IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ウォロッケット ソリューションズ リミテッド ライアビリティ カンパニー

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ウォロッケット ソリューションズ リミテッド ライアビリティ カンパニーの特許一覧

特許7262390信頼できないネットワークを用いたインタワーキング機能
<>
  • 特許-信頼できないネットワークを用いたインタワーキング機能 図1
  • 特許-信頼できないネットワークを用いたインタワーキング機能 図2
  • 特許-信頼できないネットワークを用いたインタワーキング機能 図3
  • 特許-信頼できないネットワークを用いたインタワーキング機能 図4
  • 特許-信頼できないネットワークを用いたインタワーキング機能 図5
  • 特許-信頼できないネットワークを用いたインタワーキング機能 図6
  • 特許-信頼できないネットワークを用いたインタワーキング機能 図7
  • 特許-信頼できないネットワークを用いたインタワーキング機能 図8
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-04-13
(45)【発行日】2023-04-21
(54)【発明の名称】信頼できないネットワークを用いたインタワーキング機能
(51)【国際特許分類】
   H04W 60/00 20090101AFI20230414BHJP
   H04W 12/06 20210101ALI20230414BHJP
   H04W 88/14 20090101ALI20230414BHJP
【FI】
H04W60/00
H04W12/06
H04W88/14
【請求項の数】 10
(21)【出願番号】P 2019538256
(86)(22)【出願日】2018-02-06
(65)【公表番号】
(43)【公表日】2020-02-27
(86)【国際出願番号】 EP2018052890
(87)【国際公開番号】W WO2018146068
(87)【国際公開日】2018-08-16
【審査請求日】2020-10-22
(31)【優先権主張番号】17155017.1
(32)【優先日】2017-02-07
(33)【優先権主張国・地域又は機関】EP
【前置審査】
(73)【特許権者】
【識別番号】522149278
【氏名又は名称】ウォロッケット ソリューションズ リミテッド ライアビリティ カンパニー
(74)【代理人】
【識別番号】100094569
【弁理士】
【氏名又は名称】田中 伸一郎
(74)【代理人】
【識別番号】100103610
【弁理士】
【氏名又は名称】▲吉▼田 和彦
(74)【代理人】
【識別番号】100067013
【弁理士】
【氏名又は名称】大塚 文昭
(74)【代理人】
【識別番号】100139712
【弁理士】
【氏名又は名称】那須 威夫
(72)【発明者】
【氏名】ハンス、マーティン
【審査官】深津 始
(56)【参考文献】
【文献】LG Electronics,Clarification and evaluation about solution 4.20 (Session Management on the PDU session(s) via different accesses)[online],3GPP TSG SA WG2 #118 S2-166549,2016年11月08日,Internet<URL:http://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_118_Reno/Docs/S2-166549.zip>
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24 -H04B 7/26
H04W 4/00 -H04W 99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
ネットワーク内にアクセスを登録する方法であって、
第2のアクセスネットワークを通じてユーザ機器デバイス(UEデバイス)を登録する要求を第2のネットワーク内のエンティティが受信する段階であって、前記要求は、前記UEデバイスが第1のアクセスネットワークを通じて第1のネットワーク内に登録されているという第1の情報を含む、段階と、
前記第2のネットワーク内の前記エンティティが前記第1のネットワークに前記UEデバイスに関する第2の情報の要求を送信する段階と、
前記第2のネットワーク内の前記エンティティが前記第1のネットワークから前記UEデバイスに関する第2の情報を受信する段階と、
前記第2のアクセスネットワークを通じた前記UEデバイスとのセキュリティアソシエーションを前記第2のネットワーク内の前記エンティティが確立する段階と、
前記第2のアクセスネットワークを通じて前記第1のネットワークが前記第1のネットワーク内の前記UEデバイスの登録を行うように、前記UEデバイスに関する第3の情報を前記第2のネットワークの前記エンティティが前記第1のネットワークに転送する段階であって、前記第3の情報は前記第2のアクセスネットワークを通じて確立される前記セキュリティアソシエーションのための情報を含む、転送する段階と、
を備え、
前記第3の情報の転送に応答して、前記第1のネットワーク内の前記UEデバイスの1次登録を維持しながら、前記第2のアクセスネットワークを通じて前記第1のネットワーク内に前記UEデバイスのための2次登録を生成するために前記第1のネットワークから経路切り替え要求が送信される、
方法。
【請求項2】
前記第1のネットワークが訪問先公衆陸上移動体ネットワークであり、前記第2のネットワークがホーム公衆陸上移動体ネットワークである、請求項1に記載の方法。
【請求項3】
前記第1のアクセスネットワークが信頼できるアクセスネットワークであり、前記第2のアクセスネットワークが信頼できないアクセスネットワークである、請求項1または請求項2に記載の方法。
【請求項4】
前記UEデバイスからの前記第1の情報が、アタッチメッセージ内のフラグ、2次アタッチ要求メッセージ、2次登録メッセージおよびフラグ、情報フィールド、パラメータ、ならびにインターネット鍵交換プロトコルによるメッセージ内の識別情報のうちの1つである、請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記UEデバイスに関する前記第2の情報が前記UEデバイスの恒久的識別情報を含む、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記UEデバイスに関する前記第3の情報が、前記第2のアクセスネットワークのアドレスおよび前記セキュリティアソシエーションのセキュリティパラメータの一方を含む、請求項1から5のいずれか一項に記載の方法。
【請求項7】
ユーザ機器デバイス(UEデバイス)の第1のアクセスを登録するように構成された公衆陸上移動体ネットワーク(PLMN)であって、前記登録することは、第2のネットワークから前記UEデバイスの認証を要求することを含み、
前記PLMNが、前記第2のネットワークから前記UEデバイスの第2のアクセスの登録のための要求を受信し、前記要求に応答して、前記第2のネットワークへ前記UEデバイスに関する情報を送信するように構成され、
前記第2のアクセスが、第2のアクセスネットワークを通じて、前記UEデバイスと前記第2のアクセスを提供するエンティティとの間に確立されたセキュリティアソシエーションを含み、
前記要求が、前記第2のアクセスを通じて前記UEデバイスに接続するために前記PLMNによって使用される、前記第2のアクセスネットワークを通じて確立された前記セキュリティアソシエーションについての情報を含み、
前記PLMNが、前記セキュリティアソシエーションについての情報を用いて前記UEデバイスの前記第1のアクセスの前記登録を維持しながら前記UEデバイス用の前記第2のアクセスを登録するために経路切り替え要求を送信するように構成される、PLMN。
【請求項8】
前記PLMNが訪問先公衆陸上移動体ネットワークであり、前記第2のネットワークがホーム公衆陸上移動体ネットワークである、請求項7に記載のPLMN。
【請求項9】
前記第1のアクセスが信頼できるアクセスネットワークを通じて登録され、前記第2のアクセスが信頼できないアクセスネットワークを通じて登録される、請求項7又は8に記載のPLMN。
【請求項10】
前記第2のアクセスネットワークを通じて確立された前記セキュリティアソシエーションについての情報は、前記第2のアクセスネットワークのアドレスおよび前記セキュリティアソシエーションのセキュリティパラメータの一方を含む、請求項7~9のいずれか1項に記載のPLMN。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、信頼できないネットワークにアクセスするときにユーザ機器(user equipment)(UE)にアクセスおよびモビリティ機能(access and mobility function)(AMF)エンティティを提供するための技術に関する。
【背景技術】
【0002】
背景モバイルネットワーク/WLANインタワーキング解決法が、例えば3GPP規格TS23.234に記載されている。
【0003】
UEが、ホームネットワーク(home network)から離れた訪問先ネットワーク(visited network)に添付された、ローミング状況にあるUE自体を見つけると、UEの制御権は訪問先ネットワーク内に存在するが、認証はホームネットワーク内(UICC/USIMとホーム加入者データベースとの間)で行われる。ホームネットワーク(いわゆるホームルーティング)によって提供されるサービスは、訪問先ネットワークおよびホームネットワーク内のセッション管理エンティティによって確立され、このサービスは、両方のネットワーク内でもユーザプレーン機能(ルータ/ゲートウェイ)に関与する。
【0004】
UEがアクセスネットワークを介してコアネットワークに登録するとき、UEは、UEに識別情報が割り当てられる場合に一時的識別情報を提供する、またはUEの恒久的識別情報を提供する。3GPPにおける一時的ID(例えば、Globally Unique Temporary Identity、GUTI)の性質は、UE(または4Gシステム内のMME)に対応するAMFの識別を可能にするとともに、旧AMFと新AMFとの間の要求コンテキスト転送を可能にする。
【0005】
5Gコアネットワーク(CN)アーキテクチャがまだ定着していない間は、種々の機能および機能間の相互接続がアーキテクチャ内に存在すると見込まれ得る。図1は、現在3GPPで論じられている5G用のCNアーキテクチャを示す。このCNアーキテクチャは、Enhanced Packet System(EPS)またはEnhanced Packet Core(EPC)と呼ばれる4Gシステムのコアネットワークアーキテクチャによく似ている。
【0006】
セルラーモバイルネットワークは一般にアクセスネットワークおよび図1に示されているコアネットワークからなる。アクセスネットワーク((R)AN)は、主として、例えばGSM(登録商標)、UMTSまたはLTEを介してモバイルデバイスへのセルラー無線アクセスを与える。追加のアクセスネットワークは、短距離無線アクセス、例えばWLAN経由のアクセス、あるいはモバイルデバイスまたは固定デバイス(図1には存在しない)への固定アクセスまたはサテライトアクセスを与えることができる。アクセスネットワークは通常、各デバイスへの無線接続をセットアップし、制御しかつ維持するべき完全な機能性を提供する。
【0007】
コアネットワークは、アクセス専用ではない機構、例えば、デバイスおよび/または加入者の認証、承認およびアカウンティング(AAA)、コアネットワーク間のモビリティ、ならびにアクセスネットワークと外部データネットワークとの間のルーティングを提供する。
【0008】
UEは一般に、無線アクセスネットワーク(RAN)であり得るアクセスネットワークを介して3GPP CNにアクセスする。無線アクセスネットワークが3GPPによって定義され、例えば新たに定義された5G無線アクセスネットワークである場合、このアクセスネットワークはアクセスおよびモビリティ機能(AMF)への接続を提供する。この接続はNG2と名付けられる。AMFは、図1に示されているすべての要素のように、単一CN内に複数回存在することができる。AMFは通常、ネットワーク内のUEの登録時にUEに対して選択され、ただ1つのAMFが単一UEに対して一時に責任を負う。AMFは、CNのすべての要素のように、当該インタフェースを介して他のCN要素に通信ことができる。AMFは、例えば、加入者および加入済みサービスに関する情報を受信するために統合データ管理(UDM)エンティティに接続し、登録時にUEを認証し、UEとの通信に使用されるセキュリティ認証情報を取得するために認証サーバ機能(AUSF)に接続する。
【0009】
図2は、3GPPによって現在定義されている登録手順を示す。UEがネットワーク内に既に登録されており、UEは登録手順を使用して、例えば、UEの登録を定期的に更新する、またはUEがその中にある追跡領域の変化に関して通知するというユースケースに焦点を当てて登録手順を説明する。
【0010】
UEは、セルラーモバイルネットワークに入るときに、登録要求メッセージを(R)AN、例えば5GRANの基地局に送信する(段階1)。(R)ANは、段階2で、メッセージ内のUEによって提供された情報に基づいてAMFを選択する。UEが一時的IDを提供すれば、このIDは、UEのコンテキストが既に格納されているAMF(旧AMF)を示し、さもなければ(R)ANは任意のAMFを選択することができる。(R)ANは、段階3でその要求を選択済みAMFに転送してCNで登録を要求する。
【0011】
UEが既に登録されており、GUTIまたは類似の一時的IDを提供されたものとすると、選択済みAMFは、段階4でUEに関する情報を旧AMFに要求する。旧AMFは、段階5でUEに恒久的IDおよび完全なUEコンテキストを提供し、段階5により新たに選択されたAMFがUEの制御権を引き継ぐことが可能となる。(段階6~段階9は本発明とは無関係である)。
【0012】
UEからのメッセージが保護される完全性および新AMFに引き継がれた受信済みUEコンテキストを用いた完全性チェックであるものとすると、新AMFはUEの制御権を受け入れ、旧AMFは段階10で通知され、したがって旧AMFはUEコンテキストを削除することができる。
【0013】
次いで、AMFは段階13で適切な加入者データベース(UDM)を選択することができ、そこでUEの新しい位置、すなわちUEがこのとき選択済みAMFを介して到達できることが段階14で格納される。次に、ポリシー制御機能(PCF)がUE IDに基づいて選択され得る。(段階18~21は省略する)。
【0014】
次にUEは新AMF内に登録され、UEは例えばデータ配信のためのサービスを要求することができる。UEとUEの選択済みAMFとの間の論理通信インタフェースは、図1に示されているようにNG1と名付けられ、NG1は、アクセスネットワークへのインタフェースおよびAMFへのNG2を備える。
【0015】
データネットワーク(DN)へのデータ配信が例えばインターネットに対して行われるべき場合、UEは、(R)ANからNG3インタフェースを経由して1つまたは複数のユーザプレーン機能(UPF)までおよびUPFからN6を介してデータネットワークまでの適切な接続のセットアップ、いわゆるPDUセッションのセットアップを要求する。UPF内の適切なコンテキスト活性化ならびにネットワークリソースの割り当ては、NG4インタフェースを通じてセッション管理機能(SMF)によって行われる。SMFは、要求されるサービス、加入者データ、交信されるべきデータネットワークDN、および現在のネットワーク負荷に応じてAMFによって選択される。アプリケーション機能(AF)がDNのポリシーを提供することができ、AFは、UEに提供されるサービスの品質に適合するようにDN内のアプリケーションサーバと通信することができる。
【0016】
ポリシー制御機能(PCF)は、サービスのセットアップおよび品質のためのポリシーを提供することができる。これらのポリシーは、加入者、サービスおよびネットワーク状態に基づいてサービスパラメータを定義する規則であると理解することができる。図1には、本発明に最も関連性のあるインタフェースだけに名前が付けられており、エンティティ間の他のインタフェースは名前の付いていない直線として示されており、一部のインタフェースは示されていない。
【0017】
UEが、例えば異なる品質のサービスのためにまたは異なるネットワークアドレスを通じて、同じデータネットワークへの複数の接続をセットアップする必要がある場合、同じまたは異なるUPFが関係していてもよく、同じまたは異なるSMFが責任を負うことができる。UEが異なるデータネットワークへの複数の接続をセットアップする必要がある場合、同様に同じまたは異なるUPSおよびSMFが関係していてもよい。一方、UEに対して責任を負うAMFは通常1つしかない。
【0018】
図3は、ローミングケースでの、すなわち、加入者が加入者のホームPLMNではないCNにアクセスするケースでのCNアーキテクチャを示す。UEは訪問先ネットワーク内のAMFに登録するが、AMFは認証のためにホームネットワークと交信する。ホームネットワーク内のUDMおよびAUSFはUEを認証し、セキュリティコンテキストを生成し、セキュリティコンテキストは訪問先ネットワーク内のAMFに転送される。
【0019】
ホームPLMNに接続されているDNへのデータ転送、いわゆるホームルーティングケースでは、図3は、少なくとも2つのUPF、すなわちホームネットワーク内に1つ(H-UPF)および訪問先ネットワーク内の1つ(V-UPF)が関係していることを示す。また、2つのSMF、すなわち当該UPFを構成するH-SMFおよびV-SMFが関係している。ポリシーがホームポリシー制御機能(PCF)および訪問先ポリシー制御機能(PCF)によって提供され得る。
【0020】
代替ローミングユースケースも図3に示されている。このケースでのデータネットワークは訪問先ネットワークに接続される。このいわゆる「ローカルブレイクアウト(local breakout)」シナリオは、ホームネットワーク内のいかなるUPFまたはSMFにも関与しない。これは、オペレータ専用ではないサービス、例えばインターネットへの接続のための典型的なユースケースとすることができ、このサービスは、訪問先ネットワークがホームネットワークおよびネットワーク間接続にかかる負担を節約することにより直接対応することができる。より洗練されたサービスまたはオペレータ専用のサービスが、上で説明したようにホームルーティングを使用して提供され得る。
【0021】
信頼できない非3GPPネットワーク上のコアネットワーク内の登録では、非3GPPインタワーキング機能(N3IWF)がコアネットワークと信頼できないネットワークとの間に使用される。登録が完了する前にセキュア接続IPsecがUEとN3IWFとの間に確立される。N3IWFは、非3GPPアクセスで登録する前にUEコンテキストを有しておらず、N3IWFは、AMFを選択するためにUEによって提供された情報を使用しなければならない。
【0022】
3GPPは、3GPPコアネットワークにアクセスするために種々のアクセスネットワーク、例えば、GSM(登録商標)、UMTS、HSPA、LTE、LTE-A近い将来では5Gアクセスネットワークを定義する。これらのネットワークは、特に3GPPコアネットワークの制御下で機能するように展開される。当該基地局はコアネットワークのセキュリティ機構を支援し、セキュリティ機構は、コアネットワークのオペレータまたは信用できる第三者によってセットアップされ維持される。その結果、3GPPアクセスネットワークはコアネットワークによって信頼され得る。
【0023】
加えて、3GPPコアネットワークは、どんな信頼できるオペレータによってもセットアップされ維持され得ないアクセスネットワークを支援するためにセットアップされ、アクセスネットワークはオペレータのドメインの外部にも存在することがある。これらのアクセス技術は、まとめて非3GPPアクセス(N3GPP)と名付けられ、同アクセス技術は、コアネットワークとアクセスネットワークとの間に信頼関係がなければ、いわゆる信頼できないN3GPPアクセスであり得る。
【0024】
(R)ANおよびN3GPPアクセス技術を含むネットワークアーキテクチャの一例が図4に示されている。図4は、ローミングなしに3GPPアクセス技術((R)AN)でCNへのアクセスを与える図1のネットワーク要素を示す。加えて、図4は、無線ローカルエリアネットワークWLAN(WiFiと呼ばれることもある)として例的に示されている非3GPPアクセスでCNに接続された図1のUEを示す。WLANは、インターネットへのアクセスを与える例示的な信頼できないノードであり、したがってWLAN自体は、UEに非3GPPインタワーキング機能(N3IWF)への接続を提供する。この新CN要素は、信頼できないN3GPPノードからCNへのアクセスを可能にするように規定される。新CN要素は、多数の信頼できない非3GPPアクセスネットワーク(図4には1つしか示されていない)を積み上げることができる。N3IWFは、オペレータによって維持され得る、したがって信頼され得るデバイスである。
【0025】
5Gコアネットワークへの非3GPPアクセスの標準化の現状は、図5に示されているように、UEから信頼できないN3GPPアクセス、例えばWLANを介してコアネットワークにアクセスするために実行されるべき下記の機能性について記述している。
【0026】
UEは、WLANアクセスポイントからIP接続性を取得し、N3IWFの選択または検出を実行する(段階1a/b)。
【0027】
その後、UEは、選択済みN3IWFがRFC4306のIETFによって定義されたIKEv2プロトコルとその拡張子を使用することで初期セキュリティアソシエーション(SA)を確立し始める。この初期SAは暗号化を可能にするが、初期SAはUEおよびNWを相互に認証しない。次いでUEは、UEの識別情報を潜在的には他の情報とともにN3IWFに提供する(段階2a~2d)。
【0028】
N3IWFは適切なAMFを選択し、受信済みUE IDを使用してUEの代わりに登録要求を送信する(段階3a/b)。要求メッセージは、アクセスタイプ、例えば「信頼できない非3GPPアクセス」も含んでいる。
【0029】
AMFは、UEをUEのIDで分からないので、AUSFを選択し、ユーザ認証を要求する(段階4a/b)。
【0030】
次に、提供されたUE IDに基づいて、AUSFは認証情報を選択または生成し、AMFおよびN3IWFを介してUEでEAPベースの相互認証を実行することができる(段階5a~5f)。
【0031】
AMFおよびN3IWFはセキュリティコンテキストを構築し、最後にUEでマスターセキュリティアソシエーション(SA)を確立する(段階6a~6d)。このマスターSAは、UEとAMFとの間のコアネットワーク制御メッセージの交換に使用されるUEとN3IWFとの間のIPSec接続を構成する。マスターSAは、UEからのまたはUEへのユーザデータ送信を確保するために使用されるチャイルドSAをさらに導き出すためにも使用される。
【0032】
セキュリティモードコマンド(SMC)要求メッセージがUEに送られ、SMC完了がAMFに返信されて、UEとAMFとの間のセキュリティセットアップを完了させる(段階7a~7c)。これは、前に確立されたIKE SAの上(または中)に追加のセキュリティ層を構成する。Registration AcceptメッセージがUEに送信され、次にAMFおよびN3IWFによって確実に暗号化され、完全性保護され、UEからAMFへのRegistration Completeメッセージで登録を完了する。
【0033】
N3IWFはNG2インタフェースを通じてAMFに通信する。このインタフェースは、アクセスネットワークとAMF機能との間の一般アクセス非依存インタフェースである、すなわち、このインタフェースは、5G基地局をAMF機能に接続するNG2インタフェースと基本的に同一のものである。
【0034】
UEとN3IWFとの間のIPsecトンネルおよびNG2インタフェースが確実にセットアップされると、UEは、UEのAMFへの論理接続を構成するルート、いわゆるNG1を有する。このルートは、(R)AN上で確立されたNG1インタフェースへの代替ルートでもよい。
【0035】
次に、UEは、信頼できないWLAN上でUP機能を介してデータネットワーク(DN)への接続をセットアップするよう要求することができる。
【0036】
WLAN~N3IWFを通じたローミングUEの可能な接続が、3GPP文献S2-170318(SA WG2 Meeting#118-BIS)に記述されており、一方がVPLMN内に配置され、他方がHPLMN内に配置されている2つのAMFがUEに対応する。同会合からの他の文献S2-170321およびS2-170260は、2つのAMFを有すると複雑な問題につながるはずであるので、UEが単一の、すなわち共通のAMFによって対応されるべきであることを示している。
【0037】
国際公開第2016/180865(A1)号パンフレットは、UEが信頼できない非3GPPネットワークを介してサービスへのアクセスを要求するのに対処すること、特にUEがローミングシナリオ内にあるか否かを検出することを記述している。情報は、信頼できないN3GPPアクセスでサービスを制限または許容するためにネットワークによって使用される。情報は、訪問先ネットワークにローミングする間にホームネットワーク内のUEを認証するための解決法を提供しない。非3GPPネットワーク上でのアクセスは、国際公開第2016/179800(A1)号パンフレットおよび米国特許第9,137,231(B2)号明細書にも記述されている。非3GPP未認識だが信頼できるネットワーク接続を使用するアクセスが国際公開第2010/086029(A1)号パンフレットに記述されている。
【0038】
米国特許出願公開第2008/0160959(A1)号明細書は、ローミングユーザが訪問先ネットワークでセキュリティアソシエーションを確立する方法を記述している。訪問先ネットワークは、ホームネットワーク内の一般的認証アーキテクチャの認証結果を利用することによりセキュリティアソシエーションを確立する。
【0039】
N3GPPアクセスは、モバイルネットワークオペレータが同オペレータのネットワーク(特に屋内)のカバレージを増大させ、同ネットワークのユーザへのサービスの品質を高め、かつ同ネットワークの(R)ANからデータをオフロードするために提供する一般オプションである。ローミングケースでは、訪問先ネットワークは、同ネットワークの(R)ANに加えてN3GPPアクセスも提供することができる。N3GPPベースのローミングシナリオは大差がない、すなわち、訪問先ネットワーク内のAMFは、ホームネットワーク内のAUSFおよびUDMホームならびにSMFおよびUPFと訪問先SMFおよびUPFの両方を含んだものと交信する。
【0040】
ホームオペレータは、ホームオペレータのコアネットワークにできるだけ直接アクセスできることを好むことがある。ローミングケースでは、このことは、訪問先ネットワークに接続されるUEがN3GPPアクセス、例えばWLANを使用してホームオペレータのホームネットワークと直接交信できることを意味する。これは、WLANアクセスが例えば公共ブロードバンドインターネットへの一般アクセスであれば確かに可能である。これは、訪問先ネットワークからおよびネットワーク間インタフェースからのN3GPPアクセスで送信されたトラフィックをオフロードし、したがってこれによりホームオペレータならびに加入者のローミングコストを低減することができる。
【0041】
この目的で、UEは、UEのホームオペレータのN3IWFと交信し、アクセスを要求する、すなわちホームネットワークに登録する。しかしながら、このシナリオでのUEは訪問先ネットワークに既に登録されており、3GPPアーキテクチャでは単一AMFにおける1つの登録しか許容されない。
【発明の概要】
【0042】
訪問先PLMN内の唯一の登録を保つ目的で訪問先PLMN内に登録されている間にホームPLMN上でのN3GPPアクセスを可能にする解決法がない。
【0043】
特に、最後に訪問先ネットワーク内のAMFへの制御メッセージ交換を可能にするセキュリティアソシエーションのセットアップが定義される必要がある。
【0044】
加えて、UEに関して訪問先ネットワークとホームネットワークとの間のN3GPPアクセス用法を調整する機構、例えばUEがホームN3IWFにアクセスするための条件が必要である。
【0045】
本発明は、ネットワーク内にアクセスを登録する方法を提供するものであり、この方法は、第2のアクセスネットワークを通じてユーザ機器UEデバイスを登録する要求を第2のネットワーク内で受信することであって、要求は、UEデバイスが第1のアクセスネットワークを通じて第1のネットワーク内に登録されているという第1の情報を含むこと、第2のネットワーク内で第1のネットワークからUEデバイスに関する第2の情報を受信すること、第2のネットワーク内に第2のアクセスネットワークを通じたUEデバイスとのセキュリティアソシエーションを確立すること、第2のネットワークによりUEデバイスに関する第3の情報を第1のネットワークに転送すること、および、第1のアクセスネットワークを通じた第1のネットワーク内のUEの登録を維持しながら、第2のアクセスネットワークを通じて第1のネットワーク内にUEを登録すること、を含む。
【0046】
本発明は、第1のセキュリティアソシエーションで第1のアクセスを得るために第1のネットワークに登録した後、第2のネットワークへの第2のアクセスを要求するように適合させられたユーザ機器UEデバイスをさらに提供するものであり、第2のアクセスは、第1のアクセスを維持しながら第2のアクセスで第2のセキュリティアソシエーションを確立することを含み、それによりUEデバイスは、第2のアクセスの確立中に第1のアクセスに関する情報を提供するように構成される。
【0047】
別の態様では、本発明は、ユーザ機器UEデバイスから第1のアクセスの第1の登録のための要求を受信するように構成された公衆陸上移動体ネットワークPLMNを提供するものであり、要求は第2のネットワークでの第2の登録に関する情報を含み、PLMNは、UEデバイスとPLMNとの間の相互認証を実行し、第1のアクセスでセキュア接続を確立し、第1のアクセスに関する情報を第2のネットワークに転送するように構成され、情報は、第2のネットワークが第1のアクセスを登録し、第1のアクセスでセキュア接続を使用してUEデバイスで登録を交換することを可能にするようなものである。
【0048】
ユーザ機器UEデバイスの第1のアクセスを登録するように構成された公衆陸上移動体ネットワークPLMNも提供され、登録することは、第2のネットワークからUEデバイスの認証を要求することを含み、PLMNは、第2のネットワークからUEデバイスの第2のアクセスの登録のための要求を受信するように構成され、第2のアクセスは、UEデバイスと第2のアクセスを提供するエンティティとの間に確立されたセキュリティアソシエーションを含み、要求は、第2のアクセスでUEデバイスに接続するためにPLMNによって使用される情報含む。
【0049】
訪問先ネットワーク内に登録されたUEがホームネットワークへのN3GPPアクセスで追加登録することを可能にするために、ホームネットワークの機能は、N3GPPアクセスでの通常登録のためのAMFと同様に、セキュリティアソシエーションのセットアップならびにホームネットワーク内のUEとN3IWFとの間のIPsec接続のための必要な段階を実行する。この機能は、以下ではこの機能を、ここではV-AMFと称される訪問先ネットワーク内のAMFと区別するために、仮想ホームAMF、H-AMFと名付けられる。
【0050】
UEは、ホームネットワークのN3IWFからコアネットワークへのアクセスを要求して、UEがV-AMFから受信したUEの一時的IDを提供する。加えて、UEは、その要求が既に確立されたアクセスを維持しながら追加アクセスするためであることを示す。N3IWKは訪問先ネットワークへの接続がなく、したがってホームネットワーク(H-AMF)内のAMFを選択して要求を続ける。
【0051】
本発明によれば、H-AMFはV-AMFと交信し、一時的IDに基づいて情報を要求する。この情報は、UEの恒久的ID、UEの能力、および2次N3GPPアクセスの登録許可を含むことができる。この情報を用いて、H-AMFは、UEのためのN3GPPアクセスの登録を、相互EAPベース認証が完了し、IPセキュリティアソシエーションがUEとN3IWFとの間に確立される時点まで続ける。
【0052】
次いで、H-AMFは、N3GPPアクセスおよび確立済みセキュリティアソシエーションに関する情報をV-AMFに提供し、V-AMFに、既存UEコンテキストにN3GPPアクセスを追加し、登録手順をUEで完了させるよう要求する。
【0053】
例えばセルラーモバイルネットワーク内のハンドオーバなどの既知の方法との違いは、新たに交信したAMF(H-AMF)が、UEが現在登録されているAMF(V-AMF)からの情報に、UEの制御権を新AMFにハンドオーバしないよう要求することである。その代わりに、制御権は保持され、追加のアクセスがコンテキストに加えられる。このアクセスは、後にUEコンテキストを削除するH-AMFである。レガシー手順では、ハンドオーバが何らかの理由で失敗した場合、新AMFはUEのコンテキストを削除するだけである。その場合、不変のコンテキストでは旧AMFしかUEを制御し続けることができない。上記の登録の処理ならびに既存コンテキストへの転送および追加は分かっていない。
【0054】
既知の登録要求(アタッチ要求)との違いは、UEが既に別のPLMN内に添付され、N3GPPアクセスを加えるよう要求するという情報をN3IWFが受信することができることである。この情報は様々な形で受信することができ、アタッチ要求メッセージ内のフラグか特定メッセージのどちらか、例えば、2次アタッチ要求メッセージか2次登録メッセージのどちらかがその目的で使用されてもよい。
【0055】
N3IWFは、この情報をH-AMFに転送され、例えば初期UEメッセージでまたは追加メッセージでH-AMFに転送する。H-AMFは、V-AMFから受信された恒久的UE IDに基づいてAUSF選択および相互認証を実行し、本発明の一態様による別の登録に関する追加情報を使用する。
【0056】
本発明の別の態様によれば、IPセキュリティアソシエーションがUEとN3IWFとの間に確立された後、H-AMFは、新UEコンテキストをV-AMFに転送するために各段階を実行して、UEとN3IWFとの間の確立済みセキュリティアソシエーションを存続させながら訪問先ネットワークへのUEのN3GPP接続の制御権をハンドオーバし、H-AMFから受信されているV-AMF内のセキュリティキーおよび他のコンテキスト情報を使用し続ける。
【0057】
N3GPPアクセスに関するUEコンテキストがV-AMF内で受信されると、V-AMFはホームネットワーク内のN3IWFへの接続を確立し、V-AMFはUEで登録を完了させる。
【0058】
本発明の恩典は、セキュリティアソシエーションのセットアップおよびUEとN3IWFとの間のIPsec接続がホームネットワーク内で効率的に実行され、最終的には訪問先コアネットワーク内でUEを制御するための単一制御機能が維持されることである。ホームネットワークは、既知の構成によれば不可能であった、N3GPP関連の登録情報を訪問先ネットワークに効率的に転送することが可能になる。
【0059】
本発明の別の利点は、ホームネットワーク内でセキュリティセットアップをUEで実行することにより、ホームネットワークは、登録手順をN3GPPアクセスでの通常の1次登録手順として処理する選択肢を有し、訪問先ネットワーク内の登録を解除する。したがって、ホームネットワークオペレータはUEの制御権を保持する方法を得ている。決定はH-AMF内に受信された情報に基づいて行うことができる。
【0060】
新たに確立されたN3IWFでPDUセッションをセットアップするには2つのオプションがある。第1のオプションは、V-UPFおよびH-UPFが関係しているレガシーローミングアーキテクチャに基づいている。このオプションでは、ホームネットワーク内のN3IWFは訪問先ネットワーク内のV-UPFに接続することになる。得られたデータ経路を見ると、このオプションは、ホームネットワークへのN3GPPアクセスから予期される利点の大半をすたれさせることが明らかである。したがって、第2のオプションは、H-UPFだけが関係しており、N3IWFがそのH-UPFに接続する場合に好ましい。最初に訪問先ネットワークまでのデータのルートを定める必要はない。この種のPDUセッションのセットアップは既存の方法と同様である、すなわち、確立済み(登録済み)N3GPPアクセスでの新PDUセッションが要求され、V-SMFは、V-UPFに関与せず、H-SMFにN3IWKを選択済みH-UPFに直接接続するよう要求することを決定する。
【0061】
加入者に関する合法的傍受(LI)を提供する必要があってもよく、この要件は訪問先ネットワークで傍受できるべきトラフィックを要求することができる。その場合、本発明は、アーキテクチャを上記のように保つこと(H-UPFへのN3IWFルーティング)、および、データを適切なノードにコピーするH-UPF内の機能またはまさにLI目的の訪問先ネットワーク内の機能を構成することを提案する。これは、訪問先ネットワーク内のV-AMFからネットワーク内部構成になる。
【0062】
次に、本発明の好ましい諸実施形態について添付図面を参照しながら単に例として説明する。
【図面の簡単な説明】
【0063】
図1】既知のネットワーク構成を示す概略図である。
図2】既知のネットワーク構成のメッセージ流れ図である。
図3】訪問先ネットワークおよびホームネットワークの既知の構成の概略図である。
図4】3GPPネットワークおよび非3GPPネットワークの既知のインタワーキング構成の概略図である。
図5図4の構成のメッセージ流れ図である。
図6】本発明を組み込んだネットワークインタワーキング構成の概略図である。
図7図6の構成のメッセージ流れ図である。
図8図7のメッセージ流れ図の継続図である。
【発明を実施するための形態】
【0064】
図6は、図3と同様の、ローミングケースでのセルラーモバイルネットワークのアーキテクチャを示す。訪問先ネットワークへの3GPPベースのアクセスに加えて、図6は、ホームネットワークのN3IWFへのアクセスを与える、WLANアクセスとして例示的な形で示されているN3GPPアクセスを示す。
【0065】
WLANアクセスは一例にすぎず、他のアクセスタイプが、ホームネットワーク、すなわちBluetooth(登録商標)やWiMaxのような他の無線ネットワーク、またはLANやDSLなどのような固定ネットワーク内のN3IWFへのアクセスを与えることができる。図6に示されている例は、UEとWLANの接続、おそらく、IEEE802.11規格ファミリのいずれかによる無線接続と、公衆インターネットまたは他のインターネットを通ってルーティングされるIPベースの接続でよいN3IWFへの固定接続と、を示す。
【0066】
図6のN3IWFは、仮想H-AMF(H-AMFがUEに対して実際は責任を負わないという意味で仮想)に接続されるように示されており、仮想H-AMFはホームネットワーク内で他のネットワーク内の識別済みAMF(V-AMF)と通信することができる。H-AMF対V-AMFの区別は、単に本発明内の異なる機能を示すために行われる。実際、UEに対して責任を負う実際のAMF、V-AMFは1つしかないので、この区別は方法の以下の説明では行われない。
【0067】
前提条件として、UEは訪問先ネットワーク内に登録しており、したがってUDMの認証情報に対してホームネットワーク内のAUSFによって、おそらく図4に示されているものと同様の手順で認証されるものと仮定する。
【0068】
図7は、本発明によるN3GPPアクセスの登録のメッセージシーケンスを示す。上述の前提条件は、図7に段階0として示されている。
【0069】
ホームネットワークへのN3GPPアクセスを得るために、図7の段階1aで、UEは信頼できないWLANネットワークに接続し、IPアドレスを取得する。次いで、UEは、UEのホームネットワークのN3IWFのアドレスを発見する。アドレスおよび名前、例えば完全修飾ドメイン名、例えば、「roaming.n3iwf.de.provider.com」がUICC(SIMカード)に格納されてもよく、あるいは事前に構成されてもよい。DNS名前解決が行われてもよく、N3IWFの有効なアドレスにつながる他の手順が行われてもよい。
【0070】
次いで、UEはN3IWFと交信し、さらなる通信が暗号化されるようにDiffie-Hellmanハンドシェイクに基づいて初期セキュリティアソシエーションを確立する(段階2a)。次いで、UEは、複数のIKE要求とUEが一時的UEを提供する応答メッセージとを交換する。
【0071】
UEは、識別情報に加えて、2次登録を要求するために、または言い換えると、3GPP RAN上での既存接続に加えてコアネットワークへのN3GPPアクセス接続を登録するために交信がなされるという情報を提供することが本発明の一態様である。この情報は、図7の段階2bに「2nd-Reg-Info」として示されているようにIKEメッセージで提供されてもよく、単純なフラグの形でまたは特定のメッセージとして提供されてもよい。
【0072】
本発明によれば、N3IWFは、段階3で、以下でH-AMFと名付けられるホームネットワーク内のAMFを選択し、段階4で、UEの代わりに、N3GPPアクセスの確立および登録を要求するメッセージを生成する。本発明によれば、このメッセージまたはN3IWFからH-AMFへの別のメッセージは、その登録が訪問先ネットワーク内の(R)AN上での1次登録に追加されるという情報を含む。
【0073】
ユースケースがローミングユースケースでなければ、N3IWFは、UEがUEによってN3IWFに提供された一時的UE IDに基づいて既に登録されているAMFを選択することができる。そのAMFがN3IWFから到達可能でない場合、上述したように旧AMFから新AMFへの制御のハンドオーバを要求する別のAMFを選択することができる。ローミングユースケースでは、これは、N3IWFが訪問先ネットワークのAMFと直接交信することができないので不可能であり、ホームネットワークへの制御権のハンドオーバはローミングにとって不可能である。ホームネットワークは、登録が訪問先ネットワークに対して既存登録への2次登録として実行されるのか、登録が訪問先ネットワークで登録を置き換えるホームネットワーク内の1次登録として実行されるのかを選ぶことができる。
【0074】
次いで、H-AMFは、V-AMFからUEに関する情報を、V-AMFに一時的UE-IDを提供する情報要求(段階5a)で要求する。V-AMFは、UEの恒久的IDおよびコンテキスト情報を含むH-AMFに応答を送る。
【0075】
情報要求は、要求が2次アクセスおよび/または非3GPPアクセスを登録するために行われることをV-AMFに示す情報も含むことができ、V-AMFは、V-AMF内で利用可能なコンテキスト情報のサブセットだけを送り返すことができる。
【0076】
次いで、H-AMFは、段階5で恒久的UE-IDに基づいてAUSFを選択する。H-AMF、AUSF、N3IWFおよびUEは、IPSecトンネル内で終わる段階6での相互EAPベースの認証を実行し、UEとN3IWFとの間のセキュリティアソシエーションおよびN3IWFからH-AMFまでの接続が確立される。この段階は、N3GPPアクセスでの通常登録用の図5に示されているものによく似ているまたはこれと同じである。
【0077】
次に、H-AMFは、とにかくUEコンテキストを訪問先ネットワークに転送するかどうかを本発明に従って決定することができる。あるいは、H-AMFは、図5の通常のN3IWFベースの登録手順を継続し、この登録手順はホームネットワーク内のUEの登録および訪問先ネットワーク内のUEの登録の解除で終わる。H-AMFは、その場合、訪問先ネットワーク内で現在使用されているホームネットワーク内のサービスを再構築するために、V-AMFから受信されたコンテキスト情報を考慮に入れることができる。
【0078】
この決定は、UDMからH-AMFによって受信された情報、例えば加入者情報、および/または、PCFからH-AMFによって受け取られた情報、例えば、現在のネットワーク負荷、オペレータの好み、および他のネットワークもしくは加入者関連情報を考慮したオペレータポリシーをベースとすることができる。H-AMFは、UMDおよび図7に示されていないPCFからそれぞれの情報を要求および受信することができる。登録手順中に得られた情報および潜在的追加情報に基づいて、H-AMFは段階7で決定を行う。
【0079】
段階7は、上記手順の別の特に前の段階で実行されてもよい。図7のメッセージおよび段階のシーケンスは単なる例である。例えば、H-AMFは、H-AMFが登録要求を受信した直後に、または相互認証中のいつでも、登録要求を前進させる方法の決定を行うことができる。
【0080】
UEコンテキストを訪問先ネットワークに転送する決定の後、本発明は、UEコンテキストをH-AMFから訪問先ネットワーク内のV-AMFに転送し、AMF内のUEコンテキストにN3GPPアクセスリンクを加えるために新しい技術的段階を導入する。
【0081】
以下の段階は図8に示されており、図8は、図7に示されているメッセージシーケンスの継続である。
【0082】
転送が決定されたものとすると、H-AMFは図示のようにUEコンテキストをV-AMFに送信する。使用されるメッセージは、例的に、図8の段階9のV-AMFから受信された情報応答への返信とすることができる。このメッセージは、登録手順中に生成されたH-AMF内のコンテキストを含む、すなわち、AUSFから受信されたまたはAUSFによって認証されたUE恒久的ID、UEのセキュリティキーおよびN3IWFを含み、N3IWFのアドレスも含むことができる。
【0083】
次いで、訪問先ネットワーク内のV-AMFは、H-AMFから受信されたアドレスを使用してN3IWFと交信し、N3IWFからコアネットワークへの接続がH-AMFからV-AMFに切り替えられることを要求する。Path Switch Requestメッセージが図8に例的に示されている、段階10a。これは、図8には明示されていない、N3IWFとV-AMFとの間のトンネル確立および相互認証を含むことができる。N3IWFは、段階10bで当該応答メッセージでV-AMFへの切替えを了解する。別法として、経路切替えはH-AMFによって要求されてもよい。
【0084】
V-AMFは、段階11で最終Information AcknowledgementメッセージでN3GPPコンテキスト転送およびルートの切替えを了解することができる。次いで、H-AMFは、段階12でUEコンテキストを削除することができる。
【0085】
次に、訪問先ネットワーク内のAMFは、UEに、AMFからN3IWFを介して新たに確立されたルートでN3GPP接続登録の受け入れに関して通知する。本発明によれば、段階13aでの受入メッセージは、制御プレーンメッセージのルーティング用の規則を含んだ構成情報を含むことができる。UEにはこのときAMFまで2つの異なるルートが確立されているので、規則により、UEは、決定用の制御メッセージおよび条件にどのルートを使用するか決定することが可能となり得る。受信尤度を増大させるために両ルート上で制御情報を送信することも可能である。
【0086】
UEは、N3GPPアクセスでまたは(R)AN上で前に受信されたルーティング規則に従って送信され得る、段階13bのRegistration Completeメッセージで登録手順を完了する。
【0087】
本発明の一態様では、公衆陸上移動体ネットワークPLMNはホームPLMN、H-PLMNとして働く。H-PLMNとして働く第2のネットワークが、UEデバイスから第2のアクセスを登録するための要求を受信し、この要求は第1のネットワークでの第1の登録に関する情報を含み、第2のネットワークは、デバイスと第2のネットワークとの間の相互認証を実行し、第2のアクセスでセキュア接続を確立した後で、第2のアクセス情報を第1のネットワークに転送し、第2のアクセス情報は、第1のネットワークが第2のアクセスを登録するとともに、第2のアクセスでセキュア接続を使用して登録情報をデバイスで交換することを可能にする。
【0088】
第2のネットワークはデバイスの加入者のホームネットワークとすることができ、第1のネットワークは訪問先(またはローミング対象)ネットワークとすることができる。第1のアクセスは3GPP無線アクセスネットワーク上でのものであり、第2のアクセスは非3GPPアクセスネットワーク上のアクセスとすることができる。その場合、第1のアクセスは信頼できるアクセスネットワーク上でのものであり、第2のアクセスは信頼できないアクセスネットワーク上でのものである。第1のネットワークを用いたデバイスの第1のアクセスの登録は、デバイスと第2のネットワークとの間の相互認証を含む(=ローミング原則)。
【0089】
セキュア接続は、デバイスと第2のアクセスのエンティティとの間のセキュリティアソシエーションと、デバイスとエンティティとの間のIPSecと、を含むことができる。相互認証の実行およびセキュア接続の確立は、第1のネットワーク内のデバイスの第1の登録に影響を与えることなく行われる。第2のアクセス情報を第1のネットワークに転送する前の第2のネットワークは、第2のネットワーク内で利用可能な加入者情報、ポリシー情報およびサービス情報のうち1つまたは複数に基づいて、第2のアクセス情報を第1のネットワークに転送するか、第1のネットワークからのUEの第1のアクセス登録の解除を要求かを決定する。
【0090】
H-PLMNは、デバイスから第2のアクセスの登録のための要求を受信する第2のノードを含んでいてもよく、この要求は、第1のネットワークの第1のノードでの第1の登録に関する情報を含み、第2のノードは、第1のノードからデバイスの第1のコンテキスト情報を要求および受信し、第2のアクセスでデバイスへのセキュア接続を確立し、第1のノードに第2のコンテキスト情報を提供し、第2のコンテキスト情報が第2のアクセスおよびセキュア接続に関する情報を含み、そして第1のノードによる第2のコンテキスト情報の受信成功の確認を受信するのに応答して第2のノード内のデバイスコンテキストを削除する。
【0091】
本発明の一態様では、PLMNが訪問先PLMNまたはV-PLMNとして働く。第1のネットワークがデバイスの第1のアクセスを登録し、登録することは、第2のネットワークからデバイスの認証を要求することを含み、第1のネットワークは、第2のネットワークからデバイスの第2のアクセスの登録のための要求を受信し、第2のアクセスは、デバイスと第2のアクセスを提供するエンティティとの間に確立されたセキュリティアソシエーション(およびIPSec接続)を含み、要求は、セキュリティアソシエーション(およびIPSec接続)を使用して第2のアクセスでデバイスに接続するために第1のネットワークによって使用される情報を含む。
【0092】
本発明の別の態様はUEであり、UEは、第1のアクセスを介して第1のネットワーク内で登録し、第2のネットワークから第2のアクセスの登録を要求して第2のネットワークを用いて第2のアクセスでセキュリティアソシエーション(およびIPSec)を確立し、第1のネットワークへの第1のアクセスを維持しながら第2のアクセスで第1のネットワークからの登録要求への応答を受信する。
図1
図2
図3
図4
図5
図6
図7
図8
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.