JP7306547B2 - コアネットワークノード、及び方法 - Google Patents
コアネットワークノード、及び方法 Download PDFInfo
- Publication number
- JP7306547B2 JP7306547B2 JP2022125976A JP2022125976A JP7306547B2 JP 7306547 B2 JP7306547 B2 JP 7306547B2 JP 2022125976 A JP2022125976 A JP 2022125976A JP 2022125976 A JP2022125976 A JP 2022125976A JP 7306547 B2 JP7306547 B2 JP 7306547B2
- Authority
- JP
- Japan
- Prior art keywords
- ausf
- message
- network node
- core network
- plmn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Description
本開示は、制御プレーンシグナリングを使用するローミングのステアリング(Steering of Roaming)及びUEパラメータ更新(UE parameter update)手順の間においてUEパラメータに完全性保護(integrity protection)を提供する手順に関する。より具体的には、UEが複数のPLMN(Public Land Mobile Network)及びそのネットワークに存在する複数のセキュリティキーに登録される場合に、UEパラメータを完全性保護(integrity protect)するためのセキュリティキーを選択するメカニズムを提供する。
UEが同等のPLMN(equivalent PLMN)ではない2つの異なるPLMNに3GPP(登録商標)アクセスおよび非3GPPアクセスを介して登録する場合、UEは、各PLMNに属する2つの異なるAMF(アクセスおよびモビリティ管理機能(Access and Mobility Management Functions))に登録される。このシナリオでは、UEは、2つの独立した5Gセキュリティコンテキスト(キー階層(the key hierarchy)におえるKAMF及び下位の複数のキー)を、サービングPLMNごとに1つずつ維持する。UEが3GPPアクセスおよび非3GPPアクセスを介して同一のPLMNまたは同等のPLMNに登録される場合、UEは、単一のAMFに登録され、1つのセキュリティコンテキストを維持する。
UEが訪問先PLMN(visited PLMN)に登録されているとき、UDM(Unified Data Management)がUEに対する優先PLMNリスト(preferred PLMN list)またはRAT(Radio Access Technology)を更新することを決定すると、UDMは、PLMN選択のためのステアリング情報(PLMNの優先リストまたはRAT)を転送するために、ローミングのステアリング(Steering of Roaming(SoR))手順を開始する。ローミング情報のステアリング(steering of roaming information)は、AUSF(認証サーバ機能(Authentication Server Function))でセキュリティキーKAUSFを使用して、完全性保護される。UEは、ステアリング情報(steering information)を受信すると、完全性保護(the integrity protection)を検証するために、KAUSFを用いる。UDMコントロールプレーン手順を用いてUEパラメータを更新するために、同様の手順が適用される。
3GPP TR 21.905: "Vocabulary for 3GPP Specifications". V15.0.0 (2018-03)
3GPP TS 23.501: "System Architecture for the 5G System; Stage 2". V15.4.0 (2019-01)
3GPP TS 23.502: "Procedures for the 5G System; Stage 2" V15.4.0 (2019-01)
3GPP TS 24.501: "Non-Access-Stratum (NAS) protocol Stage 3" V15.2.1 (2019-01)
3GPP TS 33.501: "Security architecture and procedures for 5G system" V15.3.1 (2018-12)
問題ステートメント1:
UEが3GPPアクセスと非3GPPアクセスを介して同等のPLMN(equivalent PLMN)ではない2つの異なるPLMNに登録された場合、UEは、様々なネットワークノードでの2つの5Gセキュリティコンテキスト(例えばセキュリティキー)を持つ。このシナリオでは、AUSFは、1つのKAUSF、つまり、最新の認証の結果としてのKAUSFを持つ。UDMがステアリング情報をUEに送信することを決定し、そして、ステアリング情報を含み且つAUSFに完全性保護をステアリング情報に提供するように要求するメッセージを送信する場合、1つのアクセスネットワーク上での登録手順の間に、AUSFは、最新の認証から得られるKAUSFを用いて、メッセージの完全性のためのMAC-Iを算出する。そして、UEがそのメッセージを受信した場合、どのKAUSFをAUSFがローミングメッセージのステアリングの完全性保護のためのMAC-Iの計算に用いたかが、UEにとって不明となる。
UEが3GPPアクセスと非3GPPアクセスを介して同等のPLMN(equivalent PLMN)ではない2つの異なるPLMNに登録された場合、UEは、様々なネットワークノードでの2つの5Gセキュリティコンテキスト(例えばセキュリティキー)を持つ。このシナリオでは、AUSFは、1つのKAUSF、つまり、最新の認証の結果としてのKAUSFを持つ。UDMがステアリング情報をUEに送信することを決定し、そして、ステアリング情報を含み且つAUSFに完全性保護をステアリング情報に提供するように要求するメッセージを送信する場合、1つのアクセスネットワーク上での登録手順の間に、AUSFは、最新の認証から得られるKAUSFを用いて、メッセージの完全性のためのMAC-Iを算出する。そして、UEがそのメッセージを受信した場合、どのKAUSFをAUSFがローミングメッセージのステアリングの完全性保護のためのMAC-Iの計算に用いたかが、UEにとって不明となる。
別のシナリオでは、UEが等価(equivalent)でない2つの異なるPLMNに登録され、且つ、UDMがステアリング情報をUEに送信することを決定した場合、UDMにおいて、2つの登録されたPLMNのうちのどのPLMNがステアリング情報を送信するために選択されたかが、明確でない。
問題ステートメント2:
UEが3GPPアクセスと非3GPPアクセスを介して同等のPLMN(equivalent PLMN)ではない2つの異なるPLMNに登録された場合、UEは、様々なネットワークノードでの2つの5Gセキュリティコンテキスト(例えばセキュリティキー)を持つ。このシナリオでは、UDMがコントロールプレーンシグナリングを使用してUE構成(UE configuration)(例えば、ルーティングID(Routing Identity))を更新するためにUEパラメータ更新(UE paramteter update)手順を実行することを決定した場合、UDMが2つの登録済みPLMNのうちのどのPLMNを更新されたUE構成を送信するために選択するかが、明確ではない。
UEが3GPPアクセスと非3GPPアクセスを介して同等のPLMN(equivalent PLMN)ではない2つの異なるPLMNに登録された場合、UEは、様々なネットワークノードでの2つの5Gセキュリティコンテキスト(例えばセキュリティキー)を持つ。このシナリオでは、UDMがコントロールプレーンシグナリングを使用してUE構成(UE configuration)(例えば、ルーティングID(Routing Identity))を更新するためにUEパラメータ更新(UE paramteter update)手順を実行することを決定した場合、UDMが2つの登録済みPLMNのうちのどのPLMNを更新されたUE構成を送信するために選択するかが、明確ではない。
本開示の第1の態様において、ユーザ機器(UE)における方法は、各セキュリティキーがRAT(無線アクセス技術(Radio Access Technology))に対応する複数のセキュリティキーを格納することと、
UEが通信する第1のRATの情報を含むメッセージを通信装置から受信することと、
前記第1のRATの情報に基づいて、前記複数のセキュリティキーにおける第1のセキュリティキーを決定することとを含み、
前記第1のセキュリティキーは、前記メッセージの完全性を検証するために用いられる。
UEが通信する第1のRATの情報を含むメッセージを通信装置から受信することと、
前記第1のRATの情報に基づいて、前記複数のセキュリティキーにおける第1のセキュリティキーを決定することとを含み、
前記第1のセキュリティキーは、前記メッセージの完全性を検証するために用いられる。
本開示の第2の態様において、第1の通信装置における方法は、各セキュリティキーがRAT(無線アクセス技術)に対応する複数のセキュリティキーを記憶することと、
UEが通信する第1のRATの情報を第2の通信装置から受信することと、
前記第1のRATの情報に基づいて、前記複数のセキュリティキーにおける第1のセキュリティキーを決定することとを含む。
UEが通信する第1のRATの情報を第2の通信装置から受信することと、
前記第1のRATの情報に基づいて、前記複数のセキュリティキーにおける第1のセキュリティキーを決定することとを含む。
本開示の第3の態様において、ユーザ機器(UE)は、各セキュリティキーがRAT(無線アクセス技術)に対応する複数のセキュリティキーを格納するように構成されたメモリと、
UEが通信する第1のRATの情報を含むメッセージを通信装置から受信するように構成されたトランシーバと、
前記第1のRATの情報に基づいて、前記複数のセキュリティキーにおける第1のセキュリティキーを決定するように構成されたコントローラとを含み、
前記第1のセキュリティキーは、前記メッセージの完全性を検証するために用いられる。
UEが通信する第1のRATの情報を含むメッセージを通信装置から受信するように構成されたトランシーバと、
前記第1のRATの情報に基づいて、前記複数のセキュリティキーにおける第1のセキュリティキーを決定するように構成されたコントローラとを含み、
前記第1のセキュリティキーは、前記メッセージの完全性を検証するために用いられる。
本開示の第4の態様において、第1の通信装置は、各セキュリティキーがRAT(無線アクセス技術)に対応する複数のセキュリティキーを格納するように構成されたメモリと、
UEが通信する第1のRATの情報を第2の通信装置から受信するように構成されたトランシーバと、
前記第1のRATの情報に基づいて、前記複数のセキュリティキーにおける第1のセキュリティキーを決定するように構成されたコントローラとを含む。
UEが通信する第1のRATの情報を第2の通信装置から受信するように構成されたトランシーバと、
前記第1のRATの情報に基づいて、前記複数のセキュリティキーにおける第1のセキュリティキーを決定するように構成されたコントローラとを含む。
<略語(Abbreviations)>
本文書の目的上、非特許文献1及び以下に示す略語が適用される。本文書で定義された略語は、非特許文献1における同じ略語がある場合には、その定義よりも優先される。
5GC 5G Core Network
5GS 5G System
5G-AN 5G Access Network
5G-GUTI 5G Globally Unique Temporary Identifier
5G S-TMSI 5G S-Temporary Mobile Subscription 5QI 5G QoS Identifier
AF Application Function
AMF Access and Mobility Management Function
AN Access Node
AS Access Stratum
AUSF Authentication Server Function
CM Connection Management
CP Control Plane
CSFB Circuit Switched (CS) Fallback
DL Downlink
DN Data Network
DNAI DN Access Identifier
DNN Data Network Name
EDT Early Data Transmission
EPS Evolved Packet System
EPC Evolved Packet Core
FQDN Fully Qualified Domain Name
GFBR Guaranteed Flow Bit Rate
GMLC Gateway Mobile Location Centre
GPSI Generic Public Subscription Identifier
GUAMI Globally Unique AMF Identifier
HR Home Routed (roaming)
I-RNTI I-Radio Network Temporary Identifier
LADN Local Area Data Network
LBO Local Break Out (roaming)
LMF Location Management Function
LRF Location Retrieval Function
MAC Medium Access Control
MFBR Maximum Flow Bit Rate
MICO Mobile Initiated Connection Only
MME Mobility Management Entity
N3IWF Non-3GPP Inter Working Function
NAI Network Access Identifier
NAS Non-Access Stratum
NEF Network Exposure Function
NF Network Function
NG-RAN Next Generation Radio Access Network
NR New Radio
NRF Network Repository Function
NSI ID Network Slice Instance Identifier
NSSAI Network Slice Selection Assistance Information
NSSF Network Slice Selection Function
NSSP Network Slice Selection Policy
PCF Policy Control Function
PEI Permanent Equipment Identifier
PER Packet Error Rate
PFD Packet Flow Description
PLMN Public land mobile network
PPD Paging Policy Differentiation
PPI Paging Policy Indicator
PSA PDU Session Anchor
QFI QoS Flow Identifier
QoE Quality of Experience
(R)AN (Radio) Access Network
RLC Radio Link Control
RM Registration Management
RQA Reflective QoS Attribute
RQI Reflective QoS Indication
RRC Radio Resource Control
SA NR Standalone New Radio
SBA Service Based Architecture
SBI Service Based Interface
SD Slice Differentiator
SDAP Service Data Adaptation Protocol
SEAF Security Anchor Functionality
SEPP Security Edge Protection Proxy
SMF Session Management Function
S-NSSAI Single Network Slice Selection Assistance Information
SSC Session and Service Continuity
SST Slice/Service Type
SUCI Subscription Concealed Identifier
SUPI Subscription Permanent Identifier
SoR Steering of Roaming
UDSF Unstructured Data Storage Function
UICC Universal Integrated Circuit Card
UL Uplink
UL CL Uplink Classifier
USIM Universal Subscriber Identity Module
UPF User Plane Function
UDR Unified Data Repository
URSP UE Route Selection Policy
SMS Short Message Service
SMSF SMS Function
MT Mobile Terminated
UAC Unified Access Control
ODACD Operator Defined Access Category Definitions
OS Operating System
本文書の目的上、非特許文献1及び以下に示す略語が適用される。本文書で定義された略語は、非特許文献1における同じ略語がある場合には、その定義よりも優先される。
5GC 5G Core Network
5GS 5G System
5G-AN 5G Access Network
5G-GUTI 5G Globally Unique Temporary Identifier
5G S-TMSI 5G S-Temporary Mobile Subscription 5QI 5G QoS Identifier
AF Application Function
AMF Access and Mobility Management Function
AN Access Node
AS Access Stratum
AUSF Authentication Server Function
CM Connection Management
CP Control Plane
CSFB Circuit Switched (CS) Fallback
DL Downlink
DN Data Network
DNAI DN Access Identifier
DNN Data Network Name
EDT Early Data Transmission
EPS Evolved Packet System
EPC Evolved Packet Core
FQDN Fully Qualified Domain Name
GFBR Guaranteed Flow Bit Rate
GMLC Gateway Mobile Location Centre
GPSI Generic Public Subscription Identifier
GUAMI Globally Unique AMF Identifier
HR Home Routed (roaming)
I-RNTI I-Radio Network Temporary Identifier
LADN Local Area Data Network
LBO Local Break Out (roaming)
LMF Location Management Function
LRF Location Retrieval Function
MAC Medium Access Control
MFBR Maximum Flow Bit Rate
MICO Mobile Initiated Connection Only
MME Mobility Management Entity
N3IWF Non-3GPP Inter Working Function
NAI Network Access Identifier
NAS Non-Access Stratum
NEF Network Exposure Function
NF Network Function
NG-RAN Next Generation Radio Access Network
NR New Radio
NRF Network Repository Function
NSI ID Network Slice Instance Identifier
NSSAI Network Slice Selection Assistance Information
NSSF Network Slice Selection Function
NSSP Network Slice Selection Policy
PCF Policy Control Function
PEI Permanent Equipment Identifier
PER Packet Error Rate
PFD Packet Flow Description
PLMN Public land mobile network
PPD Paging Policy Differentiation
PPI Paging Policy Indicator
PSA PDU Session Anchor
QFI QoS Flow Identifier
QoE Quality of Experience
(R)AN (Radio) Access Network
RLC Radio Link Control
RM Registration Management
RQA Reflective QoS Attribute
RQI Reflective QoS Indication
RRC Radio Resource Control
SA NR Standalone New Radio
SBA Service Based Architecture
SBI Service Based Interface
SD Slice Differentiator
SDAP Service Data Adaptation Protocol
SEAF Security Anchor Functionality
SEPP Security Edge Protection Proxy
SMF Session Management Function
S-NSSAI Single Network Slice Selection Assistance Information
SSC Session and Service Continuity
SST Slice/Service Type
SUCI Subscription Concealed Identifier
SUPI Subscription Permanent Identifier
SoR Steering of Roaming
UDSF Unstructured Data Storage Function
UICC Universal Integrated Circuit Card
UL Uplink
UL CL Uplink Classifier
USIM Universal Subscriber Identity Module
UPF User Plane Function
UDR Unified Data Repository
URSP UE Route Selection Policy
SMS Short Message Service
SMSF SMS Function
MT Mobile Terminated
UAC Unified Access Control
ODACD Operator Defined Access Category Definitions
OS Operating System
<定義>
この文書の目的のために、非特許文献1および以下に示す用語および定義を適用する。本文書で定義されている用語は、非特許文献1で同じ用語が定義されている場合、その定義よりも優先される。
この文書の目的のために、非特許文献1および以下に示す用語および定義を適用する。本文書で定義されている用語は、非特許文献1で同じ用語が定義されている場合、その定義よりも優先される。
<実施形態>
以下、図面を参照して実施の形態を説明する。しかしながら、本開示は、多くの異なる形態で実施されてもよく、ここに記載された実施形態に限定されるものと解釈されるべきではない。むしろ、これらの実施形態は、本開示が完全かつ完成しており、その範囲を当業者に十分に伝えるように提供される。添付の図面に示される特定の例示的な実施形態の詳細な説明において使用される用語は、限定を意図するものではない。図面において、同じ番号は、同じ要素を指す。
しかしながら、特許請求の範囲における参照符号は、本主題の典型的な実施形態のみを示しており、したがって、本主題が他の同等に有効な実施形態を許容し得るため、その範囲を限定するために考慮されるべきではないことに留意されたい。
以下、図面を参照して実施の形態を説明する。しかしながら、本開示は、多くの異なる形態で実施されてもよく、ここに記載された実施形態に限定されるものと解釈されるべきではない。むしろ、これらの実施形態は、本開示が完全かつ完成しており、その範囲を当業者に十分に伝えるように提供される。添付の図面に示される特定の例示的な実施形態の詳細な説明において使用される用語は、限定を意図するものではない。図面において、同じ番号は、同じ要素を指す。
しかしながら、特許請求の範囲における参照符号は、本主題の典型的な実施形態のみを示しており、したがって、本主題が他の同等に有効な実施形態を許容し得るため、その範囲を限定するために考慮されるべきではないことに留意されたい。
本明細書は、いくつかの場所で「1つの(an)」、「1つの(one)」または「いくつかの(some)」実施形態(s)を参照することができる。これは必ずしも、そのような参照の各々が同一の実施形態(s)に対するものであること、又は、その特徴が単一の実施形態にのみ適用されること、を意味するものではない。異なる実施形態の単一の特徴を組み合わせて、他の実施形態を提供することもできる。
本明細書で使用される場合、単数形「a」、「an」および「the」は、特に明記しない限り、複数形も含むことが意図される。本明細書で使用される場合、用語「含む(includes)」、「含む(comprises)」、「含む(including)」、および/または「含む(comprising)」は、記載された特徴(features)、整数(integers)、ステップ(steps)、操作(operations)、要素(elements)、および/または構成要素(components)の存在を明記するが、1つ以上の他の特徴、整数、ステップ、操作、要素、構成要素、および/またはそれらのグループの存在または追加を排除しないことがさらに理解される。要素が別の要素に「接続されている(connected)」または「結合されている(coupled)」と称される場合、それは、他の要素に直接接続または結合されてもよく、または介在要素が存在してもよいことが理解されよう。さらに、本明細書で使用される「接続された(connected)」または「結合された(coupled)」は、動作可能に接続されたまたは結合されたことを含み得る。本明細書中で使用される場合、用語「および/または」は、1つまたは複数の関連するリストされた項目の任意のおよび全ての組み合わせおよび配列を含む。
別段の定義がない限り、本明細書で使用される全ての用語(技術用語、科学用語を含む)は、本開示が関係する当業者によって一般に理解されるものと同じ意味を有する。さらに、慣用的に使用されている辞書で定義されているような用語は、関連技術の文脈におけるそれらの意味と一致する意味を有すると解釈されるべきであり、本明細書で明示的に定義されていない限り、理想化された意味または過度に形式的な意味で解釈されないことが理解されるであろう。
図では、一部の要素と機能エンティティのみを示す簡略化された構造が示される。これらはすべて、示されているものとは実装が異なる可能性がある論理ユニットである。表示されている接続は論理接続であり、実際の物理接続は異なる場合がある。構造が他の機能および構造も含み得ることは、当業者には明らかである。
また、図面に記載および図示されたすべての論理ユニットは、ユニットが機能するために必要なソフトウェアおよび/またはハードウェアのコンポーネントを含む。さらに、各ユニットは、それ自体の中に、暗黙的に理解される1つ以上の構成要素を含んでもよい。これらの構成要素は、互いに動作可能に結合され、上記のユニットの機能を実行するために互いに通信するように構成されてもよい。
<第1実施形態(問題ステートメント1を解決するためのソリューション1)>
登録手順の間にSoR送信手順(SoR transmission procedure)においてSoRに完全性保護を提供するためのセキュリティキーを選択するために、PLMNアイデンティティ又はRATを示すこと(Indicating PLMN identity or RAT)。
図1は、本開示の第1の実施形態による手順を示す図である。
UEが2つの異なるRATを介して2つの異なるPLMNに登録されている場合、または、2つの異なる5G-ANを介して同じPLMNに登録されている場合に、SoRをUEに転送するための詳細な手順。
登録手順の間にSoR送信手順(SoR transmission procedure)においてSoRに完全性保護を提供するためのセキュリティキーを選択するために、PLMNアイデンティティ又はRATを示すこと(Indicating PLMN identity or RAT)。
図1は、本開示の第1の実施形態による手順を示す図である。
UEが2つの異なるRATを介して2つの異なるPLMNに登録されている場合、または、2つの異なる5G-ANを介して同じPLMNに登録されている場合に、SoRをUEに転送するための詳細な手順。
0. UEは、第1の5Gアクセスネットワーク(5G-AN)を介して第1の訪問先PLMNに登録される。AUSFは、認証手順の間に、UEの第1のKAUSFを格納し、このKAUSFと共に、第1のPLMNアイデンティティおよび第1の5G-ANを格納する。したがって、AUSFは、KAUSF及びSUPI(Subscription Permanent Identifier)などのUE識別子(Identifier)だけでなく、PLMN ID及び関連RATも保持する。また、UEは、認証手順が完了すると、KAUSFと、このKAUSFに対応付けられたPLMN IDおよびRATを、UE内のストレージに格納する。
1. UEは、Registration Requestメッセージを送信することによって、第2の5G-ANを介した第2の訪問先PLMNへの第2の登録手順を開始する。この登録手順は、初期登録手順(initial registration procedure)、登録更新手順(registration update procedure)、または定期登録更新手順(periodic registration update procedure)であってもよい。
2. AMFは、認証手順(authentication procedure)を開始することを決定する。AMF/SEAFは、本実施形態で説明されるように、認証手順を実行する。従来技術によれば、AUSFは、ストレージ内のKAUSFを認証手順の間に上書きする。この実施形態では、AUSFは、アクセスネットワークのPLMN IDおよび認証の間に使用されたアクセスネットワークのRATと共に、第1のKAUSFに加えて第2のKAUSFを格納する。認証が完了すると、UEもまた、AUSFと同様に、第2のKAUSFを保存し、これと第2のアクセスネットワークのPLMN IDを関連付ける。これにより、UEは、KAUSFおよびPLMN IDの2つのタプル(tuples)を含むストレージを有する。このストレージは、例えば、UEが第3のアクセスネットワークにアタッチして新しい認証の実行が完了した場合など、新しいネットワークに対する認証の実行ごとに拡張され得る。
3. ネットワークは、セキュリティモード制御手順(Security Mode Control procedure)を実行する。
3-a. AMFは、使用されているRadio Access Technology(RAT)を通知するために、Nudm_UECM_RegistrationをUDMに送信する。
3-a. AMFは、使用されているRadio Access Technology(RAT)を通知するために、Nudm_UECM_RegistrationをUDMに送信する。
4. AMFは、加入者データを取得するために、メッセージNudm_SDM_GetをUDMに送信する。
5. UDMは、第2のPLMNを介してUEにステアリング情報を送信することを決定する。UDMは、情報要素(information element)、つまり、SUPI、SoRヘッダ、第2のPLMN ID、または選択されたRadio Access Technology(RAT)の少なくとも1つのパラメータを含む、メッセージNausf_SoRProtectionを送信する。UDMは、第2のPLMNアイデンティティ、または、第2のPLMNアイデンティティのRAT、または、その両方を送信してもよい。
6. AUSFがNausf_SoRProtectionメッセージを受信すると、AUSFは、UE ID及びNausf_SoRProtectionメッセージで指定されたPLMN IDまたは指定されたRATに関連する、KAUSFをストレージから取得し、完全性保護について使用するためにKAUSFを選択する。AUSFは、非特許文献5で指定されたメカニズム、つまり下記の式に従って、SoR-MAC-IausfおよびオプションでSoR-MAC-Iueを算出するために、選択されたKAUSFを使用する。
SoR-MAC-IAUSF = KDF (SoR Header, PLMN ID Access Technology list, KAUSF)
KDFは、HMAC-SHA 256のような暗号の一方向関数(cryptographic one way function)である、鍵導出関数(key derivation function)である。また他の暗号ハッシュ関数が使用されてもよい。括弧内に示される複数のフィールドは、クリアテキスト部分(clear text parts)を示し、最後のフィールドは、KAUSFがKDFへの入力キーとして使用されることを示す。SoRメカニズムがPLMN IDアクセスリストの送信とは異なる目的で使用される場合、プレーンテキスト入力フィールドは変わるが、入力キーは同じままである。また、当業者には理解されるように、異なる入力キー、例えば、その目的のために特別にKAUSFから導出されたキーまたは以前の認証実行から得られた別のキーを使用することも可能である。
SoR-MAC-IAUSF = KDF (SoR Header, PLMN ID Access Technology list, KAUSF)
KDFは、HMAC-SHA 256のような暗号の一方向関数(cryptographic one way function)である、鍵導出関数(key derivation function)である。また他の暗号ハッシュ関数が使用されてもよい。括弧内に示される複数のフィールドは、クリアテキスト部分(clear text parts)を示し、最後のフィールドは、KAUSFがKDFへの入力キーとして使用されることを示す。SoRメカニズムがPLMN IDアクセスリストの送信とは異なる目的で使用される場合、プレーンテキスト入力フィールドは変わるが、入力キーは同じままである。また、当業者には理解されるように、異なる入力キー、例えば、その目的のために特別にKAUSFから導出されたキーまたは以前の認証実行から得られた別のキーを使用することも可能である。
7. AUSFは、SoR-MAC-Iausf、Counter SoR、およびオプションでSoR-XMAC-Iueを含む、Nausf_SoRProtection_Responseメッセージを、UDMに送信する。
8. UDMは、List、SoR-MAC-I、およびSoR-Counterを含むNudm_SDM_Get_ResponseをAMFに送信します。
9. AMFは、パラメータリスト、SoR header、SoR-MAC-I、およびSoR-Counterの少なくとも1つを含む、Registration Acceptメッセージを、UEに送信する。
10. UEは、メッセージを受信すると、まず、どの5G-ANまたはPLMNがメッセージの送信に使用されたかを確認する。次に、UEは、5G-ANまたはPLMNのアイデンティティに関連付けられているKAUSFをストレージから取得し、このキーを、AUSFによって適用される完全性保護の検証に使用するために選択する。その後、UEは、メッセージに適用されたSoR-MAC-IAUSFを検証することによって、その完全性保護を検証し、正しい場合、UEは、登録確認応答メッセージ(registration acknowledgement message)をUDMに返してもよい。UEがUDMに登録確認応答メッセージを返す場合、SoR-MAC-IAUSFの検証のために選択されたものと同じKAUSFを使用してSoR-MAC-IUEを計算することによって、そのメッセージを完全性保護する。
Nausf_SoRProtectionおよびNausf_SoRProtection_Responseメッセージは、第5の実施形態においてさらに定義される。
<第1の実施形態の変形例>
図2は、本開示の第1の実施形態の変形例による手順を示す図である。
UEが異なる5G-ANを介してPLMNに登録されている場合、または、異なる5G-ANを介して異なるPLMNに登録されている場合の、SoRの転送の詳細な手順は、次の通りである。
0. UEは、第1の5G-ANを介して第1のPLMNに登録され、第2の5G-ANを介して第2のPLMNに登録される。第1の実施形態によれば、UEおよびAUSFの双方が、そのアクセスネットワークに関連付けられた少なくとも2つのKAUSFを保持するストレージ(記憶装置)を有している。したがって、AUSFは、この特定のUEについて2つのKAUSFを有しており、1つは、第1のPLMNについてのものであり、もう1つは第2のPLMNについてのものである。UEは、同様に、2つのKAUSFを有し、1つは、第1のPLMNに関連付けられ、もう1つは、第2のPLMNに関連付けられる。
図2は、本開示の第1の実施形態の変形例による手順を示す図である。
UEが異なる5G-ANを介してPLMNに登録されている場合、または、異なる5G-ANを介して異なるPLMNに登録されている場合の、SoRの転送の詳細な手順は、次の通りである。
0. UEは、第1の5G-ANを介して第1のPLMNに登録され、第2の5G-ANを介して第2のPLMNに登録される。第1の実施形態によれば、UEおよびAUSFの双方が、そのアクセスネットワークに関連付けられた少なくとも2つのKAUSFを保持するストレージ(記憶装置)を有している。したがって、AUSFは、この特定のUEについて2つのKAUSFを有しており、1つは、第1のPLMNについてのものであり、もう1つは第2のPLMNについてのものである。UEは、同様に、2つのKAUSFを有し、1つは、第1のPLMNに関連付けられ、もう1つは、第2のPLMNに関連付けられる。
1. UDMは、ステアリング情報(好ましいPLMN/アクセステクノロジの組み合わせのリスト)の変更を通知することを決定する。UDMは、例えば次のファクタに基づいて、第1のPLMNと第2のPLMNとが異なり且つ同等のPLMNでない場合には、第1のPLMNおよび第2のPLMNからPLMNを選択し、第1のPLMNと第2のPLMNとが同一の又は同等のPLMNである場合には、第1の5G-ANおよび第2の5G-ANからRATを選択する。上記のファクタは次の通りである。
i)UEは、PLMNにおいて接続状態(connected state)にある(たとえば、UDMは、UEが接続状態にあるPLMNを介してSoRを配信する。)。
ii)5G-ANタイプ(たとえば、非3GPPアクセスよりも3GPPアクセスが優先される。)。
iii)PLMNの輻輳(Congestion)(例えば、最も混雑していないか又は混雑していないPLMNを介して送信する)。
iV)UEが最後に認証されたPLMN(一部のUEは、複数のKAUSFを格納する機能をサポートしていない可能性があり、このことは、UDMは、最後(latest)のものを使用することを決定すべきであることを意味する。)
i)UEは、PLMNにおいて接続状態(connected state)にある(たとえば、UDMは、UEが接続状態にあるPLMNを介してSoRを配信する。)。
ii)5G-ANタイプ(たとえば、非3GPPアクセスよりも3GPPアクセスが優先される。)。
iii)PLMNの輻輳(Congestion)(例えば、最も混雑していないか又は混雑していないPLMNを介して送信する)。
iV)UEが最後に認証されたPLMN(一部のUEは、複数のKAUSFを格納する機能をサポートしていない可能性があり、このことは、UDMは、最後(latest)のものを使用することを決定すべきであることを意味する。)
2-4. 第1の実施形態のステップ5,6,7が実行される。
5. UDMは、ステップ2で選択されたPLMNまたは選択されたRATのAMFに対して、Nudm_SDM_UpdateNotificationメッセージの送信を開始する。
UDMは、第1のPLMNおよび第2のPLMNが同一または同等のPLMNであるときにUEが同じAMFに登録されている場合、選択されたRATを、Nudm_SDM_UpdateNotificationメッセージに含める。
AMFが複数のPLMNによって共有されている場合にコアネットワーク共有のケースでは、UDMは、また、選択されたPLMNのID(PLMN Identity)を、Nudm_SDM_UpdateNotificationメッセージに含める。
AMFが複数のPLMNによって共有されている場合にコアネットワーク共有のケースでは、UDMは、また、選択されたPLMNのID(PLMN Identity)を、Nudm_SDM_UpdateNotificationメッセージに含める。
6. AMFは、Nudm_SDM_UpdateNotificationメッセージ内のRATを介してまたはNudm_SDM_UpdateNotificationメッセージ内のPLMN IDに対応するネットワークを介して、DL NASトランスポートメッセージ(DL NAS Transport message)を用いて、SoRを配信(deliver)する。
7. AMFは、DL NASトランスポートメッセージをUEに送信する。そして、第1の実施形態のステップ10が実行される。
一例では、UEが2つの関連AMF(つまり、2つのPLMN)を有し、1つは3GPPアクセス用であり、もう1つは非3GPPアクセス用であることをUDMが確認(acknowledge)する場合、UDMは、SoR情報、SoR-Header、SoR-MAC-IAUSF、およびCounterSoRを含む、2つのNudm_UDM_Notificationメッセージを、2つのAMFに送信してもよい。
<第2実施形態(問題ステートメント2を解決するためのソリューション2)>
コントロールプレーンソリューションを使用したUEパラメータアップデート手順(UE parameter update procedure)のUE構成データ(UE configuration data)に完全性保護を提供するための、PLMNおよびこれに対応するセキュリティキーの選択。
コントロールプレーンソリューションを使用したUEパラメータアップデート手順(UE parameter update procedure)のUE構成データ(UE configuration data)に完全性保護を提供するための、PLMNおよびこれに対応するセキュリティキーの選択。
図3は、本開示の第2の実施形態による手順を示す図である。
コントロールプレーン手順を使用したUE Parameters Updateの詳細については、次のとおりである。
0. UEは、第1の5G-ANを介して第1のPLMNに登録され、第2の5G-ANを介して第2のPLMNに登録される。AUSFは、2つのKAUSFを生成し、キーストレージに格納し、1つは第1のPLMNについてのものであり、もう1つは第2のPLMNについてのものである。同様に、UEは、2つのKAUSFを記憶しており、1つは第1のPLMNに関連付けられ、もう1つは第2のPLMNに関連付けられる。
コントロールプレーン手順を使用したUE Parameters Updateの詳細については、次のとおりである。
0. UEは、第1の5G-ANを介して第1のPLMNに登録され、第2の5G-ANを介して第2のPLMNに登録される。AUSFは、2つのKAUSFを生成し、キーストレージに格納し、1つは第1のPLMNについてのものであり、もう1つは第2のPLMNについてのものである。同様に、UEは、2つのKAUSFを記憶しており、1つは第1のPLMNに関連付けられ、もう1つは第2のPLMNに関連付けられる。
1. UDMは、コントロールプレーン手順を使用して、UEパラメータ更新手順(UPU:UE parameters Update procedure)を実行することを決定する。
UDMは、次のファクタの少なくとも1つに基づいて、第1のPLMNと第2のPLMNとが異なり且つ同等のPLMNでない場合には、第1のPLMNおよび第2のPLMNからPLMNを選択し、第1のPLMNと第2のPLMNとが同一の又は同等のPLMNである場合には、第1の5G-ANおよび第2の5G-ANからRATを選択する。上記のファクタは次の通りである。
i)UEは、PLMNにおいて接続状態(connected state)にある(たとえば、UEは、UEが接続状態にあるPLMNを介してSoRを配信する。)。
ii)5G-ANタイプ(たとえば、非3GPPアクセスよりも3GPPアクセスが優先される。)。
iii)PLMNの輻輳(Congestion)(例えば、最も混雑していないか又は混雑していないPLMNを介して送信する)。
iv)UEが最後に認証されたPLMN(一部のUEは、複数のKAUSFを格納する機能をサポートしていない可能性があり、このことは、UDMは、最新(latest)のものを使用することを決定すべきであることを意味する。)
UDMは、次のファクタの少なくとも1つに基づいて、第1のPLMNと第2のPLMNとが異なり且つ同等のPLMNでない場合には、第1のPLMNおよび第2のPLMNからPLMNを選択し、第1のPLMNと第2のPLMNとが同一の又は同等のPLMNである場合には、第1の5G-ANおよび第2の5G-ANからRATを選択する。上記のファクタは次の通りである。
i)UEは、PLMNにおいて接続状態(connected state)にある(たとえば、UEは、UEが接続状態にあるPLMNを介してSoRを配信する。)。
ii)5G-ANタイプ(たとえば、非3GPPアクセスよりも3GPPアクセスが優先される。)。
iii)PLMNの輻輳(Congestion)(例えば、最も混雑していないか又は混雑していないPLMNを介して送信する)。
iv)UEが最後に認証されたPLMN(一部のUEは、複数のKAUSFを格納する機能をサポートしていない可能性があり、このことは、UDMは、最新(latest)のものを使用することを決定すべきであることを意味する。)
2. UDMは、SUPI、UPUデータ、オプションでACK表示(Ack Indication)、選択されたRATまたは選択されたPLMN IDの少なくとも1つを含むNausf_UPUProtectionメッセージを、AUSFに送信する。
3-4. AUSFは、第1の実施形態または第2の実施形態の説明に従って、Nausf_UPUProtectionメッセージで送信されたRATまたはPLMNに対応するKausfを選択する。AUSFは、UPU-MAC-Iausf、Counterupu、またはUPU-XMAC-Iueを計算するために、選択されたKausfを使用する。AUSFは、UPU-MAC-IausfまたはUPU-XMAC-IueまたはCounterupuを含むNausf_UPUProtection Responseを送信する。
5. UDMは、(UPUデータ、UPU-MAC-Iausf、Counterupu)を含むNudm_SDM_Notificationメッセージを、選択されたPLMNのAMFに送信する。UDMは、また、ステップ2で説明されているように、選択されたRATもNudm_SDM_Notificationメッセージに含める。UDMは、Nudm_SDM_Notificationメッセージに、新しいパラメータ「subscriber data reload required」を含めてもよい。
UEが2つの関連付けられたAMF(つまり、2つの登録済みPLMN)を持っており、1つが3GPPアクセス用で、もう1つが非3GPPアクセス用であることを、UDMが確認した場合、UDMは、2つのNudm_UDM_Notificationメッセージを、2つのAMFに送信してもよい。
または、UDMは、Nudm_SDM_Notificationメッセージにおいて、UDMからの加入者データのリロードが必要であることをAMFに示す。AMFがパラメータ「subscriber data reload required」を持つNudm_SDM_Notificationメッセージを受信した場合、AMFは、新しいフラグ「subscriber data reload required」をアクティブに設定し、パラメータ「re registration required」を持つDL NASトランスポートメッセージをUEに送信する。この結果として、UEは、2つの登録手順(1つは3GPPアクセス用、もう1つは非3GPPアクセス用)を実行できる。AMFがUEから登録要求メッセージ(registration request message)を受信し、AMFがアクティブであるフラグ「subscriber data reload required」を持つ場合、AMFが加入者データを持っている場合でも、AMFは、UDMから最新の加入者データを取得するために、UDMに対してNudm_SDM_Get手順を呼び出す。AMFがNudm_SDM_Get手順を実行すると、AMFは、フラグ「subscriber data reload required」を非アクティブに設定する。
または、UDMは、Nudm_SDM_Notificationメッセージにおいて、UDMからの加入者データのリロードが必要であることをAMFに示す。AMFがパラメータ「subscriber data reload required」を持つNudm_SDM_Notificationメッセージを受信した場合、AMFは、新しいパラメータ「re-registration required for subscriber data reloading」を持つDL NASトランスポートメッセージを、UEに送信する。この結果として、UEは、2つの登録手順(1つは3GPPアクセス用、もう1つは非3GPPアクセス用)を実行できる。UEからパラメータ「re-registration required for subscriber data reloading」を持つ登録要求メッセージをAMFが受信すると、AMFは、加入者データを保持している場合でも、UDMから最新の加入者データを取得するために、UDMに対してNudm_SDM_Get手順を呼び出す。
UEが2つの関連づけられたAMFを有しているが、新しい更新されたUE構成データの影響を受けるのは1つのAMFだけであることをUDMが確認した場合、UDMは、この更新の影響を受けるAMFに、1つのNudm_UDM_Notificationメッセージだけを送信してもよい。
6. AMFは、選択されたPLMNまたは選択されたRATを介して、DL NAS TransportメッセージにおいてUPUデータ、UPU-MAC-Iausf、Counterupuを、UEに配信する。
7. 実施形態1によれば、UEは、SoRメッセージの送信にどのANが使用されたかを検出したり、または、SoRメッセージ内のANを示すフィールド(または、他のキー識別情報(other key identifying information))を読み出したりすることにより、ストレージから適切なキーを選択する。UEは、選択された鍵を用いて、完全性保護を実行し、オプションとして同じメカニズムを用いて完全性保護されたメッセージを返す。
UE構成データは、UEサブスクリプションデータ(UE subscription data)、つまり、AMFまたはSMFに格納されたサブスクリプションデータ(5Gサブスクリプション(5G subscription)、サブスクライブされたS-NSSAI(Subscribed S-NSSAI)、許可されているまたは許可されていないトラッキングエリア(Allowed or non-allowed tracking area))であってもよいし、UE加入者データ(UE subscriber data)、つまり、MEメモリまたはUSIMに格納されたデータ(例えば、ルーティングID(Routing Identity)、デフォルト設定のNSSAI(Default configured NSSAI))であってもよい。
Nausf_UPUProtectionメッセージおよびNausf_UPUProtection Responseメッセージは、第5の実施形態においてさらに定義される。
Nausf_UPUProtectionメッセージおよびNausf_UPUProtection Responseメッセージは、第5の実施形態においてさらに定義される。
たとえば、UDMがUEまたはAMFに認証手順を実行するように要求する必要がある場合がある。たとえば、UEは、EPSから5GSへのハンドオーバーを実行し、いずれかの5Gベースの認証が5GSにおいて行われる。この場合、UEとネットワークとは、いわゆる「マップされた」セキュリティコンテキストで終わる可能性がある。これは、UEが他のネットワークタイプ(例えば、EPC/LTE)に対して認証済みであり、UEが前のネットワークタイプと現在のネットワークタイプとの間のハンドオーバ手順(例えば、EPCから5GCへのハンドオーバ)を完了したことを意味する。サービスの継続性を維持するために、前のネットワークタイプのセキュリティコンテキストが次のネットワークタイプのセキュリティコンテキストにマッピングされる。たとえば、EPCから5GCへのハンドオーバでは、このことは、KAMF(認証成功後にUEとAMFとが共有する5Gのキー)が、KASME(認証成功後にMMEとUEとが共有するEPCのキー)から導出されることを意味する。NASキー、gNBキー、RRCキー、UPキーなどのその他すべてのキーは、「マップされた」KAMFからさらに導出される。マップされていないまたはネイティブのセキュリティコンテキストでは、KAMFは、キー階層の上位のキー、つまりKSEAFから導出され、KSEAFは、KAUSFから導出され、KAUSFは、CKおよびIK、または、CK’およびIK’から導出される。したがって、マップされたセキュリティコンテキストが存在するということは、そのセキュリティコンテキストに対応するKSEAFまたはKAUSFが存在しないということを意味する。なぜなら、5GCを介して認証が行われていないからである。この場合、AUSFが有効なKAUSFを持っていないため、SoR手順は失敗する。同様に、SEAF及びUEはKSEAFを持っていないため、KSEAFに依存した手順も失敗する。この問題は、SEAFとAMFとが分離された実体(entity)であり、KSEAFに基づくKAMFをリフレッシュする手順が導入されると、より緊急になる。この場合、図3のステップ5およびステップ6は、以下のようになる。以下の手順は、SoR送信メカニズムおよびUE構成メカニズムの両方に適用可能である。
ステップ5: UDMは、Nudm_SDM_Notificationメッセージで、新しいパラメータ「authentication required」をAMFに示す。
パラメータ「authentication required」を持つNudm_SDM_Notificationメッセージを受信した場合、AMFは、非特許文献5のsection 6.1.3.1またはsection 6.1.3.2.0の説明に従って、認証手順を実行する。
パラメータ「authentication required」を持つNudm_SDM_Notificationメッセージを受信した場合、AMFは、非特許文献5のsection 6.1.3.1またはsection 6.1.3.2.0の説明に従って、認証手順を実行する。
または、
ステップ5で、UDMは、Nudm_SDM_Notificationメッセージで、新しいパラメータ「authentication required」を、AMFに示す。
ステップ6で、AMFがパラメータ「authentication required」を持つNudm_SDM_Notificationメッセージを受信すると、AMFは、新しいパラメータ「authentication required」を持つDL NASトランスポートメッセージを、UEに送信する。UEがパラメータ「authentication required」を持つDL NASトランスポートメッセージ(DL NAS transport message)を受信すると、UEは、非特許文献5のsection 6.1.2および section 6.1.3.1またはsection 6.1.2および section 6.1.3.2.0の説明に従って、認証手順を実行する。一例では、UEは、「利用可能な鍵がない(no key is available)」に設定されたパラメータSUCIまたはngKSIの少なくとも1つを含むRegistration Requestメッセージを送信することによって、登録手順を開始してもよい。Registration Requestメッセージを受信すると、AMFは、AUSFに対して認証手順を開始する。
ステップ5で、UDMは、Nudm_SDM_Notificationメッセージで、新しいパラメータ「authentication required」を、AMFに示す。
ステップ6で、AMFがパラメータ「authentication required」を持つNudm_SDM_Notificationメッセージを受信すると、AMFは、新しいパラメータ「authentication required」を持つDL NASトランスポートメッセージを、UEに送信する。UEがパラメータ「authentication required」を持つDL NASトランスポートメッセージ(DL NAS transport message)を受信すると、UEは、非特許文献5のsection 6.1.2および section 6.1.3.1またはsection 6.1.2および section 6.1.3.2.0の説明に従って、認証手順を実行する。一例では、UEは、「利用可能な鍵がない(no key is available)」に設定されたパラメータSUCIまたはngKSIの少なくとも1つを含むRegistration Requestメッセージを送信することによって、登録手順を開始してもよい。Registration Requestメッセージを受信すると、AMFは、AUSFに対して認証手順を開始する。
別のソリューションは、EPSから5GSへのハンドオーバー後にUEがマップされたセキュリティコンテキストで終わる状況で、UEが、5Gネットワークに対して、登録解除手順(deregistration procedure)をトリガーしてもよいことである。このような場合、5GネットワークおよびUEは、登録解除時に現在マッピングされているセキュリティコンテキストを削除し、UEが再度ネットワークに登録するときに新しい認証を要求する。このソリューションには、サービスの継続性に失敗するという欠点がある。したがって、UEは、以下の場合に、それに応じて行動することを決定することができる。
- ホームネットワークは、この動作をUEに構成している。このような場合、ホームネットワークは、USIMにフラグを設定するか、又は、UE構成(UE configuration)にフラグを設定してもよく、このフラグは、UEがマッピングされたセキュリティコンテキストを持つたびにUEが再登録すべきであることを意味する(たとえば、このようなパラメータは、「avoid mapped security context」であり、set=1とすることができる。)。起動時に、UEは、このパラメータを読み取り、このパラメータが存在して設定されている場合は、ここで説明する動作にデフォルト設定される。
- UEは、前述のパラメータが設定されており(avoid mapped security context=1)、UEがAMFから再認証の要求を受信していない場合にのみ、これを行う。後者は、UEが、新たに導入されたパラメータ「authentication required」をサポートしない可能性のあるAMFに接続されていることを示す。このようにして、UEは、認証をトリガするために再登録する必要があると結論づける。
- ホームネットワークは、この動作をUEに構成している。このような場合、ホームネットワークは、USIMにフラグを設定するか、又は、UE構成(UE configuration)にフラグを設定してもよく、このフラグは、UEがマッピングされたセキュリティコンテキストを持つたびにUEが再登録すべきであることを意味する(たとえば、このようなパラメータは、「avoid mapped security context」であり、set=1とすることができる。)。起動時に、UEは、このパラメータを読み取り、このパラメータが存在して設定されている場合は、ここで説明する動作にデフォルト設定される。
- UEは、前述のパラメータが設定されており(avoid mapped security context=1)、UEがAMFから再認証の要求を受信していない場合にのみ、これを行う。後者は、UEが、新たに導入されたパラメータ「authentication required」をサポートしない可能性のあるAMFに接続されていることを示す。このようにして、UEは、認証をトリガするために再登録する必要があると結論づける。
<第3実施形態(問題ステートメント1, 2を解決するためのソリューション3)>
AUSFでのセキュリティキーとRATとの関連付け。
図4は、本開示の第3実施形態による手順を示す図である。
AUSFでのセキュリティキーとRATとの関連付け。
図4は、本開示の第3実施形態による手順を示す図である。
1. UEは、SUCIまたは5G-GUTIのいずれかを含むNASメッセージをAMFに送信する。
2. AMF/SEAFは、(例えば、初回登録手順の間に)認証手順の起動を決定する。AMF/SEAFは、現在のNASシグナリング接続に関連付けられている、SUCIまたはSUPI、SN-name、(Serving Network(PLMN)のMCCおよびMNC)、または、RATの少なくとも1つを含む、Nausf_UEAuthentication_Authenticate Requestメッセージを送信する。
2. AMF/SEAFは、(例えば、初回登録手順の間に)認証手順の起動を決定する。AMF/SEAFは、現在のNASシグナリング接続に関連付けられている、SUCIまたはSUPI、SN-name、(Serving Network(PLMN)のMCCおよびMNC)、または、RATの少なくとも1つを含む、Nausf_UEAuthentication_Authenticate Requestメッセージを送信する。
3-4. AUSFは、Nausf_UEAuthentication_Authenticate Requestメッセージを受信すると、受信したRATおよびSN-name(MCCおよびMNC)を格納し、そして、AUSFは、SUCIまたはSUPI、SN-Name、または、RATの少なくとも1つを含む、Nudm_UEAuthentication_Get RequestをUDMに送信する。
5-6.UDMは、Nausf_UEAuthentication_Authenticate Requestメッセージを受信すると、SUCIをSUPIへ非秘匿化し、SUPIの認証ベクトル(AV)を生成する。UDMは、認証手順が開始される現在のNASシグナリングに関連付けられた、5G HE AV、SUPI、またはRATの少なくとも1つを含む、Nudm_Authentication_Get ResponseメッセージをAUSFに送信する。
7.Nudm_Authentication_Get Responseメッセージを受信すると、AUSFは、サービングネットワーク名およびRATとともに、KAUSFを格納する。
Nausf_UEAuthentication_Authenticateメッセージは、第5の実施形態で定義される。
Nausf_UEAuthentication_Authenticateメッセージは、第5の実施形態で定義される。
<第3実施形態(問題ステートメント1, 2を解決するためのソリューション3)への変形例1a>
AUSFでのセキュリティキーとRATとの関連付け。
図5は、本開示の第1実施形態の変形例1aによる手順を示す図である。
1. UEは、SUCIまたは5G-GUTIのいずれかを含むNASメッセージをAMFに送信する。
このメッセージで、UEは、複数のKAUSFおよび関連付けられた複数のRATの格納のサポートを示す。このマルチプルKAUSFケイパブルインジケータ(MKCI:Multiple KAUSF Capable indicator)は、次のものに含められ得る。
- UDMに転送されるSUCIにおけるフィールド。これは、新しいフィールドでも、ルーティングID(RoutingID)やキー識別子(Key Identifier)などの既存のフィールドの一部でもよい。また、それは、特定の機能(certain features)のサポートを示す追加の数字(additional digit)を含めるなどして、保護されたSUPIに追加されてもよい。また、それは、SUCIの秘匿部分または非秘匿部分のいずれかに含まれる別の新規フィールドであってもよい。
- NASメッセージ自体の新しいフィールド。
AUSFでのセキュリティキーとRATとの関連付け。
図5は、本開示の第1実施形態の変形例1aによる手順を示す図である。
1. UEは、SUCIまたは5G-GUTIのいずれかを含むNASメッセージをAMFに送信する。
このメッセージで、UEは、複数のKAUSFおよび関連付けられた複数のRATの格納のサポートを示す。このマルチプルKAUSFケイパブルインジケータ(MKCI:Multiple KAUSF Capable indicator)は、次のものに含められ得る。
- UDMに転送されるSUCIにおけるフィールド。これは、新しいフィールドでも、ルーティングID(RoutingID)やキー識別子(Key Identifier)などの既存のフィールドの一部でもよい。また、それは、特定の機能(certain features)のサポートを示す追加の数字(additional digit)を含めるなどして、保護されたSUPIに追加されてもよい。また、それは、SUCIの秘匿部分または非秘匿部分のいずれかに含まれる別の新規フィールドであってもよい。
- NASメッセージ自体の新しいフィールド。
2. AMF/SEAFは、(例えば、初回登録手順の間に)認証手順の起動を決定する。
AMF/SEAFは、現在のNASシグナリング接続に関連付けられている、SUCIまたはSUPI、SN-name、(Serving Network(PLMN)のMCCおよびMNC)、または、RATの少なくとも1つを含む、Nausf_UEAuthentication_Authenticate Requestメッセージを送信する。
UEが最初のNASメッセージ(initial NAS message)にMKCIを含めた場合、AMFは、AUSFへのメッセージにもMKCIを含める。
AMF/SEAFは、現在のNASシグナリング接続に関連付けられている、SUCIまたはSUPI、SN-name、(Serving Network(PLMN)のMCCおよびMNC)、または、RATの少なくとも1つを含む、Nausf_UEAuthentication_Authenticate Requestメッセージを送信する。
UEが最初のNASメッセージ(initial NAS message)にMKCIを含めた場合、AMFは、AUSFへのメッセージにもMKCIを含める。
3-4. AUSFは、Nausf_UEAuthentication_Authenticate Requestメッセージを受信すると、受信したRATおよびSN-name(MCCおよびMNC)を格納し、SUCIまたはSUPI、SN-Name、または、RATの少なくとも1つを含む、Nudm_UEAuthentication_Get RequestをUDMに送信する。MKCIパラメータが含まれている場合、AUSFは、このUEが複数のKAUSFを格納できるとマークする。インジケータが含まれていない場合、AUSFは、このUEが複数のKAUSFを格納できないとマークする。これにより、AUSFは、認証の結果生じた最新のKAUSFをどのUEに対して使用すべきか、または、ストレージ内の複数のKAUSFからどのUEに対して選択できるかを決定することができる。
5-6. UDMは、Nausf_UEAuthentication_Authenticate Requestメッセージを受信すると、SUCIをSUPIへ非秘匿化し、SUPIの認証ベクトル(AV)を生成する。UDMは、認証手順が開始される現在のNASシグナリングに関連付けられた、5G HE AV、またはSUPI、またはRATの少なくとも1つを含む、Nudm_Authentication_Get ResponseメッセージをAUSFに送信する。
7. AUSFは、Nudm_Authentication_Get Responseメッセージを受信すると、サービングネットワーク名およびRATとともに、KAUSFを格納し、MKCIとの互換性が無いことを示したUEsの場合は、認証の時刻を格納する。AUSFは、SoR手順(SoR procedure)、UPU手順(UPU procedure)での使用、または、KAUSFに依存する認証サービスまたはブートストラッピングサービスまたはホームネットワークとUEとの間のさらなる通信などのKAUSFの他の使用のために、KAUSFを選択するときに、これを使用できる。
UEがMKCIを含めた場合、前述した実施形態のように、それは、複数のKAUSFを格納することが可能であることを意味する。認証の実行が完了すると、UEは、PLMN IDおよびRATとともにKAUSFを、キー格納領域(storage for keys)に格納する。
Nausf_UEAuthentication_Authenticateメッセージは、第5の実施形態で定義される。
Nausf_UEAuthentication_Authenticateメッセージは、第5の実施形態で定義される。
<第3実施形態(問題ステートメント1, 2を解決するためのソリューション3)への変形例1b>
変形例1aの1つの欠点は、UEが、ホームネットワークが複数のキーを格納するオプションと互換性があるかどうかを事前に知らないことである。そのため、ホームネットワークが複数のキーの格納に対応していることをUEに通知する仕組みが必要である。また、ホームネットワークは、KAUSFの格納を全く必要としないようなSoRやUPUの手順を使用しないかもしれない。
変形例1aの1つの欠点は、UEが、ホームネットワークが複数のキーを格納するオプションと互換性があるかどうかを事前に知らないことである。そのため、ホームネットワークが複数のキーの格納に対応していることをUEに通知する仕組みが必要である。また、ホームネットワークは、KAUSFの格納を全く必要としないようなSoRやUPUの手順を使用しないかもしれない。
この実施形態では、ホームネットワークが複数のKAUSFを格納することと互換性があることをUEに示す追加のパラメータがUSIMに格納される。これは次のように動作する。
1. UEが、USIM上のファイルシステムを起動して読み取る。UEは、ホームネットワークが複数のKAUSFを格納できる設定の有無をチェックする。その設定が見つかると、UEは、そのパラメータを読み込み、trueに設定されている場合、UEは、複数のKAUSFの格納が必要であると想定する。
1. UEが、USIM上のファイルシステムを起動して読み取る。UEは、ホームネットワークが複数のKAUSFを格納できる設定の有無をチェックする。その設定が見つかると、UEは、そのパラメータを読み込み、trueに設定されている場合、UEは、複数のKAUSFの格納が必要であると想定する。
2. UEは、SUCIにMKCIを設定し、これは、UEが複数のKAUSFの格納に対応していることをホームネットワークに示す。
この変形例は、MKCIセットを用いた、前の変形例と同様に続く。
この変形例は、MKCIセットを用いた、前の変形例と同様に続く。
さらに、USIMは、UEに次のことを送るために設定され得る、2つのパラメータまたは1つのパラメータを含むことができる。
・KAUSFの保管は一切不要(No storage of KAUSF necessary whatsoever)
・1つのKAUSFのみ保持されうる(最新のものが保持される)(Only one KAUSF can be stored (latest one is stored))
・複数のKAUSFが保持され得る(Multiple KAUSFs can be stored)
・KAUSFの保管は一切不要(No storage of KAUSF necessary whatsoever)
・1つのKAUSFのみ保持されうる(最新のものが保持される)(Only one KAUSF can be stored (latest one is stored))
・複数のKAUSFが保持され得る(Multiple KAUSFs can be stored)
この実施形態の1つの利点は、複数のKAUSFの記憶と互換性がないUEは、そのパラメータを読み取らず、ネットワークにその互換性を示さないことである。このような場合、UDMはどのKAUSFを使用できるかを決定するために、フォールバックメカニズム(fall back mechanisms)を使用する必要がある。
<第3実施形態(問題ステートメント1, 2を解決するためのソリューション3)への変形例1c>
変形例1aの1つの欠点は、UEが、ホームネットワークが複数のキーを格納するオプションと互換性があるかどうかを事前に知らないことである。そのため、ホームネットワークが複数のキーの格納に対応していることをUEに通知する仕組みが必要である。また、ホームネットワークは、KAUSFの格納を全く必要としないようなSoRやUPUの手順を使用しないかもしれない。
変形例1aの1つの欠点は、UEが、ホームネットワークが複数のキーを格納するオプションと互換性があるかどうかを事前に知らないことである。そのため、ホームネットワークが複数のキーの格納に対応していることをUEに通知する仕組みが必要である。また、ホームネットワークは、KAUSFの格納を全く必要としないようなSoRやUPUの手順を使用しないかもしれない。
登録手順(Registration procedure)中にこの問題を解決するために、AMFは、NASメッセージ(例えば、Registration acceptメッセージ、authentication Requestメッセージ、Security mode commandメッセージ、またはその他のNASメッセージ)でAUSF KAUSFストレージ機能(AUSF KAUSF storage capability)を示す。これは、次のように動作する。AUSFが、第1にこの機能をAMF/SEAFに示すか、または、第1に、AMFが、Operation and Management手順によってこの機能を決定する。第2に、ネットワークは、例えば上記のNASメッセージを介して、これをUEに示す。あるいは、ネットワークは、例えば、システム情報ブロック(System information Block)またはMIBまたは任意のシステム情報(system information)を使用して、この機能をブロードキャストすることができる。ネットワークKAUSFストレージ機能(network KAUSF storage capability)は、次のネットワークKAUSFストレージ機能のいずれかを示してもよい。
・KAUSFの保管は一切不要(No storage of KAUSF necessary whatsoever)
・1つのKAUSFのみ保持されうる(最新のものが保持される)(Only one KAUSF can be stored (latest one is stored))
・複数のKAUSFが保持され得る(Multiple KAUSFs can be stored)
・KAUSFの保管は一切不要(No storage of KAUSF necessary whatsoever)
・1つのKAUSFのみ保持されうる(最新のものが保持される)(Only one KAUSF can be stored (latest one is stored))
・複数のKAUSFが保持され得る(Multiple KAUSFs can be stored)
この機能を受信したUEは、それに応じてKAUSFを格納する。例えば、KAUSFの格納が示されていない場合、UEは、いずれのKAUSFを格納しなくてもよい。また、1つのKAUSFのみが格納され得ることが示されている場合、UEは、1つのKAUSFのみを格納できる。また、複数のKAUSFが格納され得る場合、UEは、複数のKAUSFを格納できる。UEがこの機能を受信すると、UEは、NASメッセージを送信することによって、この機能の受信を知らせてもよい。
<第3実施形態(問題ステートメント1, 2を解決するためのソリューション3)への変形例1d>
変形例1aの1つの欠点は、UEが、ホームネットワークが複数のキーを格納するオプションと互換性があるかどうかを事前に知らないことである。ネットワークが複数のKAUSFの格納に対応していないと思われる場合、UEは、次のように動作できる。
- 複数のKAUSFを格納し、そして、ネットワークが複数のKAUSFを格納できるとみなす。
- UEがKAUSFで保護された、ネットワークからのメッセージを受信した場合、UEは、次の処理を行う。
>メッセージフォーマットがRATまたはPLMNのようなキー識別情報(key identifying information)を含む場合、UEは、デフォルトで、先の実施形態の動作を行う。例えば、UEは、適切なキーを検索し、メッセージに対して見つけられた関連キーを使用してメッセージを処理する。
>メッセージフォーマットが明示的なキーシグナリングを含まない場合、UEは、暗黙的なシグナリングを検出しようとする。第1実施形態で述べたように、UEは、メッセージがどのRATを介して送信されたかを確認し、このRATに適した鍵を見つけることができる。次に、UEは、AUSFによってメッセージに適用された完全性保護を検証し、それが正しければ、UEは、説明されたようにメッセージを処理する。そのため、UEは、UEパラメータを更新したり、ペイロードをUSIMに転送したり、優先ローミングPLMN(preferred roaming PLMNs)のリストを更新したりする。ただし、検証が正しくない場合、UEは、次の処理を行う。
*UEは、ネットワークが複数のKAUSFを格納できないとみなす。
*UEは、最新のKAUSFをメモリから取得する。
*UEは、メモリから取得したKAUSFを使用してメッセージを処理し、完全性保護が失敗すると、メッセージを廃棄する。完全性保護が失敗しない場合は、前述のようにメッセージが処理される。
変形例1aの1つの欠点は、UEが、ホームネットワークが複数のキーを格納するオプションと互換性があるかどうかを事前に知らないことである。ネットワークが複数のKAUSFの格納に対応していないと思われる場合、UEは、次のように動作できる。
- 複数のKAUSFを格納し、そして、ネットワークが複数のKAUSFを格納できるとみなす。
- UEがKAUSFで保護された、ネットワークからのメッセージを受信した場合、UEは、次の処理を行う。
>メッセージフォーマットがRATまたはPLMNのようなキー識別情報(key identifying information)を含む場合、UEは、デフォルトで、先の実施形態の動作を行う。例えば、UEは、適切なキーを検索し、メッセージに対して見つけられた関連キーを使用してメッセージを処理する。
>メッセージフォーマットが明示的なキーシグナリングを含まない場合、UEは、暗黙的なシグナリングを検出しようとする。第1実施形態で述べたように、UEは、メッセージがどのRATを介して送信されたかを確認し、このRATに適した鍵を見つけることができる。次に、UEは、AUSFによってメッセージに適用された完全性保護を検証し、それが正しければ、UEは、説明されたようにメッセージを処理する。そのため、UEは、UEパラメータを更新したり、ペイロードをUSIMに転送したり、優先ローミングPLMN(preferred roaming PLMNs)のリストを更新したりする。ただし、検証が正しくない場合、UEは、次の処理を行う。
*UEは、ネットワークが複数のKAUSFを格納できないとみなす。
*UEは、最新のKAUSFをメモリから取得する。
*UEは、メモリから取得したKAUSFを使用してメッセージを処理し、完全性保護が失敗すると、メッセージを廃棄する。完全性保護が失敗しない場合は、前述のようにメッセージが処理される。
<第4実施形態(問題ステートメント1, 2を解決するためのソリューション4)>
対応するセキュリティキーおよび通信を格納するための、PLMNとRATのピニング(Pinning)
図6は、本開示の第4実施形態による手順を示す図である。
図6に、非特許文献5によるEAP AKA'交換(EAP AKA' exchange)を示す。ステップ1-8は、非特許文献5に詳細に記載されており、完全を期すために以下に要約する。ステップ9-13は、非特許文献5には存在しない。
対応するセキュリティキーおよび通信を格納するための、PLMNとRATのピニング(Pinning)
図6は、本開示の第4実施形態による手順を示す図である。
図6に、非特許文献5によるEAP AKA'交換(EAP AKA' exchange)を示す。ステップ1-8は、非特許文献5に詳細に記載されており、完全を期すために以下に要約する。ステップ9-13は、非特許文献5には存在しない。
1. UDMは、EAP AKA'のAVを生成する。
2. UDMは、Nudm_UEAuthenticate_Get Responseを使用して、EAP AKA'AVをAUSFに送信する。
2. UDMは、Nudm_UEAuthenticate_Get Responseを使用して、EAP AKA'AVをAUSFに送信する。
3. AUSFは、EAP Request/AKA'-Challengeを、Nausf_UEAuthentication_Authenticate Responseを使用してAMF/SEAFに送信する。
4. AMF/SEAFは、EAP Request/AKA'-ChallengeをUEに送信する。
4. AMF/SEAFは、EAP Request/AKA'-ChallengeをUEに送信する。
5. UE内では、USIMが、ME(Mobile Equipment)からAKA'-Challengeを受け取り、そのChallengeに対する応答RESを算出し、そのRES、CK、およびIKをMEにエクスポートする。CKおよびIKを受け取ったMEは、CKおよびIKからCK’およびIK’を導出し、続いて、CK’およびIK’からKAUSFを導出する。MEは、さらに、KAUSFから、KSEAFおよびKAMFなどのキーを算出してもよい。
6. UEは、そのRESをAMF/SEAFに返す。
7. AMF/SEAFは、Nausf_UEAuthentication_Authenticate Requestを使用して、そのRESをAUSFに返す。
7. AMF/SEAFは、Nausf_UEAuthentication_Authenticate Requestを使用して、そのRESをAUSFに返す。
8. RESを受信すると、AUSFは、UDMから受信したAVに含まれていたXRESとそれを比較することによって、そのRESを検証する。正しい場合、AUSFは、この認証の結果得られるキーを、KAUSFキー設定手順を実行することによって後続の手順に使用されるKAUSFとしてマークすることを決定してもよい。したがって、AUSFは、ステップ9を実行する。例えば、ストレージにKAUSFを保持している、又は、UEが非3GPP AN上で認証中であるなどの理由で、AUSFが新しいKAUSFが必要ないと判断した場合、AUSFは、AUSFキー設定手順(AUSF key setting procedure)を省略してもよい。
KAUSFキー設定手順(KAUSF key setting procedure)は、先行技術から、ステップ8の後にオプションのEAPメッセージを送信する可能性を利用できる。したがって、この手順は、既存のAMF/SEAFとの後方互換性を維持しながら、この時点で実行されてもよい。
KAUSFキー設定手順は、以下の複数のステップ(9-13)を有し、その後、AUSFは、先行技術において定義された振る舞いに戻る。
KAUSFキー設定手順は、以下の複数のステップ(9-13)を有し、その後、AUSFは、先行技術において定義された振る舞いに戻る。
9. AUSFは、次のいずれかを含むEAPメッセージをAMFに送信する。
- ID要求メッセージ(Identity request message)。このメッセージで、AUSFは、UEにID要求(identity request)を送信する。この要求の目的は、KAUSFのID(identity of the KAUSF)で応答するようにUEに要求することである。ただし、手順と互換性のないUEは、SUCIで応答してもよく、このことは、UEに互換性がないことを、AUSFに通知する。KAUSFのID(identity of the KAUSF)は、例えば、KID = KDF (SUPI, KAUSF)として算出されてもよい。
- 通知メッセージ(notification message)。このメッセージは、現在のKAUSFが以降の手順で使用されるKAUSFになることを示すメッセージを含んでいてもよい
- 要求(request):たとえば、UEがKAUSFを計算してその所有を証明することの申し込み(challenge)を含むEAP要求メッセージ(EAP request message)。そのメッセージは、認証トークン(authentication token)を含んでいてもよく、これにより、UEは、申し込み(challenge)が正当な送信元から送信されたことを認識できる。そのリクエストメッセージは、また、AUSFからの、KAUSFの申し込み(challenge)または所有の証明(proof of possession)を含んでいてもよい。かかる所有の証明は、AUSFが、KDF(例えば、proof_of_position=KDF (Rand,KAUSF))を用いて、ランダム値およびKAUSF自体から算出してもよい。
- ID要求メッセージ(Identity request message)。このメッセージで、AUSFは、UEにID要求(identity request)を送信する。この要求の目的は、KAUSFのID(identity of the KAUSF)で応答するようにUEに要求することである。ただし、手順と互換性のないUEは、SUCIで応答してもよく、このことは、UEに互換性がないことを、AUSFに通知する。KAUSFのID(identity of the KAUSF)は、例えば、KID = KDF (SUPI, KAUSF)として算出されてもよい。
- 通知メッセージ(notification message)。このメッセージは、現在のKAUSFが以降の手順で使用されるKAUSFになることを示すメッセージを含んでいてもよい
- 要求(request):たとえば、UEがKAUSFを計算してその所有を証明することの申し込み(challenge)を含むEAP要求メッセージ(EAP request message)。そのメッセージは、認証トークン(authentication token)を含んでいてもよく、これにより、UEは、申し込み(challenge)が正当な送信元から送信されたことを認識できる。そのリクエストメッセージは、また、AUSFからの、KAUSFの申し込み(challenge)または所有の証明(proof of possession)を含んでいてもよい。かかる所有の証明は、AUSFが、KDF(例えば、proof_of_position=KDF (Rand,KAUSF))を用いて、ランダム値およびKAUSF自体から算出してもよい。
10. AMF/SEAFは、UEにメッセージを転送する
11. UEは、そのメッセージに対する応答メッセージを、メッセージのタイプに応じて生成する。
- ID応答メッセージ(Identity response message):受け取ったメッセージがID要求メッセージ(identity request message)であった場合、UEは、KAUSFとハッシュ関数(例えば、requested identity = KDF(SUPI, KAUSF))とから構成されるメッセージで応答できる。ここで、UEは、SUPIを要求されたID算出の入力パラメータの1つとして使用する。UEは、PLMN RATの組み合わせ、SUCI、または、AUSFと共有される他のパラメータを使用することもできる。
- 通知メッセージ(notification message):UEは、通知メッセージを確認し、このKAUSFを、現在のものとしてマークしてもよい。
- 要求(request):要求に申し込み(challenge)が含まれている場合、UEは、AUSFが期待される応答の算出に使用したのと同じ関数(例えば、res = KDF(Challenge, KAUSF))を使用して、応答を算出する。申し込み(challenge)がキーの所有の証明(proof of possession)を含む場合、UEは、まず、AUSF proof_of_possession = KDF(Rand, KAUSF)と同じ算出を実行し、UEの算出結果がメッセージで見つかった所有の証明と一致することを検証することによって、キーの所有の証明を検証してもよい。
応答を計算した後、UEは、そのAUSFを格納し、それを以降の手順で使用されるキーとしてマークする。
11. UEは、そのメッセージに対する応答メッセージを、メッセージのタイプに応じて生成する。
- ID応答メッセージ(Identity response message):受け取ったメッセージがID要求メッセージ(identity request message)であった場合、UEは、KAUSFとハッシュ関数(例えば、requested identity = KDF(SUPI, KAUSF))とから構成されるメッセージで応答できる。ここで、UEは、SUPIを要求されたID算出の入力パラメータの1つとして使用する。UEは、PLMN RATの組み合わせ、SUCI、または、AUSFと共有される他のパラメータを使用することもできる。
- 通知メッセージ(notification message):UEは、通知メッセージを確認し、このKAUSFを、現在のものとしてマークしてもよい。
- 要求(request):要求に申し込み(challenge)が含まれている場合、UEは、AUSFが期待される応答の算出に使用したのと同じ関数(例えば、res = KDF(Challenge, KAUSF))を使用して、応答を算出する。申し込み(challenge)がキーの所有の証明(proof of possession)を含む場合、UEは、まず、AUSF proof_of_possession = KDF(Rand, KAUSF)と同じ算出を実行し、UEの算出結果がメッセージで見つかった所有の証明と一致することを検証することによって、キーの所有の証明を検証してもよい。
応答を計算した後、UEは、そのAUSFを格納し、それを以降の手順で使用されるキーとしてマークする。
12. UEは、ステップ11で生成されたメッセージで応答する。
13. AMF/SEAFは、UEの応答をAUSFに転送する。
13. AMF/SEAFは、UEの応答をAUSFに転送する。
14. AUSFは、UEからそのメッセージを受信し、そのメッセージの種類に応じて次のアクションを実行する。
- ID応答メッセージ:AUSFは、期待されるIDがUEから提供されたIDと一致することを確認する。
正しい場合、AUSFは、その新しいキーを保存し、以降の手順で使用するキーとしてマークする。UEがその機能を実装していないなどの理由でUEがエラーで応答した場合、AUSFは、UEをキーピニング機能(key pinning feature)を持たないUEとしてマークし、後続の手順に使用するKAUSFを保存する。これは、後続の認証では、AUSFがUEの動作に一致しようとするため、認証の完了後にKAUSFを上書きし続けることも意味する。AUSFがIDが一致しないことを検出した場合、キーが誤って計算されたため、AUSFは、認証を中止する必要がある。
- 通知確認答メッセージ(notification acknowledge message):その通知確認応答を受信した場合、AUSFは、UEがこの機能をサポートしていると判断し、そのキーを、以降の手順で使用するものとしてマークする。エラーを受信した場合、AUSFは、そのUEがこの機能をサポートしていないと判断し、このUEがこの機能をサポートしていないとマークする(したがって、そのKAUSFを保存する)。
- 応答(response):AUSFは、応答を確認し、その応答が期待される応答と一致する場合、AUSFは、UEがそのキーを正常に計算し、キーピニング機能(feature of key pinning)をサポートしていると結論付ける。AUSFは、そのキーを保存し、将来使用するためにマークする。AUSFがエラーメッセージを受信した場合、AUSFは、そのUEがこの機能をサポートしていないと判断する。AUSFは、UEがこの機能と互換性がないことをマークし、そのKAUSFを保存する。
- ID応答メッセージ:AUSFは、期待されるIDがUEから提供されたIDと一致することを確認する。
正しい場合、AUSFは、その新しいキーを保存し、以降の手順で使用するキーとしてマークする。UEがその機能を実装していないなどの理由でUEがエラーで応答した場合、AUSFは、UEをキーピニング機能(key pinning feature)を持たないUEとしてマークし、後続の手順に使用するKAUSFを保存する。これは、後続の認証では、AUSFがUEの動作に一致しようとするため、認証の完了後にKAUSFを上書きし続けることも意味する。AUSFがIDが一致しないことを検出した場合、キーが誤って計算されたため、AUSFは、認証を中止する必要がある。
- 通知確認答メッセージ(notification acknowledge message):その通知確認応答を受信した場合、AUSFは、UEがこの機能をサポートしていると判断し、そのキーを、以降の手順で使用するものとしてマークする。エラーを受信した場合、AUSFは、そのUEがこの機能をサポートしていないと判断し、このUEがこの機能をサポートしていないとマークする(したがって、そのKAUSFを保存する)。
- 応答(response):AUSFは、応答を確認し、その応答が期待される応答と一致する場合、AUSFは、UEがそのキーを正常に計算し、キーピニング機能(feature of key pinning)をサポートしていると結論付ける。AUSFは、そのキーを保存し、将来使用するためにマークする。AUSFがエラーメッセージを受信した場合、AUSFは、そのUEがこの機能をサポートしていないと判断する。AUSFは、UEがこの機能と互換性がないことをマークし、そのKAUSFを保存する。
認証手順は、非特許文献5にて記載されているようにさらに続く。
場合によっては、UEはこの機能と互換性があるが、AUSFは互換性がないことがある。
UEは、AUSFに互換性があるか否かを判断することはできないが、本実施形態の手順を用いて、AUSFが互換性を通知するまで、以下の緩和策をとることができる。
- UEが非3GPPアクセス用の第2のPLMNに接続する場合、UEは、KAUSFを上書きする代わりに、その第2のKAUSFを格納する。上記の手順が実行されない限り、UEは、接続されているアクセスごとに少なくとも1つのKAUSFを格納し続ける。UEがSteering of RoamingメッセージまたはUE Parameter Updateメッセージを受信し、それについて完全性を確認するためにKAUSFを使用する必要がある場合、UEは、第1に、完全性を確認するために最新のKAUSFを使用し、これに失敗した場合は、完全性を確認するために、(別のアクセスに関連付けられている)次のKAUSFを使用する。その2番目が成功した場合、UEは、(存在する場合には)リターンメッセージの完全性を保護するために、このKAUSFを使用する。
UEは、AUSFに互換性があるか否かを判断することはできないが、本実施形態の手順を用いて、AUSFが互換性を通知するまで、以下の緩和策をとることができる。
- UEが非3GPPアクセス用の第2のPLMNに接続する場合、UEは、KAUSFを上書きする代わりに、その第2のKAUSFを格納する。上記の手順が実行されない限り、UEは、接続されているアクセスごとに少なくとも1つのKAUSFを格納し続ける。UEがSteering of RoamingメッセージまたはUE Parameter Updateメッセージを受信し、それについて完全性を確認するためにKAUSFを使用する必要がある場合、UEは、第1に、完全性を確認するために最新のKAUSFを使用し、これに失敗した場合は、完全性を確認するために、(別のアクセスに関連付けられている)次のKAUSFを使用する。その2番目が成功した場合、UEは、(存在する場合には)リターンメッセージの完全性を保護するために、このKAUSFを使用する。
<第4実施形態に対する変形例>
認証後に対応するセキュリティキーと通信とを格納するための、PLMNおよびRATのピニング(Pinning a PLMN and RAT)。
第4実施形態は、EAP AKA’における追加のEAPメッセージの選択性のため、EAP AKA’に対してのみ動作する。したがって、5G AKA’を使用するオペレータの場合は、KAUSFを固定するために(to pin the KAUSF)別の方法を開発する必要がある。
認証後に対応するセキュリティキーと通信とを格納するための、PLMNおよびRATのピニング(Pinning a PLMN and RAT)。
第4実施形態は、EAP AKA’における追加のEAPメッセージの選択性のため、EAP AKA’に対してのみ動作する。したがって、5G AKA’を使用するオペレータの場合は、KAUSFを固定するために(to pin the KAUSF)別の方法を開発する必要がある。
図7は、本開示の第4実施形態の変形例による手順を示す図である。
図7には、DL NASトランスポートを使用したキーピニング手順(key pinning procedure)が示されている。この手順は、KAUSFが将来の使用のために固定される(pinned)ことを確かにするために、特定のネットワークへの登録の直後に実行され得る。UEがこの後に別のアクセスに接続した場合、UDMは、以前の登録に関連付けられたキーに依存できるので、この手順を使用しないことを選択できる。その手順は次のとおりである。
1. UEは、アクセスネットワーク、非3GPPアクセス、または3GPPアクセスに登録される。
2. AMF/SEAFは、AUSFとともに認証手順を開始する。
図7には、DL NASトランスポートを使用したキーピニング手順(key pinning procedure)が示されている。この手順は、KAUSFが将来の使用のために固定される(pinned)ことを確かにするために、特定のネットワークへの登録の直後に実行され得る。UEがこの後に別のアクセスに接続した場合、UDMは、以前の登録に関連付けられたキーに依存できるので、この手順を使用しないことを選択できる。その手順は次のとおりである。
1. UEは、アクセスネットワーク、非3GPPアクセス、または3GPPアクセスに登録される。
2. AMF/SEAFは、AUSFとともに認証手順を開始する。
3. 認証手順が完了すると、AMF/SEAFは、セキュアモードコマンド手順(secure mode command procedure)を実行し、そのUEがそのRATとともに登録される。その結果、UEとAUSFとは、以降の手順に使用できるKAUSFをストレージ内に保持する。しかしながら、この実施形態では、UEおよびAUSFは、以下のステップが完了しない限り、以降の手順で使用するためにこのキーをマークしない。
3-a. AMFは、使用されているRadio Access Technology(RAT)を通知するために、Nudm_UECM_Registrationを、UDMに送信する。
3-a. AMFは、使用されているRadio Access Technology(RAT)を通知するために、Nudm_UECM_Registrationを、UDMに送信する。
4. AMFは、加入者データを取得するために、メッセージNudm_SDM_GetをUDMに送信する。
5. UDMは、このPLMN/RATを、UPUおよびSoRなどの後続の手順のために使用することを決定する。
したがって、UDMは、「Nausf_KAUSF_Pinning」メッセージをAUSFに送信する。
このメッセージは、現在の登録のPLMN RATの組み合わせ、SUPI、および、確認応答の要求を含んでいてもよい。
したがって、UDMは、「Nausf_KAUSF_Pinning」メッセージをAUSFに送信する。
このメッセージは、現在の登録のPLMN RATの組み合わせ、SUPI、および、確認応答の要求を含んでいてもよい。
6. AUSFは、現在のKAUSFを使用して、現在のPLMN RATのためのKPin-MAC-Iausfを次のように算出する。
KPin-MAC-Iausf = KDF(SUPI, PLMN, RAT, ACK Indicator, KAUSF)
ここで、KAUSFは、キー導出関数(Key Derivation Function)KDFへの入力キーである。また、KDFは、キーの繰り返しを回避するためにカウンタを含んでいてもよい。あるいは、ランダム値が含まれていてもよい。また、AUSFは、確認応答が必要な場合、期待される応答を算出してもよい。この期待される応答は、以下のように算出されてもよい。
KPin-MAC-Iue = KDF(SUPI, PLMN, RAT, “ACKNOWLEDGEMENT”, KAUSF)
ここで、KAUSFは、KDFへの入力キーであり、テキスト「ACKNOWLEDGEMENT」は、UEがキーの使用を承認したことを示している。
計算された場合、AUSFは、KPin-xMAC-Iueを一時的に保存する。
KPin-MAC-Iausf = KDF(SUPI, PLMN, RAT, ACK Indicator, KAUSF)
ここで、KAUSFは、キー導出関数(Key Derivation Function)KDFへの入力キーである。また、KDFは、キーの繰り返しを回避するためにカウンタを含んでいてもよい。あるいは、ランダム値が含まれていてもよい。また、AUSFは、確認応答が必要な場合、期待される応答を算出してもよい。この期待される応答は、以下のように算出されてもよい。
KPin-MAC-Iue = KDF(SUPI, PLMN, RAT, “ACKNOWLEDGEMENT”, KAUSF)
ここで、KAUSFは、KDFへの入力キーであり、テキスト「ACKNOWLEDGEMENT」は、UEがキーの使用を承認したことを示している。
計算された場合、AUSFは、KPin-xMAC-Iueを一時的に保存する。
7. AUSFは、Nausf_KAUSF_Pinning Responseメッセージで、KPin-MAC-IausfをUDMに返す。そのメッセージは、また、KPin-xMAC-Iueおよび(使用された場合には)カウンタを含んでいてもよい。
8. Nudm_SDM_Get_Responseメッセージに、UDMは、UEがキーを固定するためのインジケータと、Kpin-MAC-Iausfと、(ステップ5のメッセージでAUSFに送信された場合)オプションのACKインジケータとを含める。
8. Nudm_SDM_Get_Responseメッセージに、UDMは、UEがキーを固定するためのインジケータと、Kpin-MAC-Iausfと、(ステップ5のメッセージでAUSFに送信された場合)オプションのACKインジケータとを含める。
9. AMF/SEAFは、KAUSF Pinningインジケータ、Acknowledgementインジケータ、およびKpin-MAC-Iausfを、UEに転送する。
メッセージの受信後、UEは、まず、AUSFが使用したのと同じキー導出関数および入力値を使用して期待される値を算出することによって、KPin-MAC-Iausfの有効性(validity)を算出する。正しければ、UEは、そのKAUSFを使用し、その後の手順で使用されるものとしてマークする。確認応答が必要な場合、UEは、ステップ6で説明したようにKPin-MAC-Iueを算出し、NAS UL TransportメッセージでKPin-MAC-IueをAMF/SEAFに送信する。
メッセージの受信後、UEは、まず、AUSFが使用したのと同じキー導出関数および入力値を使用して期待される値を算出することによって、KPin-MAC-Iausfの有効性(validity)を算出する。正しければ、UEは、そのKAUSFを使用し、その後の手順で使用されるものとしてマークする。確認応答が必要な場合、UEは、ステップ6で説明したようにKPin-MAC-Iueを算出し、NAS UL TransportメッセージでKPin-MAC-IueをAMF/SEAFに送信する。
AMF/SEAFは、このようなメッセージを受信すると、UDMに転送する。UDMは、そのメッセージを受信すると、次の2つの処理を行う。
- この特定のPLMN/RATの組み合わせを、以降の手順の優先パス(preferred path)としてマークする(つまり、UPUまたはSoRのメッセージは、別のアクセスで登録されている場合、同じUEに送信する前に、まずこのパスを使用して送信される。)。
- メッセージをAUSFに送信する。
AUSFは、そのメッセージを受信した後、KAUSFを保存し、このKAUSFを以降の手順で使用するものとしてマークする。
- この特定のPLMN/RATの組み合わせを、以降の手順の優先パス(preferred path)としてマークする(つまり、UPUまたはSoRのメッセージは、別のアクセスで登録されている場合、同じUEに送信する前に、まずこのパスを使用して送信される。)。
- メッセージをAUSFに送信する。
AUSFは、そのメッセージを受信した後、KAUSFを保存し、このKAUSFを以降の手順で使用するものとしてマークする。
<第5実施形態(問題ステートメント1, 2を解決するためのソリューション4)>
上記のすべての実施形態における一例では、第1の5G-ANは、3GPPアクセスであり、第2の5G-ANは、非3GPPアクセスである。
上記のすべての実施形態における別の例では、第1の5G-ANは、非3GPPアクセスであり、第2の5G-ANは、3GPPアクセスである。
1つの例では、上記のすべての実施形態は、第1のPLMNと第2のPLMNとが同一または同等であり、2つの5G NASセキュリティコンテキストがUEおよびネットワーク機能(AUSF/AMF/SEAF)に存在する場合にも、適用される。
1つの例では、上記のすべての実施形態は、UEがHPLMNに登録されている場合、つまり、5GS(すべてのネットワーク機能(NFs)、5G-AN、AMF)がホームPLMNに属する場合に、そのシナリオに適用される。
上記のすべての実施形態における一例では、第1の5G-ANは、3GPPアクセスであり、第2の5G-ANは、非3GPPアクセスである。
上記のすべての実施形態における別の例では、第1の5G-ANは、非3GPPアクセスであり、第2の5G-ANは、3GPPアクセスである。
1つの例では、上記のすべての実施形態は、第1のPLMNと第2のPLMNとが同一または同等であり、2つの5G NASセキュリティコンテキストがUEおよびネットワーク機能(AUSF/AMF/SEAF)に存在する場合にも、適用される。
1つの例では、上記のすべての実施形態は、UEがHPLMNに登録されている場合、つまり、5GS(すべてのネットワーク機能(NFs)、5G-AN、AMF)がホームPLMNに属する場合に、そのシナリオに適用される。
第1実施形態および第1実施形態の変形例すべての一例において、UEの計算によるSoR-MAC-IAUSFが第1のVPLMNによって送信されたSoR-MAC-IAUSFと一致しないためにUEにおけるセキュリティチェックが失敗した場合、UEは、MAC障害(MAC failure)(つまり、UEによって計算されたSoR-MAC-IAUSFが、ネットワークによって送信されたSoR-MAC-IAUSFと一致しなかったこと)を示す原因値(cause value)を含むNASメッセージ(例えば、第1実施形態における登録完了(Registration complete)又は第1実施形態の変形例に対するUL NAS TRANSPORTメッセージ)を送信し、AMF/SEAFは、SUPIを含むメッセージで、この原因(cause)をAUSFに渡す。AUSFは、AMF/SEAFからのメッセージでそのSUPIおよび原因値を受信すると、メッセージでこれらのパラメータをUDMに渡す。これらのパラメータを受信すると、UDMは、第2の登録されたPLMNを使用して、SoRを送信しようとする。
第2実施形態および第2実施形態の変形例すべての一例では、UEの計算によるSoR-MAC-IAUSFが第1のVPLMNによって送信されたSoR-MAC-IAUSFと一致しないためにUEでセキュリティチェックが失敗した場合、UEは、MAC障害(つまり、UEによって計算されたSoR-MAC-IAUSFが、ネットワークによって送信されたSoR-MAC-IAUSFと一致しなかったこと)を示す原因値を含むNASメッセージ(例えば、第1実施形態における登録完了(Registration complete)又は第1実施形態の変形例に対するUL NAS TRANSPORTメッセージ)を送信し、AMF/SEAFは、SUPIを含むメッセージでこの原因をAUSFに渡す。AUSFは、AMF/SEAFからのメッセージでそのSUPIおよび原因値を受信すると、メッセージでこれらのパラメータをUDMに渡す。これらのパラメータを受信すると、UDMは、第2の登録されたPLMNを使用して、SoRを送信しようとする。
ネットワーク共有(network sharing)の場合、つまり、1つのネットワーク機能(NF:Network Function)(例えば、AMF、SMFなど)が複数のPLMNによって共有され、UEが同時にこれらのPLMNに(例えば、3GPPアクセスおよび非3GPPアクセスを通して)登録される場合、そのNFは、異なるNFに送信されるメッセージに関連するPLMNのPLMN ID(PLMN Identity)を含めてもよい。例えば、PLMN1とPLMN2との間でAMFが共有され、UEが両方のPLMNに登録されている(例えば、3GPPを介して1つのPLMNに登録され、非3GPPアクセスを介して別のPLMNに登録される)場合、SMFは、PLMN1に関連するメッセージに、PLMN1のPLMN ID(Identity)を含め、そのメッセージをAMFに送信する。AMFは、AMFにおいてPLMN1に関連するUEコンテキストを見つけるために、PLMN1のPLMN IDおよびSUPIを使用する。
AUSFは、そのネットワーク機能(Network functions)に対して次のサービスを提供する。
以下の説明は、非特許文献5に基づいている。
以下の説明は、非特許文献5に基づいている。
<1 Nausf_UEAuthenticationサービス>
サービスオペレーション名 : Nausf_UEAuthentication_authenticate
説明(Description) : UEを認証し、関連するキーマテリアル(related keying material)を提供する。
入力、必須(Input, Required) : 次のいずれかのオプションの1つ
1. 初期認証要求(initial authentication request)では、SUPIまたはSUCI、サービングネットワーク名(serving network name)。
2. 認証方式に応じた後続の認証要求(authentication requests)では、次のようになる。
a. 5G AKA:clause6.1.3.2に記載されているRES*を伴う認証確認メッセージ(Authentication confirmation message)、または、同期失敗表示(Synchronization Failure indication)および関連情報(つまり、RAND/AUTS)。
b. EAP-AKA’:RFC 4187[21]およびRFC 5448[12]およびAnnex Fで規定されているEAPパケット。
入力、オプション(Input, Optional) : なし。
出力、必須(Output, Required) : 次のいずれかのオプションの1つ
1. 認証方式に応じて:
a. 5G AKA:clause6.1.3.2で説明されている認証ベクトル、または、認証確認応答メッセージ(Authentication confirmation acknowledge message)。
b. EAP-AKA’:RFC 4187[21]およびRFC 5448[12] およびAnnex Fで規定されているEAPパケット。
2. 認証の結果、および、成功した場合は、AMFがNASセキュリティキーおよびその他のセキュリティキーを導出するために使用するマスターキー。
出力、オプション(Output, Optional) : 認証がSUCIで開始された場合には、SUPI。
サービスオペレーション名 : Nausf_UEAuthentication_authenticate
説明(Description) : UEを認証し、関連するキーマテリアル(related keying material)を提供する。
入力、必須(Input, Required) : 次のいずれかのオプションの1つ
1. 初期認証要求(initial authentication request)では、SUPIまたはSUCI、サービングネットワーク名(serving network name)。
2. 認証方式に応じた後続の認証要求(authentication requests)では、次のようになる。
a. 5G AKA:clause6.1.3.2に記載されているRES*を伴う認証確認メッセージ(Authentication confirmation message)、または、同期失敗表示(Synchronization Failure indication)および関連情報(つまり、RAND/AUTS)。
b. EAP-AKA’:RFC 4187[21]およびRFC 5448[12]およびAnnex Fで規定されているEAPパケット。
入力、オプション(Input, Optional) : なし。
出力、必須(Output, Required) : 次のいずれかのオプションの1つ
1. 認証方式に応じて:
a. 5G AKA:clause6.1.3.2で説明されている認証ベクトル、または、認証確認応答メッセージ(Authentication confirmation acknowledge message)。
b. EAP-AKA’:RFC 4187[21]およびRFC 5448[12] およびAnnex Fで規定されているEAPパケット。
2. 認証の結果、および、成功した場合は、AMFがNASセキュリティキーおよびその他のセキュリティキーを導出するために使用するマスターキー。
出力、オプション(Output, Optional) : 認証がSUCIで開始された場合には、SUPI。
<2 Nausf_SoRProtectionサービス>
次の表は、、AUSFが提供するSoRについてのセキュリティ関連サービス(security related services)を示す。
サービスオペレーション名 : Nausf_SoRProtection
説明(Description) : AUSFは、要求元NFから受信したステアリング情報(steering information)と共にUE固有ホームキー(KAUSF)を用いて、本文書のAnnex A.17に規定されているSoR-MAC-IAUSFを計算し、SoR-MAC-IAUSFおよびCounterSoRを要求元NFに渡す。ACKインジケーション入力(ACK Indication input)が存在する場合、AUSFは、SoR-XMAC-IUEを計算し、計算したSoR-XMAC-IUEを応答で返すものとする。SoRヘッダの詳細は、TS 24.501[35]で規定されている。
入力、必須(Input, Required) : 要求元ID(Requester ID)、SUPI、サービス名、SoRヘッダー。
入力、オプション(Input, Optional) : ACKインジケーション(ACK Indication)、PLMNとアクセステクノロジーの優先的な組み合わせのリスト。
出力、必須(Output, Required) : SoR-MAC-IAUSF、CounterSoR、または、エラー(counter_wrap)。
出力、オプション(Output, Optional) : SoR-XMAC-IUE(ACKインジケーション入力が存在する場合、SoR-XMAC-IUEが計算され、返される)。
次の表は、、AUSFが提供するSoRについてのセキュリティ関連サービス(security related services)を示す。
説明(Description) : AUSFは、要求元NFから受信したステアリング情報(steering information)と共にUE固有ホームキー(KAUSF)を用いて、本文書のAnnex A.17に規定されているSoR-MAC-IAUSFを計算し、SoR-MAC-IAUSFおよびCounterSoRを要求元NFに渡す。ACKインジケーション入力(ACK Indication input)が存在する場合、AUSFは、SoR-XMAC-IUEを計算し、計算したSoR-XMAC-IUEを応答で返すものとする。SoRヘッダの詳細は、TS 24.501[35]で規定されている。
入力、必須(Input, Required) : 要求元ID(Requester ID)、SUPI、サービス名、SoRヘッダー。
入力、オプション(Input, Optional) : ACKインジケーション(ACK Indication)、PLMNとアクセステクノロジーの優先的な組み合わせのリスト。
出力、必須(Output, Required) : SoR-MAC-IAUSF、CounterSoR、または、エラー(counter_wrap)。
出力、オプション(Output, Optional) : SoR-XMAC-IUE(ACKインジケーション入力が存在する場合、SoR-XMAC-IUEが計算され、返される)。
<3 Nausf_UPUProtectionサービス>
次の表は、AUSFが提供するUEパラメータアップデート(UE Parameters Update)のセキュリティ関連サービスを示す。
サービスオペレーション名 : Nausf_UPUProtection
説明(Description) : AUSFは、要求元NFから受信したUEパラメータ更新データ(UE Parameters Update Data)と共にUE固有ホームキー(KAUSF)を用いて、本文書のAnnex A.19に規定されるUPU-MAC-IAUSFを計算し、UPU-MAC-IAUSFおよびCounterUPUを要求元NFに渡す。ACKインジケーション入力が存在する場合、AUSFは、UPU-XMAC-IUEを計算し、計算したUPU-XMAC-IUEを応答で返す。UEパラメータ更新データの詳細は、TS 24.501[35]に規定されている。
入力、必須(Input, Required) : 要求元ID(Requester ID)、SUPI、サービス名、UEパラメータ更新データ。
入力、オプション(Input, Optional) : ACKインジケーション。
出力、必須(Output, Required) : UPU-MAC-IAUSF、CounterUPU、またはエラー(counter_wrap)。
出力、オプション(Output, Optional) : UPU-XMAC-IUE(ACKインジケーション入力が存在する場合、UPU-XMAC-IUEが計算され、返される)。
次の表は、AUSFが提供するUEパラメータアップデート(UE Parameters Update)のセキュリティ関連サービスを示す。
説明(Description) : AUSFは、要求元NFから受信したUEパラメータ更新データ(UE Parameters Update Data)と共にUE固有ホームキー(KAUSF)を用いて、本文書のAnnex A.19に規定されるUPU-MAC-IAUSFを計算し、UPU-MAC-IAUSFおよびCounterUPUを要求元NFに渡す。ACKインジケーション入力が存在する場合、AUSFは、UPU-XMAC-IUEを計算し、計算したUPU-XMAC-IUEを応答で返す。UEパラメータ更新データの詳細は、TS 24.501[35]に規定されている。
入力、必須(Input, Required) : 要求元ID(Requester ID)、SUPI、サービス名、UEパラメータ更新データ。
入力、オプション(Input, Optional) : ACKインジケーション。
出力、必須(Output, Required) : UPU-MAC-IAUSF、CounterUPU、またはエラー(counter_wrap)。
出力、オプション(Output, Optional) : UPU-XMAC-IUE(ACKインジケーション入力が存在する場合、UPU-XMAC-IUEが計算され、返される)。
UDMは、ネットワーク機能(Network functions)に対して次のサービスを提供する。
<4 Nudm_UEAuthentication_Get service operation>
サービスオペレーション名 : Nudm_UEAuthentication_Get
説明(Description) : 要求元NFは、UDMから認証データを取得する。AKAベースの認証では、この操作は、同期の失敗状況から回復するために用いられ得る。SUCIが含まれている場合、このサービス操作は、SUPIを返す。
入力、必須(Inputs, Required) : SUPIまたはSUCI、サービングネットワーク名。
入力、オプション(Inputs, Optional) : 同期障害インジケーション(Synchronization Failure Indication)と関連情報(つまり、RAND/AUTS)。
出力、必須(Outputs, Required) : SUPIまたはSUCI入力によって識別される特定のUEについての認証方式および対応する認証データ。
出力、オプション(Outputs, Optional) : SUCIが入力として使用された場合はSUPI。
サービスオペレーション名 : Nudm_UEAuthentication_Get
説明(Description) : 要求元NFは、UDMから認証データを取得する。AKAベースの認証では、この操作は、同期の失敗状況から回復するために用いられ得る。SUCIが含まれている場合、このサービス操作は、SUPIを返す。
入力、必須(Inputs, Required) : SUPIまたはSUCI、サービングネットワーク名。
入力、オプション(Inputs, Optional) : 同期障害インジケーション(Synchronization Failure Indication)と関連情報(つまり、RAND/AUTS)。
出力、必須(Outputs, Required) : SUPIまたはSUCI入力によって識別される特定のUEについての認証方式および対応する認証データ。
出力、オプション(Outputs, Optional) : SUCIが入力として使用された場合はSUPI。
<5 Nudm_UEAuthentication_ResultConfirmation service operation>
サービスオペレーション名 : UEAuthentication_ResultConfirmation
説明(Description) : 要求元NFは、UEとの認証手順の結果をUDMに通知する。
入力、必須(Inputs, Required) : SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方式、又は、5G-AKAなど)、およびサービングネットワーク名。
入力、オプション(Inputs, Optional) : なし。
出力、必須(Outputs, Required) : なし。
出力、オプション(Outputs, Optional) : なし。
サービスオペレーション名 : UEAuthentication_ResultConfirmation
説明(Description) : 要求元NFは、UEとの認証手順の結果をUDMに通知する。
入力、必須(Inputs, Required) : SUPI、認証のタイムスタンプ、認証タイプ(例えば、EAP方式、又は、5G-AKAなど)、およびサービングネットワーク名。
入力、オプション(Inputs, Optional) : なし。
出力、必須(Outputs, Required) : なし。
出力、オプション(Outputs, Optional) : なし。
<他の実施形態>
本開示におけるユーザ機器(User equipemnt 又は、「UE」、「移動局」、「モバイルデバイス」、又は「ワイヤレスデバイス」)は、無線インタフェースを介してネットワークに接続されるエンティティである。
なお、本明細書におけるUEは、専用の通信デバイスに限定されるものではなく、後述するように、本明細書に記載するUEとしての通信機能を有する任意の装置に適用することができる。
(3GPPで使われている用語としての)「ユーザ機器」または「UE」、「移動局」、「モバイルデバイス」、および「ワイヤレスデバイス」という用語は、一般に、互いに同義であることを意図しており、端末、携帯電話(cell phones)、スマートフォン、タブレット、セルラーIoTデバイス、IoTデバイス、および機械(machinery)などのスタンドアロンのモバイルステーションを含む。
「UE」および「ワイヤレスデバイス」という用語は、長期間にわたって静止したままであるデバイスも含むことが理解されるであろう。
UEは、例えば、生産または製造のための機器のアイテム、および/または、エネルギー関連機械(例えば、ボイラー;エンジン;タービン;ソーラーパネル;風力タービン;水力発電機;火力発電機;原子力発電機;電池;原子力システム及び/又は関連機器;重電機器;真空ポンプを含むポンプ;コンプレッサー;ファン;ブロワー;油圧機器;空気圧機器;金属加工機械;マニピュレータ;ロボットやその応用システム;ツール;金型(molds)又は金型(dies);ロール;搬送機器;昇降機器;荷役機器;繊維機械;ミシン;印刷及び/又は関連機器;紙加工機械;化学機械;鉱業及び/又は建設機械、及び/又は関連設備;農林漁業のための機械及び/又は器具;安全及び/又は環境保全機器;トラクター;精密軸受;チェーン;ギア;動力伝達機器;潤滑機器;バルブ;配管継手、および/または、上記のいずれかの機器または機械等のアプリケーションシステム)のアイテムであってもよい。
UEは、例えば、搬送機器(例えば、次のような輸送機器:車両(rolling stocks);自動車;モーターサイクル;自転車;列車;バス;カート;人力車;船舶、その他の船舶;航空機;ロケット;衛星;ドローン;バルーン等。)のアイテムであってもよい。
UEは、例えば、情報通信機器(例えば、電子コンピュータ及び関連機器等の情報通信機器;通信及び関連機器;電子部品等)のアイテムであってもよい。
UEは、例えば、冷凍機、冷凍機応用製品、商品及び/又はサービス産業機器のアイテム、自動販売機、自動サービス機械、オフィス機械又は機器、民生用電子機器(例えば、次のような民生用電子機器:オーディオ機器;ビデオ機器;スピーカー;ラジオ;テレビ;電子レンジ;炊飯器;コーヒーマシン;食器洗い機;洗濯機;乾燥機;電子ファンまたは関連機器;掃除機など)であってもよい。
UEは、例えば、電気アプリケーションシステムまたは機器(例えば、次のような電気アプリケーションシステムまたは機器:X線システム;粒子加速器;ラジオアイソトープ装置;音波機器;電磁応用機器;電子応用装置等)であってもよい。
UEは、例えば、電子ランプ、照明器具、測定器、分析器、テスタ、または、測量または感知器(例えば、次のような測量機器または感知機器:煙警報器;人間の警報センサー;運動センサー;無線タグなど)、腕時計または時計、実験装置、光学装置、医療機器および/またはシステム、武器、刃物のアイテム、手工具などであってもよい。
UEは、例えば、無線を備えた携帯情報端末または関連機器(例えば、別の電子デバイス(例えば、パーソナルコンピュータ、電気計測器)に取り付けられるように設計された、または別の電子デバイスに挿入されるように設計された、ワイヤレスカードまたはモジュールのようなもの)であってもよい。
UEは、様々な有線および/または無線通信技術を使用して、「物のインターネット(IoT)」に関して、以下に説明するアプリケーション、サービス、およびソリューションを提供するデバイスまたはシステムの一部であり得る。
物のインターネットデバイス(または「物」のインターネット)は、適切な電子機器、ソフトウェア、センサ、ネットワーク接続などを備えてもよく、これらのデバイスは、互いにおよび他の通信装置とデータを収集および交換することができる。IoTデバイスは、内部メモリに格納されたソフトウェア命令に従う自動化機器を備えることができる。IoTデバイスは、人間の監視や操作を必要とせずに動作する可能性がある。IoTデバイスは、長期間にわたって静止したり及び/又は非アクティブになったりする可能性もある。IoTデバイスは、(一般的には)固定装置の一部として実装することができる。IoTデバイスは、固定されていない機器(例えば、車両)に組み込まれていたり、監視や追跡の対象となる動物や人物に取り付けられていたりする場合もある。
IoT技術は、人間の入力によって制御されるか又はメモリに記憶されたソフトウェア命令によって制御されるかにかかわらず、データを送受信するために通信ネットワークに接続することができる任意の通信装置に実装することができることが理解されるであろう。
IoTデバイスは、マシンタイプ通信(MTC)デバイスまたはマシンツーマシン(M2M)通信デバイスまたはナローバンドIoT UE(NB-IoT UE)と呼ばれることもあることが理解されよう。UEは、1つ以上のIoTまたはMTCアプリケーションをサポートし得ることが理解されるであろう。MTCアプリケーションのいくつかの例はテーブル3に示されている(出典:3GPP TS 22.368、アネックスB、その内容は、参照によりここに組み込まれる。)。このリストは、完全なものではなく、マシンタイプ通信アプリケーションのいくつかの例を示すことを目的としている。
本開示におけるユーザ機器(User equipemnt 又は、「UE」、「移動局」、「モバイルデバイス」、又は「ワイヤレスデバイス」)は、無線インタフェースを介してネットワークに接続されるエンティティである。
なお、本明細書におけるUEは、専用の通信デバイスに限定されるものではなく、後述するように、本明細書に記載するUEとしての通信機能を有する任意の装置に適用することができる。
(3GPPで使われている用語としての)「ユーザ機器」または「UE」、「移動局」、「モバイルデバイス」、および「ワイヤレスデバイス」という用語は、一般に、互いに同義であることを意図しており、端末、携帯電話(cell phones)、スマートフォン、タブレット、セルラーIoTデバイス、IoTデバイス、および機械(machinery)などのスタンドアロンのモバイルステーションを含む。
「UE」および「ワイヤレスデバイス」という用語は、長期間にわたって静止したままであるデバイスも含むことが理解されるであろう。
UEは、例えば、生産または製造のための機器のアイテム、および/または、エネルギー関連機械(例えば、ボイラー;エンジン;タービン;ソーラーパネル;風力タービン;水力発電機;火力発電機;原子力発電機;電池;原子力システム及び/又は関連機器;重電機器;真空ポンプを含むポンプ;コンプレッサー;ファン;ブロワー;油圧機器;空気圧機器;金属加工機械;マニピュレータ;ロボットやその応用システム;ツール;金型(molds)又は金型(dies);ロール;搬送機器;昇降機器;荷役機器;繊維機械;ミシン;印刷及び/又は関連機器;紙加工機械;化学機械;鉱業及び/又は建設機械、及び/又は関連設備;農林漁業のための機械及び/又は器具;安全及び/又は環境保全機器;トラクター;精密軸受;チェーン;ギア;動力伝達機器;潤滑機器;バルブ;配管継手、および/または、上記のいずれかの機器または機械等のアプリケーションシステム)のアイテムであってもよい。
UEは、例えば、搬送機器(例えば、次のような輸送機器:車両(rolling stocks);自動車;モーターサイクル;自転車;列車;バス;カート;人力車;船舶、その他の船舶;航空機;ロケット;衛星;ドローン;バルーン等。)のアイテムであってもよい。
UEは、例えば、情報通信機器(例えば、電子コンピュータ及び関連機器等の情報通信機器;通信及び関連機器;電子部品等)のアイテムであってもよい。
UEは、例えば、冷凍機、冷凍機応用製品、商品及び/又はサービス産業機器のアイテム、自動販売機、自動サービス機械、オフィス機械又は機器、民生用電子機器(例えば、次のような民生用電子機器:オーディオ機器;ビデオ機器;スピーカー;ラジオ;テレビ;電子レンジ;炊飯器;コーヒーマシン;食器洗い機;洗濯機;乾燥機;電子ファンまたは関連機器;掃除機など)であってもよい。
UEは、例えば、電気アプリケーションシステムまたは機器(例えば、次のような電気アプリケーションシステムまたは機器:X線システム;粒子加速器;ラジオアイソトープ装置;音波機器;電磁応用機器;電子応用装置等)であってもよい。
UEは、例えば、電子ランプ、照明器具、測定器、分析器、テスタ、または、測量または感知器(例えば、次のような測量機器または感知機器:煙警報器;人間の警報センサー;運動センサー;無線タグなど)、腕時計または時計、実験装置、光学装置、医療機器および/またはシステム、武器、刃物のアイテム、手工具などであってもよい。
UEは、例えば、無線を備えた携帯情報端末または関連機器(例えば、別の電子デバイス(例えば、パーソナルコンピュータ、電気計測器)に取り付けられるように設計された、または別の電子デバイスに挿入されるように設計された、ワイヤレスカードまたはモジュールのようなもの)であってもよい。
UEは、様々な有線および/または無線通信技術を使用して、「物のインターネット(IoT)」に関して、以下に説明するアプリケーション、サービス、およびソリューションを提供するデバイスまたはシステムの一部であり得る。
物のインターネットデバイス(または「物」のインターネット)は、適切な電子機器、ソフトウェア、センサ、ネットワーク接続などを備えてもよく、これらのデバイスは、互いにおよび他の通信装置とデータを収集および交換することができる。IoTデバイスは、内部メモリに格納されたソフトウェア命令に従う自動化機器を備えることができる。IoTデバイスは、人間の監視や操作を必要とせずに動作する可能性がある。IoTデバイスは、長期間にわたって静止したり及び/又は非アクティブになったりする可能性もある。IoTデバイスは、(一般的には)固定装置の一部として実装することができる。IoTデバイスは、固定されていない機器(例えば、車両)に組み込まれていたり、監視や追跡の対象となる動物や人物に取り付けられていたりする場合もある。
IoT技術は、人間の入力によって制御されるか又はメモリに記憶されたソフトウェア命令によって制御されるかにかかわらず、データを送受信するために通信ネットワークに接続することができる任意の通信装置に実装することができることが理解されるであろう。
IoTデバイスは、マシンタイプ通信(MTC)デバイスまたはマシンツーマシン(M2M)通信デバイスまたはナローバンドIoT UE(NB-IoT UE)と呼ばれることもあることが理解されよう。UEは、1つ以上のIoTまたはMTCアプリケーションをサポートし得ることが理解されるであろう。MTCアプリケーションのいくつかの例はテーブル3に示されている(出典:3GPP TS 22.368、アネックスB、その内容は、参照によりここに組み込まれる。)。このリストは、完全なものではなく、マシンタイプ通信アプリケーションのいくつかの例を示すことを目的としている。
アプリケーション、サービス、およびソリューションは、MVNO(モバイル仮想ネットワーク事業者(Mobile Virtual Network Operator))サービス、緊急無線通信システム、PBX(プライベートブランチeXchange)システム、PHS/デジタルコードレス通信システム、POS(Point of sale)システム、広告呼び出し(advertise calling)システム、MBMS(マルチメディアブロードキャストマルチキャストサービス)、V2X(Vehicle to Everything)システム、列車無線システム、位置関連サービス、災害/緊急無線通信サービス、コミュニティサービス、ビデオストリーミングサービス、フェムトセルアプリケーションサービス、VoLTE(Voice over LTE)サービス、課金サービス、ラジオオンデマンドサービス、ローミングサービス、活動監視サービス、電気通信事業者/通信NW選択サービス、機能制限サービス、PoC(概念検証(Proof of Concept))サービス、個人情報管理サービス、アドホックネットワーク/DTN(ディレイトレラントネットワーキング)サービスなどであり得る。
また、上述したUEカテゴリは、本明細書に記載されている技術思想や実施例の応用例に過ぎない。もちろん、これらの技術思想や実施形態は、上述したUEに限定されるものではなく、種々の変形が可能である。
また、上述したUEカテゴリは、本明細書に記載されている技術思想や実施例の応用例に過ぎない。もちろん、これらの技術思想や実施形態は、上述したUEに限定されるものではなく、種々の変形が可能である。
User equipment (UE)
図8は、UEの主要構成要素を示すブロック図である。図示されているように、UEは、1つ以上のアンテナを介して接続されたノード(s)と信号を送受信するように動作可能な送受信回路(トランシーバ回路、transceiver circuit)を含む。その信号は、RRCまたはNASメッセージであってもよい。たとえば、そのNASメッセージには、Registration Requestメッセージ、Registration Acceptメッセージ、NAS DLメッセージ、Auth-Reqメッセージ、およびAuth-Respメッセージであってもよい。図8に必ずしも示されているわけではないが、UEは、当然、従来のモバイルデバイス(ユーザインターフェースなど)のすべての通常の機能を有し、これは、適宜、ハードウェア、ソフトウェア、およびファームウェアの任意の1つまたは任意の組み合わせによって提供され得る。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD:removable data storage device)からダウンロードされてもよい。
コントローラは、メモリに記憶されたソフトウェアに従ってUEの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現されてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュールを有する通信制御モジュールとを含む。(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、UEと、他のノードとの間のシグナリングおよびアップリンク/ダウンリンクのデータパケットの処理(生成/送信/受信)を担当し、他のノードは、基地局/(R)ANノード、MME、AMF(および他のコアネットワークノード)などである。そのようなシグナリングは、例えば、接続の確立および保守に関連する適切にフォーマットされたシグナリングメッセージ(例えば、RRCメッセージ)、定期的なロケーション更新関連メッセージ(location update related messages)(例えば、トラッキングエリアの更新、ページングエリアの更新、ロケーションエリアの更新)などのNASメッセージを含み得る。
図8は、UEの主要構成要素を示すブロック図である。図示されているように、UEは、1つ以上のアンテナを介して接続されたノード(s)と信号を送受信するように動作可能な送受信回路(トランシーバ回路、transceiver circuit)を含む。その信号は、RRCまたはNASメッセージであってもよい。たとえば、そのNASメッセージには、Registration Requestメッセージ、Registration Acceptメッセージ、NAS DLメッセージ、Auth-Reqメッセージ、およびAuth-Respメッセージであってもよい。図8に必ずしも示されているわけではないが、UEは、当然、従来のモバイルデバイス(ユーザインターフェースなど)のすべての通常の機能を有し、これは、適宜、ハードウェア、ソフトウェア、およびファームウェアの任意の1つまたは任意の組み合わせによって提供され得る。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD:removable data storage device)からダウンロードされてもよい。
コントローラは、メモリに記憶されたソフトウェアに従ってUEの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現されてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュールを有する通信制御モジュールとを含む。(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、UEと、他のノードとの間のシグナリングおよびアップリンク/ダウンリンクのデータパケットの処理(生成/送信/受信)を担当し、他のノードは、基地局/(R)ANノード、MME、AMF(および他のコアネットワークノード)などである。そのようなシグナリングは、例えば、接続の確立および保守に関連する適切にフォーマットされたシグナリングメッセージ(例えば、RRCメッセージ)、定期的なロケーション更新関連メッセージ(location update related messages)(例えば、トラッキングエリアの更新、ページングエリアの更新、ロケーションエリアの更新)などのNASメッセージを含み得る。
(R)ANノード
図9は、例示的な(R)ANノード、例えば基地局(LTEでは「eNB」、5Gでは「gNB」)の主要な構成要素を示すブロック図である。図示のように、(R)ANノードは、接続されたUE(s)との間で1つ以上のアンテナを介して信号を送受信し、ネットワークインタフェースを介して(直接的または間接的に)他のネットワークノードとの間で信号を送受信するように動作可能な送受信回路(トランシーバ回路、transceiver circuit)を含む。そのシグナルは、RRCまたはNASメッセージであってもよい。たとえば、NASメッセージは、Registration Requestメッセージ、Registration Acceptメッセージ、NAS DLメッセージ、Auth-Reqメッセージ、およびAuth-Respメッセージであってもよい。(R)ANノードは、ノードからNASメッセージを受信し、NASメッセージを他のノードに透過的に送信することができる。コントローラは、メモリに記憶されたソフトウェアに従って、(R)ANノードの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現されてもよい。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュール(transceiver control module)を有する通信制御モジュール(communications control module)とを含む。
(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、(例えば直接的または間接的に)(R)ANノードと他のノードとの間のシグナリングの処理(生成/送信/受信)を担当し、他のノードは、UE、MME、AMFなどである。シグナリングは、例えば、(特定のUEについての)無線接続およびロケーション手順(radio connection and location procedures)に関連する、特に、接続確立およびメンテナンスに関連する、適切にフォーマットされたシグナリングメッセージ(例えば、RRC接続確立(RRC connection establishment)および他のRRCメッセージ)、定期的なロケーション更新関連メッセージ(例えば、トラッキングエリアの更新、ページングエリアの更新、ロケーションエリアの更新)、S1 APメッセージ、および、NG APメッセージ(つまり、N2基準点(N2 reference point)によるメッセージ)などを含んでもよい。そのようなシグナリングは、例えば、送信の場合には、ブロードキャスト情報(例えば、マスタ情報(Master information)やシステム情報(System information)など)を含んでいてもよい。
コントローラはまた、実装されたときに、UE移動度推定(UE mobility estimate)および/または移動軌跡推定(moving trajectory estimation)などの関連タスクを処理するように(ソフトウェアまたはハードウェアによって)構成される。
図9は、例示的な(R)ANノード、例えば基地局(LTEでは「eNB」、5Gでは「gNB」)の主要な構成要素を示すブロック図である。図示のように、(R)ANノードは、接続されたUE(s)との間で1つ以上のアンテナを介して信号を送受信し、ネットワークインタフェースを介して(直接的または間接的に)他のネットワークノードとの間で信号を送受信するように動作可能な送受信回路(トランシーバ回路、transceiver circuit)を含む。そのシグナルは、RRCまたはNASメッセージであってもよい。たとえば、NASメッセージは、Registration Requestメッセージ、Registration Acceptメッセージ、NAS DLメッセージ、Auth-Reqメッセージ、およびAuth-Respメッセージであってもよい。(R)ANノードは、ノードからNASメッセージを受信し、NASメッセージを他のノードに透過的に送信することができる。コントローラは、メモリに記憶されたソフトウェアに従って、(R)ANノードの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現されてもよい。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュール(transceiver control module)を有する通信制御モジュール(communications control module)とを含む。
(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、(例えば直接的または間接的に)(R)ANノードと他のノードとの間のシグナリングの処理(生成/送信/受信)を担当し、他のノードは、UE、MME、AMFなどである。シグナリングは、例えば、(特定のUEについての)無線接続およびロケーション手順(radio connection and location procedures)に関連する、特に、接続確立およびメンテナンスに関連する、適切にフォーマットされたシグナリングメッセージ(例えば、RRC接続確立(RRC connection establishment)および他のRRCメッセージ)、定期的なロケーション更新関連メッセージ(例えば、トラッキングエリアの更新、ページングエリアの更新、ロケーションエリアの更新)、S1 APメッセージ、および、NG APメッセージ(つまり、N2基準点(N2 reference point)によるメッセージ)などを含んでもよい。そのようなシグナリングは、例えば、送信の場合には、ブロードキャスト情報(例えば、マスタ情報(Master information)やシステム情報(System information)など)を含んでいてもよい。
コントローラはまた、実装されたときに、UE移動度推定(UE mobility estimate)および/または移動軌跡推定(moving trajectory estimation)などの関連タスクを処理するように(ソフトウェアまたはハードウェアによって)構成される。
AMF
図10は、AMFの主要構成要素を示すブロック図である。AMFは、5GCに含まれる。図示のように、AMFは、ネットワークインタフェースを介して(UEを含む)他のノードと信号を送受信する送受信回路(トランシーバ回路、transceiver circuit)を含む。そのシグナルは、Nudm_UECM_Registration、Nudm_SDM_Get、Nudm_SDM_Get_Response、Nudm_SMD_Notification、Nausf_UEAuthentication_Authenticate Request、Nausf_UEAuthentication_Authenticate Responseなどのメッセージであってもよい。コントローラは、メモリに記憶されたソフトウェアに従って、AMFの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現されてもよい。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュールを有する通信制御モジュールとを含む。
(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、(直接的または間接的に)AMFと他のノードとの間のシグナリングを処理(生成/送信/受信)する役割を担い、他のノードは、UE、基地局/(R)ANノード(例えば、「gNB」または「eNB」)などである。このようなシグナリングは、例えば、ここに記載される手順に関連する適切にフォーマットされたシグナリングメッセージを含んでもよく、例えば、NASメッセージをUEとの間で送受信するためのNG APメッセージ(つまり、N2基準点によるメッセージ)を含んでいてもよい。
図10は、AMFの主要構成要素を示すブロック図である。AMFは、5GCに含まれる。図示のように、AMFは、ネットワークインタフェースを介して(UEを含む)他のノードと信号を送受信する送受信回路(トランシーバ回路、transceiver circuit)を含む。そのシグナルは、Nudm_UECM_Registration、Nudm_SDM_Get、Nudm_SDM_Get_Response、Nudm_SMD_Notification、Nausf_UEAuthentication_Authenticate Request、Nausf_UEAuthentication_Authenticate Responseなどのメッセージであってもよい。コントローラは、メモリに記憶されたソフトウェアに従って、AMFの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現されてもよい。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュールを有する通信制御モジュールとを含む。
(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、(直接的または間接的に)AMFと他のノードとの間のシグナリングを処理(生成/送信/受信)する役割を担い、他のノードは、UE、基地局/(R)ANノード(例えば、「gNB」または「eNB」)などである。このようなシグナリングは、例えば、ここに記載される手順に関連する適切にフォーマットされたシグナリングメッセージを含んでもよく、例えば、NASメッセージをUEとの間で送受信するためのNG APメッセージ(つまり、N2基準点によるメッセージ)を含んでいてもよい。
AUSF
図11は、AUSFの主要構成要素を示すブロック図である。図示のように、AUSFは、ネットワークインターフェイスを介して他のノード(UEを含む)と信号を送受信するように動作可能な送受信回路(トランシーバ回路、transceiver circuit)を含む。そのシグナルは、Nausf SoRProtection、Nausf SoRProtection Response Nausf_UEAuthentication_Get Request、Nausf_UEAuthentication_Get Response、Nausf_KAUSF_Pinning、Nausf_KAUSF_Pinning Response、Nausf_UEAuthentication_Authenticate Request、Nausf_UEAuthentication_Authenticate Responseなどのメッセージであってもよい。コントローラは、メモリに記憶されたソフトウェアに従って、AUSFの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現してもよい。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュールを有する通信制御モジュールとを含む。
(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、AUSFとAMFおよびUDMなどの他のノードとの間のシグナリングを処理(生成/送信/受信)する役割を担う。
図11は、AUSFの主要構成要素を示すブロック図である。図示のように、AUSFは、ネットワークインターフェイスを介して他のノード(UEを含む)と信号を送受信するように動作可能な送受信回路(トランシーバ回路、transceiver circuit)を含む。そのシグナルは、Nausf SoRProtection、Nausf SoRProtection Response Nausf_UEAuthentication_Get Request、Nausf_UEAuthentication_Get Response、Nausf_KAUSF_Pinning、Nausf_KAUSF_Pinning Response、Nausf_UEAuthentication_Authenticate Request、Nausf_UEAuthentication_Authenticate Responseなどのメッセージであってもよい。コントローラは、メモリに記憶されたソフトウェアに従って、AUSFの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現してもよい。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュールを有する通信制御モジュールとを含む。
(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、AUSFとAMFおよびUDMなどの他のノードとの間のシグナリングを処理(生成/送信/受信)する役割を担う。
UDM
図12は、UDMの主要な構成要素を示すブロック図である。図示のように、UDMは、ネットワークインターフェイスを介して他のノード(UEを含む)と信号を送受信するように動作可能な送受信回路(トランシーバ回路、transceiver circuit)を含む。そのシグナルは、Nausf SoRProtection、Nausf SoRProtection Response、Nudm_UECM_Registration、Nudm_SDM_Get、Nudm_SDM_Get_Response、Nausf_UEAuthentication_Get Request、Nausf_UEAuthentication_Get Response、Nausf_KAUSF_Pinning、Nausf_KAUSF_Pinning Responseなどのメッセージであってもよい。コントローラは、メモリに記憶されたソフトウェアに従って、AMFの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現されてもよい。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュールを有する通信制御モジュールとを含む。
(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、UDMと他のノード(AUSFなど)との間のシグナリングを処理(生成/送信/受信)する役割を担う。
図12は、UDMの主要な構成要素を示すブロック図である。図示のように、UDMは、ネットワークインターフェイスを介して他のノード(UEを含む)と信号を送受信するように動作可能な送受信回路(トランシーバ回路、transceiver circuit)を含む。そのシグナルは、Nausf SoRProtection、Nausf SoRProtection Response、Nudm_UECM_Registration、Nudm_SDM_Get、Nudm_SDM_Get_Response、Nausf_UEAuthentication_Get Request、Nausf_UEAuthentication_Get Response、Nausf_KAUSF_Pinning、Nausf_KAUSF_Pinning Responseなどのメッセージであってもよい。コントローラは、メモリに記憶されたソフトウェアに従って、AMFの動作を制御する。例えば、コントローラは、Central Processing Unit(CPU)により実現されてもよい。ソフトウェアは、メモリに予めインストールされてもよく、および/または、例えば、電気通信ネットワークを介してまたは取り外し可能データ記憶装置(RMD)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステムと、少なくともトランシーバ制御モジュールを有する通信制御モジュールとを含む。
(トランシーバー制御サブモジュールを用いる)通信制御モジュールは、UDMと他のノード(AUSFなど)との間のシグナリングを処理(生成/送信/受信)する役割を担う。
当業者には理解されるように、本開示は、方法およびシステムとして実施することができる。したがって、本開示は、完全にハードウェアの実施形態、ソフトウェアの実施形態、またはソフトウェアおよびハードウェアの態様を組み合わせた実施形態の形態を取ることができる。
ブロック図の各ブロックは、コンピュータプログラム命令によって実施することができることが理解されよう。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、または他のプログラム可能なデータ処理装置のプロセッサに提供されて、コンピュータまたは他のプログラム可能なデータ処理装置のプロセッサを介して実行される命令が、フローチャートおよび/またはブロックダイヤグラムブロックにて規定された機能/動作を実行するための手段を生成するように、マシンを生成することができる。汎用プロセッサは、マイクロプロセッサであってもよいが、代替的には、そのプロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであってもよい。プロセッサは、例えば、複数のマイクロプロセッサ、1つ以上のマイクロプロセッサ、または任意の他のそのような構成などの、コンピューティングデバイスの組み合わせとして実装することもできる。
本明細書に開示された実施例に関連して記載された方法またはアルゴリズムは、ハードウェア、プロセッサによって実行されるソフトウェアモジュール、または、これら2つの組み合わせにおいて、直接実施されてもよい。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD-ROM、または、当技術分野で公知の任意の他の形態の記憶媒体に存在してもよい。記憶媒体は、プロセッサが記憶媒体から情報を読み取り、記憶媒体に情報を書き込むことができるように、プロセッサに結合されてもよい。代替的には、記憶媒体は、プロセッサに一体化されてもよい。プロセッサおよび記憶媒体は、ASIC内に存在してもよい。
開示された実施例の前述の説明は、当業者が本開示を作成または使用することを可能にするために提供される。これらの実施例に対する種々の変更は、当業者には容易に明らかであり、本明細書で定義される一般的原理は、本開示の思想または範囲から逸脱することなく、他の実施例に適用され得る。したがって、本開示は、本明細書に示される実施例に限定されることを意図しておらず、本明細書に開示される原理および新規な特徴と一致する最も広い範囲を与えられる。
本出願は、2019年4月8日に出願されたインド仮特許出願第201941014041号に基づく優先権の利益を主張するものであり、その開示の全体は参照により本明細書に組み込まれる。
Claims (10)
- 第1のコアネットワークノードであって、
認証サーバーである第2のコアネットワークノードから、ユーザー端末(UE)の認証手順に関する第1のメッセージを受信する受信部と、
アクセスとモビリティ管理のための第3のコアネットワークノードへ、前記UEの認証が必要であることを示す第2のメッセージを送信する送信部と、
を有する第1のコアネットワークノード。 - 前記第2のメッセージは、前記UEのための前記第2のコアネットワークノードの鍵のリフレッシュが必要な場合に、送信される、
請求項1に記載の第1のコアネットワークノード。 - 前記第2のメッセージは、前記UEの認証が必要であることを示すインディケーションを含む、
請求項1に記載の第1のコアネットワークノード。 - 前記第2のメッセージは、前記第3のコアネットワークノードに、前記UEのための認証手順を開始することを引き起こす、
請求項1に記載の第1のコアネットワークノード。 - 前記第1のコアネットワークノードは、Unified Data Management(UDM)であり、
前記第2のコアネットワークノードは、Authentication Server Function(AUSF)であり、
前記第3のコアネットワークノードは、Access and Mobility Management Function(AMF)である、
請求項1に記載の第1のコアネットワークノード。 - アクセスとモビリティ管理のための第3のコアネットワークノードであって、
第1のコアネットワークノードから、ユーザー端末(UE)の認証が必要であることを示す第2のメッセージを受信する受信部と、
前記第2のメッセージの受信に応じて、前記UEのための認証手順を開始する処理部と、
を備える、第3のコアネットワークノード。 - 前記第2のメッセージは、前記UEのための第2のコアネットワークノードの鍵のリフレッシュが必要な場合に、送信され、
前記第2のコアネットワークノードは、認証サーバーである、
請求項6に記載の第3のコアネットワークノード。 - 前記第2のメッセージは、前記UEの認証が必要であることを示すインディケーションを含む、
請求項6に記載の第3のコアネットワークノード。 - 第1のコアネットワークノードにおける方法であって、
認証サーバーである第2のコアネットワークノードから、ユーザー端末(UE)の認証手順に関する第1のメッセージを受信し、
アクセスとモビリティ管理のための第3のコアネットワークノードへ、前記UEの認証が必要であることを示す第2のメッセージを送信する、
方法。 - アクセスとモビリティ管理のための第3のコアネットワークノードにおける方法であって、
第1のコアネットワークノードから、ユーザー端末(UE)の認証が必要であることを示す第2のメッセージを受信し、
前記第2のメッセージの受信に応じて、前記UEのための認証手順を開始する、
方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023105726A JP2023126849A (ja) | 2019-04-08 | 2023-06-28 | ノード及び方法 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201941014041 | 2019-04-08 | ||
| IN201941014041 | 2019-04-08 | ||
| PCT/JP2020/010735 WO2020208996A1 (en) | 2019-04-08 | 2020-03-12 | Procedure to provide integrity protection to a ue parameter during ue configuration update procedure |
| JP2021558774A JP7124975B2 (ja) | 2019-04-08 | 2020-03-12 | Ue構成更新手順の間においてueパラメータに完全性保護を提供する手順 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021558774A Division JP7124975B2 (ja) | 2019-04-08 | 2020-03-12 | Ue構成更新手順の間においてueパラメータに完全性保護を提供する手順 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023105726A Division JP2023126849A (ja) | 2019-04-08 | 2023-06-28 | ノード及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022166117A JP2022166117A (ja) | 2022-11-01 |
| JP7306547B2 true JP7306547B2 (ja) | 2023-07-11 |
Family
ID=72750479
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021558774A Active JP7124975B2 (ja) | 2019-04-08 | 2020-03-12 | Ue構成更新手順の間においてueパラメータに完全性保護を提供する手順 |
| JP2022125976A Active JP7306547B2 (ja) | 2019-04-08 | 2022-08-08 | コアネットワークノード、及び方法 |
| JP2023105726A Pending JP2023126849A (ja) | 2019-04-08 | 2023-06-28 | ノード及び方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021558774A Active JP7124975B2 (ja) | 2019-04-08 | 2020-03-12 | Ue構成更新手順の間においてueパラメータに完全性保護を提供する手順 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023105726A Pending JP2023126849A (ja) | 2019-04-08 | 2023-06-28 | ノード及び方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220167157A1 (ja) |
| EP (1) | EP3954087A4 (ja) |
| JP (3) | JP7124975B2 (ja) |
| CN (1) | CN113994629A (ja) |
| WO (1) | WO2020208996A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116233838A (zh) * | 2019-04-29 | 2023-06-06 | 瑞典爱立信有限公司 | 5g中的多个认证过程的处理 |
| US11963134B2 (en) * | 2019-07-25 | 2024-04-16 | Lg Electronics Inc. | Communication based on plurality of SIMs |
| US20230379707A1 (en) * | 2020-10-16 | 2023-11-23 | Nec Corporation | Method of ue, and ue |
| WO2022080371A1 (en) * | 2020-10-16 | 2022-04-21 | Nec Corporation | Method of communication terminal, communication terminal, method of core network apparatus, and core network apparatus |
| CN115396868A (zh) * | 2021-05-08 | 2022-11-25 | 华为技术有限公司 | 一种无线通信方法、通信装置及通信系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102625300B (zh) * | 2011-01-28 | 2015-07-08 | 华为技术有限公司 | 密钥生成方法和设备 |
| CN103688563A (zh) * | 2011-05-26 | 2014-03-26 | 诺基亚公司 | 执行组认证和密钥协商过程 |
| TW202408277A (zh) * | 2016-08-10 | 2024-02-16 | 美商內數位專利控股公司 | 光連接性及自律行動性 |
| EP3656141B1 (en) * | 2017-07-18 | 2022-06-15 | Samsung Electronics Co., Ltd. | Method and system to detect anti-steering of roaming activity in wireless communication network |
| CN109041057B (zh) * | 2018-08-08 | 2021-06-08 | 兴唐通信科技有限公司 | 一种基于5g aka的核心网网元间鉴权流程安全性增强方法 |
-
2020
- 2020-03-12 CN CN202080042082.XA patent/CN113994629A/zh active Pending
- 2020-03-12 US US17/601,139 patent/US20220167157A1/en active Pending
- 2020-03-12 JP JP2021558774A patent/JP7124975B2/ja active Active
- 2020-03-12 WO PCT/JP2020/010735 patent/WO2020208996A1/en unknown
- 2020-03-12 EP EP20788230.9A patent/EP3954087A4/en active Pending
-
2022
- 2022-08-08 JP JP2022125976A patent/JP7306547B2/ja active Active
-
2023
- 2023-06-28 JP JP2023105726A patent/JP2023126849A/ja active Pending
Non-Patent Citations (2)
| Title |
|---|
| Gemalto, Orange,SoR as a service in 5GC[online],3GPP TSG SA WG2 #129BIS S2-1812454,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_129BIS_West_Palm_Beach/Docs/S2-1812454.zip>,2018年11月21日 |
| Huawei, HiSilicon,Solution option 1 for AMF key separation[online],3GPP TSG SA WG3 #94AH S3-190693,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_94AH_Kista/Docs/S3-190693.zip>,2019年03月04日 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022529219A (ja) | 2022-06-20 |
| JP2022166117A (ja) | 2022-11-01 |
| WO2020208996A1 (en) | 2020-10-15 |
| JP7124975B2 (ja) | 2022-08-24 |
| US20220167157A1 (en) | 2022-05-26 |
| EP3954087A1 (en) | 2022-02-16 |
| CN113994629A (zh) | 2022-01-28 |
| EP3954087A4 (en) | 2022-05-11 |
| JP2023126849A (ja) | 2023-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7452736B2 (ja) | 端末及び端末の方法 | |
| JP7306547B2 (ja) | コアネットワークノード、及び方法 | |
| JP7447931B2 (ja) | Ueによって実行される方法及びamfによって実行される方法 | |
| JP7115636B2 (ja) | 統合型アクセスコントロールに関連するパラメータの更新手順 | |
| JP7452600B2 (ja) | 通信端末装置及びその方法 | |
| JP7088414B2 (ja) | 統一されたアクセス制御に関連するパラメータを更新する手順 | |
| US11962999B2 (en) | Method, UE, and network for providing KDF negotiation | |
| WO2022080388A1 (en) | Method of ue, and ue | |
| JP7367834B2 (ja) | コアネットワークノードのための方法、ueのための方法、コアネットワークノード、及びue | |
| WO2022080371A1 (en) | Method of communication terminal, communication terminal, method of core network apparatus, and core network apparatus | |
| WO2022092238A1 (en) | Method of communication apparatus, method of ue, communication apparatus, and ue | |
| US20200275277A1 (en) | Wireless-network attack detection | |
| WO2023238805A1 (en) | Method of communication apparatus and communication apparatus | |
| JP2024503805A (ja) | Radio Access Network (RAN)ノード、コアネットワークノード、及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220808 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230530 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230612 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7306547 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |