JP7006742B2 - ソースコアネットワークのノード及び方法 - Google Patents

ソースコアネットワークのノード及び方法 Download PDF

Info

Publication number
JP7006742B2
JP7006742B2 JP2020149665A JP2020149665A JP7006742B2 JP 7006742 B2 JP7006742 B2 JP 7006742B2 JP 2020149665 A JP2020149665 A JP 2020149665A JP 2020149665 A JP2020149665 A JP 2020149665A JP 7006742 B2 JP7006742 B2 JP 7006742B2
Authority
JP
Japan
Prior art keywords
handover
security
security key
message
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020149665A
Other languages
English (en)
Other versions
JP2020198645A (ja
Inventor
アナンド ラガワ プラサド
シバカミー ラクシュミナラヤナン
シババラン アルムガム
シーバ バッキア メーリ バスカラン
博紀 伊藤
アンドレアス クンツ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JP2020198645A publication Critical patent/JP2020198645A/ja
Application granted granted Critical
Publication of JP7006742B2 publication Critical patent/JP7006742B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0077Transmission or use of information for re-establishing the radio link of access information of target access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/12Reselecting a serving backbone network switching or routing node

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は通信システム、セキュリティ装置、通信端末、及び通信方法に関する。
現在、通信端末と基地局との間において用いられる無線通信方式として、3GPP(3rd Generation Partnership Project)において規定された規格であるLTE(Long Term Evolution)が普及している。LTEは、高速及び大容量の無線通信を実現するために用いられる無線通信方式である。また、LTEを用いる無線ネットワークを収容するコアネットワークとして、3GPPにおいて、SAE(System Architecture Evolution)もしくはEPC(Evolved Packet Core)等と称されるパケットネットワークが規定されている。
通信端末は、LTEを用いた通信サービスを利用するために、コアネットワークへの登録が必要とされる。通信端末をコアネットワークへ登録する手順として、3GPPにおいてAttach Procedureが規定されている。コアネットワーク内に配置されているMME(Mobility Management Entity)は、Attach Procedureにおいて通信端末の識別情報を用いて通信端末の認証処理等を実行する。MMEは、加入者情報を管理するHSS(Home Subscriber Server)等と連携し、通信端末の認証処理を行う。通信端末の識別情報として、例えば、IMEISV(International Mobile Equipment Identity)もしくはIMSI(International Mobile Subscriber Identity)等が用いられる。
近年、3GPPにおいて、IoT(Internet of Things)サービスに関する検討が進められている。IoTサービスには、ユーザの操作を必要とせず、自律的に通信を実行する端末(以下、IoT端末とする)が数多く用いられる。そこで、サービス事業者が多くのIoT端末を用いてIoTサービスを提供するために、通信事業者等が管理するモバイルネットワークにおいて、多くのIoT端末を効率的に収容することが望まれている。モバイルネットワークは、無線ネットワーク及びコアネットワークを含むネットワークである。
非特許文献1のAnnex Bにおいて、ネットワークスライシングを適用したコアネットワークの構成が記載されている。ネットワークスライシングは、多くのIoT端末を効率的に収容するために、提供するサービス毎にコアネットワークを分割する技術である。また、5.1節において、分割されたそれぞれのネットワーク(ネットワークスライスシステム)には、カスタマイズや最適化が必要になることが記載されている。
ネットワークスライシングを適用したシステムは、例えば、NextGen(Next Generation) Systemとも称される。また、NextGen Systemにおいて用いられる無線ネットワークは、NG(Next Generation) RAN(Radio Access Network)と称されてもよい。
3GPP TR23.799 V1.0.2 (2016-9) 3GPP TR33.899 V0.5.0 (2016-10)
通信端末が通信中に移動した場合、NextGen Systemは、LTE及びEPCを有するモバイルネットワークと同様に、ハンドオーバ処理を実行し、通信端末における通信を継続させる必要がある。しかし、NextGen Systemにおいては、セキュリティ処理に関連する様々な機能が導入されており、現在3GPPに規定されているセキュリティ手順を用いたハンドオーバ処理を、NextGen Systemにそのまま適用することができないという問題がある。具体的に、非特許文献2において、ARPF(Authentication Credential Repository and Processing Function)、AUSF(Authentication Server Function)、SEAF(Security Anchor Function)、及びSCMF(Security Context Management Function)等をNextGen Systemに導入することが検討されている。
本発明の目的は、NextGen Systemにおいてハンドオーバ処理が実行された場合に必要なセキュリティ手順を実行する通信システム、セキュリティ装置、通信端末、及び通信方法を提供することにある。
本発明の第1の態様にかかる通信システムは、通信端末が存在する通信エリアを形成する第1の基地局と、前記通信端末のハンドオーバ先の通信エリアを形成する第2の基地局とを備え、前記第1の基地局は、前記通信端末からUE Security Capabilitiesを含む前記ハンドオーバに関する第1のメッセージを受信し、前記第2の基地局は、前記UE Security Capabilitiesを含む第2のメッセージを受信し、前記UE Security Capabilitiesに基づいて前記通信端末のハンドオーバ実行確認を実行し、前記ハンドオーバ実行確認の結果に基づいて前記第2のメッセージに対応する第3のメッセージを送信する。
本発明の第2の態様にかかる基地局は、通信端末が存在する通信エリアを形成する基地局であって、通信端末からUE Security Capabilitiesを含む前記ハンドオーバに関する第1のメッセージを受信し、前記通信端末のハンドオーバ先の通信エリアを形成する他の基地局であって、前記UE Security Capabilitiesに基づいて前記通信端末のハンドオーバ実行確認を実行する前記他の基地局へ、前記UE Security Capabilitiesを含む第2のメッセージを送信する通信部を備える。
本発明の第3の態様にかかる制御方法は、通信端末が存在する通信エリアを形成する基地局における制御方法であって、通信端末からUE Security Capabilitiesを含む前記ハンドオーバに関する第1のメッセージを受信し、前記通信端末のハンドオーバ先の通信エリアを形成する他の基地局であって、前記UE Security Capabilitiesに基づいて前記通信端末のハンドオーバ実行確認を実行する前記他の基地局へ、前記UE Security Capabilitiesを含む第2のメッセージを送信する。
本発明の第4の態様にかかる通信端末は、ハンドオーバを実行する通信端末であって、UE Security Capabilitiesを含む前記ハンドオーバに関する第1のメッセージを第1の基地局へ送信する送信部と、前記ハンドオーバ先の通信エリアを形成する第2の基地局が、前記UE Security Capabilitiesに基づいて前記通信端末のハンドオーバ実行確認を行った後に、前記第1の基地局から第2のメッセージを受信する受信部と、を備える。
本発明により、NextGen Systemにおいてハンドオーバ処理が実行された場合に必要なセキュリティ手順を実行する通信システム、セキュリティ装置、通信端末、及び通信方法を提供することができる。
実施の形態1にかかる通信システムの構成図である。 実施の形態2にかかる通信システムの構成図である。 実施の形態2にかかるハンドオーバ処理の流れをを示す図である。 実施の形態2にかかるハンドオーバ処理の流れをを示す図である。 実施の形態2にかかるハンドオーバ処理の流れをを示す図である。 実施の形態3にかかるハンドオーバ処理の流れをを示す図である。 実施の形態3にかかるハンドオーバ処理の流れをを示す図である。 実施の形態4にかかるハンドオーバ処理の流れをを示す図である。 実施の形態4にかかるハンドオーバ処理の流れをを示す図である。 実施の形態4にかかるハンドオーバ処理の流れをを示す図である。 実施の形態4にかかるハンドオーバ処理の流れをを示す図である。 実施の形態4にかかるハンドオーバ処理の流れをを示す図である。 実施の形態5にかかるハンドオーバ処理の流れをを示す図である。 実施の形態5にかかるハンドオーバ処理の流れをを示す図である。 実施の形態6にかかる通信システムの構成図である。 実施の形態6にかかるハンドオーバ処理の流れをを示す図である。 実施の形態6にかかるハンドオーバ処理の流れをを示す図である。 実施の形態6にかかるハンドオーバ処理の流れをを示す図である。 実施の形態6にかかるハンドオーバ処理の流れをを示す図である。 実施の形態6にかかるハンドオーバ処理の流れをを示す図である。 実施の形態6にかかるハンドオーバ処理の流れをを示す図である。 実施の形態6にかかるハンドオーバ処理の流れをを示す図である。 実施の形態6にかかるハンドオーバ処理の流れをを示す図である。 実施の形態7にかかる通信システムの構成図である。 実施の形態7にかかる通信システムの構成図である。
(実施の形態1)
以下、図面を参照して本発明の実施の形態について説明する。図1を用いて実施の形態1にかかる通信システムの構成例について説明する。図1の通信システムは、基地局10、基地局12、及び通信端末20を有している。
基地局10、基地局12、及び通信端末20は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。プロセッサは、例えば、マイクロプロセッサ、MPU(Micro Processing Unit)、もしくはCPU(Central Processing Unit)であってもよい。メモリは、揮発性メモリもしくは不揮発性メモリであってもよく、揮発性メモリ及び不揮発性メモリの組み合わせによって構成されてもよい。プロセッサは、以降の図面を用いて説明されるアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。
通信端末20は、携帯電話端末、スマートフォン端末、IoT端末等であってもよい。
基地局10及び基地局12は、それぞれ通信エリアを形成する。通信端末20は、基地局10によって形成される通信エリアにおいては、基地局10と無線通信を行い、基地局12によって形成される通信エリアにおいては、基地局12と無線通信を行う。図1においては、通信端末20が、基地局10によって形成される通信エリアから、基地局12によって形成される通信エリアへ移動する様子が示されている。つまり、図1は、通信端末20が、基地局10によって形成される通信エリアから、基地局12によって形成される通信エリアへハンドオーバすることを示している。
通信端末20がハンドオーバを実行する際に、基地局10は、通信端末20からUE Security Capabilitiesを含むメッセージを受信する。また、基地局10は、受信したUE Security Capabilitiesを含むメッセージを基地局12へ送信してもよい。基地局10は、基地局10と基地局12との間に設定されたインタフェースもしくはリファレンスポイントを介して、UE Security Capabilitiesを送信してもよい。もしくは、基地局10は、基地局を制御する上位装置を介して基地局12へUE Security Capabilitiesを送信してもよい。
UE Security Capabilitiesは、通信端末20であるUEにおいて実行される暗号化及び完全性保証処理に用いられるアルゴリズム情報に対応する識別情報のセットであってもよい。
基地局12は、UE Security Capabilitiesを含むハンドオーバに関するメッセージを受信すると、UE Security Capabilitiesに基づいて通信端末20のハンドオーバ実行確認を実行する。ハンドオーバ実行確認は、確認処理(check)と称されてもよい。UE Security Capabilitiesを用いたハンドオーバ実行確認は、例えば、UE Security Capabilitiesに、基地局12が実行する暗号化及び完全性保証処理に用いられるアルゴリズム情報が含まれているか否かを判定することであってもよい。基地局12が受信するハンドオーバに関するメッセージは、さらにNSSAIを含んでいてもよい。この場合、基地局12は、NSSAIに基づいてハンドオーバ実行確認を実行する。
基地局12は、ハンドオーバ実行確認の結果に基づいて、受信したUE Security Capabilitiesを含むメッセージに対応するメッセージを送信する。具体的に、基地局12は、UE Security Capabilitiesを用いたハンドオーバ実行確認の結果、通信端末20が基地局12と通信することを許可する場合、基地局10へ、通信端末20のハンドオーバを実行することを要求するメッセージを送信する。
以上説明したように、基地局12は、ハンドオーバ処理が実行される際に、UE Security Capabilitiesを用いたハンドオーバ実行確認を実行する。UE Security Capabilitiesには、例えば、異なる暗号化及び完全性保証処理に用いられる複数のアルゴリズムに関する情報が含まれる。基地局12は、UE Security Capabilitiesを用いたハンドオーバ実行確認を実行することによって、通信端末20が自装置へハンドオーバした後に、通信を継続することができるか否かを判定することができる。
これより、例えば、基地局12が異なるネットワークスライス(もしくはネットワークスライスシステム)に接続している場合に、基地局12は、ハンドオーバにより移動してきた通信端末20が、自装置を介して通信を継続することができるか否かを判定することができる。
(実施の形態2)
続いて、図2を用いて実施の形態2にかかる通信システムの構成例について説明する。図2の通信システムは、ARPFエンティティ(以下、ARPFとする)41、SEAFエンティティ(以下、SEAFとする)43、SCMFエンティティ(以下、SCMFとする)44及び45、CP(C-Plane)-CN(Core Network)46~50、NG-RAN51~58を有している。
ARPF41、SEAF43、SCMF44及び45、CP-CN46~50は、コアネットワークを構成する。NG-RAN51~58は、無線アクセスネットワークを構成する。NG-RANは、例えば、NextGen Systemにおいて用いられる基地局(gNB :Next Generation NodeB)であってもよい。
図2に示す各エンティティは、複数の機能を含んでもよい。例えば、図2においては、ARPF41は、SEAF43とは異なるエンティティであるが、ARPF及びSEAFを実行する一つのエンティティが用いられてもよい。
ARPFエンティティは、ARPFを実行するノード装置である。ARPFは、例えば、通信端末20に相当するUE(User Equipment)が、NextGen Systemへ接続することができるか否かに関する認証処理を実行する機能である。ARPF41は、認証処理に用いるセキュリティ鍵を生成し、生成したセキュリティ鍵を保持する。
SEAFエンティティは、SEAFを実行するノード装置であり、SCMFエンティティは、SCMFを実行するノード装置である。SEAF及びSCMFは、UEがネットワークスライシングされたコアネットワークへ接続することができるか否かに関する認証処理を実行する機能である。
CP-CN46~48は、Mobility Management(MM)を実行するMMエンティティと、Session Management(SM)を実行するSMエンティティとを含む。
具体的には、MMは、UEもしくはUEを管理するユーザをモバイルネットワークへ登録(registration)すること、mobile terminated communicationを可能とする到達性(reachability)をサポートすること、到達不可能なUEの検出、C(Control)-Plane及びU(User)-Planeに関するネットワーク機能を割り当てること、及びモビリティを制限すること、等であってもよい。
また、SMは、UEに対するIP connectivityもしくはnon-IP connectivityの設定を行うことである。言い換えると、SMは、U-Planeのconnectivityを管理もしくは制御することであってもよい。
図2において、NG-RAN間の点線及びCP-CN間の点線は、NG-RAN間及びCP-CN間において直接通信を行うことができることを示している。言い換えると、NG-RAN間及びCP-CN間には、インタフェースもしくはリファレンスポイントが設定されている。
続いて、図3を用いて、NG-RAN53内におけるハンドオーバ処理(INTRA NG RAN HANDOVER)について説明する。NG-RAN53は、1つのセルが、複数のセクタに分割されているとする。INTRA NG RAN HANDOVERは、例えば、UEのセクタ間の移動に伴うハンドオーバであってもよい。また、図3においては、CP-CNの代わりに、MM及びSMを用いて、ハンドオーバ処理について説明する。また、UP-GWは、ユーザプレーンデータを伝送するために用いられるゲートウェイである。以降の図面においても同様である。
はじめに、UEとARPF41との間においてAKA(Authentication and Key Agreement)が実行される。UEとARPF41との間においてAKAが実行されることによって、UEとARPF41とが、セキュリティ鍵Kを共有することができる。
次に、ARPF41は、セキュリティ鍵Kから導出したセキュリティ鍵KSEAFをSEAF43へ送信する(S12)。次に、SEAF43は、セキュリティ鍵KSEAFから導出したセキュリティ鍵KSCMFをSCMF44へ送信する(S13)。
次に、UEとSCMF44との間においてNAS(Non-Access Stratum) Security処理が実行される。NAS Security処理は、例えば、UEとSCMF44との間において、C-Planeデータの暗号化等を行うことができる安全な通信路を確立ることであってもよい。
次に、UEとUP-GWとの間において、UP SMC(Security Mode Command)処理が実行される。UP SMC処理は、例えば、UEとUP-GWとの間において、U-Planeデータの暗号化等を行うことができる安全な通信路を確立することであってもよい。
次に、SCMF44は、セキュリティ鍵KSCMFから導出したセキュリティ鍵KANをNG-RAN53へ送信する(S16)。次に、UEとNG-RAN53との間において、AS Security処理が実行される(S17)。AS Security処理は、例えば、UEとNG-RAN53との間において、データの暗号化等を行うことができる安全な通信路を確立することであってもよい。
次に、NG-RAN53は、Handover Decisionを行う(make the handover decision)(S18)。次に、NG-RAN53は、保持しているセキュリティ鍵KANをリフレッシュする(S19)。言い換えると、NG-RAN53は、セキュリティ鍵KANからセキュリティ鍵KAN*を導出する。例えば、NG-RAN53は、セキュリティ鍵KANを更新し、セキュリティ鍵KAN*を導出する。NG-RAN53は、さらに、セキュリティ鍵KAN*からRRCメッセージ及びユーザプレーンデータに関する完全性保証及び暗号化に用いるセキュリティ鍵を導出する。
次に、NG-RAN53は、Handover CommandメッセージをUEへ送信する(S20)。Handover Commandメッセージは、例えば、セキュリティ鍵KAN*を導出する際に用いたパラメータ、アルゴリズム情報等、及び完全性保証及び暗号化に用いるセキュリティ鍵を導出する際に用いたパラメータ、アルゴリズム情報等を含んでもよい。
次に、UEは、Handover Commandメッセージに含まれるパラメータ等を用いて、セキュリティ鍵KAN*を導出する(S21)。UEは、さらに、セキュリティ鍵KAN*からRRCメッセージ及びユーザプレーンデータに関する完全性保証及び暗号化に用いるセキュリティ鍵を導出する。
次に、UEとNG-RAN53との間において、AS Security処理が実行される(S22)。ステップS22におけるAS Security処理が完了すると、UEは、NG-RAN53へHandover Completeメッセージを送信する(S23)。
次に、図4及び図5を用いてNG-RAN54とNG-RAN55との間におけるハンドオーバ処理(INTER NG RAN HANDOVER)について説明する。図4及び図5のハンドオーバ処理は、同一のCP-CN内におけるハンドオーバ処理(INTRA CP-CN HANDOVER)を示している。また、図4及び図5は、NG-RAN54と、NG-RAN55とが、3GPPのeNB間において定められているX2インタフェースに相当するインタフェースを介して直接通信を行うことを前提とする。
また、図4及び図5は、UEが、NG-RAN54からNG-RAN55へ移動する際に実行されるハンドオーバ処理を示している。NG-RAN54に付されている(S)は、Sourceを示し、UEのハンドオーバ元のNG-RANであることを示している。NG-RAN55に付されている(T)は、Targetを示し、UEのハンドオーバ先のNG-RANであることを示している。
図4のステップS31-S37は、図3のステップS11-S17と同様であるため詳細な説明を省略する。次に、UEは、NG-RAN54へ、UE Security Capabilitiesを含むMeasurement Reportメッセージを送信する(S38)。Measurement Reportメッセージには、例えば、NG-RAN55から送信されるメッセージの電波強度等を測定した結果に関する情報が含まれていてもよい。
次に、NG-RAN54は、Measurement Reportを評価し(evaluate)、Handover Decisionを行う(S39)。次に、NG-RAN53は、保持しているセキュリティ鍵KANをリフレッシュする(S40)。言い換えると、NG-RAN54は、セキュリティ鍵KANからセキュリティ鍵KAN*を導出する。例えば、NG-RAN54は、セキュリティ鍵KANを更新し、セキュリティ鍵KAN*を導出する。NG-RAN54は、さらに、セキュリティ鍵KAN*からRRCメッセージ及びユーザプレーンデータに関する完全性保証及び暗号化に用いるセキュリティ鍵を導出する。
次に、NG-RAN54は、Handover Requestメッセージを、X2インタフェースに相当するインタフェースを介してNG-RAN55へ送信する(S41)。Handover Requestメッセージは、UEに関するUE Security Capabilities、及びセキュリティ鍵KAN*を含む。
次に、NG-RAN55は、UE Security Capabilities(U.S.C)及びUEの加入者情報(Subscription)をチェック(check)する(S42)。言い換えると、NG-RAN55は、UE Security Capabilities及びSubscriptionを用いてハンドオーバ実行確認を実行する。つまり、NG-RAN55は、UEがNG-RAN55を介してネットワークスライスへアクセスすることができるか否かを判定する。
次に、図5に移り、NG-RAN55は、UEが、NG-RAN55を介してネットワークスライスへアクセスする資格を有する場合(the UE qualifies for accessing the slice via the new NG RAN)、NG-RAN54へHandover Request Ackメッセージを送信する(S43)。
次に、NG-RAN54は、UEへ、Handover Commandメッセージを送信する(S44)。Handover Commandメッセージは、例えば、セキュリティ鍵KAN*、完全性保証及び暗号化に用いるセキュリティ鍵を導出する際に用いたパラメータ、アルゴリズム情報等を含んでもよい。
次に、UEは、Handover Commandメッセージに含まれるパラメータ等を用いて、セキュリティ鍵KAN*を導出する(S45)。さらにUEは、セキュリティ鍵KAN*からRRCメッセージ及びユーザプレーンデータに関する完全性保証及び暗号化に用いるセキュリティ鍵を導出する。
次に、UEは、NG-RAN55へ、Handover Completeメッセージを送信する(S46)。次に、NG-RAN55は、MMへPath Switch Requestメッセージを送信する(S47)。
次に、MMは、UP-GWへModify Bearer Requestメッセージを送信する(S48)。次に、UP-GWは、MMへ、Modify Bearer Responseメッセージを送信する(S49)。ステップS48及びS49の処理が実行されることによって、U-Planeデータに関するベアラが更新される。次に、MMは、NG-RAN55へ、Path Swithc Responseメッセージを送信する(S50)。
次に、UEとNG-RAN55との間において、AS Security処理が実行される(S51)。
以上説明したように、実施の形態2において、UEとハンドオーバ先のNG-RAN55との間における、安全な通信路が確立された状態において、ハンドオーバ処理が実行される。
(実施の形態3)
次に、図6及び図7を用いてNG-RAN54とNG-RAN55との間におけるハンドオーバ処理(INTER NG RAN HANDOVER)について説明する。図6及び図7のハンドオーバ処理は、同一のCP-CN内におけるハンドオーバ処理(INTRA CP-CN HANDOVER)を示している。また、図6及び図7は、NG-RAN54と、NG-RAN55とが、CP-CN48を介して通信を行うことを前提とする。図6及び図7においては、CP-CN48としてMM及びSMを用いて説明する。
図6のステップS61~S69は、図4のステップS31~S39と同様であるため詳細な説明を省略する。
次に、NG-RAN54は、MMへHanover Requiredメッセージを送信する(S70)。Handover Requiredメッセージは、UE Security Capabilitiesを含む。さらに、MMは、Handover RequestメッセージをNG-RAN55へ送信する(S71)。Handover Requestメッセージは、UE Security Capabilitiesを含む。
次に、NG-RAN55は、UE Security Capabilities(U.S.C)及びUEの加入者情報(Subscription)をチェック(check)する(S72)。次に、NG-RAN55は、UEが、NG-RAN55を介してネットワークスライスへアクセスする資格を有する場合、保持しているセキュリティ鍵KANをリフレッシュする(S73)。言い換えると、NG-RAN55は、セキュリティ鍵KANからセキュリティ鍵KAN*を導出する。例えば、NG-RAN55は、セキュリティ鍵KANを更新し、セキュリティ鍵KAN*を導出する。NG-RAN55は、さらに、セキュリティ鍵KAN*からRRCメッセージ及びユーザプレーンデータに関する完全性保証及び暗号化に用いるセキュリティ鍵を導出する。
NG-RAN55は、例えば、事前にUEに関するセキュリティ鍵KANを受信していてもよい。例えば、SCMF44は、ステップS66において、NG-RAN54とともにNG-RAN55へもセキュリティ鍵KANを送信していてもよい。もしくは、ステップS70及びS71において送信されるメッセージに、セキュリティ鍵KANが含まれていてもよい。
次に、NG-RAN55は、MMを介してNG-RAN54へ、Handover Request ACKメッセージを送信する(S74、S75)。ステップS76~S78は、図5のステップS44~S46と同様であるため詳細な説明を省略する。
次に、MMは、UE Security Capability Check RequestメッセージをSCMF44へ送信する(S79)。次に、SCMF44は、UP-GWへ、Modify Bearer Requestメッセージを送信する(S80)。次に、UP-GWは、SCMF44へ、Modify Bearer Responseメッセージを送信する(S81)。次に、SCMF44は、MMへ、UE Security Capability Check Responseメッセージを送信する(S82)。ステップS83は、図5のステップS51と同様であるため詳細な説明を省略する。
以上説明したように、実施の形態3においても実施の形態2と同様に、UEとハンドオーバ先のNG-RAN55との間における、安全な通信路が確立された状態において、ハンドオーバ処理が実行される。
(実施の形態4)
続いて、図8及び図9を用いてNG-RAN53とNG-RAN54との間におけるハンドオーバ処理(INTER NG RAN, INTER CP-CN, INTRA SCMF HANDOVER)について説明する。図8及び図9のハンドオーバ処理は、CP-CN47からCP-CN48への変更を伴うハンドオーバ処理を示している。また、図8及び図9は、CP-CN47をMM(S)及びSM(S)とし、CP-CN48をMM(T)及びSM(T)として説明している。
ステップS91~S100は、図6のステップS61~S70と同様であるため詳細な説明を省略する。次に、MM(S)は、セキュリティ鍵KCP=CN*を導出する(S101)。例えば、MM(S)は、事前にUEに関するセキュリティ鍵KCP-CNもしくはセキュリティ鍵KSCMFを受信していたとする。例えば、MM(S)は、任意のタイミングに、SCMF44から、SCMF44において導出されたセキュリティ鍵KCP-CNを受信していてもよい。
次に、MM(S)は、Forward Relocation RequestメッセージをMM(T)へ送信する(S102)。Forward Relocation Requestメッセージは、UE Security Capabilities及びセキュリティ鍵KCP=CN*を含む。次に、MM(T)は、NG-RAN54へHandover Requestメッセージを送信する(S103)。Handover Requestメッセージは、UE Security Capabilitiesを含む。ステップS104及びS105は、図6のステップS72及びS73と同様であるため詳細な説明を省略する。
次に、NG-RAN54は、MM(T)へ、Handover Request ACKメッセージを送信する。Handover Request ACKメッセージは、UE Security Capabilities及びセキュリティ鍵KAN*を含む。
次に、MM(T)は、SM(T)へ、Session Refresh Requestメッセージを送信する(S107)。次に、SM(T)は、新たなsession keysを導出する(S108)。session keysは、例えば、U-Planeデータに関する完全性保証及び暗号化に用いられるセキュリティ鍵であってもよい。
次に、SM(T)は、MM(T)へ、Session Refresh Responseメッセージを送信する(S109)。次に、MM(T)は、MM(S)へ、Forward Relocation Responseメッセージを送信する(S110)。ステップS111及びS112は、図7のステップS75及びS76と同様であるため詳細な説明を省略する。
次に、UEは、セキュリティ鍵KCP-CN*、セキュリティ鍵KAN*、NAS keys、RRCメッセージ及びユーザプレーンデータに関する完全性保証及び暗号化に用いるセキュリティ鍵、session keysを導出する(S113)。
次に、UEは、SCMF44との間において、NAS Security処理を実行する(S114)。さらに、UEは、UP-GWとの間において、UP SMC処理を実行する(S115)。次に、UEは、NG-RAN54へ、Handover Completeメッセージを送信する(S116)。次に、UEは、NG-RAN54との間において、AS Security処理を実行する(S117)。
続いて、図10~図12を用いて、図8及び図9とは異なる、NG-RAN53とNG-RAN54との間におけるハンドオーバ処理(INTER NG RAN, INTER CP-CN, INTRA SCMF HANDOVER)について説明する。
図10~図12においては、CP-CN47とCP-CN48との間のインタフェースを用いない場合の処理について説明する。
ステップS121~S130は、図8のステップS91~S100と同様であるため詳細な説明を省略する。次に、MM(S)は、Forward Relocation RequestメッセージをSCMF44へ送信する(S131)。Forward Relocation Requestメッセージは、UE Security Capabilitiesを含む。次に、SCMF44は、MM(T)を介してNG-RAN54へHandover Requestメッセージを送信する(S132、S133)。Handover Requestメッセージは、UE Security Capabilitiesを含む。ステップS134~S136は、図9のステップS104~S106と同様であるため詳細な説明を省略する。
次に、MM(T)は、セキュリティ鍵KCP-CN*を導出する(S137)。ステップS138~S140は、図9のステップS107~S109と同様であるため詳細な説明を省略する。次に、MM(T)は、SCMF44へ、Handover Request ACKメッセージを送信する(S141)。次に、SCMF44は、MM(S)へ、Forward Relocation Responseメッセージを送信する(S142)。
ステップS143~S150は、図9のステップS111~S117と同様であるため詳細な説明を省略する。なお、図12においては、UEが、UP SMC処理の後に、セキュリティKANを導出する。
以上説明したように、実施の形態4においても実施の形態2及び3と同様に、UEとハンドオーバ先のNG-RAN54との間における、安全な通信路が確立された状態において、ハンドオーバ処理が実行される。
(実施の形態5)
続いて、図13及び図14を用いてNG-RAN55とNG-RAN56との間におけるハンドオーバ処理(INTER NG RAN, INTER CP-CN, INTER SCMF HANDOVER)について説明する。図13及び図14のハンドオーバ処理は、SCMF44からSCMF45への変更を伴うハンドオーバ処理を示している。また、図13及び図14は、CP-CN48をMM(S)及びSM(S)とし、CP-CN49をMM(T)及びSM(T)として説明している。
はじめに、UEとARPF41との間において、Initial Attach Procedureが実行される(S161)。Initial Attach Procedureは、例えば、図4のステップS31~S37に相当する。また、ステップS162~S165は、図10のステップS128~S131と同様であるため詳細な説明を省略する。
次に、SCMF44は、セキュリティ鍵KSCMF*を導出する(S166)。さらに、SCMF44は、セキュリティ鍵KSCMF*を用いて、セキュリティ鍵KCP-CN*を導出する(S167)。次に、SCMF44は、SCMF45及びMM(T)を介して、Handover RequestメッセージをNG-RAN56へ送信する(S168、S169)。Handover Requestメッセージは、UE Security Capabilitiesを含む。
ステップS170~S172は、図10及び図11におけるステップS134~S136と同様であるため詳細な説明を省略する。さらに、ステップS173~S175は、図11のステップS138~S140と同様であるため詳細な説明を省略する。
次に、MM(T)は、SCMF45を介してSCMF44へHandover Request ACKメッセージを送信する(S176、S177)。ステップS178~S182は、図11及び図12におけるステップS142~S150と同様の処理であるため詳細な説明を省略する。
以上説明したように、実施の形態5においても実施の形態2乃至4と同様に、UEとハンドオーバ先のNG-RAN56との間における、安全な通信路が確立された状態において、ハンドオーバ処理が実行される。
(実施の形態6)
続いて、図15を用いて実施の形態6にかかる通信システムの構成例について説明する。図15の通信システムは、UE(User Equipment)101、NG(R)AN((Radio) Access Network)102、UPF(User Plane Function)エンティティ103(以下、UPF103とする)、AMF(Access and Mobility Management Function)エンティティ104(以下、AMF104とする)、SMF(Session Management Function)エンティティ105(以下、SMF105とする)、PCF(Policy Control Function)エンティティ106(以下、PFC106とする)、AUSF(Authentication Server Function)エンティティ107(以下,AUSF107とする)、UDM(Unified Data Management)108、DN(Data Network)109、及びAF(Application Function)エンティティ110(以下、AF110とする)を有している。
UPF103、AMF104、SMF105、PCF106、AUSF107、及びUDM108は、5GC(5G Core)を構成する。5GCは、NextGen Systemにおけるコアネットワークである。
NG(R)AN102は、図2のNG-RAN51~NG-RAN58に相当する。AMF104及びSMF105は、図2のCP-CN46~CP-CN50に相当する。また、図15に示されるように、図15の通信システムは、各装置間もしくは各機能間において、NG1~NG15インタフェースが設定されている。
AUSF107は、例えば、UE101が、5GCへ接続することができるか否かに関する認証処理を実行する機能である。AUSF107は、認証処理に用いるセキュリティ鍵を生成し、生成したセキュリティ鍵を保持する。UDM108は、加入者データ(UE SubscriptionもしくはSubscription information)を管理する。また、例えば、UDM108は、ARPFを実行するノード装置であってもよい。UPF103は、U-Planeデータを伝送するノード装置である。
続いて、図16を用いて、NG(R)AN102内におけるハンドオーバ処理(INTRA NG RAN HANDOVER)について説明する。図16は、図15に示される通信システムにおける、NG(R)AN102内のハンドオーバ処理を示している。また、図16は、UE101とNG(R)AN102との間において実行されるハンドオーバ処理を示している。そのため、ステップS201において、UE101がNG(R)AN102へMeasurement Reportメッセージを送信した後に実行されるステップS202~S206は、図3のステップS18~21及びステップS23と同様であるため詳細な説明を省略する。
続いて、図17を用いてNG(R)AN102_1とNG(R)AN102_2との間におけるハンドオーバ処理(Inter NG RAN handover with Xn interface)について説明する。NG(R)AN102_1は、UE101が移動する前のNG(R)AN(Source NG(R)AN)(Source gNBと称されても良い。)であり、NG(R)AN102_2は、UE101が移動した後のNG(R)AN(Target (R)AN)(Target gNBと称されても良い。)である。Xn interfaceは、NG(R)AN102_1とNG(R)AN102_2との間に設定されるインタフェースである。
はじめに、ハンドオーバが必要とされる場合、UEは、NG(R)AN102_1へ、NSSAI(Network Slice Selection Assistance Information)、UE Security Capabilities、及びUE Mobility Restirctionsを含むMeasurement Reportメッセージを送信する(S211)(If handover is required, the UE sends the Measurement Report to the NG(R)AN.)。NSSAIは、例えば、UE101が利用するサービスを提供するコアネットワークを識別する情報である。ここで、5GCは、ネットワークスライシングが適用され、提供するサービス毎に分割されている。分割されたネットワークは、ネットワークスライスと称されてもよい。
次に、NG(R)AN102_1は、Measurement Reportを評価し(evaluate)、Handover Decisionを行う(make the handover dicision)(S212)。次に、NG(R)AN102_1は、保持しているセキュリティ鍵KANをリフレッシュする(S213)。言い換えると、NG(R)AN102_1は、セキュリティ鍵KANからセキュリティ鍵KAN*を導出する。例えば、NG(R)AN102_1は、セキュリティ鍵KANを更新し、セキュリティ鍵KAN*を導出する。
次に、NG(R)AN102_1は、Handover Requestメッセージを、Xn interfaceを介してNG(R)AN102_2へ送信する(S214)。Handover Requestメッセージは、UEに関するUE Security Capabilities、Handover Restriction List、NSSAI及びセキュリティ鍵KAN*を含む。
次に、NG(R)AN102_2は、NSSAIがサポートされているか否かをチェック(check)する(S215)。言い換えると、NG(R)AN102_2は、UE Security Capabilities及びNSSAIを用いてハンドオーバ実行確認を実行する。つまり、NG(R)AN102_1は、UEがNG(R)AN102_2を介してネットワークスライスへアクセスすることができるか否かを判定する。言い換えると、Source gNBは、Target gNBがUEによって要求されるサービスをサポートしているかをチェックすることによって、Handover DecisionのためにUEから受信したNSSAIを含む情報を使用する。
ステップS216~S221は、図5のステップS43~S47及びS50と同様であるため詳細な説明を省略する。
次に、図18を用いてNG(R)AN102_1とNG(R)AN102_2との間におけるハンドオーバ処理(Intra vAMF, Intra vSMF, Inter NG(R)AN handover without Xn interface)について説明する。
ステップS231及びS232は、図17のステップS211及びS212と同様であるため詳細な説明を省略する。
次に、NG(R)AN102_1は、AMF104へHanover Requiredメッセージを送信する(S233)。Handover Requiredメッセージは、UE Security Capabilities、Handover Restriction List、NSSAI、及び{NH,NCC}を含む。さらに、AMF104は、Handover RequestメッセージをNG(R)AN102_2へ送信する(S234)。Handover Requestメッセージは、UE Security Capabilities、Handover Restriction List、NSSAI、及び{NH,NCC}を含む。
次に、NG(R)AN102_2は、NSSAIがサポートされているか否かをチェック(check)する(S235)。次に、NG(R)AN102_2は、UEが、NG(R)AN102_2を介してネットワークスライスへアクセスする資格を有する場合、保持しているセキュリティ鍵KANをリフレッシュする(S236)。言い換えると、NG(R)AN102_2は、セキュリティ鍵KANからセキュリティ鍵KAN*を導出する。さらに、NG(R)AN102_2は、セキュリティ鍵KAN*からRRCメッセージ及びユーザプレーンデータに関する完全性保証及び暗号化に用いるセキュリティ鍵を導出する。
次に、NG(R)AN102_2は、AMF104へ、Handover Request Ackメッセージを送信する(S237)。次に、AMF104は、NG(R)AN102_1をHandover Commandメッセージへ送信する(S238)。ステップS239~S241は、図17のステップS217~S219と同様であるため詳細な説明を省略する。
続いて、図19及び図20を用いてNG(R)AN102_1とNG(R)AN102_2との間におけるハンドオーバ処理(Intra vAMF, Inter vSMF, Inter NG(R)AN handover without Xn interface)について説明する。SMF105_1及びUPF103_1は、移動前のUE101に関する処理を実行するSMF(Source SMF)及びUPF(Source UPF)であり、SMF105_2及びUPF103_2は、移動後のUE101に関する処理を実行するSMF(Target SMF)及びUPF(Target UPF)である。
ステップS251~S253は、図18におけるステップS231~S233と同様であるため詳細な説明を省略する。
次に、AMF104は、NSSAIに基づいてSMFを選択する(The AMF selects the SMF based on NSSAI)(S254)。つまり、AMF104は、ステップS253において受信したNSSAIに関連付けられたネットワークスライスに配置されているSMFを選択する。ここでは、AMF104は、SMF105_2を選択したとする。
次に、AMF104は、SMF105_2へ、Create Session Requestメッセージを送信する(S255)。Crease Session Requestメッセージは、UE Security Capabilities及びNSSAIを含む。
次に、SMF105_2は、UE101とSMF105_2との間におけるNAS signaling protectionのために、セキュリティ鍵KNAS-SM*を導出する(The SMF derives KNAS-SM* for NAS signaling protection between the UE and SMF)(S256)。
次に、SMF105_2は、NSSAIに関連づけられたSliceのためのUPFを選択する(The SMF selects the UPF for the slice)(S257)。次に、SMF105_2は、NSSAIに関連づけられたSliceのためのセキュリティ鍵KUP及びセッション鍵を導出する(S258)。セッション鍵は、例えば、完全性保証に用いられるKsessint及び暗号化に用いられるKsessencであってもよい。次に、SMF105_2は、AMF104へ、Crease Session responseメッセージを送信する(S259)。
ステップS260~S263は、図18のステップS234~S237と同様であるため詳細な説明を省略する。
次に、AMF104は、SMF105_1へ、Create Data forwarding tunnel requestメッセージを送信する(S264)。次に、SMF105_1は、SMF105_2に対して、データ転送のためのトンネルを生成する(The SMF creates the tunnel for data transfer to the target SMF.)(S265)。次に、SMF105_1は、AMF104へ、Create Data forwarding tunnel responseメッセージを送信する(S266)。
次に、AMF104は、NG(R)AN102_1へ、Handover Commandメッセージを送信する(S267)。次に、NG(R)AN102_1は、UE101へ、Handover Commandメッセージを送信する(S268)。
次に、UE101は、Handover Commandメッセージに含まれるパラメータ等を用いて、セキュリティ鍵KNAS-SM*を導出する(Using the parameter sent in the Handover Command, the UE derives the KNAS-SM*)(S269)。次に、セキュリティ鍵KNAS-SM*からセキュリティ鍵KUP及びセッション鍵(session key)を導出する(S270)。次に、UE101は、セキュリティ鍵KAN*を導出し、さらに、RRCメッセージ及びユーザプレーンデータに関する完全性保証及び暗号化に用いるセキュリティ鍵を導出する(S271)。
次に、UE101は、NG(R)AN102_2へ、Handover CompleteメッセージをNG(R)AN102_2へ送信する(S272)。
以上説明したように、ハンドオーバ処理が行われている間に、UE101及びSMF105_2は、新たなセキュリティ鍵KNAS-SM*を導出することができる。言い換えると、UE101及びSMF105_2は、セキュリティ鍵KNAS-SM*をリフレッシュすることができる。これによって、UE101及びSMF105_2の間において、NAS-SMセキュリティを確立することができる。
さらに、NG(R)AN102_2は、UE101から送信されたNSSAIを用いて、UE101が要求するサービスを自装置がサポートしているか否かをチェックすることによって、UE101をハンドオーバさせるか否かを決定することができる。
続いて、図21を用いてNG(R)AN102_1とNG(R)AN102_2との間におけるハンドオーバ処理(Inter vAMF, Intra SMF, Inter NG(R)AN node without Xn interface)について説明する。AMF104_1は、移動前のUE101に関する処理を実行するAMF(Source AMF)であり、AMF104_2は、移動後のUE101に関する処理を実行するAMF(Target AMF)である。
ステップS281~S283は、図18におけるステップS231~S233と同様であるため詳細な説明を省略する。
次に、AMF104_1は、AMF104_2へ、Forward Relocation Requestメッセージを送信する(S284)。Forward Relocation Requestメッセージは、UE Security Capabilities、Handover Restriction List及びNSSAIを含む。
ステップS285~S288は、図18におけるステップS234~S237と同様であるため詳細な説明を省略する。
次に、AMF104_2は、セキュリティ鍵KNAS-MM*を導出する(S289)。次に、AMF104_2は、AMF104_1へ、Forward Relocation responseメッセージを送信する(S290)。
ステップS291~S294は、図18のステップS238~S241と同様であるため詳細な説明を省略する。ただし、UE101は、ステップS293において、セキュリティ鍵KAN*とともにセキュリティ鍵KNAS-MM*を導出する。
以上説明したように、ハンドオーバ処理が行われている間に、UE101及びAMF104_2は、新たなセキュリティ鍵KNAS-MM*を導出することができる。言い換えると、UE101及びAMF104_2は、セキュリティ鍵KNAS-MM*をリフレッシュすることができる。これによって、UE101及びAMF104_2の間において、NAS-MMセキュリティを確立することができる。
続いて、図22及び図23を用いてNG(R)AN102_1とNG(R)AN102_2との間におけるハンドオーバ処理(Inter vAMF, Inter vSMF, Inter NG(R)AN node without Xn interface)について説明する。
ステップS301~S304は、図21のステップS281~S284と同様であるため詳細な説明を省略する。また、ステップS305~S310は、図19のステップS254~S259と同様であるため詳細な説明を省略する。
次に、AMF104_2は、セキュリティ鍵KNAS-MM*を導出する(S311)。
ステップS312~S315は、図21のステップS285~S288と同様であるため詳細な説明を省略する。
次に、AMF104_2は、AMF104_1へ、Forward Relocation responseメッセージを送信する(S316)。
ステップS317~S325は、図20のステップS264~S272と同様であるため詳細な説明を省略する。
以上説明したように、ハンドオーバ処理が行われている間に、UE101及びSMF105_2は、新たなセキュリティ鍵KNAS-SM*を導出することができる。言い換えると、UE101及びSMF105_2は、セキュリティ鍵KNAS-SM*をリフレッシュすることができる。これによって、UE101及びSMF105_2の間において、NAS-SMセキュリティを確立することができる。さらに、UE101及びAMF104_2は、新たなセキュリティ鍵KNAS-MM*を導出することができる。言い換えると、UE101及びAMF104_2は、セキュリティ鍵KNAS-MM*をリフレッシュすることができる。これによって、UE101及びAMF104_2の間において、NAS-MMセキュリティを確立することができる。
さらに、NG(R)AN102_2は、UE101から送信されたNSSAIを用いて、UE101が要求するサービスを自装置がサポートしているか否かをチェックすることによって、UE101をハンドオーバさせるか否かを決定することができる。言い換えると、NG(R)AN102_2(Target gNB)は、受信したNSSAIによって示される、UE101が要求するネットワークスライス又はサービスを、自装置がサポートしているかをチェックすることができる。
(実施の形態7)
続いて、図24を用いてUE201のローミングを実現するための通信システムについて説明する。図24の通信システムは、UE201、(R)AN202、UPF203、AMF204、V-SMF205、vPCF206、UPF213、H-SMF215、H-PCF216、AUSF217、UDM218、及びAF219を有している。
(R)AN202、UPF203、AMF204、V-SMF205、及びvPCF206は、VPLMN(Visited Public Land Mobile Network)に配置されているノード装置である。UPF213、H-SMF215、H-PCF216、AUSF217、UDM218、及びAF219は、HPLMN(Home PLMN)に配置されているノード装置である。
図24は、UE201が、VPLMNにローミングしている状態を示している。ここで、UE201がローミングした際の登録(Registration)手順及びセキュリティ確立(security establishment)について説明する。
はじめに、UE201は、VPLMNに配置されている(R)AN202へ、RRC Connection requestメッセージを送信する。UE201は、RAT restrictionsに関する情報を有している場合、attach requestメッセージにRAT restrictionsを含ませ、さらに、attach requestメッセージをRRC Connection requestメッセージに多重する。
次に、(R)AN202は、VPLMNに配置されているAMF204へ、attach requestメッセージを転送する(forward)。AMF204は、UE201のRAT restrictionsをチェックする。ここで、AMF204は、UE201のRAT restrictionsをチェックするために、UDM218へ、UE201のRAT restrictionsに関する情報を送信するように要求してもよい。つまり、AMF204は、UDM218から、UE201の加入者情報(Subscription information)をダウンロードしてもよい。
AMF204において、UE201が(R)AN202との間において用いるRATが制限されていると判定した場合、(R)AN202は、UE201へ、他の(R)ANとRRC Connectionを確立しなければならないことを通知する。また、AMF204は、UE201が(R)AN202との間において用いるRATが制限されていないと判定した場合、UE201の在圏するエリアが、禁止ゾーン(forbidden zone)であるか否かをチェックする。
AMF204は、UE201が在圏するエリアが禁止ゾーンであると判定した場合、(R)AN202へ、接続を拒否(rejecting the connection)することを示すメッセージを送信する。AMF204は、UE201が在圏するエリアが禁止ゾーンではないと判定した場合、UE201に関する認証を行うために、HPLMNに配置されているAUSF217へ問い合わせ(contact)を行う。
UE201に関する認証処理において、UE201に関するsecurity contextが存在する場合、UE201は、AMF204へ、eKSI(evolved Key Set Identifier)seafを送信する。AMF204は、security contextの有効性をチェックする。UE201に関するsecurity contextが存在しない場合、AKA(Authentication Key Agreement)が実行される。UE201に関する認証処理が実行されることによって、UE201とVPLMNに配置されているAMF204との間のNAS-MM Securityが確立される。さらに、UE201と(R)AN202との間のセキュリティが確立される。AMF204は、vPCF206を介してH-PCF216へ、security algorithmsに関する問い合わせを行う。
UE201は、通信が許可されないエリア(Non-allowd area)に在圏する場合、service requestsを開始することができない。また、UE201は、通信が許可されるエリア(allowd Area)に在圏する場合、service requestsを開始することができる。
続いて、service request処理中のセキュリティ確立(security establishment)について説明する。はじめに、UE201は、AMF204へ、S-NSSAIを含むservice request(もしくはservice attach request)メッセージを送信する。次に、AMF204は、S-NSSAI及びUE201の加入者情報に基づいてSMFを選択する。ここでは、AMF204は、V-SMF205を選択したとする。これにより、UE201とV-SMF205との間にいて、NAS-SM Securityが確立される。
V-SMF205とH-SMF215との間には、セキュリティが確立されたトンネル(secure tunnel)が存在する。V-SMF205は、vPCF206を介してH-PCF216へ、security algorithmsに関する問い合わせを行う。
次に、V-SMF205は、UE201が接続を希望するネットワークスライスにとって適切なUPFを選択する。ここでは、V-SMF205は、UPF203を選択したとする。
また、V-SMF205は、UPF203のために、セキュリティ鍵KUPを導出する。さらに、V-SMF205は、vPCF206を介してH-PCF216へ、security algorithmsを要求する。さらに、V-SMF205は、セッション鍵を導出する。さらに、V-SMF205は、UP(User Plane) SMC(Security Mode Command)処理を開始する。
図24の通信システムにおいては、UE201は、HPLMNにおけるPDN(Packed Data Network)を介してサービスを提供される。
続いて、図25を用いて、図24とは異なる、UE201のローミングを実現するための通信システムについて説明する。図25の通信システムは、UE301、(R)AN302、UPF303、AMF304、SMF305、vPCF306、AF309、H-PCF316、AUSF317、及びUDM318を有している。(R)AN302、UPF303、AMF304、SMF305、vPCF306、及びAF309は、VPLMNに配置されているノード装置である。H-PCF316、AUSF317、及びUDM318は、HPLMNに配置されているノード装置である。
図25は、UE201が、VPLMNにローミングしている状態を示している。図25の通信システムにおいては、UE301は、VPLMNにおけるPDN(Packed Data Network)を介してサービスを提供される。
上述の実施の形態は、ハードウェアで構成される例として説明したが、これに限定されるものではない。本開示は、UE及び各装置における処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本開示は、それぞれの実施の形態を適宜組み合わせて実施されてもよい。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2016年10月26日に出願されたインド出願201611036777及び2017年3月17日に出願されたインド出願201711009359を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 基地局
12 基地局
20 通信端末
41 ARPF
43 SEAF
44 SCMF
45 SCMF
46 CP-CN
47 CP-CN
48 CP-CN
49 CP-CN
50 CP-CN
51 NG-RAN
52 NG-RAN
53 NG-RAN
54 NG-RAN
55 NG-RAN
56 NG-RAN
57 NG-RAN
58 NG-RAN
101 UE
102 NG(R)AN
103 UPF
104 AMF
105 SMF
106 PCF
107 AUSF
108 UDM
109 DN
110 AF
201 UE
202 (R)AN
203 UPF
204 AMF
205 V-SMF
206 vPCF
213 UPF
215 H-SMF
216 H-PCF
217 AUSF
218 UDM
219 AF
301 UE
302 (R)AN
303 UPF
304 AMF
305 SMF
306 vPCF
309 AF
316 H-PCF
317 AUSF
318 UDM

Claims (2)

  1. ソースコアネットワークのノードであって、
    ハンドオーバ要求メッセージを、無線アクセスネットワークノードから受信し、
    前記ハンドオーバ要求メッセージを受信した後、前記ソースコアネットワークのノードからターゲットコアネットワークのノードへの変更を伴うハンドオーバ処理において新しいセキュリティ鍵を導出し、
    前記新しいセキュリティ鍵を、前記ターゲットコアネットワークのノードへ送信することで、前記新しいセキュリティ鍵に基づいて新しいNAS (Non Access Stratum) security contextが確立され、SMC (Security Mode Command) 手順が開始される、
    ソースコアネットワークのノード。
  2. ソースコアネットワークのノードの方法であって、
    ハンドオーバ要求メッセージを、無線アクセスネットワークノードから受信し、
    前記ハンドオーバ要求メッセージを受信した後、前記ソースコアネットワークのノードからターゲットコアネットワークのノードへの変更を伴うハンドオーバ処理において新しいセキュリティ鍵を導出し、
    前記新しいセキュリティ鍵を、前記ターゲットコアネットワークのノードへ送信することで、前記新しいセキュリティ鍵に基づいて新しいNAS (Non Access Stratum) security contextが確立され、SMC (Security Mode Command) 手順が開始される、
    方法。
JP2020149665A 2016-10-26 2020-09-07 ソースコアネットワークのノード及び方法 Active JP7006742B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN201611036777 2016-10-26
IN201611036777 2016-10-26
IN201711009359 2017-03-17
IN201711009359 2017-03-17

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2018547768A Division JP6763435B2 (ja) 2016-10-26 2017-10-26 ソースコアネットワークのノード、端末、及び方法

Publications (2)

Publication Number Publication Date
JP2020198645A JP2020198645A (ja) 2020-12-10
JP7006742B2 true JP7006742B2 (ja) 2022-01-24

Family

ID=62023559

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018547768A Active JP6763435B2 (ja) 2016-10-26 2017-10-26 ソースコアネットワークのノード、端末、及び方法
JP2020149665A Active JP7006742B2 (ja) 2016-10-26 2020-09-07 ソースコアネットワークのノード及び方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2018547768A Active JP6763435B2 (ja) 2016-10-26 2017-10-26 ソースコアネットワークのノード、端末、及び方法

Country Status (4)

Country Link
US (1) US20190274072A1 (ja)
EP (1) EP3534644B1 (ja)
JP (2) JP6763435B2 (ja)
WO (1) WO2018079691A1 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108616959B (zh) * 2017-01-06 2022-01-04 荣耀终端有限公司 一种通信方法、接入网设备、核心网设备和用户设备
GB2558585A (en) * 2017-01-06 2018-07-18 Nec Corp Communication system
ES2886881T3 (es) * 2017-01-30 2021-12-21 Ericsson Telefon Ab L M Manejo del contexto de seguridad en 5G durante el modo inactivo
CN110651504A (zh) 2017-03-17 2020-01-03 日本电气株式会社 通信终端、网络装置、通信方法及非暂时性计算机可读介质
FI3603238T3 (fi) * 2017-03-20 2023-09-12 Zte Corp Verkon viipalointi -palvelutoiminto
CN113286376A (zh) * 2017-06-23 2021-08-20 华为技术有限公司 实现业务连续性的方法、设备及系统
EP4301044A3 (en) * 2017-09-15 2024-03-06 Telefonaktiebolaget LM Ericsson (publ) Security context in a wireless communication system
CN109729125B (zh) * 2017-10-30 2021-06-15 华为技术有限公司 会话建立方法、设备及系统
JP6827971B2 (ja) * 2018-03-26 2021-02-10 Kddi株式会社 端末装置による自律的ハンドオーバのための端末装置、基地局装置、制御方法、及びプログラム
CN110519806B (zh) * 2018-05-21 2020-09-29 华为技术有限公司 切换方法、设备及系统
WO2019241934A1 (zh) * 2018-06-20 2019-12-26 华为技术有限公司 Csi-rs发送方法、设备及基站
US20210314827A1 (en) * 2018-08-10 2021-10-07 Beijing Xiaomi Mobile Software Co., Ltd. Cell measurement method, apparatus, device, and storage medium
KR102577006B1 (ko) * 2018-08-13 2023-09-11 삼성전자 주식회사 4g 및 5g 네트워크 이동 시 네트워크 슬라이스 지원 방법 및 장치
US11115327B2 (en) * 2018-08-24 2021-09-07 Oracle International Corporation Methods, systems, and computer readable media for providing mobile device connectivity
CN111465012B (zh) * 2019-01-21 2021-12-10 华为技术有限公司 通信方法和相关产品
JP7245942B2 (ja) * 2021-01-20 2023-03-24 Kddi株式会社 端末装置による自律的ハンドオーバのための端末装置、基地局装置、制御方法、及びプログラム
JP7048775B2 (ja) * 2021-01-20 2022-04-05 Kddi株式会社 端末装置による自律的ハンドオーバのための端末装置、基地局装置、制御方法、及びプログラム
US11716283B2 (en) 2021-03-05 2023-08-01 Oracle International Corporation Methods, systems, and computer readable media for selecting a software defined wide area network (SD-WAN) link using network slice information
US20230115367A1 (en) * 2021-10-08 2023-04-13 Dish Wireless L.L.C. Selective handover of cellular device based on network slicing
JP7442711B2 (ja) 2022-03-23 2024-03-04 Kddi株式会社 端末装置による自律的ハンドオーバのための端末装置、基地局装置、制御方法、及びプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009049815A (ja) 2007-08-21 2009-03-05 Ntt Docomo Inc 無線通信システム、無線通信方法及び無線端末
US20130102270A1 (en) 2010-06-21 2013-04-25 Kyung-Joo Suh Security control method and device in a mobile communication system supporting emergency calls, and a system therefor
JP2013255239A (ja) 2013-07-12 2013-12-19 Nec Corp Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム
US20140295797A1 (en) 2013-04-02 2014-10-02 Broadcom Corporation Method, Apparatus and Computer Program for Operating a User Equipment
JP2015519817A (ja) 2012-05-04 2015-07-09 ▲ホア▼▲ウェイ▼技術有限公司 ネットワークスイッチング中におけるセキュリティ処理方法およびシステム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001020925A2 (en) * 1999-09-10 2001-03-22 Telefonaktiebolaget Lm Ericsson (Publ) System and method of passing encryption keys after inter-exchange handoff
CN101309500B (zh) * 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
US8620267B2 (en) * 2008-03-28 2013-12-31 TELEFONAKTIEBOLAGET L M ERICSSION (publ) Identification of a manipulated or defect base station during handover
JP5390611B2 (ja) * 2008-08-15 2014-01-15 サムスン エレクトロニクス カンパニー リミテッド 移動通信システムの保安化された非接続階層プロトコル処理方法
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
US9918225B2 (en) * 2014-11-03 2018-03-13 Qualcomm Incorporated Apparatuses and methods for wireless communication
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009049815A (ja) 2007-08-21 2009-03-05 Ntt Docomo Inc 無線通信システム、無線通信方法及び無線端末
US20130102270A1 (en) 2010-06-21 2013-04-25 Kyung-Joo Suh Security control method and device in a mobile communication system supporting emergency calls, and a system therefor
JP2015519817A (ja) 2012-05-04 2015-07-09 ▲ホア▼▲ウェイ▼技術有限公司 ネットワークスイッチング中におけるセキュリティ処理方法およびシステム
US20140295797A1 (en) 2013-04-02 2014-10-02 Broadcom Corporation Method, Apparatus and Computer Program for Operating a User Equipment
JP2013255239A (ja) 2013-07-12 2013-12-19 Nec Corp Nasセキュリティ処理装置、nasセキュリティ処理方法、及びプログラム

Also Published As

Publication number Publication date
WO2018079691A1 (ja) 2018-05-03
EP3534644A4 (en) 2019-10-30
EP3534644B1 (en) 2021-03-17
US20190274072A1 (en) 2019-09-05
JP2020198645A (ja) 2020-12-10
JPWO2018079691A1 (ja) 2019-09-19
JP6763435B2 (ja) 2020-09-30
EP3534644A1 (en) 2019-09-04

Similar Documents

Publication Publication Date Title
JP7006742B2 (ja) ソースコアネットワークのノード及び方法
US20230224700A1 (en) Security solution for switching on and off security for up data between ue and ran in 5g
RU2744323C2 (ru) Способы для защиты целостности данных пользовательской плоскости
RU2488976C2 (ru) Способ, элемент сети и мобильная станция для согласования алгоритмов шифрования
JP7287534B2 (ja) Mmeデバイスにおいて実行される方法及びmmeデバイス
JP5484487B2 (ja) 通信ネットワークにおける方法及び装置
KR101700448B1 (ko) 이동 통신 시스템에서 보안 관리 시스템 및 방법
TWI717383B (zh) 用於網路切分的金鑰層級
KR101737425B1 (ko) 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
US20160381543A1 (en) Secure discovery for proximity based service communication
JP6872630B2 (ja) 通信ネットワーク内での使用のためのネットワークノード、通信デバイス、およびそれらを動作させる方法
JP6904363B2 (ja) システム、基地局、コアネットワークノード、及び方法
US20070026887A1 (en) Method for transferring information related to at least a mobile terminal in a mobile telecommunication network
WO2018079690A1 (ja) 通信システム、ネットワーク装置、認証方法、通信端末、及びセキュリティ装置
JP7291245B2 (ja) Ranページング処理
JP2020088455A (ja) ユーザ装置、制御装置、及び通信制御方法
WO2016112674A1 (zh) 一种实现通信的方法、终端、系统及计算机存储介质
JP2021057671A (ja) ユーザ装置、及びコアネットワーク装置
CN108093473B (zh) 一种注册方法及mme
WO2017129101A1 (zh) 路由控制方法、装置及系统
CN113557699B (zh) 通信装置、基础设施设备、核心网络设备和方法
WO2021085570A1 (ja) UE(User Equipment)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200907

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210921

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211220