省略される。
図10は、NG−UPF3の機能ブロックを示す概略図である。モジュールは、キャッシュサーバで実行するコンピュータプログラムのような単独のソフトウェア命令として、または特殊用途向け集積回路、フィールドプログラマブルゲートアレイ、ディスクリート論理コンポーネント、送受信機などのような単独のハードウェアとして、またはその組合せとして実装されてもよい。代替の実施形態において、機能ブロックの一部はソフトウェアにより実施されてもよく、その他はハードウェアにより実装されてもよい。図6Bに示される方法におけるステップに対応するモジュールは、通信マネージャユニット71および決定マネージャユニット70を備える。モジュールの1つまたは複数がコンピュータプログラムによって実装される実施形態において、これらのモジュールは必ずしもプロセスモジュールに対応するわけではないが、一部のプログラミング言語が通常はプロセスモジュールを含まないので、これらが実装されるであろうプログラミング言語による命令として記述され得ることを理解されたい。
通信マネージャ71は、コアネットワークにおける動作のためのものである。このモジュールは、図6Bの確立UPステップ110、送信要求ステップ120、および送信応答ステップ150に対応する。このモジュールは、コンピュータプログラムを実行しているとき、たとえば、図8のプロセッサ10によって実装されてもよい。
決定マネージャユニット70は、コアネットワークにおける動作のためのものである。このモジュールは、図6Bの検証要求ステップ160、および検証応答ステップ170に対応する。このモジュールは、コンピュータプログラムを実行しているとき、たとえば、図8のプロセッサ10によって実装されてもよい。
本発明の概念は、主として、いくつかの実施形態を参照して上記で説明された。しかし、当業者によって容易に理解されるように、上記で開示されている実施形態以外の他の実施形態は、添付の特許請求の範囲によって規定されるように本発明の概念の範囲内で同等に可能である。
以下に示すのは、開示される主題のさまざまな態様をさらに示す特定の列挙される実施形態である。
1. 次世代(NG)ユーザ機器(UE)によって実行される、ネットワークにおける2次認証のための方法であって、
NG−UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
UP NG−UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信すること(130)と、
EAPベースの認証応答をUP NG−UPFに送信すること(140)とを備える方法。
2. NGセキュリティアンカー機能(SEAF)との1次認証を確立すること(100)をさらに備える1項に記載の方法。
3. 次世代(NG)ユーザプレーンUP機能(UPF)によって実行される、ネットワークにおける2次認証のための方法であって、
NGユーザ機器(UE)へのUPセッションまたは接続を確立すること(110)と、
拡張認証プロトコル(EAP)ベースの認証要求をNG UEに送信すること(120)と、
EAPベースの認証応答をNG UEから受信すること(150)とを備える方法。
4. 受信されたEAPベースの認証応答の検証要求を、認証、認可、アカウンティング(AAA)サーバに送信すること(160)と、
AAAサーバから検証応答を受信すること(170)とをさらに備える3項に記載の方法。
5. ネットワークにおける動作のための次世代(NG)ユーザ機器(UE)であって、
プロセッサ(10)と、
プロセッサによって実行されるとき、NG UEに、
NG−UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
UP NG−UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信すること(130)と、
EAPベースの認証応答をNG−UPFに送信すること(140)とを行わせる命令を格納するコンピュータプログラム製品(12、13)とを備えるNG UE。
6. NGユーザ機器(UE)に、NGセキュリティアンカー機能(SEAF)との1次認証を確立すること(100)をさらに行わせる5項に記載のNG UE。
7. ネットワークにおいて動作可能な次世代(NG)ユーザプレーン(UP)機能(UPF)であって、
プロセッサ(10)と、
プロセッサによって実行されるとき、NG−UPFに、
NGユーザ機器(UE)とのUPセッションまたは接続を確立すること(110)と、
拡張認証プロトコル(EAP)ベースの認証要求をNG UEに送信すること(120)と、
EAPベースの認証応答をNG UEから受信すること(150)とを行わせる命令を格納するコンピュータプログラム製品(12、13)とを備えるNG−UPF。
8. 受信されたEAPベースの認証応答の検証要求を、認証、認可、アカウンティング(AAA)サーバに送信すること(160)と、
NGユーザプレーン(UP)機能(UPF)に、AAAサーバから検証応答を受信すること(170)とをさらに行わせる7項に記載のNG−UPF。
9. ネットワークにおける動作のための次世代(NG)ユーザ機器(UE)であって、
NG−UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立する(110)ため、拡張認証プロトコル(EAP)ベースの認証要求をNG−UPFから受信する(130)ため、およびEAPベースの認証応答をNG−UPFに送信する(140)ための通信マネージャ(61)を備えるNG UE。
10. ネットワークにおいて動作可能な次世代(NG)ユーザプレーン(UP)機能(UPF)であって、
NGユーザ機器(UE)とのユーザプレーン(UP)セッションまたは接続を確立する(110)ため、拡張認証プロトコル(EAP)ベースの認証要求をNG UEに送信する(120)ため、およびEAPベースの認証応答をNG UEから受信する(150)ための通信マネージャ(71)を備えるNG−UPF。
11. ネットワークにおける2次認証のためのコンピュータプログラム(14、15)であって、次世代(NG)ユーザ機器(UE)において実行されるとき、NG UEに、
NG−UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
UP NG−UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信すること(130)と、
EAPベースの認証応答をNG−UPFに送信すること(140)とを行わせるコンピュータプログラムコードを備えるコンピュータプログラム。
12. ネットワークにおける2次認証のためのコンピュータプログラム(14、15)であって、次世代(NG)ユーザプレーン(UP)機能(UPF)において実行されるとき、NG−UPFに、
NGユーザ機器(UE)へのユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
拡張認証プロトコル(EAP)ベースの認証要求をNG UEに送信すること(120)と、
EAPベースの認証応答をNG UEから受信すること(150)とを行わせるコンピュータプログラムコードを備えるコンピュータプログラム。
13. 11項または12項のいずれか一項に記載のコンピュータプログラム(14、15)と、コンピュータプログラム(14、15)が格納されているコンピュータ可読ストレージ手段とを備えるコンピュータプログラム製品(12、13)。
1. 次世代(NG)ユーザ機器(UE)によって実行される、ネットワークにおける2次認証のための方法であって、
NG−UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
UP NG−UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信すること(130)と、
EAPベースの認証応答をUP NG−UPFに送信すること(140)とを備える方法。
2. NGセキュリティアンカー機能(SEAF)との1次認証を確立すること(100)をさらに備える1項に記載の方法。
3. 次世代(NG)ユーザプレーンUP機能(UPF)によって実行される、ネットワークにおける2次認証のための方法であって、
NGユーザ機器(UE)へのUPセッションまたは接続を確立すること(110)と、
拡張認証プロトコル(EAP)ベースの認証要求をNG UEに送信すること(120)と、
EAPベースの認証応答をNG UEから受信すること(150)とを備える方法。
4. 受信されたEAPベースの認証応答の検証要求を、認証、認可、アカウンティング(AAA)サーバに送信すること(160)と、
AAAサーバから検証応答を受信すること(170)とをさらに備える3項に記載の方法。
5. ネットワークにおける動作のための次世代(NG)ユーザ機器(UE)であって、
プロセッサ(10)と、
プロセッサによって実行されるとき、NG UEに、
NG−UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
UP NG−UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信すること(130)と、
EAPベースの認証応答をNG−UPFに送信すること(140)とを行わせる命令を格納するコンピュータプログラム製品(12、13)とを備えるNG UE。
6. NGユーザ機器(UE)に、NGセキュリティアンカー機能(SEAF)との1次認証を確立すること(100)をさらに行わせる5項に記載のNG UE。
7. ネットワークにおいて動作可能な次世代(NG)ユーザプレーン(UP)機能(UPF)であって、
プロセッサ(10)と、
プロセッサによって実行されるとき、NG−UPFに、
NGユーザ機器(UE)とのUPセッションまたは接続を確立すること(110)と、
拡張認証プロトコル(EAP)ベースの認証要求をNG UEに送信すること(120)と、
EAPベースの認証応答をNG UEから受信すること(150)とを行わせる命令を格納するコンピュータプログラム製品(12、13)とを備えるNG−UPF。
8. 受信されたEAPベースの認証応答の検証要求を、認証、認可、アカウンティング(AAA)サーバに送信すること(160)と、
NGユーザプレーン(UP)機能(UPF)に、AAAサーバから検証応答を受信すること(170)とをさらに行わせる7項に記載のNG−UPF。
9. ネットワークにおける動作のための次世代(NG)ユーザ機器(UE)であって、
NG−UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立する(110)ため、拡張認証プロトコル(EAP)ベースの認証要求をNG−UPFから受信する(130)ため、およびEAPベースの認証応答をNG−UPFに送信する(140)ための通信マネージャ(61)を備えるNG UE。
10. ネットワークにおいて動作可能な次世代(NG)ユーザプレーン(UP)機能(UPF)であって、
NGユーザ機器(UE)とのユーザプレーン(UP)セッションまたは接続を確立する(110)ため、拡張認証プロトコル(EAP)ベースの認証要求をNG UEに送信する(120)ため、およびEAPベースの認証応答をNG UEから受信する(150)ための通信マネージャ(71)を備えるNG−UPF。
11. ネットワークにおける2次認証のためのコンピュータプログラム(14、15)であって、次世代(NG)ユーザ機器(UE)において実行されるとき、NG UEに、
NG−UP機能(UPF)とのユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
UP NG−UPFから拡張認証プロトコル(EAP)ベースの認証要求を受信すること(130)と、
EAPベースの認証応答をNG−UPFに送信すること(140)とを行わせるコンピュータプログラムコードを備えるコンピュータプログラム。
12. ネットワークにおける2次認証のためのコンピュータプログラム(14、15)であって、次世代(NG)ユーザプレーン(UP)機能(UPF)において実行されるとき、NG−UPFに、
NGユーザ機器(UE)へのユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
拡張認証プロトコル(EAP)ベースの認証要求をNG UEに送信すること(120)と、
EAPベースの認証応答をNG UEから受信すること(150)とを行わせるコンピュータプログラムコードを備えるコンピュータプログラム。
13. 11項または12項のいずれか一項に記載のコンピュータプログラム(14、15)と、コンピュータプログラム(14、15)が格納されているコンピュータ可読ストレージ手段とを備えるコンピュータプログラム製品(12、13)。
Claims (17)
- ユーザ機器(UE)によって実行される、ネットワークにおける2次認証のための方法であって、
セキュリティアンカー機能(SEAF)との1次認証を確立すること(100)と、
ユーザプレーン(UP)機能(UPF)との、または前記UPFを介するユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
前記UPFを介して拡張認証プロトコル(EAP)ベースの認証要求を受信すること(130)と、
EAPベースの認証応答を前記UPFに送信すること(140)と、
EAPベースの認証結果を前記UPFを介して受信することであって、前記EAPベースの認証結果は、サードパーティドメインの認証、認可、アカウンティング(AAA)サーバからの検証応答に基づく、受信することとを備える方法。 - 前記ユーザ機器(UE)は次世代(NG)UEである、請求項1に記載の方法。
- 前記ユーザプレーン機能(UPF)は次世代(NG)UPFである、請求項1に記載の方法。
- 前記SEAFは、認証サーバ機能(AUSF)にさらに接続される、請求項1に記載の方法。
- ユーザプレーン(UP)機能(UPF)によって実行される、ネットワークにおける2次認証のための方法であって、
ユーザ機器(UE)へのUPセッションまたは接続を確立すること(110)と、
拡張認証プロトコル(EAP)ベースの認証要求を前記UEに送信すること(120)と、
EAPベースの認証応答を前記UEから受信すること(150)と、
前記受信されたEAPベースの認証応答の検証要求を、サードパーティドメインの認証、認可、アカウンティング(AAA)サーバに送信すること(160)と、
前記AAAサーバから検証応答を受信すること(170)と、
認証結果を前記UEに送信することであって、前記認証は前記AAAサーバからの前記検証応答に基づくこととを備える方法。 - 前記ユーザ機器(UE)は次世代(NG)ユーザ機器(UE)である、請求項5に記載の方法。
- 前記ユーザプレーン機能(UPF)は次世代(NG)UPFである、請求項5に記載の方法。
- ネットワークにおける動作のためのユーザ機器(UE)であって、
プロセッサ(10)と、
前記プロセッサによって実行されるとき、前記UEに、
セキュリティアンカー機能(SEAF)との1次認証を確立すること(100)と、
ユーザプレーン(UP)機能(UPF)との、または前記UPFを介するユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
前記UPFを介して拡張認証プロトコル(EAP)ベースの認証要求を受信すること(130)と、
EAPベースの認証応答を前記UPFに送信すること(140)と、
EAPベースの認証結果を前記UPFを介して受信することであって、前記EAPベースの認証結果は、サードパーティドメインの認証、認可、アカウンティング(AAA)サーバからの検証応答に基づく、受信することとを行わせる命令を格納するコンピュータプログラム製品(12、13)とを備えるUE。 - 前記ユーザ機器(UE)は次世代(NG)UEである、請求項8に記載のUE。
- 前記UPFは次世代(NG)UPFである、請求項8に記載のユーザ機器(UE)。
- 前記SEAFは、認証サーバ機能(AUSF)にさらに接続される、請求項8に記載のユーザ機器(UE)。
- ネットワークにおいて動作可能なユーザプレーン(UP)機能(UPF)であって、
プロセッサ(10)と、
前記プロセッサによって実行されるとき、前記UPFに、
ユーザ機器(UE)とのUPセッションまたは接続を確立すること(110)と、
拡張認証プロトコル(EAP)ベースの認証要求を前記UEに送信すること(120)と、
EAPベースの認証応答を前記UEから受信すること(150)と、
前記受信されたEAPベースの認証応答の検証要求を、サードパーティドメインの認証、認可、アカウンティング(AAA)サーバに送信すること(160)と、
前記AAAサーバから検証応答を受信すること(170)と、
認証結果を前記UEに送信することであって、前記認証は前記AAAサーバからの前記検証応答に基づくこととを行わせる命令を格納するコンピュータプログラム製品(12、13)とを備えるUPF。 - 前記UPFは次世代(NG)UPFである、請求項12に記載のUPF。
- 前記UEは次世代(NG)UEである、請求項12に記載のUPF。
- ネットワークにおける2次認証のためのコンピュータプログラム(14、15)であって、ユーザ機器(UE)において実行されるとき、前記UEに、
セキュリティアンカー機能(SEAF)との1次認証を確立すること(100)と、
ユーザプレーン(UP)機能(UPF)との、または前記UPFを介するユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
前記UPFを介して拡張認証プロトコル(EAP)ベースの認証要求を受信すること(130)と、
EAPベースの認証応答を前記UPFに送信すること(140)と、
EAPベースの認証結果を前記UPFを介して受信することであって、前記EAPベースの認証結果は、サードパーティドメインの認証、認可、アカウンティング(AAA)サーバからの検証応答に基づく、受信することとを行わせるコンピュータプログラムコードを備えるコンピュータプログラム。 - ネットワークにおける2次認証のためのコンピュータプログラム(14、15)であって、ユーザプレーン(UP)機能(UPF)において実行されるとき、前記UPFに、
ユーザ機器(UE)へのユーザプレーン(UP)セッションまたは接続を確立すること(110)と、
拡張認証プロトコル(EAP)ベースの認証要求を前記UEに送信すること(120)と、
EAPベースの認証応答を前記UEから受信すること(150)と、
前記受信されたEAPベースの認証応答の検証要求を、サードパーティドメインの認証、認可、アカウンティング(AAA)サーバに送信すること(160)と、
前記AAAサーバから検証応答を受信すること(170)と、
認証結果を前記UEに送信することであって、前記認証は前記AAAサーバからの前記検証応答に基づくこととを行わせるコンピュータプログラムコードを備えるコンピュータプログラム。 - 請求項15または16のいずれか一項に記載のコンピュータプログラム(14、15)と、前記コンピュータプログラム(14、15)が格納されているコンピュータ可読ストレージ手段とを備えるコンピュータプログラム製品(12、13)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662415006P | 2016-10-31 | 2016-10-31 | |
| US62/415,006 | 2016-10-31 | ||
| PCT/EP2017/077330 WO2018077960A1 (en) | 2016-10-31 | 2017-10-25 | Authentication for next generation systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019533951A JP2019533951A (ja) | 2019-11-21 |
| JP6775683B2 true JP6775683B2 (ja) | 2020-10-28 |
Family
ID=60293936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019521802A Active JP6775683B2 (ja) | 2016-10-31 | 2017-10-25 | 次世代システムの認証 |
Country Status (15)
| Country | Link |
|---|---|
| US (2) | US10609556B2 (ja) |
| EP (1) | EP3459278B1 (ja) |
| JP (1) | JP6775683B2 (ja) |
| KR (1) | KR102136037B1 (ja) |
| CN (1) | CN109891921B (ja) |
| BR (1) | BR112019008447A2 (ja) |
| CA (1) | CA3042304C (ja) |
| DK (1) | DK3459278T3 (ja) |
| ES (1) | ES2806991T3 (ja) |
| MA (1) | MA45505B1 (ja) |
| MX (1) | MX2019004705A (ja) |
| MY (1) | MY195382A (ja) |
| RU (1) | RU2727160C1 (ja) |
| WO (1) | WO2018077960A1 (ja) |
| ZA (1) | ZA201902024B (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2530750A (en) * | 2014-09-30 | 2016-04-06 | Vodafone Ip Licensing Ltd | Communications bearer selection for a communications interface |
| EP3501155B1 (en) | 2017-01-27 | 2023-06-07 | Telefonaktiebolaget LM Ericsson (publ) | Secondary authentication of a user equipment |
| WO2019220002A1 (en) * | 2018-05-18 | 2019-11-21 | Nokia Technologies Oy | Authentication in public land mobile networks comprising tenant slices |
| US11032743B1 (en) * | 2019-11-30 | 2021-06-08 | Charter Communications Operating, Llc | Methods and apparatus for supporting devices of different types using a residential gateway |
| EP4356636A1 (en) * | 2021-06-15 | 2024-04-24 | Telefonaktiebolaget LM Ericsson (publ) | Methods and means for providing access to external networks |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8447981B2 (en) * | 2006-05-24 | 2013-05-21 | Huawei Technologies Co., Ltd. | Method and system for generating and distributing mobile IP security key after re-authentication |
| FI20075252A0 (fi) | 2007-04-13 | 2007-04-13 | Nokia Corp | Menetelmä, radiojärjestelmä, matkaviestin ja tukiasema |
| US8145905B2 (en) | 2007-05-07 | 2012-03-27 | Qualcomm Incorporated | Method and apparatus for efficient support for multiple authentications |
| US9276909B2 (en) * | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| FR2943881A1 (fr) * | 2009-03-31 | 2010-10-01 | France Telecom | Procede et dispositif de gestion d'une authentification d'un utilisateur. |
| EP2750426A1 (en) * | 2009-04-07 | 2014-07-02 | Togewa Holding AG | Method and system for authenticating a network node in a UAM-based walled garden network |
| US8627422B2 (en) | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
| WO2012149783A1 (zh) | 2011-09-29 | 2012-11-08 | 华为技术有限公司 | 用于接入移动网络的方法和装置以及用户设备 |
| KR101861216B1 (ko) * | 2013-09-16 | 2018-05-28 | 콘비다 와이어리스, 엘엘씨 | Eap/다이어미터를 통한 와이파이 qos의 이동 네트워크 운영자(mno) 제어 |
| US9883385B2 (en) * | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
| US10009751B2 (en) * | 2015-12-28 | 2018-06-26 | Cisco Technology, Inc. | Virtual mobility anchor for network sharing |
| US10104544B2 (en) * | 2016-04-05 | 2018-10-16 | Qualcomm Incorporated | LTE-level security for neutral host LTE |
| WO2018008972A1 (en) * | 2016-07-05 | 2018-01-11 | Samsung Electronics Co., Ltd. | Method and apparatus for accessing cellular network for sim profile |
| EP3466135B1 (en) * | 2016-07-05 | 2022-01-05 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
| CN107623668A (zh) * | 2016-07-16 | 2018-01-23 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
| US10433163B2 (en) * | 2016-09-19 | 2019-10-01 | Qualcomm Incorporated | Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure |
| FI3516819T3 (fi) * | 2016-09-20 | 2023-01-31 | Seuraavan sukupolven avainjoukon tunnus | |
| US11419177B2 (en) * | 2016-10-11 | 2022-08-16 | Nec Corporation | Method, session management function node, user plane function node, and user equipment for session management parameters maintenance and computer readable recording medium therein |
-
2017
- 2017-10-25 US US15/744,192 patent/US10609556B2/en active Active
- 2017-10-25 CA CA3042304A patent/CA3042304C/en active Active
- 2017-10-25 ES ES17797092T patent/ES2806991T3/es active Active
- 2017-10-25 BR BR112019008447A patent/BR112019008447A2/pt unknown
- 2017-10-25 RU RU2019116611A patent/RU2727160C1/ru active
- 2017-10-25 MY MYPI2019001885A patent/MY195382A/en unknown
- 2017-10-25 WO PCT/EP2017/077330 patent/WO2018077960A1/en unknown
- 2017-10-25 CN CN201780065985.8A patent/CN109891921B/zh active Active
- 2017-10-25 EP EP17797092.8A patent/EP3459278B1/en active Active
- 2017-10-25 MA MA45505A patent/MA45505B1/fr unknown
- 2017-10-25 MX MX2019004705A patent/MX2019004705A/es unknown
- 2017-10-25 JP JP2019521802A patent/JP6775683B2/ja active Active
- 2017-10-25 KR KR1020197013866A patent/KR102136037B1/ko active IP Right Grant
- 2017-10-25 DK DK17797092.8T patent/DK3459278T3/da active
-
2019
- 2019-04-01 ZA ZA2019/02024A patent/ZA201902024B/en unknown
-
2020
- 2020-02-20 US US16/796,060 patent/US10904756B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| BR112019008447A2 (pt) | 2019-07-09 |
| US20200196147A1 (en) | 2020-06-18 |
| EP3459278B1 (en) | 2020-04-22 |
| RU2727160C1 (ru) | 2020-07-21 |
| KR20190065413A (ko) | 2019-06-11 |
| US20190007830A1 (en) | 2019-01-03 |
| WO2018077960A1 (en) | 2018-05-03 |
| EP3459278A1 (en) | 2019-03-27 |
| ZA201902024B (en) | 2020-10-28 |
| CA3042304A1 (en) | 2018-05-03 |
| MA45505B1 (fr) | 2019-11-29 |
| MY195382A (en) | 2023-01-18 |
| CA3042304C (en) | 2021-08-24 |
| US10904756B2 (en) | 2021-01-26 |
| CN109891921A (zh) | 2019-06-14 |
| CN109891921B (zh) | 2022-03-01 |
| ES2806991T3 (es) | 2021-02-19 |
| US10609556B2 (en) | 2020-03-31 |
| JP2019533951A (ja) | 2019-11-21 |
| KR102136037B1 (ko) | 2020-07-21 |
| MA45505A1 (fr) | 2019-06-28 |
| MX2019004705A (es) | 2019-06-06 |
| DK3459278T3 (da) | 2020-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| US11895229B2 (en) | States secondary authentication of a user equipment | |
| US11272365B2 (en) | Network authentication method, and related device and system | |
| US10454686B2 (en) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network | |
| CN112997454B (zh) | 经由移动通信网络连接到家庭局域网 | |
| JP6775683B2 (ja) | 次世代システムの認証 | |
| JP6022706B2 (ja) | 無線装置での安全なオンラインサインアップ及びプロビジョニング | |
| EP2735183B1 (en) | Secure on-line sign-up and provisioning for wi-fi hotspots using a device-management protocol | |
| EP3378248B1 (en) | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts | |
| US20210400489A1 (en) | 3gpp private lans | |
| US11496894B2 (en) | Method and apparatus for extensible authentication protocol | |
| US20230027515A1 (en) | Method and apparatus for authenticating and authorizing network function in mobile communication system | |
| CN108370369B (zh) | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 | |
| CN115942305A (zh) | 一种会话建立方法和相关装置 | |
| OA19340A (en) | Authentification for next generation systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190712 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190712 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200710 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200908 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201006 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6775683 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |