特開2022-177255第一のネットワークノード、第二のネットワークノード、それらの方法、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022177255
(43)【公開日】2022-11-30
(54)【発明の名称】第一のネットワークノード、第二のネットワークノード、それらの方法、及びプログラム
(51)【国際特許分類】
H04W 12/06 20210101AFI20221122BHJP
H04W 12/08 20210101ALI20221122BHJP
H04W 12/72 20210101ALI20221122BHJP
【FI】
H04W12/06
H04W12/08
H04W12/72
【審査請求】有
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2022154352
(22)【出願日】2022-09-28
(62)【分割の表示】P 2021540161の分割
【原出願日】2020-01-10
(31)【優先権主張番号】201911002286
(32)【優先日】2019-01-18
(33)【優先権主張国・地域又は機関】IN
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.3GPP
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】バスカラン シーバ バッキア メーリ
(72)【発明者】
【氏名】デ キーフィット サンダー
(72)【発明者】
【氏名】アルムガム シババラン
(72)【発明者】
【氏名】プラサド アナンド ラガワ
(57)【要約】 (修正有)
【課題】公衆陸上移動体通信網(PLMN)及び非パブリックネットワーク(NPN)を有する5GシステムにおいてNPN加入者を識別するための方法を提供する。
【解決手段】PLMNのネットワークノード(UDM:UNIFIED Data Management)は、サブスクリプション秘匿識別子(SUCI:Subscription Concealed Identifier)を含む認証要求メッセージをNPNのネットワークノード(AUSF:Authentication Server Function)から受信する手段と、SUCIからsubscription unique permanent identifier(SUPI)に変換する手段と、SUPIと、NPN向けの加入者認証を実行するための情報と、を含む認証メッセージを、NPNのネットワークノード(AUSF)に送信する手段と、を有する。
【選択図】図9
【解決手段】PLMNのネットワークノード(UDM:UNIFIED Data Management)は、サブスクリプション秘匿識別子(SUCI:Subscription Concealed Identifier)を含む認証要求メッセージをNPNのネットワークノード(AUSF:Authentication Server Function)から受信する手段と、SUCIからsubscription unique permanent identifier(SUPI)に変換する手段と、SUPIと、NPN向けの加入者認証を実行するための情報と、を含む認証メッセージを、NPNのネットワークノード(AUSF)に送信する手段と、を有する。
【選択図】図9
【特許請求の範囲】
【請求項1】
第一のネットワークノードであって、
Subscription Concealed Identifier (SUCI)を含む認証要求メッセージを第二のネットワークノードから受信する手段と、
前記SUCIからsubscription unique permanent identifier(SUPI)に変換する手段と、
前記SUPIと、NPN向けの加入者認証を実行するための情報と、を含む認証メッセージを、前記第二のネットワークノードに送信する手段と、
を有する、第一のネットワークノード。
Subscription Concealed Identifier (SUCI)を含む認証要求メッセージを第二のネットワークノードから受信する手段と、
前記SUCIからsubscription unique permanent identifier(SUPI)に変換する手段と、
前記SUPIと、NPN向けの加入者認証を実行するための情報と、を含む認証メッセージを、前記第二のネットワークノードに送信する手段と、
を有する、第一のネットワークノード。
【請求項2】
前記第一のネットワークノードは、Unified Data Management(UDM)である、
請求項1に記載の第一のネットワークノード。
請求項1に記載の第一のネットワークノード。
【請求項3】
前記第二のネットワークノードは、Authentication Server Function(AUSF)である、
請求項1または2に記載の第一のネットワークノード。
請求項1または2に記載の第一のネットワークノード。
【請求項4】
第二のネットワークノードであって、
Subscription Concealed Identifier (SUCI)を含む認証要求メッセージを第一のネットワークノードへ送信する手段と、
前記SUCIから変換されたsubscription unique permanent identifier(SUPI)と、NPN向けの加入者認証を実行するための情報と、含む認証メッセージを、前記第一のネットワークノードから受信する手段と、
を有する、第二のネットワークノード。
Subscription Concealed Identifier (SUCI)を含む認証要求メッセージを第一のネットワークノードへ送信する手段と、
前記SUCIから変換されたsubscription unique permanent identifier(SUPI)と、NPN向けの加入者認証を実行するための情報と、含む認証メッセージを、前記第一のネットワークノードから受信する手段と、
を有する、第二のネットワークノード。
【請求項5】
前記第一のネットワークノードは、Unified Data Management(UDM)である、
請求項4に記載の第二のネットワークノード。
請求項4に記載の第二のネットワークノード。
【請求項6】
前記第二のネットワークノードは、Authentication Server Function(AUSF)である、
請求項4または5に記載の第二のネットワークノード。
請求項4または5に記載の第二のネットワークノード。
【請求項7】
Subscription Concealed Identifier (SUCI)を含む認証要求メッセージを第二のネットワークノードから受信することと、
前記SUCIからsubscription unique permanent identifier(SUPI)に変換することと、
前記SUPIと、NPN向けの加入者認証を実行するための情報と、を含む認証メッセージを、前記第二のネットワークノードに送信することと、
を有する、第一のネットワークノードの方法。
前記SUCIからsubscription unique permanent identifier(SUPI)に変換することと、
前記SUPIと、NPN向けの加入者認証を実行するための情報と、を含む認証メッセージを、前記第二のネットワークノードに送信することと、
を有する、第一のネットワークノードの方法。
【請求項8】
Subscription Concealed Identifier (SUCI)を含む認証要求メッセージを第一のネットワークノードへ送信することと、
前記SUCIから変換されたsubscription unique permanent identifier(SUPI)と、NPN向けの加入者認証を実行するための情報と、含む認証メッセージを、前記第一のネットワークノードから受信することと、
を有する、第二のネットワークノードの方法。
前記SUCIから変換されたsubscription unique permanent identifier(SUPI)と、NPN向けの加入者認証を実行するための情報と、含む認証メッセージを、前記第一のネットワークノードから受信することと、
を有する、第二のネットワークノードの方法。
【請求項9】
Subscription Concealed Identifier (SUCI)を含む認証要求メッセージを第二のネットワークノードから受信することと、
前記SUCIからsubscription unique permanent identifier(SUPI)に変換することと、
前記SUPIと、NPN向けの加入者認証を実行するための情報と、を含む認証メッセージを、前記第二のネットワークノードに送信することと、
をコンピュータに実行させるプログラム。
前記SUCIからsubscription unique permanent identifier(SUPI)に変換することと、
前記SUPIと、NPN向けの加入者認証を実行するための情報と、を含む認証メッセージを、前記第二のネットワークノードに送信することと、
をコンピュータに実行させるプログラム。
【請求項10】
Subscription Concealed Identifier (SUCI)を含む認証要求メッセージを第一のネットワークノードへ送信することと、
前記SUCIから変換されたsubscription unique permanent identifier(SUPI)と、NPN向けの加入者認証を実行するための情報と、含む認証メッセージを、前記第一のネットワークノードから受信することと、
をコンピュータに実行させるプログラム。
前記SUCIから変換されたsubscription unique permanent identifier(SUPI)と、NPN向けの加入者認証を実行するための情報と、含む認証メッセージを、前記第一のネットワークノードから受信することと、
をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、公衆陸上移動体通信網(PLMN:Public Land Mobile Network)及び非パブリックネットワーク(NPN:non- public network)を有する5Gシステムにおいて、NPN加入者を識別するための方法及びシステムに関する。
【背景技術】
【0002】
5Gシステムは、物理的又は仮想的な非パブリックネットワークの両方を含むことができる非パブリックネットワーク(NPNs:non-public networks)をサポートする。第3世代パートナーシッププロジェクト(3GPP:3rd Generation Partnership Project)ドキュメントTS 22.261(非特許文献1)により規定されている様々な展開の可能性は、「具体的には、完全にスタンドアローンネットワークとして展開されてもよく、PLMNによりホストされてもよく、PLMNのスライスとして提供されてもよい」と言及されている。TS 22.261のSA1により述べられている、いくつかのコア要件は、「PLMNサービスにアクセスする非パブリックネットワーク加入者(non-public network subscriber)は、PLMNにより提供又は受け入れられた3GPP識別子及びクレデンシャルを使用してサービス加入を有するものとする。5Gシステムは、非パブリックネットワークへのサブスクリプション(subscription)を有するユーザ装置(UE:user equipment)が、自動的に、PLMN又は選択権限の無い非パブリックネットワークを選択して接続すること(attaching)を防止するメカニズムをサポートするものとする。5Gシステムは、PLMNへのサブスクリプション(subscription)を有するUEが、自動的に、選択権限の無い非パブリックネットワークを選択して接続することを防止するメカニズムをサポートするものとする」である。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】3GPP document TS 22.261 V16.6.0
【非特許文献2】3GPP document TS 33.501 V15.3.1
【非特許文献3】3GPP document TS. 23.003 V15.6.0
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、PLMNを有する現在の5Gシステムは、PLMN及びNPNの両方を提供する5GSをサポートするためにアドレスされる(addressed)必要があるUEのNPNサブスクリプションを識別する手段を有していない。
【0005】
さらに、PLMNがNPNをホストする展開(deployment)において、サブスクリプション秘匿識別子(SUCI:Subscription Concealed Identifier)が、例えば、モバイルカントリーコード(MCC:Mobile Country Code)、モバイルネットワークコード(MNC:Mobile Network Code)、PLMN固有ルーティング識別子(ID:Identifier)、ホームネットワーク(HN:Home Network)公開鍵ID(PLMN固有)等のPLMN固有情報のみを含み、「UEネットワークサブスクリプション情報」が完全に欠落しているため、PLMNが、正しいアクセス管理機能/セキュリティアンカー機能(AMF:Access Management Function/SEAF:Security Anchor Function)、認証機能(AUSF:Authentication Function)(インスタンス)、NPNサービスのための統合データ管理(UDM:Unified Data Management)(インスタンス)を選択できない。UEのサブスクリプションユニークパーマネント識別子(SUPI:subscription unique permanent identifier)は、UE固有ネットワークサブスクリプション(ex. NPNのための)についての情報が含まれていないため、SUCIも、UEのネットワークサブスクリプション情報を含まない。この場合、PLMNは、UEのネットワークサブスクリプションを特定できず、PLMNにおいて、ホストされたNPNに固有のノードを選択できない。そのため、SUPI/SUCIにおいて、UEのネットワークサブスクリプション情報の欠如は、NPN UE識別及びノード選択の失敗につながる可能性がある。さらに、現在のルーティングインジケータ(Routing Indicator)は、ホームネットワーク識別子(HN ID:Home Network Identifier)とともに、SUCIを伴うネットワークシグナリングを、加入者にサービスを提供できるAUSF及びUDMインスタンスにルーティングすることを可能にする。UEのネットワークサブスクリプション(ex. NPNのための)を考慮していないため、NPN加入者にサービスを提供できるAUSF/UDM(インスタンス)の選択はできない。現在のシステムでは、HNIDが、ホストされたPLMNのMCC及びMNCのみを含み、NPN固有の情報が含まれていないからである。
【0006】
UEがPLMN及び全てのNPNの両方に対して、単一のSUPIを有している場合、それは加入され(subscribed)、そして、NPNがUEのPLMN固有のSUPIを知る可能性があるため、プライバシーの問題を引き起こすと考えられている。そのため、PLMN及びNPNサービスをサポートする5Gシステム(5GS)において、プライバシーの保護の欠如/保護されていないUE NPN IDは、5Gシステムを、それぞれ、ユーザ追跡(プライバシー問題)、サービス拒否(DoS:Denial of Service)、及びサービスの分散拒否(DDoS:Distributed Denial of Service)攻撃に対して脆弱にする。
【0007】
さらに、3GPP文書(非特許文献2)で提供されているように、UDMは、SUPIのプライバシー保護をサポートするためのサブスクリプション識別子秘匿解除機能(SIDF:Subscription identifier de-concealing function)機能を提供し、UEは、常に、5Gコアネットワークへの初期非アクセスストラタム(initial NAS:initial Non Access Stratum)メッセージ(Registration Request)において、秘匿されたSUPI(つまり、SUCI)を送信する。
【0008】
そのため、3GPP文書によると、現在のルーティングインジケータ(Routing Indicator)は、ホームネットワーク識別子(HN ID:Home Network Identifier)とともに、SUCIを伴うネットワークシグナリングを、加入者にサービスを提供できるAUSF及びUDMインスタンスにルーティングすることを可能にする。UEのネットワークサブスクリプション(ex. NPNのための)を考慮していないため、NPN加入者にサービスを提供できるAUSF/UDM(インスタンス)の選択はできない。現在のシステムでは、HNIDが、ホストされたPLMNのMCC及びMNCのみを含み、NPN固有の情報が含まれていないからである。
【0009】
PLMNがNPNをホストする展開を使用することの欠点は、UEのサブスクリプション識別子(SUPI:subscription identifier)がUE固有のネットワークサブスクリプション(ex. NPNのための)含まないことであり、したがって、SUCIもUEのネットワークサブスクリプション情報を含まないことである。この場合、SUCIが「UEネットワークサブスクリプション情報」を完全に欠落しているため、PLMNは、正しいAMF/SEAF、AUSF(インスタンス)、NPNのためのUDM(インスタンス)を選択できない。
【0010】
また、UEのネットワークサブスクリプションタイプは、5GSのPLMNにより1つよりも多くのサブスクリプション(PLMN及びNPN)が、サポートされているときに考慮する必要があるSUCI構造の一部として含まれていない。
【0011】
そのため、加入している(subscribed)ネットワークタイプに固有のUEを識別するのに役立つネットワークサブスクリプションタイプをSUCIに提供するために、上述した問題を克服する必要がある。
【0012】
上述した問題を鑑み、本開示は、様々な問題のうちの少なくとも1つを解決するための解決策を提供することを目的とする。
【課題を解決するための手段】
【0013】
以下に、主題の実施形態のいくつかの態様の基本的な理解を提供するために、主題の簡略化された要約を提示する。この要約は、主題の広範な概要ではない。実施形態の重要なキー/重要な要素を特定すること、又は主題のスコープを説明することを意図したものではない。
【0014】
少なくとも上述した問題を克服するために、本開示の第1の態様では、User Equipment(UE)が開示される。前記UEは、トランシーバ回路と、通信ノードのAccess and mobility Management Function(AMF)に識別子を送信するように前記トランシーバ回路を制御するように構成されるコントローラと、を備え、前記通信ノードにおいて、前記UEのネットワークアクセス機能の認証が成功すると、前記コントローラは、前記通信ノードとセキュアな接続を維持するように構成される。
【0015】
本開示の第2の態様では、ユーザ装置(UE:user equipment)、第1のノード、第2のノード及び第3のノードを含む通信システムが開示される。前記第1のノードは、前記UEにより送信されたregistration requestメッセージを受信し、前記UEが特定のサービスのためのサブスクリプションを有しているかを示す情報及び第1の識別子を含む前記registration requestメッセージを復号することにより前記情報を検証し、前記情報の検証が成功すると、第2の識別子を含むauthentication requestメッセージを前記第2のノードに送信するように構成され、前記第2のノードは、前記第2の識別子を検証し、前記第1の識別子に含まれる第3の識別子に基づいて、authentication requestを前記第3のノードにルーティングするように構成され、前記第3のノードは、前記authentication requestメッセージを復号し、前記UEとのセキュアな接続を提供するための応答を送信するように構成される。
【0016】
本開示の第3の態様では、ユーザ装置(UE:user equipment)と、ネットワークとの間のセキュアな接続を確立するための方法が提供される。前記方法は、前記UEから前記ネットワークの第1のノードに、前記UEが、特定のサービスのためのサブスクリプションを有しているかどうかを示す情報を含むregistration requestであって、前記情報を含む前記第1の識別子を含むregistration requestを送信すること、及び前記ネットワークの前記第1のノードにより、前記registration requestを検証し、前記第1の識別子が含まれる第2の識別子に基づいて、前記情報の検証が成功すると、前記ネットワークの第2のノードにauthentication requestを送信すること、を含み、前記第2の識別子は、前記特定のサービスのための前記ネットワークのノードをルーティングし、前記authentication requestは、前記第1の識別子、UEネットワークアクセスケーパビリティ、及び第3の識別子を含み、前記第3の識別子は、特定のサービングネットワークを識別し、前記方法は、前記ネットワークの前記第2のノードにより、前記第3の識別子を検証すること、前記第3の識別子の検証が成功すると、前記ネットワークの前記第2のノードにより、前記第2の識別子に基づいて、前記ネットワークの第3のノードにauthentication data requestを送信すること、前記ネットワークの前記第3のノードにより、UEネットワークアクセス制限情報を検証するために、前記第1の識別子を秘匿解除すること、及び前記秘匿解除された第1の識別子及び前記情報の検証が成功すると、前記ネットワークの前記第3のノードにより、前記第1の識別子及び前記特定のサービスのための認証ベクトルを含むauthentication data feedbackを、前記ネットワークの前記第2のノードに送信すること、をさらに含む。
【0017】
また、ネットワークにより送信される特定のサービスのケーパビリティ(capability)がUEにより受信され、UEは、registration requestメッセージを送信する前にネットワークインジケータを選択するように構成されることも提供される。さらに、UEは、ネットワークインジケータビットを設定し、前記ネットワークインジケータを公開鍵(public key)で秘匿する(concealing)ことにより、前記第1の識別子を計算するように構成される。
【0018】
さらに、本開示により提供されるように、前記情報がネットワークサービスアクセス制限との一致に失敗すると、registration failureメッセージはまた、前記ネットワークの前記第1のノードにより送信される。
【0019】
本開示では、前記ネットワークの前記第1のノードは、Access and Mobility Management Function(AMF)として定義され、前記ネットワークの前記第2のノードは、Authentication Server Function(AUSF)として定義され、前記ネットワークの前記第3のノードは、Unified Data Management(UDM)として定義される。
【0020】
本開示では、前記情報は、ネットワークサブスクリプションタイプ情報として定義され、前記第1の識別子は、Subscription Concealed Identifierとして定義され、前記第2の識別子は、ルーティングIDとして定義され、前記第3の識別子は、サービングネットワークIDとして定義され、前記特定のサービスは、非パブリックネットワークサービスとして定義される。
【0021】
本開示の第4の態様では、user equipment(UE)と、通信ネットワークとの間のセキュアな接続を確立するための方法が提供される。前記方法は、前記UEから、前記ネットワークのビジテッドAccess and Mobility Function(AMF)に、前記UEが特定のサービスのためのサブスクリプションを有しているかを示す情報を含むregistration requestであって、Subscription Concealed Identifier(SUCI)を含むregistration requestを送信すること、前記ビジテッド/サービングAMFにより、前記registration request及び前記SUCIを、前記UEの前記ネットワークアクセス/制限機能により検証すること、前記SUCIの検証が成功すると、前記ネットワークのルーティングIDに基づいて、前記ネットワークのホームAuthentication Server Function(AUSF)に、ビジテッドAMFにより、authentication requestを送信すること、前記ホームAUSFにより、前記ネットワークのための識別情報を検証し、前記SUCIにおける前記ルーティングIDに基づいて、前記ネットワークのホームUDMにauthentication requestをルーティングすること、UEネットワークアクセス制限情報を検証するために、前記ホームUDMにより、前記SUCI情報を秘匿解除すること、及び前記UE及び前記通信ネットワークとの間の安全な通信を提供するために、前記ネットワークの前記ホームUDMにより認証鍵を生成すること、を含む。
【0022】
本開示の第5の態様では、UEと、通信ネットワークとの間のセキュアな接続を確立するための方法が提供される。本方法は、UEから、前記ネットワークのビジテッドAccess and Mobility Function PLMN(AMF)に、SUCIを含むregistration requestを送信すること、前記PLMN SEAFにより、前記SUCIを、前記UEの前記ネットワークアクセス/制限機能により検証すること、前記SUCIの検証が成功すると、前記SEAFにより、前記ネットワークのホームAUSFにauthentication requestを送信すること、前記ホームAUSFにより、前記ネットワークの識別情報を検証すること、Authentication requestを、前記ネットワークのホームNPN UDMにルーティングすること、UEネットワークアクセス制限情報を検証するために、前記ホームNPN UDMにより、前記SUCI情報を秘匿解除すること、及び前記UEと、前記通信ネットワークとの間の暗号化された通信を提供するために、前記ネットワークの前記ホームNPN UDMにより、認証鍵を生成すること、を含む。
【図面の簡単な説明】
【0023】
本主題の前述及びさらなる目的、特徴及び利点は、添付の図面を参照して例示的な実施形態の以下の説明から明らかになるであろう。添付の図面は、同様の番号が、同様の要素を表すために使用される。
【0024】
ただし、参照番号とともに添付の図面は、本主題の典型的な実施形態のみを示しており、したがって、その範囲を限定するものとみなされるべきではなく、本主題が、他の同様に有効な実施形態を許容し得ることに留意されたい。
【0025】
【0026】
【0027】
【0028】
【0029】
【0030】
【0031】
【0032】
【0033】
【0034】
【0035】
【0036】
【0037】
【0038】
【0039】
【0040】
【発明を実施するための形態】
【0041】
以下、添付の図面を参照して、例示的な実施形態を説明する。ただし、本開示は、多くの異なる形態で具体化されてもよく、本明細書に記載された実施形態に限定されると解釈されるべきではない。むしろ、これらの実施形態は、本開示が徹底的かつ完全であり、当業者にその範囲を完全に伝えるために提供される。添付の図面に示される特定の例示的な実施形態の詳細な説明において使用される用語は、限定することを意図するものではない。図面において、同様の番号は、同様の要素を指す。
【0042】
ただし、特許請求の範囲における参照符号は、本主題の典型的な実施形態のみを示しており、したがって、本主題が他の同等に有効な実施形態を許容し得るため、その範囲を限定するために考慮されるべきではないことに留意されたい。
【0043】
本明細書は、いくつかの場所において、「1つの(an)」、「1つの(one)」、又は「いくつかの(some)」実施形態を指す場合がある。これは必ずしも、そのような参照の各々が同一の実施形態に対するものであること、又はその特徴が単一の実施形態にのみに適用されることを意味するものではない。異なる実施形態の単一の特徴はまた、組み合わされて、他の実施形態を提供してもよい。
【0044】
本明細書で使用される場合、単数形「a」、「an」及び「the」は、特に明記しない限り、複数形も含むことを意図している。本明細書で使用される場合、用語「含む(includes)」、「含む(comprises)」、「含む(including)」及び/又は「含む(comprising)」は、記載された特徴、整数、ステップ、動作、要素、及び/又は、コンポーネントの存在を指定するが、1つ又は複数の他の特徴、整数、ステップ、動作、要素、コンポーネント、及び/又はそれらのグループの存在又は追加を排除するものではないことをさらに理解すべきである。要素が他の要素に「接続されている(connected)」又は「結合されている(coupled)」と称される場合、それは、他の要素に直接接続又は結合されてもよく、あるいは介在する要素が存在してもよいことが理解されるであろう。さらに、本明細書で使用される「接続されている(connected)」又は「結合されている(coupled)」は、動作可能に接続又は結合されていることを含み得る。本明細書で使用される場合、用語「及び/又は(and/or)」は、1つ又は複数の関連する列挙された項目の任意の組み合わせ、及び全ての組み合わせ、並びに配列(配置)を含む。
【0045】
別段の定義がない限り、本明細書で使用される、(技術的及び科学的用語を含む)全ての用語は、本開示が関係する当業者により、一般的に理解されるものと同じ意味を有する。一般的に使用される辞書で定義されているような用語は、関連する技術の文脈における、それらの意味と一致する意味を有するものとして解釈されるべきであり、本開示で明示的に定義されていない限り、理想化された意味又は過度に形式的な意味で解釈されないことをさらに理解されたい。
【0046】
図は、いくつかの要素及び機能的なエンティティのみを示す簡略化された構造を示している。これらは全て、示されているものとは実装が異なる可能性がある論理ユニットである。示されている接続は、論理的な接続である。実際の物理的な接続は異なる可能性がある。構造が、他の機能及び構造も含み得ることは、当業者には明らかである。
【0047】
また、図面に記載及び図示された全ての論理ユニットは、ユニットが機能するために必要なソフトウェア及び/又はハードウェアコンポーネントを含む。さらに、各ユニットは、それ自体の中に、暗黙的に理解される1つ又は複数のコンポーネントを含んでもよい。これらのコンポーネントは、互いに動作可能に結合されてもよく、上記ユニットの機能を実行するために互いに通信するように構成されてもよい。
【0048】
本開示の異なる実施啓太によれば、PLMNがNPNサービスを提供する場合、MNCは、PLMNネットワークを示してもよいが、サブスクリプションは、PLMNによりホストされるNPNに帯するものであることを提供する。NPN展開の場合、本開示では、PLMNによりホストされるNPNは、展開Aとしいて示され、PLMNからスライスとして提供されるNPNは展開Bとして示され、スタンドアローンNPNは、展開Cとして示される。
【0049】
さらに、SUPIエンハンスメントについては、SUPIが取る形式が、国際モバイルサブスクリプション識別子(IMSI:International Mobile Subscription Identity)又はネットワークアクセス識別子(NAI:Network Access Identifier)のいずれかであるかに関わらず、SUPIは、加入されている(subscribed)ネットワークに固有のユーザ又はUEを識別するために、PLMNサブスクリプション、NPNサブスクリプション等のユーザのネットワークサブスクリプションに固有の情報/インジケーションを含むことができる。
【0050】
PLMNがNPNをホストする展開Aにおいて、SUPIに「ユーザのネットワークサブスクリプション」識別情報を含めることが非常に重要であることに留意されたい。なぜなら、UEは、5G PLMNの加入者であっても、同一のPLMNによりホストされるNPNにも加入できるからである。ただし、スコープは、展開Aに限定されない。
【0051】
SUCIは、UEが、その「ネットワークサブスクリプションタイプ」識別情報を使用して、構築されることができ、「ネットワークサブスクリプションタイプ」は、UE/ユーザが、PLMN(サービス)のための、又は非パブリックネットワーク(サービス)のためのサブスクリプションを有しているかどうかを示すことができる。
【0052】
PLMNがNPNをホストする展開Aにおいて、SUCIに「ユーザのネットワークサブスクリプション」識別情報を含むことは、非常に重要であることに留意されたい。ただし、スコープは、展開Aに限定されない。
【0053】
さらに、任意のUE一時識別子(ex. 5G- Global Unique Temporary Identity (GUTI))が、「ネットワークサブスクリプションタイプ」識別情報を含むことも、又は5G-GUTIがUEの異なるサブスクリプション(NPN、PLMN等)に固有にすることもできる。UEが、1つよりも多くのサービス(PLMN及びNPN)を取る場合/PLMNからホストされたNPNにアクセスする必要がある場合、同一のホームネットワークで同時に1つよりも多くの5G-GUTIを有することができる。さらに、5G-GUTIPLMN及び5G-GUTINPNと同様に、各ネットワークのための専用の一時識別子をUEが維持する必要がある。
【0054】
本明細書では、「ネットワークサブスクリプションタイプ」は、「ユーザサブスクリプションタイプ」又は「加入者ネットワークタイプ(Subscriber Network Type)」とも称することができる。
【0055】
さらに、UEは、1つよりも多くのSUPI(PLMNのために1つ及びNPNのために1つ/複数)を有することができる。そのため、展開オプションA及びBを含む識別タイプにおいて、プライマリSUPIは、PLMNサービスのためのPLMNにより提供され、セカンダリSUPIは、NPNサービスのためのPLMNにより提供される。さらに、展開Cを含む識別タイプについて、プライマリSUPIは、NPNサービスのためのNPNにより提供され、セカンダリSUPIは、NPNサービスのためのNPNにより提供される。
【0056】
UEが、例えば、展開A及びB(非スタンドアローンNPN)において、1つよりも多くのSUPIを有している場合のSUCI構造では、以下に基づくことができる:
<SUPI Type> <Home Network Identifier> <Subscriber Network Type> <Routing Indicator> <Protection Scheme Id> <Home Network (PLMN/NPN) Public Key ID> <Scheme output>
<SUPI Type> <Home Network Identifier> <Subscriber Network Type> <Routing Indicator> <Protection Scheme Id> <Home Network (PLMN/NPN) Public Key ID> <Scheme output>
【0057】
<Subscriber Network Type>は、サブスクリプションが、PLMNサービス/NPNサービス/任意の他のサービスに属しているかどうかを示すことができる。
【0058】
UEが、例えば、展開C(スタンドアローンNPN)において、1つよりも多くのSUPIを有している場合のSUCI構造では、以下に基づくことができる:
<SUPI Type> <Home Network Identifier> <Subscriber Network Type> <Routing Indicator> <Protection Scheme Id> <Home Network (NPN) Public Key ID> <Scheme output>
<SUPI Type> <Home Network Identifier> <Subscriber Network Type> <Routing Indicator> <Protection Scheme Id> <Home Network (NPN) Public Key ID> <Scheme output>
【0059】
<Subscriber Network Type>は、UE IDがNPNに属することを示すことができる。
【0060】
図2に開示されるように、ネットワークNPNサポートブロードキャストの手順は開示される。201において、ネットワークは、MNC及びMCCの値を、'NPN Type NW'に設定して、NPNケーパビリティ(NPN Capability)を報知する(broadcast)。202において、UEは、報知(broadcast)を受信し、PLMNクレデンシャル(例えば、UEがローミングしている(UE is roaming))又はNPNクレデンシャル(例えば、UEがローミングしていない(UE is non roaming))を使用することを決定する。UEは、SUCIを次のように計算する:
【0061】
PLMNクレデンシャル:非特許文献2によると、NPNクレデンシャルのSUCI計算では、UEは、
- NPNビットを設定する
- NPN識別子を公開鍵で暗号化する
- MNC及びMCCをルーティング可能な値(例えば、公開鍵を保持するネットワーク)に設定する
- NPNビットを設定する
- NPN識別子を公開鍵で暗号化する
- MNC及びMCCをルーティング可能な値(例えば、公開鍵を保持するネットワーク)に設定する
【0062】
UEは、利用可能な場合、HN Pub Keyを使用することもでき、HN UDMは、NPN Id <-> SUPIをマッピングすること、通常の認証、及びUEがローミングしている場合、鍵共有(Key Agreement)(AKA)を実行することもできる。例えば、ドメイン自体がプライバシーに敏感でない場合、HNが正しいNPNにルーティングできるように、又はSUCIに@NPNDomainを追加できるように、NPN識別子は、'NPNID@NPNDomain'になる。
【0063】
図3は、UEと、ネットワークとの間のセキュアな接続を確立するための方法を説明する。(301、302)において、UEは、ネットワークの第1のノードに、特定のサービスのためのUEのサブスクリプションを示す情報を含むregistration requestを送信する。registration requestは、第1の識別子を含み、第1の識別子は、上記情報を含む。
【0064】
(303)において、ネットワークの第1のノードは、registration requestを検証し、(304)において、ネットワークの第1のノードは、第1の識別子に含まれる第2の識別子に基づき上記情報の検証が成功すると、ネットワークの第2のノードにauthentication requestを送信する。第2の識別子は、特定のサービスのためのネットワークのノードをルーティングする。authentication requestは、第1の識別子、UEネットワークアクセスケーパビリティ(UE network access capability)及び第3の識別子を含む。第3の識別子は、特定のサービングネットワークを識別する。(305)において、ネットワークの第3のノードは、第3の識別子を検証し、第3の識別子の検証が成功すると、第2の識別子に基づいて、ネットワークの第3のノードに、authentication data requestを送信する。(306)において、ネットワークの第3のノードは、UEネットワークアクセス制限情報(UE network access restriction information)を検証するために、第1の識別子を秘匿解除し(de-conceals)、(308、309)において、秘匿解除された(de-concealed)第1の識別子及び上記情報の検証が成功すると、第3のノードは、第1の識別子及び特定のサービスのための認証ベクトル(authentication vector)を含むauthentication data feedbackをネットワークの第2のノードに送信する。
【0065】
図4は、[VNPN-HNPN]のローミングの場合において、UEと、ネットワークとの間のセキュアな接続を確立するための他の方法を説明する。UEは、プライマリ認証を行うPLLMNに登録されているか又は登録されておらず、UEがNPNサービスを必要とする場合、UEは、5Gニューレディオ(NR:new radio)/無線アクセスネットワーク(RAN:radio access network)により送信されたNPNケーパビリティ報知情報(NPN capability broadcast information)からNPNネットワークを特定する。(402)において、UEは、NPNサービスのためのPLMNによりホストされる、サービング/ビジテッド(Serving/Visited)V-NPN AMFにRegistration Requestメッセージを送信する。Registration Requestメッセージは、UEネットワークアクセスケーパビリティ(PLMN/NPN)に加えて、UE NPN IDから生成されたNPN SUCIを含むことができる。
【0066】
(403)において、PLMNによりホストされるV-AMF/SEAFは、加入者ネットワークタイプ情報(subscriber network type information)を、そのネットワークサービスアクセス制限に対して検証し、NPN登録要求(NPN registration request)を処理できるか(service)どうかをチェックする。V-AMFのネットワークサービスアクセス制限チェックが失敗した場合、V-AMFは、Registration FailureメッセージをUEに送信する。しかし、V-AMFのネットワークサービスアクセス制限チェックが成功した場合、(404)において、V-AMF/SEAFは、NPN Authentication Requestを、SUCI内のNPN固有のルーティングIDに基づいて、ホームNPN AUSF(H-NPN AUSF:Home NPN AUSF)に送信する。NPN Authentication Requestメッセージは、NPN SUCI、UEネットワークアクセスケーパビリティ、NPN固有のサービングネットワーク識別子(5G S-NPN ID)を含むことができる。(405)において、ホームNPN AUSFは、5G S-NPN IDを検証し、NPNサービスを要求できるかどうかをチェックし、NPN Authentication Data Requestを、NPN SUCI内のNPN固有のルーティングIDに基づいて、ホームNPN UDM(H-NPN UDM:Home NPN UDM)に送信する。(406a)において、ホームNPN UDMは、NPN SUCIを秘匿解除する(de-conceal)。(406b)において、ホームNPN UDMは、NPNにアクセスを許容するために、秘匿解除された(de-concealed)NPN SUPI、及びその関連するサブスクリプション情報を、UEネットワークアクセス制限情報と照合する。NPNアクセスのためのNPN SUPI関連ネットワーク制限情報が成功した場合、(407)において、ホームNPN UDMは、NPN SUPI及びNPN認証ベクトル(AV:Authentication Vector)を伴うNPN Authentication data Responseを、ホームNPN AUSFに送信する。NPN AV(NPN RAND、NPNマスター鍵、NPN AUTN、NPN XRES)に基づいて、(408)において、authentication手順の残りが実行される。(409)において、NPN認証が成功した後、NPNKeyは、UEと、PLMNによりホストされるサービングNPN(アンカー機能)との間で合意され、NPNアクセスストラタム(AS:Access Stratum)及びNAS通信を保護する。NPN AS及びNAS接続は、NPNKeyから導出されたセキュリティコンテキストに基づいて、機密性及び完全性保護にすることができる。
【0067】
図5は、[VPLMN-HNPN]において、UEと、ネットワークとの間のセキュアな接続を確立するための他の方法を説明する。
【0068】
UEは、プライマリ認証を実行するPLMNに登録されてもよく、登録されなくてもよい。(501)において、UEがNPNサービスを必要とうする場合、UEは、5G NR/RANにより送信されたNPNケーパビリティ報知情報(NPN capability broadcast information)からNPNネットワークを特定する。(502)において、UEは、Registration RequestメッセージをPLMNによりホストされるNPNサービスのためのサービング/ビジテッドV-PLMN AMFに送信する。Registration Requestメッセージは、UEネットワークアクセスケーパビリティ(PLMN/NPN)に加えて、UE NPN IDから生成されたNPN SUCIを含むことができる。(503)において、PLMNによりホストされる(NPNサービスを処理する(takes care of))PLMN V-AMF/SEAFは、NPN registration requestに対応できるかどうかをチェックするために、加入者ネットワークタイプ情報を、そのネットワークサービスアクセス制限と照合する。V-AMFのネットワークサービスアクセス制限チェックが失敗した場合、V-AMFは、Registration FailureメッセージをUEに送信する。
【0069】
V-AMFのネットワークサービスアクセス制限チェックが成功した場合、(504)において、V-AMF/SEAFは、SUCI内のNPN固有のルーティングIDに基づいて、ホームNPN AUSF(H-NPN AUSF)にNPN Authentication Requestを送信する。NPN Authentication Requestメッセージは、NPN SUCI、UEネットワークアクセスケーパビリティ、及びNPN固有のサービングネットワーク識別子(5G S-NPN ID)を含むことができる。(505)において、ホームNPN AUSFは、NPNサービスを要求できるかどうかをチェックするために、5G S-NPN IDを検証し、NPN SUCI内のNPN固有のルーティングIDに基づいて、ホームNPN UDM(H-NPN UDM)にNPN Authentication Data Requestを送信する。(506a)において、ホームNPN UDMは、NPN SUCIを秘匿解除し(de-conceal)、(506b)において、ホームNPN UDMは、NPNへのアクセスを許可するために、秘匿解除されたNPN SUPI及びその関連サブスクリプション情報を、UEネットワークアクセス制限情報と照合する。NPNアクセスのためのNPN SUPI関連ネットワーク制限情報が成功した場合、(507)において、ホームNPN UDMは、NPN SUPI及びNPN AVとともにNPN Authentication data ResponseをホームNPN AUSFに送信する。(508)において、NPN AV(NPN RAND、NPNマスター鍵、NPN AUTN、NPN XRES)に基づいて、authentication手順の残りが実行される。NPN認証が成功した後、(509)において、NPN AS及びNAS通信を保護するために、NPNKeyは、UEと、PLMNによりホストされるサービングPLMN(NPNアンカー機能)との間で合意される。したがって、(510)において、NPN AS及びNAS接続は、NPNKeyから導出されたセキュリティコンテキストに基づいて、機密性及び完全性保護することができる。
【0070】
図6は、PLMNによってNPNがスライスとして提供される展開オプションBを説明する。
【0071】
(601)において、NWは、NPNスライスの可用性を報知し(broadcast)、(602)において、UEは、報知を受信し、UEがローミングしている場合、PLMNクレデンシャルを使用するか、又はUEがローミングしていない場合、NPNクレデンシャルを使用することを決定する。そして、UEは、次のようにSUCIを計算する:
【0072】
PLMNクレデンシャル:非特許文献2に開示されている標準に従う。さらに、NPNクレデンシャルSUCI計算は、UEにより実行される。UEは、NPNビットを設定し、NPN識別子を公開鍵で暗号化し、MNC及びMCCをルーティング可能な値(例えば、公開鍵を保持するネットワーク)に設定する。ただし、UEは、利用可能であれば、HN Pub Keyを依然として使用することができ、HN UDMは、NPN Id <-> SUPIのマッピングを行い、例えば、UEがローミングしている場合、通常のAKAを実行することができる。
【0073】
例えば、NPN識別子は、‘NPNID@NPNDomain’になり、HNは、正しいNPNにルーティングできるようにするか、ドメイン自体がプライバシーに敏感ではない場合、SUCIに@NPNDomainを追加できる。
【0074】
ネットワーク動作は、展開オプションA及びBの両方で同じになることに留意されるべきである。したがって、上記セクションにおいて展開Aに対して定義された手順は、展開Bにも適用される。
【0075】
図7は、スタンドアローンNPNとしての展開‘オプションC’を説明する。
【0076】
(701)において、ネットワークは、NPNネットワークタイプ(特定のMCC/MNC)を報知する(broadcast)。(702)において、UEは、報知を受信し、この場合、オペレータクレデンシャルは有用ではないため、NPNクレデンシャルを使用することを決定する。(702)において、UEは、NPNクレデンシャルを使用することにより、SUCIを計算する。UEは、NPNビットを設定し、NPN識別子を公開鍵で暗号化した後、MNC及びMCCをNPNネットワーク値に設定する。ドメインは、暗号化後にSUCIに追加される。
【0077】
図8は、本開示にかかる、NPN Registration手順中のNPN SUCI処理(handling)の他の手順を示す。UEが、NPNサービスを必要とする場合、UEは、5G NR/RANにより送信されたNPNケーパビリティ報知情報(NPN capability broadcast information)からNPNネットワークを特定する。(801)において、UEは、Registration RequestメッセージをNPN AMFに送信する。Registration Requestメッセージは、UEネットワークアクセスケーパビリティ(PLMN/NPN)とともにUE NPN IDから生成されたNPN SUCIを含むことができる。(802)において、NPN AMF/SEAFは、NPN registration requestに対応できるかどうかをチェックするために、加入者ネットワークタイプ情報を、そのネットワークサービスアクセス制限と照合する。NPN AMFのネットワークサービスアクセス制限チェックが失敗した場合、NPN AMFは、Registration FailureをUEに送信する。NPN AMFのネットワークサービスアクセス制限チェックが成功した場合、(803)において、NPN AMF/SEAFは、NPN SUCI内のNPN固有のルーティングIDに基づいて、NPN Authentication RequestをNPN AUSFに送信する。NPN Authentication Requestメッセージは、NPN SUCI、UEネットワークアクセスケーパビリティ、及びNPN固有のサービングネットワーク識別子(5G S-NPN ID)を含むことができる。NPN AUSFは、NPNサービスを要求できるかどうかをチェックするために、5G S-NPN IDを検証し、NPN SUCI内のNPN固有のルーティングIDに基づいて、NPN UDMにNPN Authentication Data Requestを送信する。(805a)において、NPN UDMは、NPN SUCIを秘匿解除し(de-conceal)、(805b)において、NPN UDMは、NPNへのアクセスを許可するために、秘匿解除されたNPN SUPI及びその関連サブスクリプション情報を、UEネットワークアクセス制限情報と照合する。NPNアクセスのためのNPN SUPI関連ネットワーク制限情報が成功した場合、(806)において、NPN UDMは、NPN SUPI及びNPN AVとともにNPN Authentication data ResponseをNPN AUSFに送信する。
【0078】
NPN AV(NPN RAND、NPNマスター鍵、NPN AUTN、NPN XRES)に基づいて、authentication手順の残りが実行される。NPN認証が成功した後、(807)において、NPN AS及びNAS通信を保護するために、NPNKeyは、UEと、NPNアンカー機能との間で合意される。NPN AS及びNAS接続は、NPNKeyから導出されたセキュリティコンテキストに基づいて、機密性及び完全性保護することができる。
【0079】
本開示の他の実施形態では、UE NPN IDのプライバシー保護も説明される。NPN UEプライバシー保護の場合、サブスクリプションし現在の5Gで使用されるサブスクリプション識別子秘匿解除機能(SIDF:Subscription identifier de-concealing function)は、UE NPN attach requestメッセージによりネットワークに秘匿されたNPN識別子を秘匿解除するために使用される。PLMN attach requestの間に、現在の5GシステムでSUPIに適用されているプライバシー保護は、PLMN(非スタンドアローンNPN展開)又はNPN(スタンドアローン展開)のいずれかに送信されるNPN attach requestの間にSUPIに使用できる。
【0080】
さらに、展開A/B -非スタンドアローン展開では、SIDFサービスは、UEのNPN SUCIを秘匿解除するために、PLMN内のUDM/認証クレデンシャルリポジトリ及び処理機能(ARPF:Authentication credential Repository and Processing Function)により提供されることができ、及び/又は、NPNのためのSIDFサービスは、UEのNPN SUCIを秘匿解除するために、PLMN内の専用のUDM/ARPF(インスタンス)により提供されることができる。さらに、PLMNは、そこでホストされている/展開されている全てのNPNに対して、専用のUDM/ARPF(インスタンス)を持つことができ、展開C-スタンドアローン展開では、SIDFサービスは、NPN SUCIを秘匿解除するために、NPN UDM/認証、承認及びアカウンティング(AAA:Authentication, Authorization and Accounting)サーバにより提供されることができる。
【0081】
さらに、HN鍵(HN Key)の使用、展開A/Bでは、NPN SUCI構造において使用されるホームネットワーク(HN)公開鍵は、NPN SUPIプライバシーのためにPLMNにより別々に提供されることができ、及び/又は、PLMNにより提供されるHN公開鍵は、PLMN及びNPN SUPIプライバシーの両方のために使用されることができ、一方、展開Cでは、NPNは、対応するUE NPN識別子(SUPI)の秘匿のためにUEにより使用される、NPN公開鍵をUEに提供する。
【0082】
本開示はまた、NPN登録手順中のAUSF/UDM選択の方法を提供する。NPNサービスのAUSF/UDMルーティングの側面は、PLMN及びNPN固有のAUSF/UDM選択の両方に使用できるPLMNプロビジョニングルーティングID等の異なるオプションを含むことができる。
【0083】
NRF又はネットワーク機能(NF:Network Function)(AUSF/UDM)コンシューマは、UEにより送信されるルーティングIDとともにNPN UDM/AUSF選択をサポートするために、NPN UDM/AUSF(インスタンス)情報/グループ識別子情報に関する情報で設定できる。
【0084】
また、PLMNによるネットワーク/サブスクリプション固有のルーティングIDの提供において、PLMNは、ネットワーク(PLMN、NPN等)固有のルーティングIDをUEに提供できる。ネットワーク固有のルーティングIDは、ルーティングIDNPN及びルーティングIDPLMN等を含む。UEは、ネットワーク固有のルーティングIDを含むSUCIを構築できる。PLMNは、ネットワーク(NPN及びPLMN)固有のルーティング情報に関連するNRF又はNF (AUSF/UDM)を設定でき、NPNサービスを選択できる適切なAUSF及びUDMを選択できる。
【0085】
本開示によれば、UE NPNアタッチ手順中の異なるルーティング態様及びNPN-SUPI秘匿解除も提供され、図9によれば、ルーティング及びNPN SUPI秘匿解除が提供される。(901)において、ルーティングIDNPNは、NPN Attach Requestメッセージにおいて、UEからNPN CNにおけるノードに送信されることができる。ルーティングIDNPNは、認証手順を実行するために、UEから、NPNをホストしたPLMNにおける対応するNPN AUSFにメッセージをルーティングするために使用される必要がある。(902)において、NPN AUSFは、ホストされるNPNを管理する(responsible)、予め設定されたPLMN UDMインスタンスにAuthentication Data Requestをルーティングできる。PLMN UDMは、SUCI-NPNを秘匿解除するSIDF機能を提供し、(903)において、秘匿解除されたSUPI-NPNをNPN AUSFに送信する。認証後、NPN AUSFは、(906)において、NPN SUPIとともにNPN認証結果(成功/失敗)についてPLMN UDM/ARPFに通知する。
【0086】
図10による他の展開A/Bでは、本開示によるDN AAAルーティング及びNPN SUPI秘匿解除による変形例2の制御(Variant 2 Control)が開示され、その中で、ルーティングIDNPNがUEから、PLMN(PLMNホストNPN)における対応するNPN AUSF及びDN AAAサーバにメッセージをルーティングするために使用され、NPNアクセスのための認証手順を実行する。NPN AUSFは、(1002)において、ホストされたNPNを管理する(responsible)、予め設定されたDN-AAA UDMインスタンスに、Authentication Data Requestをルーティングできる。NPN UDMは、(1003)において、SUCI-NPNの秘匿解除するSIDF機能を提供し、DN AAAに、秘匿解除されたSUPI-NPNを送信する。DN-AAAは、認証を実行する。認証後、NPN AUSFは、(1006)において、NPN SUPIとともに、NPN認証結果(成功/失敗)についてNPN UDM及びDN AAAに通知する。
【0087】
図11は、本開示によるルーティング及びNPN SUPI秘匿解除の他の手順を示し、展開A/B-NPN UDMを有するPLMNによる変形例3の制御(Variant 3 Control)が説明される。ルーティングIDNPNは、(1101)において、UEからNPN CNにおけるノードへのNPN Attach Requestメッセージで送信されることができる。ルーティングIDNPNは、認証手順を実行するために、UEから、NPN(PLMNホストNPN)における対応するAUSF/UDMにメッセージをルーティングするために使用される必要がある。NPN AUSFは、(1102)において、ホストされたNPNを管理する(responsible)予め設定されたNPN UDMインスタンスに、Authentication Data Requestをルーティングできる。NPN UDMは、SUCI-NPNを秘匿解除するSIDF機能を提供し、NPN AUSFに、秘匿解除されたSUPI-NPNを送信する。認証後、(1106)において、NPN AUSFは、NPN SUPIとともに、NPN認証結果(成功/失敗)について、NPN UDM/ARPFに通知する。
【0088】
図12は、本開示によるルーティング及びNPN SUPI秘匿解除の他の手順を示し、展開A/B-DN AAAによる変形例4の制御(Variant 4 Control)が説明される。この変形例では、ルーティングIDNPNは、(1201)において、NPNアクセスの認証手順を実行するために、UEから、PLMNにおける対応するNPN AUSF及びAAAサーバにメッセージをルーティングするために使用される。NPN AUSFは、(1202)において、ホストされたNPNを管理する(responsible)予め設定されたDN-AAA UDMインスタンスに、Authentication Data Requestをルーティングできる。NPN UDMは、SUCI-NPNを秘匿解除するSIDF機能を提供し、(1203)において、秘匿解除されたSUPI-NPNをDN AAAに送信する。DN-AAAは、認証を実行する。認証後、(1206)において、NPN AUSFは、NPN SUPIとともに、NPN認証結果(成功/失敗)についてNPN UDM及びDN AAAに通知する。
【0089】
図13は、本開示によるルーティング及びNPN SUPI秘匿解除の他の手順を示し、展開C - スタンドアローンNPN(オプション1)が説明される。この変形例では、ルーティングIDNPNは、(1301)において、NPNアクセスの認証手順を実行するために、UEから、NPNにおけるAAAサーバ等の対応するNPNコアネットワークノード/認証サーバノードにメッセージをルーティングするために使用される必要がある。NPN AVは、RANDNPN、NPN AUTN、NPN ID及びNPN XRES等のNPN固有のセキュリティコンテキストを含むことができる。NPNのために導出された全てのセキュリティコンテキストは、セキュリティコンテキストの導出時にNPN識別子を含む必要がある。NPN UE ID及びNPN IDは、NPNアンカー鍵導出に使用できる。
【0090】
図14は、本開示によるルーティング及びNPN SUPI秘匿解除の他の手順を示し、展開C - スタンドアローンNPNが説明される。この変形例では、(1401)において、ルーティングIDNPNは、NPNアクセスの認証手順を実行するために、UEから、NPNにおける対応するNPNコアネットワークノード/認証サーバ(ex. NPN UDM/ARPF)にメッセージをルーティングするために使用される。(1402)において、attach requestにおいてUEにより送信され、Authentication Data Requestにおいて、NPN UDMに、NPN AUSFにより転送されたUEのNPN SUCI(SUCI-NPN ID)は、そのSIDFを使用してNPN UDMにより秘匿解除でき、NPN AVを生成する。(1403)において、NPN UDMは、NPN AVとともに、秘匿解除されたNPN SUPIをauthentication data responseにおいてNPN AUSFに送信する。NPN UDM NPN AVは、RANDNPN、NPN AUTN、NPN ID及びNPN XRES等のNPN固有のセキュリティコンテキストを含むことができる。認証が成功した後、NPNのために導出された全てのセキュリティコンテキストは、セキュリティコンテキストの導出時、NPN識別子を含む必要がある。NPN UE ID及びNPN IDは、NPNアンカー鍵導出に使用できる。
【0091】
図15は、ユーザ装置(UE:User Equipment)(1500)のブロック図を示す。示されるように、UEは、1つ又は複数のアンテナ(1505)を介して、接続されたノードに信号を送信し、接続されたノードから信号を受信するように動作可能なトランシーバ回路(1504)を備える。図15には必ずしも示されているわけではないが、UEは、当然、従来のモバイルデバイスの全ての通常の機能(ユーザインタフェース等)を有しており、これは、適宜、ハードウェア、ソフトウェア及びファームウェアの任意の1つ又は任意の組み合わせにより提供されてもよい。ソフトウェアは、メモリ(1502)に予めインストールされてもよく、及び/又は、電気通信ネットワークを介して、又は例えば、取り外し可能なデータストレージデバイス(RMD:removable data storage device)からダウンロードされてもよい。
【0092】
コントローラ(1501)は、メモリ(1506)に格納されたソフトウェアに従って、UE(1500)の動作を制御する。例えば、コントローラ(1501)は、中央処理装置(CPU:Central Processing Unit)により実現されてもよい。ソフトウェアは、とりわけ、オペレーティングシステム(1506)、及び少なくともトランシーバ制御モジュール(1508)を有する通信制御モジュール(1507)を含む。(トランシーバ制御サブモジュールを使用する)通信制御モジュール(1507)は、UEと、基地局/(R)ANノード、MME、AMF(及び他のコアネットワークノード)等の他のノードとの間のシグナリング及びアップリンク/ダウンリンクデータパケットの処理(生成/送信/受信)を担当する。そのようなシグナリングは、例えば、接続確立及び維持に関連する、適切にフォーマットされたシグナリングメッセージ(例えば、RRCメッセージ)、周期的なlocation update関連メッセージ(例えば、tracking area update、paging area update、location area update)等のNASメッセージを含み得る。
【0093】
図16は、例えば、基地局(LTEにおける'eNB'、5Gにおける'gNB')等のR(AN)ノード(1600)のブロック図を示す。示されるように、(R)ANノード(1600)は、1つ又は複数のアンテナ(1605)を介して、接続されたUEに信号を送信し、接続されたUEから信号を受信し、ネットワークインタフェース(1603)を介して、他のネットワークノードに(直接的に又は間接的に)信号を送信し、他のネットワークノードから(直接的に又は間接的に)信号を受信するように動作可能なトランシーバ回路(1604)を備える。コントローラ(1601)は、メモリ(1602)に格納されたソフトウェアに従って(R)ANノードの動作を制御する。例えば、コントローラ(1601)は、中央処理装置(CPU:Central Processing Unit)により実現されてもよい。ソフトウェアは、メモリ(1602)に予めインストールされてもよく、及び/又は、電気通信ネットワークを介して、又は例えば、取り外し可能なデータストレージデバイス(RMD:removable data storage device)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステム(1606)、及び少なくともトランシーバ制御モジュール(1608)を有する通信制御モジュール(1607)を含む。
【0094】
(トランシーバ制御サブモジュールを使用する)通信制御モジュール(1607)は、(例えば、直接的に又は間接的に)(R)ANノードと、UE、MME、AMF等の他のノードとの間のシグナリングの処理(生成/送信/受信)を担当する。シグナリングは、例えば、(特定のUEのための)無線接続及びロケーション手順、特に、接続確立及び維持(例えば、RRC Connection establishment及び他のRRCメッセージ)、周期location update関連メッセージ(例えば、tracking area update、paging area update、location area update)、S1 APメッセージ、及びNG-APメッセージ(つまり、N2参照ポイントによるメッセージ)等の適切にフォーマットされたシグナリングメッセージを含み得る。そのようなシグナリングはまた、送信する場合、例えば、報知情報(broadcast information)(例えば、マスター情報及びシステム情報)を含み得る。
【0095】
コントローラ(1601)はまた、実装される場合、UEモビリティ推定、及び/又は移動軌跡推定等の関連タスクを処理するように(ソフトウェア又はハードウェアにより)構成される。
【0096】
図17は、例えば、AMF、SEAF、AUSF、UDM、SIDF、ARPF、DN AAAサーバ又は任意の他のコアネットワークノード等の例示的なコアネットワーク(CN:core network)ノード(1700)の主要なコンポーネントを示す。AMFは、SEAFに代わるものであってもよい。UDMは、SIDF、ARPF又はDN AAAサーバに代わるものであってもよい。コアネットワークノード(1700)は、5Gコアネットワーク(5GC:5G core network)に含まれる。示されるように、コアネットワークノード(1700)は、ネットワークインタフェース(1702)を介して、(UEを含む)他のノードに信号を送信し、他のノードから信号を受信するように動作可能なトランシーバ回路(1703)を備える。コントローラ(1701)は、メモリ(1704)に格納されたソフトウェアに従ってコアネットワークノードの動作を制御する。例えば、コントローラ(1701)は、中央処理装置(CPU:Central Processing Unit)により実現されてもよい。ソフトウェアは、メモリ(1704)に予めインストールされてもよく、及び/又は、電気通信ネットワークを介して、又は例えば、取り外し可能なデータストレージデバイス(RMD:removable data storage device)からダウンロードされてもよい。ソフトウェアは、とりわけ、オペレーティングシステム(1705)、及び少なくともトランシーバ制御モジュール(1707)を有する通信制御モジュール(1706)を含む。
【0097】
(トランシーバ制御サブモジュールを使用する)通信制御モジュール(1706)は、(直接的に又は間接的に)コアネットワークノードと、UE、基地局/(R)ANノード(例えば、「gNB」又は「eNB」)等の他のノードとの間のシグナリングの処理(生成/送信/受信)を担当する。そのようなシグナリングは、例えば、本明細書に記載の手順に関連する適切にフォーマットされたシグナリングメッセージ、例えば、UEからのNASメッセージ及びUEへのNASメッセージを伝達するNG APメッセージ(つまり、N2参照ポイントによるメッセージ)を含み得る。
【0098】
本開示におけるユーザ装置(User equipment)(又は、「UE」、「移動局」、「モバイルデバイス」、又は「ワイヤレスデバイス」)は、無線インタフェースを介してネットワークに接続されるエンティティである。
【0099】
なお、本明細書におけるUEは、専用の通信デバイスに限定されるものではなく、以下の段落において説明されるように、本明細書において説明されるUEとして通信機能を有する任意のデバイスに適用できる。
【0100】
(3GPPにより使用される用語としての)「ユーザ装置」又は「UE」、「移動局」、「モバイルデバイス」及び「ワイヤレスデバイス」という用語は、一般的に、互いに同義であることを意図しており、端末、携帯電話、スマートフォン、タブレット、セルラIoTデバイス、IoTデバイス及び機械(machinery)等のスタンドアローンのモバイルステーションを含む。「UE」及び「ワイヤレスデバイス」という用語は、長期間にわたって静止したままであるデバイスも含むことが理解されるであろう。
【0101】
UEは、例えば、生産または製造のための機器のアイテム、および/または、エネルギー関連機械(例えば、ボイラー;エンジン;タービン;ソーラーパネル;風力タービン;水力発電機;火力発電機;原子力発電所;電池;原子力システム及び/又は関連機器;重電機器;真空ポンプを含むポンプ;コンプレッサー;ファン;ブロワー;油圧機器;空気圧機器;金属加工機械;マニピュレータ;ロボットやその応用システム;ツール;金型(molds)又は金型(dies);ロール;搬送機器;昇降機器;荷役機器;繊維機械;ミシン;印刷及び/又は関連機器;紙加工機械;化学機械;鉱業及び/又は建設機械、及び/又は関連設備;農林漁業のための機械及び/又は器具;安全及び/又は環境保全機器;トラクター;精密軸受;チェーン;ギア;動力伝達機器;潤滑機器;バルブ;配管継手;のような設備または機械、および/または、上記のいずれかの機器または機械等のアプリケーションシステム)のアイテムであってもよい。
【0102】
UEは、例えば、搬送機器(例えば、次のような輸送機器:車両(rolling stocks);自動車;モーターサイクル;自転車;列車;バス;カート;人力車;船舶、その他の船舶;航空機;ロケット;衛星;ドローン;バルーン等。)のアイテムであってもよい。
【0103】
UEは、例えば、情報通信機器(例えば、電子コンピュータ及び関連機器等の情報通信機器;通信及び関連機器;電子部品等)のアイテムであってもよい。
【0104】
UEは、例えば、冷凍機、冷凍機応用製品、商品及び/又はサービス産業機器のアイテム、自動販売機、自動サービス機械、オフィス機械又は機器、民生用電子機器(例えば、次のような民生用電子機器:オーディオ機器;ビデオ機器;スピーカー;ラジオ.;テレビ;電子レンジ;炊飯器;コーヒーマシン;食器洗い機;洗濯機;乾燥機;電子ファンまたは関連機器;掃除機など)であってもよい。
【0105】
UEは、例えば、電気アプリケーションシステムまたは機器(例えば、次のような電気アプリケーションシステムまたは機器:X線システム;粒子加速器;ラジオアイソトープ装置;音響機器;電磁応用機器;電子応用装置等)であってもよい。
【0106】
UEは、例えば、電子ランプ、照明器具、測定器、分析器、テスタ、または、測量または感知器(例えば、次のような測量機器または感知機器:煙警報器;人間の警報センサ;運動センサ;無線タグなど)、腕時計または時計、実験装置、光学装置、医療機器および/またはシステム、武器、刃物のアイテム、手工具などであってもよい。
UEは、例えば、無線を備えた携帯情報端末または関連機器(例えば、別の電子デバイス(例えば、パーソナルコンピュータ、電気計測器)に取り付けられるように設計された、または別の電子デバイスに挿入されるように設計された、ワイヤレスカードまたはモジュールのようなもの)であってもよい。
UEは、例えば、無線を備えた携帯情報端末または関連機器(例えば、別の電子デバイス(例えば、パーソナルコンピュータ、電気計測器)に取り付けられるように設計された、または別の電子デバイスに挿入されるように設計された、ワイヤレスカードまたはモジュールのようなもの)であってもよい。
【0107】
UEは、様々な有線および/または無線通信技術を使用して、「物のインターネット(IoT)」に関して、以下に説明するアプリケーション、サービス、およびソリューションを提供するデバイスまたはシステムの一部であり得る。
【0108】
物のインターネットデバイス(または「物」のインターネット)は、適切な電子機器、ソフトウェア、センサ、ネットワーク接続などを備えてもよく、これらのデバイスは、互いにおよび他の通信装置とデータを収集および交換することができる。IoTデバイスは、内部メモリに格納されたソフトウェア命令に従う自動化機器を備えることができる。IoTデバイスは、人間の監視や操作を必要とせずに動作する可能性がある。IoTデバイスは、長期間にわたって静止したり及び/又は非アクティブになったりする可能性もある。IoTデバイスは、(一般的には)固定装置の一部として実装することができる。IoTデバイスは、固定されていない機器(例えば、車両)に組み込まれていたり、監視/追跡の対象となる動物や人物に取り付けられていたりする場合もある。
【0109】
IoT技術は、人間の入力によって制御されるか又はメモリに記憶されたソフトウェア命令によって制御されるかにかかわらず、データを送受信するために通信ネットワークに接続することができる任意の通信装置に実装することができることが理解されるであろう。
【0110】
IoTデバイスは、マシンタイプ通信(MTC)デバイスまたはマシンツーマシン(M2M)通信デバイスまたはナローバンドIoT UE(NB-IoT UE)と呼ばれることもあることが理解されよう。UEは、1つ以上のIoTまたはMTCアプリケーションをサポートし得ることが理解されるであろう。MTCアプリケーションのいくつかの例は次のテーブルに示されている(出典:3GPP TS 22.368 V 13.1.0):
【0111】
その内容は参照により本明細書に組み込まれる。このリストは、完全なものではなく、マシンタイプ通信アプリケーションのいくつかの例を示すことを目的としている。
【0112】
アプリケーション、サービス、およびソリューションは、MVNO(モバイル仮想ネットワーク事業者(Mobile Virtual Network Operator))サービス、緊急無線通信システム、PBX(プライベートブランチeXchange)システム、PHS/デジタルコードレス通信システム、POS(Point of sale)システム、広告呼び出し(advertise calling)システム、MBMS(マルチメディアブロードキャストマルチキャストサービス)、V2X(Vehicle to Everything)システム、列車無線システム、位置関連サービス、災害/緊急無線通信サービス、コミュニティサービス、ビデオストリーミングサービス、フェムトセルアプリケーションサービス、VoLTE(Voice over LTE)サービス、課金サービス、ラジオオンデマンドサービス、ローミングサービス、活動監視サービス、電気通信事業者/通信NW選択サービス、機能制限サービス、PoC(概念検証(Proof of Concept))サービス、個人情報管理サービス、アドホックネットワーク/DTN(ディレイトレラントネットワーキング)サービスなどであり得る。
【0113】
さらに、上述したUEカテゴリは、本明細書に記載されている技術思想や実施例の応用例に過ぎない。もちろん、これらの技術思想や実施形態は、上述したUEに限定されるものではなく、種々の変形が可能である。
【0114】
当業者には理解されるように、本開示は、方法および装置として実施することができる。したがって、本開示は、完全にハードウェアの実施形態、ソフトウェアの実施形態、またはソフトウェアおよびハードウェアの態様を組み合わせた実施形態の形態を取ることができる。
【0115】
ブロック図の各ブロックは、コンピュータプログラム命令によって実施することができることが理解されよう。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、または他のプログラム可能なデータ処理装置のプロセッサに提供されて、コンピュータまたは他のプログラム可能なデータ処理装置のプロセッサを介して実行される命令が、フローチャートおよび/またはブロックダイヤグラムブロックにて規定された機能/動作を実行するための手段を生成するように、マシンを生成することができる。
汎用プロセッサは、マイクロプロセッサでもよいが、代替的に、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、又はステートマシーンであり得る。プロセッサはまた、コンピューティングデバイスの組み合わせ、例えば、複数のマイクロプロセッサ、1つ又は複数のマイクロプロセッサ、あるいは他のそのような構成として実装されてもよい。
汎用プロセッサは、マイクロプロセッサでもよいが、代替的に、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、又はステートマシーンであり得る。プロセッサはまた、コンピューティングデバイスの組み合わせ、例えば、複数のマイクロプロセッサ、1つ又は複数のマイクロプロセッサ、あるいは他のそのような構成として実装されてもよい。
【0116】
本明細書に開示される例に関連して説明された方法又はアルゴリズムは、ハードウェア、プロセッサにより実行されるソフトウェアモジュール、又はその2つの組み合わせで直接的に実装されてもよい。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバルディスク、CD-ROM又は当該技術分野で知られている他の記憶媒体に存在してもよい。記憶媒体は、プロセッサが記憶媒体から情報を読み取り、記憶媒体に情報を書き込むことができるように、プロセッサに結合されてもよい。代替的に、記憶媒体は、プロセッサに統合されてもよい。プロセッサ及び記憶媒体は、ASICに存在してもよい。
【0117】
開示された実施例の前述の説明は、当業者が本開示を作成又は使用することを可能にするために提供される。これらの実施例に対する様々な変更は、当業者には容易に明らかであり、本明細書で定義された一般的な原理が、開示の精神又は範囲から逸脱することなく他の実施例に適用され得る。したがって、本開示は、本明細書に示される実施例に限定されることを意図するものではなく、本明細書に開示される原理及び新規な特徴と一致する最も広い範囲が与えられるべきである。
【0118】
例えば、上記の態様の全部又は一部は、以下の付記のように記載できるが、これに限定されるものではない。
(付記1)
User Equipment(UE)であって、
トランシーバ回路と、
通信ノードのAccess and mobility Management Function(AMF)に識別子を送信するように前記トランシーバ回路を制御するように構成されるコントローラと、を備え、
前記通信ノードにおいて、前記UEのネットワークアクセス機能の認証が成功すると、前記コントローラは、前記通信ノードとセキュアな接続を維持するように構成される、UE。
(付記2)
前記識別子は、前記UEが特定のサービスのためのサブスクリプションを有しているかを示す情報を含み、
前記コントローラは、ネットワークにより送信される前記特定のサービスを受信するように前記トランシーバ回路を制御するように構成される、付記1に記載の方法。
(付記3)
前記情報は、ネットワークサブスクリプションタイプ情報である、付記2に記載の方法。
(付記4)
前記特定のサービスは、非パブリックネットワークサービスである、付記2又は3に記載の方法。
(付記5)
前記コントローラは、前記識別子を含むregistration requestメッセージを送信する前に、ネットワークインジケータを選択するように構成される、付記1~4のいずれか1項に記載の方法。
(付記6)
前記コントローラは、前記ネットワークインジケータビットを設定し、公開鍵により前記ネットワークインジケータを秘匿することにより、前記識別子を決定するように構成される、付記5に記載の方法。
(付記7)
前記識別子は、Subscription Concealed Identifier(SUCI)である、付記1~6のいずれか1項に記載の方法。
(付記8)
user equipment(UE)、第1のノード、第2のノード及び第3のノードを含む通信システムであって、
前記第1のノードは、前記UEにより送信されたregistration requestメッセージを受信し、前記UEが特定のサービスのためのサブスクリプションを有しているかを示す情報及び第1の識別子を含む前記registration requestメッセージを復号することにより前記情報を検証し、前記情報の検証が成功すると、第2の識別子を含むauthentication requestメッセージを前記第2のノードに送信するように構成され、
前記第2のノードは、前記第2の識別子を検証し、前記第1の識別子に含まれる第3の識別子に基づいて、authentication requestを前記第3のノードにルーティングするように構成され、
前記第3のノードは、前記authentication requestメッセージを復号し、前記UEとのセキュアな接続を提供するための応答を送信するように構成される、通信システム。
(付記9)
前記第1のノードは、ネットワークサービスアクセス制限に対する前記情報の一致に失敗すると、registration failureメッセージを送信するようにさらに構成される、付記8に記載の通信システム。
(付記10)
前記第1のノードは、Access and Mobility Management Function(AMF)である、付記8又は9に記載の通信システム。
(付記11)
前記第2のノードは、Authentication Server Function(AUSF)である、付記8~10のいずれか1項に記載の通信システム。
(付記12)
前記第3のノードは、Unified Data Management(UDM)である、付記8~11のいずれか1項に記載の通信システム。
(付記13)
前記情報は、ネットワークサブスクリプションタイプ情報である、付記8~12のいずれか1項に記載の通信システム。
(付記14)
前記第1の識別子は、Subscription Concealed Identifier(SUCI)である、付記8~13のいずれか1項に記載の通信システム。
(付記15)
前記第2の識別子は、ルーティングIDである、付記8~14のいずれか1項に記載の通信システム。
(付記16)
前記第3の識別子は、サービングネットワークIDである、付記8~15のいずれ1項に記載の通信システム。
(付記17)
前記特定のサービスは、非パブリックネットワークサービスである、付記8~16のいずれか1項に記載の通信システム。
(付記18)
user equipment(UE)と、ネットワークとの間のセキュアな接続を確立するための方法であって、
前記UEから前記ネットワークの第1のノードに、前記UEが、特定のサービスのためのサブスクリプションを有しているかどうかを示す情報を含むregistration requestであって、前記情報を含む前記第1の識別子を含むregistration requestを送信すること、及び
前記ネットワークの前記第1のノードにより、前記registration requestを検証し、前記第1の識別子が含まれる第2の識別子に基づいて、前記情報の検証が成功すると、前記ネットワークの第2のノードにauthentication requestを送信すること、を含み、前記第2の識別子は、前記特定のサービスのための前記ネットワークのノードをルーティングし、前記authentication requestは、前記第1の識別子、UEネットワークアクセスケーパビリティ、及び第3の識別子を含み、前記第3の識別子は、特定のサービングネットワークを識別し、
前記方法は、
前記ネットワークの前記第2のノードにより、前記第3の識別子を検証すること、
前記第3の識別子の検証が成功すると、前記ネットワークの前記第2のノードにより、前記第2の識別子に基づいて、前記ネットワークの第3のノードにauthentication data requestを送信すること、
前記ネットワークの前記第3のノードにより、UEネットワークアクセス制限情報を検証するために、前記第1の識別子を秘匿解除すること、及び
前記秘匿解除された第1の識別子及び前記情報の検証が成功すると、前記ネットワークの前記第3のノードにより、前記第1の識別子及び前記特定のサービスのための認証ベクトルを含むauthentication data feedbackを、前記ネットワークの前記第2のノードに送信すること、をさらに含む方法。
(付記19)
user equipment(UE)と、ネットワークとの間のセキュアな接続を確立するための方法であって、
前記UEから、前記ネットワークのビジテッドAccess and Mobility Function(AMF)に、前記UEが特定のサービスのためのサブスクリプションを有しているかを示す情報を含むregistration requestであって、Subscription Concealed Identifier(SUCI)を含むregistration requestを送信すること、
前記ビジテッド/サービングAMFにより、前記registration request及び前記SUCIを、前記UEの前記ネットワークアクセス/制限機能により検証すること、
前記SUCIの検証が成功すると、前記ネットワークのルーティングIDに基づいて、前記ネットワークのホームAuthentication Server Function(AUSF)に、ビジテッドAMFにより、authentication requestを送信すること、
前記ホームAUSFにより、前記ネットワークのための識別情報を検証し、前記SUCIにおける前記ルーティングIDに基づいて、前記ネットワークのホームUDMにauthentication requestをルーティングすること、
UEネットワークアクセス制限情報を検証するために、前記ホームUDMにより、前記SUCI情報を秘匿解除すること、及び
前記UE及び前記通信ネットワークとの間の安全な通信を提供するために、前記ネットワークの前記ホームUDMにより認証鍵を生成すること、を含む方法。
(付記20)
UEと、ネットワークとの間のセキュアな接続を確立するための方法であって、
UEから、前記ネットワークのビジテッドAccess and Mobility Function PLMN(AMF)に、SUCIを含むregistration requestを送信すること、
前記PLMN SEAFにより、前記SUCIを、前記UEの前記ネットワークアクセス/制限機能により検証すること、
前記SUCIの検証が成功すると、前記SEAFにより、前記ネットワークのホームAUSFにauthentication requestを送信すること、
前記ホームAUSFにより、前記ネットワークの識別情報を検証すること、
Authentication requestを、前記ネットワークのホームNPN UDMにルーティングすること、
UEネットワークアクセス制限情報を検証するために、前記ホームNPN UDMにより、前記SUCI情報を秘匿解除すること、及び
前記UEと、前記通信ネットワークとの間の暗号化された通信を提供するために、前記ネットワークの前記ホームNPN UDMにより、認証鍵を生成すること、を含む方法。
(付記1)
User Equipment(UE)であって、
トランシーバ回路と、
通信ノードのAccess and mobility Management Function(AMF)に識別子を送信するように前記トランシーバ回路を制御するように構成されるコントローラと、を備え、
前記通信ノードにおいて、前記UEのネットワークアクセス機能の認証が成功すると、前記コントローラは、前記通信ノードとセキュアな接続を維持するように構成される、UE。
(付記2)
前記識別子は、前記UEが特定のサービスのためのサブスクリプションを有しているかを示す情報を含み、
前記コントローラは、ネットワークにより送信される前記特定のサービスを受信するように前記トランシーバ回路を制御するように構成される、付記1に記載の方法。
(付記3)
前記情報は、ネットワークサブスクリプションタイプ情報である、付記2に記載の方法。
(付記4)
前記特定のサービスは、非パブリックネットワークサービスである、付記2又は3に記載の方法。
(付記5)
前記コントローラは、前記識別子を含むregistration requestメッセージを送信する前に、ネットワークインジケータを選択するように構成される、付記1~4のいずれか1項に記載の方法。
(付記6)
前記コントローラは、前記ネットワークインジケータビットを設定し、公開鍵により前記ネットワークインジケータを秘匿することにより、前記識別子を決定するように構成される、付記5に記載の方法。
(付記7)
前記識別子は、Subscription Concealed Identifier(SUCI)である、付記1~6のいずれか1項に記載の方法。
(付記8)
user equipment(UE)、第1のノード、第2のノード及び第3のノードを含む通信システムであって、
前記第1のノードは、前記UEにより送信されたregistration requestメッセージを受信し、前記UEが特定のサービスのためのサブスクリプションを有しているかを示す情報及び第1の識別子を含む前記registration requestメッセージを復号することにより前記情報を検証し、前記情報の検証が成功すると、第2の識別子を含むauthentication requestメッセージを前記第2のノードに送信するように構成され、
前記第2のノードは、前記第2の識別子を検証し、前記第1の識別子に含まれる第3の識別子に基づいて、authentication requestを前記第3のノードにルーティングするように構成され、
前記第3のノードは、前記authentication requestメッセージを復号し、前記UEとのセキュアな接続を提供するための応答を送信するように構成される、通信システム。
(付記9)
前記第1のノードは、ネットワークサービスアクセス制限に対する前記情報の一致に失敗すると、registration failureメッセージを送信するようにさらに構成される、付記8に記載の通信システム。
(付記10)
前記第1のノードは、Access and Mobility Management Function(AMF)である、付記8又は9に記載の通信システム。
(付記11)
前記第2のノードは、Authentication Server Function(AUSF)である、付記8~10のいずれか1項に記載の通信システム。
(付記12)
前記第3のノードは、Unified Data Management(UDM)である、付記8~11のいずれか1項に記載の通信システム。
(付記13)
前記情報は、ネットワークサブスクリプションタイプ情報である、付記8~12のいずれか1項に記載の通信システム。
(付記14)
前記第1の識別子は、Subscription Concealed Identifier(SUCI)である、付記8~13のいずれか1項に記載の通信システム。
(付記15)
前記第2の識別子は、ルーティングIDである、付記8~14のいずれか1項に記載の通信システム。
(付記16)
前記第3の識別子は、サービングネットワークIDである、付記8~15のいずれ1項に記載の通信システム。
(付記17)
前記特定のサービスは、非パブリックネットワークサービスである、付記8~16のいずれか1項に記載の通信システム。
(付記18)
user equipment(UE)と、ネットワークとの間のセキュアな接続を確立するための方法であって、
前記UEから前記ネットワークの第1のノードに、前記UEが、特定のサービスのためのサブスクリプションを有しているかどうかを示す情報を含むregistration requestであって、前記情報を含む前記第1の識別子を含むregistration requestを送信すること、及び
前記ネットワークの前記第1のノードにより、前記registration requestを検証し、前記第1の識別子が含まれる第2の識別子に基づいて、前記情報の検証が成功すると、前記ネットワークの第2のノードにauthentication requestを送信すること、を含み、前記第2の識別子は、前記特定のサービスのための前記ネットワークのノードをルーティングし、前記authentication requestは、前記第1の識別子、UEネットワークアクセスケーパビリティ、及び第3の識別子を含み、前記第3の識別子は、特定のサービングネットワークを識別し、
前記方法は、
前記ネットワークの前記第2のノードにより、前記第3の識別子を検証すること、
前記第3の識別子の検証が成功すると、前記ネットワークの前記第2のノードにより、前記第2の識別子に基づいて、前記ネットワークの第3のノードにauthentication data requestを送信すること、
前記ネットワークの前記第3のノードにより、UEネットワークアクセス制限情報を検証するために、前記第1の識別子を秘匿解除すること、及び
前記秘匿解除された第1の識別子及び前記情報の検証が成功すると、前記ネットワークの前記第3のノードにより、前記第1の識別子及び前記特定のサービスのための認証ベクトルを含むauthentication data feedbackを、前記ネットワークの前記第2のノードに送信すること、をさらに含む方法。
(付記19)
user equipment(UE)と、ネットワークとの間のセキュアな接続を確立するための方法であって、
前記UEから、前記ネットワークのビジテッドAccess and Mobility Function(AMF)に、前記UEが特定のサービスのためのサブスクリプションを有しているかを示す情報を含むregistration requestであって、Subscription Concealed Identifier(SUCI)を含むregistration requestを送信すること、
前記ビジテッド/サービングAMFにより、前記registration request及び前記SUCIを、前記UEの前記ネットワークアクセス/制限機能により検証すること、
前記SUCIの検証が成功すると、前記ネットワークのルーティングIDに基づいて、前記ネットワークのホームAuthentication Server Function(AUSF)に、ビジテッドAMFにより、authentication requestを送信すること、
前記ホームAUSFにより、前記ネットワークのための識別情報を検証し、前記SUCIにおける前記ルーティングIDに基づいて、前記ネットワークのホームUDMにauthentication requestをルーティングすること、
UEネットワークアクセス制限情報を検証するために、前記ホームUDMにより、前記SUCI情報を秘匿解除すること、及び
前記UE及び前記通信ネットワークとの間の安全な通信を提供するために、前記ネットワークの前記ホームUDMにより認証鍵を生成すること、を含む方法。
(付記20)
UEと、ネットワークとの間のセキュアな接続を確立するための方法であって、
UEから、前記ネットワークのビジテッドAccess and Mobility Function PLMN(AMF)に、SUCIを含むregistration requestを送信すること、
前記PLMN SEAFにより、前記SUCIを、前記UEの前記ネットワークアクセス/制限機能により検証すること、
前記SUCIの検証が成功すると、前記SEAFにより、前記ネットワークのホームAUSFにauthentication requestを送信すること、
前記ホームAUSFにより、前記ネットワークの識別情報を検証すること、
Authentication requestを、前記ネットワークのホームNPN UDMにルーティングすること、
UEネットワークアクセス制限情報を検証するために、前記ホームNPN UDMにより、前記SUCI情報を秘匿解除すること、及び
前記UEと、前記通信ネットワークとの間の暗号化された通信を提供するために、前記ネットワークの前記ホームNPN UDMにより、認証鍵を生成すること、を含む方法。
【0119】
本出願は、2019年1月18日に出願されたインド特許出願第201911002286号に基づく優先権の利益を主張するものであり、その開示は、その全体が参照により本明細書に組み込まれる。
【符号の説明】
【0120】
1500 UE
1501、1601、1701 コントローラ
1502、1602、1704 メモリ
1503ユーザインタフェース
1504、1604 トランシーバ回路
1505、1605 アンテナ
1506、1606、1705 オペレーティングシステム
1507、1607、1706 通信制御モジュール
1508、1608、1703、1707 トランシーバ制御モジュール
1600 (R)ANノード
1603、1702 ネットワークインタフェース
1700 コアネットワークノード
1501、1601、1701 コントローラ
1502、1602、1704 メモリ
1503ユーザインタフェース
1504、1604 トランシーバ回路
1505、1605 アンテナ
1506、1606、1705 オペレーティングシステム
1507、1607、1706 通信制御モジュール
1508、1608、1703、1707 トランシーバ制御モジュール
1600 (R)ANノード
1603、1702 ネットワークインタフェース
1700 コアネットワークノード
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】