JP6889263B2 - ユーザ機器の二次認証 - Google Patents

ユーザ機器の二次認証 Download PDF

Info

Publication number
JP6889263B2
JP6889263B2 JP2019536862A JP2019536862A JP6889263B2 JP 6889263 B2 JP6889263 B2 JP 6889263B2 JP 2019536862 A JP2019536862 A JP 2019536862A JP 2019536862 A JP2019536862 A JP 2019536862A JP 6889263 B2 JP6889263 B2 JP 6889263B2
Authority
JP
Japan
Prior art keywords
eap
user device
authentication
smf
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019536862A
Other languages
English (en)
Other versions
JP2020506578A (ja
Inventor
ヘンダ, ノアメン ベン
ヘンダ, ノアメン ベン
サモラ, デイビッド カステヤノス
サモラ, デイビッド カステヤノス
ヴェーサ トルヴィネン,
ヴェーサ トルヴィネン,
Original Assignee
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エルエム エリクソン(パブル), テレフオンアクチーボラゲット エルエム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Publication of JP2020506578A publication Critical patent/JP2020506578A/ja
Application granted granted Critical
Publication of JP6889263B2 publication Critical patent/JP6889263B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/25Maintenance of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/022Selective call receivers
    • H04W88/023Selective call receivers with message or information receiving capability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Collating Specific Patterns (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

<関連出願>
この出願は2017年1月27日に出願された米国仮特許出願第62/451,645号への優先権を主張し、その全内容が参照により本書に組み込まれる。
<技術分野>
本出願は一般にワイヤレス通信ネットワークに関し、具体的に、ワイヤレス通信ネットワークで使用するように構成されたユーザ機器の二次認証に関する。
ワイヤレス通信ネットワークは、従来、ネットワーク・オペレータによって事前にプロビジョニングされ、ユーザ機器にセキュアに格納されたクレデンシャルに基づいてユーザ機器を認証する。ユーザ機器を認証するための代替的な方法をサポートすることにより、ワイヤレス通信ネットワークは、様々な可能なユースケースをサポートできる。例えば、これは、工場所有者又は企業が認証及びアクセス・ネットワーク・セキュリティのために、自身のアイデンティティ及びクレデンシャル管理システムを活用することを可能にする。
しかし、代替の認証方法をサポートすることは、技術的に困難であることが分かっている。多くの認証方法は、トランスポート・ネットワークに対して厳格な推奨及び要件を有する。さらに、代替の認証方法をサポートするためにインターネット・プロトコル(IP)接続性に頼ることは、柔軟性がなく、制御プレーンとユーザ・プレーンとの間の分離を危険にさらすことになることが分かっている。
本書の1つ以上の実施形態は、ユーザ機器の認証を提供するために、ユーザ機器と制御プレーン機能(例えば、セッション管理機能、SMF)との間に拡張認証プロトコル(EAP)を利用する。このような認証は例えば、ユーザ機器の一次認証に加えて(例えば、その後に)実行される二次認証であってもよい。それにもかかわらず、このようにEAPを活用することは、異なるタイプの認証方法をサポートし、IP接続性又は特定のタイプのアクセス・ネットワークに依存せず、及び/又は制御プレーンとユーザ・プレーンとの間の分離を維持するように制御プレーン・ベースであるという点で有利であることが分かる。
より具体的に、本書の実施形態は、ユーザ機器の二次認証のための方法を含む。本方法は、ユーザ機器の二次認証のためのEAPオーセンティケータとして機能するセッション管理機能(SMF)からの拡張認証プロトコル(EAP)要求をユーザ機器によって受信することを含んでもよく、二次認証は、ユーザ機器の一次認証に加えるユーザ機器の認証である。本方法はまた、EAP要求に応答して、ユーザ機器からSMFにEAP応答を送信することを備えてもよい。
また、本書の実施形態は、ユーザ機器の二次認証のための方法を含む。本方法は、セッション管理機能(SMF)からユーザ機器に拡張認証プロトコル(EAP)要求を送信することを含んでもよく、SMFは、ユーザ機器の二次認証のためのEAPオーセンティケータとして機能し、二次認証は、ユーザ機器の一次認証に加えるユーザ機器の認証である。本方法は、EAP要求に応答して、ユーザ機器からEAP応答をSMFで受信することをさらに備えてもよい。
いくつかの実施形態で、SMFはまた、ユーザ機器の二次認証のためのEAP認証方法を実行するEAPサーバとして機能する。他の実施形態で、SMFは、ユーザ機器と、EAPオーセンティケータのためのEAP認証方法を実行するEAPサーバとの間で、EAP要求及びEAP応答を転送するように構成される。
本書のさらに別の実施形態は、ユーザ機器の二次認証のための方法を含む。本方法は、セッション管理機能(SMF)を介してEAPサーバからユーザ機器に拡張認証プロトコル(EAP)要求を送信することを備えてもよく、SMFは、ユーザ機器の二次認証のためのパススルーEAPオーセンティケータとして機能し、二次認証は、ユーザ機器の一次認証に加えるユーザ機器の認証であり、EAPサーバは、EAPオーセンティケータのためのEAP認証方法を実行するように構成される。本方法は、EAP要求に応答して、SMFを介してEAPサーバでユーザ機器からEAP応答を受信することをさらに備えてもよい。
いくつかの実施形態で、ユーザ機器及びSMFは、ワイヤレス通信ネットワークで使用するように構成され、EAPサーバは、ユーザ機器がユーザ・プレーン・セッションを要求する際に用いるデータ・ネットワーク内にあり、ユーザ機器の二次認証は、ユーザ・プレーン・セッションを確立するためのユーザ機器の認証であり、二次認証は、ワイヤレス通信ネットワークによってデータ・ネットワークに委譲される。
いくつかの実施形態で、EAP要求及びEAP応答は、SMFによって選択されたユーザ・プレーン機能を介してSMFとEAPサーバとの間で送信される。1つの実施形態で、例えば、ユーザ・プレーン機能は、EAPサーバのためのプロキシとして機能する。別の実施形態で、ユーザ・プレーン機能は、EAP要求及びEAP応答がユーザ・プレーン機能に透過的に送信される際に介するルータとして機能する。
これらの実施形態のいずれにおいても、EAP要求及びEAP応答は、SMFとUEとの間の個別の非アクセス・ストラタム(NAS)プロトコル・メッセージ内にカプセル化されてもよい。
いくつかの実施形態で、送信すること及び受信することは、コア・ネットワーク内のセキュリティ・アンカー機能によるユーザ機器の一次認証の後に実行される。
いくつかの実施形態で、コア・ネットワークは、それぞれ異なるサービスに専用の複数の異なるネットワーク・スライスを含み、ユーザ機器の二次認証は、コア・ネットワークの特定のネットワーク・スライスにアクセスするためのユーザ機器のスライス固有認証を含む。
いくつかの実施形態で、本方法は、ユーザ機器の二次認証の成功に基づいて、ユーザ機器とSMFとの間で共有されるセキュリティ鍵を取得することをさらに備える。
いくつかの実施形態で、ユーザ機器から送信されたセッション確立要求は、ユーザ機器の二次認証を引き起こす。1つのこのような実施形態で、セッション確立要求は、二次認証に使用されるユーザ機器の二次アイデンティティを含む。代替として、又は追加として、ユーザ機器に送信されるセッション確立応答は、二次認証の成功を示すEAP成功メッセージ、又は二次認証の失敗を示すEAP失敗メッセージのいずれかを含む。
いくつかの実施形態で、本方法は、ユーザ機器の二次認証を、二次認証が実行される際に介するチャネルにバインドすることをさらに備える。
いくつかの実施形態で、本方法は、ユーザ機器の二次認証の成功に基づいて、ユーザ機器とSMFとの間で共有されるセキュリティ鍵を導出することをさらに備え、導出することは、二次認証が実行される際に介するチャネルに関連するバインディング情報の関数としてセキュリティ鍵を導出することを含む。1つのこのような実施形態で、前記バインディング情報は、ユーザ機器がワイヤレス通信ネットワークにアクセスするアクセス・ネットワークのタイプを識別する情報と、ワイヤレス通信ネットワークのコア・ネットワークのタイプを識別する情報と、ユーザ機器がアクセスを要求しているコア・ネットワーク・スライスを識別する情報と、ユーザ機器がアクセスを要求しているコア・ネットワーク・スライスのタイプを識別する情報とのうちの1つ以上を含む。
いくつかの実施形態で、SMFは、5Gネットワークに含まれる。
実施形態はまた、対応する装置、コンピュータ・プログラム、及びキャリアを含む。
したがって、本書のいくつかの実施形態は、ユーザ機器(UE)と潜在的に外部の認証、認可及びアカウンティング(AAA)サーバとの間の認証のためにEAP(rfc3748)を使用してもよく、SMF、すなわち5Gコア内のセッション管理機能は、EAPオーセンティケータの役割を承認する。EAPペイロードは、UEとSMFとの間の非アクセス・ストラタム(NAS)プロトコルによって搬送されてもよい。NASプロトコルは、制御プレーンの最高位層である。NASプロトコルは、NASモビリティ管理(NAS−MM)とNASセッション管理(NAS−SM)との間で分割されてもよく、NAS−SMメッセージは、透過的コンテナにおいてNAS−MMを介して搬送される。SMFは、外部ドメインに配置されている可能性のあるバックエンドAAAサーバとやり取りする。EAPパケットは、プロトコル構成オプション(PCO)オプションの場合のように、直接通信でSMFとこの外部サーバとの間でAAAを介して、又は代替的にユーザ・プレーン機能(UPF)を介して透過的に輸送されてもよい。別の可能性は、EAPサーバが使用されず、SMF(すなわち、EAPオーセンティケータ)がEAP方法を実行することである。
したがって、いくつかの実施形態は、EAPトランスポート層セキュリティ(EAP−TLS)、EAP認証及び鍵合意(EAP−AKA)、EAPトンネルTLS(EAP−TTLS)、及びEAP保護EAP(EAP−PEAP)のような多くの認証方法をサポートするEAPを活用する。1つ以上の実施形態は、NASプロトコルにおけるEAPメッセージのカプセル化に基づき、したがって、アクセス・ネットワーク(AN)のタイプに依存しない。いくつかの実施形態は制御プレーン・ベースであり、したがって、PDUセッションのタイプ、すなわち、インターネット・プロトコル(IP)、非IPなどに依存しない。EAPを使用することによって、いくつかの実施形態は、異なるタイプのクレデンシャル及び認証方法をサポートする。EAP交換は、NASプロトコルによって提供される無線インタフェースの保護から利益を得る。さらに、EAP交換は例えば、確立されたデータ・ネットワークに対するユーザ・プレーンの保護のために使用されるセキュリティ鍵の確立をもたらしてもよい。
1つ以上の実施形態によるワイヤレス通信ネットワークのブロック図である。 いくつかの実施形態による5Gネットワークのブロック図である。 いくつかの実施形態によるUEの二次認証のためのコール・フロー図である。 いくつかの実施形態によるUEとAAAサーバとの間でEAPメッセージを交換するためのプロトコル・スタックのブロック図である。 いくつかの実施形態によるSMFとAAAサーバとの間でEAPメッセージを交換するためのプロトコル・スタックのブロック図である。 いくつかの実施形態によるユーザ機器によって実行される方法の論理フロー図である。 いくつかの実施形態による制御プレーン機能(例えば、SMF)によって実行される方法の論理フロー図である。 いくつかの実施形態によるEAPサーバによって実行される方法の論理フロー図である。 いくつかの実施形態によるユーザ機器のブロック図である。 他の実施形態によるユーザ機器のブロック図である。 いくつかの実施形態による制御プレーン機器のブロック図である。 他の実施形態による制御プレーン装置のブロック図である。 いくつかの実施形態によるEAPサーバのブロック図である。 他の実施形態によるEAPサーバのブロック図である。
図1は、1つ以上の実施形態によるワイヤレス通信ネットワーク(たとえば、5Gネットワーク)を示す。ネットワークは、アクセス・ネットワーク12及びコア・ネットワークを含む。コア・ネットワークは1つ以上の制御プレーン機能を含み、そのうちの1つが制御プレーン機能14として示されている。コア・ネットワークは例えば、セッション管理を担当するセッション管理機能(SMF)の形態の1つの制御プレーン機能と、モビリティ管理を担当するアクセス及びモビリティ管理機能(AMF)の形態の別個の制御プレーン機能とを含んでもよい。いずれにせよ、コア・ネットワークは、ユーザ・プレーン機能16も含む。
図1に示すように、ユーザ機器18は、(例えば、ネットワーク・オペレータ・サービス、インターネット・アクセス、又は第三者サービスを提供する)データ・ネットワーク22とのセッション20(例えば、ユーザ・プレーン・セッション又はパケット・データ・ユニット、PDU、セッション)を要求してもよい。データ・ネットワーク22は、ワイヤレス通信ネットワークの内部にあってもよいし、外部にあってもよい。それにもかかわらず、ユーザ・プレーン機能16は、このセッションのためのユーザ・プレーン・トラフィックを転送するように構成され、一方、制御プレーン機能は、(例えば、そのセッションのための制御シグナリングを介して)そのセッションを制御するように構成される。
1つ以上の実施形態は、ユーザ機器18の認証、例えば、データ・ネットワーク22とのセッション20を確立するためのユーザ機器18の認証に関する。認証は、ユーザ機器の他のいわゆる一次認証(これは、例えば、事前にプロビジョニングされたクレデンシャルを使用し、及び/又はセキュリティ・アンカー機能によって実行されてもよい)に加えて発生する認証であるという意味で、本質的に二次的であってもよい。いくつかの実施形態で、例えば、データ・ネットワーク22とのセッション20を要求するユーザ機器12は例えば、一次認証の後に、このような二次認証を引き起こす。この二次認証は、そのデータ・ネットワーク16によって実行され、制御され、及び/又はそのデータ・ネットワーク16に委譲されてもよい。
本書の1つ以上の実施形態は、ユーザ機器の二次認証を提供するために、ユーザ機器18とコア・ネットワーク内の制御プレーン機能14(例えば、セッション管理機能、SMF)との間に拡張認証プロトコル(EAP)を利用する。この点に関して、制御プレーン機能14は、二次認証のためのEAPオーセンティケータ24として機能してもよい。次いで、ユーザ機器18は、EAP認証のためのピアとして機能してもよい。
いくつかの実施形態で、制御プレーン機能14はまた、二次認証のためのEAP認証方法を実際に実行するEAPサーバとして機能する。他の実施形態で、(EAPオーセンティケータとしての)制御プレーン機能14とは別個のEAPサーバ26がEAPオーセンティケータのためのEAP認証方法を実行する。EAPサーバ26は例えば、図1に示すように、データ・ネットワーク22内に配置されてもよい。EAPオーセンティケータとは別個のEAPサーバ26は、バックエンド認証サーバ又は単に認証サーバと呼ばれてもよい。EAPサーバを制御プレーン機能14から分離することは、ユーザ機器18によって提供される各認証方法を制御プレーン機能14がサポートすることを要求するのではなく、例えば、EAPサーバ26によってサポートされる一部又はすべての認証方法のためのパススルーとして制御プレーン機能14が動作することをEAPが柔軟に可能にすることを意味する。次いで、いくつかの実施形態で、二次認証をデータ・ネットワーク22に委譲することが可能になる。したがって、ユーザ機器18は、制御プレーン機能14を介して、又は制御プレーン機能14によって提供されるように、EAPサーバ26と認証方法又は認証手順を実行してもよい。このようなEAPベースのアプローチは、異なるタイプの認証方法をサポートし、IP接続性又は特定のタイプのアクセス・ネットワークに依存せず、及び/又は制御プレーンとユーザ・プレーンとの間の分離を維持するように制御プレーン・ベースであるという点で有利であることが分かる。
ユーザ機器18の二次認証のためのEAPオーセンティケータ24として機能する制御プレーン機能14を用いて、ユーザ機器18及び制御プレーン機能14は、EAP認証交換に関与してもよい。図1に示すように、この交換は、制御プレーン機能14がユーザ機器18にEAP要求28を送信することと、次いでユーザ機器18が制御プレーン機能14からEAP要求28を受信することとを含んでもよい。このEAP要求28は、ユーザ機器18から複数の異なる可能なタイプの要求可能な情報(例えば、アイデンティティ、MD5チャレンジなど)のうちの任意の1つを要求してもよい。要求されたタイプの情報は、要求28内のタイプ・フィールドによって示されてもよい。いずれにしても、EAP要求28は、ユーザ機器18の二次認証にどの認証方法を使用すべきかのネゴシエーションの一部として情報を要求してもよい。
EAP要求28に応答して、(EAPピアとしての)ユーザ機器18は、(EAPオーセンティケータ24としての)制御プレーン機能14にEAP応答30を送信してもよい。EAP応答30は例えば、EAP要求28内のタイプ・フィールドによって示される情報のタイプを含んでもよい。
要求及び応答の1つ以上の追加のシーケンスが、同様の方法で続いてもよい。これは、EAPオーセンティケータとしての制御プレーン機能14が(例えば、1つ以上のEAP要求に対する容認できないEAP応答のために)ユーザ機器18を認証できなくなるまで、又はEAPオーセンティケータとしての制御プレーン機能14が、認証の成功が生じたと判定するまで、続いてもよい。
いくつかの実施形態で例えば、セッション20の確立のための要求のユーザ機器による送信は、ユーザ機器18の二次認証を引き起こす。この場合に、セッション確立応答は、次いで、ユーザ機器に送信されてもよく、二次認証の成功を示すEAP成功メッセージ、又は二次認証の失敗を示すEAP失敗メッセージのいずれかを含む。
これら及び他の実施形態で、EAP要求28及びEAP応答30は、個別の非アクセス・ストラタム(NAS)プロトコル・メッセージ内にカプセル化されてもよい。この点に関して、NASは、制御プレーンの最上位層であってもよい。このようにカプセル化されて、EAP要求28及びEAP応答30は、アクセス・ネットワーク12のタイプにかかわらず、ユーザ機器18と制御プレーン機能14との間で通信されてもよい。
(例えば、図1に示すようなデータ・ネットワーク22内にある)二次認証のためのEAPサーバ26を含む実施形態で、制御プレーン機能14は、ユーザ機器18とEAPサーバ26との間でEAP要求28及びEAP応答30を転送してもよい。制御プレーン機能14は例えば、送信又は受信されたEAPメッセージを検査して、それらのメッセージを転送するかどうか、又はどこに転送するかを決定してもよい。いずれにしても、EAPサーバ26は、EAPオーセンティケータとしての制御プレーン機能14を介してユーザ機器18にEAP要求28を送信してもよく、EAP要求に応答して、制御プレーン機能14を介してユーザ機器18からEAP応答30を受信してもよい。
いくつかの実施形態で、EAP要求28及びEAP応答30は例えば、例えば制御プレーン機能14によって選択されてもよいユーザ・プレーン機能16を介して、制御プレーン機能14とEAPサーバ26との間で送信される。いくつかの実施形態で、ユーザ・プレーン機能16は、EAPサーバ26のプロキシとして機能してもよい。他の実施形態で、ユーザ・プレーン機能16は、EAP要求28及びEAP応答30がユーザ・プレーン機能16に透過的に送信される際に介するルータとして機能する。
したがって、これら及び他の実施形態は、ワイヤレス通信ネットワークが(例えば、ユーザ機器によるデータ・ネットワーク22とのセッション20の確立を認証するために)ユーザ機器18の二次認証をデータ・ネットワーク22に委譲することを可能にしてもよい。特に、データ・ネットワーク22がこのような認証に使用される認証方法を実際に実行するEAPサーバ26を実装する場合に、これは、ワイヤレス通信ネットワークが異なる認証方法を一般的かつ柔軟にサポートすることを意味してもよい。
代替として、又は追加として、いくつかの実施形態で、コア・ネットワークは、それぞれ異なるサービス専用の複数の異なるネットワーク・スライスを備えてもよい。この場合に、ユーザ機器18の二次認証は、コア・ネットワークの特定のネットワーク・スライスにアクセスするためのユーザ機器18のスライス固有認証を備えてもよい。同様に、ワイヤレス通信ネットワークは、(例えば、異なるネットワーク・スライスに対して異なってもよい)異なる認証方法を一般的かつ柔軟にサポートしてもよい。
ここで、3GPPによって開発されている5G(別名、ネクスト・ジェネレーション、NG)の文脈で1つ以上の実施形態を説明する。5Gは、(とりわけ)制御プレーンをユーザ・プレーンから分離することを目的とする。制御プレーンはシグナリング情報の制御及び送信を担当し、ユーザ・プレーンはユーザ・トラフィックの転送を担当する。制御プレーンを分離することは、より単純なユーザ・プレーン・ノードを残すようにゲートウェイから制御プレーン機能を抽出することを含む。したがって、ゲートウェイは、独立してスケーリングできるS/PGW−Uコンポーネント及びS/PGW−Cコンポーネントに「分割」され、SGW−Uはユーザ・プレーン機能を扱うサービング・ゲートウェイ(SGW)のコンポーネントであり、PGW−Uはユーザ・プレーン機能を扱うパケット・ゲートウェイ(PGW)のコンポーネントであり、SGW−Cは制御プレーン機能を扱うSGWのコンポーネントであり、PGW−Cは制御プレーン機能を扱うPGWのコンポーネントである。このようにして、制御プレーン、及びすべての関連する複雑なやり取りを集中化することができ、一方、ユーザ・プレーンは、IPサービス・ファブリックにわたって分散され、トラフィック負荷によって要求されるようにスケーリングされる。
さらに、5Gは、ネットワーク機能仮想化及びソフトウェア定義ネットワーキングを可能にする。5Gシステム・アーキテクチャは、識別された場合に、制御プレーン(CP)ネットワーク機能間のサービス・ベースのやり取りを活用する。
さらに、5Gは例えば、柔軟で効率的なネットワーク・スライシングを可能にするために、機能設計をモジュール化することを目標とする。さらに、適用可能な場合はいつでも、手続き(すなわち、ネットワーク機能間のやり取りの集合)はそれらの再使用が可能なように、サービスとして定義される。
これに関して、図2は、NGのためのベースライン・アーキテクチャを示す。アーキテクチャは、様々なネットワーク機能を含む。制御プレーン機能は、セッション管理機能(SMF)と、アクセス及びモビリティ管理機能(AMF)と、ポリシー制御機能(PCF)と、認証サーバ機能(AUSF)と、統合データ管理(UDM)と、を含む。
SMFは、以下の機能の一部又は全部を含んでもよい。SMF機能の一部又は全部は、SMFの単一のインスタンスでサポートされてもよい。SMF機能は、セッション管理(例えば、UPFとアクセス・ネットワーク・ノードとの間のトンネル維持を含む、セッション確立、変更及び解放)と、UE IPアドレス割り当て及び管理(オプションの認可を含む)と、UP機能の選択及び制御と、適切な宛先へトラフィックをルーティングするためのUPFでのトラフィック・ステアリングの構成と、ポリシー制御機能へのインタフェースの終了と、ポリシー行使及びサービス品質(QoS)の一部の制御と、(SMイベント及び合法的傍受システムへのインタフェースのための)合法的傍受と、NASメッセージのSM部分の終了と、ダウンリンク・データ通知と、AMFを介してN2からANに送信されるAN固有SM情報の開始と、(IPタイプPDUセッションのための)セッションのサービス及びセッション継続性(SSC)モードの決定と、ローミング機能と、QoSサービス・レベル・アグリーメント(SLA)を適用するためのローカル行使(ビジテッド・パブリック・ランド・モバイル・ネットワーク、VPLMN)の処理と、課金データ収集及び課金インタフェース(VPLMN)と、(SMイベント及びLIシステムへのインタフェースのためのVPLMN内の)合法的傍受と、外部DNによるPDUセッション認可/認証のためのシグナリングの輸送のための外部DNとのやり取りのサポートと、を含む。
対照的に、アクセス及びモビリティ管理機能(AMF)は、以下の機能の一部又は全部を含んでもよい。AMF機能の一部又は全部は、AMFの単一のインスタンスにおいてサポートされてもよい:無線アクセス・ネットワーク(RAN)CPインタフェース(N2)の終了、NAS(N1)の終了、NAS暗号化及び完全性保護、登録管理、接続管理、到達可能性管理、モビリティ管理、(AMFイベント及びLIシステムへのインタフェースのための)合法的傍受、SMメッセージをルーティングするための透過的プロキシ、アクセス認証、アクセス認可、セキュリティ・アンカー機能(SEA又はSEAF)、及びアクセス・ネットワーク固有鍵を導出するために使用するSEAから鍵を受信するセキュリティ・コンテキスト管理(SCM)。特にSEAに関して、これは認証サーバ機能(AUSF)及びUEとやり取りし、UE認証プロセスの結果として確立された中間鍵を受信する。USIMベースの認証の場合に、AMFは、AUSFからセキュリティ材料を読み出す。
ユーザ・プレーン機能(UPF)は、以下の機能の一部又は全部を含んでもよい。UPF機能の一部又は全部は、UPFの単一のインスタンスにおいてサポートされてもよい:(適用可能な場合に)イントラ/インター無線アクセス技術(RAT)モビリティのためのアンカー・ポイント、データ・ネットワークへの相互接続の外部PDUセッション・ポイント、パケット・ルーティング及び転送、ポリシー・ルール行使のパケット検査及びユーザ・プレーン部分、合法的傍受(UP収集)、トラフィック使用報告、データ・ネットワークへのトラフィック・フローのルーティングをサポートするためのアップリンク・クラシファイア、マルチホームPDUセッションをサポートするための分岐ポイント、ユーザ・プレーンのためのQoS処理、例えばパケット・フィルタ、ゲーティング、アップリンク/ダウンリンク・レート行使、アップリンク・トラフィック検証(SDFからQoSへのフロー・マッピング)、アップリンク及びダウンリンクにおけるトランスポート・レベル・パケット・マーキング、ならびにダウンリンク・パケット・バッファリング及びダウンリンク・データ通知トリガリング。
これらのネットワーク機能のいずれも、専用ハードウェア上のネットワーク要素として、又は専用ハードウェア上で実行されるソフトウェア・インスタンスとして、又は適切なプラットフォーム上で、例えばクラウド・インフラストラクチャ上でインスタンス化された仮想機能として実装されてもよい。
NGシステムにおける新しい特徴の中には、ネットワーク・スライシングの概念がある。ネットワーク・スライス(NS)は基本的に、特定のサービスを提供するために専用のコア・ネットワークのインスタンスである。これにより、オペレータは、サービス品質(QoS)に関してそれぞれ異なるサービス要件を有するこの多種多様な新しいユースケースを処理できる。例えば、オペレータは、通常のモバイル・ブロードバンド(MBB)サービスのためのスライスを、非常に短いレイテンシを要求する公衆安全サービス(ミッション・クリティカル・プッシュ・ツー・トーク、MCPTT)のためのミッション・クリティカル・スライスと並行して、及び非常に低い帯域幅を有する電気メータのためのモノのインターネット(IoT)スライスと並行して実行してもよい。
多様なサービス・タイプをサポートするために、オペレータは、共通のIPサービス・インフラストラクチャ上に「ネットワーク・スライス」として配備された複数のコア・ネットワークを使用する。図2に示すアイデアは、異なるサービスに専用の仮想コア・ネットワーク・インスタンス(又は「スライス」)を作成することである。各スライスは、トラフィック・プロファイル及び関連するサービスの商業的コンテキスト、例えば、IoT、公共安全、モバイル仮想ネットワーク・オペレータ(MVNO)、コネクテッド自動車、ボイス・オーバWiFi又はエンタープライズ・サービスのために最適化されてもよい。ネットワーク・スライスは、サービス固有及び顧客固有の両方でありうるという意味で、2次元でありうる。
5Gは、多くの新しいシナリオ及びユースケースをサポートし、IoTのイネーブラとなることが期待される。NGシステムは、センサ、スマート・ウェアラブル、車両、機械等のような広範囲の新しいデバイスへの接続性を提供することが期待される。そして、柔軟性は、NGシステムにおける重要な特性である。これは、オペレータによって事前にプロビジョニングされ、ユニバーサル集積回路カード(UICC)にセキュアに格納された通常のAKAクレデンシャルとは異なるタイプのクレデンシャル及び代替の認証方法のサポートを義務付けるネットワーク・アクセスのためのセキュリティ要件に反映される。これは、工場所有者又は企業が認証及びアクセス・ネットワーク・セキュリティのために、自身のアイデンティティ及びクレデンシャル管理システムを活用することを可能にする。
5Gは、異なるネットワーク・スライス(NS)にアクセスするための認証及び認可手続きを切り離してもよい。1つの可能なシナリオは、以下の通りである。NG−UEが特定のNSにアクセスするために、オペレータは最初に、AMFを介したAUSF/UDMへの初期ネットワーク・アクセスのための一次(通常)認証を実行し、続いて、おそらく第三者の制御下で、二次NS固有認証を実行してもよい。これは、第三者サービス・プロバイダと、例えば専用ネットワーク・スライス・インスタンスにおいてこの第三者にアクセス及びトランスポート・サービスを提供しているモバイル・ネットワーク・オペレータ(MNO)との間の信頼を仮定している。
いわゆる暗号化オプション要求及びプロトコル構成オプション(PCO)と呼ばれる情報要素の使用は、上述のシナリオに関連しうる。PCOは、パスワード認証プロトコル(PAP)/チャレンジ・ハンドシェイク認証プロトコル(CHAP)のユーザ名及びパスワードをパケット・データ・ネットワーク・ゲートウェイ(PDN−GW)へ転送でき、これは、アクセス認可のために(場合によっては外部ドメインに位置する)AAAサーバを介してそれらを実行する。この情報はセンシティブであり、保護される必要があるので、UEが暗号化を必要とするPCO(例えば、PAP/CHAPのユーザ名及びパスワード)を送信しようとするならば、UEはAttach Requestメッセージ内に暗号化オプション転送フラグを設定し、認証及びNASセキュリティ・セットアップが完了した後にのみPCOを送信する。
NGシステムにおける使用又は拡張のためのこのメカニズムの限界の中には、以下のものがある。
第1に、このメカニズムは、可能な認証方法に関して非常に限定されている。現在、PAP及びCHAPのサポートのみが存在する。しかし、PAPは、セキュリティの観点から時代遅れなので、我々にはCHAPのみが残っている。
第2に、他の方法をサポートし、認証情報の輸送にPCO情報要素を使用するために、この目的専用に、MMEとS−GWとの間及びS−GWとPDN−GWとの間の特別なメッセージを指定する必要がある。これは、たった1回の往復よりも多くを必要とする認証方式を扱うためである。
さらに、さらに分解される次世代アーキテクチャにこのメカニズムがどのように適合するかを予見することは困難である。実際、新しいアーキテクチャの特徴(TR23.799)を考慮すると、我々は、例えば、MMEをAM機能とSM機能とに分割する進行中の作業(TR23.799)と、制御プレーンとユーザ・プレーンとの分割のための制御プレーンとユーザ・プレーンとの分離(CUPS)作業(TR 23.714)に関連して、UEとPDN−GWとの間のパスには、おそらくより多くのホップがあるだろうと述べることができる。これは、CNにおけるより多くの過負荷及びシグナリングを意味する。
最後に、このメカニズムは、UEとPDN−GWの間に直接的なプロトコルがないため、回避策である。他の認証方法をサポートするのに十分な汎用性を有するようにすることは、特に、多くの方法が輸送に関する厳格な推奨及び要件を有するので、技術的に困難である。
1つ以上の実施形態は、EAPの使用を介した二次認証のためのこれらの課題及び/又は他の課題のいくつかに対処する。EAPは、IETF RFC 3748に規定されている。EAPは、複数の認証方法をサポートする認証フレームワークである。
EAPアーキテクチャの利点の1つは、その柔軟性である。EAPは、典型的には、使用されるべき特定の認証方法を決定するためにオーセンティケータがより多くの情報を要求した後に、特定の認証メカニズムを選択するために使用される。新しい各認証方法をサポートするためにオーセンティケータが更新されることを要求するのではなく、EAPは一部又は全部の認証方法を実施してもよいバックエンド認証サーバの使用を可能にし、オーセンティケータは、一部又は全部の方法及びピアのためのパススルーとして機能する。EAPプロトコルは、特定のものを事前にネゴシエートする必要なく、複数の認証メカニズムをサポートできる。
EAP命名法で、EAPオーセンティケータは、EAP認証を開始するリンクの末端である。ピアは、オーセンティケータに応答するリンクの末端である。バックエンド認証サーバは、認証サービスをオーセンティケータに提供するエンティティである。使用される場合に、このサーバは、典型的に、オーセンティケータのためのEAP方法を実行する。EAPサーバは、EAP認証方法をピアで終了するエンティティである。バックエンド認証サーバが使用されない場合に、EAPサーバはオーセンティケータの一部である。オーセンティケータがパススルー・モードで動作する場合に、EAPサーバはバックエンド認証サーバ上に配置される。認証の成功はEAPメッセージの交換であり、その結果、認証はピアによるアクセスを認可することを決定し、ピアは、このアクセスを使用することを決定する。オーセンティケータの決定は、典型的に、認証及び認可の両方の側面を含み、ピアは、オーセンティケータへ首尾よく認証してもよいが、ポリシーの理由のために、オーセンティケータによってアクセスが拒否されてもよい。
EAP認証交換は、以下のように進行する。オーセンティケータは、ピアを認証するための要求を送信する。要求は、何が要求されているかを示すタイプ・フィールドを有する。要求タイプの例は、アイデンティティ、MD5チャレンジなどを含む。典型的に、オーセンティケータは、初期アイデンティティ要求を送信するが、初期アイデンティティ要求が要求されず、バイパスされてもよい。
ピアは、有効な要求への返信で、応答パケットを送信する。要求パケットと同様に、応答パケットは、要求のタイプ・フィールドに対応するタイプ・フィールドを含む。
オーセンティケータは追加の要求パケットを送信し、ピアは応答で返信する。
要求及び応答のシーケンスは、必要な限り継続する。会話はオーセンティケータがピアを認証できなくなる(1つ以上の要求に対する受け入れられない応答)まで継続し、その場合、オーセンティケータ実装は、EAP失敗を送信しなければならない(コード4)。これに代えて、認証が成功したとオーセンティケータが判定するまで認証会話が継続でき、その場合、認証者はEAP成功(コード3)を送信しなければならない。
「パススルー・オーセンティケータ」として動作する場合に、オーセンティケータは、コード、識別子、及び長さフィールドのチェックを実行する。それは、ピアから受信されそのオーセンティケータ層に宛てられたEAPパケットをバックエンド認証サーバに転送し、ピアに宛てられたバックエンド認証サーバから受信されたパケットはそれに転送される。
図3は、いくつかの実施形態による、EAPを使用する、一次認証及び二次認証の両方を含むメッセージの流れを示す。
ステップ1:UEが登録要求を送信する。
ステップ2:UEとSEAFとの間で一次認証手続きが実行される。認証が成功すると、一次アイデンティティ(例えば、国際移動体加入者識別子、IMSI)が検証され、次のステップが実行される。
ステップ3:NASセキュリティ、すなわちCPセキュリティがセットアップされる。以降、すべてのNASメッセージは、機密性及び完全性について保護される。
ステップ4:PDUセッション確立要求の処理が、2つのステップで行われる。ステップ4aにおいて、UEは、PDUセッション確立要求をAMFに送信する。このメッセージは一次アイデンティティを含み、オプションとして、EAPの二次認証で後に使用される二次アイデンティティを搬送してもよい。要求は完全性であり、オプションとして、UEとAMFとの間で機密性について保護される。AMFは、メッセージがステップ2で認証されたUEから生じることを検証し、検証されたアイデンティティ情報を含むメッセージを転送する。ステップ4bにおいて、SMFは、AMFからPDUセッション確立要求を受信する。SMFが一次アイデンティティについて二次認証を実行しておらず、UEを認証するためのローカル・ポリシーを有するならば、SMFは二次認証手続きを開始しなければならない。SMFはまた、再認証ポリシーを維持し、受信された一次アイデンティティが非常に長い時間前にSMFによって認証された場合、再認証を開始する必要があってもよい。
ステップ5:SMFを介してUEと外部AAAとの間で二次認証手続きが実行される。そして、この場合に、SMFはEAPオーセンティケータとして機能し、外部AAAはEAPサーバとして機能する。EAPメッセージはNAS−SMプロトコルを介してAMFに透過的に輸送される。これは、SM−EAPパケット、例えばSM認証要求及びSM認証応答を搬送してもよい新しいNAS−SMメッセージの仕様を必要とするかもしれない。PDUセッション確立要求がUEの二次アイデンティティを搬送したならば、SMFはEAPアイデンティティ要求をスキップでき、AAAサーバと直接にEAP認証を開始できる。エア・インタフェースを介したEAP交換は、NAS層における保護から利益を得る。
二次EAP認証はオプションとして、それが実行されたチャネルにバインドされる必要があってもよく、そうでなければ、(例えば、同じEAP方法及びクレデンシャルが様々なチャネル上で使用されるならば)中間者がチャネル間でEAPパケットをトンネルする危険性がある。チャネル関連情報(例えば、アクセス・タイプ又はコア・ネットワーク・タイプに関連する情報又はネットワーク・スライス関連情報を含んでもよいと仮定して、ステップ2で使用される一次アイデンティティ)を取ることによってチャネル・バインディングが行われてもよい。チャネル関連情報は二次EAP認証内の暗号化動作において直接に使用されるか、又は後に、何らかの目的のために二次認証から作成されたマスタ鍵(すなわち、マスタ・セッション鍵、MSK、又は拡張MSK、EMSK)を使用するときに使用される。チャネル情報は、アクセス・ネットワーク・タイプ(例えば、5G無線、ワイヤレス・ローカル・アクセス・ネットワークWLAN)、コア・ネットワーク・タイプ(例えば、5Gコア・ネットワーク)、又はネットワーク・スライス・タイプ又は識別子(例えば、ネットワーク・スライス選択支援情報NSSAI、SM−NSSAI、又はデータ・ネットワーク名DNN)のうちの1つであてもよい。
特に、ほとんどのEAP認証方法は、認証の結果としてマスタ鍵(MSK及びEMSK)を生成する。この鍵はセッション鍵、例えば、完全性保護鍵又は暗号化鍵を生成するために使用される。チャネル・バインディングは2つの場所で行うことができる:a)MSK/EMSKを作成するときのEAP方法内で、この場合に、バインディング・パラメータは鍵導出への入力値である:MSK=KDF(バインディング・パラメータ、他のパラメータ)及び/又はEMSK=KDF(バインディング・パラメータ、他のパラメータ);又はb)MSK/EMSKが何らかの他の(マスタ)鍵を作成するときに作成された後である:Key=KDF(バインディング・パラメータ、MSK)及び/又はKey=KDF(バインディング・パラメータ、EMSK)。
ステップ6:AAA交換の一部として、外部AAAサーバは、再認証ポリシーをSMFに示してもよい。これは、例えば、その後に新しい認証が必要とされる最大時間でありうる。
認証が成功した後、AAA交換は、SMFへのサービス/セッション認可情報の交換も含んでもよい。この場合に、AAAはSMFにサービス認可プロファイル(又はサービス認可プロファイル識別子/トークン)を提供することができ、そこから、SMFは、要求されたサービスがユーザのために認可されているかどうか、及び認可されているならば、例えば、サービス品質、経験品質、課金等に関してサービスが提供されるべき方法を判定できる。
ステップ7:SMFはオプションで、一次アイデンティティと二次アイデンティティとの間のバインディングを行い、それをローカルに保存する。SMFは、一次アイデンティティを搬送するAMFからの新しい要求を見ると、二次アイデンティティを有する同じUEからメッセージが由来することを信頼してもよい。
ステップ8:認証及び認可が成功した後、SMFは、要求されているサービスに関連するユーザ・プレーンのためのユーザ・プレーン機能UPFを選択する。
ステップ9:SMFは、二次認証の結果に依存してPDUセッション確立応答を返信する。このメッセージは最終EAPメッセージを搬送してもよく、すなわち、PDUセッション確立受諾はEAP成功を搬送してもよく、又はPDUセッション確立失敗は、EAP失敗を搬送してもよい。
ステップ5において、SMFはEAPオーセンティケータの役割を承認し、場合によっては、例えば第三者によって制御される別のセキュリティ・ドメインにおいて、データ・ネットワーク内のバックエンドAAAサーバに依拠してもよい。そして、SMFとAAAサーバとの間でAAAメッセージがどのように輸送されるかが未解決のままである。様々な可能性が存在する。第1実施形態で、EPC PCOソリューションと同様に、SMFとAAAとの間の直接インタフェースを介してAAAメッセージが輸送される。このインタフェースはAAAが第三者によって制御される場合に、ビジネス契約に基づいて確立される。図4は、SMFとAAAサーバとの間の直接インタフェース(XXと呼ばれる)を有するEAPベースの二次認証をサポートするためのプロトコル・アーキテクチャを示す。UEからSMF側で、EAPメッセージがNASプロトコルを介してどのように搬送されるかについての可能性を示す。
第2実施形態で、UPFを介してNG4−NG6インタフェースを介して透過的にAAAメッセージが転送される。UPFは、AAAプロキシ又はより単純なIPルータの役割を承認してもよい。この場合に、SMFは、図3のステップ5におけるAAA交換の前にステップ8を実行するので、選択されたUPFを介してAAA交換を処理できる。図5は、EAPメッセージがNG4−NG6インタフェースを介してUPFを通じて輸送されるEAPベースの二次認証のサポートを示す。すなわち、NG4−NG6インタフェースは、SMFとAAAサーバとの間でAAAメッセージを搬送するために透過的に使用される。この特定の場合(図5)に、UPFはSMFとAAAサーバとの間のAAA交換がUPFに対して透過的であるように、IPルータとして機能してもよい。
第3実施形態で、UPFは、実際にはAAAプロキシとして機能してもよい。
第4実施形態で、SMFはEAPサーバとして機能してもよく、このような場合に、外部AAAサーバとのやり取りは全く必要ない。
第5実施形態で、一次アイデンティティ及び二次アイデンティティが同じであるか、又は互いに関連しており、例えば、一次アイデンティティ(の一部)は二次アイデンティティに符号化される。認証に使用されるクレデンシャルは、依然として異なっていてもよい。
PCOベースのメカニズムと同様に、二次認証は、特定の又は追加のPDUセッションの確立に対するUEの要求に応じて、外部当事者によって制御される追加の認可のために使用されてもよい。UP保護及びスライシングに関連する他のユースケースについて、以下の節で説明する。
ユーザ・プレーン保護:第1に、UPトラフィックの保護がUPFで終了されるならば、以下の仮定が行われる。UEとUPFとの間のユーザ・プレーン保護は、UEとアクセス・ネットワークとの間のNGUインタフェース上の保護とは独立して、追加のプロトコル層を介して実施される。
このような場合に、必要な鍵を確立するために二次認証を使用してもよい。実際、認証が成功した後、SMF(EAPオーセンティケータ)とUE(ピア)との間で共有される結果として得られるMSK鍵は、この特定の目的のために使用されうる。
そして、保護キーの配布、アルゴリズムのネゴシエーション、及びセキュリティ・モードのアクティブ化のためのメカニズムは、汎用的であり、認証方法には不可知である。これらの動作はすべて、PDUセッション確立(図3のステップ9)に関連して実行されてもよい。
ネットワーク・スライシングのサポート:二次認証は、ネットワーク・スライス固有の認可のために使用してもよい。実際、あるAMFを介した一次認証が成功すると、UEは、場合によっては、その特定のAMFによってサービス提供されるすべてのネットワーク・スライスを介してサービスを提供されうる。UEが、加入者情報に基づいて、スライスの全部又は一部にアクセスすることを自動的に認可される場合がありうる。これに代えて、特定のスライスのためのPDUセッションの作成中に、二次認証を使用して、スライス固有ベースで認可が行使されてもよい。
UEと特定のスライスとの間のUPトラフィックの保護のために、前の節で説明したメカニズムを使用してもよい。しかしながら、どのネットワーク機能を誰が管理又は所有するかという意味でのスライスの構成が関連するようになる。信頼モデルの観点から、これはUPF及びSMFがスライス固有であることを必要とし、そうでない場合に、保護はいかなる目的にも役立たない。
上記の変形及び修正に鑑みて、図6はいくつかの実施形態による、例えば、アクセス・ネットワーク12及びコア・ネットワークを備える、ワイヤレス通信ネットワークで使用されるように構成されたユーザ機器18の二次認証のための方法を示す。方法は、ユーザ機器18によって実行される。方法は、ユーザ機器18によって、コア・ネットワーク(例えば、SMF)内にありユーザ機器18の二次認証のためのEAPオーセンティケータ24として機能する制御プレーン機能14から、拡張認証プロトコル(EAP)要求28を受信することを含んでもよい(ブロック100)。二次認証は、ユーザ機器18の一次認証に加えて、ユーザ機器18の認証であってもよい。方法はまた、EAP要求28に応答して、ユーザ機器18から制御プレーン機能14(例えば、SMF)にEAP応答30を送信することを含んでもよい(ブロック110)。
図7は、制御プレーン機能14(S.f.、SMF)によって実行される対応する方法を示す。方法は、制御プレーン機能14(例えば、SMF)からユーザ機器18へ拡張認証プロトコル(EAP)要求28を送信することを含んでもよく、制御プレーン機能14はコア・ネットワーク内にあり、ユーザ機器18の二次認証のためのEAPオーセンティケータ24として機能する(ブロック200)。やはり、二次認証は、ユーザ機器18の一次認証に加えて、ユーザ機器18の認証であってもよい。方法は、EAP要求28に応答して、ユーザ機器18からEAP応答30を制御プレーン機能14で受信することも含んでもよい(ブロック210)。
いくつかの実施形態で、制御プレーン機能14は、ユーザ機器18の二次認証のためのEAP認証方法を実行するEAPサーバとして機能している。これに代えて、制御プレーン機能14は、EAP要求28及びEAP応答30を、ユーザ機器18と、EAPオーセンティケータのためのEAP認証方法を実行するEAPサーバ26(EAPオーセンティケータとは別個である)との間で転送するパススルー・オーセンティケータとして機能してもよい。
これに関して、図8は、ユーザ機器18の二次認証のためにEAPサーバ26によって実行される方法を示す。方法は、拡張認証プロトコル(EAP)要求28を、制御プレーン機能14(例えば、SMF)を介してEAPサーバ26からユーザ機器18へ送信することを含んでもよい(ブロック300)。この点に関して、制御プレーン機能はコア・ネットワーク内にあり、ユーザ機器18の二次認証のためのパススルーEAPオーセンティケータとして機能する。二次認証は、ユーザ機器18の一次認証に加えて、ユーザ機器18の認証であってもよい。EAPサーバ26は、EAPオーセンティケータ24のためのEAP認証方法を実行するように構成されてもよい。方法は、EAP要求28に応答して、ユーザ機器18からEAP応答30を制御プレーン機能14を介してEAPサーバ26で受信することをさらに含んでもよい(ブロック310)。
いくつかの実施形態で、EAPサーバ26は、ユーザ機器18がユーザ・プレーン・セッションを要求する際に用いるデータ・ネットワーク22内にある。ユーザ機器18の二次認証は、ユーザ・プレーン・セッション20を確立するためのユーザ機器18の認証であってもよい。いくつかの実施形態で、二次認証は、ワイヤレス通信ネットワークによってデータ・ネットワーク22に委譲される。
ここで、ネットワーク・ノードはAN14(例えば、基地局)又はコア・ネットワーク内の任意のタイプのノードであることに留意されたい。ネットワーク・ノードがAN内の無線ネットワーク・ノードである場合に、ノードは、無線信号を介して別のノードと通信できてもよい。ワイヤレス・デバイスは、無線信号を介して無線ネットワーク・ノードと通信できる任意のタイプのデバイスである。したがって、ワイヤレス・デバイスは、マシン・ツー・マシン(M2M)デバイス、マシン・タイプ通信(MTC)デバイス、NB−IoTデバイスなどを指してもよい。ワイヤレス・デバイスはUEであってもよいが、UEは、デバイスを所有及び/又は操作する個人の意味の「ユーザ」を必ずしも有するわけではないことに留意されたい。ワイヤレス・デバイスはまた、無線デバイス、無線通信デバイス、ワイヤレス端末、又は単に端末と呼ばれてもよく、文脈でそうでないと示さない限り、これらの用語のいずれかの使用は、デバイス・ツー・デバイスUE又はデバイス、マシン・タイプ・デバイス、又はマシン・ツー・マシン通信が可能なデバイス、ワイヤレス・デバイスを具備したセンサ、ワイヤレス対応テーブル・コンピュータ、モバイル端末、スマートフォン、ラップトップ埋め込み型(LEE)、ラップトップ搭載機器(LME)、USBドングル、ワイヤレス顧客構内機器(CPE)などを含むことが意図される。本書の説明では、マシン・ツー・マシン(M2M)デバイス、マシン・タイプ通信(MTC)デバイス、ワイヤレス・センサ、及びセンサという用語も使用されてもよい。これらのデバイスはUEであってもよいが、一般に、直接的な人間のやり取りなしにデータを送信及び/又は受信するように構成されることを理解されたい。
IOTシナリオで、本書で説明するワイヤレス通信装置は、監視又は測定を実行し、このような監視測定の結果を別のデバイス又はネットワークに送信する機械又はデバイスであってもよく、又はその中に含まれてもよい。このような機械の特定の例は、電力計、産業機械、又は家庭用若しくは個人用機器、例えば、冷蔵庫、テレビ、時計等の個人用ウェアラブルである。他のシナリオで、本書で説明するワイヤレス通信デバイスが車両に含まれてもよく、車両の動作状態又は車両に関連する他の機能の監視及び/又は報告を実行してもよい。
本書のユーザ機器18は、任意の機能手段又はユニットを実装することによって、本書のプロセスを実行してもよい。1つの実施形態で例えば、ユーザ機器18は図6に示されるステップを実行するように構成された個別の回路を備える。この点に関する回路は特定の機能処理を実行するために専用の回路、及び/又はメモリに関連する1つ以上のマイクロプロセッサを備えてもよい。読み出し専用メモリ(ROM)、ランダム・アクセス・メモリ、キャッシュ・メモリ、フラッシュ・メモリ・デバイス、光記憶デバイスなどの1つ以上のタイプのメモリを備えてもよいメモリを使用する実施形態で、メモリは、1つ以上のマイクロプロセッサによって実行される場合に、本書で説明される技術を実行するプログラム・コードを記憶する。すなわち、いくつかの実施形態で、ユーザ機器18のメモリは、処理回路によって実行可能な命令を含み、それによって、ユーザ機器18は本書の処理を実行するように構成される。
図9Aは、1つ以上の実施形態によるユーザ機器18の追加の詳細を示す。示されるように、ユーザ機器18は、処理回路410及び通信回路420(例えば、1つ以上の無線回路)を含む。通信回路420は、ユーザ機器18の内部及び/又は外部にあってもよい1つ以上のアンテナを介して送信するように構成されてもよい。処理回路410は例えば、メモリ430に記憶された命令を実行することなどによって、例えば図6において上述された処理を実行するように構成される。この点に関して、処理回路410は、特定の機能手段又はユニットを実装してもよい。
この点に関して、図9Bは、1つ以上の他の実施形態によるユーザ機器18の追加の詳細を示す。示されるように、ユーザ機器18は、EAP要求28を受信するための受信ユニット又はモジュール440と、EAP応答30を送信するための送信ユニット又はモジュール450とを含んでもよい。これらのユニット又はモジュールは、図9Aの処理回路410によって実装されてもよい。
同様に、制御プレーン機能14(例えば、SMF)は、制御プレーン内の制御プレーン機器によって提供又は実装されてもよい。この点に関して、制御プレーン機器は、1つ以上の制御プレーン・ノードを含んでもよい。複数の分散制御プレーン・ノードは例えば、分散方式で制御プレーン機能14をホスト又は実装してもよい。これに代えて、単一の制御プレーン・ノードは、集中方式で制御プレーン機能14をホスト又は実装してもよい。
本書の制御プレーン機器は、任意の機能手段又はユニットを実装することによって、本書の制御プレーン機能14のプロセスを実行してもよい。1つの実施形態で例えば、制御プレーン機器は図7に示されるステップを実行するように構成された個別の回路を備える。この点に関する回路は特定の機能処理を実行するために専用の回路、及び/又はメモリに関連する1つ以上のマイクロプロセッサを備えてもよい。読み出し専用メモリ(ROM)、ランダム・アクセス・メモリ、キャッシュ・メモリ、フラッシュ・メモリ・デバイス、光記憶デバイスなどの1つ以上のタイプのメモリを備えてもよいメモリを使用する実施形態で、メモリは、1つ以上のマイクロプロセッサによって実行される場合に、本書で説明される技術を実行するプログラム・コードを記憶する。すなわち、いくつかの実施形態で、制御プレーン機器のメモリは、処理回路によって実行可能な命令を含み、それによって、制御プレーン機器は本書の処理を実行するように構成される。
図10Aは、1つ以上の実施形態による制御プレーン機器500の追加の詳細を示す。示されるように、制御プレーン装置500は、処理回路510及び通信回路520を含む。通信回路520は例えば、1つ以上の定義されたインタフェースを介して、ユーザ機器18と通信するように構成されてもよい。処理回路510は例えば、メモリ530に記憶された命令を実行することなどによって、例えば図7において上述された処理を実行するように構成される。この点に関して、処理回路510は、特定の機能手段又はユニットを実装してもよい。
この点に関して、図10Bは、1つ以上の他の実施形態による制御プレーン機器500の追加の詳細を示す。示されるように、制御プレーン機器500は、EAP応答28を受信するための受信ユニット又はモジュール540と、EAP要求30を送信するための送信ユニット又はモジュール5とを含んでもよい。これらのユニット又はモジュールは、図10Aの処理回路510によって実装されてもよい。
本書で、EAPサーバ26(バックエンド認証サーバ又は認証サーバとも呼ばれる)は、任意の機能手段又はユニットを実装することによって、本書のプロセスを実行してもよい。1つの実施形態で例えば、EAPサーバ26は図8に示されるステップを実行するように構成された個別の回路を備える。この点に関する回路は特定の機能処理を実行するために専用の回路、及び/又はメモリに関連する1つ以上のマイクロプロセッサを備えてもよい。読み出し専用メモリ(ROM)、ランダム・アクセス・メモリ、キャッシュ・メモリ、フラッシュ・メモリ・デバイス、光記憶デバイスなどの1つ以上のタイプのメモリを備えてもよいメモリを使用する実施形態で、メモリは、1つ以上のマイクロプロセッサによって実行される場合に、本書で説明される技術を実行するプログラム・コードを記憶する。すなわち、いくつかの実施形態で、EAPサーバ26のメモリは、処理回路によって実行可能な命令を含み、それによって、認証サーバ26は本書の処理を実行するように構成される。
図11Aは、1つ以上の実施形態によるEAPサーバ26の追加の詳細を示す。示されるように、EAPサーバ26は、処理回路610及び通信回路620を含む。通信回路620は例えば、1つ以上の定義されたインタフェースを介して、ユーザ機器18及び/又は制御プレーン機能14と通信するように構成されてもよい。処理回路610は例えば、メモリ630に記憶された命令を実行することなどによって、例えば図8において上述された処理を実行するように構成される。この点に関して、処理回路610は、特定の機能手段又はユニットを実装してもよい。
この点に関して、図11Bは、1つ以上の他の実施形態によるEAPサーバ26の追加の詳細を示す。示されるように、EAPサーバ26は、EAP応答30を受信するための受信ユニット又はモジュール640と、EAP要求28を送信するための送信ユニット又はモジュール650とを含んでもよい。これらのユニット又はモジュールは、図11Aの処理回路610によって実装されてもよい。
当業者はまた、本書の実施形態が、対応するコンピュータ・プログラムをさらに含むことを理解するだろう。
コンピュータ・プログラムは、(例えば、ユーザ機器18、制御プレーン機器500、又はEAPサーバ26の)少なくとも1つのプロセッサ上で実行されると、プロセッサに上述の個別の処理のいずれかを実行させる命令を含む。この点に関して、コンピュータ・プログラムは、上述の手段又はユニットに対応する1つ以上のコード・モジュールを含んでもよい。
実施形態は、このようなコンピュータ・プログラムを含むキャリアをさらに含む。このキャリアは、電子信号、光信号、無線信号、又はコンピュータ可読記憶媒体のうちの1つを含んでもよい。

Claims (38)

  1. ユーザ機器(18)の二次認証のための方法であって、
    前記ユーザ機器(18)の二次認証のためのEAPオーセンティケータとして機能するセッション管理機能、SMF、(14)からの拡張認証プロトコル、EAP、要求(28)を前記ユーザ機器(18)によって受信すること(100)であって、前記二次認証は、前記ユーザ機器(18)の一次認証に加える前記ユーザ機器(18)の認証である、ことと、
    前記EAP要求(28)に応答して、前記ユーザ機器(18)から前記SMF(14)へEAP応答(30)を送信すること(110)と、を有し、
    前記ユーザ機器(18)から前記SMF(14)へ送信されたセッション確立要求が前記ユーザ機器(18)の二次アイデンティティを含む場合に、前記SMF(14)は、前記EAP要求(28)を送信せずに前記二次認証を開始可能である、方法。
  2. ユーザ機器(18)の二次認証のための方法であって、
    セッション管理機能、SMF、(14)からユーザ機器(18)へ拡張認証プロトコル、EAP、要求(28)を送信すること(200)であって、前記SMF(14)は、前記ユーザ機器(18)の二次認証のためのEAPオーセンティケータとして機能し、前記二次認証は、前記ユーザ機器(18)の一次認証に加える前記ユーザ機器(18)の認証である、ことと、
    前記EAP要求(28)に応答して、前記ユーザ機器(18)からのEAP応答(30)を前記SMF(14)で受信すること(210)と、を有し、
    前記ユーザ機器(18)から前記SMF(14)へ送信されたセッション確立要求が前記ユーザ機器(18)の二次アイデンティティを含む場合に、前記SMF(14)は、前記EAP要求(28)を送信せずに前記二次認証を開始可能である、方法。
  3. 請求項1又は2に記載の方法であって、前記SMF(14)はまた、前記ユーザ機器(18)の前記二次認証のためのEAP認証方法を実行するEAPサーバとして機能する、方法。
  4. 請求項1又は2に記載の方法であって、前記SMF(14)は、前記ユーザ機器(18)と、前記EAPオーセンティケータのためのEAP認証方法を実行するEAPサーバ(26)との間で、前記EAP要求(28)及び前記EAP応答(30)を転送するように構成される、方法。
  5. ユーザ機器(18)の二次認証のための方法であって、
    セッション管理機能、SMF、(14)を介してEAPサーバ(26)から前記ユーザ機器(18)へ拡張認証プロトコル、EAP、要求(28)を送信すること(300)であって、前記SMF(14)は、前記ユーザ機器(18)の二次認証のためのEAPオーセンティケータとして機能し、前記二次認証は、前記ユーザ機器(18)の一次認証に加える前記ユーザ機器(18)の認証であり、前記EAPサーバ(26)は、前記EAPオーセンティケータのためのEAP認証方法を実行するように構成される、ことと、
    前記EAP要求(28)に応答して、前記ユーザ機器(18)からのEAP応答(30)を前記SMF(14)を介して前記EAPサーバ(26)で受信すること(310)と、を有し、
    前記ユーザ機器(18)から前記SMF(14)へ送信されたセッション確立要求が前記ユーザ機器(18)の二次アイデンティティを含む場合に、前記SMF(14)は、前記EAP要求(28)を送信せずに前記二次認証を開始可能である、方法。
  6. 請求項4又は5に記載の方法であって、前記ユーザ機器(18)及び前記SMF(14)は、ワイヤレス通信ネットワークで使用するように構成され、前記EAPサーバは、前記ユーザ機器(18)がユーザ・プレーン・セッションを要求する際に用いるデータ・ネットワーク内にあり、前記ユーザ機器(18)の前記二次認証は、前記ユーザ・プレーン・セッションを確立するための前記ユーザ機器(18)の認証であり、前記二次認証は、前記ワイヤレス通信ネットワークによって前記データ・ネットワークに委譲される、方法。
  7. 請求項4乃至6の何れか1項に記載の方法であって、前記EAP要求(28)及び前記EAP応答(30)は、前記SMF(14)によって選択されたユーザ・プレーン機能を介して前記SMF(14)と前記EAPサーバとの間で送信される、方法。
  8. 請求項7に記載の方法であって、前記ユーザ・プレーン機能は、前記EAPサーバのためのプロキシとして機能する、方法。
  9. 請求項7に記載の方法であって、前記ユーザ・プレーン機能は、前記EAP要求(28)及び前記EAP応答(30)が前記ユーザ・プレーン機能へ透過的に送信される際に介するルータとして機能する、方法。
  10. 請求項1乃至9の何れか1項に記載の方法であって、前記EAP要求(28)及び前記EAP応答(30)は、前記SMF(14)と前記UEとの間の個別の非アクセス・ストラタム(NAS)プロトコル・メッセージ内にカプセル化される、方法。
  11. 請求項1乃至10の何れか1項に記載の方法であって、前記送信すること及び受信することは、コア・ネットワーク内のセキュリティ・アンカー機能による前記ユーザ機器(18)の前記一次認証の後に実行される、方法。
  12. 請求項1乃至11の何れか1項に記載の方法であって、コア・ネットワークは、それぞれ異なるサービスに専用の複数の異なるネットワーク・スライスを含み、前記ユーザ機器(18)の前記二次認証は、前記コア・ネットワークの特定のネットワーク・スライスにアクセスするための前記ユーザ機器(18)のスライス固有認証を含む、方法。
  13. 請求項1乃至12の何れか1項に記載の方法であって、前記ユーザ機器(18)の二次認証の成功に基づいて、前記ユーザ機器(18)と前記SMF(14)との間で共有されるセキュリティ鍵を取得することをさらに有する、方法。
  14. 請求項1乃至13の何れか1項に記載の方法であって、前記ユーザ機器(18)から送信されたセッション確立要求は、前記ユーザ機器(18)の前記二次認証を引き起こす、方法。
  15. 請求項14に記載の方法であって、前記セッション確立要求は、前記二次認証に使用される前記ユーザ機器(18)の二次アイデンティティを含む、方法。
  16. 請求項14又は15に記載の方法であって、前記ユーザ機器(18)へ送信されるセッション確立応答は、前記二次認証の成功を示すEAP成功メッセージ、又は前記二次認証の失敗を示すEAP失敗メッセージのいずれかを含む、方法。
  17. 請求項1乃至16の何れか1項に記載の方法であって、前記ユーザ機器(18)の前記二次認証を、前記二次認証が実行される際に介するチャネルにバインドすることをさらに有する、方法。
  18. 請求項1乃至17の何れか1項に記載の方法であって、前記ユーザ機器(18)の二次認証の成功に基づいて、前記ユーザ機器(18)と前記SMF(14)との間で共有されるセキュリティ鍵を導出することをさらに有し、前記導出することは、前記二次認証が実行される際に介するチャネルに関連するバインディング情報の関数としてセキュリティ鍵を導出することを含む、方法。
  19. 請求項18に記載の方法であって、前記バインディング情報は、
    前記ユーザ機器(18)がワイヤレス通信ネットワークにアクセスする際に介するアクセス・ネットワークのタイプを識別する情報と、
    前記ワイヤレス通信ネットワークのコア・ネットワークのタイプを識別する情報と、
    前記ユーザ機器(18)がアクセスを要求しているコア・ネットワーク・スライスを識別する情報と、
    前記ユーザ機器(18)がアクセスを要求しているコア・ネットワーク・スライスのタイプを識別する情報と、のうちの1つ以上を含む、方法。
  20. 請求項1乃至19の何れか1項に記載の方法であって、前記SMF(14)は、5Gネットワークに含まれる、方法。
  21. ユーザ機器(18)であって、
    前記ユーザ機器(18)の二次認証のためのEAPオーセンティケータとして機能するセッション管理機能、SMF、(14)からの拡張認証プロトコル、EAP、要求(28)を受信することであって、前記二次認証は、前記ユーザ機器(18)の一次認証に加える前記ユーザ機器(18)の認証である、ことと、
    前記EAP要求(28)に応答して、前記SMF(14)へEAP応答(30)を送信することと、を行うように構成され
    前記ユーザ機器(18)から前記SMF(14)へ送信されたセッション確立要求が前記ユーザ機器(18)の二次アイデンティティを含む場合に、前記SMF(14)は、前記EAP要求(28)を送信せずに前記二次認証を開始可能である、ユーザ機器。
  22. 請求項21に記載のユーザ機器であって、請求項3、4及び6乃至20の何れか1項に記載の方法を実行するように構成される、ユーザ機器。
  23. セッション管理機能、SMF、(14)を提供するように構成されたネットワーク機器であって、前記SMF(14)は、
    前記SMF(14)からユーザ機器(18)へ拡張認証プロトコル、EAP、要求(28)を送信することであって、前記SMF(14)は、前記ユーザ機器(18)の二次認証のためのEAPオーセンティケータとして機能し、前記二次認証は、前記ユーザ機器(18)の一次認証に加える前記ユーザ機器(18)の認証である、ことと、
    前記EAP要求(28)に応答して、前記ユーザ機器(18)からのEAP応答(30)を前記SMF(14)で受信することと、を行うように構成され
    前記ユーザ機器(18)から前記SMF(14)へ送信されたセッション確立要求が前記ユーザ機器(18)の二次アイデンティティを含む場合に、前記SMF(14)は、前記EAP要求(28)を送信せずに前記二次認証を開始可能である、ネットワーク機器。
  24. 請求項23に記載のネットワーク機器であって、前記ネットワーク機器は、複数のネットワーク・ノードにわたって分散される、ネットワーク機器。
  25. 請求項23に記載のネットワーク機器であって、前記ネットワーク機器は、単一のネットワーク・ノードに集中化される、ネットワーク機器。
  26. 請求項23乃至25の何れか1項に記載のネットワーク機器であって、前記SMF(14)は、請求項2乃至4及び6乃至20の何れか1項に記載の方法を実行するように構成される、ネットワーク機器。
  27. 拡張認証プロトコル、EAP、サーバであって、
    前記EAPサーバからユーザ機器(18)へ、前記ユーザ機器(18)の二次認証のためのEAPオーセンティケータとして機能するセッション管理機能、SMF、(14)を介してEAP要求(28)を送信することであって、前記二次認証は、前記ユーザ機器(18)の一次認証に加える前記ユーザ機器(18)の認証であり、前記EAPサーバは、前記EAPオーセンティケータのためのEAP認証方法を実行するように構成される、ことと、
    前記EAP要求(28)に応答して、前記ユーザ機器(18)からのEAP応答(30)を前記SMF(14)を介して前記EAPサーバ(26)で受信することと、を行うように構成され
    前記ユーザ機器(18)から前記SMF(14)へ送信されたセッション確立要求が前記ユーザ機器(18)の二次アイデンティティを含む場合に、前記SMF(14)は、前記EAP要求(28)を送信せずに前記二次認証を開始可能である、EAPサーバ。
  28. 請求項27に記載のEAPサーバであって、請求項6乃至20の何れか1項に記載の方法を実行するように構成される、EAPサーバ。
  29. 少なくとも1つのプロセッサによって実行された場合に、前記プロセッサに請求項1乃至20の何れか1項に記載の方法を実行させる命令を含むコンピュータ・プログラム。
  30. 請求項29に記載のコンピュータ・プログラムを含むコンピュータ可読記憶媒体
  31. ユーザ機器(18)であって、
    処理回路(410)及びメモリ(430)を備え、前記メモリ(430)は、前記処理回路(410)によって実行可能な命令を含み、それによって、前記ユーザ機器(18)は、
    前記ユーザ機器(18)の二次認証のためのEAPオーセンティケータとして機能するセッション管理機能(SMF)からの拡張認証プロトコル、EAP、要求(28)を前記ユーザ機器によって受信することであって、前記二次認証は、前記ユーザ機器(18)の一次認証に加える前記ユーザ機器(18)の認証である、ことと、
    前記EAP要求(28)に応答して、前記ユーザ機器(18)から前記SMF(14)へEAP応答(30)を送信することと、を行うように構成され
    前記ユーザ機器(18)から前記SMF(14)へ送信されたセッション確立要求が前記ユーザ機器(18)の二次アイデンティティを含む場合に、前記SMF(14)は、前記EAP要求(28)を送信せずに前記二次認証を開始可能である、ユーザ機器。
  32. 請求項31に記載のユーザ機器であって、請求項3、4及び6乃至20の何れか1項に記載の方法を実行するように構成される、ユーザ機器。
  33. セッション管理機能、SMF、(14)を提供するように構成されたネットワーク機器(500)であって、前記ネットワーク機器(500)は処理回路(510)とメモリ(530)とを備え、前記メモリ(530)は前記処理回路(510)によって実行可能な命令を含み、それによって、前記SMF(14)は、
    前記SMF(14)からユーザ機器(18)へ拡張認証プロトコル、EAP、要求(28)を送信することであって、前記SMF(14)は、前記ユーザ機器(18)の二次認証のためのEAPオーセンティケータとして機能し、前記二次認証は、前記ユーザ機器(18)の一次認証に加える前記ユーザ機器(18)の認証である、ことと、
    前記EAP要求(28)に応答して、前記ユーザ機器(18)からのEAP応答(30)を前記SMF(14)で受信することと、を行うように構成され
    前記ユーザ機器(18)から前記SMF(14)へ送信されたセッション確立要求が前記ユーザ機器(18)の二次アイデンティティを含む場合に、前記SMF(14)は、前記EAP要求(28)を送信せずに前記二次認証を開始可能である、ネットワーク機器。
  34. 請求項33に記載のネットワーク機器であって、前記ネットワーク機器は、複数のネットワーク・ノードにわたって分散される、ネットワーク機器。
  35. 請求項33に記載のネットワーク機器であって、前記ネットワーク機器は、単一のネットワーク・ノードに集中化される、ネットワーク機器。
  36. 請求項33乃至35の何れか1項に記載のネットワーク機器であって、前記SMF(14)は、請求項2乃至4及び6乃至20の何れか1項に記載の方法を実行するように構成される、ネットワーク機器。
  37. 拡張認証プロトコル、EAP、サーバ(26)であって、
    処理回路(610)及びメモリ(630)を備え、前記メモリ(630)は、前記処理回路(610)によって実行可能な命令を含み、それによって、前記EAPサーバ(26)は、
    前記EAPサーバからユーザ機器(18)へ、前記ユーザ機器(18)の二次認証のためのEAPオーセンティケータとして機能するセッション管理機能、SMF、(14)を介してEAP要求(28)を送信することであって、前記二次認証は、前記ユーザ機器(18)の一次認証に加える前記ユーザ機器(18)の認証であり、前記EAPサーバは、前記EAPオーセンティケータのためのEAP認証方法を実行するように構成される、ことと、
    前記EAP要求(28)に応答して、前記ユーザ機器(18)からのEAP応答(30)を前記SMF(14)を介して前記EAPサーバ(26)で受信することと、を行うように構成され
    前記ユーザ機器(18)から前記SMF(14)へ送信されたセッション確立要求が前記ユーザ機器(18)の二次アイデンティティを含む場合に、前記SMF(14)は、前記EAP要求(28)を送信せずに前記二次認証を開始可能である、EAPサーバ。
  38. 請求項37に記載のEAPサーバであって、請求項6乃至20の何れか1項に記載の方法を実行するように構成される、EAPサーバ。
JP2019536862A 2017-01-27 2017-12-22 ユーザ機器の二次認証 Active JP6889263B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762451645P 2017-01-27 2017-01-27
US62/451,645 2017-01-27
PCT/EP2017/084383 WO2018137873A1 (en) 2017-01-27 2017-12-22 Secondary authentication of a user equipment

Publications (2)

Publication Number Publication Date
JP2020506578A JP2020506578A (ja) 2020-02-27
JP6889263B2 true JP6889263B2 (ja) 2021-06-18

Family

ID=60937747

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019536862A Active JP6889263B2 (ja) 2017-01-27 2017-12-22 ユーザ機器の二次認証

Country Status (8)

Country Link
US (3) US20180317086A1 (ja)
EP (1) EP3501155B1 (ja)
JP (1) JP6889263B2 (ja)
CN (1) CN110235423B (ja)
BR (1) BR112019014670A2 (ja)
ES (1) ES2947942T3 (ja)
RU (1) RU2755258C2 (ja)
WO (1) WO2018137873A1 (ja)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10517021B2 (en) 2016-06-30 2019-12-24 Evolve Cellular Inc. Long term evolution-primary WiFi (LTE-PW)
US10624020B2 (en) * 2017-02-06 2020-04-14 Qualcomm Incorporated Non-access stratum transport for non-mobility management messages
WO2018171863A1 (en) * 2017-03-21 2018-09-27 Nokia Technologies Oy Enhanced registration procedure in a mobile system supporting network slicing
WO2018174383A1 (ko) * 2017-03-21 2018-09-27 엘지전자 주식회사 세션 관리 방법 및 smf 노드
CN110476397B (zh) * 2017-04-01 2021-01-05 华为技术有限公司 用户鉴权方法和装置
EP3622745B1 (en) * 2017-05-12 2023-06-21 Nokia Technologies Oy Protocol data unit session splitting function and signalling
CN110199513B (zh) * 2017-07-20 2022-07-19 华为国际有限公司 一种会话处理方法及设备
BR112020000932A2 (pt) * 2017-07-20 2020-07-21 Huawei International Pte. Ltd. método de gerenciamento de segurança de rede, e aparelho
CN109922474B (zh) * 2017-08-07 2020-03-20 华为技术有限公司 触发网络鉴权的方法及相关设备
KR102404916B1 (ko) 2017-08-11 2022-06-07 삼성전자 주식회사 수동 로밍 및 데이터 이용권
US10764935B2 (en) 2018-02-12 2020-09-01 Cisco Technology, Inc. Methods and apparatus for selecting network slice, session management and user plane functions
US10728218B2 (en) * 2018-02-26 2020-07-28 Mcafee, Llc Gateway with access checkpoint
EP3609149A1 (en) 2018-08-08 2020-02-12 Nokia Technologies Oy Method and apparatus for security management in 5g networks
US10986010B2 (en) * 2018-08-09 2021-04-20 At&T Intellectual Property I, L.P. Mobility network slice selection
EP3854025A4 (en) * 2018-09-17 2022-04-06 Nokia Solutions and Networks Oy IDENTITY CREDENTIALS MANAGEMENT
US10750553B2 (en) 2018-09-25 2020-08-18 Cisco Technology, Inc. Systems and methods for selection of collocated nodes in 5G network
WO2020067112A1 (ja) * 2018-09-28 2020-04-02 日本電気株式会社 コアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法
CN109040322B (zh) * 2018-10-08 2021-05-11 腾讯科技(深圳)有限公司 车辆通信方法、装置、计算机可读介质及电子设备
CN114615703A (zh) 2018-10-09 2022-06-10 华为技术有限公司 一种网络切片接入控制的方法及装置
US20210400475A1 (en) * 2018-11-12 2021-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of a Communications Device
US10834079B2 (en) * 2018-11-28 2020-11-10 International Business Machines Corporation Negotiative conversation chat bot
GB2579574B (en) * 2018-12-03 2021-08-11 Advanced Risc Mach Ltd Bootstrapping with common credential data
KR20210114981A (ko) * 2019-01-11 2021-09-24 아이디에이씨 홀딩스, 인크. 슬라이스 특정 인증을 위한 방법들 및 장치들
WO2020151798A1 (en) * 2019-01-21 2020-07-30 Telefonaktiebolaget Lm Ericsson (Publ) Network slice authentication
KR102587360B1 (ko) * 2019-02-14 2023-10-11 삼성전자 주식회사 Dn authorized pdu세션 재인증 지원 및 dn authorization data 변경에 따른 pdu세션 관리 방법 및 장치
CN111654862B (zh) * 2019-03-04 2021-12-03 华为技术有限公司 终端设备的注册方法及装置
CN111818516B (zh) * 2019-04-12 2022-10-18 华为技术有限公司 认证方法、装置及设备
US20220263826A1 (en) * 2019-06-24 2022-08-18 Nokia Technologies Oy Dynamic allocation of network slice-specific credentials
CA3148101A1 (en) * 2019-08-15 2021-02-18 Zhongding Lei Communication method and related device
EP4018691A1 (en) * 2019-08-23 2022-06-29 IDAC Holdings, Inc. Authentication and authorization to access a network by an unmanned aerial vehicle
CN112449379B (zh) * 2019-08-27 2024-02-09 中兴通讯股份有限公司 一种用户面迁移方法、设备、存储介质
EP3826340A1 (en) * 2019-11-21 2021-05-26 Thales Dis France Sa Method for authenticating a user on a network slice
CN110996322B (zh) * 2019-11-28 2021-07-30 楚天龙股份有限公司 一种实现终端二次认证的方法
US11777935B2 (en) 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
WO2021145870A1 (en) * 2020-01-15 2021-07-22 Hewlett-Packard Development Company, L.P. Authentication system
WO2021151888A1 (en) * 2020-01-31 2021-08-05 Sony Group Corporation User equipment, non-public network authentication-authorization-accounting server, authentication server function entity
US11638312B2 (en) * 2020-02-13 2023-04-25 Qualcomm Incorporated Slice allocation
US11765581B2 (en) 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information
US11778463B2 (en) 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network
US11706619B2 (en) 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
CN113573298B (zh) * 2020-04-10 2022-05-24 华为技术有限公司 一种通信方法及装置
CN113784346A (zh) * 2020-05-22 2021-12-10 华为技术有限公司 认证授权的方法和装置
EP3929848A1 (en) 2020-06-22 2021-12-29 Laterpay AG Laterpay 5g secondary authentication
US11310659B2 (en) 2020-07-10 2022-04-19 Cisco Technology, Inc. Techniques for provisioning an enterprise electronic subscriber identity module (ESIM) profile for an enterprise user
CN112039838B (zh) * 2020-07-15 2022-03-15 中国电子科技集团公司第三十研究所 一种适用于移动通信不同应用场景的二次认证方法和系统
US11490253B1 (en) * 2020-08-14 2022-11-01 Sprint Communications Company Lp System and methods for over-the-air SIM profile transfer
US11785456B2 (en) * 2020-08-18 2023-10-10 Cisco Technology, Inc. Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP)
CN112153641B (zh) * 2020-09-09 2022-09-13 上海微波技术研究所(中国电子科技集团公司第五十研究所) 基于边缘upf的二次认证增强与端到端加密方法及系统
US11523332B2 (en) 2020-12-29 2022-12-06 Cisco Technology, Inc. Cellular network onboarding through wireless local area network
WO2022155796A1 (zh) * 2021-01-19 2022-07-28 华为技术有限公司 通信方法以及相关装置
WO2022179525A1 (en) * 2021-02-23 2022-09-01 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for authentication
WO2022262948A1 (en) * 2021-06-15 2022-12-22 Telefonaktiebolaget Lm Ericsson (Publ) Methods and means for providing access to external networks
US11564081B1 (en) 2021-07-06 2023-01-24 Cisco Technology, Inc. Auto-update and activation of locale-specific eSIM profile for a global enterprise user
CN113507705A (zh) * 2021-07-13 2021-10-15 中国人民解放军战略支援部队信息工程大学 一种基于eap-tls协议的5g二次认证方法及系统
CN114095928A (zh) * 2021-11-08 2022-02-25 光宝科技股份有限公司 认证系统和方法
CN114221822B (zh) * 2022-01-12 2023-10-27 杭州涂鸦信息技术有限公司 配网方法、网关设备以及计算机可读存储介质

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
BR0215892C1 (pt) * 2002-10-01 2005-11-08 Nokia Corp Método e sistema para prover acesso, aparelho de servidor de autenticação para prover um mecanismo de autenticação, aparelho terminal para prover acesso a um serviço de rede
AU2003276588A1 (en) * 2002-11-18 2004-06-15 Nokia Corporation Faster authentication with parallel message processing
US8555344B1 (en) 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
US7313690B2 (en) 2003-06-27 2007-12-25 Microsoft Corporation Three way validation and authentication of boot files transmitted from server to client
US7593717B2 (en) * 2003-09-12 2009-09-22 Alcatel-Lucent Usa Inc. Authenticating access to a wireless local area network based on security value(s) associated with a cellular system
US20050271209A1 (en) * 2004-06-07 2005-12-08 Meghana Sahasrabudhe AKA sequence number for replay protection in EAP-AKA authentication
JP4603071B2 (ja) 2005-03-24 2010-12-22 エルジー エレクトロニクス インコーポレイティド 広帯域無線アクセスシステムにおけるネットワーク接続方法
CA2571255C (en) * 2005-12-23 2016-05-10 Bce Inc. Wireless device authentication between different networks
US8615591B2 (en) 2006-01-11 2013-12-24 Cisco Technology, Inc. Termination of a communication session between a client and a server
CN101009910A (zh) * 2006-01-25 2007-08-01 华为技术有限公司 在无线网络中实现扩展认证协议认证的方法及装置
DE102006038591B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
CN101163000B (zh) * 2006-10-13 2011-03-02 中兴通讯股份有限公司 一种二次认证方法及系统
US20080108322A1 (en) * 2006-11-03 2008-05-08 Motorola, Inc. Device and / or user authentication for network access
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
EP1956791A1 (en) * 2007-02-09 2008-08-13 Research In Motion Limited Method and system for authenticating peer devices using EAP
US8341702B2 (en) * 2007-11-01 2012-12-25 Bridgewater Systems Corp. Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol
EP2258126B9 (en) * 2008-04-02 2013-06-19 Nokia Siemens Networks OY Security for a non-3gpp access to an evolved packet system
US8826376B2 (en) * 2009-03-10 2014-09-02 Alcatel Lucent Communication of session-specific information to user equipment from an access network
US8601569B2 (en) * 2010-04-09 2013-12-03 International Business Machines Corporation Secure access to a private network through a public wireless network
CN103503407B (zh) 2011-04-28 2016-10-12 交互数字专利控股公司 用于多sso技术的sso框架
CN103067342B (zh) * 2011-10-20 2018-01-19 中兴通讯股份有限公司 一种使用eap进行外部认证的设备、系统及方法
EP2675203B1 (en) * 2012-06-11 2019-11-27 BlackBerry Limited Enabling multiple authentication applications
US9355231B2 (en) * 2012-12-05 2016-05-31 Telesign Corporation Frictionless multi-factor authentication system and method
US20160065362A1 (en) * 2013-04-05 2016-03-03 Interdigital Patent Holdings, Inc. Securing peer-to-peer and group communications
US9363736B2 (en) * 2013-12-16 2016-06-07 Qualcomm Incorporated Methods and apparatus for provisioning of credentials in network deployments
CN106105134B (zh) * 2014-03-17 2019-11-05 瑞典爱立信有限公司 用于改进端到端数据保护的方法和装置
US9332480B2 (en) * 2014-03-28 2016-05-03 Qualcomm Incorporated Decoupling service and network provider identification in wireless communications
US10219965B2 (en) * 2014-05-26 2019-03-05 Bass Morris Pty Ltd Spine treatment apparatus
CN104936232A (zh) * 2015-07-08 2015-09-23 重庆邮电大学 5g网络中基于用户标签的分流方法和系统
US20170171752A1 (en) * 2015-12-14 2017-06-15 Qualcomm Incorporated Securing signaling interface between radio access network and a service management entity to support service slicing
US10172000B2 (en) * 2016-03-17 2019-01-01 M2MD Technologies, Inc. Method and system for managing security keys for user and M2M devices in a wireless communication network environment
US10104544B2 (en) 2016-04-05 2018-10-16 Qualcomm Incorporated LTE-level security for neutral host LTE
EP3840464A1 (en) * 2016-05-12 2021-06-23 Convida Wireless, LLC Connecting to virtualized mobile core networks
WO2017200978A1 (en) * 2016-05-16 2017-11-23 Idac Holdings, Inc. Security-based slice selection and assignment
EP3449648B1 (en) * 2016-07-05 2024-05-01 Samsung Electronics Co., Ltd. Method and apparatus for accessing cellular network for sim profile
CN109417709B (zh) * 2016-07-05 2022-06-10 三星电子株式会社 用于在移动无线网络系统中认证接入的方法和系统
WO2018053271A1 (en) * 2016-09-16 2018-03-22 Idac Holdings, Inc. Unified authentication framework
US10924930B2 (en) * 2016-10-05 2021-02-16 Motorola Mobility Llc Core network attachment through standalone non-3GPP access networks
DK3459278T3 (da) 2016-10-31 2020-06-15 Ericsson Telefon Ab L M Autentifikation til næstegenerationssystemer

Also Published As

Publication number Publication date
US20190230510A1 (en) 2019-07-25
WO2018137873A1 (en) 2018-08-02
US11575509B2 (en) 2023-02-07
RU2019126798A3 (ja) 2021-03-02
CN110235423A (zh) 2019-09-13
JP2020506578A (ja) 2020-02-27
BR112019014670A2 (pt) 2020-05-26
RU2755258C2 (ru) 2021-09-14
US20230145044A1 (en) 2023-05-11
ES2947942T3 (es) 2023-08-24
EP3501155A1 (en) 2019-06-26
EP3501155B1 (en) 2023-06-07
CN110235423B (zh) 2022-10-21
RU2019126798A (ru) 2021-03-02
US20180317086A1 (en) 2018-11-01
US11895229B2 (en) 2024-02-06

Similar Documents

Publication Publication Date Title
JP6889263B2 (ja) ユーザ機器の二次認証
KR101961301B1 (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
CN111052781B (zh) 用于协商安全性算法和完整性算法的方法和设备
US11729619B2 (en) Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts
CN108029017B (zh) 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法
JP6775683B2 (ja) 次世代システムの認証
US11882445B2 (en) Authentication system
CN113676904B (zh) 切片认证方法及装置
CN117204002A (zh) Ue与边缘服务器之间的认证中的多接入边缘计算(mec)-密钥id导出
US20240129794A1 (en) Network Congestion Control
US20220116774A1 (en) Methods and systems for authentication and establishment of secure connection for edge computing services
US9572158B2 (en) Residential local break out in a communication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190903

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200821

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200831

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20201130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210301

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20210303

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210520

R150 Certificate of patent or registration of utility model

Ref document number: 6889263

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150