WO2018135524A1 - 通信システム、通信端末、amfエンティティ、及び通信方法 - Google Patents
通信システム、通信端末、amfエンティティ、及び通信方法 Download PDFInfo
- Publication number
- WO2018135524A1 WO2018135524A1 PCT/JP2018/001185 JP2018001185W WO2018135524A1 WO 2018135524 A1 WO2018135524 A1 WO 2018135524A1 JP 2018001185 W JP2018001185 W JP 2018001185W WO 2018135524 A1 WO2018135524 A1 WO 2018135524A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- message
- security key
- smf
- amf
- entity
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Definitions
- FIG. 10 is a diagram showing a flow of security processing according to an eighth embodiment.
- FIG. 10 is a diagram showing a flow of security processing according to an eighth embodiment. It is a block diagram of UE concerning each embodiment. It is a block diagram of the AMF entity concerning each embodiment.
- the UE 40 includes a control unit 41 and a communication unit 42.
- the control unit 41 and the communication unit 42 may be software or modules that execute processing when the processor executes a program stored in a memory.
- the control unit 41 and the communication unit 42 may be hardware such as a circuit or a chip.
- the AMF 20 transmits the SM message (NS-A), which has been encrypted and integrity guaranteed using the security key K NAS_SM (NS-A), to the SMF 30 arranged in the network slice A. Further, the AMF 20 transmits the SM message (NS-B) that has been subjected to encryption and integrity guarantee processing using the security key K NAS_SM (NS-B) to the SMF 30 arranged in the network slice B. .
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
5G通信システムにおいて高度なセキュリティを実現することができる通信システムを提供することを目的とする。本開示にかかる通信システムは、通信端末(10)と、通信端末(10)に関するMM(Mobility Management)処理を実行するAMF(Access and Mobility Management)エンティティ(20)と、通信端末(10)に関するSM(Session Management)処理を実行するSMF(Session Management Function)エンティティ(30)と、を備え、通信端末(10)は、MM処理において用いられるMMメッセージであって、第1のセキュリティ鍵を適用したMMメッセージを、AMFエンティティ(20)との間において伝送し、SM処理において用いられるSMメッセージであって、第2のセキュリティ鍵を適用したSMメッセージを、AMFエンティティ(20)を介してSMFエンティティ(30)との間において伝送する。
Description
本発明は通信端末とネットワークとの間におけるセキュリティを提供する通信システム、通信端末、AMF(Access and Mobility Management Function)エンティティ、及び通信方法に関する。
現在、通信端末と基地局との間において用いられる無線通信方式として、3GPP(3rd Generation Partnership Project)において規定された規格であるLTE(Long Term Evolution)が普及している。LTEは、高速及び大容量の無線通信を実現するために用いられる無線通信方式である。また、LTEを用いる無線ネットワークを収容するコアネットワークとして、3GPP(3rd Generation Partnership Project)において、SAE(System Architecture Evolution)もしくはEPC(Evolved Packet Core)等と称されるパケットネットワークが規定されている。
3GPPにおいては、LTEよりも更なる高速化及び大容量化を実現する無線通信方式が検討されており、この無線通信方式を用いる無線ネットワークを収容するコアネットワークの実現方式についても検討されている。このような通信システムは、NextGen(Next Generation) Systemもしくは5G通信システム等と称されてもよい。また、NextGen Systemにおいて用いられる無線ネットワークは、NG(Next Generation) RAN(Radio Access Network)と称されてもよい。
非特許文献1の5.3章及び5.4章には、次世代通信システムの構成が開示されている。非特許文献1には、通信端末であるUE(User Equipment)に関するMM(Mobility Management)及びSM(Session Management)に関する処理の内容が規定されている。
具体的には、MMは、UEもしくはUEを管理するユーザをモバイルネットワークへ登録(registration)すること、mobile terminated communicationを可能とする到達性(reachability)をサポートすることであってもよい。さらに、MMは、到達不可能なUEの検出、C(Control)-Plane及びU(User)-Planeに関するネットワーク機能を割り当てること、及びモビリティを制限すること、等であってもよい。
また、SMは、UEに対するIP connectivityもしくはnon-IP connectivityの設定を行うことである。言い換えると、SMは、U-Planeのconnectivityを管理もしくは制御することであってもよい。
3GPPにおいては、IoT(Internet of Things)サービスに関する検討も進められている。IoTサービスには、ユーザの操作を必要とせず、自律的に通信を実行する端末(以下、IoT端末とする)が数多く用いられる。そこで、サービス事業者が多くのIoT端末を用いてIoTサービスを提供するために、通信事業者等が管理するモバイルネットワークにおいて、多くのIoT端末を効率的に収容することが望まれている。モバイルネットワークは、無線ネットワーク及びコアネットワークを含むネットワークである。
非特許文献1のAnnex Bにおいて、ネットワークスライシングを適用したコアネットワークの構成が記載されている。ネットワークスライシングは、多くのIoT端末を効率的に収容するために、提供するサービス毎にコアネットワークを分割する技術である。また、5.1節において、分割されたそれぞれのネットワーク(ネットワークスライスシステムもしくはネットワークスライス)には、カスタマイズや最適化が必要になることが記載されている。
3GPP TR23.799 V14.0.0 (2016-12) 5.3, 5.4, Annex B
しかし、非特許文献1においては、MM及びSMに関するセキュリティをどのように実現するかが記載されていない。そのため、5G通信システムにおいて、ユーザに対して高度なセキュリティを提供することができないという問題がある。
本開示の目的は、5G通信システムにおいて高度なセキュリティを実現することができる通信システム、通信端末、AMFエンティティ、及び通信方法を提供することにある。
本開示の第1の態様にかかる通信システムは、通信端末と、前記通信端末に関するMM(Mobility Management)処理を実行するAMF(Access and Mobility Management Function)エンティティと、前記通信端末に関するSM(Session Management)処理を実行するSMF(Session Management Function)エンティティと、を備え、前記通信端末は、前記MM処理において用いられるMMメッセージであって、第1のセキュリティ鍵を適用した前記MMメッセージを、前記AMFエンティティとの間において伝送し、前記SM処理において用いられるSMメッセージであって、第2のセキュリティ鍵を適用した前記SMメッセージを、前記AMFエンティティを介して前記SMFエンティティとの間において伝送する。
本開示の第2の態様にかかる通信端末は、MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、SM処理において用いられるSMメッセージに第2のセキュリティ鍵を適用する制御部と、前記第1のセキュリティ鍵が適用された前記MMメッセージを前記MM処理を実行するAMFエンティティへ送信し、前記第2のセキュリティ鍵が適用された前記SMメッセージを、前記AMFエンティティを介して、前記SM処理を実行する前記SMFエンティティへ送信する通信部と、を備える。
本開示の第3の態様にかかるAMFエンティティは、第1のセキュリティ鍵が適用されたMMメッセージを用いてMM処理を実行する制御部と、通信端末とSM処理を実行するSMFエンティティとの間において伝送されるSMメッセージであって、第2のセキュリティ鍵が適用された前記SMメッセージを転送する通信部と、を備える。
本開示の第4の態様にかかる通信方法は、MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、前記第1のセキュリティ鍵が適用された前記MMメッセージを前記MM処理を実行するAMFエンティティへ送信し、SM処理において用いられるSMメッセージに第2のセキュリティ鍵を適用し、前記第2のセキュリティ鍵が適用された前記SMメッセージを、前記AMFエンティティを介して、前記SM処理を実行する前記SMFエンティティへ送信する。
本開示により、5G通信システムにおいて高度なセキュリティを実現することができる通信システム、通信端末、AMFエンティティ、及び通信方法を提供することができる。
(実施の形態1)
以下、図面を参照して本開示の実施の形態について説明する。図1を用いて本開示の実施の形態1にかかる通信システムの構成例について説明する。図1の通信システムは、通信端末10、AMF(Access and Mobility Management Function)エンティティ(以下、AMFとする)20、及びSMF(Session Management Function)エンティティ(以下、SMFとする)30を有している。通信端末10、AMF20、及びSMF30は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。
以下、図面を参照して本開示の実施の形態について説明する。図1を用いて本開示の実施の形態1にかかる通信システムの構成例について説明する。図1の通信システムは、通信端末10、AMF(Access and Mobility Management Function)エンティティ(以下、AMFとする)20、及びSMF(Session Management Function)エンティティ(以下、SMFとする)30を有している。通信端末10、AMF20、及びSMF30は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。
通信端末10は、携帯電話端末、スマートフォン端末、もしくはタブレット型端末等であってもよい。または、通信端末10は、IoT(Internet of Things)端末、MTC(Machine Type Communication)端末、もしくはM2M(Machine to Machine)端末等であってもよい。
AMF20は、通信端末10に関するMM処理を実行する。SMF30は、通信端末10に関するSM処理を実行する。AMF20及びSMF30は、3GPPにおいて、コアネットワーク内に配置されるエンティティとして規定されている。
MM処理は、通信端末10とAMF20との間において伝送されるMMメッセージを用いて実行される。MMメッセージには、MMメッセージ用のセキュリティ鍵が適用される。MMメッセージ用のセキュリティ鍵は、例えば、MMメッセージを暗号化する暗号化鍵及びMMメッセージの完全性を保証する完全性保証鍵の少なくとも一方を含む。
SM処理は、AMF20を介して、通信端末10とSMF30との間において伝送されるSMメッセージを用いて実行される。SMメッセージには、SMメッセージ用のセキュリティ鍵が適用される。SMメッセージ用のセキュリティ鍵は、例えば、SMメッセージを暗号化する暗号化鍵及びSMメッセージの完全性を保証する完全性保証鍵の少なくとも一方を含む。
以上説明したように、図1の通信端末10は、MMメッセージに適用するセキュリティ鍵とは異なるセキュリティ鍵をSMメッセージに適用することができる。5G通信システムにおいては、SM処理は、MM処理を実行するAMF20とは異なるエンティティであるSMF30において実行される。通信端末10は、SM処理とMM処理とが異なるエンティティにおいて実行される通信システムにおいて、SMメッセージ及びMMメッセージのそれぞれに異なるセキュリティ鍵を適用することができる。
このように、5G通信システムは、SMメッセージとMMメッセージとに異なるセキュリティ鍵を適用することによって、UEもしくはユーザへ高度なセキュリティを提供することができる。
(実施の形態2)
続いて、図2を用いて実施の形態2にかかる通信システムの構成例について説明する。図2の通信システムは、AMF20、SMF30、UE40、AN(Access Network)50、及びAUSF(Authentication Server Function)エンティティ(以下AUSFとする)60を有している。さらに、図2の通信システムは、UDM(Unified Data Management)エンティティ(以下UDMとする)70、及びUPF(User Plane Function)エンティティ(以下、UPFとする)80を有している。さらに、図2の通信システムは、PCF(Policy Control Function)エンティティ(以下、PCFとする)90、AF(Application Function)エンティティ(以下、AFとする)100、及びDN(Data Network)110を有している。
続いて、図2を用いて実施の形態2にかかる通信システムの構成例について説明する。図2の通信システムは、AMF20、SMF30、UE40、AN(Access Network)50、及びAUSF(Authentication Server Function)エンティティ(以下AUSFとする)60を有している。さらに、図2の通信システムは、UDM(Unified Data Management)エンティティ(以下UDMとする)70、及びUPF(User Plane Function)エンティティ(以下、UPFとする)80を有している。さらに、図2の通信システムは、PCF(Policy Control Function)エンティティ(以下、PCFとする)90、AF(Application Function)エンティティ(以下、AFとする)100、及びDN(Data Network)110を有している。
AMF20、SMF30、UE40、AN50、AUSF60、UDM70、UPF80、PCF90、AF100、及びDN110は、3GPPにおいて機能もしくは動作が定義されている。UE40は、図1の通信端末10に相当する。AN50は、例えば、UE40と無線通信を行う基地局に相当する装置を有する。ANは、例えば、無線(Radio)ANと称されてもよい。DN110は、データが伝送される一般的なネットワークである。
NG1は、UE40とAMF20との間のリファレンスポイントである。NG2は、AN50とAMF20との間のリファレンスポイントである。NG3は、AN50とUPF80との間のリファレンスポイントである。NG4は、SMF30とUPF80との間のリファレンスポイントである。NG5は、PCF90とAF100との間のリファレンスポイントである。NG6は、UPF80とDN10との間のリファレンスポイントである。NG7は、SMF30とPCF90との間のリファレンスポイントである。NG8は、UDM70とAMF20との間のリファレンスポイントである。NG9は、二つのUPF80の間のリファレンスポイントである。NG10は、UDM70とSMF30との間のリファレンスポイントである。NG11は、AMF20とSMF30との間のリファレンスポイントである。NG12は、AMF20とAUSF60との間のリファレンスポイントである。NG13は、AUSF60とUDM70との間のリファレンスポイントである。NG14は、二つのAMF20の間のリファレンスポイントである。NG15は、PCF90とAMF20との間のリファレンスポイントである。NG16は、二つのSMF30の間のリファレンスポイントである。
UDM70は、例えば、加入者データ、ポリシーデータ、もしくはセキュリティ認証情報(security credential)を保持する。セキュリティ認証情報は、例えば、セキュリティ鍵Kであってもよい。
AUSF60は、UE40が5G通信システムを構成するコアネットワーク(以下、5Gコアネットワークとする)へ接続することができるか否かに関する認証を実行する。
UPF80は、PDUセッションを設定し、Userデータを転送する。PCF90は、5G通信システムに関するポリシールールをコアネットワーク内のエンティティもしくはノード装置へ送信する。AF100は、アプリケーションサービスを提供する。DN110は、ユーザデータを伝送するネットワークである。
コアネットワークにネットワークスライシングが適用され、複数のネットワークスライスが生成された場合、SMF30及びUPF80は、ネットワークスライス毎に配置される。また、図2には、UE40が1つのみ示されているが、複数のUE40が存在してもよい。
続いて、図3を用いて図2の通信システムにおいて用いられるセキュリティ鍵の構成について説明する。
UE40及びUDM70は、セキュリティ鍵Kを有している。セキュリティ鍵Kは、マスター鍵Kと称されてもよい。UDM70は、ARPF(Authentication Credential Repository and Processing Function)を実行してもよい。
UE40及びUDM70は、セキュリティ鍵Kからセキュリティ鍵KSEAFを導出する。もしくは、UE40及びUDM70は、セキュリティ鍵Kから暗号化に用いられるCK(Ciphering Key)及び完全性保証処理に用いられるIK(Integrity Key)を導出してもよい。さらに、UE40及びUDM70は、セキュリティ鍵K、もしくは、CK及びIKからセキュリティ鍵KSEAFを導出してもよい。UDM70は、セキュリティ鍵KSEAFを、AUSF60を介してAMF20へ送信する。もしくは、UDM70は、リファレンスポイントNG8を介してAMF20へセキュリティ鍵KSEAFを送信してもよい。
UE40及びAMF20は、セキュリティ鍵KSEAFからセキュリティ鍵K3GPP_AN、セキュリティ鍵Knon-3GPP_AN、セキュリティ鍵KNAS_MM、セキュリティ鍵KNAS_SM、セキュリティ鍵KUP及びセキュリティ鍵KAN/NHを導出する。AMF20は、SEAF(Security Anchor Function)及びSCMF(Security Context Management Function)を実行してもよい。
UE40及びAMF20は、セキュリティ鍵KSEAFからセキュリティ鍵KSCMFを導出してもよい。さらに、UE40及びAMF20は、セキュリティ鍵KSCMFからセキュリティ鍵KNAS_SM及びセキュリティ鍵KUPを導出してもよい。UE40及びAMF20は、SMF30が配置されているネットワークスライスを識別する情報を用いて、ネットワークスライス毎に、セキュリティ鍵KSCMFからセキュリティ鍵KNAS_SM及びセキュリティ鍵KUPを導出する。
セキュリティ鍵K3GPP_ANは、LTE以前のアクセスネットワークにおいて用いられるセキュリティ鍵である。LTE以前のアクセスネットワークは、例えば、LTE、3Gもしくは2Gと称される通信方式を用いたアクセスネットワークを含む。セキュリティ鍵Knon-3GPP_ANは、3GPPにおいて規定されていないアクセスネットワークにおいて用いられるセキュリティ鍵である。
セキュリティ鍵KNAS_MMは、MM処理において用いられる。セキュリティ鍵KNAS_SMは、SM処理において用いられる。セキュリティ鍵KUPは、U-Planeデータに適用される。
UE40及びAMF20は、セキュリティ鍵KNAS_MMからセキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintを導出する。セキュリティ鍵KNAS-MMencは、MMメッセージの暗号化に用いられる。セキュリティ鍵KNAS-MMintは、MMメッセージの完全性保証処理に用いられる。
AMF20は、セキュリティ鍵KNAS_SMをSMF30へ送信する。さらに、AMF20は、セキュリティ鍵KUPをUPF80へ送信する。さらに、AMF20は、セキュリティ鍵KAN/NHをAN50へ送信する。
SMF30は、セキュリティ鍵KNAS_SMからセキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintを導出する。セキュリティ鍵KNAS-SMencは、SMメッセージの暗号化に用いられる。セキュリティ鍵KNAS-SMintは、SMメッセージの完全性保証処理に用いられる。もしくは、AMF20がセキュリティ鍵KNAS_SMからセキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintを導出してもよい。この場合、AMF20は、導出したセキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintをSMF30へ送信する。
UPF80は、セキュリティ鍵KUPからセキュリティ鍵KSess1enc及びセキュリティ鍵KSess1intを導出する。セキュリティ鍵KSess1enc及びセキュリティ鍵KSess1intは、例えば、ネットワークスライス1とするネットワークスライスにおいて用いられる。ここで、セキュリティ鍵KSessNenc及びセキュリティ鍵KSessNintは、ネットワークスライスN(Nは1以上の整数)とするネットワークスライスにおいて用いられる。セキュリティ鍵KSessNencは、U-Planeデータの暗号化に用いられる。セキュリティ鍵KSessNintは、U-Planeデータの完全性保証処理に用いられる。
AN50は、セキュリティ鍵KAN/NHからセキュリティ鍵KRRCenc、セキュリティ鍵KRRCint、セキュリティ鍵KUPenc、セキュリティ鍵KUPint及びセキュリティ鍵KAN_otherを導出する。セキュリティ鍵KAN/NHからセキュリティ鍵KRRCenc、セキュリティ鍵KRRCint、セキュリティ鍵KUPenc、セキュリティ鍵KUPint及びセキュリティ鍵KAN_otherは、無線区間において用いられるセキュリティ鍵である。
続いて、図4を用いて実施の形態2にかかるUE40の構成例について説明する。UE40は、制御部41及び通信部42を有している。制御部41及び通信部42は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。または、制御部41及び通信部42は、回路もしくはチップ等のハードウェアであってもよい。
制御部41は、セキュリティ鍵KSEAFから、セキュリティ鍵K3GPP_AN、セキュリティ鍵Knon-3GPP_AN、セキュリティ鍵KNAS_MM、セキュリティ鍵KNAS_SM、及びセキュリティ鍵KUPを導出する。
さらに、制御部41は、セキュリティ鍵KNAS_MMからセキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintを導出する。さらに、制御部41は、セキュリティ鍵KNAS_SMからセキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintを導出する。さらに、制御部41は、セキュリティ鍵KUPからセキュリティ鍵KSess1enc及びセキュリティ鍵KSess1int、セキュリティ鍵KSessNenc及びセキュリティ鍵KSessNintを導出する。
さらに、制御部41は、セキュリティ鍵KAN/NFからセキュリティ鍵KRRCenc、セキュリティ鍵KRRCint、セキュリティ鍵KUPenc、セキュリティ鍵KUPint及びセキュリティ鍵KAN_otherを導出する。
制御部41は、MM処理において用いられるMMメッセージに、セキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintを適用する。また、制御部41は、SM処理において用いられるSMメッセージに、セキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintを適用する。
通信部42は、セキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintが適用されたMMメッセージをAMF20へ送信する。また、通信部42は、セキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintが適用されたSMメッセージをAMF20を介してSMF30へ送信する。
続いて、図5を用いて実施の形態2にかかるAMF20の構成例について説明する。AMF20は、制御部21及び通信部22を有している。制御部21及び通信部22は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。または、制御部21及び通信部22は、回路もしくはチップ等のハードウェアであってもよい。
制御部21は、セキュリティ鍵KSEAFから、セキュリティ鍵KNAS_MM、セキュリティ鍵KNAS_SM、及びセキュリティ鍵KUPを導出する。さらに、制御部21は、セキュリティ鍵KNAS_MMからセキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintを導出する。
制御部21は、セキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintが適用されたMMメッセージを復号し、MMメッセージを抽出する。さらに、制御部21は、抽出したMMメッセージを用いてMM処理を実行する。
通信部22は、UE40から送信されたSMメッセージをSMF30へ転送し、SMF30から送信されたSMメッセージをUE40へ転送する。さらに、通信部22は、セキュリティ鍵KNAS_SMをSMF30へ送信し、セキュリティ鍵KUPをUPF80へ送信する。また、通信部22は、制御部21においてセキュリティ鍵KNAS_SMからセキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintが導出された場合、セキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintをSMF30へ送信する。
また、制御部21は、セキュリティ鍵KNAS_SMを保持していてもよい。つまり、制御部21は、SMF30において使用されるセキュリティ鍵KNAS_SMを、SMF30と共有していてもよい。
続いて、図6を用いて、5G通信システムにおけるAttach処理の流れについて説明する。はじめに、UE40は、AN50へAttach Requestメッセージを送信する(S1)。Attach Requestメッセージは、Configured NSSAI(Network Slice Selection Assistance Information)を含む。NSSAIは、例えば、ネットワークスライスを識別する情報である。Configured NSSAIは、UE40が登録されているもしくは契約している少なくとも1つのネットワークスライスを示すNSSAIを含む。Configured NSSAIは、例えば、UE40の電源がOFF状態からON状態へ遷移した場合等に、最初に指定するデフォルトのNSSAIであってもよい。
次に、AN50は、Configured NSSAIを用いてAMFを選択し、選択したAMFへAttach Requestメッセージを送信する(S2)。ここでは、AN50は、AMF20を選択し、AMF20へAttach Requestメッセージを送信する。AMF20は、Attach Requestメッセージを受信すると、全てのアクセス可能なSM-NSSAI(Acceptable SM-NSSAI)を抽出する。SM-NSSAIは、SMFを選択するために用いられる。SM-NSSAIは、UE40が接続を要望するネットワークスライスを識別する情報である。さらに、AMF20は、Accepted NSSAI及びtemp IDを生成し、生成したNSSAI及びtemp IDを保持する。Accepted NSSAIは、UE40が接続することが許可される少なくとも1つのネットワークスライスを示すNSSAIを含む。
次に、UE40、AMF20、AUSF60、及びUDM70においてAKA(Authentication and Key Agreement)処理が実行される。AKA処理の具体的な手順は、以下に示すステップS3乃至S9を用いて説明する。
AKA処理が実行されることによって、UE40及びAMF20が同じセキュリティ鍵KSEAFを保持することが可能となる。以下に、AKA処理について説明する。
AMF20は、UE40に関するセキュリティ鍵KSEAFを保持していない場合、AUSF60へauthentication data requestメッセージを送信する(S3)。次に、AUSF60は、UE40に関するセキュリティ鍵KSEAFを保持していない場合、UDM70へauthentication data requestメッセージを送信する(S4)。
次に、UDM70は、セキュリティ鍵KSEAFを含むauthentication data responseメッセージをAUSF60へ送信する(S5)。次に、AUSF60は、セキュリティ鍵KSEAFを含むauthentication data responseメッセージをAMF20へ送信する(S6)。
次に、AMF20内に配備されているSEAF(SEcurity Anchor Function)が、AVs(Authentication Vector)を生成する。SEAFは、AMFの外部に配備しても良い。AVsは、random number、authenticating token、及びexpected responseを含む。AMF20は、AVsを含むAuthentication RequestメッセージをUE40へ送信する(S7)。UE40へ送信されるAVsは、random number及びauthenticating tokenを含む。
次に、UE40は、Authentication Requestに対するresponse valueを生成し、response valueを含むAuthentication ResponseメッセージをAMF20へ送信する(S8)。また、UE40は、Authentication Requestに含まれるパラメータを用いて、セキュリティ鍵KSEAFを生成する。
AMF20内に配備されているSEAFが、expected response及びUE40から送信されたresponse valueを比較し、decision of AKAを実行する(S9)。AMF20は、expected response及びresponse valueが一致する場合に、UE40及びAMF20が同じセキュリティ鍵KSEAFを保持していると判定する。
次に、AMF20内に配備されているSCMFは、セキュリティ鍵KSEAFからNASセキュリティ鍵KNAS_MMを導出する。SCMF(Security Context Management Function)は、AMF20の外部に配備しても良い。さらに、AMF20は、NAS SMC(Security Mode Command)をUE40へ送信する(S10)。NAS SMCは、NAS security configurationsに関する情報を含む。例えば、NAS security configurationsは、完全性保証及び暗号化に関する鍵のアルゴリズム及びIDである。
次に、UE40は、セキュリティ鍵KSEAFからNASセキュリティ鍵KNAS_MMを導出する。UE40は、NAS SMC completeメッセージをUE40へ送信する(S11)。ここで、UE40及びAMF20は、それぞれ、AMF20からUE40へ送信されたアルゴリズムを用いてNASセキュリティ鍵KNAS_MMから完全性保証及び暗号化に関する鍵を導出する。
次に、AMF20内に配備されているSCMFは、セキュリティ鍵KSEAFからASセキュリティ鍵KANを導出する。さらに、AMF20は、Attach ResponseメッセージをAN50へ送信する(S12)。Attach Responseメッセージは、UE40に関するASセキュリティ鍵KAN、key ID、Accepted NSSAI及びtemp IDを含む。
次に、AN50は、Attach ResponseメッセージをUE40へ送信する(S13)。Attach Responseメッセージは、Accepted NSSAI及びtemp IDを含む。
次に、AN50は、AS SMCをUE40へ送信する(S14)。AS SMCは、AS security configurationsに関する情報を含む。例えば、AS security configurationsは、完全性保証及び暗号化に関する鍵のアルゴリズム及びIDである。
次に、UE40は、セキュリティ鍵KSEAFからASセキュリティ鍵KANを導出する。UE40は、AS SMC completeメッセージをAN50へ送信する(S15)。ここで、UE40及びAN50は、それぞれ、AN50からUE40へ送信されたアルゴリズムを用いてASセキュリティ鍵KANから完全性保証及び暗号化に関する鍵を導出する。
続いて、図7を用いて、session establishmentにおけるセキュリティ処理の流れについて説明する。はじめに、UE40は、AN50及びAMF20を介してSMF30へsession establishment requestメッセージを送信する(S16)。session establishment requestメッセージは、SM-NSSAI及びtemp IDを含む。AMF20は、SM-NSSAIに基づいてSMFを選択し、選択したSMFへsession establishment requestメッセージを送信する。ここでは、AMF20は、SMF30を選択する。
次に、SMF30は、UPFを選択し、選択したUPFを介してextDNへsession establishmentに関するauthorization requestメッセージを送信する(S17)。ここでは、SMF30は、UPF80を選択する。extDNは、DN110に相当する。extDNは、モバイルネットワークとは異なる外部のネットワークである。
次に、extDNにおいてauthorizationが行われ、extDNは、UPF80を介してSMF30へ、authorization requestメッセージに対するresponseメッセージを送信する(S18)。
次に、extDNにおいてUE40が認証された場合、SMF30は、AMF20及びAN50を介してUE40へ、session establishment acceptメッセージを送信する(S19)。
続いて、次のステップS20乃至S23において、SMメッセージに関するsecurity establishmentが実行される。
AMF20は、UE40へSMCを送信する(S20)。SMCは、SMメッセージのためのsecurity configurationsに関する情報を含む。例えば、security configurationsは、完全性保証及び暗号化に関する鍵のアルゴリズム及びIDである。
次に、UE40は、受信したアルゴリズムを用いて、セキュリティ鍵KSEAFからSMメッセージのためのセキュリティ鍵KNAS_SMを導出する。もしくは、UE40は、セキュリティ鍵KNAS_MMからセキュリティ鍵KNAS_SMを導出してもよい。さらに、UE40は、AMF20へSMC completeメッセージを送信する(S21)。
次に、AMF20は、UE40と同様に、セキュリティ鍵KSEAFからSMメッセージのためのセキュリティ鍵KNAS_SMを導出する。もしくは、AMF20は、セキュリティ鍵KNAS_MMからセキュリティ鍵KNAS_SMを導出してもよい。さらに、AMF20は、SMF30へ、SMC及びセキュリティ鍵KNAS_SMを送信する(S22)。SMCは、SMメッセージのためのsecurity configurationsに関する情報を含む。例えば、security configurationsは、完全性保証及び暗号化に関する鍵のアルゴリズム及びIDである。
次に、SMF30は、AMF20へSMC completeメッセージを送信する(S23)。ここで、UE40及びSMF30は、それぞれ、AMF20からUE40及びSMF30へ送信されたアルゴリズムを用いてセキュリティ鍵KNAS_SMから完全性保証及び暗号化に関する鍵を導出する。
続いて、次のステップS24乃至S29において、U-planeデータに関するsecurity establishmentが実行される。
AMF20は、UE40へSMCを送信する(S24)。SMCは、U-Planeデータのためのsecurity configurationsに関する情報を含む。例えば、security configurationsは、完全性保証及び暗号化に関する鍵のアルゴリズム及びIDである。
次に、UE40は、受信したアルゴリズムを用いて、セキュリティ鍵KSEAFからU-Planeデータのためのセキュリティ鍵KUPを導出する。もしくは、UE40は、セキュリティ鍵KNAS_SMからセキュリティ鍵KUPを導出してもよい。さらに、UE40は、AMF20へSMC completeメッセージを送信する(S25)。
次に、AMF20は、UE40と同様に、セキュリティ鍵KSEAFからU-Planeデータのためのセキュリティ鍵KUPを導出する。もしくは、AMF20は、セキュリティ鍵KNAS_SMからセキュリティ鍵KUPを導出してもよい。さらに、AMF20は、SMF30へ、SMC及びセキュリティ鍵KUPを送信する(S26)。もしくは、AMF20は、SMF30へSMCを送信し、SMF30が、セキュリティ鍵KNAS_SMからセキュリティ鍵KUPを導出してもよい。SMCは、U-Planeデータのためのsecurity configurationsに関する情報を含む。例えば、security configurationsは、完全性保証及び暗号化に関する鍵のアルゴリズム及びIDである。次に、SMF30は、UPF80へ、受信したSMC及びセキュリティ鍵KUPを送信する(S27)。
次に、UPF80は、SMF30へSMC completeメッセージを送信する(S28)。次に、SMF30は、AMF20へSMC completeメッセージを送信する(S29)。ここで、UE40及びUPF80は、それぞれ、AMF20からUE40及びUPF80へ送信されたアルゴリズムを用いてセキュリティ鍵KUPから完全性保証及び暗号化に関する鍵を導出する。
以上説明したように、図6において説明したAttach処理及び図7において説明したセキュリティ処理を実行することによって、UE40及びAMF20は、セキュリティ鍵KNAS_MMを共有することができる。さらに、UE40及びSMF30は、セキュリティ鍵KNAS_SMを共有することができる。これにより、UE40とAMF20との間において伝送されるMMメッセージにセキュリティ鍵KNAS_MMを適用することが可能とる。その結果、UE40とSMF30との間において伝送されるSMメッセージにセキュリティ鍵KNAS_SMを適用することが可能となる。
(実施の形態3)
続いて、図8を用いて実施の形態3にかかる通信システムの構成例について説明する。図8の通信システムは、UE40のローミング先のネットワーク(以下、ローミングネットワーク)と、UE40のホームネットワークを示している。ローミングネットワークは、AN50、AMF20、V(Visited)-SMF31、V-UPF81及びV-PCF91を含む。また、ホームネットワークは、H(Home)-SMF32、H-UPF82、H-PCF92、UDM70、AUSF60及びAF100を含む。
続いて、図8を用いて実施の形態3にかかる通信システムの構成例について説明する。図8の通信システムは、UE40のローミング先のネットワーク(以下、ローミングネットワーク)と、UE40のホームネットワークを示している。ローミングネットワークは、AN50、AMF20、V(Visited)-SMF31、V-UPF81及びV-PCF91を含む。また、ホームネットワークは、H(Home)-SMF32、H-UPF82、H-PCF92、UDM70、AUSF60及びAF100を含む。
続いて、図9を用いて実施の形態3にかかるsession establishmentにおけるセキュリティ処理の流れについて説明する。なお、図9の処理が実行される前に、図6において示した処理が既に実行されているとする。つまり、UE40がローミングネットワークを介してホームネットワークと通信を行う際に、はじめに図6において示した処理が実行される。なお、図9において、図7と同様のメッセージは、図6のメッセージと同様のパラメータを含むとする。
図6の処理が実行された後に、UE40は、session establishment requestメッセージを、AN50、AMF20、V-SMF31を介してV-UPF81へ送信する(S31)。次に、V-UPF81は、session establishment response メッセージをV-SMF31へ送信する(S32)。次に、V-SMF31は、session establishment requestメッセージを、H-SMF32へ送信する(S33)。次に、H-SMF32は、H-UPF82を介してextDNへ authorization requestメッセージを送信する(S34)。
次に、extDNは、authorization request メッセージに対する応答メッセージとして、 responseメッセージを、H-UPF82を介してH-SMF32へ送信する(S35)。
次に、H-SMF32は、session establishment requestメッセージに対する応答メッセージとして、session establishment responseメッセージを、V-SMF31へ送信する(S36)。次に、V-SMF31は、session establishment requestメッセージに対する応答メッセージとして、session establishment acceptメッセージを、AMF20及びAN50を介してUE40へ送信する(S37)。
次に、UE40及びV-SMF31において、NAS Security (SM) establishmentに関する処理が実行される(S38)。ステップS38の処理を実行することによって、UE40及びV-SMF31は、同じセキュリティ鍵KNAS_SMを保持することができる。さらに、UE40及びH-SMF32において、NAS Security (SM) establishmentに関する処理が実行される(S39)。ステップS39の処理を実行することによって、UE40及びH-SMF32は、同じセキュリティ鍵KNAS_SMを保持することができる。
次に、AMF20は、セキュリティ鍵KUPを、V-SMF31を介してV-UPF81へ送信する(S40)。もしくはV-SMF31は、セキュリティ鍵KUPを、H-SMF32を介してH-UPF82へ送信してもよい(S41)。次に、UE40、V-UPF81及びH-UPF82において、UP security establishmentに関する処理が実行される(S42)。
以上説明したように、UE40がローミングネットワークへ移動した場合であっても、UE40がホームネットワークに在圏している場合と同様のことがいえる。つまり、UE40とAMF20との間において伝送されるMMメッセージにセキュリティ鍵KNAS_MMを適用することが可能となる。さらに、UE40とH-SMF32との間において伝送されるSMメッセージにセキュリティ鍵KNAS_SMを適用することが可能となる。
(実施の形態4)
続いて、図10を用いて実施の形態4にかかるMMメッセージ及びSMメッセージのデータ形式について説明する。図10は、コアネットワークが、ネットワークスライスAとネットワークスライスBとに分割されていることを示している。また、ネットワークスライスA及びネットワークスライスBには、それぞれSMF30が配置されている。
続いて、図10を用いて実施の形態4にかかるMMメッセージ及びSMメッセージのデータ形式について説明する。図10は、コアネットワークが、ネットワークスライスAとネットワークスライスBとに分割されていることを示している。また、ネットワークスライスA及びネットワークスライスBには、それぞれSMF30が配置されている。
さらに、UE40とAMF20との間において伝送されるMMメッセージは、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われる。言い換えると、UE40とAMF20との間において伝送されるMMメッセージには、セキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintが適用される。
さらに、UE40とネットワークスライスAに配置されているSMF30との間において伝送されるSMメッセージは、ネットワークスライスA用のセキュリティ鍵KNAS_SMを用いて暗号化及び完全性保証処理が行われる。ネットワークスライスA用のセキュリティ鍵KNAS_SMは、以下、セキュリティ鍵KNAS_SM(NS-A)とする。言い換えると、UE40とネットワークスライスAに配置されているSMF30との間において伝送されるSMメッセージには、ネットワークスライスA用のセキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintが適用される。
さらに、UE40とネットワークスライスBに配置されているSMF30との間において伝送されるSMメッセージは、ネットワークスライスB用のセキュリティ鍵KNAS_SMを用いて暗号化及び完全性保証処理が行われる。ネットワークスライスB用のセキュリティ鍵KNAS_SMは、以下、セキュリティ鍵KNAS_SM(NS-B)とする。言い換えると、UE40とネットワークスライスBに配置されているSMF30との間において伝送されるSMメッセージには、ネットワークスライスB用のセキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintが適用される。
ここで、図10を用いて、UE40が、MMメッセージと、SMメッセージとを同一のメッセージに含めて送信する場合について説明する。SMメッセージは、ネットワークスライスAに配置されるSMF30へ送信するSMメッセージと、ネットワークスライスBに配置されるSMF30へ送信するSMメッセージとを含む。ネットワークスライスAに配置されるSMF30へ送信するSMメッセージは、以下、SMメッセージ(NS-A)とする。ネットワークスライスBに配置されるSMF30へ送信するSMメッセージは、以下、SMメッセージ(NS-B)とする。
図10は、SMメッセージ(NS-A)と、SMメッセージ(NS-B)と、MMメッセージとがまとめて、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われていることを示している。SMメッセージ(NS-A)は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われている。SMメッセージ(NS-B)は、セキュリティ鍵KNAS_SM(NS-B)を用いて暗号化及び完全性保証処理が行われている。
AMF20は、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われているメッセージを受信すると、受信したメッセージを復号化する。その結果、AMF20は、MMメッセージと、SMメッセージ(NS-A)と、SMメッセージ(NS-B)と、を抽出する。
AMF20は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-A)を、ネットワークスライスAに配置されているSMF30へ送信する。さらに、AMF20は、セキュリティ鍵KNAS_SM(NS-B)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-B)を、ネットワークスライスBに配置されているSMF30へ送信する。
ネットワークスライスAに配置されているSMF30及びネットワークスライスBに配置されているSMF30は、それぞれ、受信したメッセージを復号化し、SMメッセージ(NS-A)及びSMメッセージ(B)を抽出する。
続いて、図11を用いて、図10とは異なるMMメッセージ及びSMメッセージのデータ形式について説明する。図11においても、図10と同様に、UE40がMMメッセージと、SMメッセージ(NS-A)と、SMメッセージ(NS-B)とが同一のメッセージに含めて送信することを示している。さらに、図11においても、図10と同様に、SMメッセージ(NS-A)は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われている。さらに、SMメッセージ(NS-B)は、セキュリティ鍵KNAS_SM(NS-B)を用いて暗号化及び完全性保証処理が行われている。
ただし、図11においては、図10と異なり、MMメッセージのみがセキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われている。
AMF20は、SMメッセージ(NS-A)、及びSMメッセージ(NS-B)を受信すると、受信したMMメッセージを復号化する。その結果、AMF20は、MMメッセージを抽出する。MMメッセージは、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われている。SMメッセージ(NS-A)は、MMメッセージ、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われている。SMメッセージ(NS-B)は、セキュリティ鍵KNAS_SM(NS-B)を用いて暗号化及び完全性保証処理が行われている。
AMF20は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-A)を、ネットワークスライスAに配置されているSMF30へ送信する。さらに、AMF20は、セキュリティ鍵KNAS_SM(NS-B)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-B)を、ネットワークスライスBに配置されているSMF30へ送信する。
ネットワークスライスAに配置されているSMF30及びネットワークスライスBに配置されているSMF30は、それぞれ、受信したメッセージを復号化し、SMメッセージ(NS-A)及びSMメッセージ(B)を抽出する。
続いて、図12を用いて、図10及び図11とは異なるMMメッセージ及びSMメッセージのデータ形式について説明する。図12においては、図10と同様に、SMメッセージ(NS-A)は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われている。さらに、SMメッセージ(NS-B)は、セキュリティ鍵KNAS_SM(NS-B)を用いて暗号化及び完全性保証処理が行われている。
ただし、図12においては、SMメッセージ(NS-A)及びSMメッセージ(NS-B)が、MMメッセージの一部であることが示されている。例えば、SMメッセージ(NS-A)及びSMメッセージ(NS-B)が、MMメッセージのペイロード部に設定されていてもよい。
AMF20は、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われているMMメッセージを受信すると、受信したMMメッセージを復号化する。さらに、AMF20は、MMメッセージから、SMメッセージ(NS-A)及びSMメッセージ(NS-B)を分離する。その結果、AMF20は、MMメッセージを抽出する。
AMF20は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-A)を、ネットワークスライスAに配置されているSMF30へ送信する。さらに、AMF20は、セキュリティ鍵KNAS_SM(NS-B)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-B)を、ネットワークスライスBに配置されているSMF30へ送信する。
ネットワークスライスAに配置されているSMF30及びネットワークスライスBに配置されているSMF30は、それぞれ、受信したメッセージを復号化し、SMメッセージ(NS-A)及びSMメッセージ(NS-B)を抽出する。
以上説明したように、MMメッセージ及び少なくとも1つのSMメッセージを同じメッセージとして送信することがある。この場合、MMメッセージに適用されるセキュリティ鍵KNAS_SM(NS-A)及びSMメッセージに適用されるセキュリティ鍵KNAS_SMを用いて、暗号化及び完全性保証処理を行うことができる。
(実施の形態5)
続いて、図13を用いて実施の形態5にかかるMMメッセージ及びSMメッセージのデータ形式について説明する。図13においては、図10と同様に、コアネットワークが、ネットワークスライスAとネットワークスライスBとに分割されていることを示している。また、ネットワークスライスA及びネットワークスライスBには、それぞれSMF30が配置されている。
続いて、図13を用いて実施の形態5にかかるMMメッセージ及びSMメッセージのデータ形式について説明する。図13においては、図10と同様に、コアネットワークが、ネットワークスライスAとネットワークスライスBとに分割されていることを示している。また、ネットワークスライスA及びネットワークスライスBには、それぞれSMF30が配置されている。
さらに、UE40とAMF20との間において伝送されるメッセージは、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われる。言い換えると、UE40とAMF20との間において伝送されるメッセージには、セキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintが適用される。
AMF20とネットワークスライスAに配置されるSMF30との間、さらに、AMF20とネットワークスライスBに配置されるSMF30との間は、NDS(Network Domain Security)が適用される。NDSは、AMF20とSMF30との間において適用されるセキュリティである。例えば、NDSは、IPsec等を用いて、AMF20とSMF30との間のセキュリティが確保される。AMF20とSMF30との間においてNDSが用いられる場合、予め、AMF20とSMF30との間においてセキュリティ鍵KNDSが共有されていてもよい。
ここで、図13を用いて、UE40が、MMメッセージと、SMメッセージ(NS-A)と、SMメッセージ(NS-B)とを、同一のメッセージに含めて送信する場合について説明する。
図13は、SMメッセージ(NS-A)と、SMメッセージ(NS-B)と、MMメッセージとがまとめて、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われていることを示している。
AMF20は、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われているメッセージを受信すると、受信したメッセージを復号化する。その結果、AMF20は、MMメッセージと、SMメッセージ(NS-A)と、SMメッセージ(NS-B)と、を抽出する。
AMF20は、ネットワークスライスA用のNDSを適用したSMメッセージ(NS-A)を、ネットワークスライスAに配置されているSMF30へ送信する。ネットワークスライスA用のNDSを適用するとは、例えば、AMF20とネットワークスライスAに配置されているSMF30との間に設定されたIPsecにおいて用いられるセキュリティ鍵KNDSを適用することであってもよい。
さらに、AMF20は、ネットワークスライスB用のNDSを適用したSMメッセージ(NS-B)を、ネットワークスライスBに配置されているSMF30へ送信する。
ネットワークスライスAに配置されているSMF30及びネットワークスライスBに配置されているSMF30は、それぞれ、受信したメッセージを復号化し、SMメッセージ(NS-A)及びSMメッセージ(B)を抽出する。
ここで、AMF20とネットワークスライスAに配置されているSMF30との間においては、図13と同様にNDSが適用されてもよい。さらに、UE40とネットワークスライスBに配置されているSMF30との間においては、図10乃至図12と同様に、セキュリティ鍵KNAS_SM(NS-B)が適用されてもよい。ここで、ネットワークスライスAに送信されるSMメッセージと、ネットワークスライスBに送信されるSMメッセージとに異なるセキュリティが適用される場合について説明する。この場合、例えば、SMメッセージ(NS-A)と、MMメッセージと、セキュリティ鍵KNAS_SM(NS-B)が適用されたSMメッセージ(NS-B)とにまとめてセキュリティ鍵KNAS_MMが適用されてもよい。
また、UE40とAMF20との間において、MMメッセージとSMメッセージ(NS-A)とはセキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われてもよい。さらに、SMメッセージ(NS-B)は、セキュリティ鍵KNAS_SM(NS-B)を用いて暗号化及び完全性保証処理が行われてもよい。
また、UE40とAMF20との間において、SMメッセージ(NS-A)及びセキュリティ鍵KNAS_SM(NS-B)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-B)が、MMメッセージの一部であってもよい。
以上説明したように、AMF20とSMF30との間においてはNDSを適用することによって、MMメッセージとSMメッセージとに異なるセキュリティを適用することができる。
(実施の形態6)
続いて、図14を用いて実施の形態6にかかるMMメッセージ及びSMメッセージのデータ形式について説明する。図14は、UE40がローミングネットワークを介してホームネットワークと通信を行うことを示している。さらに、UE40は、ローミングネットワークのネットワークスライスA’を介してホームネットワークのネットワークスライスAと通信を行う。V-SMF31は、ネットワークスライスA’に配置されており、H-SMF32はネットワークスライスAに配置されている。ネットワークスライスA’は、ネットワークスライスAに関連付けられているネットワークスライスとして用いられる。
続いて、図14を用いて実施の形態6にかかるMMメッセージ及びSMメッセージのデータ形式について説明する。図14は、UE40がローミングネットワークを介してホームネットワークと通信を行うことを示している。さらに、UE40は、ローミングネットワークのネットワークスライスA’を介してホームネットワークのネットワークスライスAと通信を行う。V-SMF31は、ネットワークスライスA’に配置されており、H-SMF32はネットワークスライスAに配置されている。ネットワークスライスA’は、ネットワークスライスAに関連付けられているネットワークスライスとして用いられる。
UE40とローミングネットワークに配置されているAMF20との間において伝送されるMMメッセージは、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われる。言い換えると、UE40とAMF20との間において伝送されるMMメッセージには、セキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintが適用される。
さらに、UE40とH-SMF32との間において伝送されるSMメッセージは、ホームネットワークにおけるネットワークスライスA用のセキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われる。言い換えると、UE40とAMF20との間において伝送されるMMメッセージには、ネットワークスライスA用のセキュリティ鍵KNAS-SMenc及びセキュリティ鍵KNAS-SMintが適用される。
ここで、図14を用いて、UE40が、MMメッセージと、ホームネットワークのネットワークスライスAに配置されるH-SMF32へ送信するSMメッセージ(NS-A)とを、同一のメッセージに含めて送信する場合について説明する。
図14は、SMメッセージ(NS-A)と、MMメッセージとがまとめて、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われていることを示している。SMメッセージ(NS-A)は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われている。
AMF20は、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われているメッセージを受信すると、受信したメッセージを復号化する。その結果、AMF20は、MMメッセージと、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-A)と、を抽出する。
AMF20は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-A)を、V-SMF31を介してH-SMF32へ送信する。
H-SMF32は、受信したメッセージを復号化し、SMメッセージ(NS-A)を抽出する。
続いて、図15を用いて、図14とは異なるMMメッセージ及びSMメッセージのデータ形式について説明する。図15においても、図14と同様に、UE40がMMメッセージと、SMメッセージ(NS-A)とを同一のメッセージに含めて送信することを示している。さらに、図15においても、図14と同様に、SMメッセージ(NS-A)は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われている。
ただし、図15においては、図14と異なり、MMメッセージのみがセキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われている。
AMF20は、MMメッセージ及びSMメッセージ(NS-A)を受信すると、受信したMMメッセージを復号化する。MMメッセージは、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われている。SMメッセージ(NS-A)は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われている。その結果、AMF20は、MMメッセージを抽出する。
AMF20は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-A)を、V-SMF31を介してH-SMF32へ送信する。
H-SMF32は、受信したメッセージを復号化し、SMメッセージ(NS-A)を抽出する。
続いて、図16を用いて、図14及び図15とは異なるMMメッセージ及びSMメッセージのデータ形式について説明する。図16においては、図14と同様に、SMメッセージ(NS-A)は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われている。
ただし、図16においては、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-A)が、MMメッセージの一部であることが示されている。
AMF20は、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われているMMメッセージを受信すると、受信したMMメッセージを復号化する。さらに、AMF20は、MMメッセージから、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-A)を分離する。その結果、AMF20は、MMメッセージを抽出する。
AMF20は、セキュリティ鍵KNAS_SM(NS-A)を用いて暗号化及び完全性保証処理が行われているSMメッセージ(NS-A)を、V-SMF31を介してH-SMF32へ転送する。
H-SMF32は、受信したメッセージを復号化し、SMメッセージ(NS-A)を抽出する。
以上説明したように、ローミングネットワークを介してMMメッセージ及び少なくとも1つのSMメッセージを同じメッセージとして送信することがある。このような場合であっても、セキュリティ鍵KNAS_SM(NS-A)及びセキュリティ鍵KNAS_SMを用いて、暗号化及び完全性保証処理を行うことができる。セキュリティ鍵KNAS_SM(NS-A)は、MMメッセージに適用される。セキュリティ鍵KNAS_SMは、SMメッセージに適用される。
(実施の形態7)
続いて、図17を用いて実施の形態7にかかるMMメッセージ及びSMメッセージのデータ形式について説明する。図17においては、図14と同様に、UE40がローミングネットワークを介してホームネットワークと通信を行うことを示している。
続いて、図17を用いて実施の形態7にかかるMMメッセージ及びSMメッセージのデータ形式について説明する。図17においては、図14と同様に、UE40がローミングネットワークを介してホームネットワークと通信を行うことを示している。
さらに、UE40とAMF20との間において伝送されるメッセージは、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われる。言い換えると、UE40とAMF20との間において伝送されるメッセージには、セキュリティ鍵KNAS-MMenc及びセキュリティ鍵KNAS-MMintが適用される。
UE40とV-SMF31との間において伝送されるメッセージは、セキュリティ鍵KNAS_SM(NS-A’)を用いて暗号化及び完全性保証処理が行われる。
ローミングネットワークに配置されるV-SMF31とホームネットワークに配置されるH-SMF32との間は、NDS(Network Domain Security)が適用される。V-SMF31とH-SMF32との間においてNDSが用いられる場合、予め、V-SMF31とH-SMF32との間においてセキュリティ鍵KNDSが共有されていてもよい。
ここで、図17を用いて、UE40が、MMメッセージと、SMメッセージ(NS-A)とを、同一のメッセージに含めて送信する場合について説明する。
図17は、セキュリティ鍵KNAS_SM(NS-A’)が適用されたSMメッセージ(NS-A)と、MMメッセージとがまとめて、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われていることを示している。
AMF20は、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われているメッセージを受信すると、受信したメッセージを復号化する。その結果、AMF20は、MMメッセージと、セキュリティ鍵KNAS_SM(NS-A’)が適用されたSMメッセージ(NS-A)と、を抽出する。
AMF20は、セキュリティ鍵KNAS_SM(NS-A’)が適用されたSMメッセージ(NS-A)を、V-SMF31へ送信する。V-SMF31は、セキュリティ鍵KNAS_SM(NS-A’)が適用されたSMメッセージ(NS-A)を受信すると、受信したメッセージを復号化する。その結果、V-SMF31は、SMメッセージ(NS-A)を抽出する。
V-SMF31は、ネットワークスライスA用のNDSを適用したSMメッセージ(NS-A)を、ホームネットワークのネットワークスライスAに配置されているH-SMF32へ送信する。
H-SMF32は、受信したメッセージを復号化し、SMメッセージ(NS-A)を抽出する。
また、UE40がAMF20へ送信するメッセージは、図17に示す以外に、図15及び図16に示される形式であってもよい。
続いて、図18を用いて、図17とは異なるMMメッセージ及びSMメッセージのデータ形式について説明する。図18は、AMF20とV-SMF31との間において、NDSが用いられる点において、図17と異なる。これより、図18は、UE40とV-SMF31との間において、セキュリティ鍵KNAS_SM(NS-A’)が適用されない点においても、図17と異なる。
図18は、SMメッセージ(NS-A)と、MMメッセージとがまとめて、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われていることを示している。
AMF20は、セキュリティ鍵KNAS_MMを用いて暗号化及び完全性保証処理が行われているメッセージを受信すると、受信したメッセージを復号化する。その結果、AMF20は、MMメッセージと、SMメッセージ(NS-A)と、を抽出する。
AMF20は、ネットワークスライスA’用のNDSを適用したSMメッセージ(NS-A)を、ネットワークスライスA’に配置されているV-SMF31へ送信する。
V-SMF31は、ネットワークスライスA’用のNDSを適用したSMメッセージ(NS-A)を復号し、SMメッセージ(NS-A)を抽出する。その後、V-SMF31は、ネットワークスライスA用のNDSを適用したSMメッセージ(NS-A)を、ネットワークスライスAに配置されているH-SMF32へ送信する。
H-SMF32は、受信したメッセージを復号化し、SMメッセージ(NS-A)を抽出する。
また、UE40がAMF20へ送信するメッセージは、図17に示す以外に、SMメッセージ(NS-A)が、MMメッセージの一部であってもよい。
以上説明したように、AMF20とV-SMF31との間、及び、V-SMF31とH-SMF32との間の少なくとも一方においてはNDSを適用することによって、MMメッセージとSMメッセージとに異なるセキュリティを適用することができる。
また、上述したそれぞれの実施の形態において、SMF30が保持するセキュリティ鍵は、例えば、UEがdetachした際に、削除されてもよい。また、UE40及びSMF30が保持するセキュリティ鍵は、UE40もしくはAMF20からの要求に基づいて、更新されてもよい。例えば、AMF20は、UE40及びSMF30に対して、random numberを送信し、UE40及びSMF30は、受信したrandom numberを用いて、セキュリティを更新してもよい。
(実施の形態8)
続いて、図19及び図20を用いてSSS(Slice Security Server)を利用したセキュリティ処理の流れについて説明する。SSSは、ネットワークスライス毎に要求されるセキュリティに対応するために、ネットワークスライス毎に適切なsecurity configurationを提供する。SSSは、UDM70と同じ場所に配置されてもよい。言い換えると、SSSは、UDM70とコロケート(collocate)されてもよい。
続いて、図19及び図20を用いてSSS(Slice Security Server)を利用したセキュリティ処理の流れについて説明する。SSSは、ネットワークスライス毎に要求されるセキュリティに対応するために、ネットワークスライス毎に適切なsecurity configurationを提供する。SSSは、UDM70と同じ場所に配置されてもよい。言い換えると、SSSは、UDM70とコロケート(collocate)されてもよい。
はじめに、UE40は、AN50へRegistration requestメッセージを送信する(S51)。Registration requestメッセージは、Configured NSSAIを含む。さらに、AN50は、AMF20を選択し、選択したAMF20へ、Configured NSSAIを含むRegistration requestメッセージを転送する(S51)。
AMF20は、Registration requestメッセージを受信すると、全てのアクセス可能なSM-NSSAI(Acceptable SM-NSSAI)を抽出する。SM-NSSAIは、SMFを選択するために用いられる。SM-NSSAIは、UE40が接続を要望するネットワークスライスを識別する情報である。さらに、AMF20は、Accepted NSSAI及びtemp IDを生成し、生成したNSSAI及びtemp IDを保持する。AMF20は、Accepted NSSAI及びtemp IDを含むauthentication data requestメッセージをAUSF60へ送信する。さらに、AUSF60は、UDM70へauthentication data requestメッセージを転送する(S52)。
AMF20もしくはAUSF60は、UE40から送信されたNSSAIと、ネットワーク側において認識しているNSSAIとが異なる場合、NSSAIを更新する。また、AMF20は、UE40が有効なNSSAIを送信しなかった場合等に、ネットワークスライスを選択するために、NSSF(Network Slice Selection Function)を実行してもよい。
次に、UDM70は、UE40のために必要とされるsecurity configurationに関する全ての情報を取得するために、SSSへ、security configuration requestメッセージを送信する(S53)。次に、SSSは、UDM70へ、security configuration responseメッセージを送信する(S54)。security configuration responseメッセージは、security configuration requestメッセージにおいて要求されたsecurity configurationを含む。security configurationは、SSSにsecurity profileとして格納される。security profileは、アルゴリズム、key length等のsecurity configurationのセットから構成される。また、security profileは、UE40及びUE40が接続を希望するネットワークスライスにおいて用いられる。security profile IDは、security configurationと共に、UDM70、AUSF60、AMF20、UPF80、及びUE40等へ送信される。
次に、UDM70は、NAS MM security及びAS securityを確立するためにUE40のservice requirementに基づいて関連するsecurity configurationを選択する。例えば、UDM70は、アルゴリズムもしくはkey length等を選択する(S55)。さらに、UDM70は、AVs(Authentication Vector)を生成する(S55)。
次に、UDM70は、authentication data responseメッセージをAUSF60へ送信し、AUSF60は、受信したauthentication data responseメッセージをAMF20へ転送する(S56)。authentication data responseメッセージは、選択されたsecurity configuration及びAVsを含む。
次に、UE40とAMF20との間において、UDM70によって提供されたAVsを用いてAKAが実行される(S57)。
次に、AMF20は、UE40へ、NAS MM SMCを送信する(S58)。NAS MM SMCは、UDM70において選択されたsecurity configurationsを含む。次に、UE40は、AMF20へ、NAS MM SMC completeメッセージを送信する(S59)。これにより、UE40とAMF20との間にNAS MM securityが確立される。
次に、AMF20は、AN50へ、Registration acceptメッセージを送信し、AN50は、Registration acceptメッセージをUE40へ転送する(S60)。Registration acceptメッセージは、security configurations及びtemp IDを含む。
次に、AN50は、UE40へAS SMCを送信する(S61)。AS SMCは、UDM70によって選択されたsecurity configurationを含む。次に、UE40は、AS SMC completeメッセージをAN50へ送信する(S62)。これにより、UE40とAN50との間において、AS securityが確立される。ここで、RAN slicingが適用される場合、slice毎にsecurity configurationが提供され、slice毎にAS securityが確立される。
図20に移り、次に、UE40は、AN50へSession requestメッセージを送信し、AN50は、Session requestメッセージをAMF20へ転送する(S63)。Session requestメッセージは、SM-NSSAI及びtemp IDを含む。また、AMF20は、Session requestメッセージに含まれる情報に基づいてSMF30を選択し、SMF30へ、Session requestメッセージを送信する(S63)。
次に、SMF30は、NAS MM security及びU-plane data securityを確立するためのconfigurationsを保持していない場合、Slice security configuration requestメッセージをSSSへ送信する(S64)。Slice security configuration requestメッセージは、SM-NSSAI及びtemp IDを含む。
次に、SSSは、要求されたconfigurationを含むSlice security configuration responseメッセージをSMF30へ送信する(S65)。
次に、SMF30は、UPF80を選択し、UPF80を介してext DNへアクセスするためのSession authorizationが実行される(S66)。次に、SMF30は、AMF20及びAN50を介して、UE40へSession acceptメッセージを送信する(S67)。次に、SMF30は、UE40へ、security configurationsを含むNAS SM SMCを送信する(S68)。次に、UE40は、SMF30へNAS SM SMC completeメッセージを送信する(S69)。これにより、UE40とSMF30との間において、NAS SM securityが確立される。
次に、SMF30は、security configurationsを含むSession establishment requestメッセージをUPF80へ送信する(S70)。次に、UPF80は、security configurationsを含むU-plane data SMCをUE40へ送信する(S71)。次に、UE40は、U-plane data SMC completeメッセージをUPF80へ送信する(S72)。これにより、UE40とUPF80との間のU-plane data securityが確立される。
以上説明したように、図19及び20のセキュリティ処理を実行することによって、UE及びサービスからの要望を考慮したMMメッセージの認証及び保護のための適切なsecurity configurationを確立することができる。さらに、SMメッセージ及びU-planeデータの保護のために、ネットワークスライス毎にことなるsecurity configurationを確立することができる。
続いて以下では、上述の複数の実施形態で説明されたUE40及びAMF20の構成例について説明する。
図21は、UE40の構成例を示すブロック図である。Radio Frequency(RF)トランシーバ1101は、AN50と通信するためにアナログRF信号処理を行う。RFトランシーバ1101により行われるアナログRF信号処理は、周波数アップコンバージョン、周波数ダウンコンバージョン、及び増幅を含む。RFトランシーバ1101は、アンテナ1102及びベースバンドプロセッサ1103と結合される。すなわち、RFトランシーバ1101は、変調シンボルデータをベースバンドプロセッサ1103から受信し、送信RF信号を生成し、送信RF信号をアンテナ1102に供給する。変調シンボルデータは、OFDM(Orthogonal Frequency Division Multiplexing)シンボルデータであってもよい。また、RFトランシーバ1101は、アンテナ1102によって受信された受信RF信号に基づいてベースバンド受信信号を生成し、これをベースバンドプロセッサ1103に供給する。
ベースバンドプロセッサ1103は、無線通信のためのデジタルベースバンド信号処理(データプレーン処理)とコントロールプレーン処理を行う。デジタルベースバンド信号処理は、(a) データ圧縮/復元、(b) データのセグメンテーション/コンカテネーション、及び(c) 伝送フォーマット(伝送フレーム)の生成/分解を含む。さらに、デジタルベースバンド信号処理は、(d) 伝送路符号化/復号化、及び(e) 変調(シンボルマッピング)/復調を含む。さらに、デジタルベースバンド信号処理は、(f) Inverse Fast Fourier Transform(IFFT)によるOFDMシンボルデータ(ベースバンドOFDM信号)の生成などを含む。一方、コントロールプレーン処理は、レイヤ1、レイヤ2、及びレイヤ3の通信管理を含む。レイヤ1は、例えば、送信電力制御である。レイヤ2は、例えば、無線リソース管理、及びhybrid automatic repeat request(HARQ)処理である。レイヤ3は、例えば、アタッチ、モビリティ、及び通話管理に関するシグナリングである。
例えば、LTEおよびLTE-Advancedの場合、ベースバンドプロセッサ1103によるデジタルベースバンド信号処理は、Packet Data Convergence Protocol(PDCP)レイヤ、Radio Link Control(RLC)レイヤ、MACレイヤ、およびPHYレイヤの信号処理を含んでもよい。また、ベースバンドプロセッサ1103によるコントロールプレーン処理は、Non-Access Stratum(NAS)プロトコル、RRCプロトコル、及びMAC CEの処理を含んでもよい。
ベースバンドプロセッサ1103は、デジタルベースバンド信号処理を行うモデム・プロセッサとコントロールプレーン処理を行うプロトコルスタック・プロセッサを含んでもよい。モデム・プロセッサは、例えば、Digital Signal Processor(DSP)である。コントロールプレーン処理を行うプロトコルスタック・プロセッサは、例えば、Central Processing Unit(CPU)、又はMicro Processing Unit(MPU)である。この場合、コントロールプレーン処理を行うプロトコルスタック・プロセッサは、後述するアプリケーションプロセッサ1104と共通化されてもよい。
アプリケーションプロセッサ1104は、CPU、MPU、マイクロプロセッサ、又はプロセッサコアとも呼ばれる。アプリケーションプロセッサ1104は、複数のプロセッサ(複数のプロセッサコア)を含んでもよい。アプリケーションプロセッサ1104は、メモリ1106又は図示されていないメモリから読み出されたシステムソフトウェアプログラム及び様々なアプリケーションプログラムを実行することによって、UE40の各種機能を実現する。システムソフトウェアプログラムは、例えば、Operating System(OS)であってもよい。アプリケーションプログラムは、例えば、通話アプリケーション、WEBブラウザ、メーラ、カメラ操作アプリケーション、音楽再生アプリケーションであってもよい。
いくつかの実装において、図21に破線(1105)で示されているように、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのチップ上に集積されてもよい。言い換えると、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのSystem on Chip(SoC)デバイス1105として実装されてもよい。SoCデバイスは、システムLarge Scale Integration(LSI)またはチップセットと呼ばれることもある。
メモリ1106は、揮発性メモリ若しくは不揮発性メモリ又はこれらの組合せである。メモリ1106は、物理的に独立した複数のメモリデバイスを含んでもよい。揮発性メモリは、例えば、Static Random Access Memory(SRAM)若しくはDynamic RAM(DRAM)又はこれらの組み合わせである。不揮発性メモリは、マスクRead Only Memory(MROM)、Electrically Erasable Programmable ROM(EEPROM)、フラッシュメモリ、若しくはハードディスクドライブ、又はこれらの任意の組合せである。例えば、メモリ1106は、ベースバンドプロセッサ1103、アプリケーションプロセッサ1104、及びSoC1105からアクセス可能な外部メモリデバイスを含んでもよい。メモリ1106は、ベースバンドプロセッサ1103内、アプリケーションプロセッサ1104内、又はSoC1105内に集積された内蔵メモリデバイスを含んでもよい。さらに、メモリ1106は、Universal Integrated Circuit Card(UICC)内のメモリを含んでもよい。
メモリ1106は、上述の複数の実施形態で説明されたUE40による処理を行うための命令群およびデータを含むソフトウェアモジュール(コンピュータプログラム)を格納してもよい。いくつかの実装において、ベースバンドプロセッサ1103又はアプリケーションプロセッサ1104は、当該ソフトウェアモジュールをメモリ1106から読み出して実行することで、上述の実施形態で説明されたUE40の処理を行うよう構成されてもよい。
図22は、AMF20の構成例を示すブロック図である。図22を参照すると、AMF20は、ネットワークインターフェース1201、プロセッサ1202、及びメモリ1203を含む。ネットワークインターフェース1201は、ネットワークノード(e.g., AN50、SMF30等)と通信するために使用される。ネットワークインターフェース1201は、例えば、IEEE(Insititute of Electrical and Electronics Engineers) 802.3 seriesに準拠したネットワークインタフェースカード(NIC)を含んでもよい。
プロセッサ1202は、メモリ1203からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態においてシーケンス図及びフローチャートを用いて説明されたAMF20の処理を行う。プロセッサ1202は、例えば、マイクロプロセッサ、MPU、又はCPUであってもよい。プロセッサ1202は、複数のプロセッサを含んでもよい。
メモリ1203は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ1203は、プロセッサ1202から離れて配置されたストレージを含んでもよい。この場合、プロセッサ1202は、図示されていないI/Oインタフェースを介してメモリ1203にアクセスしてもよい。
図22の例では、メモリ1203は、ソフトウェアモジュール群を格納するために使用される。プロセッサ1202は、これらのソフトウェアモジュール群をメモリ1203から読み出して実行することで、上述の実施形態において説明されたAMF20の処理を行うことができる。
図21及び図22を用いて説明したように、上述の実施形態にUE40及びAMF20が有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。このプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(Non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体、光磁気記録媒体(例えば光磁気ディスク)、Compact Disc Read Only Memory(CD-ROM)、CD-R、CD-R/W、半導体メモリを含む。磁気記録媒体は、フレキシブルディスク、磁気テープ、ハードディスクドライブであってもよい。半導体メモリは、例えば、マスクROM、Programmable ROM(PROM)、Erasable PROM(EPROM)、フラッシュROM、Random Access Memory(RAM)であってもよい。例えば、また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本開示は、それぞれの実施の形態を適宜組み合わせて実施されてもよい。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2017年1月17日に出願されたインド出願201711001823及び2017年1月27日に出願されたインド出願201711003074を基礎とする優先権を主張し、その開示の全てをここに取り込む。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
通信端末と、
前記通信端末に関するMM(Mobility Management)処理を実行するAMF(Access and Mobility Management)エンティティと、
前記通信端末に関するSM(Session Management)処理を実行するSMF(Session Management Function)エンティティと、を備え、
前記通信端末は、
前記MM処理において用いられるMMメッセージであって、第1のセキュリティ鍵を適用した前記MMメッセージを、前記AMFエンティティとの間において伝送し、前記SM処理において用いられるSMメッセージであって、第2のセキュリティ鍵を適用した前記SMメッセージを、前記AMFエンティティを介して前記SMFエンティティとの間において伝送する、通信システム。
(付記2)
前記SMFエンティティは、
ネットワークスライシングが適用されることによって生成された複数のネットワークスライスに含まれる第1のネットワークスライスと関連付けられる、付記1に記載の通信システム。
(付記3)
前記AMFエンティティは、
前記第1のネットワークスライスを識別する識別情報を用いて前記第2のセキュリティ鍵を導出し、導出した前記第2のセキュリティ鍵を前記SMFエンティティへ送信する、付記2に記載の通信システム。
(付記4)
前記通信端末は、
前記第1のネットワークスライスを識別する識別情報を用いて、前記第2のセキュリティ鍵を導出する、付記2又は3に記載の通信システム。
(付記5)
前記SMFエンティティは、
前記通信端末のホームネットワークに配置されるH(Home)-SMFエンティティもしくは前記通信端末のローミング先ネットワークに配置されるV(Visited)-SMFエンティティである、付記1乃至4のいずれか1項に記載の通信システム。
(付記6)
前記通信端末は、
前記MMメッセージとともに前記SMメッセージを前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記1乃至5のいずれか1項に記載の通信システム。
(付記7)
前記通信端末は、
前記第1のセキュリティ鍵を適用した前記SMメッセージを、前記MMメッセージとともに前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記1乃至5のいずれか1項に記載の通信システム。
(付記8)
前記通信端末は、
前記SMメッセージを含む前記MMメッセージを前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記1乃至5のいずれか1項に記載の通信システム。
(付記9)
通信端末と、
前記通信端末に関するMM(Mobility Management)処理を実行するAMF(Access and Mobility Management)エンティティと、
前記通信端末に関するSM(Session Management)処理を実行するSMF(Session Management Function)エンティティと、を備え、
前記通信端末及び前記AMFエンティティは、
前記MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、
前記AMFエンティティ及び前記SMFエンティティは、
前記SM処理において用いられるSMメッセージにNDS(Network Domain Security)を適用する、通信システム。
(付記10)
前記SMFエンティティは、
ネットワークスライシングが適用されることによって生成された複数のネットワークスライスに含まれる第1のネットワークスライスと関連付けられる第1のSMFエンティティと、前記複数のネットワークスライスに含まれる第2のネットワークスライスと関連付けられる第2のSMFエンティティであって、
前記AMFエンティティ及び前記第1のSMFエンティティは、
前記SM処理において用いられる第1のSMメッセージにNDSを適用し、
前記AMFエンティティ及び前記第2のSMFエンティティは、
前記SM処理において用いられる第2のSMメッセージに、前記第1のセキュリティ鍵とは異なる第2のセキュリティ鍵を適用する、付記9に記載の通信システム。
(付記11)
前記SMFエンティティは、
前記通信端末のホームネットワークに配置されるH(Home)-SMFもしくは前記通信端末のローミング先ネットワークに配置されるV(Visited)-SMFである、付記9に記載の通信システム。
(付記12)
前記通信端末は、
前記第1のセキュリティ鍵を適用した前記SMメッセージを、前記MMメッセージとともに前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記9乃至11のいずれか1項に記載の通信システム。
(付記13)
前記通信端末は、
前記SMメッセージを含む前記MMメッセージを前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記1乃至5のいずれか1項に記載の通信システム。
(付記14)
前記通信端末は、
前記第1のセキュリティ鍵を適用した前記第1のSMメッセージ及び前記第2のSMメッセージを前記MMメッセージとともに前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記第1のSMメッセージを前記第1のSMFエンティティへ送信し、前記第2のSMメッセージを前記第2のSMFエンティティへ送信する、付記10に記載の通信システム。
(付記15)
MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、SM処理において用いられるSMメッセージに第2のセキュリティ鍵を適用する制御手段と、
前記第1のセキュリティ鍵が適用された前記MMメッセージを前記MM処理を実行するAMFエンティティへ送信し、前記第2のセキュリティ鍵が適用された前記SMメッセージを、前記AMFエンティティを介して、前記SM処理を実行する前記SMFエンティティへ送信する通信手段と、を備える通信端末。
(付記16)
前記通信端末は、
ネットワークスライシングが適用されることによって生成された複数のネットワークスライスに含まれる第1のネットワークスライスを識別する識別情報を用いて、前記第2のセキュリティ鍵を導出する、付記15に記載の通信端末。
(付記17)
第1のセキュリティ鍵が適用されたMMメッセージを用いてMM処理を実行する制御手段と、
通信端末とSM処理を実行するSMFエンティティとの間において伝送されるSMメッセージであって、第2のセキュリティ鍵が適用された前記SMメッセージを転送する通信手段と、を備えるAMFエンティティ。
(付記18)
前記制御手段は、
前記第2のセキュリティ鍵を導出し、
前記通信手段は、
導出された前記第2のセキュリティ鍵を前記SMFエンティティへ送信する、付記16に記載のAMFエンティティ。
(付記19)
MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、
前記第1のセキュリティ鍵が適用された前記MMメッセージを前記MM処理を実行するAMFエンティティへ送信し、
SM処理において用いられるSMメッセージに第2のセキュリティ鍵を適用し、
前記第2のセキュリティ鍵が適用された前記SMメッセージを、前記AMFエンティティを介して、前記SM処理を実行する前記SMFエンティティへ送信する、通信端末における通信方法。
(付記1)
通信端末と、
前記通信端末に関するMM(Mobility Management)処理を実行するAMF(Access and Mobility Management)エンティティと、
前記通信端末に関するSM(Session Management)処理を実行するSMF(Session Management Function)エンティティと、を備え、
前記通信端末は、
前記MM処理において用いられるMMメッセージであって、第1のセキュリティ鍵を適用した前記MMメッセージを、前記AMFエンティティとの間において伝送し、前記SM処理において用いられるSMメッセージであって、第2のセキュリティ鍵を適用した前記SMメッセージを、前記AMFエンティティを介して前記SMFエンティティとの間において伝送する、通信システム。
(付記2)
前記SMFエンティティは、
ネットワークスライシングが適用されることによって生成された複数のネットワークスライスに含まれる第1のネットワークスライスと関連付けられる、付記1に記載の通信システム。
(付記3)
前記AMFエンティティは、
前記第1のネットワークスライスを識別する識別情報を用いて前記第2のセキュリティ鍵を導出し、導出した前記第2のセキュリティ鍵を前記SMFエンティティへ送信する、付記2に記載の通信システム。
(付記4)
前記通信端末は、
前記第1のネットワークスライスを識別する識別情報を用いて、前記第2のセキュリティ鍵を導出する、付記2又は3に記載の通信システム。
(付記5)
前記SMFエンティティは、
前記通信端末のホームネットワークに配置されるH(Home)-SMFエンティティもしくは前記通信端末のローミング先ネットワークに配置されるV(Visited)-SMFエンティティである、付記1乃至4のいずれか1項に記載の通信システム。
(付記6)
前記通信端末は、
前記MMメッセージとともに前記SMメッセージを前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記1乃至5のいずれか1項に記載の通信システム。
(付記7)
前記通信端末は、
前記第1のセキュリティ鍵を適用した前記SMメッセージを、前記MMメッセージとともに前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記1乃至5のいずれか1項に記載の通信システム。
(付記8)
前記通信端末は、
前記SMメッセージを含む前記MMメッセージを前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記1乃至5のいずれか1項に記載の通信システム。
(付記9)
通信端末と、
前記通信端末に関するMM(Mobility Management)処理を実行するAMF(Access and Mobility Management)エンティティと、
前記通信端末に関するSM(Session Management)処理を実行するSMF(Session Management Function)エンティティと、を備え、
前記通信端末及び前記AMFエンティティは、
前記MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、
前記AMFエンティティ及び前記SMFエンティティは、
前記SM処理において用いられるSMメッセージにNDS(Network Domain Security)を適用する、通信システム。
(付記10)
前記SMFエンティティは、
ネットワークスライシングが適用されることによって生成された複数のネットワークスライスに含まれる第1のネットワークスライスと関連付けられる第1のSMFエンティティと、前記複数のネットワークスライスに含まれる第2のネットワークスライスと関連付けられる第2のSMFエンティティであって、
前記AMFエンティティ及び前記第1のSMFエンティティは、
前記SM処理において用いられる第1のSMメッセージにNDSを適用し、
前記AMFエンティティ及び前記第2のSMFエンティティは、
前記SM処理において用いられる第2のSMメッセージに、前記第1のセキュリティ鍵とは異なる第2のセキュリティ鍵を適用する、付記9に記載の通信システム。
(付記11)
前記SMFエンティティは、
前記通信端末のホームネットワークに配置されるH(Home)-SMFもしくは前記通信端末のローミング先ネットワークに配置されるV(Visited)-SMFである、付記9に記載の通信システム。
(付記12)
前記通信端末は、
前記第1のセキュリティ鍵を適用した前記SMメッセージを、前記MMメッセージとともに前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記9乃至11のいずれか1項に記載の通信システム。
(付記13)
前記通信端末は、
前記SMメッセージを含む前記MMメッセージを前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、付記1乃至5のいずれか1項に記載の通信システム。
(付記14)
前記通信端末は、
前記第1のセキュリティ鍵を適用した前記第1のSMメッセージ及び前記第2のSMメッセージを前記MMメッセージとともに前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記第1のSMメッセージを前記第1のSMFエンティティへ送信し、前記第2のSMメッセージを前記第2のSMFエンティティへ送信する、付記10に記載の通信システム。
(付記15)
MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、SM処理において用いられるSMメッセージに第2のセキュリティ鍵を適用する制御手段と、
前記第1のセキュリティ鍵が適用された前記MMメッセージを前記MM処理を実行するAMFエンティティへ送信し、前記第2のセキュリティ鍵が適用された前記SMメッセージを、前記AMFエンティティを介して、前記SM処理を実行する前記SMFエンティティへ送信する通信手段と、を備える通信端末。
(付記16)
前記通信端末は、
ネットワークスライシングが適用されることによって生成された複数のネットワークスライスに含まれる第1のネットワークスライスを識別する識別情報を用いて、前記第2のセキュリティ鍵を導出する、付記15に記載の通信端末。
(付記17)
第1のセキュリティ鍵が適用されたMMメッセージを用いてMM処理を実行する制御手段と、
通信端末とSM処理を実行するSMFエンティティとの間において伝送されるSMメッセージであって、第2のセキュリティ鍵が適用された前記SMメッセージを転送する通信手段と、を備えるAMFエンティティ。
(付記18)
前記制御手段は、
前記第2のセキュリティ鍵を導出し、
前記通信手段は、
導出された前記第2のセキュリティ鍵を前記SMFエンティティへ送信する、付記16に記載のAMFエンティティ。
(付記19)
MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、
前記第1のセキュリティ鍵が適用された前記MMメッセージを前記MM処理を実行するAMFエンティティへ送信し、
SM処理において用いられるSMメッセージに第2のセキュリティ鍵を適用し、
前記第2のセキュリティ鍵が適用された前記SMメッセージを、前記AMFエンティティを介して、前記SM処理を実行する前記SMFエンティティへ送信する、通信端末における通信方法。
10 通信端末
20 AMF
21 制御部
22 通信部
30 SMF
31 V-SMF
32 H-SMF
40 UE
41 制御部
42 通信部
50 AN
60 AUSF
70 UDM
80 UPF
81 V-UPF
82 H-UPF
90 PCF
91 V-PCF
92 H-PCF
100 AF
110 DN
20 AMF
21 制御部
22 通信部
30 SMF
31 V-SMF
32 H-SMF
40 UE
41 制御部
42 通信部
50 AN
60 AUSF
70 UDM
80 UPF
81 V-UPF
82 H-UPF
90 PCF
91 V-PCF
92 H-PCF
100 AF
110 DN
Claims (19)
- 通信端末と、
前記通信端末に関するMM(Mobility Management)処理を実行するAMF(Access and Mobility Management)エンティティと、
前記通信端末に関するSM(Session Management)処理を実行するSMF(Session Management Function)エンティティと、を備え、
前記通信端末は、
前記MM処理において用いられるMMメッセージであって、第1のセキュリティ鍵を適用した前記MMメッセージを、前記AMFエンティティとの間において伝送し、前記SM処理において用いられるSMメッセージであって、第2のセキュリティ鍵を適用した前記SMメッセージを、前記AMFエンティティを介して前記SMFエンティティとの間において伝送する、通信システム。 - 前記SMFエンティティは、
ネットワークスライシングが適用されることによって生成された複数のネットワークスライスに含まれる第1のネットワークスライスと関連付けられる、請求項1に記載の通信システム。 - 前記AMFエンティティは、
前記第1のネットワークスライスを識別する識別情報を用いて前記第2のセキュリティ鍵を導出し、導出した前記第2のセキュリティ鍵を前記SMFエンティティへ送信する、請求項2に記載の通信システム。 - 前記通信端末は、
前記第1のネットワークスライスを識別する識別情報を用いて、前記第2のセキュリティ鍵を導出する、請求項2又は3に記載の通信システム。 - 前記SMFエンティティは、
前記通信端末のホームネットワークに配置されるH(Home)-SMFエンティティもしくは前記通信端末のローミング先ネットワークに配置されるV(Visited)-SMFエンティティである、請求項1乃至4のいずれか1項に記載の通信システム。 - 前記通信端末は、
前記MMメッセージとともに前記SMメッセージを前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、請求項1乃至5のいずれか1項に記載の通信システム。 - 前記通信端末は、
前記第1のセキュリティ鍵を適用した前記SMメッセージを、前記MMメッセージとともに前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、請求項1乃至5のいずれか1項に記載の通信システム。 - 前記通信端末は、
前記SMメッセージを含む前記MMメッセージを前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、請求項1乃至5のいずれか1項に記載の通信システム。 - 通信端末と、
前記通信端末に関するMM(Mobility Management)処理を実行するAMF(Access and Mobility Management)エンティティと、
前記通信端末に関するSM(Session Management)処理を実行するSMF(Session Management Function)エンティティと、を備え、
前記通信端末及び前記AMFエンティティは、
前記MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、
前記AMFエンティティ及び前記SMFエンティティは、
前記SM処理において用いられるSMメッセージにNDS(Network Domain Security)を適用する、通信システム。 - 前記SMFエンティティは、
ネットワークスライシングが適用されることによって生成された複数のネットワークスライスに含まれる第1のネットワークスライスと関連付けられる第1のSMFエンティティと、前記複数のネットワークスライスに含まれる第2のネットワークスライスと関連付けられる第2のSMFエンティティであって、
前記AMFエンティティ及び前記第1のSMFエンティティは、
前記SM処理において用いられる第1のSMメッセージにNDSを適用し、
前記AMFエンティティ及び前記第2のSMFエンティティは、
前記SM処理において用いられる第2のSMメッセージに、前記第1のセキュリティ鍵とは異なる第2のセキュリティ鍵を適用する、請求項9に記載の通信システム。 - 前記SMFエンティティは、
前記通信端末のホームネットワークに配置されるH(Home)-SMFもしくは前記通信端末のローミング先ネットワークに配置されるV(Visited)-SMFである、請求項9に記載の通信システム。 - 前記通信端末は、
前記第1のセキュリティ鍵を適用した前記SMメッセージを、前記MMメッセージとともに前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、請求項9乃至11のいずれか1項に記載の通信システム。 - 前記通信端末は、
前記SMメッセージを含む前記MMメッセージを前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記SMメッセージを前記SMFエンティティへ送信する、請求項1乃至5のいずれか1項に記載の通信システム。 - 前記通信端末は、
前記第1のセキュリティ鍵を適用した前記第1のSMメッセージ及び前記第2のSMメッセージを前記MMメッセージとともに前記AMFエンティティへ送信し、
前記AMFエンティティは、
前記第1のSMメッセージを前記第1のSMFエンティティへ送信し、前記第2のSMメッセージを前記第2のSMFエンティティへ送信する、請求項10に記載の通信システム。 - MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、SM処理において用いられるSMメッセージに第2のセキュリティ鍵を適用する制御手段と、
前記第1のセキュリティ鍵が適用された前記MMメッセージを前記MM処理を実行するAMFエンティティへ送信し、前記第2のセキュリティ鍵が適用された前記SMメッセージを、前記AMFエンティティを介して、前記SM処理を実行するSMFエンティティへ送信する通信手段と、を備える通信端末。 - 前記通信端末は、
ネットワークスライシングが適用されることによって生成された複数のネットワークスライスに含まれる第1のネットワークスライスを識別する識別情報を用いて、前記第2のセキュリティ鍵を導出する、請求項15に記載の通信端末。 - 第1のセキュリティ鍵が適用されたMMメッセージを用いてMM処理を実行する制御手段と、
通信端末とSM処理を実行するSMFエンティティとの間において伝送されるSMメッセージであって、第2のセキュリティ鍵が適用された前記SMメッセージを転送する通信手段と、を備えるAMFエンティティ。 - 前記制御手段は、
前記第2のセキュリティ鍵を導出し、
前記通信手段は、
導出された前記第2のセキュリティ鍵を前記SMFエンティティへ送信する、請求項17に記載のAMFエンティティ。 - MM処理において用いられるMMメッセージに第1のセキュリティ鍵を適用し、
前記第1のセキュリティ鍵が適用された前記MMメッセージを前記MM処理を実行するAMFエンティティへ送信し、
SM処理において用いられるSMメッセージに第2のセキュリティ鍵を適用し、
前記第2のセキュリティ鍵が適用された前記SMメッセージを、前記AMFエンティティを介して、前記SM処理を実行するSMFエンティティへ送信する、通信端末における通信方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP18741554.2A EP3573357A4 (en) | 2017-01-17 | 2018-01-17 | COMMUNICATION SYSTEM, COMMUNICATION TERMINAL, AMF UNIT AND COMMUNICATION PROCESS |
US16/478,348 US11265705B2 (en) | 2017-01-17 | 2018-01-17 | Communication system, communication terminal, AMF entity, and communication method |
JP2018563361A JPWO2018135524A1 (ja) | 2017-01-17 | 2018-01-17 | 通信システム、通信端末、amfエンティティ、及び通信方法 |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN201711001823 | 2017-01-17 | ||
IN201711001823 | 2017-01-17 | ||
IN201711003074 | 2017-01-27 | ||
IN201711003074 | 2017-01-27 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2018135524A1 true WO2018135524A1 (ja) | 2018-07-26 |
Family
ID=62908557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2018/001185 WO2018135524A1 (ja) | 2017-01-17 | 2018-01-17 | 通信システム、通信端末、amfエンティティ、及び通信方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11265705B2 (ja) |
EP (1) | EP3573357A4 (ja) |
JP (1) | JPWO2018135524A1 (ja) |
WO (1) | WO2018135524A1 (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109041057A (zh) * | 2018-08-08 | 2018-12-18 | 兴唐通信科技有限公司 | 一种基于5g aka的核心网网元间鉴权流程安全性增强方法 |
WO2020050138A1 (ja) * | 2018-09-03 | 2020-03-12 | 日本電気株式会社 | コアネットワーク装置、アクセスネットワーク装置、通信端末、通信システム、及び通信方法 |
WO2020254302A1 (en) * | 2019-06-17 | 2020-12-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Home controlled network slice privacy |
WO2021036704A1 (zh) * | 2019-08-23 | 2021-03-04 | 华为技术有限公司 | 终端设备和用户面网元之间的安全通信方法、装置及系统 |
US20230089730A1 (en) * | 2021-09-23 | 2023-03-23 | At&T Mobility Ii Llc | Short message service encryption secure front-end gateway |
JP7434225B2 (ja) | 2021-08-23 | 2024-02-20 | 株式会社東芝 | 認証装置、無線通信装置、無線通信システム、方法及びプログラム |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018000590A1 (zh) * | 2016-07-01 | 2018-01-04 | 华为技术有限公司 | 安全协商方法、安全功能实体、核心网网元及用户设备 |
EP3520454B1 (en) | 2017-01-30 | 2024-03-06 | Telefonaktiebolaget LM Ericsson (publ.) | Security anchor function in 5g systems |
FI3603238T3 (fi) * | 2017-03-20 | 2023-09-12 | Zte Corp | Verkon viipalointi -palvelutoiminto |
US10805792B2 (en) * | 2018-09-07 | 2020-10-13 | Nokia Technologies Oy | Method and apparatus for securing multiple NAS connections over 3GPP and non-3GPP access in 5G |
CN111465012B (zh) * | 2019-01-21 | 2021-12-10 | 华为技术有限公司 | 通信方法和相关产品 |
CN113613234A (zh) * | 2019-02-19 | 2021-11-05 | 华为技术有限公司 | 一种策略管理的方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016506204A (ja) * | 2013-01-09 | 2016-02-25 | 株式会社Nttドコモ | 無線基地局間(inter−eNB)キャリアアグリゲーションによる保護された無線アクセス |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7882346B2 (en) * | 2002-10-15 | 2011-02-01 | Qualcomm Incorporated | Method and apparatus for providing authentication, authorization and accounting to roaming nodes |
EP1851932A1 (en) * | 2005-02-11 | 2007-11-07 | Nokia Corporation | Method and apparatus for providing bootstrapping procedures in a communication network |
US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
EP1974554B1 (en) * | 2006-01-11 | 2014-03-12 | Cisco Technology, Inc. | System and method for mobility management on wireless networks |
US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
US9686675B2 (en) * | 2015-03-30 | 2017-06-20 | Netscout Systems Texas, Llc | Systems, methods and devices for deriving subscriber and device identifiers in a communication network |
US10129235B2 (en) * | 2015-10-16 | 2018-11-13 | Qualcomm Incorporated | Key hierarchy for network slicing |
US10172000B2 (en) * | 2016-03-17 | 2019-01-01 | M2MD Technologies, Inc. | Method and system for managing security keys for user and M2M devices in a wireless communication network environment |
-
2018
- 2018-01-17 JP JP2018563361A patent/JPWO2018135524A1/ja active Pending
- 2018-01-17 WO PCT/JP2018/001185 patent/WO2018135524A1/ja unknown
- 2018-01-17 US US16/478,348 patent/US11265705B2/en active Active
- 2018-01-17 EP EP18741554.2A patent/EP3573357A4/en not_active Withdrawn
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016506204A (ja) * | 2013-01-09 | 2016-02-25 | 株式会社Nttドコモ | 無線基地局間(inter−eNB)キャリアアグリゲーションによる保護された無線アクセス |
Non-Patent Citations (7)
Title |
---|
3GPP TR23.799, vol. 5.3, December 2016 (2016-12-01) |
3GPP: "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on Architecture for Next Generation System (Release 14)", 3GPP TR 23.799 V14.0.0, 16 December 2016 (2016-12-16), pages 1 - 3 , 15 , 494-504, XP055514501, Retrieved from the Internet <URL:http://www.3gpp.org/ftp//Specs/archive/23_series/23.799/23799-e00.zip> [retrieved on 20180301] * |
3GPP: "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on the security aspects of the next generation system (Release 14)", 3GPP TR 33.899 V0.5.0, 11 October 2016 (2016-10-11), pages 1 - 5 , 47-53, XP055479831, Retrieved from the Internet <URL:http://www.3gpp.org/ftp/Specs/archive/33_series/33.899/33899-050.zip> [retrieved on 20180302] * |
HUAWEI ET AL.: "Service request procedure", 3GPP SA WG2 MEETING #118BIS, S2-170307, 10 January 2017 (2017-01-10), pages 1 - 7, XP051205745, Retrieved from the Internet <URL:http://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_118BIS_Spokane/Docs/S2-17030.zip> [retrieved on 20180301] * |
See also references of EP3573357A4 |
ZTE ET AL.: "Proposed Network Slicing Update to 23.501 Clause 5.13", 3GPP SA WG2 MEETING #118BIS S2-170324, 10 January 2017 (2017-01-10), pages 1 - 4, XP051205759, Retrieved from the Internet <URL:http://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_118BIS_Spokane/Docs/S2-170324.zip> [retrieved on 20180302] * |
ZTE: "Key hierarchy schems for network slicing", 3GPP TSG SA WG3 MEETING #84, S3-160965, 18 July 2016 (2016-07-18), pages 1 - 6, XP051130845, Retrieved from the Internet <URL:http://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_84_Chennai/Docs/S3-160965.zip> [retrieved on 20180301] * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109041057A (zh) * | 2018-08-08 | 2018-12-18 | 兴唐通信科技有限公司 | 一种基于5g aka的核心网网元间鉴权流程安全性增强方法 |
WO2020050138A1 (ja) * | 2018-09-03 | 2020-03-12 | 日本電気株式会社 | コアネットワーク装置、アクセスネットワーク装置、通信端末、通信システム、及び通信方法 |
JPWO2020050138A1 (ja) * | 2018-09-03 | 2021-08-26 | 日本電気株式会社 | コアネットワーク装置、通信端末、及び通信方法 |
JP7127689B2 (ja) | 2018-09-03 | 2022-08-30 | 日本電気株式会社 | コアネットワーク装置、通信端末、及び通信方法 |
WO2020254302A1 (en) * | 2019-06-17 | 2020-12-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Home controlled network slice privacy |
WO2021036704A1 (zh) * | 2019-08-23 | 2021-03-04 | 华为技术有限公司 | 终端设备和用户面网元之间的安全通信方法、装置及系统 |
JP7434225B2 (ja) | 2021-08-23 | 2024-02-20 | 株式会社東芝 | 認証装置、無線通信装置、無線通信システム、方法及びプログラム |
US20230089730A1 (en) * | 2021-09-23 | 2023-03-23 | At&T Mobility Ii Llc | Short message service encryption secure front-end gateway |
Also Published As
Publication number | Publication date |
---|---|
EP3573357A1 (en) | 2019-11-27 |
US11265705B2 (en) | 2022-03-01 |
EP3573357A4 (en) | 2019-11-27 |
US20190373461A1 (en) | 2019-12-05 |
JPWO2018135524A1 (ja) | 2019-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2018135524A1 (ja) | 通信システム、通信端末、amfエンティティ、及び通信方法 | |
CN110493774B (zh) | 密钥配置方法、装置以及系统 | |
US11272365B2 (en) | Network authentication method, and related device and system | |
US11553381B2 (en) | Method and apparatus for multiple registrations | |
US11937079B2 (en) | Communication terminal, core network device, core network node, network node, and key deriving method | |
US11805409B2 (en) | System and method for deriving a profile for a target endpoint device | |
JP6962432B2 (ja) | 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末 | |
JP6904363B2 (ja) | システム、基地局、コアネットワークノード、及び方法 | |
CN116017424A (zh) | 用于控制认证请求的隐私指示符 | |
US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
CN113841366B (zh) | 通信方法及装置 | |
US20220295276A1 (en) | Mobile device authentication without electronic subscriber identity module (esim) credentials | |
TW202306403A (zh) | 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品 | |
WO2024065483A1 (en) | Authentication procedures for edge computing in roaming deployment scenarios | |
WO2024067619A1 (zh) | 通信方法和通信装置 | |
WO2020090861A1 (ja) | 通信端末、コアネットワーク装置、通信方法、及び通信システム | |
CN117044249A (zh) | 基于能力的注册认证 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 18741554 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2018563361 Country of ref document: JP Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
ENP | Entry into the national phase |
Ref document number: 2018741554 Country of ref document: EP Effective date: 20190819 |