知財求人 - 知財ポータルサイト「IP Force」
特開2024-88760セキュリティコンテキスト取得方法および装置、ならびに通信システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024088760
(43)【公開日】2024-07-02
(54)【発明の名称】セキュリティコンテキスト取得方法および装置、ならびに通信システム
(51)【国際特許分類】
H04W 12/106 20210101AFI20240625BHJP
H04W 36/14 20090101ALI20240625BHJP
H04W 92/24 20090101ALI20240625BHJP
H04W 12/041 20210101ALI20240625BHJP
【FI】
H04W12/106
H04W36/14
H04W92/24
H04W12/041
【審査請求】有
【請求項の数】17
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2024062617
(22)【出願日】2024-04-09
(62)【分割の表示】P 2023001883の分割
【原出願日】2020-05-11
(31)【優先権主張番号】201910470895.8
(32)【優先日】2019-05-31
(33)【優先権主張国・地域又は機関】CN
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.iOS
2.UNIX
3.ANDROID
4.WINDOWS
(71)【出願人】
【識別番号】521218881
【氏名又は名称】オナー デバイス カンパニー リミテッド
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133569
【弁理士】
【氏名又は名称】野村 進
(72)【発明者】
【氏名】李 ▲飛▼
(72)【発明者】
【氏名】▲張▼ 博
(57)【要約】 (修正有)
【課題】モビリティ管理機能(AMF)によりセキュリティコンテキスト取得方法及び装置並びに通信システムを提供する。
【解決手段】方法は、ユーザ機器UEが4G通信システムから5G通信システムにハンドオーバされた後、5GシステムでUEのためにアクセスおよびモビリティ管理サービスを提供するAMF1が、5G通信システム内のAMF2からUEのセキュリティコンテキストを取得し、UEがAMF1へ第1の登録要求メッセージを送信し、第1の登録要求メッセージが第2の登録要求メッセージを保持し、AMF1が、AMF2へ第2の登録要求メッセージを送信し、第2の登録要求メッセージにはUEとAMF2間のネイティブセキュリティコンテキストを使用し完全性保護を行し、第2の登録要求メッセージの完全性を成功裏に検証した後、AMF2が、AMF1にUEのセキュリティコンテキストを返す。
【選択図】図4
【解決手段】方法は、ユーザ機器UEが4G通信システムから5G通信システムにハンドオーバされた後、5GシステムでUEのためにアクセスおよびモビリティ管理サービスを提供するAMF1が、5G通信システム内のAMF2からUEのセキュリティコンテキストを取得し、UEがAMF1へ第1の登録要求メッセージを送信し、第1の登録要求メッセージが第2の登録要求メッセージを保持し、AMF1が、AMF2へ第2の登録要求メッセージを送信し、第2の登録要求メッセージにはUEとAMF2間のネイティブセキュリティコンテキストを使用し完全性保護を行し、第2の登録要求メッセージの完全性を成功裏に検証した後、AMF2が、AMF1にUEのセキュリティコンテキストを返す。
【選択図】図4
【特許請求の範囲】
【請求項1】
セキュリティコンテキスト取得方法であって、
第1のアクセスおよびモビリティ管理機能(AMF)により、ユーザ機器(UE)から第1の
登録要求メッセージを受信するステップと、
前記第1のAMFにより、前記第1の登録要求メッセージの完全性を検証するステップと、
前記第1のAMFが前記第1の登録要求メッセージの完全性を成功裏に検証したとき、前記
第1のAMFにより、第2のAMFへ第2の要求メッセージを送信するステップであって、前記第2
の要求メッセージは、前記UEが検証済みであることを示す指示情報を含む、ステップと、
前記第1のAMFにより、前記第2の要求メッセージに応答した前記第2のAMFから前記UEの
ネイティブセキュリティコンテキストを受信するステップと
を含む方法。
第1のアクセスおよびモビリティ管理機能(AMF)により、ユーザ機器(UE)から第1の
登録要求メッセージを受信するステップと、
前記第1のAMFにより、前記第1の登録要求メッセージの完全性を検証するステップと、
前記第1のAMFが前記第1の登録要求メッセージの完全性を成功裏に検証したとき、前記
第1のAMFにより、第2のAMFへ第2の要求メッセージを送信するステップであって、前記第2
の要求メッセージは、前記UEが検証済みであることを示す指示情報を含む、ステップと、
前記第1のAMFにより、前記第2の要求メッセージに応答した前記第2のAMFから前記UEの
ネイティブセキュリティコンテキストを受信するステップと
を含む方法。
【請求項2】
第1のアクセスおよびモビリティ管理機能(AMF)により、ユーザ機器(UE)から第1の
登録要求メッセージを受信する前記ステップが、
前記UEが4G通信システムから5G通信システムへハンドオーバされた後に、前記第1のAMF
により、前記UEから前記第1の登録要求メッセージを受信するステップ
を含む、請求項1に記載の方法。
登録要求メッセージを受信する前記ステップが、
前記UEが4G通信システムから5G通信システムへハンドオーバされた後に、前記第1のAMF
により、前記UEから前記第1の登録要求メッセージを受信するステップ
を含む、請求項1に記載の方法。
【請求項3】
前記第2の要求メッセージは、前記第2のAMFに前記第2の要求メッセージの完全性を検証
させないようにする、請求項1または2に記載の方法。
させないようにする、請求項1または2に記載の方法。
【請求項4】
前記第1のAMFは、前記UEが4G通信システムから5G通信システムへハンドオーバされる過
程で、前記UEに対してコアネットワークサービスを提供するために、前記4G通信システム
のモビリティ管理エンティティ(MME)によって前記UEのために前記5G通信システムから
選択されるAMFであり、
前記第2のAMFは、前記UEが前記4G通信システムから前記5G通信システムへハンドオーバ
される前記過程における前記5G通信システムの前記第1のAMF以外の、前記5G通信システム
のAMFであり、前記第2のAMFは、前記UEのネイティブ5Gセキュリティコンテキストを記憶
している、請求項1から3のいずれか一項に記載の方法。
程で、前記UEに対してコアネットワークサービスを提供するために、前記4G通信システム
のモビリティ管理エンティティ(MME)によって前記UEのために前記5G通信システムから
選択されるAMFであり、
前記第2のAMFは、前記UEが前記4G通信システムから前記5G通信システムへハンドオーバ
される前記過程における前記5G通信システムの前記第1のAMF以外の、前記5G通信システム
のAMFであり、前記第2のAMFは、前記UEのネイティブ5Gセキュリティコンテキストを記憶
している、請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記ネイティブセキュリティコンテキストが前記第2のAMFによって記憶される理由は、
前記UEが4G通信システムから5G通信システムへハンドオーバされる前に、前記UEが前記
5G通信システムから前記4G通信システムへハンドオーバされたためであるか、または
デュアル接続をサポートする前記UEが、非3GPP接続を介して前記5G通信システムにアク
セスし、同時に3GPP接続を介して前記4G通信システムにアクセスし、接続モードの前記UE
が、前記4G通信システムから前記5G通信システムへハンドオーバされるためである、請求
項1から4のいずれか一項に記載の方法。
前記UEが4G通信システムから5G通信システムへハンドオーバされる前に、前記UEが前記
5G通信システムから前記4G通信システムへハンドオーバされたためであるか、または
デュアル接続をサポートする前記UEが、非3GPP接続を介して前記5G通信システムにアク
セスし、同時に3GPP接続を介して前記4G通信システムにアクセスし、接続モードの前記UE
が、前記4G通信システムから前記5G通信システムへハンドオーバされるためである、請求
項1から4のいずれか一項に記載の方法。
【請求項6】
前記第1のAMFにより、前記第1の登録要求メッセージの完全性を検証する前記ステップ
が、
前記第1のAMFにより、4Gセキュリティコンテキストに基づいて決定されたマップドセキ
ュリティコンテキストを使用することによって、前記第1の登録要求メッセージの完全性
を検証するステップ
を含む、請求項1から5のいずれか一項に記載の方法。
が、
前記第1のAMFにより、4Gセキュリティコンテキストに基づいて決定されたマップドセキ
ュリティコンテキストを使用することによって、前記第1の登録要求メッセージの完全性
を検証するステップ
を含む、請求項1から5のいずれか一項に記載の方法。
【請求項7】
セキュリティコンテキスト取得方法であって、
第2のアクセスおよびモビリティ管理機能(AMF)により、第1のAMFから要求メッセージ
を受信するステップと、
前記要求メッセージが指示情報を伝送し、前記指示情報が、ユーザ機器(UE)が検証済
みであることを示すために使用される場合、前記第2のAMFにより、前記要求メッセージに
基づいて、前記第1のAMFへ前記UEのネイティブセキュリティコンテキストを送信するステ
ップと
を含み、
前記第2のAMFにより、前記要求メッセージに基づいて、前記第1のAMFへ前記UEのネイテ
ィブセキュリティコンテキストを送信する前記ステップよりも前に、
前記第2のAMFにより、前記UEの検証をスキップするステップ
をさらに含む方法。
第2のアクセスおよびモビリティ管理機能(AMF)により、第1のAMFから要求メッセージ
を受信するステップと、
前記要求メッセージが指示情報を伝送し、前記指示情報が、ユーザ機器(UE)が検証済
みであることを示すために使用される場合、前記第2のAMFにより、前記要求メッセージに
基づいて、前記第1のAMFへ前記UEのネイティブセキュリティコンテキストを送信するステ
ップと
を含み、
前記第2のAMFにより、前記要求メッセージに基づいて、前記第1のAMFへ前記UEのネイテ
ィブセキュリティコンテキストを送信する前記ステップよりも前に、
前記第2のAMFにより、前記UEの検証をスキップするステップ
をさらに含む方法。
【請求項8】
第2のアクセスおよびモビリティ管理機能(AMF)により、第1のAMFから要求メッセージ
を受信する前記ステップが、
前記UEが4G通信システムから5G通信システムへハンドオーバされた後に、前記第2のAMF
により、前記第1のAMFから前記要求メッセージを受信するステップ
を含む、請求項7に記載の方法。
を受信する前記ステップが、
前記UEが4G通信システムから5G通信システムへハンドオーバされた後に、前記第2のAMF
により、前記第1のAMFから前記要求メッセージを受信するステップ
を含む、請求項7に記載の方法。
【請求項9】
前記第2のAMFにより、前記UEの検証をスキップする前記ステップが、
前記要求メッセージの完全性を検証することをスキップするステップ
を含む、請求項7または8に記載の方法。
前記要求メッセージの完全性を検証することをスキップするステップ
を含む、請求項7または8に記載の方法。
【請求項10】
前記要求メッセージは、前記UEの5G GUTI(globally unique temporary user equipmen
t identity)を含み、
前記第2のAMFにより、前記要求メッセージに基づいて、前記第1のAMFへ前記UEのネイテ
ィブセキュリティコンテキストを送信する前記ステップよりも前に、前記方法は、
前記第2のAMFにより、前記要求メッセージの前記5G GUTIに基づいて、前記UEの前記ネ
イティブセキュリティコンテキストを決定するステップ
をさらに含む、請求項7から9のいずれか一項に記載の方法。
t identity)を含み、
前記第2のAMFにより、前記要求メッセージに基づいて、前記第1のAMFへ前記UEのネイテ
ィブセキュリティコンテキストを送信する前記ステップよりも前に、前記方法は、
前記第2のAMFにより、前記要求メッセージの前記5G GUTIに基づいて、前記UEの前記ネ
イティブセキュリティコンテキストを決定するステップ
をさらに含む、請求項7から9のいずれか一項に記載の方法。
【請求項11】
前記指示情報が、ユーザ機器(UE)が検証済みであることを示すために使用されること
は、
前記指示情報が、前記UEからの第1の登録要求メッセージの完全性が成功裏に検証され
たことを示すために使用されること
を含む、請求項7から10のいずれか一項に記載の方法。
は、
前記指示情報が、前記UEからの第1の登録要求メッセージの完全性が成功裏に検証され
たことを示すために使用されること
を含む、請求項7から10のいずれか一項に記載の方法。
【請求項12】
前記第1のAMFは、前記UEが4G通信システムから5G通信システムへハンドオーバされる過
程で、前記UEに対してコアネットワークサービスを提供するために、前記4G通信システム
のモビリティ管理エンティティ(MME)によって前記UEのために前記5G通信システムから
選択されるAMFであり、
前記第2のAMFは、前記UEが前記4G通信システムから前記5G通信システムへハンドオーバ
される前記過程における前記5G通信システムの前記第1のAMF以外の、前記5G通信システム
のAMFであり、前記第2のAMFは、前記UEのネイティブ5Gセキュリティコンテキストを記憶
している、請求項7から11のいずれか一項に記載の方法。
程で、前記UEに対してコアネットワークサービスを提供するために、前記4G通信システム
のモビリティ管理エンティティ(MME)によって前記UEのために前記5G通信システムから
選択されるAMFであり、
前記第2のAMFは、前記UEが前記4G通信システムから前記5G通信システムへハンドオーバ
される前記過程における前記5G通信システムの前記第1のAMF以外の、前記5G通信システム
のAMFであり、前記第2のAMFは、前記UEのネイティブ5Gセキュリティコンテキストを記憶
している、請求項7から11のいずれか一項に記載の方法。
【請求項13】
前記ネイティブセキュリティコンテキストが前記第2のAMFによって記憶される理由は、
前記UEが4G通信システムから5G通信システムへハンドオーバされる前に、前記UEが前記
5G通信システムから前記4G通信システムへハンドオーバされたためであるか、または
デュアル接続をサポートする前記UEが、非3GPP接続を介して前記5G通信システムにアク
セスし、同時に3GPP接続を介して前記4G通信システムにアクセスし、接続モードの前記UE
が、前記4G通信システムから前記5G通信システムへハンドオーバされるためである、請求
項7から12のいずれか一項に記載の方法。
前記UEが4G通信システムから5G通信システムへハンドオーバされる前に、前記UEが前記
5G通信システムから前記4G通信システムへハンドオーバされたためであるか、または
デュアル接続をサポートする前記UEが、非3GPP接続を介して前記5G通信システムにアク
セスし、同時に3GPP接続を介して前記4G通信システムにアクセスし、接続モードの前記UE
が、前記4G通信システムから前記5G通信システムへハンドオーバされるためである、請求
項7から12のいずれか一項に記載の方法。
【請求項14】
通信装置であって、
プロセッサと、メモリとを備え、
前記メモリは命令を記憶し、前記メモリに記憶された前記命令が前記プロセッサによっ
て実行されるとき、前記通信装置は、請求項1から6のいずれか一項または請求項7から13
のいずれか一項に記載の方法を実行する、通信装置。
プロセッサと、メモリとを備え、
前記メモリは命令を記憶し、前記メモリに記憶された前記命令が前記プロセッサによっ
て実行されるとき、前記通信装置は、請求項1から6のいずれか一項または請求項7から13
のいずれか一項に記載の方法を実行する、通信装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は通信分野に関し、より具体的には、セキュリティコンテキスト取得方法および
装置、ならびに通信システムに関する。
装置、ならびに通信システムに関する。
【背景技術】
【0002】
第5世代(5th generation、5G)通信のシナリオでは、ユーザ機器の移動のため、ユー
ザ機器にサービス提供するネットワークデバイスが変わる。起こり得るハンドオーバのシ
ナリオでは、ユーザ機器が第4世代(4th generation、4G)通信システムから5G通信シス
テムにハンドオーバされる。このハンドオーバのシナリオでは、4Gアクセスネットワーク
デバイスから5Gアクセスネットワークデバイスに、そして4Gコアネットワークデバイスか
ら5Gコアネットワークデバイスに、ユーザ機器がハンドオーバされる。コアネットワーク
デバイス間のハンドオーバは、ユーザ機器のためにモビリティ管理サービスを提供するコ
アネットワークエレメント間のハンドオーバを、換言すると、4G通信システムのモビリテ
ィ管理エンティティ(mobility management entity、MME)から5G通信システムのモビリ
ティ管理機能(access and mobility management function、AMF)へのハンドオーバを、
含む。
ザ機器にサービス提供するネットワークデバイスが変わる。起こり得るハンドオーバのシ
ナリオでは、ユーザ機器が第4世代(4th generation、4G)通信システムから5G通信シス
テムにハンドオーバされる。このハンドオーバのシナリオでは、4Gアクセスネットワーク
デバイスから5Gアクセスネットワークデバイスに、そして4Gコアネットワークデバイスか
ら5Gコアネットワークデバイスに、ユーザ機器がハンドオーバされる。コアネットワーク
デバイス間のハンドオーバは、ユーザ機器のためにモビリティ管理サービスを提供するコ
アネットワークエレメント間のハンドオーバを、換言すると、4G通信システムのモビリテ
ィ管理エンティティ(mobility management entity、MME)から5G通信システムのモビリ
ティ管理機能(access and mobility management function、AMF)へのハンドオーバを、
含む。
【発明の概要】
【課題を解決するための手段】
【0003】
4G通信システムから5G通信システムにユーザ機器がハンドオーバされる既存のシナリオ
では、MMEによって選択されるAMF(第1のAMF)に加えて、5G通信システムは、ユーザ機器
のセキュリティコンテキストを保存するAMF(第2のAMF)をさらに含む。この場合は、第1
のAMFがどのようにして第2のAMFからユーザ機器のセキュリティコンテキストを取得する
かが、解決するべき緊急課題となる。
では、MMEによって選択されるAMF(第1のAMF)に加えて、5G通信システムは、ユーザ機器
のセキュリティコンテキストを保存するAMF(第2のAMF)をさらに含む。この場合は、第1
のAMFがどのようにして第2のAMFからユーザ機器のセキュリティコンテキストを取得する
かが、解決するべき緊急課題となる。
【0004】
本出願は、セキュリティコンテキスト取得方法および装置、ならびに通信システムを提
供する。第1のAMFによって第2のAMFへ送信される第2の登録要求メッセージには、ユーザ
機器と第2のAMFとの間のネイティブセキュリティコンテキストに基づいて完全性保護が行
われるため、第2のAMFは、ユーザ機器と第2のAMFとの間のネイティブセキュリティコンテ
キストに基づいて第2の登録要求メッセージの完全性を検証でき、第2のAMFが第2の登録要
求メッセージを成功裏に検証する可能性が高まる。この検証が成功する場合は、第1のAMF
が第2のAMFからユーザ機器のセキュリティコンテキストを成功裏に取得できる。
供する。第1のAMFによって第2のAMFへ送信される第2の登録要求メッセージには、ユーザ
機器と第2のAMFとの間のネイティブセキュリティコンテキストに基づいて完全性保護が行
われるため、第2のAMFは、ユーザ機器と第2のAMFとの間のネイティブセキュリティコンテ
キストに基づいて第2の登録要求メッセージの完全性を検証でき、第2のAMFが第2の登録要
求メッセージを成功裏に検証する可能性が高まる。この検証が成功する場合は、第1のAMF
が第2のAMFからユーザ機器のセキュリティコンテキストを成功裏に取得できる。
【0005】
第1の態様によると、セキュリティコンテキスト取得方法が提供される。方法は、第1の
アクセスおよびモビリティ管理機能AMFがユーザ機器によって送信される第1の登録要求メ
ッセージを受信するステップであって、第1の登録要求メッセージは第2の登録要求メッセ
ージを保持し、第2の登録要求メッセージには第1のセキュリティコンテキストを使用して
完全性保護が行われ、第1のセキュリティコンテキストはユーザ機器と第2のAMFとの間の
ネイティブセキュリティコンテキストであり、第1のAMFは、4G通信システムから5G通信シ
ステムにユーザ機器がハンドオーバされた後にユーザ機器のためにアクセスおよびモビリ
ティ管理サービスを提供するAMFである、ステップを含む。第1のAMFは第2のAMFへ第2の登
録要求メッセージを送信する。第2のAMFは第2の登録要求メッセージの完全性を検証する
。第2のAMFは、第2の登録要求メッセージの完全性を成功裏に検証した場合に、第1のAMF
へユーザ機器のセキュリティコンテキストを送信する。
アクセスおよびモビリティ管理機能AMFがユーザ機器によって送信される第1の登録要求メ
ッセージを受信するステップであって、第1の登録要求メッセージは第2の登録要求メッセ
ージを保持し、第2の登録要求メッセージには第1のセキュリティコンテキストを使用して
完全性保護が行われ、第1のセキュリティコンテキストはユーザ機器と第2のAMFとの間の
ネイティブセキュリティコンテキストであり、第1のAMFは、4G通信システムから5G通信シ
ステムにユーザ機器がハンドオーバされた後にユーザ機器のためにアクセスおよびモビリ
ティ管理サービスを提供するAMFである、ステップを含む。第1のAMFは第2のAMFへ第2の登
録要求メッセージを送信する。第2のAMFは第2の登録要求メッセージの完全性を検証する
。第2のAMFは、第2の登録要求メッセージの完全性を成功裏に検証した場合に、第1のAMF
へユーザ機器のセキュリティコンテキストを送信する。
【0006】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、4G通信
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器と第2のAMFによってユーザ機器のセキュリティコンテキストが保存され
る。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第1のA
MFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のAMFは
、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体的に
は、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存されたユー
ザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッセー
ジに対して完全性保護を行い、第2の登録要求メッセージを生成し、第2の登録要求メッセ
ージを第1の登録要求メッセージに加え、第1のAMFへ第1の登録要求メッセージを送信する
ことができる。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転
送でき、第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2
の登録要求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュ
リティコンテキストを返すことができる。これは、第1のAMFが第2のAMFからユーザ機器の
セキュリティコンテキストを成功裏に取得する可能性を高めることができる。
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器と第2のAMFによってユーザ機器のセキュリティコンテキストが保存され
る。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第1のA
MFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のAMFは
、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体的に
は、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存されたユー
ザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッセー
ジに対して完全性保護を行い、第2の登録要求メッセージを生成し、第2の登録要求メッセ
ージを第1の登録要求メッセージに加え、第1のAMFへ第1の登録要求メッセージを送信する
ことができる。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転
送でき、第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2
の登録要求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュ
リティコンテキストを返すことができる。これは、第1のAMFが第2のAMFからユーザ機器の
セキュリティコンテキストを成功裏に取得する可能性を高めることができる。
【0007】
第1の態様に関し、第1の態様のいくつかの実装において、ユーザ機器のセキュリティコ
ンテキストは、第1のセキュリティコンテキスト、または第1のセキュリティコンテキスト
に基づいて得られる第2のセキュリティコンテキストを含む。
ンテキストは、第1のセキュリティコンテキスト、または第1のセキュリティコンテキスト
に基づいて得られる第2のセキュリティコンテキストを含む。
【0008】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、ユーザ
機器のセキュリティコンテキストは、ユーザ機器と第2のAMFとの間のネイティブセキュリ
ティコンテキストであってよい。あるいは、第2のAMFが鍵導出を行って新たな鍵を生成す
る場合は、ユーザ機器のセキュリティコンテキストは、第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストであってよい。
機器のセキュリティコンテキストは、ユーザ機器と第2のAMFとの間のネイティブセキュリ
ティコンテキストであってよい。あるいは、第2のAMFが鍵導出を行って新たな鍵を生成す
る場合は、ユーザ機器のセキュリティコンテキストは、第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストであってよい。
【0009】
第1の態様に関し、第1の態様のいくつかの実装において、第1のAMFが第2のAMFへ第2の
登録要求メッセージを送信するステップは、第1のAMFが第2のAMFへユーザ機器コンテキス
ト転送サービス呼び出し要求を送信するステップであって、ユーザ機器コンテキスト転送
サービス呼び出し要求が第2の登録要求メッセージを保持する、ステップを含む。
登録要求メッセージを送信するステップは、第1のAMFが第2のAMFへユーザ機器コンテキス
ト転送サービス呼び出し要求を送信するステップであって、ユーザ機器コンテキスト転送
サービス呼び出し要求が第2の登録要求メッセージを保持する、ステップを含む。
【0010】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFによって第2のAMFへ送信される第2の登録要求メッセージは、第1のAMFによって第2のAM
Fへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求に含まれてよい。
MFによって第2のAMFへ送信される第2の登録要求メッセージは、第1のAMFによって第2のAM
Fへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求に含まれてよい。
【0011】
第1の態様に関し、第1の態様のいくつかの実装において、第2のAMFが第1のAMFへユーザ
機器のセキュリティコンテキストを送信するステップは、第2のAMFが第1のAMFへ第1の応
答メッセージを送信するステップであって、第1の応答メッセージがユーザ機器のセキュ
リティコンテキストを保持する、ステップを含む。
機器のセキュリティコンテキストを送信するステップは、第2のAMFが第1のAMFへ第1の応
答メッセージを送信するステップであって、第1の応答メッセージがユーザ機器のセキュ
リティコンテキストを保持する、ステップを含む。
【0012】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFにユーザ機器のセキュリティコンテキストを返すときに、第2のAMFは、ユーザ機器のセ
キュリティコンテキストを保持する第1の応答メッセージを第1のAMFへ送信できる。
MFにユーザ機器のセキュリティコンテキストを返すときに、第2のAMFは、ユーザ機器のセ
キュリティコンテキストを保持する第1の応答メッセージを第1のAMFへ送信できる。
【0013】
第1の態様に関しては、第1の態様のいくつかの実装において、方法は、第2のAMFが第2
の登録要求メッセージの完全性検証に失敗したことを示すメッセージを第1のAMFが受信し
た場合に、第1のAMFがマップドセキュリティコンテキストの使用を継続するか、またはユ
ーザ機器に対して初期認証を開始するステップをさらに含む。
の登録要求メッセージの完全性検証に失敗したことを示すメッセージを第1のAMFが受信し
た場合に、第1のAMFがマップドセキュリティコンテキストの使用を継続するか、またはユ
ーザ機器に対して初期認証を開始するステップをさらに含む。
【0014】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFは、第2のAMFからユーザ機器のセキュリティコンテキストを取得しそこなう場合に、ユ
ーザ機器とのネゴシエーションを通じて生成されたマップドセキュリティコンテキストの
使用を継続でき、または、第1のAMFとユーザ機器との間のセキュリティコンテキストを生
成するために、ユーザ機器に対して初期認証を開始できる。
MFは、第2のAMFからユーザ機器のセキュリティコンテキストを取得しそこなう場合に、ユ
ーザ機器とのネゴシエーションを通じて生成されたマップドセキュリティコンテキストの
使用を継続でき、または、第1のAMFとユーザ機器との間のセキュリティコンテキストを生
成するために、ユーザ機器に対して初期認証を開始できる。
【0015】
第1の態様に関し、第1の態様のいくつかの実装において、マップドセキュリティコンテ
キストは、モビリティ管理エンティティMMEとユーザ機器との間のセキュリティコンテキ
ストに基づいて得られ、MMEは4G通信システム内のネットワークエレメントである。
キストは、モビリティ管理エンティティMMEとユーザ機器との間のセキュリティコンテキ
ストに基づいて得られ、MMEは4G通信システム内のネットワークエレメントである。
【0016】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法において、マップ
ドセキュリティコンテキストは、ユーザ機器とMMEとの間のセキュリティコンテキストに
基づく導出によってユーザ機器と第1のAMFとによって別々に生成されるセキュリティコン
テキストである。
ドセキュリティコンテキストは、ユーザ機器とMMEとの間のセキュリティコンテキストに
基づく導出によってユーザ機器と第1のAMFとによって別々に生成されるセキュリティコン
テキストである。
【0017】
第1の態様に関し、第1の態様のいくつかの実装において、第2のAMFが第2の登録要求メ
ッセージの完全性を検証するステップは、第2のAMFが第2のAMFとユーザ機器との間のネイ
ティブセキュリティコンテキストに基づいて第2の登録要求メッセージの完全性を検証す
るステップを含む。
ッセージの完全性を検証するステップは、第2のAMFが第2のAMFとユーザ機器との間のネイ
ティブセキュリティコンテキストに基づいて第2の登録要求メッセージの完全性を検証す
るステップを含む。
【0018】
第2の態様によると、セキュリティコンテキスト取得方法が提供される。方法は、第2の
アクセスおよびモビリティ管理機能AMFが第1のAMFによって送信される第2の登録要求メッ
セージを受信するステップであって、第2の登録要求メッセージには第1のセキュリティコ
ンテキストを使用して完全性保護が行われ、第1のセキュリティコンテキストはユーザ機
器と第2のAMFとの間のネイティブセキュリティコンテキストであり、第1のAMFは、4G通信
システムから5G通信システムにユーザ機器がハンドオーバされた後にユーザ機器のために
アクセスおよびモビリティ管理サービスを提供するAMFである、ステップを含む。第2のAM
Fは第2の登録要求メッセージの完全性を検証する。第2のAMFは、第2の登録要求メッセー
ジの完全性を成功裏に検証した場合に、第1のAMFへユーザ機器のセキュリティコンテキス
トを送信する。
アクセスおよびモビリティ管理機能AMFが第1のAMFによって送信される第2の登録要求メッ
セージを受信するステップであって、第2の登録要求メッセージには第1のセキュリティコ
ンテキストを使用して完全性保護が行われ、第1のセキュリティコンテキストはユーザ機
器と第2のAMFとの間のネイティブセキュリティコンテキストであり、第1のAMFは、4G通信
システムから5G通信システムにユーザ機器がハンドオーバされた後にユーザ機器のために
アクセスおよびモビリティ管理サービスを提供するAMFである、ステップを含む。第2のAM
Fは第2の登録要求メッセージの完全性を検証する。第2のAMFは、第2の登録要求メッセー
ジの完全性を成功裏に検証した場合に、第1のAMFへユーザ機器のセキュリティコンテキス
トを送信する。
【0019】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、4G通信
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器と第2のAMFによってユーザ機器のセキュリティコンテキストが保存され
る。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第1のA
MFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のAMFは
、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体的に
は、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存されたユー
ザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッセー
ジに対して完全性保護を行い、次いで第2の登録要求メッセージを生成することができる
。UEは、第1のAMFへ送信される第1の登録要求メッセージに第2の登録要求メッセージを加
える。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転送でき、
第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2の登録要
求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュリティコ
ンテキストを送信する。これは、第1のAMFが第2のAMFからユーザ機器のセキュリティコン
テキストを成功裏に取得する可能性を高めることができる。
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器と第2のAMFによってユーザ機器のセキュリティコンテキストが保存され
る。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第1のA
MFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のAMFは
、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体的に
は、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存されたユー
ザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッセー
ジに対して完全性保護を行い、次いで第2の登録要求メッセージを生成することができる
。UEは、第1のAMFへ送信される第1の登録要求メッセージに第2の登録要求メッセージを加
える。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転送でき、
第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2の登録要
求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュリティコ
ンテキストを送信する。これは、第1のAMFが第2のAMFからユーザ機器のセキュリティコン
テキストを成功裏に取得する可能性を高めることができる。
【0020】
第2の態様に関し、第2の態様のいくつかの実装において、ユーザ機器のセキュリティコ
ンテキストは、第1のセキュリティコンテキスト、または第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストを含む。
ンテキストは、第1のセキュリティコンテキスト、または第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストを含む。
【0021】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、ユーザ
機器のセキュリティコンテキストは、ユーザ機器と第2のAMFとの間のネイティブセキュリ
ティコンテキストであってよい。あるいは、第2のAMFが鍵導出を行って新たな鍵を生成す
る場合は、ユーザ機器のセキュリティコンテキストは、第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストであってよい。
機器のセキュリティコンテキストは、ユーザ機器と第2のAMFとの間のネイティブセキュリ
ティコンテキストであってよい。あるいは、第2のAMFが鍵導出を行って新たな鍵を生成す
る場合は、ユーザ機器のセキュリティコンテキストは、第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストであってよい。
【0022】
第2の態様に関し、第2の態様のいくつかの実装において、第2のAMFが第1のAMFによって
送信される第2の登録要求メッセージを受信するステップは、第2のAMFが第1のAMFによっ
て送信されるユーザ機器コンテキスト転送サービス呼び出し要求を受信するステップであ
って、ユーザ機器コンテキスト転送サービス呼び出し要求が第2の登録要求メッセージを
保持する、ステップを含む。
送信される第2の登録要求メッセージを受信するステップは、第2のAMFが第1のAMFによっ
て送信されるユーザ機器コンテキスト転送サービス呼び出し要求を受信するステップであ
って、ユーザ機器コンテキスト転送サービス呼び出し要求が第2の登録要求メッセージを
保持する、ステップを含む。
【0023】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFによって第2のAMFへ送信される第2の登録要求メッセージは、第1のAMFによって第2のAM
Fへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求に含まれてよい。
MFによって第2のAMFへ送信される第2の登録要求メッセージは、第1のAMFによって第2のAM
Fへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求に含まれてよい。
【0024】
第2の態様に関し、第2の態様のいくつかの実装において、第2のAMFが第1のAMFへユーザ
機器のセキュリティコンテキストを送信するステップは、第2のAMFが第1のAMFへ第1の応
答メッセージを送信するステップであって、第1の応答メッセージがユーザ機器のセキュ
リティコンテキストを保持する、ステップを含む。
機器のセキュリティコンテキストを送信するステップは、第2のAMFが第1のAMFへ第1の応
答メッセージを送信するステップであって、第1の応答メッセージがユーザ機器のセキュ
リティコンテキストを保持する、ステップを含む。
【0025】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFにユーザ機器のセキュリティコンテキストを返すときに、第2のAMFは、ユーザ機器のセ
キュリティコンテキストを保持する第1の応答メッセージを第1のAMFへ送信できる。
MFにユーザ機器のセキュリティコンテキストを返すときに、第2のAMFは、ユーザ機器のセ
キュリティコンテキストを保持する第1の応答メッセージを第1のAMFへ送信できる。
【0026】
第2の態様に関し、第2の態様のいくつかの実装において、第2のAMFが第2の登録要求メ
ッセージの完全性を検証するステップは、第2のAMFが第1のセキュリティコンテキストに
基づいて第2の登録要求メッセージの完全性を検証するステップを含む。
ッセージの完全性を検証するステップは、第2のAMFが第1のセキュリティコンテキストに
基づいて第2の登録要求メッセージの完全性を検証するステップを含む。
【0027】
第3の態様によると、セキュリティコンテキスト取得方法が提供される。方法は、ユー
ザ機器が第2の登録要求メッセージを決定するステップと、第2の登録要求メッセージに対
して完全性保護を行うステップであって、第2の登録要求メッセージには第1のセキュリテ
ィコンテキストを使用して完全性保護が行われ、第1のセキュリティコンテキストはユー
ザ機器と第2のアクセスおよびモビリティ管理機能AMFとの間のネイティブセキュリティコ
ンテキストである、ステップとを含む。ユーザ機器は第1のアクセスおよびモビリティ管
理機能AMFへ第1の登録要求メッセージを送信し、第1の登録要求メッセージは第2の登録要
求メッセージを保持し、第1のAMFは、4G通信システムから5G通信システムにユーザ機器が
ハンドオーバされた後にユーザ機器のためにアクセスおよびモビリティ管理サービスを提
供するAMFである。
ザ機器が第2の登録要求メッセージを決定するステップと、第2の登録要求メッセージに対
して完全性保護を行うステップであって、第2の登録要求メッセージには第1のセキュリテ
ィコンテキストを使用して完全性保護が行われ、第1のセキュリティコンテキストはユー
ザ機器と第2のアクセスおよびモビリティ管理機能AMFとの間のネイティブセキュリティコ
ンテキストである、ステップとを含む。ユーザ機器は第1のアクセスおよびモビリティ管
理機能AMFへ第1の登録要求メッセージを送信し、第1の登録要求メッセージは第2の登録要
求メッセージを保持し、第1のAMFは、4G通信システムから5G通信システムにユーザ機器が
ハンドオーバされた後にユーザ機器のためにアクセスおよびモビリティ管理サービスを提
供するAMFである。
【0028】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、4G通信
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器および第2のAMFによってユーザ機器のセキュリティコンテキストが保存
される。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第
1のAMFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のA
MFは、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体
的には、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存された
ユーザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッ
セージに対して完全性保護を行い、次いで第2の登録要求メッセージを生成することがで
きる。UEは、第1のAMFへ送信される第1の登録要求メッセージに第2の登録要求メッセージ
を加える。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転送で
き、第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2の登
録要求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュリテ
ィコンテキストを返すことができる。これは、第1のAMFが第2のAMFからユーザ機器のセキ
ュリティコンテキストを成功裏に取得する可能性を高めることができる。
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器および第2のAMFによってユーザ機器のセキュリティコンテキストが保存
される。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第
1のAMFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のA
MFは、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体
的には、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存された
ユーザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッ
セージに対して完全性保護を行い、次いで第2の登録要求メッセージを生成することがで
きる。UEは、第1のAMFへ送信される第1の登録要求メッセージに第2の登録要求メッセージ
を加える。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転送で
き、第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2の登
録要求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュリテ
ィコンテキストを返すことができる。これは、第1のAMFが第2のAMFからユーザ機器のセキ
ュリティコンテキストを成功裏に取得する可能性を高めることができる。
【0029】
第3の態様に関し、第3の態様のいくつかの実装において、方法は、第1のAMFによって送
信される非アクセス層セキュリティモードコマンドNAS SMCメッセージが受信された場合
に、NAS SMCの完全性を検証するステップと、検証が成功した場合に、第1のAMFへ非アク
セス層セキュリティモード完了メッセージを送信するステップとをさらに含む。
信される非アクセス層セキュリティモードコマンドNAS SMCメッセージが受信された場合
に、NAS SMCの完全性を検証するステップと、検証が成功した場合に、第1のAMFへ非アク
セス層セキュリティモード完了メッセージを送信するステップとをさらに含む。
【0030】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、ユーザ
機器は、第1のAMFによって送信されるNAS SMCメッセージを受信して、NAS SMCメッセージ
を成功裏に検証した場合に、第1のAMFへ非アクセス層セキュリティモード完了メッセージ
を送信する。
機器は、第1のAMFによって送信されるNAS SMCメッセージを受信して、NAS SMCメッセージ
を成功裏に検証した場合に、第1のAMFへ非アクセス層セキュリティモード完了メッセージ
を送信する。
【0031】
第4の態様によると、セキュリティコンテキスト取得方法が提供される。方法は、第1の
アクセスおよびモビリティ管理機能AMFがユーザ機器によって送信される第1の登録要求メ
ッセージを受信するステップであって、第1の登録要求メッセージは第2の登録要求メッセ
ージを保持し、第2の登録要求メッセージには第1のセキュリティコンテキストを使用して
完全性保護が行われ、第1のセキュリティコンテキストはユーザ機器と第2のAMFとの間の
ネイティブセキュリティコンテキストであり、第1のAMFは、4G通信システムから5G通信シ
ステムにユーザ機器がハンドオーバされた後にユーザ機器のためにアクセスおよびモビリ
ティ管理サービスを提供するAMFである、ステップを含む。第1のAMFは第2のAMFへ第2の登
録要求メッセージを送信する。第2のAMFが第2の登録要求メッセージの完全性を成功裏に
検証した場合は、第1のAMFが第2のAMFによって送信されるユーザ機器のセキュリティコン
テキストを受信する。
アクセスおよびモビリティ管理機能AMFがユーザ機器によって送信される第1の登録要求メ
ッセージを受信するステップであって、第1の登録要求メッセージは第2の登録要求メッセ
ージを保持し、第2の登録要求メッセージには第1のセキュリティコンテキストを使用して
完全性保護が行われ、第1のセキュリティコンテキストはユーザ機器と第2のAMFとの間の
ネイティブセキュリティコンテキストであり、第1のAMFは、4G通信システムから5G通信シ
ステムにユーザ機器がハンドオーバされた後にユーザ機器のためにアクセスおよびモビリ
ティ管理サービスを提供するAMFである、ステップを含む。第1のAMFは第2のAMFへ第2の登
録要求メッセージを送信する。第2のAMFが第2の登録要求メッセージの完全性を成功裏に
検証した場合は、第1のAMFが第2のAMFによって送信されるユーザ機器のセキュリティコン
テキストを受信する。
【0032】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、4G通信
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器と第2のAMFによってユーザ機器のセキュリティコンテキストが保存され
る。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第1のA
MFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のAMFは
、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体的に
は、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存されたユー
ザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッセー
ジに対して完全性保護を行い、次いで第2の登録要求メッセージを生成することができる
。UEは、第1のAMFへ送信される第1の登録要求メッセージに第2の登録要求メッセージを加
える。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転送でき、
第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2の登録要
求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュリティコ
ンテキストを返すことができる。これは、第1のAMFが第2のAMFからユーザ機器のセキュリ
ティコンテキストを成功裏に取得する可能性を高めることができる。
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器と第2のAMFによってユーザ機器のセキュリティコンテキストが保存され
る。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第1のA
MFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のAMFは
、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体的に
は、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存されたユー
ザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッセー
ジに対して完全性保護を行い、次いで第2の登録要求メッセージを生成することができる
。UEは、第1のAMFへ送信される第1の登録要求メッセージに第2の登録要求メッセージを加
える。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転送でき、
第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2の登録要
求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュリティコ
ンテキストを返すことができる。これは、第1のAMFが第2のAMFからユーザ機器のセキュリ
ティコンテキストを成功裏に取得する可能性を高めることができる。
【0033】
第4の態様に関し、第4の態様のいくつかの実装において、ユーザ機器のセキュリティコ
ンテキストは、第1のセキュリティコンテキスト、または第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストを含む。
ンテキストは、第1のセキュリティコンテキスト、または第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストを含む。
【0034】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、ユーザ
機器のセキュリティコンテキストは、ユーザ機器と第2のAMFとの間のネイティブセキュリ
ティコンテキストであってよい。あるいは、第2のAMFが鍵導出を行って新たな鍵を生成す
る場合は、ユーザ機器のセキュリティコンテキストは、第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストであってよい。
機器のセキュリティコンテキストは、ユーザ機器と第2のAMFとの間のネイティブセキュリ
ティコンテキストであってよい。あるいは、第2のAMFが鍵導出を行って新たな鍵を生成す
る場合は、ユーザ機器のセキュリティコンテキストは、第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストであってよい。
【0035】
第4の態様に関し、第4の態様のいくつかの実装において、第1のAMFが第2のAMFへ第2の
登録要求メッセージを送信するステップは、第1のAMFが第2のAMFへユーザ機器コンテキス
ト転送サービス呼び出し要求を送信するステップであって、ユーザ機器コンテキスト転送
サービス呼び出し要求が第2の登録要求メッセージを保持する、ステップを含む。
登録要求メッセージを送信するステップは、第1のAMFが第2のAMFへユーザ機器コンテキス
ト転送サービス呼び出し要求を送信するステップであって、ユーザ機器コンテキスト転送
サービス呼び出し要求が第2の登録要求メッセージを保持する、ステップを含む。
【0036】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFによって第2のAMFへ送信される第2の登録要求メッセージは、第1のAMFによって第2のAM
Fへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求に含まれてよい。
MFによって第2のAMFへ送信される第2の登録要求メッセージは、第1のAMFによって第2のAM
Fへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求に含まれてよい。
【0037】
第4の態様に関し、第4の態様のいくつかの実装において、第1のAMFが第2のAMFによって
送信されるユーザ機器のセキュリティコンテキストを受信するステップは、第1のAMFが第
2のAMFによって送信される第1の応答メッセージを受信するステップであって、第1の応答
メッセージがユーザ機器のセキュリティコンテキストを保持する、ステップを含む。
送信されるユーザ機器のセキュリティコンテキストを受信するステップは、第1のAMFが第
2のAMFによって送信される第1の応答メッセージを受信するステップであって、第1の応答
メッセージがユーザ機器のセキュリティコンテキストを保持する、ステップを含む。
【0038】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFにユーザ機器のセキュリティコンテキストを返すときに、第2のAMFは、ユーザ機器のセ
キュリティコンテキストを保持する第1の応答メッセージを第1のAMFへ送信できる。
MFにユーザ機器のセキュリティコンテキストを返すときに、第2のAMFは、ユーザ機器のセ
キュリティコンテキストを保持する第1の応答メッセージを第1のAMFへ送信できる。
【0039】
第4の態様に関し、第4の態様のいくつかの実装において、方法は、第2のAMFが第2の登
録要求メッセージの完全性検証に失敗したことを示すメッセージを第1のAMFが受信した場
合に、第1のAMFがマップドセキュリティコンテキストの使用を継続するか、またはユーザ
機器に対して初期認証を開始するステップをさらに含む。
録要求メッセージの完全性検証に失敗したことを示すメッセージを第1のAMFが受信した場
合に、第1のAMFがマップドセキュリティコンテキストの使用を継続するか、またはユーザ
機器に対して初期認証を開始するステップをさらに含む。
【0040】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFは、第2のAMFからユーザ機器のセキュリティコンテキストを取得しそこなう場合に、ユ
ーザ機器とのネゴシエーションを通じて生成されたマップドセキュリティコンテキストの
使用を継続でき、または、第1のAMFとユーザ機器との間のセキュリティコンテキストを生
成するために、ユーザ機器に対して初期認証を開始できる。
MFは、第2のAMFからユーザ機器のセキュリティコンテキストを取得しそこなう場合に、ユ
ーザ機器とのネゴシエーションを通じて生成されたマップドセキュリティコンテキストの
使用を継続でき、または、第1のAMFとユーザ機器との間のセキュリティコンテキストを生
成するために、ユーザ機器に対して初期認証を開始できる。
【0041】
第4の態様に関し、第4の態様のいくつかの実装において、マップドセキュリティコンテ
キストは、モビリティ管理エンティティMMEとユーザ機器との間のセキュリティコンテキ
ストに基づいて得られ、MMEは4G通信システム内のネットワークエレメントである。
キストは、モビリティ管理エンティティMMEとユーザ機器との間のセキュリティコンテキ
ストに基づいて得られ、MMEは4G通信システム内のネットワークエレメントである。
【0042】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法において、マップ
ドセキュリティコンテキストは、ユーザ機器とMMEとの間のセキュリティコンテキストに
基づく導出によってユーザ機器と第1のAMFとによって別々に生成されるセキュリティコン
テキストである。
ドセキュリティコンテキストは、ユーザ機器とMMEとの間のセキュリティコンテキストに
基づく導出によってユーザ機器と第1のAMFとによって別々に生成されるセキュリティコン
テキストである。
【0043】
第5の態様によると、セキュリティコンテキスト取得方法が提供される。方法は、第1の
アクセスおよびモビリティ管理機能AMFが第2のAMFへユーザ機器コンテキスト転送サービ
ス呼び出し要求を送信するステップであって、ユーザ機器コンテキスト転送サービス呼び
出し要求がユーザ機器のセキュリティコンテキストを取得するために使用され、ユーザ機
器コンテキスト転送サービス呼び出し要求が指示情報を保持し、指示情報が、ユーザ機器
が検証済みであることを示すために使用され、第1のAMFが、4G通信システムから5G通信シ
ステムにユーザ機器がハンドオーバされた後にユーザ機器のためにアクセスおよびモビリ
ティ管理サービスを提供するAMFである、ステップを含む。第1のAMFは第2のAMFによって
送信される第2の応答メッセージを受信し、第2の応答メッセージはユーザ機器のセキュリ
ティコンテキストを保持する。
アクセスおよびモビリティ管理機能AMFが第2のAMFへユーザ機器コンテキスト転送サービ
ス呼び出し要求を送信するステップであって、ユーザ機器コンテキスト転送サービス呼び
出し要求がユーザ機器のセキュリティコンテキストを取得するために使用され、ユーザ機
器コンテキスト転送サービス呼び出し要求が指示情報を保持し、指示情報が、ユーザ機器
が検証済みであることを示すために使用され、第1のAMFが、4G通信システムから5G通信シ
ステムにユーザ機器がハンドオーバされた後にユーザ機器のためにアクセスおよびモビリ
ティ管理サービスを提供するAMFである、ステップを含む。第1のAMFは第2のAMFによって
送信される第2の応答メッセージを受信し、第2の応答メッセージはユーザ機器のセキュリ
ティコンテキストを保持する。
【0044】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFによって第2のAMFへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求は、
UEが検証済みであることを示す指示情報を保持する。これは、第2のAMFがUEの検証に失敗
して、第1のAMFへUEのセキュリティコンテキストを送信しない状況を回避し、第1のAMFが
第2のAMFからユーザ機器のセキュリティコンテキストを成功裏に取得する可能性を高める
ことができる。
MFによって第2のAMFへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求は、
UEが検証済みであることを示す指示情報を保持する。これは、第2のAMFがUEの検証に失敗
して、第1のAMFへUEのセキュリティコンテキストを送信しない状況を回避し、第1のAMFが
第2のAMFからユーザ機器のセキュリティコンテキストを成功裏に取得する可能性を高める
ことができる。
【0045】
第5の態様に関し、第5の態様のいくつかの実装において、指示情報が、ユーザ機器が検
証済みであることを示すために使用されることは、指示情報が、登録要求メッセージの完
全性が成功裏に検証されたことを示すために使用されることを含み、登録要求メッセージ
はユーザ機器から第1のAMFによって受信される。
証済みであることを示すために使用されることは、指示情報が、登録要求メッセージの完
全性が成功裏に検証されたことを示すために使用されることを含み、登録要求メッセージ
はユーザ機器から第1のAMFによって受信される。
【0046】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFによって第2のAMFへ送信され、UEが検証済みであることを示す、指示情報は、UEによっ
て送信される登録要求メッセージの完全性が成功裏に検証されたことを第2のAMFに知らせ
るために第1のAMFによって使用されてよい。これは、UEが検証済みであることを示すため
の柔軟で任意のソリューションを提供する。
MFによって第2のAMFへ送信され、UEが検証済みであることを示す、指示情報は、UEによっ
て送信される登録要求メッセージの完全性が成功裏に検証されたことを第2のAMFに知らせ
るために第1のAMFによって使用されてよい。これは、UEが検証済みであることを示すため
の柔軟で任意のソリューションを提供する。
【0047】
第5の態様に関し、第5の態様のいくつかの実装において、第1のAMFが第2のAMFへユーザ
機器コンテキスト転送サービス呼び出し要求を送信する前に、方法は、第1のAMFが登録要
求メッセージの完全性保護を成功裏に検証するステップであって、登録要求メッセージが
ユーザ機器から第1のAMFによって受信される、ステップ、および/または、登録要求メッ
セージが、ユーザ機器が4G通信システムから5G通信システムにハンドオーバされた後にユ
ーザ機器によって送信された登録要求メッセージであると第1のAMFが判定するステップを
含む。
機器コンテキスト転送サービス呼び出し要求を送信する前に、方法は、第1のAMFが登録要
求メッセージの完全性保護を成功裏に検証するステップであって、登録要求メッセージが
ユーザ機器から第1のAMFによって受信される、ステップ、および/または、登録要求メッ
セージが、ユーザ機器が4G通信システムから5G通信システムにハンドオーバされた後にユ
ーザ機器によって送信された登録要求メッセージであると第1のAMFが判定するステップを
含む。
【0048】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFは、登録要求メッセージが成功裏に検証されたことを示す結果に基づいて、および/ま
たは、受信された登録要求メッセージが、ユーザ機器が4G通信システムから5G通信システ
ムにハンドオーバされた後にユーザ機器によって送信された登録要求メッセージであると
いうことに基づいて、第2のAMFへユーザ機器コンテキスト転送サービス呼び出し要求が送
信されてよいと判定する。
MFは、登録要求メッセージが成功裏に検証されたことを示す結果に基づいて、および/ま
たは、受信された登録要求メッセージが、ユーザ機器が4G通信システムから5G通信システ
ムにハンドオーバされた後にユーザ機器によって送信された登録要求メッセージであると
いうことに基づいて、第2のAMFへユーザ機器コンテキスト転送サービス呼び出し要求が送
信されてよいと判定する。
【0049】
第5の態様に関し、第5の態様のいくつかの実装において、ユーザ機器コンテキスト転送
サービス呼び出し要求はユーザ機器のIDを保持する。
サービス呼び出し要求はユーザ機器のIDを保持する。
【0050】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFがユーザ機器のセキュリティコンテキストを取得する必要があることを第2のAMFが知る
ことを可能にするため、第1のAMFは、コンテキスト転送サービス呼び出し要求にユーザ機
器のIDを加える。
MFがユーザ機器のセキュリティコンテキストを取得する必要があることを第2のAMFが知る
ことを可能にするため、第1のAMFは、コンテキスト転送サービス呼び出し要求にユーザ機
器のIDを加える。
【0051】
第5の態様に関し、第5の態様のいくつかの実装において、ユーザ機器コンテキスト転送
サービス呼び出し要求は、ユーザ機器のアップリンク非アクセス層カウントUL NAS COUNT
を保持する。
サービス呼び出し要求は、ユーザ機器のアップリンク非アクセス層カウントUL NAS COUNT
を保持する。
【0052】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第2のA
MFがUL NAS COUNTを知ることを可能にするため、第1のAMFは、コンテキスト転送サービス
呼び出し要求にUL NAS COUNTを加えることができる。
MFがUL NAS COUNTを知ることを可能にするため、第1のAMFは、コンテキスト転送サービス
呼び出し要求にUL NAS COUNTを加えることができる。
【0053】
第5の態様に関し、第5の態様のいくつかの実装において、ユーザ機器コンテキスト転送
サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機器コンテキスト転送サ
ービス呼び出し要求がプレーンテキスト登録要求メッセージを保持することを含み、プレ
ーンテキスト登録要求メッセージはUL NAS COUNTを含み、登録要求メッセージはユーザ機
器から第1のAMFによって受信される。
サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機器コンテキスト転送サ
ービス呼び出し要求がプレーンテキスト登録要求メッセージを保持することを含み、プレ
ーンテキスト登録要求メッセージはUL NAS COUNTを含み、登録要求メッセージはユーザ機
器から第1のAMFによって受信される。
【0054】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、ユーザ
機器コンテキスト転送サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機
器コンテキスト転送サービス呼び出し要求でプレーンテキスト登録要求メッセージを保持
することによって実現されてよく、プレーンテキスト登録要求メッセージはUL NAS COUNT
を含む。これは、第1のAMFが第2のAMFへUL NAS COUNTを送信するための柔軟で任意のソリ
ューションを提供する。
機器コンテキスト転送サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機
器コンテキスト転送サービス呼び出し要求でプレーンテキスト登録要求メッセージを保持
することによって実現されてよく、プレーンテキスト登録要求メッセージはUL NAS COUNT
を含む。これは、第1のAMFが第2のAMFへUL NAS COUNTを送信するための柔軟で任意のソリ
ューションを提供する。
【0055】
第6の態様によると、セキュリティコンテキスト取得方法が提供される。方法は、第2の
アクセスおよびモビリティ管理機能AMFが第1のAMFによって送信されるユーザ機器コンテ
キスト転送サービス呼び出し要求を受信するステップであって、ユーザ機器コンテキスト
転送サービス呼び出し要求がユーザ機器のセキュリティコンテキストを取得するために使
用され、ユーザ機器コンテキスト転送サービス呼び出し要求が指示情報を保持し、指示情
報が、ユーザ機器が検証済みであることを示すために使用され、第1のAMFが、4G通信シス
テムから5G通信システムにユーザ機器がハンドオーバされた後にユーザ機器のためにアク
セスおよびモビリティ管理サービスを提供するAMFである、ステップを含む。第2のAMFは
第1のAMFへ第2の応答メッセージを送信し、第2の応答メッセージはユーザ機器のセキュリ
ティコンテキストを保持する。
アクセスおよびモビリティ管理機能AMFが第1のAMFによって送信されるユーザ機器コンテ
キスト転送サービス呼び出し要求を受信するステップであって、ユーザ機器コンテキスト
転送サービス呼び出し要求がユーザ機器のセキュリティコンテキストを取得するために使
用され、ユーザ機器コンテキスト転送サービス呼び出し要求が指示情報を保持し、指示情
報が、ユーザ機器が検証済みであることを示すために使用され、第1のAMFが、4G通信シス
テムから5G通信システムにユーザ機器がハンドオーバされた後にユーザ機器のためにアク
セスおよびモビリティ管理サービスを提供するAMFである、ステップを含む。第2のAMFは
第1のAMFへ第2の応答メッセージを送信し、第2の応答メッセージはユーザ機器のセキュリ
ティコンテキストを保持する。
【0056】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFによって送信されて第2のAMFによって受信されるユーザ機器コンテキスト転送サービス
呼び出し要求は、UEが検証済みであることを示す指示情報を保持する。指示情報に基づき
、第2のAMFはUEを検証する必要がない。これは、第2のAMFがUEの検証に失敗して、第1のA
MFへUEのセキュリティコンテキストを送信しない状況を回避し、第1のAMFが第2のAMFから
ユーザ機器のセキュリティコンテキストを成功裏に取得する可能性を高めることができる
。
MFによって送信されて第2のAMFによって受信されるユーザ機器コンテキスト転送サービス
呼び出し要求は、UEが検証済みであることを示す指示情報を保持する。指示情報に基づき
、第2のAMFはUEを検証する必要がない。これは、第2のAMFがUEの検証に失敗して、第1のA
MFへUEのセキュリティコンテキストを送信しない状況を回避し、第1のAMFが第2のAMFから
ユーザ機器のセキュリティコンテキストを成功裏に取得する可能性を高めることができる
。
【0057】
第6の態様に関し、第6の態様のいくつかの実装において、指示情報が、ユーザ機器が検
証済みであることを示すために使用されることは、指示情報が、登録要求メッセージの完
全性が成功裏に検証されたことを示すために使用されることを含み、登録要求メッセージ
はユーザ機器から第1のAMFによって受信される。
証済みであることを示すために使用されることは、指示情報が、登録要求メッセージの完
全性が成功裏に検証されたことを示すために使用されることを含み、登録要求メッセージ
はユーザ機器から第1のAMFによって受信される。
【0058】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第1のA
MFによって送信されて第2のAMFによって受信される、UEが検証済みであることを示す指示
情報は、UEによって送信された登録要求メッセージの完全性が成功裏に検証されたことを
第2のAMFに知らせるために第1のAMFによって使用されてよい。これは、UEが検証済みであ
ることを示すための柔軟で任意のソリューションを提供する。
MFによって送信されて第2のAMFによって受信される、UEが検証済みであることを示す指示
情報は、UEによって送信された登録要求メッセージの完全性が成功裏に検証されたことを
第2のAMFに知らせるために第1のAMFによって使用されてよい。これは、UEが検証済みであ
ることを示すための柔軟で任意のソリューションを提供する。
【0059】
第6の態様に関し、第6の態様のいくつかの実装において、ユーザ機器コンテキスト転送
サービス呼び出し要求はユーザ機器のIDを保持する。
サービス呼び出し要求はユーザ機器のIDを保持する。
【0060】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第2のA
MFは、コンテキスト転送サービス呼び出し要求に含まれたユーザ機器のIDに基づいて、第
1のAMFがユーザ機器のセキュリティコンテキストを取得する必要があると判定し得る。
MFは、コンテキスト転送サービス呼び出し要求に含まれたユーザ機器のIDに基づいて、第
1のAMFがユーザ機器のセキュリティコンテキストを取得する必要があると判定し得る。
【0061】
第6の態様に関し、第6の態様のいくつかの実装において、ユーザ機器コンテキスト転送
サービス呼び出し要求は、ユーザ機器のアップリンク非アクセス層カウントUL NAS COUNT
を保持する。
サービス呼び出し要求は、ユーザ機器のアップリンク非アクセス層カウントUL NAS COUNT
を保持する。
【0062】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第2のA
MFは、コンテキスト転送サービス呼び出し要求に含まれたUL NAS COUNTに基づいてUL NAS
COUNTを知ることができる。
MFは、コンテキスト転送サービス呼び出し要求に含まれたUL NAS COUNTに基づいてUL NAS
COUNTを知ることができる。
【0063】
第6の態様に関し、第6の態様のいくつかの実装において、ユーザ機器コンテキスト転送
サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機器コンテキスト転送サ
ービス呼び出し要求がプレーンテキスト登録要求メッセージを保持することを含み、プレ
ーンテキスト登録要求メッセージはUL NAS COUNTを含み、登録要求メッセージはユーザ機
器から第1のAMFによって受信される。
サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機器コンテキスト転送サ
ービス呼び出し要求がプレーンテキスト登録要求メッセージを保持することを含み、プレ
ーンテキスト登録要求メッセージはUL NAS COUNTを含み、登録要求メッセージはユーザ機
器から第1のAMFによって受信される。
【0064】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、ユーザ
機器コンテキスト転送サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機
器コンテキスト転送サービス呼び出し要求でプレーンテキスト登録要求メッセージを保持
することによって実現されてよく、プレーンテキスト登録要求メッセージはUL NAS COUNT
を含む。これは、第1のAMFが第2のAMFへUL NAS COUNTを送信するための柔軟で任意のソリ
ューションを提供する。
機器コンテキスト転送サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機
器コンテキスト転送サービス呼び出し要求でプレーンテキスト登録要求メッセージを保持
することによって実現されてよく、プレーンテキスト登録要求メッセージはUL NAS COUNT
を含む。これは、第1のAMFが第2のAMFへUL NAS COUNTを送信するための柔軟で任意のソリ
ューションを提供する。
【0065】
第6の態様に関し、第6の態様のいくつかの実装において、方法は、第2のAMFがUL NAS C
OUNTに基づいて鍵導出を行うステップをさらに含む。
OUNTに基づいて鍵導出を行うステップをさらに含む。
【0066】
本出願の本実施形態で提供されるセキュリティコンテキスト取得方法によると、第2のA
MFは、受信したUL NAS COUNTに基づいて鍵導出を行うことができる。
MFは、受信したUL NAS COUNTに基づいて鍵導出を行うことができる。
【0067】
第7の態様によると、通信システムが提供される。通信システムは、第1の態様、または
第1の態様の可能な実装のいずれか1つで第1のAMFおよび第2のAMFによって実行される動作
を実行するように構成されてよい第1のAMFおよび第2のAMFを含む。具体的には、通信装置
は、第1の態様、または第1の態様の可能な実装のいずれか1つに記載されているステップ
または機能を実行するように構成された対応するコンポーネント(手段)を含んでよく、
コンポーネントは、第1の態様の第1のAMFおよび第2のAMFであってよく、または第1の態様
の第1のAMFおよび第2のAMF内のチップもしくは機能モジュールであってもよい。ステップ
または機能は、ソフトウェア、ハードウェア、またはハードウェアおよびソフトウェアの
組み合わせによって実施されてよい。
第1の態様の可能な実装のいずれか1つで第1のAMFおよび第2のAMFによって実行される動作
を実行するように構成されてよい第1のAMFおよび第2のAMFを含む。具体的には、通信装置
は、第1の態様、または第1の態様の可能な実装のいずれか1つに記載されているステップ
または機能を実行するように構成された対応するコンポーネント(手段)を含んでよく、
コンポーネントは、第1の態様の第1のAMFおよび第2のAMFであってよく、または第1の態様
の第1のAMFおよび第2のAMF内のチップもしくは機能モジュールであってもよい。ステップ
または機能は、ソフトウェア、ハードウェア、またはハードウェアおよびソフトウェアの
組み合わせによって実施されてよい。
【0068】
第8の態様によると、セキュリティコンテキスト取得装置が提供される。装置は、第5の
態様、第4の態様、第5の態様の可能な実装、または第4の態様の可能な実装のいずれか1つ
で第1のAMFによって実行される動作を実行するように構成されてよい。具体的には、セキ
ュリティコンテキスト取得装置は、第5の態様、第4の態様、第1の態様の可能な実装、ま
たは第4の態様の可能な実装のいずれか1つに記載されているステップまたは機能を実行す
るように構成された対応するコンポーネント(手段)を含んでよく、コンポーネントは、
第4および第5の態様の第1のAMFであってよく、または第4および第5の態様の第1のAMF内の
チップもしくは機能モジュールであってもよい。ステップまたは機能は、ソフトウェア、
ハードウェア、またはハードウェアおよびソフトウェアの組み合わせによって実施されて
よい。
態様、第4の態様、第5の態様の可能な実装、または第4の態様の可能な実装のいずれか1つ
で第1のAMFによって実行される動作を実行するように構成されてよい。具体的には、セキ
ュリティコンテキスト取得装置は、第5の態様、第4の態様、第1の態様の可能な実装、ま
たは第4の態様の可能な実装のいずれか1つに記載されているステップまたは機能を実行す
るように構成された対応するコンポーネント(手段)を含んでよく、コンポーネントは、
第4および第5の態様の第1のAMFであってよく、または第4および第5の態様の第1のAMF内の
チップもしくは機能モジュールであってもよい。ステップまたは機能は、ソフトウェア、
ハードウェア、またはハードウェアおよびソフトウェアの組み合わせによって実施されて
よい。
【0069】
第9の態様によると、セキュリティコンテキスト取得装置が提供される。装置は、第2の
態様、第6の態様、第2の態様の可能な実装、または第6の態様の可能な実装のいずれか1つ
で第2のAMFによって実行される動作を実行するように構成されてよい。具体的には、セキ
ュリティコンテキスト取得装置は、第2の態様、第6の態様、第2の態様の可能な実装、ま
たは第6の態様の可能な実装のいずれか1つに記載されているステップまたは機能を実行す
るように構成された対応するコンポーネント(手段)を含んでよく、コンポーネントは、
第2および第6の態様の第2のAMFであってよく、または第2および第6の態様の第2のAMF内の
チップもしくは機能モジュールであってもよい。ステップまたは機能は、ソフトウェア、
ハードウェア、またはハードウェアおよびソフトウェアの組み合わせによって実施されて
よい。
態様、第6の態様、第2の態様の可能な実装、または第6の態様の可能な実装のいずれか1つ
で第2のAMFによって実行される動作を実行するように構成されてよい。具体的には、セキ
ュリティコンテキスト取得装置は、第2の態様、第6の態様、第2の態様の可能な実装、ま
たは第6の態様の可能な実装のいずれか1つに記載されているステップまたは機能を実行す
るように構成された対応するコンポーネント(手段)を含んでよく、コンポーネントは、
第2および第6の態様の第2のAMFであってよく、または第2および第6の態様の第2のAMF内の
チップもしくは機能モジュールであってもよい。ステップまたは機能は、ソフトウェア、
ハードウェア、またはハードウェアおよびソフトウェアの組み合わせによって実施されて
よい。
【0070】
第10の態様によると、セキュリティコンテキスト取得装置が提供される。装置は、第3
の態様でユーザ機器によって実行される動作を実行するように構成されてよい。具体的に
は、セキュリティコンテキスト取得装置は、第3の態様に記載されているステップまたは
機能を実行するように構成された対応するコンポーネント(手段)を含んでよく、コンポ
ーネントは、第3の態様のユーザ機器であってよく、または第3の態様のユーザ機器内のチ
ップもしくは機能モジュールであってもよい。ステップまたは機能は、ソフトウェア、ハ
ードウェア、またはハードウェアおよびソフトウェアの組み合わせによって実施されてよ
い。
の態様でユーザ機器によって実行される動作を実行するように構成されてよい。具体的に
は、セキュリティコンテキスト取得装置は、第3の態様に記載されているステップまたは
機能を実行するように構成された対応するコンポーネント(手段)を含んでよく、コンポ
ーネントは、第3の態様のユーザ機器であってよく、または第3の態様のユーザ機器内のチ
ップもしくは機能モジュールであってもよい。ステップまたは機能は、ソフトウェア、ハ
ードウェア、またはハードウェアおよびソフトウェアの組み合わせによって実施されてよ
い。
【0071】
第11の態様によると、プロセッサと、トランシーバと、メモリとを含む通信デバイスが
提供される。メモリは、コンピュータプログラムを記憶するように構成される。トランシ
ーバは、第1から第5の態様のいずれかの可能な実装のセキュリティコンテキスト取得装置
方法で送受信ステップを実行するように構成される。プロセッサは、通信デバイスが第1
から第6の態様のいずれかの可能な実装でセキュリティコンテキスト取得装置方法を実行
できるようにするために、メモリからコンピュータプログラムを呼び出し、なおかつコン
ピュータプログラムを実行するように構成される。
提供される。メモリは、コンピュータプログラムを記憶するように構成される。トランシ
ーバは、第1から第5の態様のいずれかの可能な実装のセキュリティコンテキスト取得装置
方法で送受信ステップを実行するように構成される。プロセッサは、通信デバイスが第1
から第6の態様のいずれかの可能な実装でセキュリティコンテキスト取得装置方法を実行
できるようにするために、メモリからコンピュータプログラムを呼び出し、なおかつコン
ピュータプログラムを実行するように構成される。
【0072】
任意選択として、1つ以上のプロセッサと1つ以上のメモリがある。
【0073】
任意選択として、メモリはプロセッサと一体化されてよく、またはメモリとプロセッサ
は別々に配置されてもよい。
は別々に配置されてもよい。
【0074】
任意選択として、トランシーバは、送信機(transmitter)と受信機(receiver)とを
含む。
含む。
【0075】
第12の態様によると、システムが提供される。システムは、第8の態様および第9の態様
で提供されるセキュリティコンテキスト取得装置を含む。
で提供されるセキュリティコンテキスト取得装置を含む。
【0076】
第13の態様によると、コンピュータプログラム製品が提供される。コンピュータプログ
ラム製品はコンピュータプログラム(コードまたは命令と呼ばれることもある)を含む。
コンピュータプログラムが実行されると、コンピュータは、第1から第6の態様のいずれか
の可能な実装の方法を実行可能となる。
ラム製品はコンピュータプログラム(コードまたは命令と呼ばれることもある)を含む。
コンピュータプログラムが実行されると、コンピュータは、第1から第6の態様のいずれか
の可能な実装の方法を実行可能となる。
【0077】
第14の態様によると、コンピュータ可読媒体が提供される。コンピュータ可読媒体はコ
ンピュータプログラム(コードまたは命令と呼ばれることもある)を記憶する。コンピュ
ータプログラムがコンピュータ上で実行されると、コンピュータは、第1から第6の態様の
いずれかの可能な実装の方法を実行可能となる。
ンピュータプログラム(コードまたは命令と呼ばれることもある)を記憶する。コンピュ
ータプログラムがコンピュータ上で実行されると、コンピュータは、第1から第6の態様の
いずれかの可能な実装の方法を実行可能となる。
【0078】
第15の態様によると、メモリとプロセッサとを含むチップシステムが提供される。メモ
リは、コンピュータプログラムを記憶するように構成される。プロセッサは、メモリから
コンピュータプログラムを呼び出してコンピュータプログラムを実行するように構成され
、これにより、チップシステムが取り付けられた通信デバイスは、第1から第6の態様のい
ずれかの可能な実装の方法を実行する。
リは、コンピュータプログラムを記憶するように構成される。プロセッサは、メモリから
コンピュータプログラムを呼び出してコンピュータプログラムを実行するように構成され
、これにより、チップシステムが取り付けられた通信デバイスは、第1から第6の態様のい
ずれかの可能な実装の方法を実行する。
【図面の簡単な説明】
【0079】
【図1】本出願の実施形態に適用可能なネットワークアーキテクチャである。
【図2】通信システム間のハンドオーバの概略フローチャートである。
【図3】本出願の一実施形態によるセキュリティコンテキスト取得方法の概略図である。
【図4】本出願の一実施形態による別のセキュリティコンテキスト取得方法の概略図である。
【図5】本出願の一実施形態によるセキュリティコンテキスト取得装置50の概略図である。
【図6】本出願の一実施形態によるユーザ機器60の概略構成図である。
【図7】本出願の一実施形態によるセキュリティコンテキスト取得装置70の概略図である。
【図8】本出願の一実施形態による第1のAMF 80の概略構成図である。
【図9】本出願の一実施形態によるセキュリティコンテキスト取得装置90の概略図である。
【図10】本出願の一実施形態による第2のAMF 100の概略構成図である。
【発明を実施するための形態】
【0080】
以下、添付の図面を参照しながら本出願の技術的なソリューションを説明する。
【0081】
本出願の実施形態の技術的なソリューションは、グローバル・システム・フォー・モバ
イル・コミュニケーションズ(global system for mobile communications、GSM)、符号
分割多元接続(code division multiple access、CDMA)システム、広帯域符号分割多元
接続(wideband code division multiple access、WCDMA(登録商標))システム、汎用
パケット無線サービス(general packet radio service、GPRS)システム、ロングターム
エボリューション(long term evolution、LTE)システム、LTE周波数分割二重(frequen
cy division duplex、FDD)システム、LTE時分割二重(time division duplex、TDD)シ
ステム、ユニバーサル・モバイル・テレコミュニケーションズ・システム(universal mo
bile telecommunication system、UMTS)、ワールドワイド・インターオペラビリティ・
フォー・マイクロウェーブ・アクセス(worldwide interoperability for microwave acc
ess、WiMAX)通信システム、将来の第5世代(5th generation、5G)システム、またはニ
ューラジオ(new radio、NR)システムなどの様々な通信システムに適用され得る。
イル・コミュニケーションズ(global system for mobile communications、GSM)、符号
分割多元接続(code division multiple access、CDMA)システム、広帯域符号分割多元
接続(wideband code division multiple access、WCDMA(登録商標))システム、汎用
パケット無線サービス(general packet radio service、GPRS)システム、ロングターム
エボリューション(long term evolution、LTE)システム、LTE周波数分割二重(frequen
cy division duplex、FDD)システム、LTE時分割二重(time division duplex、TDD)シ
ステム、ユニバーサル・モバイル・テレコミュニケーションズ・システム(universal mo
bile telecommunication system、UMTS)、ワールドワイド・インターオペラビリティ・
フォー・マイクロウェーブ・アクセス(worldwide interoperability for microwave acc
ess、WiMAX)通信システム、将来の第5世代(5th generation、5G)システム、またはニ
ューラジオ(new radio、NR)システムなどの様々な通信システムに適用され得る。
【0082】
【0083】
1.ユーザ機器(user equipment、UE)110は、様々な手持ち型デバイス、車載デバイス
、ウェアラブルデバイス、および無線通信機能を有する計算デバイス、または無線モデム
に接続された他の処理デバイス、ならびに様々な形態の端末、モバイルステーション(mo
bile station、MS)、端末(terminal)、ソフトクライアントなどを含み得る。例えば、
ユーザ機器110は、水道メーター、電気メーター、またはセンサーであってよい。
、ウェアラブルデバイス、および無線通信機能を有する計算デバイス、または無線モデム
に接続された他の処理デバイス、ならびに様々な形態の端末、モバイルステーション(mo
bile station、MS)、端末(terminal)、ソフトクライアントなどを含み得る。例えば、
ユーザ機器110は、水道メーター、電気メーター、またはセンサーであってよい。
【0084】
2.(無線)アクセスネットワーク(radio access network、(R)AN)エレメント120
は、特定のエリア内で認可されたユーザ機器のためにネットワークアクセス機能を提供す
るように構成され、ユーザ機器のレベル、サービス要件などに基づいて質の異なる伝送ト
ンネルを使用できる。
は、特定のエリア内で認可されたユーザ機器のためにネットワークアクセス機能を提供す
るように構成され、ユーザ機器のレベル、サービス要件などに基づいて質の異なる伝送ト
ンネルを使用できる。
【0085】
(R)ANエレメントは無線リソースを管理でき、ユーザ機器とコアネットワークとの間
で制御信号やユーザ機器データを転送するため、ユーザ機器のためにアクセスサービスを
提供できる。(R)ANエレメントはまた、従来のネットワークにおける基地局として理解
され得る。
で制御信号やユーザ機器データを転送するため、ユーザ機器のためにアクセスサービスを
提供できる。(R)ANエレメントはまた、従来のネットワークにおける基地局として理解
され得る。
【0086】
3.ユーザプレーンネットワークエレメント130は、パケットのルーティングおよび転送
、ならびにユーザプレーンデータのサービス品質(quality of service、QoS)処理など
に使用される。
、ならびにユーザプレーンデータのサービス品質(quality of service、QoS)処理など
に使用される。
【0087】
5G通信システムでは、ユーザプレーンネットワークエレメントはユーザプレーン機能(
user plane function、UPF)ネットワークエレメントであってもよい。将来の通信システ
ムでは、ユーザプレーンネットワークエレメントは引き続きUPFネットワークエレメント
である可能性があり、または別の名称を持つ可能性もある。これは本出願では限定されな
い。
user plane function、UPF)ネットワークエレメントであってもよい。将来の通信システ
ムでは、ユーザプレーンネットワークエレメントは引き続きUPFネットワークエレメント
である可能性があり、または別の名称を持つ可能性もある。これは本出願では限定されな
い。
【0088】
4.データネットワークエレメント140は、データ伝送のためのネットワークを提供する
ように構成される。
ように構成される。
【0089】
5G通信システムでは、データネットワークエレメントはデータネットワーク(data net
work、DN)エレメントであってもよい。将来の通信システムでは、データネットワークエ
レメントは引き続きDNエレメントである可能性があり、または別の名称を持つ可能性もあ
る。これは本出願では限定されない。
work、DN)エレメントであってもよい。将来の通信システムでは、データネットワークエ
レメントは引き続きDNエレメントである可能性があり、または別の名称を持つ可能性もあ
る。これは本出願では限定されない。
【0090】
5.アクセスおよびモビリティ管理ネットワークエレメント150は、主に、モビリティ管
理またはアクセス管理などを行うように構成される。アクセスおよびモビリティ管理ネッ
トワークエレメント150は、機能を、例えば、セッション管理以外のモビリティ管理エン
ティティ(mobility management entity、MME)機能で合法的な傍受やアクセス認可/認
証を、実施するように構成されてよい。
理またはアクセス管理などを行うように構成される。アクセスおよびモビリティ管理ネッ
トワークエレメント150は、機能を、例えば、セッション管理以外のモビリティ管理エン
ティティ(mobility management entity、MME)機能で合法的な傍受やアクセス認可/認
証を、実施するように構成されてよい。
【0091】
5G通信システムでは、アクセスおよびモビリティ管理ネットワークエレメントはアクセ
スおよびモビリティ管理機能(access and mobility management function、AMF)であっ
てもよい。将来の通信システムでは、アクセスおよびモビリティ管理デバイスは引き続き
AMFである可能性があり、または別の名称を持つ可能性もある。これは本出願では限定さ
れない。
スおよびモビリティ管理機能(access and mobility management function、AMF)であっ
てもよい。将来の通信システムでは、アクセスおよびモビリティ管理デバイスは引き続き
AMFである可能性があり、または別の名称を持つ可能性もある。これは本出願では限定さ
れない。
【0092】
6.セッション管理ネットワークエレメント160は、主に、セッションを管理し、ユーザ
機器のインターネットプロトコル(internet protocol、IP)アドレスを割り当てて管理
し、ユーザプレーン機能インターフェイスとポリシーコントロールおよび課金機能インタ
ーフェイスとを管理できるエンドポイントを選択し、ダウンリンクデータを通知すること
などを行うように構成される。
機器のインターネットプロトコル(internet protocol、IP)アドレスを割り当てて管理
し、ユーザプレーン機能インターフェイスとポリシーコントロールおよび課金機能インタ
ーフェイスとを管理できるエンドポイントを選択し、ダウンリンクデータを通知すること
などを行うように構成される。
【0093】
5G通信システムでは、セッション管理ネットワークエレメントはセッション管理機能(
session management function、SMF)ネットワークエレメントであってもよい。将来の通
信システムでは、セッション管理ネットワークエレメントは引き続きSMFネットワークエ
レメントである可能性があり、または別の名称を持つ可能性もある。これは本出願では限
定されない。
session management function、SMF)ネットワークエレメントであってもよい。将来の通
信システムでは、セッション管理ネットワークエレメントは引き続きSMFネットワークエ
レメントである可能性があり、または別の名称を持つ可能性もある。これは本出願では限
定されない。
【0094】
7.ポリシーコントロールネットワークエレメント170は、ネットワーク挙動の統一ポリ
シー機構を案内し、コントロールプレーン機能ネットワークエレメント(AMFまたはSMFネ
ットワークエレメントなど)のためにポリシールール情報を提供することなどを行うよう
に構成される。
シー機構を案内し、コントロールプレーン機能ネットワークエレメント(AMFまたはSMFネ
ットワークエレメントなど)のためにポリシールール情報を提供することなどを行うよう
に構成される。
【0095】
4G通信システムでは、ポリシーコントロールネットワークエレメントはポリシーおよび
課金ルール機能(policy and charging rules function、PCRF)ネットワークエレメント
であってもよい。5G通信システムでは、ポリシーコントロールネットワークエレメントは
ポリシーコントロール機能(policy control function、PCF)ネットワークエレメントで
あってもよい。将来の通信システムでは、ポリシーコントロールネットワークエレメント
は引き続きPCFネットワークエレメントである可能性があり、または別の名称を持つ可能
性もある。これは本出願では限定されない。
課金ルール機能(policy and charging rules function、PCRF)ネットワークエレメント
であってもよい。5G通信システムでは、ポリシーコントロールネットワークエレメントは
ポリシーコントロール機能(policy control function、PCF)ネットワークエレメントで
あってもよい。将来の通信システムでは、ポリシーコントロールネットワークエレメント
は引き続きPCFネットワークエレメントである可能性があり、または別の名称を持つ可能
性もある。これは本出願では限定されない。
【0096】
8.認証サーバ180は、サービスを認証し、ユーザ機器の双方向認証を実施するための鍵
を生成し、統一認証機構をサポートするように構成される。
を生成し、統一認証機構をサポートするように構成される。
【0097】
5G通信システムでは、認証サーバは認証サーバ機能(authentication server function
、AUSF)ネットワークエレメントであってもよい。将来の通信システムでは、認証サーバ
機能ネットワークエレメントは引き続きAUSFネットワークエレメントである可能性があり
、または別の名称を持つ可能性もある。これは本出願では限定されない。
、AUSF)ネットワークエレメントであってもよい。将来の通信システムでは、認証サーバ
機能ネットワークエレメントは引き続きAUSFネットワークエレメントである可能性があり
、または別の名称を持つ可能性もある。これは本出願では限定されない。
【0098】
9.データ管理ネットワークエレメント190は、ユーザ機器の識別情報を処理し、アクセ
ス認証、登録、およびモビリティ管理などを行うように構成される。
ス認証、登録、およびモビリティ管理などを行うように構成される。
【0099】
5G通信システムでは、データ管理ネットワークエレメントは統一データ管理(unified
data management、UDM)ネットワークエレメントであってもよい。4G通信システムでは、
データ管理ネットワークエレメントはホームサブスクライバサーバ(home subscriber se
rver、HSS)ネットワークエレメントであってもよい。将来の通信システムでは、統一デ
ータ管理は引き続きUDMネットワークエレメントである可能性があり、または別の名称を
持つ可能性もある。これは本出願では限定されない。
data management、UDM)ネットワークエレメントであってもよい。4G通信システムでは、
データ管理ネットワークエレメントはホームサブスクライバサーバ(home subscriber se
rver、HSS)ネットワークエレメントであってもよい。将来の通信システムでは、統一デ
ータ管理は引き続きUDMネットワークエレメントである可能性があり、または別の名称を
持つ可能性もある。これは本出願では限定されない。
【0100】
10.アプリケーションネットワークエレメント1100は、アプリケーションの影響を受け
るデータのルーティングを行い、ネットワーク曝露機能ネットワークエレメントにアクセ
スし、ポリシーコントロールを行うためにポリシー機構とやり取りし、その他を行うよう
に構成される。
るデータのルーティングを行い、ネットワーク曝露機能ネットワークエレメントにアクセ
スし、ポリシーコントロールを行うためにポリシー機構とやり取りし、その他を行うよう
に構成される。
【0101】
5G通信システムでは、アプリケーションネットワークエレメントはアプリケーション機
能(application function、AF)ネットワークエレメントであってもよい。将来の通信シ
ステムでは、アプリケーションネットワークエレメントは引き続きAFネットワークエレメ
ントである可能性があり、または別の名称を持つ可能性もある。これは本出願では限定さ
れない。
能(application function、AF)ネットワークエレメントであってもよい。将来の通信シ
ステムでは、アプリケーションネットワークエレメントは引き続きAFネットワークエレメ
ントである可能性があり、または別の名称を持つ可能性もある。これは本出願では限定さ
れない。
【0102】
11.ネットワークストレージネットワークエレメントは、ネットワーク内の全てのネッ
トワーク機能サービスのリアルタイム情報を維持するように構成される。
トワーク機能サービスのリアルタイム情報を維持するように構成される。
【0103】
5G通信システムでは、ネットワークストレージネットワークエレメントはネットワーク
リポジトリ機能(network repository function、NRF)ネットワークエレメントであって
もよい。将来の通信システムでは、ネットワークストレージネットワークエレメントは引
き続きNRFネットワークエレメントである可能性があり、または別の名称を持つ可能性も
ある。これは本出願では限定されない。
リポジトリ機能(network repository function、NRF)ネットワークエレメントであって
もよい。将来の通信システムでは、ネットワークストレージネットワークエレメントは引
き続きNRFネットワークエレメントである可能性があり、または別の名称を持つ可能性も
ある。これは本出願では限定されない。
【0104】
前述したネットワークエレメントや機能が、ハードウェアデバイス内のネットワークエ
レメント、専用のハードウェア上で実行するソフトウェア機能、またはプラットフォーム
(例えば、クラウドプラットフォーム)上でインスタンスとして生成される仮想機能であ
ってよいことは理解され得る。説明を容易にするため、以下では、アクセスおよびモビリ
ティ管理デバイスがAMFであり、データ管理ネットワークエレメントがUDMネットワークエ
レメントであり、セッション管理ネットワークエレメントがSMFネットワークエレメント
であり、ユーザプレーンネットワークエレメントがUPFネットワークエレメントである一
例を用いて本出願を説明する。
レメント、専用のハードウェア上で実行するソフトウェア機能、またはプラットフォーム
(例えば、クラウドプラットフォーム)上でインスタンスとして生成される仮想機能であ
ってよいことは理解され得る。説明を容易にするため、以下では、アクセスおよびモビリ
ティ管理デバイスがAMFであり、データ管理ネットワークエレメントがUDMネットワークエ
レメントであり、セッション管理ネットワークエレメントがSMFネットワークエレメント
であり、ユーザプレーンネットワークエレメントがUPFネットワークエレメントである一
例を用いて本出願を説明する。
【0105】
説明を容易にするため、本出願の実施形態では、装置がAMFエンティティまたはUDMエン
ティティである一例を用いてセッション確立方法を説明する。装置がAMFエンティティ内
のチップであるか、またはUDMエンティティ内のチップである実施方法については、装置
がAMFエンティティまたはUDMエンティティであるセッション確立方法に関する具体的な説
明を参照されたい。詳細は繰り返さない。
ティティである一例を用いてセッション確立方法を説明する。装置がAMFエンティティ内
のチップであるか、またはUDMエンティティ内のチップである実施方法については、装置
がAMFエンティティまたはUDMエンティティであるセッション確立方法に関する具体的な説
明を参照されたい。詳細は繰り返さない。
【0106】
図1に示されているネットワークアーキテクチャにおいて、ユーザ機器はN1インターフ
ェイスを通じてAMFに接続され、(R)ANはN2インターフェイスを通じてAMFに接続され、
(R)ANはN3インターフェイスを通じてUPFに接続される。UPFはN9インターフェイスを通
じて互いに接続され、UPFはN6インターフェイスを通じてDNに相互接続される。SMFはN4イ
ンターフェイスを通じてUPFを制御する。AMFはN11インターフェイスを通じてSMFに接続さ
れる。AMFは、N8インターフェイスを通じてUDMユニットからユーザ機器のサブスクリプシ
ョンデータを取得する。SMFは、N10インターフェイスを通じてUDMユニットからユーザ機
器のサブスクリプションデータを取得する。
ェイスを通じてAMFに接続され、(R)ANはN2インターフェイスを通じてAMFに接続され、
(R)ANはN3インターフェイスを通じてUPFに接続される。UPFはN9インターフェイスを通
じて互いに接続され、UPFはN6インターフェイスを通じてDNに相互接続される。SMFはN4イ
ンターフェイスを通じてUPFを制御する。AMFはN11インターフェイスを通じてSMFに接続さ
れる。AMFは、N8インターフェイスを通じてUDMユニットからユーザ機器のサブスクリプシ
ョンデータを取得する。SMFは、N10インターフェイスを通じてUDMユニットからユーザ機
器のサブスクリプションデータを取得する。
【0107】
本出願の実施形態に適用される前述のネットワークアーキテクチャが一例にすぎず、本
出願の実施形態に適用可能なネットワークアーキテクチャがこれに限定されないことを理
解されたい。前述したネットワークエレメントの機能を実行できるネットワークアーキテ
クチャはいずれも、本出願の実施形態に適用可能である。
出願の実施形態に適用可能なネットワークアーキテクチャがこれに限定されないことを理
解されたい。前述したネットワークエレメントの機能を実行できるネットワークアーキテ
クチャはいずれも、本出願の実施形態に適用可能である。
【0108】
例えば、いくつかのネットワークアーキテクチャにおいて、AMF、SMFネットワークエレ
メント、PCFネットワークエレメント、BSFネットワークエレメント、およびUDMネットワ
ークエレメントなどのネットワーク機能ネットワークエレメントおよびエンティティはい
ずれも、ネットワーク機能(network function、NF)ネットワークエレメントと呼ばれる
。あるいは、いくつかの他のネットワークアーキテクチャにおいて、AMF、SMFネットワー
クエレメント、PCFネットワークエレメント、BSFネットワークエレメント、およびUDMネ
ットワークエレメントなどの1セットのネットワークエレメントは、コントロールプレー
ン機能ネットワークエレメントと呼ばれることがある。
メント、PCFネットワークエレメント、BSFネットワークエレメント、およびUDMネットワ
ークエレメントなどのネットワーク機能ネットワークエレメントおよびエンティティはい
ずれも、ネットワーク機能(network function、NF)ネットワークエレメントと呼ばれる
。あるいは、いくつかの他のネットワークアーキテクチャにおいて、AMF、SMFネットワー
クエレメント、PCFネットワークエレメント、BSFネットワークエレメント、およびUDMネ
ットワークエレメントなどの1セットのネットワークエレメントは、コントロールプレー
ン機能ネットワークエレメントと呼ばれることがある。
【0109】
本出願の実施形態におけるユーザ機器は、アクセス端末、サブスクライバユニット、サ
ブスクライバステーション、モバイルステーション、モバイルコンソール、リレーステー
ション、リモートステーション、リモート端末、モバイルデバイス、ユーザ端末(user t
erminal)、端末機器(terminal equipment)、端末(terminal)、無線通信デバイス、
ユーザエージェント、ユーザ装置などであってよい。ユーザ機器は、代わりに、携帯電話
機、コードレス電話機、セッション開始プロトコル(session initiation protocol、SIP
)電話機、ワイヤレスローカルループ(wireless local loop、WLL)ステーション、個人
用デジタル補助装置(personal digital assistant、PDA)、無線通信機能を有する手持
ち型デバイス、計算デバイス、無線モデムに接続された他の処理デバイス、車載デバイス
、ウェアラブルデバイス、将来の5Gネットワークにおけるユーザ機器、または将来の進化
型公衆陸上移動ネットワーク(public land mobile network、PLMN)におけるユーザ機器
などであってもよい。これは本出願の実施形態では限定されない。
ブスクライバステーション、モバイルステーション、モバイルコンソール、リレーステー
ション、リモートステーション、リモート端末、モバイルデバイス、ユーザ端末(user t
erminal)、端末機器(terminal equipment)、端末(terminal)、無線通信デバイス、
ユーザエージェント、ユーザ装置などであってよい。ユーザ機器は、代わりに、携帯電話
機、コードレス電話機、セッション開始プロトコル(session initiation protocol、SIP
)電話機、ワイヤレスローカルループ(wireless local loop、WLL)ステーション、個人
用デジタル補助装置(personal digital assistant、PDA)、無線通信機能を有する手持
ち型デバイス、計算デバイス、無線モデムに接続された他の処理デバイス、車載デバイス
、ウェアラブルデバイス、将来の5Gネットワークにおけるユーザ機器、または将来の進化
型公衆陸上移動ネットワーク(public land mobile network、PLMN)におけるユーザ機器
などであってもよい。これは本出願の実施形態では限定されない。
【0110】
本出願の実施形態におけるネットワークデバイスは、無線トランシーバ機能を有し、ユ
ーザ機器と通信するように構成された何らかのデバイスであってよい。デバイスは、進化
型ノードB(evolved Node B、eNB)、無線ネットワークコントローラ(radio network co
ntroller、RNC)、ノードB(NodeB、NB)、基地局コントローラ(base station controll
er、BSC)、ベーストランシーバステーション(base transceiver station、BTS)、ホー
ムベースステーション(例えば、home evolved NodeB、またはhome Node B、HNB)、ベー
スバンドユニット(baseBand unit、BBU)、ワイヤレスフィデリティ(wireless fidelit
y、WIFI)システムのアクセスポイント(access point、AP)、ワイヤレスリレーノード
、ワイヤレスバックホールノード、送信ポイント(transmission point、TP)、送信およ
び受信ポイント(transmission and reception point、TRP)などを含むが、これらに限
定されない。あるいは、デバイスは、NRシステムなどの5GシステムのgNBもしくは送信ポ
イント(TRPまたはTP)であってよく、5Gシステムの基地局のアンテナパネルの1つのアン
テナパネルまたはアンテナパネルのグループ(複数のアンテナパネルを含む)であっても
よく、またはgNBもしくは送信ポイントを構成するベースバンドユニット(BBU)、または
分散型ユニット(distributed unit、DU)などのネットワークノードであってもよい。
ーザ機器と通信するように構成された何らかのデバイスであってよい。デバイスは、進化
型ノードB(evolved Node B、eNB)、無線ネットワークコントローラ(radio network co
ntroller、RNC)、ノードB(NodeB、NB)、基地局コントローラ(base station controll
er、BSC)、ベーストランシーバステーション(base transceiver station、BTS)、ホー
ムベースステーション(例えば、home evolved NodeB、またはhome Node B、HNB)、ベー
スバンドユニット(baseBand unit、BBU)、ワイヤレスフィデリティ(wireless fidelit
y、WIFI)システムのアクセスポイント(access point、AP)、ワイヤレスリレーノード
、ワイヤレスバックホールノード、送信ポイント(transmission point、TP)、送信およ
び受信ポイント(transmission and reception point、TRP)などを含むが、これらに限
定されない。あるいは、デバイスは、NRシステムなどの5GシステムのgNBもしくは送信ポ
イント(TRPまたはTP)であってよく、5Gシステムの基地局のアンテナパネルの1つのアン
テナパネルまたはアンテナパネルのグループ(複数のアンテナパネルを含む)であっても
よく、またはgNBもしくは送信ポイントを構成するベースバンドユニット(BBU)、または
分散型ユニット(distributed unit、DU)などのネットワークノードであってもよい。
【0111】
いくつかの配備では、gNBが集中型ユニット(centralized unit、CU)とDUとを含み得
る。gNBは、アクティブアンテナユニット(active antenna unit、AAU)をさらに含み得
る。CUはgNBの一部の機能を実行し、DUはgNBの一部の機能を実行する。例えば、CUは非リ
アルタイムのプロトコルとサービスの処理を担当し、無線リソース制御(radio resource
control、RRC)層とパケットデータコンバージェンスプロトコル(packet data converg
ence protocol、PDCP)層の機能を実行する。DUは、物理層プロトコルとリアルタイムサ
ービスの処理を担当し、無線リンク制御(radio link control、RLC)層、媒体アクセス
制御(media access control、MAC)層、および物理(physical、PHY)層の機能を実行す
る。AAUは、いくつかの物理層処理機能、無線周波数処理、およびアクティブアンテナに
関連する機能を実行する。RRC層の情報は、最終的にはPHY層の情報に変換されるか、また
はPHY層の情報から変換される。したがって、このアーキテクチャでは、RRC層シグナリン
グなどの上位層シグナリングも、DUによって送信されていると、またはDUおよびAAUによ
って送信されていると、見なされ得る。ネットワークデバイスが、CUノード、DUノード、
およびAAUノードのいずれか1つ以上を含むデバイスであり得ることは理解され得る。加え
て、CUは、アクセスネットワーク(radio access network、RAN)内のネットワークデバ
イスであってもよく、またはコアネットワーク(core network、CN)内のネットワークデ
バイスであってもよい。これは本出願では限定されない。
る。gNBは、アクティブアンテナユニット(active antenna unit、AAU)をさらに含み得
る。CUはgNBの一部の機能を実行し、DUはgNBの一部の機能を実行する。例えば、CUは非リ
アルタイムのプロトコルとサービスの処理を担当し、無線リソース制御(radio resource
control、RRC)層とパケットデータコンバージェンスプロトコル(packet data converg
ence protocol、PDCP)層の機能を実行する。DUは、物理層プロトコルとリアルタイムサ
ービスの処理を担当し、無線リンク制御(radio link control、RLC)層、媒体アクセス
制御(media access control、MAC)層、および物理(physical、PHY)層の機能を実行す
る。AAUは、いくつかの物理層処理機能、無線周波数処理、およびアクティブアンテナに
関連する機能を実行する。RRC層の情報は、最終的にはPHY層の情報に変換されるか、また
はPHY層の情報から変換される。したがって、このアーキテクチャでは、RRC層シグナリン
グなどの上位層シグナリングも、DUによって送信されていると、またはDUおよびAAUによ
って送信されていると、見なされ得る。ネットワークデバイスが、CUノード、DUノード、
およびAAUノードのいずれか1つ以上を含むデバイスであり得ることは理解され得る。加え
て、CUは、アクセスネットワーク(radio access network、RAN)内のネットワークデバ
イスであってもよく、またはコアネットワーク(core network、CN)内のネットワークデ
バイスであってもよい。これは本出願では限定されない。
【0112】
本出願の実施形態において、ユーザ機器またはネットワークデバイスは、ハードウェア
層と、ハードウェア層の上で実行するオペレーティングシステム層と、オペレーティング
システム層の上で実行するアプリケーション層とを含む。ハードウェア層は、中央処理装
置(central processing unit、CPU)、メモリ管理装置(memory management unit、MMU
)、およびメモリ(メインメモリとも呼ばれる)などのハードウェアを含む。オペレーテ
ィングシステムは、プロセス(Process)を使用することによってサービス処理を実施す
るいずれか1種類以上のコンピュータオペレーティングシステムであってよく、例えば、L
inux(登録商標)オペレーティングシステム、Unixオペレーティングシステム、Android
オペレーティングシステム、iOSオペレーティングシステム、またはwindowsオペレーティ
ングシステムであってよい。アプリケーション層は、ブラウザ、アドレス帳、ワープロソ
フトウェア、およびインスタントコミュニケーションソフトウェアなどのアプリケーショ
ンを含む。加えて、本出願の実施形態で提供される方法を実行するエンティティの具体的
な構造は、本出願の実施形態で提供される方法のコードを記録するプログラムを実行して
、本出願の実施形態で提供される方法による通信を行うことができる限り、本出願の実施
形態で特に限定されない。例えば、本出願の実施形態で提供される方法を実行するエンテ
ィティは、ユーザ機器またはネットワークデバイスであってよく、またはユーザ機器また
はネットワークデバイスでプログラムを呼び出して実行できる機能モジュールであっても
よい。
層と、ハードウェア層の上で実行するオペレーティングシステム層と、オペレーティング
システム層の上で実行するアプリケーション層とを含む。ハードウェア層は、中央処理装
置(central processing unit、CPU)、メモリ管理装置(memory management unit、MMU
)、およびメモリ(メインメモリとも呼ばれる)などのハードウェアを含む。オペレーテ
ィングシステムは、プロセス(Process)を使用することによってサービス処理を実施す
るいずれか1種類以上のコンピュータオペレーティングシステムであってよく、例えば、L
inux(登録商標)オペレーティングシステム、Unixオペレーティングシステム、Android
オペレーティングシステム、iOSオペレーティングシステム、またはwindowsオペレーティ
ングシステムであってよい。アプリケーション層は、ブラウザ、アドレス帳、ワープロソ
フトウェア、およびインスタントコミュニケーションソフトウェアなどのアプリケーショ
ンを含む。加えて、本出願の実施形態で提供される方法を実行するエンティティの具体的
な構造は、本出願の実施形態で提供される方法のコードを記録するプログラムを実行して
、本出願の実施形態で提供される方法による通信を行うことができる限り、本出願の実施
形態で特に限定されない。例えば、本出願の実施形態で提供される方法を実行するエンテ
ィティは、ユーザ機器またはネットワークデバイスであってよく、またはユーザ機器また
はネットワークデバイスでプログラムを呼び出して実行できる機能モジュールであっても
よい。
【0113】
加えて、本出願の態様または特徴は、標準的なプログラミングおよび/またはエンジニ
アリング技術を使用する方法、装置、または製品として実装されてもよい。本出願で使用
される「製品」という用語は、何らかのコンピュータ可読コンポーネント、キャリア、ま
たは媒体からアクセスできるコンピュータプログラムをその範囲に含む。例えば、コンピ
ュータ可読媒体は、磁気ストレージコンポーネント(例えば、ハードディスク、フロッピ
ー(登録商標)ディスク、または磁気テープ)、光ディスク(例えば、コンパクトディス
ク(compact disc、CD)、またはデジタル多用途ディスク(digital versatile disc、DV
D))、スマートカード、およびフラッシュメモリコンポーネント(例えば、消去可能プ
ログラム可能読み取り専用メモリ(erasable programmable read-only memory、EPROM)
、カード、スティック、またはキードライブ)を含み得、ただしこれらに限定されない。
加えて、本明細書に記載されている様々な記憶媒体は、情報を記憶するように構成された
1つ以上のデバイスおよび/または他の機械可読媒体を指す場合がある。「機械可読記憶
媒体」という用語は、無線チャネル、ならびに命令および/またはデータを記憶、収容、
および/または保持することができる様々な他の媒体を含み得るが、これらに限定されな
い。
アリング技術を使用する方法、装置、または製品として実装されてもよい。本出願で使用
される「製品」という用語は、何らかのコンピュータ可読コンポーネント、キャリア、ま
たは媒体からアクセスできるコンピュータプログラムをその範囲に含む。例えば、コンピ
ュータ可読媒体は、磁気ストレージコンポーネント(例えば、ハードディスク、フロッピ
ー(登録商標)ディスク、または磁気テープ)、光ディスク(例えば、コンパクトディス
ク(compact disc、CD)、またはデジタル多用途ディスク(digital versatile disc、DV
D))、スマートカード、およびフラッシュメモリコンポーネント(例えば、消去可能プ
ログラム可能読み取り専用メモリ(erasable programmable read-only memory、EPROM)
、カード、スティック、またはキードライブ)を含み得、ただしこれらに限定されない。
加えて、本明細書に記載されている様々な記憶媒体は、情報を記憶するように構成された
1つ以上のデバイスおよび/または他の機械可読媒体を指す場合がある。「機械可読記憶
媒体」という用語は、無線チャネル、ならびに命令および/またはデータを記憶、収容、
および/または保持することができる様々な他の媒体を含み得るが、これらに限定されな
い。
【0114】
本出願の実施形態は、主に、図1に示されているネットワークアーキテクチャが4Gネッ
トワークアーキテクチャである場合のモビリティ管理エンティティMMEと、図1に示されて
いるネットワークアーキテクチャが5Gネットワークである場合のアクセスおよびモビリテ
ィ管理機能AMFならびにUEとに関する。AMFについては、本出願は第1のAMFと第2のAMFとに
関する。具体的には、本出願の第1のAMFは、UEのためにコアネットワークサービスを提供
するために、ユーザ機器が4G通信システムから5G通信システムにハンドオーバされる過程
で、4G通信システムのMMEによってUEのために5G通信システムから選択されるAMFである。
本出願の第2のAMFは、ユーザ機器が4G通信システムから5G通信システムにハンドオーバさ
れる過程で、5G通信システムの第1のAMF以外の、UEのセキュリティコンテキストを保存す
る、AMFである。
トワークアーキテクチャである場合のモビリティ管理エンティティMMEと、図1に示されて
いるネットワークアーキテクチャが5Gネットワークである場合のアクセスおよびモビリテ
ィ管理機能AMFならびにUEとに関する。AMFについては、本出願は第1のAMFと第2のAMFとに
関する。具体的には、本出願の第1のAMFは、UEのためにコアネットワークサービスを提供
するために、ユーザ機器が4G通信システムから5G通信システムにハンドオーバされる過程
で、4G通信システムのMMEによってUEのために5G通信システムから選択されるAMFである。
本出願の第2のAMFは、ユーザ機器が4G通信システムから5G通信システムにハンドオーバさ
れる過程で、5G通信システムの第1のAMF以外の、UEのセキュリティコンテキストを保存す
る、AMFである。
【0115】
本出願で「第1」および「第2」は区別のために使用されているにすぎず、本出願に対す
る制限として解釈されるべきではないことを理解されたい。例えば、第1のAMFと第2のAMF
は、異なるAMFを区別するために使用されているにすぎない。
る制限として解釈されるべきではないことを理解されたい。例えば、第1のAMFと第2のAMF
は、異なるAMFを区別するために使用されているにすぎない。
【0116】
本出願の実施形態で提供されるセキュリティコンテキスト取得方法の理解を容易にする
ため、以下では、図2を参照して、ユーザ機器が4G通信システムから5G通信システムにハ
ンドオーバされるプロセスを簡潔に説明する。図2は、通信システム間のハンドオーバの
概略フローチャートである。この概略フローチャートは、UEと、MMEと、第1のAMFと、第2
のAMFとを含む。
ため、以下では、図2を参照して、ユーザ機器が4G通信システムから5G通信システムにハ
ンドオーバされるプロセスを簡潔に説明する。図2は、通信システム間のハンドオーバの
概略フローチャートである。この概略フローチャートは、UEと、MMEと、第1のAMFと、第2
のAMFとを含む。
【0117】
通信システム間のハンドオーバは以下のステップを含む。
【0118】
S210:MMEは第1のAMFへ順方向再配置要求(forward relocation request)メッセージ
を送信する。
を送信する。
【0119】
具体的には、4G通信システムのMMEは、ユーザ機器が4G通信システムから5G通信システ
ムにハンドオーバされることを知り、UEのためにアクセスおよびモビリティ管理サービス
を提供し続けるために、5G通信システムからUEのために第1のAMFを選択する必要がある。
UEが4G通信システムにアクセスすると、UEとMMEは同じ鍵KASMEを得る。UEが4G通信システ
ムから5G通信システムにハンドオーバされると、MMEは第1のAMFを選択し、KASMEと次ホッ
プパラメータ(next hop parameter、NH)を第1のAMFへ送信する。換言すると、順方向再
配置要求メッセージはKASMEやNHなどのパラメータを保持する。
ムにハンドオーバされることを知り、UEのためにアクセスおよびモビリティ管理サービス
を提供し続けるために、5G通信システムからUEのために第1のAMFを選択する必要がある。
UEが4G通信システムにアクセスすると、UEとMMEは同じ鍵KASMEを得る。UEが4G通信システ
ムから5G通信システムにハンドオーバされると、MMEは第1のAMFを選択し、KASMEと次ホッ
プパラメータ(next hop parameter、NH)を第1のAMFへ送信する。換言すると、順方向再
配置要求メッセージはKASMEやNHなどのパラメータを保持する。
【0120】
本出願の本実施形態で、MMEがシステム間のハンドオーバを知る方法は限定されない。
詳細については、既存のプロトコルにおける4G通信システムから5G通信システムへのハン
ドオーバ手順の仕様を参照されたい。例えば、4G通信システムの基地局はMMEへハンドオ
ーバ要求を送信でき、その結果、MMEは、4G通信システムから5G通信システムにユーザ機
器をハンドオーバする必要があることを知る。
詳細については、既存のプロトコルにおける4G通信システムから5G通信システムへのハン
ドオーバ手順の仕様を参照されたい。例えば、4G通信システムの基地局はMMEへハンドオ
ーバ要求を送信でき、その結果、MMEは、4G通信システムから5G通信システムにユーザ機
器をハンドオーバする必要があることを知る。
【0121】
加えて、本出願の本実施形態で、MMEが第1のAMFを選択する方法は限定されない。詳細
については、既存のプロトコルの仕様を参照されたい。例えば、MMEは、オペレータによ
って設定された少なくとも1つのAMFを保存する。MMEは、4G通信システムから5G通信シス
テムにユーザ機器をハンドオーバする必要があることを知ると、少なくとも1つのAMFから
第1のAMFを選択する。
については、既存のプロトコルの仕様を参照されたい。例えば、MMEは、オペレータによ
って設定された少なくとも1つのAMFを保存する。MMEは、4G通信システムから5G通信シス
テムにユーザ機器をハンドオーバする必要があることを知ると、少なくとも1つのAMFから
第1のAMFを選択する。
【0122】
S220:第1のAMFはマップされた(mapped)セキュリティコンテキストを決定する。
【0123】
具体的には、第1のAMFは、受信された再配置要求メッセージに含まれているKASMEやNH
などのパラメータに基づいてマップされたセキュリティコンテキストを導出する。マップ
されたセキュリティコンテキストは、UEのマップされたコンテキストに含まれる。本出願
のマップされたコンテキストが、4G通信システムでUEとMMEとのネゴシエーションによっ
て生成されるコンテキストに基づいて、第1のAMFとUEとによって別々に導出されるUEのセ
キュリティコンテキストであることを理解されたい。4Gコンテキストに基づいてUEのセキ
ュリティコンテキストを導出する方法については、既存のプロトコルの仕様を参照された
く、このプロセスは本出願で限定されない。マップされたセキュリティコンテキストは、
MMEとユーザ機器との間のセキュリティコンテキストに基づいて、第1のAMFとUEとによっ
て別々に得られる。加えて、本出願では、4G通信システムでUEとMMEとの間で取り決めら
れるコンテキストが、UEとMMEとの間のセキュリティコンテキストを含み、区別のため、U
Eの4Gコンテキストと呼ばれることもある。同様に、本出願では、UEが4G通信システムか
ら5G通信システムにハンドオーバされる前に、UEと第2のAMFに保存されるUEのセキュリテ
ィコンテキストは、5G通信システムでUEと第2のAMFとの間で取り決められるコンテキスト
であり、UEと第2のAMFとの間のセキュリティコンテキストを含み、区別のため、UEの5Gコ
ンテキストと呼ばれることもある。
などのパラメータに基づいてマップされたセキュリティコンテキストを導出する。マップ
されたセキュリティコンテキストは、UEのマップされたコンテキストに含まれる。本出願
のマップされたコンテキストが、4G通信システムでUEとMMEとのネゴシエーションによっ
て生成されるコンテキストに基づいて、第1のAMFとUEとによって別々に導出されるUEのセ
キュリティコンテキストであることを理解されたい。4Gコンテキストに基づいてUEのセキ
ュリティコンテキストを導出する方法については、既存のプロトコルの仕様を参照された
く、このプロセスは本出願で限定されない。マップされたセキュリティコンテキストは、
MMEとユーザ機器との間のセキュリティコンテキストに基づいて、第1のAMFとUEとによっ
て別々に得られる。加えて、本出願では、4G通信システムでUEとMMEとの間で取り決めら
れるコンテキストが、UEとMMEとの間のセキュリティコンテキストを含み、区別のため、U
Eの4Gコンテキストと呼ばれることもある。同様に、本出願では、UEが4G通信システムか
ら5G通信システムにハンドオーバされる前に、UEと第2のAMFに保存されるUEのセキュリテ
ィコンテキストは、5G通信システムでUEと第2のAMFとの間で取り決められるコンテキスト
であり、UEと第2のAMFとの間のセキュリティコンテキストを含み、区別のため、UEの5Gコ
ンテキストと呼ばれることもある。
【0124】
説明を容易にするため、以下では、MMEとユーザ機器との間のセキュリティコンテキス
トに基づく導出によって第1のAMFとUEによって別々に得られるセキュリティコンテキスト
がマップドセキュリティコンテキストと呼ばれ、第2のAMFとUEとの間のセキュリティコン
テキストがネイティブ(native)セキュリティコンテキストと呼ばれる。
トに基づく導出によって第1のAMFとUEによって別々に得られるセキュリティコンテキスト
がマップドセキュリティコンテキストと呼ばれ、第2のAMFとUEとの間のセキュリティコン
テキストがネイティブ(native)セキュリティコンテキストと呼ばれる。
【0125】
本出願の本実施形態が、主に、第2のAMFによって第1のAMFへUEのセキュリティコンテキ
ストを送信することに関することをさらに理解されたい。UEのセキュリティコンテキスト
はUEのコンテキストの一部であり、UEのコンテキストと共に転送されてよい。したがって
、説明を容易にするため、本出願の本実施形態において、第2のAMFによって第1のAMFへUE
のセキュリティコンテキストを送信することは、UEのコンテキストを送信することとして
、またはUEのセキュリティコンテキストを送信することとして、説明され得る。これは説
明を容易にするために使用されているにすぎず、本出願の実施形態の保護範囲を制限する
ものではない。
ストを送信することに関することをさらに理解されたい。UEのセキュリティコンテキスト
はUEのコンテキストの一部であり、UEのコンテキストと共に転送されてよい。したがって
、説明を容易にするため、本出願の本実施形態において、第2のAMFによって第1のAMFへUE
のセキュリティコンテキストを送信することは、UEのコンテキストを送信することとして
、またはUEのセキュリティコンテキストを送信することとして、説明され得る。これは説
明を容易にするために使用されているにすぎず、本出願の実施形態の保護範囲を制限する
ものではない。
【0126】
第1のAMFが、受信された再配置要求メッセージに含まれたKASMEやNHなどのパラメータ
に基づいてUEのマップドセキュリティコンテキストを導出することは、第1のAMFがKASME
とNHとに基づいて鍵KAMF1を導出することを含む。
に基づいてUEのマップドセキュリティコンテキストを導出することは、第1のAMFがKASME
とNHとに基づいて鍵KAMF1を導出することを含む。
【0127】
例えば、第1のAMFは、KASMEとNHを受け取った後に、既定の導出式を使用して鍵KAMF1を
計算できる。導出式は、KAMF1=HMAC-SHA-256(Key,FC||P0||L0)であり、ここでFC
=0x76であり、P0=NH valueであり、L0=length of NH value(i.e. 0x00 0x20)であり
、KEY=KASMEである。第1のAMFは、鍵KAMF1とUEと取り決められたセキュリティアルゴリ
ズムとに基づいて、完全性保護鍵KNASint1と機密性保護鍵KNASenc1を計算し、KAMF1、KNA
Sint1、およびKNASenc1はUEのセキュリティコンテキストに含まれる。KAMF1、KNASint1、
およびKNASenc1は、KASMEとNHとに基づいて導出され、KASMEとNHは、UEとMMEとの間のセ
キュリティコンテキストである。したがって、KAMF1、KNASint1、およびKNASenc1は、UE
のマップドセキュリティコンテキストと呼ばれる。
計算できる。導出式は、KAMF1=HMAC-SHA-256(Key,FC||P0||L0)であり、ここでFC
=0x76であり、P0=NH valueであり、L0=length of NH value(i.e. 0x00 0x20)であり
、KEY=KASMEである。第1のAMFは、鍵KAMF1とUEと取り決められたセキュリティアルゴリ
ズムとに基づいて、完全性保護鍵KNASint1と機密性保護鍵KNASenc1を計算し、KAMF1、KNA
Sint1、およびKNASenc1はUEのセキュリティコンテキストに含まれる。KAMF1、KNASint1、
およびKNASenc1は、KASMEとNHとに基づいて導出され、KASMEとNHは、UEとMMEとの間のセ
キュリティコンテキストである。したがって、KAMF1、KNASint1、およびKNASenc1は、UE
のマップドセキュリティコンテキストと呼ばれる。
【0128】
S230:第1のAMFはMMEへ順方向再配置応答(forward relocation response)メッセージ
を送信する。
を送信する。
【0129】
具体的には、第1のAMFは、マップドセキュリティコンテキストを決定した後に、MMEへ
順方向再配置応答メッセージを送信する。順方向再配置応答メッセージは、UEが4G通信シ
ステムから5G通信システムにハンドオーバされるときに、第1のAMFが5G通信システムでUE
のためにアクセスおよびモビリティ管理サービスを提供するAMFとして使用され得ること
をMMEに知らせるために使用される。
順方向再配置応答メッセージを送信する。順方向再配置応答メッセージは、UEが4G通信シ
ステムから5G通信システムにハンドオーバされるときに、第1のAMFが5G通信システムでUE
のためにアクセスおよびモビリティ管理サービスを提供するAMFとして使用され得ること
をMMEに知らせるために使用される。
【0130】
S240:MMEはUEへハンドオーバコマンド(handover command)メッセージを送信する。
【0131】
MMEは、第1のAMFによって送信される順方向再割り当て応答メッセージを受信した後に
、第1のAMFがUEのためにアクセスおよびモビリティ管理サービスを提供できることを知る
。この場合、MMEはUEへハンドオーバコマンドメッセージを送信するので、UEは、UEが4G
通信システムから5G通信システムにハンドオーバできることを知る。
、第1のAMFがUEのためにアクセスおよびモビリティ管理サービスを提供できることを知る
。この場合、MMEはUEへハンドオーバコマンドメッセージを送信するので、UEは、UEが4G
通信システムから5G通信システムにハンドオーバできることを知る。
【0132】
S250:UEはマップドセキュリティコンテキストを決定する。
【0133】
UEは、ハンドオーバコマンドメッセージを受信した後に、既定の導出式を使用して、UE
に保存されている鍵KASMEとNHとに基づいて、鍵KAMF1を計算する。具体的な導出プロセス
については、前述のS220を参照されたく、ここでは詳細を再度説明しない。
に保存されている鍵KASMEとNHとに基づいて、鍵KAMF1を計算する。具体的な導出プロセス
については、前述のS220を参照されたく、ここでは詳細を再度説明しない。
【0134】
S250の後に、UEと第1のAMFは同じ鍵KAMF1を得、その後、鍵KAMF1は別の鍵を導出するた
めに使用されてよい。
めに使用されてよい。
【0135】
例えば、UEと第1のAMFは同じ鍵KAMF1を得る。次に、KAMF1と、UEと第1のAMFとの間で取
り決められる非アクセス層(non-access stratum、NAS)完全性保護アルゴリズムおよび
機密性保護アルゴリズムとに基づいて、UEと第1のAMFは、NASメッセージ(例えば、登録
要求メッセージ)を保護するために使用される完全性保護鍵KNASint1と機密性保護鍵KNAS
enc1を生成する。具体的には、KNASint1とKNASenc1は次のように計算される。
り決められる非アクセス層(non-access stratum、NAS)完全性保護アルゴリズムおよび
機密性保護アルゴリズムとに基づいて、UEと第1のAMFは、NASメッセージ(例えば、登録
要求メッセージ)を保護するために使用される完全性保護鍵KNASint1と機密性保護鍵KNAS
enc1を生成する。具体的には、KNASint1とKNASenc1は次のように計算される。
【0136】
KNASint1=HMAC-SHA-256(KEY,S)であり、ここでS=FC||P01||L01||P11||L1
1であり、FC=0x69であり、P01=アルゴリズムタイプ区別子(algorithm type distingui
sher)であり、L01=アルゴリズムタイプ区別子の長さ(length of algorithm type dist
inguisher)(i.e. 0x00 0x01)であり、P11=アルゴリズムID(algorithm identity)で
あり、L11=アルゴリズムIDの長さ(length of algorithm identity)(i.e. 0x00 0x01
)であり、KEY=KAMF1である。
1であり、FC=0x69であり、P01=アルゴリズムタイプ区別子(algorithm type distingui
sher)であり、L01=アルゴリズムタイプ区別子の長さ(length of algorithm type dist
inguisher)(i.e. 0x00 0x01)であり、P11=アルゴリズムID(algorithm identity)で
あり、L11=アルゴリズムIDの長さ(length of algorithm identity)(i.e. 0x00 0x01
)であり、KEY=KAMF1である。
【0137】
KNASenc1=HMAC-SHA-256(KEY,S)であり、ここでS=FC||P0||L0||P1||L1で
あり、FC=0x69であり、P0=アルゴリズムタイプ区別子であり、L0=アルゴリズムタイプ
区別子の長さ(i.e. 0x00 0x01)であり、P1=アルゴリズムIDであり、L1=アルゴリズム
IDの長さ(i.e. 0x00 0x01)であり、KEY=KAMF1である。
あり、FC=0x69であり、P0=アルゴリズムタイプ区別子であり、L0=アルゴリズムタイプ
区別子の長さ(i.e. 0x00 0x01)であり、P1=アルゴリズムIDであり、L1=アルゴリズム
IDの長さ(i.e. 0x00 0x01)であり、KEY=KAMF1である。
【0138】
KNASint1を計算するためのアルゴリズムタイプ区別子とアルゴリズムIDは、KNASenc1を
計算するためのものとは異なる。
計算するためのものとは異なる。
【0139】
ハンドオーバが完了した後に、UEはモビリティ登録を開始する、つまり、S260を実行す
る。UEは、第1のAMFへ登録要求(registration request)メッセージを送信し、UEは、前
述の生成されたKAMF1に基づく導出によって生成されたマップドセキュリティコンテキス
トを使用して登録要求メッセージに対してセキュリティ保護を行う。セキュリティ保護は
、暗号化保護および/または完全性保護を含む。
る。UEは、第1のAMFへ登録要求(registration request)メッセージを送信し、UEは、前
述の生成されたKAMF1に基づく導出によって生成されたマップドセキュリティコンテキス
トを使用して登録要求メッセージに対してセキュリティ保護を行う。セキュリティ保護は
、暗号化保護および/または完全性保護を含む。
【0140】
UEによってコアネットワークデバイスへ送信されるメッセージがアクセスネットワーク
デバイスによって転送され得ることを理解されたい。アクセスデバイスの機能は本出願の
本実施形態で限定されないので、アクセスネットワークデバイスは、UEと第1のAMFとの間
でメッセージを転送できる。簡潔にするため、本出願では、UEと第1のAMFとの間でメッセ
ージを転送することが、UEが第1のAMFへ登録要求メッセージを送信し、MMEがUEへメッセ
ージを送信することとして説明される。UEによって送信される登録要求メッセージは、マ
ップドコンテキスト内にグローバルに一意な仮ユーザ機器ID(globally unique temporar
y user equipment identity、GUTI)をさらに含み、GUTIは、第1のAMFへ登録要求メッセ
ージを転送することを決定するためにアクセスネットワークデバイスによって使用される
。GUTIはマップドコンテキストに含まれているため、GUTIはマップドGUTIと呼ばれること
がある。
デバイスによって転送され得ることを理解されたい。アクセスデバイスの機能は本出願の
本実施形態で限定されないので、アクセスネットワークデバイスは、UEと第1のAMFとの間
でメッセージを転送できる。簡潔にするため、本出願では、UEと第1のAMFとの間でメッセ
ージを転送することが、UEが第1のAMFへ登録要求メッセージを送信し、MMEがUEへメッセ
ージを送信することとして説明される。UEによって送信される登録要求メッセージは、マ
ップドコンテキスト内にグローバルに一意な仮ユーザ機器ID(globally unique temporar
y user equipment identity、GUTI)をさらに含み、GUTIは、第1のAMFへ登録要求メッセ
ージを転送することを決定するためにアクセスネットワークデバイスによって使用される
。GUTIはマップドコンテキストに含まれているため、GUTIはマップドGUTIと呼ばれること
がある。
【0141】
任意選択として、UEが第1のAMFへ登録要求メッセージを送信すると、UEは、UEと別のAM
F(第2のAMF)との間のUEのセキュリティコンテキストと、ユーザ機器の5Gグローバルに
一意な仮ユーザ機器ID(5th generation globally unique temporary user equipment id
entity、5G-GUTI)とを保存する。したがって、UEは登録要求メッセージに5G-GUTIを加え
る。
F(第2のAMF)との間のUEのセキュリティコンテキストと、ユーザ機器の5Gグローバルに
一意な仮ユーザ機器ID(5th generation globally unique temporary user equipment id
entity、5G-GUTI)とを保存する。したがって、UEは登録要求メッセージに5G-GUTIを加え
る。
【0142】
本出願の本実施形態が、主に、第1のAMFが第2のAMFからUEのセキュリティコンテキスト
を成功裏に(successfully)取得するプロセスに関することを理解されたい。したがって
、本出願では主に以下のケースが検討される。UEが第1のAMFへ登録要求メッセージを送信
するときに、UEは、UEと第2のAMFとの間で取り決められるUEのセキュリティコンテキスト
と5G-GUTIとを保存する。
を成功裏に(successfully)取得するプロセスに関することを理解されたい。したがって
、本出願では主に以下のケースが検討される。UEが第1のAMFへ登録要求メッセージを送信
するときに、UEは、UEと第2のAMFとの間で取り決められるUEのセキュリティコンテキスト
と5G-GUTIとを保存する。
【0143】
UEのセキュリティコンテキストと5G-GUTIがUEと第2のAMFとによって保存される理由が
、本出願の本実施形態で限定されず、既存のプロトコルで規定され得ることをさらに理解
されたい。例えば、UEが4G通信システムから5G通信システムにハンドオーバされる前に、
UEは5Gネットワーク通信システムから4G通信システムにハンドオーバされる。あるいは、
デュアル接続をサポートするUEは、非3GPP(登録商標)接続を通じて5G通信システムにア
クセスし、同時に3GPP(登録商標)接続を通じて4G通信システムにアクセスする。このよ
うにして、接続モードのUEは4G通信システムから5G通信システムにハンドオーバされる。
、本出願の本実施形態で限定されず、既存のプロトコルで規定され得ることをさらに理解
されたい。例えば、UEが4G通信システムから5G通信システムにハンドオーバされる前に、
UEは5Gネットワーク通信システムから4G通信システムにハンドオーバされる。あるいは、
デュアル接続をサポートするUEは、非3GPP(登録商標)接続を通じて5G通信システムにア
クセスし、同時に3GPP(登録商標)接続を通じて4G通信システムにアクセスする。このよ
うにして、接続モードのUEは4G通信システムから5G通信システムにハンドオーバされる。
【0144】
第2のAMFとUEとの間のUEのセキュリティコンテキストが第2のAMF上に存在する場合は、
第1のAMFが第2のAMFからUEのセキュリティコンテキストを取得する必要があることを理解
されたい。具体的には、第1のAMFが第2のAMFからUEのセキュリティコンテキストを取得す
ることは、UEから受信される登録要求メッセージに含まれた5G-GUTIに基づいて決定され
る。5G-GUTIは、UEのために第2のAMFによって構成され、UEと第2のAMFを識別するために
使用されてよい。マップドセキュリティコンテキストは、4G通信システムのUEとMMEとの
間のUEのセキュリティコンテキストに基づくマッピングによって得られるため、プロトコ
ルで規定されているように、UEのセキュリティコンテキストが5G通信システムに存在する
場合は、第1のAMFとUEとの間のネゴシエーションによって決定されるマップドセキュリテ
ィコンテキストではなく、UEのセキュリティコンテキストが優先的に使用される。換言す
ると、図2に示されている手順は、第1のAMFがユーザ機器コンテキスト転送サービス呼び
出し要求(Namf_Communication_UEContextTransfer)を開始するS270をさらに含む。
第1のAMFが第2のAMFからUEのセキュリティコンテキストを取得する必要があることを理解
されたい。具体的には、第1のAMFが第2のAMFからUEのセキュリティコンテキストを取得す
ることは、UEから受信される登録要求メッセージに含まれた5G-GUTIに基づいて決定され
る。5G-GUTIは、UEのために第2のAMFによって構成され、UEと第2のAMFを識別するために
使用されてよい。マップドセキュリティコンテキストは、4G通信システムのUEとMMEとの
間のUEのセキュリティコンテキストに基づくマッピングによって得られるため、プロトコ
ルで規定されているように、UEのセキュリティコンテキストが5G通信システムに存在する
場合は、第1のAMFとUEとの間のネゴシエーションによって決定されるマップドセキュリテ
ィコンテキストではなく、UEのセキュリティコンテキストが優先的に使用される。換言す
ると、図2に示されている手順は、第1のAMFがユーザ機器コンテキスト転送サービス呼び
出し要求(Namf_Communication_UEContextTransfer)を開始するS270をさらに含む。
【0145】
具体的には、第1のAMFはUEによって送信される登録要求メッセージを受信し、登録要求
メッセージに含まれた5G-GUTIに基づいて、第2のAMFに対してユーザ機器コンテキスト転
送サービス呼び出し要求を開始する。ユーザ機器コンテキスト転送サービス呼び出し要求
は、登録要求メッセージを保持する。
メッセージに含まれた5G-GUTIに基づいて、第2のAMFに対してユーザ機器コンテキスト転
送サービス呼び出し要求を開始する。ユーザ機器コンテキスト転送サービス呼び出し要求
は、登録要求メッセージを保持する。
【0146】
登録要求メッセージが、UEと第1のAMFとの間のマップドセキュリティコンテキストに基
づいてセキュリティ保護され、第2のAMFが、登録要求メッセージを検証した結果に基づい
て、第1のAMFにUEのセキュリティコンテキストを返すかどうかを判定することを理解され
たい。つまり、S290が実行される。第2のAMFは登録要求メッセージを検証する。
づいてセキュリティ保護され、第2のAMFが、登録要求メッセージを検証した結果に基づい
て、第1のAMFにUEのセキュリティコンテキストを返すかどうかを判定することを理解され
たい。つまり、S290が実行される。第2のAMFは登録要求メッセージを検証する。
【0147】
可能な一実装において、第2のAMFは登録要求メッセージの検証に失敗する。この場合、
第2のAMFは第1のAMFにUEのセキュリティコンテキストを返さない。その結果、第1のAMFは
、第2のAMFからUEのセキュリティコンテキストを取得しそこない、第1のAMFは、UEのセキ
ュリティコンテキストを優先的に使用することができない。これはプロトコルに準拠しな
い。
第2のAMFは第1のAMFにUEのセキュリティコンテキストを返さない。その結果、第1のAMFは
、第2のAMFからUEのセキュリティコンテキストを取得しそこない、第1のAMFは、UEのセキ
ュリティコンテキストを優先的に使用することができない。これはプロトコルに準拠しな
い。
【0148】
別の可能な一実装において、第2のAMFは登録要求メッセージの完全性を成功裏に検証す
る。この場合、第2のAMFは、第1のAMFにUEのセキュリティコンテキストを返し、第2のAMF
が第1のAMFへUEのセキュリティコンテキストを送信するS291を実行する。任意選択として
、第2のAMFが第1のAMFへUEのセキュリティコンテキストを送信することは、第2のAMFが第
1のAMFへUEのコンテキストを送信することとして説明され得る。UEのコンテキストは、第
2のAMFとUEとのネゴシエーションを通じて決定されるUEのセキュリティコンテキストを含
み、UEのセキュリティコンテキストは、鍵KAMF2および非アクセス層カウント(non-acces
s stratum count、NAS COUNT)などを含む。
る。この場合、第2のAMFは、第1のAMFにUEのセキュリティコンテキストを返し、第2のAMF
が第1のAMFへUEのセキュリティコンテキストを送信するS291を実行する。任意選択として
、第2のAMFが第1のAMFへUEのセキュリティコンテキストを送信することは、第2のAMFが第
1のAMFへUEのコンテキストを送信することとして説明され得る。UEのコンテキストは、第
2のAMFとUEとのネゴシエーションを通じて決定されるUEのセキュリティコンテキストを含
み、UEのセキュリティコンテキストは、鍵KAMF2および非アクセス層カウント(non-acces
s stratum count、NAS COUNT)などを含む。
【0149】
任意選択として、第2のAMFは、UEのセキュリティコンテキストを転送する前に、ローカ
ルポリシーに従って鍵KAMF2に対して鍵導出を行ってよい。第2のAMFがKAMF2に対して鍵導
出を行った場合、第2のAMFは、導出の後に得られる鍵KAMF2’と、第2のAMFがKAMF2に対し
て鍵導出を行ったことを示すために使用される導出指示情報とを、第1のAMFへ送信する。
ルポリシーに従って鍵KAMF2に対して鍵導出を行ってよい。第2のAMFがKAMF2に対して鍵導
出を行った場合、第2のAMFは、導出の後に得られる鍵KAMF2’と、第2のAMFがKAMF2に対し
て鍵導出を行ったことを示すために使用される導出指示情報とを、第1のAMFへ送信する。
【0150】
可能な一実装において、本出願における鍵導出は水平鍵導出であってよい。
【0151】
例えば、KAMF2に対して水平鍵導出を行ってKAMF2’を生成する方式は次のとおりである
。
KAMF2’=HMAC-SHA-256(Key,S);
FC=0x72;
P0=0x01;
L0=length of P0(i.e. 0x00 0x01);
P1=uplink NAS COUNT;
L1=length of P1(i.e. 0x00 0x04);
KEY=KAMF2;
S=FC||P0||L0||P1||L1
。
KAMF2’=HMAC-SHA-256(Key,S);
FC=0x72;
P0=0x01;
L0=length of P0(i.e. 0x00 0x01);
P1=uplink NAS COUNT;
L1=length of P1(i.e. 0x00 0x04);
KEY=KAMF2;
S=FC||P0||L0||P1||L1
【0152】
別の可能な一実装において、本出願における鍵導出は、各種ネットワークエレメント間
で合意される鍵導出方式であってよい。例えば、第1のAMFと第2のAMFは既定の鍵導出方式
について合意する。ただし、第2のAMFによって第1のAMFへ送信されるUEのセキュリティコ
ンテキストが導出指示情報を含む場合、第1のAMFは、受信されたUEのセキュリティコンテ
キスト内の鍵が、第2のAMFによって既定の鍵導出方式で鍵導出を行うことによって得られ
たものであると判定し得る。
で合意される鍵導出方式であってよい。例えば、第1のAMFと第2のAMFは既定の鍵導出方式
について合意する。ただし、第2のAMFによって第1のAMFへ送信されるUEのセキュリティコ
ンテキストが導出指示情報を含む場合、第1のAMFは、受信されたUEのセキュリティコンテ
キスト内の鍵が、第2のAMFによって既定の鍵導出方式で鍵導出を行うことによって得られ
たものであると判定し得る。
【0153】
同様に、第1のAMFはまた、導出指示情報を受信した後に、鍵KAMF2に対して鍵導出を行
って鍵KAMF2’を得るようにUEに指示し、UEとネットワーク側が鍵について合意するよう
にするために、UEへ導出指示情報を送信する。UEが鍵KAMF2を示す鍵識別子を受信し、し
たがって、KAMFの代わりに鍵KAMF2に対して鍵導出を行うことを判定できることを理解さ
れたい。本出願で鍵識別子は改良されない。したがって、ここでは鍵識別子を詳しく説明
しない。
って鍵KAMF2’を得るようにUEに指示し、UEとネットワーク側が鍵について合意するよう
にするために、UEへ導出指示情報を送信する。UEが鍵KAMF2を示す鍵識別子を受信し、し
たがって、KAMFの代わりに鍵KAMF2に対して鍵導出を行うことを判定できることを理解さ
れたい。本出願で鍵識別子は改良されない。したがって、ここでは鍵識別子を詳しく説明
しない。
【0154】
第2のAMFがUEの検証に失敗すると、第1のAMFが第2のAMFからUEのセキュリティコンテキ
ストを取得できないことは、図2の4G通信システムから5G通信システムにユーザ機器をハ
ンドオーバするプロセスから知ることができる。UEのセキュリティコンテキストを取得し
そこなうことを回避するため、本出願の実施形態はセキュリティコンテキスト取得方法を
提供する。第1のAMFが第2のAMFからUEのセキュリティコンテキストを取得すると、セキュ
リティコンテキストは指示情報を保持する。この指示情報は、UEが成功裏に検証されたこ
とを示す。指示情報に基づいて、第2のAMFはUEを検証する必要はないが、UEのセキュリテ
ィコンテキストをそのまま返す。これは、UEのセキュリティコンテキストを取得しそこな
う可能性を回避できる。
ストを取得できないことは、図2の4G通信システムから5G通信システムにユーザ機器をハ
ンドオーバするプロセスから知ることができる。UEのセキュリティコンテキストを取得し
そこなうことを回避するため、本出願の実施形態はセキュリティコンテキスト取得方法を
提供する。第1のAMFが第2のAMFからUEのセキュリティコンテキストを取得すると、セキュ
リティコンテキストは指示情報を保持する。この指示情報は、UEが成功裏に検証されたこ
とを示す。指示情報に基づいて、第2のAMFはUEを検証する必要はないが、UEのセキュリテ
ィコンテキストをそのまま返す。これは、UEのセキュリティコンテキストを取得しそこな
う可能性を回避できる。
【0155】
本出願でUEを検証することが、UEによって送信される登録要求メッセージの完全性を検
証することを、例えば、登録要求メッセージを復号することを、および/または登録要求
メッセージの完全性を検証することを、意味することを理解されたい。登録要求メッセー
ジの完全性が成功裏に検証されるという前提は、登録要求メッセージが成功裏に復号され
ることであるため、本出願の本実施形態において、UEが成功裏に検証されるということは
、登録要求メッセージの完全性が成功裏に検証されることとして説明される。
証することを、例えば、登録要求メッセージを復号することを、および/または登録要求
メッセージの完全性を検証することを、意味することを理解されたい。登録要求メッセー
ジの完全性が成功裏に検証されるという前提は、登録要求メッセージが成功裏に復号され
ることであるため、本出願の本実施形態において、UEが成功裏に検証されるということは
、登録要求メッセージの完全性が成功裏に検証されることとして説明される。
【0156】
図3を参照し、以下、本出願の一実施形態で提供されるセキュリティコンテキスト取得
方法を詳しく説明する。図3は、本出願の一実施形態によるセキュリティコンテキスト取
得方法の概略図である。この概略図は、UEと、MMEと、第1のAMFと、第2のAMFとを含む。
方法を詳しく説明する。図3は、本出願の一実施形態によるセキュリティコンテキスト取
得方法の概略図である。この概略図は、UEと、MMEと、第1のAMFと、第2のAMFとを含む。
【0157】
このセキュリティコンテキスト取得方法は以下のステップを含む。
【0158】
S310:第1のAMFは第2のAMFへ第2の要求メッセージを送信する。
【0159】
第2の要求メッセージは、UEのセキュリティコンテキストを取得することを要求するた
めに使用される。第2の要求メッセージは指示情報を保持し、指示情報はUEが検証済みで
あることを示すために使用される。
めに使用される。第2の要求メッセージは指示情報を保持し、指示情報はUEが検証済みで
あることを示すために使用される。
【0160】
任意選択として、指示情報は理由値(value)と呼ばれることがある。
【0161】
具体的には、UEが検証済みであると第1のAMFが判定することは、主に、UEから受信され
る登録要求メッセージが既定の条件を満たすかどうかを判定することである。第1のAMFが
第2のAMFへ第2の要求メッセージを送信する前に、図3に示されている方法手順がS311~S3
16をさらに含むことを理解されたい。
る登録要求メッセージが既定の条件を満たすかどうかを判定することである。第1のAMFが
第2のAMFへ第2の要求メッセージを送信する前に、図3に示されている方法手順がS311~S3
16をさらに含むことを理解されたい。
【0162】
S311:MMEは第1のAMFへ順方向再配置要求メッセージを送信する。このステップは図2の
S210と同様であり、ここでは詳細を再度説明しない。
S210と同様であり、ここでは詳細を再度説明しない。
【0163】
S312:第1のAMFはマップドセキュリティコンテキストを決定する。このステップは図2
のS220と同様であり、ここでは詳細を再度説明しない。
のS220と同様であり、ここでは詳細を再度説明しない。
【0164】
S313:第1のAMFはMMEへ順方向再配置応答メッセージを送信する。このステップは図2の
S230と同様であり、ここでは詳細を再度説明しない。
S230と同様であり、ここでは詳細を再度説明しない。
【0165】
S314:MMEはUEへハンドオーバコマンドメッセージを送信する。このステップは図2のS2
40と同様であり、ここでは詳細を再度説明しない。
40と同様であり、ここでは詳細を再度説明しない。
【0166】
S315:UEはマップドセキュリティコンテキストを決定する。このステップは図2のS250
と同様であり、ここでは詳細を再度説明しない。
と同様であり、ここでは詳細を再度説明しない。
【0167】
S316:UEは第1のAMFへ登録要求メッセージを送信する。このステップは図2のS260と同
様であり、ここでは詳細を再度説明しない。
様であり、ここでは詳細を再度説明しない。
【0168】
さらに、登録要求メッセージが既定の条件を満たすと第1のAMFが判定することは、
第1のAMFが登録要求メッセージの完全性保護を成功裏に検証することを、または、
登録要求メッセージが、UEが4G通信システムから5G通信システムにハンドオーバされた
後にUEによって送信された登録要求メッセージであると第1のAMFが判定することを、含む
。例えば、第1のAMFは、UEによって送信される登録要求メッセージを受信する前に、MME
によって送信される順方向再配置要求メッセージを受信する。したがって、第1のAMFは、
現在受信されている登録要求メッセージが、ハンドオーバ手順でUEから受信される登録要
求メッセージであることを知ることができる。
第1のAMFが登録要求メッセージの完全性保護を成功裏に検証することを、または、
登録要求メッセージが、UEが4G通信システムから5G通信システムにハンドオーバされた
後にUEによって送信された登録要求メッセージであると第1のAMFが判定することを、含む
。例えば、第1のAMFは、UEによって送信される登録要求メッセージを受信する前に、MME
によって送信される順方向再配置要求メッセージを受信する。したがって、第1のAMFは、
現在受信されている登録要求メッセージが、ハンドオーバ手順でUEから受信される登録要
求メッセージであることを知ることができる。
【0169】
具体的には、第1のAMFが登録要求メッセージの完全性保護を成功裏に検証することは、
第1のAMFがUEを成功裏に検証することと呼ばれることもある。換言すると、図3に示され
ている方法手順は、第1のAMFがUEを検証するS317をさらに含む。
第1のAMFがUEを成功裏に検証することと呼ばれることもある。換言すると、図3に示され
ている方法手順は、第1のAMFがUEを検証するS317をさらに含む。
【0170】
可能な一実装において、第2の要求メッセージは、図2に示されている第1のAMFによって
開始されるユーザ機器コンテキスト転送サービス呼び出し要求(Namf_Communication_UEC
ontextTransfer)である。図2に示されているユーザ機器コンテキスト転送サービス呼び
出し要求とは異なり、本出願の本実施形態におけるユーザ機器コンテキスト転送サービス
呼び出し要求は、新たに追加される情報要素(information element、IE)を、すなわち
指示情報を、含む。
開始されるユーザ機器コンテキスト転送サービス呼び出し要求(Namf_Communication_UEC
ontextTransfer)である。図2に示されているユーザ機器コンテキスト転送サービス呼び
出し要求とは異なり、本出願の本実施形態におけるユーザ機器コンテキスト転送サービス
呼び出し要求は、新たに追加される情報要素(information element、IE)を、すなわち
指示情報を、含む。
【0171】
別の可能な一実装において、第2の要求メッセージは、第1のAMFによって第2のAMFへ送
信され、UEのセキュリティコンテキストを取得するために使用される、別の可能な第2の
要求メッセージである。
信され、UEのセキュリティコンテキストを取得するために使用される、別の可能な第2の
要求メッセージである。
【0172】
第2の要求メッセージの具体的な形式が本出願で限定されないことを理解されたい。指
示情報は、第1のAMFと第2のAMFとの間の既存のシグナリングに加えられてよく、または第
1のAMFと第2のAMFとの間に新たに加えられるシグナリングに加えられてもよい。
示情報は、第1のAMFと第2のAMFとの間の既存のシグナリングに加えられてよく、または第
1のAMFと第2のAMFとの間に新たに加えられるシグナリングに加えられてもよい。
【0173】
別の可能な一実装において、本出願の本実施形態では、第1のAMFが、第2のAMFへユーザ
機器コンテキスト転送サービス呼び出し要求を送信する前に、第2のAMFへ指示情報を送信
する必要があることのみが限定される。換言すると、第1のAMFは、第2の要求メッセージ
に指示情報を加えず、第2のAMFへ指示情報をそのまま送信できる。この可能な実装は図3
に示されていない。
機器コンテキスト転送サービス呼び出し要求を送信する前に、第2のAMFへ指示情報を送信
する必要があることのみが限定される。換言すると、第1のAMFは、第2の要求メッセージ
に指示情報を加えず、第2のAMFへ指示情報をそのまま送信できる。この可能な実装は図3
に示されていない。
【0174】
UEが検証済みであることを指示情報が具体的に示す方法が本出願で限定されないことを
さらに理解されたい。可能な一実装において、指示情報はUEの5G-GUTIであってよい。こ
の場合、5G-GUTIは、UEを識別し、UEが検証済みであることを示すために使用されてよい
。この実装では、既存のIEに新しい指示機能が追加され、5G-GUTIが新しい機能を有する
ことが、規定の方式で、第2のAMFに通知されてよい。別の可能な一実装において、指示情
報は、少なくとも1つの新たに追加されるビットであってよく、このビットの値は、UEが
検証済みであることを示すために、1に設定される。前述の可能な実装は説明のための例
にすぎず、本出願の保護範囲を制限するものではない。
さらに理解されたい。可能な一実装において、指示情報はUEの5G-GUTIであってよい。こ
の場合、5G-GUTIは、UEを識別し、UEが検証済みであることを示すために使用されてよい
。この実装では、既存のIEに新しい指示機能が追加され、5G-GUTIが新しい機能を有する
ことが、規定の方式で、第2のAMFに通知されてよい。別の可能な一実装において、指示情
報は、少なくとも1つの新たに追加されるビットであってよく、このビットの値は、UEが
検証済みであることを示すために、1に設定される。前述の可能な実装は説明のための例
にすぎず、本出願の保護範囲を制限するものではない。
【0175】
可能な一実装において、指示情報は、UEが検証済みであることを明示的に示す。あるい
は、別の可能な一実装において、指示情報は、UEが検証済みであることを暗黙的に示す。
例えば、指示情報は、UEから第1のAMFによって受信される登録要求メッセージの完全性が
成功裏に検証されたことを示す。
は、別の可能な一実装において、指示情報は、UEが検証済みであることを暗黙的に示す。
例えば、指示情報は、UEから第1のAMFによって受信される登録要求メッセージの完全性が
成功裏に検証されたことを示す。
【0176】
さらに、第1のAMFがUEのセキュリティコンテキストを取得する必要があると第2のAMFが
判定できるようにするには、第2の要求メッセージがUEのIDをさらに保持する必要がある
。
判定できるようにするには、第2の要求メッセージがUEのIDをさらに保持する必要がある
。
【0177】
可能な一実装において、UEのIDは前述の5G-GUTIであってよい。
【0178】
別の可能な一実装において、UEのIDはサブスクライバ永続ID(subscriber permanent i
dentity、SUPI)であってよい。
dentity、SUPI)であってよい。
【0179】
第1のAMFが、UEからUEの5G-GUTIを受信した後に、第2のAMFからUEのセキュリティコン
テキストを取得する必要があると判定した場合に、UEの5G-GUTI、UEのSUPI、またはUEの5
G-GUTIとSUPIの両方を第2の要求メッセージに加え続けることを選択できることを理解さ
れたい。
テキストを取得する必要があると判定した場合に、UEの5G-GUTI、UEのSUPI、またはUEの5
G-GUTIとSUPIの両方を第2の要求メッセージに加え続けることを選択できることを理解さ
れたい。
【0180】
任意選択として、第2のAMFがUEのアップリンク非アクセス層カウント(uplink non-acc
ess stratum count、UL NAS COUNT)を取得できるようにするために、可能な一実装では
、第2の要求メッセージがプレーンテキスト登録要求メッセージを保持し、このプレーン
テキスト登録要求メッセージがUL NAS COUNTを含み、または、可能な一実装では、第2の
要求メッセージがUL NAS COUNTを含む。
ess stratum count、UL NAS COUNT)を取得できるようにするために、可能な一実装では
、第2の要求メッセージがプレーンテキスト登録要求メッセージを保持し、このプレーン
テキスト登録要求メッセージがUL NAS COUNTを含み、または、可能な一実装では、第2の
要求メッセージがUL NAS COUNTを含む。
【0181】
さらに、第2のAMFは、第1のAMFによって送信される第2の要求メッセージを受信した後
に、指示情報に基づいて、UEが検証済みであることを知る。この場合、第2のAMFはUEを検
証する必要がない、つまり、UEを検証する必要がないと第2のAMFが判定するS320を実行す
る。
に、指示情報に基づいて、UEが検証済みであることを知る。この場合、第2のAMFはUEを検
証する必要がない、つまり、UEを検証する必要がないと第2のAMFが判定するS320を実行す
る。
【0182】
S330:第2のAMFは第1のAMFへ第2の応答メッセージを送信する。
【0183】
第2の応答メッセージはUEのセキュリティコンテキストを保持する。
【0184】
本出願の本実施形態において、第2のAMFはUEを検証する必要がない。第2のAMFは、第1
のAMFによって送信される第2の要求メッセージを受信した後に、第1のAMFにUEのセキュリ
ティコンテキストをそのまま返す。これは、第2のAMFがUEの検証に失敗したため、第1のA
MFがUEのセキュリティコンテキストを取得しそこなう状況を回避する。
のAMFによって送信される第2の要求メッセージを受信した後に、第1のAMFにUEのセキュリ
ティコンテキストをそのまま返す。これは、第2のAMFがUEの検証に失敗したため、第1のA
MFがUEのセキュリティコンテキストを取得しそこなう状況を回避する。
【0185】
任意選択として、第2の要求メッセージがプレーンテキスト登録要求メッセージを保持
する場合、または第2の要求メッセージがUL NAS COUNTを保持する場合、第2のAMFはUL NA
S COUNTを取得できる。例えば、プレーンテキスト登録要求メッセージはセキュリティ保
護が行われない登録要求メッセージであるため、第2のAMFはプレーンテキスト登録要求メ
ッセージを検証する必要がなく、プレーンテキスト登録要求メッセージからUL NAS COUNT
を直接取得できる。
する場合、または第2の要求メッセージがUL NAS COUNTを保持する場合、第2のAMFはUL NA
S COUNTを取得できる。例えば、プレーンテキスト登録要求メッセージはセキュリティ保
護が行われない登録要求メッセージであるため、第2のAMFはプレーンテキスト登録要求メ
ッセージを検証する必要がなく、プレーンテキスト登録要求メッセージからUL NAS COUNT
を直接取得できる。
【0186】
さらに、第2のAMFは、UL NAS COUNTに基づいて、UEのセキュリティコンテキスト内の第
1の鍵に対して鍵導出を行うことができる。この場合、第2のAMFによって第1のAMFに返さ
れるUEのセキュリティコンテキスト内の鍵は、第1の鍵に対して鍵導出を行うことによっ
て得られる第2の鍵である。
1の鍵に対して鍵導出を行うことができる。この場合、第2のAMFによって第1のAMFに返さ
れるUEのセキュリティコンテキスト内の鍵は、第1の鍵に対して鍵導出を行うことによっ
て得られる第2の鍵である。
【0187】
具体的には、第2のAMFによって第1のAMFへ送信されるUEのセキュリティコンテキスト内
の鍵が第2の鍵である場合は、第2のAMFはさらに、第2の鍵が鍵導出によって得られた鍵で
あることを示すために、第1のAMFへ鍵導出指示情報を送信する必要がある。
の鍵が第2の鍵である場合は、第2のAMFはさらに、第2の鍵が鍵導出によって得られた鍵で
あることを示すために、第1のAMFへ鍵導出指示情報を送信する必要がある。
【0188】
第1のAMFがUEのセキュリティコンテキストを取得した後の手順が、4G通信システムから
5G通信システムにUEをハンドオーバする既存の手順で第1のAMFがUEのセキュリティコンテ
キストを取得した後の手順と同様であることを理解されたい。詳細については、既存の手
順を参照されたい。ここでは詳細を再度説明しない。
5G通信システムにUEをハンドオーバする既存の手順で第1のAMFがUEのセキュリティコンテ
キストを取得した後の手順と同様であることを理解されたい。詳細については、既存の手
順を参照されたい。ここでは詳細を再度説明しない。
【0189】
図3に示されているセキュリティコンテキスト取得方法では、第1のAMFによって第2のAM
Fへ送信される第2の要求メッセージが指示情報を保持し、指示情報は、UEが検証済みであ
ることを示すために使用される。したがって、第2のAMFは、指示情報に基づいて、UEが検
証済みであることを判定でき、UEを検証する必要はない。第2のAMFは、指示情報を保持す
る第2の要求メッセージを受信した後に、第1のAMFにUEのセキュリティコンテキストをそ
のまま返す。これは、第2のAMFがUEの検証に失敗したため、第1のAMFがUEのセキュリティ
コンテキストを取得しそこなう状況を回避する。本出願は、第2のAMFがUEを検証する別の
セキュリティコンテキスト取得方法をさらに提供する。しかしながら、この方法は、第2
のAMFがUEを成功裏に検証する可能性を高めることができ、これにより、第1のAMFが第2の
AMFからユーザ機器のセキュリティコンテキストを成功裏に取得する可能性が高まる。
Fへ送信される第2の要求メッセージが指示情報を保持し、指示情報は、UEが検証済みであ
ることを示すために使用される。したがって、第2のAMFは、指示情報に基づいて、UEが検
証済みであることを判定でき、UEを検証する必要はない。第2のAMFは、指示情報を保持す
る第2の要求メッセージを受信した後に、第1のAMFにUEのセキュリティコンテキストをそ
のまま返す。これは、第2のAMFがUEの検証に失敗したため、第1のAMFがUEのセキュリティ
コンテキストを取得しそこなう状況を回避する。本出願は、第2のAMFがUEを検証する別の
セキュリティコンテキスト取得方法をさらに提供する。しかしながら、この方法は、第2
のAMFがUEを成功裏に検証する可能性を高めることができ、これにより、第1のAMFが第2の
AMFからユーザ機器のセキュリティコンテキストを成功裏に取得する可能性が高まる。
【0190】
以下、図4を参照して、このセキュリティコンテキスト取得方法を詳しく説明する。図4
は、本出願の一実施形態による別のセキュリティコンテキスト取得方法の概略図である。
この概略図は、UEと、MMEと、第1のAMFと、第2のAMFとを含む。
は、本出願の一実施形態による別のセキュリティコンテキスト取得方法の概略図である。
この概略図は、UEと、MMEと、第1のAMFと、第2のAMFとを含む。
【0191】
このセキュリティコンテキスト取得方法は以下のステップを含む。
【0192】
S410:UEは第1の登録要求メッセージを決定する。
【0193】
第1の登録要求メッセージは第2の登録要求メッセージを保持する。第2の登録要求メッ
セージには、第1のセキュリティコンテキストを使用して完全性保護が行われ、第1のセキ
ュリティコンテキストは、UEと第2のAMFとの間のネイティブ(native)セキュリティコン
テキストである。
セージには、第1のセキュリティコンテキストを使用して完全性保護が行われ、第1のセキ
ュリティコンテキストは、UEと第2のAMFとの間のネイティブ(native)セキュリティコン
テキストである。
【0194】
具体的には、UEが第1の登録要求メッセージを決定することは、主に、第2の登録要求メ
ッセージを決定することである。第2の登録要求メッセージは、UEがネイティブセキュリ
ティコンテキストを使用して第4の登録要求メッセージに対して完全性保護を行った後に
得られるメッセージである。第4の登録要求メッセージは、GUTIと、鍵識別子(ngKSI)情
報と、UEと第2のAMFとの間のUEのコンテキスト内にあるUL NAS COUNTとを含む。区別を容
易にするため、このGUTIはネイティブGUTIと呼ばれることがあり、鍵識別子はネイティブ
鍵識別子と呼ばれることがある。
ッセージを決定することである。第2の登録要求メッセージは、UEがネイティブセキュリ
ティコンテキストを使用して第4の登録要求メッセージに対して完全性保護を行った後に
得られるメッセージである。第4の登録要求メッセージは、GUTIと、鍵識別子(ngKSI)情
報と、UEと第2のAMFとの間のUEのコンテキスト内にあるUL NAS COUNTとを含む。区別を容
易にするため、このGUTIはネイティブGUTIと呼ばれることがあり、鍵識別子はネイティブ
鍵識別子と呼ばれることがある。
【0195】
任意選択として、第4の登録要求メッセージには以下の数通りのケースがあり得る。
【0196】
ケース1:
第4の登録要求メッセージは、ネイティブGUTIと、ネイティブ鍵識別子と、UL NAS COUN
Tとに基づいてUEによって生成されるメッセージである。ケース1では、第4の登録要求メ
ッセージが第4のメッセージと呼ばれることがあり、または別の可能な名称を持つことも
ある。メッセージの名称は本出願の本実施形態で限定されない。
第4の登録要求メッセージは、ネイティブGUTIと、ネイティブ鍵識別子と、UL NAS COUN
Tとに基づいてUEによって生成されるメッセージである。ケース1では、第4の登録要求メ
ッセージが第4のメッセージと呼ばれることがあり、または別の可能な名称を持つことも
ある。メッセージの名称は本出願の本実施形態で限定されない。
【0197】
UEと第2のAMFとの間のUEのコンテキストに基づいてUEによって生成される第4の登録要
求メッセージが、代わりに、別の形式であってもよいことを理解されたい。例えば、ネイ
ティブGUTI、ネイティブ鍵識別子、およびUL NAS COUNTに加えて、UEによって生成される
第4の登録要求メッセージは別の情報要素(information element、IE)をさらに含む。
求メッセージが、代わりに、別の形式であってもよいことを理解されたい。例えば、ネイ
ティブGUTI、ネイティブ鍵識別子、およびUL NAS COUNTに加えて、UEによって生成される
第4の登録要求メッセージは別の情報要素(information element、IE)をさらに含む。
【0198】
ケース1において、UEが第1のセキュリティコンテキストに基づいて第4の登録要求メッ
セージに対して完全性保護を行うことは、UEが、第1のセキュリティコンテキストに基づ
いて第4の登録要求メッセージに対して完全性保護を行うことと、第1のMACを生成するこ
ととを含む。したがって、第1の登録要求メッセージで第2の登録要求メッセージを保持す
ることは、第1の登録要求メッセージで第1のMACと第4の登録要求メッセージを保持するこ
ととしても理解され得る。
セージに対して完全性保護を行うことは、UEが、第1のセキュリティコンテキストに基づ
いて第4の登録要求メッセージに対して完全性保護を行うことと、第1のMACを生成するこ
ととを含む。したがって、第1の登録要求メッセージで第2の登録要求メッセージを保持す
ることは、第1の登録要求メッセージで第1のMACと第4の登録要求メッセージを保持するこ
ととしても理解され得る。
【0199】
さらに、ケース1でUEが第1の登録要求メッセージを決定することは、以下のステップを
含む。
含む。
【0200】
ステップ1:
UEは第4の登録要求メッセージを構築する。
UEは第4の登録要求メッセージを構築する。
【0201】
ステップ2:
UEは、UEと第2のAMFとの間のセキュリティコンテキストに基づいて、第4の登録要求メ
ッセージに対して完全性保護を行い、第1のMACを生成する。
UEは、UEと第2のAMFとの間のセキュリティコンテキストに基づいて、第4の登録要求メ
ッセージに対して完全性保護を行い、第1のMACを生成する。
【0202】
ステップ3:
UEは、UEと第1のAMFとの間のマップドセキュリティコンテキストに基づいて、第3の登
録要求メッセージと第2の登録要求メッセージ(RR2)に対して完全性保護を行い、第5のM
ACを生成する。第3の登録要求メッセージは、図2に示されている方法手順S260でUEによっ
て第1のAMFへ送信される登録要求メッセージである。具体的には、第3の登録要求メッセ
ージは、UEと第1のAMFとの間のマップドコンテキスト内にあるGUTIと鍵識別子情報とを含
む。区別を容易にするため、このGUTIはマップドGUTIと呼ばれることがあり、鍵識別子は
マップド鍵識別子と呼ばれることがある。
UEは、UEと第1のAMFとの間のマップドセキュリティコンテキストに基づいて、第3の登
録要求メッセージと第2の登録要求メッセージ(RR2)に対して完全性保護を行い、第5のM
ACを生成する。第3の登録要求メッセージは、図2に示されている方法手順S260でUEによっ
て第1のAMFへ送信される登録要求メッセージである。具体的には、第3の登録要求メッセ
ージは、UEと第1のAMFとの間のマップドコンテキスト内にあるGUTIと鍵識別子情報とを含
む。区別を容易にするため、このGUTIはマップドGUTIと呼ばれることがあり、鍵識別子は
マップド鍵識別子と呼ばれることがある。
【0203】
この場合、第1の登録要求メッセージは、第4の登録要求メッセージ(RR4)と、第3の登
録要求メッセージ(RR3)と、第5のMAC(MAC5)と、第1のMAC(MAC1)とを含む。MAC1は
、ネイティブセキュリティコンテキストを使用してRR4に対して完全性保護を行うことに
よって得られるMAC値である。MAC5は、マップドセキュリティコンテキストを使用してRR3
とRR2に対して完全性保護を行うことによって得られるMAC値である(またはMAC5は、マッ
プドセキュリティコンテキストを使用してRR3とRR4とMAC1に対して完全性保護を行うこと
によって得られるMAC値である)。第1の登録要求メッセージが、ネイティブセキュリティ
コンテキストとマップドセキュリティコンテキストとに基づいて完全性保護が順次行われ
るメッセージであることも理解され得る。
録要求メッセージ(RR3)と、第5のMAC(MAC5)と、第1のMAC(MAC1)とを含む。MAC1は
、ネイティブセキュリティコンテキストを使用してRR4に対して完全性保護を行うことに
よって得られるMAC値である。MAC5は、マップドセキュリティコンテキストを使用してRR3
とRR2に対して完全性保護を行うことによって得られるMAC値である(またはMAC5は、マッ
プドセキュリティコンテキストを使用してRR3とRR4とMAC1に対して完全性保護を行うこと
によって得られるMAC値である)。第1の登録要求メッセージが、ネイティブセキュリティ
コンテキストとマップドセキュリティコンテキストとに基づいて完全性保護が順次行われ
るメッセージであることも理解され得る。
【0204】
ケース2:
第4の登録要求メッセージは、UEがマップドセキュリティコンテキストに基づいて第3の
登録要求メッセージに対して完全性保護を行った後に得られる登録要求メッセージである
。
第4の登録要求メッセージは、UEがマップドセキュリティコンテキストに基づいて第3の
登録要求メッセージに対して完全性保護を行った後に得られる登録要求メッセージである
。
【0205】
ケース2において、UEが第1のセキュリティコンテキストに基づいて第4の登録要求メッ
セージに対して完全性保護を行うことは、UEが、第1のセキュリティコンテキストに基づ
いて第4の登録要求メッセージに対して完全性保護を行うことと、第1のMACを生成するこ
ととを含む。したがって、第1の登録要求メッセージで第2の登録要求メッセージを保持す
ることは、第1の登録要求メッセージで第1のMACと第4の登録要求メッセージを保持するこ
ととしても理解され得る。
セージに対して完全性保護を行うことは、UEが、第1のセキュリティコンテキストに基づ
いて第4の登録要求メッセージに対して完全性保護を行うことと、第1のMACを生成するこ
ととを含む。したがって、第1の登録要求メッセージで第2の登録要求メッセージを保持す
ることは、第1の登録要求メッセージで第1のMACと第4の登録要求メッセージを保持するこ
ととしても理解され得る。
【0206】
さらに、ケース2でUEが第1の登録要求メッセージを決定することは、以下のステップを
含む。
含む。
【0207】
ステップ1:
UEは、UEと第1のAMFとの間のマップドセキュリティコンテキストに基づいて、第3の登
録要求メッセージに対して完全性保護を行い、第3のMACを生成する。
UEは、UEと第1のAMFとの間のマップドセキュリティコンテキストに基づいて、第3の登
録要求メッセージに対して完全性保護を行い、第3のMACを生成する。
【0208】
ステップ2:
UEは、UEと第2のAMFとの間のネイティブセキュリティコンテキストに基づいて、ステッ
プ1でマップドセキュリティコンテキストに基づいて完全性保護が行われる第3の登録要求
メッセージに対して完全性保護を行い、第1のMACを生成する。
UEは、UEと第2のAMFとの間のネイティブセキュリティコンテキストに基づいて、ステッ
プ1でマップドセキュリティコンテキストに基づいて完全性保護が行われる第3の登録要求
メッセージに対して完全性保護を行い、第1のMACを生成する。
【0209】
この場合、第1の登録要求メッセージは、第3の登録要求メッセージ(RR3)と、第3のMA
C(MAC3)と、第1のMAC(MAC1)とを含む。MAC3は、マップドセキュリティコンテキスト
を使用してRR3に対して完全性保護を行うことによって得られるMAC値である。MAC1は、ネ
イティブセキュリティコンテキストを使用してRR3とMAC3に対して完全性保護を行うこと
によって得られるMAC値である。第1の登録要求メッセージが、マップドセキュリティコン
テキストとネイティブセキュリティコンテキストとに基づいて完全性保護が順次行われる
メッセージであることも理解され得る。
C(MAC3)と、第1のMAC(MAC1)とを含む。MAC3は、マップドセキュリティコンテキスト
を使用してRR3に対して完全性保護を行うことによって得られるMAC値である。MAC1は、ネ
イティブセキュリティコンテキストを使用してRR3とMAC3に対して完全性保護を行うこと
によって得られるMAC値である。第1の登録要求メッセージが、マップドセキュリティコン
テキストとネイティブセキュリティコンテキストとに基づいて完全性保護が順次行われる
メッセージであることも理解され得る。
【0210】
ケース3:
第4の登録要求メッセージは第3の登録要求メッセージである。第3の登録要求メッセー
ジは、図2に示されている方法手順S260でUEによって第1のAMFへ送信される登録要求メッ
セージである。
第4の登録要求メッセージは第3の登録要求メッセージである。第3の登録要求メッセー
ジは、図2に示されている方法手順S260でUEによって第1のAMFへ送信される登録要求メッ
セージである。
【0211】
ケース3において、UEが第1のセキュリティコンテキストに基づいて第4の登録要求メッ
セージに対して完全性保護を行うことは、UEが、第1のセキュリティコンテキストに基づ
いて第4の登録要求メッセージに対して完全性保護を行うことと、第1のMACを生成するこ
ととを含む。したがって、第1の登録要求メッセージで第2の登録要求メッセージを保持す
ることは、第1の登録要求メッセージで第1のMACと第4の登録要求メッセージを保持するこ
ととしても理解され得る。
セージに対して完全性保護を行うことは、UEが、第1のセキュリティコンテキストに基づ
いて第4の登録要求メッセージに対して完全性保護を行うことと、第1のMACを生成するこ
ととを含む。したがって、第1の登録要求メッセージで第2の登録要求メッセージを保持す
ることは、第1の登録要求メッセージで第1のMACと第4の登録要求メッセージを保持するこ
ととしても理解され得る。
【0212】
さらに、ケース3でUEが第1の登録要求メッセージを決定することは、以下のステップを
含む。
含む。
【0213】
ステップ1:
UEは、UEと第2のAMFとの間のネイティブセキュリティコンテキストに基づいて、第3の
登録要求メッセージに対して完全性保護を行い、第1のMACを生成する。
UEは、UEと第2のAMFとの間のネイティブセキュリティコンテキストに基づいて、第3の
登録要求メッセージに対して完全性保護を行い、第1のMACを生成する。
【0214】
ステップ2:
UEは、UEと第1のAMFとの間のマップドセキュリティコンテキストに基づいて、ステップ
1でネイティブセキュリティコンテキストに基づいて完全性保護が行われる第3の登録要求
メッセージに対して完全性保護を行い、第4のMACを生成する。
UEは、UEと第1のAMFとの間のマップドセキュリティコンテキストに基づいて、ステップ
1でネイティブセキュリティコンテキストに基づいて完全性保護が行われる第3の登録要求
メッセージに対して完全性保護を行い、第4のMACを生成する。
【0215】
この場合、第1の登録要求メッセージは、第3の登録要求メッセージ(RR3)と、第1のMA
C(MAC1)と、第4のMAC(MAC4)とを含む。MAC1は、ネイティブセキュリティコンテキス
トを使用してRR3に対して完全性保護を行うことによって得られるMAC値である。MAC4は、
マップドセキュリティコンテキストを使用してRR3とMAC1に対して完全性保護を行うこと
によって得られるMAC値である。第1の登録要求メッセージが、ネイティブセキュリティコ
ンテキストとマップドセキュリティコンテキストとに基づいて完全性保護が順次行われる
メッセージであることも理解され得る。
C(MAC1)と、第4のMAC(MAC4)とを含む。MAC1は、ネイティブセキュリティコンテキス
トを使用してRR3に対して完全性保護を行うことによって得られるMAC値である。MAC4は、
マップドセキュリティコンテキストを使用してRR3とMAC1に対して完全性保護を行うこと
によって得られるMAC値である。第1の登録要求メッセージが、ネイティブセキュリティコ
ンテキストとマップドセキュリティコンテキストとに基づいて完全性保護が順次行われる
メッセージであることも理解され得る。
【0216】
ケース1で、第1のAMFが、UEによって送信される第1の登録要求メッセージに含まれたマ
ップドGUITIとネイティブGUTIの両方に基づいて、ネイティブセキュリティコンテキスト
を使用して完全性が保護される第2の登録要求メッセージを、第2のAMFへ送信することを
決定できることを理解されたい。
ップドGUITIとネイティブGUTIの両方に基づいて、ネイティブセキュリティコンテキスト
を使用して完全性が保護される第2の登録要求メッセージを、第2のAMFへ送信することを
決定できることを理解されたい。
【0217】
前述のケース1からケース3が、第2の登録要求メッセージの可能なケースと、UEが第1の
登録要求メッセージをどのように決定するかを説明するための例にすぎないことをさらに
理解されたい。第2の登録要求の別の説明されていない可能な形式も本出願の保護範囲内
に入る。例えば、第4の登録要求メッセージは、nativeコンテキストに基づいてUEによっ
て構築される別の可能なメッセージである。
登録要求メッセージをどのように決定するかを説明するための例にすぎないことをさらに
理解されたい。第2の登録要求の別の説明されていない可能な形式も本出願の保護範囲内
に入る。例えば、第4の登録要求メッセージは、nativeコンテキストに基づいてUEによっ
て構築される別の可能なメッセージである。
【0218】
S420:UEは第1のAMFへ第1の登録要求メッセージを送信する。
【0219】
具体的には、UEは、S410で決定された第1の登録要求メッセージを第1のAMFへ送信する
。
。
【0220】
UEによって第1のAMFへ送信される第1の登録要求メッセージが、アクセスネットワーク
デバイスによって転送され得ることを理解されたい。アクセスネットワークデバイスの機
能は本出願で限定されない。したがって、UEによって第1のAMFへ送信される第1の登録要
求メッセージがアクセスネットワークデバイスによって転送され得ることは、UEが第1のA
MFへ第1の登録要求メッセージを送信することとして直接的に説明される。
デバイスによって転送され得ることを理解されたい。アクセスネットワークデバイスの機
能は本出願で限定されない。したがって、UEによって第1のAMFへ送信される第1の登録要
求メッセージがアクセスネットワークデバイスによって転送され得ることは、UEが第1のA
MFへ第1の登録要求メッセージを送信することとして直接的に説明される。
【0221】
UEが第1のAMFへ第1の登録要求メッセージを送信する前に、UEがマップドセキュリティ
コンテキストを決定する必要があることをさらに理解されたい。したがって、UEが第1のA
MFへ第1の登録要求メッセージを送信する前に、図4に示されている方法手順は、S411から
S414をさらに含む。
コンテキストを決定する必要があることをさらに理解されたい。したがって、UEが第1のA
MFへ第1の登録要求メッセージを送信する前に、図4に示されている方法手順は、S411から
S414をさらに含む。
【0222】
S411:MMEは第1のAMFへ順方向再配置要求メッセージを送信する。このステップは図2の
S210と同様であり、ここでは詳細を再度説明しない。
S210と同様であり、ここでは詳細を再度説明しない。
【0223】
S412:第1のAMFはマップドセキュリティコンテキストを決定する。このステップは図2
のS220と同様であり、ここでは詳細を再度説明しない。
のS220と同様であり、ここでは詳細を再度説明しない。
【0224】
S413:第1のAMFはMMEへ順方向再配置応答メッセージを送信する。このステップは図2の
S230と同様であり、ここでは詳細を再度説明しない。
S230と同様であり、ここでは詳細を再度説明しない。
【0225】
S414:MMEはUEへハンドオーバコマンドメッセージを送信する。このステップは図2のS2
40と同様であり、ここでは詳細を再度説明しない。
40と同様であり、ここでは詳細を再度説明しない。
【0226】
具体的には、UEは、ハンドオーバコマンドメッセージを受信した後に、マップドセキュ
リティコンテキストを導出する。さらに、UEは、ネイティブセキュリティコンテキストと
マップドセキュリティコンテキストを使用することによって、第1の登録要求メッセージ
に対してセキュリティ保護を行う。
リティコンテキストを導出する。さらに、UEは、ネイティブセキュリティコンテキストと
マップドセキュリティコンテキストを使用することによって、第1の登録要求メッセージ
に対してセキュリティ保護を行う。
【0227】
S430:第1のAMFはUEを検証する。
【0228】
具体的には、UEが検証済みであると第1のAMFが判定することは、主に、UEから受信され
る第1の登録要求メッセージが既定の条件を満たすかどうかを判定することである。第1の
登録要求メッセージが既定の条件を満たすと第1のAMFが判定することは、
第1のAMFが、マップドセキュリティコンテキストに基づいて、第1の登録要求メッセー
ジの完全性保護を成功裏に検証すること、または
第1の登録要求メッセージが、4G通信システムから5G通信システムにUEがハンドオーバ
された後にUEによって送信される登録要求メッセージであると第1のAMFが判定することを
含む。例えば、第1のAMFは、UEによって送信される第1の登録要求メッセージを受信する
前に、MMEによって送信される順方向再配置要求メッセージを受信する。したがって、第1
のAMFは、現在受信されている第1の登録要求メッセージが、ハンドオーバ手順でUEから受
信される登録要求メッセージであることを知ることができる。
る第1の登録要求メッセージが既定の条件を満たすかどうかを判定することである。第1の
登録要求メッセージが既定の条件を満たすと第1のAMFが判定することは、
第1のAMFが、マップドセキュリティコンテキストに基づいて、第1の登録要求メッセー
ジの完全性保護を成功裏に検証すること、または
第1の登録要求メッセージが、4G通信システムから5G通信システムにUEがハンドオーバ
された後にUEによって送信される登録要求メッセージであると第1のAMFが判定することを
含む。例えば、第1のAMFは、UEによって送信される第1の登録要求メッセージを受信する
前に、MMEによって送信される順方向再配置要求メッセージを受信する。したがって、第1
のAMFは、現在受信されている第1の登録要求メッセージが、ハンドオーバ手順でUEから受
信される登録要求メッセージであることを知ることができる。
【0229】
第1のAMFは、UEが検証済みであることを検証した後に、第2のAMFへ第2の登録要求メッ
セージを送信し、第2の登録要求メッセージは、UEを検証するために第2のAMFによって使
用される。換言すると、図4に示されている方法手順は、第1のAMFが第2のAMFへ第2の要求
メッセージを送信するS440をさらに含む。
セージを送信し、第2の登録要求メッセージは、UEを検証するために第2のAMFによって使
用される。換言すると、図4に示されている方法手順は、第1のAMFが第2のAMFへ第2の要求
メッセージを送信するS440をさらに含む。
【0230】
任意選択として、第2の登録要求メッセージは第1の要求メッセージに含まれ、第1のAMF
によって第2のAMFへ送信される。
によって第2のAMFへ送信される。
【0231】
可能な一実装において、第1の要求メッセージは、図2に示されている第1のAMFによって
開始されるユーザ機器コンテキスト転送サービス呼び出し要求(Namf_Communication_UEC
ontextTransfer)である。図2に示されているユーザ機器コンテキスト転送サービス呼び
出し要求とは異なり、本出願の本実施形態におけるユーザ機器コンテキスト転送サービス
呼び出し要求は、新たに追加される情報要素を、すなわち第1のMACを、含む。
開始されるユーザ機器コンテキスト転送サービス呼び出し要求(Namf_Communication_UEC
ontextTransfer)である。図2に示されているユーザ機器コンテキスト転送サービス呼び
出し要求とは異なり、本出願の本実施形態におけるユーザ機器コンテキスト転送サービス
呼び出し要求は、新たに追加される情報要素を、すなわち第1のMACを、含む。
【0232】
別の可能な一実装において、第1の要求メッセージは、第1のAMFによって第2のAMFへ送
信され、UEのセキュリティコンテキストを取得するために使用される、別の可能な第1の
要求メッセージである。
信され、UEのセキュリティコンテキストを取得するために使用される、別の可能な第1の
要求メッセージである。
【0233】
第1の要求メッセージの具体的な形式が本出願で限定されないことを理解されたい。第1
のMACは、第1のAMFと第2のAMFとの間の既存のシグナリングに加えられてよく、または第1
のAMFと第2のAMFとの間に新たに加えられるシグナリングに加えられてもよい。
のMACは、第1のAMFと第2のAMFとの間の既存のシグナリングに加えられてよく、または第1
のAMFと第2のAMFとの間に新たに加えられるシグナリングに加えられてもよい。
【0234】
さらに、第1のAMFがUEのセキュリティコンテキストを取得する必要があると第2のAMFが
判定できるようにするため、第1の要求メッセージはUEのIDをさらに保持する。具体的に
は、UEのIDは、第1のAMFによって第2のAMFへ送信される第2の登録要求メッセージに含ま
れる。
判定できるようにするため、第1の要求メッセージはUEのIDをさらに保持する。具体的に
は、UEのIDは、第1のAMFによって第2のAMFへ送信される第2の登録要求メッセージに含ま
れる。
【0235】
可能な一実装において、UEのIDはマップドGUTIであってよい。
【0236】
可能な一実装において、UEのIDはネイティブGUTIであってよい。
【0237】
別の可能な一実装において、UEのIDはSUPIであってよい。
【0238】
第1のAMFが、UEからUEのマップドGUTIを受信した後に、第2のAMFからUEのセキュリティ
コンテキストを取得する必要があると判定する場合に、第1のAMFが、UEのマップドGUTI、
UEのSUPI、またはUEのマップドGUTIとSUPIの両方を第1の要求メッセージに加え続けるこ
とを選択できることを理解されたい。
コンテキストを取得する必要があると判定する場合に、第1のAMFが、UEのマップドGUTI、
UEのSUPI、またはUEのマップドGUTIとSUPIの両方を第1の要求メッセージに加え続けるこ
とを選択できることを理解されたい。
【0239】
第1のAMFによって受信される第1の登録要求メッセージがS410のケース1に示されている
第1の登録要求メッセージである場合に、第1の登録要求メッセージが第2の登録要求メッ
セージを保持し、第2の登録要求メッセージがネイティブGUTIを含むことをさらに理解さ
れたい。この場合、第1のAMFは、UEのネイティブGUTIを第1の要求メッセージに加えるこ
とを選択できる。
第1の登録要求メッセージである場合に、第1の登録要求メッセージが第2の登録要求メッ
セージを保持し、第2の登録要求メッセージがネイティブGUTIを含むことをさらに理解さ
れたい。この場合、第1のAMFは、UEのネイティブGUTIを第1の要求メッセージに加えるこ
とを選択できる。
【0240】
さらに、第2の登録要求メッセージはUEのUL NAS COUNTをさらに含み、その結果、第2の
AMFは、UEのUL NAS COUNTを取得できる。
AMFは、UEのUL NAS COUNTを取得できる。
【0241】
さらに、第2のAMFは、第1のAMFによって送信される第1の要求メッセージを受信した後
に、第2の登録要求メッセージの完全性検証結果に基づいて、UEが検証済みであるかどう
かを判定する。具体的には、第2のAMFはS450を実行する、つまり、第2の登録要求メッセ
ージの完全性を検証する。
に、第2の登録要求メッセージの完全性検証結果に基づいて、UEが検証済みであるかどう
かを判定する。具体的には、第2のAMFはS450を実行する、つまり、第2の登録要求メッセ
ージの完全性を検証する。
【0242】
第2のAMFは、第2のAMFとユーザ機器との間のセキュリティコンテキストに基づいて、第
2の登録要求メッセージの完全性を検証する。例えば、第2のAMFは、ネイティブに保存さ
れたセキュリティコンテキストに基づいて第2のMACを生成し、第1のMACを第2のMACと比較
する。第1のMACが第2のMACと等しければ、第2のAMFは、UEを成功裏に検証し、UEが検証済
みであると判定する。この場合、第2のAMFは第1のAMFへUEのセキュリティコンテキストを
送信する。
2の登録要求メッセージの完全性を検証する。例えば、第2のAMFは、ネイティブに保存さ
れたセキュリティコンテキストに基づいて第2のMACを生成し、第1のMACを第2のMACと比較
する。第1のMACが第2のMACと等しければ、第2のAMFは、UEを成功裏に検証し、UEが検証済
みであると判定する。この場合、第2のAMFは第1のAMFへUEのセキュリティコンテキストを
送信する。
【0243】
第1のMACが、UEと第2のAMFとの間で取り決められるUEのセキュリティコンテキストに基
づいてUEによって生成されるMACであり、第2のMACが、UEと第2のAMFとの間で取り決めら
れるUEのセキュリティコンテキストに基づいて第2のAMFによって生成されるMACであるこ
とを理解されたい。したがって、第1のMACが第2のMACと等しい可能性は高い。この場合、
第2のAMFはUEを成功裏に検証でき、送信エラーなどの確率の低い事象のために第2のAMFが
UEの検証に失敗しない限りは、UEのセキュリティコンテキストを第1のAMFに返す。図2に
示されている方法手順と比較して、図4に示されているセキュリティコンテキスト取得方
法は、第1のAMFが第2のAMFからユーザ機器のセキュリティコンテキストを成功裏に取得す
る可能性を高める。
づいてUEによって生成されるMACであり、第2のMACが、UEと第2のAMFとの間で取り決めら
れるUEのセキュリティコンテキストに基づいて第2のAMFによって生成されるMACであるこ
とを理解されたい。したがって、第1のMACが第2のMACと等しい可能性は高い。この場合、
第2のAMFはUEを成功裏に検証でき、送信エラーなどの確率の低い事象のために第2のAMFが
UEの検証に失敗しない限りは、UEのセキュリティコンテキストを第1のAMFに返す。図2に
示されている方法手順と比較して、図4に示されているセキュリティコンテキスト取得方
法は、第1のAMFが第2のAMFからユーザ機器のセキュリティコンテキストを成功裏に取得す
る可能性を高める。
【0244】
第2のAMFは、第2の登録要求メッセージの完全性を成功裏に検証した後に、S460を実行
する、つまり、第1のAMFへユーザUEのセキュリティコンテキストを送信する。
する、つまり、第1のAMFへユーザUEのセキュリティコンテキストを送信する。
【0245】
任意選択として、UEのセキュリティコンテキストは第1の応答メッセージに含まれる。
【0246】
さらに、UEのセキュリティコンテキストがUEのコンテキストに含まれる場合は、第2のA
MFが第1のAMFへUEのコンテキストを送信できる。
MFが第1のAMFへUEのコンテキストを送信できる。
【0247】
任意選択として、第2のAMFは、UL NAS COUNTに基づいて、UEのセキュリティコンテキス
ト内の第1の鍵に対して鍵導出を行うことができる。この場合、第2のAMFによって第1のAM
Fに返されるUEのセキュリティコンテキスト内の鍵は、第1の鍵に対して鍵導出を行うこと
によって得られる第2の鍵である。本出願の本実施形態において、鍵導出によって生成さ
れる第2の鍵を含むUEのセキュリティコンテキストは、第2のセキュリティコンテキストと
呼ばれることがある。換言すると、第2のAMFによって第1のAMFへ送信されるUEのセキュリ
ティコンテキストは、鍵導出を受けない可能性があり、第2のAMFにネイティブに保存され
ている第2のAMFとUEとの間のUEのセキュリティコンテキストであってよく、または第2のA
MFが、ローカルポリシーに従って、ネイティブに保存された第2のAMFとUEとの間のUEのセ
キュリティコンテキスト内の鍵に対して鍵導出を行って導出された鍵を生成する場合の、
第2のセキュリティコンテキストであってもよい。
ト内の第1の鍵に対して鍵導出を行うことができる。この場合、第2のAMFによって第1のAM
Fに返されるUEのセキュリティコンテキスト内の鍵は、第1の鍵に対して鍵導出を行うこと
によって得られる第2の鍵である。本出願の本実施形態において、鍵導出によって生成さ
れる第2の鍵を含むUEのセキュリティコンテキストは、第2のセキュリティコンテキストと
呼ばれることがある。換言すると、第2のAMFによって第1のAMFへ送信されるUEのセキュリ
ティコンテキストは、鍵導出を受けない可能性があり、第2のAMFにネイティブに保存され
ている第2のAMFとUEとの間のUEのセキュリティコンテキストであってよく、または第2のA
MFが、ローカルポリシーに従って、ネイティブに保存された第2のAMFとUEとの間のUEのセ
キュリティコンテキスト内の鍵に対して鍵導出を行って導出された鍵を生成する場合の、
第2のセキュリティコンテキストであってもよい。
【0248】
具体的には、第2のAMFによって第1のAMFへ送信されるUEのセキュリティコンテキスト内
の鍵が第2の鍵である場合は、第2のAMFはさらに、第2の鍵が鍵導出によって得られた鍵で
あることを示すために、第1のAMFへ鍵導出指示情報を送信する必要がある。
の鍵が第2の鍵である場合は、第2のAMFはさらに、第2の鍵が鍵導出によって得られた鍵で
あることを示すために、第1のAMFへ鍵導出指示情報を送信する必要がある。
【0249】
第1のAMFがUEのセキュリティコンテキストを取得した後の手順が、4G通信システムから
5G通信システムにUEをハンドオーバする既存の手順で第1のAMFがUEのセキュリティコンテ
キストを取得した後の手順と同様であることを理解されたい。詳細については、既存の手
順を参照されたい。ここでは詳細を再度説明しない。
5G通信システムにUEをハンドオーバする既存の手順で第1のAMFがUEのセキュリティコンテ
キストを取得した後の手順と同様であることを理解されたい。詳細については、既存の手
順を参照されたい。ここでは詳細を再度説明しない。
【0250】
例えば、UEと第1のAMFはその後、ネイティブセキュリティコンテキストを使用すること
を取り決める。具体的には、第1のAMFはUEへ非アクセス層セキュリティモードコマンド(
non-access stratum secure mode command、NAS SMC)メッセージを送信し、UEはNAS SMC
メッセージの完全性を検証する。UEは、NAS SMCメッセージを成功裏に検証した後に、第1
のAMFへ非アクセス層セキュリティモード完了(non-access layer security mode comple
te)メッセージを送信する。
を取り決める。具体的には、第1のAMFはUEへ非アクセス層セキュリティモードコマンド(
non-access stratum secure mode command、NAS SMC)メッセージを送信し、UEはNAS SMC
メッセージの完全性を検証する。UEは、NAS SMCメッセージを成功裏に検証した後に、第1
のAMFへ非アクセス層セキュリティモード完了(non-access layer security mode comple
te)メッセージを送信する。
【0251】
可能な一実装において、第2のAMFは、第2の登録要求メッセージの完全性の検証に失敗
すると、第2のAMFが第2の登録要求メッセージの完全性の検証に失敗したことを第1のAMF
に知らせるために、第1のAMFへ失敗指示情報を送信する。
すると、第2のAMFが第2の登録要求メッセージの完全性の検証に失敗したことを第1のAMF
に知らせるために、第1のAMFへ失敗指示情報を送信する。
【0252】
さらに、第2のAMFが第2の登録要求メッセージの完全性検証に失敗したことを示す失敗
指示情報を第1のAMFが受信した後に、第1のAMFは、ローカルポリシーに従って、第1のAMF
がマップドセキュリティコンテキストを引き続き使用できると判定し、または第1のAMFは
、ローカルポリシーに従って、UEに対して初期認証を開始することを決定し、第1のAMFと
UEの間の新しいセキュリティコンテキストを生成する。
指示情報を第1のAMFが受信した後に、第1のAMFは、ローカルポリシーに従って、第1のAMF
がマップドセキュリティコンテキストを引き続き使用できると判定し、または第1のAMFは
、ローカルポリシーに従って、UEに対して初期認証を開始することを決定し、第1のAMFと
UEの間の新しいセキュリティコンテキストを生成する。
【0253】
前述したプロセスの順序番号が、前述した方法の実施形態における実行順序を意味しな
いことを理解されたい。プロセスの実行順序は、プロセスの機能と内部ロジックとに基づ
いて決定されるべきであり、本出願の実施形態の実施過程に対する制限として解釈される
べきではない。
いことを理解されたい。プロセスの実行順序は、プロセスの機能と内部ロジックとに基づ
いて決定されるべきであり、本出願の実施形態の実施過程に対する制限として解釈される
べきではない。
【0254】
以上、図3および図4を参照して本出願の実施形態のセキュリティコンテキスト取得方法
を詳しく説明した。以下では、図5から図10を参照して、本出願の実施形態のセキュリテ
ィコンテキスト取得装置を詳しく説明する。
を詳しく説明した。以下では、図5から図10を参照して、本出願の実施形態のセキュリテ
ィコンテキスト取得装置を詳しく説明する。
【0255】
【0256】
送信ユニット510は、第1のAMFへ第1の登録要求メッセージを送信するように構成される
。
。
【0257】
処理ユニット520は、第1の登録要求メッセージを決定するように構成される。
【0258】
受信ユニット530は、MMEによって送信されるハンドオーバコマンドメッセージを受信す
るように構成される。
るように構成される。
【0259】
装置50は方法の実施形態におけるユーザ機器に完全に一致する。装置50は方法の実施形
態におけるユーザ機器であってよく、または方法の実施形態におけるユーザ機器内のチッ
プもしくは機能モジュールであってもよい。装置50の対応するユニットは、図3および図4
に示されている方法の実施形態でユーザ機器によって実行される対応するステップを実行
するように構成される。
態におけるユーザ機器であってよく、または方法の実施形態におけるユーザ機器内のチッ
プもしくは機能モジュールであってもよい。装置50の対応するユニットは、図3および図4
に示されている方法の実施形態でユーザ機器によって実行される対応するステップを実行
するように構成される。
【0260】
装置50の送信ユニット510は、方法の実施形態でユーザ機器によって実行される送信ス
テップを実行する。例えば、送信ユニット510は、図3で第1のAMFへ登録要求メッセージを
送信するステップS316と、図4で第1のAMFへ第1の登録要求メッセージを送信するステップ
S420とを実行する。
テップを実行する。例えば、送信ユニット510は、図3で第1のAMFへ登録要求メッセージを
送信するステップS316と、図4で第1のAMFへ第1の登録要求メッセージを送信するステップ
S420とを実行する。
【0261】
処理ユニット520は、方法の実施形態においてユーザ機器内で実施または処理されるス
テップを実行する。例えば、処理ユニット520は、図3でマップドセキュリティコンテキス
トを決定するステップS315と、図4で第1の登録要求メッセージを決定するステップS410と
を実行する。
テップを実行する。例えば、処理ユニット520は、図3でマップドセキュリティコンテキス
トを決定するステップS315と、図4で第1の登録要求メッセージを決定するステップS410と
を実行する。
【0262】
受信ユニット530は、方法の実施形態でユーザ機器によって実行される受信ステップを
実行する。例えば、受信ユニット530は、図3でMMEによって送信されるハンドオーバコマ
ンドメッセージを受信するステップ314と、図4でMMEによって送信されるハンドオーバコ
マンドメッセージを受信するステップ414とを実行する。
実行する。例えば、受信ユニット530は、図3でMMEによって送信されるハンドオーバコマ
ンドメッセージを受信するステップ314と、図4でMMEによって送信されるハンドオーバコ
マンドメッセージを受信するステップ414とを実行する。
【0263】
装置50に示されている送信ユニット510と受信ユニット530は、受信機能と送信機能の両
方を有するトランシーバユニットを構成してよい。処理ユニット520はプロセッサであっ
てよい。送信ユニット510は送信機であってよく、受信ユニット530は受信機であってよい
。受信機と送信機とは一体化されてトランシーバを構成してよい。
方を有するトランシーバユニットを構成してよい。処理ユニット520はプロセッサであっ
てよい。送信ユニット510は送信機であってよく、受信ユニット530は受信機であってよい
。受信機と送信機とは一体化されてトランシーバを構成してよい。
【0264】
図6は、本出願の一実施形態に適用可能なユーザ機器60の概略構成図である。ユーザ機
器60は図1に示されているシステムに適用されてよい。説明を容易にするため、図6はユー
ザ機器の主要なコンポーネントのみを示している。図6に示されているように、ユーザ機
器60は、プロセッサ(図5の処理ユニット520に対応)と、メモリと、制御回路と、アンテ
ナと、入出力装置(図5の送信ユニット510および受信ユニット530に対応)とを含む。プ
ロセッサは、信号を送受信するようにアンテナと入出力装置とを制御するように構成され
る。メモリは、コンピュータプログラムを記憶するように構成される。プロセッサは、本
出願で提供されるセキュリティコンテキスト取得方法でユーザ機器によって実行される対
応する手順および/または動作を実行するために、メモリからコンピュータプログラムを
呼び出し、なおかつコンピュータプログラムを実行するように構成される。ここでは詳細
を再度説明しない。
器60は図1に示されているシステムに適用されてよい。説明を容易にするため、図6はユー
ザ機器の主要なコンポーネントのみを示している。図6に示されているように、ユーザ機
器60は、プロセッサ(図5の処理ユニット520に対応)と、メモリと、制御回路と、アンテ
ナと、入出力装置(図5の送信ユニット510および受信ユニット530に対応)とを含む。プ
ロセッサは、信号を送受信するようにアンテナと入出力装置とを制御するように構成され
る。メモリは、コンピュータプログラムを記憶するように構成される。プロセッサは、本
出願で提供されるセキュリティコンテキスト取得方法でユーザ機器によって実行される対
応する手順および/または動作を実行するために、メモリからコンピュータプログラムを
呼び出し、なおかつコンピュータプログラムを実行するように構成される。ここでは詳細
を再度説明しない。
【0265】
当業者であれば、説明を容易にするため、図6がただ1つのメモリとただ1つのプロセッ
サを示していることを理解できるだろう。実際のユーザ機器は、複数のプロセッサと複数
のメモリを有してよい。メモリは、記憶媒体または記憶デバイスなどと呼ばれることもあ
る。これは、本出願の本実施形態で限定されない。
サを示していることを理解できるだろう。実際のユーザ機器は、複数のプロセッサと複数
のメモリを有してよい。メモリは、記憶媒体または記憶デバイスなどと呼ばれることもあ
る。これは、本出願の本実施形態で限定されない。
【0266】
【0267】
受信ユニット710は、ユーザ機器によって送信される第1の登録要求メッセージを受信し
、第1の登録要求メッセージが第2の登録要求メッセージを保持し、第2の登録要求メッセ
ージには第1のセキュリティコンテキストを使用して完全性保護が行われ、第1のセキュリ
ティコンテキストがユーザ機器と第2のAMFとの間のネイティブセキュリティコンテキスト
であり、第1のAMFが、4G通信システムから5G通信システムにユーザ機器がハンドオーバさ
れた後にユーザ機器のためにアクセスおよびモビリティ管理サービスを提供するAMFであ
る、ように構成される。
、第1の登録要求メッセージが第2の登録要求メッセージを保持し、第2の登録要求メッセ
ージには第1のセキュリティコンテキストを使用して完全性保護が行われ、第1のセキュリ
ティコンテキストがユーザ機器と第2のAMFとの間のネイティブセキュリティコンテキスト
であり、第1のAMFが、4G通信システムから5G通信システムにユーザ機器がハンドオーバさ
れた後にユーザ機器のためにアクセスおよびモビリティ管理サービスを提供するAMFであ
る、ように構成される。
【0268】
処理ユニット720は、マップドセキュリティコンテキストを決定するように構成される
。
。
【0269】
送信ユニット730は、第2のAMFへ第2の登録要求メッセージを送信するように構成される
。
。
【0270】
装置70は方法の実施形態における第1のAMFに完全に一致する。装置70は方法の実施形態
における第1のAMFであってよく、または方法の実施形態における第1のAMF内のチップもし
くは機能モジュールであってもよい。装置70の対応するユニットは、図3および図4に示さ
れている方法の実施形態で第1のAMFによって実行される対応するステップを実行するよう
に構成される。
における第1のAMFであってよく、または方法の実施形態における第1のAMF内のチップもし
くは機能モジュールであってもよい。装置70の対応するユニットは、図3および図4に示さ
れている方法の実施形態で第1のAMFによって実行される対応するステップを実行するよう
に構成される。
【0271】
装置70の受信ユニット710は、方法の実施形態で第1のAMFによって実行される受信ステ
ップを実行する。例えば、受信ユニット710は、図3でMMEによって送信される順方向再配
置要求メッセージを受信するステップS311と、図4でMMEによって送信される順方向再配置
要求メッセージを受信するステップS411と、図3でUEによって送信される登録要求メッセ
ージを受信するステップS316と、図3でUEによって送信される第1の登録要求メッセージを
受信するステップS420と、図3で第2のAMFによって送信される第2の応答メッセージを受信
するステップS330と、図4で第2のAMFによって送信されるUEのセキュリティコンテキスト
を受信するステップS460とを実行する。
ップを実行する。例えば、受信ユニット710は、図3でMMEによって送信される順方向再配
置要求メッセージを受信するステップS311と、図4でMMEによって送信される順方向再配置
要求メッセージを受信するステップS411と、図3でUEによって送信される登録要求メッセ
ージを受信するステップS316と、図3でUEによって送信される第1の登録要求メッセージを
受信するステップS420と、図3で第2のAMFによって送信される第2の応答メッセージを受信
するステップS330と、図4で第2のAMFによって送信されるUEのセキュリティコンテキスト
を受信するステップS460とを実行する。
【0272】
処理ユニット720は、方法の実施形態において第1のAMF内で実施または処理されるステ
ップを実行する。例えば、処理ユニット720は、図3でマップドセキュリティコンテキスト
を決定するステップS312と、図4でマップドセキュリティコンテキストを決定するステッ
プS412と、図3でUEを検証するステップS317と、図4でUEを検証するステップS430とを実行
する。
ップを実行する。例えば、処理ユニット720は、図3でマップドセキュリティコンテキスト
を決定するステップS312と、図4でマップドセキュリティコンテキストを決定するステッ
プS412と、図3でUEを検証するステップS317と、図4でUEを検証するステップS430とを実行
する。
【0273】
送信ユニット730は、方法の実施形態で第1のAMFによって実行される送信ステップを実
行する。例えば、送信ユニット730は、図3でMMEへ順方向再配置応答メッセージを送信す
るステップS313と、図4でMMEへ順方向再配置応答メッセージを送信するステップS413と、
図3で第2のAMFへ第2の要求メッセージを送信するステップS310と、図4で第2のAMFへ第2の
登録要求メッセージを送信するステップS440とを実行する。
行する。例えば、送信ユニット730は、図3でMMEへ順方向再配置応答メッセージを送信す
るステップS313と、図4でMMEへ順方向再配置応答メッセージを送信するステップS413と、
図3で第2のAMFへ第2の要求メッセージを送信するステップS310と、図4で第2のAMFへ第2の
登録要求メッセージを送信するステップS440とを実行する。
【0274】
受信ユニット710と送信ユニット730は、受信機能と送信機能の両方を有するトランシー
バユニットを構成してよい。処理ユニット720はプロセッサであってよい。送信ユニット7
30は送信機であってよい。受信ユニット710は受信機であってよい。受信機と送信機とは
一体化されてトランシーバを構成してよい。
バユニットを構成してよい。処理ユニット720はプロセッサであってよい。送信ユニット7
30は送信機であってよい。受信ユニット710は受信機であってよい。受信機と送信機とは
一体化されてトランシーバを構成してよい。
【0275】
図8に示されているように、本出願の一実施形態は第1のAMF 80をさらに提供する。第1
のAMF 80は、プロセッサ810と、メモリ820と、トランシーバ830とを含む。メモリ820は命
令またはプログラムを記憶し、プロセッサ830は、メモリ820に記憶された命令またはプロ
グラムを実行するように構成される。メモリ820に記憶された命令またはプログラムが実
行されると、トランシーバ830は、図7に示されている装置70内の受信ユニット710および
送信ユニット730によって実行される動作を実行するように構成される。
のAMF 80は、プロセッサ810と、メモリ820と、トランシーバ830とを含む。メモリ820は命
令またはプログラムを記憶し、プロセッサ830は、メモリ820に記憶された命令またはプロ
グラムを実行するように構成される。メモリ820に記憶された命令またはプログラムが実
行されると、トランシーバ830は、図7に示されている装置70内の受信ユニット710および
送信ユニット730によって実行される動作を実行するように構成される。
【0276】
【0277】
受信ユニット910は、第1のAMFによって送信される第2の登録要求メッセージを受信し、
第2の登録要求メッセージには第1のセキュリティコンテキストを使用して完全性保護が行
われ、第1のセキュリティコンテキストがユーザ機器と第2のAMFとの間のネイティブセキ
ュリティコンテキストである、ように構成される。
第2の登録要求メッセージには第1のセキュリティコンテキストを使用して完全性保護が行
われ、第1のセキュリティコンテキストがユーザ機器と第2のAMFとの間のネイティブセキ
ュリティコンテキストである、ように構成される。
【0278】
処理ユニット920は、第2の登録要求メッセージの完全性を検証するように構成される。
【0279】
送信ユニット930は、処理ユニット920が第2の登録要求メッセージの完全性を成功裏に
検証した場合に、第1のAMFへユーザ機器のセキュリティコンテキストを送信するように構
成される。
検証した場合に、第1のAMFへユーザ機器のセキュリティコンテキストを送信するように構
成される。
【0280】
装置90は方法の実施形態における第2のAMFに完全に一致する。装置90は方法の実施形態
における第2のAMFであってよく、または方法の実施形態における第2のAMF内のチップもし
くは機能モジュールであってもよい。装置90の対応するユニットは、図3および図4に示さ
れている方法の実施形態で第2のAMFによって実行される対応するステップを実行するよう
に構成される。
における第2のAMFであってよく、または方法の実施形態における第2のAMF内のチップもし
くは機能モジュールであってもよい。装置90の対応するユニットは、図3および図4に示さ
れている方法の実施形態で第2のAMFによって実行される対応するステップを実行するよう
に構成される。
【0281】
装置90の受信ユニット910は、方法の実施形態で第2のAMFによって実行される受信ステ
ップを実行する。例えば、受信ユニット910は、図3で第1のAMFによって送信される第2の
要求メッセージを受信するステップS310と、図4で第1のAMFによって送信される第2の登録
要求メッセージを受信するステップS440とを実行する。
ップを実行する。例えば、受信ユニット910は、図3で第1のAMFによって送信される第2の
要求メッセージを受信するステップS310と、図4で第1のAMFによって送信される第2の登録
要求メッセージを受信するステップS440とを実行する。
【0282】
処理ユニット920は、方法の実施形態において第2のAMF内で実施または処理されるステ
ップを実行する。例えば、処理ユニット920は、図3でUEを検証する必要がないと判定する
ステップS320と、図4で第2の登録要求メッセージの完全性を検証するステップS450とを実
行する。
ップを実行する。例えば、処理ユニット920は、図3でUEを検証する必要がないと判定する
ステップS320と、図4で第2の登録要求メッセージの完全性を検証するステップS450とを実
行する。
【0283】
送信ユニット930は、方法の実施形態で第2のAMFによって実行される送信ステップを実
行する。例えば、送信ユニット930は、図3で第1のAMFへ第2の応答メッセージを送信する
ステップS330と、図4で第1のAMFへUEのセキュリティコンテキストを送信するステップS46
0とを実行する。
行する。例えば、送信ユニット930は、図3で第1のAMFへ第2の応答メッセージを送信する
ステップS330と、図4で第1のAMFへUEのセキュリティコンテキストを送信するステップS46
0とを実行する。
【0284】
送信ユニット930と受信ユニット910は、受信機能と送信機能の両方を有するトランシー
バユニットを構成してよい。処理ユニット920はプロセッサであってよい。送信ユニット9
30は送信機であってよく、受信ユニット910は受信機であってよい。受信機と送信機とは
一体化されてトランシーバを構成してよい。
バユニットを構成してよい。処理ユニット920はプロセッサであってよい。送信ユニット9
30は送信機であってよく、受信ユニット910は受信機であってよい。受信機と送信機とは
一体化されてトランシーバを構成してよい。
【0285】
図10に示されているように、本出願の一実施形態は第2のAMF 100をさらに提供する。第
2のAMF 100は、プロセッサ1010と、メモリ1020と、トランシーバ1030とを含む。メモリ10
20は命令またはプログラムを記憶し、プロセッサ1030は、メモリ1020に記憶された命令ま
たはプログラムを実行するように構成される。メモリ1020に記憶された命令またはプログ
ラムが実行されると、トランシーバ1030は、図9に示されている装置90内の受信ユニット9
10および送信ユニット930によって実行される動作を実行するように構成される。
2のAMF 100は、プロセッサ1010と、メモリ1020と、トランシーバ1030とを含む。メモリ10
20は命令またはプログラムを記憶し、プロセッサ1030は、メモリ1020に記憶された命令ま
たはプログラムを実行するように構成される。メモリ1020に記憶された命令またはプログ
ラムが実行されると、トランシーバ1030は、図9に示されている装置90内の受信ユニット9
10および送信ユニット930によって実行される動作を実行するように構成される。
【0286】
本出願の一実施形態は、コンピュータ可読記憶媒体をさらに提供する。コンピュータ可
読記憶媒体は命令を記憶する。命令がコンピュータで実行されると、コンピュータは、図
3および図4に示されている方法で第1のAMFによって実行されるステップを実行できるよう
になる。
読記憶媒体は命令を記憶する。命令がコンピュータで実行されると、コンピュータは、図
3および図4に示されている方法で第1のAMFによって実行されるステップを実行できるよう
になる。
【0287】
本出願の一実施形態は、コンピュータ可読記憶媒体をさらに提供する。コンピュータ可
読記憶媒体は命令を記憶する。命令がコンピュータで実行されると、コンピュータは、図
3および図4に示されている方法で第2のAMFによって実行されるステップを実行できるよう
になる。
読記憶媒体は命令を記憶する。命令がコンピュータで実行されると、コンピュータは、図
3および図4に示されている方法で第2のAMFによって実行されるステップを実行できるよう
になる。
【0288】
本出願の一実施形態は、命令を含むコンピュータプログラム製品をさらに提供する。こ
のコンピュータプログラム製品がコンピュータで実行すると、コンピュータは、図3およ
び図4に示されている方法で第1のAMFによって実行されるステップを実行できるようにな
る。
のコンピュータプログラム製品がコンピュータで実行すると、コンピュータは、図3およ
び図4に示されている方法で第1のAMFによって実行されるステップを実行できるようにな
る。
【0289】
本出願の一実施形態は、命令を含むコンピュータプログラム製品をさらに提供する。こ
のコンピュータプログラム製品がコンピュータで実行すると、コンピュータは、図3およ
び図4に示されている方法で第2のAMFによって実行されるステップを実行できるようにな
る。
のコンピュータプログラム製品がコンピュータで実行すると、コンピュータは、図3およ
び図4に示されている方法で第2のAMFによって実行されるステップを実行できるようにな
る。
【0290】
本出願の一実施形態は、プロセッサを含むチップをさらに提供する。このプロセッサは
、本出願で提供されるセキュリティコンテキスト取得方法で第2のAMFによって実行される
対応する動作および/または手順を実行するために、メモリに記憶されたコンピュータプ
ログラムを読み取り、なおかつコンピュータプログラムを実行するように構成される。任
意選択として、チップはメモリをさらに含む。メモリは、回路またはケーブルを通じてプ
ロセッサに接続される。プロセッサは、メモリからコンピュータプログラムを読み取り、
なおかつコンピュータプログラムを実行するように構成される。任意選択として、チップ
は通信インターフェイスをさらに含む。プロセッサは通信インターフェイスに接続される
。通信インターフェイスは、処理される必要があるデータおよび/または情報を受信する
ように構成される。プロセッサは通信インターフェイスからデータおよび/または情報を
取得し、データおよび/または情報を処理する。通信インターフェイスは入出力インター
フェイスであってよい。
、本出願で提供されるセキュリティコンテキスト取得方法で第2のAMFによって実行される
対応する動作および/または手順を実行するために、メモリに記憶されたコンピュータプ
ログラムを読み取り、なおかつコンピュータプログラムを実行するように構成される。任
意選択として、チップはメモリをさらに含む。メモリは、回路またはケーブルを通じてプ
ロセッサに接続される。プロセッサは、メモリからコンピュータプログラムを読み取り、
なおかつコンピュータプログラムを実行するように構成される。任意選択として、チップ
は通信インターフェイスをさらに含む。プロセッサは通信インターフェイスに接続される
。通信インターフェイスは、処理される必要があるデータおよび/または情報を受信する
ように構成される。プロセッサは通信インターフェイスからデータおよび/または情報を
取得し、データおよび/または情報を処理する。通信インターフェイスは入出力インター
フェイスであってよい。
【0291】
本出願は、プロセッサを含むチップをさらに提供する。このプロセッサは、本出願で提
供されるセキュリティコンテキスト取得方法で第1のAMFによって実行される対応する動作
および/または手順を実行するために、メモリに記憶されたコンピュータプログラムを呼
び出し、なおかつコンピュータプログラムを実行するように構成される。任意選択として
、チップはメモリをさらに含む。メモリは、回路またはケーブルを通じてプロセッサに接
続される。プロセッサは、メモリからコンピュータプログラムを読み取り、なおかつコン
ピュータプログラムを実行するように構成される。任意選択として、チップは通信インタ
ーフェイスをさらに含む。プロセッサは通信インターフェイスに接続される。通信インタ
ーフェイスは、処理される必要があるデータおよび/または情報を受信するように構成さ
れる。プロセッサは通信インターフェイスからデータおよび/または情報を取得し、デー
タおよび/または情報を処理する。通信インターフェイスは入出力インターフェイスであ
ってよい。
供されるセキュリティコンテキスト取得方法で第1のAMFによって実行される対応する動作
および/または手順を実行するために、メモリに記憶されたコンピュータプログラムを呼
び出し、なおかつコンピュータプログラムを実行するように構成される。任意選択として
、チップはメモリをさらに含む。メモリは、回路またはケーブルを通じてプロセッサに接
続される。プロセッサは、メモリからコンピュータプログラムを読み取り、なおかつコン
ピュータプログラムを実行するように構成される。任意選択として、チップは通信インタ
ーフェイスをさらに含む。プロセッサは通信インターフェイスに接続される。通信インタ
ーフェイスは、処理される必要があるデータおよび/または情報を受信するように構成さ
れる。プロセッサは通信インターフェイスからデータおよび/または情報を取得し、デー
タおよび/または情報を処理する。通信インターフェイスは入出力インターフェイスであ
ってよい。
【0292】
当業者なら、本明細書で開示されている実施形態で説明されている例を併用することに
よって、ユニットとアルゴリズムのステップが、電子ハードウェア、またはコンピュータ
ソフトウェアと電子ハードウェアとの組み合わせによって実装され得ることに気付くこと
ができる。機能がハードウェアとソフトウェアのどちらによって実装されるかは、技術的
なソリューションの具体的な用途と設計上の制約に左右される。当業者なら、具体的な用
途ごとに様々な方法を用いて説明されている機能を実装できるが、かかる実装は本出願の
範囲を越えると見なされるべきではない。
よって、ユニットとアルゴリズムのステップが、電子ハードウェア、またはコンピュータ
ソフトウェアと電子ハードウェアとの組み合わせによって実装され得ることに気付くこと
ができる。機能がハードウェアとソフトウェアのどちらによって実装されるかは、技術的
なソリューションの具体的な用途と設計上の制約に左右される。当業者なら、具体的な用
途ごとに様々な方法を用いて説明されている機能を実装できるが、かかる実装は本出願の
範囲を越えると見なされるべきではない。
【0293】
説明を簡便にする目的で、前述のシステム、装置、およびユニットの詳細な動作プロセ
スについては、上述の方法の実施形態における対応するプロセスを参照するべきであるこ
とは当業者によって明確に理解され得るし、ここでは詳細を再度説明しない。
スについては、上述の方法の実施形態における対応するプロセスを参照するべきであるこ
とは当業者によって明確に理解され得るし、ここでは詳細を再度説明しない。
【0294】
本出願で提供されるいくつかの実施形態において、開示されているシステム、装置、お
よび方法が、別の方式で実装されてもよいことを理解されたい。例えば、説明されている
装置の実施形態は一例にすぎない。例えば、ユニットへの分割は、論理的な機能の分割に
すぎず、実際の実装では別の分割であってもよい。例えば、複数のユニットまたはコンポ
ーネントが別のシステムに組み合わされてもよく、もしくは別のシステムに統合されても
よく、または一部の機能は無視されてもよく、もしくは実行されなくてもよい。加えて、
表示または論述されている相互結合または直接結合または通信接続は、いくつかのインタ
ーフェイスを使用して実施されてよい。装置間またはユニット間の間接的結合または通信
接続は、電気的形態、機械的形態、またはその他の形態で実装されてよい。
よび方法が、別の方式で実装されてもよいことを理解されたい。例えば、説明されている
装置の実施形態は一例にすぎない。例えば、ユニットへの分割は、論理的な機能の分割に
すぎず、実際の実装では別の分割であってもよい。例えば、複数のユニットまたはコンポ
ーネントが別のシステムに組み合わされてもよく、もしくは別のシステムに統合されても
よく、または一部の機能は無視されてもよく、もしくは実行されなくてもよい。加えて、
表示または論述されている相互結合または直接結合または通信接続は、いくつかのインタ
ーフェイスを使用して実施されてよい。装置間またはユニット間の間接的結合または通信
接続は、電気的形態、機械的形態、またはその他の形態で実装されてよい。
【0295】
分離した部分として説明されているユニットは物理的に分離していても分離していなく
てもよく、ユニットとして表示されている部分は物理的なユニットであってもなくてもよ
く、一箇所に置かれてもよく、または複数のネットワークユニット上に分散されてもよい
。実施形態のソリューションの目的を達成するために、ユニットの一部または全部が実際
の要件に基づいて選択されてよい。
てもよく、ユニットとして表示されている部分は物理的なユニットであってもなくてもよ
く、一箇所に置かれてもよく、または複数のネットワークユニット上に分散されてもよい
。実施形態のソリューションの目的を達成するために、ユニットの一部または全部が実際
の要件に基づいて選択されてよい。
【0296】
加えて、本出願の実施形態の機能ユニットは1つの処理ユニットに統合されてもよく、
またはユニットの各々が物理的に単独で存在してもよく、または2つ以上のユニットが1つ
のユニットに統合される。
またはユニットの各々が物理的に単独で存在してもよく、または2つ以上のユニットが1つ
のユニットに統合される。
【0297】
機能がソフトウェア機能ユニットの形で実装され、独立した製品として販売または使用
される場合は、機能がコンピュータ可読記憶媒体に記憶されてよい。そうした理解に基づ
き、本出願の技術なソリューションは本質的に、または先行技術に寄与する部分は、また
は技術的なソリューションの一部は、ソフトウェア製品の形で実装されてよい。ソフトウ
ェア製品は記憶媒体に記憶され、本出願の実施形態で説明されている方法のステップの全
部または一部を実行することをコンピュータデバイス(パーソナルコンピュータ、サーバ
、またはネットワークデバイスなどであってよい)に命令するいくつかの命令を含む。前
述の記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、読み取り専用
メモリ(Read-Only Memory、ROM)、ランダムアクセスメモリ((R)ANdom Access Memor
y、RAM)、磁気ディスク、または光ディスクなど、プログラムコードを記憶できる何らか
の媒体を含む。
される場合は、機能がコンピュータ可読記憶媒体に記憶されてよい。そうした理解に基づ
き、本出願の技術なソリューションは本質的に、または先行技術に寄与する部分は、また
は技術的なソリューションの一部は、ソフトウェア製品の形で実装されてよい。ソフトウ
ェア製品は記憶媒体に記憶され、本出願の実施形態で説明されている方法のステップの全
部または一部を実行することをコンピュータデバイス(パーソナルコンピュータ、サーバ
、またはネットワークデバイスなどであってよい)に命令するいくつかの命令を含む。前
述の記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、読み取り専用
メモリ(Read-Only Memory、ROM)、ランダムアクセスメモリ((R)ANdom Access Memor
y、RAM)、磁気ディスク、または光ディスクなど、プログラムコードを記憶できる何らか
の媒体を含む。
【0298】
加えて、本出願における「および/または」という用語は専ら、関連する対象を記述す
る関連関係を記述するものであり、3つの関係が存在し得ることを表す。例えば、Aおよび
/またはBは、以下の3つの場合を、すなわち、Aのみが存在する場合と、AとBの両方が存
在する場合と、Bのみが存在する場合とを表すことができる。加えて、本明細書における
文字「/」は通常、関連する対象間の「または」の関係を示す。本出願における「少なく
とも1つ」という用語は、「1つ」と「2つ以上」を表すことができる。例えば、A、B、お
よびCのうちの少なくとも1つは、Aのみが存在し、Bのみが存在し、Cのみが存在し、AとB
の両方が存在し、AとCの両方が存在し、CとBが存在し、AとBとCが存在することを表すこ
とができる。
る関連関係を記述するものであり、3つの関係が存在し得ることを表す。例えば、Aおよび
/またはBは、以下の3つの場合を、すなわち、Aのみが存在する場合と、AとBの両方が存
在する場合と、Bのみが存在する場合とを表すことができる。加えて、本明細書における
文字「/」は通常、関連する対象間の「または」の関係を示す。本出願における「少なく
とも1つ」という用語は、「1つ」と「2つ以上」を表すことができる。例えば、A、B、お
よびCのうちの少なくとも1つは、Aのみが存在し、Bのみが存在し、Cのみが存在し、AとB
の両方が存在し、AとCの両方が存在し、CとBが存在し、AとBとCが存在することを表すこ
とができる。
【0299】
上記の説明は本出願の特定の実装にすぎず、本出願の保護範囲を限定することを意図し
ない。本出願で開示されている技術的範囲の中で当業者によって容易く考え出されるバリ
エーションや置換は、本出願の保護範囲内に入るものとする。したがって、本出願の保護
範囲は請求項の保護範囲に従うものとする。
ない。本出願で開示されている技術的範囲の中で当業者によって容易く考え出されるバリ
エーションや置換は、本出願の保護範囲内に入るものとする。したがって、本出願の保護
範囲は請求項の保護範囲に従うものとする。
【符号の説明】
【0300】
50 セキュリティコンテキスト取得装置
60 ユーザ機器
70 セキュリティコンテキスト取得装置
80 第1のAMF
90 セキュリティコンテキスト取得装置
100 第2のAMF
110 ユーザ機器
120 エレメント
130 ユーザプレーンネットワークエレメント
140 データネットワークエレメント
150 モビリティ管理ネットワークエレメント
160 セッション管理ネットワークエレメント
170 ポリシーコントロールネットワークエレメント
180 認証サーバ
190 データ管理ネットワークエレメント
510 送信ユニット
520 処理ユニット
530 受信ユニット
710 受信ユニット
720 処理ユニット
730 送信ユニット
810 プロセッサ
820 メモリ
830 トランシーバ
910 受信ユニット
920 処理ユニット
930 送信ユニット
1010 プロセッサ
1020 メモリ
1030 トランシーバ
1100 アプリケーションネットワークエレメント
60 ユーザ機器
70 セキュリティコンテキスト取得装置
80 第1のAMF
90 セキュリティコンテキスト取得装置
100 第2のAMF
110 ユーザ機器
120 エレメント
130 ユーザプレーンネットワークエレメント
140 データネットワークエレメント
150 モビリティ管理ネットワークエレメント
160 セッション管理ネットワークエレメント
170 ポリシーコントロールネットワークエレメント
180 認証サーバ
190 データ管理ネットワークエレメント
510 送信ユニット
520 処理ユニット
530 受信ユニット
710 受信ユニット
720 処理ユニット
730 送信ユニット
810 プロセッサ
820 メモリ
830 トランシーバ
910 受信ユニット
920 処理ユニット
930 送信ユニット
1010 プロセッサ
1020 メモリ
1030 トランシーバ
1100 アプリケーションネットワークエレメント
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【手続補正書】
【提出日】2024-04-22
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
セキュリティコンテキスト取得方法であって、
第1のアクセスおよびモビリティ管理機能(AMF)がユーザ機器(UE)から第1の登録要求メッセージを受信して、前記第1の登録要求メッセージの完全性を成功裏に検証した後、第2のAMFにより、前記第1のAMFから第2の要求メッセージを受信するステップであって、前記UEが4G通信システムから5G通信システムへハンドオーバされた後、前記第1のAMFは前記UEから前記第1の登録要求メッセージを受信する、ステップと、
前記第2の要求メッセージが指示情報を伝送し、前記指示情報が、前記UEが検証済みであることを示すために使用される場合、前記第2のAMFにより、前記UEの検証をスキップし、前記第2のAMFにより、前記第2の要求メッセージに基づいて、前記第1のAMFへ前記UEのネイティブセキュリティコンテキストを送信するステップと
を含む方法。
第1のアクセスおよびモビリティ管理機能(AMF)がユーザ機器(UE)から第1の登録要求メッセージを受信して、前記第1の登録要求メッセージの完全性を成功裏に検証した後、第2のAMFにより、前記第1のAMFから第2の要求メッセージを受信するステップであって、前記UEが4G通信システムから5G通信システムへハンドオーバされた後、前記第1のAMFは前記UEから前記第1の登録要求メッセージを受信する、ステップと、
前記第2の要求メッセージが指示情報を伝送し、前記指示情報が、前記UEが検証済みであることを示すために使用される場合、前記第2のAMFにより、前記UEの検証をスキップし、前記第2のAMFにより、前記第2の要求メッセージに基づいて、前記第1のAMFへ前記UEのネイティブセキュリティコンテキストを送信するステップと
を含む方法。
【請求項2】
前記UEの検証をスキップする前記ステップが、
前記第2の要求メッセージの完全性を検証することをスキップするステップ
を含む、請求項1に記載の方法。
前記第2の要求メッセージの完全性を検証することをスキップするステップ
を含む、請求項1に記載の方法。
【請求項3】
前記第1のAMFが前記第1の登録要求メッセージを受信した後であって、前記第2のAMFが前記第2の要求メッセージを受信する前は、前記第2のAMFは前記UEを検証していない、請求項1または2に記載の方法。
【請求項4】
前記UEが4G通信システムから5G通信システムへハンドオーバされることは、前記UEが接続モードのときに前記UEが4G通信システムから5G通信システムへハンドオーバされることを含む、請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記第1の登録要求メッセージを受信したことに応答して前記第1のAMFが前記第1の登録要求メッセージの前記完全性を検証する、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記第2の要求メッセージは、前記UEの5G GUTI(globally unique temporary user equipment identity)を含み、
前記第2のAMFにより、前記第1のAMFへ前記UEのネイティブセキュリティコンテキストを送信する前記ステップよりも前に、前記方法は、
前記第2のAMFにより、前記第2の要求メッセージの前記5G GUTIに基づいて、前記UEの前記ネイティブセキュリティコンテキストを決定するステップ
をさらに含む、請求項1から5のいずれか一項に記載の方法。
前記第2のAMFにより、前記第1のAMFへ前記UEのネイティブセキュリティコンテキストを送信する前記ステップよりも前に、前記方法は、
前記第2のAMFにより、前記第2の要求メッセージの前記5G GUTIに基づいて、前記UEの前記ネイティブセキュリティコンテキストを決定するステップ
をさらに含む、請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記指示情報が、ユーザ機器(UE)が検証済みであることを示すために使用されることは、
前記指示情報が、前記UEからの第1の登録要求メッセージの完全性が成功裏に検証されたことを示すために使用されること
を含む、請求項1から6のいずれか一項に記載の方法。
前記指示情報が、前記UEからの第1の登録要求メッセージの完全性が成功裏に検証されたことを示すために使用されること
を含む、請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記第1のAMFは、前記UEが4G通信システムから5G通信システムへハンドオーバされる過程で、前記UEに対してコアネットワークサービスを提供するために、前記4G通信システムのモビリティ管理エンティティ(MME)によって前記UEのために前記5G通信システムから選択されるAMFであり、
前記第2のAMFは、前記5G通信システムの前記第1のAMF以外の、前記5G通信システムのAMFであり、前記第2のAMFは、前記UEのネイティブ5Gセキュリティコンテキストを記憶している、請求項1から7のいずれか一項に記載の方法。
前記第2のAMFは、前記5G通信システムの前記第1のAMF以外の、前記5G通信システムのAMFであり、前記第2のAMFは、前記UEのネイティブ5Gセキュリティコンテキストを記憶している、請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記ネイティブセキュリティコンテキストが前記第2のAMFによって記憶される理由は、
前記UEが4G通信システムから5G通信システムへハンドオーバされる前に、前記UEが前記5G通信システムから前記4G通信システムへハンドオーバされたためであるか、または
デュアル接続をサポートする前記UEが、非3GPP接続を介して前記5G通信システムにアクセスし、同時に3GPP接続を介して前記4G通信システムにアクセスし、接続モードの前記UEが、前記4G通信システムから前記5G通信システムへハンドオーバされるためである、請求項1から8のいずれか一項に記載の方法。
前記UEが4G通信システムから5G通信システムへハンドオーバされる前に、前記UEが前記5G通信システムから前記4G通信システムへハンドオーバされたためであるか、または
デュアル接続をサポートする前記UEが、非3GPP接続を介して前記5G通信システムにアクセスし、同時に3GPP接続を介して前記4G通信システムにアクセスし、接続モードの前記UEが、前記4G通信システムから前記5G通信システムへハンドオーバされるためである、請求項1から8のいずれか一項に記載の方法。
【請求項10】
通信装置であって、
プロセッサと、メモリとを備え、
前記メモリは命令を記憶し、前記メモリに記憶された前記命令が前記プロセッサによって実行されるとき、前記通信装置は、請求項1から9のいずれか一項に記載の方法を実行する、通信装置。
プロセッサと、メモリとを備え、
前記メモリは命令を記憶し、前記メモリに記憶された前記命令が前記プロセッサによって実行されるとき、前記通信装置は、請求項1から9のいずれか一項に記載の方法を実行する、通信装置。
【請求項11】
通信システムであって、第1のアクセスおよびモビリティ管理機能(AMF)と第2のAMFとを備え、
前記第1のAMFは、
ユーザ機器(UE)がハンドオーバ手順を完了した後、前記UEから第1の登録要求メッセージを受信し、
前記第1の登録要求メッセージの完全性を検証し、
前記第1の登録要求メッセージの完全性を成功裏に検証したとき、前記第2のAMFに第2の要求メッセージであって、前記UEが検証済みであることを示すために使用される指示情報を伝送する第2の要求メッセージを送信するよう構成され、
前記第2のAMFは、請求項1から9のいずれか一項に記載の方法を実行するよう構成される、通信システム。
前記第1のAMFは、
ユーザ機器(UE)がハンドオーバ手順を完了した後、前記UEから第1の登録要求メッセージを受信し、
前記第1の登録要求メッセージの完全性を検証し、
前記第1の登録要求メッセージの完全性を成功裏に検証したとき、前記第2のAMFに第2の要求メッセージであって、前記UEが検証済みであることを示すために使用される指示情報を伝送する第2の要求メッセージを送信するよう構成され、
前記第2のAMFは、請求項1から9のいずれか一項に記載の方法を実行するよう構成される、通信システム。
【請求項12】
モビリティ管理エンティティ(MME)をさらに備え、
前記第1のAMFは、前記UEによって送信される前記第1の登録要求メッセージを受信する前に、
前記MMEから、前記UEと前記MMEとの間の4Gセキュリティコンテキストを含む第1の順方向再配置要求を受信し、
前記4Gセキュリティコンテキストに基づき、マップドセキュリティコンテキストを決定し、
前記MMEへ順方向再配置応答メッセージを送信するようさらに構成され、
前記第1の登録要求メッセージの完全性を検証することは、
前記マップドセキュリティコンテキストを使用することによって前記第1の登録要求メッセージの完全性を検証することを含み、
前記MMEは、前記第1のAMFが前記UEから前記第1の登録要求メッセージを受信する前に、
前記第1のAMFへ前記第1の順方向再配置要求を送信し、
前記第1のAMFから順方向再配置応答メッセージを受信し、
前記UEへハンドオーバコマンドを送信するよう構成される、請求項11に記載の通信システム。
前記第1のAMFは、前記UEによって送信される前記第1の登録要求メッセージを受信する前に、
前記MMEから、前記UEと前記MMEとの間の4Gセキュリティコンテキストを含む第1の順方向再配置要求を受信し、
前記4Gセキュリティコンテキストに基づき、マップドセキュリティコンテキストを決定し、
前記MMEへ順方向再配置応答メッセージを送信するようさらに構成され、
前記第1の登録要求メッセージの完全性を検証することは、
前記マップドセキュリティコンテキストを使用することによって前記第1の登録要求メッセージの完全性を検証することを含み、
前記MMEは、前記第1のAMFが前記UEから前記第1の登録要求メッセージを受信する前に、
前記第1のAMFへ前記第1の順方向再配置要求を送信し、
前記第1のAMFから順方向再配置応答メッセージを受信し、
前記UEへハンドオーバコマンドを送信するよう構成される、請求項11に記載の通信システム。
【請求項13】
前記4Gセキュリティコンテキストが鍵K
ASME
と、次ホップパラメータNHとを含み、前記マップドセキュリティコンテキストが鍵K
AMF1
を含み、
前記4Gセキュリティコンテキストに基づき、前記マップドセキュリティコンテキストを決定することが、前記鍵K ASME と、前記NHとに基づいて前記鍵K AMF1 を導出することを含む、請求項12に記載の通信システム。
前記4Gセキュリティコンテキストに基づき、前記マップドセキュリティコンテキストを決定することが、前記鍵K ASME と、前記NHとに基づいて前記鍵K AMF1 を導出することを含む、請求項12に記載の通信システム。
【請求項14】
前記鍵K
AMF1
が既定の導出式に基づいて導出され、
前記既定の導出式が、K AMF1 =HMAC-SHA-256(Key,FC||P0||L0)であり、FC=0x76であり、P0=NH valueであり、L0=length of NH valueであり、KEY=K ASME である、請求項13に記載の通信システム。
前記既定の導出式が、K AMF1 =HMAC-SHA-256(Key,FC||P0||L0)であり、FC=0x76であり、P0=NH valueであり、L0=length of NH valueであり、KEY=K ASME である、請求項13に記載の通信システム。
【請求項15】
前記第1のAMFが、前記鍵K
AMF1
と、前記UEと取り決められたセキュリティアルゴリズムとに基づいて、完全性保護鍵K
NASint1
と機密性保護鍵K
NASenc1
を計算するようさらに構成される、請求項14に記載の通信システム。
【請求項16】
前記完全性保護鍵K
NASint1
を生成するための計算式が、
K NASint1 =HMAC-SHA-256(KEY,S)を含み、ここでS=FC||P0 1 ||L0 1 ||P11||L1 1 であり、FC=0x69であり、P0 1 はアルゴリズムタイプ区別子であり、L0 1 はアルゴリズムタイプ区別子の長さであり、P1 1 はアルゴリズム識別子であり、L1 1 はアルゴリズム識別子の長さであり、KEY=K AMF1 であり、
前記機密性保護鍵K NASenc1 を生成するための計算式が、
K NASenc1 =HMAC-SHA-256(KEY,S)を含み、ここでS=FC||P0||L0||P1||L1であり、FC=0x69であり、P0はアルゴリズムタイプ区別子であり、L0はアルゴリズムタイプ区別子の長さであり、P1はアルゴリズム識別子であり、L1はアルゴリズム識別子の長さであり、KEY=K AMF1 である、請求項15に記載の通信システム。
K NASint1 =HMAC-SHA-256(KEY,S)を含み、ここでS=FC||P0 1 ||L0 1 ||P11||L1 1 であり、FC=0x69であり、P0 1 はアルゴリズムタイプ区別子であり、L0 1 はアルゴリズムタイプ区別子の長さであり、P1 1 はアルゴリズム識別子であり、L1 1 はアルゴリズム識別子の長さであり、KEY=K AMF1 であり、
前記機密性保護鍵K NASenc1 を生成するための計算式が、
K NASenc1 =HMAC-SHA-256(KEY,S)を含み、ここでS=FC||P0||L0||P1||L1であり、FC=0x69であり、P0はアルゴリズムタイプ区別子であり、L0はアルゴリズムタイプ区別子の長さであり、P1はアルゴリズム識別子であり、L1はアルゴリズム識別子の長さであり、KEY=K AMF1 である、請求項15に記載の通信システム。
【請求項17】
前記第1の登録要求メッセージが前記UEの5G-GUTIを含む、請求項11から16のいずれか一項に記載の通信システム。
【外国語明細書】