JP7127689B2 - コアネットワーク装置、通信端末、及び通信方法 - Google Patents

コアネットワーク装置、通信端末、及び通信方法 Download PDF

Info

Publication number
JP7127689B2
JP7127689B2 JP2020541169A JP2020541169A JP7127689B2 JP 7127689 B2 JP7127689 B2 JP 7127689B2 JP 2020541169 A JP2020541169 A JP 2020541169A JP 2020541169 A JP2020541169 A JP 2020541169A JP 7127689 B2 JP7127689 B2 JP 7127689B2
Authority
JP
Japan
Prior art keywords
security
identification information
network slice
network
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020541169A
Other languages
English (en)
Other versions
JPWO2020050138A1 (ja
Inventor
博紀 伊藤
利之 田村
アナンド ラガワ プラサド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020050138A1 publication Critical patent/JPWO2020050138A1/ja
Application granted granted Critical
Publication of JP7127689B2 publication Critical patent/JP7127689B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • H04W92/045Interfaces between hierarchically different network devices between access point and backbone network device

Description

本開示はコアネットワーク装置、アクセスネットワーク装置、通信端末、通信システム、及び通信方法に関する。
5G(5 Generation)ネットワークにおいては、ネットワークスライスを用いてサービスを提供することが検討されている。ネットワークスライスは、物理的なネットワーク上において定義された少なくとも1つの論理的なネットワークである。ネットワークスライスは、ネットワークスライスインスタンスと称されてもよい。あるネットワークスライスは、例えば、Public Safety Serviceを提供するネットワークスライスであってもよい。また、他のネットワークスライスは、極端に短い遅延時間を保障するネットワークスライスであってもよく、電池駆動のIoT(Internet Of Things)端末を収容するネットワークスライスであってもよい。
また、それぞれのネットワークスライスにおいて要求されるセキュリティ要件も様々である。例えば、Public Safety Serviceを提供するネットワークスライスにおいては、一般的に要求されるセキュリティレベルよりも高度なセキュリティレベルが要求される。また、極端に短い遅延時間を保障するネットワークスライスにおいては、より短時間に完了する認証処理が要求される。また、電池駆動のIoT端末を収容するネットワークスライスにおいては、IoT端末のバッテリの消費を抑えるために、軽量(Light Weight)なアルゴリズムを用いた認証処理が要求される。
非特許文献1には、5Gネットワークにおける通信端末(例えば、User Equipment:UE)の認証処理が開示されている。非特許文献1においては、Primary authentication and key agreementにおいて、UEとサービングネットワーク(serving network)及びホームネットワーク(home network)との間において実行される認証処理が開示されている。サービングネットワークは、例えば、UEがネットワークスライスにおいて提供されるサービスを利用するためにアクセスするネットワークである。
3GPP TS33.501 V15.1.0 (2018-06)
5Gネットワークにおいては、複数のネットワークスライスが定義され、それぞれのネットワークスライス毎に要求されるセキュリティ要件が異なる。しかし、非特許文献1においては、UEとサービングネットワーク及びホームネットワーク(home network)との間の認証処理が開示されているのみである。そのため、UEは、5Gネットワークとの間において適用されるセキュリティパラメータを複数のネットワークスライスに共通のセキュリティパラメータとして用い、それぞれのネットワークスライスにおいて提供されるサービスを利用する。つまり、非特許文献1に開示されている認証処理では、ネットワークスライス毎に要求されるセキュリティ要件が異なった場合、ネットワークスライス毎に要求されるセキュリティ要件を満たすことができないという問題がある。
本開示の目的は、ネットワークスライス毎に要求されるセキュリティ要件を満たすことができるコアネットワーク装置、アクセスネットワーク装置、通信端末、通信システム、及び通信方法を提供することにある。
本開示の第1の態様にかかるコアネットワーク装置は、通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する格納部と、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信する通信部と、を備える。
本開示の第2の態様にかかるアクセスネットワーク装置は、通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータ及び前記ネットワークスライスの識別情報を受信し、前記セキュリティパラメータの識別情報及び前記ネットワークスライスの識別情報を通信端末へ送信する通信部、を備える。
本開示の第3の態様にかかる通信端末は、通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する格納部と、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を受信する通信部と、を備える。
本開示の第4の態様にかかる通信システムは、許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する第1の格納部、及び、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信する第1の通信部を有するコアネットワーク装置と、前記セキュリティプロファイルを格納する第2の格納部と、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を受信する第2の通信部と、を有する通信端末と、を備える。
本開示の第5の態様にかかる通信方法は、通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納し、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信する、コアネットワーク装置において実行される。
本開示により、ネットワークスライス毎に要求されるセキュリティ要件を満たすことができるコアネットワーク装置、アクセスネットワーク装置、通信端末、通信システム、及び通信方法を提供することができる。
実施の形態1にかかるコアネットワーク装置の構成図である。 実施の形態2にかかるコアネットワーク装置の構成図である。 実施の形態2にかかるアクセスネットワーク装置の構成図である。 実施の形態2にかかるUEの構成図である。 実施の形態2にかかるネットワークスライスとセキュリティプロファイルとの関連を示す図である。 実施の形態2にかかるRegistration処理の流れを示す図である。 実施の形態2にかかるAuthentication and Key Agreementの詳細を示す図である。 実施の形態2にかかるNAS SMCの詳細を示す図である。 実施の形態2にかかるAS SMCの詳細を示す図である。 実施の形態2にかかるUEと、コアネットワーク装置とにおいて生成されるセキュリティ鍵の構成を示す図である。 実施の形態2にかかるセキュリティ鍵の導出を説明する図である。 実施の形態2にかかるUEと、コアネットワーク装置とにおいて生成されるセキュリティ鍵の構成を示す図である。 実施の形態3にかかるUE、(R)AN、及びAMFにおけるプロトコルスタックを説明する図である。 実施の形態3にかかるINITIAL UE MESSAGEを説明する図である。 実施の形態3にかかるNASメッセージのフォーマットを示す図である。 実施の形態3にかかるSecurity header type associated with a spare half octetフィールドの設定内容を示す図である。 実施の形態3にかかるNSSAIの構成を示す図である。 実施の形態4にかかるユーザプレーンデータに対するセキュリティ処理の流れを示す図である。 実施の形態4にかかるユーザプレーンデータに対するセキュリティ処理の流れを示す図である。 実施の形態4にかかるAN-specific resource setupの詳細を示す図である。 実施の形態4にかかるUE network capability information elementを示す図である。 各実施の形態にかかる(R)ANの構成図である。 各実施の形態にかかるUEの構成図である。 各実施の形態にかかるコアネットワーク装置の構成図である。
(実施の形態1)
以下、図面を参照して本開示の実施の形態について説明する。図1を用いて実施の形態1にかかるコアネットワーク装置10の構成例について説明する。例えば、3GPP(3rd Generation Partnership Project)においては、アクセスネットワークとコアネットワークとが定義されている。アクセスネットワークとコアネットワークとを含むネットワークは、モバイルネットワークと称されてもよい。コアネットワーク装置10は、コアネットワークに配置される装置である。
コアネットワーク装置10は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。コアネットワーク装置10は、例えば、ゲートウェイ装置もしくはサーバ装置等であってもよい。
コアネットワーク装置10は、格納部11及び通信部12を有している。通信部は、送信部及び受信部であってもよい。格納部11及び通信部12は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。または、格納部11及び通信部12は、回路もしくはチップ等のハードウェアであってもよい。
格納部11は、通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する。セキュリティパラメータは、例えば、セキュリティプロファイルに含められる。言い換えると、格納部11は、セキュリティプロファイルを格納する。セキュリティプロファイルには、少なくとも1以上のセキュリティパラメータが定められている。セキュリティパラメータは、コアネットワーク装置10が通信端末との間においてセキュリティ処理を実行する際に用いられるパラメータである。
セキュリティパラメータは、例えば、認証アルゴリズム、暗号化アルゴリズム、もしくは完全性保護アルゴリズム等であってもよい。また、セキュリティプロファイルには、暗号化の実行有無、もしくは、完全性保護の実行有無等を示す情報が含まれてもよい。完全性保護は、完全性保証と称されてもよい。
通信部12は、ネットワークスライスの識別情報及びセキュリティパラメータの識別情報を通信端末へ送信する。ネットワークスライスの識別情報は、例えば、5Gネットワークにおいて提供される全てのネットワークスライスを一意に識別するために用いられてもよい。ここで、5Gネットワークは、1つの通信事業者が管理するネットワークであってもよく、1つの通信事業者が管理するネットワークと他の通信事業者もしくはサービスプラバイダー等が管理するネットワークとが相互に接続されたネットワークであってもよい。
セキュリティパラメータの識別情報は、例えば、セキュリティ処理に用いられる各種アルゴリズムを一意に識別する情報であってもよい。
通信端末は、3GPPにおいて通信端末の総称として用いられるUE(User Equipment)であってもよい。また、通信端末は、携帯電話端末、スマートフォン端末、タブレット型端末等であってもよい。また、通信端末は、IoT端末、MTC(Machine Type Communication)端末、Public Safety Service用端末、URLLC(Ultra-Reliable and Low Latency Communications)に用いるIndustrial IoT (IIoT)端末等であってもよい。
以上説明したように、コアネットワーク装置10は、ネットワークスライスの識別情報及びセキュリティパラメータの識別情報を通信端末へ送信することができる。これにより、通信端末とコアネットワーク装置10とは、通信端末がネットワークスライスを利用する場合に用いるセキュリティパラメータの情報を共有することができる。その結果、通信端末とコアネットワーク装置10とは、利用するネットワークスライス毎に異なるセキュリティパラメータを利用してセキュリティ処理を実行することができる。
(実施の形態2)
続いて、図2を用いて実施の形態2にかかるコアネットワーク装置20の構成例について説明する。コアネットワーク装置20は、コアネットワーク装置10において説明した格納部11及び通信部12に加えて、メッセージ処理部21を有する。格納部11及び通信部12は、図1と同様であるため、詳細な説明を省略する。また、コアネットワーク装置20は、例えば、AMF(Access Management Function)エンティティであってもよい。AMFエンティティは、UEに関するアクセスやモビリティなどの管理を行う。さらに、AMFエンティティは、AUSF(Authentication Server Function)エンティティ及びUDM(Unified Data Management)エンティティ等と連携してUE20に関する認証処理を行う。以下において、AMFエンティティ、AUSFエンティティ、及びUDMエンティティは、それぞれ、AMF、AUSF、及びUDMと称されてもよい。また、コアネットワーク装置20は、例えば、ユーザプレーンデータを扱うUPF(User Plane Function)エンティティであってもよい。
メッセージ処理部21は、UEへ送信するメッセージを暗号化する。さらに、UEから受信したメッセージを復号化する。また、メッセージ処理部21は、UEへ送信するメッセージ及びUEから受信したメッセージに対する完全性保護処理も実行する。メッセージ処理部21は、格納部11に格納されたセキュリティプロファイルを用いて、メッセージの暗号化もしくは復号化、さらに、完全性保護処理を行う。メッセージは、例えば、UEとの間において伝送される制御メッセージであってもよい。制御メッセージは、コントロールプレーン(Control Plane:CP)データと称されてもよい。制御メッセージは、例えば、NAS(Non Access Stratum)メッセージであってもよい。メッセージ処理部21は、ネットワークスライス毎に異なる暗号化もしくは復号化を行うことができる。言い換えると、メッセージ処理部21は、ネットワークスライス毎に異なる暗号化アルゴリズム及び完全性保護アルゴリズムを用いてセキュリティ処理を行うことができる。また、AMFは、SEAF(Security Anchor Function)を有してもよく、AMF/SEAFと表示されることもある。SEAFは、AMFと独立したエンティティであっても良い。
また、コアネットワーク装置20は、通信方法を実行する。具体的には、コアネットワーク装置20は、通信端末が許容されるネットワークスライスに関連付けられセキュリティパラメータを格納する。次に、コアネットワーク装置20は、ネットワークスライスの識別情報及びセキュリティパラメータの識別情報を通信端末へ送信する。
続いて、図3を用いて実施の形態2にかかるアクセスネットワーク装置30の構成例について説明する。アクセスネットワーク装置30は、例えば、(R)AN((Radio) Access Network)装置、gNB(g Node B)、もしくはNGRANであってもよい。また、アクセスネットワーク装置30は、例えば、untrusted non-3GPP accessを扱うNon-3GPP Interworking Function (N3IWF)であってもよい。以下においては、(R)AN装置を、(R)ANと称する。アクセスネットワーク装置30は、格納部31、通信部32、及びメッセージ処理部33を有しており、基本的に、コアネットワーク装置20と同様の構成を有している。アクセスネットワーク装置30におけるコアネットワーク装置20との差異については、以降に説明する処理シーケンス等において適宜説明する。
また、アクセスネットワーク装置30は、通信方法を実行する。具体的には、アクセスネットワーク装置30は、通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータ及びネットワークスライスの識別情報を受信する。次に、アクセスネットワーク装置30は、セキュリティパラメータの識別情報及びネットワークスライスの識別情報を通信端末へ送信する。
続いて、図4を用いて実施の形態2にかかるUE40の構成について説明する。UE40は、実施の形態1において説明した通信端末に相当する。UE40は、格納部41、通信部42、及びメッセージ処理部43を有しており、基本的に、コアネットワーク装置20と同様の構成を有している。UE40におけるコアネットワーク装置20との差異については、以降に説明する処理シーケンス等において適宜説明する。
また、UE40は、通信方法を実行する。具体的には、UE40は、許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する。次に、UE40は、ネットワークスライスの識別情報及びセキュリティパラメータの識別情報を受信する。
ここで、セキュリティプロファイルについて図5を用いて詳細に説明する。図5は、ネットワークスライスとセキュリティプロファイルとが関連付けられていることを示している。例えば、ネットワークスライスA及びBが、セキュリティプロファイル1と関連付けられている。ネットワークスライスAがセキュリティプロファイル1と関連付けられているとは、ネットワークスライスAを利用する際に、セキュリティ処理を実行する各装置においてセキュリティプロファイル1が用いられることを意味している。さらに、ネットワークスライスC及びDが、セキュリティプロファイル2と関連付けられている。さらに、ネットワークスライスE及びFが、セキュリティプロファイル3と関連付けられている。さらに、ネットワークスライスGが、セキュリティプロファイル4と関連付けられている。
セキュリティプロファイルは、認証方式、NASメッセージ、ASメッセージ及びユーザプレーン(User Plane:UP)データの暗号化の実行有無と、NASメッセージ、ASメッセージ及びユーザプレーンデータの完全性保護の実行有無とが定められている。また、暗号化を実行する際に用いられるアルゴリズム及び完全性保護を実行する際に用いられるアルゴリズムについても定められている。ユーザプレーンデータは、ユーザデータと称されてもよい。認証方式やアリゴリズムは、優先度の高い順に複数列記されても良い。
例えば、セキュリティプロファイル1においては、認証方式EAP-AKA'を用い、NASメッセージ及びASメッセージの暗号化は行われず、完全性保護が行われる。また、セキュリティプロファイル1においては、ユーザプレーンデータの暗号化が行われ、完全性保護は行われない。さらに、NASメッセージの完全性保護には、アルゴリズムとしてALG1及びALG2が用いられ、ASメッセージの完全性保護には、アルゴリズムとしてALG1及びALG2が用いられる。さらに、ユーザプレーンデータの暗号化には、アルゴリズムとしてALG1及びALG2が用いられる。セキュリティプロファイル2、3、及び4については詳細な説明を省略する。セキュリティプロファイルは、加入者情報としてUDMに格納されていてもかまわない。このセキュリティプロファイルは、ネットワークスライスに関連付けられている。これより、例えばURLLC(Ultra-Reliable and Low Latency Communications)に用いるスライスには、ユーザプレーンデータの暗号化に用いるアルゴリズムを高速処理可能なアルゴリズムとする事で装置の演算による遅延を防ぎ、URLLC通信が可能となる。たとえば、高速処理可能なアルゴリズムとしてRC2、FEAL-N (First Encryption Algorithm - N)、GCC (Gao's Chaos Cryptosystem)、RC4、SEALであってもよい。更にセキュリティプロファイルは、暗号化で用いるセキュリティ鍵を複数生成できる様に設定されてもかまわない。
続いて、図6を用いて実施の形態2にかかるUE40のRegistration処理の流れについて説明する。図6においては、UE40、(R)AN35、AMF25、AUSF51、及びUDM52の間において伝送されるメッセージを用いて、Registration処理について説明する。
UE40、(R)AN35、及びAMF25は、サービングネットワークに配置されていてもよい。サービングネットワークは、例えば、VPLMN(Visited Public Land Mobile Network)であってもよい。また、AUSF51及びUDM52は、ホームネットワークに配置されていてもよい。ホームネットワークは、例えば、UE40が契約している通信事業者が管理しているネットワークであってもよい。言い換えると、ホームネットワークは、UE40の加入者情報を管理しているネットワークであってもよい。ホームネットワークは、例えば、HPLMN(Home Public Land Mobile Network)であってもよい。UE40が、ホームネットワークに在圏する場合、(R)AN35及びAMF25も、ホームネットワークに配置されていてもよい。
ネットワークスライスは、サービングネットワークに定義された論理的なネットワークである。もしくは、ネットワークスライスは、サービングネットワーク及びホームネットワークに定義された論理的なネットワークであってもよい。
はじめに、UE40は、(R)AN35へRegistration requestを送信する(S11)。Registration requestは、UE40がアクセスを要求するネットワークスライスの情報を含む。UE40は、複数のネットワークスライスへのアクセスを要求してもよい。ネットワークスライスの情報は、ネットワークスライスの識別情報であるNSSAI(Network Slice Selection Assistance Information)であってもよい。Registration requestは、複数のNSSAIを含んでもよい。また、Registration requestに含まれるNSSAIは、Requested NSSAIと称されてもよい。
次に、(R)AN35は、Registration requestを送信するAMFを選択する(S12)。例えば、(R)AN35は、Requested NSSAIに予め対応付けられたAMFを選択してもよい。ステップS12においては、(R)AN35は、AMF25を選択したとする。
次に、(R)AN35は、Registration Requestを、ステップS12において選択したAMF25へ送信する(S13)。Registration requestは、Requested NSSAIを含む。
次に、UE40、AMF25、AUSF51、及びUDM52においてAuthentication and Key Agreementを実行する(S14)。言い換えると、UE40と、AMF25、AUSF51、及びUDM52との間において相互認証が行われる。例えば、Authentication and Key Agreementにおいて、Primary authentication and key agreementが実行される。
Authentication and Key Agreementにおいて、UE40の加入者情報上アクセスすることが許容されているネットワークスライスに関連づけられたセキュリティプロファイルが、UDM52から、AUSF51を経由して、AMF25へ送信される。UE40の加入者情報上アクセスすることが許容されているネットワークスライスは、Subscribed NSSAIと称されてもよい。Subscribed NSSAIは、複数のネットワークスライスを含んでもよい。また、Authentication and Key Agreementにおいて、UE40に関する認証が完了した後、UE40と、AMF25及びAUSF51とにおいて、ネットワークスライス毎のセキュリティ鍵を生成する。
次に、UE40とAMF25との間においてNAS SMC(Security Mode Command)が実行される(S15)。NAS SMCにおいて、AMF25は、ネットワークスライス毎のセキュリティパラメータの識別情報をUE40へ送信する。また、AMF25は、NAS SMCにおいて、(R)AN35へ、ネットワークスライス毎のセキュリティパラメータの識別情報を送信してもよい。AMF25が(R)AN35へ送信するセキュリティパラメータは、ASメッセージに適用される。
次に、UE40と(R)AN35との間において、AS SMCが実行される(S16)。AS SMCにおいて、(R)AN35は、ネットワークスライス毎のセキュリティパラメータの識別情報をUE40へ送信する。
次に、AMF25は、Registration acceptをUE40へ送信する(S17)。Registration acceptは、サービングネットワークにおいてUE40によるアクセスが許容されたネットワークスライスに関する情報を含む。サービングネットワークにおいてUE40によるアクセスが許容されたネットワークスライスは、allowed NSSAIと称されてもよい。allowed NSSAIは、複数のネットワークスライスを含んでもよい。
ここで、図7を用いて、図6におけるステップS14において実行されるAuthentication and Key Agreementについて詳細に説明する。はじめに、AMF25は、Authentication requestをAUSF51へ送信する(S21)。Authentication request(S21)には、UEからAMF25に送信されたRequested NSSAIを含んでもかまわない。次に、AUSF51は、Authentication get requestをUDM52へ送信する(S22)。Authentication get request(S22)には、AMF25から送信されたRequested NSSAIを含んでもかまわない。次に、UDM52は、AV(Authentication Vector)を生成する(S23)。AVは、例えば、RAND、AUTN(Authentication Token)、XRES(expected Response)、及びセキュリティ鍵K_AUSFを含んでもよい。AVは、ネットワークスライスを考慮して生成されてもかまわない。この場合、UDM52は、複数のSubscribed NSSAIに対して優先順を付与し最優先となるSubscribed NSSAI(ネットワークスライス)で提供されるサービスに適するAVを生成してもかまわない。また、UDM52は、ネットワークスライス対応した複数のAVを作成し、各々のAVに対して、識別可能な識別子を付与してAUSF51にそれらを保存しても良い。AUSF51は、再度、認証処理を行う場合に、ネットワークスライスに応じて、最初の認証時とは別のAVを使用したり、別の認証方式を用いても良い。
次に、UDM52は、Authentication get responseをAUSF51へ送信する(S24)。Authentication get responseは、ステップS23において生成されたAVと、セキュリティプロファイルとを含む。より具体的に、セキュリティプロファイルを含むとは、UE40に関するSubscribed NSSAIと、Subscribed NSSAIに関連付けられたセキュリティプロファイルとを含むことであってもよい。また、Authentication get request(S22)にRequested NSSAIが含まれる場合、Authentication get responseは、Requested NSSAIに関連するセキュリティプロファイルのみを含んでもかまわない。
次に、AUSF51は、Authentication responseをAMF25へ送信する(S25)。Authentication requestは、ステップS24において受信したAVとセキュリティプロファイルとを含む。
次に、AMF25は、Authentication requestをUE40へ送信する(S26)。Authentication requestは、例えば、ステップS25において受信したAVに含まれるRAND及びAUTNを含む。次に、UE40は、受信したAVを用いて、RESを計算する(S27)。次に、UE40は、Authentication responseをAMF25へ送信する(S28)。Authentication responseは、ステップ27において計算されたRESを含む。
次に、AMF25は、Authentication responseをAUSF51へ送信する(S29)。Authentication responseは、ステップS28において受信したRESを含む。次に、AUSF51は、ステップS24においてUDM52から受信したXRESと、ステップS29においてAMF25から受信したRESとを比較することによってUE40の認証を行う(S30)。AUSF51は、XRESとRESとが一致した場合、UE40をサービングネットワークにアクセス可能な装置として認証する。
続いて、図8を用いて図6におけるステップS15において実行されるNAS SMCについて詳細に説明する。はじめに、AMF25は、Subscribed NSSAIにて示される全てのネットワークスライスそれぞれのNASメッセージ及びネットワークスライスに依らない共通のNASメッセージに対して用いる暗号化及び完全性保護のアルゴリズムを決定する。さらに、AMF25は、決定したアルゴリズムを用いて制御データ(NASメッセージ)の完全性保護を開始する(S41)。
ここで、ネットワークスライスそれぞれのNASメッセージは、例えば、Service request procedure、PDU session establishment、PDU session modification、PDU session release、Session continuity, service continuity and UP path management、CN-initiated selective deactivation of UP connection of an existing PDU sessionにおいてUE40とAMF25との間において伝送されるNASメッセージであってもよい。
さらに、より具体的には、Service request procedureにおいて用いられるNASメッセージは、Service request、Service accept、Service rejectであってもよい。また、PDU session establishmentにおいて用いられるNASメッセージは、PDU session establishment request、PDU session establishment accept、PDU session establishment rejectであってもよい。また、PDU session modificationにおいて用いられるNASメッセージは、PDU session modification request、PDU session modification reject、PDU session modification command、PDU session modification complete、PDU session modification command reject、であってもよい。また、PDU session releaseにおいて用いられるNASメッセージは、PDU session release request、PDU session release reject、PDU session release command、PDU session release complete、であってもよい。
また、ネットワークスライスに依らない共通のNASメッセージは、例えば、Registration procedures、Deregistration procedures、UE Configuration Update、Reachability procedures、UE Capability Match request procedure、Connection Resume procedure、Handover proceduresにおいてUE40とAMF25との間において伝送されるNASメッセージであってもよい。
AMF25は、アルゴリズムを決定する際に、図7のステップS25において受信したセキュリティプロファイルにおいて定められているアルゴリズムの中から使用するアルゴリズムを決定してもよい。もしくは、AMF25は、セキュリティプロファイルに依らず、予め定められたアルゴリズムを用いることを決定してもよい。
完全性保護は、受信データの完全性保護確認及び送信データへの完全性保護のための符号の付与の両方を意味する。
次に、AMF25は、NAS SMCをUE40へ送信する(S42)。NAS SMCは、Subscribed NSSAIと、ステップS41において決定された暗号化及び完全性保護のアルゴリズムを示す情報とを含む。暗号化及び完全性保護のアルゴリズムを示す情報は、例えば、アルゴリズムを識別する情報であってもよい。アルゴリズムを識別する情報は、例えばアルゴリズムIDと称されてもよい。
次に、AMF25は、ステップS41において決定した暗号化のアルゴリズムを用いて、受信した制御データの復号を開始する(S43)。また、UE40は、NAS SMCの完全性を確認する(S44)。UE40は、NAS SMCの完全性に問題無いことを確認した場合、NAS SMCにおいて指定されたアルゴリズムを用いて、送信する制御データの暗号化、受信した制御データの復号化、及び、送受信する制御データの完全性保護を開始する(S44)。
次に、UE40は、NAS Security Mode CompleteをAMF25へ送信する(S45)。次に、AMF25は、ステップS41において決定した暗号化のアルゴリズムを用いて送信する制御データの暗号化を開始する(S46)。
続いて、図9を用いて図6におけるステップS16において実行されるAS SMCについて詳細に説明する。はじめに、(R)AN35は、Subscribed NSSAIにて示される全てのネットワークスライスそれぞれのASメッセージ及びネットワークスライスに依らない共通のASメッセージに対して用いる暗号化及び完全性保護のアルゴリズムを決定する。さらに、(R)AN35は、ユーザプレーンデータに対して用いる暗号化及び完全性保護のアルゴリズムを決定する。さらに、(R)AN35は、決定したアルゴリズムを用いて制御データ及びユーザプレーンデータの完全性保護を開始する(S51)。
(R)AN35は、アルゴリズムを決定する際に、AMF25からセキュリティプロファイルを受信し、受信したセキュリティプロファイルにおいて定められているアルゴリズムの中から使用するアルゴリズムを決定してもよい。もしくは、(R)AN35は、セキュリティプロファイルに依らず、予め定められたアルゴリズムを用いることを決定してもよい。(R)AN35は、Registration処理においてAMF25からSubscribed NSSAIを取得する。(R)AN35は、Subscribed NSSAIを保持していない場合、AMF25に対して、Subscribed NSSAIを要求してもよい。
完全性保護は、受信データの完全性保護確認及び送信データへの完全性保護のための符号の付与の両方を意味する。
次に、(R)AN35は、AS SMCをUE40へ送信する(S52)。AS SMCは、Subscribed NSSAIと、ステップS51において決定された暗号化及び完全性保護のアルゴリズムを示す情報とを含む。暗号化及び完全性保護のアルゴリズムは、Subscribed NSSAIにおいて示されるそれぞれのネットワークスライスにおいて伝送される制御データ及びユーザプレーンデータの暗号化及び完全性保護のアルゴリズムである。
次に、(R)AN35は、ステップS51において決定した暗号化のアルゴリズムを用いて、受信した制御データ及びユーザプレーンデータの復号を開始する(S53)。また、UE40は、AS SMCの完全性を確認する(S54)。UE40は、AS SMCの完全性に問題無いことを確認した場合、AS SMCにおいて指定されたアルゴリズムを用いて、受信した制御データ及びユーザプレーンデータの復号化と、送受信する制御データ及びユーザプレーンデータの完全性保護とを開始する(S54)。
次に、UE40は、NAS Security Mode Completeを(R)AN35へ送信する(S55)。次に、(R)AN35は、ステップS51において決定した暗号化のアルゴリズムを用いて、送信する制御データ及びユーザプレーンデータの暗号化を開始する(S56)。また、UE40は、ステップS54において決定した暗号化のアルゴリズムを用いて、送信する制御データ及びユーザプレーンデータの暗号化を開始する(S57)。
ここで図8及び図9に示される処理は、ネットワークスライス毎に行われてもよい。この時、対象となる単一のネットワークスライスを示す情報(例えば、S-NSSAI)をNAS SMC及びAS SMCに含めることによって、どのネットワークスライスに対する設定であるかを識別することを可能とする。また、共通のNASメッセージ及びASメッセージに対しても、NAS SMC及びAS SMCを実行してもよい。この場合、S-NSSAIに関する値をすべて0にすることによって、UE40、(R)AN35、及びAMF25において共通のメッセージであることを識別できるようにする。
続いて、図10を用いて、UE40と、AMF25、AUSF51、及びUDM52等のコアネットワーク装置とにおいて生成もしくは導出されるセキュリティ鍵について説明する。セキュリティ鍵の導出は、メッセージ処理部21において実施されてもよく、コアネットワーク装置20内に設けられる鍵生成部において実施されてもよい。セキュリティ鍵Kから、鍵CK(Cipher Key)及び鍵IK(Integrity Key)が導出される。次に、鍵CK及び鍵IKから、ネットワークスライスに依らないセキュリティ鍵K_AUSF、ネットワークスライス毎のセキュリティ鍵K_AUSF_NS1及びセキュリティ鍵K_AUSF_NS2が導出される。図10においては、二つのネットワークスライスにおいて用いられるセキュリティ鍵K_AUSF_NS1/NS2が導出されることを示しているが、導出されるセキュリティ鍵の数は、二つに制限されない。
ここで、図11を用いてセキュリティ鍵K_AUSF_NS1、K_AUSF_NS2の導出手順について説明する。図11は、鍵生成関数としてKDF(Key Delivery Function)が用いられることを示している。KDFに、CK、IK、serving network name、NS(Network Slice) ID、及びその他のパラメータが入力されることによって、ネットワークスライス毎のK_AUSF_NS1及びK_AUSF_NS2が導出される。NS IDは、例えば、S-NSSAIに含まれるSST(Slice/Service type)もしくはSD(Slice Differentiator)が用いられてもよい。また、K_AUSFを導出する際には、NS IDに予め定められた値が入力されてもよい。その他パラメータは、例えば、セキュリティプロファイルの識別情報(ID)であってもよい。
図10に戻り、セキュリティ鍵K_AUSF、K_AUSF_NS1、K_AUSF_NS2から、セキュリティ鍵K_SEAF、K_ SEAF _NS1、K_ SEAF _NS2が導出される。さらに、セキュリティ鍵K_SEAFからK_AMFが導出される。さらに、セキュリティ鍵K_AMFから、K_NASint、K_NASenc、K_gNB、及びK_N3IWF(Non-3GPP Interworking Function)が導出される。セキュリティ鍵K_NASintは、NASメッセージの完全性保護に用いられる。セキュリティ鍵K_NASencは、NASメッセージの暗号化に用いられる。セキュリティ鍵K_gNBは、(R)AN35において用いられるセキュリティ鍵である。セキュリティ鍵K_N3IWFは、3GPPにおいて規定されていないアクセスネットワークを介して接続した通信端末において用いられるセキュリティ鍵である。3GPPにおいて規定されていないアクセスネットワークは、例えば、無線LAN(Local Area Network)であってもよい。
さらに、セキュリティ鍵K_gNBから、セキュリティ鍵K_RRCint、K_RRCenc、K_UPint、及びK_UPent、が導出される。
ネットワークスライス1及び2においても同様に、K_ SEAF _NS1から順次セキュリティ鍵が導出される。
続いて、図12を用いて図10とは異なる生成手順において生成されたセキュリティ鍵について説明する。図12においては、セキュリティ鍵K_AUSFから、セキュリティ鍵K_SEAF、K_ SEAF _NS1、K_ SEAF _NS2が導出される。つまり、セキュリティ鍵K_ SEAF _NS1、K_ SEAF _NS2を導出する際に、図11の入力として、鍵CK及び鍵IKの代わりにセキュリティ鍵K_AUSFを用いる。以降のセキュリティ鍵の導出は、図10と同様であるため詳細な説明を省略する。
また、図10においては、セキュリティ鍵K_AUSF、K_AUSF_NS1、K_AUSF_NS2をUDM52が導出し、セキュリティ鍵K_SEAF、K_ SEAF_NS1、K_ SEAF_NS2をAUSF51が導出してもよい。さらに、K_AMFをAMF25が導出してもよい。図12においては、セキュリティ鍵K_AUSFをUDM52が導出し、セキュリティ鍵K_SEAF、K_ SEAF_NS1、K_ SEAF_NS2をAUSF51が導出してもよい。さらに、K_AMFをAMF25が生成してもよい。
更に、図10及び図12において、セキュリティ鍵K_RRCint、K_RRCenc、K_UPint、及びK_UPentは、それぞれ複数生成されてもかまわない。例えば、複数の伝送路に対して複製したユーザデータを送信する際、それぞれの伝送路に対して別のセキュリティ鍵を用いた暗号化が可能となる。また、単一伝送路においても複数のセキュリティ鍵を用いて暗号化してもかまわない。この事でPublic Safety ServiceやURLLC(Ultra-Reliable and Low Latency Communications)通信など高い秘匿性が要求されるスライスを用いる事ができる。複数の異なる鍵を生成するために、それぞれに固有の番号や識別子を付与し(例えば、K_RRCint0=0, K_RRCint1=1, ..)、それらを鍵生成関数に入力するパラメータに追加しても良い。
また、図10、図12と別の方法として、K_AMF及びK_gNBから、ネットワークスライス毎の鍵を生成しても良い。即ち、K_AMFからK_NASint_NS1、K_NASenc_NS1、K_NASint_NS2、K_NASenc_NS2を生成し、K_gNBからK_RRCint_NS1、K_RRCenc_NS1、K_UPint_NS1、K_UPenc_NS1、K_RRCint_NS2、K_RRCenc_NS2、K_UPint_NS2、K_UPenc_NS2を生成する。更に、これらの鍵は、それぞれ複数生成されてもかまわない。
以上説明したように、実施の形態2にかかる通信システムを用いることによって、AMF25は、UE40へ暗号化アルゴリズム及び完全性保護アルゴリズムの識別情報を送信することができる。暗号化アルゴリズム及び完全性保護アルゴリズムは、ネットワークスライスに関連付けられたセキュリティパラメータである。これにより、UE40、(R)AN35、AMF25、AUSF51、及びUDM52を含む通信システムにおいて、ネットワークスライス毎に異なるセキュリティ処理を実行することができる。
(実施の形態3)
続いて、図13を用いて、AMF25におけるネットワークスライス毎のNASメッセージの識別手順について説明する。UE40は、ネットワークスライス毎に定められたセキュリティパラメータを用いて、NASメッセージについてセキュリティ処理を行う。言い換えると、UE40は、NAS SMCにおいて指定された暗号化及び完全性保護のアルゴリズムを用いて、NASメッセージの暗号化及び完全性保護を行う。UE40から送信されたNASメッセージは、AMF25へ送信される。つまり、ネットワークスライス毎に定められたセキュリティパラメータを用いてセキュリティ処理されたNASメッセージは、全てAMF25へ送信される。AMF25は、NASメッセージを終端すると、ネットワークスライスに配置されているSMF(Session Management Function)エンティティに対して、制御メッセージを送信する。
ここで、AMF25は、暗号化されたNASメッセージを復号するために、NASメッセージがどのネットワークスライスに対応するかを識別する必要がある。
そこで、UE40は、利用するネットワークスライスをAMF25へ通知するために、図13に示される5G-AN Protocol Layerを用いて送信するメッセージにNSSAIを含ませる。(R)AN35は、5G-AN Protocol Layerを終端する。図13の5G-ANは、(R)AN35に相当する。(R)AN35は、5G-AN Protocol Layerを用いて送信されたNSSAIを、NG-APプロトコルを用いて送信するメッセージに含ませる。NG-APプロトコルを用いて送信するメッセージは、例えば、INITIAL UE MESSAGEであってもよい。(R)AN35は、N2インタフェースを介して、INITIAL UE MESSAGEをAMF25へ送信する。
図14は、INITIAL UE MESSAGEにNSSAIが追加されていることを示している。
NG-APプロトコルは、NASメッセージを生成するNASプロトコルの下位レイヤのプロトコルである。そのため、NG-APプロトコルを用いて送信するINITIAL UE MESSAGEは、ネットワークスライス毎に定められたセキュリティパラメータを用いて暗号化されることはない。つまり、INITIAL UE MESSAGEは、NASメッセージを暗号化する暗号化アルゴリズムを用いて暗号化されることはない。
AMF25は、INITIAL UE MESSAGEを受信すると、暗号化されたNASメッセージが、INITIAL UE MESSAGEに含まれるNSSAIによって識別されるネットワークスライスに対応することを認識する。
AMF25は、INITIAL UE MESSAGEに含められたUEの認識子である5G S-TMSIまたはGUAMI、及び、NSSAIによって識別されるネットワークスライスに関連付けられた暗号化のアルゴリズムを用いて、NASメッセージを復号する。
以上説明したように、AMF25は、NASプロトコルの下位レイヤのプロトコルに含まれるNSSAIを受信することができる。NASプロトコルの下位レイヤのプロトコルを用いて送信されるメッセージは、ネットワークスライス毎に定められたアルゴリズムを用いた暗号化が行われていない。そのため、AMF25は、暗号化されたNASメッセージに対応するネットワークスライスを識別することができる。
図13及び図14においては、INITIAL UE MESSAGEにNSSAIを含めることによって、AMF25へNSSAIを通知することについて説明した。ここで、図15を用いて、図13及び図14とは異なる手順を用いてAMF25へネットワークスライスに関する情報を通知することについて説明する。
図15は、NASメッセージのフォーマットを示している。図15のoctet2のSecurity header type associated with a spare half octetフィールドは、ネットワークスライス毎に定められたアルゴリズムを用いた暗号化が行われないフィールドである。つまり、Security header type associated with a spare half octetフィールドは、非暗号領域である。そのため、UE40は、NASメッセージのSecurity header type associated with a spare half octetフィールドにネットワークスライスを識別する情報を設定することによって、AMF25へ、利用するネットワークスライスを通知する。
また、図16は、Security header type associated with a spare half octetフィールドの設定内容を示している。図16に示されるように、Security header type associated with a spare half octetフィールドの8ビットの内、4ビットは、設定内容が予め定められている。そこで、Security header type associated with a spare half octetフィールドの残りの4ビットに、ネットワークスライスを識別する情報を設定する。
ここで、図17は、NSSAIのフォーマットを示している。図17に示すように、NSSAIは、4ビット以上の値を用いて示される。そのため、図17に示すNSSAIをそのままSecurity header type associated with a spare half octetフィールドの残りの4ビットに設定することはできない。そこで、UE40は、図17に示すNSSAIを4ビットに正規化した情報をSecurity header type associated with a spare half octetフィールドの残りの4ビットに設定してもよい。また、UE40は、図17に示すNSSAIのSSTフィールドに示される8ビットを4ビットに正規化した情報をSecurity header type associated with a spare half octetフィールドの残りの4ビットに設定してもよい。
もしくは、UE40は、NASメッセージの暗号化アルゴリズムもしくは完全性保護アルゴリズム等のセキュリティパラメータを正規化した情報をSecurity header type associated with a spare half octetフィールドの残りの4ビットに設定してもよい。
UE40は、NASメッセージ内の、暗号化されないフィールドであるSecurity header type associated with a spare half octetフィールドに、ネットワークスライスを識別する情報を設定することができる。これにより、AMF25は、暗号化されたNASメッセージがどのネットワークスライスに対応するかを識別することができる。
(実施の形態4)
続いて、図18及び図19を用いてUE40と(R)AN35との間において伝送されるユーザプレーンデータに対するセキュリティ処理の実行手順について説明する。図18及び図19は、UE40とネットワークスライスとの間において確立されるPDU sessionの確立手順(PDU session establishment)を示している。ネットワークスライスには、UPF(User Plane Function)エンティティ61(以下、UPF61と称する)及びSMF(Session Management Function)エンティティ62(以下、SMF62と称する)が配置されているとする。また、PCF(Policy Control Function)エンティティ63(以下、PCF63と称する)は、ネットワークスライス内に配置されてもよく、サービングネットワークに配置されてもよく、ホームネットワークに配置されてもよい。
DN70は、ネットワークスライスを利用して接続される外部ネットワークである。UPF61は、UE40とDN70との間において、ユーザプレーンデータのルーティングもしくは転送を行う。SMF62は、UE40に関するセッション管理を行う。セッション管理には、セッションの確立、変更、削除が含まれる。PCF63は、UE40の通信に関するポリシー情報を管理する。または、PCF63は、サービングネットワークもしくはホームネットワークにおいて定められているポリシー情報を管理する。
はじめに、UE40は、PDU session establishment requestをAMF25へ送信する(S61)。次に、AMF25は、SMFを選択する(S62)。ここでは、AMF25は、SMF62を選択したとする。次に、AMF25は、PDU session context create requestをSMF62へ送信する(S63)。次に、SMF62は、PDU session context create responseをAMF25へ送信する(S64)。
次に、SMF62は、必要に応じて、UE40に関する加入者情報をUDM52から取得し、さらに、PDUセッションに関する情報をUDM52へ登録する(S65)。次に、UE40とDN70との間において、UE40がDN70へアクセスするための認証処理を実行する(S66)。ここでの認証処理は、Secondary authenticationと称される。
次に、SMF62は、必要に応じてPCF63からポリシーに関する情報を取得する(S67)。ポリシーに関する情報は、UE40が確立するPDU sessionに対応するネットワークスライスに関するセキュリティパラメータを含めてもよい。セキュリティパラメータは、例えば暗号化及び完全性保護の有効化に関する情報、並びに暗号化及び完全性保護のアルゴリズム等であってもよい。
次に、SMF62は、PDU sessionを確立するUPFを選択する(S68)。ここでは、SMF62は、UPF61を選択したとする。次に、SMF62は、Session establishment requestをUPF61へ送信する(S69)。次に、UPF61は、Session establishment responseをSMF62へ送信する(S70)。次に、SMF62は、PDU sessionに関する情報等を含むCommunication messageをAMF25へ送信する(S71)。PDU sessionに関する情報は、ステップS67において取得したセキュリティパラメータを含んでもよい。
次に、AMF25は、PDU session requestを(R)AN35へ送信する(S72)。PDU session requestは、ステップS67において取得したセキュリティパラメータ、及びPDU sessionに対応するNSSAIを含む。また、PDU session requestは、NSSAIに関連付けられたセキュリティプロファイルを含んでもよい。(R)AN35は、PDU session に対して設定されたDRB(Data Radio Bearer)を用いてUplink dataをUE40から受信した際、AMF25から送信されたPDU session に対するNSSAI及びセキュリティパラメータを用いてセキュリティ処理を実行する。
次に、UE40と(R)AN35との間において、PDU sessionに関する無線区間の設定(AN-specific resource setup)を行う(S73)。無線区間の設定は、ユーザプレーンデータに対するセキュリティ有効化(UP security activation)を含む。セキュリティ有効化が完了した後、UE40は、(R)AN35へ、セキュリティ有効化が完了したことを示すメッセージを送信する。
次に、(R)AN35は、PDU session request ackをAMF25へ送信する(S74)。次に、AMF25は、PDU session update requestをSMF62へ送信する(S75)。次に、SMF62は、PDU session modification requestをUPF61へ送信する(S76)。次に、UPF61は、PDU session modification responseをSMF62へ送信する(S77)。次に、SMF62は、PDU session update responseをAMF25へ送信する(S78)。
続いて、図20を用いて図19のステップS73における詳細な処理の流れについて説明する。図20においては、ポリシー情報に基づいて、PDU session内のDRB(Data Radio Bearer)に対して、セキュリティの設定と有効化とを行う。
ポリシー情報は、図19のPDU session確立時に、PCF63から通知された情報であってもよい。もしくは、(R)AN35には、ローカルポリシーに基づいた情報が予め与えられていてもよい。図20においては、ポリシー情報に含められた暗号化と完全性保護とをそれぞれ有効化するか否かについての情報に基づいて、セキュリティの有効化を行う手順が示されている。
はじめに、AS SMCが完了し、UE40と(R)AN35との間において伝送される制御データの保護が開始していることを前提とする(S81)。制御データは、RRC(Radio Resource Control)メッセージであってもよい。さらに、確立するPDU sessionがどのネットワークスライスに属するかに関する情報が(R)AN35へ伝えられていることを前提とする。(R)AN35は、AS SMCに含められたユーザプレーンデータに関するアルゴリズムを用いてもよい。もしくは、(R)AN35は、SMF62を介してPCF63から取得したポリシー情報を用いてもよく、AMF25からセキュリティプロファイルを取得してもよい。
次に、(R)AN35は、RRC Connection ReconfigurationをUE40へ送信する(S82)。RRC Connection Reconfigurationは、PDU sessionに対応するネットワークスライスを示すNSSAIを含む。
次に、UE40は、RRC Connection Reconfigurationの完全性を確認する(S83)。UE40は、RRC Connection Reconfigurationの完全性に問題無いことを確認した場合、RRC Connection Reconfigurationに含まれるNSSAIが示すネットワークスライスにおいて用いられるアルゴリズムを特定する。さらに、UE40は、特定したアルゴリズムを用いて送信するユーザプレーンデータの暗号化、受信したユーザプレーンデータの復号化、及び、送受信するユーザプレーンデータの完全性保護を開始する(S83)。完全性保護は、受信ユープレーンデータの完全性保護確認及び送信ユープレーンデータへの完全性保護のための符号の付与の両方を意味する。
次に、UE40は、RRC Connection Reconfiguration Completeを(R)AN35へ送信する(S84)。次に、(R)AN35は、AS SMCにおいて決定済みのアルゴリズムを用いることによって、送信するユーザプレーンデータの暗号化、受信したユーザプレーンデータの復号化、及び、送受信するユーザプレーンデータの完全性保護を開始する(S85)。(R)AN35は、PDU session IDと、PDU session IDのセキュリティ設定とを保存しておくことにより、PDU session毎に異なるセキュリティ処理を行うことができる。セキュリティ設定は、セキュリティパラメータと言い換えられてもよい。
図19及び図20においては、PDU sessionを確立する際の手順を示したが、UE40がService requestを実行する場合も、図19及び図20と同様の手順を用いて、ユーザプレーンデータのセキュリティ処理を実行することができる。Service requestは、PDU sessionが確立後にIdle状態へ遷移したセッションを活性化する際に実行される処理である。
以上説明したように、実施の形態4に係る処理を実行することによって、UE40及び(R)AN35は、ネットワークスライス毎にユーザプレーンデータのセキュリティ処理を実行することができる。
また、各実施の形態において、UE40は、ネットワークスライス毎にセキュリティの設定を行うことができるか否かをモバイルネットワークに配置されている装置へ通知してもよい。例えば、図21に示すUE network capability information elementに、NS secのフィールドを定義してもよい。例えば、NS secに1が設定されている場合、UE40が、ネットワークスライス毎にセキュリティの設定を行うことができることを示してもよい。また、NS secに0が設定されている場合、もしくは、NS secに値が設定されていない場合、ネットワークスライス毎にセキュリティの設定を行うことができないことを示してもよい。
例えば、UE40は、Registration時のRegistration requestに、UE network capability information elementを含めてもよい。また、UE40は、UE network capability information element以外のinformation elementに、ネットワークスライス毎にセキュリティの設定を行うことができるか否かを示してもよい。
UE40がネットワークスライス毎にセキュリティの設定を行うことができるか否かを示すUE40の能力をAMF25へ通知することによって、AMF25は、(R)AN35、UPF61、SMF62等へUE40の能力を転送することができる。これにより、5Gネットワーク全体として、UE40に対して統一した動作を保障することができる。UE40が、ネットワークスライス毎にセキュリティの設定を行うことができるか否かをAMF25に通知する方法として既存のNASパラメータを用いても新たな専用のパラメータを新たに設定して用いてもかまわない。
続いて以下では、上述の複数の実施形態で説明された、(R)AN35、UE40、AMF25、AUSF51、UDM52の構成例について説明する。図22は、(R)AN35の構成例を示すブロック図である。図22を参照すると、(R)AN35は、RFトランシーバ1001、ネットワーク・インターフェース1003、プロセッサ1004、及びメモリ1005を含む。RFトランシーバ1001は、UEsと通信するためにアナログRF信号処理を行う。RFトランシーバ1001は、複数のトランシーバを含んでもよい。RFトランシーバ1001は、アンテナ1002及びプロセッサ1004と結合される。RFトランシーバ1001は、変調シンボルデータ(又はOFDMシンボルデータ)をプロセッサ1004から受信し、送信RF信号を生成し、送信RF信号をアンテナ1002に供給する。また、RFトランシーバ1001は、アンテナ1002によって受信された受信RF信号に基づいてベースバンド受信信号を生成し、これをプロセッサ1004に供給する。
ネットワーク・インターフェース1003は、ネットワークノード(e.g., 他のコアネットワークノード)と通信するために使用される。ネットワーク・インターフェース1003は、例えば、IEEE 802.3 seriesに準拠したネットワークインターフェースカード(NIC)を含んでもよい。
プロセッサ1004は、無線通信のためのデジタルベースバンド信号処理を含むデータプレーン処理とコントロールプレーン処理を行う。例えば、LTEおよび5Gの場合、プロセッサ1004によるデジタルベースバンド信号処理は、MACレイヤ、およびPHYレイヤの信号処理を含んでもよい。
プロセッサ1004は、複数のプロセッサを含んでもよい。例えば、プロセッサ1004は、デジタルベースバンド信号処理を行うモデム・プロセッサ(e.g., DSP)、及びコントロールプレーン処理を行うプロトコルスタック・プロセッサ(e.g., CPU又はMPU)を含んでもよい。
メモリ1005は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ1005は、物理的に独立した複数のメモリデバイスを含んでもよい。揮発性メモリは、例えば、Static Random Access Memory(SRAM)若しくはDynamic RAM(DRAM)又はこれらの組み合わせである。不揮発性メモリは、マスクRead Only Memory(MROM)、Electrically Erasable Programmable ROM(EEPROM)、フラッシュメモリ、若しくはハードディスクドライブ、又はこれらの任意の組合せである。メモリ1005は、プロセッサ1004から離れて配置されたストレージを含んでもよい。この場合、プロセッサ1004は、ネットワーク・インターフェース1003又は図示されていないI/Oインタフェースを介してメモリ1005にアクセスしてもよい。
メモリ1005は、上述の複数の実施形態で説明された(R)AN35による処理を行うための命令群およびデータを含むソフトウェアモジュール(コンピュータプログラム)を格納してもよい。いくつかの実装において、プロセッサ1004は、当該ソフトウェアモジュールをメモリ1005から読み出して実行することで、上述の実施形態で説明された(R)AN35の処理を行うよう構成されてもよい。
図23は、UE40の構成例を示すブロック図である。Radio Frequency(RF)トランシーバ1101は、(R)AN35と通信するためにアナログRF信号処理を行う。RFトランシーバ1101により行われるアナログRF信号処理は、周波数アップコンバージョン、周波数ダウンコンバージョン、及び増幅を含む。RFトランシーバ1101は、アンテナ1102及びベースバンドプロセッサ1103と結合される。すなわち、RFトランシーバ1101は、変調シンボルデータ(又はOFDMシンボルデータ)をベースバンドプロセッサ1103から受信し、送信RF信号を生成し、送信RF信号をアンテナ1102に供給する。また、RFトランシーバ1101は、アンテナ1102によって受信された受信RF信号に基づいてベースバンド受信信号を生成し、これをベースバンドプロセッサ1103に供給する。
ベースバンドプロセッサ1103は、無線通信のためのデジタルベースバンド信号処理(データプレーン処理)とコントロールプレーン処理を行う。デジタルベースバンド信号処理は、(a) データ圧縮/復元、(b) データのセグメンテーション/コンカテネーション、(c) 伝送フォーマット(伝送フレーム)の生成/分解を含む。さらに、デジタルベースバンド信号処理は、(d) 伝送路符号化/復号化、(e) 変調(シンボルマッピング)/復調、及び(f) Inverse Fast Fourier Transform(IFFT)によるOFDMシンボルデータ(ベースバンドOFDM信号)の生成などを含む。一方、コントロールプレーン処理は、レイヤ1(e.g., 送信電力制御)、レイヤ2(e.g., 無線リソース管理、及びhybrid automatic repeat request(HARQ)処理)、及びレイヤ3(e.g., アタッチ、モビリティ、及び通話管理に関するシグナリング)の通信管理を含む。
例えば、LTEおよび5Gの場合、ベースバンドプロセッサ1103によるデジタルベースバンド信号処理は、Packet Data Convergence Protocol(PDCP)レイヤ、Radio Link Control(RLC)レイヤ、MACレイヤ、およびPHYレイヤの信号処理を含んでもよい。また、ベースバンドプロセッサ1103によるコントロールプレーン処理は、Non-Access Stratum(NAS)プロトコル、RRCプロトコル、及びMAC CEの処理を含んでもよい。
ベースバンドプロセッサ1103は、デジタルベースバンド信号処理を行うモデム・プロセッサ(e.g., Digital Signal Processor(DSP))とコントロールプレーン処理を行うプロトコルスタック・プロセッサ(e.g., Central Processing Unit(CPU)、又はMicro Processing Unit(MPU))を含んでもよい。この場合、コントロールプレーン処理を行うプロトコルスタック・プロセッサは、後述するアプリケーションプロセッサ1104と共通化されてもよい。
アプリケーションプロセッサ1104は、CPU、MPU、マイクロプロセッサ、又はプロセッサコアとも呼ばれる。アプリケーションプロセッサ1104は、複数のプロセッサ(複数のプロセッサコア)を含んでもよい。アプリケーションプロセッサ1104は、メモリ1106又は図示されていないメモリから読み出されたシステムソフトウェアプログラム(Operating System(OS))及び様々なアプリケーションプログラムを実行することによって、UE40の各種機能を実現する。アプリケーションプログラムは、例えば、通話アプリケーション、WEBブラウザ、メーラ、カメラ操作アプリケーション、音楽再生アプリケーションであってもよい。
いくつかの実装において、図23に破線(1105)で示されているように、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのチップ上に集積されてもよい。言い換えると、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのSystem on Chip(SoC)デバイス1105として実装されてもよい。SoCデバイスは、システムLarge Scale Integration(LSI)またはチップセットと呼ばれることもある。
メモリ1106は、揮発性メモリ若しくは不揮発性メモリ又はこれらの組合せである。メモリ1106は、物理的に独立した複数のメモリデバイスを含んでもよい。揮発性メモリは、例えば、Static Random Access Memory(SRAM)若しくはDynamic RAM(DRAM)又はこれらの組み合わせである。不揮発性メモリは、マスクRead Only Memory(MROM)、Electrically Erasable Programmable ROM(EEPROM)、フラッシュメモリ、若しくはハードディスクドライブ、又はこれらの任意の組合せである。例えば、メモリ1106は、ベースバンドプロセッサ1103、アプリケーションプロセッサ1104、及びSoC1105からアクセス可能な外部メモリデバイスを含んでもよい。メモリ1106は、ベースバンドプロセッサ1103内、アプリケーションプロセッサ1104内、又はSoC1105内に集積された内蔵メモリデバイスを含んでもよい。さらに、メモリ1106は、Universal Integrated Circuit Card(UICC)内のメモリを含んでもよい。
メモリ1106は、上述の複数の実施形態で説明されたUE40による処理を行うための命令群およびデータを含むソフトウェアモジュール(コンピュータプログラム)を格納してもよい。いくつかの実装において、ベースバンドプロセッサ1103又はアプリケーションプロセッサ1104は、当該ソフトウェアモジュールをメモリ1106から読み出して実行することで、上述の実施形態で説明されたUE40の処理を行うよう構成されてもよい。
図24は、AMF25、AUSF51、UDM52等のコアネットワーク装置10の構成例を示すブロック図である。図24を参照すると、コアネットワーク装置10は、ネットワーク・インターフェース1201、プロセッサ1202、及びメモリ1203を含む。ネットワーク・インターフェース1201は、通信システムを構成する他のネットワークノード装置と通信するために使用される。ネットワーク・インターフェース1201は、例えば、IEEE 802.3 seriesに準拠したネットワークインターフェースカード(NIC)を含んでもよい。
プロセッサ1202は、メモリ1203からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態においてシーケンス図及びフローチャートを用いて説明されたコアネットワーク装置10の処理を行う。プロセッサ1202は、例えば、マイクロプロセッサ、MPU(Micro Processing Unit)、又はCPU(Central Processing Unit)であってもよい。プロセッサ1202は、複数のプロセッサを含んでもよい。
メモリ1203は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ1203は、プロセッサ1202から離れて配置されたストレージを含んでもよい。この場合、プロセッサ1202は、図示されていないI/Oインタフェースを介してメモリ1203にアクセスしてもよい。
図24の例では、メモリ1203は、ソフトウェアモジュール群を格納するために使用される。プロセッサ1202は、これらのソフトウェアモジュール群をメモリ1203から読み出して実行することで、上述の実施形態において説明されたコアネットワーク装置10の処理を行うことができる。
図24を用いて説明したように、コアネットワーク装置10が有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ、フラッシュROM、RAM(Random Access Memory))を含む。磁気記録媒体は、例えばフレキシブルディスク、磁気テープ、ハードディスクドライブであってもよい。半導体メモリは、例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory)であってもよい。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
本明細書における、通信端末、ユーザー端末(User Equipment、 UE)(もしくは移動局(mobile station)、移動端末(mobile terminal)、 モバイルデバイス(mobile device)、または無線端末(wireless device)などを含む)は、無線インターフェースを介して、ネットワークに接続されたエンティティである。
本明細書のUEは、専用の通信装置に限定されるものではなく、本明細書中に記載されたUEとしての通信機能を有する次のような任意の機器であっても良い。
用語として「(3GPPで使われる単語としての)ユーザー端末(User Equipment、UE)」、「移動局」、「移動端末」、「モバイルデバイス」、「無線端末」のそれぞれは、一般的に互いに同義であることを意図しており、ターミナル、携帯電話、スマートフォン、タブレット、セルラIoT端末、IoTデバイス、などのスタンドアローン移動局であってもよい。
なお用語としての「UE」「無線端末」は、長期間にわたって静止している装置も包含することが理解されよう。
またUEは、例えば、生産設備・製造設備および/またはエネルギー関連機械(一例として、ボイラー、機関、タービン、ソーラーパネル、風力発電機、水力発電機、火力発電機、原子力発電機、蓄電池、原子力システム、原子力関連機器、重電機器、真空ポンプなどを含むポンプ、圧縮機、ファン、送風機、油圧機器、空気圧機器、金属加工機械、マニピュレータ、ロボット、ロボット応用システム、工具、金型、ロール、搬送装置、昇降装置、貨物取扱装置、繊維機械、縫製機械、印刷機、印刷関連機械、紙工機械、化学機械、鉱山機械、鉱山関連機械、建設機械、建設関連機械、農業用機械および/または器具、林業用機械および/または器具、漁業用機械および/または器具、安全および/または環境保全器具、トラクター、軸受、精密ベアリング、チェーン、歯車(ギアー)、動力伝動装置、潤滑装置、弁、管継手、および/または上記で述べた任意の機器又は機械のアプリケーションシステムなど)であっても良い。
またUEは、例えば、輸送用装置(一例として、車両、自動車、二輪自動車、自転車、列車、バス、リヤカー、人力車、船舶(ship and other watercraft)、飛行機、ロケット、人工衛星、ドローン、気球など)であっても良い。
またUEは、例えば、情報通信用装置(一例として、電子計算機及び関連装置、通信装置及び関連装置、電子部品など)であっても良い。
またUEは、例えば、冷凍機、冷凍機応用製品および装置、商業およびサービス用機器、自動販売機、自動サービス機、事務用機械及び装置、民生用電気・電子機械器具(一例として音声機器、スピーカー、ラジオ、映像機器、テレビ、オーブンレンジ、炊飯器、コーヒーメーカー、食洗機、洗濯機、乾燥機、扇風機、換気扇及び関連製品、掃除機など)であっても良い。
またUEは、例えば、電子応用システムまたは電子応用装置(一例として、X線装置、粒子加速装置、放射性物質応用装置、音波応用装置、電磁応用装置、電力応用装置など)であっても良い。
またUEは、例えば、電球、照明、計量機、分析機器、試験機及び計測機械(一例として、煙報知器、対人警報センサ、動きセンサ、無線タグなど)、時計(watchまたはclock)、理化学機械、光学機械、医療用機器および/または医療用システム、武器、利器工匠具、または手道具などであってもよい。
またUEは、例えば、無線通信機能を備えたパーソナルデジタルアシスタントまたは装置(一例として、無線カードや無線モジュールなどを取り付けられる、もしくは挿入するよう構成された電子装置(例えば、パーソナルコンピュータや電子計測器など))であっても良い。
またUEは、例えば、有線や無線通信技術を使用した「あらゆるモノのインターネット(IoT:Internet of Things)」において、以下のアプリケーション、サービス、ソリューションを提供する装置またはその一部であっても良い。
IoTデバイス(もしくはモノ)は、デバイスが互いに、および他の通信デバイスとの間で、データ収集およびデータ交換することを可能にする適切な電子機器、ソフトウェア、センサー、ネットワーク接続、などを備える。
またIoTデバイスは、内部メモリの格納されたソフトウェア指令に従う自動化された機器であっても良い。
またIoTデバイスは、人間による監督または対応を必要とすることなく動作しても良い。
またIoTデバイスは、長期間にわたって備え付けられている装置および/または、長期間に渡って非活性状態(inactive)状態のままであっても良い。
またIoTデバイスは、据え置き型な装置の一部として実装され得る。IoTデバイスは、非据え置き型の装置(例えば車両など)に埋め込まれ得る、または監視される/追跡される動物や人に取り付けられ得る。
人間の入力による制御またはメモリに格納されるソフトウェア命令、に関係なくデータを送受信する通信ネットワークに接続することができる、任意の通信デバイス上に、IoT技術が実装できることは理解されよう。
IoTデバイスが、機械型通信(Machine Type Communication、MTC)デバイス、またはマシンツーマシン(Machine to Machine、M2M)通信デバイス、NB-IoT(Narrow Band-IoT) UEと呼ばれることもあるのは理解されよう。
またUEが、1つまたは複数のIoTまたはMTCアプリケーションをサポートすることができることが理解されよう。
MTCアプリケーションのいくつかの例は、以下の表(出典:3GPP TS22.368 V13.2.0(2017-01-13) Annex B、その内容は参照により本明細書に組み込まれる)に列挙されている。このリストは、網羅的ではなく、一例としてのMTCアプリケーションを示すものである。
Figure 0007127689000001
アプリケーション、サービス、ソリューションは、一例として、MVNO(Mobile Virtual Network Operator:仮想移動体通信事業者)サービス/システム、防災無線サービス/システム、構内無線電話(PBX(Private Branch eXchange:構内交換機))サービス/システム、PHS/デジタルコードレス電話サービス/システム、POS(Point of sale)システム、広告発信サービス/システム、マルチキャスト(MBMS(Multimedia Broadcast and Multicast Service))サービス/システム、V2X(Vehicle to Everything:車車間通信および路車間・歩車間通信)サービス/システム、列車内移動無線サービス/システム、位置情報関連サービス/システム、災害/緊急時無線通信サービス/システム、IoT(Internet of Things:モノのインターネット)サービス/システム、コミュニティーサービス/システム、映像配信サービス/システム、Femtoセル応用サービス/システム、VoLTE(Voice over LTE)サービス/システム、無線TAGサービス/システム、課金サービス/システム、ラジオオンデマンドサービス/システム、ローミングサービス/システム、ユーザー行動監視サービス/システム、通信キャリア/通信NW選択サービス/システム、機能制限サービス/システム、PoC(Proof of Concept)サービス/システム、端末向け個人情報管理サービス/システム、端末向け表示・映像サービス/システム、端末向け非通信サービス/システム、アドホックNW/DTN(Delay Tolerant Networking)サービス/システムなどであっても良い。
なお、上述したUEのカテゴリは、本明細書に記載された技術思想及び実施形態の応用例に過ぎない。これらの例に限定されるものではなく、当業者は種々の変更が可能であることは勿論である。
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2018年9月3日に出願された日本出願特願2018-164410を基礎とする優先権を主張し、その開示の全てをここに取り込む。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する格納部と、
前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信する通信部と、を備えるコアネットワーク装置。
(付記2)
前記通信部は、
前記通信端末を前記コアネットワーク装置へ登録する手順において、前記通信端末へ送信するNAS Security Mode Commandメッセージに、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を含める、付記1に記載のコアネットワーク装置。
(付記3)
前記格納部は、
前記通信端末の加入者情報を格納する加入者情報管理装置から送信された、前記通信端末が許容される前記ネットワークスライスの識別情報及び前記セキュリティパラメータを格納する、付記1又は2に記載のコアネットワーク装置。
(付記4)
前記ネットワークスライスに関連付けられたセキュリティ鍵を生成する鍵生成部をさらに備える、付記1乃至3のいずれか1項に記載のコアネットワーク装置。
(付記5)
前記通信部は、
前記セキュリティパラメータを用いて暗号化されたNASメッセージと、前記NASメッセージに対応する前記ネットワークスライスの識別情報とを受信し、
前記ネットワークスライスの識別情報に関連付けられた前記セキュリティパラメータを用いて前記NASメッセージを復号するメッセージ処理部をさらに備える、付記1乃至4のいずれか1項に記載のコアネットワーク装置。
(付記6)
前記ネットワークスライスの識別情報は、
前記NASメッセージを処理するプロトコルの下位のプロトコルを用いて処理されるメッセージに設定される、付記5に記載のコアネットワーク装置。
(付記7)
前記ネットワークスライスの識別情報は、
前記NASメッセージ内の非暗号領域に設定される、付記5に記載のコアネットワーク装置。
(付記8)
通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータ及び前記ネットワークスライスの識別情報を受信し、前記セキュリティパラメータの識別情報及び前記ネットワークスライスの識別情報を通信端末へ送信する通信部を備えるアクセスネットワーク装置。
(付記9)
前記通信部は、
前記通信端末をコアネットワーク装置へ登録する手順において前記通信端末へ送信するAS Security Mode Commandメッセージに、前記セキュリティパラメータの識別情報及び前記ネットワークスライスの識別情報を含める、付記8に記載のアクセスネットワーク装置。
(付記10)
前記通信部は、
前記通信端末がネットワークスライスを利用した通信を開始する際に実行されるPDU Session establishmentにおいて、前記ネットワークスライスの識別情報を受信し、RRC Connection Reconfigurationメッセージに前記ネットワークスライスの識別情報を含める、付記8に記載のアクセスネットワーク装置。
(付記11)
前記通信部は、
前記通信端末がネットワークスライスを利用した通信を開始する際に実行されるService requestにおいて、コアネットワーク装置から前記ネットワークスライスの識別情報を受信し、前記ネットワークスライスの識別情報に関連付けられた前記セキュリティパラメータを用いてセキュリティ設定を行ったメッセージを前記通信端末へ送信する、付記8又は10に記載のアクセスネットワーク装置。
(付記12)
許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する格納部と、
前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を受信する通信部と、を備える通信端末。
(付記13)
前記通信部は、
前記ネットワークスライスを利用した通信を行う際に、前記セキュリティパラメータの識別情報において特定される前記セキュリティパラメータを用いてセキュリティ設定を行ったメッセージを送信する、付記12に記載の通信端末。
(付記14)
前記通信部は、
前記ネットワークスライスの識別情報と、前記ネットワークスライスに関連付けられた前記セキュリティパラメータを用いて暗号化したNASメッセージとを送信する、付記12又は13に記載の通信端末。
(付記15)
前記通信部は、
アクセスネットワーク装置において終端されるプロトコルを用いて処理されるメッセージに前記ネットワークスライスの識別情報を設定する、付記14に記載の通信端末。
(付記16)
通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する第1の格納部、及び、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信する第1の通信部を有するコアネットワーク装置と、
前記セキュリティパラメータを格納する第2の格納部と、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を受信する第2の通信部とを有する通信端末と、を備える通信システム。
(付記17)
前記第1の通信部は、
前記通信端末を前記コアネットワーク装置へ登録する手順において、前記通信端末へ送信するNAS Security Mode Commandメッセージに、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を含める、付記16に記載の通信システム。
(付記18)
通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納し、
前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信する、コアネットワーク装置において実行される通信方法。
(付記19)
通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータ及び前記ネットワークスライスの識別情報を受信し、前記セキュリティパラメータの識別情報及び前記ネットワークスライスの識別情報を通信端末へ送信する、アクセスネットワーク装置において実行される通信方法。
(付記20)
許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納し、
前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を受信する、通信端末において実行される通信方法。
10 コアネットワーク装置
11 格納部
12 通信部
20 コアネットワーク装置
21 メッセージ処理部
25 AMF
30 アクセスネットワーク装置
31 格納部
32 通信部
33 メッセージ処理部
35 (R)AN
40 UE
41 格納部
42 通信部
43 メッセージ処理部
51 AUSF
52 UDM
61 UPF
62 SMF
63 PCF
70 DN

Claims (8)

  1. 通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する格納手段と、
    前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信し、前記セキュリティパラメータを用いて暗号化されたNASメッセージと、前記NASメッセージに対応する前記ネットワークスライスの識別情報とを受信する通信手段と、
    前記ネットワークスライスの識別情報に関連付けられた前記セキュリティパラメータを用いて前記NASメッセージを復号するメッセージ処理手段と、を備え、
    前記ネットワークスライスの識別情報は、
    前記NASメッセージを処理するプロトコルの下位のプロトコルを用いて処理されるメッセージに設定される、コアネットワーク装置。
  2. 通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する格納手段と、
    前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信するし、前記セキュリティパラメータを用いて暗号化されたNASメッセージと、前記NASメッセージに対応する前記ネットワークスライスの識別情報とを受信する通信手段と、
    前記ネットワークスライスの識別情報に関連付けられた前記セキュリティパラメータを用いて前記NASメッセージを復号するメッセージ処理手段と、を備え、
    前記ネットワークスライスの識別情報は、
    前記NASメッセージ内の非暗号領域に設定される、コアネットワーク装置。
  3. 前記通信手段は、
    前記通信端末を前記コアネットワーク装置へ登録する手順において、前記通信端末へ送信するNAS Security Mode Commandメッセージに、前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を含める、請求項1または2に記載のコアネットワーク装置。
  4. 前記格納手段は、
    前記通信端末の加入者情報を格納する加入者情報管理装置から送信された、前記通信端末が許容される前記ネットワークスライスの識別情報及び前記セキュリティパラメータを格納する、請求項1から3のいずれか1項に記載のコアネットワーク装置。
  5. 許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する格納手段と、
    前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を受信し、前記ネットワークスライスの識別情報と、前記ネットワークスライスに関連付けられた前記セキュリティパラメータを用いて暗号化したNASメッセージとを送信する通信手段と、を備え
    前記ネットワークスライスの識別情報は、
    前記NASメッセージを処理するプロトコルの下位のプロトコルを用いて処理されるメッセージに設定される、通信端末。
  6. 許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納する格納手段と、
    前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を受信し、前記ネットワークスライスの識別情報と、前記ネットワークスライスに関連付けられた前記セキュリティパラメータを用いて暗号化したNASメッセージとを送信する通信手段と、を備え
    前記ネットワークスライスの識別情報は、
    前記NASメッセージ内の非暗号領域に設定される、通信端末。
  7. 通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納し、
    前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信
    前記セキュリティパラメータを用いて暗号化されたNASメッセージと、前記NASメッセージに対応する前記ネットワークスライスの識別情報とを受信し、
    前記ネットワークスライスの識別情報に関連付けられた前記セキュリティパラメータを用いて前記NASメッセージを復号し、
    前記ネットワークスライスの識別情報は、
    前記NASメッセージを処理するプロトコルの下位のプロトコルを用いて処理されるメッセージに設定される、コアネットワーク装置において実行される通信方法。
  8. 通信端末が許容されるネットワークスライスに関連付けられたセキュリティパラメータを格納し、
    前記ネットワークスライスの識別情報及び前記セキュリティパラメータの識別情報を通信端末へ送信
    前記セキュリティパラメータを用いて暗号化されたNASメッセージと、前記NASメッセージに対応する前記ネットワークスライスの識別情報とを受信し、
    前記ネットワークスライスの識別情報に関連付けられた前記セキュリティパラメータを用いて前記NASメッセージを復号し、
    前記ネットワークスライスの識別情報は、
    前記NASメッセージ内の非暗号領域に設定される、コアネットワーク装置において実行される通信方法。
JP2020541169A 2018-09-03 2019-08-29 コアネットワーク装置、通信端末、及び通信方法 Active JP7127689B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018164410 2018-09-03
JP2018164410 2018-09-03
PCT/JP2019/033986 WO2020050138A1 (ja) 2018-09-03 2019-08-29 コアネットワーク装置、アクセスネットワーク装置、通信端末、通信システム、及び通信方法

Publications (2)

Publication Number Publication Date
JPWO2020050138A1 JPWO2020050138A1 (ja) 2021-08-26
JP7127689B2 true JP7127689B2 (ja) 2022-08-30

Family

ID=69722283

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020541169A Active JP7127689B2 (ja) 2018-09-03 2019-08-29 コアネットワーク装置、通信端末、及び通信方法

Country Status (4)

Country Link
US (1) US20210329452A1 (ja)
EP (1) EP3849228A4 (ja)
JP (1) JP7127689B2 (ja)
WO (1) WO2020050138A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020093247A1 (en) * 2018-11-06 2020-05-14 Zte Corporation A method and apparatus for attaching user equipment to a network slice
WO2022047690A1 (en) * 2020-09-03 2022-03-10 Qualcomm Incorporated Establishing a network slicing connection
CN113572801B (zh) * 2020-09-30 2022-08-12 中兴通讯股份有限公司 会话建立方法、装置、接入网设备及存储介质
US11706614B2 (en) * 2021-07-16 2023-07-18 Cisco Technology, Inc. Direct SMF control plane with gNB
US20230292124A1 (en) * 2022-03-09 2023-09-14 T-Mobile Innovations Llc Wireless network slice access based on encrypted slice certificates that indicate slice characteristics
WO2024062582A1 (ja) * 2022-09-21 2024-03-28 株式会社Nttドコモ ネットワークノード、通信システム及び通信方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017188392A1 (en) 2016-04-29 2017-11-02 Nec Corporation Method of enabling slice security separation
WO2018135524A1 (ja) 2017-01-17 2018-07-26 日本電気株式会社 通信システム、通信端末、amfエンティティ、及び通信方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102358918B1 (ko) * 2016-07-04 2022-02-07 삼성전자 주식회사 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치
JP2020036053A (ja) * 2017-01-05 2020-03-05 シャープ株式会社 端末装置、ネットワーク機能部、基地局、通信システム、及び通信制御方法
US10397892B2 (en) * 2017-02-06 2019-08-27 Huawei Technologies Co., Ltd. Network registration and network slice selection system and method
US20200015311A1 (en) * 2017-03-20 2020-01-09 Lg Electronics Inc. Method for processing nas message in wireless communication system and apparatus for same
JP6625580B2 (ja) 2017-03-28 2019-12-25 ヤンマー株式会社 コンバイン
WO2018194315A1 (ko) * 2017-04-19 2018-10-25 엘지전자 주식회사 Pdu 세션 수립 절차를 처리하는 방법 및 amf 노드
US11553388B2 (en) * 2017-06-16 2023-01-10 Htc Corporation Device and method of handling mobility between long-term evolution network and fifth generation network
US11284250B2 (en) * 2017-06-16 2022-03-22 Telefonaktiebolaget Lm Ericsson (Publ) Network, network nodes, wireless communication devices and method therein for handling network slices in a wireless communication network
EP3609289A1 (en) * 2018-08-10 2020-02-12 Nokia Technologies Oy Combined rrc inactive resume, rrc rna & nas registration procedure

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017188392A1 (en) 2016-04-29 2017-11-02 Nec Corporation Method of enabling slice security separation
WO2018135524A1 (ja) 2017-01-17 2018-07-26 日本電気株式会社 通信システム、通信端末、amfエンティティ、及び通信方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TR 33.899 V1.3.0,2017年08月

Also Published As

Publication number Publication date
US20210329452A1 (en) 2021-10-21
WO2020050138A1 (ja) 2020-03-12
EP3849228A4 (en) 2021-10-27
JPWO2020050138A1 (ja) 2021-08-26
EP3849228A1 (en) 2021-07-14

Similar Documents

Publication Publication Date Title
JP7127689B2 (ja) コアネットワーク装置、通信端末、及び通信方法
JP7452736B2 (ja) 端末及び端末の方法
US10887295B2 (en) System and method for massive IoT group authentication
US11937079B2 (en) Communication terminal, core network device, core network node, network node, and key deriving method
JP7088414B2 (ja) 統一されたアクセス制御に関連するパラメータを更新する手順
US20200228977A1 (en) Parameter Protection Method And Device, And System
WO2020090764A1 (en) SECURITY PROCEDURE FOR UE's IN 5GLAN GROUP COMMUNICATION
JP2022517584A (ja) Ue、通信システム及び方法
WO2020090886A1 (en) Method, ue, and network for providing kdf negotiation
US9491621B2 (en) Systems and methods for fast initial link setup security optimizations for PSK and SAE security modes
US20220248497A1 (en) Amf node and method thereof
JP2022126821A (ja) コアネットワーク装置、通信端末、コアネットワーク装置の方法、プログラム、及び通信端末の方法
JP7410930B2 (ja) 無線通信ネットワークにおける非アクセス階層通信の保護
US20210168614A1 (en) Data Transmission Method and Device
JP2023040195A (ja) 通信方法、及びユーザ装置
WO2020054578A1 (ja) 送信装置、受信装置、通信システム、通信方法、及びデータ処理方法
US20240137756A1 (en) Procedure to update the parameters related to unified access control
US11510139B2 (en) AMF node and method thereof
WO2023213205A1 (zh) 通信方法和装置
WO2022070546A1 (ja) コアネットワークノード、User Equipment、及びこれらの方法
WO2023054194A1 (ja) 第1のノード、第2のノード、第1のノードによる方法、及び第2のノードによる方法
WO2023055342A1 (en) Enabling distributed non-access stratum terminations
CN117336711A (zh) 安全决策协商方法及网元
CN117544947A (zh) 通信方法、装置及可读存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210222

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220308

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220428

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220719

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220801

R151 Written notification of patent or utility model registration

Ref document number: 7127689

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151