知財求人 - 知財ポータルサイト「IP Force」
▶ テレフオンアクチーボラゲット エル エム エリクソン(パブル)の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024026380
(43)【公開日】2024-02-28
(54)【発明の名称】認証および鍵管理における認証サーバー機能の選択
(51)【国際特許分類】
H04W 12/0431 20210101AFI20240220BHJP
H04W 12/06 20210101ALI20240220BHJP
【FI】
H04W12/0431
H04W12/06
【審査請求】有
【請求項の数】41
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023211447
(22)【出願日】2023-12-14
(62)【分割の表示】P 2022548076の分割
【原出願日】2021-01-25
(31)【優先権主張番号】PCT/CN2020/076132
(32)【優先日】2020-02-21
(33)【優先権主張国・地域又は機関】CN
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.3GPP
2.ZIGBEE
3.Blu-ray
(71)【出願人】
【識別番号】598036300
【氏名又は名称】テレフオンアクチーボラゲット エルエム エリクソン(パブル)
(74)【代理人】
【識別番号】110003281
【氏名又は名称】弁理士法人大塚国際特許事務所
(72)【発明者】
【氏名】ツィアツィス, ヴラシオス
(72)【発明者】
【氏名】ワン, チェン
(72)【発明者】
【氏名】カステジャノス サモラ, デーヴィッド
(57)【要約】 (修正有)
【課題】より詳細には、通信ネットワークにおけるアプリケーションのセキュアな使用に関する認証および鍵管理のための方法を提供する。
【解決手段】通信ネットワーク内の鍵管理ノードによって実行される方法をであって、アプリケーション機能から、特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵の要求を受信することを含むことと、要求は特定のユーザに関連する情報である、アプリケーションに固有でないアンカセキュリティ鍵の第1の識別子およびネットワーク購読に関する第2の識別子、の表現を含むことと、表現に基づいて、アプリケーションに固有でないアンカセキュリティ鍵を生成した認証サーバ機能を特定することと、を含む。
【選択図】図14
【解決手段】通信ネットワーク内の鍵管理ノードによって実行される方法をであって、アプリケーション機能から、特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵の要求を受信することを含むことと、要求は特定のユーザに関連する情報である、アプリケーションに固有でないアンカセキュリティ鍵の第1の識別子およびネットワーク購読に関する第2の識別子、の表現を含むことと、表現に基づいて、アプリケーションに固有でないアンカセキュリティ鍵を生成した認証サーバ機能を特定することと、を含む。
【選択図】図14
【特許請求の範囲】
【請求項1】
通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)によって実行される方法であって、
アプリケーション機能から、特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を受信することと、ここで前記要求は、前記特定のユーザに関連付けられた情報である、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)およびネットワーク購読に関する第2の識別子、の表現を含み、
前記表現に基づいて、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成した認証サーバ機能(AUSF)を特定することと、を有する方法。
アプリケーション機能から、特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を受信することと、ここで前記要求は、前記特定のユーザに関連付けられた情報である、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)およびネットワーク購読に関する第2の識別子、の表現を含み、
前記表現に基づいて、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成した認証サーバ機能(AUSF)を特定することと、を有する方法。
【請求項2】
前記特定されたAUSFから前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を取得することと、
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいて、前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することと、
をさらに有する、請求項1に記載の方法。
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいて、前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することと、
をさらに有する、請求項1に記載の方法。
【請求項3】
前記表現は、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)と、Kakmaを生成した前記AUSFとの間のバインディングの第3の識別子(B-ID)を含み、
前記第3の識別子は、前記第1および第2の識別子の表現と、前記AUSFに関連付けられた情報とを含む、請求項1または2に記載の方法。
前記第3の識別子は、前記第1および第2の識別子の表現と、前記AUSFに関連付けられた情報とを含む、請求項1または2に記載の方法。
【請求項4】
前記AUSFに関連付けられた前記情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含む、請求項3に記載の方法。
【請求項5】
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成した前記AUSFを特定することは、前記AUSFに関連付けられた前記情報に基づいて、ネットワークリポジトリ機能(NRF)を用いて前記AUSFの識別情報を発見することを有する、請求項3または4に記載の方法。
【請求項6】
前記特定されたAUSFから前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を取得することは、
前記特定されたAUSFに、前記第3の識別子を含んだ要求を送信することと、
前記特定されたAUSFから、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)および前記第2の識別子を含んだ応答を受信することと、
を有する請求項3から5のいずれか1項に記載の方法。
前記特定されたAUSFに、前記第3の識別子を含んだ要求を送信することと、
前記特定されたAUSFから、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)および前記第2の識別子を含んだ応答を受信することと、
を有する請求項3から5のいずれか1項に記載の方法。
【請求項7】
前記表現は、
前記第1の識別子および前記第2の識別子、または
前記第2の識別子の表現を含んだ前記第1の識別子、
のうちの1つを含む、請求項1または2に記載の方法。
前記第1の識別子および前記第2の識別子、または
前記第2の識別子の表現を含んだ前記第1の識別子、
のうちの1つを含む、請求項1または2に記載の方法。
【請求項8】
前記第2の識別子は、
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項7に記載の方法。
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項7に記載の方法。
【請求項9】
前記AUSFを特定することは、
前記第2の識別子に基づいて、前記通信ネットワーク内の統合データ管理(UDM)機能を選択することと、
前記AUSFに関連付けられた第4の識別子の要求を前記UDMに送信することと、
前記第4の識別子を含んだ第1の応答を前記UDMから受信することと、
を有する、請求項7または8に記載の方法。
前記第2の識別子に基づいて、前記通信ネットワーク内の統合データ管理(UDM)機能を選択することと、
前記AUSFに関連付けられた第4の識別子の要求を前記UDMに送信することと、
前記第4の識別子を含んだ第1の応答を前記UDMから受信することと、
を有する、請求項7または8に記載の方法。
【請求項10】
前記第1の応答は、前記特定のユーザに関連付けられた前記ネットワーク購読に関するさらなる第2の識別子をさらに含む、請求項9に記載の方法。
【請求項11】
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を取得することは、
前記第4の識別子に関連付けられた前記AUSFに、前記第2の識別子または、前記特定のユーザに関連付けられた前記ネットワーク購読に関するさらなる第2の識別子、を含んだ第2の要求を送信することと、
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含んだ第2の応答を前記AUSFから受信することと、
を有する、請求項9または10に記載の方法。
前記第4の識別子に関連付けられた前記AUSFに、前記第2の識別子または、前記特定のユーザに関連付けられた前記ネットワーク購読に関するさらなる第2の識別子、を含んだ第2の要求を送信することと、
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含んだ第2の応答を前記AUSFから受信することと、
を有する、請求項9または10に記載の方法。
【請求項12】
前記第2の要求が前記第1の識別子をさらに含むこと、および
前記第2の応答が前記第1の識別子をさらに含むこと、
の条件のうちの1つが適用される、請求項11に記載の方法。
前記第2の応答が前記第1の識別子をさらに含むこと、
の条件のうちの1つが適用される、請求項11に記載の方法。
【請求項13】
前記さらなる第2の識別子は購読永続識別子(SUPI)であり、前記第2の識別子はSUPI以外の識別子である、請求項10または12に記載の方法。
【請求項14】
前記アプリケーション機能に、前記アプリケーションセッションに固有の前記セキュリティ鍵(Kaf)を送信すること、をさらに有する請求項1から13のいずれか1項に記載の方法。
【請求項15】
通信ネットワークにおける鍵管理サーバによって実行される方法であって:
認証サーバ機能(AUSF)から、特定のユーザに関連付けられた情報を受信することと、ここで前記情報は、
アプリケーションに固有でないアンカセキュリティ鍵(Kakma)、
前記アプリケーションに固有でないアンカセキュリティ鍵の第1の識別子(KakmaID)、および
ネットワーク購読に関する第2の識別子、であり、
アプリケーション機能から、前記特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を受信することと、ここで前記要求は、前記特定のユーザに関連付けられた、アプリケーションに固有でないアンカセキュリティ鍵のさらなる識別子(KakmaID)を含み、
前記第1の識別子と前記さらなる識別子との一致に基づき、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいて、前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することと、を有する方法。
認証サーバ機能(AUSF)から、特定のユーザに関連付けられた情報を受信することと、ここで前記情報は、
アプリケーションに固有でないアンカセキュリティ鍵(Kakma)、
前記アプリケーションに固有でないアンカセキュリティ鍵の第1の識別子(KakmaID)、および
ネットワーク購読に関する第2の識別子、であり、
アプリケーション機能から、前記特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を受信することと、ここで前記要求は、前記特定のユーザに関連付けられた、アプリケーションに固有でないアンカセキュリティ鍵のさらなる識別子(KakmaID)を含み、
前記第1の識別子と前記さらなる識別子との一致に基づき、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいて、前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することと、を有する方法。
【請求項16】
前記鍵管理サーバは、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)インスタンスを複数有し、各AAnFインスタンスはユーザ装置ルーティングインジケータ(RID)の範囲に対応し、
前記要求は、前記特定のユーザに関連付けられたルーティングインジケータ(RID)をさらに含み、
前記方法が、前記受信したRIDに基づいてAAnFインスタンスを選択することをさらに有し、
前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することは、前記選択されたAAnFインスタンスによって実行される、請求項15に記載の方法。
前記要求は、前記特定のユーザに関連付けられたルーティングインジケータ(RID)をさらに含み、
前記方法が、前記受信したRIDに基づいてAAnFインスタンスを選択することをさらに有し、
前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することは、前記選択されたAAnFインスタンスによって実行される、請求項15に記載の方法。
【請求項17】
前記第2の識別子は購読永続識別子(SUPI)である、請求項15または16に記載の方法。
【請求項18】
前記鍵管理サーバは、ユーザ装置ルーティングインジケータ(RID)の1つまたは複数の範囲に関連付けられ、
前記方法は、前記鍵管理サーバと前記1つまたは複数の範囲との関連付けを、前記通信ネットワーク内のネットワークリポジトリ機能(NRF)に登録することをさらに有する、
請求項15から17のいずれか1項に記載の方法。
前記方法は、前記鍵管理サーバと前記1つまたは複数の範囲との関連付けを、前記通信ネットワーク内のネットワークリポジトリ機能(NRF)に登録することをさらに有する、
請求項15から17のいずれか1項に記載の方法。
【請求項19】
通信ネットワーク内のアプリケーション機能によって実行される方法であって、
ユーザ装置から、アプリケーションセッションの確立の第1の要求を受信することと、ここで前記第1の要求は、特定のユーザに関連付けられた情報である、
アプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)および
ネットワーク購読に関する第2の識別子、
の表現を含み、
前記通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)に、アプリケーションセッションに固有のセキュリティ鍵(Kaf)の第2の要求を送信することと、ここで前記第2の要求は前記第1および第2の識別子の表現を含み、
前記AAnFから、前記アプリケーションセッションに固有の前記セキュリティ鍵(Kaf)を受信することと、を有する方法。
ユーザ装置から、アプリケーションセッションの確立の第1の要求を受信することと、ここで前記第1の要求は、特定のユーザに関連付けられた情報である、
アプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)および
ネットワーク購読に関する第2の識別子、
の表現を含み、
前記通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)に、アプリケーションセッションに固有のセキュリティ鍵(Kaf)の第2の要求を送信することと、ここで前記第2の要求は前記第1および第2の識別子の表現を含み、
前記AAnFから、前記アプリケーションセッションに固有の前記セキュリティ鍵(Kaf)を受信することと、を有する方法。
【請求項20】
前記表現は、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成した前記AUSFとの間のバインディングの第3の識別子(B-ID)を含み、
前記第3の識別子は、
前記第1および第2の識別子の表現および
前記AUSFに関連付けられた情報
を含む、請求項19に記載の方法。
前記第3の識別子は、
前記第1および第2の識別子の表現および
前記AUSFに関連付けられた情報
を含む、請求項19に記載の方法。
【請求項21】
前記AUSFに関連付けられた前記情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含む、請求項20に記載の方法。
【請求項22】
前記表現は、
前記第1の識別子および第2の識別子、または
前記第2の識別子の表現を含んだ前記第1の識別子、
の1つを含む、請求項19に記載の方法。
前記第1の識別子および第2の識別子、または
前記第2の識別子の表現を含んだ前記第1の識別子、
の1つを含む、請求項19に記載の方法。
【請求項23】
前記第2の識別子は、
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項22に記載の方法。
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項22に記載の方法。
【請求項24】
前記受信したセキュリティ鍵(Kaf)に基づいて、前記ユーザ装置とのセキュアなアプリケーションセッションを確立することをさらに有する、請求項19から23のいずれか1項に記載の方法。
【請求項25】
通信ネットワーク内の認証サーバ機能(AUSF)によって実行される方法であって、
前記通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)の要求を受信することと、ここで前記要求は、
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)および
前記特定のユーザのネットワーク購読に関する第2の識別子、
の第1の表現を含み、
前記AAnFに、要求された前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含んだ応答を送信することと、を有する方法。
前記通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)の要求を受信することと、ここで前記要求は、
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)および
前記特定のユーザのネットワーク購読に関する第2の識別子、
の第1の表現を含み、
前記AAnFに、要求された前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含んだ応答を送信することと、を有する方法。
【請求項26】
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)および前記関連付けられた第1の識別子(KakmaID)を生成することと、
前記通信ネットワーク内の統合データ管理(UDM)機能に、前記AUSFに関連付けられた第4の識別子(AUSFID)および、少なくとも前記第1の識別子(KakmaID)の第2の表現を送信することと、
をさらに有する、請求項25に記載の方法。
前記通信ネットワーク内の統合データ管理(UDM)機能に、前記AUSFに関連付けられた第4の識別子(AUSFID)および、少なくとも前記第1の識別子(KakmaID)の第2の表現を送信することと、
をさらに有する、請求項25に記載の方法。
【請求項27】
前記第1および第2の表現は、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成した前記AUSFとの間のバインディングの第3の識別子(B-ID)を含み、
前記第3の識別子は、
前記第1および第2の識別子の表現および
前記AUSFに関連付けられた情報
を含む、請求項26に記載の方法。
前記第3の識別子は、
前記第1および第2の識別子の表現および
前記AUSFに関連付けられた情報
を含む、請求項26に記載の方法。
【請求項28】
前記AUSFに関連付けられた前記情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含む、請求項27に記載の方法。
【請求項29】
前記応答は、前記特定のユーザに関連付けられた購読永続識別子(SUPI)をさらに含む、請求項27または28に記載の方法。
【請求項30】
前記第2の表現は前記第1の識別子を含み、前記第1の表現は前記第1の識別子および前記第2の識別子を含む、請求項26に記載の方法。
【請求項31】
前記第2の識別子は、
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項25から30のいずれか1項に記載の方法。
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項25から30のいずれか1項に記載の方法。
【請求項32】
通信ネットワーク内の認証サーバ機能(AUSF)によって実行される方法であって、
特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成することと、ここで前記アプリケーションに固有でないアンカセキュリティ鍵は第1の識別子(KakmaID)に関連付けられており、
前記特定のユーザのネットワーク購読に関する第2の識別子に基づいて、前記特定のユーザに関連付けられた、前記通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)を選択することと、を有する方法。
特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成することと、ここで前記アプリケーションに固有でないアンカセキュリティ鍵は第1の識別子(KakmaID)に関連付けられており、
前記特定のユーザのネットワーク購読に関する第2の識別子に基づいて、前記特定のユーザに関連付けられた、前記通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)を選択することと、を有する方法。
【請求項33】
前記特定されたAAnFに、
前記特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)、前記第1の識別子(KakmaID)、および前記特定のユーザのネットワーク購読に関する前記第2の識別子、を送信することをさらに有する、請求項32に記載の方法。
前記特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)、前記第1の識別子(KakmaID)、および前記特定のユーザのネットワーク購読に関する前記第2の識別子、を送信することをさらに有する、請求項32に記載の方法。
【請求項34】
通信ネットワーク内の統合データ管理(UDM)機能によって実行される方法であって、
前記通信ネットワーク内の認証サーバ機能(AUSF)から、前記AUSFに関連付けられた第4の識別子(AUSFID)と、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)とを受信することと、
前記通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、前記第4の識別子の要求を受信することと、
前記AAnFに前記第4の識別子を含んだ応答を送信することと、を有する方法。
前記通信ネットワーク内の認証サーバ機能(AUSF)から、前記AUSFに関連付けられた第4の識別子(AUSFID)と、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)とを受信することと、
前記通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、前記第4の識別子の要求を受信することと、
前記AAnFに前記第4の識別子を含んだ応答を送信することと、を有する方法。
【請求項35】
前記要求は前記第1の識別子を含み、
前記応答は前記特定のユーザに関連付けられたネットワーク購読に関する第2の識別子をさらに含む、請求項34に記載の方法。
前記応答は前記特定のユーザに関連付けられたネットワーク購読に関する第2の識別子をさらに含む、請求項34に記載の方法。
【請求項36】
前記第1の識別子(KakmaID)が前記第2の識別子の表現を含む、請求項35に記載の方法。
【請求項37】
前記要求は前記特定のユーザに関連付けられたネットワーク購読に関するさらなる第2の識別子を含み、
前記方法は前記さらなる第2の識別子に基づいて前記第2の識別子を特定することをさらに有する、請求項35に記載の方法。
前記方法は前記さらなる第2の識別子に基づいて前記第2の識別子を特定することをさらに有する、請求項35に記載の方法。
【請求項38】
前記第2の識別子は購読永続識別子(SUPI)であり、
前記さらなる第2の識別子はSUPI以外の識別子である、請求項37に記載の方法。
前記さらなる第2の識別子はSUPI以外の識別子である、請求項37に記載の方法。
【請求項39】
前記AUSFは複数のAUSFインスタンスを有し、各AUSFインスタンスはネットワーク購読に関連付けられた識別子の範囲に対応し、
前記方法は、前記第2の識別子に基づいて特定のAUSFインスタンスを選択することをさらに有し、
前記第4の識別子は、前記選択されたAUSFインスタンスに対応する、請求項34から38のいずれか1項に記載の方法。
前記方法は、前記第2の識別子に基づいて特定のAUSFインスタンスを選択することをさらに有し、
前記第4の識別子は、前記選択されたAUSFインスタンスに対応する、請求項34から38のいずれか1項に記載の方法。
【請求項40】
通信ネットワーク内の鍵管理機能であって、 前記鍵管理機能は、
前記通信ネットワーク内の少なくともアプリケーション機能および認証サーバ機能(AUSF)と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が実施形態1から18のいずれかの方法に対応する動作を実行するように構成される処理回路と、を有する鍵管理機能。
前記通信ネットワーク内の少なくともアプリケーション機能および認証サーバ機能(AUSF)と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が実施形態1から18のいずれかの方法に対応する動作を実行するように構成される処理回路と、を有する鍵管理機能。
【請求項41】
通信ネットワーク内の鍵管理機能であって、実施形態1から18のいずれかの方法に対応する動作を実行するように構成された鍵管理機能。
【請求項42】
通信ネットワーク内の鍵管理機能に関連付けられた処理回路によって実行されると、前記鍵管理機能を実施形態1から18のいずれかの方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を格納する非一時的コンピュータ可読媒体。
【請求項43】
通信ネットワーク内の鍵管理機能に関連付けられた処理回路によって実行されると、前記鍵管理機能を実施形態1から18のいずれかの方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を有するコンピュータプログラム製品。
【請求項44】
通信ネットワーク内のアプリケーション機能であって、前記アプリケーション機能は、
前記通信ネットワーク内の少なくとも鍵管理機能と、ユーザ機器と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が実施形態19から24の方法のいずれかに対応する動作を実行するように構成される処理回路と、を有するアプリケーション機能。
前記通信ネットワーク内の少なくとも鍵管理機能と、ユーザ機器と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が実施形態19から24の方法のいずれかに対応する動作を実行するように構成される処理回路と、を有するアプリケーション機能。
【請求項45】
通信ネットワーク内のアプリケーション機能であって、前記アプリケーション機能は、実施形態19から24のいずれかの方法に対応する動作を実行するように構成される、アプリケーション機能。
【請求項46】
通信ネットワーク内のアプリケーション機能に関連付けられた処理回路によって実行されると、前記アプリケーション機能を実施形態19から24のいずれかの方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を記憶する非一時的コンピュータ可読媒体。
【請求項47】
通信ネットワーク内のアプリケーション機能に関連付けられた処理回路によって実行されると、前記アプリケーション機能を実施形態19から24のいずれかの方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を有するコンピュータプログラム製品。
【請求項48】
通信ネットワーク内の認証サーバ機能(AUSF)であって、前記AUSFは、
前記通信ネットワーク内の少なくとも鍵管理機能および統合データ管理(UDM)機能と、ユーザ機器と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に結合された処理回路であって、それによって前記処理回路および前記インターフェース回路が実施形態25から33の方法のいずれかに対応する動作を実行するように構成される処理回路と、を有する認証サーバ機能(AUSF)。
前記通信ネットワーク内の少なくとも鍵管理機能および統合データ管理(UDM)機能と、ユーザ機器と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に結合された処理回路であって、それによって前記処理回路および前記インターフェース回路が実施形態25から33の方法のいずれかに対応する動作を実行するように構成される処理回路と、を有する認証サーバ機能(AUSF)。
【請求項49】
通信ネットワーク内の認証サーバ機能(AUSF)であって、実施形態25から33のいずれかの方法に対応する動作を実行するように構成される、認証サーバ機能(AUSF)。
【請求項50】
通信ネットワーク内の認証サーバ機能(AUSF)に関連付けられた処理回路によって実行されると、前記AUSFを実施形態25から33のいずれかの方法に対応する動作を実行するようにを構成するコンピュータ実行可能命令、を格納する非一時的コンピュータ可読媒体。
【請求項51】
通信ネットワーク内の認証サーバ機能(AUSF)に関連付けられた処理回路によって実行されると、前記AUSFを実施形態25から33のいずれかの方法に対応する動作を実行するようにを構成するコンピュータ実行可能命令、を有するコンピュータプログラム製品。
【請求項52】
通信ネットワーク内の統合データ管理(UDM)機能であって、前記UDM機能は、
前記通信ネットワーク内の少なくとも鍵管理機能および認証サーバ機能(AUSF)と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が実施形態34から39のいずれかの方法に対応する動作を実行するように構成される処理回路と、を有するUDM機能。
前記通信ネットワーク内の少なくとも鍵管理機能および認証サーバ機能(AUSF)と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が実施形態34から39のいずれかの方法に対応する動作を実行するように構成される処理回路と、を有するUDM機能。
【請求項53】
通信ネットワーク内の統合データ管理(UDM)機能であって、前記UDM機能は、実施形態34から39のいずれかの方法に対応する動作を実行するように構成される、UDM機能。
【請求項54】
通信ネットワーク内の統合データ管理(UDM)機能に関連付けられた処理回路によって実行されると、前記UDM機能を実施形態34から39のいずれかの方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を格納する非一時的コンピュータ可読媒体。
【請求項55】
通信ネットワーク内の統合データ管理(UDM)機能に関連付けられた処理回路によって実行されると、前記UDM機能を実施形態34から39のいずれかの方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を有するコンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は概して、通信ネットワークの分野に関し、より詳細には、通信ネットワークにおけるアプリケーションのセキュアな使用に関する認証および鍵管理のための技術に関する。
【背景技術】
【0002】
ロングタームエボリューション(LTE)は、第3世代パートナーシッププロジェクト(3GPP)内で開発され、発展型UTRAN(E-UTRAN)としても知られるリリース8および9において最初に標準化された、いわゆる第4世代(4G)無線アクセス技術の包括的用語である。LTEは様々な免許周波数帯域をターゲットとし、発展型パケットコア(EPC)ネットワークを含む、一般にシステムアーキテクチャエボリューション(SAE)と呼ばれる非無線部分の改善を伴う。LTEは、その後のリリースを通じて進化し続けている。Release 11の特徴の1つは拡張物理ダウンリンク制御チャネル(ePDCCH)である。ePDCCHは、容量の増加、制御チャネルリソースの空間再利用の改善、セル間干渉制御(ICIC)の改善、制御チャネルのアンテナビームフォーミングおよび/または送信ダイバーシチのサポートを目的としている。
【0003】
LTEおよびSAEを備えるネットワークの全体的な例示的なアーキテクチャが図1に示されている。E-UTRAN100は、eNB105、110、および115のような1つまたは複数の発展型ノードB(eNB)と、UE120などの1つまたは複数のユーザ装置(UE)とを含む。3GPP規格で用いられる「ユーザ機器」または「UE」は、第3世代(3G)および第2世代(2G)の3GPP無線アクセスネットワークとして一般に知られているような、E-UTRAN、UTRANおよび/またはGERANを含む、3GPP規格に準拠したネットワーク機器と通信可能な任意の無線通信機器(例えばスマートフォンまたはコンピューティングデバイス)を意味する。
【0004】
3GPPによって規定されているように、E-UTRAN100は、無線ベアラ制御、無線アドミッション制御、無線モビリティ制御、スケジューリング、およびアップリンクおよびダウンリンクにおけるUEへのリソースの動的割り当て、ならびにUEとの通信のセキュリティを含む、ネットワーク内のすべての無線関連機能を受け持つ。これらの機能は、eNB105、110、および115などのeNBに存在する。図1に示されるように、E-UTRAN内のeNBはX1インターフェースを介して互いに通信する。eNBはまた、EPC130へのE-UTRANインターフェース、具体的には図1にMME/S-GW134および138として包括的に示される、モビリティ管理エンティティ(MME)およびサービングゲートウェイ(SGW)へのS1インターフェースを受け持つ。概して、MME/S-GWはUEの全体的制御と、UEとEPCの残りとの間のデータフローとの両方を処理する。より具体的には、MMEは、非アクセスストラタム(NAS)プロトコルとして知られる、UEとEPCとの間のシグナリング(例えば、制御プレーン)プロトコルを処理する。S-GWはUEとEPCとの間のすべてのインターネットプロトコル(IP)データパケット(例えば、データまたはユーザプレーン)を処理し、UEがeNB105、110、および115などのeNB間を移動するとき、データベアラのためのローカルモビリティアンカとして機能する。
【0005】
EPC130はまた、ユーザおよび加入者関連情報を管理するホーム加入者サーバ(HSS)131を含むことができる。HSS131はまた、モビリティ管理、呼およびセッションセットアップ、ユーザ認証、ならびにアクセス許可におけるサポート機能を提供することができる。HSS131の機能は、レガシホームロケーションレジスタ(HLR)の機能および、認証センタ(AuC)の機能または動作に関連することができる。
【0006】
いくつかの実施形態では、HSS131がUdインターフェースを介して、図1のEPC-UDR135とラベル付けされたユーザデータリポジトリ(UDR)と通信することができる。EPC-UDR135は、AuCアルゴリズムによって暗号化されたユーザ認証情報を記憶することができる。これらのアルゴリズムは標準化されておらず(すなわち、ベンダ固有であり)、EPC-UDR135に記憶された暗号化クレデンシャルは、HSS131のベンダ以外のいかなるベンダによってもアクセス不能である。
【0007】
3GPPでは、第5世代(5G)セルラ(例えば無線)ネットワークの新しい無線インターフェースに関する検討項目が終了しており、3GPPは、NR(New Radio)と略されることが多いこの新しい無線インターフェースの標準化を進めている。 図2は、次世代RAN(NG-RAN)299および5Gコア(5GC)298からなる、5Gネットワークアーキテクチャのハイレベルビューを示す。NG-RAN299は、インターフェース202、252を介してそれぞれ接続されたgNB200、250のような、1つまたは複数のNGインターフェースを介して5GCに接続されたgNodeB(gNB)のセットを含むことができる。さらに、gNBは、gNB200と250との間のXnインターフェース240など、1つまたは複数のXnインターフェースを介して互いに接続されうる。UEへのNRインターフェースに関して、gNBの各々は、周波数分割多重(FDD)、時分割多重(TDD)、またはそれらの組合せをサポートすることができる。
【0008】
NG-RAN299は、無線ネットワーク層(RNL)およびトランスポートネットワーク層(TNL)に階層化される。NG-RANアーキテクチャ、すなわち、NG-RAN論理ノードおよびそれらの間のインターフェースは、RNLの一部として規定される。NG-RANインターフェース(NG、Xn、F1)ごとに、関連するTNLプロトコルおよび機能が規定される。TNLは、ユーザプレーントランスポートおよびシグナリングトランスポートのためのサービスを提供する。いくつかの例示的な構成では、各gNBが3GPP TS 23.501に規定される「AMF領域」内のすべての5GCノードに接続される。NG-RANインタフェースのTNL上のCPおよびUPデータに対するセキュリティ保護がサポートされる場合、NDS/IP(3GPP TS 33.401)を適用しなければならない。
【0009】
図2に示される(および3GPP TS 38.401および3GPP TR 38.801に記載される)NG RAN論理ノードは、セントラル(または集権)ユニット(CUまたはgNB-CU)および1つまたは複数の分散(または非集権)ユニット(DUまたはgNB-DU)を含む。例えば、gNB200は、gNB-CU210と、gNB-DU220および230とを含む。CU(例えば、gNB-CU210)は上位層プロトコルをホストし、DUの動作を制御するような様々なgNB機能を実行する論理ノードである。各DUは下位層プロトコルをホストする論理ノードであり、機能分割に応じて、gNB機能の様々なサブセットを含むことができる。したがって、CUおよびDUの各々は、自身の機能を実行するために必要な、処理回路、(例えば、通信のための)送受信器回路、および電源回路を含む様々な回路を含みうる。さらに、「セントラルユニット」および「集権ユニット」という用語は、本明細書では互換的に使用され、「分散ユニット」および「非集権ユニット」という用語も同様である。
【0010】
gNB-CUは、図3に示されるインターフェース222および232のようなそれぞれのF1論理インターフェースを介してgNB-DUに接続する。gNB-CUおよび接続されたgNB-DUは、他のgNBおよび5GCにはgNBとしてしか認識されない。つまり、gNB-CUの先にあるF1インターフェースは認識されない(不可視である)。
【0011】
図3は、次世代無線アクセスネットワーク(NG-RAN)399および5Gコア(5GC)398を含む、例示的な5Gネットワークアーキテクチャのハイレベルビューを示す。図に示されるように、NG-RAN399は、それぞれのXnインターフェースを介して相互に接続されているgNB 310(例えば、310a, b)およびng-eNB 320(例えば、320a, b)を含むことができる。gNBとng-eNBはまた、NGインターフェースを介して5GC398に接続される。より具体的には、gNBとng-eNBはそれぞれのNG-Cインターフェースを介してAMF(アクセスおよびモビリティ管理機能)330(例えばAMF330a, b)に接続され、それぞれのNG-Uインターフェースを介してUPF(ユーザプレーン機能)340(例えばUPF340a, b)に接続される。さらに、AMF340a, bは、1つまたは複数のポリシ制御機能(PCF、例えばPCF350a, b)およびネットワークエクスポージャ機能(NEF、例えばNEF360a, b)と通信することができる。AMF、UPF、PCF、およびNEFについては、以下でさらに説明する。
【0012】
gNB310の各々は、周波数分割多重(FDD)、時分割多重(TDD)、またはそれらの組合せを含む、NR無線インターフェースをサポートすることができる。対照的に、ng-eNB320の各々はLTE無線インターフェースをサポートするが、(図1に示されるような)従来のLTE eNBとは異なり、NGインターフェースを介して5GCに接続する。
【0013】
異なる3GPPアーキテクチャオプション(例えば、EPCベースまたは5GCベース)に基づくデプロイメントと、異なる能力(例えば、EPC NASおよび5GC NAS)を有するUEとが、1つのネットワーク(例えば、PLMN)内に同時に共存しうる。5GC NAS手順をサポート可能なUEはまた、ローミング時などにレガシネットワークで動作するために(例えば、3GPP TS 24.301に規定されるような)EPC NAS手順もサポート可能であることが一般的に想定される。したがって、UEは、自身にサービスを提供するコアネットワーク(CN)に応じてEPC NASまたは5GC NAS手順を用いるであろう。
【0014】
(例えば、5GCにおける)5Gネットワークにおける別の変更は、従来のピアツーピアインターフェースおよびプロトコル(例えば、LTE/EPCネットワークにおいて見られるもの)が、ネットワーク機能(NF)が1つまたは複数のサービスコンシューマに1つまたは複数のサービスを提供する、いわゆるサービスベースアーキテクチャ(SBA)によって変更されることである。これは、例えば、HTTP/REST(Hyper Text Transfer Protocol/Representational State Transfer)アプリケーションプログラミングインターフェース(API)によって行うことができる。一般に、各種サービスは自己完結型の機能であり、他のサービスに影響を与えることなく、分離された方法で変更および修正することができる。
【0015】
さらに、サービスは、サービス機能全体のより細かい区分である様々な「サービス動作」から構成される。サービスにアクセスするためには、サービス名と対象となるサービス動作の両方を指示する必要がある。サービスコンシューマとプロデューサとの間のインタラクションは、タイプ「要求/応答」または「加入/通知」でありうる。5G SBAではネットワークリポジトリ機能(NRF)がすべてのネットワーク機能が他のネットワーク機能によって提供されるサービスを発見することを可能にし、データ記憶機能(DSF)はすべてのネットワーク機能がそのコンテキストを記憶することを可能にする。
【0016】
上述したように、サービスは、5G SBAにおけるネットワーク機能(NF)の一部としてデプロイメントされうる。このSBAモデルは、NFのモジュール性、再利用性、自己完結性などの原則をさらに採用し、最新の仮想化技術やソフトウェア技術を活用したデプロイメントを可能にする。図4は、制御プレーン(CP)内のサービスベースのインターフェースおよび3GPPが規定する様々なNFを有する例示的な非ローミング5Gリファレンスアーキテクチャを示す。これらは、以下のNFを含み、本開示に最も関連するものについては、さらに詳細な説明を行う。
・Namfインターフェースを有するアクセスおよびモビリティ管理機能(AMF):RAN CPインターフェースを終端し、(EPCにおけるMMEと同様に)UEのすべてのモビリティおよび接続管理を扱う。
・Nsmfインターフェースを有するセッション管理機能(SMF):例えば、イベント報告のために、プロトコルデータユニット(PDU)セッションの作成、更新、および削除、ならびにユーザプレーン機能(UPF)を有するセッションコンテキストの管理を含む、分離されたユーザ(またはデータ)プレーンとやりとりする。
・Nupfインターフェースを有するユーザプレーン機能(UPF):パケット検査および様々な強制動作(例えば、イベント検出および報告)を含む、SMFから受信したルールに基づくユーザプレーントラフィックの処理をサポートする。
・Npcfインターフェースを有するポリシー制御機能(PCF):例えば、SMFにPCCルールを提供することによって、ネットワーク挙動を管理するための統一されたポリシーフレームワークをサポートする。
・Nnefインターフェースを有するネットワークエクスポージャ機能(NEF):3GPP NFによって提供されるネットワーク能力およびイベントをAFにセキュアにエクスポーズすることによって、およびAFが3GPPネットワークに情報をセキュアに提供するための方法を提供することによって、オペレータのネットワークへのエントリポイントとして機能する。
・Nnrfインターフェースを有するネットワークリポジトリ機能(NRF):サービス登録およびディスカバリを提供し、NFが他のNFから利用可能な適切なサービスを特定することを可能にする。
・Nnssfインターフェースを有するネットワークスライス選択機能(NSSF):「ネットワークスライス」は、例えば、特定のサービスのサポートにおいて、特定のネットワーク能力および特性を提供する5Gネットワークの論理パーティションである。ネットワークスライスインスタンスはNFインスタンスのセットであり、ネットワークスライスの能力および特性を提供する必要なネットワークリソース(例えば、計算、記憶、通信)である。NSSFは他のNF(例えばAMF)が、UEが希望するサービスに適切なネットワークスライスインスタンスを特定することを可能にする。
・Nausfインターフェースを有する認証サーバー機能(AUSF):ユーザのホームネットワーク(HPLMN)に基づいて、ユーザ認証を実行し、さまざまな目的でセキュリティ鍵材料を計算する。
・Nafインターフェースを有するアプリケーション機能(AF):3GPP CNとやりとりして、ネットワークオペレータに情報を提供し、オペレータのネットワークで発生する特定のイベントを購読する。
・Namfインターフェースを有するアクセスおよびモビリティ管理機能(AMF):RAN CPインターフェースを終端し、(EPCにおけるMMEと同様に)UEのすべてのモビリティおよび接続管理を扱う。
・Nsmfインターフェースを有するセッション管理機能(SMF):例えば、イベント報告のために、プロトコルデータユニット(PDU)セッションの作成、更新、および削除、ならびにユーザプレーン機能(UPF)を有するセッションコンテキストの管理を含む、分離されたユーザ(またはデータ)プレーンとやりとりする。
・Nupfインターフェースを有するユーザプレーン機能(UPF):パケット検査および様々な強制動作(例えば、イベント検出および報告)を含む、SMFから受信したルールに基づくユーザプレーントラフィックの処理をサポートする。
・Npcfインターフェースを有するポリシー制御機能(PCF):例えば、SMFにPCCルールを提供することによって、ネットワーク挙動を管理するための統一されたポリシーフレームワークをサポートする。
・Nnefインターフェースを有するネットワークエクスポージャ機能(NEF):3GPP NFによって提供されるネットワーク能力およびイベントをAFにセキュアにエクスポーズすることによって、およびAFが3GPPネットワークに情報をセキュアに提供するための方法を提供することによって、オペレータのネットワークへのエントリポイントとして機能する。
・Nnrfインターフェースを有するネットワークリポジトリ機能(NRF):サービス登録およびディスカバリを提供し、NFが他のNFから利用可能な適切なサービスを特定することを可能にする。
・Nnssfインターフェースを有するネットワークスライス選択機能(NSSF):「ネットワークスライス」は、例えば、特定のサービスのサポートにおいて、特定のネットワーク能力および特性を提供する5Gネットワークの論理パーティションである。ネットワークスライスインスタンスはNFインスタンスのセットであり、ネットワークスライスの能力および特性を提供する必要なネットワークリソース(例えば、計算、記憶、通信)である。NSSFは他のNF(例えばAMF)が、UEが希望するサービスに適切なネットワークスライスインスタンスを特定することを可能にする。
・Nausfインターフェースを有する認証サーバー機能(AUSF):ユーザのホームネットワーク(HPLMN)に基づいて、ユーザ認証を実行し、さまざまな目的でセキュリティ鍵材料を計算する。
・Nafインターフェースを有するアプリケーション機能(AF):3GPP CNとやりとりして、ネットワークオペレータに情報を提供し、オペレータのネットワークで発生する特定のイベントを購読する。
【0017】
図4に示す統合データ管理(UDM)機能は、上述のLTE/EPCネットワークにおけるHSSに類似している。UDMは、3GPP AKA認証クレデンシャルの生成、ユーザ識別処理、購読データに基づくアクセス許可、および他の購読者関連機能をサポートする。この機能を提供するために、UDMは5GC統合データリポジトリ(UDR)に格納されている購読データ(認証データを含む)を用いる。UDMに加えて、UDRは、PCFによるポリシーデータの記憶および検索、ならびにNEFによるアプリケーションデータの記憶および検索をサポートする。
【0018】
3GPP Rel-16は、IoTユースケースを含む、5Gにおける3GPPユーザクレデンシャルに基づく、アプリケーションのための認証および鍵管理(AKMA)と呼ばれる新しい機能を導入する。より具体的には、AKMAはUEとアプリケーション機能(AF)との間のセキュリティをブートストラップするためにユーザのAKA(認証および鍵合意)証明書を利用し、これによってUEはアプリケーションサーバとセキュアにデータを交換することができる。AKMAアーキテクチャは、3GPP Rel-15において5GCのために規定され、さらに3GPP TS 33.535(改訂中のv.0.2.0)において規定されているGBA(汎用ブートストラップアーキテクチャ)の進化とみなすことができる。
【0019】
図4に示され上述されたNEF、AUSF、およびAFに加え、Rel-16 AKMAもまた、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)を利用する。この機能は、図4 にNaanfインターフェースで示されている。一般に、AAnFはAUSFとやりとりし、例えばアプリケーション機能による後続のブートストラップ要求に対して用いるようにUE AKMAコンテキストを保持する。概して、AAnFは、Rel-15 GBAで規定されたブートストラッピングサーバ機能(BSF)に類似している。
【0020】
しかし、このアーキテクチャでは、AUSFがあるユーザのために生成した鍵材料と、AAnFがそのユーザのアプリケーションセッションのためのアプリケーションに固有の鍵を生成するために用いる鍵材料との同期に関して、様々な問題、課題および/または困難が存在しうる。そのような問題、問題、および/または困難は、(例えばUEで稼働する)ユーザアプリケーションと、対応するアプリケーション機能(例えばサーバ)との間のセキュアな通信の確立を妨げうる。
発明の概要
発明の概要
【0021】
本開示の特定の実施形態は、先に要約され、以下により詳細に説明される例示的な問題を克服するための解決策を促進することなどにより、アプリケーション(例えばクライアント)とアプリケーション機能(例えばサーバ)との間のセキュアな通信に対する明確な改良を提供する。
【0022】
例示的な実施形態は、通信ネットワーク(例えば5GC)において鍵管理サーバ(例えばAAnF)によって実行される方法(例えば手順)を含む。これらの実施形態は、特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を、アプリケーション機能から受信することを含むことができる。要求は、特定のユーザに関連付けられた以下の情報、すなわちアプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)およびネットワーク購読に関する第2の識別子、の表現を含むことができる。これらの例示的な方法はまた、表現に基づいて、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成した認証サーバ機能(AUSF)を特定することを含むことができる。
【0023】
いくつかの実施形態では、これらの例示的な方法はまた、特定されたAUSFからアプリケーションに固有でないアンカセキュリティ鍵(Kakma)を取得することと、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいてアプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することとを含むことができる。いくつかの実施形態では、これらの例示的な方法がアプリケーションセッション(Kaf)に固有のセキュリティ鍵をアプリケーション機能に送信することを含むこともできる。
【0024】
いくつかの実施形態では、表現がアプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成したAUSFとの間のバインディングの第3の識別子(B-ID)を含むことができる。第3の識別子は、第1および第2の識別子の表現と、AUSFに関連する情報とを含むことができる。様々な実施形態において、AUSFに関連付けられた情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含むことができる。
【0025】
そのような実施形態において、特定動作は、AUSFに関連する情報に基づいて、ネットワークリポジトリ機能(NRF)を用いてAUSFの識別情報を発見することを含むことができる。さらに、そのような実施形態において、取得動作は、特定されたAUSFに、第3の識別子(例えばB-TID)を含む要求を送信することと、特定されたAUSFから、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)および第2の識別子を含む応答を受信することとを含みうる。
【0026】
他の実施形態では、第1および第2の識別子の表現が、第1の識別子(例えばKakmaID)および第2の識別子を含むことができる。例えば、第2の識別子は、HPLMN IDおよびユーザ装置ルーティング識別子(RID)、購読隠蔽識別子(SUCI)、購読永続識別子(SUPI)、または汎用公開購読識別子(GPSI)のうちのいずれか1つであってよい。変形例では、表現が第1の識別子(例えばKakmaID)のみを含むことができ、第1の識別子は第2の識別子の表現を含むことができる。
【0027】
そのような実施形態では、特定動作が、第2の識別子に基づいて通信ネットワーク内の統合データ管理(UDM)機能を選択することと、AUSFに関連付けられた第4の識別子についての第1の要求をUDMに送信することと、第4の識別子を含む第1の応答をUDMから受信することとを含みうる。いくつかの実施形態では、第1の応答はまた、特定のユーザに関連付けられたネットワーク購読に関連するさらなる第2の識別子を含むことができる。例えば、さらなる第2の識別子はSUPIであってよく、第2の識別子はSUPI以外の識別子(例えばGPSI、SUCI、HPLMN+RID)であってよい。
【0028】
そのような実施形態では、取得動作が、第4の識別子に関連付けられたAUSFに、第2の識別子または特定のユーザに関連付けられたネットワーク購読に関連するさらなる第2の識別子を有する第2の要求を送信することと、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含んだ第2の応答をAUSFから受信することとを含みうる。いくつかの実施形態では、第2の要求または第2の応答のいずれかは第2の識別子を含むこともできる。例えば、第2の要求がさらなる第2の識別子(例えばSUPI)を含む場合、第2の応答は第2の識別子(例えばSUPI以外の識別子)を含みうる。
【0029】
例示的な実施形態はまた、通信ネットワーク(例えば5GC)において鍵管理サーバ(例えばAAnF)によって実行される別の方法(例えば手順)を含む。これらの例示的な方法は、認証サーバ機能(AUSF)から、特定のユーザに関連付けられた情報、すなわち、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)、アプリケーションに固有でないアンカセキュリティ鍵の第1の識別子(KakmaID)、およびネットワーク購読に関連する第2の識別子を受信することを含むことができる。いくつかの実施形態では、第2の識別子が購読永続識別子(SUPI)でありうる。
【0030】
これらの例示的な方法はまた、アプリケーション機能から、特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を受信することを含むことができ、要求は、特定のユーザに関連付けられたアプリケーションに固有でないアンカセキュリティ鍵のさらなる識別子(KakmaID)を有する。要求は、特定のユーザに関連付けられたアプリケーションに固有でないアンカセキュリティ鍵のさらなる識別子(KakmaID)を含むことができる。これらの例示的な方法はまた、第1の識別子とさらなる識別子(例えば一致するKakmaID)との一致に基づき、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいてアプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することを含みうる。
【0031】
いくつかの実施形態では、鍵管理サーバが、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)のインスタンスを複数含むことができ、各AAnFインスタンスはユーザ装置ルーティングインジケータ(RID)の範囲に対応する。そのような実施形態では、要求が、特定のユーザに関連付けられたルーティングインジケータ(RID)も含むことができ、これらの例示的な方法は受信したRIDに基づいてAAnFインスタンスを選択することを含むこともでき、アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することは選択されたAAnFインスタンスによって実行される。
【0032】
いくつかの実施形態では、鍵管理サーバがユーザ装置ルーティングインジケータ(RID)の1つまたは複数の範囲に関連付けられうる。そのような実施形態では、これらの例示的な方法が、通信ネットワーク内のネットワークリポジトリ機能(NRF)に、鍵管理サーバと1つまたは複数の範囲との関連付けを登録することを含むこともできる。
【0033】
例示的な実施形態はまた、通信ネットワーク(例えば5GC)内のアプリケーション機能によって実行される方法(例えば手順)を含む。これらの例示的な方法は、ユーザ装置から、アプリケーションセッションの確立の第1の要求を受信することを含みうる。第1の要求は、特定のユーザに関連付けられた情報、すなわち、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)およびネットワーク購読に関する第2の識別子、の表現を含むことができる。これらの例示的な方法はまた、通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)に、アプリケーションセッションに固有のセキュリティ鍵(Kaf)の第2の要求を送信することを含むことができる。第2の要求は、第1および第2の識別子の表現を含むことができる。
【0034】
これらの例示的な方法はまた、AAnFから、アプリケーションセッションに固有のセキュリティ鍵(Kaf)を受信することを含むことができる。いくつかの実施形態では、これらの例示的な方法はまた、受信したセキュリティ鍵(Kaf)に基づいてユーザ装置とのセキュアなアプリケーションセッションを確立することを含むことができる。
【0035】
いくつかの実施形態では、表現が、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成したAUSFとの間のバインディングの第3の識別子(B-ID)を有する。特に、第3の識別子は、第1および第2の識別子の表現と、AUSFに関連付けられた情報とを含むことができる。様々な実施形態において、AUSFに関連付けられた情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含むことができる。
【0036】
他の実施形態では、第1および第2の識別子の表現が第1の識別子および第2の識別子を含むことができる。例えば、第2の識別子は、HPLMN IDおよびユーザ装置ルーティング識別子(RID)、購読隠蔽識別子(SUCI)、購読永続識別子(SUPI)、または汎用公開購読識別子(GPSI)のうちのいずれか1つであってよい。変形例では、表現が第1の識別子(例えばKakmaID)のみを含むことができ、第1の識別子は第2の識別子の表現を含む。
【0037】
例示的な実施形態はまた、通信ネットワーク(例えば5GC)において認証サーバ機能(AUSF)によって実行される方法(例えば手順)を含む。これらの例示的な方法は、通信ネットワークにおける、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)の要求を受信することを含むことができる。要求は、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)および特定のユーザのネットワーク購読に関連する第2の識別子、の第1の表現を含むことができる。これらの例示的な方法はまた、要求された、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含む応答をAAnFに送信することを含むことができる。
【0038】
いくつかの実施形態では、これらの例示的な方法が、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)ならびに第1の識別子(KakmaID)を作成することと、通信ネットワーク内の統合データ管理(UDM)機能に、AUSFに関連付けられた第4の識別子(AUSFID)と、少なくとも第1の識別子(KakmaID)の第2の表現とを送信することとを含みうる。
【0039】
いくつかの実施形態では、第1の表現および第2の表現が、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成したAUSFとの間のバインディングの第3の識別子(B-ID)を含むことができる。特に、第3の識別子は、第1および第2の識別子の表現と、AUSFに関連付けられた情報とを含むことができる。様々な実施形態において、AUSFに関連付けられた情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含むことができる。そのような実施形態において、応答は、特定のユーザに関連付けられた購読永久識別子(SUPI)をさらに含むことができる。
【0040】
他の実施形態では、第1および第2の識別子の第1の表現が第1の識別子(例えばKakmaID)および第2の識別子を含むことができ、一方、第2の表現は第1の識別子のみを含むことができる。そのような実施形態では、第2の識別子が、HPLMN IDおよびユーザ装置ルーティング識別子(RID)、購読隠蔽識別子(SUCI)、購読永続識別子(SUPI)、または汎用公開購読識別子(GPSI)のうちのいずれか1つであってよい。変形例では、第1の表現が第1の識別子のみを含むことができ、第1の識別子は第2の識別子の表現を含むことができる。
【0041】
例示的な実施形態はまた、通信ネットワーク(例えば5GC)において認証サーバ機能(AUSF)によって実行される別の方法(例えば手順)を含む。これらの例示的な方法は特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)を作成することを含むことができ、アプリケーションに固有でないアンカセキュリティ鍵は、第1の識別子(KakmaID)に関連付けられる。これらの例示的な方法はまた、特定のユーザのネットワーク購読に関する第2の識別子に基づいて、特定のユーザに関連付けられた、通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)を選択することを含むことができる。いくつかの実施形態では、これらの例示的な方法はまた、特定されたAAnFに、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)、第1の識別子(KakmaID)、および特定のユーザのネットワーク購読に関連する第2の識別子という情報を送ることを含むことができる。様々な実施形態では、第2の識別子が特定のユーザに関連付けられた購読永続識別子(SUPI)でありうる。
【0042】
例示的な実施形態はまた、通信ネットワーク(例えば5GC)において統合データ管理(UDM)機能によって実行される方法(例えば手順)を含む。これらの例示的な方法は、通信ネットワーク内の認証サーバ機能(AUSF)から、AUSFに関連付けられた第4の識別子(AUSFID)と、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)とを受信することを含むことができる。これらの例示的な方法はまた、通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、第4の識別子の要求を受信することを含むことができる。これらの例示的な方法はまた、第4の識別子を有する応答をAAnFに送信することを含むことができる。
【0043】
いくつかの実施形態では要求が第1の識別子(KakmaID)を含むことができ、応答は特定のユーザに関連付けられたネットワーク購読に関連する第2の識別子を含むことができる。これらの実施形態のいくつかでは、第1の識別子が第2の識別子の表現を含むことができる。これらの実施形態のうちの他の実施形態では、要求が特定のユーザに関連付けられたネットワーク購読に関連するさらなる第2の識別子を含むことができる。そのような実施形態では、これらの例示的な方法がさらなる第2の識別子に基づいて第2の識別子を決定することも含むことができる。例えば、第2の識別子は、購読永続識別子(SUPI)であってよく、さらなる第2の識別子はSUPI以外の識別子(例えばSUCI、GPSI)である。
【0044】
様々な実施形態では、AUSFが複数のAUSFインスタンスを含むことができ、各AUSFインスタンスはネットワーク購読に関連付けられた識別子(例えばRID、SUPIなど)の範囲に対応する。そのような実施形態では、これらの例示的な方法はまた、第2の識別子に基づいて特定のAUSFインスタンスを選択することを含むことができる。そのような実施形態では、第4の識別子が選択されたAUSFインスタンスに対応することができる。
【0045】
例示的な実施形態はまた、本明細書で説明される例示的な方法のいずれかに対応する動作を(例えば処理回路を用いて)実行するように構成される、通信ネットワーク(例えば5GC)内の鍵管理サーバ(例えばAAnF)、アプリケーション機能、認証サーバ機能(AUSF)、および統合データ管理(UDM)機能を含む。
【0046】
例示的な実施形態はまた、そのような鍵管理サーバ、アプリケーション機能、AUSF、およびUDM機能に関連付けられた処理回路によって実行されたときに、それらを本明細書で説明する例示的な方法のいずれかに対応する動作を実行するように構成する、コンピュータ実行可能命令を記憶する非一時的コンピュータ可読媒体を含む。
【0047】
本開示の実施形態のこれらおよび他の目的、特徴、および利点は、以下に簡単に説明される図面を参照して以下の詳細な説明を読むことによって明らかになるであろう。
【図面の簡単な説明】
【0048】
【図1】図1は、3GPPによって標準化された、ロングタームエボリューション(LTE)発展型UTRAN(E-UTRAN)および発展型パケットコア(EPC)ネットワークの例示的なアーキテクチャのハイレベルブロック図である。
【図4】図4は、3GPP TS 23.501(v16.1.0)においてさらに説明されるような、コアネットワーク内にサービスベースのインターフェースおよび様々なネットワーク機能(NF)を有する例示的な非ローミング5G参照アーキテクチャを示す図である。
【図14】図14は、本開示の様々な例示的な実施形態による、通信ネットワーク(例えば5GC)において認証および鍵管理サーバ(例えばAAnF)によって実行される様々な例示的な方法(例えば手順)を示す図である。
【発明を実施するための形態】
【0049】
詳細な説明
本明細書において想定されている実施形態のいくつかを、添付図面を参照してより完全に説明する。しかしながら、他の実施形態も本明細書に開示された主題の範囲内に含まれ、開示された主題を本明細書に記載された実施形態のみに限定されると解釈すべきなく、むしろ、記載されたこれらの実施形態は主題の範囲を当業者に伝えるための例として提供されるものである。
本明細書において想定されている実施形態のいくつかを、添付図面を参照してより完全に説明する。しかしながら、他の実施形態も本明細書に開示された主題の範囲内に含まれ、開示された主題を本明細書に記載された実施形態のみに限定されると解釈すべきなく、むしろ、記載されたこれらの実施形態は主題の範囲を当業者に伝えるための例として提供されるものである。
【0050】
一般に、本明細書で用いられるすべての用語は、異なる意味が、明確に与えられ、および/または用いられる文脈から暗示されない限り、関連する技術分野における通常の意味に従って解釈されるべきである。要素、装置、構成要素、手段、ステップなどの全ての単数形による言及は、明示的に別段の定めがない限り、要素、装置、構成要素、手段、ステップなどの少なくとも1つのインスタンスを表すものとして非限定的に解釈されるべきである。本明細書に開示される任意の方法および/または手順のステップはステップが別のステップに後続する、または先行するものとして明示的に記載されない限り、および/またはステップが別のステップに後続または先行しなければならないことが暗示される場合を除き、開示されている順序で実行される必要はない。本明細書に開示される任意の実施形態の任意の特徴は、適宜、任意の他の実施形態に適用することができる。同様に、いずれかの実施形態の利点は、他の実施形態に適用することができ、その逆もまた同様である。添付の実施形態の他の目的、特徴および利点は、以下の説明から明らかになるであろう。
【0051】
さらに、以下の説明では次の用語を用いる。
・無線ノード:本明細書で用いられる場合、「無線ノード」は、「無線アクセスノード」または「無線機器」のいずれかであってよい。
・無線アクセスノード:本明細書で用いられる場合、「無線アクセスノード」(「無線ネットワークノード」、「無線アクセスネットワークノード」、または「RANノード」についても同様)は、信号を無線で送信および/または受信するように動作するセルラ通信ネットワークの無線アクセスネットワーク(RAN)内の任意のノードでありうる。無線アクセスノードの非限定的な例は、3GPP第5世代(5G)NRネットワークにおける基地局(例えばNew Radio(NR)基地局(gNB)または3GPP LTEネットワークにおける拡張または発展型ノードB(eNB))、基地局分散構成要素(例えばCUおよびDU)、高電力またはマクロ基地局、低電力基地局(例えばマイクロ、ピコ、フェムト、またはホーム基地局など)、統合アクセスバックホール(IAB)ノード、送信ポイント、リモート無線ユニット(RRUまたはRRH)、およびリレーノードを含む。
・コアネットワークノード:本明細書で用いられる場合、「コアネットワークノード」は、コアネットワーク内の任意のタイプのノードである。コアネットワークノードのいくつかの例は、例えば、モビリティ管理エンティティ(MME)、サービングゲートウェイ(SGW)、パケットデータネットワークゲートウェイ(P-GW)、アクセスおよびモビリティ管理機能(AMF)、セッション管理機能(AMF)、ユーザプレーン機能(UPF)、サービス能力露出機能(SCEF)などを含む。
・無線機器:本明細書で用いられる場合、「無線機器」(または略して「WD」)はネットワークノードおよび/または他の無線機器と無線で通信することによってセルラ通信ネットワークにアクセスする(すなわち、セルラ通信ネットワークによってサービスが提供される)任意のタイプの機器である。無線で通信することは、電磁波、電波、赤外線、および/または大気を通して情報を伝達するのに適した他のタイプの信号を用いて無線信号を送信および/または受信することを伴いうる。特に明記しない限り、「無線機器」という用語は、本明細書では「ユーザ装置」(または略して「UE」)と互換的に用いられる。無線機器の非限定的な例は、スマートフォン、モバイルフォン、携帯電話、ボイスオーバーIP(VoIP)電話、ワイヤレスローカルループフォン、デスクトップコンピュータ、携帯情報端末(PDA)、ワイヤレスカメラ、ゲーム機またはデバイス、音楽記憶デバイス、再生機器、ウェアラブルデバイス、ワイヤレスエンドポイント、移動機、タブレット、ラップトップ、ラップトップ組み込み機器(LEE)、ラップトップ搭載機器(LME)、スマートデバイス、無線顧客端末(CPE)、モバイルタイプ通信(MTC)デバイス、モノのインターネット(IoT)デバイス、車両搭載無線端末デバイスなどを含む。
・ネットワークノード:本明細書で用いられる場合、「ネットワークノード」はセルラ通信ネットワークの無線アクセスネットワーク(例えば上述の無線アクセスノードまたは同等の名称)またはコアネットワーク(例えば上述のコアネットワークノード)のいずれかの一部である任意のノードである。機能的には、ネットワークノードとは、無線機器および/または無線ネットワーク内の他のネットワークノードまたは装置と直接的または間接的に通信して、無線装置への無線アクセスを可能にする、および/または提供する、および/または無線ネットワークで他の機能(例えば、管理)を実行する、ことが可能な、ように構成された、配置された、および/または動作可能な装置である。
・無線ノード:本明細書で用いられる場合、「無線ノード」は、「無線アクセスノード」または「無線機器」のいずれかであってよい。
・無線アクセスノード:本明細書で用いられる場合、「無線アクセスノード」(「無線ネットワークノード」、「無線アクセスネットワークノード」、または「RANノード」についても同様)は、信号を無線で送信および/または受信するように動作するセルラ通信ネットワークの無線アクセスネットワーク(RAN)内の任意のノードでありうる。無線アクセスノードの非限定的な例は、3GPP第5世代(5G)NRネットワークにおける基地局(例えばNew Radio(NR)基地局(gNB)または3GPP LTEネットワークにおける拡張または発展型ノードB(eNB))、基地局分散構成要素(例えばCUおよびDU)、高電力またはマクロ基地局、低電力基地局(例えばマイクロ、ピコ、フェムト、またはホーム基地局など)、統合アクセスバックホール(IAB)ノード、送信ポイント、リモート無線ユニット(RRUまたはRRH)、およびリレーノードを含む。
・コアネットワークノード:本明細書で用いられる場合、「コアネットワークノード」は、コアネットワーク内の任意のタイプのノードである。コアネットワークノードのいくつかの例は、例えば、モビリティ管理エンティティ(MME)、サービングゲートウェイ(SGW)、パケットデータネットワークゲートウェイ(P-GW)、アクセスおよびモビリティ管理機能(AMF)、セッション管理機能(AMF)、ユーザプレーン機能(UPF)、サービス能力露出機能(SCEF)などを含む。
・無線機器:本明細書で用いられる場合、「無線機器」(または略して「WD」)はネットワークノードおよび/または他の無線機器と無線で通信することによってセルラ通信ネットワークにアクセスする(すなわち、セルラ通信ネットワークによってサービスが提供される)任意のタイプの機器である。無線で通信することは、電磁波、電波、赤外線、および/または大気を通して情報を伝達するのに適した他のタイプの信号を用いて無線信号を送信および/または受信することを伴いうる。特に明記しない限り、「無線機器」という用語は、本明細書では「ユーザ装置」(または略して「UE」)と互換的に用いられる。無線機器の非限定的な例は、スマートフォン、モバイルフォン、携帯電話、ボイスオーバーIP(VoIP)電話、ワイヤレスローカルループフォン、デスクトップコンピュータ、携帯情報端末(PDA)、ワイヤレスカメラ、ゲーム機またはデバイス、音楽記憶デバイス、再生機器、ウェアラブルデバイス、ワイヤレスエンドポイント、移動機、タブレット、ラップトップ、ラップトップ組み込み機器(LEE)、ラップトップ搭載機器(LME)、スマートデバイス、無線顧客端末(CPE)、モバイルタイプ通信(MTC)デバイス、モノのインターネット(IoT)デバイス、車両搭載無線端末デバイスなどを含む。
・ネットワークノード:本明細書で用いられる場合、「ネットワークノード」はセルラ通信ネットワークの無線アクセスネットワーク(例えば上述の無線アクセスノードまたは同等の名称)またはコアネットワーク(例えば上述のコアネットワークノード)のいずれかの一部である任意のノードである。機能的には、ネットワークノードとは、無線機器および/または無線ネットワーク内の他のネットワークノードまたは装置と直接的または間接的に通信して、無線装置への無線アクセスを可能にする、および/または提供する、および/または無線ネットワークで他の機能(例えば、管理)を実行する、ことが可能な、ように構成された、配置された、および/または動作可能な装置である。
【0052】
本明細書では、3GPPセルラ通信システムに焦点をあてて説明しているため、3GPP用語や3GPP用語に類似した用語がしばしば用いられることに留意されたい。しかしながら、本明細書に開示される概念は、3GPPシステムに限定されない。さらに、本明細書では「セル」という用語を用いているが、(特に5G NRに関して)セルの代わりにビームを用いることができ、そのため、本明細書に記載された概念はセルとビームの両方に等しく当てはまることを理解すべきである。
【0053】
本開示において、「サービス」という用語は、概して、1つまたは複数のアプリケーションに関連付けられ、アプリケーションを成功させるために満たす必要がある特定の配信要件を持つネットワークを介して転送されるデータのセットを指すために用いられる。本開示では、「構成要素」という用語が、概してサービスの提供に必要な任意の構成要素を指すために用いられる。構成要素の例はRAN(例えばE-UTRAN、NG-RAN、またはeNB、gNB、基地局(BS)などのその一部)、CN(例えばEPC、5GC、またはRANとCNエンティティとの間のすべてのタイプのリンクを含むその一部)、および演算、記憶などの関連リソースを有するクラウドインフラストラクチャである。一般に、各構成要素は「マネージャ」を持つことができ、この用語は、リソースの利用状況に関する履歴情報を収集するとともに、その構成要素に関連付けられたリソースの現在および予測される将来の利用可能性に関する情報を提供することが可能なエンティティ(例えば、RANマネージャ)を指すために用いられる。
【0054】
先に簡単に述べたように、Rel-16 AKMAアーキテクチャでは、AUSFによってユーザのために生成された鍵材料と、AAnFによってユーザのアプリケーションセッションのためのアプリケーションに固有の鍵を生成するために用いられる鍵材料との同期に関連する様々な問題、課題、および/または困難が存在しうる。そのような問題、課題、および/または困難は、(例えばUEで稼働する)ユーザアプリケーションと、対応するアプリケーション機能(例えばサーバ)との間のセキュアな通信の確立を防げうる。これについては、以下でより詳細に説明する。
【0055】
一般に、AKMAは、ネットワーク登録中にUEを認証するために用いられる5Gプライマリ認証手順(「暗黙的ブートストラッピング」とも呼ばれる)の結果を再利用する。この手順では、AUSFが鍵材料の生成と記憶を受け持つ。特に、AKMAの鍵階層には以下のようなものがあり、図5でさらに詳しく説明されている。
・Kausf :ルート鍵。プライマリ認証手順の出力であり、UE(すなわち、モバイル機器(ME)部分)およびAUSFに記憶される。さらに、AUSFはTS33.501に規定されているように、結果とともに、Ksusfをプライマリ認証結果の出力として特定のAUSFインスタンスをUDMに報告することができる。
・Kakma:MEおよびAUSFによってKausfから導出され、さらなるAKMA鍵材料生成のためにAAnFによって用いられるアンカ鍵。鍵識別子Kakma IDは、Kakmaを特定する。
・Kaf:KAKMAからMEおよびAAnFによって導出されるアプリケーション鍵。アプリケーションデータをセキュアに交換するためにUEおよびアプリケーションによって用いられる。
・Kausf :ルート鍵。プライマリ認証手順の出力であり、UE(すなわち、モバイル機器(ME)部分)およびAUSFに記憶される。さらに、AUSFはTS33.501に規定されているように、結果とともに、Ksusfをプライマリ認証結果の出力として特定のAUSFインスタンスをUDMに報告することができる。
・Kakma:MEおよびAUSFによってKausfから導出され、さらなるAKMA鍵材料生成のためにAAnFによって用いられるアンカ鍵。鍵識別子Kakma IDは、Kakmaを特定する。
・Kaf:KAKMAからMEおよびAAnFによって導出されるアプリケーション鍵。アプリケーションデータをセキュアに交換するためにUEおよびアプリケーションによって用いられる。
【0056】
図6は、上に列挙した鍵階層に基づいて、UEとAFとの間のセキュアアプリケーションセッションをセットアップするための例示的な手順を示すフロー図である。最初に、UEおよびAUSFはプライマリ認証を実行してKakma鍵を確立する。Kakma鍵はUEおよびAUSFの両方に記憶される。その後、UEは、Kakma IDを含んだアプリケーションセッション確立要求をAFに送信する。そして、AFは、受信したKakma IDをAF識別子と共にAAnFに送信し、AAnFは、提供されたKakma IDに対応するKakmaで応答する。AAnFはKakmaからKafを導出し、KafをKafの有効時間と共にAFに提供する。そして、AFは、UEとのセキュアなアプリケーションセッションを確立するために受信したKafを用いることができる。
【0057】
先に簡単に説明したように、認証および鍵合意(AKA)をブートストラップするために、3GPP Rel-15(例えば3GPP TS 33.220v15.4.0)に汎用ブートストラッピングアーキテクチャ(GBA)が導入された。つまり、GBAはネットワーク側とユーザー側のAFが共有鍵を確立することを可能にする。図7は、3GPP仕様に従ったAKAのための例示的なGBAを示す。
【0058】
GBAでは、UEとBSFとの間で相互認証が実行され、ブートストラッピング鍵材料もUEとBSFとの間で導出される。BSFはまた、GBA鍵材料を導出するブートストラップトランザクションごとにB-TID(Bootstrapping Transaction Identifier)を生成する。そして、ブートストラップされたGBA鍵材料は、ネットワークアプリケーション機能(NAF)へのUEによるセキュアなアクセスのために用いられる。
【0059】
UEは、AFとの通信を開始すると、メッセージにB-TIDを含める。そして、AFはB-TIDを入力としてBSFにアプリケーションに固有の鍵を要求する。BSFはB-TIDに対応するGBA鍵材料を探し出し、アプリケーションに固有の鍵を導出し、それをAFに提供する。そして、UEとAFとの間のセキュアな通信が、アプリケーションに固有の鍵に基づいて確立される。
【0060】
NFがトラフィックを処理するためにAUSFまたはUDMの適切なインスタンスを発見して選択できるよう、3GPP TS 23.501は、(例えばNRFを用いた)AUSFまたはUDMの発見に用いることができる入力パラメータを規定している。3GPP TS 23.501からの関連する抜粋は以下のとおりである。 抜粋では以下のUE関連識別子の略語が用いられる。
・購読永続識別子(SUPI)、
・購読隠蔽識別子(SUCI)、および
・汎用公開購読識別子(GPSI)。
*** 3GPP TS 23.501 ***の抜粋を開始
AUSF NFコンシューマまたはSCPにおけるAUSF選択機能は、利用可能な場合、以下の要素のいずれかを考慮しなければならない:
1. (サービングPLMN内のNFコンシューマによる)SUCI/SUPIのホームネットワーク識別子(例えばMNCおよびMCC)およびルーティングインジケータ
注1:UEは初期登録中に、TS 23.003[19]に規定されるように、SUCIの一部としてルーティングインジケータをAMFに提供する。AMFは、TS 23.502[3]に記載されているように、UEのルーティングインジケータを他のAMFに提供することができる。
UEのルーティングインジケータがTS 23.003[19]に規定されるようにデフォルト値に設定されるとき、AUSF NFコンシューマは、UEのためのホームネットワーク内の任意のAUSFインスタンスを選択することができる。
2. UEのSUPIが属するAUSF Group ID。
注2:AMFは、NRFを用いたAUSF発見手順の結果に基づいて、UEのSUPIが属するAUSF Group IDを推測することができる。AMFは、TS 23.502[3]に記載されているように、SUPIが属するAUSF Group IDを他のAMFに提供する。
3. SUPI:例えば、AMFは、UEのSUPIが属するSUPI範囲に基づいて、またはAUSF発見のための入力としてUEのSUPIを用いるNRFによる発見手順の結果に基づいて、AUSFインスタンスを選択する。
NFコンシューマまたはSCPにおけるUDM選択機能は、以下の要素のうちの1つを考慮しなければならない:
1. SUCI/SUPIおよびUEのルーティングインジケータのホームネットワーク識別子(例えばMNCおよびMCC)
注1:UEは初期登録中に、TS 23.003[19]に規定されるように、SUCIの一部としてルーティングインジケータをAMFに提供する。AMFは、TS 23.502[3]に記載されているように、(UDMの)他のNFコンシューマにUEのルーティングインジケータを提供する。
UEのルーティングインジケータがTS 23.003[19]で規定されるようにそのデフォルト値に設定されるとき、UDM NFコンシューマは、SUCI/SUPIのホームネットワーク内の任意のUDMインスタンスを選択することができる。
2. UEのSUPIのUDM Group ID
注2:AMFは、NRFを用いたUDM発見手順の結果に基づいて、UEのSUPIが属するUDM Group IDを推測することができる。AMFは、3GPP TS 23.502に記載されているように、SUPIが属するUDMグループIDを他のUDM NFコンシューマに提供する。
3. SUPI:UDM NFコンシューマは、UEのSUPIが属するSUPI範囲に基づいて、またはUDM発見のための入力としてUEのSUPIを用いるNRFによる発見手順の結果に基づいて、UDMインスタンスを選択する。
4. GPSIまたはExternal Gourp ID:SUPI/SUCI(例えばNEF)に基づかずにネットワークシグナリングを管理するUDM NFコンシューマは、UEのGPSIまたはExternal Group IDが属するGPSIまたはExternal Group ID範囲に基づいて、またはUDM発見のための入力としてUEのGPSIまたはExternal Group IDを用いるNRFによる発見手順の結果に基づいて、UDMインスタンスを選択する。
*** 3GPP TS 23.501 ***からの抜粋終了
・購読永続識別子(SUPI)、
・購読隠蔽識別子(SUCI)、および
・汎用公開購読識別子(GPSI)。
*** 3GPP TS 23.501 ***の抜粋を開始
AUSF NFコンシューマまたはSCPにおけるAUSF選択機能は、利用可能な場合、以下の要素のいずれかを考慮しなければならない:
1. (サービングPLMN内のNFコンシューマによる)SUCI/SUPIのホームネットワーク識別子(例えばMNCおよびMCC)およびルーティングインジケータ
注1:UEは初期登録中に、TS 23.003[19]に規定されるように、SUCIの一部としてルーティングインジケータをAMFに提供する。AMFは、TS 23.502[3]に記載されているように、UEのルーティングインジケータを他のAMFに提供することができる。
UEのルーティングインジケータがTS 23.003[19]に規定されるようにデフォルト値に設定されるとき、AUSF NFコンシューマは、UEのためのホームネットワーク内の任意のAUSFインスタンスを選択することができる。
2. UEのSUPIが属するAUSF Group ID。
注2:AMFは、NRFを用いたAUSF発見手順の結果に基づいて、UEのSUPIが属するAUSF Group IDを推測することができる。AMFは、TS 23.502[3]に記載されているように、SUPIが属するAUSF Group IDを他のAMFに提供する。
3. SUPI:例えば、AMFは、UEのSUPIが属するSUPI範囲に基づいて、またはAUSF発見のための入力としてUEのSUPIを用いるNRFによる発見手順の結果に基づいて、AUSFインスタンスを選択する。
NFコンシューマまたはSCPにおけるUDM選択機能は、以下の要素のうちの1つを考慮しなければならない:
1. SUCI/SUPIおよびUEのルーティングインジケータのホームネットワーク識別子(例えばMNCおよびMCC)
注1:UEは初期登録中に、TS 23.003[19]に規定されるように、SUCIの一部としてルーティングインジケータをAMFに提供する。AMFは、TS 23.502[3]に記載されているように、(UDMの)他のNFコンシューマにUEのルーティングインジケータを提供する。
UEのルーティングインジケータがTS 23.003[19]で規定されるようにそのデフォルト値に設定されるとき、UDM NFコンシューマは、SUCI/SUPIのホームネットワーク内の任意のUDMインスタンスを選択することができる。
2. UEのSUPIのUDM Group ID
注2:AMFは、NRFを用いたUDM発見手順の結果に基づいて、UEのSUPIが属するUDM Group IDを推測することができる。AMFは、3GPP TS 23.502に記載されているように、SUPIが属するUDMグループIDを他のUDM NFコンシューマに提供する。
3. SUPI:UDM NFコンシューマは、UEのSUPIが属するSUPI範囲に基づいて、またはUDM発見のための入力としてUEのSUPIを用いるNRFによる発見手順の結果に基づいて、UDMインスタンスを選択する。
4. GPSIまたはExternal Gourp ID:SUPI/SUCI(例えばNEF)に基づかずにネットワークシグナリングを管理するUDM NFコンシューマは、UEのGPSIまたはExternal Group IDが属するGPSIまたはExternal Group ID範囲に基づいて、またはUDM発見のための入力としてUEのGPSIまたはExternal Group IDを用いるNRFによる発見手順の結果に基づいて、UDMインスタンスを選択する。
*** 3GPP TS 23.501 ***からの抜粋終了
【0061】
また、3GPP TS 23.502は、UEが5GCに正常に登録された後、UDMからUEに非アクセスストラタム(NAS)信号を用いてUEパラメータ更新データを配信する手順を規定している。図8は、5GCにおいてUDMからUEパラメータ更新(UPU)を配信するための例示的な手順を示すフロー図である。UDMがUEに配信するUDM更新データは、以下のいずれかを含み得る:
・以下を含む1つまたは複数のUEパラメータ:
更新されたデフォルト設定NSSAI(パラメータの最終コンシューマはMEである)。
更新されたルーティングインジケータデータ(パラメータの最終コンシューマはUSIMである)。
・「UE確認応答要求」インジケータ
・「再登録要求」インジケータ
また、UEのHPLMNからUEへのステアリング情報リストの配信をサポートするために、3GPP TS 33.501には「ローミングセキュリティ機構のステアリング」と呼ばれる同様の機能が規定されている。
・以下を含む1つまたは複数のUEパラメータ:
更新されたデフォルト設定NSSAI(パラメータの最終コンシューマはMEである)。
更新されたルーティングインジケータデータ(パラメータの最終コンシューマはUSIMである)。
・「UE確認応答要求」インジケータ
・「再登録要求」インジケータ
また、UEのHPLMNからUEへのステアリング情報リストの配信をサポートするために、3GPP TS 33.501には「ローミングセキュリティ機構のステアリング」と呼ばれる同様の機能が規定されている。
【0062】
図5に示される鍵階層に戻ると、3GPP TS 33.501は、各プライマリ認証手順の後のAUSFおよびUEにおけるKausfの生成および記憶を規定する。しかしながら、3GPP TS 33.501は、UEおよびAUSFがKakmaを導出するために用いることが暗示的に合意されているルート鍵であるKausfを、AUSFおよび/またはUEが削除または上書きするタイミングを指定していない。そのため、時間の経過とともに、異なるAUSFインスタンスがユーザ認証に用いられる可能性がある。特に、認証ごとに異なるAUSFインスタンスがKausfを生成および保存しうるが、特定のUE(これもまた最新のKausfを保持する)に対する最新のKausfを保持するAUSFインスタンスは1つだけである。これは、様々な問題、課題、および/または困難をもたらしうる。
【0063】
一例として、KakmaおよびKakmaIDは、Kausfに基づいてUEおよびAUSFが別個に生成する。そのため、UEはプライマリ認証中にKakmaを生成および格納する特定のAUSFの識別情報(例えばAUSF ID)を取得しないため、UEが生成するKakma IDにはAUSF IDへの参照を一切含めることができない。したがって、(例えば図6において)UEがAFとのセキュアなアプリケーションセッションの確立を試みる際にUEがKakma IDを提供するとしても、AF(またはより具体的には、AFに関連付けられたAAnF)は、受信したKakma IDに関連付けられた、Kakmaを生成および保持する適切なAUSFインスタンスを認識しない。AAnFがAUSFと同じ場所に設けられている場合であっても、AF、および/またはAFとAAnFの間に配置された中間NEFが、UEから受信したKakma IDに基づいて、統合されたAUSF/AAnFをどのように発見し、選択することができるかは以前として不明確なことに留意されたい。
【0064】
別の例として、KakmaはAUSFで生成されたのち、Kafを導出するためにAAnFに取得される。異なるプライマリ認証手順中に、異なるAUSFインスタンスによって同一のUEに対して生成された複数のKausfが存在しうる。さらに、これらのAUSFインスタンスの各々は、対応するKausfに基づいて、そのUEに対して異なるKakma/Kakma IDを生成し、記憶している可能性がある。削除/消去の手順が規定されていないため、異なるAUSFインスタンスには異なるKakma/Kakma IDが記憶されうるが、そのうちUEに格納されているKakma/Kakma IDに対応するのは1つだけである。
【0065】
一般に、最新のKakmaを用いるために、UEとネットワークとの間の合意が必要である。しかしながら、いくつかの例外的なケースの間、UEおよびネットワークに記憶された鍵材料は、非同期でありうる。例えば、UEではKausfおよびKakmaの新しいバージョンを生成して記憶することができるが、ネットワークではKausfおよびKakmaの新しいバージョンがまだ生成されていない。そのような場合、AKMAセッションセットアップ中にUEから受信したKakmaIDは、まだネットワーク側に存在しないKakmaを参照しうる。
【0066】
本開示の例示的な実施形態は、AFとのAKMA手順の開始においてUEによって提供されるKakma IDが参照するKakmaを格納するAUSFインスタンスの選択を容易にする技術を提供することによって、これらおよび他の問題、課題、および/または困難に対処する。
【0067】
本開示のいくつかの実施形態は、UEに関連付けられたネットワーク購読に関する識別子に基づくプライマリ認証で用いられるUDM発見および選択技術を活用することができる。例えば、識別子は、HPLMN ID + UEルーティングインジケータ(R-ID)、SUCI、SUPI、またはGPSIを含む、UEで利用可能な任意の関連する識別子であってよい。UEはアプリケーションセッションを確立する要求において、Kakma IDの一部として、またはKakma IDとは別個に、識別子をAFに提供することができる。UE要求を管理することができる適切なUDMが識別子に基づいて見つかると、AAnF(またはNEF/AF)は、新しいサービス動作、例えばNudm_UEAuthentication_ResultStatusを用いて、UDMから最新のKakmaを記憶するAUSFの識別情報を取得する。そして、AAnFは、特定されたAUSFから最新のKakmaを取得し、取得されたKakmaに基づいてKafを生成することができる。
【0068】
本開示の他の実施形態は、Kakmaと、UEが現在用いているKausf/Kakmaを保持するAUSF IDとの間の明示的バインディング情報を配信するために、既存のUEパラメータ更新(UPU)技法を活用することができる。AKMA鍵材料はUEおよびネットワーク側で暗黙的かつ独立に生成されるが、UEおよびネットワークは、(Kausf, Kakma)バージョン同期およびAUSF IDへの参照に合意する明示的なバインディング手順を有することができる。
【0069】
より具体的には、UEは、UDMからバインディング情報を取得し、それをアプリケーションセッションを確立するための要求でAFに提供することができる。そして、AAnFは、GBAのためのBSF発見手順と同様の方法で、関連付けられたAUSF ID(すなわち、UEに対する最新のKakmaを記憶するAUSF)を見つけるためにバインディング情報を用いることができる。AAnFがAUSFと同じ位置に設けられる場合、バインディング情報は、GBAにおけるBSFのバインディングと同様に、AAnFにも関連付けられることに留意されたい。
【0070】
本開示の他の実施形態は、ルーティング識別子(RID)の範囲に従ってAAnFを登録し、AUSFがそれ以降NRFを用いて介して発見できるようにするためにNRFの登録手順を活用することができる。AUSFは、登録されたRIDに対応する特定のUEに対するKakmaを作成するときに、Kakma/Kakma IDを以前発見したAAnFにプッシュすることができる。 このようにして、AAnFは、AFによって要求されたときにKafを生成するために必要なKakmaを既に有している。
【0071】
図9~11は、本開示の様々な例示的な実施形態による、アプリケーションセッション確立中の認証サポート機能(AUSF)選択を含む様々な例示的な手順のフロー図である。 特に、図9~図11に示される実施形態は、UEに関連付けられたネットワーク購読に関する識別子に基づいて、プライマリ認証で用いられるUDM発見および選択技法を活用する。特に、図9~図11は、それぞれ、HPLMN ID+UEルーティングインジケータ、SUCI/SUPI、およびGPSIに基づく手順を示す。
【0072】
図9~図11の各々には、UE910、AMF920、AUSF930の1つまたは複数のインスタンス(例えば930a、930bなど)、UDM/UDR940、AAnF950の1つまたは複数のインスタンス(例えば950a、950bなど)、およびAApF(またはAF)960が関与する、様々なメッセージおよび動作が含まれている。簡潔にするために、これらのエンティティについては以下の説明において参照番号を用いずに言及する。加えて、図9~図11は番号付けされた動作を示すが、これらの番号は手順の説明を容易にするために用いられており、動作に対する特定の順序を要求したり暗示したりするものではない。すなわち、図9~図11に示す動作は、図示とは異なる順序で実行することができ、図示とは異なる動作に組み合わせおよび/または分割して実行することができる。
【0073】
図9の動作0において、UEは、ネットワークとのプライマリ認証を実行する。KakmaおよびKakmaIDが生成され、UEおよびAUSFに記憶される。AUSFは、SUPI、AUSF ID、サービングネットワーク名、認証タイプ、およびタイムスタンプ情報を含んだ認証結果についてUDMに通知するために既存のサービス動作Nudm_UEAuthentication_ResultConfirmationを呼び出す。さらに、AUSFはプライマリ認証中に生成されたKakmaIDを提供する。UDMはすべての情報をまとめて記憶する。
【0074】
動作1において、UEは、AFを用いてアプリケーションセッションセットアップ手順を開始する。UEは、Kakma IDと、ホームネットワーク識別子(HPLMN ID、例えば、モバイルネットワークコード(MNC)/モバイル国コード(MCC))と、UEのRIDとを含んでいる。HPLMN IDおよびRIDはKakma ID内に含めることができ、またはメッセージに別個の識別子として含めることができる。
動作2~3において、AFは、HPLM IDに基づいてAAnFを選択し、選択されたAAnFに、UEとのアプリケーションセッションにおいて用いるためのKafの要求を送信する。要求は、AF ID、Kakma ID、およびHPLMN ID + RIDを含んでいる。
動作2~3において、AFは、HPLM IDに基づいてAAnFを選択し、選択されたAAnFに、UEとのアプリケーションセッションにおいて用いるためのKafの要求を送信する。要求は、AF ID、Kakma ID、およびHPLMN ID + RIDを含んでいる。
【0075】
動作4は、AAnFによるAUSF発見および選択を含む。動作4aにおいて、AAnFは、AFから受信したRIDに基づいてUDMを発見し、選択する。動作4bにおいて、AAnFは、選択されたUDMに、Kakma IDを含んだ要求を送信するために、新しいサービス動作Nudm_UEAuthentication_ResultStatusを呼び出す。UDMは、動作0の間に保存された情報に基づいてAUSFインスタンスを検出および選択するために、KakmaIDを用いる。動作4cにおいて、UDMは、SUPIおよびAUSF IDを、要求元のAAnFに返す。動作4dにおいて、AAnFは、UDMから受信したAUSF IDに基づいてAUSFを発見し、選択する。
【0076】
動作5において、AAnFは、SUPIおよびKakmaIDを含めたKakmaの要求を選択されたAUSFに送信するために、サービス動作Nausf_AKMAKey_Getを呼び出す。動作6において、AUSFは、KakmaをAAnFに戻す。動作7~8において、AAnFはAUSFから受信したKakmaに基づいてKafを生成し、AFにKafを提供する。動作9において、AFは、動作8で受信したKafに基づいて、UEとのセキュアアプリケーションセッションを確立する。
【0077】
図10は図9と同様の動作を示すが、異なる識別子、すなわち、HPLMN ID+RIDではなく、SUCIまたはSUPIに基づく。動作0は図9の動作0と同一である。動作1において、UEはAFを用いてアプリケーションセッションセットアップ手順を開始する。UEは、KakmaIDおよび、SUCIまたはSUPIを含む。SUCIまたはSUPIはKakma ID内に含めることができ、またはメッセージに別個の識別子として含めることができる。動作2~3において、AFは、SUCIまたはSUPIに関連付けられたHPLM IDに基づいてAAnFを選択し、選択されたAAnFに、UEとのアプリケーションセッションにおいて用いるためのKafの要求を送信する。要求は、AF ID、Kakma ID、およびSUCIまたはSUPIを含んでいる。
【0078】
動作4は、AAnFによるAUSF発見および選択を含む。動作4aにおいて、AAnFは、AFから受信したSUCIまたはSUPIに基づいてUDMを発見し、選択する。選択されたUDMに、Kakma IDおよび、SUCIまたはSUPIを含んだ要求を送信するために、新しいサービス動作Nudm_UEAuthentication_ResultStatusを呼び出す。動作4cにおいて、UDMは、動作0の間に記憶された情報に基づいてAUSFインスタンスを選択するために、SUCIまたはSUPIを用いる。UDMは、AAnFから受信したKakma IDが、UEについて記憶された認証コンテキストに含まれることを検証する。動作4dにおいて、UDMは、SUPIおよびAUSF IDを要求元のAAnFに返す。動作4eにおいて、AAnFは、UDMから受信したAUSF IDに基づいてAUSFを発見し、選択する。動作5~9は、図9の動作5~9と同じである。
【0079】
図11は図9-10と同様の動作を示すが、異なる識別子、すなわち、HPLMN ID+RID、SUCI、またはSUPIではなく、GPSIに基づく。動作0は、図9~図10に示す動作0と同一である。動作1において、UEは、AFを用いてアプリケーションセッションセットアップ手順を開始する。UEは、Kakma IDおよびGPSIを含んでいる。GPSIはKakma ID内に含めることができ、またはメッセージに別個の識別子として含めることができる。動作2~3において、AFは、GPSIに関連付けられたHPLM IDに基づいてAAnFを選択し、選択されたAAnFに、UEとのアプリケーションセッションにおいて用いるためのKafの要求を送信する。要求は、AF ID、Kakma ID、およびGPSIを含んでいる。
【0080】
動作4は、AAnFによるAUSF発見および選択を含む。動作4aにおいて、AAnFはAFから受信したGPSIに基づいてUDMを発見し、選択する。動作4bにおいて、AAnFは、選択されたUDMに、Kakma IDおよびGPSIを含んだ要求を送信するために、新しいサービス動作Nudm_UEAuthentication_ResultStatusを呼び出す。動作4cにおいて、UDMは、受信したGPSIを対応するSUPIに変換するとともに、動作0の間に記憶された情報に基づいてAUSFインスタンスを選択するためにSUPIを用いる。UDMは、AAnFから受信したKakmaIDが、UEについて記憶された認証コンテキストに含まれることを検証する。動作4dにおいて、UDMは、(GPSIに対応する)SUPIと、AUSF IDとを要求元のAAnFに返す。提供されたSUPIは、必要に応じて、または希望により、同じUEに対する後続の鍵要求のためにAAnFによって使用されうる。動作4eにおいて、AAnFは、UDMから受信したAUSF IDに基づいてAUSFを発見し、選択する。動作5~9は、図9~図10の動作5~9と同じである。
【0081】
図12は、本開示の様々な例示的な実施形態による、アプリケーションセッション確立中の認証サポート機能(AUSF)選択を伴う別の例示的な手順のフロー図である。具体的には、図12によって示される実施形態は、既存のUEパラメータ更新(UPU)技法を活用して、Kakmaと、UEが現在用いているKausf/Kakmaを保持するAUSF IDとの間の明示的なバインディング情報を提供する。図12に示されるエンティティは図9~図11と同じ参照番号を使用し、簡潔にするために以下の説明では省略する。しかしながら、図12に示される構成は、AMF 920ではなくNRF 970を含む。
【0082】
図12は番号付けされた動作を示すが、これらの番号は手順の説明を容易にするために用いられており、動作に対する特定の順序を要求したり暗示したりするものではない。すなわち、図12に示す動作は、図示とは異なる順序で実行することができ、図示とは異なる動作に組み合わせおよび/または分割して実行することができる。
【0083】
動作0aにおいて、AUSFは例えば、Nnrf_NFManagement_NFRegisterサービス動作を用いて、自身に固有のAKMAバインディング情報をNRFに登録する。AKMAバインディング情報は、AUSF GroupID、SUPI範囲、AUSF完全修飾ドメイン名(FQDN)、AUSF IPアドレス、および/またはAUSF IDを含むことができる。いくつかの実施形態では、動作0aで登録されたAKMAバインディング情報が、AUSFのプライバシーを高めることができる、上述のパラメータのハッシュでありうる。
【0084】
動作0bにおいて、UEは、ネットワークとのプライマリ認証を実行する。KakmaおよびKakma IDが生成され、UEおよびAUSFに記憶される。AUSFはまた、Kakma IDと、(例えば動作0aからの)AKMAバインディング情報と、(1つまたは複数の)UE識別子(例えばGPSI)とを含み得るバインディング識別子B-TIDを生成する。AUSFは、SUPI、AUSF ID、サービングネットワーク名、認証タイプ、およびタイムスタンプ情報を含んだ認証結果についてUDMに通知するために既存のサービス動作Nudm_UEAuthentication_ResultConfirmationを呼び出す。さらに、AUSFはB-TIDを提供する。UDMはすべての情報をまとめて記憶する。
【0085】
動作0cにおいて、AUSFは、UDM制御プレーン手順または同様の手順を用いたUEパラメータ更新により、特定のUEについてのB-TIDを更新するようにUDMに要求する(またはUDMが自身でトリガする)。動作1において、UEは、AFを用いてアプリケーションセッションセットアップ手順を開始する。UEは、動作0cで受信したB-TIDを含んでいる。動作2~3において、AFは、GPSIに関連付けられた(例えばB-TIDに含まれる)HPLM IDに基づいてAAnFを選択し、選択されたAAnFに、UEとのアプリケーションセッションにおいて用いるためのKafの要求を送信する。要求は、動作1で受信したB-TIDを含む。動作4において、AAnFは、AFから受信したB-TIDに基づいて、NRFを用いてAUSFを発見し、選択する。例えば、AAnFは、NRF発見サービスへの入力として、B-TID*内のAKMAバインディング情報および/またはUE情報(例えばGPSI)を用いる。
【0086】
動作5において、AAnFは、B-TIDを含めたKakmaの要求を選択されたAUSFに送信するため、サービス動作Nausf_AKMAKey_Getを呼び出す。動作6において、AUSFは(必要に応じてSUPIも併せて)KakmaをAAnFに戻す。他の実施形態において、AAnFは、B-TID*内のUE情報を対応するSUPIにマッピングするために、UDMから既存のサービス(例えばNudm_SDM_GET(識別子変換))を呼び出す。そして、AAnFは、動作5で送信されるサービス動作Nausf_AKMAKey_Get sにもSUPIを含める。
【0087】
動作7~8において、AAnFは、AUSFから受信したKakmaに基づいてKafを生成し、AFにKafを提供する。動作9において、AFは、動作8で受信したKafに基づいて、UEとのセキュアアプリケーションセッションを確立する。
【0088】
図12に示した手順は、動作0cにおいて、B-TID*をプライマリ認証および/またはUE登録手順中に既存のNAS信号にピギーバックしてUEに提供するように変形してもよい。この変形例の他の動作は、図12に示される動作と実質的に同一でありうる。
【0089】
図13は、本開示の様々な例示的な実施形態による、アプリケーションセッション確立中の認証サポート機能(AUSF)選択を伴う別の例示的な手順のフロー図である。具体的には、図13に示される実施形態は、AUSFが後にNRFを用いて発見することができるルーティング識別子(RID)の範囲に従ってAAnFを登録するために、NRF登録手順を活用する。図13に示されるエンティティは図9~図11と同じ参照番号を使用し、簡潔にするために以下の説明では省略する。図13は番号付けされた動作を示すが、これらの番号は手順の説明を容易にするために用いられており、動作に対する特定の順序を要求したり暗示したりするものではない。すなわち、図13に示す動作は、図示とは異なる順序で実行することができ、図示とは異なる動作に組み合わせおよび/または分割して実行することができる。
【0090】
図13に示される実施形態の必要条件として、AAnFは、AUSFおよび/またはUDMによって用いられるのと同様のGroup ID (GID)、RIDおよび/またはSUPI範囲パーティショニングを用いるようにHPLMN内に配置されることができる。いくつかの実施形態では、複数のAAnFインスタンスが個々の範囲パーティションに対して配置されうる。図12と同様に、AAnFは、対応する範囲パーティションに関連してNRF(図13には図示せず)に登録することができる。
【0091】
動作0は、図9~11に示す動作0と同様である。動作1において、AUSFは、プライマリ認証およびKakma生成の後、UEのSUPIまたはRIDに基づいて、NRFを用いてUEに対する(1つまたは複数の)AAnFインスタンスを発見する。UEのRID/GIDに対して複数のAAnFインスタンスが存在し得ることに留意されたい。動作2において、AUSFは、UEについてのKakma、Kakma ID、およびSUPIをAAnFに積極的にプッシュする。UEのRID/GIDに対して複数のAAnFインスタンスが配置される場合、AUSFは、そのようなAAnFインスタンスすべてにKakmaを提供する。動作3は、図9の動作3と同様である。
【0092】
動作4において、AFは、動作3で受信したHPLMN IDおよびRIDに基づいて、AAnFインスタンスを選択する。動作5において、AFは、RIDを含めたKakumaの要求を選択されたAUSFに送信するために、サービス動作Nausf_AKMAKey_Getを呼び出す。動作6において、AAnFは、要求を受信した後、動作2で受信した情報とKakmaIDとを照合して、自身が最新のKakmaを有していることを特定する。動作7~9は、図9~図12の動作7~9と同一である。
【0093】
上述した実施形態は、後述する図14~図19に示す例示的な方法(例えば、手順)によりさらに説明することができる。例えば、上述した様々な実施形態の特徴は、図14~図19に示す例示的な方法の様々な動作に含まれる。
【0094】
より具体的には、図14は、本開示の様々な例示的な実施形態による、通信ネットワーク(例えば5GC)において鍵管理サーバ(例えばAAnF)によって実行される例示的な方法(例えば手順)を示す。鍵管理サーバは、本明細書の他の場所で説明されるように、通信ネットワーク内の1つまたは複数のネットワークノードによってホストされ、および/または提供されうる。例示的な方法は、図14において特定の順序の特定のブロックによって示されているが、複数のブロックに対応する動作を、図示とは異なる順序で実行すること、図示とは異なる機能を有するブロックおよび/または動作に組み合わせることおよび/または分割することができる。さらに、図14に示す例示的な方法は、本明細書に記載された利点、長所、および/または問題に対する解決法を提供するために協調的に用いることができるよう、本明細書に開示される他の例示的な方法および/または手順(例えば、図9~12、16~17、19)と相補的であってよい。任意選択的なブロックおよび/または動作は、破線によって示される。
【0095】
例示的な方法はブロック1410の動作を含むことができる。ブロック1410において鍵管理サーバは、アプリケーション機能から、特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を受信することができる。要求は、特定のユーザに関連付けられた以下の情報、すなわちアプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)およびネットワーク購読に関する第2の識別子、の表現を含むことができる。例示的な方法はまた、ブロック1420の動作を含むことができる。ブロック1420において鍵管理サーバは、表現に基づいて、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成した認証サーバ機能(AUSF)を特定することができる。
【0096】
いくつかの実施形態において例示的な方法は、ブロック1430の動作をさらに含むことができる。ブロック1430において鍵管理サーバは、特定されたAUSFからアプリケーションに固有でないアンカセキュリティ鍵(Kakma)を取得することができる。いくつかの実施形態において例示的な方法は、ブロック1440の動作をさらに含むことができる。ブロック1440において鍵管理サーバは、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいて、アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することができる。
【0097】
図14に示した方法のいくつかの実施形態は、図12に示した例示的な手順に対応することができる。そのような実施形態では、(例えばブロック1410で受信する)表現は、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成したAUSFとの間のバインディングの第3の識別子(B-ID)を含むことができる。特に、第3の識別子は、第1および第2の識別子の表現と、AUSFに関連付けられた情報とを含むことができる。様々な実施形態において、AUSFに関連付けられた情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含むことができる。
【0098】
そのような実施形態では、ブロック1420の特定動作がサブブロック1421の動作を含むことができる。ブロック1421で鍵管理サーバは、AUSFに関連付けられた情報に基づいて、ネットワークリポジトリ機能(NRF)を用いてAUSFの識別情報を発見することができる。さらに、そのような実施形態では、ブロック1430の取得動作がサブブロック1431~1432の動作を含むことができる。サブブロック1431において、鍵管理サーバは、(例えばブロック1420から)特定されたAUSFに、第3の識別子(例えばB-TID)を含んだ要求を送信することができる。サブブロック1432において、鍵管理サーバは、特定されたAUSFから、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)および第2の識別子を含んだ応答を受信することができる。
【0099】
図14に示した方法の他の実施形態は、図9~図11に示される例示的な手順に対応することができる。そのような実施形態では、(例えばブロック1410で受信する)第1の識別子および第2の識別子の表現は、第1の識別子(例えばKakmaID)および第2の識別子を含みうる。例えば、第2の識別子は、HPLMN IDおよびユーザ装置ルーティング識別子(RID)、購読隠蔽識別子(SUCI)、購読永続識別子(SUPI)、または汎用公開購読識別子(GPSI)のうちのいずれか1つであってよい。変形例では、表現が第1の識別子(例えばKakmaID)のみを含むことができ、第1の識別子は第2の識別子の表現を含む。
【0100】
そのような実施形態では、ブロック1420の特定動作がサブブロック1422~1424の動作を含むことができる。サブブロック1422において、鍵管理サーバは、第2の識別子に基づいて、通信ネットワーク内の統合データ管理(UDM)機能を選択することができる。サブブロック1423において、鍵管理サーバは、AUSFに関連付けられた第4の識別子の第1の要求をUDMに送信することができる。サブブロック1424において、鍵管理サーバは、UDMから、第4の識別子を含んだ第1の応答を受信することができる。いくつかの実施形態では、第1の応答はまた、特定のユーザに関連付けられたネットワーク購読に関するさらなる第2の識別子を含むことができる。例えば、さらなる第2の識別子はSUPIであってよく、第2の識別子はSUPI以外の識別子(例えばGPSI、SUCI、HPLMN+RID)であってよい。
【0101】
そのような実施形態では、ブロック1430の取得動作がサブブロック1433~1434の動作を含むことができる。サブブロック1433において、鍵管理サーバは、第4の識別子に関連付けられたAUSFに、第2の識別子、または特定のユーザに関連付けられたネットワーク購読に関するさらなる第2の識別子、を有する第2の要求を送信することができる。サブブロック1434において、鍵管理サーバは、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含んだ第2の応答をAUSFから受信することができる。いくつかの実施形態では、第2の要求または第2の応答のいずれかは第2の識別子を含むこともできる。例えば、第2の要求がさらなる第2の識別子(例えばSUPI)を含む場合、第2の応答は第2の識別子(例えばSUPI以外の識別子)を含むことができる。
【0102】
いくつかの実施形態では、例示的な方法はさらに、鍵管理サーバがアプリケーションセッションに固有のセキュリティ鍵(Kaf)をアプリケーション機能に送信することができる、ブロック1440の動作を含むことができる。
【0103】
さらに、図15は本開示の様々な例示的な実施形態による、通信ネットワーク(例えば5GC)において鍵管理サーバ(例えばAAnF)によって実行される別の例示的な方法(例えば手順)を示す。鍵管理サーバは、本明細書の他の場所で説明されるように、通信ネットワーク内の1つまたは複数のネットワークノードによってホストされ、および/または提供されうる。例示的な方法は、図15において特定の順序の特定のブロックによって示されているが、複数のブロックに対応する動作を、図示とは異なる順序で実行すること、図示とは異なる機能を有するブロックおよび/または動作に組み合わせることおよび/または分割することができる。さらに、図15に示す例示的な方法は、本明細書に記載された利点、長所、および/または問題に対する解決法を提供するために協調的に用いることができるよう、本明細書に開示される他の例示的な方法および/または手順(例えば、図13および18)と相補的であってよい。任意選択的なブロックおよび/または動作は、破線によって示される。
【0104】
例示的な方法はブロック1520の動作を含むことができる。ブロック1520において鍵管理サーバは、認証サーバ機能(AUSF)から、特定のユーザに関連付けられた以下の情報、すなわち、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)、アプリケーションに固有でないアンカセキュリティ鍵の第1の識別子(KakmaID)、およびネットワーク購読に関する第2の識別子を受信することができる。いくつかの実施形態では、第2の識別子が購読永続識別子(SUPI)でありうる。
【0105】
例示的な方法はまた、ブロック1530の動作を含むことができる。ブロック1530において鍵管理サーバは、アプリケーション機能から、特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を受信することができ、要求は、特定のユーザに関連付けられたアプリケーションに固有でないアンカセキュリティ鍵のさらなる識別子(Kakma ID)を有する。要求は、特定のユーザに関連付けられたアプリケーションに固有でないアンカセキュリティ鍵のさらなる識別子(Kakma ID)を含むことができる。例示的な方法はまた、ブロック1550の動作を含むことができる。ブロック1550において鍵管理サーバは、第1の識別子とさらなる識別子との間の一致(例えば一致するKakmaID)に基づき、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいて、アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することができる。
【0106】
いくつかの実施形態では、鍵管理サーバが、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)のインスタンスを複数含むことができ、各AAnFインスタンスはユーザ装置ルーティングインジケータ(RID)の範囲に対応する。そのような実施形態では、要求が、特定のユーザに関連付けられたルーティングインジケータ(RID)も含むことができ、例示的な方法はブロック1540の動作も含むことができる。ブロック1540において鍵管理サーバは、(例えば受信したRIDと、RIDの範囲の1つとの一致に基づいて)受信したRIDに基づいてAAnFインスタンスを選択することができる。そのような実施形態では(例えばブロック1550で)アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することは、選択されたAAnFインスタンスによって実行される。
【0107】
いくつかの実施形態では、鍵管理サーバがユーザ装置ルーティングインジケータ(RID)の1つまたは複数の範囲に関連付けられうる。一例として、鍵管理サーバは複数のAAnFインスタンスを含むことができ、各AAnFインスタンスは、ユーザ装置ルーティングインジケータ(RID)の範囲に対応する。そのような実施形態において例示的な方法は、ブロック1510の動作をさらに含むことができる。ブロック1510において鍵管理サーバは、鍵管理サーバと1つまたは複数の範囲との関連付けを、通信ネットワーク内のネットワークリポジトリ機能(NRF)に登録することができる。
【0108】
さらに、図16は本開示の様々な例示的な実施形態による、通信ネットワーク内のアプリケーション機能によって実行される例示的な方法(例えば手順)を示す。アプリケーション機能は本明細書の他の場所で説明されるように、通信ネットワーク内の1つまたは複数のネットワークノードによってホストされ、および/または提供されうる。例示的な方法は、図16において特定の順序の特定のブロックによって示されているが、複数のブロックに対応する動作を、図示とは異なる順序で実行すること、図示とは異なる機能を有するブロックおよび/または動作に組み合わせることおよび/または分割することができる。さらに、図16に示す例示的な方法は、本明細書に記載された様々な利点、長所、および/または問題に対する解決法を提供するために協調的に用いることができるよう、本明細書に開示される他の例示的な方法および/または手順(例えば、図9~15、17~19)と相補的であってよい。任意選択的なブロックおよび/または動作は、破線によって示される。
【0109】
例示的な方法はブロック1610の動作を含むことができる。ブロック1610でアプリケーション機能は、ユーザ装置から、アプリケーションセッションの確立の第1の要求を受信することができる。第1の要求は、特定のユーザに関連付けられた情報、すなわち、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)およびネットワーク購読に関する第2の識別子、の表現を含むことができる。例示的な方法はまた、ブロック1620の動作を含むことができる。ブロック1620においてアプリケーション機能は、通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)に、アプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を送信することができる。第2の要求は、第1および第2の識別子の表現を含むことができる。
【0110】
例示的な方法はまた、ブロック1630の動作を含むことができる。ブロック1630においてアプリケーション機能は、AAnFから、アプリケーションセッションに固有のセキュリティ鍵(Kaf)を受信することができる。いくつかの実施形態では、例示的な方法はブロック1640の動作をさらに含むことができる。ブロック1640においてアプリケーション機能は、受信したセキュリティ鍵(Kaf)に基づいて、ユーザ装置とのセキュアアプリケーションセッションを確立することができる。
【0111】
図16に示した方法のいくつかの実施形態は、図12に示した例示的な手順に対応することができる。そのような実施形態では、(例えばブロック1610で受信し、ブロック1620で送信する)表現は、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成したAUSFとの間のバインディングの第3の識別子(B-ID)を有することができる。特に、第3の識別子は、第1および第2の識別子の表現と、AUSFに関連付けられた情報とを含むことができる。様々な実施形態において、AUSFに関連付けられた情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含むことができる。
【0112】
図16に示される方法の他の実施形態は、図9~図11に示される例示的な手順に対応することができる。そのような実施形態では、(例えばブロック1410で受信する)第1の識別子および第2の識別子の表現は、第1の識別子(例えばKakmaID)および第2の識別子を含みうる。例えば、第2の識別子は、HPLMN IDおよびユーザ装置ルーティング識別子(RID)、購読隠蔽識別子(SUCI)、購読永続識別子(SUPI)、または汎用公開購読識別子(GPSI)のうちのいずれか1つであってよい。変形例では、表現が第1の識別子(例えばKakmaID)のみを含むことができ、第1の識別子は第2の識別子の表現を含む。
【0113】
さらに、図17は本開示の様々な例示的な実施形態による、通信ネットワーク(例えば5GC)において認証サーバ機能(AUSF)によって実行される例示的な方法(例えば手順)を示す。AUSFは本明細書の他の場所で説明されるように、通信ネットワーク内の1つまたは複数のネットワークノードによってホストおよび/または提供されうる。例示的な方法は、図17において特定の順序の特定のブロックによって示されているが、複数のブロックに対応する動作を、図示とは異なる順序で実行すること、図示とは異なる機能を有するブロックおよび/または動作に組み合わせることおよび/または分割することができる。さらに、図17に示す例示的な方法は、本明細書に記載された様々な利点、長所、および/または問題に対する解決法を提供するために協調的に用いることができるよう、本明細書に開示される他の例示的な方法および/または手順(例えば、図9~12、14、16、19)と相補的であってよい。任意選択的なブロックおよび/または動作は、破線によって示される。
【0114】
例示的な方法はブロック1730の動作を含むことができる。ブロック1730においてAUSFは、通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)の要求を受信することができる。要求は、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)および特定のユーザのネットワーク購読に関する第2の識別子、の第1の表現を含むことができる。例示的な方法はまた、ブロック1740の動作を含むことができる。ブロック1740においてAUSFは、要求された、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含む応答をAAnFに送信することができる。
【0115】
いくつかの実施形態では、図17に示す例示的な方法がブロック1710~1720の動作を含むことができる。ブロック1710においてAUSFは、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)と、第1の識別子(KakmaID)とを生成することができる。ブロック1720においてAUSFは、通信ネットワークにおける統合データ管理(UDM)機能に、AUSFに関連付けられた第4の識別子(AUSFID)と、少なくとも第1の識別子(KakmaID)の第2の表現とを送信することができる。
【0116】
図17に示した方法のいくつかの実施形態は、図12に示した例示的な手順に対応することができる。そのような実施形態では、(例えばブロック1730で受信する)第1の表現および(例えばブロック1720で送信する)第2の表現は、アプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成したAUSFとの間のバインディングの第3の識別子(B-ID)を含むことができる。特に、第3の識別子は、第1および第2の識別子の表現と、AUSFに関連付けられた情報とを含むことができる。様々な実施形態において、AUSFに関連付けられた情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含むことができる。そのような実施形態において、(例えばブロック1740で送信された)応答は、特定のユーザに関連付けられた購読永久識別子(SUPI)をさらに含むことができる。
【0117】
図17に示される方法の他の実施形態は、図9~図11に示される例示的な手順に対応することができる。そのような実施形態では、(例えばブロック1730で受信する)第1および第2の識別子の第1の表現は、第1の識別子(例えばKakmaID)および第2の識別子を含むことができ、(例えばブロック1720で送信する)第2の表現は第1の識別子のみを含むことができる。そのような実施形態では、第2の識別子が、HPLMN IDおよびユーザ装置ルーティング識別子(RID)、購読隠蔽識別子(SUCI)、購読永続識別子(SUPI)、または汎用公開購読識別子(GPSI)のうちのいずれか1つであってよい。変形例では、(例えばブロック1730で受信する)第1の表現は、第1の識別子(例えばKakmaID)のみを含むことができ、第1の識別子は第2の識別子の表現を含むことができる。
【0118】
さらに、図18は本開示の様々な例示的な実施形態による、通信ネットワーク(例えば5GC)において認証サーバ機能(AUSF)によって実行される別の例示的な方法(例えば手順)を示す。AUSFは本明細書の他の場所で説明されるように、通信ネットワーク内の1つまたは複数のネットワークノードによってホストおよび/または提供されうる。例示的な方法は、図18において特定の順序の特定のブロックによって示されているが、複数のブロックに対応する動作を、図示とは異なる順序で実行すること、図示とは異なる機能を有するブロックおよび/または動作に組み合わせることおよび/または分割することができる。さらに、図18に示す例示的な方法は、本明細書に記載された利点、長所、および/または問題に対する解決法を提供するために協調的に用いることができるよう、本明細書に開示される他の例示的な方法および/または手順(例えば、図13および15)と相補的であってよい。任意選択的なブロックおよび/または動作は、破線によって示される。
【0119】
例示的な方法はブロック1810の動作を含むことができる。ブロック1810においてAUSFは、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成することができ、アプリケーションに固有でないアンカセキュリティ鍵は、第1の識別子(KakmaID)に関連付けられる。例示的な方法はまた、ブロック1820の動作を含むことができる。ブロック1820においてAUSFは、特定のユーザのネットワーク購読に関する第2の識別子に基づいて、特定のユーザに関連付けられた、通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)を選択することができる。いくつかの実施形態において、例示的な方法はブロック1830の動作をさらに含むことができる。ブロック1830においてAUSFは、特定されたAAnFに以下の情報、すなわち、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)、第1の識別子(KakmaID)、および特定のユーザのネットワーク購読に関する第2の識別子を送信することができる。様々な実施形態では、第2の識別子が特定のユーザに関連付けられた購読永続識別子(SUPI)でありうる。
【0120】
さらに、図19は本開示の様々な例示的な実施形態による、通信ネットワーク(例えば5GC)において統合データ管理(UDM)機能によって実行される例示的な方法(例えば手順)を示す。UDM機能は本明細書の他の場所で説明されるように、通信ネットワーク内の1つまたは複数のネットワークノードによってホストされ、および/または提供されうる。例示的な方法は、図19において特定の順序の特定のブロックによって示されているが、複数のブロックに対応する動作を、図示とは異なる順序で実行すること、図示とは異なる機能を有するブロックおよび/または動作に組み合わせることおよび/または分割することができる。さらに、図19に示す例示的な方法は、本明細書に記載された様々な利点、長所、および/または問題に対する解決法を提供するために協調的に用いることができるよう、本明細書に開示される他の例示的な方法および/または手順(例えば、図9~11、14、16~17)と相補的であってよい。任意選択的なブロックおよび/または動作は、破線によって示される。
【0121】
例示的な方法はブロック1910の動作を含むことができる。ブロック1910においてUDM機能は、通信ネットワーク内の認証サーバ機能(AUSF)から、AUSFに関連付けられた第4の識別子(AUSFID)と、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)とを受信することができる。例示的な方法はまたブロック1920の動作を含むことができる。ブロック1920においてUDM機能は、通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、第4の識別子の要求を受信することができる。例示的な方法はまた、ブロック1950の動作を含むことができる。ブロック1950においてUDM機能は、第4の識別子を有する応答をAAnFに送信することができる。
【0122】
いくつかの実施形態では、(例えばブロック1920で受信する)要求が、第1の識別子(KakmaID)を含むことができ、(例えばブロック1950で送信する)応答が、特定のユーザに関連付けられたネットワーク購読に関する第2の識別子を含むことができる。これらの実施形態のいくつかでは、第1の識別子が第2の識別子の表現を含むことができる。そのような実施形態の例は、図9によって示される手順に示される。
【0123】
これらの実施形態のうちの他の実施形態では、要求が、特定のユーザに関連付けられたネットワーク購読に関するさらなる第2の識別子を含むことができる。そのような実施形態において例示的な方法は、ブロック1930の動作をさらに含むことができる。ブロック1930においてUDM機能は、さらなる第2の識別子に基づいて第2の識別子を決定することができる。例えば、第2の識別子は購読永久識別子(SUPI)であってよく、さらなる第2の識別子はSUPI以外の識別子(例えばSUCI、GPSI)である。そのような実施形態の例は図10~図11によって示される手順に示される。
【0124】
様々な実施形態では、(例えばブロック1910で受信する情報の送信元である)AUSFは複数のAUSFインスタンスを含むことができ、各AUSFインスタンスはネットワーク購読に関連付けられた識別子(例えばRID、SUPIなど)の範囲に対応する。そのような実施形態において例示的な方法は、ブロック1940の動作をさらに含むことができる。ブロック1940においてUDM機能は、(例えばブロック1920で受信する)第2の識別子に基づいて特定のAUSFインスタンスを選択することができる。そのような実施形態では(例えばブロック1950で送信する)第4の識別子は選択されたAUSFインスタンスに対応することができる。
【0125】
本明細書に記載される主題は、任意の適切な構成要素を用いて任意の適切なタイプのシステムで実施されうるが、本明細書に開示される実施形態は、図20に示される例示的な無線ネットワークのような無線ネットワークに関して説明される。簡単にするために、図20の無線ネットワークには、ネットワーク2006、ネットワークノード2060および2060b、ならびにWD2010、2010b、および2010cだけが描かれている。実際には、無線ネットワークは、無線デバイス間、または無線デバイスと他の通信装置(固定電話、サービスプロバイダ、または他のネットワークノードやエンドデバイスなど)との間の通信をサポートするのに適した任意の追加要素をさらに含みうる。図示した構成要素のうち、ネットワークノード2060および無線デバイス(WD)2010が、より詳細に示されている。無線ネットワークは、無線デバイスによって、または無線デバイスを用いて提供されるサービスに対する、無線デバイスによるアクセスおよび/または利用を容易にするために、通信および他のタイプのサービスを1つまたは複数の無線デバイスに提供することができる。
【0126】
無線ネットワークは、任意のタイプの通信、電気通信、データ、セルラ、および/または無線ネットワークまたは他の同様のタイプのシステムで構成され、および/またはそれらと相互作用しうる。いくつかの実施形態において、無線ネットワークは、特定の規格または他のタイプの事前定義されたルールまたは手順に従って動作するように構成されうる。したがって、無線ネットワークの特定の実施形態は、移動通信用グローバルシステム(GSM)、ユニバーサル移動通信システム(UMTS)、ロングタームエボリューション(LTE)、および/または他の適切な2G、3G、4G、または5G規格などの通信規格、IEEE 802.11規格などの無線ローカルエリアネットワーク(WLAN)規格、および/またはWiMax (Worldwide Interoperability for Microwave Access)、Bluetooth(登録商標)、Z-Waveおよび/またはZigBee規格などの任意の他の適切な無線通信規格を実装することができる。
【0127】
ネットワーク2006は、バックホールネットワーク、コアネットワーク、IPネットワーク、公衆交換電話網(PSTN)、パケットデータネットワーク、光ネットワーク、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、無線ローカルエリアネットワーク(WLAN)、有線ネットワーク、無線ネットワーク、メトロポリタンネットワーク、および装置間の通信を可能にする他のネットワークの1つまたは複数から構成されうる。
【0128】
ネットワークノード2060およびWD2010は、以下でより詳細に説明する様々な構成要素を有する。これらの構成要素はネットワークノードおよび/または無線デバイスの機能を提供するために、例えば、無線ネットワークにおける無線接続を提供するために、協働する。様々な実施形態において、無線ネットワークは、任意の数の、有線または無線ネットワーク、ネットワークノード、基地局、コントローラ、無線デバイス、中継局、および/または、有線接続または無線接続を用いるかにかかわらず、データおよび/または信号の通信を容易にし、またはそれに関与しうる任意の他の構成要素またはシステムを有しうる。
【0129】
ネットワークノードの例にはアクセスポイント(AP)(例えば、無線アクセスポイント)、基地局(Bs)(例えば、無線基地局、ノードB、進化型ノードB(eNB)およびNRノードB(gNB))が含まれるが、これらに限定されない。基地局はそれらが提供するカバレージ(換言すれば送信電力レベル)の量に基づいて分類されることがあり、フェムト基地局、ピコ基地局、マイクロ基地局、またはマクロ基地局とも呼ばれうる。基地局は、リレーを制御するリレーノードまたはリレードナーノードであってもよい。ネットワークノードは、集中型デジタルユニットおよび/または遠隔無線ユニット(RRU)(遠隔無線ヘッド(RRH)とも呼ばれる)などの分散型無線基地局の1つまたは複数の(またはすべての)部分を含むこともできる。そのような遠隔無線ユニットはアンテナ一体型無線機としてアンテナと一体化されてもよいし、一体化されなくてもよい。分散無線基地局の一部は、分散アンテナシステム(DAS)におけるノードと呼ばれることもある。
【0130】
ネットワークノードのさらに別の例はMSR BSなどのマルチスタンダード無線(MSR)機器、無線ネットワークコントローラ(RNC)または基地局コントローラ(BSC)などのネットワークコントローラ、基地送受信局(BTS)、送信ポイント、伝送ノード、マルチセル/マルチキャスト調整エンティティ(MCE)、コアネットワークノード(例えば、MSC、MME)、O&Mノード、OSSノード、SONノード、測位ノード(例えば、E-SMLC)、および/またはMDTを含む。別の例として、ネットワークノードは、以下でより詳細に説明する仮想ネットワークノードであってもよい。しかしながら、より一般的には、ネットワークノードは、無線ネットワークへのアクセスを有する無線デバイスを可能にし、および/または提供し、あるいは無線ネットワークにアクセスした無線デバイスに何らかのサービスを提供する、ことが可能な、ように構成、配置、および/または動作可能な任意の適当な装置(または装置群)を表すことができる。
【0131】
図20においてネットワークノード2060は、処理回路2070、機器可読媒体2080、インタフェース2090、補助装置2084、電源2086、電源回路2087、およびアンテナ2062を含む。図20の例示的な無線ネットワークに示されたネットワークノード2060はハードウェア構成要素の図示された組み合わせを含むデバイスを表すことができるが、他の実施形態は構成要素の異なる組み合わせを有するネットワークノードを有することができる。ネットワークノードは、本明細書で開示されるタスク、特徴、機能、および方法を実行するために必要とされるハードウェアおよび/またはソフトウェアの任意の適切な組み合わせを有することを理解されたい。さらに、ネットワークノード2060の構成要素はより大きなボックス内に配置された単一のボックスとして示されているか、または複数のボックス内に入れ子にされているが、実際にはネットワークノードが単一の例示された構成要素を構成する複数の異なる物理的構成要素を有することができる(例えば、機器可読媒体2080は複数の別個のハードドライブならびに複数のRAMモジュールを有することができる)。
【0132】
同様に、ネットワークノード2060は複数の物理的に別個の構成要素(例えば、ノードB構成要素およびRNC構成要素、またはBTS構成要素およびBSC構成要素など)から構成されてもよく、それらはそれぞれ、それら自体のそれぞれの構成要素を有しうる。ネットワークノード2060が複数の別個の構成要素(例えば、BTSおよびBSC構成要素)を有する特定のシナリオでは、1つ以上の別個の構成要素がいくつかのネットワークノード間で共有されうる。例えば、単一のRNCが複数のノードBを制御することができる。このようなシナリオでは、ノードBとRNCのユニークなペアのそれぞれが、場合によっては1つの独立したネットワークノードと見なされうる。いくつかの実施形態では、ネットワークノード2060が複数の無線アクセス技術(RAT)をサポートするように構成されうる。そのような実施形態ではいくつかの構成要素が複製されてもよく(例えば、異なるRATのための別個の装置可読媒体2080)、いくつかの構成要素は再使用されてもよい(例えば、同じアンテナ2062が複数のRATによって共有されてもよい)。ネットワークノード2060はまた、例えば、GSM、WCDMA(登録商標)、LTE、NR、WiFi、またはBluetooth無線技術のような、ネットワークノード2060に統合された異なる無線技術のために、様々な図示された構成要素の複数のセットを含みうる。これらの無線技術は、ネットワークノード2060内の同じまたは異なるチップまたはチップのセットおよび他の構成要素に統合されうる。
【0133】
処理回路2070はネットワークノードによって提供されるものとして本明細書で説明される任意の決定、計算、または同様の動作(例えば、いくつかの取得動作)を実行するように構成される。処理回路2070によって実行されるこれらの動作は例えば、取得された情報を他の情報に変換すること、取得された情報または変換された情報をネットワークノードに格納された情報と比較すること、および/または取得された情報または変換された情報に基づいて1つまたは複数の動作を実行すること、および前記処理の結果として判定を行うことによって、処理回路2070によって取得された情報を処理することを含みうる。
【0134】
処理回路2070はマイクロプロセッサ、コントローラ、マイクロコントローラ、中央演算処理装置、デジタル信号プロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ、または任意の他の適切なコンピューティングデバイス、リソース、またはハードウェア、ソフトウェア、および/または符号化ロジックの組み合わせの1つまたは複数の組み合わせを有することができ、これらは、単独で、または装置可読媒体2080などの他のネットワークノード2060構成要素と併せてのいずれかにより、ネットワークノード2060の機能を提供するように動作可能である。そのような機能は、本明細書で説明される様々な無線特徴、機能、または利益のいずれかを提供することを含みうる。
【0135】
例えば、処理回路2070は、装置可読媒体2080または処理回路2070内のメモリに格納された命令を実行することができる。いくつかの実施形態では、処理回路2070がシステムオンチップ(SOC)を含みうる。より具体的な例として、媒体2080に記憶された命令(コンピュータプログラム製品とも呼ばれる)は、処理回路2070によって実行されたとき、本明細書で説明する様々な例示的な方法(例えば手順)に対応する動作を実行するようにネットワークノード2060を構成可能な命令を含むことができる。
【0136】
いくつかの実施形態では、処理回路2070が無線周波数(RF)送受信器回路2072およびベースバンド処理回路2074を1つまたは複数含みうる。いくつかの実施形態では、無線周波数(RF)送受信器回路2072およびベースバンド処理回路2074が、別個のチップ(またはチップのセット)、ボード、または(無線ユニットおよびデジタルユニットなどの)ユニットにあってもよい。代替実施形態では、RF送受信器回路2072およびベースバンド処理回路2074の一部または全部が同じチップ、または同じチップ、ボード、またはユニットのセットにあってもよい。
【0137】
特定の実施形態ではネットワークノード、基地局、eNB、または他のそのようなネットワーク機器によって提供されるものとして本明細書で説明される機能の一部またはすべては、装置可読媒体2080または処理回路2070内のメモリに格納された命令を実行する処理回路2070によって実行されうる。代替実施形態では、機能のいくつかまたは全ては、別個のまたは個別の装置可読媒体上に格納された命令を実行することなく、ハードワイヤード方式などで処理回路2070によって提供されうる。これらの実施形態のいずれにおいても、装置可読記憶媒体に格納された命令を実行するか否かにかかわらず、処理回路2070は、説明された機能を実行するように構成されうる。そのような機能によって提供される利点は、処理回路2070単独またはネットワークノード2060の他の構成要素に限定されず、ネットワークノード2060全体によって、および/またはエンドユーザおよび無線ネットワーク全体によって享受される。
【0138】
装置可読媒体2080は限定されるものではないが、永続的記憶装置、ソリッドステートメモリ、遠隔でマウントされたメモリ、磁気媒体、光学媒体、ランダムアクセスメモリ、読み出し専用メモリ、大容量記憶媒体(例えば、ハードディスク)、取り外し可能記憶媒体(例えば、フラッシュドライブ、コンパクトディスク(CD)またはデジタルビデオディスク(DVD))、および/または処理回路2070によって使用され得る情報、データ、および/または命令を記憶するその他の揮発性または不揮発性、一時的でない装置可読および/またはコンピュータ実行可能メモリデバイスを含む、任意の形態の揮発性または不揮発性コンピュータ可読メモリを含むことができる。装置可読媒体2080は、コンピュータプログラム、ソフトウェア、ロジック、ルール、コード、テーブルなどの1つまたは複数を含むアプリケーション、および/または処理回路2070によって実行され、ネットワークノード2060によって利用されることが可能な他の命令を含む、任意の適切な命令、データ、または情報を格納することができる。装置可読媒体2080は、処理回路2070によって行われた任意の計算、および/またはインタフェース2090を介して受信された任意のデータを格納するために使用されうる。いくつかの実施形態では、処理回路2070および装置可読媒体2080が一体化されていると見なされてもよい。
【0139】
インタフェース2090は、ネットワークノード2060、ネットワーク2006、および/またはWD 2010間のシグナリングおよび/またはデータの有線または無線通信に用いられる。図示のように、インタフェース2090は、例えば有線接続を介してネットワーク2006との間でデータを送受信するための(1つ以上の)ポート/(1つ以上の)端子2094を有する。インタフェース2090はまた、アンテナ2062に接続されてもよく、または特定の実施形態ではアンテナ2062の一部であってもよい無線フロントエンド回路2092を含む。無線フロントエンド回路2092は、フィルタ2098および増幅器2096を有する。無線フロントエンド回路2092は、アンテナ2062および処理回路2070に接続されてもよい。無線フロントエンド回路は、アンテナ2062と処理回路2070との間で通信される信号を調整するように構成されてもよい。無線フロントエンド回路2092は、無線接続を介して他のネットワークノードまたはWDに送出されるデジタルデータを受信することができる。無線フロントエンド回路2092は、フィルタ2098および/または増幅器2096の組み合わせを用いて、デジタルデータを、適切なチャネルおよび帯域幅パラメータを有する無線信号に変換してもよい。次いで、無線信号は、アンテナ2062を介して送信されうる。同様に、データを受信する場合、アンテナ2062は無線信号を収集することができ、その後無線信号は無線フロントエンド回路2092によってデジタルデータに変換される。デジタルデータは、処理回路2070に渡されてもよい。他の実施形態では、インタフェースが異なる構成要素および/または構成要素の異なる組み合わせを含むことができる。
【0140】
特定の代替実施形態では、ネットワークノード2060が別個の無線フロントエンド回路2092を含まなくてもよく、代わりに、処理回路2070は無線フロントエンド回路を含んでいてもよく、別個の無線フロントエンド回路2092を伴わずに、アンテナ2062に接続されてもよい。同様に、いくつかの実施形態では、RF送受信器回路2072の全てまたは一部はインタフェース2090の一部とみなされてもよい。さらに他の実施形態ではインタフェース2090が無線ユニット(不図示)の一部として、1つ以上のポートまたは端子2094、無線フロントエンド回路2092、およびRF送受信器回路2072を含んでもよく、インタフェース2090はデジタルユニット(不図示)の一部であるベースバンド処理回路2074と通信してもよい。
【0141】
アンテナ2062は、無線信号を送信および/または受信するように構成された1つ以上のアンテナ、またはアンテナアレイを含みうる。アンテナ2062は無線フロントエンド回路2090に接続されてよく、データおよび/または信号を無線で送信および受信することができる任意のタイプのアンテナであってよい。いくつかの実施形態では、アンテナ2062が例えば、2GHzと66GHzとの間で無線信号を送信/受信するように動作可能な、1つまたは複数の無指向性、セクタまたはパネルアンテナを含んでもよい。無指向性アンテナは任意の方向に無線信号を送信/受信するために使用されてもよく、セクタアンテナは特定の領域内の機器と無線信号を送信/受信するために使用されてもよく、パネルアンテナは比較的直線状に無線信号を送信/受信するために使用される見通し線アンテナであってもよい。場合によっては、2つ以上のアンテナの使用がMIMOと呼ばれうる。所定の実施形態では、アンテナ2062がネットワークノード2060とは別個であってもよく、かつ、インタフェースまたはポートを介してネットワークノード2060に接続可能であってもよい。
【0142】
アンテナ2062、インタフェース2090、および/または処理回路2070は、ネットワークノードによって実行されるものとして本明細書で説明される任意の受信動作および/または特定の取得動作を実行するように構成されうる。任意の情報、データ、および/または信号は、無線機器、別のネットワークノード、および/または任意の他のネットワーク機器から受信されうる。同様に、アンテナ2062、インタフェース2090、および/または処理回路2070は、ネットワークノードによって実行されるものとして本明細書に記載される任意の送信動作を実行するように構成されうる。任意の情報、データ、および/または信号が、無線機器、別のネットワークノード、および/または任意の他のネットワーク機器に送信されうる。
【0143】
電源回路2087は、電力管理回路を備えるか電力管理回路に接続されることができ、本明細書に記載される機能を実行するための電力をネットワークノード2060の構成要素に供給するように構成される。電源回路2087は、電源2086から電力を受け取ることができる。電源2086および/または電源回路2087はネットワークノード2060の様々な構成要素に、それぞれの構成要素に適した形態(例えば、それぞれの構成要素に必要な電圧および電流レベル)で電力を供給するように構成されてもよく、電源2086は電源回路2087および/またはネットワークノード2060に含まれてもよいし、外部にあってもよい。例えば、ネットワークノード2060は電気ケーブルなどの入力回路またはインタフェースを介して、外部電源(例えば、コンセント)に接続可能であってもよく、それによって、外部電源は、電源回路2087に電力を供給する。さらなる例として、電源2086は、電源回路2087に接続される、または一体化される、バッテリまたはバッテリパックの形態の電源を含んでもよい。外部電源に障害が発生した場合、電池はバックアップ電源を供給することができる。光起電装置のような他のタイプの電源も用いることができる。
【0144】
ネットワークノード2060の代替的な実施形態は、本明細書で説明される機能性のいずれか、および/または本明細書で説明される主題をサポートするために必要な任意の機能性を含む、ネットワークノードの機能性の所定の態様を提供する役目を負うことのできる、図20に示されていない追加の構成要素を含むことができる。例えば、ネットワークノード2060は、ネットワークノード2060への情報の入力を可能および/または容易にし、ネットワークノード2060からの情報の出力を可能および/または容易にするユーザインタフェース機器を含んでもよい。これにより、ユーザがネットワークノード2060の診断、保守、修理、および他の管理機能を実行することを可能にし、および/または容易にすることができる。
【0145】
いくつかの実施形態において、WDは、人間の直接的な介在なしに情報を送信および/または受信するように構成されうる。例えば、WDは、所定のスケジュールで、内部または外部イベントによってトリガされたとき、またはネットワークからの要求に応答して、ネットワークに情報を送信するように設計されてもよい。WDの例としてはスマートフォン、携帯電話、携帯電話、VoIP(voice over IP)電話、無線ローカルループ電話、デスクトップコンピュータ、携帯情報端末(PDA)、無線カメラ、ゲームコンソールまたは機器、音楽記憶装置、再生装置、ウェアラブル端末装置、無線エンドポイント、移動局、タブレット、ラップトップ、ラップトップ埋め込み装置(LEE)、ラップトップ搭載装置(LME)、スマートデバイス、無線顧客構内装置(CPE)、車載無線端末機器などが挙げられるが、これらに限定されない。
【0146】
WDは例えば、サイドリンク通信、車両対車両(V2V)、車両対インフラストラクチャ(V2I)、車両対全てのモノ(V2X)のための3GPP標準を実装することによって、機器間(D2D)通信をサポートすることができ、この場合、D2D通信機器とも呼ばれる。さらに別の具体例として、モノのインターネット(IoT)シナリオでは、WDが監視および/または測定を実行し、そのような監視および/または測定の結果を別のWDおよび/またはネットワークノードに送信する機械または他の機器を表しうる。この場合、WDはマシンツーマシン(M2M)デバイスであってもよく、3GPPの分野ではMTC機器と呼ばれうる。1つの具体例として、WDは、3GPP狭帯域モノのインターネット(NB-IoT)規格を実装するUEであってもよい。そのような機械または機器の具体例は、センサ、電力計のような計量機器、産業機械、または家庭用もしくは個人用電気機器(例えば、冷蔵庫、テレビなど)、個人用ウェアラブル機器(例えば、時計、フィットネストラッカなど)である。他のシナリオにおいて、WDは、自身の動作状態または自身の動作に関連する他の機能を監視および/または報告することが可能な車両または他の機器を表しうる。上述したようなWDは、無線接続のエンドポイントを表す場合があり、この場合、機器は無線端末と呼ばれうる。さらに、上述したようなWDは移動体であってよく、その場合、WDはモバイル機器またはモバイル端末とも呼ばれうる。
【0147】
図示するように、無線デバイス2010は、アンテナ2011、インタフェース2014、処理回路2020、装置可読媒体2030、ユーザインタフェース機器2032、補助装置2034、電源2036、および電源回路2037を含む。WD 2010は、例えば、ごく一部の例として、GSM、WCDMA、LTE、NR、WiFi、WiMAX、NB-IoT、またはBluetooth無線技術といった、WD 2010がサポートするさまざまな無線技術のために、図示された構成要素の1つ以上の組み合わせを複数含むことができる。これらの無線技術は、WD 2010内の他の構成要素と同じまたは異なるチップまたはチップのセットに統合されうる。
【0148】
アンテナ2011は無線信号を送信および/または受信するように構成された1つ以上のアンテナまたはアンテナアレイを含むことができ、インタフェース2014に接続される。特定の代替実施形態では、アンテナ2011がWD 2010とは別個であり、かつインタフェースまたはポートを介してWD 2010に接続可能であってもよい。アンテナ2011、インタフェース2014、および/または処理回路2020は、WDによって実行されるものとして本明細書に記載される、任意の受信または送信動作を実行するように構成されてもよい。任意の情報、データ、および/または信号が、ネットワークノードおよび/または他のWDから受信されうる。いくつかの実施形態では、無線フロントエンド回路および/またはアンテナ2011がインタフェースとみなされてもよい。
【0149】
図示するように、インタフェース2014は、無線フロントエンド回路2012およびアンテナ2011を有する。無線フロントエンド回路2012は、1つまたは複数のフィルタ2018および増幅器2016を有する。無線フロントエンド回路2014は、アンテナ2011および処理回路2020に接続され、アンテナ2011と処理回路2020との間で通信される信号を調整するように構成される。無線フロントエンド回路2012は、アンテナ2011に接続されてもよいし、アンテナ2011の一部であってもよい。いくつかの実施形態では、WD 2010が別個の無線フロントエンド回路2012を含む代わりに、処理回路2020が無線フロントエンド回路を含み、かつアンテナ2011に接続されてもよい。同様に、いくつかの実施形態では、RF送受信器回路2022の一部または全部がインタフェース2014の一部であるとみなすことができる。無線フロントエンド回路2012は、無線接続を用いて他のネットワークノードまたはWDに送出されるデジタルデータを、受信することができる。無線フロントエンド回路2012は、フィルタ2018および/または増幅器2016の組み合わせを用いて、デジタルデータを適切なチャネルおよび帯域幅パラメータを有する無線信号に変換してもよい。その後、無線信号は、アンテナ2011を介して送信されうる。同様に、データを受信する場合、アンテナ2011は無線信号を収集し、無線信号はその後、無線フロントエンド回路2012によってデジタルデータに変換されうる。デジタルデータは、処理回路2020に渡されてもよい。他の実施形態において、インタフェースは、異なる構成要素および/または構成要素の異なる組み合わせを有しうる。
【0150】
処理回路2020は、マイクロプロセッサ、コントローラ、マイクロコントローラ、中央演算処理装置、デジタル信号プロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ、または任意の他の適切なコンピューティングデバイス、リソース、またはハードウェア、ソフトウェア、および/または符号化ロジックの組み合わせの1つまたは複数の組み合わせを有することができ、これらは、単独で、または装置可読媒体2030、WD 2010機能などの他のWD 2010構成要素と併せてのいずれかで提供するように動作可能である。そのような機能は、本明細書で説明される様々な無線機能または利点のいずれかを提供することを含みうる。
【0151】
例えば、処理回路2020は、装置可読媒体2030に格納された命令、または処理回路2020内のメモリに格納された命令を実行して、本明細書に開示される機能を提供してもよい。より具体的には、媒体2030に記憶された命令(コンピュータプログラム製品とも呼ばれる)が処理回路2020によって実行されたとき、本明細書で説明する様々な例示的な方法(例えば手順)に対応する動作を実行するように無線機器2010を構成することができる命令を含むことができる。
【0152】
図示するように、処理回路2020は、RF送受信器回路2022、ベースバンド処理回路2024、およびアプリケーション処理回路2026の1つまたは複数を含む。他の実施形態において、処理回路は、異なる構成要素および/または構成要素の異なる組み合わせを有しうる。特定の実施形態では、WD2010の処理回路2020がSOCを有しうる。いくつかの実施形態において、RF送受信器回路2022、ベースバンド処理回路2024、およびアプリケーション処理回路2026は別個のチップまたはチップセットにあってもよい。代替実施形態では、ベースバンド処理回路2024およびアプリケーション処理回路2026の一部または全部が1つのチップまたはチップセットに統合されてもよく、RF送受信器回路2022は別個のチップまたはチップセットにあってもよい。さらなる代替実施形態では、RF送受信器回路2022およびベースバンド処理回路2024の一部または全部が同一チップまたはチップセットにあってよく、アプリケーション処理回路2026は別個のチップまたはチップセットにあってもよい。さらに他の代替実施形態では、RF送受信器回路2022、ベースバンド処理回路2024、およびアプリケーション処理回路2026の一部または全部が同じチップまたはチップセットに統合されてもよい。いくつかの実施形態では、RF送受信器回路2022がインタフェース2014の一部であってもよい。RF送受信器回路2022は、処理回路2020用にRF信号を調整してもよい。
【0153】
特定の実施形態では、WDによって実行されるものとして本明細書で説明される機能の一部または全部は、特定の実施形態ではコンピュータ可読記憶媒体であってよい装置可読媒体2030に記憶された命令を実行する、処理回路2020によって提供されうる。代替実施形態では、機能の一部または全部は、別個のまたは個別の装置可読記憶媒体に格納された命令を実行することなく、ハードワイヤード方式などで処理回路2020によって提供されうる。これらの実施形態のいずれにおいても、装置可読記憶媒体に格納された命令を実行するか否かにかかわらず、処理回路2020は、説明された機能を実行するように構成されうる。そのような機能によって提供される利点は、処理回路2020単独またはWD 2010の他の構成要素に限定されず、WD 2010全体によって、および/またはエンドユーザおよび無線ネットワーク全体によって享受される。
【0154】
処理回路2020は、WDによって実行されるものとして本明細書で説明される任意の決定、計算、または類似の動作(例えば、所定の取得動作)を実行するように構成されうる。これらの動作は処理回路2020によって実行されるように、例えば、取得された情報を他の情報に変換すること、取得された情報または変換された情報をW 2010によって記憶された情報と比較すること、および/または取得された情報または変換された情報に基づいて1つ以上の動作を実行すること、および前記処理の結果として判定を行うことによって、処理回路2020によって取得された情報を処理することを含みうる。
【0155】
装置可読媒体2030は、コンピュータプログラム、ソフトウェア、ロジック、ルール、コード、テーブルなどの1つまたは複数を含むアプリケーション、および/または処理回路2020が実行可能な他の命令を格納するように動作可能でありうる。装置可読媒体2030は、コンピュータメモリ(例えば、ランダムアクセスメモリ(RAM)またはリードオンリメモリ(ROM))、大容量記憶媒体(例えば、ハードディスク)、リムーバブル記憶媒体(例えば、コンパクトディスク(CD)またはデジタルビデオディスク(DVD))、および/または、処理回路2020によって使用されうる情報、データ、および/または命令を記憶する、任意の他の揮発性または不揮発性の、恒久的装置可読および/またはコンピュータ実行可能メモリデバイスを含みうる。いくつかの実施形態では、処理回路2020と装置可読媒体2030とが一体化されているものと見なされうる。
【0156】
ユーザインタフェース機器2032は、人間のユーザがWD2010と対話することを可能にする構成要素を提供しうる。このような対話は、視覚的、聴覚的、触覚的などの多くの形態でありうる。ユーザインタフェース機器2032は、ユーザへの出力を生成するように、またユーザがWD2010に入力を与えることを可能にするように動作可能でありうる。対話のタイプは、WD2010にインストールされたユーザインタフェース機器2032のタイプに応じて変わりうる。例えば、WD2010がスマートフォンである場合、対話はタッチスクリーンを用いて行われうる。WD2010がスマートメータである場合、対話は使用量(例えば、使用されたガロン数)を提供する画面または可聴警報(例えば、煙が検出された場合)を提供するスピーカを用いて行われうる。ユーザインタフェース機器2032は、入力インタフェース、デバイスおよび回路、ならびに出力インタフェース、デバイスおよび回路を含みうる。ユーザインタフェース装置2032は、WD2010への情報の入力を可能および/または容易にするように構成されるとともに、処理回路2020に接続され、処理回路2020が入力情報を処理することを可能および/または容易にする。ユーザインタフェース機器2032は例えば、マイクロフォン、近接センサまたは他のセンサ、キー/ボタン、タッチディスプレイ、1つ以上のカメラ、USBポート、または他の入力回路を含むことができる。ユーザインタフェース機器2032はまた、WD2010からの情報の出力を可能および/または容易にするとともに、処理回路2020がWD2010から情報を出力することを可能および/または容易にするように構成される。ユーザインタフェース機器2032は例えば、スピーカ、ディスプレイ、振動回路、USBポート、ヘッドホンインタフェース、または他の出力回路を含みうる。ユーザインタフェース機器2032の1つ以上の入出力インタフェース、デバイス、および回路を使用して、WD2010はエンドユーザおよび/または無線ネットワークと通信することができ、本明細書で説明する機能による利益をエンドユーザおよび/または無線ネットワークに与えることができる。
【0157】
補助装置2034は、一般にWDによって実行されない可能性がある、より具体的な機能を提供するように動作可能である。これは、様々な目的のために測定を行うための専用センサ、有線通信など追加の種類の通信のためのインタフェースを含みうる。補助装置2034に含まれる構成要素およびその種類は、実施例および/またはシナリオに応じて変わりうる。
【0158】
電源2036は、一部の実施形態ではバッテリまたはバッテリパックの形態であってもよい。外部電源(例えばコンセント)、光起電力装置、またはパワーセルなどの他のタイプの電源も用いることができる。WD2010はさらに、本明細書に記載または示される任意の機能を実行するために電源2036からの電力を必要とするWD2010の種々の部分に対し、電源2036からの電力を提供する電源回路2037を含んでもよい。電源回路2037は、特定の実施形態において、電力管理回路を有することができる。電源回路2037は追加的にまたは代替的に、外部電源から電力を受け取るように動作可能であってもよく、その場合、WD2010は、入力回路または電力ケーブルなどのインタフェースを介して外部電源(コンセントなど)に接続可能であってもよい。また、特定の実施形態において、電源回路2037は、外部電源から電源2036に電力を供給するように動作可能であってもよい。これは、例えば、電源2036を充電するためであってよい。電源回路2037は、電力が供給されるWD2010のそれぞれの構成要素に適した電力にするために、電源2036からの電力に対して任意のフォーマッティング、変換、または他の修正を実行することができる。
【0159】
図21は、本明細書で説明される様々な態様に係るUEの一実施形態を示す。本明細書において、ユーザ装置またはUEとは、必ずしも、関連する装置を所有しおよび/または操作する人間のユーザという意味のユーザを有するとは限らない。代わりに、UEは、人間のユーザへの販売または人間による操作が意図されているが、特定の人間のユーザと関連付けられない、または最初は関連付けられない可能性がある機器(例えば、スマートスプリンクラー制御装置)を表しうる。あるいは、UEは、エンドユーザへの販売またはエンドユーザによる操作が意図されていないが、ユーザに関連付けられるか、ユーザの利益のために運用され得る機器(例えばスマート電力計)を表しうる。UE21200は、NB-IoT UE、マシンタイプ通信(MTC)UE、および/または拡張MTC(eMTC)UEを含む、第3世代パートナーシッププロジェクト(3GPP)によって特定される任意のUEであってよい。図21に示されるように、UE2100は、3GPPのGSM、UMTS、LTE、および/または5G規格などの、第3世代パートナーシッププロジェクト(3GPP)によって公布される1つ以上の通信規格に従って通信するように構成されるWDの一例である。前述のように、用語WDおよびUEは、交換可能に使用されうる。したがって、図21はUEであるが、本明細書で説明される構成要素はWDに等しく適用可能であり、その逆も同様である。
【0160】
図21において、UE2100は、入力/出力インタフェース2105、無線周波数(RF)インタフェース2109、ネットワーク接続インタフェース2111、ランダムアクセスメモリ(RAM)2117、読出し専用メモリ(ROM)2119、および記憶媒体2121などを含むメモリ2115、通信サブシステム2131、電源2133、および/または任意の他の構成要素、またはこれらの任意の組み合わせと動作可能に結合された、処理回路2101を含む。記憶媒体2121は、オペレーティングシステム2123、アプリケーションプログラム2125、およびデータ2127を含む。他の実施形態では、記憶媒体2121が他の同様のタイプの情報を含みうる。特定のUEは、図21に示される構成要素のすべて、もしくはサブセットのみを利用しうる。構成要素間の統合のレベルは、UEごとに異なりうる。さらに、特定のUEは、複数のプロセッサ、複数のメモリ、複数の送受信器、複数の送信器、複数の受信器など、構成要素の複数のインスタンスを含みうる。
【0161】
図21において、処理回路2101は、コンピュータ命令およびデータを処理するように構成されうる。処理回路2101は、(例えば、個別論理回路、FPGA、ASICなどにおける)1つ以上のハードウェア実装型状態機械か、適切なファームウェアを有するプログラマブル論理回路か、1つ以上の格納されたプログラム、マイクロプロセッサまたはデジタル信号プロセッサ(DSP)などの汎用プロセッサ、および適切なソフトウェアの組み合わせか、これらの任意の組み合わせなど、機械可読コンピュータプログラムとしてメモリに格納された機械命令を実行するように動作可能な任意の順次状態機械を実施するように構成されうる。例えば、処理回路2101は、2つの中央演算装置(CPU)を含みうる。データは、コンピュータが用いるのに適した形態の情報であってよい。
【0162】
図示した実施形態において、入力/出力インタフェース2105は、入力デバイス、出力デバイス、または入力および出力デバイスに通信インタフェースを提供するように構成されうる。UE2100は、入力/出力インタフェース2105を用いて出力デバイスを利用するように構成されうる。出力デバイスは、入力デバイスと同じタイプのインターフェイスポートを使用しうる。例えば、UE2100への入力を提供するとともに、UE2100からの出力を提供するために、USBポートを用いうる。出力デバイスは、スピーカ、サウンドカード、ビデオカード、ディスプレイ、モニタ、プリンタ、アクチュエータ、エミッタ、スマートカード、別の出力デバイス、またはそれらの任意の組み合わせであってよい。UE2100は、ユーザがUE2100に情報を取り込むことを可能および/または容易にするために、入力/出力インタフェース2105を通じて入力デバイスを利用するように構成されうる。入力デバイスは接触検知式または存在検知式ディスプレイ、カメラ(例えば、デジタルカメラ、デジタルビデオカメラ、ウェブカメラなど)、マイクロフォン、センサ、マウス、トラックボール、方向パッド、トラックパッド、スクロールホイール、スマートカードなどを含みうる。存在検知式ディスプレイは、ユーザからの入力を検知するために、容量性または抵抗性タッチセンサを含みうる。センサは例えば、加速度計、ジャイロスコープ、傾斜センサ、力センサ、磁力計、光学センサ、近接センサ、他の同様のセンサ、またはこれらの任意の組み合わせであってよい。例えば、入力デバイスは、加速度計、磁力計、デジタルカメラ、マイクロフォン、および光センサであってもよい。
【0163】
図21において、RFインタフェース2109は、送信器、受信器、およびアンテナなどのRF構成要素に通信インタフェースを提供するように構成されうる。ネットワーク接続インタフェース2111は、ネットワーク2143aに通信インタフェースを提供するように構成されうる。ネットワーク2143aは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、コンピュータネットワーク、無線ネットワーク、電気通信ネットワーク、他の同様なネットワーク、あるいはこれらの任意の組み合わせのような、有線および/または無線のネットワークを包含しうる。例えば、ネットワーク2143aは、Wi-Fiネットワークを有しうる。ネットワーク接続インタフェース2111は、イーサネット(登録商標)、TCP/IP、SONET、ATMなどの1つ以上の通信プロトコルに従って、通信ネットワークに渡って1つ以上の他の機器と通信するために使用される受信器および送信器インタフェースを含むように構成されうる。ネットワーク接続インタフェース2111は、通信ネットワークリンク(例えば、光、電気など)に適した受信器および送信器機能を実装しうる。送信器機能および受信器機能は、回路構成要素、ソフトウェア、またはファームウェアを共有してもよいし、個別に実装されてもよい。
【0164】
RAM 2117はオペレーティングシステム、アプリケーションプログラム、およびデバイスドライバなどのソフトウェアプログラムの実行中にデータまたはコンピュータ命令の記憶装置またはキャッシュを提供するために、バス2102を介して処理回路2101とやりとりするように構成されうる。ROM2119は、コンピュータ命令またはデータを処理回路2101に提供するように構成されうる。例えば、ROM2119は、不揮発性メモリに格納されている、基本入出力(I/O)、起動、またはキーボードからのキーストロークの受信などの基本システム機能のための、不変低レベルシステムコードまたはデータを格納するように構成されうる。記憶媒体2121は、RAM、ROM、プログラマブル読出し専用メモリ(PROM)、消去可能プログラマブル読出し専用メモリ(EPROM)、電気的消去可能プログラマブル読出し専用メモリ(EEPROM)、磁気ディスク、光ディスク、フロッピーディスク、ハードディスク、リムーバブルカートリッジ、またはフラッシュドライブなどのメモリを含むように構成されうる。
【0165】
一例では、記憶媒体2121がオペレーティングシステム2123、ウェブブラウザアプリケーション、ウィジェットまたはガジェットエンジン、または他のアプリケーションなどのアプリケーションプログラム2125、およびデータファイル2127を含むように構成されうる。記憶媒体2121はUE2100が用いるために、様々なオペレーティングシステムのうちの任意のもの、またはオペレーティングシステムの組み合わせを格納しうる。例えば、アプリケーションプログラム2125は、プロセッサ2101によって実行されたとき、本明細書で説明する様々な例示的な方法(例えば手順)に対応する動作を実行するようにUE 2100を構成し得る、実行可能なプログラム命令(コンピュータプログラム製品とも呼ばれる)を含みうる。
【0166】
記憶媒体2121は、独立したディスクの冗長アレイ(RAID)、フロッピーディスクドライブ、フラッシュメモリ、USBフラッシュドライブ、外付けハードディスクドライブ、サムドライブ、ペンドライブ、キードライブ、高密度デジタル多用途ディスク(HD-DVD)光ディスクドライブ、内蔵ハードディスクドライブ、Blu-Ray 光ディスクドライブ、ホログラフィックデジタルデータストレージ(HDDS)光ディスクドライブ、外付けミニデュアルインラインメモリモジュール(DIMM)、同期型ダイナミックランダムアクセスメモリ(SDRAM)、外付けマイクロDIMM SDRAM、加入者IDモジュールまたは着脱式ユーザID(SIM/RUIM)モジュールなどのスマートカードメモリ、その他のメモリ、またはこれらの任意の組み合わせなどの、複数の物理ドライブユニットを含むように構成されうる。記憶媒体2121は、UE2100が、データをオフロードするために、またはデータをアップロードするために、一時的もしくは恒久的なメモリに格納されたコンピュータ実行可能命令、アプリケーションプログラムなどにアクセスすることを可能および/または容易にしうる通信システムを利用するような製造品は、装置読み取り可能な媒体を有しうる記憶媒体2121に有形的に実施されうる。
【0167】
図21において、処理回路2101は、通信サブシステム2131を用いてネットワーク2143bと通信するように構成されうる。ネットワーク2143aおよびネットワーク2143bは、1つまたは複数の同じネットワークであってもよいし、1つまたは複数の異なるネットワークであってもよい。通信サブシステム2131は、ネットワーク2143bと通信するために使用される1つ以上の送受信器を含むように構成されうる。例えば、通信サブシステム2131は、IEEE 802.42、CDMA、WCDMA、GSM、LTE、UTRAN、WiMaxなどの1つ以上の通信プロトコルに従って、無線アクセスネットワーク(RAN)の他のWD、UE、または基地局など、無線通信が可能な他の装置の1つ以上の遠隔送受信器と通信するために用いられる1つ以上の送受信器を含むように構成されうる。各送受信器はRANリンクに適切な送信器または受信器の機能(例えば、周波数割り当てなど)をそれぞれ実装するために、送信器2133および/または受信器2135を含みうる。さらに、各送受信器の送信器2133および受信器2135は、回路構成要素、ソフトウェア、またはファームウェアを共有してもよいし、個別に実装されてもよい。
【0168】
図示の実施形態では、通信サブシステム2131の通信機能がデータ通信、音声通信、マルチメディア通信、Bluetooth(登録商標)、近距離通信などのなどの短距離通信、位置を特定するための全地球測位システム(GPS)の使用などの位置ベース通信、別の同様の通信機能、またはこれらの任意の組み合わせを含みうる。例えば、通信サブシステム2131は、セルラ通信、Wi-Fi通信、Bluetooth通信、およびGPS通信を含みうる。ネットワーク2143bは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、コンピュータネットワーク、無線ネットワーク、電気通信ネットワーク、他の同様のネットワーク、またはこれらの任意の組み合わせのような、有線および/または無線ネットワークを包含しうる。例えば、ネットワーク2143bは、セルラネットワーク、Wi-Fiネットワーク、および/または近距離無線ネットワークであってよい。電源2113は、UE2100の構成要素に交流(AC)または直流(DC)電力を供給するように構成されうる。
【0169】
本明細書で説明される特徴、利点、および/または機能は、UE2100の構成要素の1つで実施されてもよいし、UE2100の複数の構成要素にわたって分割されてもよい。さらに、本明細書で説明される特徴、利点、および/または機能は、ハードウェア、ソフトウェア、またはファームウェアの任意の組み合わせで実施されうる。一例において、通信サブシステム2131は、本明細書で説明される構成要素のうちのいずれかを含むように構成されうる。さらに、処理回路2101は、バス2102を介してこのような構成要素のいずれかと通信するように構成されてもよい。別の例では、そのような構成要素のいずれも、処理回路2101によって実行されると本明細書で説明される対応する機能を実行する、メモリに格納されたプログラム命令によって表されうる。別の例では、このような構成要素のいずれかの機能が、処理回路2101と通信サブシステム2131とに分割されてもよい。別の例では、このような構成要素のいずれかの、処理負荷の高くない機能がソフトウェアまたはファームウェアで実現されてもよく、処理負荷が高い機能はハードウェアで実現されてもよい。
【0170】
図22は、いくつかの実施形態によって実装される機能を仮想化することができる仮想化環境2200を示す概略ブロック図である。仮想化とは、装置や機器の仮想バージョンを作成することを意味し、ハードウェアプラットフォーム、記憶装置、ネットワークリソースを仮想化することを含みうる。本明細書において、仮想化は、ノード(例えば、仮想化基地局または仮想化無線アクセスノード)あるいは、機器(例えば、UE、無線機器または任意の他のタイプの通信機器)またはその構成要素に適用することができ、(例えば、1つ以上のネットワークにおける1つ以上の物理的な処理ノードで実行される1つ以上のアプリケーション、構成要素、機能、仮想マシンまたはコンテナを用いて)機能の少なくとも一部が1つ以上の仮想構成要素として実装される実装に関する。
【0171】
いくつかの実施形態では、本明細書に記載する機能の一部または全部が1つ以上のハードウェアノード2230によってホストされる1つ以上の仮想環境2200に実装される1つ以上の仮想マシンによって実行される仮想構成要素として実装されてもよい。さらに、仮想ノードが無線アクセスノードでないか、無線接続能力を必要としない実施形態(例えば、コアネットワークノード)では、ネットワークノードが完全に仮想化されてもよい。
【0172】
機能は、本明細書で開示されるいくつかの実施形態の特徴、機能、および/または利点のいくつかを実施するように動作可能な1つ以上のアプリケーション2220(ソフトウェアインスタンス、仮想アプライアンス、ネットワーク機能、仮想ノード、仮想ネットワーク機能などとも呼ばれうる)によって実装されうる。アプリケーション2220は、処理回路2260およびメモリ2290を有するハードウェア2230を提供する仮想化環境2200で実行される。メモリ2290は処理回路2260によって実行可能な命令2295を含み、それによって、アプリケーション2220は、本明細書で開示される特徴、利点、および/または機能のうちの1つ以上を提供するように動作可能である。
【0173】
仮想化環境2200は、市販の既製(COTS)プロセッサ、専用の特定用途向け集積回路(ASIC)、またはデジタルもしくはアナログハードウェアコンポーネントもしくは専用プロセッサを含む任意の他のタイプの処理回路であってもよい、1つ以上のプロセッサまたは処理回路2260のセットを有する汎用または専用ネットワークハードウェア装置(またはノード)2230を有する。各ハードウェア装置は、処理回路2260によって実行される命令2295またはソフトウェアを一時的に格納するための、非永続的メモリでありうるメモリ2290-1を有しうる。例えば、命令2295は処理回路2260によって実行されたときに、本明細書で説明する様々な例示的な方法(例えば手順)に対応する動作を実行するようにハードウェアノード2220を構成することができるプログラム命令(コンピュータプログラム製品とも呼ばれる)を含むことができる。そのような動作は、ハードウェアノード2230によってホストされる1つ以上の仮想ノード2220にも割り当てることができる。
【0174】
各ハードウェア装置は、物理的なネットワークインタフェース2280を含む、ネットワークインタフェースカードとしても知られる1つ以上のネットワークインタフェースコントローラ(NIC)2270を有しうる。各ハードウェア装置はまた、処理回路2260によって実行可能なソフトウェア2295および/または命令を格納する、非一時的かつ恒久的な機械可読記憶媒体2290-2をさらに含みうる。ソフトウェア2295は、1つ以上の仮想化レイヤ2250(ハイパーバイザとも呼ばれる)をインスタンス化するためのソフトウェア、仮想マシン2240を実行するためのソフトウェア、ならびに本明細書に記載するいくつかの実施形態に関連して記載される機能、特徴、および/または利点を実行することを可能にするソフトウェアを含む、任意の種類のソフトウェアを含むことができる。
【0175】
仮想マシン2240は仮想処理、仮想メモリ、仮想ネットワークワーキングまたはインタフェースおよび仮想ストレージを有し、対応する仮想化レイヤ2250またはハイパーバイザによって実行されてもよい。仮想アプライアンス2220のインスタンスの様々な実施形態は、1つ以上の仮想マシン2240に実装されてもよく、また、実装は異なる方法で行われてもよい。
【0176】
動作中、処理回路2260は、ソフトウェア2295を実行して、仮想マシンモニタ(VMM)と呼ばれることもあるハイパーバイザまたは仮想化レイヤ2250をインスタンス化する。仮想化レイヤ2250 は、仮想マシン2240にはネットワークハードウェアのように見える仮想オペレーティングプラットフォームを提供できる。
【0177】
図22に示すように、ハードウェア2230は、汎用または特定の構成要素を有する独立型ネットワークノードであってもよい。ハードウェア2230はアンテナ22225を有することができ、仮想化を用いていくつかの機能を実装することができる。あるいは、ハードウェア2230は、多くのハードウェアノードが連携して動作し、とりわけアプリケーション2220のライフサイクル管理を監督する管理および調整(MANO)22100によって管理される、より大きなハードウェアのクラスタ(例えば、データセンターや顧客構内機器(CPE)内など)の一部であってもよい。
【0178】
ハードウェアの仮想化は、一部の分野ではネットワーク機能仮想化(NFV)と呼ばれる。NFVは、多くのネットワーク機器タイプを、業界標準の大容量サーバハードウェア、物理スイッチ、およびデータセンタ内に配置することができる物理ストレージ、ならびに顧客構内機器に統合するために用いることができる。
【0179】
NFVの文脈では、仮想マシン2240は、あたかも物理的かつ仮想化されていない装置上で稼働しているようにプログラムを実行する、物理的な装置のソフトウェア実装であってもよい。各仮想マシン2240、およびその仮想マシンを実行するハードウェア2230 の部分は、その仮想マシン専用のハードウェア、および/またはその仮想マシンが他の仮想マシン2240 と共有するハードウェアであり、個別の仮想ネットワーク要素(VNE)を形成する。
【0180】
さらに、NFVの文脈では、仮想ネットワーク機能(VNF)は、ハードウェアネットワークインフラストラクチャ2230にある1つ以上の仮想マシン2240で稼働する特定のネットワーク機能の処理を受け持ち、図22のアプリケーション2220に対応する。
【0181】
いくつかの実施形態では、それぞれが1つ以上の送信器22220および1つ以上の受信器22210を含む、1つ以上の無線ユニット22200が1つ以上のアンテナ22225に接続されうる。無線ユニット22200は1つ以上の適切なネットワークインタフェースを介してハードウェアノード2230と直接通信することができ、無線アクセスノードや基地局などの無線機能を仮想ノードに提供するために仮想コンポーネントと組み合わせて用いることができる。このように構成されたノードはまた、本明細書の他の場所で説明されるように、1つまたは複数のUEと通信することができる。
【0182】
いくつかの実施形態では一部のシグナリングが制御システム22230を用いて実行されてもよく、これは代替的に、ハードウェアノード2230と無線ユニット22200との間の通信に用いることができる。
【0183】
図23を参照すると、ー実施形態に従って、通信システムは、無線アクセスネットワークなどのアクセスネットワーク2311とコアネットワーク2314とからなる、3GPPタイプのセルラネットワークなどの電気通信ネットワーク2310を含んでいる。アクセスネットワーク2311はNB、eNB、gNB、または他のタイプの無線アクセスポイントなどの複数の基地局2312a、2312b、2312cを有し、複数の基地局2312a、2312b、2312cはそれぞれ対応するカバレッジエリア2313a、2313b、2313cを規定する。各基地局2312a、2312b、2312cは、有線または無線接続2315を用いてコアネットワーク2314に接続可能である。カバレッジエリア2313cに位置する第1のUE2391は対応する基地局2312cに無線で接続するように、または対応する基地局2312cによってページングされるように構成される。カバレッジエリア2313a内の第2のUE2392は、対応する基地局2312Aに無線で接続可能である。複数のUE2391、2392がこの例に示されているが、開示された実施形態は単一のUEがカバレッジエリア内にある状況、または単一のUEが対応する基地局2312に接続している状況に等しく適用可能である。
【0184】
電気通信ネットワーク2310はそれ自体がホストコンピュータ2330に接続されており、ホストコンピュータ2330は、スタンドアロンサーバ、クラウド実装サーバ、分散サーバ、のハードウェアおよび/またはソフトウェアで実装されてもよいし、サーバファーム内の処理リソースとして実装されてもよい。ホストコンピュータ2330は、サービスプロバイダの所有または管理下にある場合もあれば、サービスプロバイダによって、またはサービスプロバイダに代わって運用されている場合もある。電気通信ネットワーク2310とホストコンピュータ2330との間の接続2321および2322は、コアネットワーク2314からホストコンピュータ2330に直接延びてもよいし、オプションの中間ネットワーク2320を経由してもよい。中間ネットワーク2320は、公衆ネットワーク、プライベートネットワーク、ホステッドネットワークのうちの1つ、または2つ以上の組み合わせであってもよく、中間ネットワーク2320がある場合は、中間ネットワーク2320はバックボーンネットワークまたはインターネットであってもよく、具体的には、中間ネットワーク2320は2以上のサブネットワーク(図示せず)を有してもよい。
【0185】
図23の通信システムは、全体として、接続されたUE2391、2392とホストコンピュータ2330との間の接続性を実現する。この接続性は、オーバーザトップ(OTT)接続2350として記述されうる。ホストコンピュータ2330および接続されたUE2391、2392は、アクセスネットワーク2311、コアネットワーク2314、任意の中間ネットワーク2320、および場合によってはさらなるインフラストラクチャ(図示せず)を媒介として使用して、OTT接続2350を通じてデータおよび/または信号を通信するように構成される。OTT接続2350は、OTT接続2350が通過する参加通信装置がアップリンク通信およびダウンリンク通信のルーティングに気付かないという意味で、透過的でありうる。例えば、基地局2312は、接続されたUE2391に転送される(例えばハンドオーバされる)ホストコンピュータ2330から発信されるデータをもつ入方向ダウンリンク通信の過去のルーティングについて通知されないか、通知される必要がないであろう。同様に、基地局2312は、UE2391からホストコンピュータ2330に向けて発信される出方向アップリンク通信の将来のルーティングを意識する必要はない。
【0186】
先の段落で論じたUE、基地局、およびホストコンピュータの、一実施形態による例示的な実装を、図24を参照して説明する。通信システム2400において、ホストコンピュータ2410は、通信システム2400の異なる通信装置のインタフェースとの有線または無線接続をセットアップおよび維持するように構成された通信インタフェース2416を含むハードウェア2415を有する。ホストコンピュータ2410は、記憶および/または処理能力を有することができる処理回路2418をさらに有する。特に、処理回路2418は、命令を実行するように構成された1つ以上のプログラマブルプロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ、またはこれらの組み合わせ(不図示)を有してもよい。ホストコンピュータ2410は、ホストコンピュータ2410に記憶されるか、ホストコンピュータ2410がアクセス可能で、処理回路2418によって実行可能なソフトウェア2411をさらに有する。ソフトウェア2411は、ホストアプリケーション2412を含む。ホストアプリケーション2412は、UE2430およびホストコンピュータ2410で終端するOTT接続2450を介して接続するUE2430のようなリモートユーザに、サービスを提供するように動作可能であってよい。サービスをリモートユーザに提供する際に、ホストアプリケーション2412は、OTT接続2450を使用して送信されるユーザデータを提供することができる。
【0187】
通信システム2400はさらに、通信システム内に設けられた基地局2420であって、ホストコンピュータ2410およびUE2430と通信することを可能にするハードウェア2425を有する基地局2420を含む。ハードウェア2425は、通信システム2400の異なる通信装置のインタフェースとの有線または無線接続をセットアップおよび維持するための通信インタフェース2426、ならびに基地局2420によってサービスされるカバレッジエリア(図24には示されていない)内に位置するUE2430との少なくとも無線接続2470をセットアップおよび維持するための無線インタフェース2427を含みうる。通信インタフェース2426は、ホストコンピュータ2410への接続2460を容易にするように構成されうる。接続2460は直接的であってもよく、または電気通信システムのコアネットワーク(図24には示されていない)を経由し、および/または電気通信システムの外部の1つ以上の中間ネットワークを経由してもよい。図示の実施形態では、基地局2420のハードウェア2425が、命令を実行するように構成された1つ以上のプログラマブルプロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ、またはこれらの組み合わせ(不図示)を有しうる処理回路2428をさらに含む。
【0188】
基地局2420はさらに、内部に記憶された、または外部接続を介してアクセス可能なソフトウェア2421を有する。例えば、ソフトウェア2421は処理回路2428によって実行されたときに、本明細書で説明する様々な例示的な方法(例えば手順)に対応する動作を実行するように基地局2420を構成することができるプログラム命令(コンピュータプログラム製品とも呼ばれる)を含むことができる。
【0189】
通信システム2400は、既に言及したUE2430をさらに含む。そのハードウェア2435は、UE2430が現在位置するカバレッジエリアにサービスを提供する基地局との無線接続2470をセットアップし、維持するように構成された無線インタフェース2437を含むことができる。UE2430のハードウェア2435はさらに、命令を実行するように構成された1つ以上のプログラマブルプロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ、またはこれらの組み合わせ(不図示)を有しうる処理回路2438を含む。
【0190】
UE2430は、UE2430に記憶されるかUE2430がアクセス可能で、処理回路2438によって実行可能なソフトウェア2431をさらに有する。ソフトウェア2431は、クライアントアプリケーション2432を含む。クライアントアプリケーション2432はホストコンピュータ2410のサポートにより、UE2430を介して人間または人間以外のユーザにサービスを提供するように動作可能である。ホストコンピュータ2410において、実行中のホストアプリケーション2412は、UE2430およびホストコンピュータ2410で終端するOTT接続2450を介して、実行中のクライアントアプリケーション2432と通信することができる。サービスをユーザに提供する際に、クライアントアプリケーション2432は、ホストアプリケーション2412から要求データを受信し、要求データに応答してユーザデータを提供してもよい。OTT接続2450は、要求データおよびユーザデータの両方を転送することができる。クライアントアプリケーション2432は、ユーザと対話して、提供するユーザデータを生成することができる。ソフトウェア2431はまた、処理回路2438によって実行されたとき、本明細書で説明する様々な例示的な方法(例えば手順)に対応する動作を実行するようにUE 2430を構成することができあるプログラム命令(コンピュータプログラム製品とも呼ばれる)を含みうる。
【0191】
図24に示されるホストコンピュータ2410、基地局2420、およびUE2430は、ホストコンピュータ2330、基地局2312a、2312b、2312cのうちの1つ、および図23のUE2391、2392のうちの1つとそれぞれ類似または同一でありうることに留意されたい。つまり、これらのエンティティの内部動作は図24に示したものと同様でありうるとともに、それとは独立して、周囲のネットワークトポロジは図16に示すものとなりうる。
【0192】
図24において、OTT接続2450は、基地局2420を介したホストコンピュータ2410とUE2430との間の通信を説明するために抽象的に描かれており、中間装置やこれらの装置を介したメッセージの正確なルーティングについては明示的に示されていない。ネットワークインフラストラクチャは、UE2430から、またはサービスプロバイダが運用するホストコンピュータ2410から、あるいはその両方から隠すように構成されてもよいルーティングを決定することができる。OTT接続2450がアクティブである間、ネットワークインフラストラクチャはルーティングを動的に変更する決定を(例えば、負荷分散の考慮やネットワークの再構成に基づいて)さらに行いうる。
【0193】
UE2430と基地局2420との間の無線接続2470は、本開示全体にわたって説明される実施形態の教示に従う。様々な実施形態のうちの1つ以上は、無線接続2470が最後のセグメントを形成するOTT接続2450を使用して、UE2430に提供されるOTTサービスの性能を改善する。より正確には、本明細書で開示される例示的な実施形態は、ユーザ装置(UE)と、5Gネットワークの外部のOTTデータアプリケーションまたはサービスなどの他のエンティティとの間のデータセッションに関連する、対応する無線ベアラを含むデータフローのエンドツーエンドサービス品質(QoS)を監視するためのネットワークの柔軟性を改善することができる。これらおよび他の利点は、5G/NRソリューションのよりタイムリーな設計、実装、および展開を容易にすることができる。さらに、そのような実施形態はデータセッションQoSの柔軟かつタイムリーな制御を容易にすることができ、これは、5G/NRによって想定され、OTTサービスの成長にとって重要である容量、スループット、待ち時間などの改善につながりうる。
【0194】
データレート、遅延、および1つ以上の実施形態が改善する他のネットワーク動作態様を監視するために測定手順が提供されてもよい。さらに、測定結果の変動に応答して、ホストコンピュータ2410とUE2430との間のOTT接続2450を再構成するためのオプションネットワーク機能があってもよい。OTT接続2450を再構成するための測定手順および/またはネットワーク機能は、ホストコンピュータ2410のソフトウェア2411およびハードウェア2415、またはUE2430のソフトウェア2431およびハードウェア2435、あるいはその両方で実施することができる。いくつかの実施形態において、OTT接続2450が経由する通信機器の中または通信機器に付随してセンサ(不図示)を設けることができ、センサは、先に例示した監視量の値を供給することによって、またはソフトウェア2411、2431が監視量を計算または推定しうる他の物理量の値を供給することによって、測定手順に参加することができる。OTT接続2450の再構成は、メッセージフォーマット、再送信設定、優先ルーティングなどを含むことができる。再構成は、基地局2420に影響を与える必要はなく、基地局2420には不明または感知不能であってもよい。このような手順および機能は当技術分野で公知であり、実践されうる。特定の実施形態において、測定は、スループット、伝搬時間、遅延などのホストコンピュータ2410の測定を容易にする、専用のUEシグナリングを伴いうる。測定は、ソフトウェア2411および2431が伝搬時間、エラーなどを監視しながら、OTT接続2450を使用して、メッセージ、特に空または「ダミー」メッセージを送信させることによって実施することができる。
【0195】
図25は、一実施形態に係る、通信システムで実施される方法および/または手順を示すフローチャートである。通信システムはホストコンピュータと、基地局と、UEとを含み、いくつかの例示的な実施形態ではこれらは本明細書で他の図面を参照して説明されたものであってもよい。本開示を簡単にするために、図25に対する図面参照のみがこのセクションに含まれる。ステップ2510において、ホストコンピュータは、ユーザデータを提供する。ステップ2510のサブステップ2511(オプションであってよい)において、ホストコンピュータは、ホストアプリケーションを実行することによって、ユーザデータを提供する。ステップ2520において、ホストコンピュータは、ユーザデータをUEに搬送する送信を開始する。ステップ2530(オプションであってよい)において、基地局は、本開示全体にわたって説明される実施形態の教示に従って、ホストコンピュータが開始した送信において搬送されたユーザデータをUEに送信する。ステップ2540(これもオプションであってよい)において、UEは、ホストコンピュータによって実行されるホストアプリケーションに関連するクライアントアプリケーションを実行する。
【0196】
図26は、一実施形態に係る、通信システムで実施される方法および/または手順を示すフローチャートである。通信システムはホストコンピュータと、基地局と、UEとを含み、これらは本明細書で他の図面を参照して説明されたものであってもよい。本開示を簡単にするために、図26への図面参照のみが、このセクションに含まれる。方法のステップ2610において、ホストコンピュータは、ユーザデータを提供する。オプションのサブステップ(不図示)では、ホストコンピュータが、ホストアプリケーションを実行することによってユーザデータを提供する。ステップ2620において、ホストコンピュータは、ユーザデータをUEに搬送する送信を開始する。送信は、本開示全体にわたって説明される実施形態の教示に従って、基地局を介して渡されうる。ステップ2630(オプションであってよい)において、UEは、送信において搬送されたユーザデータを受信する。
【0197】
図27は、一実施形態による、通信システムにおいて実施される例示的な方法および/または手順を示すフローチャートである。通信システムはホストコンピュータと、基地局と、UEとを含み、これらは、本明細書で他の図面を参照して説明されたものであってよい。本開示を簡単にするために、図27への図面参照のみが、このセクションに含まれる。ステップ2710(オプションであってよい)において、UEは、ホストコンピュータによって提供される入力データを受信する。追加的にまたは代替的に、ステップ2720において、UEは、ユーザデータを提供する。ステップ2720のサブステップ2721(オプションであってよい)において、UEは、クライアントアプリケーションを実行することによってユーザデータを提供する。ステップ2710のサブステップ2711(オプションであってよい)においてUEは、ホストコンピュータによって提供された受信入力データに応答して、ユーザデータを提供するクライアントアプリケーションを実行する。ユーザデータを提供する際に、実行されたクライアントアプリケーションは、ユーザから受け取ったユーザ入力をさらに考慮してもよい。ユーザデータが提供された特定の方法にかかわらず、UEは、サブステップ2730(オプションであってよい)において、ユーザデータのホストコンピュータへの送信を開始する。方法のステップ2740において、ホストコンピュータは、本開示全体にわたって説明される実施形態の教示に従って、UEから送信されたユーザデータを受信する。
【0198】
図28は、一実施形態による、通信システムにおいて実施される例示的な方法および/または手順を示すフローチャートである。通信システムはホストコンピュータと、基地局と、UEとを含み、これらは、本明細書で他の図面を参照して説明したものであってよい。本開示を簡単にするために、図28への図面参照のみが、このセクションに含まれる。ステップ2810(オプションであってよい)において、本開示全体にわたって説明される実施形態の教示に従って、基地局は、UEからユーザデータを受信する。ステップ2820(オプションであってよい)において、基地局は、受信したユーザデータのホストコンピュータへの送信を開始する。ステップ2830(オプションであってよい)において、ホストコンピュータは、基地局によって開始された送信で搬送されるユーザデータを受信する。
【0199】
本明細書で説明したように、デバイスおよび/または装置は、半導体チップ、チップセット、またはそのようなチップやチップセットを含む(ハードウェア)モジュールによって表すことができる。しかし、これは、デバイスまたは装置の機能が、ハードウェアで実装される代わりに、プロセッサで実行するための、あるいはプロセッサで稼働する実行可能なソフトウェアコード部分を有するコンピュータプログラムまたはコンピュータプログラム製品のようなソフトウェアモジュールとして実装されるする可能性を排除するものではない。 さらに、デバイスまたは装置の機能は、ハードウェアとソフトウェアとの任意の組合せによって実装されうる。デバイスまたは装置は、機能的に互いに協力するか、または互いに独立しているかどうかにかかわらず、複数のデバイスおよび/または装置のアセンブリと見なすこともできます。さらに、機能が維持される限り、デバイスや装置をシステム全体に分散して実装することも可能である。このような原理および類似の原理は、当業者には公知であると考えられる。
【0200】
さらに、無線デバイスまたはネットワークノードによって実行されるものとして本明細書で説明した機能は、複数の無線デバイスおよび/またはネットワークノードに分散されてもよい。すなわち、本明細書で説明するネットワークノードおよび無線デバイスの機能は、単一の物理デバイスによる性能に限定されず、実際には、複数の物理デバイスに分散させることができることが想定されている。
【0201】
特に定義されない限り、本明細書で用いられる全ての用語(技術用語および科学用語を含む)は、本開示が属する技術分野における通常の当業者によって一般的に理解されるのと同じ意味を有する。本明細書で使用される用語は、本明細書および関連技術の文脈における意味と一致する意味を有するものとして解釈されるべきであり、本明細書で明示的にそのように定義されない限り、理想化されたまたは過度に形式的な意味で解釈されないことはさらに理解されるであろう。
【0202】
さらに、明細書、図面、およびその例示的な実施形態を含む本開示で使用される特定の用語は、特定の例において同義的に使用することができる。そのような用語には例えば、データおよび情報などが挙げられるが、これらに限定されない。これらの用語および/または互いに同義となり得る他の用語は、本明細書において同義的に使用することができるが、そのような用語が同義的に使用されないことを意図し得る場合があり得ることを理解されたい。さらに、本明細書において参照により明示的に組み込まれていない先行技術の知見は、その全体が本明細書に明示的に組み込まれる。参照される全ての刊行物は、その全体が参照により本明細書に組み込まれる。
【0203】
本明細書で使用される場合、反対のことを明示的に述べない限り、列挙項目の連結リスト(例えば、「AおよびB」、「A、B、およびC」)に続くフレーズ「の少なくとも1つ」および「の1つ以上」は、「少なくとも1つの項目であり、各項目は~から構成されるリストから選択されたものである 」という意味を意図するものである。 例えば、「AおよびBのうちの少なくとも1つ」は、Aか、Bか、AおよびBのいずれかを意味することが意図されている。同様に、「A、B、およびCのうちの1つ以上」は、Aか、Bか、Cか、AおよびBか、BおよびCか、AおよびCか、A、B、およびCのいずれかを意味することが意図されている。
【0204】
本明細書で用いられる場合、そうではないと明示的に述べられていない限り、句「複数の」に列挙された項目の連結リスト(例えば「AおよびB」、「A、B、およびC」)が続く場合、「複数の項目であって、各項目は列挙された項目からなるリストから選択される」ことを意図する。例えば、「複数のAおよびB」は、1つより多いAか、1つより多いBか、少なくとも1つのAと少なくとも1つのB、のいずれかを意味することが意図されている。
【0205】
上記は、単に本開示の原理を例示するものである。記載された実施形態に対する様々な修正および変更は、本明細書の教示を考慮すれば当業者には明らかであろう。したがって、本明細書に明示的に示されないかまたは説明されないが、本開示の原理を具現化し、したがって本開示の精神および範囲内であり得る多数のシステム、配置、および手順を当業者が考案することができることが理解されよう。当業者によって理解されるように、様々な例示的な実施形態を互いに一緒に、ならびにそれらと互換的に用いることができる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【手続補正書】
【提出日】2023-12-21
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
通信ネットワークにおける鍵管理サーバによって実行される方法であって:
認証サーバ機能(AUSF)から、特定のユーザに関連付けられた情報を受信することと、ここで前記情報は、
アプリケーションに固有でないアンカセキュリティ鍵(Kakma)、
前記アプリケーションに固有でないアンカセキュリティ鍵の第1の識別子(KakmaID)、および
ネットワーク購読に関する第2の識別子、であり、
アプリケーション機能から、前記特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を受信することと、ここで前記要求は、前記特定のユーザに関連付けられた、アプリケーションに固有でないアンカセキュリティ鍵のさらなる識別子(KakmaID)を含み、
前記第1の識別子と前記さらなる識別子との一致に基づき、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいて、前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することと、を有する方法。
認証サーバ機能(AUSF)から、特定のユーザに関連付けられた情報を受信することと、ここで前記情報は、
アプリケーションに固有でないアンカセキュリティ鍵(Kakma)、
前記アプリケーションに固有でないアンカセキュリティ鍵の第1の識別子(KakmaID)、および
ネットワーク購読に関する第2の識別子、であり、
アプリケーション機能から、前記特定のユーザのためのアプリケーションセッションに固有のセキュリティ鍵(Kaf)の要求を受信することと、ここで前記要求は、前記特定のユーザに関連付けられた、アプリケーションに固有でないアンカセキュリティ鍵のさらなる識別子(KakmaID)を含み、
前記第1の識別子と前記さらなる識別子との一致に基づき、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に基づいて、前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することと、を有する方法。
【請求項2】
前記鍵管理サーバは、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)インスタンスを複数有し、各AAnFインスタンスはユーザ装置ルーティングインジケータ(RID)の範囲に対応し、
前記要求は、前記特定のユーザに関連付けられたルーティングインジケータ(RID)をさらに含み、
前記方法が、前記受信したRIDに基づいてAAnFインスタンスを選択することをさらに有し、
前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することは、前記選択されたAAnFインスタンスによって実行される、請求項1に記載の方法。
前記要求は、前記特定のユーザに関連付けられたルーティングインジケータ(RID)をさらに含み、
前記方法が、前記受信したRIDに基づいてAAnFインスタンスを選択することをさらに有し、
前記アプリケーションセッションに固有のセキュリティ鍵(Kaf)を生成することは、前記選択されたAAnFインスタンスによって実行される、請求項1に記載の方法。
【請求項3】
前記第2の識別子は購読永続識別子(SUPI)である、請求項1または2に記載の方法。
【請求項4】
前記鍵管理サーバは、ユーザ装置ルーティングインジケータ(RID)の1つまたは複数の範囲に関連付けられ、
前記方法は、前記鍵管理サーバと前記1つまたは複数の範囲との関連付けを、前記通信ネットワーク内のネットワークリポジトリ機能(NRF)に登録することをさらに有する、
請求項1から3のいずれか1項に記載の方法。
前記方法は、前記鍵管理サーバと前記1つまたは複数の範囲との関連付けを、前記通信ネットワーク内のネットワークリポジトリ機能(NRF)に登録することをさらに有する、
請求項1から3のいずれか1項に記載の方法。
【請求項5】
通信ネットワーク内のアプリケーション機能によって実行される方法であって、
ユーザ装置から、アプリケーションセッションの確立の第1の要求を受信することと、ここで前記第1の要求は、特定のユーザに関連付けられた情報である、
アプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)および
ネットワーク購読に関する第2の識別子、
の表現を含み、
前記通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)に、アプリケーションセッションに固有のセキュリティ鍵(Kaf)の第2の要求を送信することと、ここで前記第2の要求は前記第1および第2の識別子の表現を含み、
前記AAnFから、前記アプリケーションセッションに固有の前記セキュリティ鍵(Kaf)を受信することと、を有する方法。
ユーザ装置から、アプリケーションセッションの確立の第1の要求を受信することと、ここで前記第1の要求は、特定のユーザに関連付けられた情報である、
アプリケーションに固有でないアンカセキュリティ鍵(Kakma)の第1の識別子(KakmaID)および
ネットワーク購読に関する第2の識別子、
の表現を含み、
前記通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)に、アプリケーションセッションに固有のセキュリティ鍵(Kaf)の第2の要求を送信することと、ここで前記第2の要求は前記第1および第2の識別子の表現を含み、
前記AAnFから、前記アプリケーションセッションに固有の前記セキュリティ鍵(Kaf)を受信することと、を有する方法。
【請求項6】
前記表現は、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成した認証サーバ機能(AUSF)との間のバインディングの第3の識別子(B-ID)を含み、
前記第3の識別子は、
前記第1および第2の識別子の表現および
前記AUSFに関連付けられた情報
を含む、請求項5に記載の方法。
前記第3の識別子は、
前記第1および第2の識別子の表現および
前記AUSFに関連付けられた情報
を含む、請求項5に記載の方法。
【請求項7】
前記AUSFに関連付けられた前記情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含む、請求項6に記載の方法。
【請求項8】
前記表現は、
前記第1の識別子および第2の識別子、または
前記第2の識別子の表現を含んだ前記第1の識別子、
の1つを含む、請求項5に記載の方法。
前記第1の識別子および第2の識別子、または
前記第2の識別子の表現を含んだ前記第1の識別子、
の1つを含む、請求項5に記載の方法。
【請求項9】
前記第2の識別子は、
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項8に記載の方法。
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項8に記載の方法。
【請求項10】
前記受信したセキュリティ鍵(Kaf)に基づいて、前記ユーザ装置とのセキュアなアプリケーションセッションを確立することをさらに有する、請求項5から9のいずれか1項に記載の方法。
【請求項11】
通信ネットワーク内の認証サーバ機能(AUSF)によって実行される方法であって、
前記通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)の要求を受信することと、ここで前記要求は、
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)および
前記特定のユーザのネットワーク購読に関する第2の識別子、
の第1の表現を含み、
前記AAnFに、要求された前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含んだ応答を送信することと、を有する方法。
前記通信ネットワーク内の、アプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)の要求を受信することと、ここで前記要求は、
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)および
前記特定のユーザのネットワーク購読に関する第2の識別子、
の第1の表現を含み、
前記AAnFに、要求された前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)を含んだ応答を送信することと、を有する方法。
【請求項12】
前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)および前記関連付けられた第1の識別子(KakmaID)を生成することと、
前記通信ネットワーク内の統合データ管理(UDM)機能に、前記AUSFに関連付けられた第4の識別子(AUSFID)および、少なくとも前記第1の識別子(KakmaID)の第2の表現を送信することと、
をさらに有する、請求項11に記載の方法。
前記通信ネットワーク内の統合データ管理(UDM)機能に、前記AUSFに関連付けられた第4の識別子(AUSFID)および、少なくとも前記第1の識別子(KakmaID)の第2の表現を送信することと、
をさらに有する、請求項11に記載の方法。
【請求項13】
前記第1および第2の表現は、前記アプリケーションに固有でないアンカセキュリティ鍵(Kakma)とKakmaを生成した前記AUSFとの間のバインディングの第3の識別子(B-ID)を含み、
前記第3の識別子は、
前記第1および第2の識別子の表現および
前記AUSFに関連付けられた情報
を含む、請求項12に記載の方法。
前記第3の識別子は、
前記第1および第2の識別子の表現および
前記AUSFに関連付けられた情報
を含む、請求項12に記載の方法。
【請求項14】
前記AUSFに関連付けられた前記情報は、AUSFグループID、AUSF ID、購読永続識別子(SUPI)範囲、完全修飾ドメイン名(FQDN)、IPアドレスのうちの1つまたは複数を含む、請求項13に記載の方法。
【請求項15】
前記応答は、前記特定のユーザに関連付けられた購読永続識別子(SUPI)をさらに含む、請求項13または14に記載の方法。
【請求項16】
前記第2の表現は前記第1の識別子を含み、前記第1の表現は前記第1の識別子および前記第2の識別子を含む、請求項12に記載の方法。
【請求項17】
前記第2の識別子は、
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項11から16のいずれか1項に記載の方法。
HPLMN IDおよびユーザ装置ルーティング識別子(RID)、
購読隠蔽識別子(SUCI)、
購読永続識別子(SUPI)、または
汎用公開購読識別子(GPSI)、
のうちの1つを含む、請求項11から16のいずれか1項に記載の方法。
【請求項18】
通信ネットワーク内の認証サーバ機能(AUSF)によって実行される方法であって、
特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成することと、ここで前記アプリケーションに固有でないアンカセキュリティ鍵は第1の識別子(KakmaID)に関連付けられており、
前記特定のユーザのネットワーク購読に関する第2の識別子に基づいて、前記特定のユーザに関連付けられた、前記通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)を選択することと、を有する方法。
特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)を生成することと、ここで前記アプリケーションに固有でないアンカセキュリティ鍵は第1の識別子(KakmaID)に関連付けられており、
前記特定のユーザのネットワーク購読に関する第2の識別子に基づいて、前記特定のユーザに関連付けられた、前記通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)を選択することと、を有する方法。
【請求項19】
前記選択されたAAnFに、
前記特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)、前記第1の識別子(KakmaID)、および前記特定のユーザのネットワーク購読に関する前記第2の識別子、を送信することをさらに有する、請求項18に記載の方法。
前記特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)、前記第1の識別子(KakmaID)、および前記特定のユーザのネットワーク購読に関する前記第2の識別子、を送信することをさらに有する、請求項18に記載の方法。
【請求項20】
通信ネットワーク内の統合データ管理(UDM)機能によって実行される方法であって、
前記通信ネットワーク内の認証サーバ機能(AUSF)から、前記AUSFに関連付けられた第4の識別子(AUSFID)と、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)とを受信することと、
前記通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、前記第4の識別子の要求を受信することと、
前記AAnFに前記第4の識別子を含んだ応答を送信することと、を有する方法。
前記通信ネットワーク内の認証サーバ機能(AUSF)から、前記AUSFに関連付けられた第4の識別子(AUSFID)と、特定のユーザのためのアプリケーションに固有でないアンカセキュリティ鍵(Kakma)に関連付けられた第1の識別子(KakmaID)とを受信することと、
前記通信ネットワーク内のアプリケーションのための認証および鍵管理のためのアンカ機能(AAnF)から、前記第4の識別子の要求を受信することと、
前記AAnFに前記第4の識別子を含んだ応答を送信することと、を有する方法。
【請求項21】
前記要求は前記第1の識別子を含み、
前記応答は前記特定のユーザに関連付けられたネットワーク購読に関する第2の識別子をさらに含む、請求項20に記載の方法。
前記応答は前記特定のユーザに関連付けられたネットワーク購読に関する第2の識別子をさらに含む、請求項20に記載の方法。
【請求項22】
前記第1の識別子(KakmaID)が前記第2の識別子の表現を含む、請求項21に記載の方法。
【請求項23】
前記要求は前記特定のユーザに関連付けられたネットワーク購読に関するさらなる第2の識別子を含み、
前記方法は前記さらなる第2の識別子に基づいて前記第2の識別子を特定することをさらに有する、請求項21に記載の方法。
前記方法は前記さらなる第2の識別子に基づいて前記第2の識別子を特定することをさらに有する、請求項21に記載の方法。
【請求項24】
前記第2の識別子は購読永続識別子(SUPI)であり、
前記さらなる第2の識別子はSUPI以外の識別子である、請求項23に記載の方法。
前記さらなる第2の識別子はSUPI以外の識別子である、請求項23に記載の方法。
【請求項25】
前記AUSFは複数のAUSFインスタンスを有し、各AUSFインスタンスはネットワーク購読に関連付けられた識別子の範囲に対応し、
前記方法は、前記第2の識別子に基づいて特定のAUSFインスタンスを選択することをさらに有し、
前記第4の識別子は、前記選択されたAUSFインスタンスに対応する、請求項21から24のいずれか1項に記載の方法。
前記方法は、前記第2の識別子に基づいて特定のAUSFインスタンスを選択することをさらに有し、
前記第4の識別子は、前記選択されたAUSFインスタンスに対応する、請求項21から24のいずれか1項に記載の方法。
【請求項26】
通信ネットワーク内の鍵管理機能であって、 前記鍵管理機能は、
前記通信ネットワーク内の少なくともアプリケーション機能および認証サーバ機能(AUSF)と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が請求項1から4のいずれか1項に記載の方法に対応する動作を実行するように構成される処理回路と、を有する鍵管理機能。
前記通信ネットワーク内の少なくともアプリケーション機能および認証サーバ機能(AUSF)と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が請求項1から4のいずれか1項に記載の方法に対応する動作を実行するように構成される処理回路と、を有する鍵管理機能。
【請求項27】
通信ネットワーク内の鍵管理機能であって、請求項1から4のいずれか1項に記載の方法に対応する動作を実行するように構成された鍵管理機能。
【請求項28】
通信ネットワーク内の鍵管理機能に関連付けられた処理回路によって実行されると、前記鍵管理機能を請求項1から4のいずれか1項に記載の方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を格納するコンピュータ可読媒体。
【請求項29】
通信ネットワーク内の鍵管理機能に関連付けられた処理回路によって実行されると、前記鍵管理機能を請求項1から4のいずれか1項に記載の方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を有するコンピュータプログラム。
【請求項30】
通信ネットワーク内のアプリケーション機能であって、前記アプリケーション機能は、
前記通信ネットワーク内の少なくとも鍵管理機能と、ユーザ機器と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が請求項5から10のいずれか1項に記載の方法に対応する動作を実行するように構成される処理回路と、を有するアプリケーション機能。
前記通信ネットワーク内の少なくとも鍵管理機能と、ユーザ機器と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が請求項5から10のいずれか1項に記載の方法に対応する動作を実行するように構成される処理回路と、を有するアプリケーション機能。
【請求項31】
通信ネットワーク内のアプリケーション機能であって、前記アプリケーション機能は、請求項5から10のいずれか1項に記載の方法に対応する動作を実行するように構成される、アプリケーション機能。
【請求項32】
通信ネットワーク内のアプリケーション機能に関連付けられた処理回路によって実行されると、前記アプリケーション機能を請求項5から10のいずれか1項に記載の方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を記憶するコンピュータ可読媒体。
【請求項33】
通信ネットワーク内のアプリケーション機能に関連付けられた処理回路によって実行されると、前記アプリケーション機能を請求項5から10のいずれか1項に記載の方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を有するコンピュータプログラム。
【請求項34】
通信ネットワーク内の認証サーバ機能(AUSF)であって、前記AUSFは、
前記通信ネットワーク内の少なくとも鍵管理機能および統合データ管理(UDM)機能と、ユーザ機器と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に結合された処理回路であって、それによって前記処理回路および前記インターフェース回路が請求項11から19のいずれか1項に記載の方法に対応する動作を実行するように構成される処理回路と、を有する認証サーバ機能(AUSF)。
前記通信ネットワーク内の少なくとも鍵管理機能および統合データ管理(UDM)機能と、ユーザ機器と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に結合された処理回路であって、それによって前記処理回路および前記インターフェース回路が請求項11から19のいずれか1項に記載の方法に対応する動作を実行するように構成される処理回路と、を有する認証サーバ機能(AUSF)。
【請求項35】
通信ネットワーク内の認証サーバ機能(AUSF)であって、請求項11から19のいずれか1項に記載の方法に対応する動作を実行するように構成される、認証サーバ機能(AUSF)。
【請求項36】
通信ネットワーク内の認証サーバ機能(AUSF)に関連付けられた処理回路によって実行されると、前記AUSFを請求項11から19のいずれか1項に記載の方法に対応する動作を実行するようにを構成するコンピュータ実行可能命令、を格納するコンピュータ可読媒体。
【請求項37】
通信ネットワーク内の認証サーバ機能(AUSF)に関連付けられた処理回路によって実行されると、前記AUSFを請求項11から19のいずれか1項に記載の方法に対応する動作を実行するようにを構成するコンピュータ実行可能命令、を有するコンピュータプログラム。
【請求項38】
通信ネットワーク内の統合データ管理(UDM)機能であって、前記UDM機能は、
前記通信ネットワーク内の少なくとも鍵管理機能および認証サーバ機能(AUSF)と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が請求項20から25のいずれか1項に記載の方法に対応する動作を実行するように構成される処理回路と、を有するUDM機能。
前記通信ネットワーク内の少なくとも鍵管理機能および認証サーバ機能(AUSF)と通信するように構成されたインターフェース回路と、
前記インターフェース回路に動作可能に接続された処理回路であって、それによって前記処理回路および前記インターフェース回路が請求項20から25のいずれか1項に記載の方法に対応する動作を実行するように構成される処理回路と、を有するUDM機能。
【請求項39】
通信ネットワーク内の統合データ管理(UDM)機能であって、前記UDM機能は、請求項20から25のいずれか1項に記載の方法に対応する動作を実行するように構成される、UDM機能。
【請求項40】
通信ネットワーク内の統合データ管理(UDM)機能に関連付けられた処理回路によって実行されると、前記UDM機能を請求項20から25のいずれか1項に記載の方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を格納するコンピュータ可読媒体。
【請求項41】
通信ネットワーク内の統合データ管理(UDM)機能に関連付けられた処理回路によって実行されると、前記UDM機能を請求項20から25のいずれか1項に記載の方法に対応する動作を実行するように構成するコンピュータ実行可能命令、を有するコンピュータプログラム。
【外国語明細書】