知財求人 - 知財ポータルサイト「IP Force」
特許6912470複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを使用したワイヤレス通信のための方法および装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6912470
(24)【登録日】2021年7月12日
(45)【発行日】2021年8月4日
(54)【発明の名称】複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを使用したワイヤレス通信のための方法および装置
(51)【国際特許分類】
H04W 12/08 20210101AFI20210727BHJP
H04W 12/06 20210101ALI20210727BHJP
H04W 92/14 20090101ALI20210727BHJP
H04M 1/00 20060101ALI20210727BHJP
H04M 3/00 20060101ALI20210727BHJP
H04W 76/15 20180101ALI20210727BHJP
H04W 76/12 20180101ALI20210727BHJP
【FI】
H04W12/08
H04W12/06
H04W92/14
H04M1/00 R
H04M3/00 B
H04W76/15
H04W76/12
【請求項の数】16
【全頁数】37
(21)【出願番号】特願2018-524790(P2018-524790)
(86)(22)【出願日】2016年10月28日
(65)【公表番号】特表2018-537912(P2018-537912A)
(43)【公表日】2018年12月20日
(86)【国際出願番号】US2016059494
(87)【国際公開番号】WO2017087139
(87)【国際公開日】20170526
【審査請求日】2019年10月11日
(31)【優先権主張番号】62/256,472
(32)【優先日】2015年11月17日
(33)【優先権主張国】US
(31)【優先権主張番号】15/048,044
(32)【優先日】2016年2月19日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】507364838
【氏名又は名称】クアルコム,インコーポレイテッド
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100163522
【弁理士】
【氏名又は名称】黒田 晋平
(72)【発明者】
【氏名】ス・ボム・イ
(72)【発明者】
【氏名】ステファノ・ファッチン
(72)【発明者】
【氏名】ギャヴィン・バーナード・ホーン
(72)【発明者】
【氏名】ジョン・ナシールスキー
(72)【発明者】
【氏名】レネイグ・ジェネヴィーヴ・シャポニエール
【審査官】
町田 舞
(56)【参考文献】
【文献】
米国特許出願公開第2014/0334297(US,A1)
【文献】
米国特許出願公開第2007/0258427(US,A1)
【文献】
特表2010−537457(JP,A)
【文献】
国際公開第2011/043772(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24− 7/26
H04W 4/00−99/00
H04M 1/00
H04M 3/00
3GPP TSG RAN WG1−4
SA WG1−4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
ワイヤレス通信ネットワークにおいてクライアントデバイスを動作させる方法であって、
第1の資格情報に基づいて接続ネットワークとの接続コンテキストを使用してホストモビリティ管理エンティティ(HMME)との接続を確立するステップと、
前記接続ネットワークとの確立された接続コンテキストを利用して、前記接続ネットワークに関連付けられる1つまたは複数のサービスネットワークとの1つまたは複数のサービスコンテキストを使用してサービス管理エンティティ(SME)との1つまたは複数のサービス接続を確立するステップであって、前記1つまたは複数のサービスコンテキストが、1つまたは複数の第2の資格情報を使用して確立される、ステップとを備え、
前記1つまたは複数のサービスコンテキストが、それぞれ異なるセキュリティコンテキストを備え、
前記セキュリティコンテキストの各々が、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを備える、
方法。
第1の資格情報に基づいて接続ネットワークとの接続コンテキストを使用してホストモビリティ管理エンティティ(HMME)との接続を確立するステップと、
前記接続ネットワークとの確立された接続コンテキストを利用して、前記接続ネットワークに関連付けられる1つまたは複数のサービスネットワークとの1つまたは複数のサービスコンテキストを使用してサービス管理エンティティ(SME)との1つまたは複数のサービス接続を確立するステップであって、前記1つまたは複数のサービスコンテキストが、1つまたは複数の第2の資格情報を使用して確立される、ステップとを備え、
前記1つまたは複数のサービスコンテキストが、それぞれ異なるセキュリティコンテキストを備え、
前記セキュリティコンテキストの各々が、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを備える、
方法。
【請求項2】
NASセキュリティコンテキストが、前記クライアントデバイスと、前記HMMEまたは前記SMEのうちの少なくとも1つとの間の制御メッセージを保護するように構成され、
ASセキュリティコンテキストが、1つまたは複数のシグナリング無線ベアラ、1つまたは複数のデータ無線ベアラ、あるいはシグナリング無線ベアラとデータ無線ベアラとの組合せのうちの少なくとも1つを保護するように構成される、
請求項1に記載の方法。
ASセキュリティコンテキストが、1つまたは複数のシグナリング無線ベアラ、1つまたは複数のデータ無線ベアラ、あるいはシグナリング無線ベアラとデータ無線ベアラとの組合せのうちの少なくとも1つを保護するように構成される、
請求項1に記載の方法。
【請求項3】
1つまたは複数のサービスコンテキストを確立するステップが、
前記1つまたは複数のサービスネットワーク宛のメッセージを送信するステップを備え、
前記メッセージが、前記接続ネットワークの前記HMME宛のメッセージにカプセル化される、
請求項1に記載の方法。
前記1つまたは複数のサービスネットワーク宛のメッセージを送信するステップを備え、
前記メッセージが、前記接続ネットワークの前記HMME宛のメッセージにカプセル化される、
請求項1に記載の方法。
【請求項4】
前記1つまたは複数のサービスネットワークが、前記接続ネットワーク内に少なくとも部分的に確立された仮想ネットワークを備え、
前記1つまたは複数のサービスネットワークが、それぞれ異なるサービスに関連付けられる、
請求項1に記載の方法。
前記1つまたは複数のサービスネットワークが、それぞれ異なるサービスに関連付けられる、
請求項1に記載の方法。
【請求項5】
前記サービスコンテキストの各々が、前記対応するASセキュリティコンテキストに基づいて別個の鍵で保護され、対応する仮想進化型パケットシステム(EPS)セッション管理タグによって区別される、
請求項1に記載の方法。
請求項1に記載の方法。
【請求項6】
前記1つまたは複数のサービスネットワークにそれぞれ関連付けられる複数のパケットデータゲートウェイから受信される、またはそこに送信されるパケットを保護するために、複数のユーザプレーン(UP)セキュリティコンテキストを利用するステップをさらに備え、
前記パケットを保護するステップが、
前記パケットを暗号化するステップ、
前記パケットを完全性保護するステップ、または
前記パケットを暗号化および完全性保護するステップのうちの少なくとも1つを備える、
請求項1に記載の方法。
前記パケットを保護するステップが、
前記パケットを暗号化するステップ、
前記パケットを完全性保護するステップ、または
前記パケットを暗号化および完全性保護するステップのうちの少なくとも1つを備える、
請求項1に記載の方法。
【請求項7】
接続ネットワークのネットワークノードを動作させる方法であって、
接続資格情報に基づいてクライアントデバイスとの第1の接続コンテキストを使用してホストモビリティ管理エンティティ(HMME)との接続を確立するステップであって、前記ネットワークノードが前記HMMEを備える、ステップと、
前記クライアントデバイスから、サービス管理エンティティ(SME)との1つまたは複数のサービス接続を確立する要求を受信するステップと、
前記ネットワークノードをプロキシとして利用して、1つまたは複数のサービス資格情報を使用して前記クライアントデバイス用の1つまたは複数のサービスネットワークとの1つまたは複数のサービスコンテキストを使用した前記1つまたは複数のサービス接続をそれぞれ確立するステップとを備え、
前記1つまたは複数のサービスコンテキストが、それぞれ異なるセキュリティコンテキストを備え、
前記セキュリティコンテキストの各々が、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを備える、
方法。
接続資格情報に基づいてクライアントデバイスとの第1の接続コンテキストを使用してホストモビリティ管理エンティティ(HMME)との接続を確立するステップであって、前記ネットワークノードが前記HMMEを備える、ステップと、
前記クライアントデバイスから、サービス管理エンティティ(SME)との1つまたは複数のサービス接続を確立する要求を受信するステップと、
前記ネットワークノードをプロキシとして利用して、1つまたは複数のサービス資格情報を使用して前記クライアントデバイス用の1つまたは複数のサービスネットワークとの1つまたは複数のサービスコンテキストを使用した前記1つまたは複数のサービス接続をそれぞれ確立するステップとを備え、
前記1つまたは複数のサービスコンテキストが、それぞれ異なるセキュリティコンテキストを備え、
前記セキュリティコンテキストの各々が、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを備える、
方法。
【請求項8】
前記クライアントデバイスからメッセージを受信するステップであって、前記メッセージが、サービスネットワーク宛の別のメッセージをカプセル化する、ステップをさらに備える、
請求項7に記載の方法。
請求項7に記載の方法。
【請求項9】
ワイヤレス通信ネットワークにおけるクライアントデバイスであって、前記クライアントデバイスは、
コンピュータ実行可能コードを備えるメモリと、
接続ネットワークと通信するように構成された通信インターフェースと、
前記メモリおよび前記通信インターフェースに動作可能に結合されたプロセッサとを備え、
前記プロセッサが、前記コンピュータ実行可能コードによって、
第1の資格情報に基づいて接続ネットワークとの接続コンテキストを使用してホストモビリティ管理エンティティ(HMME)との接続を確立することと、
前記確立された接続を利用して、前記接続ネットワークに関連付けられる1つまたは複数のサービスネットワークとの1つまたは複数のサービスコンテキストを使用してサービス管理エンティティ(SME)との1つまたは複数のサービス接続を確立することであって、前記1つまたは複数のサービスコンテキストが、1つまたは複数の第2の資格情報を使用して確立される、ことと、
前記1つまたは複数のサービス接続にそれぞれ対応する1つまたは複数のサービスコンテキストを確立することとを行うように構成され、
前記1つまたは複数のサービスコンテキストが、それぞれ異なるセキュリティコンテキストを備え、
前記セキュリティコンテキストの各々が、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを備える、
クライアントデバイス。
コンピュータ実行可能コードを備えるメモリと、
接続ネットワークと通信するように構成された通信インターフェースと、
前記メモリおよび前記通信インターフェースに動作可能に結合されたプロセッサとを備え、
前記プロセッサが、前記コンピュータ実行可能コードによって、
第1の資格情報に基づいて接続ネットワークとの接続コンテキストを使用してホストモビリティ管理エンティティ(HMME)との接続を確立することと、
前記確立された接続を利用して、前記接続ネットワークに関連付けられる1つまたは複数のサービスネットワークとの1つまたは複数のサービスコンテキストを使用してサービス管理エンティティ(SME)との1つまたは複数のサービス接続を確立することであって、前記1つまたは複数のサービスコンテキストが、1つまたは複数の第2の資格情報を使用して確立される、ことと、
前記1つまたは複数のサービス接続にそれぞれ対応する1つまたは複数のサービスコンテキストを確立することとを行うように構成され、
前記1つまたは複数のサービスコンテキストが、それぞれ異なるセキュリティコンテキストを備え、
前記セキュリティコンテキストの各々が、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを備える、
クライアントデバイス。
【請求項10】
NASセキュリティコンテキストが、前記クライアントデバイスと、前記HMMEまたは前記SMEのうちの少なくとも1つとの間の制御メッセージを保護するように構成され、
ASセキュリティコンテキストが、1つまたは複数のシグナリング無線ベアラ、1つまたは複数のデータ無線ベアラ、またはシグナリング無線ベアラとデータ無線ベアラとの組合せのうちの少なくとも1つを保護するように構成される、
請求項9に記載のクライアントデバイス。
ASセキュリティコンテキストが、1つまたは複数のシグナリング無線ベアラ、1つまたは複数のデータ無線ベアラ、またはシグナリング無線ベアラとデータ無線ベアラとの組合せのうちの少なくとも1つを保護するように構成される、
請求項9に記載のクライアントデバイス。
【請求項11】
前記1つまたは複数のサービスコンテキストを確立するために、前記プロセッサが、1つまたは複数のサービスネットワーク宛のメッセージを送信するようにさらに構成され、
前記メッセージが、前記接続ネットワークの前記HMME宛のメッセージにカプセル化される、
請求項9に記載のクライアントデバイス。
前記メッセージが、前記接続ネットワークの前記HMME宛のメッセージにカプセル化される、
請求項9に記載のクライアントデバイス。
【請求項12】
前記1つまたは複数のサービスネットワークが、前記接続ネットワーク内に少なくとも部分的に確立された仮想ネットワークを備え、
前記1つまたは複数のサービスネットワークが、それぞれ異なるサービスに関連付けられる、
請求項9に記載のクライアントデバイス。
前記1つまたは複数のサービスネットワークが、それぞれ異なるサービスに関連付けられる、
請求項9に記載のクライアントデバイス。
【請求項13】
前記サービス接続の各々が、前記対応するASセキュリティコンテキストに基づいて別個の鍵で保護され、対応する仮想進化型パケットシステム(EPS)セッション管理タグによって区別される、
請求項9に記載のクライアントデバイス。
請求項9に記載のクライアントデバイス。
【請求項14】
前記プロセッサが、
前記1つまたは複数のサービスネットワークにそれぞれ関連付けられる複数のパケットデータゲートウェイから受信される、またはそこに送信されるパケットを保護するために、複数のユーザプレーン(UP)セキュリティコンテキストを利用するようにさらに構成され、
前記プロセッサが、
前記パケットを暗号化すること、
前記パケットを完全性保護すること、または
前記パケットを暗号化および完全性保護することのうちの少なくとも1つによって、前記パケットを保護するようにさらに構成される、
請求項9に記載のクライアントデバイス。
前記1つまたは複数のサービスネットワークにそれぞれ関連付けられる複数のパケットデータゲートウェイから受信される、またはそこに送信されるパケットを保護するために、複数のユーザプレーン(UP)セキュリティコンテキストを利用するようにさらに構成され、
前記プロセッサが、
前記パケットを暗号化すること、
前記パケットを完全性保護すること、または
前記パケットを暗号化および完全性保護することのうちの少なくとも1つによって、前記パケットを保護するようにさらに構成される、
請求項9に記載のクライアントデバイス。
【請求項15】
接続ネットワークのネットワークノードであって、前記ネットワークノードは、
コンピュータ実行可能コードを備えるメモリと、
クライアントデバイスと通信するように構成された通信インターフェースと、
前記メモリおよび前記通信インターフェースに動作可能に結合されたプロセッサとを備え、
前記プロセッサが、前記コンピュータ実行可能コードによって、
接続資格情報に基づいて前記クライアントデバイスとの第1の接続コンテキストを使用してホストモビリティ管理エンティティ(HMME)との接続を確立することであって、前記ネットワークノードが前記HMMEを備える、ことと、
前記クライアントデバイスから、1つまたは複数のサービスネットワークとのサービスコンテキストを確立する要求を受信することと、
前記ネットワークノードをプロキシとして利用して、1つまたは複数のサービス資格情報を使用して、前記クライアントデバイス用の1つまたは複数のサービスネットワークとの1つまたは複数のサービスコンテキストを使用した前記1つまたは複数のサービス接続をそれぞれ確立することとを行うように構成され、
前記1つまたは複数のサービスコンテキストが、それぞれ異なるセキュリティコンテキストを備え、
前記セキュリティコンテキストの各々が、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを備える、
ネットワークノード。
コンピュータ実行可能コードを備えるメモリと、
クライアントデバイスと通信するように構成された通信インターフェースと、
前記メモリおよび前記通信インターフェースに動作可能に結合されたプロセッサとを備え、
前記プロセッサが、前記コンピュータ実行可能コードによって、
接続資格情報に基づいて前記クライアントデバイスとの第1の接続コンテキストを使用してホストモビリティ管理エンティティ(HMME)との接続を確立することであって、前記ネットワークノードが前記HMMEを備える、ことと、
前記クライアントデバイスから、1つまたは複数のサービスネットワークとのサービスコンテキストを確立する要求を受信することと、
前記ネットワークノードをプロキシとして利用して、1つまたは複数のサービス資格情報を使用して、前記クライアントデバイス用の1つまたは複数のサービスネットワークとの1つまたは複数のサービスコンテキストを使用した前記1つまたは複数のサービス接続をそれぞれ確立することとを行うように構成され、
前記1つまたは複数のサービスコンテキストが、それぞれ異なるセキュリティコンテキストを備え、
前記セキュリティコンテキストの各々が、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを備える、
ネットワークノード。
【請求項16】
コンピュータ上で実行された場合に、請求項1〜5のいずれか一項に記載の方法を実行するためのコンピュータ実行可能命令を備えた、
コンピュータプログラム。
コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照本出願は、2015年11月17日に米国特許商標庁に提出された仮出願第62/256,472号と、2016年2月19日に米国特許商標庁に提出された非仮出願第15/048,044号の優先権および利益を主張し、その内容全体は、以下に完全に記載されているかのように、またすべての適用可能な目的のために、参照により本明細書に組み込まれる。
【0002】
以下に説明する技術は、一般に、ワイヤレス通信システムに関し、より詳細には、複数の接続およびサービスコンテキスト(connectivity and service context)をサポートするためのセキュリティモデルに関する。
【背景技術】
【0003】
現在のワイヤレスシステムは、通常、パケット交換ドメイン内で動作する。ワイヤレスシステムのいくつかの例は、LTE(ロングタームエボリューション)、LTE-A(LTE-Advance)、およびWLAN(ワイヤレスローカルアクセスネットワーク)である。そのようなワイヤレスシステムは、通常、ユーザデバイスとネットワークの接続管理部分との間の単一の接続コンテキスト(connectivity context)を使用することによって、単一のサブスクリプションおよび/または単一の資格情報のみをサポートする。LTEの例では、ユーザ機器(UE)(ユーザデバイス)とモビリティ管理エンティティ(MME)との間で、単一の非アクセス層(NAS)コンテキストが使用され得る。LTEにおいて、NASは、LTEアクセスのためにUEとMMEとの間の非無線関連シグナリングを搬送するために使用されるプロトコルのセットである。接続コンテキストは、一般に、2つのエンティティ間(たとえば、ユーザデバイスとネットワークへのエンティティ、またはネットワークエンティティとネットワークエンティティ)の接続に関連付けられる、またはその接続を定義する情報を指す。
【0004】
関連技術では、ユーザデバイス(たとえば、モバイルデバイスまたはUE)は一般に、加入者識別モジュール(SIM)カードを含む、SIMカードは、識別情報と、そのSIMカードに固有のキーと含む。ネットワークオペレータによって提供されるサービスへのサブスクリプションを利用するユーザデバイスは、SIMカードに記憶された識別情報およびキー(または認証)情報によって、無線リンクまたはネットワークとの接続を確立することができる。言い換えれば、アクセスリンクの使用と接続コンテキストの使用との間に密接な接続(たとえば、1対1の関係)が存在する。アクセスリンクの例には、セルラーネットワークの場合のユーザプレーンおよび無線リソース制御(RRC)またはメディアアクセス制御(MAC)信号接続が含まれる。LTEの例では、無線リンクの確立にはEMM(進化型パケットシステム(EPS)モビリティ管理)コンテキストとESM(EPSセッション管理)コンテキストが関係する。さらに、UEがネットワークに接続する場合、LTEの例では、モビリティ管理エンティティ(MME)において、モビリティ管理コンテキスト(EMMコンテキスト)およびセッション管理コンテキスト(ESMコンテキスト)が作成される。EMMコンテキストとESMコンテキストの両方は、SIMカードに記憶された単一の資格情報(たとえば、SIM資格情報)に関連付けられる。資格情報は、MMEが、UEが要求された接続を確立するために認証され得るかどうかを決定することを可能にする。この場合、MMEは、利用可能なすべてのサービスに対して、1つのプロバイダとの1つの認証ポイントを提供する。コンテキストとSIM資格情報とのペアの間には1対1の関連がある。したがって、関連コンテキストのペアはSIM資格情報に密接に結合されていると言うことができる。
【発明の概要】
【課題を解決するための手段】
【0005】
以下は、そのような態様の基本的な理解を提供するために、本開示の1つまたは複数の態様の簡略化された概要を提示する。本概要は、本開示のすべての企図される特徴の広範な概観ではなく、本開示のすべての態様の主要または重要な要素を識別するものでも、本開示のいずれかまたはすべての態様の範囲を定めるものでもない。その唯一の目的は、後で提示されるより詳細な説明の前置きとして、本開示の1つまたは複数の態様のいくつかの概念を簡略化した形で提示することである。
【0006】
本開示の態様は、複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを開示する。接続コンテキストと複数のサービスコンテキストを確立するために、異なる資格情報が使用され得る。
【0007】
本開示の一態様は、ワイヤレス通信ネットワークにおいてクライアントデバイスを動作させる方法を提供する。この方法によれば、クライアントデバイスは、第1の資格情報に基づいて接続ネットワークとの接続を確立する。クライアントデバイスは、接続に対応する接続コンテキストを確立する。クライアントデバイスは、接続ネットワークに関連付けられる1つまたは複数のサービスネットワークを識別する。クライアントデバイスは、確立された接続を利用して1つまたは複数のサービスネットワークとの1つまたは複数のサービス接続を確立し、1つまたは複数のサービス接続は、それぞれの第2の資格情報を使用して確立される。クライアントデバイスは、サービス接続にそれぞれ対応する1つまたは複数のサービスコンテキストを確立する。1つまたは複数のサービスコンテキストは、それぞれ異なるセキュリティコンテキストを含む。セキュリティコンテキストの各々は、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを含む。
【0008】
本開示の一態様は、接続ネットワークのネットワークノードを動作させる方法を提供する。この方法によれば、ネットワークノードは、接続資格情報に基づいてクライアントデバイスとの第1の接続を確立する。ネットワークノードは、第1の接続に対応する接続コンテキストを確立する。ネットワークノードは、クライアントデバイスから、1つまたは複数のサービスネットワークとの接続を確立する要求を受信する。ネットワークノードは、ネットワークノードをプロキシとして利用して、クライアントデバイス用のサービスネットワークとの複数の第2の接続をそれぞれ確立する。ネットワークノードは、ホストモビリティ管理エンティティ(HMME)を含む。
【0009】
本開示の一態様は、サービスネットワークのネットワークノードを動作させる方法を提供する。この方法によれば、ネットワークノードは、クライアントデバイスから接続を確立する要求を受信する。ネットワークノードは、接続ネットワークのネットワークノードを介してクライアントデバイスとの接続を確立する。接続ネットワークのネットワークノードは、ホストモビリティ管理エンティティ(HMME)を含む。ネットワークノードは、接続に対応するサービスコンテキストを確立し、サービスコンテキストはセキュリティコンテキストに関連付けられる。
【0010】
本開示の一態様は、ワイヤレス通信ネットワークにおけるクライアントデバイスを提供する。クライアントデバイスは、コンピュータ実行可能コードが記憶されたメモリと、接続ネットワークと通信するように構成された通信インターフェースと、メモリおよび通信インターフェースに動作可能に結合されたプロセッサとを含む。プロセッサは、コンピュータ実行可能コードによって、第1の資格情報に基づいて接続ネットワークとの接続を確立するように構成される。プロセッサは、接続に対応する接続コンテキストを確立するようにさらに構成される。プロセッサは、接続ネットワークに関連付けられる1つまたは複数のサービスネットワークを識別するようにさらに構成される。プロセッサは、確立された接続を利用して1つまたは複数のサービスネットワークとの1つまたは複数のサービス接続を確立するようにさらに構成される。1つまたは複数のサービス接続は、それぞれの第2の資格情報を使用して確立される。プロセッサは、サービス接続にそれぞれ対応する1つまたは複数のサービスコンテキストを確立するようにさらに構成される。1つまたは複数のサービスコンテキストは、それぞれ異なるセキュリティコンテキストを含む。セキュリティコンテキストの各々は、両方とも同じ第2の資格情報に対応する、非アクセス層(NAS)セキュリティコンテキストおよびアクセス層(AS)セキュリティコンテキストを含む。
【0011】
本開示の一態様は、接続ネットワークのネットワークノードを提供する。ネットワークノードは、コンピュータ実行可能コードが記憶されたメモリと、クライアントデバイスと通信するように構成された通信インターフェースと、メモリおよび通信インターフェースに動作可能に結合されたプロセッサとを含む。プロセッサは、コンピュータ実行可能コードによって、接続資格情報に基づいてクライアントデバイスとの第1の接続を確立するように構成される。プロセッサは、第1の接続に対応する接続コンテキストを確立するようにさらに構成される。プロセッサは、クライアントデバイスから、1つまたは複数のサービスネットワークとのサービス接続を確立する要求を受信するようにさらに構成される。プロセッサは、ネットワークノードをプロキシとして利用して、クライアントデバイス用のサービスネットワークとの複数の第2の接続をそれぞれ確立するようにさらに構成される。ネットワークノードは、ホストモビリティ管理エンティティ(HMME)を含む。
【0012】
本開示の一態様は、サービスネットワークのネットワークノードを提供する。ネットワークノードは、コンピュータ実行可能コードが記憶されたメモリと、クライアントデバイスと通信するように構成された通信インターフェースと、メモリおよび通信インターフェースに動作可能に結合されたプロセッサとを含む。プロセッサは、実行可能コードによって、クライアントデバイスから、接続を確立する要求を受信するように構成される。プロセッサは、接続ネットワークのネットワークノードを介してクライアントデバイスとの接続を確立するようにさらに構成される。接続ネットワークのネットワークノードは、ホストモビリティ管理エンティティ(HMME)を含む。プロセッサは、接続に対応するサービスコンテキストを確立するようにさらに構成され、サービスコンテキストはセキュリティコンテキストに関連付けられる。
【0013】
本発明のこれらおよび他の態様は、以下の詳細な説明を検討することにより、より完全に理解されるであろう。添付の図とともに本発明の特定の例示的な実施形態の以下の説明を検討すれば、本発明の他の態様、特徴、および実施形態が当業者に明らかとなろう。本発明の特徴について、以下のいくつかの実施形態および図に対して説明する場合があるが、本発明のすべての実施形態は、本明細書で説明する有利な特徴のうちの1つまたは複数を含むことができる。言い換えれば、1つまたは複数の実施形態は、ある有利な特徴を有するものとして説明され得るが、本明細書で論じた本発明の様々な実施形態に従ってそのような特徴のうちの1つまたは複数も使用され得る。同様に、例示的実施形態がデバイス実施形態、システム実施形態、または方法実施形態として以下で論じられ得るが、そのような例示的実施形態は、様々なデバイス、システム、および方法として実装され得ることを理解されたい。
【図面の簡単な説明】
【0014】
【図1】本開示の一態様による、異なるサービスコンテキストに関連付けられる複数のサービス接続をサポートする、クライアントデバイスと無線アクセスネットワーク(RAN)との間の単一の無線リンクを示す図である。
【図2】本開示の一態様による、複数の同時サービスコンテキストをサポートするために、単一の無線リンクを使用するように構成された例示的なクライアントデバイスを示す図である。
【図3】本開示の一態様による、複数のサービスコンテキストの同時動作をサポートしながら、単一の無線リンク上で動作するクライアントデバイスをサポートするように構成された、ホストモビリティ管理エンティティ(HMME)および/またはサービス管理エンティティ(SME)を実装する例示的なネットワークノードを示す図である。
【図4】本開示の一態様による、HMME制御プレーンモデルの第1の例を示す図である。
【図5】本開示の一態様による、HMME制御プレーンモデルの第2の例を示す図である。
【図6】本開示の一態様による、HMME制御プレーンモデルの第3の例を示す図である。
【図7】本開示の一態様による、複数の別個のサービスコンテキストを確立するために、単一の接続コンテキストを使用してクライアントデバイスとネットワークとの間で実行される第1のシグナリングプロセスを示すコールフロー図である。
【図8】本開示の一態様による、複数の別個のサービスコンテキストを確立するために、単一の接続コンテキストを使用してクライアントデバイスとネットワークとの間で実行される第1のシグナリングプロセスを示すコールフロー図である。
【図9】本開示の一態様による、カプセル化された非アクセス層(NAS)メッセージを示す図である。
【図10】本開示の一態様による、複数の別個のサービスコンテキストを確立するために、単一の接続コンテキストを使用してクライアントデバイスとネットワークとの間で実行される第2のシグナリングプロセスを示すコールフロー図である。
【図11】本開示の一態様による、複数の別個のサービスコンテキストを確立するために、単一の接続コンテキストを使用してクライアントデバイスとネットワークとの間で実行される第2のシグナリングプロセスを示すコールフロー図である。
【図12】HMMEをプロキシとして使用する、eNBとSMEとの間のS1AP(S1アプリケーションプロトコル)通信の一例を示す図である。
【図13】HMMEを介したセキュアトンネルを使用するeNBとSMEとの間のS1AP通信の一例を示す図である。
【図14】本開示の一態様による、拡張されたユーザプレーンセキュリティを有するHMME制御プレーンモデルの一例を示す図である。
【図15】本開示の一態様によるHMMEデータプレーンモデルの第1の例を示す図である。
【図16】本開示の一態様によるHMMEデータプレーンモデルの第2の例を示す図である。
【図17】本開示の一態様によるHMMEデータプレーンモデルの第3の例を示す図である。
【図18】本開示の態様によるユーザプレーンセキュリティ終了の一例を示す図である。
【図19】本開示の一態様による、単一の接続を利用して複数のサービスコンテキストを確立するために、クライアントデバイスにおいて動作可能な例示的な方法を示すフローチャートである。
【図20】本開示の一態様による、単一の接続を利用して複数のサービスコンテキストを確立するために、クライアントデバイスにおいて動作可能な例示的な方法を示すフローチャートである。
【図21】本開示の一態様による、複数のサービスネットワークをサポートするためにクライアントとの単一の接続を確立するために、接続ネットワークのネットワークノードにおいて動作可能な例示的な方法を示すフローチャートである。
【図22】本開示の一態様による、複数のサービスネットワークをサポートするためにクライアントとの単一の接続を確立するために、接続ネットワークのネットワークノードにおいて動作可能な例示的な方法を示すフローチャートである。
【図23】本開示の一態様による、接続ネットワークとの単一の接続を使用してクライアントデバイスとの複数のセキュリティコンテキストを確立するために、サービスネットワークのネットワークノードにおいて動作可能な例示的な方法を示すフローチャートである。
【発明を実施するための形態】
【0015】
添付の図面に関連して以下に述べる本発明を実施するための形態は、様々な構成の説明として意図されており、本明細書に記載された概念が実践され得る唯一の構成を表すことが意図されるものではない。本発明を実施するための形態は、様々な概念の完全な理解を提供するための具体的な細部を含む。しかし、当業者には、これらの概念が、これらの具体的な細部なしでも実践され得ることが明らかであろう。いくつかの例では、よく知られている構造および構成要素は、そのような概念を不明瞭にすることを避けるためにブロック図形式で示される。
【0016】
本開示の態様は、ネットワーク接続を確立するために単一の接続コンテキストを共有しながら、複数の接続およびサービスコンテキストを可能にするためのセキュリティモデルを提供する。ネットワーク接続は、単一の無線またはワイヤレスリンクを含み得、複数の異なるサービスコンテキストおよびセキュリティコンテキストを使用する複数のサービス接続をサポートし得る。単一の無線またはワイヤレスリンクは、単一の接続コンテキストに対応する1つまたは複数のワイヤレスチャネル、周波数、または搬送波を含み得る。一般に、コンテキスト(たとえば、接続コンテキスト、サービスコンテキスト、セキュリティコンテキスト)は、2つ以上のエンティティ間に確立された接続、サービス、またはセキュリティを記述する情報のセットである。本開示の一態様では、接続コンテキストは、進化型パケットシステム(EPS)モビリティ管理(EMM)コンテキスト、またはEMMコンテキストとEPSセッション管理(ESM)コンテキストの両方を含む。
【0017】
本開示の一態様では、無線リソース制御(RRC)リンクまたはメディアアクセス制御(MAC)リンクが、単一の接続コンテキスト(たとえば、EMMコンテキスト)に基づいて、クライアントデバイス(たとえば、UE)と無線アクセスネットワーク(RAN)との間に確立され得る。一例では、RANは、セルラーRAN、またはWi-Fiアクセスポイントから構成される無線ネットワーク、またはセルラー無線とWi-Fi無線の組合せであり得る。別の例では、RANは、ライセンスされたおよび/またはライセンスされていないスペクトルにおいて動作し、共通無線リソース制御(RRC)メカニズムまたはメディアアクセス制御(MAC)メカニズムによって制御される、1つまたは複数の無線アクセスノードを有し得る。様々な例では、RRCは、セルラーRRC、セルラーRRM(無線リソース管理)、メディアアクセス制御(MAC)、あるいは上位レイヤシグナリングおよびユーザデータの転送のための無線リソースの確立を含む、1つまたは複数のリンクを介した無線リソースへのアクセスを制御するための任意の他のシグナリングメカニズムを含み得る。
【0018】
単一の接続コンテキスト(たとえば、EMMコンテキスト)が確立された後、クライアントデバイスは、単一のリンクを介して同時または並列サービス接続を確立するために、異なるセキュリティコンテキストによって保護された複数の異なるサービスコンテキストを使用し得る。一例では、サービスコンテキストはESMコンテキストを含む。このようにして、共有された単一の接続コンテキストは、より低いレベルの無線リンク接続に使用され、2つ以上のサービスコンテキストは、無線リンクを介してたとえばサービスプロバイダとのサービス接続を確立するために使用される。本開示の態様は、RANへの単一のリンクまたは接続を共有しながらサービス接続を保護するためのセキュリティモデルを提供する。
【0019】
複数のサービス接続をサポートする単一の接続性接続(Connectivity Connection)図1は、クライアントデバイス102(たとえば、UE)と無線アクセスネットワーク(RAN)120との間の単一の無線リンク101を示しており、異なるサービスコンテキスト108、110、および112に関連付けられる複数のサービス接続114、116、118をサポートしながら、クライアントデバイス102を2つ以上のサービスプロバイダ104またはプロビジョニング機能104、106に結合するために働くことができる。この特定の例では、RAN120との無線リンク101を確立するために、クライアントデバイス102において実装される単一の接続コンテキスト122が利用され得る。無線リンク101は、異なるサービスコンテキスト108、110、および112に関連付けられる複数の同時接続によって共有され得る。単一の接続コンテキスト(たとえば、EMMコンテキスト、またはEMM/ESMコンテキスト)は、セキュリティ、ベアラ管理およびデータ接続管理のためのシグナリング、ページング、モビリティなどを提供するネットワークホストモビリティ管理エンティティ(HMME)124との接続を確立するために使用される。単一の接続コンテキスト122の使用は、同じ無線リンク101を介して、対応するサービス接続114、116、118を有する複数の同時または並列サービスコンテキスト108、110、112の使用を容易にする。サービス接続の各々は、異なるセキュリティコンテキスト(たとえば、図4〜図6および図14〜図18に示される)によって保護され得る。一例では、クライアントデバイス102が3つのタイプのサブスクリプション(たとえば、3つのサービスコンテキスト)を有する場合、これは、クライアントデバイス102とRAN120との間の単一の(同じ)無線リンク101を介して、サブスクリプションおよび/またはサービスコンテキスト108、110、および112ごとに1つの、3つの同時サービス接続114、116、および118を確立する能力を可能にし得る。単一の無線リンクは、1つまたは複数の無線ベアラを含み得る。同時サービス接続114、116、および/または118のうちのいずれか1つまたは複数は、任意の所与の時間にアイドルまたはアクティブであり得る。
【0020】
ホストMME124(HMME)は、RAN120に論理的に近接して実装され得、接続コンテキスト(たとえば、EMMコンテキストまたはEMM/ESMコンテキスト)の確立を管理し、共有された接続コンテキスト122に基づいて無線リンク101を確立するように働く。ホストMME124は、接続コンテキストを確立するためにクライアントデバイス102を認証するように働くことができる。たとえば、ホストMME124は、クライアントデバイス102のモビリティおよび/またはセキュリティを制御するために、クライアントデバイス102とともに制御プレーン上で非アクセス層(NAS)EPSモビリティ管理(EMM)を実行し得る。ホストMME124はまた、サービス接続114、116、118をサポートまたは構成するために、クライアントデバイス102とともに制御プレーン上で非アクセス層(NAS)EPSセッション管理(ESM)を実行し得る。ホストMME124は、クライアントデバイス102に関連付けられる資格情報および加入情報に基づいて、接続コンテキスト122が確立されるべきかどうかを確かめるために、ホーム認可、認証、および課金(H-AAA)サーバ144を用いてクライアントデバイス102を認証し得る。たとえば、クライアントデバイス102は、資格情報および加入情報を記憶するためのSIMカードを有し得る。結果として、接続コンテキスト122は、クライアントデバイス102の複数のサービス接続114、116、および118によって共有され得る単一の無線リンク101を確立するために働くことができる。
【0021】
NASセキュリティ本開示の一態様では、非アクセス層(NAS)モデルは、別個のEMMおよびESMコンテキストを可能にするように修正される。たとえば、HMMEを使用するEMMコンテキストが、ESMコンテキストなしで確立され得る。HMMEは、RANの近くに位置し得るコアネットワークエンティティである。クライアント(たとえば、UE)は、異なるコンテキストを確立するために異なる資格情報を有し得る。たとえば、EMMコンテキストを確立するために使用される資格情報は、ESMコンテキストを確立するために使用される資格情報とは異なる場合がある。資格情報は、クライアントが要求されたEMMコンテキストおよび/またはESMコンテキストを確立できるかどうかを決定するために、クライアントおよび/またはネットワークノードに記憶され得る情報であり得る。たとえば、ESMコンテキストを確立するためにサービス資格情報が使用されている間、EMMコンテキストを確立するために接続資格情報が使用される。異なるESMコンテキストを確立するために、異なるサービス資格情報が使用され得る。一例では、NASモデルは、同じ資格情報のセットを使用して、HMMEにおいてEMMコンテキストおよび1つまたは複数のESMコンテキスト(たとえば、図1の接続コンテキスト122およびEMM/ESMコンテキスト126)の同時の確立を可能にする。
【0022】
図1を参照すると、接続コンテキスト122が確立されると(すなわち、単一の無線リンク101を介してネットワークへの接続を作成する)、クライアントデバイス102は、対応する資格情報のセット(たとえば、異なるサービス資格情報)に基づいて、異なるネットワークエンティティを有する1つまたは複数のESMコンテキストを確立し得、これによって、接続プロバイダ内の区別された接続管理エンティティによるサービスの区別化が可能になる。接続管理エンティティの一例は、サービス管理エンティティ(SME)である。
【0023】
本開示の一態様では、RAN120は、複数のサービスプロバイダ104および106に接続され得る。たとえば、各サービスプロバイダ104、106は、サービス管理エンティティ(SME)128および130を有する接続プロバイダ、ならびに1つまたは複数のパケットデータネットワークゲートウェイ(P-GW)および1つまたは複数のサービスゲートウェイ(S-GW)132および134を含み得る。これらのSME128および130の各々は、対応するサービスAAA(認可、認証、および課金)サーバによって供給され得る資格情報および加入情報を使用して確立されたサービス接続114および116のためのそれぞれのESMコンテキスト136および138を維持し得る。たとえば、SME128および130は、サービス接続114および/または116がサービスコンテキスト108および110に関連付けられる、およびにAAAサーバ140および142よって提供される資格情報に基づいて設定されるべきかどうかを確かめるために、それぞれのサービスAAAサーバ140および142を介して、またはそれらにサポートされて、クライアントデバイス102を認証し得る。認証が成功すると、SMEは、クライアントデバイス102用のサービスコンテキスト108および110(たとえば、ESMコンテキスト)を確立することができる。対応するサービスコンテキスト(ESMコンテキスト136、138)は、SME128および130において確立され得る。
【0024】
図1の例示的な説明において、クライアントデバイス102は、第1のサービスコンテキスト108と、第2のサービスコンテキスト110と、第3のサービスコンテキスト112とを確立している。しかしながら、任意の数のサービスコンテキストがクライアントデバイス102によって確立され得ると考えられる。
【0025】
図1において、複数のサービスコンテキスト108、110、および112が、クライアントデバイス102および複数のサービスプロバイダ(たとえば、サービスネットワーク104および/または106)によって確立され得、各サービスコンテキスト108、110、および112は、1つまたは複数の資格情報のセットに対応し得る。資格情報のセットは、他のデバイス(たとえば、ネットワークデバイス)がサービスまたは接続に対するクライアントデバイス102(またはクライアントデバイスのユーザ/加入者)を識別することを可能にする情報のセット、認証に使用されるセキュリティキーなどとして定義されることも、それを含むこともある。資格情報は、セキュリティコンテキストとして実装され得る。たとえば、クライアントデバイスに記憶された認証情報およびネットワーク側に記憶された対応する情報は、セキュリティコンテキストと呼ばれ得る。
【0026】
一例では、複数の同時サービスコンテキスト108、110、および112に基づく接続114、116、および118は、RAN120との単一の接続、たとえば、通信プロトコルスタックのレイヤ2接続(たとえば、LTEレイヤ2)上で多重化され得る。サービスコンテキスト108、110、および112は、各サービスコンテキスト108、110、および112を確立するためにクライアントデバイス102によって使用される特定の/別個の識別に基づいて区別される。たとえば、クライアントデバイス102は、ネットワークへのシグナリングまたは接続を提供し、モビリティ管理を可能にするホストMME(すなわち、少なくともEMMコンテキスト)との接続確立へのセキュリティアクセスを提供する資格情報のセットを備えることができる。そのような資格情報は、たとえば、そのまま使える(out-of-the-box)資格情報、オペレータ資格情報、または、OEM(相手先商標製品の製造会社)によって提供されクライアントデバイス102を製造するエンティティによって製造時にクライアントデバイス102にインストールされた資格情報であり得る。OEM資格情報を使用することにより、OEMが資格情報を提供し、そのような資格情報の認証をホストすることができるため、サービスプロバイダ資格情報がEMMまたは接続コンテキストではなくESMコンテキストのみを提供するために使用されるので、クライアントデバイス102は異なるサービスプロバイダをサポートすることが可能になる。第1の(EMM)コンテキスト(たとえば、接続コンテキスト)の確立のためにOEM資格情報を使用することにより、このコンテキストに関してデータトラフィックまたはメッセージが生成されないので、そのような接続を確立するための使用料または料金を負担することなく、シグナリング、モビリティ管理、セキュリティなどを提供するEMM(接続)コンテキストを確立することが可能である。
【0027】
サービス関連資格情報は、SME(サービス管理エンティティ)を有する1つまたは複数のESMコンテキスト(たとえば、サービスコンテキスト)を確立するために使用される。様々な構成において、SMEはHMMEから物理的に分離されてもよく、SME(または、SME機能のソフトウェアバージョン)は、HMMEにおいて共同配置またはホストされてもよく、またはそれらの組合せであって、一部のSMEがHMMEによって共同配置/ホストされ、他のSMEがHMMEから分離されてもよい。いくつかの例では、UEは接続資格情報を用いてESMコンテキストを確立し得る。
【0028】
ASセキュリティアクセス層(AS)は、RAN120を介してクライアントデバイス102(たとえば、UE)とコアネットワーク(CN)との間の活動を処理する機能層およびプロトコルのセットである。たとえば、CNは、HMME124、1つまたは複数のSME128、130、1つまたは複数のS-GW132、134、および1つまたは複数のP-GW132、134を含み得る。ASにおいて、CNとクライアントデバイス102との間に複数の無線アクセスベアラ(RAB)が確立され得る。本開示の一態様では、各RABは、異なるESMコンテキストに関連付けられてもよく、各ESMコンテキストが、仮想ESM(VESM)タグ(または識別子)によって決定されてもよい。本開示の一態様では、複数のRABが同じEMMコンテキストに関連付けられる。この場合、RAN120(たとえば、eNode BまたはeNB)は、複数のESMコンテキストの可視性を有さない。すなわち、RAN120は、ESMコンテキスト間でデータトラフィックを区別することができない。eNBはRABのセットを有し、一部はたとえば第1のESMコンテキストに対応し、一部は第2のESMコンテキストに対応し、HMMEは特定のESMコンテキストへのRABのマッピングを有する。
【0029】
図1において、RAN120はアクセス層内に存在するものとして示されている。しかしながら、RAN120はNAS機能も提供する。アクセス層によって提供されるサービスの中には、NASエンティティ(たとえば、クライアントデバイスとコアネットワークノード)間のNASメッセージの転送がある。NASプロトコルは、クライアントデバイスのモビリティと、クライアントデバイスとコアネットワークとの間の接続を確立し維持するための手順をサポートする。たとえば、クライアントデバイス102と、図1に示されるサービスプロバイダAのコアネットワーク(CN)および/またはサービスプロバイダBのCNとの間でNASメッセージを転送するために、NASプロトコルが使用され得る。アクセス層(AS)はNASシグナリングを転送するが、NASシグナリングはアクセス層において終了しない。本開示の一態様では、クライアントデバイス102とRAN120との間の単一の無線リンク101(たとえば、RRCリンク)は、論理的に、または仮想的に、複数のサービス接続、たとえばサービス接続114および116に分割され得る。サービス接続は、それらの対応するサービスコンテキスト(たとえば、ESMコンテキスト136および138)に関連して確立される。
【0030】
デバイス識別子単一のリンクを介する複数のサービス接続を可能にするために、ASおよび/またはNAS内のクライアントデバイス102(たとえば、UE)を識別するために様々なクライアントデバイス識別子が使用され得る。一部の非限定的な例は、国際移動電話加入者識別番号(IMSI)、グローバル一意臨時UE識別子(GUTI:Globally Unique Temporary UE Identity)、加入者サービス識別子(SCSI:Subscriber Service Identity)、臨時SCSI(T-SCSI:Temporary SCSI)、グローバル一意臨時セッション識別子(GUTSI:Globally Unique Temporary Session Identity)、および臨時トランスポート識別子(TTI:Temporary Transport Identifier)を含む。たとえば、接続コンテキスト122において、クライアントデバイス102のGUTIは、クライアントデバイス内でアクティブな各サービスコンテキスト(たとえば、サービスコンテキスト108、110、および112)のGUTSIにマッピングされ得る。したがって、サービスコンテキストに基づく異なるサービスプロバイダへの接続は、適切なクライアントデバイス識別子を使用してHMME124によって識別され得る。
【0031】
本開示の一態様では、SCSIは、クライアントデバイス(UE)が認証のためにSMEに提供する恒久的な識別情報(典型的なUE-MME認証におけるIMSIと同様)であり得る。SCSIは、特定のUEサブスクリプションおよび関連資格情報を識別し得る。SCSIは、対応するクライアントサブスクリプションプロファイルを検索し、クライアントデバイスを認証するために使用されるAAAまたは認証/認可サーバを識別するために、SMEによって使用され得る。
【0032】
本開示の一態様では、T-SCSIは、クライアントデバイスとSMEとの間の後続のシグナリングにおいてクライアントデバイス(たとえば、UE)を識別するために割り当てられ得る臨時識別子であり得る。いくつかの例では、T-SCSIは常に使用されるとは限らず、および/または常に割り当てられるとは限らない。SMEがクライアントデバイスにT-SCSIを提供する場合、クライアントデバイスは、それをクライアントデバイスとSMEとの間の後続のシグナリングにおいて使用し得る。
【0033】
本開示の一態様では、GUTSIは、認証が成功するとSMEによってクライアントデバイスに割り当てられ得る。GUTSIは、クライアントデバイスと同じSMEとの間で交換されるすべてのシグナリングまたはデータにおいて、クライアントデバイスによって使用され得る。一例では、クライアントデバイスは、クライアントデバイスとHMMEとの間で転送されるNASペイロードがどのクライアントデバイスに属しているかを識別するために、割り当てられたGUTSIをNASペイロード(クライアントデバイスとSMEの間の実際のメッセージを含む)の外部に提供する。別の例では、クライアントデバイスは、GUTSIをNASペイロードの内部に提供し得る。HMMEは、クライアントデバイスから送信されたシグナリングがどのSMEに向けられるかを区別および/または識別するために、GUTSIを使用し得る。たとえば、UE-SME NASメッセージがクライアントデバイス(たとえば、UE)とHMMEとの間のNASメッセージにカプセル化される場合、クライアントデバイスは、どのSMEにNASメッセージを送信するか、およびこのUE-SME NASメッセージがどのクライアントデバイスに対応するかをHMMEに示すために、UE-SME NASメッセージに関連してGUTSIを提供する。
【0034】
本開示の一態様では、臨時トランスポート識別子(TTI)は、クライアントデバイスのESMコンテキストと、クライアントデバイスのESMコンテキストと対応するSMEとの関係をHMMEにおいて識別するために、クライアントデバイスとSMEとの間のサービスコンテキストについてSMEによって割り当てられ得る。TTIを含むシグナリングを受信すると、HMMEは、対応するクライアントデバイスまたはSMEを識別し、識別されたクライアントデバイスまたはSMEにシグナリングを転送するために、TTIを使用する。
【0035】
本開示の一態様では、クライアントデバイスは、サービス接続またはサービスコンテキストを確立する要求の間に、サービスコンテキスト確立が要求されているネットワークまたはサービスを識別するためにクライアントデバイスによって使用される識別子を提供し得る。これはアクセスポイント名(APN)、またはサービスの任意の適切な識別子であり得る。上述のデバイス識別子は、本質的に例示であり、限定的ではない。本開示の他の態様では、クライアントデバイスとHMME/SMEとの間の通信を容易にするために、他の適切なデバイス識別子が使用され得る。
【0036】
例示的なクライアントデバイス図2は、複数の同時サービスコンテキストまたは接続をサポートするために、単一の無線リンクを使用するように構成された例示的なクライアントデバイス202を示す。クライアントデバイス202は、図1、図4〜図8、図10、図11、および図14〜図18において説明したUEまたはクライアントデバイスのいずれかと同じであり得る。クライアントデバイス202は、ワイヤレスネットワーク通信インターフェース204、1つまたは複数のプロセッサ206、および互いに動作可能に結合され得るメモリ/ストレージ208を含み得る。クライアントデバイス202の様々な機能は、ソフトウェア、ファームウェア、ハードウェア、またはそれらの任意の組合せにおいて実装され得る。
【0037】
ワイヤレスネットワーク通信インターフェース204は、クライアントデバイス202を、他のデバイス/ネットワーク/サービスへのワイヤレスリンクまたは接続の確立を容易にする1つまたは複数のワイヤレスアクセス技術を使用して、1つまたは複数の無線アクセスネットワークを介して1つまたは複数のエンティティあるいはネットワークに接続するために働くことができる。一例では、ワイヤレスネットワーク通信インターフェース204は、クライアントデバイス202と他のワイヤレスエンティティまたはネットワークとのワイヤレス通信を容易にするように構成され得る。ワイヤレスネットワーク通信インターフェース204は、1つまたは複数の受信機モジュール/回路/機能226、1つまたは複数の送信機モジュール/回路/機能228、および/あるいは1つまたは複数のアンテナモジュール/回路/機能230を含み得る。受信機226、送信機228、およびアンテナ230は、互いに動作可能に結合され得る。1つまたは複数のアンテナ230は、1つまたは複数のワイヤレスデバイス、ネットワーク、および/またはサービスとのワイヤレス通信を容易にし得る。
【0038】
プロセッサ206は、ワイヤレスネットワーク通信インターフェース204に動作可能に結合され得る。プロセッサ206は、無線リンク確立モジュール/回路/機能210、サービスコンテキスト確立モジュール/回路/機能212、およびユーザプレーン(UP)セキュリティコンテキスト確立モジュール/回路/機能213を含み得る。
【0039】
プロセッサ206は、メモリ/ストレージデバイス208上に記憶され得るコンピュータ実行可能コードまたはプログラミングの実行を含む処理のために構成され得る。メモリ/ストレージデバイス208は、無線リンク確立命令216、サービスコンテキスト確立命令218、およびセキュリティコンテキスト確立命令219を含み得る。いくつかの例では、メモリ/ストレージデバイス208は、接続コンテキスト232、1つまたは複数のサービスコンテキスト234、1つまたは複数のセキュリティコンテキスト235、およびプロセッサ206によって利用される他のデータも記憶し得る。
【0041】
例示的なネットワークノード図3は、複数のサービスコンテキストの同時または並列動作をサポートする単一の無線リンク上で動作するクライアントデバイスをサポートするために、HMMEおよび/またはSMEを実装するように構成された例示的なネットワークノード302を示す。ネットワークノード302は、図1、図4〜図8、および図10〜18において説明したネットワークノードまたはエンティティのいずれかと同じであり得る。ネットワークノード302は、ネットワーク通信インターフェース304、1つまたは複数のプロセッサ306、および互いに動作可能に結合され得るメモリ/ストレージ308を含み得る。
【0042】
ネットワーク通信インターフェース304は、クライアントデバイスとネットワークノードとの間のリンクの確立を容易にする1つまたは複数のワイヤードまたはワイヤレスアクセス技術を使用して、ネットワークノード302を1つまたは複数のネットワークあるいはクライアントデバイスに結合するように働くことができる。ネットワーク通信インターフェース304は、少なくとも1つの受信機モジュール/回路/機能326、および/または少なくとも1つの送信機モジュール/回路/機能328を含み得る。ネットワーク通信インターフェース304はまた、少なくとも1つの受信機326および/または少なくとも1つの送信機328に動作可能に結合された1つまたは複数のアンテナモジュール/回路/機能330を含み得る。
【0043】
プロセッサ306は、ネットワーク通信インターフェース304に動作可能に結合され得る。プロセッサ306は、無線リンク確立モジュール/回路/機能310と、HMMEモジュール/回路/機能312とを含み得る。
【0044】
プロセッサ306は、メモリ/ストレージ308に記憶され得る命令の実行を含む処理のために構成され得る。本明細書では、「命令」という用語は、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語と呼ばれるか、または他の名称で呼ばれるかどうかにかかわらず、限定はされないが、命令セット、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行可能ファイル、実行スレッド、プロシージャ、関数などを含むように広く解釈され得る。
【0045】
メモリ/ストレージ308は、プロセッサ306に動作可能に結合されてもよく、またネットワーク通信インターフェース304に動作可能に結合されてもよい。メモリ/ストレージ308は、無線リンク確立命令316およびHMME/SME命令318を含み得る。
【0046】
いくつかの例では、メモリ/ストレージ308は、接続コンテキスト(または、資格情報)332、サービスコンテキスト(または、資格情報)334、および/またはセキュリティコンテキスト335を記憶し得る。さらに、いくつかの実装形態では、プロセッサ306は、HMMMモジュール312の有無にかかわらず、サービス管理エンティティ(SME)モジュール/回路/機能314を実装し得る。
【0047】
ネットワークノード302は、図7、図8、図10〜図13、および図22〜図23に示される機能および/または手順のうちの1つまたは複数を実装し得る。1つの特定の例では、ネットワークノード302は、図20に関して説明したプロセスのうちの1つまたは複数を実装し得る。
【0048】
HMME制御プレーンモデル様々な例では、クライアントデバイスは、HMMEにおいて単一のEMMコンテキストに基づいて、アクセスネットワーク(たとえば、RAN)との接続または接続性(connection or connectivity)を確立し得る。接続が確立されると、クライアントデバイスは、異なるSMEとの、異なる資格情報のセットに対応する1つまたは複数のESMコンテキストを確立する。図4〜図6は、本開示のいくつかの態様による、EMMコンテキストおよびESMコンテキストの確立を容易にするためのHMME制御プレーンモデルのいくつかの例を示す図である。
【0049】
図4に示される第1のHMME制御プレーンモデルにおいては、クライアントデバイス402(たとえば、UE)は、たとえば、接続資格情報、およびホーム認可、認証、および課金(AAA)サーバ407を使用して互いを認証することによって、HMME/SME406とのEMMコンテキスト404(接続コンテキスト)を確立する。単一のEMMコンテキスト404は、クライアントデバイス402とRAN403(たとえば、eNB)との間の単一の無線リンクの確立を容易にする。EMMコンテキスト404が確立されると、クライアントデバイス402は、いくつかのサービス資格情報およびAAAサーバ407、413、415を使用して、いくつかのSME(HMME/SME406、SME412、SME414)との1つまたは複数のESMコンテキスト408(たとえば、ESMコンテキスト1、2、3)を確立し得る。(HMME機能のための)クライアントデバイス402とHMME406との間のNASメッセージは、HMME406に記憶されたデフォルトの接続セキュリティコンテキスト(たとえば、NASセキュリティコンテキスト)に基づいて暗号化され、完全性保護され得る。クライアントデバイス402とSMEとの間のNASメッセージは、SMEにそれぞれ記憶された異なるセキュリティコンテキスト410(NASセキュリティコンテキスト)を使用して暗号化され、完全性保護される。クライアントデバイス402および各SMEは、対応するサービス資格情報を使用して互いを認証する。図4のこの例では、第1のESMコンテキスト(ESMコンテキスト1)は、クライアントデバイス402および第1のSME406に記憶される第1のセキュリティコンテキスト(セキュリティコンテキスト1)を使用して保護される。第2のESMコンテキスト(ESMコンテキスト2)は、クライアントデバイス402および第2のSME412に記憶された第2のセキュリティコンテキスト(セキュリティコンテキスト2)を使用して保護される。第3のESMコンテキスト(ESMコンテキスト3)は、クライアントデバイス402および第3のSME414に記憶される第3のセキュリティコンテキスト(セキュリティコンテキスト3)を使用して保護される。
【0050】
HMME/SME406は、第1のサービスネットワーク420に接続された第1のサービス/パケットデータゲートウェイ(S/P GW)418を選択するように構成される。同様に、第2のSME412は、第2のサービスネットワーク424に接続された第2のS/P GW422を選択するように構成される。同様に、第3のSME414は、第3のサービスネットワーク428に接続された第3のS/P GW426を選択するように構成される。第1のサービスネットワーク420、第2のサービスネットワーク424、および第3のサービスネットワーク428は、同じサービスプロバイダまたは異なるサービスプロバイダによって動作され得る。いくつかの例では、サービスゲートウェイ(S-GW)選択は、HMME406によって実行され得る。そのような場合、HMME406は、たとえばサービス要求中に、選択されたS-GWをSMEに通知する。
【0051】
サービスネットワークは、(たとえば、単一の無線リンク430およびRAN403を含む)接続ネットワーク内に少なくとも部分的に確立された仮想ネットワークであってもよく、1つまたは複数のサービスネットワークは、1つまたは複数のサービスプロバイダ(たとえば、サービスネットワーク1、2、および3)によって提供される特定のまたは異なるサービスに関連付けられる。1つの特定の例では、第1の仮想ネットワークは、無線リンク430、RAN403、第1のHMME/SME406、第1のS/P GW418、および第1のサービスネットワーク420を含む。別の例では、第2の仮想ネットワークは、無線リンク430、RAN403、HMME406、第2のSME412、第2のS/P GW422、および第2のサービスネットワーク424を含む。別の例では、第3の仮想ネットワークは、無線リンク430、RAN403、HMME406、第3のSME414、第3のS/P GW426、および第3のサービスネットワーク428を含む。
【0052】
図5は、本開示の一態様による、第2のHMME制御プレーンモデルを示す。第1および第2のHMME制御プレーンモデルは同様であるので、重複する説明は簡潔にするために省略され得る。クライアントデバイス402は、HMME406とのEMMコンテキスト404を確立する。EMMコンテキスト404が確立されると、クライアントデバイス402は、いくつかのサービス資格情報およびAAAサーバ407、413、415を使用して、いくつかのSME(HMME/SME406、SME412、SME414)との1つまたは複数のESMコンテキスト408(ESMコンテキスト1、2、3)を確立し得る。クライアントデバイス402および各SME406、412、414は、対応するサービス資格情報を使用して互いに認証し得る。たとえば、クライアントデバイス402は、SMEに対して3つの異なる資格情報を使用し得る。図5の第2のHMME制御プレーンモデルにおいては、HMME406は、サービス接続のためのサービス/パケットデータゲートウェイ(たとえば、S/P GW1、2、3)を直接選択して制御し得る。それは、SMEがサービス/パケットデータゲートウェイを選択する図4の第1のHMME制御プレーンモデルとは異なる。本開示の別の態様では、SME(たとえば、SME412およびSME414)がS/P GWを選択し得、その選択を、選択されたS/P GWを選択するHMME406に転送する。
【0053】
図6は、本開示の一態様による、第3のHMME制御プレーンモデルを示す。第1および第3のHMME制御プレーンモデルは同様であるので、重複する説明は簡潔にするために省略され得る。クライアントデバイス402は、HMME406とEMMコンテキスト404を確立する。EMMコンテキスト404が確立されると、クライアントデバイス402は、いくつかのサービス資格情報およびAAAサーバ407、413、415を使用して、いくつかのSME(HMME/SME406、SME412、SME414)との1つまたは複数のESMコンテキスト408(ESMコンテキスト1、2、3)を確立し得る。クライアントデバイス402および各SMEは、サービス資格情報を使用して互いに認証し得る。たとえば、クライアントデバイス402は、サービス接続のための異なるサービス資格情報を有し得る。第3のHMME制御プレーンモデルにおいては、HMME406はESMコンテキスト408(たとえば、ESMコンテキスト1、2、3)に基づいて、サービスゲートウェイ(S-GW)431を選択し得る。次いで、S-GW431は、ESMコンテキスト408に基づいて、パケットデータゲートウェイ(P-GW432、434、436)を選択する。それは、SMEがサービスおよびパケットデータゲートウェイを選択する図4の第1のHMME制御プレーンモデルとは異なる。いくつかの例では、SME(たとえば、SME412およびSME414)は、パケットデータゲートウェイ(たとえば、P-GW1、2、3)を選択し得、その選択を、HMME406を介してS-GW431に転送し得る。次いで、S-GW431は、対応するパケットデータゲートウェイを選択する。図4〜図6のHMME制御プレーンモデルにおいては、異なるサービス接続は、異なるセキュリティコンテキスト410(たとえば、セキュリティコンテキスト1、2、3)によって保護され得る。
【0054】
図7〜図8は、本開示の一態様による、単一の接続コンテキストを使用して複数のサービスコンテキストを確立するためのプロセスを示すコールフロー図500である。一例では、本プロセスは、UE(クライアントデバイス)502と、eNB504と、HMME506と、SME508と、サービスゲートウェイ(S-GW)510と、第1のパケットデータゲートウェイ(P-GW)512と、第2のP-GW514と、第1のホーム加入者サーバ(HSS)516と、第2のHSS518とによって実行され得る。コールフロー図500に示されるように、単一の接続コンテキスト(たとえば、EMMコンテキスト)を使用してUE502とネットワーク(たとえば、eNB504)との間に無線リンクまたは無線接続が確立され、次いで、それが複数のサービスコンテキスト(たとえば、SMEコンテキスト)によって共有される。UE502、eNB504、HMME506、SME508、S-GW510、第1のP-GW512、第2のP-GW514、第1のHSS516、および第2のHSS518は、図1〜図6、および図14〜図18のいずれかに示されるものと同じであり得る。
【0055】
UE502は、アタッチ要求520をeNB504に送信することによってネットワークにアタッチしようと試み、eNB504は、初期UEメッセージ522においてHMME506に要求を送信または転送する。初期UEメッセージは、HMME506がクライアントデバイス502を識別し得るようにUE IDを含み得る。UE IDは、上述のデバイス識別子のいずれかであり得る。HMME506は、UE502が要求された接続のための適切な資格情報を有するか否かを決定する。たとえば、HMME506は、UE502が、第1のHSS516と進化型パケットシステム(EPS:Evolved Packet System)認証および鍵合意(AKA)手順524を実行することによって、アタッチすることが許可されているか否かを確認し得る。たとえば、第1のHSS516は、認証ベクトルを生成し、それらをHMME506に送信することによってMMEベース鍵を導出することができ、次いで、HMME506が第1のHSS516の代わりにUE502との認証を実行する。次いで、HMME506は、NASセキュリティモードコマンド(SMC)メッセージ526を交換することによって、UE502とのNASセキュリティ設定手順を実行する。UE502とHMME506との間のNAS SMCメッセージは、たとえば、NAS SMCが完了した場合にHMME506に記憶されたNASセキュリティコンテキスト(確立されている場合)に基づいて暗号化され、完全性保護され得る。次に、HMME506は、S-GW選択機能に基づいてS-GW510を選択し、UE502のためのデフォルトベアラのEPSベアラ識別を割り当てる。次いで、HMME506は、選択されたS-GW510にセッション作成要求528を送信する。それに応答して、S-GW510は、そのEPSベアラテーブル内に新しいエントリを作成し、セッション作成要求メッセージ529を第1のP-GW512に送信する。
【0056】
セッション作成要求メッセージ529に応答して、第1のP-GW512は、そのEPSベアラテーブル内に新しいエントリを作成し、課金IDを生成し得る。次いで、第1のP-GW512は、セッション作成応答メッセージ530をS-GW510およびHMME506に送信する。次に、HMME506は、eNB504に、アタッチ受諾メッセージを含む初期コンテキスト設定要求メッセージ532を提供する。次に、eNB504は、EPS無線ベアラ識別およびアタッチ受諾メッセージを含むRRC接続再構成メッセージ534をUE502に送信する。それに応答して、UE502は、RRC接続再構成完了メッセージ536をeNB504に送信する。それに応答して、eNB504は、初期コンテキスト設定応答メッセージ538をHMME506に送信する。
【0057】
上述の手順を利用して、UE502は、EMMコンテキストまたはHMME506との接続を確立することができる。たとえば、この手順は、図4に示される第1のHMME制御プレーンモデルとともに使用され得る。EMMコンテキストが確立された後、UE502は、図8に関して説明した以下の手順を使用して1つまたは複数のSMEコンテキストを確立し得る。
【0058】
図8を参照すると、サービスまたはサービス接続のためのESMコンテキストを確立するために、UE502は、サービス識別子(サービスID)を含むサービス登録メッセージ540をHMME506に送信する。サービス登録メッセージ540を受信すると、HMME506は、UE502によって提供されたサービスIDに基づいてSME(たとえば、SME508)を選択し、初期UEメッセージ542を選択されたSME508に送信する。初期UEメッセージ542は、SME508がUE502を識別し得るように、上述したようなクライアントデバイス識別子(たとえば、SCSI)を含み得る。SME508は、第2のHSS518とのEPS-AKA手順544を実行することによって、UE502がサービスに加入しているか否かを確認し得る。たとえば、第2のHSS518は、認証ベクトルを生成し、それらをSME508に送信することによって鍵を導出することができ、次いで、SME508が第2のHSS518の代わりにUE502との認証を実行する。次いで、SME508は、NASセキュリティモードコマンド(SMC)メッセージ546を交換することによって、UE502とのNASセキュリティ設定手順を実行する。
【0059】
UE502とSME508との間のNASメッセージは、ESMセキュリティコンテキストを使用して保護され得る。たとえば、UE502は、SME508と確立されたESMセキュリティコンテキストを使用してNASメッセージを暗号化し、保護し得る。SME508のNASメッセージは、HMME506の外部NASメッセージにカプセル化される(すなわち、NAS-in-NASメッセージカプセル化される)。たとえば、外部NASメッセージは、UE502とHMME506との間に確立されたセキュリティコンテキストを使用して暗号化され、完全性保護される。一例では、図9を参照すると、HMMEのためのカプセル化されたNAS-in-NASメッセージ600は、HMMEが、内部NASメッセージ604が転送されるSME508を識別することを可能にするためにSME ID602を含み得、またSME508がUE502を識別することを可能にするためにUE ID606(SMEによって割り当てられ得る)を含み得る。一例では、UE ID606は、SMEによって割り当てられたGUTIまたはGUTSI(または、他の適切な識別子)を含み得る。
【0060】
同様に、SME508は、ESMセキュリティコンテキストを使用してNASメッセージを暗号化し、保護し得る。次いで、NASメッセージ(たとえば、内部NASメッセージ604)は、HMME506のために外部NASメッセージ(または、定義され得る任意の他の適切なコンテナ)にカプセル化される。一例では、外部NASメッセージは保護されないが、安全なチャネルを介してHMME506に転送され得る。一例では、HMME506およびSME508は、安全な通信のためのIPセキュリティ(IPsec)チャネルを確立し得る。外部NASメッセージは、HMME506がUE IDをS1-AP UE IDにマッピングすることを可能にするためにUE IDを含み得る。別の例では、外部NASメッセージは、HMME506のEMMセキュリティコンテキストを使用して暗号化され、完全性保護され得る。
【0061】
次いで、SME508は、S-GW510にセッション作成要求548を送信する。それに応答して、S-GW510は、そのEPSベアラテーブル内に新しいエントリを作成し、セッション作成要求メッセージを第2のP-GW514に送信する。セッション作成要求メッセージに応答して、第2のP-GW514は、そのEPSベアラテーブル内に新しいエントリを作成し、課金IDを生成し得る。次いで、第2のP-GW514は、セッション作成応答メッセージ550をS-GW510およびSME508に送信する。次に、SME508は、HMME506に、アタッチ受諾メッセージを含む初期コンテキスト設定要求メッセージ552を提供する。HMME506は、初期コンテキスト設定要求メッセージ554をeNB504に転送する。次に、eNB504は、EPS無線ベアラ識別およびアタッチ受諾メッセージを含むRRC接続再構成メッセージ556をUE502に送信する。それに応答して、UE502は、RRC接続再構成完了メッセージ558をeNB504に送信する。次に、eNB504は、初期コンテキスト設定応答メッセージ560をHMME506に送信し、HMME506は、初期コンテキスト設定応答メッセージ562をSME508に転送する。上述の手順により、SME508とのSMEコンテキストが確立される。
【0062】
さらに、UE502とeNB504との間にASセキュリティコンテキストを確立するために、ASセキュリティモードコマンド(SMC)メッセージが使用され得る。ASセキュリティコンテキスト(たとえば、図15〜図17に示されるASセキュリティコンテキスト)に基づいて、UE502およびeNB504は、無線トラフィックを保護することができる。単一の無線リンク(たとえば、図1の単一リンク101)が複数のサービス接続のために使用されるが、各サービス接続は、対応するASセキュリティコンテキストに基づいて別個の鍵で保護され、対応する仮想ESM(VESM)タグによって区別され得る。
【0063】
図10〜図11は、本開示の一態様による、単一の接続コンテキストを使用して複数のサービスコンテキストを確立するための手順を示すコールフロー図700である。一例では、本プロセスは、UE702において単一の接続コンテキスト(たとえば、EMMコンテキスト)を使用して無線リンクまたは無線接続を確立するために、UE(クライアントデバイス)702と、eNB704と、HMME706と、SME708と、サービスゲートウェイ(S-GW)710と、第1のパケットデータゲートウェイ(P-GW)712と、第2のパケットデータゲートウェイ(P-GW)714と、第1のホーム加入者サーバ(HSS)716と、第2のHSS718とによって実行され得、次いで、それらの無線リンクまたは無線接続が、複数のサービスコンテキスト(たとえば、SMEコンテキスト)またはサービス接続のために共有される。クライアントデバイス(UE)702、eNB704、HMME706、SME708、S-GW710、第1のP-GW712、第2のP-GW714、第1のHSS716、および第2のHSS718は、図1、図4〜図6、および図14〜図18のいずれかに示されるものと同じであり得る。
【0064】
流れ図700は、図7および図8の流れ図500と実質的に同様である。したがって、重複する説明は簡潔にするために省略され得る。たとえば、図10に示されるシグナリング手順は、UE702とHMME706との間にEMMコンテキストを確立し、図7に示されたものと実質的に同じである。
【0065】
図11を参照すると、サービスまたはサービス接続のためのESMコンテキストを確立するために、UE702は、サービス識別子(サービスID)を含むサービス登録メッセージ720をHMME706に送信する。サービス登録メッセージ720を受信すると、HMME706は、UE702によって提供されたサービスIDに基づいてSME(たとえば、SME708)を選択し、初期UEメッセージ722を選択されたSME708に送信する。初期UEメッセージ722は、SME708がUE702を識別し得るように、上述したようなクライアントデバイス識別子(たとえば、SCSI)を含み得る。SME708は、第2のHSS718とのEPS-AKA手順724を実行することによって、UE702がサービスに加入しているか否かを確認し得る。たとえば、第2のHSS718は、認証ベクトルを生成し、それらをSME708に送信することによって鍵を導出することができ、次いで、SME708が第2のHSS718の代わりにUE702との認証を実行する。次いで、SME708は、NASセキュリティモードコマンド(SMC)メッセージ726を交換することによって、UE702とのNASセキュリティ設定手順を実行する。
【0066】
UE702とSME708との間のNASメッセージは、ESMセキュリティコンテキストを使用して保護され得る。たとえば、UE702は、SME708と確立されたESMセキュリティコンテキストを使用してNASメッセージを暗号化し、保護し得る。たとえば、SME708のNASメッセージは、HMME706の外部NASメッセージにカプセル化される(すなわち、NAS-in-NASメッセージにカプセル化される)。外部NASメッセージは、UE702とHMME706との間に確立されたセキュリティコンテキストを使用して暗号化され、完全性保護される。HMME706のためのカプセル化されたNAS-in-NASメッセージは、HMME706が、内部NASメッセージが転送されるSME708を識別することを可能にするためにSME IDを含み得、またSME708がUE702をしきい別することを可能にするためにUE ID(SMEによって割り当てられ得る)を含み得る。一例では、UE IDは、SMEによって割り当てられたGUTIまたはGUTSI(または、他の適切な識別子)を含み得る。
【0067】
同様に、SME708は、ESMセキュリティコンテキストを使用してNASメッセージを暗号化し、保護し得る。次いで、NASメッセージ(内部NASメッセージ)は、HMME706のために外部NASメッセージ(または、定義され得る任意の他の適切なコンテナ)にカプセル化される。一例では、外部NASメッセージは保護されないが、安全なチャネルを介してHMME706に転送され得る。一例では、HMME706およびSME708は、安全な通信のためのIPセキュリティ(IPsec)チャネルを確立し得る。外部NASメッセージは、HMME706がUE IDをS1-AP UE IDにマッピングすることを可能にするためにUE IDを含み得る。別の例では、外部NASメッセージは、HMME706のEMMセキュリティコンテキストを使用して暗号化され、完全性保護され得る。
【0068】
UE702は、以下に説明する手順を使用して、1つまたは複数のSMEコンテキストを確立し得る。たとえば、図11を参照すると、SME708は、HMME706を介してS-GW710にセッション作成要求728を送信する。それに応答して、S-GW710は、そのEPSベアラテーブル内に新しいエントリを作成し、セッション作成要求メッセージ728を第2のP-GW714に送信する。セッション作成要求メッセージに応答して、第2のP-GW714は、そのEPSベアラテーブル内に新しいエントリを作成し、課金IDを生成し得る。次いで、第2のP-GW714は、セッション作成応答メッセージ730をS-GW710に送信し、S-GW710はHMME706を介してメッセージをSME708に転送する。次に、HMME706は、eNB704に、初期コンテキスト設定要求メッセージ732を提供する。次に、eNB704は、EPS無線ベアラ識別およびアタッチ受諾メッセージを含むRRC接続再構成メッセージ734をUE702に送信する。それに応答して、UE702は、RRC接続再構成完了メッセージ736をeNB704に送信する。次に、eNB704は、初期コンテキスト設定応答メッセージ738をHMME706に送信し、HMME706は、初期コンテキスト設定応答メッセージをSME708に転送する。
【0069】
上述の手順を利用して、UE702は、SME(たとえば、SME708)との1つまたは複数のESMコンテキストまたはサービス接続を確立することができる。たとえば、この手順は、図5に示される第2のHMME制御プレーンモデル、および図6に示される第3のHMME制御プレーンモデルにおいて使用され得る。
【0070】
本開示の一態様では、eNBとHMME/SMEとの間の通信は、3GPP仕様において定義されたS1AP(S1アプリケーションプロトコル)を使用し得る。S1APの例は、3GPP TS 36.413-進化型ユニバーサル地上無線アクセスネットワーク(E-UTRAN); S1アプリケーションプロトコル(S1AP)、リリース12において定義されている。S1APメッセージは、NDS/IP(ネットワークドメインセキュリティ/インターネットプロトコル)を使用して保護され得る。NDS/IPは、セキュリティドメインサービスを実装するためにIPセキュリティ(IPSec)を利用する。たとえば、eNBとHMME/SMEとの間のメッセージを保護するためにIPSecトンネルが使用され得る。
【0071】
本開示の一態様では、eNBとHMMEとの間のメッセージは、LTE標準(たとえば、3GPP TS 36.413)において定義されているようなS1APを使用し得る。図12を参照すると、eNB802とSME804との間のメッセージは、S1APを使用して通信され得、HMME806は、eNBとSMEとの間のプロキシとして実装され得る。eNB802、SME804、およびHMME806は、図4〜図8、図10、図11、および図14〜図18において説明したものと同じであり得る。この例では、HMME806およびSME804は、別々のUE IDを使用し得る。HMME806は、HMME UE IDをSME UE IDに、またはその逆に変換する。eNB802とHMME806との間にIPSecトンネルが作成され、HMME806とSME804との間に別のIPSecトンネルが作成される。IPSecトンネルはNDS/IPによって保護され得る。しかしながら、本開示は、eNBとHMME/SMEとの間の通信のためのS1APに限定されない。本開示のいくつかの態様では、eNBとSMEとの間、HMMEとSMEとの間、eNBとHMMEとの間、またはそれらの組合せの間で、別個の通信プロトコルが使用され得る。
【0072】
図13を参照すると、eNB902とSME904との間のS1APは、HMME906を介してトンネリングすることによって実装され得る。eNB902、SME904、およびHMME906は、図4〜図8、図10、図11、および図14〜図18において説明したものと同じであり得る。この例では、登録またはサービス要求中、HMME906は、eNB IDおよびアドレスをSME904に提供する。次いで、eNB902およびSME904は、あらかじめインストールされた資格情報(たとえば、証明書)に基づいて安全なチャネル908を確立し得る。1つの特定の例では、安全なチャネル908は、IPSecトンネル、TLS(トランスポートレイヤセキュリティ)、またはDTLS(データグラムトランスポートレイヤセキュリティ)に基づき得る。この場合、eNB902とSME904との間のS1APメッセージは、透明なコンテナを使用してHMME906を通じてトンネリングする。
【0073】
図4〜図6を参照して説明した制御プレーンセキュリティに加えて、クライアントデバイスとSMEとの間の通信を確保するために、追加のセキュリティがユーザプレーンにおいて実装され得る。図14は、本開示の一態様による、拡張されたユーザプレーンセキュリティを有するHMME制御プレーンモデルを示す図である。拡張されたユーザプレーンセキュリティは、図4〜図6に示される3つのすべてのHMME制御プレーンモデルにおいて実装されてもよく、他の適切なHMME制御プレーンモデルにおいて実装されてもよい。たとえば、クライアントデバイス1002(たとえば、UE)は、いくつかのパケットデータゲートウェイ(P-GW)を用いて追加の認証を実行するために、いくつかのユーザプレーン(UP)セキュリティコンテキスト1004を利用し得る。UPセキュリティコンテキスト1004により、サービスプロバイダが、ESMコンテキスト1006およびセキュリティコンテキスト1008によって提供されるものに加えて、クライアントデバイス1002とサービスプロバイダのネットワークとの間のメッセージまたは通信にセキュリティの追加層を提供することが可能になる。さらに、UPセキュリティは、メッセージまたは通信の情報およびコンテンツが接続プロバイダのネットワーク、たとえばRAN1010およびHMMEから遮蔽され得るように、サービスプロバイダによって制御および維持され得る。
【0074】
本開示の一態様では、第1のP-GW1014、第2のP-GW1016、および第3のP-GW1018は、第1のサービスネットワーク1020、第2のサービスネットワーク1022、および第3のサービスネットワーク1024への接続をそれぞれ提供する。第1のP-GW1014は、対応するUPセキュリティコンテキスト(たとえば、UPセキュリティ1)に基づいて第1のHSS/AAA1026との認証手順を実行することによって、クライアントデバイス1002がサービスの有効な加入または資格情報を有するかどうかを確認し得る。第2のP-GW1016は、対応するUPセキュリティコンテキスト(たとえば、UPセキュリティ2)に基づいて、第2のHSS/AAA1028との認証手順を実行することによって、クライアントデバイス1002がサービスの有効な加入または資格情報を有するかどうかを確認し得る。同様に、第3のP-GW1018は、対応するUPセキュリティコンテキスト(たとえば、UPセキュリティ3)に基づいて第3のHSS/AAA1030との認証手順を実行することによって、クライアントデバイス1002がサービスの有効な加入または資格情報を有するかどうかを確認し得る。
【0075】
図15〜図17は、本開示のいくつかの態様による、アクセス層セキュリティコンテキストを利用するいくつかの例示的なHMMEユーザプレーンモデルを示す図である。これらの例では、アクセスネットワーク(RAN)との単一のネットワーク接続またはリンクを確立するために、クライアントデバイスごとに1つのEMMコンテキストが使用され、異なるサービスプロバイダ(サービスネットワーク)とのサービス接続を確立するために複数のESMコンテキストおよびアクセス層(AS)セキュリティコンテキストが使用される。EMMコンテキストおよびESMコンテキストは、上記で図7〜図11に関して説明したような手順を使用して確立され得る。ASセキュリティコンテキストは、クライアントデバイスとRANとの間のユーザプレーン通信を安全にし、保護するために使用され得る。これらのHMMEデータプレーンモデルは、上記で図4〜図6において説明したHMME制御プレーンモデル、または他の適切な制御プレーンモデルとともに実装され得る。
【0076】
図15は、図4および図5に示されるHMME制御プレーンモデル、または他の適切なHMME制御プレーンモデルを用いて実装され得る第1のHMMEデータプレーンモデル1100を示す。図15に示される例では、クライアントデバイス1102とRAN1104との間のUE-to-RANデータプレーントラフィックについて、クライアントデバイス1102(たとえば、UE)は、ESMコンテキスト1108から特定のサービスネットワーク宛のメッセージに対応するASセキュリティコンテキスト1106を決定する。この例では、3つのESMコンテキスト1108から3つのASセキュリティコンテキスト1106が導出される。クライアントデバイス1102は、第1のサービスネットワーク1110との第1のESMコンテキスト(ESMコンテキスト1)と、第2のサービスネットワーク1112との第2のESMコンテキスト(ESMコンテキスト2)と、第3のサービスネットワーク1114との第3のESMコンテキスト(ESMコンテキスト3)とを確立している。第1のHMMEデータプレーンモデル1100は、異なるP-GW1118のために別々のS-GW1116を使用する。
【0077】
制御メッセージ(たとえば、RRCメッセージ)の場合、クライアントデバイス1102は、ASセキュリティコンテキストに基づいて、メッセージを暗号化および完全性保護し、メッセージにVESMタグを追加し得る。データメッセージの場合、クライアントデバイス1102は、ASセキュリティコンテキストに基づいて、データメッセージを暗号化し、VESMタグをメッセージに追加し得る。
【0078】
RAN-to-UEデータプレーントラフィックの場合、RANノード1104(たとえば、eNB)は、UEまたはクライアントデバイス1102に送信されるメッセージのASセキュリティコンテキストを決定する。一例では、制御メッセージ(たとえば、RRCメッセージ)の場合、HMME(図15には図示せず)のESMセキュリティコンテキストから導出されたデフォルトのASセキュリティコンテキストが使用され得る。RAN1104(たとえば、eNB)において、セッションコンテキスト1120(たとえば、セッションコンテキスト1、2、3)は、クライアント1102(たとえば、UE)からS-GW1116に、またはその逆に、パケットを転送するために使用される情報を提供する。たとえば、セッションコンテキストは、ベアラID、QoS情報、トンネルエンドポイントIDなどを含み得る。S-GW1116におけるセッションコンテキストは、RAN1104のセッションコンテキストと同様である。たとえば、これらのコンテキストは、P-GW1118から受信されたクライアント1102のパケットをRAN1104(たとえばeNB)に、およびその逆に転送するために使用される情報を提供し得る。
【0079】
制御メッセージ(たとえば、RRCメッセージ)の場合、RANノード1104は、ASセキュリティコンテキストに基づいて、メッセージを暗号化および完全性保護し、メッセージにVESMタグを追加し得る。データメッセージの場合、RANノード1104は、ASセキュリティコンテキストに基づいて、メッセージを暗号化し、メッセージにVESMタグを追加し得る。一例では、VESMタグは、TEID(一意のトンネルエンドポイント識別子)およびS-GW IPアドレスから決定され得る。RANノード1104からメッセージを受信すると、クライアントデバイス1102は、VESMタグに基づいてメッセージを検証するために、対応するASセキュリティコンテキストを決定し得る。
【0080】
図16は、図6に示されるHMME制御プレーンモデル、または他の適切なHMME制御プレーンモデルを用いて実装され得る第2のHMMEデータプレーンモデル1200を示す。第2のHMMEデータプレーンモデル1200において、クライアントデバイス1202とRAN1204との間のUE-to-RANデータプレーントラフィックについて、クライアントデバイス1202(たとえば、UE)は、特定のサービスネットワーク宛のメッセージに対応するASセキュリティコンテキスト1206を決定する。この例では、ESMコンテキスト1208から3つのASセキュリティコンテキスト1206が導出される。クライアントデバイス1202は、第1のサービスネットワーク1210との第1のESMコンテキスト(ESMコンテキスト1)と、第2のサービスネットワーク1212との第2のESMコンテキスト(ESMコンテキスト2)と、第3のサービスネットワーク1214との第3のESMコンテキスト(ESMコンテキスト3)とを確立している。第2のHMMEデータプレーンモデル1200は、異なるP-GW1218のために共通のS-GW1216を使用する。第2のHMMEデータプレーンモデル1200は、第1のHMMEデータプレーンモデル1100と同様であり、簡潔にするために、第2のHMMEデータプレーンモデル1200の重複した説明は繰り返さない。
【0081】
図17は、図6に示されるHMME制御プレーンモデル、または他の適切なHMME制御プレーンモデルを用いて実装され得る第3のHMMEデータプレーンモデル1300を示す。クライアントデバイス1302は、第1のサービスネットワーク1310、第2のサービスネットワーク1312、および第3のサービスネットワーク1314のために、それぞれ異なるESMコンテキスト1308、たとえば第1のESMコンテキスト、第2のESMコンテキスト、および第3のESMコンテキストを確立していていよい。この特定の例では、UE-to-RANデータプレーントラフィックについて、クライアントデバイス1302(たとえば、UE)は、EMMセキュリティコンテキスト1309から導出されたデフォルトのASセキュリティコンテキスト1306を使用し得る。別の例では、ESMセキュリティコンテキスト1308から導出されたASセキュリティコンテキストが、デフォルトのASセキュリティコンテキストとして設定され得る。制御メッセージ(たとえば、RRCメッセージ)の場合、クライアントデバイス1302は、ASセキュリティコンテキストに基づいて、メッセージを暗号化および完全性保護し、VESMタグを制御メッセージに追加し得る。データメッセージの場合、クライアントデバイス1302は、ASセキュリティコンテキストに基づいて、データメッセージを暗号化し、VESMタグをメッセージに追加し得る。
【0082】
RAN1304において、セッションコンテキスト1320(たとえば、セッションコンテキスト1、2、3)は、クライアント1302(たとえば、UE)からS-GW1316に、またはその逆にパケットを転送するために使用される情報を提供する。たとえば、セッションコンテキストは、ベアラID、QoS情報、トンネルエンドポイントIDなどを含み得る。S-GW1316におけるセッションコンテキストは、RAN1304のセッションコンテキストと同様である。たとえば、これらのコンテキストは、P-GW1318から受信されたクライアント1302のパケットをRAN1304(たとえばeNB)に、およびその逆に転送する方法に関する情報を含み得る。
【0083】
上述のデータプレーンモデルでは、RANにおいて、UEコンテキストは、たとえばセッションコンテキスト、ASセキュリティコンテキスト、およびクライアントに関連する他の状態を含む、クライアント(たとえば、UE)に関する情報を含む。同様に、HMMEにおいて、UEコンテキストは、EMM/ESMコンテキスト、セキュリティコンテキスト、および、たとえばIMSI、TMSIなどの他の状態を含むクライアントに関する情報を含む。
【0084】
RAN-to-UEデータプレーントラフィックの場合、RANノード1304(たとえば、eNB)は、HMME(図17には図示せず)によってプロビジョニングされたデフォルトのASセキュリティコンテキストを使用し得る。制御メッセージ(たとえば、RRCメッセージ)の場合、RANノード1304(たとえば、eNB)は、ASセキュリティコンテキストに基づいて、メッセージを暗号化および完全性保護し、メッセージにVESMタグを追加し得る。データメッセージの場合、RANノード1304は、ASセキュリティコンテキストに基づいて、メッセージを暗号化し、メッセージにVESMタグを追加し得る。たとえば、VESMタグは、TEIDおよびS-GWのIPアドレスから決定され得る。
【0085】
図18は、本開示の態様による、例示的なユーザプレーンセキュリティ終了モデル1400の例を示す図である。図15〜図17において説明したのと同様のクライアントデバイス1402は、RAN1404と確立された単一のESMコンテキストを有する。RAN1404は、異なるパケットデータゲートウェイ(P-GW)1408にそれぞれ接続された3つのS-GW1406に接続されている。P-GW1408の各々は、対応するサービスネットワーク1410へのアクセスを提供する。EMMコンテキストおよび複数のESMコンテキストは、図7〜図11に関して上述した手順を使用して確立され得る。この例では、ユーザプレーンセキュリティ(UPセキュリティ)は、パケットデータゲートウェイ1408(P-GW1、P-GW2、P-GW3)において終了する。このユーザプレーンセキュリティ終了モデルは、図15〜図17に示されるデータプレーンモデルにおいて使用され得る。UPセキュリティは、サービスプロバイダがアクセスネットワーク(たとえば、RAN1404)からユーザデータトラフィックを保護することを可能にする。本開示の様々な態様では、ASセキュリティコンテキストは、クライアントデバイスとRANとの間のデータ無線ベアラ(DRB)とシグナリング無線ベアラ(SRB)との両方を保護するために使用され得、UPセキュリティはDRB保護とは別に適用される。
【0086】
図19は、本開示の一態様による、複数の同時または並行サービスコンテキストを確立するためにクライアントデバイスにおいて動作可能な例示的な方法1500を示すフローチャートである。方法1500は、図1、図2、図4〜図8、図10、図11、および/または図14〜図18のいずれかに示されるクライアントデバイスにおいて実行され得る。ブロック1502において、クライアントデバイスは、第1の資格情報に基づいて、接続ネットワークとのワイヤレスリンクまたは接続を確立する。ブロック1504において、クライアントデバイスは、接続に対応する接続コンテキストを確立する。たとえば、クライアントデバイス(UE)は、接続資格情報を使用してアクセスネットワーク(たとえば、RAN)にアタッチし、HMME(たとえば、図4〜図6のHMME)を利用してRANへの単一の接続を確立し得る。いくつかの例では、HMMEは、コアネットワーク内に存在し得る。この時点で、単一のEMMコンテキストまたは接続が確立される。一例では、クライアントデバイスは、ワイヤレスリンクおよび接続コンテキストを確立するために、無線リンク確立モジュール210およびワイヤレスネットワーク通信インターフェース204(図2参照)を利用し得る。
【0087】
ブロック1506において、クライアントデバイスは、接続ネットワークに関連付けられる1つまたは複数のサービスネットワークを識別する。たとえば、クライアントデバイスは、1つまたは複数のサービスネットワーク宛の第1のメッセージを送信し得、第1のメッセージは、アクセスネットワークのネットワークノード(たとえば、HMME)宛の第2のメッセージにカプセル化される。メッセージが、宛先のネットワークの特定のエンティティ(たとえば、サービスネットワークのHMMEまたはSME)宛であるとき、そのメッセージは特定のネットワーク宛である。たとえば、サービスネットワークは、図4〜図6、および図14〜図17に示されるサービスネットワークであり得る。クライアントデバイスは、サービスネットワークを識別するために、図7、図8、図10、および図11に示されるものと同様の手順を実行するために、サービスコンテキスト確立モジュール212(図2参照)を利用し得る。
【0088】
ブロック1508において、クライアントデバイスは、確立されたワイヤレスリンクまたは接続を利用するサービスネットワークとの1つまたは複数のサービス接続を確立し、1つまたは複数のサービス接続は、それぞれの第2の資格情報を使用して確立される。ブロック1510において、クライアントデバイスは、サービス接続にそれぞれ対応する1つまたは複数のサービスコンテキストを確立する。サービスコンテキストは、異なるセキュリティコンテキストを含み得る。セキュリティコンテキストの各々はNASセキュリティコンテキストとASセキュリティコンテキストを含み、NASセキュリティコンテキストとASセキュリティコンテキストの両方が同じ第2の資格情報に対応する。たとえば、サービスコンテキストは図4〜図6および図14〜図17において説明したESMコンテキストであってもよく、セキュリティコンテキストは図4〜図6および図14〜図17において説明したセキュリティコンテキストであってもよい。クライアントデバイスは、サービス接続およびコンテキストを確立するために、図7、図8、図10、および図11に示されたものと同様の手順を実行するために、サービスコンテキスト確立モジュール212を利用し得る。サービス接続の各々は、対応するASセキュリティコンテキストに基づいて別個の鍵で保護され、対応するVESMタグによって区別され得る。
【0089】
図20は、本開示の一態様による方法1500の追加の手順を示すフローチャートである。ブロック1512において、クライアントデバイスは、1つまたは複数のサービスネットワークにそれぞれ関連付けられる複数のパケットデータゲートウェイ(P-GW)から受信した、またはそこに送信されるパケットを保護するために、複数のユーザプレーン(UP)セキュリティコンテキストを利用し得る。たとえば、P-GWは、図4〜図8、図10、図11、および図14〜図18のいずれかに示されるP-GWであり得る。
【0090】
図21は、本開示の一態様による、接続ネットワークのネットワークノードにおいて動作可能な例示的な方法1600を示すフローチャートである。方法1600は、図1、図3、図4〜図8、および図10〜図18のいずれかに示されるネットワークノード(たとえば、HMME)において実行され得る。ブロック1602において、接続ネットワークのネットワークノードは、接続資格情報に基づいてクライアントデバイスとのワイヤレスリンクまたは第1の接続を確立する。ブロック1604において、ネットワークノードは、第1の接続に対応する接続コンテキストを確立する。たとえば、ネットワークノードは、接続資格情報を使用してクライアントデバイスとの単一の接続および対応するEMMテキストを確立するためにクライアントデバイス(UE)から第1のアタッチ要求を受信するHMME(たとえば、図4〜図14に示されるHMME)であってもよい。ネットワークノードは、図7〜図11において説明した手順を使用してクライアントデバイス(図3参照)と単一のリンクおよびEMMコンテキストを確立するために、無線リンク確立モジュール310と、ネットワーク通信インターフェース304と、HMMEモジュール312とを利用し得る。
【0091】
クライアントデバイスとの単一のワイヤレスリンクが確立された後、ブロック1606において、ネットワークノードは、クライアントデバイスから、接続ネットワークに関連付けられる1つまたは複数のサービスネットワークとの接続を確立する要求を受信し得る。たとえば、サービスネットワークは、図4〜図6および図14〜図18に示されるサービスネットワークまたはプロバイダであり得る。要求は、既存のワイヤレスリンクまたは接続を使用して、サービスネットワークまたはプロバイダのうちの1つまたは複数と別個のESMコンテキストを確立するための第2のアタッチ要求を含み得る。ESMコンテキストの各々は、異なるセキュリティコンテキストに対応し得る。ネットワークノードは、クライアントデバイスから要求を受信するために、ネットワーク通信インターフェース304(図3参照)を利用し得る。
【0092】
ブロック1608において、ネットワークノードは、ネットワークノードをプロキシとして利用して、クライアントデバイス用のサービスネットワークとの1つまたは複数の第2の接続をそれぞれ確立する。一例では、ネットワークノードは、図7〜図11において説明した手順を使用して、第2の接続および対応するコンテキストを確立するために、SMEモジュール314を利用し得る。
【0093】
図22は、本開示の一態様による、方法1600の追加の手順を示すフローチャートである。ブロック1610において、ネットワークノードはクライアントデバイスからメッセージを受信し得、メッセージは、サービスネットワーク宛の別のメッセージをカプセル化する。たとえば、メッセージは、図8および図11に示されるNASカプセル化メッセージであり得る。
【0094】
図23は、本開示の一態様による、サービスネットワークのネットワークノードにおいて動作可能な例示的な方法1700を示すフローチャートである。方法1700は、図1、図3、図4〜図8、および図10〜図18のいずれかに示されるネットワークノード(たとえば、SME)において実行され得る。ブロック1702において、ネットワークノードは、クライアントデバイスから接続を確立する要求を受信する。たとえば、SMEは、要求を受信するために、そのネットワーク通信インターフェース304(図3参照)を利用し得る。ブロック1704において、ネットワークノードは、接続ネットワークのネットワークノード(たとえば、HMME)を介してクライアントデバイスとの接続を確立する。この例では、ネットワークノードは、接続を確立するためにサービス管理エンティティモジュール/回路/機能314を利用し得る。ブロック1706において、ネットワークノードは、接続に対応するサービスコンテキストを確立し、サービスコンテキストはセキュリティコンテキストに関連付けられる。たとえば、サービス管理エンティティモジュール/回路/機能314は、サービスコンテキスト334(図3参照)を確立するためにSME命令318によって構成され得る。
【0095】
開示されたプロセスにおけるステップの特定の順序または階層は、例示的な手法の実例であることが理解される。設計選好に基づいて、プロセスにおけるステップの特定の順序または階層が並べ替えられてよいことが理解される。添付の方法クレームは、サンプル順序における様々なステップの要素を提示し、提示される特定の順序または階層に限定されることを意味しない。
【符号の説明】
【0096】
101 無線リンク102 クライアントデバイス
104 サービスプロバイダ
104 プロビジョニング機能
106 プロビジョニング機能
106 サービスプロバイダ
108 サービスコンテキスト
108 第1のサービスコンテキスト
110 サービスコンテキスト
110 第2のサービスコンテキスト
112 サービスコンテキスト
112 第3のサービスコンテキスト
114 サービス接続
116 サービス接続
118 サービス接続
120 無線アクセスネットワーク(RAN)
122 接続コンテキスト
124 ネットワークホストモビリティ管理エンティティ(HMME)
126 EMM/ESMコンテキスト
128 サービス管理エンティティ(SME)
130 サービス管理エンティティ
132 サービスゲートウェイ(S-GW)
132 パケットデータネットワークゲートウェイ
134 サービスゲートウェイ
134 パケットデータネットワークゲートウェイ
136 ESMコンテキスト
138 ESMコンテキスト
140 AAAサーバ
142 AAAサーバ
144 ホーム認可、認証、および課金(H-AAA)サーバ
202 クライアントデバイス
204 ワイヤレスネットワーク通信インターフェース
206 プロセッサ
208 メモリ/ストレージ
208 メモリ/ストレージデバイス
210 無線リンク確立モジュール/回路/機能
212 サービスコンテキスト確立モジュール/回路/機能
213 ユーザプレーン(UP)セキュリティコンテキスト確立モジュール/回路/機能
216 無線リンク確立命令
218 サービスコンテキスト確立命令
219 セキュリティコンテキスト確立命令
226 受信機モジュール/回路/機能
228 送信機モジュール/回路/機能
230 アンテナモジュール/回路/機能
232 接続コンテキスト
234 サービスコンテキスト
235 セキュリティコンテキスト
302 ネットワークノード
304 ネットワーク通信インターフェース
306 プロセッサ
308 メモリ/ストレージ
310 無線リンク確立モジュール/回路/機能
312 HMMEモジュール/回路/機能
314 サービス管理エンティティ(SME)モジュール/回路/機能
316 無線リンク確立命令
318 HMME/SME命令
326 受信機モジュール/回路/機能
328 送信機モジュール/回路/機能
330 アンテナモジュール/回路/機能
332 接続コンテキスト
334 サービスコンテキスト
335 セキュリティコンテキスト
402 クライアントデバイス
404 EMMコンテキスト
403 RAN
406 HMME/SME
406 第1のSME
406 第1のHMME/SME
407 ホーム認可、認証、および課金(AAA)サーバ
408 ESMコンテキスト
410 セキュリティコンテキスト
412 第2のSME
413 AAAサーバ
414 第3のSME
415 AAAサーバ
420 第1のサービスネットワーク
418 第1のサービス/パケットデータゲートウェイ(S/P GW)
420 第1のサービスネットワーク
422 第2のS/P GW
424 第2のサービスネットワーク
426 第3のS/P GW
428 第3のサービスネットワーク
430 無線リンク
431 サービスゲートウェイ(S-GW)
432 パケットデータゲートウェイ(P-GW)
434 パケットデータゲートウェイ
436 パケットデータゲートウェイ
500 コールフロー図
502 UE(クライアントデバイス)
504 eNB
506 HMME
508 SME
510 サービスゲートウェイ(S-GW)
512 第1のパケットデータゲートウェイ(P-GW)
514 第2のP-GW
516 第1のホーム加入者サーバ(HSS)
518 第2のHSS
520 アタッチ要求
522 初期UEメッセージ
524 認証および鍵合意(AKA)手順
526 NASセキュリティモードコマンド(SMC)メッセージ
528 セッション作成要求
529 セッション作成要求メッセージ
530 セッション作成応答メッセージ
532 初期コンテキスト設定要求メッセージ
534 RRC接続再構成メッセージ
536 RRC接続再構成完了メッセージ
538 初期コンテキスト設定応答メッセージ
540 サービス登録メッセージ
542 初期UEメッセージ
546 NASセキュリティモードコマンド(SMC)メッセージ
548 セッション作成要求
550 セッション作成応答メッセージ
552 初期コンテキスト設定要求メッセージ
554 初期コンテキスト設定要求メッセージ
556 RRC接続再構成メッセージ
558 RRC接続再構成完了メッセージ
560 初期コンテキスト設定応答メッセージ
562 初期コンテキスト設定応答メッセージ
600 NAS-in-NASメッセージ
602 SME ID
604 内部NASメッセージ
700 コールフロー図
702 クライアントデバイス
702 UE(クライアントデバイス)
704 eNB
706 HMME
708 SME
710 サービスゲートウェイ(S-GW)
712 第1のパケットデータゲートウェイ(P-GW)
714 第2のパケットデータゲートウェイ(P-GW)
716 第1のホーム加入者サーバ(HSS)
718 第2のHSS
720 サービス登録メッセージ
722 初期UEメッセージ
724 EPS-AKA手順
726 NASセキュリティモードコマンド(SMC)メッセージ
728 セッション作成要求メッセージ
730 セッション作成応答メッセージ
732 初期コンテキスト設定要求メッセージ
734 RRC接続再構成メッセージ
736 RRC接続再構成完了メッセージ
738 初期コンテキスト設定応答メッセージ
802 eNB
804 SME
806 HMME
902 eNB
904 SME
906 HMME
908 安全なチャネル
1002 クライアントデバイス
1004 ユーザプレーン(UP)セキュリティコンテキスト
1006 ESMコンテキスト
1008 セキュリティコンテキスト
1010 RAN
1014 第1のP-GW
1016 第2のP-GW
1018 第3のP-GW
1020 第1のサービスネットワーク
1022 第2のサービスネットワーク
1024 第3のサービスネットワーク
1026 第1のHSS/AAA
1028 第2のHSS/AAA
1030 第3のHSS/AAA
1100 第1のHMMEデータプレーンモデル
1102 クライアントデバイス
1104 RAN
1104 RANノード
1106 ASセキュリティコンテキスト
1108 ESセキュリティコンテキスト
1110 第1のサービスネットワーク
1112 第2のサービスネットワーク
1114 第3のサービスネットワーク
1116 S-GW
1118 P-GW
1120 セッションコンテキスト
1200 第2のHMMEデータプレーンモデル
1202 クライアントデバイス
1204 RAN
1206 ASセキュリティコンテキスト
1208 ESMコンテキスト
1210 第1のサービスネットワーク
1212 第2のサービスネットワーク
1214 第3のサービスネットワーク
1216 S-GW
1218 P-GW
1300 第3のHMMEデータプレーンモデル
1302 クライアントデバイス
1302 クライアント
1304 RANノード
1304 RAN
1306 ASセキュリティコンテキスト
1308 ESMコンテキスト
1308 ESMセキュリティコンテキスト
1309 EMMセキュリティコンテキスト
1310 第1のサービスネットワーク
1312 第2のサービスネットワーク
1314 第3のサービスネットワーク
1316 S-GW
1318 P-GW
1320 セッションコンテキスト
1400 ユーザプレーンセキュリティ終了モデル
1402 クライアントデバイス
1404 RAN
1406 S-GW
1408 パケットデータゲートウェイ(P-GW)
1410 サービスネットワーク
1500 方法
1600 方法
1700 方法