JP7192107B2 - システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 - Google Patents
システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 Download PDFInfo
- Publication number
- JP7192107B2 JP7192107B2 JP2021517968A JP2021517968A JP7192107B2 JP 7192107 B2 JP7192107 B2 JP 7192107B2 JP 2021517968 A JP2021517968 A JP 2021517968A JP 2021517968 A JP2021517968 A JP 2021517968A JP 7192107 B2 JP7192107 B2 JP 7192107B2
- Authority
- JP
- Japan
- Prior art keywords
- cellular network
- mode
- security context
- mobility management
- management entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 42
- 230000001413 cellular effect Effects 0.000 claims description 90
- 230000011664 signaling Effects 0.000 claims description 36
- 230000008859 change Effects 0.000 claims description 21
- 238000012546 transfer Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 38
- 230000015654 memory Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000010267 cellular communication Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229920000642 polymer Polymers 0.000 description 1
- 239000007784 solid electrolyte Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/32—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/06—De-registration or detaching
Description
様々な例示的実施形態は、システム間変更中のセキュリティ・コンテキストを扱うことに関する。
本節では、有用な背景情報を紹介する。ただし、本願の技術水準を説明することは意図されていない。
携帯電話は、移動音声通信デバイスから、様々な能力を備えるコンピュータへと発展してきた。無線データ通信は高いデータ転送能力を必要とし、特にインターネット分野ではそうである。携帯電話の標準規格はGSMの2Gから5Gへと発展している。5Gでは非常に早いデータ転送能力を備えることや、相互に通信するサービスとして機能することが求められている。
5Gでもそれ以前の世代でも、携帯電話通信のプライバシーや説明責任(accountability)は必要であることは変わりない。これらは、加入者の認証や、(課金を含む)電話通信の認可、通信の保護のために、暗号技術を使うことによって守られてきた。これらの技術は、コアネットワークにおける信号のやり取りや、基地局と携帯電話ネットワークの間の無線インタフェース上の信号のやり取りを必要とする。コアネットワークは、携帯電話ネットワークのインフラを含み、インフラを管理する。
これらの信号のやり取りには計算資源のコストを必要とし、限定された信号伝達リソースが用いられる。無線インタフェースにおいては、信号伝達リソースは非常に重要である。なぜなら、ユーザデータの転送以外の全てに利用される各シンボルが、ユーザデータの転送能力を小さくしてしまうからである。
これらの信号のやり取りには計算資源のコストを必要とし、限定された信号伝達リソースが用いられる。無線インタフェースにおいては、信号伝達リソースは非常に重要である。なぜなら、ユーザデータの転送以外の全てに利用される各シンボルが、ユーザデータの転送能力を小さくしてしまうからである。
3GPP 5Gは、セルのサイズを小さくすることによっても、無線データ通信速度を向上させようとしている。このことは、セルとセルとの間のギャップの数が増えるだろうことを意味している。4G技術は、5G技術が利用できない時に適切なデータアクセスを提供する代替システムとして運用されることが想定されている。5Gセルの末端領域においては、4Gネットワークと5Gネットワークの間のハンドオーバが繰り返される可能性がある。このため、コアネットワーク内で、また無線アクセスシステムの中で、シグナリングの量が急速に増加する可能性がある。また、5Gネットワークでは緊急通信サービスが提供されない可能性がある一方、4Gネットワークは緊急通信サービスをサポートする能力を有する。そのような能力を有するため、特に5Gネットワーク構築の初期段階において、4Gネットワークを代替システムとしてすることは好ましいことである。
本発明の種々の例示的態様は特許請求の範囲に提示されている。
本発明の第1の例示的側面によれば、アイドルモードシステム間変更(idle mode inter-system change)におけるユーザ機器(UE)における方法が提供される。ここでUEは、シングルレジストレーションモード(single registration mode)にある。前記方法は、
次の1つ又は複数の条件が満たされる場合、アイドルモードシステム間変更の既存のセキュリティ・コンテキストから、ターゲットネットワークのための新しい最初のNASメッセージ(non-access stratumメッセージ,非アクセス層メッセージ)についての暗号保護(cryptographic protection)を導出することを含む。
条件a)
・ ソースセルラネットワークがe-UTRAN(evolved Universal Terrestrial Radio Access Networ)であり、
・ 前記ターゲットセルラネットワークがng-RAN(Next Generation Radio Access Network)であり、
・ 前記UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ 前記UEは緊急ベアラサービスのためのPDN(パケットデータネットワーク)接続を有しており、
・ 前記UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPS(Evolved Packet System,発展型パケットシステム)セキュリティ・コンテキストを有し、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている。
・ ソースセルラネットワークがe-UTRAN(evolved Universal Terrestrial Radio Access Networ)であり、
・ 前記ターゲットセルラネットワークがng-RAN(Next Generation Radio Access Network)であり、
・ 前記UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ 前記UEは緊急ベアラサービスのためのPDN(パケットデータネットワーク)接続を有しており、
・ 前記UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPS(Evolved Packet System,発展型パケットシステム)セキュリティ・コンテキストを有し、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている。
条件b)
・ 前記ソースセルラネットワークng-RANであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている。
・ 前記ソースセルラネットワークng-RANであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている。
条件c)
・ 前記ソースセルラネットワークng-RANであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記UEは、PDU(Protocol Date Unit,プロトコルデータユニット)セッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない。
・ 前記ソースセルラネットワークng-RANであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記UEは、PDU(Protocol Date Unit,プロトコルデータユニット)セッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない。
条件d)
・ 前記ソースセルラネットワークng-RANがであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、前記UEが受け取っており、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ 前記UEは有効なネイティブEPSセキュリティ・コンテキストを有する。
・ 前記ソースセルラネットワークng-RANがであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、前記UEが受け取っており、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ 前記UEは有効なネイティブEPSセキュリティ・コンテキストを有する。
前記第1の例示的側面の方法は、次の条件のいずれかを除外してもよい。
a);
b);
c);
d);
a)及びb);
a)及びc);
a)及びd);
b)及びc);
b)及びd);
a)及びb)及びc);
a)及びc)及びd);
b)及びc)及びd)。
a);
b);
c);
d);
a)及びb);
a)及びc);
a)及びd);
b)及びc);
b)及びd);
a)及びb)及びc);
a)及びc)及びd);
b)及びc)及びd)。
前記S1モードは、UEに、4Gアクセスネットワークを通じて4Gコアネットワークにアクセスすることを可能にするモードであってもよい。前記N1モードは、UEに、5Gアクセスネットワークを通じて5Gコアネットワークにアクセスすることを可能にするモードであってもよい。
前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間の前記シグナリングチャネルは、N26インタフェースであってもよい。前記5Gネットワークのモビリティ管理エンティティは、AMF(Access and Mobility management Function,アクセス及びモビリティ管理機能)に相当してもよい。
条件a)の場合、前記暗号保護は、最新のEPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストによって、REGISTRATION REQUESTメッセージを完全性保護すること(integrity protecting)であってもよい。このときオプションで、前記REGISTRATION REQUESTメッセージを部分的に暗号化(ciphering)してもよい。条件a)で定義された前記標示は、前記ソースセルラネットワーク又は前記ターゲットセルラネットワークから受信してもよいし、前記ソースセルラネットワークと前記ターゲットセルラネットワークの両方から受信してもよい。前記null integrity protectionアルゴリズムはEIA0であってもよく、前記null cipheringアルゴリズムはEEA0であってもよい。
条件b)の場合、前記暗号保護は、最新の5G NASセキュリティ・コンテキストによって、TRACKING AREA UPDATE REQUESTメッセージを完全性保護することであってもよい。条件b)で定義された前記標示は、前記ソースセルラネットワーク又は前記ターゲットセルラネットワークから受信してもよいし、前記ソースセルラネットワークと前記ターゲットセルラネットワークの両方から受信してもよい。
条件c)の場合、前記暗号保護は、最新の5G NASセキュリティ・コンテキストによって、TRACKING AREA UPDATE REQUESTメッセージを完全性保護することであってもよい。
条件d)の場合、前記暗号保護は、有効なネイティブEPSセキュリティ・コンテキストによって、ATTACH REQUESTメッセージを完全性保護することであってもよい。条件d)で定義された前記標示は、前記ソースセルラネットワーク又は前記ターゲットセルラネットワークから受信してもよいし、前記ソースセルラネットワークと前記ターゲットセルラネットワークの両方から受信してもよい。
前記ng-RANは、3GPP 5G release 15に準拠するものであってもよい。
本発明の第2の例示的側面によれば、e-UTRANからng-RANへのUEのアイドルモードシステム間変更を取り扱うための、AMFにおける方法が提供される。ここで前記UEは、シングルレジストレーションモードにある。前記方法は、
次の1つ又は複数の条件が満たされる場合、アイドルモードシステム間変更において、EPSのソースMME(Mobility Management Entity,モビリティ管理エンティティ)に保持されているEPSセキュリティ・コンテキストである、マッピングされた5G NASセキュリティ・コンテキストを、ソースセルラネットワークから導出することを含む。
条件1)
・ 前記AMFが前記UEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
・ 前記AMFが前記UEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
条件2)
・ 前記EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズム(例えばEIA0及びEEA0にセットされたNASセキュリティアルゴリズム)を含む。
・ 前記EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズム(例えばEIA0及びEEA0にセットされたNASセキュリティアルゴリズム)を含む。
条件3)
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
条件4)
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
前記方法は、マッピングされたセキュリティ・コンテキストを導出する前に、完全性保護及び暗号化なしのREGISTRATION REQUESTメッセージを受信することを含む。
前記方法は更に、前記完全性保護及び暗号化なしのREGISTRATION REQUESTメッセージを受信した後に、前記AMFが、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成することか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意(primary Authentication and Key Agreement)手続をトリガすることを含む。特に、条件1)か3)が満たされる場合、前記AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成することと、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意手続をトリガすることとのいずれかを選択してもよい。
前記第2の例示的側面の方法は、次の条件のいずれかを除外してもよい。
1);
2);
3);
4);
1)及び2);
1)及び3);
1)及び4);
2)及び3);
2)及び4);
1)及び2)及び3);
1)及び3)及び4);
2)及び3)及び4)。
1);
2);
3);
4);
1)及び2);
1)及び3);
1)及び4);
2)及び3);
2)及び4);
1)及び2)及び3);
1)及び3)及び4);
2)及び3)及び4)。
第3の例示的側面によると、前記第1の例示的側面及び前記第2の例示的側面を含むプロセスが提供される。
第4の例示的側面によると、少なくとも1つのプロセッサと、コンピュータ実行可能なプログラム命令を格納するメモリとを備えるユーザ装置が提供される。ここで前記プログラム命令は、前記少なくとも1つのプロセッサに実行されると、前記ユーザ装置に、前記第1の例示的側面の方法を遂行させるように構成される。
第5の例示的側面によると、少なくとも1つのプロセッサと、コンピュータ実行可能なプログラム命令を格納するメモリとを備えるAMFが提供される。ここで前記プログラム命令は、前記少なくとも1つのプロセッサに実行されると、前記AMFに、前記第2の例示的側面の方法を遂行させるように構成される。
第6の例示的側面によれば、e-UTRANからng-RANへのUEのアイドルモードシステム間変更を取り扱うように構成される、AMF(Access and Mobility management Function,アクセス及びモビリティ管理機能)が提供される。ここで前記UEは、シングルレジストレーションモードにある。前記AMFは、
e-UTRANを含むEPSと通信する手段及び前記UEと通信する手段と;
次の1つ又は複数の条件が満たされる場合、アイドルモードシステム間変更において、前記EPSのソースMMEに保持されているEPSセキュリティ・コンテキストである、マッピングされたng-RAN(Next Generation Radio Access Network,次世代無線アクセスネットワーク)NASセキュリティ・コンテキストを、ソースセルラネットワークから導出する手段と;
を備える。
を備える。
条件1)
・ 前記AMFが前記UEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
・ 前記AMFが前記UEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
条件2)
・ 前記EPSのモビリティ管理エンティティとng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
・ 前記EPSのモビリティ管理エンティティとng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
条件3)
・ 前記EPSのモビリティ管理エンティティと前記ng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
・ 前記EPSのモビリティ管理エンティティと前記ng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
条件4)
・ 前記EPSのモビリティ管理エンティティと前記ng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
・ 前記EPSのモビリティ管理エンティティと前記ng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
前記第5の側面又は前記第6の側面のAMFは、仮想化技術を使用して実装されうる。前記AMFを実装する構成の少なくともいくつかは、仮想化サーバによって提供されてもよい。
前記第5の側面又は前記第6の側面のAMFは、クラスタ処理技術を使用して実装されうる。前記AMFを実装する構成の少なくともいくつかは、クラスタ処理装置によって提供されてもよい。
前記第5の側面又は前記第6の側面のAMFは、クラウドコンピューティングを使用して実装されうる。前記AMFを実装する構成の少なくともいくつかは、クラウドコンピューティングシステムによって提供されてもよい。
本発明の第7の例示的側面によれば、前記第4の例示的側面のUEと、前記第5又は第6の側面のAMFとを含むシステムが提供される。
このシステムは更に、e-UTRANのMMEを含んでもよい。
本発明の第8の例示的側面によれば、コンピュータ実行可能なプログラム命令を備えるコンピュータプログラムが提供される。前記プログラム命令は、前記第1又は第2の側面の方法を遂行させるように構成される。
前記コンピュータプログラムは、コンピュータ読み取り可能な記憶媒体に格納されていてもよい。
前記記憶媒体は、データディスクやディスケット、光学記憶装置、磁気記憶装置、ホログラフィック記憶装置、光磁気記憶装置、相変化メモリ、抵抗変化型ランダムアクセスメモリ、磁気ランダムアクセスメモリ、固体電解質メモリ、強誘電体メモリ、有機メモリ、高分子メモリ等のデジタルデータ記憶装置を有してもよい。これらのメモリ媒体は、記憶以外の機能は事実上備えていないようなデバイスとして実装されてもよく、または、様々な機能を有する装置の一部として実装されてもよい。例えば、限定するわけではないが、コンピュータやチップセット、電子機器のサブアセンブリのメモリとして実装されてもよい。
本発明の様々な側面及び実施形態を示したが、これらは発明の範囲を限定するために提示されたものではない。これらの例は、本発明の実施において利用される可能性のある特徴やステップを、いくつか選択して説明したものに過ぎない。いくつかの具現化形態は、本発明の例示的な側面のあるものを参照してのみ示されるかもしれない。そのため、対応する実施形態が他の例示的側面にも適用可能であることを理解すべきである。
本発明の例示的実施形態をよりよく理解できるように、次の添付図面を参照しつつ説明する。
本発明の例示的実施形態とそれらが提供しうる利点は、添付の図1から図4を参照して理解される。本明細書及び図面では、同様の要素や方法ステップには同様の引用符号が使われる。
図1は、ある例示的実施形態のシステム100の構造を説明するための図である。図1は、5GSとEPC/E-UTRANとのインターワーキングのための非ローミング・アーキテクチャを示す。例示的実施形態を説明するために有用ないくつかのネットワーク要素やインタフェースが示されている。図1には、EPS(Evolved Packet System,発展型パケットシステム)160と5GS(第5世代システム)170のインターワーキングに関連する、EPS160と5GS170の対応する要素が描かれている。EPSと5GSとは、例えば共有の実行プラットフォームによって、共有の機能性を実装することができる。しかし実装時において、必ずしも対応尾する機能性を有する必要はない。
図1において、ユーザ機器110は、e-UTRAN(evolved Universal Terrestrial Radio Access Networ)120を備えるセルラネットワークと、ng-RAN(Next Generation Radio Access Network)130を備えるセルラネットワークのそれぞれと、無線アクセスを有する。EPS160は、e-UTRANと、EPC(LTE世代のコアネットワーク)の要素、例えばMME(Mobility Management Entity,モビリティ管理エンティティ)140とを有する。
5GS170は、ng-RANと、5Gコアネットワーク、例えばAMF(Access and Mobility management Function,アクセス及びモビリティ管理機能)150とを有する。
図2は、アイドルモードシステム間変更(idle mode inter-system change)のユーザ機器(UE)の例示的実施形態の処理200のフローチャートを示す。ここでUEは、シングルレジストレーションモード(single registration mode)にある。
次の1つ又は複数の条件が満たされる場合、アイドルモードシステム間変更の既存のセキュリティ・コンテキストから、ターゲットネットワークのための新しい最初の(initial)NASメッセージ(non-access stratumメッセージ,非アクセス層メッセージ)についての暗号保護(cryptographic protection)を導出する(210)。
(220)条件a)
・ ソースセルラネットワークがe-UTRANであり、
・ ターゲットセルラネットワークがng-RANであり、
・ UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ UEは緊急ベアラサービスのためのPDN(パケットデータネットワーク)接続を有しており、
・ UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPSセキュリティ・コンテキストを有し、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、UEが受け取っている。
・ ソースセルラネットワークがe-UTRANであり、
・ ターゲットセルラネットワークがng-RANであり、
・ UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ UEは緊急ベアラサービスのためのPDN(パケットデータネットワーク)接続を有しており、
・ UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPSセキュリティ・コンテキストを有し、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、UEが受け取っている。
(230)条件b)
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、UEが受け取っている。
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、UEが受け取っている。
(240)条件c)
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない。
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない。
(250)条件d)
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、UEが受け取っており、
・ UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ UEは有効なネイティブEPSセキュリティ・コンテキストを有する。
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、UEが受け取っており、
・ UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ UEは有効なネイティブEPSセキュリティ・コンテキストを有する。
図3は、e-UTRANからng-RANへのUEのアイドルモードシステム間変更(idle mode inter-system change)を取り扱うための、AMFにおける例示的実施形態の処理のフローチャートを示す。ここでUEは、シングルレジストレーションモード(single registration mode)にある。この処理は、
次の1つ又は複数の条件が満たされる場合、アイドルモードシステム間変更において、EPSのソースMMEに保持されているEPSセキュリティ・コンテキストである、マッピングされた5G NASセキュリティ・コンテキストを、ソースセルラネットワークから導出することを含む(310)。
(320)条件1)
・ AMFがUEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
・ AMFがUEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
(330)条件2)
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズム(例えばEIA0及びEEA0にセットされたNASセキュリティアルゴリズム)を含む。
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズム(例えばEIA0及びEEA0にセットされたNASセキュリティアルゴリズム)を含む。
(340)条件3)
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
(350)条件4)
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
前記処理は、マッピングされたセキュリティ・コンテキストを導出する前に、完全性保護及び暗号化なしのREGISTRATION REQUESTメッセージを受信することを含む。
図4は、本発明のある実施形態に従う装置300のブロック図を示している。
装置400はメモリ440を備える。メモリ440は、コンピュータプログラム命令450を不揮発性に保持している。また装置400はプロセッサ420を備える。プロセッサ220は、コンピュータプログラム命令440を用いて装置400の動作を制御する。装置400は更に、他のノードと通信するための通信ユニット410を備える。通信ユニット41は例えば、ローカルエリアネットワーク(LAN)ポート、無線ローカルエリアネットワーク(WLAN)ユニット、ブルートゥース(登録商標)ユニット、セルラデータ通信ユニット、衛星データ通信ユニットを備える。プロセッサ420は例えば、主制御ユニット(MCU)、マイクロプロセッサ、デジタルシグナルプロセッサ(DSP)、特定用途向け集積回路(ASIC)、FPGA、マイクロコントローラ、の一つ又は複数を備える。装置400はユーザインタフェース(U/I)430を更に備えてもよい。
次に、3GPP TS 24.501 V15.1.0の第4.4.2.5節、"Establishment of secure exchange of NAS messages"(NASメッセージのセキュアな交換の確立)の状況を用いて、ある非限定的な例示的ユースケースを説明する。 NASシグナリング接続を介するNASメッセージのセキュアな交換は通常、レジストレーション手続の間にセキュアモード制御手続(security mode control procedure)を開始することによって、AMFによって確立される。セキュアモード制御手続が成功裏に完了すると、UEとAMFとの間で交換される全てのNASメッセージが、現在の5Gセキュリティアルゴリズムを使って完全性保護されて(integrity protected)送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、現在の5Gセキュリティアルゴリズムを使って暗号化されて(ciphered )送信される。
[0073-1]
5GMM-CONNECTEDモードにおけるS1モードからN1モードへのシステム間変更(inter-system change)の間、次のa)及びb)によって、AMFとUEとの間にNASメッセージのセキュアな交換が確立される。
a)AMFから、5GMM-CONNECTEDモードにおいてシステム間変更をトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータを送信する。UEはこれらのパラメータを、マッピングされた5G NASセキュリティ・コンテキストを生成するために使用する。
b)5GMM-CONNECTEDモードにおけるシステム間変更の後、UEからAMFにREGISTRATION REQUESTメッセージを送信する。UEはこのメッセージを、マッピングされた5G NASセキュリティ・コンテキストを用いて完全性保護して(integrity protected)送信するべきである。しかし、暗号化しないで(unciphered)送信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされた5G NASセキュリティ・コンテキストを使って完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされた5G NASセキュリティ・コンテキストを使って暗号化されて送信される。
[0073-2]
5GMM-IDLEモードにおけるS1モードからN1モードへのシステム間変更の間、UEはシングルレジストレーションモード(single registration mode)で動作する。また次の通りである。
[0073-2-1]
a)UEが有効なネイティブ5G NASセキュリティ・コンテキストを有する場合、UEは、そのネイティブ5G NASセキュリティ・コンテキストで完全性保護されたREGISTRATION REQUESTメッセージを送信するべきである。UEは、当該REGISTRATION REQUESTメッセージの中に、当該ネイティブ5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。
ネイティブ5G NASセキュリティ・コンテキスト値を示すngKSIを含んだ前記REGISTRATION REQUESTメッセージを受診した後、AMFは、前記REGISTRATION REQUESTメッセージに含まれるngKSIが、AMFで利用可能な5G NASセキュリティ・コンテキストに属するかどうかをチェックすると共に、前記REGISTRATION REQUESTメッセージのMACを検証すべきである。検証が成功である場合、AMFは、ソースMMEから受信したEPSセキュリティ・コンテキストがあればそれを削除し、次のいずれかによって、NASメッセージのセキュアな交換を再確立する。
i)上記ネイティブ5G NASセキュリティ・コンテキストを使って完全性保護され暗号化されたREGISTRATION ACCEPTメッセージで返信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
ii)セキュリティモード制御手続(security mode control procedure)を開始する。これはAMFによって用いられることができ、以前の5G NASセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在の5G NASセキュリティ・コンテキストを修正するかによって、用いられることができる。
[0073-2-2]
b)UEが有効な5G NASセキュリティ・コンテキストを有していない場合は、次の通りである。
i)UEが緊急ベアラサービスのためのPDN接続を有していないか、UEは最新のEPSセキュリティ・コンテキストを有しているが、そのEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいないか、又はUEがネットワークから"interworking without N26 supported"(N26なしのインターワーキングがサポートされている)との標示を受信した場合、UEは、完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを送信すべきである。
完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを受信した後、
1)N26なしのインターワーキングがサポートされていない場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成するか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意(primary Authentication and Key Agreement)手続をトリガするべきである。
2)N26なしのインターワーキングがサポートされている場合、AMFは、プライマリ認証及び鍵合意手続をトリガするべきである。
新しく作成された5G NASセキュリティ・コンテキストは、セキュリティモード制御手続を開始することによって使用に供される。この5G NASセキュリティ・コンテキストは、UEとAMFの両方において、最新の5G NASセキュリティ・コンテキストとなる。これは、NASメッセージのセキュアな交換を再構築する。
ii)UEが緊急ベアラサービスのためのPDN接続を有していて、UEは最新のEPSセキュリティ・コンテキストを有していて、そのEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでおり、UEがネットワークから"interworking without N26 not supported"(N26なしのインターワーキングがサポートされていない)との標示を受信した場合、UEは、マッピングされた5G NASセキュリティ・コンテキストを現在のEPSセキュリティ・コンテキストから導出すると共に、マッピングされた5G NASセキュリティ・コンテキストで完全性保護されたREGISTRATION REQUESTメッセージを送信すべきである。UEは、当該REGISTRATION REQUESTメッセージの中に、前記マッピングされた5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。
マッピングされた5G NASセキュリティ・コンテキスト値"000"を示すngKSIを含んだREGISTRATION REQUESTメッセージを受信した後、N26なしのインターワーキングをサポートしていないAMFは、EPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストを導出し、受信したREGISTRATION REQUESTメッセージに含まれるngKSIが、先に導出した、マッピングされた5G NASセキュリティ・コンテキストのngKSI に合致するかどうかを検査すべきである。検査が成功であると、AMFは、マッピングされた5G NASセキュリティ・コンテキストを使って完全性保護及び暗号化したREGISTRATION ACCEPTメッセージで返信することにより、NASメッセージのセキュアな交換を再構築する。
[0073-2-3]
b)UEが、有効なネイティブ5G NASセキュリティ・コンテキストを有さない、シングルレジストレーションモードで動作している場合、当該UEは、完全性保護及び暗号化なしで、REGISTRATION REQUESTメッセージを送信すべきである。
完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを受信した後、
i)N26なしのインターワーキングがサポートされていない場合:
1)ソースMMEから受信したEPSセキュリティ・コンテキストが、EIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいない場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成するか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意(primary Authentication and Key Agreement)手続をトリガするべきである。
2)ソースMMEから受信したEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいる場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成すべきである。
ii)N26なしのインターワーキングがサポートされている場合、AMFは、プライマリ認証及び鍵合意手続をトリガするべきである。
新しく作成された5G NASセキュリティ・コンテキストは、セキュリティモード制御手続を開始することによって使用に供される。この5G NASセキュリティ・コンテキストは、UEとAMFの両方において、最新の5G NASセキュリティ・コンテキストとなる。これは、NASメッセージのセキュアな交換を再構築する。
[0073-3]
5GMM-CONNECTEDモードにおけるN1モードからS1モードへのシステム間変更の間、次によって、MMEとUEとの間にNASメッセージのセキュアな交換が確立される。
a)AMFから、5GMM-CONNECTEDモードにおいてシステム間変更をトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータを送信する。UEはこれらのパラメータを、マッピングされたEPSセキュリティ・コンテキストを生成するために使用する。
b)5GMM-CONNECTEDモードにおけるシステム間変更の後、UEからMMEにTRACKING AREA UPDATE REQUESTメッセージが送信される。UEはこのメッセージを、マッピングされたEPSセキュリティ・コンテキストを用いて完全性保護して送信するべきである。しかし、暗号化しないで送信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされたEPSセキュリティ・コンテキストを使って完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされたEPSセキュリティ・コンテキストを使って暗号化されて送信される。
[0073-4]
5GMM-IDLEモードにおけるN1モードからS1モードへのシステム間変更の間、UEはシングルレジストレーションモード(single registration mode)で動作する。また次の通りである。
[0073-4-1]
a)UEがネットワークから"interworking without N26 not supported"(N26なしのインターワーキングはサポートされていない)の標示を受信した場合、又はUEが、(N1モードからS1モードへPDUセッションを転送するために)要求タイプが"handover"(ハンドオーバ)にセットされたPDN CONNECTIVITY REQUESTメッセージを含む ATTACH REQUESTメッセージの送信をサポートしない場合、UEは、現在の5G NASセキュリティ・コンテキストによって完全性保護されたTRACKING AREA UPDATE REQUESTメッセージを送信し、マッピングされたEPSセキュリティ・コンテキストを導出すべきである。UEは、前記TRACKING AREA UPDATE REQUESTメッセージの中に、前記マッピングされたEPSセキュリティ・コンテキスト値を示すeKSIを含めるべきである。
eKSIを含むTRACKING AREA UPDATE REQUESTメッセージを受信した後、MMEから受信したEPSセキュリティ・コンテキストは、TRACKING AREA UPDATE REQUESTメッセージを、ソースAMFに転送する。ソースAMFは、eKSI値フィールドを、当該AMFで利用可能な5G NASセキュリティ・コンテキストを識別するために使用し、この5G NASセキュリティ・コンテキストを使って前記TRACKING AREA UPDATE REQUESTメッセージのMACを検証すべきである。検証が成功の場合、AMFは、上記5G NASセキュリティ・コンテキストから、マッピングされたEPSセキュリティ・コンテキストを導出し、これをMMEに送信すべきである。MMEは、次のいずれかによって、NASメッセージのセキュアな交換を再構築する:
i)マッピングされたEPSセキュリティ・コンテキストを使って完全性保護され暗号化されたTRACKING AREA UPDATE ACCEPTメッセージで返信する。その後は、UEとMMEとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、ATTACH REQUESTメッセージやTRACKING AREA UPDATE REQUESTメッセージのようなメッセージを除いて、UEとMMEとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
ii)セキュリティモード制御手続(security mode control procedure)を開始する。これはMMEによって用いられることができ、以前のEPSセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在のEPSセキュリティ・コンテキストを修正するかによって、用いられることができる。
[0073-4-2]
b)UEがネットワークから"interworking without N26 supported"(N26なしのインターワーキングがサポートされている)の標示を受信した場合、及びUEが、(N1モードからS1モードへPDUセッションを転送するために)要求タイプが"handover"(ハンドオーバ)にセットされたPDN CONNECTIVITY REQUESTメッセージを含む ATTACH REQUESTメッセージの送信をサポートする場合。
i)UEが有効なネイティブEPSセキュリティ・コンテキストを有する場合、前記UEは、そのネイティブEPSセキュリティ・コンテキストで完全性保護されATTACH REQUESTメッセージを送信するべきである。UEは、当該ATTACH REQUESTメッセージの中に、前記ネイティブEPSセキュリティ・コンテキスト値を示すeKSIを含めるべきである。
ii)UEが、有効なネイティブEPSセキュリティ・コンテキストを有さない場合、前記UEは、完全性保護及び暗号化なしで、ATTACH REQUESTメッセージを送信すべきである。
ATTACH REQUESTメッセージを受信した後、MMEから受信したEPSセキュリティ・コンテキストは、アタッチ手続を進めるべきである。
[0073-5]
N1モードからN1モードへのハンドオーバの間、次によって、AMFとUEとの間にNASメッセージのセキュアな交換が確立される。
a)ターゲットAMFから、N1モードからN1モードへのハンドオーバをトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータが送信される。UEはこれらのパラメータを、新しい5G NASセキュリティ・コンテキストを生成するために使用する。
[0073-6]
NASメッセージのセキュアな交換は、N1モードからN1モードへのハンドオーバの後も継続される。これは、5GMM-CONNECTEDにおけるN1モードからS1モードへのシステム間変更が終了した後に、又はNASシグナリング接続が解放された後に、終了する。
5GMM-IDLEモードのUEが、新しいNASシグナリング接続を確立し、有効な最新の5G NASセキュリティ・コンテキストを有する場合、前記UEは、前記最新の5G NASセキュリ ティ・コンテキストで完全性保護された最初のNASメッセージ(initial NAS message)を送信すべきである。UEは、前記最初のNASメッセージの中に、前記最新の5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。AMFは、前記最初のNASメッセージに含まれるngKSIが、該AMFで利用可能な5G NASセキュリティ・コンテキストに属するかどうかを検査するべきである。また、前記NASメッセージのMACを検証すべきである。この検証が成功である場合、AMFは、次によって、NASメッセージのセキュアな交換を再確立してもよい。
a)前記最新の5G NASセキュリティ・コンテキストを使って完全性保護され暗号化された NASメッセージで返信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
b)セキュリティモード制御手続(security mode control procedure)を開始する。これはAMFによって用いられることができ、以前の5G NASセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在の5G NASセキュリティ・コンテキストを修正するかによって、用いられることができる。
[0073-1]
5GMM-CONNECTEDモードにおけるS1モードからN1モードへのシステム間変更(inter-system change)の間、次のa)及びb)によって、AMFとUEとの間にNASメッセージのセキュアな交換が確立される。
a)AMFから、5GMM-CONNECTEDモードにおいてシステム間変更をトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータを送信する。UEはこれらのパラメータを、マッピングされた5G NASセキュリティ・コンテキストを生成するために使用する。
b)5GMM-CONNECTEDモードにおけるシステム間変更の後、UEからAMFにREGISTRATION REQUESTメッセージを送信する。UEはこのメッセージを、マッピングされた5G NASセキュリティ・コンテキストを用いて完全性保護して(integrity protected)送信するべきである。しかし、暗号化しないで(unciphered)送信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされた5G NASセキュリティ・コンテキストを使って完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされた5G NASセキュリティ・コンテキストを使って暗号化されて送信される。
[0073-2]
5GMM-IDLEモードにおけるS1モードからN1モードへのシステム間変更の間、UEはシングルレジストレーションモード(single registration mode)で動作する。また次の通りである。
[0073-2-1]
a)UEが有効なネイティブ5G NASセキュリティ・コンテキストを有する場合、UEは、そのネイティブ5G NASセキュリティ・コンテキストで完全性保護されたREGISTRATION REQUESTメッセージを送信するべきである。UEは、当該REGISTRATION REQUESTメッセージの中に、当該ネイティブ5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。
ネイティブ5G NASセキュリティ・コンテキスト値を示すngKSIを含んだ前記REGISTRATION REQUESTメッセージを受診した後、AMFは、前記REGISTRATION REQUESTメッセージに含まれるngKSIが、AMFで利用可能な5G NASセキュリティ・コンテキストに属するかどうかをチェックすると共に、前記REGISTRATION REQUESTメッセージのMACを検証すべきである。検証が成功である場合、AMFは、ソースMMEから受信したEPSセキュリティ・コンテキストがあればそれを削除し、次のいずれかによって、NASメッセージのセキュアな交換を再確立する。
i)上記ネイティブ5G NASセキュリティ・コンテキストを使って完全性保護され暗号化されたREGISTRATION ACCEPTメッセージで返信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
ii)セキュリティモード制御手続(security mode control procedure)を開始する。これはAMFによって用いられることができ、以前の5G NASセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在の5G NASセキュリティ・コンテキストを修正するかによって、用いられることができる。
[0073-2-2]
b)UEが有効な5G NASセキュリティ・コンテキストを有していない場合は、次の通りである。
i)UEが緊急ベアラサービスのためのPDN接続を有していないか、UEは最新のEPSセキュリティ・コンテキストを有しているが、そのEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいないか、又はUEがネットワークから"interworking without N26 supported"(N26なしのインターワーキングがサポートされている)との標示を受信した場合、UEは、完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを送信すべきである。
完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを受信した後、
1)N26なしのインターワーキングがサポートされていない場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成するか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意(primary Authentication and Key Agreement)手続をトリガするべきである。
2)N26なしのインターワーキングがサポートされている場合、AMFは、プライマリ認証及び鍵合意手続をトリガするべきである。
新しく作成された5G NASセキュリティ・コンテキストは、セキュリティモード制御手続を開始することによって使用に供される。この5G NASセキュリティ・コンテキストは、UEとAMFの両方において、最新の5G NASセキュリティ・コンテキストとなる。これは、NASメッセージのセキュアな交換を再構築する。
ii)UEが緊急ベアラサービスのためのPDN接続を有していて、UEは最新のEPSセキュリティ・コンテキストを有していて、そのEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでおり、UEがネットワークから"interworking without N26 not supported"(N26なしのインターワーキングがサポートされていない)との標示を受信した場合、UEは、マッピングされた5G NASセキュリティ・コンテキストを現在のEPSセキュリティ・コンテキストから導出すると共に、マッピングされた5G NASセキュリティ・コンテキストで完全性保護されたREGISTRATION REQUESTメッセージを送信すべきである。UEは、当該REGISTRATION REQUESTメッセージの中に、前記マッピングされた5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。
マッピングされた5G NASセキュリティ・コンテキスト値"000"を示すngKSIを含んだREGISTRATION REQUESTメッセージを受信した後、N26なしのインターワーキングをサポートしていないAMFは、EPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストを導出し、受信したREGISTRATION REQUESTメッセージに含まれるngKSIが、先に導出した、マッピングされた5G NASセキュリティ・コンテキストのngKSI に合致するかどうかを検査すべきである。検査が成功であると、AMFは、マッピングされた5G NASセキュリティ・コンテキストを使って完全性保護及び暗号化したREGISTRATION ACCEPTメッセージで返信することにより、NASメッセージのセキュアな交換を再構築する。
[0073-2-3]
b)UEが、有効なネイティブ5G NASセキュリティ・コンテキストを有さない、シングルレジストレーションモードで動作している場合、当該UEは、完全性保護及び暗号化なしで、REGISTRATION REQUESTメッセージを送信すべきである。
完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを受信した後、
i)N26なしのインターワーキングがサポートされていない場合:
1)ソースMMEから受信したEPSセキュリティ・コンテキストが、EIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいない場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成するか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意(primary Authentication and Key Agreement)手続をトリガするべきである。
2)ソースMMEから受信したEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいる場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成すべきである。
ii)N26なしのインターワーキングがサポートされている場合、AMFは、プライマリ認証及び鍵合意手続をトリガするべきである。
新しく作成された5G NASセキュリティ・コンテキストは、セキュリティモード制御手続を開始することによって使用に供される。この5G NASセキュリティ・コンテキストは、UEとAMFの両方において、最新の5G NASセキュリティ・コンテキストとなる。これは、NASメッセージのセキュアな交換を再構築する。
[0073-3]
5GMM-CONNECTEDモードにおけるN1モードからS1モードへのシステム間変更の間、次によって、MMEとUEとの間にNASメッセージのセキュアな交換が確立される。
a)AMFから、5GMM-CONNECTEDモードにおいてシステム間変更をトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータを送信する。UEはこれらのパラメータを、マッピングされたEPSセキュリティ・コンテキストを生成するために使用する。
b)5GMM-CONNECTEDモードにおけるシステム間変更の後、UEからMMEにTRACKING AREA UPDATE REQUESTメッセージが送信される。UEはこのメッセージを、マッピングされたEPSセキュリティ・コンテキストを用いて完全性保護して送信するべきである。しかし、暗号化しないで送信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされたEPSセキュリティ・コンテキストを使って完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされたEPSセキュリティ・コンテキストを使って暗号化されて送信される。
[0073-4]
5GMM-IDLEモードにおけるN1モードからS1モードへのシステム間変更の間、UEはシングルレジストレーションモード(single registration mode)で動作する。また次の通りである。
[0073-4-1]
a)UEがネットワークから"interworking without N26 not supported"(N26なしのインターワーキングはサポートされていない)の標示を受信した場合、又はUEが、(N1モードからS1モードへPDUセッションを転送するために)要求タイプが"handover"(ハンドオーバ)にセットされたPDN CONNECTIVITY REQUESTメッセージを含む ATTACH REQUESTメッセージの送信をサポートしない場合、UEは、現在の5G NASセキュリティ・コンテキストによって完全性保護されたTRACKING AREA UPDATE REQUESTメッセージを送信し、マッピングされたEPSセキュリティ・コンテキストを導出すべきである。UEは、前記TRACKING AREA UPDATE REQUESTメッセージの中に、前記マッピングされたEPSセキュリティ・コンテキスト値を示すeKSIを含めるべきである。
eKSIを含むTRACKING AREA UPDATE REQUESTメッセージを受信した後、MMEから受信したEPSセキュリティ・コンテキストは、TRACKING AREA UPDATE REQUESTメッセージを、ソースAMFに転送する。ソースAMFは、eKSI値フィールドを、当該AMFで利用可能な5G NASセキュリティ・コンテキストを識別するために使用し、この5G NASセキュリティ・コンテキストを使って前記TRACKING AREA UPDATE REQUESTメッセージのMACを検証すべきである。検証が成功の場合、AMFは、上記5G NASセキュリティ・コンテキストから、マッピングされたEPSセキュリティ・コンテキストを導出し、これをMMEに送信すべきである。MMEは、次のいずれかによって、NASメッセージのセキュアな交換を再構築する:
i)マッピングされたEPSセキュリティ・コンテキストを使って完全性保護され暗号化されたTRACKING AREA UPDATE ACCEPTメッセージで返信する。その後は、UEとMMEとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、ATTACH REQUESTメッセージやTRACKING AREA UPDATE REQUESTメッセージのようなメッセージを除いて、UEとMMEとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
ii)セキュリティモード制御手続(security mode control procedure)を開始する。これはMMEによって用いられることができ、以前のEPSセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在のEPSセキュリティ・コンテキストを修正するかによって、用いられることができる。
[0073-4-2]
b)UEがネットワークから"interworking without N26 supported"(N26なしのインターワーキングがサポートされている)の標示を受信した場合、及びUEが、(N1モードからS1モードへPDUセッションを転送するために)要求タイプが"handover"(ハンドオーバ)にセットされたPDN CONNECTIVITY REQUESTメッセージを含む ATTACH REQUESTメッセージの送信をサポートする場合。
i)UEが有効なネイティブEPSセキュリティ・コンテキストを有する場合、前記UEは、そのネイティブEPSセキュリティ・コンテキストで完全性保護されATTACH REQUESTメッセージを送信するべきである。UEは、当該ATTACH REQUESTメッセージの中に、前記ネイティブEPSセキュリティ・コンテキスト値を示すeKSIを含めるべきである。
ii)UEが、有効なネイティブEPSセキュリティ・コンテキストを有さない場合、前記UEは、完全性保護及び暗号化なしで、ATTACH REQUESTメッセージを送信すべきである。
ATTACH REQUESTメッセージを受信した後、MMEから受信したEPSセキュリティ・コンテキストは、アタッチ手続を進めるべきである。
[0073-5]
N1モードからN1モードへのハンドオーバの間、次によって、AMFとUEとの間にNASメッセージのセキュアな交換が確立される。
a)ターゲットAMFから、N1モードからN1モードへのハンドオーバをトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータが送信される。UEはこれらのパラメータを、新しい5G NASセキュリティ・コンテキストを生成するために使用する。
[0073-6]
NASメッセージのセキュアな交換は、N1モードからN1モードへのハンドオーバの後も継続される。これは、5GMM-CONNECTEDにおけるN1モードからS1モードへのシステム間変更が終了した後に、又はNASシグナリング接続が解放された後に、終了する。
5GMM-IDLEモードのUEが、新しいNASシグナリング接続を確立し、有効な最新の5G NASセキュリティ・コンテキストを有する場合、前記UEは、前記最新の5G NASセキュリ ティ・コンテキストで完全性保護された最初のNASメッセージ(initial NAS message)を送信すべきである。UEは、前記最初のNASメッセージの中に、前記最新の5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。AMFは、前記最初のNASメッセージに含まれるngKSIが、該AMFで利用可能な5G NASセキュリティ・コンテキストに属するかどうかを検査するべきである。また、前記NASメッセージのMACを検証すべきである。この検証が成功である場合、AMFは、次によって、NASメッセージのセキュアな交換を再確立してもよい。
a)前記最新の5G NASセキュリティ・コンテキストを使って完全性保護され暗号化された NASメッセージで返信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
b)セキュリティモード制御手続(security mode control procedure)を開始する。これはAMFによって用いられることができ、以前の5G NASセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在の5G NASセキュリティ・コンテキストを修正するかによって、用いられることができる。
なお本願において使用される「回路(circuitry)」との語句は、次の1つ又は一部又は全てを表す。
(a)ハードウェアのみの回路実装(アナログおよび/またはデジタル回路のみの実装等);
(b)ハードウェア回路とソフトウェアの組合せ、例えば(適用可能である場合):
(i)アナログ及び/又はデジタルハードウェア回路とソフトウェア/ファーウウェアの組み合わせ;
(ii)一つまたは複数のハードウェアプロセッサとソフトウェア(デジタルシグナルプロセッサを含む),ソフトウェア,一つまたは複数のメモリの一部(これらは協働して、携帯電話やサーバなどの装置に様々な機能を実行させる);
(c)ハードウェア回路及び/又はプロセッサ、例えばマイクロプロセッサ又はマイクロプロセッサの部分。これらは動作するためにソフトウェア(例えばファームウェア)を必要とする。しかし、動作に必要ない場合はソフトウェアはない場合がある。
「回路」のこの定義は、本願において「回路」との語句を使う全ての場合において適用される。請求項においても同様である。さらなる例として、本願で使用される場合、回路(circuitry)」という用語は、ハードウェア回路若しくはプロセッサ(若しくは複数のプロセッサ)のみの実装、又は、ハードウェア回路若しくはプロセッサとソフトウェア及び/若しくはファームウェアによる実装も網羅するものである。「回路」という用語はまた、例えば、特許請求の範囲に記載される特定の要素をその範囲に含むことが可能な場合がある。例えば、携帯デバイスのベースバンド集積回路やプロセッサ集積回路を意味してもよく、サーバやセルラネットワークデバイス、その他のコンピュータデバイス又はネットワークデバイスにおける同様の集積回路を意味してもよい。
本願で開示される一つまたは複数の例示的実施形態における技術的効果は、不必要な5GMM手続が開始されることを防ぐことを可能にすることにより、そのような手続が開始されることで重要な通話においてユーザ体験が悪化することを防ぎうることである。ただしこのことは、以降に記載する特許請求の範囲や解釈、適用を如何様にも限定するものではない。本願で開示される1つ以上の例示的実施形態における別の技術的効果は、無線インタフェース及び/又はコアネットワークのシグナリングを減少させうることである。本願で開示される1つ以上の例示的実施形態における更に別の技術的効果は、無線ネットワークや1つ又は複数のコアネットワークにおいて、データのクリアテキスト伝送が少なくなるように、以前に確立されたセキュリティ・コンテキストを使用することを増やすことによって、セキュリティを向上させうることである。
本発明の実施形態は、ソフトウェア、ハードウェア、アプリケーション・ロジック、又はこれらの結合として実装されうる。例示的実施形態においては、アプリケーション・ロジック、ソフトウェア、または命令セットは、種々の標準的なコンピュータ可読媒体の何れかに保持される。本出願の文脈において「コンピュータ可読媒体」は触ることが可能なメディアや手段であって、命令を実行するコンピュータのようなシステムや装置、デバイスによって又はそれと共に使用される命令を、含むことや格納すること、通信すること、伝達すること、送信することのいずれかが可能な如何なるメディアや手段であってもよい。上記コンピュータの例には、図10に関連して説明され描かれているコンピュータがある。コンピュータ可読媒体はコンピュータ可読記憶媒体を備えてもよい。それは、コンピュータのような、命令を実行するシステムや装置、デバイスによってまたはそれと共に使用される命令を含むか格納しうる、如何なる媒体や手段であってもよい。
必要に応じて、本出願で開示した様々な機能が異なる順序で、及び/又は同時に実行されてもよい。さらに必要に応じて、前述の機能の1つ又は複数がオプションであったり、統合されていたりしてもよい。
本発明の様々な態様が独立請求項に記載されているが、前述の実施形態からの特定事項の他の組合せ、および/または独立請求項の特定事項を備える従属請求項を、請求項に明記された単なる組合せとは別に、本発明の他の態様が備えてもよい。
前述の通り、本発明の例示的実施形態が説明されてきたが、これらの説明を限定的な意味で理解すべきでないことにも留意されたい。むしろ、添付の特許請求の範囲で定義されるような技術的範囲から逸脱することなく、様々な変形や修正を行うことができることを理解されたい。
Claims (10)
- アイドルモードシステム間変更におけるUEにおける方法であって、前記UEはシングルレジストレーションモードにあり、前記方法は、次の条件:
条件a)
・ ソースセルラネットワークがe-UTRANであり、
・ ターゲットセルラネットワークが5GSのng-RANであり、
・ 前記UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ 前記UEは緊急ベアラサービスのためのPDN接続を有しており、
・ 前記UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPSセキュリティ・コンテキストを有し、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件b)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件c)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない;
条件d)
・ ソースセルラネットワークがng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、前記UEが受け取っており、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ 前記UEは有効なネイティブEPSセキュリティ・コンテキストを有する;
の1つが満たされる場合、アイドルモードシステム間変更における既存のセキュリティ・コンテキストから、ターゲットネットワークのための新しい最初のNASメッセージについての暗号保護を導出することを含む、方法。 - 前記S1モードは、UEに、4Gアクセスネットワーク経由で4Gコアネットワークにアクセスすることを可能にするモードであり、前記N1モードは、UEに、5Gアクセスネットワーク経由で5Gコアネットワークにアクセスすることを可能にするモードである、請求項1に記載の方法。
- 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間の前記シグナリングチャネルはN26インタフェースである、請求項1又は2に記載の方法。
- 請求項1から3のいずれかに記載の方法であって、条件a)の場合、前記暗号保護は、最新のEPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストによって、REGISTRATION REQUESTメッセージを完全性保護することを含む、方法。
- 条件b)又は条件c)の場合、前記暗号保護は、最新の5G NASセキュリティ・コンテキストによって、TRACKING AREA UPDATE REQUESTメッセージを完全性保護することである、請求項1から4のいずれかに記載の方法。
- UEであって、次の条件:
条件a)
・ ソースセルラネットワークがe-UTRANであり、
・ ターゲットセルラネットワークが5GSのng-RANであり、
・ 前記UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ 前記UEは緊急ベアラサービスのためのPDN接続を有しており、
・ 前記UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPSセキュリティ・コンテキストを有し、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件b)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件c)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない;
条件d)
・ ソースセルラネットワークがng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、前記UEが受け取っており、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ 前記UEは有効なネイティブEPSセキュリティ・コンテキストを有する;
の1つが満たされる場合、アイドルモードシステム間変更における既存のセキュリティ・コンテキストから、ターゲットネットワークのための新しい最初のNASメッセージについての暗号保護を導出する手段を有する、UE。 - 前記S1モードは、UEに、4Gアクセスネットワーク経由で4Gコアネットワークにアクセスすることを可能にするモードであり、前記N1モードは、UEに、5Gアクセスネットワーク経由で5Gコアネットワークにアクセスすることを可能にするモードである、請求項6に記載のユーザ装置。
- 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間の前記シグナリングチャネルはN26インタフェースである、請求項6又は7に記載のユーザ装置。
- 条件a)の場合、前記暗号保護は、最新のEPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストによって、REGISTRATION REQUESTメッセージを完全性保護することを含む、請求項6から8のいずれかに記載のユーザ機器。
- 条件b)又は条件c)の場合、前記暗号保護は、最新の5G NASセキュリティ・コンテキストによって、TRACKING AREA UPDATE REQUESTメッセージを完全性保護することである、請求項6から9のいずれかに記載のユーザ機器。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/FI2018/050714 WO2020070371A1 (en) | 2018-10-04 | 2018-10-04 | Method and apparatus for security context handling during inter-system change |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022501973A JP2022501973A (ja) | 2022-01-06 |
| JP7192107B2 true JP7192107B2 (ja) | 2022-12-19 |
Family
ID=70054692
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021517968A Active JP7192107B2 (ja) | 2018-10-04 | 2018-10-04 | システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20210385722A1 (ja) |
| EP (1) | EP3861791A4 (ja) |
| JP (1) | JP7192107B2 (ja) |
| CN (1) | CN113170369A (ja) |
| BR (1) | BR112021006297A2 (ja) |
| PH (1) | PH12021550731A1 (ja) |
| WO (1) | WO2020070371A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220286923A1 (en) * | 2019-08-14 | 2022-09-08 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for delivery of inter-system non-access stratum (nas) security algorithms |
| WO2021032610A1 (en) * | 2019-08-19 | 2021-02-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Amf re-allocation due to slicing |
| CN113260015B (zh) * | 2021-05-11 | 2022-11-18 | 中国联合网络通信集团有限公司 | 任务处理方法及接入和移动性管理功能实体 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009150493A1 (en) * | 2008-06-13 | 2009-12-17 | Nokia Corporation | Methods, apparatuses, and computer program products for providing fresh security context during intersystem mobility |
| WO2010019020A2 (ko) * | 2008-08-15 | 2010-02-18 | 삼성전자주식회사 | 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 |
| US10588105B2 (en) * | 2017-01-12 | 2020-03-10 | Lg Electronics Inc. | Method and user equipment device for registering in wireless communication system |
| EP3574667B1 (en) * | 2017-01-30 | 2021-02-24 | Telefonaktiebolaget LM Ericsson (PUBL) | Methods and apparatueses for security management before handover from 5g to 4g system |
| BR112019015387B1 (pt) * | 2017-01-30 | 2020-11-03 | Telefonaktiebolaget Lm Ericsson (Publ) | manuseio de contexto de segurança em 5g durante modo conectado |
-
2018
- 2018-10-04 EP EP18936081.1A patent/EP3861791A4/en active Pending
- 2018-10-04 CN CN201880099980.1A patent/CN113170369A/zh active Pending
- 2018-10-04 US US17/281,778 patent/US20210385722A1/en active Pending
- 2018-10-04 BR BR112021006297A patent/BR112021006297A2/pt unknown
- 2018-10-04 JP JP2021517968A patent/JP7192107B2/ja active Active
- 2018-10-04 WO PCT/FI2018/050714 patent/WO2020070371A1/en active Application Filing
-
2021
- 2021-04-01 PH PH12021550731A patent/PH12021550731A1/en unknown
Non-Patent Citations (3)
| Title |
|---|
| 3rd Generation Partnership Project,Technical Specification Group Core Network and Terminals; Non-Access-Stratum (NAS) protocol for 5G System (5GS); Stage 3 (Release 15),3PPP TS 24.501 V15.1.0 (2018-09),2918年09月21日,Pages 29-34, 53-56, 95-98, 291-292 |
| Ericsson,Corrections and clarifications to interworking clauses[online],3GPP TSG SA WG3 #92 S3-182581,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_92_Dalian/Docs/S3-182581.zip>,2018年08月24日 |
| Qualcomm Incorporated, Deutsche Telekom,Support for partial ciphering for initial NAS messages[online],3GPP TSG CT WG1 #111bis C1-184608,Internet<URL:https://www.3gpp.org/ftp/tsg_ct/WG1_mm-cc-sm_ex-CN1/TSGC1_111bis_Sophia-Antipolis/Docs/C1-184608.zip>,2018年07月13日 |
Also Published As
| Publication number | Publication date |
|---|---|
| PH12021550731A1 (en) | 2021-10-25 |
| US20210385722A1 (en) | 2021-12-09 |
| CN113170369A (zh) | 2021-07-23 |
| EP3861791A4 (en) | 2022-05-04 |
| BR112021006297A2 (pt) | 2021-07-06 |
| EP3861791A1 (en) | 2021-08-11 |
| WO2020070371A1 (en) | 2020-04-09 |
| JP2022501973A (ja) | 2022-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11695742B2 (en) | Security implementation method, device, and system | |
| US10455414B2 (en) | User-plane security for next generation cellular networks | |
| US11825303B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
| WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
| JP2022502908A (ja) | Nasメッセージのセキュリティ保護のためのシステム及び方法 | |
| JP2013546260A (ja) | セキュアユーザプレーンロケーション(supl)システムにおける認証 | |
| WO2009152755A1 (zh) | 密钥身份标识符的生成方法和系统 | |
| US11082843B2 (en) | Communication method and communications apparatus | |
| WO2015096138A1 (zh) | 分流方法、用户设备、基站和接入点 | |
| JP7192107B2 (ja) | システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 | |
| WO2021244509A1 (zh) | 数据传输方法和系统、电子设备及计算机可读存储介质 | |
| WO2017133021A1 (zh) | 一种安全处理方法及相关设备 | |
| WO2014169451A1 (zh) | 数据传输方法和装置 | |
| WO2021244569A1 (zh) | 数据传输方法、系统、电子设备、存储介质 | |
| EP4262257A1 (en) | Secure communication method and device | |
| WO2019219209A1 (en) | Establishing new ipsec sas | |
| WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
| US20220345883A1 (en) | Security key updates in dual connectivity | |
| WO2015165250A1 (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
| WO2011143977A1 (zh) | 终端移动到增强通用陆地无线接入网络(utran)时建立增强密钥的方法及系统 | |
| WO2020029745A1 (zh) | 数据传输方法和设备 | |
| KR101670743B1 (ko) | 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치 | |
| WO2021073382A1 (zh) | 注册方法及装置 | |
| GB2551358A (en) | Low latency security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210414 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210414 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220420 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220422 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220719 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220920 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221017 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221108 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221207 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7192107 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |