ホーム > 特許ランキング > アルカテル・ルーセント
知財求人 - 知財ポータルサイト「IP Force」
特許6628295認証されていないユーザのための3GPP進化型パケットコアへのWLANアクセスを介した緊急サービスのサポート
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6628295
(24)【登録日】2019年12月13日
(45)【発行日】2020年1月8日
(54)【発明の名称】認証されていないユーザのための3GPP進化型パケットコアへのWLANアクセスを介した緊急サービスのサポート
(51)【国際特許分類】
H04W 12/06 20090101AFI20191223BHJP
H04W 4/90 20180101ALI20191223BHJP
H04W 76/50 20180101ALI20191223BHJP
【FI】
H04W12/06
H04W4/90
H04W76/50
【請求項の数】15
【全頁数】19
(21)【出願番号】特願2018-541545(P2018-541545)
(86)(22)【出願日】2016年11月3日
(65)【公表番号】特表2018-537927(P2018-537927A)
(43)【公表日】2018年12月20日
(86)【国際出願番号】EP2016076588
(87)【国際公開番号】WO2017076986
(87)【国際公開日】20170511
【審査請求日】2018年6月21日
(31)【優先権主張番号】15306757.4
(32)【優先日】2015年11月5日
(33)【優先権主張国】EP
(73)【特許権者】
【識別番号】518204534
【氏名又は名称】アルカテル・ルーセント
(74)【代理人】
【識別番号】110001173
【氏名又は名称】特許業務法人川口國際特許事務所
(72)【発明者】
【氏名】ティエボー,ロラン
(72)【発明者】
【氏名】ランデ,ブリュノ
(72)【発明者】
【氏名】デボン,ニコラ
【審査官】
望月 章俊
(56)【参考文献】
【文献】
米国特許出願公開第2010/0255808(US,A1)
【文献】
米国特許出願公開第2010/0303064(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04W4/00−H04W99/00
H04B7/24−H04B7/26
(57)【特許請求の範囲】
【請求項1】
装置であって、
プロセッサと、
実行されたとき、装置に、
・ 進化型パケットコアネットワークへの信頼されたワイヤレスローカルエリアネットワークアクセスを介した緊急サービスへのユーザ装置によるアクセスのために、前記ユーザ装置とネットワークとの間の相互認証がない、特定の拡張認証プロトコルベースプロシージャを実行することと、
・ 前記プロシージャ内で、前記アクセスが認証なしの限定されたサービスのためのものであるという指示を前記ネットワークから受信することと
を行わせる命令を記憶するメモリと
を備える、装置。
プロセッサと、
実行されたとき、装置に、
・ 進化型パケットコアネットワークへの信頼されたワイヤレスローカルエリアネットワークアクセスを介した緊急サービスへのユーザ装置によるアクセスのために、前記ユーザ装置とネットワークとの間の相互認証がない、特定の拡張認証プロトコルベースプロシージャを実行することと、
・ 前記プロシージャ内で、前記アクセスが認証なしの限定されたサービスのためのものであるという指示を前記ネットワークから受信することと
を行わせる命令を記憶するメモリと
を備える、装置。
【請求項2】
実行されたとき、前記命令が、装置に、
・ 移動端末識別子ベースユーザ識別子が前記ネットワークによって認証され得ない場合、前記指示を受信すること
を行わせる、請求項1に記載の装置。
・ 移動端末識別子ベースユーザ識別子が前記ネットワークによって認証され得ない場合、前記指示を受信すること
を行わせる、請求項1に記載の装置。
【請求項3】
実行されたとき、前記命令が、装置に、
・ 前記プロシージャ内で、前記アクセスのための接続モードを前記ネットワークとネゴシエートすること
を行わせる、請求項1または2に記載の装置。
・ 前記プロシージャ内で、前記アクセスのための接続モードを前記ネットワークとネゴシエートすること
を行わせる、請求項1または2に記載の装置。
【請求項4】
前記接続モードが、単一接続モードおよびマルチプル接続モードのうちの1つを備える、請求項3に記載の装置。
【請求項5】
実行されたとき、前記命令が、装置に、
・ 暗号化キーおよび完全性キーを使用せずに、ただしユーザ識別子を使用して、前記アクセスのためのマスタセッションキーを導出すること
を行わせる、請求項1から4のいずれか一項に記載の装置。
・ 暗号化キーおよび完全性キーを使用せずに、ただしユーザ識別子を使用して、前記アクセスのためのマスタセッションキーを導出すること
を行わせる、請求項1から4のいずれか一項に記載の装置。
【請求項6】
・ 進化型パケットコアネットワークへの信頼されたワイヤレスローカルエリアネットワークアクセスを介した緊急サービスへのユーザ装置によるアクセスのために、前記ユーザ装置とネットワークとの間の相互認証がない、特定の拡張認証プロトコルベースプロシージャを実行するステップと、
・ 前記プロシージャ内で、前記アクセスが認証なしの限定されたサービスのためのものであるという指示を前記ネットワークから受信するステップと
を含む、方法。
・ 前記プロシージャ内で、前記アクセスが認証なしの限定されたサービスのためのものであるという指示を前記ネットワークから受信するステップと
を含む、方法。
【請求項7】
・ 移動端末識別子ベースユーザ識別子が前記ネットワークによって認証され得ない場合、前記指示を受信するステップ
を含む、請求項6に記載の方法。
を含む、請求項6に記載の方法。
【請求項8】
・ 前記プロシージャ内で、前記アクセスのための接続モードを前記ネットワークとネゴシエートするステップ
を含む、請求項6または7に記載の方法。
を含む、請求項6または7に記載の方法。
【請求項9】
前記接続モードが、単一接続モードおよびマルチプル接続モードのうちの1つを備える、請求項8に記載の方法。
【請求項10】
・ 暗号化キーおよび完全性キーを使用せずに、ただしユーザ識別子を使用して、前記アクセスのためのマスタセッションキーを導出するステップ
を含む、請求項6から9のいずれか一項に記載の方法。
を含む、請求項6から9のいずれか一項に記載の方法。
【請求項11】
装置であって、
プロセッサと、
実行されたとき、装置に、
・ 進化型パケットコアネットワークへの信頼されたワイヤレスローカルエリアネットワークアクセスを介した緊急サービスへのユーザ装置によるアクセスのために、前記ユーザ装置とネットワークとの間の相互認証がない、特定の拡張認証プロトコルベースプロシージャを実行することと、
・ 前記プロシージャ内で、前記アクセスが認証なしの限定されたサービスのためのものであるという指示を前記ユーザ装置に向かって送信することと
を行わせる命令を記憶するメモリと
を備える、装置。
プロセッサと、
実行されたとき、装置に、
・ 進化型パケットコアネットワークへの信頼されたワイヤレスローカルエリアネットワークアクセスを介した緊急サービスへのユーザ装置によるアクセスのために、前記ユーザ装置とネットワークとの間の相互認証がない、特定の拡張認証プロトコルベースプロシージャを実行することと、
・ 前記プロシージャ内で、前記アクセスが認証なしの限定されたサービスのためのものであるという指示を前記ユーザ装置に向かって送信することと
を行わせる命令を記憶するメモリと
を備える、装置。
【請求項12】
実行されたとき、前記命令が、装置に、
・ 移動端末識別子ベースユーザ識別子が前記ネットワークによって認証され得ない場合、前記指示を送信すること
を行わせる、請求項11に記載の装置。
・ 移動端末識別子ベースユーザ識別子が前記ネットワークによって認証され得ない場合、前記指示を送信すること
を行わせる、請求項11に記載の装置。
【請求項13】
実行されたとき、前記命令が、装置に、
・ 前記プロシージャ内で、前記アクセスのための接続モードを前記ユーザ装置とネゴシエートすること
を行わせる、請求項11または12に記載の装置。
・ 前記プロシージャ内で、前記アクセスのための接続モードを前記ユーザ装置とネゴシエートすること
を行わせる、請求項11または12に記載の装置。
【請求項14】
前記接続モードが、単一接続モードおよびマルチプル接続モードのうちの1つを備える、請求項13に記載の装置。
【請求項15】
実行されたとき、前記命令が、装置に、
・ 暗号化キーおよび完全性キーを使用せずに、ただしユーザ識別子を使用して、前記アクセスのためのマスタセッションキーを導出すること
を行わせる、請求項11から13のいずれか一項に記載の装置。
・ 暗号化キーおよび完全性キーを使用せずに、ただしユーザ識別子を使用して、前記アクセスのためのマスタセッションキーを導出すること
を行わせる、請求項11から13のいずれか一項に記載の装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般にモバイル通信ネットワークおよびシステムに関する。
【背景技術】
【0002】
モバイルネットワークおよびシステムの説明は、特に、たとえば3GPP(第3世代パートナーシッププロジェクト)などの標準化団体によって発行された技術仕様書などの文献に見出され得る。
【0003】
3GPPモバイルシステムの一例は、EPS(進化型パケットシステム)である。EPSネットワークは、(E−UTRANなどの)3GPPアクセスによって、あるいは(信頼されたまたは信頼されていないWLANなどの)信頼されたまたは信頼されていない非3GPPアクセスによってアクセスされ得る、EPC(進化型パケットコア)と呼ばれるコアネットワークを含む。EPCへの3GPPアクセスは、特に、E−UTRANアクセスについての3GPP TS 23.401において指定されている。EPCへの非3GPPアクセスは、特に、3GPP TS 23.402において指定されている。EPCへの3GPPおよび非3GPP(信頼されたおよび信頼されていない)アクセスのためのアーキテクチャの一例は、3GPP TS 23.402からとられた図1において想起される。
【0004】
たとえばEPSなどのシステムでは、UEが、(PDN接続性と呼ばれる)接続性サービスを提供するEPCを介して、(パケットデータネットワークPDNと呼ばれ、一例が事業者のIMSネットワークである)様々な外部ネットワークに接続し得る。認証は、概して、アクセスを付与し、接続性サービスを提供する前に実行される。しかしながら、緊急サービスなどのいくつかのサービスは、認証されていないユーザ装置のためにもサポートされる必要があり得る。本明細書では、認証されていないユーザ装置は、認証されたユーザ識別子なしにユーザ装置を設計するように意味され、たとえば、ユーザ識別子がネットワークに与えられない(たとえばUSIMを含んでいないユーザ装置)か、または、ユーザ識別子(たとえばIMSI)はネットワークによって認証されない。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】3GPP TS 23.401
【非特許文献2】3GPP TS 23.402
【非特許文献3】3GPP TS 33.402、6.1節
【非特許文献4】3GPP TS 23.402、16.2節
【非特許文献5】3GPP TS 33.402、8.2節
【非特許文献6】RFC 4187[7]
【非特許文献7】RFC 5448[23]
【非特許文献8】RFC 5996[30]
【非特許文献9】3GPP TS 29.273
【非特許文献10】3GPP TS 24.008
【非特許文献11】3GPP TS 23.167
【非特許文献12】3GPP TS 23.003
【非特許文献13】IETF RFC 4282、2.1節
【非特許文献14】3GPP TR 23.771
【非特許文献15】3GPP TS 29.273、付属書類A.2−1
【非特許文献16】IETF RFC 4072[5]
【非特許文献17】3GPP TS 29.229[24]
【発明の概要】
【発明が解決しようとする課題】
【0006】
そのようなシステムにおける緊急サービスのサポートを改善する必要がある。特に、現在、認証されていないユーザ装置のための、3GPP EPCへの信頼されたまたは信頼されていないWLANアクセスを介した緊急サービスは、サポートされておらず、そのようなサポートを提供する必要がある。
【課題を解決するための手段】
【0007】
本発明の実施形態は、特にそのような必要に対処する。
【0008】
これらおよび他の目的は、一態様では、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために:− アクセス認証のためのユーザ識別子を与えるようにとの要求に応答して、緊急サービスのための認証されていないアクセスを示す領域部分を有する特定のNAIベース(ネットワークアクセス識別子)ユーザ識別子を与える
ように構成されたユーザ装置UEによって、達成される。
【0009】
これらおよび他の目的は、別の態様では、EPCへの信頼されたWLANアクセスのためのTWANエンティティまたはEPCへの信頼されていないWLANアクセスのためのePDGなど、オーセンティケータであって、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために:− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスする特定の3GPP AAAサーバに向かって、緊急サービスのための認証されていないアクセスを示すNAIベース(ネットワークアクセス識別子)ユーザ識別子の領域部分に基づいて、ユーザ装置UEからのメッセージを送る
ように構成されたオーセンティケータによって、達成される。
【0010】
これらおよび他の目的は、別の態様では、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために:− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスし、
− 認証されていないユーザ装置UEにアクセスを付与し、
− 緊急サービスのためのネットワークアクセスを可能にする特定の許可データを前記UEに与える
ように構成された3GPP AAAサーバによって、達成される。
【0011】
これらおよび他の目的は、別の態様では、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために:− ユーザ装置のための緊急事態に関連するアクセス認証試みのためにHPLMNにおいて3GPP AAAサーバに交信することが不可能であることを検出すると、ローカルポリシーに基づいて、緊急サービスのための認証されていないアクセスに専用のドメインをサービスするローカルAAAサーバに、アクセス認証要求をリダイレクトする
ように構成された3GPP AAAプロキシによって、達成される。
【0012】
これらおよび他の目的は、他の態様では、上述のユーザ装置、オーセンティケータ、3GPP AAAサーバ、3GPP AAAプロキシなど、様々なエンティティのうちの1つまたは複数において実行されるステップを含む様々な方法によって、達成される。
【0013】
次に、本発明の実施形態による装置および/または方法のいくつかの実施形態について、単に例として、および添付の図面を参照しながら説明する:
【図面の簡単な説明】
【0014】
【図1】EPCへの3GPPおよび非3GPP(信頼されたまたは信頼されていない)アクセスのためのアーキテクチャの一例を想起することを意図する図である。
【図2】本発明の実施形態による、シグナリングフローの一例を示すことを意図する図である。
【発明を実施するための形態】
【0015】
略語AAA 認証許可アカウンティング
AKA 認証およびキー合意
APN アクセスポイント名
AVP 属性値ペア
CK 暗号化キー
DEA ダイアメータ(Diameter)EAP回答
DER ダイアメータEAP要求
EAP 拡張認証プロトコル
EPC 進化型パケットコア
ePDG 進化型パケットデータゲートウェイ
EPS 進化型パケットシステム
E−UTRAN 進化型ユニバーサル地上波無線アクセスネットワーク
HPLMN ホームパブリックランドモバイルネットワーク
HSS ホーム加入者サーバ
IK 完全性キー
IMSI 移動端末識別子
IMEI 移動端末装置識別子
IMS IPマルチメディアサブシステム
LTE ロングタームエボリューション
MCM マルチ接続モード
MK マスタキー
MSK マスタセッションキー
NAI ネットワークアクセス識別子
PDN パケットデータネットワーク
PDN GW PDNゲートウェイ
PLMN パブリックランドモバイルネットワーク
PRF 擬似ランダム関数
SCM 単一接続モード
SIM 加入者識別モジュール
TSCM 透過型単一接続モード
TWAN 信頼されたWLANアクセスネットワーク
UWAN 信頼されていないWLANアクセスネットワーク
UE ユーザ装置
USIM 汎用加入者識別モジュール
WLAN ワイヤレスローカルエリアネットワーク
WLCP WLAN制御プロトコル
【0016】
技術背景:− 3GPP TS 33.402の6.1節は、原則として、次のことを規定する:「EPSにおける非3GPPアクセスのためのアクセス認証は、EAP−AKA(RFC 4187[7])またはEAP−AKA’(RFC 5448[23])に基づくものとする」
− 3GPP TS 23.402の16.2節において定義されているように、TWANにアクセスするために、UEは、最初に、EAPを使用することを認証するものとする(「EAP認証プロシージャが、UE、TWANおよび3GPP AAAサーバを伴って開始され、実行される」)。
− 3GPP TS 33.402の8.2節「UE開始型IPsecトンネルのセットアップのための機構」において定義されているように、「RFC 4187[7]において指定されているように、EAP−AKAが、RFC 5996[30]において指定されているように、IKEv2内で、UEを認証するために使用されるものとする」
− 3GPP TS 29.273は、現在、AAAインターフェースを介した、認証されていないUEのための認証および許可プロシージャをサポートしていない。
【0017】
本発明の様々な態様および/または実施形態の説明いくつかの国では、(PLMNと呼ばれる)モバイルネットワークは、ローカル規制により、認証されていないUEのために(たとえば、USIMを含んでいないモバイルフォン、すなわち、UEのために)、緊急セッションをサポートする必要がある。この特徴は、ネットワークアクセスレイヤとサービスレイヤの両方が、緊急セッションを発する認証されていないUEをサポートすることを暗示する。
【0018】
3GPPは、以下について、この能力をすでに与えている:− CS(回線交換)ドメイン、したがって、アクセスレイヤとサービスレイヤの両方について。これは、たとえば、3GPP TS 24.008において定義されている
− IMSドメイン、したがって、IPに依拠するセッションセットアップのサービスレイヤについて。これは、3GPP TS 23.167において定義されている
− EUTRAN(LTE)アクセス、したがって、IPに依拠するセッションセットアップの3GPPアクセスレイヤについて。これは、3GPP TS 23.401において定義されている。
【0019】
認証されていないUEのための、WLANを介した緊急セッションのサポートが、3GPP仕様書において欠如している。このサポートは、信頼されたアクセス(TWAN)および信頼されていないアクセス(UWAN)のどちらの場合も、3GPP TS 23.402において定義されているEPC(進化型パケットコア)に提供されるべきである。
【0020】
そのようなサポートを可能にする本発明の様々な態様および/または実施形態について、以下で説明する。
【0021】
いくつかの実施形態では、緊急セッションを発するためにWLANを介したEPCアクセスをセットアップする必要があるUEについて、それが、それの識別子を与えるようにとの要求を(EAP識別子要求の一部として)オーセンティケータから受信したとき、− UEはEPCにアクセスするためのクレデンシャルを得ていない(UEはUSIMを得ていない)が、UEは、NAIフォーマットをサポートし、それのIMEI(3GPP TS 23.003において定義されている移動端末装置識別子)と、3GPPネットワーク内の緊急サービスのサポートに専用の特定の領域とに基づいて構築される、特定の識別子を送信する。
− UEが、クレデンシャル(USIM)を得ているが、UEが認証され得ないことを知っているとき、UEは、NAIフォーマットをサポートし、それのIMEIと、3GPPネットワーク内の緊急サービスのサポートに専用の特定の領域とに基づいて構築される、特定の識別子を送信する。
【0022】
いくつかの実施形態では、このアクセス要求は、NAIの領域に基づいて、特定の3GPP AAAサーバ機能に送られ、特定の3GPP AAAサーバ機能は、アクセスを常に付与するが、緊急サービスのためにのみネットワークアクセスを可能にする特定の許可データを与える。
【0023】
UEが通常認証されるべきであるいくつかの動作の場合には、ただし、3GPP AAAプロキシが、緊急要求を発するUEの適切な認証を妨げる何らかのネットワーク問題を発見した場合には、3GPP AAAプロキシは、(ローカルポリシーに基づいて)同じ特定の3GPP AAAサーバ機能に向けてUEの認証/許可に関係するAAAシグナリングの進路を変え得る。これは、アクセスが通常通りに認証され得ない(たとえば、いかなる通常のEAP−AKA/EAP−AKA’認証も行われ得ない)ことを告げる特定の指示が、特定の3GPP AAAサーバによってUEに返送されることを必要とする。
【0024】
いくつかの実施形態では、認証およびMSK決定に関係する例外は別として、EAP−AKA/EAP−AKA’およびAAAプロシージャは、通常通りに認証されたUEの場合のように行われる。EAPプロシージャは、UEおよびネットワークに、無線インターフェース上でセキュリティのために使用されるべきMSK(マスタセッションキー)を与える。MSKは、UEが実際に認証される場合とは異なる手法に基づいて決定される。
【0025】
本発明の実施形態の利益は以下を含む:− 緊急サービスへのアクセスのために、通常のUEアクセスの原理(および、特にTWANアクセスの場合、UEとネットワークとの間の情報の交換(*))を再利用する:EAPプロシージャの使用、セキュリティ材料をさらに与える3GPP AAAサーバによって付与されるEPCネットワークにアクセスするためのUE許可
・ (*)たとえば、認証なしの緊急サービスへのアクセスのための特定のEAPプロシージャは、UEおよびネットワークが、通常の認証の場合にそれらがEAP−AKA’を介して交換するパラメータを交換することを可能にするように実行される
− それは、ローミングの場合、HPLMNによるサポートを必要としない。
【0026】
いくつかの実施形態では、UEが緊急サービスを発する必要があり、ネットワークにアクセスするためのクレデンシャルを有しない(たとえば、UEが(U)SIMを得ていない)とき、UEは、オーセンティケータ(*)からのEAP−識別子要求への回答として、以下の性質の一部または全部を有する特定の識別子を送信する:− NAIフォーマットをサポートする:識別子は、NAIの形態をとるものとし、IETF RFC 4282の2.1節において指定されているように形式username@realmを有するものとする
− IMEIをNAIのユーザ名部分中に有する
− 3GPP端末のための、認証されていない緊急サービスのサポートを示す特定の値をNAIの領域部分中に有する。この領域部分、(本発明の実施形態の一部)は、規格によって、たとえば3GPPによって、定義されるべきである。
(*)オーセンティケータは、(3GPP)AAAサーバから来る許可情報に基づいてネットワークへのUEアクセスを制御するエンティティである。TWAN(EPCへの信頼されたWLANアクセス)の場合、オーセンティケータはTWAN中にあり、UWAN(EPCへの信頼されていないWLANアクセス)の場合、それはePDGである。
【0027】
いくつかの実施形態では、オーセンティケータは、次いで、NAIの領域部分を担当するAAAサーバに交信することを試みる。いくつかの実施形態では、この領域部分が緊急サービスのサポートに専用であるとき、オーセンティケータは専用AAAサーバに交信する。この専用AAAサーバは、オーセンティケータと同じ国にあるものとする。UEがUSIMを得ていないとき、「HPLMN」中のどのAAAサーバエンティティも交信され得ず、したがって、ローカルネットワークはUEのためのHPLMNを決定することができない。
【0028】
いくつかの実施形態では、信頼されたWLANアクセスの場合、以下のステップの一部または全部が行われ得る− 認証なしの緊急サービスへのアクセスのための特定のEAPプロシージャは、UEおよびネットワークが、通常の認証の場合にそれらがEAP−AKA’を介して交換するパラメータ(たとえば、SCMにおけるIPバージョンについてのUEからの要求、MCMにおけるTWAN制御プレーンアドレス)を交換することを可能にするように実行される。このプロシージャは、EAP−AKA’を再利用するが、UEとネットワークとの間の相互認証がないとき、それを変更する。それにもかかわらず、それは、UEとネットワークとの間でTWANモード(SCM/MCM)をネゴシエートするために、ならびに、SCMにおけるPDN接続のパラメータをネゴシエートするために、これまでEAP−AKA’において定義されたすべての機構を再利用する
− 単一接続モード(SCM)とマルチプル接続モード(MCM)の両方では、UEはまた、EAP−AKA’における緊急PDN接続の確立をAAAサーバに示すための新しい緊急指示情報を含める(この指示は、通常の認証の場合、3GPP TR 23.771においてすでに述べられているが、EAP−AKA’の一部としてそれを含めることは、本発明の実施形態の一部である)。マルチプル接続モード(MCM)における信頼されたWLANアクセスの場合、UEはまた、ネットワークへのアタッチメントに続くWLCP PDN接続要求の一部として(3GPP TR 23.771においてすでに述べられている)新しい緊急指示を含める。
【0029】
いくつかの実施形態では、ローカル規制が、認証されていない緊急セッションを可能にするとき、緊急サービスのための専用領域をサービスするAAAサーバは、アクセス要求を常に受け付け(認証ベクトルなどのセキュリティ材料はHSSから取り出されず、サブスクリプションデータはHSSからダウンロードされず)、UEが緊急セッションを進めることを可能にするが、いかなる他のサービスをも禁止する許可データを与える:AAAサーバは、(たとえば、サブスクライブされたAPNに対する、UEがEPCへの非3GPPアクセスを要求し得るロケーションに対する、ユーザが非3GPPアクセスサブスクリプションを有するかどうかに対するなど)通例の許可検査を迂回する。信頼されたWLANアクセスの場合、AAAサーバは、STa上で、これが緊急アタッチであること、およびしたがって、(3GPP TR 23.771においてすでに述べられている)以下のことをTWANに示すための、TWANへの(3GPP TR 23.771においてすでに述べられている)新しい緊急指示AVPを含める:・ SCMでは、TWAGは、緊急サービスのためのPDN接続を確立するものとする
・ MCMでは、TWAGは、緊急サービスのためのPDN接続についての、UEからのWLCP要求のみを受け付けるものとする。
【0030】
どちらの場合(SCM/MCM)も、TWAGは、確立すべきPDN接続のパラメータを決定するために、(UEによって与えられる接続性パラメータを使用する代わりに)それのローカルに構成された緊急構成データを使用する。
【0031】
いくつかの実施形態では、専用AAAサーバがオーセンティケータと同じ国にあるとき、ローミングの場合、現地国のエンティティのみが、認証されていないUEのための緊急サービスをサポートすることに関与する。これは、認証されていないUEのための緊急セッションが可能にされないかまたは配備されない国からのローマーが、これが可能にされる国において、認証されていない緊急セッションを発することを可能にする。
【0032】
一実装オプションとして、この専用AAAサーバは、オーセンティケータ(ePDG)と並置され得るか、または、オーセンティケータ(TWAP)によって交信されるAAAプロキシ中にあり得る。
【0033】
本発明のいくつかの実施形態では、WLANを介したEPCへの信頼された/信頼されていないアクセスのための既存のプロシージャの使用は、UE、TWANおよびePDGレベルにおいて可能にされる、すなわち、− EAP、すなわち、ネットワークへのUEアクセスを開始するための、および、UEが認証されていない緊急サービスのためのネットワークアクセスを進め得ることをネットワークがUEに告げるためのプロシージャの使用。そのようなアクセスが可能にされないとき、ローカルAAAエンティティはEAP要求を拒否すべきであり、SCMにおいてUEからTWANにパラメータを転送するためにEAPが使用され、MCMにおいてUEにTWANパラメータ(たとえば、TWAN制御プレーンIPv4またはIPv6アドレス)を伝達するためにEAPが使用されるので、EAPを再利用することは、(SCMおよびMCMにおいて)信頼されたWLANアクセスに介した認証されていないUEのために緊急PDN接続をサポートするために重要である。
− (信頼されたWLANアクセスと信頼されていないWLANアクセスの両方のために)ネットワークへのUEアクセスを制御するAAAサーバの使用。
【0034】
いくつかの実施形態では、EAPが(WLANを介してEPCにアクセスするための既存のプロシージャの一部として)使用されるとき、オーセンティケータ(TWAN/ePDG)およびUEは、EAPプロシージャが、無線インターフェース上でセキュリティのために使用されるべきMSK(マスタセッションキー)を出力することを予想する(このMSKは、3GPP AAAサーバにおいて、およびUE中で算出される)。
【0035】
いくつかの実施形態では、同様の原理が再利用される:− 信頼されたWLANアクセスの場合、UEおよび3GPP AAAサーバは、NAIのユーザ部分を入力として使用する鍵導出関数に基づいてMSKをローカルに決定し、(IETF RFC 5448に従う)通常の3GPPアクセスについてのMSK決定との差は、EPCへの認証されていないアクセスの場合、認証がないので、AKAベース認証プロセスの暗号化キーCK/IK出力が使用され得ないということである。このMSKは、3GPP AAAサーバからTWAPに、次いでWLAN ANに受け渡され、変更されていないWLAN ANの使用を可能にする
・ IETF RFC 5448では、鍵導出は次のように行われる:「MKは、以下のように導出され、使用される:
MK=PRF’(IK’|CK’,“EAP−AKA’”|識別子)(PRF=RFC 5448において定義されている擬似ランダム関数)
K_encr=MK[0..127]、
K_aut=MK[128..383]、
K_re=MK[384..639]、
MSK=MK[640..1151]」
・ いくつかの実施形態では、MKは、以下のように導出され、使用される:
MK=PRF’(“EAP−AKA’”|識別子)、識別子はUEがEAPを介して与えたものに基づく:IMEI(SIMレス(SIMless)アクセス)またはIMSI(UEはSIMをもつがそれを認証する可能性がない)
K_encr、K_aut、K_reおよびMSKは、IETF RFC 5448において説明されるようにMKに基づいて決定される。
【0036】
いくつかの実施形態では、オーセンティケータの現地国において可能にされるとき、UEがUSIMを得ているが認証され得ない(ローカルネットワークがUEのHPLMNとのAAA関係(直接的または間接的)を有せず、したがって、UEの認証を進めることができない)場合をサポートするために、上記で説明された同じ機構が適用される。
【0037】
この場合、UEは、特定の領域をもつNAIを作成するが、オーセンティケータによって開始されるEAP−識別子の回答として与えられるNAIのユーザ名部分においてIMSIを与える(IMEIを与えない)。
【0038】
これは、緊急セッションをセットアップする必要があるが、UEがそれのHPLMNによって認証されることを可能にする任意の好適なWLANネットワークを見つけない、USIMをもつUEに対応する。
【0039】
プロシージャの残りは、IMEIの代わりにIMSIがユーザ識別子として使用される(たとえば、MK、したがってMSKを導出するためにIMEIの代わりにIMSIが使用される)ことは別として、SIMレスUEのためのプロシージャよりも同じである。この場合、UEは、MSKがEAP−AKA’認証の出力に基づいて決定されないように、UEが認証され得ないということを事前に知っている。
【0040】
いくつかの実施形態では、AAAプロキシ(たとえば、ローミングの場合、3GPP AAAプロキシ)が、HPLMN中の3GPP AAAサーバに交信することが不可能であり、アクセス試みが緊急事態に関連することを検出した場合、ローカルポリシーに基づいて、それは、3GPP端末のための、認証されていない緊急サービスをサポートするために使用されるものよりも同じ領域をサービスするローカルAAAサーバに、アクセス要求(EAP−AKAシグナリング)をリダイレクトし得る。これは、たとえば、通常の3GPPサーバが非稼働中であるか、輻輳しているか、範囲外であるためであり得る。
ローカルポリシーは、ローカル規制が認証されていない緊急セッションを受け付けるかどうかに依存する。
【0041】
その場合同じプロシージャが適用される:UEは、実際は認証されず、MSKは、AKAベース認証プロセスの暗号化キーCK/IK出力ではなく、文字の固定シーケンスおよびユーザ識別子(IMSI)を考慮に入れる擬似ランダム関数に基づいて決定され、さらに、UEは、その場合、ネットワークを認証することを試みないものとする。
【0042】
いくつかの実施形態では、UEが、緊急サービスのためのそれのEPCアクセスのために認証が行われないことを事前に知ることができないので、ネットワークは、これが、UEに送信されたEAP−AKA’シグナリングにおける、およびオーセンティケータに送信されたAAAシグナリングにおける認証がない、限定されたサービスのためのアクセスであることを示す。
【0043】
プロシージャをよりロバストおよびより一般的にするために、この指示はまた、上記で説明された2つの他の場合において、UE(およびオーセンティケータ)に与えられ得る− 緊急サービスのためのSIMレスアクセス(UEがそれのIMEIを識別子として与える)
− UEがそれのIMSIを与える(UEがSIMを有する)が、UEが認証され得ないことを知っている。
【0044】
SCMのためのTWAN認証および許可プロシージャ−認証されていない緊急セッションのためのコールフローの一例が、図2に示されている。
【0045】
以下のステップが与えられ得、ここで、以下の説明において、3GPP TS 29.273の付属書類A.2−1のコールフローとの差に下線が引かれている。
【0046】
1.IEEE802.11[40]に基づく特定のプロシージャを使用してUEとTWANとの間の接続が確立される。
【0047】
2.TWANは、UEにEAP要求/識別子を送信する。
【0048】
3.UEは、TWANに、ユーザ部分中のIMEI(SIMレスUE)(または、認証され得ないUEの場合、IMSI)と緊急サービスのための認証されていないアクセスのための特定のドメインとを含んでいるEAP応答/識別子メッセージを送信する。
【0049】
4.TWANは、(緊急サービスのための認証されていないアクセスのための特定のドメインをサービスする)3GPP AAAサーバに、UEから受信されたEAPペイロードをフォワーディングし、また、サポートされるTWAN接続モードをDERメッセージ中で示す。
【0050】
5.無効
【0051】
6.3GPP AAAサーバは、EAP要求/AKA’チャレンジを送信し、それにおいて、3GPP AAAサーバは、ネットワークによってサポートされるTWAN接続モード(たとえば、TSCM、SCMおよびMCM)と、これが、認証なしの、限定されたサービスのためのアクセスであることとをUEに示す。DEAメッセージ中の結果コードAVPは、DIAMETER_MULTI_ROUND_AUTHに設定される。TWAN−S2a接続性インジケータは、DEAフラグAVPにおいて設定されない。DEAメッセージは、これが、認証なしの、限定されたサービスのためのアクセスであるという指示をも含んでいる
【0052】
7.TWANは、UEにEAPペイロードをフォワーディングする。UEは、ネットワークを認証することを試みないものとする
【0053】
8.UEは、EAP応答/AKA’チャレンジを送信し、それにおいて、UEは、要求された接続モードを示す。UEがSCMを要求する場合、UEはまた、セッションのための要求されたパラメータ:緊急サービスのインジケータ、PDNタイプ(その場合、APNは与えられない)、PDNタイプ(IPv4またはIPv6)、初期アタッチ/ハンドオーバ指示および/またはPCO、を示す。
【0054】
9.TWANは、3GPP AAAサーバにEAPペイロードをフォワーディングする。
【0055】
10.無効。
【0056】
11.この場合(緊急)、3GPP AAAサーバは、UEが送信済みであり得るいかなるチャレンジレスポンスも受け付け、UEによって要求されたモード(ここではSCM)を許可するものとする。3GPP AAAサーバは、セッションのためのUE要求パラメータ:緊急サービスのインジケータ、PDNタイプ、初期アタッチ/ハンドオーバ指示および/またはPCO、をDIAMETER_MULTI_ROUND_AUTHに設定された結果コードAVPを有するDEAメッセージ中に含める。3GPP AAAサーバはまた、S2a接続性の確立を進めることをTWANに要求するために、DEAフラグAVPにおいてTWAN−S2a接続性インジケータを設定する。
【0057】
12.TWANは、PDN GWに、S2aトンネル確立を開始するようにとのセッション作成要求/PBUメッセージを送信する。TWAGは、UE識別子としてIMEI(SIMレスUE)(または、認証され得ないUEの場合、IMSI)を与える。[GTP−cインターフェースを介してIMEIをPGWに与えることは、SIMレスUEのための3GPPアクセスを介した緊急呼セットアップの場合に使用される]
【0058】
13.PDN GWは、3GPP AAAサーバに、そのPDN GW識別子およびUEのPDN接続に対応するAPNを、ならびに、永続的ユーザ識別子(PGWがePDG/TWAGからIMSIを受信していないとき、ユーザ部分中のIMEIをもつNAI)を通知する(S6b許可要求)。AAAサーバは、いかなるさらなる検査もなしに緊急PDN接続についての要求を許可する。3GPP AAAサーバは、PGWアドレスでHSSを更新しない。
【0059】
14.PDN GWは、UEのために割り振られた(1つまたは複数の)IPアドレスを含むセッション作成応答/PBAメッセージをTWANに返す。
【0060】
15.TWANは、3GPP AAAサーバへのDERメッセージにおいて、PDN GWから受信された、与えられた接続性パラメータを含め、DERフラグAVPにおいてTWAN−S2a接続性インジケータを設定する。3GPP AAAサーバは、DERメッセージ中に含まれるEAPペイロードを無視する。
【0061】
16.3GPP AAAサーバは、AKA’通知中にPDN接続性パラメータを含め、TWANにDEAメッセージを送信する。DEAメッセージ中の結果コードAVPは、DIAMETER_MULTI_ROUND_AUTHに設定される。TWAN−S2a接続性インジケータは、DEAフラグAVPにおいて設定されない。
【0062】
17.TWANは、UEにEAPペイロードをフォワーディングする。
【0063】
18−19.UEは、EAP−RSP/AKA’通知メッセージで応答し、TWANは、EAP−RSP/AKA’通知メッセージを3GPP AAAサーバにフォワーディングする。
【0064】
20−21.3GPP AAAサーバはEAP成功メッセージを送信し、TWANは、それをUEにフォワーディングする。DEAメッセージ中の結果コードAVPは、DIAMETER_SUCESSに設定される。
【0065】
いくつかの実施形態では、一例としてEPCへのTWANアクセスを考慮すると、AAAサーバは、認証されていないUE(たとえば、SIMレスUE)の場合、認証および許可回答メッセージ(3GPP TS 29.273参照)中でTWANに以下の情報を与え得る(これは例示的な例にすぎない):
【0066】
【表1】
【0067】
本発明の様々な態様は、(それに限定はされないが)以下の態様を含む。
【0068】
一態様は、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために構成されたユーザ装置UEである。
【0069】
様々な組合せに従って、単独でまたは組み合わせて用いられ得る、(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
【0070】
一実施形態では、前記ユーザ装置は:− アクセス認証のためのユーザ識別子を与えるようにとの要求に応答して、緊急サービスのための認証されていないアクセスを示す領域部分を有する特定のネットワークアクセス識別子NAIベースユーザ識別子を与える
ように構成される。
【0071】
一実施形態では、前記ユーザ装置は:− 以下の場合、すなわち:
・ UEがIMSIを有しない場合、
・ UEが、IMSIを有するが、UEが認証され得ないことを知っている場合
のうちの1つにおいて前記特定のユーザ識別子を与える
ように構成される。
【0072】
一実施形態では、前記ユーザ装置は:− UEがIMSIを有しない場合、IMEIに基づくユーザ名部分を有する特定のNAIベースユーザ識別子を与える
ように構成される。
【0073】
一実施形態では、前記ユーザ装置は:− 認証なしの緊急サービスのための、WLANを介したEPCへのアクセスのために特定のEAPベースプロシージャを実行するように構成され、前記特定のEAPベースプロシージャが、通常のEAPベースプロシージャに関して:
・ ネットワークを認証することを試みないことと、
・ 暗号化キーCKおよび完全性キーIKの使用なしにマスタキーMKを導出することと
のうちの少なくとも1つを含む。
【0074】
別の態様は、EPCへの信頼されたWLANアクセスのためのTWANエンティティまたはEPCへの信頼されていないWLANアクセスのためのePDGなど、オーセンティケータであって、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために構成されたオーセンティケータである。
【0075】
様々な組合せに従って、単独でまたは組み合わせて用いられ得る、(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
【0076】
一実施形態では、前記オーセンティケータは:− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスする特定の3GPP AAAサーバに向かって、緊急サービスのための認証されていないアクセスを示すネットワークアクセス識別子NAIベースユーザ識別子の領域部分に基づいて、ユーザ装置UEからのメッセージを送る
ように構成される。
【0077】
一実施形態では、前記オーセンティケータは:− アクセスが、限定されたサービスのためのものであるという、3GPP AAAサーバからの指示を処理し、
− ユーザ識別子が認証されていないという、3GPP AAAサーバからの指示を処理し、この情報をPDN GWに中継する
ように構成される。
【0078】
別の態様は、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために構成された3GPP AAAサーバである。
【0079】
様々な組合せに従って、単独でまたは組み合わせて用いられ得る、(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
【0080】
一実施形態では、前記3GPP AAAサーバは:− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスし、
− 認証されていないユーザ装置UEにアクセスを付与し、
− 緊急サービスのためのネットワークアクセスを可能にする特定の許可データを前記UEに与える
ように構成される。
【0081】
一実施形態では、前記3GPP AAAサーバは:− 認証なしの緊急サービスへのアクセスのために特定のEAPベースプロシージャを実行するように構成され、前記特定のEAPベースプロシージャが、通常のEAPベースプロシージャに関して:
− UEのための認証ベクトルをHSSから取り出さないことと、
− アクセスが、認証なしの限定されたサービスのためのものであるという指示を与えることと、
− UEによって送信されたいかなるチャレンジレスポンスも受け付けることと、
− HSSからユーザのサブスクリプション情報をダウンロードしないことと、
− いかなるさらなる検査もなしに緊急PDN接続についての要求を受け付けることと、
− 暗号化キーCKおよび完全性キーIKの使用なしにマスタキーMKを導出することと
のうちの少なくとも1つを含み、
− 一方、TWANアクセスの場合など、通常の3GPP AAAサーバの特徴のうちのいくつか、EAPベースシグナリングとオーセンティケータとの間での、情報の中継またはアクセスのモードのネゴシエーションをサポートする。
【0082】
一実施形態では、前記3GPP AAAサーバは:− 前記アクセスが認証なしの限定されたサービスのためのアクセスであることを、UEに、および前記アクセス認証に関与するオーセンティケータにシグナリングする
ように構成される。
【0083】
一実施形態では、前記3GPP AAAサーバは:− 前記アクセス認証に関与するオーセンティケータに、オーセンティケータに向かうシグナリングにおいて与えるIMSIが認証されていないことをシグナリングする
ように構成される。
【0084】
別の態様は、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために構成された3GPP AAAプロキシである。
【0085】
(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
【0086】
一実施形態では、前記3GPP AAAプロキシは:− ユーザ装置のための緊急事態に関連するアクセス認証試みのためにHPLMNにおいて3GPP AAAサーバに交信することが不可能であることを検出すると、ローカルポリシーに基づいて、緊急サービスのための認証されていないアクセスに専用のドメインをサービスするローカルAAAサーバに、アクセス認証要求をリダイレクトする
ように構成される。
【0087】
別の態様は、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのための方法である。
【0088】
様々な組合せに従って、単独でまたは組み合わせて用いられ得る、(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
【0089】
一実施形態では、前記方法は:− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスする特定の3GPP AAAサーバが、認証されていないユーザ装置にアクセスを付与し、緊急サービスのためのネットワークアクセスを可能にする特定の許可データを前記UEに与えるステップ
を含む。
【0090】
一実施形態では、前記方法は:− アクセス認証のためのユーザ識別子を与えるようにとの要求に応答して、ユーザ装置UEが、緊急サービスのための認証されていないアクセスを示す領域部分を有する特定のNAIベースユーザ識別子を与えるステップ
を含む。
【0091】
一実施形態では、前記方法は:− 信頼されたWLANアクセスのためのTWANエンティティ、または信頼されていないWLANアクセスのためのePDGなど、オーセンティケータが、前記特定の3GPP AAAサーバに向かって、前記領域部分に基づいて、前記UEからのメッセージを送るステップ
を含む。
【0092】
一実施形態では、前記方法は:− ユーザ装置のための緊急事態に関連するアクセス認証試みのためにHPLMNにおいて3GPP AAAサーバに交信することが不可能であることを検出すると、3GPP AAAプロキシが、ローカルポリシーに基づいて、緊急サービスのための認証されていないアクセスに専用のドメインをサービスするローカルAAAサーバに、前記UEのためのアクセス認証要求をリダイレクトするステップ
を含む。
【0093】
一実施形態では、前記方法は:− 3GPP AAAサーバが、アクセスが、認証されていないデバイスのための緊急サービスへのアクセスに対応し、したがって、緊急サービスのサポートに制限されることを、UEに、およびオーセンティケータに示すステップ
を含む。
【0094】
様々な他の実施形態が、ユーザ装置、オーセンティケータ、3GPP AAAサーバ、3GPP AAAプロキシのための上述の様々な実施形態に従って、前記方法のために与えられ得る。
【0095】
様々な上記で説明した方法のステップが、プログラムされたコンピュータによって実行され得ることを、当業者は容易に認識されよう。本明細書では、いくつかの実施形態はまた、機械またはコンピュータ可読であり、命令の機械実行可能プログラムまたはコンピュータ実行可能プログラムを符号化するプログラム記憶デバイス、たとえば、デジタルデータ記憶媒体をカバーするものであり、前記命令は、前記上記で説明した方法のステップの一部または全部を実行する。プログラム記憶デバイスは、たとえば、デジタルメモリ、磁気ディスクおよび磁気テープなどの磁気記憶媒体、ハードドライブ、または光学的に読取り可能なデジタルデータ記憶媒体であり得る。実施形態はまた、上記で説明した方法の前記ステップを実行するようにプログラムされたコンピュータをカバーするものである。