JP7192107B2 - システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 - Google Patents
システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 Download PDFInfo
- Publication number
- JP7192107B2 JP7192107B2 JP2021517968A JP2021517968A JP7192107B2 JP 7192107 B2 JP7192107 B2 JP 7192107B2 JP 2021517968 A JP2021517968 A JP 2021517968A JP 2021517968 A JP2021517968 A JP 2021517968A JP 7192107 B2 JP7192107 B2 JP 7192107B2
- Authority
- JP
- Japan
- Prior art keywords
- cellular network
- mode
- security context
- mobility management
- management entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 42
- 230000001413 cellular effect Effects 0.000 claims description 90
- 230000011664 signaling Effects 0.000 claims description 36
- 230000008859 change Effects 0.000 claims description 21
- 238000012546 transfer Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 38
- 230000015654 memory Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000010267 cellular communication Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229920000642 polymer Polymers 0.000 description 1
- 239000007784 solid electrolyte Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/32—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/06—De-registration or detaching
Description
これらの信号のやり取りには計算資源のコストを必要とし、限定された信号伝達リソースが用いられる。無線インタフェースにおいては、信号伝達リソースは非常に重要である。なぜなら、ユーザデータの転送以外の全てに利用される各シンボルが、ユーザデータの転送能力を小さくしてしまうからである。
・ ソースセルラネットワークがe-UTRAN(evolved Universal Terrestrial Radio Access Networ)であり、
・ 前記ターゲットセルラネットワークがng-RAN(Next Generation Radio Access Network)であり、
・ 前記UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ 前記UEは緊急ベアラサービスのためのPDN(パケットデータネットワーク)接続を有しており、
・ 前記UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPS(Evolved Packet System,発展型パケットシステム)セキュリティ・コンテキストを有し、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている。
・ 前記ソースセルラネットワークng-RANであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている。
・ 前記ソースセルラネットワークng-RANであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記UEは、PDU(Protocol Date Unit,プロトコルデータユニット)セッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない。
・ 前記ソースセルラネットワークng-RANがであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、前記UEが受け取っており、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ 前記UEは有効なネイティブEPSセキュリティ・コンテキストを有する。
a);
b);
c);
d);
a)及びb);
a)及びc);
a)及びd);
b)及びc);
b)及びd);
a)及びb)及びc);
a)及びc)及びd);
b)及びc)及びd)。
・ 前記AMFが前記UEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
・ 前記EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズム(例えばEIA0及びEEA0にセットされたNASセキュリティアルゴリズム)を含む。
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
1);
2);
3);
4);
1)及び2);
1)及び3);
1)及び4);
2)及び3);
2)及び4);
1)及び2)及び3);
1)及び3)及び4);
2)及び3)及び4)。
を備える。
・ 前記AMFが前記UEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
・ 前記EPSのモビリティ管理エンティティとng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
・ 前記EPSのモビリティ管理エンティティと前記ng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
・ 前記EPSのモビリティ管理エンティティと前記ng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
・ ソースセルラネットワークがe-UTRANであり、
・ ターゲットセルラネットワークがng-RANであり、
・ UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ UEは緊急ベアラサービスのためのPDN(パケットデータネットワーク)接続を有しており、
・ UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPSセキュリティ・コンテキストを有し、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、UEが受け取っている。
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、UEが受け取っている。
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない。
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、UEが受け取っており、
・ UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ UEは有効なネイティブEPSセキュリティ・コンテキストを有する。
・ AMFがUEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズム(例えばEIA0及びEEA0にセットされたNASセキュリティアルゴリズム)を含む。
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
[0073-1]
5GMM-CONNECTEDモードにおけるS1モードからN1モードへのシステム間変更(inter-system change)の間、次のa)及びb)によって、AMFとUEとの間にNASメッセージのセキュアな交換が確立される。
a)AMFから、5GMM-CONNECTEDモードにおいてシステム間変更をトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータを送信する。UEはこれらのパラメータを、マッピングされた5G NASセキュリティ・コンテキストを生成するために使用する。
b)5GMM-CONNECTEDモードにおけるシステム間変更の後、UEからAMFにREGISTRATION REQUESTメッセージを送信する。UEはこのメッセージを、マッピングされた5G NASセキュリティ・コンテキストを用いて完全性保護して(integrity protected)送信するべきである。しかし、暗号化しないで(unciphered)送信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされた5G NASセキュリティ・コンテキストを使って完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされた5G NASセキュリティ・コンテキストを使って暗号化されて送信される。
[0073-2]
5GMM-IDLEモードにおけるS1モードからN1モードへのシステム間変更の間、UEはシングルレジストレーションモード(single registration mode)で動作する。また次の通りである。
[0073-2-1]
a)UEが有効なネイティブ5G NASセキュリティ・コンテキストを有する場合、UEは、そのネイティブ5G NASセキュリティ・コンテキストで完全性保護されたREGISTRATION REQUESTメッセージを送信するべきである。UEは、当該REGISTRATION REQUESTメッセージの中に、当該ネイティブ5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。
ネイティブ5G NASセキュリティ・コンテキスト値を示すngKSIを含んだ前記REGISTRATION REQUESTメッセージを受診した後、AMFは、前記REGISTRATION REQUESTメッセージに含まれるngKSIが、AMFで利用可能な5G NASセキュリティ・コンテキストに属するかどうかをチェックすると共に、前記REGISTRATION REQUESTメッセージのMACを検証すべきである。検証が成功である場合、AMFは、ソースMMEから受信したEPSセキュリティ・コンテキストがあればそれを削除し、次のいずれかによって、NASメッセージのセキュアな交換を再確立する。
i)上記ネイティブ5G NASセキュリティ・コンテキストを使って完全性保護され暗号化されたREGISTRATION ACCEPTメッセージで返信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
ii)セキュリティモード制御手続(security mode control procedure)を開始する。これはAMFによって用いられることができ、以前の5G NASセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在の5G NASセキュリティ・コンテキストを修正するかによって、用いられることができる。
[0073-2-2]
b)UEが有効な5G NASセキュリティ・コンテキストを有していない場合は、次の通りである。
i)UEが緊急ベアラサービスのためのPDN接続を有していないか、UEは最新のEPSセキュリティ・コンテキストを有しているが、そのEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいないか、又はUEがネットワークから"interworking without N26 supported"(N26なしのインターワーキングがサポートされている)との標示を受信した場合、UEは、完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを送信すべきである。
完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを受信した後、
1)N26なしのインターワーキングがサポートされていない場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成するか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意(primary Authentication and Key Agreement)手続をトリガするべきである。
2)N26なしのインターワーキングがサポートされている場合、AMFは、プライマリ認証及び鍵合意手続をトリガするべきである。
新しく作成された5G NASセキュリティ・コンテキストは、セキュリティモード制御手続を開始することによって使用に供される。この5G NASセキュリティ・コンテキストは、UEとAMFの両方において、最新の5G NASセキュリティ・コンテキストとなる。これは、NASメッセージのセキュアな交換を再構築する。
ii)UEが緊急ベアラサービスのためのPDN接続を有していて、UEは最新のEPSセキュリティ・コンテキストを有していて、そのEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでおり、UEがネットワークから"interworking without N26 not supported"(N26なしのインターワーキングがサポートされていない)との標示を受信した場合、UEは、マッピングされた5G NASセキュリティ・コンテキストを現在のEPSセキュリティ・コンテキストから導出すると共に、マッピングされた5G NASセキュリティ・コンテキストで完全性保護されたREGISTRATION REQUESTメッセージを送信すべきである。UEは、当該REGISTRATION REQUESTメッセージの中に、前記マッピングされた5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。
マッピングされた5G NASセキュリティ・コンテキスト値"000"を示すngKSIを含んだREGISTRATION REQUESTメッセージを受信した後、N26なしのインターワーキングをサポートしていないAMFは、EPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストを導出し、受信したREGISTRATION REQUESTメッセージに含まれるngKSIが、先に導出した、マッピングされた5G NASセキュリティ・コンテキストのngKSI に合致するかどうかを検査すべきである。検査が成功であると、AMFは、マッピングされた5G NASセキュリティ・コンテキストを使って完全性保護及び暗号化したREGISTRATION ACCEPTメッセージで返信することにより、NASメッセージのセキュアな交換を再構築する。
[0073-2-3]
b)UEが、有効なネイティブ5G NASセキュリティ・コンテキストを有さない、シングルレジストレーションモードで動作している場合、当該UEは、完全性保護及び暗号化なしで、REGISTRATION REQUESTメッセージを送信すべきである。
完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを受信した後、
i)N26なしのインターワーキングがサポートされていない場合:
1)ソースMMEから受信したEPSセキュリティ・コンテキストが、EIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいない場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成するか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意(primary Authentication and Key Agreement)手続をトリガするべきである。
2)ソースMMEから受信したEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいる場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成すべきである。
ii)N26なしのインターワーキングがサポートされている場合、AMFは、プライマリ認証及び鍵合意手続をトリガするべきである。
新しく作成された5G NASセキュリティ・コンテキストは、セキュリティモード制御手続を開始することによって使用に供される。この5G NASセキュリティ・コンテキストは、UEとAMFの両方において、最新の5G NASセキュリティ・コンテキストとなる。これは、NASメッセージのセキュアな交換を再構築する。
[0073-3]
5GMM-CONNECTEDモードにおけるN1モードからS1モードへのシステム間変更の間、次によって、MMEとUEとの間にNASメッセージのセキュアな交換が確立される。
a)AMFから、5GMM-CONNECTEDモードにおいてシステム間変更をトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータを送信する。UEはこれらのパラメータを、マッピングされたEPSセキュリティ・コンテキストを生成するために使用する。
b)5GMM-CONNECTEDモードにおけるシステム間変更の後、UEからMMEにTRACKING AREA UPDATE REQUESTメッセージが送信される。UEはこのメッセージを、マッピングされたEPSセキュリティ・コンテキストを用いて完全性保護して送信するべきである。しかし、暗号化しないで送信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされたEPSセキュリティ・コンテキストを使って完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされたEPSセキュリティ・コンテキストを使って暗号化されて送信される。
[0073-4]
5GMM-IDLEモードにおけるN1モードからS1モードへのシステム間変更の間、UEはシングルレジストレーションモード(single registration mode)で動作する。また次の通りである。
[0073-4-1]
a)UEがネットワークから"interworking without N26 not supported"(N26なしのインターワーキングはサポートされていない)の標示を受信した場合、又はUEが、(N1モードからS1モードへPDUセッションを転送するために)要求タイプが"handover"(ハンドオーバ)にセットされたPDN CONNECTIVITY REQUESTメッセージを含む ATTACH REQUESTメッセージの送信をサポートしない場合、UEは、現在の5G NASセキュリティ・コンテキストによって完全性保護されたTRACKING AREA UPDATE REQUESTメッセージを送信し、マッピングされたEPSセキュリティ・コンテキストを導出すべきである。UEは、前記TRACKING AREA UPDATE REQUESTメッセージの中に、前記マッピングされたEPSセキュリティ・コンテキスト値を示すeKSIを含めるべきである。
eKSIを含むTRACKING AREA UPDATE REQUESTメッセージを受信した後、MMEから受信したEPSセキュリティ・コンテキストは、TRACKING AREA UPDATE REQUESTメッセージを、ソースAMFに転送する。ソースAMFは、eKSI値フィールドを、当該AMFで利用可能な5G NASセキュリティ・コンテキストを識別するために使用し、この5G NASセキュリティ・コンテキストを使って前記TRACKING AREA UPDATE REQUESTメッセージのMACを検証すべきである。検証が成功の場合、AMFは、上記5G NASセキュリティ・コンテキストから、マッピングされたEPSセキュリティ・コンテキストを導出し、これをMMEに送信すべきである。MMEは、次のいずれかによって、NASメッセージのセキュアな交換を再構築する:
i)マッピングされたEPSセキュリティ・コンテキストを使って完全性保護され暗号化されたTRACKING AREA UPDATE ACCEPTメッセージで返信する。その後は、UEとMMEとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、ATTACH REQUESTメッセージやTRACKING AREA UPDATE REQUESTメッセージのようなメッセージを除いて、UEとMMEとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
ii)セキュリティモード制御手続(security mode control procedure)を開始する。これはMMEによって用いられることができ、以前のEPSセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在のEPSセキュリティ・コンテキストを修正するかによって、用いられることができる。
[0073-4-2]
b)UEがネットワークから"interworking without N26 supported"(N26なしのインターワーキングがサポートされている)の標示を受信した場合、及びUEが、(N1モードからS1モードへPDUセッションを転送するために)要求タイプが"handover"(ハンドオーバ)にセットされたPDN CONNECTIVITY REQUESTメッセージを含む ATTACH REQUESTメッセージの送信をサポートする場合。
i)UEが有効なネイティブEPSセキュリティ・コンテキストを有する場合、前記UEは、そのネイティブEPSセキュリティ・コンテキストで完全性保護されATTACH REQUESTメッセージを送信するべきである。UEは、当該ATTACH REQUESTメッセージの中に、前記ネイティブEPSセキュリティ・コンテキスト値を示すeKSIを含めるべきである。
ii)UEが、有効なネイティブEPSセキュリティ・コンテキストを有さない場合、前記UEは、完全性保護及び暗号化なしで、ATTACH REQUESTメッセージを送信すべきである。
ATTACH REQUESTメッセージを受信した後、MMEから受信したEPSセキュリティ・コンテキストは、アタッチ手続を進めるべきである。
[0073-5]
N1モードからN1モードへのハンドオーバの間、次によって、AMFとUEとの間にNASメッセージのセキュアな交換が確立される。
a)ターゲットAMFから、N1モードからN1モードへのハンドオーバをトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータが送信される。UEはこれらのパラメータを、新しい5G NASセキュリティ・コンテキストを生成するために使用する。
[0073-6]
NASメッセージのセキュアな交換は、N1モードからN1モードへのハンドオーバの後も継続される。これは、5GMM-CONNECTEDにおけるN1モードからS1モードへのシステム間変更が終了した後に、又はNASシグナリング接続が解放された後に、終了する。
5GMM-IDLEモードのUEが、新しいNASシグナリング接続を確立し、有効な最新の5G NASセキュリティ・コンテキストを有する場合、前記UEは、前記最新の5G NASセキュリ ティ・コンテキストで完全性保護された最初のNASメッセージ(initial NAS message)を送信すべきである。UEは、前記最初のNASメッセージの中に、前記最新の5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。AMFは、前記最初のNASメッセージに含まれるngKSIが、該AMFで利用可能な5G NASセキュリティ・コンテキストに属するかどうかを検査するべきである。また、前記NASメッセージのMACを検証すべきである。この検証が成功である場合、AMFは、次によって、NASメッセージのセキュアな交換を再確立してもよい。
a)前記最新の5G NASセキュリティ・コンテキストを使って完全性保護され暗号化された NASメッセージで返信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
b)セキュリティモード制御手続(security mode control procedure)を開始する。これはAMFによって用いられることができ、以前の5G NASセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在の5G NASセキュリティ・コンテキストを修正するかによって、用いられることができる。
Claims (10)
- アイドルモードシステム間変更におけるUEにおける方法であって、前記UEはシングルレジストレーションモードにあり、前記方法は、次の条件:
条件a)
・ ソースセルラネットワークがe-UTRANであり、
・ ターゲットセルラネットワークが5GSのng-RANであり、
・ 前記UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ 前記UEは緊急ベアラサービスのためのPDN接続を有しており、
・ 前記UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPSセキュリティ・コンテキストを有し、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件b)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件c)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない;
条件d)
・ ソースセルラネットワークがng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、前記UEが受け取っており、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ 前記UEは有効なネイティブEPSセキュリティ・コンテキストを有する;
の1つが満たされる場合、アイドルモードシステム間変更における既存のセキュリティ・コンテキストから、ターゲットネットワークのための新しい最初のNASメッセージについての暗号保護を導出することを含む、方法。 - 前記S1モードは、UEに、4Gアクセスネットワーク経由で4Gコアネットワークにアクセスすることを可能にするモードであり、前記N1モードは、UEに、5Gアクセスネットワーク経由で5Gコアネットワークにアクセスすることを可能にするモードである、請求項1に記載の方法。
- 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間の前記シグナリングチャネルはN26インタフェースである、請求項1又は2に記載の方法。
- 請求項1から3のいずれかに記載の方法であって、条件a)の場合、前記暗号保護は、最新のEPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストによって、REGISTRATION REQUESTメッセージを完全性保護することを含む、方法。
- 条件b)又は条件c)の場合、前記暗号保護は、最新の5G NASセキュリティ・コンテキストによって、TRACKING AREA UPDATE REQUESTメッセージを完全性保護することである、請求項1から4のいずれかに記載の方法。
- UEであって、次の条件:
条件a)
・ ソースセルラネットワークがe-UTRANであり、
・ ターゲットセルラネットワークが5GSのng-RANであり、
・ 前記UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ 前記UEは緊急ベアラサービスのためのPDN接続を有しており、
・ 前記UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPSセキュリティ・コンテキストを有し、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件b)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件c)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない;
条件d)
・ ソースセルラネットワークがng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、前記UEが受け取っており、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ 前記UEは有効なネイティブEPSセキュリティ・コンテキストを有する;
の1つが満たされる場合、アイドルモードシステム間変更における既存のセキュリティ・コンテキストから、ターゲットネットワークのための新しい最初のNASメッセージについての暗号保護を導出する手段を有する、UE。 - 前記S1モードは、UEに、4Gアクセスネットワーク経由で4Gコアネットワークにアクセスすることを可能にするモードであり、前記N1モードは、UEに、5Gアクセスネットワーク経由で5Gコアネットワークにアクセスすることを可能にするモードである、請求項6に記載のユーザ装置。
- 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間の前記シグナリングチャネルはN26インタフェースである、請求項6又は7に記載のユーザ装置。
- 条件a)の場合、前記暗号保護は、最新のEPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストによって、REGISTRATION REQUESTメッセージを完全性保護することを含む、請求項6から8のいずれかに記載のユーザ機器。
- 条件b)又は条件c)の場合、前記暗号保護は、最新の5G NASセキュリティ・コンテキストによって、TRACKING AREA UPDATE REQUESTメッセージを完全性保護することである、請求項6から9のいずれかに記載のユーザ機器。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/FI2018/050714 WO2020070371A1 (en) | 2018-10-04 | 2018-10-04 | Method and apparatus for security context handling during inter-system change |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022501973A JP2022501973A (ja) | 2022-01-06 |
JP7192107B2 true JP7192107B2 (ja) | 2022-12-19 |
Family
ID=70054692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021517968A Active JP7192107B2 (ja) | 2018-10-04 | 2018-10-04 | システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20210385722A1 (ja) |
EP (1) | EP3861791A4 (ja) |
JP (1) | JP7192107B2 (ja) |
CN (1) | CN113170369A (ja) |
BR (1) | BR112021006297A2 (ja) |
PH (1) | PH12021550731A1 (ja) |
WO (1) | WO2020070371A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220286923A1 (en) * | 2019-08-14 | 2022-09-08 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for delivery of inter-system non-access stratum (nas) security algorithms |
WO2021032610A1 (en) * | 2019-08-19 | 2021-02-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Amf re-allocation due to slicing |
CN113260015B (zh) * | 2021-05-11 | 2022-11-18 | 中国联合网络通信集团有限公司 | 任务处理方法及接入和移动性管理功能实体 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009150493A1 (en) * | 2008-06-13 | 2009-12-17 | Nokia Corporation | Methods, apparatuses, and computer program products for providing fresh security context during intersystem mobility |
WO2010019020A2 (ko) * | 2008-08-15 | 2010-02-18 | 삼성전자주식회사 | 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 |
US10588105B2 (en) * | 2017-01-12 | 2020-03-10 | Lg Electronics Inc. | Method and user equipment device for registering in wireless communication system |
EP3574667B1 (en) * | 2017-01-30 | 2021-02-24 | Telefonaktiebolaget LM Ericsson (PUBL) | Methods and apparatueses for security management before handover from 5g to 4g system |
BR112019015387B1 (pt) * | 2017-01-30 | 2020-11-03 | Telefonaktiebolaget Lm Ericsson (Publ) | manuseio de contexto de segurança em 5g durante modo conectado |
-
2018
- 2018-10-04 EP EP18936081.1A patent/EP3861791A4/en active Pending
- 2018-10-04 CN CN201880099980.1A patent/CN113170369A/zh active Pending
- 2018-10-04 US US17/281,778 patent/US20210385722A1/en active Pending
- 2018-10-04 BR BR112021006297A patent/BR112021006297A2/pt unknown
- 2018-10-04 JP JP2021517968A patent/JP7192107B2/ja active Active
- 2018-10-04 WO PCT/FI2018/050714 patent/WO2020070371A1/en active Application Filing
-
2021
- 2021-04-01 PH PH12021550731A patent/PH12021550731A1/en unknown
Non-Patent Citations (3)
Title |
---|
3rd Generation Partnership Project,Technical Specification Group Core Network and Terminals; Non-Access-Stratum (NAS) protocol for 5G System (5GS); Stage 3 (Release 15),3PPP TS 24.501 V15.1.0 (2018-09),2918年09月21日,Pages 29-34, 53-56, 95-98, 291-292 |
Ericsson,Corrections and clarifications to interworking clauses[online],3GPP TSG SA WG3 #92 S3-182581,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_92_Dalian/Docs/S3-182581.zip>,2018年08月24日 |
Qualcomm Incorporated, Deutsche Telekom,Support for partial ciphering for initial NAS messages[online],3GPP TSG CT WG1 #111bis C1-184608,Internet<URL:https://www.3gpp.org/ftp/tsg_ct/WG1_mm-cc-sm_ex-CN1/TSGC1_111bis_Sophia-Antipolis/Docs/C1-184608.zip>,2018年07月13日 |
Also Published As
Publication number | Publication date |
---|---|
PH12021550731A1 (en) | 2021-10-25 |
US20210385722A1 (en) | 2021-12-09 |
CN113170369A (zh) | 2021-07-23 |
EP3861791A4 (en) | 2022-05-04 |
BR112021006297A2 (pt) | 2021-07-06 |
EP3861791A1 (en) | 2021-08-11 |
WO2020070371A1 (en) | 2020-04-09 |
JP2022501973A (ja) | 2022-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11695742B2 (en) | Security implementation method, device, and system | |
US10455414B2 (en) | User-plane security for next generation cellular networks | |
US11825303B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
JP2022502908A (ja) | Nasメッセージのセキュリティ保護のためのシステム及び方法 | |
JP2013546260A (ja) | セキュアユーザプレーンロケーション(supl)システムにおける認証 | |
WO2009152755A1 (zh) | 密钥身份标识符的生成方法和系统 | |
US11082843B2 (en) | Communication method and communications apparatus | |
WO2015096138A1 (zh) | 分流方法、用户设备、基站和接入点 | |
JP7192107B2 (ja) | システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 | |
WO2021244509A1 (zh) | 数据传输方法和系统、电子设备及计算机可读存储介质 | |
WO2017133021A1 (zh) | 一种安全处理方法及相关设备 | |
WO2014169451A1 (zh) | 数据传输方法和装置 | |
WO2021244569A1 (zh) | 数据传输方法、系统、电子设备、存储介质 | |
EP4262257A1 (en) | Secure communication method and device | |
WO2019219209A1 (en) | Establishing new ipsec sas | |
WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
US20220345883A1 (en) | Security key updates in dual connectivity | |
WO2015165250A1 (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
WO2011143977A1 (zh) | 终端移动到增强通用陆地无线接入网络(utran)时建立增强密钥的方法及系统 | |
WO2020029745A1 (zh) | 数据传输方法和设备 | |
KR101670743B1 (ko) | 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치 | |
WO2021073382A1 (zh) | 注册方法及装置 | |
GB2551358A (en) | Low latency security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210414 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210414 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220420 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220422 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220719 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220920 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221017 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221207 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7192107 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |