JP7047921B2 - 通信装置、第1のネットワーク装置、通信装置の方法、及び第1のネットワーク装置の方法 - Google Patents

通信装置、第1のネットワーク装置、通信装置の方法、及び第1のネットワーク装置の方法 Download PDF

Info

Publication number
JP7047921B2
JP7047921B2 JP2020540648A JP2020540648A JP7047921B2 JP 7047921 B2 JP7047921 B2 JP 7047921B2 JP 2020540648 A JP2020540648 A JP 2020540648A JP 2020540648 A JP2020540648 A JP 2020540648A JP 7047921 B2 JP7047921 B2 JP 7047921B2
Authority
JP
Japan
Prior art keywords
udm
instance
information
supi
suci
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020540648A
Other languages
English (en)
Other versions
JP2021511746A (ja
JP2021511746A5 (ja
Inventor
シーバ バッキア メーリ バスカラン
アナンド ラガワ プラサド
シバカミー ラクシュミナラヤナン
シババラン アルムガム
博紀 伊藤
敬人 吉澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JP2021511746A publication Critical patent/JP2021511746A/ja
Publication of JP2021511746A5 publication Critical patent/JP2021511746A5/ja
Priority to JP2022042147A priority Critical patent/JP7388464B2/ja
Application granted granted Critical
Publication of JP7047921B2 publication Critical patent/JP7047921B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/654International mobile subscriber identity [IMSI] numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本開示は、適切な(right)UDMインスタンスを選択し、UDMインスタンスのセキュリティを確保する方法に関する。
現行のシステムでは、User Equipment(UE)がSubscription Permanent Identifier(SUPI)を秘匿形式で登録要求のSubscription Concealed Identifier(SUCI)としてコアネットワーク要素に送信しており、Unified Data Management(UDM)インスタンスの発見に大きな問題を残している。
本開示により、次の2つの異なる問題シナリオに関連する問題が解決される。
シナリオ1:本開示は、UEから受信したUDMインスタンス発見関連情報と、UDMコンシューマまたはNetwork Repository Function(NRF)で構成されたUDMインスタンス関連ルーティング情報とに基づいて、UDMインスタンス発見プロセスに関連する次の2つの問題を解決する。
1)SUCIでの十分なUDMインスタンス発見/ルーティング情報の欠如:SUbscription Concealed Identifier(SUCI)は、1回限りのサブスクリプション識別子であり、これには、秘匿サブスクリプション識別子(MSINなど)が含まれ、UDMインスタンスを発見するためにSUPIレンジを使用することはできない。さらに、SUCIにはMobile Country Code(MCC)とMobile Network Code(MNC)のみが暗号化されていない形式で含まれているため、単一のUDMを見つけるためにのみ使用でき、さらに、UDMに複数のUDMインスタンスがある場合にはUDMインスタンスの識別に使用することはできない。
2)UDMインスタンスとUDMインスタンス識別子の完全性(integrity)と機密性(confidentiality)の保護の欠如:UDMインスタンスIDがUDM発見情報として使用され、UEによってコアネットワーク要素に無線で送信される場合、悪意のある攻撃者は、UDMインスタンス識別子をキャプチャし、変更してサービス拒否(DoS)を実行するか、UDMインスタンスを不正利用することができる。これがコアネットワークでのUDMインスタンスの攻撃/障害につながる可能性を与えてはならない。
シナリオ2:
UEは、登録要求メッセージでSUCIまたはGlobally Unique Temporary UE Identity(5G-GUTI)をAccess and Mobility Management Function(AMF)/SEcurity Anchor Function(SEAF)に送信し、AMF/SEAFはAuthentication Initiation Request(5G-AIR)メッセージをAUSFへ送信できる。SEAFに有効な5G-GUTIがあり、UEを再認証する場合、AMF/SEAFは5G-AIRメッセージにSUPIを含めることができる。それ以外の場合、SUCIは5G-AIRに含まれている。現行のシステムでは、Authentication Server Function(AUSF)がSUPIがクリアテキストであるか秘匿形式であるかをどのように判別できるかは定義されていない。本開示により、この問題に関連する以下の2つの問題が解決される。
1)AUSFのSUPI状態(Concealed/Cleartext)情報の欠如:
SUPIは、再認証中に5G-AIRメッセージで運ばれるが、SUPIの状態情報(クリアテキストまたは秘匿形式)が欠如しているため、AUSFはSUPI識別のためにSubscription Identifier De-concealing Function(SIDF)/UDMに依存することになる。これにより、再認証中に不要な追加メッセージとアクセス遅延が発生する。
2)明確な再認証手順の欠如:
現行のTS 33.501は再認証の存在を確認しているが、5Gシステムの再認証セキュリティ手順については議論していない。
シナリオ1及び2に対応する解決策の詳細な説明は、2.1~2.4に示す通りである。
本開示の第1の例示的な態様による、コアネットワーク要素/オペレータ/または他の任意のものによって、UDMインスタンス発見/ルーティング情報を移動通信装置/Universal Subscriber Identity Module(USIM)に事前プロビジョニングする方法は、コアネットワークによる移動通信装置/USIMへのUDMインスタンス発見/ルーティング情報の事前プロビジョニングを含み、UDMインスタンス発見/ルーティング情報は、以下のパラメータのいずれか1つまたは組み合わせであり得る。
a)UDM Identifier(UDM識別子)とInstance(インスタンス)番号
b)IMSIまたはSUPI Range(レンジ)インジケータ
c)Access(アクセス)/IMSIタイプ
d)Protection(保護)スキーム
e)Service(サービス)タイプ
f)乱数
図1は、本開示の実施形態による移動通信環境を示すブロック図である。 図2は、AUSFまたは任意のNFコンシューマによるUCFベースのUDMインスタンスの発見である。 図3は、NRFを使用する、AUSFまたはNFコンシューマによるUCFベースのUDMインスタンスの発見である。 図4は、NFコンシューマに対するUDM自体によるUCFベースのUDMインスタンスの発見とともに、NFコンシューマによるデフォルトのUDMの発見である。 図5は、5G-GUTI登録時のSUPI State Indicatorの使用法である。 図6は、5G-GUTI登録時のSUPI State Indicatorの使用法である。 図7は、5G-GUTI登録時のSUPI State Indicatorの使用法である。 図8は、5G-GUTI登録時のSUPI State Indicatorの使用法である。
本開示では、次の略語と用語が使用されている。
Figure 0007047921000001
図1は、本開示の実施形態による移動通信環境を示すブロック図である。移動通信環境では、移動通信装置は、移動通信サービスを取得するためにサービスネットワークに無線で接続される。例えば、移動通信装置は、ユーザイクイップメント(UE)、携帯電話機、スマートフォン、ラップトップコンピュータ、パネルPC、IoT(Internet of Things)デバイス、または少なくともそのサービスネットワークで利用されるRadio Access Technology(RAT)をサポートする任意のコンピューティングデバイスであり得る。RATには、Global System for Mobile communications(GSM)テクノロジ、General Packet Radio Service(GPRS)テクノロジ、Enhanced Data rates for Global Evolution(EDGE)テクノロジ、Wideband Code Division Multiple Access(WCDMA)テクノロジ、Code Division Multiple Access 2000(CDMA 2000)テクノロジ、Time Division-Synchronous Code Division Multiple Access(TD-SCDMA)テクノロジ、Worldwide Interoperability for Microwave Access(WiMAX)テクノロジ、Long Term Evolution(LTE)テクノロジ、LTE-Advanced(LTE-A)テクノロジ、Time Division-LTE(TD-LTE)テクノロジ、または次世代(5G)テクノロジなどが含まれる。サービスネットワークは、アクセスネットワークとコアネットワークで構成される。アクセスネットワークは、無線信号の処理、無線プロトコルの終端処理、及び移動通信装置とコアネットワークとの接続を担当し、コアネットワークは、移動管理、ネットワーク側認証、及び公衆ネットワークとのインターフェイスを担当する。一実施形態では、サービスネットワークは、PLMNに属することができ、アクセスネットワークは、複数のRAまたはTAを含むことができ、各RAまたは各TAは基地局のグループによって形成される。
例えば、サービスネットワークがWCDMAシステムの場合、アクセスネットワークは、少なくともNode-B(NB)とRadio Network Controller(RNC)を含むUniversal Terrestrial Radio Access Network(UTRAN)であってもよく、コアネットワークは、Home Location Register(HLR)、少なくとも1つのServing GPRS Support Node(SGSN)、及び少なくとも1つのGateway GPRS Support Node(GGSN)を含むGeneral Packet Radio Service(GPRS)コアであってもよい。あるいは、サービスネットワークがLTE/LTE-Aシステムの場合、アクセスネットワークは、少なくともevolved NodeB(eNB)を含むEvolved-UTRAN(E-UTRAN)であってもよく、コアネットワークは、Home Subscriber Server(HSS)、Mobility Management Entity(MME)、Serving Gateway(S-GW)、及びPacket Data Network Gateway(PDN-GWまたはP-GW)を含むEvolved Packet Core(EPC)であってもよい。あるいは、サービスネットワークが次世代システム(5GS)である場合、アクセスネットワークは、少なくともgNBを含む5G-Access Network(5G-AN)または(Radio) Access Network((R)AN)であってもよく、コアネットワークは、Access and Mobility Management Function(AMF)、Security Anchor Function(SEAF)、Authentication Server Function(AUSF)、Unified Data Management(UDM)、Subscription Identifier De-concealing Function(SIDF)、Authentication Credential Repository and Processing Function(ARPF)を含む5G Core Network(5GC)であってもよい。
図示されていないが、移動通信装置は、1つ以上のサービスネットワークに無線で接続され得る。例えば、複数のサービスネットワークのそれぞれは、それぞれのPublic Land Mobile Network(PLMN)に属してもよく、その結果、移動通信装置は、無線サービスを取得するためにPLMNのうちの1つを選択し得る。
移動通信装置は、アンテナを介してサービスネットワークとの間で無線送受信の機能性(functionality)を実行するためのネットワークインターフェースと、ネットワークインターフェースの動作及びMan-Machine Interface(MMI)として機能するディスプレイユニット及び/またはキーパッドなどのその他の機能コンポーネントの動作を制御するためのコントローラと、アプリケーション及び通信プロトコルの命令セット及び/またはプログラムコードなどを格納するメモリと、を備える。より具体的には、コントローラは、識別子保護スキームを示すための開示の方法を実行するためにネットワークインターフェースを制御する。
2.1 SUCIに十分なUDMインスタンス発見情報がないことへの解決策
UDMルーティング情報は、Network Repository Function(NRF)、AUSF、SEAF、SIDFなどのコアネットワーク要素、または任意のNetwork Function(NF)/UDMコンシューマで事前に構成(設定)されており、次のパラメータのいずれか1または組み合わせを使用してUDM/UDMインスタンス発見をサポートすることができる。UDMルーティング/選択/発見情報は、UEに事前にプロビジョニング(提供)されることができる。UEは、登録要求またはその他の要求でUDMインスタンスの発見/ルーティングの情報/パラメータをコアネットワーク要素に送信できる。この要求には、UDMインスタンスの選択/発見/ルーティングに関連する次のパラメータのいずれか1つ、1つのうちの一部分または複数の部分、または組み合わせを含むことができる。
UDMコンシューマは、AMF、SEAF、AUSF、SIDF、または任意のネットワーク要素とすることができる。
これらのUDM/UDMインスタンスの選択/発見/ルーティングのパラメータは、個別またはSUCIのサブパラメータとすることができる。
1. UDMインスタンス識別子(UDM IID)
UDMインスタンス識別子全体またはUDM IIDの一部(部分的なUDM IID)は、適切な(right)UDM/UDMインスタンスを発見するためのルーティング情報として使用することができる。
完全なUDM IIDまたは部分的なUDM IIDは、SUPI保護スキーム関連情報を送信する間に、コアネットワーク要素によってUE/USIMに事前共有されることができる。
変形例1:UEと事前共有するためのUDM IID選択は、サブスクリプション/SUPI/保護スキームに基づくことができる。
登録要求メッセージでSUCIを送信している間、UEは、受信/構成されたUDM IID関連情報を、個別のパラメータまたはSUCIのサブパラメータとしてSUCIとともにAMF/SEAFに送信することもできる。
AMF/SEAFは、5G-Authentication Initiation Request(5G-AIR)メッセージでSUCIとともにUDM IIDをAUSFに転送することができる。
UDMコンシューマは、適切なUDMを発見するためのルーティング情報としてUDM IIDを使用することができる。
変形例1:UDMコンシューマは、適切なUDMを発見するために、UDM IID、UDM ID関連のルーティング情報を使用して事前に構成されることができる。
変形例2:NRFは、UDM IID、UDM ID関連のUDMルーティング/発見情報で構成されることができ、NRFはUDMコンシューマが適切なUDMインスタンスを発見するのに役立つ。
2. アクセス/International Mobile Subscriber Identity(IMSI)タイプ
UDMコンシューマは、登録要求メッセージを送信するサブスクライバのアクセスタイプ/IMSIタイプに固有のUDM発見及びルーティング情報で、事前に構成されることができる。
変形例:NRFは、アクセスタイプ/IMSIタイプに関連するUDMルーティング/発見情報(UDMインスタンス識別子及び/またはUDM識別子)で構成されることができ、NRFは、受信したアクセスタイプ/IMSIタイプに基づいてUDMコンシューマが適切なUDMインスタンスを発見するのに役立つ。
登録要求メッセージを送信するUEは、UDMコンシューマによるUDM発見をサポートするためのルーティング情報として、アクセスタイプ/IMSIタイプを含めることができる。
変形例:UEの登録要求メッセージを受信するUDMコンシューマは、登録要求メッセージで通知されたアクセスタイプに基づいてIMSIタイプを識別し、それに応じてアクセスタイプ/IMSIタイプに関連する事前に構成されたUDMインスタンスルーティング情報に基づいて適切なUDMインスタンスを発見する。
3.保護スキーム
UDMコンシューマは、UDM/ARPF及び/またはUEによってサポートされるSUPI保護スキームに固有のUDMルーティング情報で、事前に構成されることができる。
変形例:NRFは、SUPI保護スキームに関連するUDMルーティング/発見情報(UDMインスタンス識別子及び/またはUDM識別子)を使用して構成されることができ、NRFは、UDMコンシューマが登録要求メッセージ内のSUCIで示された保護スキームに基づいて適切なUDMインスタンスを発見するのに役立つ。
登録要求メッセージを送信するUEは、UDMコンシューマが適切なUDMインスタンスを発見するのをサポートするためのルーティング情報としてSUPI保護スキームを含めることができる。
4. IMSIまたはSUPIレンジインジケータ
IMSI/SUPIなどのUEサブスクリプション情報を格納するUDM/ARPFは、サブスクリプション情報に基づいてSUPIを分類し、SUPIのセットに対応するSUPI RANGE INDICATORを設定し、SUPI RANGE INDICATORを、SUPI保護スキームパラメータに沿ってまたはオペレータの実装固有の方法による他の方法で、対応するUE/USIMに提供(事前プロビジョニング)することができる。
UEは、登録要求をネットワークに送信する際に、個別のパラメータまたはSUCIのサブパラメータとして、UDM発見/ルーティング情報としてのSUPI RANGE INDICATORを送信することができる。
UDMコンシューマまたはNRFは、適切なUDMインスタンスを発見するために、SUPI RANGE INDICATOR及び関連するルーティング情報を使用して事前に構成されることができる。
UDMコンシューマは、事前に構成された情報を使用して、またはUEから受信したSUPI RANGE INDICATORに基づいてNRFを介して、それ自体で適切なUDMを発見することができる。
5.サービスタイプ
UDMコンシューマまたはNRFは、サービスタイプ固有のUDM発見情報を使用して構成されることができる。
UE登録要求メッセージまたはその他のメッセージで要求されたサービスタイプ(NSSAI/S-NSSAI)に基づいて、NFコンシューマは、それ自体でまたはNRFを通じて適切なUDM(インスタンス)を発見することができる。
一般的な変形例:UDMコンシューマまたはNRFは、適切なUDMインスタンスを発見するために、上記のパラメータのいずれか1つ、一部(1つ)、または組み合わせを考慮することができる。
6.Random Number(乱数)-単一のUDM配置シナリオのUDMルーティング情報として
ホームオペレータネットワークに配置された単一のUDMの場合、乱数がUDMルーティング/発見/選択情報としてSUPIに割り当てられ、UEに事前にプロビジョニングされることができる。UDM/ARPFなどのコアネットワーク要素によって対応するUE/USIM。UEは、登録要求またはAMF/SEAFへのメッセージのSUCIにこの乱数を含めることができる。次に、AMF/SEAF/AUSF/SIDFなどのUDMコンシューマは、UEから送信された乱数と、UDMコンシューマで事前に構成された、またはNRFを使用したUDMルーティング情報に基づいて、単一のUDMを発見することができる。
利点:SUCIで乱数をUDM選択/発見情報として使用すると、攻撃者(無線でのスニファ)がUDM関連情報(位置情報、トポロジなど)及びそれらのサブスクライバとの関連性を理解することを妨げるため、UDMのセキュリティを向上させることができる。これにより、特定のUDMに対する攻撃が防止される。
2.1.1 SUCIのUDM Catalogue InformationとUDMインスタンスの発見-関連変形例
UDM Catalogue Information(UDMカタログ情報):
UDMカタログ機能/情報には、適切なUDMまたはUDMインスタンスの発見または選択をサポートするために、オペレータドメイン(共有または独立)内のUDM及びそのインスタンスに関する詳細情報を含むことができる。
各UDMは、そのUDMインスタンスを制御するオペレータドメインに固有の一意のUDM識別子(UDM ID)を持つことができる。
UDM内のすべてのUDMインスタンスは、一意のUDMインスタンス識別子(UDM IID)を持つことができる。
UDMカタログ機能(UCF)または情報は、UDMコンシューマでUDM(インスタンス)発見機能(UDF)としても機能することができる。
UCFまたはUDMカタログ情報は、サブスクリプション、セキュリティ要件、サービス要件、UDM負荷などに基づいて適切なUDMインスタンスを発見するためにNRFによって提供されることができる。NRFで管理されるUCFは、UDMインスタンスとその関連機能性及びサービスに変更があるたびに、対応するUDMによって更新されることができる。
UCFまたは/及びUDFは、単一のエンティティ/インスタンス/サービス/機能または個別のエンティティ/インスタンス/サービス/機能とすることができる。
UDMカタログ機能は、適切なUDMインスタンスを選択/発見するために必要な(ルーティング)情報を管理することができる。
UDMカタログ機能(UCF)における情報は、セクション2.1にリストされているUDM発見パラメータに加えて、UDM ID及び/またはUDM IIDなどの他のパラメータと、次のようなUDMの発見のための情報とを含むことがある。
a.UDM (Instance) Functionality(UDM(インスタンス)機能性)、
b.認証方法のタイプ、
c.特権サブスクリプション、
d.通常のサブスクリプション、
e.サブスクリプションタイプ、
f.IMSI/SUPIレンジ識別子
g.サービスタイプ
h.UDM/UDMインスタンスのInvocation count(呼び出し回数)-
-(分散サービス拒否(Distributed Denial-of-Service)(DDoS)を回避するために設定された最大制限。呼び出しカウントは、ホームネットワーク/ビジターのネットワーク要求を処理するホームネットワークのサブスクリプション/サービス/NF/信頼レベル/信頼ゾーン/時間/期間に固有とすることができる(呼び出し回数はビジターネットワークとそのサービスに固有)-
呼び出し回数/しきい値は、特定の期間、すべての側面(ソース、サブスクリプションなど)で類似している呼び出し間の最小間隔、アクセス権限レベルのネットワーク機能、サブスクリプションとアクセス権限レベル、及び、機能に対応するUDMインスタンスを識別するためのタグ/参照/情報に設定され得る。
2.1.1.1 UDM Catalogue Information Related Variant(UDMカタログ情報関連変形例)-1:
AUSFまたは任意のUDMコンシューマは、図2に示すように、UDMカタログ機能または情報に基づいてUDMインスタンスを発見することができる。セクション2.1.1に記述されているように、UCFによって管理されるサービス要件とその他の特定のパラメータに基づいて、適切なUDMインスタンスの発見/選択をサポートするように、専用のUDMカタログ機能/情報をUDMコンシューマで構成することができる。
UEの登録要求または任意の要求が、セクション2.1にリストされているUDMルーティング情報パラメータのいずれか1つまたは組み合わせを使用してUDMコンシューマによって受信されるときはいつでも、UDMコンシューマは、SUCIでUEによって通知されたUDMルーティング情報または発見情報を識別して、あるいは要求内のパラメータを識別して、次に図2に示すようにステップ1a及び1bを実行し、適切なUDMインスタンスを発見することができる。Unified Data Repository(UDR)は、UDMによるサブスクリプションデータの格納と取得をサポートする。
2.1.1.2 UDMカタログ情報関連変形例-2:
UDMカタログ機能/情報は、NFコンシューマによる適切なUDMインスタンスの発見をサポートするようにNRFで構成されることができる。AUSFまたは任意のUDMコンシューマは、図3に示すように、NRFによって管理されるUDMカタログ機能または情報に基づいてUDMインスタンスを発見することができる。
UEの登録要求または任意の要求が、セクション2.1にリストされているUDMルーティング情報パラメータのいずれか1つまたは組み合わせでAUSFまたはUDMコンシューマによって受信されるときはいつでも、UDMコンシューマは、SUCIでUEによって通知されたUDMルーティング情報または発見情報を識別して、あるいは要求内の任意のパラメータを識別して、次に図3のステップ1.aに示すようにNRFと通信し、図3のステップ1.bに示すように適切なUDMインスタンスを発見することができる。
2.1.1.3 UDMカタログ情報関連変形例-3:
SEAFによって受信されたUEの登録要求、または5G-AIR要求が、セクション2.1にリストされているUDMルーティング情報パラメータのいずれか1つまたは組み合わせを使用して、AUSFによってまたはUDMコンシューマによって受信されたメッセージによって、SUCIとともに受信されるときはいつでも、UDMコンシューマは、SUCIでUEから通知されたUDMルーティング情報または発見情報を識別し、あるいは要求内のパラメータを識別し、次に図4のステップ1aに示すようにデフォルトのUDMまたはUDMインスタンスマネージャを発見することができる。
変形例:UDMコンシューマ/AUSFは、デフォルトのUDMインスタンスまたはUDMマネージャを見つけるためにNRFと通信することもある。
最初に、SEAF/AUSFまたは任意のUDMコンシューマは、UDMコンシューマで構成された、または解決策A(メイン)で定義されたNRFを介して構成されたルーティング情報に基づいて、デフォルトUDMまたは特定のUDMインスタンス(UDMマネージャとして機能する)を発見することができる。
UDMが発見されると、UDM(UDMインスタンスマネージャ)によって管理されるUCFに関連するUDMインスタンス情報を使用して、より適切なUDMインスタンスがUDM(UDMマネージャ)自体によって発見され得る。UCFは、サービス要件とUCFで管理されるその他の特定のパラメータに基づいて適切なUDMインスタンスの選択をサポートするための情報/機能性/サービス/インスタンスとすることができる。
変形例:1つのUDMに属する1つのUDMインスタンスは、そのUDM内のUCFの機能を実行して、UDMI ID、UCFデータ、及びその他の必要なサービス/機能性に基づいて、適切なUDMインスタンスを選択/発見することができる。
2.1.1.4 UDMカタログ情報関連変形例-4 [SEAFによるUDMインスタンスの選択]:
AMF/SEAFが受信したUEの登録要求にSUCIが含まれている場合はいつでも、AMF/SEAFはUDMコンシューマとして機能し、受信したSUCIのUDMインスタンス選択パラメータとSEAFにおいて事前に構成されたUDMカタログ情報とに基づいて、適切なUDMインスタンスを発見/選択することができる。
AMF/SEAFがUDMカタログ情報でローカルに構成されていない場合、AMF/SEAFはUDMカタログ情報でローカルに構成されたNRFを利用して、適切なUDMインスタンスを選択することができる。
2.1.1.5 UDMカタログ情報関連変形例-4 [スタンドアロンSIDFを使用]:
AMF/SEAFが受信したUEの登録要求にSUCIが含まれている場合はいつでも、SEAFは5G-AIRメッセージとともにSUCIをAUSFに送信することができる。
AUSFは、保護スキーム及び/またはホームネットワーク識別子に基づいて、コアネットワークでSIDFを発見することができる。
SIDFは、コアネットワーク要素または機能とすることができる。
変形例:SIDFは、UDMと同じ場所に配置されるか、コアネットワーク内に独立して配置されることができる。
SIDFはSUCIを非秘匿化し、SIDFは、UDMコンシューマとして機能し、SUPIに関連するSUPIレンジ/サブスクリプションに基づいて適切なUDMインスタンスを発見/選択することができる。
変形例1:SIDFは、セクション2.1.1で説明したUDMインスタンス発見情報(UDMカタログ情報)を使用して事前に構成されることができる。SIDFは、SUPI及び事前に構成されたUDMインスタンス発見情報に基づいてUDMインスタンスを選択することができる。
変形例2:SIDFはUDMコンシューマとして機能し、NRFを介して適切なUDMインスタンスを選択/発見することができる。NRFは、セクション2.1.1で説明したUDMインスタンス発見情報(UDMカタログ情報)を使用して事前に構成することができる。
2.2 UDMインスタンスとUDMインスタンス識別子の完全性と機密性保護の欠如に対する解決策
2.2.1 偽のインスタンス識別子とUDMインスタンスへの攻撃を防ぐための秘密のインスタンスコードの生成
すべてのUDMインスタンスは、一意のUDMインスタンス識別子をもつことができる。
2.2.1.1 UDMインスタンス識別子(UDM IID)
ここで、<UDMIID> = <UDM Identifier(UDM識別子)> <Instance number(インスタンス番号)> <Secret Instance Code(シークレットインスタンスコード)> <Service/Function Identifier(サービス/機能識別子)> <Protection scheme Identifier(保護スキーム識別子)>
部分的なUDM IIDには、UDM識別子とインスタンス番号/インスタンス識別子を含めることができる。
部分的なUDM IIDは、任意のコアネットワーク要素またはUDM/ARPFによってUE/USIMに事前にプロビジョニングされることができる。
* <シークレットインスタンスコード> =偽のインスタンスIDとUDMインスタンスへの攻撃を防止するための、ホームネットワーク固有のUDM生成シークレットコード
* <サービス/機能識別子> =特定のUDMインスタンスによって提供される1つまたはすべての機能またはサービスの識別子。サービス/機能識別子は、次のような他の変形例に特有であることがある。
a.サブスクリプションタイプID(通常/プレミアム/SUPIに基づくその他)
b.サービスタイプID(NSSAI/S-NSSAI)
c.IMSIまたは非IMSIタイプID
d.TS 23.501 6.2.7節に記載されている機能に固有の機能性ID
e.認証方法ID
f.保護スキームと方法に関連するID
g.SUPI/IMSIのレンジ
h.アクセスタイプID
2.2.1.2 UDM発見:
UDM ID及びインスタンス番号は、SUPI保護スキームパラメータとともにUE/USIMと事前共有されることができ、これにより、UDMコンシューマまたはNRFまたはUDM/ARPF/または任意のコアネットワーク要素によるUDM/UDMインスタンスの発見をサポートすることができる。
理由:UDM IDとインスタンス番号のみがUEと共有され、UDMインスタンスへの攻撃を防ぐために、<シークレットインスタンスコード> <保護スキーム識別子> <サービス/機能識別子>などのUDMIIDに関連する残りのパラメータがコアネットワークのUDM/ARPFで保持される。
UDM/ARPF以外の要素と同様にUEには、並びにホームネットワーク外の要素には、完全なUDM IID(UDMまたはUDMインスタンスに対応する<シークレットインスタンスコード>及び<サービス/機能ID>)の知識が与えられない。
事前共有/構成済みのUDM IDとインスタンス番号は、UDMインスタンスの発見に(ルーティング情報として)のみ使用でき、UDM/ARPFでのUDMインスタンスの管理は完全なUDMIIDに基づくことができる。
変形例:SUCIでUEから受信した部分的なUDM IIDは、SEAF/AUSF/SIDFまたはNRFなどのUDMコンシューマによって、UDM IIDと一緒に事前に構成されたUDMインスタンスルーティング情報とともに、適切なUDMインスタンスの発見/選択のために使用されることができる。
UDMIDとインスタンス番号は、適切なUDMインスタンスを発見するためのルーティング情報として機能することができる。
変形例:UDM Instance Discovery ID(UDMインスタンス発見ID)/UDM Instance Routing ID(UDMインスタンスルーティングID) = UDM ID || UDMインスタンス番号
UDM発見をサポートするために、UEは受信したUDMIDとインスタンス番号を、Registration Request(登録要求)メッセージまたは任意のメッセージとともにSUCIで、サブパラメータまたは個別のパラメータとして送信することができる。
2.2.1.3 シークレットインスタンスコードの生成
周期的なシークレットインスタンスコードは、UDMルートキー||UDMコンシューマタイプ/コード/識別子/グループ識別子||PRFまたはKDFまたは任意の関数へのインスタンスカウントなどの入力に基づいてインスタンスが作成されるときに、識別子を導出するために生成される。
変形例1:シークレットインスタンスコードは、静的コードまたは動的コードとすることができる。
変形例2:シークレットインスタンスコードは、UDMルートキー、乱数、UDMコンシューマタイプ/コード/識別子/グループ識別子、PRF、KDF、または任意の関数へのインスタンスカウントなどの入力の1つまたは多くの任意の組み合わせに基づいてインスタンスが作成されるときに生成されることができる。
インスタンスカウントは毎回インクリメントされ、UDM内で同様のタイプのUDMインスタンスが作成される。
UDMは、Message Authentication CodeまたはUDMインスタンスのすべて/サブセット/セットのハッシュを生成して格納することができ、攻撃者による偽の識別子の包含を防止するためにそのインスタンス/インスタンス識別子の完全性を周期的に検証することができる。
UDM及びUDMインスタンスの管理は、シークレットコードを含む完全なUDMインスタンス識別子に依存してもよい。
2.2.2 UDM/UDMインスタンス選択パラメータ/情報のセキュリティ
SUCIで送信された、またはUEによって個別のパラメータとして送信されたUDMインスタンス選択情報/パラメータは、次のいずれかを使用して完全性を保護することができる。UDMインスタンス選択パラメータを受信してUDMインスタンスを選択するコアネットワーク要素は、UDM/UDMインスタンスを選択する前に、UDMインスタンス選択パラメータの完全性を検証することができる。コアネットワーク要素でこの完全性検証を実行するために必要なセキュリティコンテキストは、コアネットワーク要素で使用できるか、ホームネットワークUDM/ARPFによってプロビジョニングされることができる。
-事前にプロビジョニングされた秘密鍵、または
-UEで利用可能なセキュリティコンテキストを使用する、または
-HN公開鍵とUE秘密鍵から導出した鍵を使用する、または
-SUCI構築に適用される保護スキームに基づいて、対称エフェメラルキーから導出した鍵を使用する。
-SUCI構築で使用される鍵を使用する。
2.3 AUSFへのSUPI状態(Concealed/Cleartext)情報がないことへの解決策
再認証中に、AMF/SEAFに有効な5G-GUTIがあり、次にAMF/SEAFがUEを再認証するために5G-Authentication Initiation Request(5G-AIR)メッセージにSUPI(初期/プライマリ認証中にAUSFから以前に受信したもの)を含む場合、AMF/SEAFは、AUSFに通知するためにクリアテキストのSUPIまたは秘匿形式のSUPI(SUCI)があるかどうかを示すインジケータを5G-AIRメッセージに含めることもできる。
5G-AIRメッセージでSEAFがインジケータを使用して、SUPIがクリアテキストまたは秘匿形式であるかどうかをAUSFに通知することができる。
IMSI/SUPI状態インジケータは、SUPIがクリアテキストまたは秘匿形式であるかどうかを識別するために使用されるインジケータであり得る。
変形例:IMSI/SUPI状態インジケータは、SUPIクリアテキストインジケータと呼ばれることもある。
IMSI/SUPI状態インジケータ:
メッセージ(例:5G-AIR)内のIMSI/SUPI状態インジケータを有効にして、IMSI/SUPIがクリアテキストであることを通知することができる。
メッセージ(例:5G-AIR)のIMSI/SUPI状態インジケータを無効にして、IMSI/SUPIパラメータが秘匿形式であり、AUSFによってSUCIとして扱われる必要があることを通知することができる。
2.3.1 再認証シナリオでのIMSI/SUPI状態インジケータの使用
2.3.1.1 ケース1:UEが登録要求で5G-GUTIを送信する
再認証中にAMF/SEAFに有効な5G-GUTIがあり、次にAMF/SEAFがUEを再認証するために5G-AIRメッセージにSUPI(初期認証中にAUSFから以前に受信したもの)を含む場合、AMF/SEAFはまた、クリアテキストSUPIをAUSFに通知するためにIMSI/SUPI状態インジケータを含むことができる。
図5は、5G-GUTIへのRegistration(登録)時のSUPI State Indicator(SUPI状態インジケータ)の使用を示している。
1. UEは、5G-GUTI及びngKSIを含む登録要求をAMF/SEAFに送信することができる。ngKSIの目的は、UEとコアネットワーク要素がセキュリティコンテキストを識別し、後続の接続セットアップ中に初期/プライマリ認証中に導出/共有されたセキュリティコンテキストを再利用できるようにすることである。
2. AMF/SEAFは、a)受信した5G-GUTIが有効かどうかをチェックし、それが有効な場合、SEAFは、a-1)5G-AIRメッセージに5G-GUTIに対応するSUPIを含め、5G-AIRにクリアテキストSUPIが含まれていることをAUSFに通知するために、SUPI状態インジケータを有効にすることができる。
変形例:2.b)AMF/SEAFが5G-GUTIが無効であることを発見した場合、AMF/SEAFは2.b-1)UEとのサブスクリプション識別手順をトリガすることができる。UEはSUPI/SUCIのいずれかを返す。UEがSUPIを返す場合、AMF/SEAFは、5G-AIRメッセージで有効になっているSUPI状態インジケータ付きのSUPIを含めることができる。UEがSUCIを返す場合、AMF/SEAFは5G-AIRメッセージでSUPI状態インジケータを無効にしたSUCIを含めることができる。
3. AMF/SEAFは、ステップ2とその変形例の条件及びngKSIに基づきそれに応じて有効化/無効化されたSUPI状態インジケータとともに、SUPI/SUCIとともに5G-AIRメッセージをAUSFに送信することができる。
4. a)SUPI状態インジケータが有効になっている場合、AUSFはSUPIを識別及び検証することができる。
変形例:4b)及び4c) 受信した5G-AIRメッセージでSUPI状態インジケータが無効になっている場合、AUSFは、5G-AIRメッセージで受信したSUPI/SUCIをSUCIと見なし、SUCIの秘匿化を解除するために、SUCIを送信することによって、UDM/SIDFとの認証情報要求/応答メッセージをトリガすることができる。
5. AUSFは、SUPI検証及びngKSI情報に基づいて再認証を実行することができる。
6. 再認証の結果に基づいて、AUSFは5G-AIAメッセージを、それに応じた(再)認証の成功または失敗のメッセージとともにAMF/SEAFに送信することができる。
7. AMF/SEAFは、それに応じて登録許可または登録拒否のメッセージをUEに送信することができる。
2.3.1.2 ケース2:UEが登録要求でSUCIを送信する
再認証中に、UEが登録要求メッセージでSUCIを送信する場合、AMF/SEAFは、秘匿化されたSUPIの存在をAUSFに通知するために、無効化されたIMSI/SUPI状態インジケータとともに、受信したSUCIを5G-AIRメッセージでAUSFに送信することができる。
図6は、5G-GUTI登録時のSUPI状態インジケータの使用を示している。
1. UEは、SUCI及びngKSIを含む登録要求をAMF/SEAFに送信することができる。ngKSIの目的は、UEとコアネットワーク要素がセキュリティコンテキストを識別し、後続の接続セットアップ中に初期/プライマリ認証中に導出/共有されたセキュリティコンテキストを再利用できるようにすることである。
2. SUCIとともに登録要求を受信すると、AMF/SEAFはSUPI状態インジケータを無効に設定することができる。
3. AMF/SEAFは、5G-AIRメッセージに秘匿化されたSUPIが含まれていることをAUSFに通知するために、SUCI、ngKSI、及び無効にしたSUPI状態インジケータとともに、5G-AIRメッセージを送信することができる。
4. 受信した5G-AIRメッセージでSUPI状態インジケータが無効になっていると、AUSFは、SUCIの秘匿化を解除するためにSUCIを送信することにより、UDM/SIDFとの認証情報要求/応答メッセージをトリガすることができる。
5. AUSFは、SUPI検証及びngKSI情報に基づいて再認証を実行することができる。
6. 再認証の結果に基づいて、AUSFは5G-AIAメッセージを、それに応じた(再)認証の成功または失敗のメッセージとともにAMF/SEAFに送信することができる。
7. AMF/SEAFは、それに応じて登録許可または登録拒否のメッセージをUEに送信することができる。
2.4 提案されたパラメータを使用した再認証手順の解決策
次の提案されたパラメータは、UEと5Gシステム間のプライマリ認証に続く再認証に使用することができる。
a)Re-authentication Identifier(再認証識別子)
b)Re-authentication Token(再認証トークン)
a)再認証識別子(Re-auth ID):
再認証識別子は、以下のいずれか1つまたは組み合わせにバインドされることができる。
a)初期認証中に実行されたEAP方法の識別子、及び
b)5G再認証コード(動的または静的)
b)再認証トークン(Re-auth Token):
再認証トークンは、以下のいずれか1つまたは組み合わせにバインドされることができる。
AUSF/KSEAF/一次初期認証中に導出された任意の鍵、
SUPI、及び
5G再認証コード(動的または静的)
2.4.1 ケース1の再認証手順:登録要求で5G-GUTIを送信するUE
図7は、5G-GUTI登録時のSUPI状態インジケータの使用を示している。
1. UEは、Re-auth ID、 Re-auth Token、5G-GUTI、及びngKSIを含む登録要求をAMF/SEAFに送信することができる。ngKSIの目的は、UEとコアネットワーク要素がセキュリティコンテキストを識別し、後続の接続セットアップ中に初期/プライマリ認証中に導出/共有されたセキュリティコンテキストを再利用できるようにすることである。
2. AMF/SEAFは、a)受信した5G-GUTIが有効かどうかをチェックし、それが有効な場合、SEAFは、a-1)5G-GUTIに対応するSUPIを5G-AIRメッセージに含め、5G-AIRにクリアテキストSUPIが含まれていることをAUSFに通知するためにSUPI状態インジケータを有効に設定することができる。
変形例:2.b)AMF/SEAFが5G-GUTIが無効であることを発見した場合、AMF/SEAFは2.b-1)UEとのサブスクリプション識別手順をトリガすることができる。UEはSUPI/SUCIのいずれかを返す。UEがSUPIを返す場合、AMF/SEAFは、5G-AIRメッセージで有効になっているSUPI状態インジケータ付きのSUPIを含めることができる。UEがSUCIを返す場合、AMF/SEAFは、5G-AIRメッセージで無効になっているSUPI状態インジケータ付きのSUCIを含めることができる。
3. AMF/SEAFは、ステップ2とその変形例の条件及びngKSIに基づいて、それに応じて有効化/無効化されたSUPI状態インジケータとともに、SUPI/SUCIとともに5G-AIRメッセージをAUSFに送信することができる。
4. a)SUPI状態インジケータが有効になっている場合、AUSFはSUPIを識別及び検証することができる。
変形例:4b)及び4c)受信した5G-AIRメッセージでSUPI状態インジケータが無効になっている場合、AUSFは、5G-AIRメッセージで受信したSUPI/SUCIをSUCIと見なし、SUCIの秘匿化を解除するためにSUCIを送信することにより、UDM/SIDFとの認証情報要求/応答メッセージをトリガすることができる。
5. AUSFは、Re-Auth IDとSUPIを検証することができる。検証が成功した場合、AUSFは、SUPIに対応するRe-auth Tokenを導出し、5G-AIRメッセージで受信したものを使用して、導出したRe-auth Tokenを検証することにより、再認証を実行することができる。AUSFは、成功したプライマリ認証に対応するKAUSF及びKSEAFを識別するために、受信したngKSI情報を使用することができる。AUSFはさらに、AUSFに残された鍵(KAUSF)またはKSEAFから、再認証鍵を、再認証カウントとともにフレッシュネスパラメータとして導出することができる。
変形例:初期認証時に導出されたKAUSF/KSEAFは、r-KAUSF/r-KSEAF生成で、フレッシュネスパラメータとして再認証カウントとともに使用されることができる。
変形例:再認証マスタ鍵r-KAUSFはK’AUSFとして記述でき、再認証アンカ鍵r-KSEAFはK’SEAFとして記述することができる。
6. 再認証の結果に基づいて、AUSFは5G-AIAメッセージを、それに応じた(再)認証の成功または失敗のメッセージとともにAMF/SEAFに送信することができる。
7. AMF/SEAFは、それに応じて登録許可または登録拒否のメッセージをUEに送信することができる。
8. 再認証が成功した後、UEは、AUSFと同様の再認証のマスタ鍵またはアンカ鍵を導出することができる。
2.4.2 ケース2の再認証手順:UEが登録要求でSUCIを送信する。
図8は、5G-GUTI登録時のSUPI状態インジケータの使用を示している。
1. UEは、Re-auth ID、Re-auth Token、SUCI、及びngKSIを含む登録要求をAMF/SEAFに送信することができる。ngKSIの目的は、UEとコアネットワーク要素がセキュリティコンテキストを識別し、後続の接続セットアップ中に初期/プライマリ認証中に導出/共有されたセキュリティコンテキストを再利用できるようにすることである。
2. SUCIとともに登録要求を受信したAMF/SEAFは、SUPI状態インジケータを無効に設定することができる。
3. AMF/SEAFは、5G-AIRメッセージに秘匿化されたSUPIが含まれていることをAUSFに通知するために、Re-auth ID、Re-auth Token、SUCI、ngKSI、及び無効にしたSUPI状態インジケータとともに、5G-AIRメッセージを送信することができる。
4. 受信した5G-AIRメッセージでSUPI状態インジケータが無効になると、AUSFは、SUCIの秘匿化を解除するためにSUCIを送信することにより、UDM/SIDFとの認証情報要求/応答メッセージをトリガすることができる。
5. AUSFは、Re-auth IDとSUPIを検証することができる。検証が成功した場合、AUSFはSUPIに対応するRe-auth Tokenを導出し、5G-AIRメッセージで受信したものを使用して、導出したRe-auth Tokenを検証することにより、再認証を実行することができる。AUSFは、成功したプライマリ認証に対応するKAUSF及びKSEAFを識別するために、受信したngKSI情報を使用することができる。AUSFはさらに、AUSFに残された鍵(KAUSF)またはKSEAFから、再認証鍵を、再認証カウントとともにフレッシュネスパラメータとして導出することができる。
変形例:初期認証時に導出されたKAUSF/KSEAFは、r-KAUSF/r-KSEAF生成で、フレッシュネスパラメータとして再認証カウントとともに使用することができる。
変形例:再認証マスタ鍵r-KAUSFはK’AUSFとして記述でき、再認証アンカ鍵r-KSEAFはK’SEAFとして記述することができる。
6. 再認証の結果に基づいて、AUSFは、5G-AIAメッセージを、それに応じた(再)認証の成功または失敗のメッセージとともにAMF/SEAFに送信することができる。
7. AMF/SEAFは、それに応じて登録許可または登録拒否のメッセージをUEに送信することができる。
8. 再認証が成功した後、UEは、AUSFと同様の再認証のマスタ鍵またはアンカ鍵を導出することができる。
3.1 本開示には以下が含まれる:
1)UDMまたはUDMインスタンスルーティング情報として機能するように提案されたパラメータ。
2)UDMコンシューマ、NRFなどのさまざまなネットワーク要素によって、及び/またはUDM自体によってUDMインスタンスの発見を実行するための提案された方法。
3)コアネットワーク要素によるUE/USIMへのUDMルーティング情報事前プロビジョニング方法の提案。
4)UDMインスタンスと識別子への攻撃及び偽のUDMインスタンス識別子の悪意のある包含を防ぐための、完全なUDMインスタンス識別子の生成と関連するセキュリティメカニズムの提案。
5)5G-AIRメッセージで送信されたSUPIがクリアテキストまたは秘匿形式である場合、AUSFを示すために提案された方法。
6)UEと5Gコア(5Gシステム)間の再認証のために提案されたセキュリティパラメータと手順。
3.2 本開示には以下が含まれる。
次のステップを含む、UDMインスタンス発見情報のプロビジョニング方法。
1)コアネットワーク/オペレータ/他のいずれかによるUDMインスタンス発見/ルーティング情報のUEへの事前プロビジョニング。UDMインスタンスの発見/ルーティング情報は、以下のパラメータのいずれか1つまたは組み合わせとすることができる。
a.UDM識別子||インスタンス番号またはインスタンス識別子
b.IMSIまたはSUPIレンジインジケータ
c.アクセス/IMSIタイプ
d.保護スキーム
e.サービスタイプ
f.乱数
2)UEは、登録要求メッセージまたはSUCIの送信中の任意のメッセージに、以下のUDMインスタンス発見/ルーティング関連パラメータのいずれか1または組み合わせを含めることができる。
a.UDM識別子||インスタンス番号またはインスタンス識別子
b.IMSIまたはSUPIレンジインジケータ
c.アクセス/IMSIタイプ
d.保護スキーム
e.サービスタイプ
f.乱数
3)UDMインスタンス発見/ルーティングパラメータは、個別のパラメータまたはSUCIのサブパラメータとして、UEからコアネットワークに送信されることができる。
4)UDMインスタンスの発見/ルーティング/選択/識別パラメータ/情報は、任意のパラメータの一部、またはUEから送信された個々のパラメータまたはSUCIの一部とすることができる。
5)UDMカタログ情報または機能は、適切なUDMインスタンスを見つけるために、UDMインスタンスの発見/ルーティングパラメータとともにサポートすることができる。UCFには次の情報が含まれ、UDMコンシューマ、NRF、UDM、または3つのネットワーク要素すべてによって管理されることができる。
a)完全なUDM IID、UDM ID
b)UDM IIDと、次のようなUDMインスタンスの発見に関するさらなる情報
1.UDM(インスタンス)機能、
2.認証方法のタイプ、
3.特権サブスクリプション、
4.通常のサブスクリプション、
5.サブスクリプションタイプ、
6.IMSI/SUPIレンジ識別子
7.UDM/UDMインスタンスの呼び出し回数-
8.サービスタイプ
6)UDMコンシューマは、それ自体またはNRFに沿って、UE及びUCFから受信したUDMインスタンス発見情報に基づいて、適切な(right)UDMインスタンスを発見することができる。
a.変形例:UDMコンシューマは、UE及びUCFから受信したUDMインスタンス発見情報に基づいて、適切なUDMインスタンスを発見することができる。
b.変形例:NRFは、UE及びUCFから受信したUDMインスタンス発見情報に基づいて、適切なUDMインスタンスを発見することができる。
c.変形例:UDMコンシューマまたはNRFは、UEから受信したUDMインスタンス発見情報に基づいてデフォルトのUDMまたはUDMインスタンスまたはUDMインスタンスマネージャを発見し、その後、UCFに基づいて適切な(appropriate)UDMインスタンスを発見することができる。
d.変形例:ネットワーク機能またはそのインスタンスの識別/発見/選択/ルーティングは、適切なUDMインスタンスの選択のために提案された同様の手順と情報交換に従うことができる。
次のステップを含む、悪意のある攻撃に対するUDM、UDMインスタンス、及びUDMインスタンス識別子の保護方法。
1)UDM識別子(UDM Identifier)、インスタンス(Instance)番号、シークレットインスタンスコード(Secret Instance Code)、サービス識別子(Service Identifier)、機能識別子(Function Identifier)、保護スキーム識別子(Protection scheme Identifier)などのパラメータ(特定の用途またはSUPI保護に固有)の組み合わせのいずれかを使用して、完全なUDMインスタンス識別子(UDM IID)を生成する。
2)部分的/基本的なUDM IIDには、UDM識別子とインスタンス番号/インスタンス識別子とを含めることができる。
3)シークレットインスタンスコードは、ホームネットワーク固有のUDM生成のシークレットコードであり、偽のインスタンスIDとUDMインスタンスへの攻撃を防ぐことができる。
4)UDMIDとインスタンス番号は、適切なUDMインスタンスを発見するためのルーティング情報として機能することができる。
5)セクション1.2.1.3で説明したように、シークレットインスタンスコード生成はUDM/ARPFによって生成されることができる。
6)UDMは、UDMインスタンスのすべて/サブセット/セットのMACを生成して格納し、攻撃者による偽の識別子の包含を防止するためにそのインスタンス/インスタンスIDの完全性を周期的に検証することができる。
7)UDM及びUDMインスタンスの管理は、シークレットコードを含むUDMインスタンス識別子に依存することができる。
次のステップを含む、5G-AIRメッセージで送信されたSUPIがクリアテキストまたは秘匿形式である場合にAUSFを示すために提案された方法。
1)SUPI/SUCIが5G-AIRメッセージで送信された場合、またはSUPI状態インジケータまたはSUPIクリアテキストインジケータと呼ばれるインジケータを使用した、クリアテキストまたは秘匿形式の他のメッセージである場合、SEAFはAUSFを示すことがある。
次のステップを含む、UEと5Gコア(5Gシステム)間の再認証のために提案されたパラメータとセキュリティ手順。
1)UEは、Re-auth IDとRe-auth Tokenを使用して、ネットワークで再認証することができる。
2)UE及びネットワークは、K’AUSF及び/またはK’SEAFのような再認証鍵を、初期/プライマリー認証時に導出された鍵KAUSF及び/またはKSEAFを用いて導出することができる。
この出願は、2018年2月16日に提出されたインド特許出願第201841005986号に基づく優先権の利益を主張するものであり、その開示の全体を参照により本明細書に組み込まれる。

Claims (18)

  1. Unified Data Management(UDM)インスタンスに関連するルーティング情報を取得するように構成された取得手段と、
    第1の情報を含む登録要求メッセージを送信するように構成された送信手段と
    を備え、
    前記第1の情報は、前記ルーティング情報と、International Mobile Subscription Identity(IMSI)またはIMSIのいずれであるかを示すタイプ情報とを含む
    通信装置。
  2. 前記ルーティング情報は、ネットワーク装置を選択または発見するために使用される
    請求項1に記載の通信装置。
  3. 前記ネットワーク装置は、UDMまたはUDMインスタンスを含む
    請求項に記載の通信装置。
  4. 前記第1の情報は、Subscription Concealed Identifier(SUCI)である
    請求項1からのいずれか1項に記載の通信装置。
  5. Access and Mobility Management Function(AMF)から前記ルーティング情報を受信するように構成された受信手段を含む
    請求項1からのいずれか1項に記載の通信装置。
  6. 前記ルーティング情報は、Network Repository Function(NRF)において構成される
    請求項1からのいずれか1項に記載の通信装置。
  7. 受信手段と、
    選択手段とを備え、
    前記受信手段は、第1の情報を含む登録要求メッセージを受信するように構成され、
    前記第1の情報は、Unified Data Management(UDM)インスタンスに関連するルーティング情報と、International Mobile Subscription Identity(IMSI)またはIMSIのいずれであるかを示すタイプ情報とを含み、
    前記受信手段は、Network Repository Function(NRF)から、1または複数のUnified Data Management(UDM)インスタンスを示す第2の情報を受信するように構成され、
    前記選択手段は、前記ルーティング情報および前記第2の情報に基づいて、第2のネットワーク装置を選択する
    第1のネットワーク装置。
  8. 前記第1の情報は、Subscription Concealed Identifier(SUCI)である
    請求項に記載の第1のネットワーク装置。
  9. 前記第2のネットワーク装置は、UDMまたはUDMインスタンスを含む
    請求項またはに記載の第1のネットワーク装置。
  10. Unified Data Management(UDM)インスタンスに関連するルーティング情報を取得する取得し、
    第1の情報を含む登録要求メッセージを送信し、
    前記第1の情報は、前記ルーティング情報と、International Mobile Subscription Identity(IMSI)またはIMSIのいずれであるかを示すタイプ情報とを含む
    通信装置の方法。
  11. 前記ルーティング情報は、ネットワーク装置を選択または発見するために使用される
    請求項10に記載の方法。
  12. 前記ネットワーク装置は、UDMまたはUDMインスタンスを含む
    請求項11に記載の方法。
  13. 前記第1の情報は、Subscription Concealed Identifier(SUCI)である
    請求項10から12のいずれか1項に記載の方法。
  14. Access and Mobility Management Function(AMF)から前記ルーティング情報を受信する
    請求項10から13のいずれか1項に記載の方法。
  15. 前記ルーティング情報は、Network Repository Function(NRF)において構成される
    請求項10から14のいずれか1項に記載の方法。
  16. 第1の情報を含む登録要求メッセージを受信し、
    前記第1の情報は、Unified Data Management(UDM)インスタンスに関連するルーティング情報と、International Mobile Subscription Identity(IMSI)またはIMSIのいずれであるかを示すタイプ情報とを含み、
    Network Repository Function(NRF)から、1または複数のUnified Data Management(UDM)インスタンスを示す第2の情報を受信し、
    前記ルーティング情報および前記第2の情報に基づいて、第2のネットワーク装置を選択する
    第1のネットワーク装置の方法。
  17. 前記第1の情報は、Subscription Concealed Identifier(SUCI)である
    請求項16に記載の方法。
  18. 前記第2のネットワーク装置は、UDMまたはUDMインスタンスを含む
    請求項16または17に記載の方法。
JP2020540648A 2018-02-16 2019-02-15 通信装置、第1のネットワーク装置、通信装置の方法、及び第1のネットワーク装置の方法 Active JP7047921B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022042147A JP7388464B2 (ja) 2018-02-16 2022-03-17 第1のネットワーク装置及び第1のネットワーク装置のための方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IN201841005986 2018-02-16
IN201841005986 2018-02-16
PCT/JP2019/005464 WO2019160069A1 (en) 2018-02-16 2019-02-15 Method to select the right udm instance and ensure the udm instance security

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022042147A Division JP7388464B2 (ja) 2018-02-16 2022-03-17 第1のネットワーク装置及び第1のネットワーク装置のための方法

Publications (3)

Publication Number Publication Date
JP2021511746A JP2021511746A (ja) 2021-05-06
JP2021511746A5 JP2021511746A5 (ja) 2021-06-17
JP7047921B2 true JP7047921B2 (ja) 2022-04-05

Family

ID=67619326

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020540648A Active JP7047921B2 (ja) 2018-02-16 2019-02-15 通信装置、第1のネットワーク装置、通信装置の方法、及び第1のネットワーク装置の方法
JP2022042147A Active JP7388464B2 (ja) 2018-02-16 2022-03-17 第1のネットワーク装置及び第1のネットワーク装置のための方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2022042147A Active JP7388464B2 (ja) 2018-02-16 2022-03-17 第1のネットワーク装置及び第1のネットワーク装置のための方法

Country Status (4)

Country Link
US (1) US11496882B2 (ja)
EP (1) EP3753270A4 (ja)
JP (2) JP7047921B2 (ja)
WO (1) WO2019160069A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102631588B1 (ko) * 2017-08-11 2024-02-02 삼성전자 주식회사 차세대 이동 통신 시스템에서 추가적인 상향링크 주파수를 지원하기 위한 방법 및 장치
WO2020173863A1 (en) * 2019-02-27 2020-09-03 Telefonaktiebolaget Lm Ericsson (Publ) Non-public network authentication in 5g
EP3959914A4 (en) * 2019-04-26 2022-11-23 Telefonaktiebolaget LM Ericsson (publ) METHODS AND DEVICES FOR SERVICE DISCOVERY
CN112788598B (zh) * 2019-11-01 2022-11-11 华为技术有限公司 一种保护认证流程中参数的方法及装置
WO2021123892A1 (en) * 2019-12-19 2021-06-24 Telefonaktiebolaget Lm Ericsson (Publ) Slice and/or subscriber identification module device lock
US20230028544A1 (en) * 2020-01-06 2023-01-26 Nokia Technologies Oy Selective indications towards user equipment
CN113498059B (zh) * 2020-04-07 2023-03-10 大唐移动通信设备有限公司 一种认证和授权结果通知及其处理方法、设备、装置及介质
US11432158B2 (en) * 2020-08-10 2022-08-30 Verizon Patent And Licensing Inc. Systems and methods for using a unique routing indicator to connect to a network
CN115843027A (zh) * 2021-09-19 2023-03-24 华为技术有限公司 通信方法和通信设备
US11902788B2 (en) * 2021-12-08 2024-02-13 T-Mobile Innovations Llc 5G hyperledger slice security framework
CN114205902A (zh) * 2021-12-16 2022-03-18 中国电信股份有限公司 5g网络中发现请求的响应方法、装置、电子设备及介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10375665B2 (en) * 2017-02-06 2019-08-06 Huawei Technologies Co., Ltd. Method and apparatus for supporting access control and mobility management
US20190182654A1 (en) 2017-12-08 2019-06-13 Nokia Technologies Oy Preventing covert channel between user equipment and home network in communication system
DK3639571T3 (da) * 2018-01-15 2022-11-07 Ericsson Telefon Ab L M Valg af en netværksfunktionsinstans
EP3744076A4 (en) 2018-01-24 2021-08-25 Telefonaktiebolaget LM Ericsson (publ) PROCESS AND APPARATUS FOR IMPROVING THE DISCOVERY OF SERVICES

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Ericsson, Vodafone,TS 23.501: OI3a: UDM/UDR selection and discovery[online],3GPP TSG SA WG2 #124,3GPP,2017年12月01日,S2-178571,検索日[2021.07.30],Internet<URL:http://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_124_Reno/Docs/S2-178571.zip>

Also Published As

Publication number Publication date
US11496882B2 (en) 2022-11-08
JP7388464B2 (ja) 2023-11-29
WO2019160069A1 (en) 2019-08-22
EP3753270A1 (en) 2020-12-23
EP3753270A4 (en) 2021-04-07
JP2022078325A (ja) 2022-05-24
JP2021511746A (ja) 2021-05-06
US20210051468A1 (en) 2021-02-18

Similar Documents

Publication Publication Date Title
JP7047921B2 (ja) 通信装置、第1のネットワーク装置、通信装置の方法、及び第1のネットワーク装置の方法
US10681545B2 (en) Mutual authentication between user equipment and an evolved packet core
JP7428723B2 (ja) 無線通信におけるセキュアなアクセス制御のための方法および装置
WO2019194242A1 (en) Security procedures for common api framework in next generation networks
US11849318B2 (en) Wireless communication network authentication
KR102408155B1 (ko) 비밀 식별자를 사용하는 사용자 장비에 관련된 동작
KR101625037B1 (ko) Lte 망 초기 접속 구간에서 ue 식별 파라미터의 암호화 방법
US20220103540A1 (en) Authentication method for next generation systems
Behrad et al. Securing authentication for mobile networks, a survey on 4G issues and 5G answers
JP2022530955A (ja) マルチsim装置及びサブスクリプション情報を検証する方法及びプロセス
GB2537377A (en) Security improvements in a cellular network
Behrad et al. A survey on authentication and access control for mobile networks: from 4G to 5G
US20220279471A1 (en) Wireless communication method for registration procedure
EP3622736B1 (en) Privacy key in a wireless communication system
JP7542676B2 (ja) Akma認証サービスの拡張a-kid
US20220386130A1 (en) Systems and methods for using a unique routing indicator to connect to a network
US20240196206A1 (en) Methods and Devices in Communication Network
US11381387B2 (en) Proof-of-presence indicator
Crespi Shanay Behrad, Emmanuel Bertin &

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200722

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210817

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20211012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220307

R151 Written notification of patent or utility model registration

Ref document number: 7047921

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151