WO2020067112A1 - コアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法 - Google Patents

Abstract

ネットワークスライス毎に実行されるセカンダリ認証を効率的に実施することができるコアネットワーク装置を提供することを目的とする。本開示にかかるコアネットワーク装置（１０）は、コアネットワークに通信端末を登録する登録処理中に、通信端末がコアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行する認証部（１１）と、サービングネットワークにおいて通信端末が利用可能な少なくとも１つのネットワークスライスを示す許容リスト情報を受信する通信部（１３）と、コアネットワークに通信端末を登録する登録処理中に、通信端末が許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する認証部（１２）と、を備える。

Description

コアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法

　本開示は、コアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法に関する。

　５Ｇ（5 Generation）ネットワークにおいては、ネットワークスライスを用いてサービスを提供することが検討されている。ネットワークスライスは、物理的なネットワーク上において定義された少なくとも１つの論理的なネットワークである。あるネットワークスライスは、例えば、Public Safety Serviceを提供するネットワークスライスであってもよい。また、他のネットワークスライスは、極端に短い遅延時間を保証するネットワークスライスであってもよく、同時多数のＩｏＴ（Internet Of Things）端末を収容するネットワークスライスであってもよい。

　また、５Ｇネットワークにおいては、通信事業者が、独自の加入者データベースを持っているサードパーティにネットワークスライスをリースすることも想定されている。この場合、ＰＬＭＮ（Public Land Mobile Network）へアクセスする通信端末の認証に加えて、ネットワークスライスへアクセスする通信端末の認証を行うことが検討されている。ＰＬＭＮへアクセスする通信端末と、ネットワークスライスへアクセスする通信端末は同一の通信端末である。ＰＬＭＮへアクセスする通信端末の認証は、例えば、プライマリ認証と称される。ネットワークスライスへアクセスする通信端末の認証は、例えば、セカンダリ認証と称される。セカンダリ認証は、ネットワークスライスへアクセスすることの認可処理も含み、スライス固有のセカンダリ認証及び認可（Slice-Specific Secondary Authentication and Authorisation）と言い換えられてもよい。

　非特許文献１には、通信端末であるＵＥ（User Equipment）に対して実施されるプライマリ認証及びセカンダリ認証の概要が記載されている。プライマリ認証は、ＵＥと、ＡＭＦ（Access Management Function）エンティティ、ＡＵＳＦ（Authentication Server Function）エンティティ等のコアネットワーク装置との間において、３ＧＰＰ（3rd Generation Partnership Project）において規定された認証情報に基づいて実施される。一方、セカンダリ認証は、ＵＥと、サードパーティが管理するＡＡＡ（Authentication, Authorisation and Accounting）サーバとの間において、３ＧＰＰにおいて規定されていない認証情報に基づいて実施される。３ＧＰＰにおいて規定された認証情報は、例えば、ＵＥがＰＬＭＮへアクセスする際に用いられる認証情報であってもよい。３ＧＰＰにおいて規定されていない認証情報は、例えば、サードパーティが管理する認証情報であってもよい。具体的には、サードパーティが管理する認証情報は、ＡＡＡサーバにおいて管理されているユーザＩＤ（User IDs）及びパスワード（credentials）であってもよい。

　さらに、非特許文献１には、特定のネットワークスライスにおいて始めてPDU Sessionを確立しようとする時にネットワークスライスへアクセスするための認証を行う、PDU Session確立時の認証処理の概要が記載されている。

3GPP TS 23.740 V0.5.0 (2018-08), 6.3.1節，6.3.2節

　ＵＥは、複数のネットワークスライスへアクセスすることが可能である。例えば、ＵＥの加入者情報には、ＵＥがアクセスする可能性のある複数のネットワークスライスの識別情報が含められている。ＵＥがアクセスする可能性のあるネットワークスライスは、例えば、ＵＥを操作するユーザが、事前に申請もしくは契約を行ったネットワークスライスであってもよい。

　加入者情報に、ＵＥがアクセスする可能性のある複数のネットワークスライスが含められている場合、セカンダリ認証は、ＵＥのRegistration処理の間に、ネットワークスライス毎に実行される。そのため、加入者情報に含められるネットワークスライスの数が多くなるほど、セカンダリ認証に要する時間と処理負荷が増加し、ＵＥがネットワークスライスを利用した通信を実行するまでに要する時間と処理負荷が増加するという問題がある。

　本開示の目的は、ネットワークスライス毎に実行されるセカンダリ認証を効率的に実施することができるコアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法を提供することにある。

　本開示の第１の態様にかかるコアネットワーク装置は、コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行する第１の認証部と、サービングネットワークにおいて前記通信端末が利用可能な少なくとも１つのネットワークスライスを示す許容リスト情報を受信する通信部と、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する第２の認証部と、を備える。

　本開示の第２の態様にかかる通信端末は、コアネットワークに通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理に伴う処理を実行することができるか否かを示す能力情報をコアネットワーク装置へ送信する通信部を備える。

　本開示の第３の態様にかかる通信システムは、コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行し、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されて通信端末か否かの第２の認証処理を実施し、前記第２の認証処理が実施されたネットワークスライスを示す情報を送信する、第１のコアネットワーク装置と、前記第２の認証処理が実行されたネットワークスライスを示す情報を受信し、前記登録処理が完了した後に、前記通信端末が前記ネットワークスライスを最初に利用する際に、前記通信端末に関する前記第２の認証処理が実施されたか否かを判定し、前記第２の認証処理が実施されていない場合、前記第２の認証処理を実施し、前記第２の認証処理が実施されていた場合、前記第２の認証処理を実施しない、第２のコアネットワーク装置と、を備える。

　本開示の第４の態様にかかる認証方法は、コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行し、サービングネットワークにおいて前記通信端末が利用可能な少なくとも１つのネットワークスライスを示す許容リスト情報を受信し、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する。

　本開示の第５の態様にかかる通信方法は、コアネットワークに通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理に伴う処理を実行することができるか否かを示す能力情報を生成し、前記能力情報をコアネットワーク装置へ送信する。

　本開示により、ネットワークスライス毎に実行されるセカンダリ認証を効率的に実施することができるコアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法を提供することができる。

実施の形態１にかかるコアネットワーク装置の構成図である。 実施の形態２にかかる通信システムの構成図である。 実施の形態２にかかるRegistrationの処理の流れを示す図である。 実施の形態３にかかる通信端末の構成図である。 実施の形態３にかかるRegistrationの処理の流れを示す図である。 実施の形態４にかかるRegistrationの処理の流れを示す図である 実施の形態５にかかるPDU Session確立時の認証処理の流れを示す図である。 実施の形態５にかかるPDU Session確立時の認証処理の流れを示す図である。 それぞれの実施の形態にかかる通信端末及びＵＥの図である。 それぞれの実施の形態にかかるコアネットワーク装置及びＡＭＦの構成図である。

　（実施の形態１）
　以下、図面を参照して本開示の実施の形態について説明する。図１を用いて実施の形態１にかかるコアネットワーク装置１０の構成例について説明する。コアネットワーク装置１０は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。

　コアネットワーク装置１０は、認証部１１、認証部１２、及び通信部１３を有している。認証部１１、認証部１２、及び通信部１３は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。または、認証部１１、認証部１２、及び通信部１３は、回路もしくはチップ等のハードウェアであってもよい。

　認証部１１は、コアネットワークに通信端末を登録する登録処理中に、通信端末がコアネットワークへの登録が許可されている通信端末か否かの認証処理を実行する。認証部１１において実施される通信端末の認証は、プライマリ認証に相当する。通信端末は、例えば、携帯電話端末、スマートフォン端末、もしくはタブレット型端末であってもよい。または、通信端末は、IoT（Internet Of Things）端末もしくはMTC（Machine Type Communication）端末であってもよい。または、通信端末は、３ＧＰＰにおいて通信端末の総称として用いられているＵＥであってもよい。

　コアネットワークは、５Ｇネットワークに含められるネットワークである。５Ｇネットワークは、通信端末が直接アクセスするアクセスネットワークと、複数のアクセスネットワークを集約するコアネットワークとを有する。

　登録処理は、例えば、通信端末が電源OFF状態から電源ON状態へ遷移した後に実行されてもよい。もしくは、登録処理は、前回に登録処理を行ってから所定期間経過後に実行されてもよい。登録処理は、例えば、３ＧＰＰにおいて動作が規定されているRegistration処理であってもよい。通信端末がコアネットワークに登録されることによって、コアネットワークは、通信端末の移動管理及びセッション管理等を行う。

　通信部１３は、サービングネットワークにおいて通信端末が利用可能な少なくとも１つのネットワークスライスを示す許容リスト情報を受信する。サービングネットワークは、通信端末が在圏しているエリアに対して通信サービスを提供するネットワークである。サービングネットワークは、通信端末の加入者情報を管理するＨＰＬＭＮ（Home Public Land Mobile Network）であってもよく、ローミング先であるＶＰＬＭＮ（Visited PLMN）であってもよい。

　通信端末がアクセスする可能性のある全てのネットワークスライスは、通信端末の加入者情報に含まれる。通信端末に対して提供可能なネットワークスライスは、サービングネットワーク毎に異なる。そのため、通信端末は、現在接続しているサービングネットワークにおいて、加入者情報に含まれるすべてのネットワークスライスを利用することができない場合がある。許容リスト情報に含まれるネットワークスライスは、通信端末の加入者情報に含まれるネットワークスライスのうち、サービングネットワークにおいて利用可能なネットワークスライスである。そのため、許容リスト情報に含まれるネットワークスライスは、加入者情報に含まれるすべてのネットワークスライスの一部であってもよい。

　通信部１３は、ＨＰＬＭＮに配置されている他のコアネットワーク装置から、許容リスト情報を受信してもよく、ＶＰＬＭＮに配置されている他のコアネットワーク装置から、許容リスト情報を受信してもよい。

　認証部１２は、コアネットワークに通信端末を登録する登録処理中に、通信端末が許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの認証処理を実施する。認証部１２において実施される認証は、セカンダリ認証に相当する。認証部１２は、許容リスト情報に複数のネットワークスライスが含まれている場合、それぞれのネットワークスライスを管理するそれぞれのサードパーティと連携して、通信端末の認証処理を実施してもよい。

　以上説明したように、コアネットワーク装置１０の認証部１２は、許容リスト情報に含まれるネットワークスライスの数だけ認証処理を実行する。ここで、許容リスト情報に含まれるネットワークスライスの数は、加入者情報に含まれるネットワークスライスよりも少ない。そのため、コアネットワークに通信端末を登録する登録処理中において認証部１２が実施する認証処理に要する時間は、加入者情報に含まれるネットワークスライスの数の認証処理を実施する場合と比較して、短縮される。

　また、コアネットワーク装置１０は、次に示す認証方法を実施する。はじめに、コアネットワーク装置１０は、コアネットワークに通信端末を登録する登録処理中に、通信端末がコアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行する。次に、コアネットワーク装置１０は、サービングネットワークにおいて通信端末が利用可能な少なくとも１つのネットワークスライスを示す許容リスト情報を受信する。次に、コアネットワーク装置１０は、コアネットワークに通信端末を登録する登録処理中に、通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する。

　（実施の形態２）
　続いて、図２を用いて実施の形態２にかかる通信システムの構成例について説明する。図２の通信システムは、ＵＥ２０、Serving ＰＬＭＮ３０、ＨＰＬＭＮ４０、及び3rd party network５０を有している。ＵＥ２０は、Serving ＰＬＭＮ３０が通信サービスを提供するエリアに在圏しているとする。ＵＥ２０は、通信端末に相当する。Serving ＰＬＭＮ３０は、サービングネットワークに相当する。図２においては、Serving ＰＬＭＮ３０は、ＶＰＬＭＮと言い換えられてもよい。3rd party network５０は、Serving ＰＬＭＮ３０を管理する通信事業者及びＨＰＬＭＮ４０を管理する通信事業者とは異なる通信事業者が管理するネットワークであってもよい。3rd party network５０は、例えば、アプリケーションサービスを提供する事業者が管理するネットワークであってもよい。

　Serving ＰＬＭＮ３０は、ＡＭＦ（Access Management Function）エンティティ３１（以下、ＡＭＦ３１とする）、Ｖ－ＳＭＦ（Visited Session Management Function）エンティティ３２（以下、Ｖ－ＳＭＦ３２とする）、及びＵＰＦ（User Plane Function）エンティティ３３（以下、ＵＰＦ３３とする）を有している。ＡＭＦ３１は、図１のコアネットワーク装置１０に相当する。

　ＨＰＬＭＮ４０は、ＵＤＭ（Unified Data Management）エンティティ４１（以下、ＵＤＭ４１とする）、ＡＵＳＦ（Authentication Server Function）エンティティ４２（以下、ＡＵＳＦ４２とする）、ＮＳＳＦ（Network Slice Selection Function）エンティティ４３（以下、ＮＳＳＦ４３とする）、ＮＥＦ（Network Exposure Function）エンティティ４４（以下、ＮＥＦ４４とする）、Ｈ－ＳＭＦエンティティ４５（以下、Ｈ－ＳＭＦ４５とする）、及びＵＰＦエンティティ４６（以下、ＵＰＦ４６とする）を有している。

　3rd party network５０は、ＡＡＡ（Authentication, Authorisation and Accounting）　Server５１を有している。

　ＡＭＦ３１は、ＵＥ２０に関するアクセスやモビリティなどの管理を行う。さらに、ＡＭＦ３１は、ＡＵＳＦ４２及びＵＤＭ４１等と連携してＵＥ２０に関するプライマリ認証処理を行う。Ｖ－ＳＭＦ３２は、ＵＥ２０に関するセッション管理を行う。セッション管理には、セッションの確立、変更、削除が含まれる。ＵＰＦ３３は、ＵＥ２０とＵＰＦ４６との間において、ユーザプレーンデータのルーティングもしくは転送を行う。

　ＵＤＭ４１は、ＵＥ２０に関する加入者情報を管理する。加入者情報には、ＵＥ２０がアクセスする可能性のある複数のネットワークスライスの識別情報が含められている。ＵＥ２０がアクセスする可能性のあるネットワークスライスは、例えば、ＵＥ２０を操作するユーザが、事前に申請もしくは契約を行ったネットワークスライスであってもよい。

　ＡＵＳＦ４２は、ＵＥ２０に関する認証情報を管理する。認証情報は、例えば、ＵＥ２０に関するセキュリティ鍵及び認証アルゴリズム等であってもよい。ＮＳＳＦ４３は、ＡＭＦ３１へ、Serving ＰＬＭＮ３０においてＵＥ２０が利用できるネットワークスライスの識別情報を送信する。ネットワークスライスの識別情報は、例えば、ＮＳＳＡＩ（Network Slice Selection Assistance Information）であってもよい。また、ＡＵＳＦ４２は、3rd party network５０に配置されるＡＡＡ　Server５１と、ＨＰＬＭＮ４０に配置されるノード装置との間において伝送されるデータを中継する。

　ＮＥＦ４４は、3rd party network５０に配置されるＡＡＡ　Server５１と、ＨＰＬＭＮ４０に配置されるノード装置との間において伝送されるデータを中継する。Ｈ－ＳＭＦ４５は、Ｖ－ＳＭＦ３２とともに、ＵＥ２０に関するセッション管理を行う。ＵＰＦ４６は、ＵＰＦ３３と3rd party network５０との間において、ユーザプレーンデータのルーティングもしくは転送を行う。例えば、ＵＰＦ４６は、3rd party network５０に配置されているアプリケーションサーバ（不図示）と、ＵＰＦ３３との間においてユーザプレーンデータのルーティングを行ってもよい。

　Ｖ－ＳＭＦ３２、ＵＰＦ３３、Ｈ－ＳＭＦ４５、及びＵＰＦ４６は、ネットワークスライス６０を構成する。Ｖ－ＳＭＦ３２、ＵＰＦ３３、Ｈ－ＳＭＦ４５、及びＵＰＦ４６のそれぞれは、ネットワークスライス６０にのみ用いられてもよく、他のネットワークスライスと共有されてもよい。ネットワークスライス６０は、3rd party network５０によって管理されるネットワークスライスである。つまり、ＵＥ２０が、3rd party network５０が提供するサービスを利用する場合、ネットワークスライス６０へ接続する。

　ＡＡＡ　Server５１は、ネットワークスライス６０を利用するＵＥ２０に関するセカンダリ認証処理を行う。

　図２の構成例では、ＡＵＳＦ４２とＮＥＦ４４とがＡＭＦ３１とＡＡＡ　Server５１との間において伝送されるデータを中継する構成であるが、ＡＵＳＦ４２やＮＥＦ４４とは異なる、独立した別のノード装置（図不示）がデータを中継する構成にしてもよい。また、通信システムは、ＮＥＦ４４を配備せず、ＡＵＳＦ４２がＡＭＦ３１とＡＡＡ　Server５１との間において伝送されるデータを中継する構成とされてもよい。ＡＭＦ３１とＡＡＡ　Server５１との間において伝送されるデータを中継するノード装置は、ＡＡＡ－Ｆ（AAA proxy function）であってもよい。

　続いて、図３を用いてＵＥ２０に関するRegistrationの処理の流れについて説明する。はじめに、ＵＥ２０は、ＡＭＦ３１へRegistration Requestメッセージを送信する（Ｓ１１）。Registration Requestは、Requested NSSAIを含む。Requested NSSAIは、ＵＥ２０からServing ＰＬＭＮ３０へ提供されるNSSAIである。言い換えると、Requested NSSAIは、Serving ＰＬＭＮ３０においてＵＥ２０が利用もしくは接続することを希望するネットワークスライスを示すNSSAIである。S-NSSAI（Single Network Slice Selection Assistance Information）は一つのネットワークスライスを示す識別情報であり、NSSAIには、複数のS-NSSAIが含まれてもよい。

　なお、ＡＭＦ３１は、Registration Requestメッセージ（Ｓ１１）以外のメッセージでRequested NSSAIを取得してもよい。例えば、ステップＳ１２においてＡＭＦ３１が、NAS Security Mode CommandメッセージをＵＥ２０に送信し、ＵＥ２０が、その応答としてNAS Security Mode CompleteメッセージをＡＭＦ３１に返送する。この場合、ＵＥ２０はNAS Security Mode CompleteメッセージにRequested NSSAIを設定し、ＡＭＦ３１はそのRequested NSSAIを取得してもよい。また例えば、ステップＳ１２の前に、ＡＭＦ３１が、Identity RequestメッセージをＵＥ２０に送信し、ＵＥ２０が、その応答としてIdentity ResponseメッセージをＡＭＦ３１に返送する場合がある。この場合、ＵＥ２０はIdentity ResponseメッセージにRequested NSSAIを設定し、ＡＭＦ３１はそのRequested NSSAIを取得してもよい。

　また、ＡＭＦ３１は、ＵＥ２０以外の任意のノード装置からRequested NSSAIを含むメッセージを受信して、Requested NSSAIを取得してもよい。例えば、ＵＥ２０が送信するRequested NSSAIを含むメッセージを、任意のノード装置が受信してもよい。この場合、ＡＭＦ３１は、その任意のノード装置からRequested NSSAIを含むメッセージを受信することで、Requested NSSAIを取得してもよい。

　次に、ＵＥ２０、ＡＭＦ３１、及びＡＵＳＦ４２において、既存のＰＬＭＮへアクセスするためのセキュリティ手順が実行される（Ｓ１２）。既存のＰＬＭＮは、例えば、Serving ＰＬＭＮ３０及びＨＰＬＭＮ４０である。具体的には、ステップＳ１２において、ＵＥ２０に関するプライマリ認証処理が実施される。例えば、ＡＭＦ３１は、ＡＵＳＦ４２から受信した認証情報を用いて、ＵＥ２０に関するプライマリ認証処理を実施する。ＡＭＦ３１がＡＵＳＦ４２から受信した認証情報は、例えば、3GPP credentialsと称されてもよい。つまり、ＡＭＦ３１がＡＵＳＦ４２から受信した認証情報は、３ＧＰＰにおいて規定された認証情報であってもよい。3GPP credentialsは、例えば、ＵＥ２０のユーザIDであるＳＵＰＩ（Subscription Permanent Identifier）及びＵＥ２０がServing ＰＬＭＮ３０へアクセスする際に用いられる認証情報を含んでもよい。

　プライマリ認証処理は、例えば、ＡＭＦ３１とＵＥ２０との間において実施されるＡＫＡ（Authentication and Key Agreement）において、ＳＵＰＩを認証することである。つまり、ＡＭＦ３１は、ＵＥ２０との間において実施するＡＫＡにおいて、ＵＥ２０を示すＳＵＰＩを認証する。さらに、プライマリ認証処理は、ＵＥ２０に関する認可（Authorization）処理を含んでもよい。例えば、プライマリ認証処理は、ＵＤＭ４１から取得したＵＥ２０の加入者情報を用いてＵＥ２０がServing ＰＬＭＮ３０を利用することを認可することを含んでもよい。つまり、ＡＭＦ３１は、ＵＤＭ４１から取得したＵＥ２０の加入者情報を用いてＵＥ２０がServing ＰＬＭＮ３０を利用することを認可してもよい。プライマリ認証処理は、プライマリ認証及び認可処理と言い換えられてもよい。

　次に、ＡＭＦ３１は、ＵＤＭ４１へNudm_SDM_Getメッセージを送信する（Ｓ１３）。次に、ＵＤＭ４１は、ＡＭＦ３１へNudm_SDM_Get responseメッセージを送信する（Ｓ１４）。Nudm_SDM_Get responseメッセージは、Subscribed S（Single）-NSSAIを含む。S-NSSAIは、一つのネットワークスライスを示す識別情報である。Subscribed S-NSSAIは、加入者情報に含まれるネットワークスライスを示す識別情報である。Nudm_SDM_Get responseメッセージには、複数のSubscribed S-NSSAI（Subscribed S-NSSAIs）が含まれてもよい。

　次に、ＡＭＦ３１は、ＮＳＳＦ４３へ、Nnssf_NSSelection_Getメッセージを送信する（Ｓ１５）。次に、ＮＳＳＦ４３は、ＡＭＦ３１へNnssf_NSSelection_Get responseメッセージを送信する（Ｓ１６）。Nnssf_NSSelection_Get responseメッセージは、Allowed NSSAIを含む。Allowed NSSAIは、複数のSubscribed S-NSSAIのうち、ＵＥ２０がServing ＰＬＭＮ３０において利用することができるネットワークスライスの識別情報（S-NSSAI）を含む。Allowed NSSAIには、複数のS-NSSAI（S-NSSAIs）が含まれてもよい。ここで、Allowed NSSAIに含まれるS-NSSAIの数は、Nudm_SDM_Get responseメッセージに含まれる複数のSubscribed S-NSSAIの数よりも少ないとする。つまり、Allowed NSSAIに含まれるS-NSSAIは、Nudm_SDM_Get responseメッセージに含まれる複数のSubscribed S-NSSAIの一部とする。ＮＳＳＦ４３は、例えば、ＵＤＭ４１からＵＥ２０に関するSubscribed S-NSSAIを取得し、ＵＥ２０がServing ＰＬＭＮ３０において利用することができるネットワークスライスを示すS-NSSAIを管理していてもよい。

　次に、ＡＭＦ３１は、Allowed NSSAIに含まれるそれぞれのS-NSSAIが示すネットワークスライスにおいて、セカンダリ認証処理が適用されるかどうかをチェックする（Ｓ１７）。ＡＭＦ３１は、Allowed NSSAIに含まれるそれぞれのネットワークスライスにおいてセカンダリ認証処理が適用されるかどうかを、ポリシーサーバ等を用いてチェックしてもよい。例えば、3rd party networkの中には、3rd party networkが管理するネットワークスライスを利用する際にセカンダリ認証処理を適用しないとするポリシーを有する3rd party networkも存在する。

　ポリシーサーバは、それぞれのネットワークスライスが、ＵＥ２０に関するセカンダリ認証を要求するか否かに関する情報を管理していてもよい。また、ポリシーサーバ以外のノード装置において、ＵＥ２０に関するセカンダリ認証を要求するか否かに関する情報が管理されていてもよい。この場合、ＡＭＦ３１は、ＵＥ２０に関するセカンダリ認証を要求するか否かに関する情報が管理されているノード装置を用いて、ステップＳ１７におけるチェックを行ってもよい。

　例えば、ＡＭＦ３１はＵＤＭ４１を用いて、ステップＳ１７におけるチェックを行ってもよい。この場合、ＡＭＦ３１は、Subscribed S-NSSAIで示されるネットワークスライスにおいて、セカンダリ認証処理が適用されるかどうかに関する情報をNudm_SDM_Get responseメッセージ（Ｓ１４）で受信してもよい。さらに、ＡＭＦ３１は、受信した情報を用いて、ステップＳ１７におけるチェックを行ってもよい。

　次に、ＵＥ２０、ＡＭＦ３１、ＡＵＳＦ４２、及びＡＡＡ　Server５１において、セカンダリ認証処理を適用するネットワークスライス６０へアクセスするためのセキュリティ手順を実施する（Ｓ１８）。具体的には、ステップＳ１８において、ＵＥ２０に関するセカンダリ認証処理が実施される。例えば、セカンダリ認証においては、サードパーティが管理する認証情報が用いられてもよい。サードパーティが管理する認証情報は、ＵＥ２０がネットワークスライス６０を利用する際に用いるユーザＩＤと、ＡＡＡ　Server５１において管理されるパスワードとを含んでもよい。

　セカンダリ認証処理においては、ＥＡＰ（Extensible Authentication Protocol）を用いた認証手順が実施されてもよい。例えば、ＡＭＦ３１は、ＵＥ２０に対して、S-NSSAIを通知し、S-NSSAIにおいて用いられるユーザＩＤ及びパスワードの送信を要求する要求メッセージを送信する。さらに、ＡＭＦ３１は、ＵＥ２０から受信したユーザＩＤ及びパスワードを、ＡＵＳＦ４２を介してＡＡＡ　Server５１へ送信する。ＡＡＡ　Server５１は、ＡＵＳＦ４２から受信したＵＥ２０に関するユーザＩＤ、つまりＵＥ２０を認証し、さらに、ＵＥ２０から受信したユーザＩＤ及びパスワードを用いて、ＵＥ２０がネットワークスライス６０を利用することを認可してもよい。セカンダリ認証処理は、ＵＥ２０を認証することと、ＵＥ２０がネットワークスライス６０を利用することを認可することとを含んでもよい。もしくは、セカンダリ認証処理は、セカンダリ認証処理及びセカンダリ認可処理と言い換えられてもよい。

　セカンダリ認証処理は、ＵＥ２０に関するRegistration処理においてネットワークスライス毎に実施される。言い換えると、Allowed NSSAIに含まれるS-NSSAIのうち、セカンダリ認証処理を適用するネットワークスライスを示すS-NSSAIの数と同じ回数のセカンダリ認証処理がRegistration処理において繰り返される。

　以上説明したように、Allowed NSSAIに含まれるS-NSSAIの数は、ＵＤＭ４１から送信されるSubscribed S-NSSAIの数と比較して少ない。さらに、Allowed NSSAIに含まれるS-NSSAIが示すネットワークスライスのうち、セカンダリ認証処理を適用しないネットワークスライスも存在する。そのため、セカンダリ認証処理を適用するネットワークスライスの数は、Allowed NSSAIに含まれるS-NSSAIが示すネットワークスライスの数よりも少ない。その結果、図２の通信システムにおいて、ＵＥ２０に関するRegistration処理において実施されるセカンダリ認証処理の回数は、ＵＤＭ４１から送信されるSubscribed S-NSSAIの数と同じ回数のセカンダリ認証処理が繰り返される場合と比較して、少ない。これより、ＵＥ２０、ＡＭＦ３１、ＡＵＳＦ４２、及びＡＡＡ　Server５１は、Subscribed S-NSSAIの数と同じ回数のセカンダリ認証処理が繰り返される場合と比較して、Registration処理においてセカンダリ認証処理に要する時間を短縮することができる。さらに、ＵＥ２０、ＡＭＦ３１、ＡＵＳＦ４２、及びＡＡＡ　Server５１は、セカンダリ認証処理に要する処理負荷を削減することができる。

　また、コアネットワークにＵＥ２０を登録する処理は、アクセスネットワークごとに行う。そのため、ＵＥ２０は、3GPP Access及びNon-3GPP Accessのような、それぞれのアクセスネットワークを経由してＡＭＦ３１に対してRegistration Requestメッセージを送信することができる。3GPP Accessは、３ＧＰＰにおいて定められた無線通信方式をサポートするアクセスネットワークである。Non-3GPP Accessは、３ＧＰＰにおいて定められた無線通信方式とは異なる無線通信方式をサポートするアクセスネットワークである。

　ＡＭＦ３１は、ＵＥ２０から3GPP Access及びNon-3GPP Accessのいずれか一方を介してRegistration Requestメッセージを受信し、セカンダリ認証を実施する。例えば、ＡＭＦ３１は、3GPP Accessを介してRegistration Requestメッセージを受信し、セカンダリ認証を実施したとする。ここで、ＡＭＦ３１は、Non-3GPP Accessを介してRegistration Requestメッセージを受信した場合、既にＵＥ２０に関するセカンダリ認証を実施したネットワークスライスにおけるセカンダリ認証を実施せずに省略してもよい。これにより、同一のネットワークスライスにおける同一のＵＥに対する認証が、重複して実施されることを防止することができる。これにより、セカンダリ認証処理を省略しない場合と比較して、Registration処理においてセカンダリ認証処理に要する時間を短縮することができ、また、セカンダリ認証処理に要する処理負荷を削減することができる。Non-3GPP Accessを介して受信したRegistration Requestメッセージに基づいてセカンダリ認証を実施した場合も同様に、3GPP Accessを介して受信したRegistration Requestメッセージに基づくセカンダリ認証を省略してもよい。

　また、ＡＭＦ３１は、ＵＥ２０のS-NSSAIに関するセカンダリ認証に失敗した場合、セカンダリ認証に成功した場合においてAllowed N-SSAIにてＵＥ２０へ提供するS-NSSAIを、別のS-NSSAIへ差し替えてＵＥ２０へ提供してもよい。例えば、差し替え後のS-NSSAIは、デフォルトS-NSSAIであってもよい。また、差し替え後のS-NSSAIは、差し替えられたことを示す識別子や、差し替え前のS-NSSAIを示す識別子が付与されていてもよい。ＵＥ２０は、差し替え後のS-NSSAIで示されるネットワークスライスへのアクセスが認可されたと認識する。これにより、ＡＭＦ３１は、ＵＥ２０がいずれのネットワークスライスへもアクセスすることができなくなる、という事態を回避させることができる。言い換えると、ＡＭＦ３１は、認証することができないＵＥ２０を、特定のネットワークスライスへアクセスするように誘導することができる。

　（実施の形態３）
　続いて、図４を用いて実施の形態３にかかる通信端末７０の構成例について説明する。通信端末７０は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。また、通信端末７０と通信するコアネットワーク装置として、実施の形態１において説明したコアネットワーク装置１０を用いる。

　通信端末７０は、制御部７１及び通信部７２を有している。制御部７１及び通信部７２は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。または、制御部７１及び通信部７２は、回路もしくはチップ等のハードウェアであってもよい。

　制御部７１は、コアネットワークに通信端末７０を登録する登録処理中に、通信端末７０がネットワークスライスの利用が許可されている通信端末か否かの認証処理に伴う処理を実行することができるか否かを示す能力情報を生成する。

　ネットワークスライスの利用が許可されている通信端末か否かの認証処理は、セカンダリ認証処理に相当する。ネットワークスライスの利用が許可されている通信端末か否かの認証処理に伴う処理は、通信端末７０がセカンダリ認証処理においてコアネットワーク装置１０から送信されたメッセージ等を受信する処理を含む。さらに、ネットワークスライスの利用が許可されている通信端末か否かの認証処理に伴う処理は、受信したメッセージに設定されているパラメータ等を読み出す処理を含む。さらに、ネットワークスライスの利用が許可されている通信端末か否かの認証処理に伴う処理は、セカンダリ認証処理を正常に継続させるために、コアネットワーク装置１０へメッセージを送信もしくは応答する処理を含む。

　通信部７２は、制御部７１において生成された能力情報をコアネットワーク装置１０へ送信する。

　コアネットワーク装置１０は、通信端末７０から受信した能力情報が、通信端末７０がセカンダリ認証処理に伴う処理を実行することができることを示すか否かを判定する。コアネットワーク装置１０は、通信端末７０がセカンダリ認証処理に伴う処理を実行することができると判定した場合、コアネットワークに通信端末７０を登録する登録処理中に、通信端末７０に関するセカンダリ認証処理を実施する。コアネットワーク装置１０は、通信端末７０から能力情報を受信しなかった場合、通信端末７０がセカンダリ認証処理に伴う処理を実行することができないと判定してもよい。

　例えば、コアネットワーク装置１０は、セカンダリ認証に伴う処理を実施することができない通信端末に対するセカンダリ認証処理を実行した場合、セカンダリ認証処理に必要な情報を通信端末から受信することができない。言い換えると、コアネットワーク装置１０は、セカンダリ認証に失敗するにも関わらず、セカンダリ認証処理に係る時間を浪費する。

　一方、実施の形態３にかかる通信端末７０は、セカンダリ処理に伴う処理を実施することができるか否かを示す能力情報をコアネットワーク装置１０へ送信することができる。さらに、コアネットワーク装置１０は、セカンダリ処理に伴う処理を実施することができないと判定した通信端末７０に対しては、コアネットワークに通信端末７０を登録する登録処理中に、通信端末７０に関するセカンダリ認証処理を実施せず、セカンダリ認証処理を成功、または、失敗したとみなして処理を継続する。これにより、セカンダリ認証処理に係る時間と処理負荷を削減することができる。

　コアネットワーク装置１０は、セカンダリ処理に伴う処理を実施することができないと判定した通信端末７０に対して、セカンダリ認証処理を成功とみなすか、失敗とみなすかについて、ネットワークスライスごとにどちらにみなすか決めてよい。例えば、あるS-NSSAIについては成功とみなすが、別のS-NSSAIについては失敗とみなしてもよい。

　また、通信端末７０は、次に示す通信方法を実施する。はじめに、通信端末７０は、コアネットワークに通信端末を登録する登録処理中に、通信端末がネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理に伴う処理を実行することができるか否かを示す能力情報を生成する。次に、通信端末７０は、能力情報をコアネットワーク装置へ送信する。

　続いて、図５を用いてＵＥ８０に関するRegistrationの処理の流れについて説明する。ＵＥ８０は、通信端末７０に相当する。はじめに、ＵＥ８０は、ＡＭＦ３１へRegistration Requestメッセージを送信する（Ｓ２１）。Registration Requestは、Requested NSSAI及びUE capabilityを含む。UE capabilityは、ＵＥ８０がセカンダリ認証処理に伴う処理を実行することができるか否かを示す能力情報に相当する。UE capabilityは、Security capability、或いはその他の表現で表されてもよい。

　なお、ＡＭＦ３１は、Registration Requestメッセージ（Ｓ２１）以外のメッセージでRequested NSSAIおよび/またはUE capabilityを取得してもよい。例えば、ステップＳ２２においてＡＭＦ３１が、NAS Security Mode CommandメッセージをＵＥ８０に送信すると、ＵＥ８０が、その応答としてNAS Security Mode CompleteメッセージをＡＭＦ３１に返送する。この場合、ＵＥ８０はNAS Security Mode CompleteメッセージにRequested NSSAIおよび/またはUE capabilityを設定し、ＡＭＦ３１はそのRequested NSSAIおよび/またはUE capabilityを取得してもよい。また例えば、ステップＳ２２の前に、ＡＭＦ３１が、Identity RequestメッセージをＵＥ８０に送信すると、ＵＥ８０が、その応答としてIdentity ResponseメッセージをＡＭＦ３１に返送する場合がある。この場合、ＵＥ８０はIdentity ResponseメッセージにRequested NSSAIおよび/またはUE capabilityを設定し、ＡＭＦ３１はそのRequested NSSAIおよび/またはUE capabilityを取得してもよい。

　また、ＡＭＦ３１は、ＵＥ８０以外の任意のノード装置からRequested NSSAIおよび/またはUE capabilityを含むメッセージを受信して、Requested NSSAIおよび/またはUE capabilityを取得してもよい。例えば、ＵＥ８０が送信するRequested NSSAIおよび/またはUE capabilityを含むメッセージを、任意のノード装置が受信してもよい。この場合、ＡＭＦ３１は、メッセージを受信した任意のノード装置からRequested NSSAIおよび/またはUE capabilityを含むメッセージを受信することで、Requested NSSAIおよび/またはUE capabilityを取得してもよい。

　ステップＳ２２乃至Ｓ２７は、図３のステップＳ１２乃至１７と同様であるため詳細な説明を省略する。

　次に、ＡＭＦ３１は、所定の要件を満たす場合に、ステップＳ２８においてセカンダリ認証を実施し、所定の要件を満たさない場合、ステップＳ２８におけるセカンダリ認証を実施しない。所定の要件を満たす場合は、セカンダリ認証処理に伴う処理を実行することができることが示され、かつ、接続を要求するネットワークスライスが、セカンダリ認証が適用されるネットワークスライスであること、であってもよい。所定の要件を満たさない場合は、セカンダリ認証処理に伴う処理を実行することができることが示されていない、または、接続を要求するネットワークスライスが、セカンダリ認証が適用されるネットワークスライスでないこと、であってもよい。

　ＡＭＦ３１がセカンダリ認証を実施しないとは、ＥＡＰを用いた認証手順が実施されないことであってもよい。例えば、ＡＭＦ３１がセカンダリ認証を実施しないとは、ＡＭＦ３１がＵＥ８０に対して、S-NSSAIが示すネットワークスライスにおいて用いられるユーザＩＤ及びパスワードの送信を要求する要求メッセージを送信しないことであってもよい。

　また、ＡＭＦ３１がセカンダリ認証を実施しないとは、ＡＭＦ３１が、Registration Requestメッセージ（Ｓ２１）に対して、特定の原因コードを含むRegistration Rejectメッセージを返送することであってもよい。特定の原因コードは、特定の5GMM cause値と言い換えられてもよい。例えば、特定の原因コードは、ＡＭＦ３１がセカンダリ認証を実施しないことを意味してもよいし、ＵＥ８０がセカンダリ認証処理に伴う処理を実行することができないとＡＭＦ３１が判断したことを意味してもよい。

　さらに、そのような特定の原因コードを含むRegistration Rejectメッセージを受信した場合、ＵＥ８０は、Requested NSSAIに含めるS-NSSAIを変更してRegistration Requestメッセージ（Ｓ２１）を送信してもよい。例えば、変更後のS-NSSAIは、デフォルトS-NSSAIであってもよい。または、ＵＥ８０は、Registration Rejectメッセージが送られたＰＬＭＮとは異なる別のＰＬＭＮを選択し、ＰＬＭＮを変更してRegistration Requestメッセージ（Ｓ２１）を送信してもよい。

　図５は、ステップＳ２７において、ＡＭＦ３１が、Allowed NSSAIに含まれるそれぞれのS-NSSAIが示すネットワークスライスにおいて、セカンダリ認証処理が適用されるかどうかをチェックすることを示しているが、これに制限されない。例えば、ＡＭＦ３１は、ステップＳ２４において受信した複数のSubscribed S-NSSAIのそれぞれが示すネットワークスライスにおいて、セカンダリ認証処理が適用されるかどうかをチェックしてもよい。

　以上説明したように、実施の形態３にかかるＵＥ８０は、セカンダリ認証処理に伴う処理を実行することができるか否かを示すUE capabilityをＡＭＦ３１へ送信することができる。これより、ＡＭＦ３１は、ＵＥ８０が、セカンダリ認証処理に伴う処理を実行することができる場合にのみ、ＵＥ８０に対してセカンダリ認証を実施する。その結果、ＵＥ８０が、セカンダリ認証に伴う処理を実行することができない場合にセカンダリ認証処理に係る時間と処理負荷を削減することができる。

　（実施の形態４）
　続いて、図６を用いてＵＥ９０に関するRegistrationの処理の流れについて説明する。ＵＥ９０は、図４に示す通信端末７０と同様の構成を有しているとする。

　はじめに、ＵＥ９０は、ＡＭＦ３１へRegistration Requestメッセージを送信する（Ｓ３１）。Registration Requestは、ＵＥ９０がRegistration処理の完了直後にアクセスを行うネットワークスライスである優先ネットワークスライスの情報を含む。優先ネットワークスライスは、緊急性の高いネットワークスライスと言い換えられてもよい。優先ネットワークスライスは、１つであってもよく、２つ以上であってもよい。例えば、Requested NSSAIに複数のS-NSSAIが含まれる場合、Requested NSSAIには、優先ネットワークスライスを示すS-NSSAIと、優先ネットワークスライスではないネットワークスライスを示すS-NSSAIとが含まれてもよい。Registration処理の完了直後とは、例えば、Registration処理が完了後、所定期間経過前のタイミングであってもよい。

　ステップＳ３２～Ｓ３７は、図５のステップＳ２２～Ｓ２７と同様であるため詳細な説明を省略する。

　次に、ＡＭＦ３１は、所定の要件を満たすネットワークスライスに関してセカンダリ認証を実施し、所定の要件を満たさないネットワークスライスに関してはセカンダリ認証を実施しない（Ｓ３８）。

　例えば、ＡＭＦ３１は、優先ネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、であるネットワークスライスに関して、ステップＳ３８においてセカンダリ認証を実施する。この場合、ＡＭＦ３１は、優先ネットワークスライスではないネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライスに対しては、ステップＳ３８におけるセカンダリ認証を実施しない。言い換えると、ＡＭＦ３１は、優先ネットワークスライスではないネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライスに対しては、Registration処理におけるセカンダリ認証を実施しない。

　優先ネットワークスライスではないネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、に対するセカンダリ認証は、ＵＥ９０が、当該ネットワークスライスへ初めてアクセスする際に実施されてもよい。言い換えると、優先ネットワークスライスではないネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、に対するセカンダリ認証は、ＵＥ９０が、当該ネットワークスライスとPDU Sessionを確立する際に実施されてもよい。

　また、図５において説明したように、ＵＥ９０が優先ネットワークスライスの情報と共にUE capabilityをＡＭＦ３１へ送信する場合、ＡＭＦ３１は、以下の要件に従って、セカンダリ認証を実施してもよい。例えば、ＡＭＦ３１は、ＵＥ９０がセカンダリ認証に伴う処理を実行することができる場合に、優先ネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、に対してセカンダリ認証を実施してもよい。つまり、ＡＭＦ３１は、ＵＥ９０がセカンダリ認証に伴う処理を実行することができない場合、優先ネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、においてＵＥ９０に関するセカンダリ認証を実施しなくてもよい。

　以上説明したように、実施の形態４にかかるＵＥ９０は、優先ネットワークスライスを示す情報をＡＭＦ３１へ送信することができる。これより、ＡＭＦ３１は、ステップＳ３７においてセカンダリ認証が適用されるネットワークスライスと判定された全てのネットワークスライスに関するセカンダリ認証を実施せずに、優先ネットワークスライスに対するセカンダリ認証のみ実施することができる。その結果、ＡＭＦ３１が、全てのネットワークスライスに対するセカンダリ認証を実施した場合と比較して、優先ネットワークスライスに対するセカンダリ認証のみ実施する場合、セカンダリ認証に係る時間を短縮することができ、また、セカンダリ認証処理に係る処理負荷を削減することができる。

　（実施の形態５）
　続いて、図７を用いて実施の形態５にかかるPDU Session確立時の認証処理の流れについて説明する。図７においては、図２において説明した通信システムにおける処理の流れについて説明する。Registration処理におけるセカンダリ認証処理と、PDU Session確立時の認証処理とが独立に実行された場合、次のような問題が発生する。

　PDU Session確立時の認証処理は、ＳＭＦによって起動される。この時、ＳＭＦは、Registration処理において特定のネットワークスライスにおけるＵＥのセカンダリ認証処理が実行されていることを認識していない場合、PDU Session確立時に、当該特定のネットワークスライスにおけるＵＥのセカンダリ認証処理を実行する。そのため、セカンダリ認証処理が、Registration処理時とPDU Session確立時において重複して実施されるという問題が発生する。

　そこで、実施の形態５においては、ＡＭＦ３１が、Ｖ－ＳＭＦ３２もしくはＨ－ＳＭＦ４５へ、セカンダリ認証を実行済みのネットワークスライスに関する情報を通知する。これにより、セカンダリ認証処理が、Registration処理時とPDU Session確立時において重複して実施されることを回避する。

　はじめに、ＵＥ２０は、PDU Session Establishment Requestを含むNAS messageをＡＭＦ３１へ送信する（Ｓ４１）。PDU Session Establishment Requestは、接続先のネットワークスライスを示すS-NSSAIを含む。

　次に、ＡＭＦ３１は、Ｖ－ＳＭＦ３２を選択し、Ｖ－ＳＭＦ３２へNsmf_PDUSession_CreateSMContext Requestを送信する（Ｓ４２）。Nsmf_PDUSession_CreateSMContext Requestの代わりに、Nsmf_PDUSession_UpdateSMContext Requestが送信されてもよい。

　Nsmf_PDUSession_CreateSMContext Requestは、ＵＥ２０のＳＵＰＩ（Subscription Permanent Identifier）、S-NSSAI、及びS-NSSAIが示すネットワークスライスにおけるＵＥ２０の認証処理が実施済みであることを示すフラグを含む。S-NSSAIは、ステップＳ４１において受信したメッセージに含まれるS-NSSAIである。ＡＭＦ３１は、Nsmf_PDUSession_CreateSMContext Requestにフラグを含ませることによって、Ｖ－ＳＭＦ３２へ、特定のネットワークスライスにおけるＵＥ２０のセカンダリ認証が実施済みであることを通知する。

　次に、Ｖ－ＳＭＦ３２は、Nsmf_PDUSession_CreateSMContext Requestに対する応答として、Nsmf_PDUSession_CreateSMContext ResponseをＡＭＦ３１へ送信する（Ｓ４３）。

　次に、Ｖ－ＳＭＦ３２は、ステップＳ４２において受信したNsmf_PDUSession_CreateSMContext Requestを、Ｈ－ＳＭＦ４５へ送信する（Ｓ４４）。Ｈ－ＳＭＦ４５は、Nsmf_PDUSession_CreateSMContext Requestを受信することによって、S-NSSAIが示すネットワークスライスにおいてＵＥ２０のセカンダリ認証処理が実施済みか否かを判定することができる。

　次に、Ｈ－ＳＭＦ４５は、Nsmf_PDUSession_CreateSMContext Requestに含まれるＳＵＰＩに対応する加入者データ（Subscription data）をＵＤＭ４１から取得する（Ｓ４５）。

　次に、Ｈ－ＳＭＦ４５は、Nsmf_PDUSession_CreateSMContext Requestにフラグが含まれていない場合、ＵＥ２０に関するセカンダリ認証処理を実施するために、EAP Authenticationを開始する（Ｓ４６）。一方、Ｈ－ＳＭＦ４５は、Nsmf_PDUSession_CreateSMContext Requestにフラグが含まれている場合、ＵＥ２０に関する認証処理は実施済みであると判定し、ステップＳ４６におけるEAP Authenticationを開始しない。

　続いて、図８を用いて、図７とは異なる実施の形態５にかかるPDU Session確立時の認証処理の流れについて説明する。

　はじめに、Ｖ－ＳＭＦ３２とＵＰＦ３３との間においてN4 Session Establishmentが実行される（Ｓ５１）。次に、Ｖ－ＳＭＦ３２は、ＵＰＦ３３を介してＡＡＡ　Server５１へAuthentication/Authorization Requestを送信する（Ｓ５２）。次に、ＡＡＡ　Server５１は、ＵＰＦ３３を介してＶ－ＳＭＦ３２へAuthentication/Authorization Responseを送信する（Ｓ５３）。次に、Ｖ－ＳＭＦ３２は、ＡＡＡ　Server５１から送信されたAuthentication messageを含むNamf_Communication_N1N2Message TransferをＡＭＦ３１へ送信する（Ｓ５４）。

　次に、ＡＭＦ３１は、Namf_Communication_N1N2Message Transferに対する応答として、ResponseをＶ－ＳＭＦ３２へ送信する（Ｓ５５）。ＡＭＦ３１は、Responseに、ＵＥ２０が接続すべきネットワークスライスにおけるＵＥ２０のセカンダリ認証処理が実施済みであることを示すフラグを含む。

　次に、ＡＭＦ３１は、Authentication messageを含むNAS SM TransportをＵＥ２０へ送信する（Ｓ５６）。次に、ＵＥ２０は、Authentication messageを含むNAS SM TransportをＡＭＦ３１へ送信する（Ｓ５７）。次に、ＡＭＦ３１は、Authentication messageを含むNsmf_PDUSession_UpdateSMContextをＶ－ＳＭＦ３２へ送信する（Ｓ５８）。次に、Ｖ－ＳＭＦ３２は、ResponseをＡＭＦ３１へ送信する（Ｓ５９）。

　ここで、Ｖ－ＳＭＦ３２は、ステップＳ５５において、ＵＥ２０のセカンダリ認証処理が実施済みであることを示すフラグを受信していない場合、Authentication/Authorization Requestを、ＵＰＦ３３を介してＡＡＡ　Server５１へ送信する（Ｓ６０）。Authentication/Authorization Requestは、Authentication messageを含む。ＡＡＡ　Server５１は、特定のネットワークスライスにおけるＵＥ２０の認証処理を実行した後に、Authentication/Authorization Responseを、ＵＰＦ３３を介してＶ－ＳＭＦ３２へ送信する（Ｓ６１）。

　Ｖ－ＳＭＦ３２は、ステップＳ５５において、ＵＥ２０が接続すべきネットワークスライスにおけるＵＥ２０のセカンダリ認証処理が実施済みであることを示すフラグを受信している場合、ステップＳ６０以降の処理を実施しない。

　図８においては、ステップＳ５５のResponseに、フラグを含める処理について説明しているが、ステップＳ５８のNsmf_PDUSession_UpdateSMContextにフラグを含めてもよい。もしくは、ＡＭＦ３１は、PDU Session確立時ではなく、Registration処理を実行後、PDU Session確立の処理とは独立して、Ｖ－ＳＭＦ３２もしくはＨ－ＳＭＦ４５へフラグを送信してもよい。この場合、Ｖ－ＳＭＦ３２もしくはＨ－ＳＭＦ４５は、ステップＳ５２以降の処理を実施せずに省略してもよい。

　以上説明したように、ＡＭＦ３１は、Ｖ－ＳＭＦ３２もしくはＨ－ＳＭＦ４５へ、実施済みのセカンダリ認証処理に関する情報を通知することができる。その結果、セカンダリ認証処理が、Registration処理時とPDU Session確立時において重複して実施されることを回避することができる。これにより、セカンダリ認証に係る時間を短縮することができ、また、セカンダリ認証処理に係る処理負荷を削減することができる。

　なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。

　続いて以下では、上述の複数の実施形態で説明された、コアネットワーク装置１０、ＡＭＦ３１、ＳＭＦ、通信端末７０、ＵＥ２０、ＵＥ８０、及びＵＥ９０の構成例について説明する。

　図９は、通信端末７０、ＵＥ２０、ＵＥ８０、及びＵＥ９０の構成例を示すブロック図である。Radio Frequency（RF）トランシーバ１１０１は、基地局と通信するためにアナログRF信号処理を行う。RFトランシーバ１１０１により行われるアナログRF信号処理は、周波数アップコンバージョン、周波数ダウンコンバージョン、及び増幅を含む。RFトランシーバ１１０１は、アンテナ１１０２及びベースバンドプロセッサ１１０３と結合される。すなわち、RFトランシーバ１１０１は、変調シンボルデータ（又はOFDMシンボルデータ）をベースバンドプロセッサ１１０３から受信し、送信RF信号を生成し、送信RF信号をアンテナ１１０２に供給する。また、RFトランシーバ１１０１は、アンテナ１１０２によって受信された受信ＲＦ信号に基づいてベースバンド受信信号を生成し、これをベースバンドプロセッサ１１０３に供給する。

　ベースバンドプロセッサ１１０３は、無線通信のためのデジタルベースバンド信号処理（データプレーン処理）とコントロールプレーン処理を行う。デジタルベースバンド信号処理は、(a) データ圧縮／復元、(b) データのセグメンテーション／コンカテネーション、(c) 伝送フォーマット（伝送フレーム）の生成／分解を含む。さらに、デジタルベースバンド信号処理は、(d) 伝送路符号化／復号化、(e) 変調（シンボルマッピング）／復調、及び(f) Inverse Fast Fourier Transform（IFFT）によるOFDMシンボルデータ（ベースバンドOFDM信号）の生成などを含む。一方、コントロールプレーン処理は、レイヤ１（e.g., 送信電力制御）、レイヤ２（e.g., 無線リソース管理、及びhybrid automatic repeat request（HARQ）処理）、及びレイヤ３（e.g., アタッチ、モビリティ、及び通話管理に関するシグナリング）の通信管理を含む。

　例えば、LTEおよび5Gの場合、ベースバンドプロセッサ１１０３によるデジタルベースバンド信号処理は、Packet Data Convergence Protocol（PDCP）レイヤ、Radio Link Control（RLC）レイヤ、MACレイヤ、およびPHYレイヤの信号処理を含んでもよい。また、ベースバンドプロセッサ１１０３によるコントロールプレーン処理は、Non-Access Stratum（NAS）プロトコル、RRCプロトコル、及びMAC CEの処理を含んでもよい。

　ベースバンドプロセッサ１１０３は、デジタルベースバンド信号処理を行うモデム・プロセッサ（e.g., Digital Signal Processor（DSP））とコントロールプレーン処理を行うプロトコルスタック・プロセッサ（e.g., Central Processing Unit（CPU）、又はMicro Processing Unit（MPU））を含んでもよい。この場合、コントロールプレーン処理を行うプロトコルスタック・プロセッサは、後述するアプリケーションプロセッサ１１０４と共通化されてもよい。

　アプリケーションプロセッサ１１０４は、CPU、MPU、マイクロプロセッサ、又はプロセッサコアとも呼ばれる。アプリケーションプロセッサ１１０４は、複数のプロセッサ（複数のプロセッサコア）を含んでもよい。アプリケーションプロセッサ１１０４は、メモリ１１０６又は図示されていないメモリから読み出されたシステムソフトウェアプログラム（Operating System（OS））を実行することによって通信端末７０、ＵＥ２０、ＵＥ８０、及びＵＥ９０の各種機能を実現する。もしくは、アプリケーションプロセッサ１１０４は、メモリ１１０６又は図示されていないメモリから読み出された様々なアプリケーションプログラムを実行することによって、通信端末７０、ＵＥ２０、ＵＥ８０、及びＵＥ９０の各種機能を実現する。アプリケーションプログラムは、例えば、通話アプリケーション、WEBブラウザ、メーラ、カメラ操作アプリケーション、音楽再生アプリケーションであってもよい。

　いくつかの実装において、図９に破線（１１０５）で示されているように、ベースバンドプロセッサ１１０３及びアプリケーションプロセッサ１１０４は、１つのチップ上に集積されてもよい。言い換えると、ベースバンドプロセッサ１１０３及びアプリケーションプロセッサ１１０４は、１つのSystem on Chip（SoC）デバイス１１０５として実装されてもよい。SoCデバイスは、システムLarge Scale Integration（LSI）またはチップセットと呼ばれることもある。

　メモリ１１０６は、揮発性メモリ若しくは不揮発性メモリ又はこれらの組合せである。メモリ１１０６は、物理的に独立した複数のメモリデバイスを含んでもよい。揮発性メモリは、例えば、Static Random Access Memory（SRAM）若しくはDynamic RAM（DRAM）又はこれらの組み合わせである。不揮発性メモリは、マスクRead Only Memory（MROM）、Electrically Erasable Programmable ROM（EEPROM）、フラッシュメモリ、若しくはハードディスクドライブ、又はこれらの任意の組合せである。例えば、メモリ１１０６は、ベースバンドプロセッサ１１０３、アプリケーションプロセッサ１１０４、及びSoC１１０５からアクセス可能な外部メモリデバイスを含んでもよい。メモリ１１０６は、ベースバンドプロセッサ１１０３内、アプリケーションプロセッサ１１０４内、又はSoC１１０５内に集積された内蔵メモリデバイスを含んでもよい。さらに、メモリ１１０６は、Universal Integrated Circuit Card（UICC）内のメモリを含んでもよい。

　メモリ１１０６は、上述の複数の実施形態で説明された通信端末７０、ＵＥ２０、ＵＥ８０、及びＵＥ９０による処理を行うための命令群およびデータを含むソフトウェアモジュール（コンピュータプログラム）を格納してもよい。いくつかの実装において、ベースバンドプロセッサ１１０３又はアプリケーションプロセッサ１１０４は、当該ソフトウェアモジュールをメモリ１１０６から読み出して実行することで、上述の実施形態で説明された処理を行うよう構成されてもよい。

　図１０は、コアネットワーク装置１０、ＡＭＦ３１、及びＳＭＦの構成例を示すブロック図である。図１０を参照すると、コアネットワーク装置１０、ＡＭＦ３１、及びＳＭＦは、ネットワーク・インターフェース１２０１、プロセッサ１２０２、及びメモリ１２０３を含む。ネットワーク・インターフェース１２０１は、通信システムを構成する他のネットワークノード装置と通信するために使用される。ネットワーク・インターフェース１２０１は、例えば、IEEE 802.3 seriesに準拠したネットワークインターフェースカード（NIC）を含んでもよい。

　プロセッサ１２０２は、メモリ１２０３からソフトウェア（コンピュータプログラム）を読み出して実行することで、上述の実施形態においてシーケンス図及びフローチャートを用いて説明されたコアネットワーク装置１０、ＡＭＦ３１、及びＳＭＦの処理を行う。プロセッサ１２０２は、例えば、マイクロプロセッサ、MPU（Micro Processing Unit）、又はCPU（Central Processing Unit）であってもよい。プロセッサ１２０２は、複数のプロセッサを含んでもよい。

　メモリ１２０３は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ１２０３は、プロセッサ１２０２から離れて配置されたストレージを含んでもよい。この場合、プロセッサ１２０２は、図示されていないI/Oインターフェースを介してメモリ１２０３にアクセスしてもよい。

　図１０の例では、メモリ１２０３は、ソフトウェアモジュール群を格納するために使用される。プロセッサ１２０２は、これらのソフトウェアモジュール群をメモリ１２０３から読み出して実行することで、上述の実施形態において説明されたコアネットワーク装置１０、ＡＭＦ３１、及びＳＭＦの処理を行うことができる。

　図１０を用いて説明したように、コアネットワーク装置１０、ＡＭＦ３１、及びＳＭＦが有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む１又は複数のプログラムを実行する。

　上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体、光磁気記録媒体（例えば光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリを含む。磁気記録媒体は、例えばフレキシブルディスク、磁気テープ、ハードディスクドライブであってもよい。半導体メモリは、例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（Random Access Memory）であってもよい。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　本明細書における、ユーザー端末（User Equipment、 UE）（もしくは移動局（mobile station）、移動端末（mobile terminal）、 モバイルデバイス（mobile device）、または無線端末（wireless device）などを含む）は、無線インタフェースを介して、ネットワークに接続されたエンティティである。

　本明細書のUEは、専用の通信装置に限定されるものではなく、本明細書中に記載されたUEとしての通信機能を有する次のような任意の機器であっても良い。

　用語として「（3GPPで使われる単語としての）ユーザー端末（User Equipment、UE）」、「移動局」、「移動端末」、「モバイルデバイス」、「無線端末」のそれぞれは、一般的に互いに同義であることを意図しており、ターミナル、携帯電話、スマートフォン、タブレット、セルラIoT端末、IoTデバイス、などのスタンドアローン移動局であってもよい。

　なお用語としての「UE」「無線端末」は、長期間にわたって静止している装置も包含することが理解されよう。

　またUEは、例えば、生産設備・製造設備および／またはエネルギー関連機械（一例として、ボイラー、機関、タービン、ソーラーパネル、風力発電機、水力発電機、火力発電機、原子力発電機、蓄電池、原子力システム、原子力関連機器、重電機器、真空ポンプなどを含むポンプ、圧縮機、ファン、送風機、油圧機器、空気圧機器、金属加工機械、マニピュレータ、ロボット、ロボット応用システム、工具、金型、ロール、搬送装置、昇降装置、貨物取扱装置、繊維機械、縫製機械、印刷機、印刷関連機械、紙工機械、化学機械、鉱山機械、鉱山関連機械、建設機械、建設関連機械、農業用機械および／または器具、林業用機械および／または器具、漁業用機械および／または器具、安全および／または環境保全器具、トラクター、軸受、精密ベアリング、チェーン、歯車（ギアー）、動力伝動装置、潤滑装置、弁、管継手、および／または上記で述べた任意の機器又は機械のアプリケーションシステムなど）であっても良い。

　またUEは、例えば、輸送用装置（一例として、車両、自動車、二輪自動車、自転車、列車、バス、リヤカー、人力車、船舶（ship and other watercraft）、飛行機、ロケット、人工衛星、ドローン、気球など）であっても良い。

　またUEは、例えば、情報通信用装置（一例として、電子計算機及び関連装置、通信装置及び関連装置、電子部品など）であっても良い。

　またUEは、例えば、冷凍機、冷凍機応用製品および装置、商業およびサービス用機器、自動販売機、自動サービス機、事務用機械及び装置、民生用電気・電子機械器具（一例として音声機器、スピーカー、ラジオ、映像機器、テレビ、オーブンレンジ、炊飯器、コーヒーメーカー、食洗機、洗濯機、乾燥機、扇風機、換気扇及び関連製品、掃除機など）であっても良い。

　またUEは、例えば、電子応用システムまたは電子応用装置（一例として、X線装置、粒子加速装置、放射性物質応用装置、音波応用装置、電磁応用装置、電力応用装置など）であっても良い。

　またUEは、例えば、電球、照明、計量機、分析機器、試験機及び計測機械（一例として、煙報知器、対人警報センサ、動きセンサ、無線タグなど）、時計（watchまたはclock）、理化学機械、光学機械、医療用機器および／または医療用システム、武器、利器工匠具、または手道具などであってもよい。

　またUEは、例えば、無線通信機能を備えたパーソナルデジタルアシスタントまたは装置（一例として、無線カードや無線モジュールなどを取り付けられる、もしくは挿入するよう構成された電子装置（例えば、パーソナルコンピュータや電子計測器など））であっても良い。

　またUEは、例えば、有線や無線通信技術を使用した「あらゆるモノのインターネット（IoT：Internet of Things）」において、以下のアプリケーション、サービス、ソリューションを提供する装置またはその一部であっても良い。

　IoTデバイス（もしくはモノ）は、デバイスが互いに、および他の通信デバイスとの間で、データ収集およびデータ交換することを可能にする適切な電子機器、ソフトウェア、センサ、ネットワーク接続、などを備える。

　またIoTデバイスは、内部メモリの格納されたソフトウェア指令に従う自動化された機器であっても良い。

　またIoTデバイスは、人間による監督または対応を必要とすることなく動作しても良い。
またIoTデバイスは、長期間にわたって備え付けられている装置および／または、長期間に渡って非活性状態（inactive）状態のままであっても良い。

　またIoTデバイスは、据え置き型な装置の一部として実装され得る。IoTデバイスは、非据え置き型の装置（例えば車両など）に埋め込まれ得る、または監視される／追跡される動物や人に取り付けられ得る。

　人間の入力による制御またはメモリに格納されるソフトウェア命令、に関係なくデータを送受信する通信ネットワークに接続することができる、任意の通信デバイス上に、IoT技術が実装できることは理解されよう。

　IoTデバイスが、機械型通信（Machine Type Communication、MTC）デバイス、またはマシンツーマシン（Machine to Machine、M2M）通信デバイス、NB-IoT(Narrow Band-IoT) UEと呼ばれることもあるのは理解されよう。

　またUEが、１つまたは複数のIoTまたはMTCアプリケーションをサポートすることができることが理解されよう。

　MTCアプリケーションのいくつかの例は、以下の表（出典：3GPP TS22.368 V13.2.0(2017-01-13) Annex B、その内容は参照により本明細書に組み込まれる）に列挙されている。このリストは、網羅的ではなく、一例としてのMTCアプリケーションを示すものである。

　アプリケーション、サービス、ソリューションは、一例として、MVNO（Mobile Virtual Network Operator：仮想移動体通信事業者）サービス/システム、防災無線サービス/システム、構内無線電話（PBX（Private Branch eXchange：構内交換機））サービス/システム、PHS/デジタルコードレス電話サービス/システム、POS（Point of sale）システム、広告発信サービス/システム、マルチキャスト（MBMS（Multimedia Broadcast and Multicast Service））サービス/システム、V2X（Vehicle to Everything：車車間通信および路車間・歩車間通信）サービス/システム、列車内移動無線サービス/システム、位置情報関連サービス/システム、災害/緊急時無線通信サービス/システム、IoT（Internet of Things：モノのインターネット）サービス/システム、コミュニティーサービス/システム、映像配信サービス/システム、Femtoセル応用サービス/システム、VoLTE（Voice over LTE）サービス/システム、無線TAGサービス/システム、課金サービス/システム、ラジオオンデマンドサービス/システム、ローミングサービス/システム、ユーザー行動監視サービス/システム、通信キャリア/通信NW選択サービス/システム、機能制限サービス/システム、PoC（Proof of Concept）サービス/システム、端末向け個人情報管理サービス/システム、端末向け表示・映像サービス/システム、端末向け非通信サービス/システム、アドホックNW/DTN（Delay Tolerant Networking）サービス/システムなどであっても良い。

　なお、上述したUEのカテゴリは、本明細書に記載された技術思想及び実施形態の応用例に過ぎない。これらの例に限定されるものではなく、当業者は種々の変更が可能であることは勿論である。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１８年９月２８日に出願された日本出願特願２０１８－１８５４２０を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
　（付記１）
　コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行する第１の認証手段と、
　サービングネットワークにおいて前記通信端末が利用可能な少なくとも１つのネットワークスライスを示す許容リスト情報を受信する通信手段と、
　前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する第２の認証手段と、を備えるコアネットワーク装置。
　（付記２）
　前記第２の認証手段は、
　前記許容リスト情報に複数の前記ネットワークスライスが含まれる場合、それぞれのネットワークスライスにおいて前記第２の認証処理の実施が要求されているか否かを判定し、前記第２の認証処理の実施が要求されている前記ネットワークスライス毎に前記第２の認証処理を実施する、付記１に記載のコアネットワーク装置。
　（付記３）
　前記通信手段は、
　前記ネットワークスライスに関連付けられた認証サーバへ、前記通信端末が前記ネットワークスライスを利用する際に用いる前記通信端末の識別情報を送信する、付記１又は２に記載のコアネットワーク装置。
　（付記４）
　前記通信手段は、
　前記許容リスト情報に含まれる前記ネットワークスライス毎に、前記通信端末から前記通信端末の識別情報を取得する、付記３に記載のコアネットワーク装置。
　（付記５）
　前記第２の認証手段は、
　前記通信端末が第１のアクセスネットワークを介して前記コアネットワークに前記通信端末を登録する登録処理中に前記第２の認証処理を実施した場合、前記通信端末が第２のアクセスネットワークを介して前記コアネットワークに前記通信端末を登録する登録処理中に、前記第２の認証処理を省略する、付記１乃至４のいずれか１項に記載のコアネットワーク装置。
　（付記６）
　前記第２の認証手段は、
　前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末ではないと判定した場合、予め定められたネットワークスライスの識別情報を前記通信端末へ通知する、付記１乃至５のいずれか１項に記載のコアネットワーク装置。
　（付記７）
　コアネットワークに通信端末を登録する登録処理中に、前記通信端末から、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示す情報を含むRegistration Requestメッセージを受信する通信手段と、
　前記情報において、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていることが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実施する認証手段と、を備えるコアネットワーク装置。
　（付記８）
　前記認証手段は、
　前記情報において、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていないことが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない、付記７に記載のコアネットワーク装置。
　（付記９）
　前記通信手段は、
　前記認証手段が前記Slice-Specific Authentication and Authorizationに関する処理を実行しない場合、前記通信端末へ、前記Registration Requestメッセージに対する特定の原因コードを含むRegistration Rejectメッセージを送信する、付記７又は８に記載のコアネットワーク装置。
　（付記１０）
　通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示す情報を含むRegistration Requestメッセージを、コアネットワーク装置へ送信する通信手段、を備える通信端末。
　（付記１１）
　前記通信端末が前記Slice-Specific Authentication and Authorizationをサポートしていない場合、前記Registration Requestメッセージを受信したコアネットワーク装置は、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない、付記１０に記載の通信端末。
　（付記１２）
　前記通信手段は、
　前記コアネットワーク装置が前記Slice-Specific Authentication and Authorizationに関する処理を実行しない場合、前記コアネットワーク装置から、前記Registration Requestメッセージに対する特定の原因コードを含むRegistration Rejectメッセージを受信する、付記１０又は１１に記載の通信端末。
　（付記１３）
　コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行する第１の認証手段と、
　前記通信端末から、利用を要望する複数のネットワークスライスに関する情報と、前記複数のネットワークスライスのうち、優先的に利用するネットワークスライスに関する情報とを受信する通信手段と、
　前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が優先的に利用する前記ネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する第２の認証手段と、を備えるコアネットワーク装置。
　（付記１４）
　前記第２の認証手段は、
　前記登録処理が完了した後に、前記通信端末が前記第２の認証処理が実施されていない前記ネットワークスライスを最初に利用する時に、前記第２の認証処理を実施する、付記１３に記載のコアネットワーク装置。
　（付記１５）
　コアネットワークに通信端末を登録する登録処理中に、利用を要望する複数のネットワークスライスに関する情報と、前記複数のネットワークスライスのうち、優先的に利用するネットワークスライスに関する情報とをコアネットワーク装置へ送信する通信手段、を備える通信端末。
　（付記１６）
　前記通信手段は、
　Registration Requestメッセージに、前記優先的に利用するネットワークスライスに関する情報と、前記優先的に利用するネットワークスライスとは異なるネットワークスライスに関する情報とを含めて送信する、付記１５に記載の通信端末。
　（付記１７）
　コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行し、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されて通信端末か否かの第２の認証処理を実施し、前記第２の認証処理が実施されたネットワークスライスを示す情報を送信する、第１のコアネットワーク装置と、
　前記第２の認証処理が実行されたネットワークスライスを示す情報を受信し、前記登録処理が完了した後に、前記通信端末が前記ネットワークスライスを最初に利用する際に、前記通信端末に関する前記第２の認証処理が実施されたか否かを判定し、前記第２の認証処理が実施されていない場合、前記第２の認証処理を実施し、前記第２の認証処理が実施されていた場合、前記第２の認証処理を実施しない、第２のコアネットワーク装置と、を備える通信システム。
　（付記１８）
　前記第１のコアネットワーク装置は、
　PDU Session確立処理時に、前記第２の認証処理が実施されたネットワークスライスを示す情報を送信する、付記１７に記載の通信システム。
　（付記１９）
　コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行し、
　サービングネットワークにおいて前記通信端末が利用可能な少なくとも１つのネットワークスライスを示す許容リスト情報を受信し、
　前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する、コアネットワーク装置における認証方法。
　（付記２０）
　コアネットワークに通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理に伴う処理を実行することができるか否かを示す能力情報を生成し、
　前記能力情報をコアネットワーク装置へ送信する、通信端末における通信方法。

　１０　コアネットワーク装置
　１１　認証部
　１２　認証部
　１３　通信部
　２０　ＵＥ
　３０　Serving ＰＬＭＮ
　３１　ＡＭＦ
　３２　Ｖ－ＳＭＦ
　３３　ＵＰＦ
　４０　ＨＰＬＭＮ
　４１　ＵＤＭ
　４２　ＡＵＳＦ
　４３　ＮＳＳＦ
　４４　ＮＥＦ
　４５　Ｈ－ＳＭＦ
　４６　ＵＰＦ
　５０　3rd party network
　５１　ＡＡＡ　Server
　６０　ネットワークスライス
　７０　通信端末
　７１　制御部
　７２　通信部
　８０　ＵＥ
　９０　ＵＥ

Claims (20)

1. 　コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行する第１の認証手段と、
   　サービングネットワークにおいて前記通信端末が利用可能な少なくとも１つのネットワークスライスを示す許容リスト情報を受信する通信手段と、
   　前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する第２の認証手段と、を備えるコアネットワーク装置。
2. 　前記第２の認証手段は、
   　前記許容リスト情報に複数の前記ネットワークスライスが含まれる場合、それぞれのネットワークスライスにおいて前記第２の認証処理の実施が要求されているか否かを判定し、前記第２の認証処理の実施が要求されている前記ネットワークスライス毎に前記第２の認証処理を実施する、請求項１に記載のコアネットワーク装置。
3. 　前記通信手段は、
   　前記ネットワークスライスに関連付けられた認証サーバへ、前記通信端末が前記ネットワークスライスを利用する際に用いる前記通信端末の識別情報を送信する、請求項１又は２に記載のコアネットワーク装置。
4. 　前記通信手段は、
   　前記許容リスト情報に含まれる前記ネットワークスライス毎に、前記通信端末から前記通信端末の識別情報を取得する、請求項３に記載のコアネットワーク装置。
5. 　前記第２の認証手段は、
   　前記通信端末が第１のアクセスネットワークを介して前記コアネットワークに前記通信端末を登録する登録処理中に前記第２の認証処理を実施した場合、前記通信端末が第２のアクセスネットワークを介して前記コアネットワークに前記通信端末を登録する登録処理中に、前記第２の認証処理を省略する、請求項１乃至４のいずれか１項に記載のコアネットワーク装置。
6. 　前記第２の認証手段は、
   　前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末ではないと判定した場合、予め定められたネットワークスライスの識別情報を前記通信端末へ通知する、請求項１乃至５のいずれか１項に記載のコアネットワーク装置。
7. 　コアネットワークに通信端末を登録する登録処理中に、前記通信端末から、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示す情報を含むRegistration Requestメッセージを受信する通信手段と、
   　前記情報において、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていることが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実施する認証手段と、を備えるコアネットワーク装置。
8. 　前記認証手段は、
   　前記情報において、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていないことが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない、請求項７に記載のコアネットワーク装置。
9. 　前記通信手段は、
   　前記認証手段が前記Slice-Specific Authentication and Authorizationに関する処理を実行しない場合、前記通信端末へ、前記Registration Requestメッセージに対する特定の原因コードを含むRegistration Rejectメッセージを送信する、請求項７又は８に記載のコアネットワーク装置。
10. 　通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示す情報を含むRegistration Requestメッセージを、コアネットワーク装置へ送信する通信手段、を備える通信端末。
11. 　前記通信端末が前記Slice-Specific Authentication and Authorizationをサポートしていない場合、前記Registration Requestメッセージを受信したコアネットワーク装置は、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない、請求項１０に記載の通信端末。
12. 　前記通信手段は、
    　前記コアネットワーク装置が前記Slice-Specific Authentication and Authorizationに関する処理を実行しない場合、前記コアネットワーク装置から、前記Registration Requestメッセージに対する特定の原因コードを含むRegistration Rejectメッセージを受信する、請求項１０又は１１に記載の通信端末。
13. 　コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行する第１の認証手段と、
    　前記通信端末から、利用を要望する複数のネットワークスライスに関する情報と、前記複数のネットワークスライスのうち、優先的に利用するネットワークスライスに関する情報とを受信する通信手段と、
    　前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が優先的に利用する前記ネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する第２の認証手段と、を備えるコアネットワーク装置。
14. 　前記第２の認証手段は、
    　前記登録処理が完了した後に、前記通信端末が前記第２の認証処理が実施されていない前記ネットワークスライスを最初に利用する時に、前記第２の認証処理を実施する、請求項１３に記載のコアネットワーク装置。
15. 　コアネットワークに通信端末を登録する登録処理中に、利用を要望する複数のネットワークスライスに関する情報と、前記複数のネットワークスライスのうち、優先的に利用するネットワークスライスに関する情報とをコアネットワーク装置へ送信する通信手段、を備える通信端末。
16. 　前記通信手段は、
    　Registration Requestメッセージに、前記優先的に利用するネットワークスライスに関する情報と、前記優先的に利用するネットワークスライスとは異なるネットワークスライスに関する情報とを含めて送信する、請求項１５に記載の通信端末。
17. 　コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行し、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されて通信端末か否かの第２の認証処理を実施し、前記第２の認証処理が実施されたネットワークスライスを示す情報を送信する、第１のコアネットワーク装置と、
    　前記第２の認証処理が実行されたネットワークスライスを示す情報を受信し、前記登録処理が完了した後に、前記通信端末が前記ネットワークスライスを最初に利用する際に、前記通信端末に関する前記第２の認証処理が実施されたか否かを判定し、前記第２の認証処理が実施されていない場合、前記第２の認証処理を実施し、前記第２の認証処理が実施されていた場合、前記第２の認証処理を実施しない、第２のコアネットワーク装置と、を備える通信システム。
18. 　前記第１のコアネットワーク装置は、
    　PDU Session確立処理時に、前記第２の認証処理が実施されたネットワークスライスを示す情報を送信する、請求項１７に記載の通信システム。
19. 　コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第１の認証処理を実行し、
    　サービングネットワークにおいて前記通信端末が利用可能な少なくとも１つのネットワークスライスを示す許容リスト情報を受信し、
    　前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理を実施する、コアネットワーク装置における認証方法。
20. 　コアネットワークに通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されている通信端末か否かの第２の認証処理に伴う処理を実行することができるか否かを示す能力情報を生成し、
    　前記能力情報をコアネットワーク装置へ送信する、通信端末における通信方法。

Images