以下で、本発明の実施形態における添付図面を参照して、本発明の実施形態における技術的解決策を詳細に記載する。
図1は、3GPP標準組織によって策定された5Gシステムアーキテクチャの概略図である。UEおよびDN以外のネットワーク要素が3GPPネットワークを形成する。3GPPネットワークは、3GPP規格に準拠し、事業者によって運営されるネットワークである。3GPPネットワークは、3GPP内で定義された5Gネットワークに限定されず、さらに、2G、3G、および4Gのネットワーク、3GPP内で将来定義される可能性がある6Gネットワークさえも含んでよい。以下で、図1に示されたアーキテクチャ内の本出願の実施形態におけるネットワーク要素を詳細に記載する。
アクセスおよびモビリティ管理機能ネットワーク要素(access and mobility management function、AMF)は、事業者によって提供される制御プレーンネットワーク要素であり、UEが事業者ネットワークにアクセスするときにアクセス制御を実行するか、またはUEに対するモビリティ管理を実行することができる。
セッション管理機能ネットワーク要素(session management function、SMF)も、事業者によって提供される制御プレーンネットワーク要素であり、UEのPDU sessionを確立し管理することに関与する。
データネットワーク(data network、DN)は、PDN(packet data network)とも呼ばれ、3GPPネットワークの外部に位置するネットワークである。5Gシステムアーキテクチャには複数のDNが存在してもよい。事業者またはサードパーティによって提供されるサービスはDN上で展開されてよい。たとえば、DNは会社の内部オフィスネットワークであり、会社のスタッフメンバの端末(すなわち、UE)は、会社の内部リソースを見るために、3GPPネットワークにアクセスすることによってDNにアクセスすることができる。UEは、事業者ネットワークにアクセスすることによってDNにアクセスし、DN上で事業者またはサードパーティによって提供されるサービスを使用する。
統合データ管理ネットワーク要素(unified data management、UDM)は、事業者によって提供される制御プレーンネットワーク要素であり、3GPPネットワーク加入者のデータ、たとえば、加入者パーマネントID(Subscriber Permanent Identifier、SUPI)、資格情報、またはサブスクリプションデータを記憶することに関与する。
認証サーバ機能ネットワーク要素(authentication server function、AUSF)は、事業者によって提供される制御プレーンネットワーク要素である。3GPPネットワークは、AUSFを使用して3GPPネットワーク加入者に対する認証を実行し、認証は、UEに対する1次認証と呼ばれる場合がある。具体的には、UEが事業者の3GPPネットワークにアクセスするとき、AUSFはUDMに記憶されたユーザデータを使用してUEに対する1次認証を実行することができる。
ネットワーク公開機能ネットワーク要素(network exposure function、NEF)は、事業者によって提供される制御プレーンネットワーク要素である。NEFは、3GPPネットワークの外部インターフェースをサードパーティに安全に公開する。たとえば、SMFなどのネットワーク要素がサードパーティのネットワーク要素と通信する必要があるとき、NEFは通信リレーとして使用されてよく、通信中、NEFは内部識別子と外部識別子を変換することができる。たとえば、3GPPネットワーク内のUEの内部IDが3GPPネットワークからサードパーティに送信されるとき、NEFは、UEの内部IDを対応するUEの外部IDに変換することができる。反対に、NEFは、3GPPネットワークに外部IDを送信するとき、外部IDをUEの内部IDに変換することができる。
ユーザプレーン機能ネットワーク要素(user plane function、UPF)は、事業者によって提供されるユーザプレーンネットワーク要素であり、3GPPネットワークとDNとの間の通信用のゲートウェイである。
ポリシー制御機能ネットワーク要素(policy control function、PCF)は、事業者によって提供される制御プレーンネットワーク要素であり、SMFにPDU sessionポリシーを提供するように構成される。ポリシーには、課金関連ポリシー、サービス品質(quality of service、QoS)関連ポリシー、認可関連ポリシーなどが含まれてよい。
加えて、本出願で提供される方法を理解しやすくするために、本出願で使用される用語が記載される。
1.データパケット(packet data unit、PDU)は、UEとDNとの間のデータ送信用のユニットである。PDUは、IPタイプのPDU、イーサネットタイプのPDU、非構造化タイプのPDUなどに分類されてよい。さらに、IPタイプのPDUは、IPv4タイプのPDUおよびIPv6タイプのPDUに分類されてよい。
IPタイプのPDUは、略してIPPDUと呼ばれる場合があり、EthernetタイプのPDUは、略してイーサネットPDUと呼ばれる場合があるか、またはイーサネットフレームと呼ばれる場合がある。3GPPネットワークは非構造化タイプのPDUを認識せず、UEおよびDNは、任意のカスタマイズされたフォーマットの非構造化PDUを使用して互いに通信できることに留意されたい。
2.PDU session(セッション)は、UEとDNとの間でPDUを送信するためのチャネルであり、UEおよびDNは、PDU sessionを使用して互いにPDUを送信することによって通信し、PDU sessionの経路はUE−(R)AN−UPF−DNである。言い換えれば、3GPPネットワークは、PDU sessionを使用してUEおよびDNに通信サービスを提供することができる。
SMFは、PDU sessionを確立し管理することに関与する。加えて、送信されたPDUのタイプに関して、PDU sessionはまた、IPタイプ、イーサネットタイプ、および非構造化タイプに分類することができる。同様に、IPタイプのPDU sessionは、IPv4タイプのPDU sessionおよびIPv6タイプのPDU sessionに分類されてよい。
上述されたように、UEが3GPPネットワークを使用してDNにアクセスするとき、3GPPネットワークは、最初にUEに対する1次認証を実行する必要がある。1次認証はUEによって提供されるSUPIに対して実行されて、UEのSUPIが正当または実際であるかどうかが検証される。UEは、UEに対して実行された1次認証が成功した後にのみ3GPPネットワークにアクセスすることができ、さらに、UEは、DNにアクセスするためにPDU sessionを確立するように要求する。UEがDNにアクセスするとき、DNはUEに対してさらなる(2次認証と呼ばれる場合がある)認証および/または認可を実行する必要があり得る。UEは、認証および/または認可が成功した後にのみPDU sessionを確立することを許可される。2次認証によって検証されたUEの(2次IDと呼ばれる場合がある)IDは、通常、1次認証によって検証されたSUPIおよびデバイスIDとは異なる。
さらに、SUPIのフォーマットはIMSIであってよく、デバイスIDはIMEIであってよい。3GPPネットワークは、UEのIMEIを使用してUEに対する1次認証を実行することができ、DNは、UEのIMEIを使用してUEに対する2次認証を実行することができる。加えて、2次IDは端末の別の識別子であってよい。たとえば、DNは会社の内部オフィスネットワークであり、会社のスタッフメンバの端末(すなわち、UE)は3GPPネットワークにアクセスすることによってDNにアクセスすることができ、2次IDは会社内部のスタッフメンバの従業員IDであってよい。
UEに対してDNによって実行される2次認証および/または認可が成功する必要があるとき、3GPPネットワークはUE向けのPDU sessionを確立する。いくつかのシナリオでは、UEのPDU sessionはさらに、UEの最新のサブスクリプションステータスまたはトラフィックステータスに基づいて処理される必要がある。たとえば、UEのサブスクリプションが修正もしくはキャンセルされるか、UEの信頼レベルまたは信頼性が変化するか、またはUEのPDU sessionのトラフィックが異常であるとき、PDU sessionは処理される必要があり、そのような処理は、PDU sessionの削除もしくはPDU sessionの修正を含む(または、セッションの許可は拡張もしくは縮小されてよい)。従来技術では、前述のシナリオにおいて、PCFは、通常、PDU sessionを処理するようにSMFをトリガする。従来技術では、DNは、PDU sessionの処理、たとえば、PDU sessionの削除およびPDU sessionの修正をトリガできないことが分かる。
従来技術はすでに、UEに対する認証および認可を実行する際にDNをサポートしているが、PDU sessionの処理(たとえば、削除および修正)をトリガする際にDNをサポートしていないことが分かる。たとえば、DNは、DNにアクセスした特定のUE(具体的には、3GPPネットワークがUE向けのPDU sessionを確立した)が悪意のあるUEまたは認可されていないUEであることを検出しても、DNは依然DNに対するUEのアクセスを終了することができない。別の例として、DNに対するUEのサブスクリプションがキャンセルもしくは修正されるか、またはUEの信頼レベルが変化した後、DNは、それに応じてPDU sessionに対するUEの許可の取消しおよび修正をトリガすることができず、効果的なアクセス制御を実現することができない。結論として、PDU sessionの処理をトリガするDNの機能がないと、セキュリティリスクおよびネットワークリソースの誤用につながり、効果的なアクセス制御を実現することができない。
本出願の原理は以下の通りである:DNがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行するとき、SMFは、データネットワークのネットワーク要素(認証および認可のためのDN内のネットワーク要素、たとえば、AAA)に、UEによって使用されるべきセッションアドレスおよびUEの識別子を提供し、その後、セッションアドレスに基づいてUE向けのPDU sessionを確立する。データネットワークのネットワーク要素は、受信されたセッションアドレスまたはUEの識別子に基づいてPDU sessionに関連付けられ、PDU sessionを監視することができる。PDU sessionが処理される必要がある(たとえば、PDU sessionのトラフィックが変化した)ことを検出すると、データネットワークのネットワーク要素は、PDU sessionの処理をトリガし、PDU sessionの解放要求または修正要求をSMFまたはPCFに送信する。
具体的な実装形態では、図2は、本発明の一実施形態による、セッション機能管理ネットワーク要素SMFの概略構成図である。セッション機能管理ネットワーク要素は、図1に示されたシステムアーキテクチャにおけるSMFであってよい。図2に示されたように、セッション機能管理ネットワーク要素は、少なくとも1つのプロセッサ11、メモリ12、および通信インターフェース13を含んでよい。
以下で、図2を参照して、セッション機能管理ネットワーク要素の構成要素を具体的に記載する。
プロセッサ11は、セッション機能管理ネットワーク要素の制御センタであり、1つのプロセッサまたは複数の処理要素の総称であってよい。たとえば、プロセッサ11は、中央処理装置(central processing unit、CPU)であるか、あるいは特定用途向け集積回路(Application Specific Integrated Circuit、ASIC)であってよく、あるいは本発明のこの実施形態を実装する1つもしくは複数の集積回路、たとえば、1つもしくは複数のマイクロプロセッサ(digital signal processor、DSP)、または1つもしくは複数のフィールドプログラマブルゲートアレイ(Field Programmable Gate Array、FPGA)として構成されてよい。
プロセッサ11は、メモリ12に記憶されたソフトウェアプログラムを走らせるかまたは実行することにより、かつメモリ12に記憶されたデータを呼び出すことにより、セッション機能管理ネットワーク要素の様々な機能を実行することができる。
具体的な実装形態では、一実施形態において、プロセッサ11は、1つまたは複数のCPU、たとえば、図2に示されたCPU0およびCPU1を含んでよい。
具体的な実装形態では、一実施形態において、セッション機能管理ネットワーク要素は、複数のプロセッサ、たとえば、図2に示されたプロセッサ11およびプロセッサ15を含んでもよい。これらのプロセッサの各々は、シングルコア(single−CPU)プロセッサであってもよく、マルチコア(multi−CPU)プロセッサであってもよい。本明細書のプロセッサは、データ(たとえば、コンピュータプログラム命令)を処理するように構成された1つまたは複数のセッション機能管理ネットワーク要素、回路、および/または処理コアを指してよい。
メモリ12は、読取り専用メモリ(read−only memory、ROM)、静的情報および命令を記憶することができる別のタイプの静的ストレージセッション機能管理ネットワーク要素、ランダムアクセスメモリ(random access memory、RAM)、もしくは情報および命令を記憶することができる別のタイプの動的ストレージセッション機能管理ネットワーク要素であってもよく、電気的消去可能プログラマブル読取り専用メモリ(Electrically Erasable Programmable Read−Only Memory、EEPROM)、コンパクトディスク読取り専用メモリ(Compact Disc Read−Only Memory、CD−ROM)もしくは別のコンパクトディスクストレージ、(コンパクトディスク、レーザーディスク(登録商標)、光ディスク、デジタル多用途ディスク、ブルーレイディスクなどを含む)光ディスクストレージ、磁気ディスク記憶媒体もしくは別の磁気ストレージセッション機能管理ネットワーク要素、または命令形式もしくはデータ構造形式で予想されるプログラムコードを搬送もしくは記憶するように構成することができ、コンピュータによってアクセスすることができる任意の他の媒体であってもよいが、本発明はそれらに限定されない。メモリ12は独立して存在し、通信バス14を使用してプロセッサ11に接続されてよい。あるいは、メモリ12はプロセッサ11と一体化されてよい。
メモリ12は、本発明の解決策を実行するためのソフトウェアプログラムを記憶するように構成され、プロセッサ11は実行を制御する。
通信インターフェース13は、データを送信するための送信インターフェース、および外部のセッション機能管理ネットワーク要素からデータを受信するための受信インターフェースを含んでよい。言い換えれば、セッション機能管理ネットワーク要素は、2つの異なる通信インターフェースを介して、データ受信およびデータ送信をそれぞれ実施することができる。確かに、通信インターフェース13の場合、データ受信機能およびデータ送信機能は1つの通信インターフェースに統合されてよく、通信インターフェースはデータ受信機能およびデータ送信機能を有する。
図2に示されたセッション機能管理ネットワーク要素の構造は、セッション機能管理ネットワーク要素に対するいかなる制限も構成せず、図に示された構成要素よりも多いかまたは少ない構成要素が含まれてもよく、いくつかの構成要素が組み合わされてもよく、異なる構成要素の配置が使用されてもよい。
具体的な実装形態では、図3は、本発明の一実施形態による、データネットワークのネットワーク要素の概略構成図である。データネットワークのネットワーク要素は、図1に示されたシステムアーキテクチャにおけるDN内のUEに対する認証および認可を実行するように構成されたネットワーク要素、たとえば、AAA(authentication authorization accounting)サーバ、またはAAAプロキシサーバであってよい。図3に示されたように、データネットワークのネットワーク要素は、少なくとも1つのプロセッサ21、メモリ22、および通信インターフェース23を含んでよい。
以下で、図3を参照して、データネットワークのネットワーク要素の構成要素を具体的に記載する。
プロセッサ21は、データネットワークのネットワーク要素の制御センタであり、1つのプロセッサまたは複数の処理要素の総称であってよい。たとえば、プロセッサ21は、中央処理装置(central processing unit、CPU)であるか、あるいは特定用途向け集積回路(Application Specific Integrated Circuit、ASIC)であってよく、あるいは本発明のこの実施形態を実装する1つもしくは複数の集積回路、たとえば、1つもしくは複数のマイクロプロセッサ(digital signal processor、DSP)、または1つもしくは複数のフィールドプログラマブルゲートアレイ(Field Programmable Gate Array、FPGA)として構成されてよい。
プロセッサ21は、メモリ22に記憶されたソフトウェアプログラムを走らせるかまたは実行することにより、かつメモリ22に記憶されたデータを呼び出すことにより、データネットワークのネットワーク要素の様々な機能を実行することができる。
具体的な実装形態では、一実施形態において、プロセッサ21は、1つまたは複数のCPU、たとえば、図3に示されたCPU0およびCPU1を含んでよい。
具体的な実装形態では、一実施形態において、データネットワークのネットワーク要素は、複数のプロセッサ、たとえば、図3に示されたプロセッサ21およびプロセッサ25を含んでもよい。これらのプロセッサの各々は、シングルコア(single−CPU)プロセッサであってもよく、マルチコア(multi−CPU)プロセッサであってもよい。本明細書のプロセッサは、データ(たとえば、コンピュータプログラム命令)を処理するように構成された1つまたは複数のデータネットワークのネットワーク要素、回路、および/または処理コアを指してよい。
メモリ22は、読取り専用メモリ(read−only memory、ROM)、静的情報および命令を記憶することができる別のタイプの静的ストレージデータネットワークのネットワーク要素、ランダムアクセスメモリ(random access memory、RAM)、もしくは情報および命令を記憶することができる別のタイプの動的ストレージデータネットワークのネットワーク要素であってもよく、電気的消去可能プログラマブル読取り専用メモリ(Electrically Erasable Programmable Read−Only Memory、EEPROM)、コンパクトディスク読取り専用メモリ(Compact Disc Read−Only Memory、CD−ROM)もしくは別のコンパクトディスクストレージ、(コンパクトディスク、レーザーディスク(登録商標)、光ディスク、デジタル多用途ディスク、ブルーレイディスクなどを含む)光ディスクストレージ、磁気ディスク記憶媒体もしくは別の磁気ストレージデータネットワークのネットワーク要素、または命令形式もしくはデータ構造形式で予想されるプログラムコードを搬送もしくは記憶するように構成することができ、コンピュータによってアクセスすることができる任意の他の媒体であってもよいが、本発明はそれらに限定されない。メモリ22は独立して存在し、通信バス24を使用してプロセッサ21に接続されてよい。あるいは、メモリ22はプロセッサ21と一体化されてよい。
メモリ22は、本発明の解決策を実行するためのソフトウェアプログラムを記憶するように構成され、プロセッサ21は実行を制御する。
通信インターフェース23は、データを送信するための送信インターフェース、および外部のデータネットワークのネットワーク要素からデータを受信するための受信インターフェースを含んでよい。言い換えれば、データネットワークのネットワーク要素は、2つの異なる通信インターフェースを介して、それぞれデータ受信およびデータ送信を実施することができる。確かに、通信インターフェース23の場合、データ受信機能およびデータ送信機能は1つの通信インターフェースに統合されてよく、通信インターフェースはデータ受信機能およびデータ送信機能を有する。
図3に示されたデータネットワークのネットワーク要素の構造は、データネットワークのネットワーク要素に対するいかなる制限も構成せず、図に示された構成要素よりも多いかまたは少ない構成要素が含まれてもよく、いくつかの構成要素が組み合わされてもよく、異なる構成要素の配置が使用されてもよい。
本発明の一実施形態はセッション処理方法を提供する。図4に示されたように、方法は以下のステップを含む。
101.SMFがUEからセッション確立要求を受信する。
具体的な実装形態では、UEは最初にセッション確立要求をAMFに送信し、次いで、AMFはUEによって送信されたセッション確立要求をSMFに転送する。
加えて、UEによって送信されたPDUのタイプがイーサネットタイプである場合、イーサネットタイプのセッション(すなわち、PDU session)がUE向けに確立される必要がある。さらに、UE向けに確立されるべきセッションのアドレスは、UEのイーサネットアドレスである。この場合、UEはUEのイーサネットアドレスをセッション確立要求に追加し、セッション確立要求をAMFに送信する。本発明のこの実施形態では、UE向けに確立されたセッションはPDUセッションであることに留意されたい。したがって、本発明のこの実施形態における「セッション」は、詳細にはPDUセッションである。
102.SMFがUEによって使用されるべきセッションアドレスを決定する。
具体的な実装形態では、UEのセッションはUEのアドレスに基づいて確立されてよい。したがって、UEによって使用されるべきセッションアドレスはUEのアドレスであってよい。通常、確立されるセッションのタイプは、UEによって送信されたPDUのタイプに依存する。UEによって送信されるPDUのタイプには、IPタイプ、イーサネットタイプ、および非構造化タイプが含まれる。UEによって送信されたPDUのタイプがイーサネットタイプである場合、UEはUEのイーサネットアドレスをセッション確立要求に追加し、セッション確立要求をAMFに送信する。SMFは、AMFによって転送されたセッション確立要求を受信し、要求に含まれるUEのイーサネットアドレスを取得するために、要求を構文解析することができる。イーサネットアドレスはセッションアドレスである。
UEによって送信されたPDUがIPタイプのPDUである場合、SMFはUEにアドレスを割り当てる。具体的には、UEによって送信されたPDUがIPv4タイプのPDUである場合、UEのセッションもIPv4タイプのセッションである。この場合、SMFはUEによって使用されるべきセッションアドレスとしてIPアドレスをUEに割り当てる。UEによって送信されたPDUがIPv6タイプのPDUである場合、UEのセッションもIPv6タイプのセッションである。この場合、SMFはUEによって使用されるべきセッションアドレスとしてIPプレフィックスをUEに割り当てる。
UEによって送信されたPDUが非構造化タイプのPDUである場合、SMFはまた、UEにアドレスを割り当てる。具体的には、SMFはトンネルIPアドレスをUPFに割り当て、UEによって使用されるべきセッションアドレスとしてUPFのトンネルIPアドレスを使用する。あるいは、SMFはトンネルIPプレフィックスをUPFに割り当て、セッションアドレスとしてUPFのトンネルIPプレフィックスを使用する。
103.SMFがデータネットワークのネットワーク要素にデータネットワークアクセス要求を送信し、データネットワークアクセス要求はUEのセッションアドレスおよび識別子を含む。
データネットワークのネットワーク要素は、AAAサーバまたはAAAプロキシサーバなどのDNにおける認証および認可のためのネットワーク要素であってよい。
具体的には、データネットワークアクセス要求は、UEに対する認証を実行するようにデータネットワークのネットワーク要素に要求する認証要求、たとえば、DER(diameter EAP request)メッセージであってよい。さらに、認証要求はさらに、UEに対する認証を実行するようにデータネットワークのネットワーク要素に要求する認証要求識別子(identity)を搬送することができる。
確かに、データネットワークアクセス要求は、代替として、UEに対する認可を実行するようにデータネットワークのネットワーク要素に要求する認可要求であってよい。
加えて、UEの識別子はUEの2次IDである。データネットワークのネットワーク要素は、UEの識別子を使用してUEに対する認証を実行することができる。
104.データネットワークのネットワーク要素がSMFに応答メッセージを送信し、応答メッセージはUEがデータネットワークにアクセスすることを許可するように指示する。
具体的には、データネットワークアクセス要求が認証要求である場合、データネットワークのネットワーク要素は、ステップ103とステップ104との間でUEに対する認証を実行する。この場合、本明細書の応答メッセージは認証応答メッセージであり、認証応答メッセージには認証成功識別子を搬送する。
データネットワークアクセス要求が認証要求であり、認証要求が認可要求識別子を搬送する場合、データネットワークのネットワーク要素は、ステップ103とステップ104との間でUEに対する認証および認可を実行する。応答メッセージは認証応答メッセージであり、メッセージは認証成功識別子および認可成功識別子を搬送する。
データネットワークアクセス要求が認可要求である場合、データネットワークのネットワーク要素は、ステップ103とステップ104との間でUEに対する認可を実行する。この場合、応答メッセージは認可応答メッセージであり、認可応答メッセージは認可成功識別子を搬送する。
105.SMFがUEのセッションを確立する。
セッションのアドレスは、ステップ102において決定されたセッションアドレスである。加えて、ステップ104において、データネットワークのネットワーク要素は、SMFに応答メッセージを送信して、UEがデータネットワークにアクセスすることを許可するように指示する。したがって、SMFはさらに、セッションアドレスに基づいてUE向けのセッションを確立する。
具体的には、SMFはUE向けに確立されるべきセッションに関する情報をPCFに送信し、情報は少なくともセッションアドレスを含む。場合によっては、UEの1つまたは複数のIDがさらに送信されてよい。その後、PCFはセッションの認可範囲をSMFに送信する。
その後、SMFはセッションに関する情報をUPFに通知し、情報はセッションアドレスおよびセッションのポリシーを含む。UPFは、PDU sessionがPCFによって認可された範囲を超えないことを保証する。加えて、UPFは応答でSMFに返事する。SMFは、AMFを介してUEにセッション確立要求応答を送信する。このようにして、UEのセッションの確立が完了する。本明細書においてUE向けに確立されたセッションに対する許可は、「データネットワークのネットワーク要素のみにアクセス可能」であることに留意されたい。
106.データネットワークのネットワーク要素が、UEのセッションが処理される必要があることを検出する。
データネットワークのネットワーク要素は、ステップ103において受信されたセッションアドレスに基づいてセッションを直ちに決定し、セッションのトラフィックを監視することができる。セッションのトラフィックが変化したことが検出されると、セッションが処理される必要があると判断される。セッションのトラフィックの監視に基づいてデータネットワークのネットワーク要素によって行われる判断は、「UEのセッションの削除」または「UEのセッションの修正」であってよいことに留意されたい。このことは本明細書では限定されない。データネットワークのネットワーク要素は、セッションのトラフィックの具体的な変化ステータスに基づいて、UEのセッションを処理する方法を決定することができる。たとえば、セッションのトラフィックが異常である場合、セッションは削除される必要があり得る。たとえば、PDU sessionのアップリンクトラフィック(すなわち、UEからDNへの方向のトラフィック)は、PDUのソースアドレスまたはソーストンネルアドレスに基づいて識別されてよく、PDU sessionのダウンリンクトラフィック(すなわち、DNからUEへの方向のトラフィック)は、PDUの宛先アドレスまたは宛先トンネルアドレスに基づいて識別されてよい。PDUのタイプがIPv4である場合、アップリンクPDUのソースIPアドレスおよびダウンリンクPDUの宛先IPアドレスは、UEのIPアドレス(すなわち、セッションアドレス)と一致する。PDUのタイプがIPv6である場合、アップリンクPDUのソースIPアドレスおよびダウンリンクPDUの宛先IPアドレスは、UEのIPプレフィックス(すなわち、セッションアドレス)と一致する。PDUのタイプがイーサネット(登録商標)である場合、アップリンクPDUのソースイーサネットアドレスおよびダウンリンクPDUの宛先イーサネットアドレスは、UEのイーサネットアドレス(すなわち、セッションアドレス)と一致する。PDUのタイプが非構造化である場合、アップリンクPDUのソーストンネルアドレスおよびダウンリンクPDUの宛先トンネルアドレスは、UPFのトンネルIPアドレスまたはトンネルIPプレフィックス(すなわち、セッションアドレス)と一致する。
あるいは、データネットワークは、インデックスとしてUEの識別子を使用してUEのアクセス状態を見つけ、UEのアクセス状態を監視し、UEが認可されていないUEである任意のケースをデータネットワークが検出するか、UEのサブスクリプションステータスが変化するか、またはUEの信頼レベルが変化すると、データネットワークは、UEが異常アクセス状態にあると判断し、さらにUEのセッションを処理される必要があると判断することができる。さらに、データネットワークのネットワーク要素はさらに、どのセッションがUEのセッションであるかを決定する必要があり、具体的には、以下の2つの方式でUEのセッションを決定することができる。第1に、データネットワークのネットワーク要素は、ステップ103においてUEの識別子およびセッションアドレスを受信するので、データネットワークのネットワーク要素は、UEの識別子に基づいてセッションアドレスに関連付けられてよく、関連付けられたセッションアドレスに基づいて、セッション(すなわち、UEの識別子に対応するセッション)、すなわち、UEのセッションを決定することができ、セッションが処理される必要があると判断することができる。第2に、ステップ103とステップ104との間で、データネットワークのネットワーク要素は、PDU sessionごとに対応するdiameterセッションを保持し、diameterセッションは対応するIDを有する。言い換えれば、PDU sessionを識別するためにdiameterセッションIDが使用されてよい。したがって、UEが異常アクセス状態にあることが検出されると、diameterセッションIDは、代替として、UEの識別子に基づいて関連付けられてよく、セッション(すなわち、UEの識別子に対応するセッション)、すなわち、UEのセッションは、関連付けられたdiameterセッションIDに基づいて決定されてよく、さらに、セッションが処理される必要があると判断されてよい。UEのアクセス状態に基づいてデータネットワークのネットワーク要素によって行われる判断は、「UEのセッションの削除」または「UEのセッションの修正」であってよいことに留意されたい。このことは本明細書では限定されない。データネットワークのネットワーク要素は、UEの現在の実際のアクセスに基づいて、UEのセッションを処理する方法を決定することができる。たとえば、UEが認可されていないUEである場合、UEのセッションは削除される。
いくつかの実施形態では、ステップ105においてセッションがUE向けに確立された後、UEは、代替として、データネットワークのネットワーク要素に対する認証を開始することができる。したがって、ステップ106において、データネットワークのネットワーク要素は、代替として、認証結果に基づいて、UEのセッションが処理される必要があるかどうかを判定することができる。具体的には、認証結果が認証に失敗したことである場合、それは、UEが認可されていないUEであり得ることを示す。この場合、データネットワークのネットワーク要素は、UEのセッションが削除される必要があると判断する。認証結果が認証に成功したことである場合、それは、UEが正当なUEであり得ることを示す。この場合、データネットワークのネットワーク要素は、UEのセッションが修正される必要があると判断し、UEがセッションを使用してデータネットワークのネットワーク要素以外のネットワーク要素にアクセスすることができるように、セッションに対する許可を修正することができる。さらに、データネットワークのネットワーク要素はさらに、どのセッションがUEのセッションであるかを決定する必要がある。同様に、データネットワークのネットワーク要素は、以下の2つの方式でUEのセッションを決定することができる。具体的には、セッションアドレスはUEの識別子に基づいて関連付けられる。この場合、アドレスと一致するセッションがUEのセッションである。あるいは、UEの識別子に基づいてdiameterセッションIDが関連付けられ、diameterセッションIDと一致するセッションがUEのセッションである。
いくつかの実施形態では、データネットワークのネットワーク要素は、代替として、ステップ103の後にタイマを開始することができる。ステップ105においてセッションがUE向けに確立された後、タイマはタイムアウトする。データネットワークのネットワーク要素が、セッションを使用してUEによって送信されたデータパケット(すなわち、PDU)を受信しない場合、データネットワークのネットワーク要素は、UEのセッションが削除される必要があると判断する。同様に、データネットワークのネットワーク要素は、前述の2つの方式でUEのセッションを決定することができる。具体的には、セッションアドレスはUEの識別子に基づいて関連付けられる。この場合、アドレスと一致するセッションがUEのセッションである。あるいは、UEの識別子に基づいてdiameterセッションIDが関連付けられ、diameterセッションIDと一致するセッションがUEのセッションである。
加えて、データネットワークのネットワーク要素は、代替として、ステップ104の後にタイマを開始することができる。別の手順は、ステップ103の後にタイマを開始する処理手順と同じである。詳細は本明細書では再び記載されない。
本発明のこの実施形態における「異常なトラフィック」は、トラフィックが正常なサービストラフィックから逸脱する特徴であり得ることに留意されたい。たとえば、トラフィックが大きすぎる、いくつかのアクセスされたポートが現在のサービスのポートではない、アクセスされたアドレスが多すぎる、データパケットサイズの分布と通常のケースが大きく異なる、またはトラフィックが攻撃パケットを含む。
107.データネットワークのネットワーク要素がセッション処理要求を生成し、セッション処理要求を使用することにより、UEのセッションを処理するようにSMFに指示する。
具体的な実装形態では、データネットワークのネットワーク要素はセッション処理要求をPCFに送信して、diameterプロトコルのSTRメッセージまたはAARメッセージを使用するように要求することができる。要求を受信した後、PCFはSMFをトリガしてUEのセッションを処理する。要求は、セッションを識別するために使用されるセッションアドレスを含む。データネットワークのネットワーク要素がこれらの情報をPCFに送信している場合、これらの情報を含める必要はない。
加えて、データネットワークのネットワーク要素は、代替として、SMFに要求を送信して、diameterプロトコルのASRメッセージを使用するように要求することができる。この場合に送信されるセッション処理要求は、セッションアドレスを搬送する必要がないことに留意されたい。言い換えれば、SMFがセッションを識別するために、セッションアドレスが提供される必要はない。SMFおよびデータネットワークのネットワーク要素は、ステップ103およびステップ104においてPDU session(すなわち、本発明のこの実施形態におけるセッション)ごとに対応するdiameterセッションを保持し、SMFは、データネットワークのネットワーク要素によって送信されたdiameterメッセージに基づいて、どのPDU sessionがデータネットワークのネットワーク要素の指示に従って処理されるべきかを決定することができる。あるいは、diameterセッションIDはdiameterセッションごとに保持される。データネットワークのネットワーク要素は、セッション処理要求にdiameterセッションIDを追加することができ、SMFは、受信されたdiameterセッションIDに基づいて、データネットワークのネットワーク要素が処理するように要求するPDU sessionを知ることもできる。
本発明のこの実施形態で提供されるセッション処理方法によれば、DNがUEに対する認証または認可を実行するとき、SMFはデータネットワークのネットワーク要素にUEのセッションアドレスおよび識別子を提供し、その後、セッションアドレスに基づいてUE向けのセッションを確立する。データネットワークのネットワーク要素が、UEのセッションが処理される必要がある(たとえば、セッションのトラフィックが変化した)ことを検出すると、データネットワークのネットワーク要素は、受信されたセッションアドレスまたはユーザの識別子に基づいてUEのセッションに関連付けられ、セッションの処理をトリガするようにSMFまたはPCFに要求を送信することができる。
本発明の一実施形態はセッション処理方法をさらに提供する。PDU sessionに対してAAAによって実行される認証、認可、および認可取消しを記載するために、一例としてデータネットワーク要素がAAAであることが使用される。図5Aおよび図5Bに示されたように、方法は以下のステップを含む。
201.UEがPDU session(セッション)確立要求をAMFに送信する。
UEによって送信されたPDUのタイプがイーサネットタイプである場合、UE向けに確立されるべきPDU sessionのタイプもイーサネットタイプである。この場合、UEは、UEのイーサネットアドレスと要求の両方をAMFに送信する。
202.AMFがUEのPDU session確立要求ならびにUEのSUPIおよびPEIをSMFに送信する。
本明細書におけるPEIは、UEの永久機器識別子(permanent equipment identifier)であり、通常、IMEIフォーマットである。具体的には、UEのPDU session確立要求を受信した後、AMFは、UEのSUPIおよびPEIをPDU session確立要求に追加し、次いで、要求をSMFに転送する。
オプション:203.SMFが、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があると判断する。
具体的な実装形態では、SMFは、ローカルにあらかじめ記憶されたポリシー(たとえば、DNにアクセスするにはAAAによる認証および認可が必要である)に基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。あるいは、SMFは、判断基準として、UEによって送信されたPDU session確立要求内で搬送された関連命令を使用することができる。あるいは、SMFは、ステップ202とステップ203との間でUDMからUEのサブスクリプション情報を読み取り、サブスクリプション情報内の読取り関連ポリシーに基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。
204.SMFがUEにセッションアドレスを割り当てる。
UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプである場合、SMFは、UEによって使用されるべきセッションアドレスとして、ステップ203において受信されたUEのイーサネットアドレスを使用し、ステップ204をスキップし、ステップ205を直ちに実行できることに留意されたい。
加えて、UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプではない場合、ステップ204が実行される必要がある。具体的には、PDU sessionのタイプがIPv4である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPアドレスをUEに割り当てる。PDU sessionのタイプがIPv6である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPプレフィックスをUEに割り当てる。PDU sessionのタイプが非構造化である場合、SMFは、UEによって使用されるべきセッションアドレスとして、トンネルIPアドレスまたはトンネルIPプレフィックスをUEに割り当てる。トンネルIPアドレスまたはトンネルIPプレフィックスはUPFに割り当てられる。
205.SMFがEAP−identity request(EAP識別情報要求)をUEに送信する。
206.UEがEAP−identity response(EAP識別情報応答)をSMFに送信し、応答はUEの2次IDを搬送する。
207.SMFが、DERメッセージを使用してEAP−identity responseおよびUEのセッションアドレスをAAAに転送する。
diameterプロトコルのDERメッセージは、本発明の実施形態に記載されたデータネットワークアクセス要求であり、UEのセッションアドレスおよび識別子を搬送する。UEの識別子は、この実施形態に記載されたUEの2次IDである。
ステップ205およびステップ206はオプションのステップであることに留意されたい。ステップ205およびステップ206が実行される場合、EAP−identity responseメッセージを受信した後、SMFは、EAP−identity responseメッセージおよびセッションアドレスを含む、diameterプロトコルのDERメッセージを生成し、その後、DERメッセージをAAAに転送する。ステップ205およびステップ206が実行されない場合、UEは、ステップ201において送信されたメッセージにUEの2次IDを追加することができ、ステップ202においてAMFによってSMFに転送されたメッセージも、UEの2次IDを搬送する。このようにして、SMFは、UEの2次IDおよびセッションアドレスを取得する。さらに、SMFは、UEの2次IDおよびセッションアドレスを搬送する、diameterプロトコルのDERメッセージを生成し、生成されたdiameterプロトコルのDERメッセージをAAAに送信する。
場合によっては、SMFはUEのサブスクリプションデータからUEの外部ID、SUPI、およびPEIをさらに取得し、共同送信のためにdiameterプロトコルのDERメッセージにSUPI、PEI、または外部IDを追加することができる。外部IDは、SUPIを使用してマッピングを介して取得され、3GPPネットワークがSUPIを外部に公開するつもりがないとき、SUPIに対応する外部IDは外部から提供されてよい。
208.AAAがEAPプロトコルを使用してUEに対する認証を実行する。
このステップはオプションであり、AAAは、代替として、UEに対する認証を実行しない場合があることに留意されたい。
209.AAAがdiameter DEAメッセージをSMFに送信し、メッセージは認証結果および認可結果を含む。
本明細書において送信されるdiameter DEAメッセージは、本発明の実施形態においてデータネットワークのネットワーク要素によってSMFに送信される応答メッセージである。
具体的には、認証結果がEAP−successメッセージである場合、それは認証が成功したことを示す。認可結果は、UE向けに確立されるべきPDU sessionに対する許可を表す認可情報である。
AAAによってSMFに送信されるdiameter DEAメッセージは、代替として、認可情報を含まない場合があり、SMFはPCFから認可ポリシー(すなわち、前述の認可情報)を取得できることに留意されたい。
210.SMFがPDU sessionに関する情報をPCFに通知し、情報はPDU sessionのアドレスを含む。
具体的には、PDU sessionのアドレスは前述のセッションアドレスであり、ステップ201においてUEによってAMFに送信されたイーサネットアドレスであってもよく、ステップ204においてSMFによってUEに割り当てられたアドレスであってもよい。
場合によっては、UEの1つまたは複数のID、たとえば、UEの2次ID、およびUEの外部IDがさらに含まれてよい。
211.PCFがPDU sessionのポリシーをSMFに送信する。
212.SMFがPDU sessionに関する情報をUPFに通知し、情報はPDU sessionのアドレスおよびPDU sessionのポリシーを含む。
加えて、UPFは、PDU sessionのポリシーを実行することにより、PDU sessionが認可された範囲を超えないことを保証する。
213.UPFがSMFに応答を返す。
214.SMFがPDU session確立応答および認証が成功したことを示すEAP−success(EAP成功識別子)をAMFに送信する。
215.AMFが受信されたPDU session確立応答およびEAP−successをUEに転送する。
216.UEがPDU sessionのアドレスを取得する。
UEによって送信されたPDUがイーサネットタイプである場合、PDU sessionのアドレスはUEのイーサネットアドレスである。本明細書では、ステップ216は実行されず、ステップ217が直ちに実行される。
PDUのタイプがイーサネットタイプではなく、たとえば、IPタイプまたは非構造化タイプである場合、PDU sessionのアドレスはSMFによってUEに割り当てられ、SMFは、別のメッセージを使用することにより、UEに割り当てられたアドレスをUEに送信する、たとえば、動的ホスト構成プロトコル(dynamic host configuration protocol、DHCP)のメッセージを使用してアドレスを送信する。加えて、メッセージは、代替として、UEに割り当てられたアドレスを通知するために、ステップ214およびステップ215において送信されてよい。
217.AAAが、PDU sessionが解放される必要があることを検出する。
本明細書においてPDU sessionを解放することは、PDU sessionを削除することであることに留意されたい。
具体的には、DNはステップ207において取得されたアドレスを使用してPDU sessionのトラフィックを識別することができ、PDU sessionのトラフィックが異常であることをDNが検出すると、DNはUEのPDU sessionが削除される必要があると判断する。
具体的なトラフィック監視は、PDU sessionのアップリンクトラフィック(すなわち、UEからDNへの方向のトラフィック)が、PDUのソースアドレスまたはソーストンネルアドレスに基づいて識別されてよく、PDU sessionのダウンリンクトラフィック(すなわち、DNからUEへの方向のトラフィック)が、PDUの宛先アドレスまたは宛先トンネルアドレスに基づいて識別されてよいことを含む。具体的には、PDUのタイプがIPv4である場合、アップリンクPDUのソースIPアドレスおよびダウンリンクPDUの宛先IPアドレスは、ステップ207において取得されたIPアドレス(すなわち、セッションアドレス、およびまたPDU sessionのアドレス)と一致する。PDUのタイプがIPv6である場合、アップリンクPDUのソースIPアドレスおよびダウンリンクPDUの宛先IPアドレスは、ステップ207において取得されたIPプレフィックス(すなわち、セッションアドレス、およびまたPDU sessionのアドレス)と一致する。PDUのタイプがイーサネット(登録商標)である場合、アップリンクPDUのソースイーサネットアドレスおよびダウンリンクPDUの宛先イーサネットアドレスは、ステップ207において取得されたイーサネットアドレス(すなわち、セッションアドレス、およびまたPDU sessionのアドレス)と一致する。PDUのタイプが非構造化である場合、アップリンクPDUのソーストンネルアドレスおよびダウンリンクPDUの宛先トンネルアドレスは、ステップ207において取得されたトンネルIPアドレスまたはトンネルIPプレフィックス(すなわち、セッションアドレス、およびまたPDU sessionのアドレス)と一致する。
あるいは、DNへのUEのサブスクリプションがキャンセルされたことをAAAが検出すると、UEの2次IDはセッションアドレスに関連付けられ、AAAはUEのアドレスに対応するPDU sessionが解放される必要があると判断する。この実施形態では、「解放」は「削除」であることに留意されたい。
218.AAAがPDU session解放要求を送信する。
具体的には、AAAが、diameterプロトコルのASRメッセージを使用してSMFに要求を直接送信することができる(ステップ218a)。本明細書においてAAAによって送信されるメッセージは、PDU sessionを搬送しないことに留意されたい。言い換えれば、SMFがPDU sessionを識別するために、PDU sessionのアドレスが提供される必要はない。SMFおよびAAAは、PDU sessionごとに対応するdiameterセッションを保持する。しかしながら、図では、207、209、218a、および220aにおける4つのdiameterメッセージは、すべて同じdiameterセッション内にある。AAAは、PDU sessionに対応するdiameterセッション内で、PDU sessionを解放または修正するように要求する。SMFは、動作するように要求されたPDU sessionがそのセッションに対応するPDU sessionであることを知ることができる。
あるいは、AAAが、diameterプロトコルのSTRメッセージまたはdiameterプロトコルのAARメッセージを使用して、PCFに要求を送信する(ステップ218b1)。PCFが、SMFをトリガしてPDU sessionを解放するように、SMFにPDU session解放要求を送信する(ステップ218b2)。AAAによって送信された要求はPDU sessionのアドレスを含み、PDU sessionを識別するために使用され、PDU sessionの識別を支援するためのUEの1つまたは複数のIDをさらに含んでよい。加えて、AAAがこれらの情報をPCFに送信している(たとえば、AAAがPCFを使用してPDU session修正要求を送信しており、要求がこれらの情報を含む)場合、これらの情報は含まれる必要がない。
219.SMFがPDU sessionを解放する。
具体的には、SMFはPDU sessionによって占有されたリソースを解放するようにUPFに指示し、PDU sessionのPDUの転送を停止する。SMFはPDU sessionのリソースを解放するように(R)ANに指示し、通知はAMFによって転送される。その後、(R)ANはPDU sessionによって占有されたリソースを解放し、これをUEに通知する。(R)ANは、PDU sessionによって占有されたリソースが解放されたことをSMFに通知し、通知はAMFによって転送される。最後に、SMFはPDU sessionのコンテキスト情報を削除するようにAMFに指示し、SMFはPDU sessionのポリシーコンテキスト情報を削除するようにPCFに指示する。
220.AAAがPDU session解放要求に対する応答を受信する。
ステップ218aに対応して、SMFは、diameterプロトコルのASAメッセージを使用して、PDU session解放要求に対する応答をAAAに送信する(ステップ220a)。
ステップ218b1およびステップ218b2に対応して、SMFが、PDU session解放要求に対する応答をPCFに送信し(ステップ220b1)、PCFが、diameterプロトコルのSTAメッセージまたはAAAメッセージを使用して、PDU session解放要求に対する応答をAAAに送信する(ステップ220b2)。
前述のステップにおけるPDU sessionのアドレスは以下の通りである。PDU sessionのタイプがIPv4である場合、PDU sessionのアドレス(すなわち、前述のセッションアドレス)は、SMFによってUEに割り当てられたIPアドレスである。PDU sessionのタイプがIPv6である場合、PDU sessionのアドレスは、SMFによってUEに割り当てられたIPプレフィックスである。PDU sessionのタイプが非構造化である場合、PDU sessionのアドレスは、SMFによってUEに割り当てられたトンネルIPアドレスまたはトンネルIPプレフィックスである。PDU sessionのタイプがイーサネット(登録商標)である場合、PDU sessionのアドレスはUEのイーサネットアドレスである。
本発明のこの実施形態では、SMFは、ステップ202においてUEのイーサネットアドレスを取得するか、またはステップ204において、UEまたはトンネルによって使用されるIPアドレス/プレフィックスをUEに割り当てる。ステップ207では、SMFはこれらのアドレスを認証/認可要求のdiameterメッセージに追加し、メッセージをAAAに送信し、その結果、AAAはPDU sessionのPDUを識別し、PDU sessionのPDUを検出することにより、PDU sessionのトラフィックが異常であるかどうかを判定することができる。PDU sessionのトラフィックが異常であることを検出すると、AAAは、PCFを使用することにより、PDU sessionの修正または解放をトリガする。したがって、DNは、検出された異常ケースに基づいてPDU sessionの削除および修正を制御することができ、その結果、効果的なアクセス制御を実現することができる。
本発明の一実施形態はセッション処理方法をさらに提供する。一例としてデータネットワーク要素がAAAであることが使用される。PDU sessionを確立するための認可手順および認可修正手順は、前述の実施形態における手順とは異なる。この実施形態では、PDU sessionが確立される前に、AAAは認可のみを実行し、UEに対する認証を実行せず、EAPプロトコルを使用しない。加えて、この実施形態では、AAAは、PDU sessionの解放をトリガする代わりに、PDU sessionの修正をトリガする。この実施形態および実施形態1におけるPDU session確立プロセスは、後続のPDU session修正/解放トリガ手順に影響を与えることなく入れ替えることができる。図6Aおよび図6Bに示されたように、方法は以下のステップを含む。
301.UEがPDU session確立要求メッセージおよびUEの2次IDをAMFに送信する。
PDU sessionのタイプがイーサネット(登録商標)である場合、UEはUEのイーサネットアドレスと要求の両方をAMFに送信することに留意されたい。
302.AMFが、UEのPDU session確立要求、UEのSUPI、UEのPEI、およびUEの2次IDをSMFに送信する。
確かに、PDU sessionのタイプがイーサネット(登録商標)である場合、AMFはUEによって送信されたイーサネットアドレスを受信し、本明細書ではUEのイーサネットアドレスをSMFに送信する必要もある。
オプション:303.SMFが、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があると判断する。
同様に、SMFは、ローカルにあらかじめ記憶されたポリシー(たとえば、DNにアクセスするにはAAAによる認証および認可が必要である)に基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。あるいは、SMFは、判断基準として、UEによって送信されたPDU session確立要求内で搬送された関連命令を使用することができる。あるいは、SMFは、ステップ302とステップ303との間でUDMからUEのサブスクリプション情報を読み取り、サブスクリプション情報内の読取り関連ポリシーに基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。
304.SMFがUEにセッションアドレスを割り当てる。
UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプである場合、SMFは、UEによって使用されるべきセッションアドレスとして、ステップ303において受信されたUEのイーサネットアドレスを使用し、ステップ304をスキップし、ステップ305を直ちに実行できることに留意されたい。
加えて、UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプではない場合、ステップ304が実行される必要がある。具体的には、PDU sessionのタイプがIPv4である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPアドレスをUEに割り当てる。PDU sessionのタイプがIPv6である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPプレフィックスをUEに割り当てる。PDU sessionのタイプが非構造化である場合、SMFは、UEによって使用されるべきセッションアドレスとして、トンネルIPアドレスまたはトンネルIPプレフィックスをUEに割り当てる。トンネルIPアドレスまたはトンネルIPプレフィックスはUPFに割り当てられる。
305.SMFがdiameterプロトコルのAARメッセージをAAAに送信し、メッセージは、認可要求、セッションアドレス、およびUEの2次IDを搬送する。
場合によっては、SMFはUEのサブスクリプションデータからUEの外部IDをさらに見つけ、diameterプロトコルのAARメッセージにUEのSUPI、PEI、または外部IDを追加し、AARメッセージをAAAに送信することができる。
306.AAAがdiameterプロトコルのAAAメッセージをSMFに送信し、AAAメッセージは認可結果を含む。
認可結果は、UE向けに確立されるべきPDU sessionに対する許可を示す認可情報であってよい。
307.SMFがPDU sessionに関する情報をPCFに通知し、情報はPDU sessionのアドレス(すなわち、前述のセッションアドレス)を含む。
場合によっては、PDU sessionに関する情報は、UEの1つまたは複数のIDをさらに含んでよい。
308.PCFがPDU sessionのポリシーをSMFに送信する。
309.SMFがPDU sessionに関する情報をUPFに通知し、情報はPDU sessionのアドレスおよびPDU sessionの処理ルールを含む。
PDU sessionの処理ルールは、受信されたPDU sessionのポリシーに基づいてSMFによって生成され、UPFは、PDU sessionの処理ルールを実行することにより、PDU sessionが認可された範囲を超えないことを保証することに留意されたい。
310.UPFが応答でSMFに返事する。
311.SMFがPDU session確立応答をAMFに送信する。
312.AMFがPDU session確立応答をUEに転送する。
313.UEがPDU sessionのアドレスを取得する。
UEによって送信されたPDUがイーサネットタイプである場合、PDU sessionのアドレスはUEのイーサネットアドレスである。PDUのタイプがイーサネットタイプではなく、たとえば、IPタイプまたは非構造化タイプである場合、PDU sessionのアドレスはSMFによってUEに割り当てられ、SMFは、別のメッセージを使用して、UEに割り当てられたセッションアドレスをUEに送信する、たとえば、DHCPプロトコルのメッセージを使用してアドレスを送信する。加えて、メッセージは、代替として、UEに割り当てられたセッションアドレスを通知するために、ステップ314およびステップ315において送信されてよい。
314.AAAが、PDU sessionが修正される必要があることを検出する。
具体的には、AAAは、UEの(ステップ307において取得された)IDに基づいて、DNに対するUEのサブスクリプションが修正されたことを検出するか、またはDNは、UEの信頼レベルまたは信頼性が変化したことを検出するか、またはDNは、PDU sessionのトラフィックが異常であることを検出する。トラフィックを監視するための具体的な方法については、前述の実施形態におけるステップ217の関連する説明を参照されたい。詳細は本明細書では再び記載されない。
315.AAAがPDU session修正要求を送信する。
具体的な実装形態では、AAAが、diameterプロトコルのRARメッセージを使用して、PDU session修正要求をSMFに送信することができる(ステップ315a)。本明細書においてAAAによって送信されるメッセージは、PDU sessionを搬送しないことに留意されたい。言い換えれば、SMFがPDU sessionを識別するために、PDU sessionのアドレスが提供される必要はない。SMFおよびAAAは、PDU sessionごとに対応するdiameterセッションを保持する。しかしながら、図では、305、306、315a、および317aにおける4つのdiameterメッセージは、すべて同じdiameterセッション内にある。AAAは、PDU sessionに対応するdiameterセッション内で、PDU sessionを解放または修正するように要求する。SMFは、動作するように要求されたPDU sessionがそのセッションに対応するPDU sessionであることを知ることができる。
あるいは、AAAが、diameterプロトコルのAARメッセージを使用して、PDU session修正要求をPCFに送信し(ステップ315b1)、PCFがさらに、PDU sessionを修正するようにSMFをトリガする(ステップ315b2)。AAAによって送信された要求はPDU sessionのアドレスを含み、PDU sessionを識別するために使用され、PDU sessionの識別を支援するためのUEの1つまたは複数のIDをさらに含んでよい。加えて、AAAがこれらの情報をPCFに送信している(たとえば、AAAがPCFを使用してPDU session修正要求を送信しており、要求がこれらの情報を含む)場合、これらの情報は含まれる必要がない。
316.SMFがPDU sessionを修正する。
具体的には、SMFはPDU sessionの構成を修正するように(R)ANに要求し、要求はAMFによって転送される。次に、(R)ANはPDU sessionの修正をUEに通知する。(R)ANは、PDU sessionの構成が修正されたことをSMFに通知し、通知はAMFによって転送される。その後、SMFはPDU sessionの構成を修正するようにUPFに要求し、応答を取得する。
317.AAAがPDU session修正要求に対する応答を受信する。
ステップ315aに対応して、SMFがAAAにメッセージを送信し、メッセージはdiameterプロトコルのRAAメッセージである(ステップ317a)。
あるいは、ステップ315b1に対応して、PCFが、SMFによって送信されたPDU session修正要求に対する応答を受信し(ステップ317b1)、PCFが、diameterプロトコルのAAAメッセージを使用して、PDU session修正要求に対する応答をAAAに送信する(ステップ317b2)。
前述のステップにおけるアドレスは以下の通りである。PDU sessionのタイプがIPv4である場合、アドレスは、SMFによってUEに割り当てられたIPアドレスである。PDU sessionのタイプがIPv6である場合、アドレスは、SMFによってUEに割り当てられたIPプレフィックスである。PDU sessionのタイプが非構造化である場合、アドレスは、SMFによってUEに割り当てられたトンネルIPアドレスまたはトンネルIPプレフィックスである。PDU sessionのタイプがイーサネット(登録商標)である場合、アドレスはUEのイーサネットアドレスである。
従来技術と比較して、この実施形態では、SMFは、ステップ302においてUEのイーサネットアドレスを取得するか、またはステップ304において、セッションまたはトンネルによって使用されるIPアドレス/プレフィックスをUEに割り当てる。ステップ305において、SMFはこれらのアドレスを認可要求のdiameterメッセージに追加し、AAAにメッセージを送信し、その結果、DNはPDU sessionのPDUを識別し、異常が存在するかどうかを検出するか、またはこれに基づいてUEの信頼レベルまたは信頼性を判定し、さらにPDU sessionが修正される必要があると判断することができる。あるいは、UEのサブスクリプション条件が変化すると、AAAはPDU sessionに関連付けられ、PDU sessionを修正することを決定することができる。さらに、AAAはPCFを使用してPDU sessionの修正をトリガする。
本発明の一実施形態はセッション処理方法をさらに提供する。認可プロビジョニングおよび認可修正またはPDU sessionの取消しを使用して、AAAによるユーザプレーンに対する認証を記載するために、一例としてデータネットワーク要素がAAAであることが使用される。図7Aおよび図7Bに示されたように、方法は以下のステップを含む。
401.UEがPDU session確立要求およびUEの2次IDをAMFに送信する。
確かに、PDU sessionのタイプがイーサネットタイプである場合、UEはUEのイーサネットアドレスと要求の両方をAMFに送信する。
402.AMFが、UEのPDU session確立要求、UEのSUPI、UEのPEI、およびUEの2次IDをSMFに送信する。
PDU sessionのタイプがイーサネット(登録商標)である場合、UEのイーサネットアドレスもSMFに送信される。
オプション:403.SMFが、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があると判断する。
具体的な実装形態では、SMFは、ローカルにあらかじめ記憶されたポリシー(たとえば、DNにアクセスするにはAAAによる認証および認可が必要である)に基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。あるいは、SMFは、判断基準として、UEによって送信されたPDU session確立要求内で搬送された関連命令を使用することができる。あるいは、SMFは、ステップ402とステップ403との間でUDMからUEのサブスクリプション情報を読み取り、サブスクリプション情報内の読取り関連ポリシーに基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。
404.SMFがUEにセッションアドレスを割り当てる。
UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプである場合、SMFは、UEによって使用されるべきセッションアドレス、すなわち、前述のセッションアドレスとして、ステップ403において受信されたUEのイーサネットアドレスを使用し、ステップ404をスキップし、ステップ405を直ちに実行できることに留意されたい。
加えて、UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプではない場合、ステップ404が実行される必要がある。具体的には、PDU sessionのタイプがIPv4である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPアドレスをUEに割り当てる。PDU sessionのタイプがIPv6である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPプレフィックスをUEに割り当てる。PDU sessionのタイプが非構造化である場合、SMFは、UEによって使用されるべきセッションアドレスとして、トンネルIPアドレスまたはトンネルIPプレフィックスをUEに割り当てる。トンネルIPアドレスまたはトンネルIPプレフィックスはUPFに割り当てられる。
405.SMFが認可要求をAAAに送信し、セッションアドレスおよびUEの2次IDもAAAに送信する。
場合によっては、SMFはさらに、UEのSUPI、UEのPEI、およびUEの外部IDのうちのいずれか1つまたは複数をAAAに送信することができる。SMFは、UEのサブスクリプションデータ内でUEの外部IDを見つけることができる。具体的な実装形態では、SMFは、diameterプロトコルのAARメッセージを使用して、AAAに送信予定メッセージを送信することができる。
オプション:406.AAAが、UEがDNにアクセスする許可をもつかどうかをチェックする。UEがDNにアクセスする許可をもたない場合、認証が失敗したことを示すメッセージが返される。UEがDNにアクセスする許可をもつ場合、手順は続行する。
407.AAAがdiameterプロトコルのAAAメッセージをSMFに送信し、AAAメッセージは認可結果を含む。
認可結果は、UE向けに確立されるべきPDU sessionに対する許可を示す認可情報である。場合によっては、認可情報は、PDU sessionがAAAのみにアクセスすることを許可されることを示す。さらに、PDU sessionの最大送信レートは、比較的小さい値に制限される場合がある。
いくつかの実施形態では、場合によっては、PDU sessionに対する許可は、AAAならびにDNSサーバおよび/またはDHCPサーバにアクセスすることを許可している。PDU sessionはDHCPサーバにアクセスすることを許可され、その結果、UEは、DHCPを使用してIPアドレスを取得することができる。PDU sessionはDNSサーバにアクセスすることを許可され、その結果、UEは、DNSを使用してAAA/AAA proxyのアドレスを検索することができる。
408.SMFがPDU sessionに関する情報をPCFに通知し、情報はPDU sessionのアドレス(すなわち、前述のセッションアドレス)を含む。
場合によっては、SMFはさらに、UEの1つまたは複数のIDをPCFに送信することができる。
409.PCFがPDU sessionのポリシーをSMFに送信する。
場合によっては、PDU sessionのポリシーは、PDU sessionがAAAのみにアクセスすることを許可されることを示し、さらに、PDU sessionの最大送信レートのしきい値を示すことができ、しきい値は比較的低い送信レートである。
ステップ407およびステップ409のうちの少なくとも1つは、PDU sessionがAAAのみにアクセスすることを許可されることを示すことに留意されたい。
410.SMFがPDU sessionに関する情報をUPFに通知し、情報はアドレスおよびPDU sessionの処理ルールを含む。
PDU sessionの処理ルールは、受信されたPDU sessionのポリシーに基づいてSMFによって生成され、UPFは、PDU sessionの処理ルールを実行することにより、PDU sessionが認可された範囲を超えないことを保証することに留意されたい。具体的には、処理ルールは、PDU sessionがAAAのみにアクセスすることを許可されること、およびPDU sessionの最大送信レートがしきい値を超えるべきではないことを示すことができる。
411.UPFが応答でSMFに返事する。
412.SMFがPDU session確立応答をAMFに送信する。
413.AMFがPDU session確立応答をUEに転送する。
414.UEがPDU sessionのアドレスを取得する。
UEによって送信されたPDUがイーサネットタイプである場合、PDU sessionのアドレスはUEのイーサネットアドレスである。PDUのタイプがイーサネットタイプではなく、たとえば、IPタイプまたは非構造化タイプである場合、PDU sessionのアドレスはSMFによってUEに割り当てられ、SMFは、別のメッセージを使用することにより、UEに割り当てられたアドレスをUEに送信する、たとえば、DHCPプロトコルのメッセージを使用してアドレスを送信する。加えて、メッセージは、代替として、UEに割り当てられたアドレスを通知するために、ステップ414とステップ415との間で送信されてよい。
415.AAAが確立されたPDU sessionを使用してUEに対する認証を実行する。
具体的には、認証メッセージはPDUを使用して送信される。PDUのタイプがIPである場合、任意のIPプロトコルベースの認証プロトコル、たとえば、SIPプロトコルが使用されてよい。PDUのタイプがイーサネット(登録商標)である場合、イーサネットベースの認証プロトコル、たとえば、PPPoEプロトコルおよびEAPoLプロトコルが使用されてよい。
416.AAAが、認証結果に基づいて、PDU sessionが修正または解放される必要があると判断する。
具体的には、認証が成功した場合、AAAは、PDU sessionがAAA以外のネットワーク要素にアクセスすることができ、かつ/またはUEがPDU sessionを使用してより高い送信レートでAAA以外のネットワーク要素にアクセスすることができるように、PDU sessionが修正される必要があると判断する。認証が成功した場合、AAAはPDU sessionが解放される必要があると判断する。
加えて、認証結果とPDU sessionとの間の対応関係は、PDU sessionのアドレスに基づいて決定されてよい。たとえば、認証結果を搬送するPDUのソースアドレスまたはソーストンネルアドレスは、認証結果に対応するPDU sessionのアドレスである。
417.ステップ416の結果に基づいて、AAAがPDU session修正要求またはPDU session解放要求を送信する。
417a.要求がSMFに送信され得る。要求がPDU session修正要求である場合、diameterプロトコルのRARメッセージが使用される。要求がPDU session解放要求である場合、diameterプロトコルのASRメッセージが使用される。
417b1.要求が、代替として、PCFに送信され得る。要求がPDU session修正要求である場合、diameterプロトコルのAARメッセージが使用される。要求がPDU session解放要求である場合、diameterプロトコルのAARメッセージまたはSTRメッセージが使用される。AAAによって送信された要求はPDU sessionのアドレスを含み、PDU sessionを識別するために使用され、PDU sessionの識別を支援するためのUEの1つまたは複数のIDをさらに含んでよい。加えて、AAAがこれらの情報をPCFに送信している(たとえば、AAAがPCFを使用してPDU session修正要求を送信しており、要求がこれらの情報を含む)場合、これらの情報は含まれる必要がない。
417b2.PCFがさらに、PDU sessionを修正または解放するようにSMFをトリガする。
418.SMFがPDU sessionを修正または解放する。
419.AAAが、PDU sessionの修正に対する応答、またはPDU sessionの解放に対する応答を受信する。
419aに対応して、応答がSMFによってAAAに送信されてよい(ステップ419a)。応答がPDU sessionの修正に対する応答である場合、応答メッセージはdiameterプロトコルのRAAメッセージである。応答がPDU sessionの解放に対する応答である場合、応答メッセージはdiameterプロトコルのASAメッセージである。
417b1に対応して、PCFがSMFから応答を受信する(ステップ419b1)。さらに、PCFがAAAに応答を送信する(ステップ419b2)。応答がPDU sessionの修正に対する応答である場合、PCFによって送信された応答メッセージは、diameterプロトコルのAAAメッセージである(diameterプロトコルのメッセージおよび規格内のAAAネットワーク要素は同じ名前をもつ)。応答がPDU sessionの解放に対する応答である場合、応答メッセージはdiameterプロトコルのAAAメッセージまたはSTAメッセージである。
この実施形態では、SMFは、UEのイーサネットアドレスを取得するか、またはUEもしくはトンネルによって使用されるIPアドレス/プレフィックスをUEに割り当てる。SMFはこれらのアドレスを認可要求のdiameterメッセージに追加し、AAAにdiameterメッセージを送信し、その結果、DNはPDU sessionのPDUを識別することができ、PDU sessionが確立された後に再びUEに対する認証を実行するときに、認証結果に対応するPDU sessionと関連付けることができる。さらに、認証が成功または失敗すると、AAAは修正または解放がトリガされるべきPDU sessionを知る。その上、この実施形態では、AAAは、PDU sessionの修正および解放をトリガするために使用され、その結果、複数の認証プロトコルがサポートされ、3GPPネットワークはさらに更新される必要がない。
本発明の一実施形態はセッション処理方法をさらに提供する。認可プロビジョニングおよび認可修正/PDU sessionの取消しを使用して、ユーザプレーンに対して実行される認証を記載するために、一例としてデータネットワーク要素がAAAのプロキシネットワーク要素、すなわち、AAA proxyであることが使用される。図8Aおよび図8Bに示されたように、方法は以下のステップを含む。
501.UEがPDU session確立要求およびUEの2次IDをAMFに送信する。
確かに、PDU sessionのタイプがイーサネットタイプである場合、UEはUEのイーサネットアドレスと要求の両方をAMFに送信する。
502.AMFが、UEのPDU session確立要求、UEのSUPI、UEのPEI、およびUEの2次IDをSMFに送信する。
PDU sessionのタイプがイーサネット(登録商標)である場合、UEのイーサネットアドレスもSMFに送信される。
オプション:503.SMFが、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があると判断する。
具体的な実装形態では、SMFは、ローカルにあらかじめ記憶されたポリシー(たとえば、DNにアクセスするにはAAAによる認証および認可が必要である)に基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。あるいは、SMFは、判断基準として、UEによって送信されたPDU session確立要求内で搬送された関連命令を使用することができる。あるいは、SMFは、ステップ502とステップ503との間でUDMからUEのサブスクリプション情報を読み取り、サブスクリプション情報内の読取り関連ポリシーに基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。
504.SMFがUEにセッションアドレスを割り当てる。
UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプである場合、SMFは、UEによって使用されるべきセッションアドレス、すなわち、前述のセッションアドレスとして、ステップ503において受信されたUEのイーサネットアドレスを使用し、ステップ504をスキップし、ステップ505を直ちに実行できることに留意されたい。
加えて、UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプではない場合、ステップ504が実行される必要がある。具体的には、PDU sessionのタイプがIPv4である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPアドレスをUEに割り当てる。PDU sessionのタイプがIPv6である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPプレフィックスをUEに割り当てる。PDU sessionのタイプが非構造化である場合、SMFは、UEによって使用されるべきセッションアドレスとして、トンネルIPアドレスまたはトンネルIPプレフィックスをUEに割り当てる。トンネルIPアドレスまたはトンネルIPプレフィックスはUPFに割り当てられる。
505.SMFが認可要求をAAA proxyに送信し、セッションアドレスおよび2次IDもAAA proxyに送信する。
場合によっては、SMFはさらに、UEのSUPI、UEのPEI、およびUEの外部IDのうちのいずれか1つまたは複数をAAAプロキシに送信することができる。SMFは、UEのサブスクリプションデータ内でUEの外部IDを見つけることができる。具体的な実装形態では、SMFは、diameterプロトコルのAARメッセージを使用して、送信予定メッセージをAAA proxyに送信することができる。
506.AAA proxyがAAAに認可要求を送信し、要求はUEの2次IDを含む。
507.AAAが、UEがDNにアクセスする許可をもつかどうかをチェックする。UEが許可をもつ場合、認可成功メッセージが返され、手順は続行する。
ステップ506およびステップ507はオプションのステップであることに留意されたい。
508.AAA proxyがdiameterプロトコルのAAAメッセージをSMFに送信し、AAAメッセージは認可結果を含む。
認可結果は、UE向けに確立されるべきPDU sessionに対する許可を示す認可情報である。場合によっては、認可情報は、PDU sessionがAAA proxyのみにアクセスすることを許可されることを示す。さらに、PDU sessionの最大送信レートは、比較的小さい値に制限される場合がある。
いくつかの実施形態では、場合によっては、PDU sessionに対する許可は、AAA proxyならびにDNSサーバおよび/またはDHCPサーバにアクセスすることを許可している。PDU sessionはDHCPサーバにアクセスすることを許可され、その結果、UEは、DHCPを使用してIPアドレスを取得することができる。PDU sessionはDNSサーバにアクセスすることを許可され、その結果、UEは、DNSを使用してAAA/AAA proxyのアドレスを検索することができる。
509.SMFがPDU sessionに関する情報をPCFに通知し、情報はPDU sessionのアドレスを含む。
場合によっては、SMFはさらに、UEの1つまたは複数のIDをPCFに送信することができる。
510.PCFがPDU sessionのポリシーをSMFに送信する。
場合によっては、PDU sessionのポリシーは、PDU sessionがAAAのみにアクセスすることを許可されることを示し、さらに、PDU sessionの最大送信レートのしきい値を示すことができ、しきい値は比較的低い送信レートである。
ステップ508およびステップ510のうちの少なくとも1つは、PDU sessionがAAA proxyのみにアクセスすることを許可されることを示すことに留意されたい。
511.SMFがPDU sessionに関する情報をUPFに通知し、情報はPDU sessionのアドレスおよびPDU sessionの処理ルールを含む。
PDU sessionの処理ルールは、受信されたPDU sessionのポリシーに基づいてSMFによって生成され、UPFは、PDU sessionの処理ルールを実行することにより、PDU sessionが認可された範囲を超えないことを保証することに留意されたい。具体的には、処理ルールは、PDU sessionがAAAのみにアクセスすることを許可されること、およびPDU sessionの最大送信レートがしきい値を超えるべきではないことを示すことができる。
512.UPFが応答でSMFに返事する。
513.SMFがPDU session確立応答をAMFに送信する。
514.AMFがPDU session確立応答をUEに転送する。
515.UEがPDU sessionのアドレスを取得する。
UEによって送信されたPDUがイーサネットタイプである場合、PDU sessionのアドレスはUEのイーサネットアドレスである。PDUのタイプがイーサネットタイプではなく、たとえば、IPタイプまたは非構造化タイプである場合、PDU sessionのアドレスはSMFによってUEに割り当てられ、SMFは、別のメッセージを使用することにより、UEに割り当てられたアドレスをUEに送信する、たとえば、DHCPプロトコルのメッセージを使用してアドレスを送信する。加えて、メッセージは、代替として、UEに割り当てられたアドレスを通知するために、ステップ515とステップ516との間で送信されてよい。
516.AAAが確立されたPDU sessionを使用してUEに対する認証を実行する。
具体的には、認証メッセージは、PDUを使用してUEとAAA proxyとの間で送信される。AAAプロキシは、認証メッセージをAAAおよびUEに転送する。
さらに、PDUのタイプがIPである場合、任意のIPプロトコルベースの認証プロトコル、たとえば、SIPプロトコルが使用されてよい。PDUのタイプがイーサネット(登録商標)である場合、イーサネットベースの認証プロトコル、たとえば、PPPoEプロトコルおよびEAPoLプロトコルが使用されてよい。
517.AAA proxyが、認証結果に基づいて、PDU sessionが修正または解放される必要があると判断する。
具体的には、認証が成功した場合、AAAは、PDU sessionがAAA以外のネットワーク要素にアクセスすることができ、かつ/またはUEがPDU sessionを使用してより高い送信レートでAAA proxy以外のネットワーク要素にアクセスすることができるように、PDU sessionが修正される必要があると判断する。認証が成功した場合、AAAはPDU sessionが解放される必要があると判断する。
加えて、認証結果とPDU sessionとの間の対応関係は、PDU sessionのアドレスに基づいて決定されてよい。具体的には、アップリンクトラフィック内のPDUのソースアドレスまたはソーストンネルアドレスを識別することにより、認証が前述のPDU sessionに対応すると判断されてよい。たとえば、認証結果を搬送するPDUのソースアドレスまたはソーストンネルアドレスは、認証結果に対応するPDU sessionのアドレスである。同様に、ダウンリンクトラフィック内のPDUの宛先アドレスまたは宛先トンネルアドレスを使用することにより、認証が前述のPDU sessionに対応すると判断されてよい。PDUのタイプがIPv4である場合、アップリンクPDUのソースIPアドレスおよびダウンリンクPDUの宛先IPアドレスは、ステップ505において取得されたIPアドレス(すなわち、セッションアドレス)と一致する。PDUのタイプがIPv6である場合、アップリンクPDUのソースIPアドレスおよびダウンリンクPDUの宛先IPアドレスは、ステップ507において取得されたIPプレフィックスと一致する。PDUのタイプがイーサネット(登録商標)である場合、アップリンクPDUのソースイーサネットアドレスおよびダウンリンクPDUの宛先イーサネットアドレスは、ステップ505において取得されたイーサネットアドレスと一致する。PDUのタイプが非構造化である場合、アップリンクPDUのソーストンネルアドレスおよびダウンリンクPDUの宛先トンネルアドレスは、ステップ505において取得されたトンネルIPアドレスまたはトンネルIPプレフィックスと一致する。
518.ステップ517の結果に基づいて、AAA proxyがPDU session修正要求またはPDU session解放要求を送信する。
518a.要求がSMFに送信され得る。要求がPDU session修正要求である場合、diameterプロトコルのRARメッセージが使用される。要求がPDU session解放要求である場合、diameterプロトコルのASRメッセージが使用される。
518b1.要求が、代替として、PCFに送信され得る。要求がPDU session修正要求である場合、diameterプロトコルのAARメッセージが使用される。要求がPDU session解放要求である場合、diameterプロトコルのAARメッセージまたはSTRメッセージが使用される。AAAによって送信された要求はPDU sessionのアドレスを含み、PDU sessionを識別するために使用され、PDU sessionの識別を支援するためのUEの1つまたは複数のIDをさらに含んでよい。加えて、AAAがこれらの情報をPCFに送信している(たとえば、AAA proxyがPCFを使用してPDU session修正要求を送信しており、要求がこれらの情報を含む)場合、これらの情報は含まれる必要がない。
518b2.PCFがさらに、PDU sessionを修正または解放するようにSMFをトリガする。
519.SMFがPDU sessionを修正または解放する。
520.AAA proxyが、PDU sessionの修正に対する応答、またはPDU sessionの解放に対する応答を受信する。
518aに対応して、応答がSMFによってAAA proxyに送信されてよい(ステップ520a)。応答がPDU sessionの修正に対する応答である場合、応答メッセージはdiameterプロトコルのRAAメッセージである。応答がPDU sessionの解放に対する応答である場合、応答メッセージはdiameterプロトコルのASAメッセージである。
518b1に対応して、PCFがSMFから応答を受信する(ステップ520b1)。さらに、PCFがAAA proxyに応答を送信する(ステップ520b2)。応答がPDU sessionの修正に対する応答である場合、PCFによって送信された応答メッセージは、diameterプロトコルのAAAメッセージである(diameterプロトコルのメッセージおよび規格内のAAAネットワーク要素は同じ名前をもつ)。応答がPDU sessionの解放に対する応答である場合、応答メッセージはdiameterプロトコルのAAAメッセージまたはSTAメッセージである。
この実施形態と前述の実施形態との違いは、AAAのプロキシネットワーク要素、すなわち、AAA proxyが追加され、前述の実施形態においてAAAによって実行されたほとんどのステップがAAA proxyに移されていることにある。加えて、この実施形態におけるAAAは、IPマルチメディアサブシステム(IP multimedia subsystem、IMS)内のS−CSCFネットワーク要素であってよく、AAA proxyは、IMS内のP−CSCFネットワーク要素であってよい。
従来技術と比較して、この実施形態では、SMFは、UEのイーサネットアドレスを取得するか、またはUEもしくはトンネルによって使用されるIPアドレス/プレフィックスをUEに割り当てる。SMFはこれらのアドレスを認可要求のdiameterメッセージに追加し、AAA proxyにdiameterメッセージを送信し、その結果、AAA proxyはPDU sessionのPDUを識別することができ、PDU sessionが確立された後に再びUEに対する認証を実行するときに、認証結果に対応するPDU sessionと関連付けることができる。さらに、認証が成功または失敗すると、AAA proxyは修正または解放がトリガされるべきPDU sessionを知る。
本発明の一実施形態はセッション処理方法をさらに提供する。認可プロビジョニングおよび認可修正/PDU sessionの取消しを使用して、ユーザプレーンに対して実行される認証を記載するために、一例としてデータネットワーク要素がAAAのプロキシネットワーク要素、すなわち、AAA proxyであることが使用される。図9Aおよび図9Bに示されたように、方法は以下のステップを含む。
601.UEがPDU session確立要求およびUEの2次IDをAMFに送信する。
確かに、PDU sessionのタイプがイーサネットタイプである場合、UEはUEのイーサネットアドレスと要求の両方をAMFに送信する。
602.AMFが、UEのPDU session確立要求、UEのSUPI、UEのPEI、およびUEの2次IDをSMFに送信する。
PDU sessionのタイプがイーサネット(登録商標)である場合、UEのイーサネットアドレスもSMFに送信される。
オプション:603.SMFが、AAAがUEに対する認証を実行し、かつ/またはUEのPDU sessionに対する認可を実行する必要があると判断する。
SMFは、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があると判断する。
具体的な実装形態では、SMFは、ローカルにあらかじめ記憶されたポリシー(たとえば、DNにアクセスするにはAAAによる認証および認可が必要である)に基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。あるいは、SMFは、判断基準として、UEによって送信されたPDU session確立要求内で搬送された関連命令を使用することができる。あるいは、SMFは、ステップ602とステップ603との間でUDMからUEのサブスクリプション情報を読み取り、サブスクリプション情報内の読取り関連ポリシーに基づいて、AAAがUEに対する認証を実行するか、またはUEのPDU sessionに対する認可を実行する必要があるかどうかを判定することができる。
604.SMFがUEにセッションアドレスを割り当てる。
UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプである場合、SMFは、UEによって使用されるべきセッションアドレス、すなわち、前述のセッションアドレスとして、ステップ603において受信されたUEのイーサネットアドレスを使用し、ステップ604をスキップし、ステップ605を直ちに実行できることに留意されたい。
加えて、UE向けに確立されるべきPDU sessionのタイプがイーサネットタイプではない場合、ステップ604が実行される必要がある。具体的には、PDU sessionのタイプがIPv4である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPアドレスをUEに割り当てる。PDU sessionのタイプがIPv6である場合、SMFはUEによって使用されるべきセッションアドレスとしてIPプレフィックスをUEに割り当てる。PDU sessionのタイプが非構造化である場合、SMFは、UEによって使用されるべきセッションアドレスとして、トンネルIPアドレスまたはトンネルIPプレフィックスをUEに割り当てる。トンネルIPアドレスまたはトンネルIPプレフィックスはUPFに割り当てられる。
605.SMFが、AAAまたはAAA proxyに認可要求を送信し、AAAまたはAAA proxyにセッションアドレスおよび2次IDも送信する。
場合によっては、SMFはさらに、UEのSUPI、UEのPEI、およびUEの外部IDのうちのいずれか1つまたは複数をAAA proxyまたはAAAに送信することができる。SMFは、UEのサブスクリプションデータ内でUEの外部IDを見つけることができる。具体的な実装形態では、SMFは、diameterプロトコルのAARメッセージを使用して、AAA proxyまたはAAAに送信予定メッセージを送信することができる。
606.AAA/AAA proxyがタイマを開始する。
607.AAA/AAA proxyがdiameterプロトコルのAAAメッセージまたはDEAメッセージをSMFに送信し、AAAメッセージまたはDEAメッセージは認可結果を含む。
認可結果は、UE向けに確立されるべきPDU sessionに対する許可を示す認可情報である。場合によっては、認可情報は、PDU sessionがAAAまたはAAA proxyのみにアクセスすることを許可されることを示す。さらに、PDU sessionの最大送信レートは、比較的小さい値に制限される場合がある。
いくつかの実施形態では、場合によっては、PDU sessionに対する許可は、AAA proxyならびにDNSサーバおよび/またはDHCPサーバにアクセスすることを許可している。PDU sessionはDHCPサーバにアクセスすることを許可され、その結果、UEは、DHCPを使用してIPアドレスを取得することができる。PDU sessionはDNSサーバにアクセスすることを許可され、その結果、UEは、DNSを使用してAAA/AAA proxyのアドレスを検索することができる。
ステップ606とステップ607は入れ替えられてよいことに留意されたい。言い換えれば、AAA/AAA proxyは、diameterプロトコルのAAAメッセージまたはDEAメッセージをSMFに送信した後にタイマを開始する。
608.SMFがPDU sessionに関する情報をPCFに通知し、情報はPDU sessionのアドレスを含む。
場合によっては、SMFはさらに、UEの1つまたは複数のIDをPCFに送信することができる。
609.PCFがPDU sessionのポリシーをSMFに送信する。
場合によっては、PDU sessionのポリシーは、PDU sessionがAAAのみにアクセスすることを許可されることを示し、さらに、PDU sessionの最大送信レートのしきい値を示すことができ、しきい値は比較的低い送信レートである。
ステップ607およびステップ609のうちの少なくとも1つは、PDU sessionがAAAまたはAAA proxyのみにアクセスすることを許可されることを示すことに留意されたい。
610.SMFがPDU sessionに関する情報をUPFに通知し、情報はPDU sessionのアドレスおよびPDU sessionの処理ルールを含む。
PDU sessionの処理ルールは、受信されたPDU sessionのポリシーに基づいてSMFによって生成され、UPFは、PDU sessionの処理ルールを実行することにより、PDU sessionが認可された範囲を超えないことを保証することに留意されたい。具体的には、処理ルールは、PDU sessionがAAAまたはAAA proxyのみにアクセスすることを許可されること、およびPDU sessionの最大送信レートがしきい値を超えるべきではないことを示すことができる。
611.UPFが応答でSMFに返事する。
612.SMFがPDU session確立応答をAMFに送信する。
613.AMFがPDU session確立応答をUEに転送する。
614.UEがPDU sessionのアドレスを取得する。
UEによって送信されたPDUがイーサネットタイプである場合、PDU sessionのアドレスはUEのイーサネットアドレスである。PDUのタイプがイーサネットタイプではなく、たとえば、IPタイプまたは非構造化タイプである場合、PDU sessionのアドレスはSMFによってUEに割り当てられ、SMFは、別のメッセージを使用して、UEに割り当てられたアドレスをUEに送信する、たとえば、DHCPプロトコルのメッセージを使用してアドレスを送信する。加えて、メッセージは、代替として、UEに割り当てられたアドレスを通知するために、ステップ614とステップ615との間で送信されてよい。
615.タイマがタイムアウトし、AAA/AAA proxyがUEによって送信されたPDU sessionのPDUを受信していない場合、PDU sessionが解放される必要があると判断する。
AAA/AAA proxyは、ステップ605において取得されたアドレスに基づいて、PDU sessionのPDUを識別することができる。PDUのソースアドレスまたはソーストンネルアドレスを識別すると、PDUが前述のPDU sessionに対応するかどうかを判定することができる。たとえば、PDUのタイプがIPv4である場合、PDUソースIPアドレスは、ステップ605において取得されたIPアドレスと一致する。PDUのタイプがIPv6である場合、PDUソースIPアドレスは、ステップ605において取得されたIPプレフィックスと一致する。PDUのタイプがイーサネット(登録商標)である場合、PDUソースイーサネットアドレスは、ステップ605において取得されたイーサネットアドレスと一致する。PDUのタイプが非構造化である場合、PDUソーストンネルアドレスは、ステップ605において取得されたトンネルIPアドレスまたはトンネルIPプレフィックスと一致する。
616.ステップ615の結果に基づいて、AAA/AAA proxyがPDU session解放要求を送信する。
616a.AAA/AAA proxyがSMFに要求を送信することができる。PDU session解放要求の場合、diameterプロトコルのASRメッセージが使用される。
616b1.AAA/AAA proxyがPCFに要求を送信することができる。PDU session解放要求の場合、diameterプロトコルのAARメッセージまたはSTRメッセージが使用される。AAA proxy/AAAによって送信された要求はPDU sessionのアドレスを含み、PDU sessionを識別するために使用され、PDU sessionの識別を支援するためのUEの1つまたは複数のIDをさらに含んでよい。加えて、AAA proxy/AAAがこれらの情報をPCFに送信している(たとえば、AAA proxy/AAAがPCFを使用してPDU session修正要求を送信しており、要求がこれらの情報を含む)場合、これらの情報は含まれる必要がない。
616b2.PCFがさらに、PDU sessionを解放するようにSMFをトリガする。
617.SMFがPDU sessionを解放する。
618.AAA proxy/AAAがPDU sessionの解放に対する応答を受信する。
616aに対応して、応答がSMFによってAAA proxyに送信されてよい(ステップ618a)。PDU sessionの解放に対する応答メッセージは、diameterプロトコルのASAメッセージである。
616b1に対応して、PCFがSMFから応答を受信する(ステップ618b1)。さらに、PCFがAAA proxyに応答を送信する(ステップ618b2)。PDU sessionの解放に対する応答メッセージは、diameterプロトコルのAAAメッセージまたはSTAメッセージである。
従来技術と比較して、この実施形態では、SMFは、UEのイーサネットアドレスを取得することができるか、またはUEもしくはトンネルによって使用されるIPアドレス/プレフィックスをUEに割り当てる。SMFはこれらのアドレスを認可要求のdiameterメッセージに追加し、AAA/AAA proxyにdiameterメッセージを送信し、その結果、AAA/AAA proxyはPDU sessionのPDUを識別することができ、タイムアウトしたときに認証に使用されたPDU sessionのPDUが受信されないとき、AAA/AAA proxyはPDU sessionが解放される必要があると判断する。さらに、AA/AAA proxyは、PCFを使用してPDU sessionの解放をトリガする。
上記は、主に、ネットワーク要素間の相互作用の観点から、本出願の実施形態において提供される解決策を記載した。上記の機能を実装するために、SMFおよびデータネットワークのネットワーク要素などのネットワーク要素は、機能を実装するための対応するハードウェア構造および/またはソフトウェアモジュールを含むことを理解されたい。本明細書で開示された実施形態を参照して記載された例におけるアルゴルズムステップは、ハードウェアまたはハードウェアとコンピュータソフトウェアの組合せによって実装されてよいことを、当業者なら認識するべきである。機能がハードウェアによって実行されるか、またはコンピュータソフトウェアによって駆動されるハードウェアによって実行されるかは、技術的解決策の特定の用途および設計制約に依存する。当業者は、様々な方法を使用して、特定の用途ごとに記載された機能を実装することができるが、その実装形態が本出願の範囲を超えると考えられるべきではない。
本出願の実施形態では、前述の方法例に基づいて、SMFおよびデータネットワークのネットワーク要素に対して機能モジュール分割が実行されてよい。たとえば、機能モジュール分割は機能に対応して実行されてよく、または2つ以上の機能が1つの処理モジュールに統合されてよい。統合モジュールは、ハードウェアの形態で実装されてもよく、ソフトウェア機能モジュールの形態で実装されてもよい。本出願の実施形態におけるモジュール分割は一例であり、論理的な機能分割にすぎないことに留意されたい。実際の実装形態では、別の分割方式が使用されてよい。
機能モジュールが対応する機能に基づく分割によって取得されるとき、図10は、前述の実施形態におけるセッション管理機能ネットワーク要素SMFの可能な概略構成図である。図10に示されたように、SMFは、受信ユニット701、決定ユニット702、送信ユニット703、および確立ユニット704を含んでよい。
受信ユニット701は、図4に示されたセッション処理方法のステップ101を実行する際にSMFをサポートするように構成される。
決定ユニット702は、図4に示されたセッション処理方法のステップ102を実行する際にSMFをサポートするように構成される。
決定ユニット703は、図4に示されたセッション処理方法のステップ103を実行する際にSMFをサポートするように構成される。
確立ユニット704は、図4に示されたセッション処理方法のステップ104を実行する際にSMFをサポートするように構成される。
前述の方法実施形態におけるステップに関連するすべての内容は、対応する機能モジュールの機能説明において引用されてよいことに留意されたい。詳細は本明細書では再び記載されない。
本出願のこの実施形態において提供されたSMFは、前述の発見信号送信方法を実行するように構成され、したがって、前述の発見信号送信方法と同じ効果を達成することができる。
統合ユニットが使用されるとき、図11は、前述の実施形態において使用されたSMFの別の可能な概略構成図である。図11に示されたように、SMFは処理モジュール801および通信モジュール802を含む。
処理モジュール801は、サーバの動作を制御および管理するように構成される。たとえば、処理モジュール801は、図4のステップ102およびステップ105を実行する際にSMFをサポートし、かつ/または本明細書に記載された技術の別のプロセスを実行するように構成される。通信モジュール802は、SMFと別のネットワークエンティティとの間の通信、たとえば、図1に示されたSMFとUPFとの間の通信をサポートするように構成される。SMFは、サーバのプログラムコードおよびデータを記憶するように構成された記憶モジュール803をさらに含んでよい。
処理モジュール801はプロセッサまたはコントローラであってよい。処理モジュール801は、本出願で開示された内容を参照して記載された様々な例示的な論理ブロック、モジュール、および回路を実装または実行することができる。あるいは、プロセッサは、計算機能を実装するための組合せ、たとえば、1つもしくは複数のマイクロプロセッサを含む組合せ、またはDSPとマイクロプロセッサの組合せであってよい。通信モジュール802は、トランシーバ、トランシーバ回路、通信インターフェースなどであってよい。記憶モジュール803はメモリであってよい。
処理モジュール801がプロセッサであり、通信モジュール802が通信インターフェースであり、記憶モジュール803がメモリであるとき、本出願のこの実施形態において使用されるSMFは、図2に示されたセッション管理機能ネットワーク要素であってよい。
機能モジュールが対応する機能に基づく分割によって取得されるとき、図12は、前述の実施形態において使用されたデータネットワークのネットワーク要素の可能な概略構成図である。図12に示されたように、データネットワークのネットワーク要素は、受信ユニット901、送信ユニット902、検出ユニット903、および生成ユニット904を含んでよい。データネットワークのネットワーク要素は、図1に示されたDN内のネットワーク要素であってよい。
受信ユニット901は、図4に示されたセッション処理方法のステップ103を実行する際にデータネットワークのネットワーク要素をサポートするように構成される。
送信ユニット902は、図4に示されたセッション処理方法のステップ104、およびステップ107の中の「生成ユニットによって生成されたセッション処理要求を使用することにより、UEのセッションを処理するようにSMFに指示する」ステップを実行する際に、データネットワークのネットワーク要素をサポートするように構成される。
検出ユニット903は、図4に示されたセッション処理方法のステップ106を実行する際にデータネットワークのネットワーク要素をサポートするように構成される。
生成ユニット904は、図4に示されたセッション処理方法のステップ107の中の「セッション処理要求を生成する」ステップを実行する際にデータネットワークのネットワーク要素をサポートするように構成される。
前述の方法実施形態におけるステップに関連するすべての内容は、対応する機能モジュールの機能説明において引用されてよいことに留意されたい。詳細は本明細書では再び記載されない。
本出願のこの実施形態において提供されたデータネットワークのネットワーク要素は、前述の発見信号送信方法を実行するように構成され、したがって、前述の発見信号送信方法と同じ効果を達成することができる。
統合ユニットが使用されるとき、図13は、前述の実施形態において使用されたデータネットワークのネットワーク要素の別の可能な概略構成図である。図13に示されたように、データネットワークのネットワーク要素は、処理モジュール1001および通信モジュール1002を含む。
処理モジュール1001は、データネットワークのネットワーク要素の動作を制御および管理するように構成される。たとえば、処理モジュール1001は、図4のステップ106およびステップ107を実行する際にSMFをサポートし、かつ/または本明細書に記載された技術の別のプロセスを実行するように構成される。通信モジュール1002は、データネットワークのネットワーク要素と別のネットワークエンティティとの間の通信、たとえば、図1に示されたデータネットワークのネットワーク要素とUPFとの間の通信をサポートするように構成される。図13に示されたように、データネットワークのネットワーク要素は、データネットワークのネットワーク要素のプログラムコードおよびデータを記憶するように構成された記憶モジュール1003をさらに含んでよい。
処理モジュール1001はプロセッサまたはコントローラであってよい。処理モジュール1001は、本出願で開示された内容を参照して記載された様々な例示的な論理ブロック、モジュール、および回路を実装または実行することができる。あるいは、プロセッサは、計算機能を実装するための組合せ、たとえば、1つもしくは複数のマイクロプロセッサを含む組合せ、またはDSPとマイクロプロセッサの組合せであってよい。通信モジュール1002は、トランシーバ、トランシーバ回路、通信インターフェースなどであってよい。記憶モジュール1003はメモリであってよい。
処理モジュール1001がプロセッサであり、通信モジュール1002が通信インターフェースであり、記憶モジュール1003がメモリであるとき、本出願のこの実施形態において使用されるデータネットワークのネットワーク要素は、図3に示されたデータネットワークのネットワーク要素であってよい。
実装形態に関する前述の説明から、当業者は、便利で簡潔な説明のために、前述の機能モジュールの分割が説明用の例として使用されることを理解することができる。実際の適用例では、前述の機能は、要件に応じて様々な機能モジュールに割り振られるか、または様々な機能モジュールによって実装されてよい。言い換えれば、装置の内部構造は、上述された機能のすべてまたは一部を実装するために、異なる機能モジュールに分割される。前述のシステム、装置、およびユニットの詳細な動作プロセスについては、前述の方法実施形態における対応するプロセスを参照されたく、本明細書では詳細は再び記載されない。
本出願で提供されたいくつかの実施形態では、開示されたシステム、装置、および方法は他の方式で実装されてよいことを理解されたい。たとえば、記載された装置実施形態は一例にすぎない。たとえば、モジュール分割またはユニット分割は論理的な機能分割にすぎず、実際の実装形態では他の分割であってよい。たとえば、複数のユニットまたは構成要素は組み合わされてもよく、別のシステムに統合されてもよく、または、いくつかの特徴は無視されるか、もしくは実行されなくてもよい加えて、表示または説明された相互結合または直接結合または通信接続は、いくつかのインターフェースを使用して実装されてよい。装置間またはユニット間の間接結合または通信接続は、電気、機械、または他の形態で実装されてよい。
別々の部分として記載されたユニットは、物理的に分かれていてもいなくてもよく、ユニットとして表示された部分は、物理ユニットであってもそうでなくてもよく、1つの場所に配置されてもよく、複数のネットワークユニット上に分散されてもよい。ユニットの一部またはすべては、実施形態の解決策の目的を達成するために、実際の要件に応じて選択されてよい。
加えて、本出願の実施形態における機能ユニットは1つの処理ユニットに統合されてよく、またはユニットの各々は物理的に単独で存在してよく、または2つ以上のユニットは1つのユニットに統合されてよい。統合ユニットは、ハードウェアの形態で実装されてもよく、ソフトウェア機能ユニットの形態で実装されてもよい。
統合ユニットがソフトウェア機能ユニットの形態で実装され、独立した製品として販売または使用されるとき、統合ユニットはコンピュータ可読記憶媒体に記憶されてよい。そのような理解に基づいて、本出願の技術的解決策は本質的に、または従来技術に寄与する部分は、または技術的解決策のうちのすべてもしくは一部は、ソフトウェア製品の形態で実装されてよい。コンピュータソフトウェア製品は、記憶媒体に記憶され、本出願の実施形態における方法のステップのうちのすべてまたは一部を実行するように、(パーソナルコンピュータ、サーバ、ネットワークデバイスなどであってよい)コンピュータデバイスに命令するためのいくつかの命令を含む。前述の記憶媒体には、フラッシュメモリ、リムーバルハードディスク、読取り専用メモリ、ランダムアクセスメモリ、磁気ディスク、または光ディスクなどの、プログラムコードを記憶することができる任意の媒体が含まれる。
上記の説明は、本出願の具体的な実装形態にすぎず、本出願の保護範囲を限定するものではない。本出願で開示された技術的範囲内のいかなる変形または置換も、本出願の保護範囲内に入るべきである。したがって、本出願の保護範囲は、特許請求の範囲の保護範囲に従うべきである。