特許7388464第1のネットワーク装置及び第1のネットワーク装置のための方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-11-20
(45)【発行日】2023-11-29
(54)【発明の名称】第1のネットワーク装置及び第1のネットワーク装置のための方法
(51)【国際特許分類】
H04W 12/06 20210101AFI20231121BHJP
H04W 12/72 20210101ALI20231121BHJP
H04W 92/24 20090101ALI20231121BHJP
H04W 8/20 20090101ALI20231121BHJP
【FI】
H04W12/06
H04W12/72
H04W92/24
H04W8/20
【請求項の数】
10
(21)【出願番号】P 2022042147
(22)【出願日】2022-03-17
(62)【分割の表示】P 2020540648の分割
【原出願日】2019-02-15
(65)【公開番号】P2022078325
(43)【公開日】2022-05-24
【審査請求日】2022-03-17
(31)【優先権主張番号】201841005986
(32)【優先日】2018-02-16
(33)【優先権主張国・地域又は機関】IN
【前置審査】
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】バスカラン シーバ バッキア メーリ
(72)【発明者】
【氏名】プラサド アナンド ラガワ
(72)【発明者】
【氏名】ラクシュミナラヤナン シバカミー
(72)【発明者】
【氏名】アルムガム シババラン
(72)【発明者】
【氏名】伊藤 博紀
(72)【発明者】
【氏名】吉澤 敬人
【審査官】伊東 和重
(56)【参考文献】
【文献】特表2021-511691(JP,A)
【文献】Ericsson,NF discovery with SUCI[online],3GPP TSG SA WG3 #90,3GPP,2018年01月26日,S3-180267,検索日[2023.02.14],Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_90_Gothenburg/Docs/S3-180267.zip>
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24-7/26
H04W 4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1,4
(57)【特許請求の範囲】
【請求項1】
受信手段と、選択手段とを備える第1のネットワーク装置であって、前記受信手段は、Subscription Concealed Identifier(SUCI)を含む認証要求メッセージを第2のネットワーク装置から受信し、
前記SUCIは、Unified Data Management(UDM)インスタンスに関連するルーティング情報と、International Mobile Subscription Identity(IMSI)または非IMSIのいずれであるかを示すタイプ情報とを含み、
前記選択手段は、前記ルーティング情報を用いてUDMまたはUDMインスタンスを選択または発見する、
第1のネットワーク装置。
【請求項2】
認証情報を要求するための要求メッセージを前記UDMまたはUDMインスタンスに送信する送信手段を更に備え、前記要求メッセージが、前記SUCIを含む、
請求項1に記載の第1のネットワーク装置。
【請求項3】
受信手段と、選択手段と、送信手段とを備える第1のネットワーク装置であって、
前記受信手段は、Subscription Concealed Identifier(SUCI)を含む認証要求メッセージを第2のネットワーク装置から受信し、
前記SUCIは、Unified Data Management(UDM)インスタンスに関連するルーティング情報を含み、
前記選択手段は、前記ルーティング情報を用いてUDMまたはUDMインスタンスを選択または発見し、
前記送信手段は、認証情報を要求するための要求メッセージを前記UDMまたはUDMインスタンスに送信し、
前記要求メッセージが、前記SUCIを含み、
前記受信手段は、前記要求メッセージに応じて送信された応答メッセージを前記UDMまたはUDMインスタンスから受信し、
前記応答メッセージが、Subscription Permanent Identifier(SUPI)を含む、
第1のネットワーク装置。
【請求項4】
前記第2のネットワーク装置は、Access and Mobility Management Function(AMF)又はSecurity Anchor Function(SEAF)である、請求項1~3の何れか一項に記載の第1のネットワーク装置。
【請求項5】
前記第1のネットワーク装置は、Authentication Server Function(AUSF)である、請求項1~4の何れか一項に記載の第1のネットワーク装置。
【請求項6】
第1のネットワーク装置のための方法であって、Subscription Concealed Identifier(SUCI)を含む認証要求メッセージを第2のネットワーク装置から受信し、
前記SUCIは、Unified Data Management(UDM)インスタンスに関連するルーティング情報と、International Mobile Subscription Identity(IMSI)または非IMSIのいずれであるかを示すタイプ情報とを含み、
前記ルーティング情報を用いてUDMまたはUDMインスタンスを選択または発見する、
方法。
【請求項7】
認証情報を要求するための要求メッセージを前記UDMまたはUDMインスタンスに送信することを更に含み、前記要求メッセージが、前記SUCIを含む、
請求項6に記載の方法。
【請求項8】
第1のネットワーク装置のための方法であって、
Subscription Concealed Identifier(SUCI)を含む認証要求メッセージを第2のネットワーク装置から受信することを含み、
前記SUCIは、Unified Data Management(UDM)インスタンスに関連するルーティング情報を含み、
前記ルーティング情報を用いてUDMまたはUDMインスタンスを選択または発見し、
認証情報を要求するための要求メッセージを前記UDMまたはUDMインスタンスに送信することを更に含み、
前記要求メッセージが、前記SUCIを含み、
前記要求メッセージに応じて送信された応答メッセージを前記UDMまたはUDMインスタンスから受信することを更に含み、
前記応答メッセージが、Subscription Permanent Identifier(SUPI)を含む、
方法。
【請求項9】
前記第2のネットワーク装置は、Access and Mobility Management Function(AMF)又はSecurity Anchor Function(SEAF)である、請求項6~8の何れか一項に記載の方法。
【請求項10】
前記第1のネットワーク装置は、Authentication Server Function(AUSF)である、請求項6~9の何れか一項に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、適切な(right)UDMインスタンスを選択し、UDMインスタンスのセキュリティを確保する方法に関する。
【背景技術】
【0002】
現行のシステムでは、User Equipment(UE)がSubscription Permanent Identifier(SUPI)を秘匿形式で登録要求のSubscription Concealed Identifier(SUCI)としてコアネットワーク要素に送信しており、Unified Data Management(UDM)インスタンスの発見に大きな問題を残している。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本開示により、次の2つの異なる問題シナリオに関連する問題が解決される。
【0004】
シナリオ1:本開示は、UEから受信したUDMインスタンス発見関連情報と、UDMコンシューマまたはNetwork Repository Function(NRF)で構成されたUDMインスタンス関連ルーティング情報とに基づいて、UDMインスタンス発見プロセスに関連する次の2つの問題を解決する。
【0005】
1)SUCIでの十分なUDMインスタンス発見/ルーティング情報の欠如:SUbscription Concealed Identifier(SUCI)は、1回限りのサブスクリプション識別子であり、これには、秘匿サブスクリプション識別子(MSINなど)が含まれ、UDMインスタンスを発見するためにSUPIレンジを使用することはできない。さらに、SUCIにはMobile Country Code(MCC)とMobile Network Code(MNC)のみが暗号化されていない形式で含まれているため、単一のUDMを見つけるためにのみ使用でき、さらに、UDMに複数のUDMインスタンスがある場合にはUDMインスタンスの識別に使用することはできない。
【0006】
2)UDMインスタンスとUDMインスタンス識別子の完全性(integrity)と機密性(confidentiality)の保護の欠如:UDMインスタンスIDがUDM発見情報として使用され、UEによってコアネットワーク要素に無線で送信される場合、悪意のある攻撃者は、UDMインスタンス識別子をキャプチャし、変更してサービス拒否(DoS)を実行するか、UDMインスタンスを不正利用することができる。これがコアネットワークでのUDMインスタンスの攻撃/障害につながる可能性を与えてはならない。
【0007】
シナリオ2:
UEは、登録要求メッセージでSUCIまたはGlobally Unique Temporary UE Identity(5G-GUTI)をAccess and Mobility Management Function(AMF)/SEcurity Anchor Function(SEAF)に送信し、AMF/SEAFはAuthentication Initiation Request(5G-AIR)メッセージをAUSFへ送信できる。SEAFに有効な5G-GUTIがあり、UEを再認証する場合、AMF/SEAFは5G-AIRメッセージにSUPIを含めることができる。それ以外の場合、SUCIは5G-AIRに含まれている。現行のシステムでは、Authentication Server Function(AUSF)がSUPIがクリアテキストであるか秘匿形式であるかをどのように判別できるかは定義されていない。本開示により、この問題に関連する以下の2つの問題が解決される。
UEは、登録要求メッセージでSUCIまたはGlobally Unique Temporary UE Identity(5G-GUTI)をAccess and Mobility Management Function(AMF)/SEcurity Anchor Function(SEAF)に送信し、AMF/SEAFはAuthentication Initiation Request(5G-AIR)メッセージをAUSFへ送信できる。SEAFに有効な5G-GUTIがあり、UEを再認証する場合、AMF/SEAFは5G-AIRメッセージにSUPIを含めることができる。それ以外の場合、SUCIは5G-AIRに含まれている。現行のシステムでは、Authentication Server Function(AUSF)がSUPIがクリアテキストであるか秘匿形式であるかをどのように判別できるかは定義されていない。本開示により、この問題に関連する以下の2つの問題が解決される。
【0008】
1)AUSFのSUPI状態(Concealed/Cleartext)情報の欠如:
SUPIは、再認証中に5G-AIRメッセージで運ばれるが、SUPIの状態情報(クリアテキストまたは秘匿形式)が欠如しているため、AUSFはSUPI識別のためにSubscription Identifier De-concealing Function(SIDF)/UDMに依存することになる。これにより、再認証中に不要な追加メッセージとアクセス遅延が発生する。
SUPIは、再認証中に5G-AIRメッセージで運ばれるが、SUPIの状態情報(クリアテキストまたは秘匿形式)が欠如しているため、AUSFはSUPI識別のためにSubscription Identifier De-concealing Function(SIDF)/UDMに依存することになる。これにより、再認証中に不要な追加メッセージとアクセス遅延が発生する。
【0009】
2)明確な再認証手順の欠如:
現行のTS 33.501は再認証の存在を確認しているが、5Gシステムの再認証セキュリティ手順については議論していない。
現行のTS 33.501は再認証の存在を確認しているが、5Gシステムの再認証セキュリティ手順については議論していない。
【0010】
シナリオ1及び2に対応する解決策の詳細な説明は、2.1~2.4に示す通りである。
【課題を解決するための手段】
【0011】
本開示の第1の例示的な態様による、コアネットワーク要素/オペレータ/または他の任意のものによって、UDMインスタンス発見/ルーティング情報を移動通信装置/Universal Subscriber Identity Module(USIM)に事前プロビジョニングする方法は、コアネットワークによる移動通信装置/USIMへのUDMインスタンス発見/ルーティング情報の事前プロビジョニングを含み、UDMインスタンス発見/ルーティング情報は、以下のパラメータのいずれか1つまたは組み合わせであり得る。
a)UDM Identifier(UDM識別子)とInstance(インスタンス)番号
b)IMSIまたはSUPI Range(レンジ)インジケータ
c)Access(アクセス)/IMSIタイプ
d)Protection(保護)スキーム
e)Service(サービス)タイプ
f)乱数
a)UDM Identifier(UDM識別子)とInstance(インスタンス)番号
b)IMSIまたはSUPI Range(レンジ)インジケータ
c)Access(アクセス)/IMSIタイプ
d)Protection(保護)スキーム
e)Service(サービス)タイプ
f)乱数
【図面の簡単な説明】
【0012】
【発明を実施するための形態】
【0013】
本開示では、次の略語と用語が使用されている。
【0014】
【表1】
【0015】
図1は、本開示の実施形態による移動通信環境を示すブロック図である。移動通信環境では、移動通信装置は、移動通信サービスを取得するためにサービスネットワークに無線で接続される。例えば、移動通信装置は、ユーザイクイップメント(UE)、携帯電話機、スマートフォン、ラップトップコンピュータ、パネルPC、IoT(Internet of Things)デバイス、または少なくともそのサービスネットワークで利用されるRadio Access Technology(RAT)をサポートする任意のコンピューティングデバイスであり得る。RATには、Global System for Mobile communications(GSM)テクノロジ、General Packet Radio Service(GPRS)テクノロジ、Enhanced Data rates for Global Evolution(EDGE)テクノロジ、Wideband Code Division Multiple Access(WCDMA)テクノロジ、Code Division Multiple Access 2000(CDMA 2000)テクノロジ、Time Division-Synchronous Code Division Multiple Access(TD-SCDMA)テクノロジ、Worldwide Interoperability for Microwave Access(WiMAX)テクノロジ、Long Term Evolution(LTE)テクノロジ、LTE-Advanced(LTE-A)テクノロジ、Time Division-LTE(TD-LTE)テクノロジ、または次世代(5G)テクノロジなどが含まれる。サービスネットワークは、アクセスネットワークとコアネットワークで構成される。アクセスネットワークは、無線信号の処理、無線プロトコルの終端処理、及び移動通信装置とコアネットワークとの接続を担当し、コアネットワークは、移動管理、ネットワーク側認証、及び公衆ネットワークとのインターフェイスを担当する。一実施形態では、サービスネットワークは、PLMNに属することができ、アクセスネットワークは、複数のRAまたはTAを含むことができ、各RAまたは各TAは基地局のグループによって形成される。
【0016】
例えば、サービスネットワークがWCDMAシステムの場合、アクセスネットワークは、少なくともNode-B(NB)とRadio Network Controller(RNC)を含むUniversal Terrestrial Radio Access Network(UTRAN)であってもよく、コアネットワークは、Home Location Register(HLR)、少なくとも1つのServing GPRS Support Node(SGSN)、及び少なくとも1つのGateway GPRS Support Node(GGSN)を含むGeneral Packet Radio Service(GPRS)コアであってもよい。あるいは、サービスネットワークがLTE/LTE-Aシステムの場合、アクセスネットワークは、少なくともevolved NodeB(eNB)を含むEvolved-UTRAN(E-UTRAN)であってもよく、コアネットワークは、Home Subscriber Server(HSS)、Mobility Management Entity(MME)、Serving Gateway(S-GW)、及びPacket Data Network Gateway(PDN-GWまたはP-GW)を含むEvolved Packet Core(EPC)であってもよい。あるいは、サービスネットワークが次世代システム(5GS)である場合、アクセスネットワークは、少なくともgNBを含む5G-Access Network(5G-AN)または(Radio) Access Network((R)AN)であってもよく、コアネットワークは、Access and Mobility Management Function(AMF)、Security Anchor Function(SEAF)、Authentication Server Function(AUSF)、Unified Data Management(UDM)、Subscription Identifier De-concealing Function(SIDF)、Authentication Credential Repository and Processing Function(ARPF)を含む5G Core Network(5GC)であってもよい。
【0017】
図示されていないが、移動通信装置は、1つ以上のサービスネットワークに無線で接続され得る。例えば、複数のサービスネットワークのそれぞれは、それぞれのPublic Land Mobile Network(PLMN)に属してもよく、その結果、移動通信装置は、無線サービスを取得するためにPLMNのうちの1つを選択し得る。
【0018】
移動通信装置は、アンテナを介してサービスネットワークとの間で無線送受信の機能性(functionality)を実行するためのネットワークインターフェースと、ネットワークインターフェースの動作及びMan-Machine Interface(MMI)として機能するディスプレイユニット及び/またはキーパッドなどのその他の機能コンポーネントの動作を制御するためのコントローラと、アプリケーション及び通信プロトコルの命令セット及び/またはプログラムコードなどを格納するメモリと、を備える。より具体的には、コントローラは、識別子保護スキームを示すための開示の方法を実行するためにネットワークインターフェースを制御する。
【0019】
2.1 SUCIに十分なUDMインスタンス発見情報がないことへの解決策
UDMルーティング情報は、Network Repository Function(NRF)、AUSF、SEAF、SIDFなどのコアネットワーク要素、または任意のNetwork Function(NF)/UDMコンシューマで事前に構成(設定)されており、次のパラメータのいずれか1または組み合わせを使用してUDM/UDMインスタンス発見をサポートすることができる。UDMルーティング/選択/発見情報は、UEに事前にプロビジョニング(提供)されることができる。UEは、登録要求またはその他の要求でUDMインスタンスの発見/ルーティングの情報/パラメータをコアネットワーク要素に送信できる。この要求には、UDMインスタンスの選択/発見/ルーティングに関連する次のパラメータのいずれか1つ、1つのうちの一部分または複数の部分、または組み合わせを含むことができる。
UDMルーティング情報は、Network Repository Function(NRF)、AUSF、SEAF、SIDFなどのコアネットワーク要素、または任意のNetwork Function(NF)/UDMコンシューマで事前に構成(設定)されており、次のパラメータのいずれか1または組み合わせを使用してUDM/UDMインスタンス発見をサポートすることができる。UDMルーティング/選択/発見情報は、UEに事前にプロビジョニング(提供)されることができる。UEは、登録要求またはその他の要求でUDMインスタンスの発見/ルーティングの情報/パラメータをコアネットワーク要素に送信できる。この要求には、UDMインスタンスの選択/発見/ルーティングに関連する次のパラメータのいずれか1つ、1つのうちの一部分または複数の部分、または組み合わせを含むことができる。
【0020】
UDMコンシューマは、AMF、SEAF、AUSF、SIDF、または任意のネットワーク要素とすることができる。
【0021】
これらのUDM/UDMインスタンスの選択/発見/ルーティングのパラメータは、個別またはSUCIのサブパラメータとすることができる。
【0022】
1. UDMインスタンス識別子(UDM IID)
【0023】
UDMインスタンス識別子全体またはUDM IIDの一部(部分的なUDM IID)は、適切な(right)UDM/UDMインスタンスを発見するためのルーティング情報として使用することができる。
【0024】
完全なUDM IIDまたは部分的なUDM IIDは、SUPI保護スキーム関連情報を送信する間に、コアネットワーク要素によってUE/USIMに事前共有されることができる。
【0025】
変形例1:UEと事前共有するためのUDM IID選択は、サブスクリプション/SUPI/保護スキームに基づくことができる。
【0026】
登録要求メッセージでSUCIを送信している間、UEは、受信/構成されたUDM IID関連情報を、個別のパラメータまたはSUCIのサブパラメータとしてSUCIとともにAMF/SEAFに送信することもできる。
【0027】
AMF/SEAFは、5G-Authentication Initiation Request(5G-AIR)メッセージでSUCIとともにUDM IIDをAUSFに転送することができる。
【0028】
UDMコンシューマは、適切なUDMを発見するためのルーティング情報としてUDM IIDを使用することができる。
【0029】
変形例1:UDMコンシューマは、適切なUDMを発見するために、UDM IID、UDM ID関連のルーティング情報を使用して事前に構成されることができる。
【0030】
変形例2:NRFは、UDM IID、UDM ID関連のUDMルーティング/発見情報で構成されることができ、NRFはUDMコンシューマが適切なUDMインスタンスを発見するのに役立つ。
【0031】
2. アクセス/International Mobile Subscriber Identity(IMSI)タイプ
UDMコンシューマは、登録要求メッセージを送信するサブスクライバのアクセスタイプ/IMSIタイプに固有のUDM発見及びルーティング情報で、事前に構成されることができる。
UDMコンシューマは、登録要求メッセージを送信するサブスクライバのアクセスタイプ/IMSIタイプに固有のUDM発見及びルーティング情報で、事前に構成されることができる。
【0032】
変形例:NRFは、アクセスタイプ/IMSIタイプに関連するUDMルーティング/発見情報(UDMインスタンス識別子及び/またはUDM識別子)で構成されることができ、NRFは、受信したアクセスタイプ/IMSIタイプに基づいてUDMコンシューマが適切なUDMインスタンスを発見するのに役立つ。
【0033】
登録要求メッセージを送信するUEは、UDMコンシューマによるUDM発見をサポートするためのルーティング情報として、アクセスタイプ/IMSIタイプを含めることができる。
【0034】
変形例:UEの登録要求メッセージを受信するUDMコンシューマは、登録要求メッセージで通知されたアクセスタイプに基づいてIMSIタイプを識別し、それに応じてアクセスタイプ/IMSIタイプに関連する事前に構成されたUDMインスタンスルーティング情報に基づいて適切なUDMインスタンスを発見する。
【0035】
3.保護スキーム
UDMコンシューマは、UDM/ARPF及び/またはUEによってサポートされるSUPI保護スキームに固有のUDMルーティング情報で、事前に構成されることができる。
UDMコンシューマは、UDM/ARPF及び/またはUEによってサポートされるSUPI保護スキームに固有のUDMルーティング情報で、事前に構成されることができる。
【0036】
変形例:NRFは、SUPI保護スキームに関連するUDMルーティング/発見情報(UDMインスタンス識別子及び/またはUDM識別子)を使用して構成されることができ、NRFは、UDMコンシューマが登録要求メッセージ内のSUCIで示された保護スキームに基づいて適切なUDMインスタンスを発見するのに役立つ。
【0037】
登録要求メッセージを送信するUEは、UDMコンシューマが適切なUDMインスタンスを発見するのをサポートするためのルーティング情報としてSUPI保護スキームを含めることができる。
【0038】
4. IMSIまたはSUPIレンジインジケータ
IMSI/SUPIなどのUEサブスクリプション情報を格納するUDM/ARPFは、サブスクリプション情報に基づいてSUPIを分類し、SUPIのセットに対応するSUPI RANGE INDICATORを設定し、SUPI RANGE INDICATORを、SUPI保護スキームパラメータに沿ってまたはオペレータの実装固有の方法による他の方法で、対応するUE/USIMに提供(事前プロビジョニング)することができる。
IMSI/SUPIなどのUEサブスクリプション情報を格納するUDM/ARPFは、サブスクリプション情報に基づいてSUPIを分類し、SUPIのセットに対応するSUPI RANGE INDICATORを設定し、SUPI RANGE INDICATORを、SUPI保護スキームパラメータに沿ってまたはオペレータの実装固有の方法による他の方法で、対応するUE/USIMに提供(事前プロビジョニング)することができる。
【0039】
UEは、登録要求をネットワークに送信する際に、個別のパラメータまたはSUCIのサブパラメータとして、UDM発見/ルーティング情報としてのSUPI RANGE INDICATORを送信することができる。
【0040】
UDMコンシューマまたはNRFは、適切なUDMインスタンスを発見するために、SUPI RANGE INDICATOR及び関連するルーティング情報を使用して事前に構成されることができる。
【0041】
UDMコンシューマは、事前に構成された情報を使用して、またはUEから受信したSUPI RANGE INDICATORに基づいてNRFを介して、それ自体で適切なUDMを発見することができる。
【0042】
5.サービスタイプ
UDMコンシューマまたはNRFは、サービスタイプ固有のUDM発見情報を使用して構成されることができる。
UDMコンシューマまたはNRFは、サービスタイプ固有のUDM発見情報を使用して構成されることができる。
【0043】
UE登録要求メッセージまたはその他のメッセージで要求されたサービスタイプ(NSSAI/S-NSSAI)に基づいて、NFコンシューマは、それ自体でまたはNRFを通じて適切なUDM(インスタンス)を発見することができる。
【0044】
一般的な変形例:UDMコンシューマまたはNRFは、適切なUDMインスタンスを発見するために、上記のパラメータのいずれか1つ、一部(1つ)、または組み合わせを考慮することができる。
【0045】
6.Random Number(乱数)-単一のUDM配置シナリオのUDMルーティング情報として
【0046】
ホームオペレータネットワークに配置された単一のUDMの場合、乱数がUDMルーティング/発見/選択情報としてSUPIに割り当てられ、UEに事前にプロビジョニングされることができる。UDM/ARPFなどのコアネットワーク要素によって対応するUE/USIM。UEは、登録要求またはAMF/SEAFへのメッセージのSUCIにこの乱数を含めることができる。次に、AMF/SEAF/AUSF/SIDFなどのUDMコンシューマは、UEから送信された乱数と、UDMコンシューマで事前に構成された、またはNRFを使用したUDMルーティング情報に基づいて、単一のUDMを発見することができる。
【0047】
利点:SUCIで乱数をUDM選択/発見情報として使用すると、攻撃者(無線でのスニファ)がUDM関連情報(位置情報、トポロジなど)及びそれらのサブスクライバとの関連性を理解することを妨げるため、UDMのセキュリティを向上させることができる。これにより、特定のUDMに対する攻撃が防止される。
【0048】
2.1.1 SUCIのUDM Catalogue InformationとUDMインスタンスの発見-関連変形例
【0049】
UDM Catalogue Information(UDMカタログ情報):
UDMカタログ機能/情報には、適切なUDMまたはUDMインスタンスの発見または選択をサポートするために、オペレータドメイン(共有または独立)内のUDM及びそのインスタンスに関する詳細情報を含むことができる。
UDMカタログ機能/情報には、適切なUDMまたはUDMインスタンスの発見または選択をサポートするために、オペレータドメイン(共有または独立)内のUDM及びそのインスタンスに関する詳細情報を含むことができる。
【0050】
各UDMは、そのUDMインスタンスを制御するオペレータドメインに固有の一意のUDM識別子(UDM ID)を持つことができる。
【0051】
UDM内のすべてのUDMインスタンスは、一意のUDMインスタンス識別子(UDM IID)を持つことができる。
【0052】
UDMカタログ機能(UCF)または情報は、UDMコンシューマでUDM(インスタンス)発見機能(UDF)としても機能することができる。
【0053】
UCFまたはUDMカタログ情報は、サブスクリプション、セキュリティ要件、サービス要件、UDM負荷などに基づいて適切なUDMインスタンスを発見するためにNRFによって提供されることができる。NRFで管理されるUCFは、UDMインスタンスとその関連機能性及びサービスに変更があるたびに、対応するUDMによって更新されることができる。
【0054】
UCFまたは/及びUDFは、単一のエンティティ/インスタンス/サービス/機能または個別のエンティティ/インスタンス/サービス/機能とすることができる。
【0055】
UDMカタログ機能は、適切なUDMインスタンスを選択/発見するために必要な(ルーティング)情報を管理することができる。
【0056】
UDMカタログ機能(UCF)における情報は、セクション2.1にリストされているUDM発見パラメータに加えて、UDM ID及び/またはUDM IIDなどの他のパラメータと、次のようなUDMの発見のための情報とを含むことがある。
a.UDM (Instance) Functionality(UDM(インスタンス)機能性)、
b.認証方法のタイプ、
c.特権サブスクリプション、
d.通常のサブスクリプション、
e.サブスクリプションタイプ、
f.IMSI/SUPIレンジ識別子
g.サービスタイプ
h.UDM/UDMインスタンスのInvocation count(呼び出し回数)-
-(分散サービス拒否(Distributed Denial-of-Service)(DDoS)を回避するために設定された最大制限。呼び出しカウントは、ホームネットワーク/ビジターのネットワーク要求を処理するホームネットワークのサブスクリプション/サービス/NF/信頼レベル/信頼ゾーン/時間/期間に固有とすることができる(呼び出し回数はビジターネットワークとそのサービスに固有)-
a.UDM (Instance) Functionality(UDM(インスタンス)機能性)、
b.認証方法のタイプ、
c.特権サブスクリプション、
d.通常のサブスクリプション、
e.サブスクリプションタイプ、
f.IMSI/SUPIレンジ識別子
g.サービスタイプ
h.UDM/UDMインスタンスのInvocation count(呼び出し回数)-
-(分散サービス拒否(Distributed Denial-of-Service)(DDoS)を回避するために設定された最大制限。呼び出しカウントは、ホームネットワーク/ビジターのネットワーク要求を処理するホームネットワークのサブスクリプション/サービス/NF/信頼レベル/信頼ゾーン/時間/期間に固有とすることができる(呼び出し回数はビジターネットワークとそのサービスに固有)-
【0057】
呼び出し回数/しきい値は、特定の期間、すべての側面(ソース、サブスクリプションなど)で類似している呼び出し間の最小間隔、アクセス権限レベルのネットワーク機能、サブスクリプションとアクセス権限レベル、及び、機能に対応するUDMインスタンスを識別するためのタグ/参照/情報に設定され得る。
【0058】
2.1.1.1 UDM Catalogue Information Related Variant(UDMカタログ情報関連変形例)-1:
AUSFまたは任意のUDMコンシューマは、図2に示すように、UDMカタログ機能または情報に基づいてUDMインスタンスを発見することができる。セクション2.1.1に記述されているように、UCFによって管理されるサービス要件とその他の特定のパラメータに基づいて、適切なUDMインスタンスの発見/選択をサポートするように、専用のUDMカタログ機能/情報をUDMコンシューマで構成することができる。
AUSFまたは任意のUDMコンシューマは、図2に示すように、UDMカタログ機能または情報に基づいてUDMインスタンスを発見することができる。セクション2.1.1に記述されているように、UCFによって管理されるサービス要件とその他の特定のパラメータに基づいて、適切なUDMインスタンスの発見/選択をサポートするように、専用のUDMカタログ機能/情報をUDMコンシューマで構成することができる。
【0059】
UEの登録要求または任意の要求が、セクション2.1にリストされているUDMルーティング情報パラメータのいずれか1つまたは組み合わせを使用してUDMコンシューマによって受信されるときはいつでも、UDMコンシューマは、SUCIでUEによって通知されたUDMルーティング情報または発見情報を識別して、あるいは要求内のパラメータを識別して、次に図2に示すようにステップ1a及び1bを実行し、適切なUDMインスタンスを発見することができる。Unified Data Repository(UDR)は、UDMによるサブスクリプションデータの格納と取得をサポートする。
【0060】
2.1.1.2 UDMカタログ情報関連変形例-2:
UDMカタログ機能/情報は、NFコンシューマによる適切なUDMインスタンスの発見をサポートするようにNRFで構成されることができる。AUSFまたは任意のUDMコンシューマは、図3に示すように、NRFによって管理されるUDMカタログ機能または情報に基づいてUDMインスタンスを発見することができる。
UDMカタログ機能/情報は、NFコンシューマによる適切なUDMインスタンスの発見をサポートするようにNRFで構成されることができる。AUSFまたは任意のUDMコンシューマは、図3に示すように、NRFによって管理されるUDMカタログ機能または情報に基づいてUDMインスタンスを発見することができる。
【0061】
UEの登録要求または任意の要求が、セクション2.1にリストされているUDMルーティング情報パラメータのいずれか1つまたは組み合わせでAUSFまたはUDMコンシューマによって受信されるときはいつでも、UDMコンシューマは、SUCIでUEによって通知されたUDMルーティング情報または発見情報を識別して、あるいは要求内の任意のパラメータを識別して、次に図3のステップ1.aに示すようにNRFと通信し、図3のステップ1.bに示すように適切なUDMインスタンスを発見することができる。
【0062】
2.1.1.3 UDMカタログ情報関連変形例-3:
SEAFによって受信されたUEの登録要求、または5G-AIR要求が、セクション2.1にリストされているUDMルーティング情報パラメータのいずれか1つまたは組み合わせを使用して、AUSFによってまたはUDMコンシューマによって受信されたメッセージによって、SUCIとともに受信されるときはいつでも、UDMコンシューマは、SUCIでUEから通知されたUDMルーティング情報または発見情報を識別し、あるいは要求内のパラメータを識別し、次に図4のステップ1aに示すようにデフォルトのUDMまたはUDMインスタンスマネージャを発見することができる。
SEAFによって受信されたUEの登録要求、または5G-AIR要求が、セクション2.1にリストされているUDMルーティング情報パラメータのいずれか1つまたは組み合わせを使用して、AUSFによってまたはUDMコンシューマによって受信されたメッセージによって、SUCIとともに受信されるときはいつでも、UDMコンシューマは、SUCIでUEから通知されたUDMルーティング情報または発見情報を識別し、あるいは要求内のパラメータを識別し、次に図4のステップ1aに示すようにデフォルトのUDMまたはUDMインスタンスマネージャを発見することができる。
【0063】
変形例:UDMコンシューマ/AUSFは、デフォルトのUDMインスタンスまたはUDMマネージャを見つけるためにNRFと通信することもある。
【0064】
最初に、SEAF/AUSFまたは任意のUDMコンシューマは、UDMコンシューマで構成された、または解決策A(メイン)で定義されたNRFを介して構成されたルーティング情報に基づいて、デフォルトUDMまたは特定のUDMインスタンス(UDMマネージャとして機能する)を発見することができる。
【0065】
UDMが発見されると、UDM(UDMインスタンスマネージャ)によって管理されるUCFに関連するUDMインスタンス情報を使用して、より適切なUDMインスタンスがUDM(UDMマネージャ)自体によって発見され得る。UCFは、サービス要件とUCFで管理されるその他の特定のパラメータに基づいて適切なUDMインスタンスの選択をサポートするための情報/機能性/サービス/インスタンスとすることができる。
【0066】
変形例:1つのUDMに属する1つのUDMインスタンスは、そのUDM内のUCFの機能を実行して、UDMI ID、UCFデータ、及びその他の必要なサービス/機能性に基づいて、適切なUDMインスタンスを選択/発見することができる。
【0067】
2.1.1.4 UDMカタログ情報関連変形例-4 [SEAFによるUDMインスタンスの選択]:
【0068】
AMF/SEAFが受信したUEの登録要求にSUCIが含まれている場合はいつでも、AMF/SEAFはUDMコンシューマとして機能し、受信したSUCIのUDMインスタンス選択パラメータとSEAFにおいて事前に構成されたUDMカタログ情報とに基づいて、適切なUDMインスタンスを発見/選択することができる。
【0069】
AMF/SEAFがUDMカタログ情報でローカルに構成されていない場合、AMF/SEAFはUDMカタログ情報でローカルに構成されたNRFを利用して、適切なUDMインスタンスを選択することができる。
【0070】
2.1.1.5 UDMカタログ情報関連変形例-4 [スタンドアロンSIDFを使用]:
AMF/SEAFが受信したUEの登録要求にSUCIが含まれている場合はいつでも、SEAFは5G-AIRメッセージとともにSUCIをAUSFに送信することができる。
AMF/SEAFが受信したUEの登録要求にSUCIが含まれている場合はいつでも、SEAFは5G-AIRメッセージとともにSUCIをAUSFに送信することができる。
【0071】
AUSFは、保護スキーム及び/またはホームネットワーク識別子に基づいて、コアネットワークでSIDFを発見することができる。
【0072】
SIDFは、コアネットワーク要素または機能とすることができる。
【0073】
変形例:SIDFは、UDMと同じ場所に配置されるか、コアネットワーク内に独立して配置されることができる。
【0074】
SIDFはSUCIを非秘匿化し、SIDFは、UDMコンシューマとして機能し、SUPIに関連するSUPIレンジ/サブスクリプションに基づいて適切なUDMインスタンスを発見/選択することができる。
【0075】
変形例1:SIDFは、セクション2.1.1で説明したUDMインスタンス発見情報(UDMカタログ情報)を使用して事前に構成されることができる。SIDFは、SUPI及び事前に構成されたUDMインスタンス発見情報に基づいてUDMインスタンスを選択することができる。
【0076】
変形例2:SIDFはUDMコンシューマとして機能し、NRFを介して適切なUDMインスタンスを選択/発見することができる。NRFは、セクション2.1.1で説明したUDMインスタンス発見情報(UDMカタログ情報)を使用して事前に構成することができる。
【0077】
2.2 UDMインスタンスとUDMインスタンス識別子の完全性と機密性保護の欠如に対する解決策
【0078】
2.2.1 偽のインスタンス識別子とUDMインスタンスへの攻撃を防ぐための秘密のインスタンスコードの生成
【0079】
すべてのUDMインスタンスは、一意のUDMインスタンス識別子をもつことができる。
【0080】
2.2.1.1 UDMインスタンス識別子(UDM IID)
ここで、<UDMIID> = <UDM Identifier(UDM識別子)> <Instance number(インスタンス番号)> <Secret Instance Code(シークレットインスタンスコード)> <Service/Function Identifier(サービス/機能識別子)> <Protection scheme Identifier(保護スキーム識別子)>
ここで、<UDMIID> = <UDM Identifier(UDM識別子)> <Instance number(インスタンス番号)> <Secret Instance Code(シークレットインスタンスコード)> <Service/Function Identifier(サービス/機能識別子)> <Protection scheme Identifier(保護スキーム識別子)>
【0081】
部分的なUDM IIDには、UDM識別子とインスタンス番号/インスタンス識別子を含めることができる。
【0082】
部分的なUDM IIDは、任意のコアネットワーク要素またはUDM/ARPFによってUE/USIMに事前にプロビジョニングされることができる。
* <シークレットインスタンスコード> =偽のインスタンスIDとUDMインスタンスへの攻撃を防止するための、ホームネットワーク固有のUDM生成シークレットコード
* <サービス/機能識別子> =特定のUDMインスタンスによって提供される1つまたはすべての機能またはサービスの識別子。サービス/機能識別子は、次のような他の変形例に特有であることがある。
a.サブスクリプションタイプID(通常/プレミアム/SUPIに基づくその他)
b.サービスタイプID(NSSAI/S-NSSAI)
c.IMSIまたは非IMSIタイプID
d.TS 23.501 6.2.7節に記載されている機能に固有の機能性ID
e.認証方法ID
f.保護スキームと方法に関連するID
g.SUPI/IMSIのレンジ
h.アクセスタイプID
* <シークレットインスタンスコード> =偽のインスタンスIDとUDMインスタンスへの攻撃を防止するための、ホームネットワーク固有のUDM生成シークレットコード
* <サービス/機能識別子> =特定のUDMインスタンスによって提供される1つまたはすべての機能またはサービスの識別子。サービス/機能識別子は、次のような他の変形例に特有であることがある。
a.サブスクリプションタイプID(通常/プレミアム/SUPIに基づくその他)
b.サービスタイプID(NSSAI/S-NSSAI)
c.IMSIまたは非IMSIタイプID
d.TS 23.501 6.2.7節に記載されている機能に固有の機能性ID
e.認証方法ID
f.保護スキームと方法に関連するID
g.SUPI/IMSIのレンジ
h.アクセスタイプID
【0083】
2.2.1.2 UDM発見:
UDM ID及びインスタンス番号は、SUPI保護スキームパラメータとともにUE/USIMと事前共有されることができ、これにより、UDMコンシューマまたはNRFまたはUDM/ARPF/または任意のコアネットワーク要素によるUDM/UDMインスタンスの発見をサポートすることができる。
UDM ID及びインスタンス番号は、SUPI保護スキームパラメータとともにUE/USIMと事前共有されることができ、これにより、UDMコンシューマまたはNRFまたはUDM/ARPF/または任意のコアネットワーク要素によるUDM/UDMインスタンスの発見をサポートすることができる。
【0084】
理由:UDM IDとインスタンス番号のみがUEと共有され、UDMインスタンスへの攻撃を防ぐために、<シークレットインスタンスコード> <保護スキーム識別子> <サービス/機能識別子>などのUDMIIDに関連する残りのパラメータがコアネットワークのUDM/ARPFで保持される。
【0085】
UDM/ARPF以外の要素と同様にUEには、並びにホームネットワーク外の要素には、完全なUDM IID(UDMまたはUDMインスタンスに対応する<シークレットインスタンスコード>及び<サービス/機能ID>)の知識が与えられない。
【0086】
事前共有/構成済みのUDM IDとインスタンス番号は、UDMインスタンスの発見に(ルーティング情報として)のみ使用でき、UDM/ARPFでのUDMインスタンスの管理は完全なUDMIIDに基づくことができる。
【0087】
変形例:SUCIでUEから受信した部分的なUDM IIDは、SEAF/AUSF/SIDFまたはNRFなどのUDMコンシューマによって、UDM IIDと一緒に事前に構成されたUDMインスタンスルーティング情報とともに、適切なUDMインスタンスの発見/選択のために使用されることができる。
【0088】
UDMIDとインスタンス番号は、適切なUDMインスタンスを発見するためのルーティング情報として機能することができる。
変形例:UDM Instance Discovery ID(UDMインスタンス発見ID)/UDM Instance Routing ID(UDMインスタンスルーティングID) = UDM ID || UDMインスタンス番号
変形例:UDM Instance Discovery ID(UDMインスタンス発見ID)/UDM Instance Routing ID(UDMインスタンスルーティングID) = UDM ID || UDMインスタンス番号
【0089】
UDM発見をサポートするために、UEは受信したUDMIDとインスタンス番号を、Registration Request(登録要求)メッセージまたは任意のメッセージとともにSUCIで、サブパラメータまたは個別のパラメータとして送信することができる。
【0090】
2.2.1.3 シークレットインスタンスコードの生成
周期的なシークレットインスタンスコードは、UDMルートキー||UDMコンシューマタイプ/コード/識別子/グループ識別子||PRFまたはKDFまたは任意の関数へのインスタンスカウントなどの入力に基づいてインスタンスが作成されるときに、識別子を導出するために生成される。
周期的なシークレットインスタンスコードは、UDMルートキー||UDMコンシューマタイプ/コード/識別子/グループ識別子||PRFまたはKDFまたは任意の関数へのインスタンスカウントなどの入力に基づいてインスタンスが作成されるときに、識別子を導出するために生成される。
【0091】
変形例1:シークレットインスタンスコードは、静的コードまたは動的コードとすることができる。
変形例2:シークレットインスタンスコードは、UDMルートキー、乱数、UDMコンシューマタイプ/コード/識別子/グループ識別子、PRF、KDF、または任意の関数へのインスタンスカウントなどの入力の1つまたは多くの任意の組み合わせに基づいてインスタンスが作成されるときに生成されることができる。
変形例2:シークレットインスタンスコードは、UDMルートキー、乱数、UDMコンシューマタイプ/コード/識別子/グループ識別子、PRF、KDF、または任意の関数へのインスタンスカウントなどの入力の1つまたは多くの任意の組み合わせに基づいてインスタンスが作成されるときに生成されることができる。
【0092】
インスタンスカウントは毎回インクリメントされ、UDM内で同様のタイプのUDMインスタンスが作成される。
【0093】
UDMは、Message Authentication CodeまたはUDMインスタンスのすべて/サブセット/セットのハッシュを生成して格納することができ、攻撃者による偽の識別子の包含を防止するためにそのインスタンス/インスタンス識別子の完全性を周期的に検証することができる。
【0094】
UDM及びUDMインスタンスの管理は、シークレットコードを含む完全なUDMインスタンス識別子に依存してもよい。
【0095】
2.2.2 UDM/UDMインスタンス選択パラメータ/情報のセキュリティ
SUCIで送信された、またはUEによって個別のパラメータとして送信されたUDMインスタンス選択情報/パラメータは、次のいずれかを使用して完全性を保護することができる。UDMインスタンス選択パラメータを受信してUDMインスタンスを選択するコアネットワーク要素は、UDM/UDMインスタンスを選択する前に、UDMインスタンス選択パラメータの完全性を検証することができる。コアネットワーク要素でこの完全性検証を実行するために必要なセキュリティコンテキストは、コアネットワーク要素で使用できるか、ホームネットワークUDM/ARPFによってプロビジョニングされることができる。
-事前にプロビジョニングされた秘密鍵、または
-UEで利用可能なセキュリティコンテキストを使用する、または
-HN公開鍵とUE秘密鍵から導出した鍵を使用する、または
-SUCI構築に適用される保護スキームに基づいて、対称エフェメラルキーから導出した鍵を使用する。
-SUCI構築で使用される鍵を使用する。
SUCIで送信された、またはUEによって個別のパラメータとして送信されたUDMインスタンス選択情報/パラメータは、次のいずれかを使用して完全性を保護することができる。UDMインスタンス選択パラメータを受信してUDMインスタンスを選択するコアネットワーク要素は、UDM/UDMインスタンスを選択する前に、UDMインスタンス選択パラメータの完全性を検証することができる。コアネットワーク要素でこの完全性検証を実行するために必要なセキュリティコンテキストは、コアネットワーク要素で使用できるか、ホームネットワークUDM/ARPFによってプロビジョニングされることができる。
-事前にプロビジョニングされた秘密鍵、または
-UEで利用可能なセキュリティコンテキストを使用する、または
-HN公開鍵とUE秘密鍵から導出した鍵を使用する、または
-SUCI構築に適用される保護スキームに基づいて、対称エフェメラルキーから導出した鍵を使用する。
-SUCI構築で使用される鍵を使用する。
【0096】
2.3 AUSFへのSUPI状態(Concealed/Cleartext)情報がないことへの解決策
再認証中に、AMF/SEAFに有効な5G-GUTIがあり、次にAMF/SEAFがUEを再認証するために5G-Authentication Initiation Request(5G-AIR)メッセージにSUPI(初期/プライマリ認証中にAUSFから以前に受信したもの)を含む場合、AMF/SEAFは、AUSFに通知するためにクリアテキストのSUPIまたは秘匿形式のSUPI(SUCI)があるかどうかを示すインジケータを5G-AIRメッセージに含めることもできる。
再認証中に、AMF/SEAFに有効な5G-GUTIがあり、次にAMF/SEAFがUEを再認証するために5G-Authentication Initiation Request(5G-AIR)メッセージにSUPI(初期/プライマリ認証中にAUSFから以前に受信したもの)を含む場合、AMF/SEAFは、AUSFに通知するためにクリアテキストのSUPIまたは秘匿形式のSUPI(SUCI)があるかどうかを示すインジケータを5G-AIRメッセージに含めることもできる。
【0097】
5G-AIRメッセージでSEAFがインジケータを使用して、SUPIがクリアテキストまたは秘匿形式であるかどうかをAUSFに通知することができる。
【0098】
IMSI/SUPI状態インジケータは、SUPIがクリアテキストまたは秘匿形式であるかどうかを識別するために使用されるインジケータであり得る。
【0099】
変形例:IMSI/SUPI状態インジケータは、SUPIクリアテキストインジケータと呼ばれることもある。
【0100】
IMSI/SUPI状態インジケータ:
メッセージ(例:5G-AIR)内のIMSI/SUPI状態インジケータを有効にして、IMSI/SUPIがクリアテキストであることを通知することができる。
メッセージ(例:5G-AIR)内のIMSI/SUPI状態インジケータを有効にして、IMSI/SUPIがクリアテキストであることを通知することができる。
【0101】
メッセージ(例:5G-AIR)のIMSI/SUPI状態インジケータを無効にして、IMSI/SUPIパラメータが秘匿形式であり、AUSFによってSUCIとして扱われる必要があることを通知することができる。
【0102】
2.3.1 再認証シナリオでのIMSI/SUPI状態インジケータの使用
2.3.1.1 ケース1:UEが登録要求で5G-GUTIを送信する
再認証中にAMF/SEAFに有効な5G-GUTIがあり、次にAMF/SEAFがUEを再認証するために5G-AIRメッセージにSUPI(初期認証中にAUSFから以前に受信したもの)を含む場合、AMF/SEAFはまた、クリアテキストSUPIをAUSFに通知するためにIMSI/SUPI状態インジケータを含むことができる。
2.3.1.1 ケース1:UEが登録要求で5G-GUTIを送信する
再認証中にAMF/SEAFに有効な5G-GUTIがあり、次にAMF/SEAFがUEを再認証するために5G-AIRメッセージにSUPI(初期認証中にAUSFから以前に受信したもの)を含む場合、AMF/SEAFはまた、クリアテキストSUPIをAUSFに通知するためにIMSI/SUPI状態インジケータを含むことができる。
【0103】
図5は、5G-GUTIへのRegistration(登録)時のSUPI State Indicator(SUPI状態インジケータ)の使用を示している。
【0104】
1. UEは、5G-GUTI及びngKSIを含む登録要求をAMF/SEAFに送信することができる。ngKSIの目的は、UEとコアネットワーク要素がセキュリティコンテキストを識別し、後続の接続セットアップ中に初期/プライマリ認証中に導出/共有されたセキュリティコンテキストを再利用できるようにすることである。
【0105】
2. AMF/SEAFは、a)受信した5G-GUTIが有効かどうかをチェックし、それが有効な場合、SEAFは、a-1)5G-AIRメッセージに5G-GUTIに対応するSUPIを含め、5G-AIRにクリアテキストSUPIが含まれていることをAUSFに通知するために、SUPI状態インジケータを有効にすることができる。
【0106】
変形例:2.b)AMF/SEAFが5G-GUTIが無効であることを発見した場合、AMF/SEAFは2.b-1)UEとのサブスクリプション識別手順をトリガすることができる。UEはSUPI/SUCIのいずれかを返す。UEがSUPIを返す場合、AMF/SEAFは、5G-AIRメッセージで有効になっているSUPI状態インジケータ付きのSUPIを含めることができる。UEがSUCIを返す場合、AMF/SEAFは5G-AIRメッセージでSUPI状態インジケータを無効にしたSUCIを含めることができる。
【0107】
3. AMF/SEAFは、ステップ2とその変形例の条件及びngKSIに基づきそれに応じて有効化/無効化されたSUPI状態インジケータとともに、SUPI/SUCIとともに5G-AIRメッセージをAUSFに送信することができる。
【0108】
4. a)SUPI状態インジケータが有効になっている場合、AUSFはSUPIを識別及び検証することができる。
【0109】
変形例:4b)及び4c) 受信した5G-AIRメッセージでSUPI状態インジケータが無効になっている場合、AUSFは、5G-AIRメッセージで受信したSUPI/SUCIをSUCIと見なし、SUCIの秘匿化を解除するために、SUCIを送信することによって、UDM/SIDFとの認証情報要求/応答メッセージをトリガすることができる。
【0110】
5. AUSFは、SUPI検証及びngKSI情報に基づいて再認証を実行することができる。
【0111】
6. 再認証の結果に基づいて、AUSFは5G-AIAメッセージを、それに応じた(再)認証の成功または失敗のメッセージとともにAMF/SEAFに送信することができる。
【0112】
7. AMF/SEAFは、それに応じて登録許可または登録拒否のメッセージをUEに送信することができる。
【0113】
2.3.1.2 ケース2:UEが登録要求でSUCIを送信する
再認証中に、UEが登録要求メッセージでSUCIを送信する場合、AMF/SEAFは、秘匿化されたSUPIの存在をAUSFに通知するために、無効化されたIMSI/SUPI状態インジケータとともに、受信したSUCIを5G-AIRメッセージでAUSFに送信することができる。
再認証中に、UEが登録要求メッセージでSUCIを送信する場合、AMF/SEAFは、秘匿化されたSUPIの存在をAUSFに通知するために、無効化されたIMSI/SUPI状態インジケータとともに、受信したSUCIを5G-AIRメッセージでAUSFに送信することができる。
【0114】
図6は、5G-GUTI登録時のSUPI状態インジケータの使用を示している。
【0115】
1. UEは、SUCI及びngKSIを含む登録要求をAMF/SEAFに送信することができる。ngKSIの目的は、UEとコアネットワーク要素がセキュリティコンテキストを識別し、後続の接続セットアップ中に初期/プライマリ認証中に導出/共有されたセキュリティコンテキストを再利用できるようにすることである。
【0116】
2. SUCIとともに登録要求を受信すると、AMF/SEAFはSUPI状態インジケータを無効に設定することができる。
【0117】
3. AMF/SEAFは、5G-AIRメッセージに秘匿化されたSUPIが含まれていることをAUSFに通知するために、SUCI、ngKSI、及び無効にしたSUPI状態インジケータとともに、5G-AIRメッセージを送信することができる。
【0118】
4. 受信した5G-AIRメッセージでSUPI状態インジケータが無効になっていると、AUSFは、SUCIの秘匿化を解除するためにSUCIを送信することにより、UDM/SIDFとの認証情報要求/応答メッセージをトリガすることができる。
【0119】
5. AUSFは、SUPI検証及びngKSI情報に基づいて再認証を実行することができる。
【0120】
6. 再認証の結果に基づいて、AUSFは5G-AIAメッセージを、それに応じた(再)認証の成功または失敗のメッセージとともにAMF/SEAFに送信することができる。
【0121】
7. AMF/SEAFは、それに応じて登録許可または登録拒否のメッセージをUEに送信することができる。
【0122】
2.4 提案されたパラメータを使用した再認証手順の解決策
次の提案されたパラメータは、UEと5Gシステム間のプライマリ認証に続く再認証に使用することができる。
a)Re-authentication Identifier(再認証識別子)
b)Re-authentication Token(再認証トークン)
次の提案されたパラメータは、UEと5Gシステム間のプライマリ認証に続く再認証に使用することができる。
a)Re-authentication Identifier(再認証識別子)
b)Re-authentication Token(再認証トークン)
【0123】
a)再認証識別子(Re-auth ID):
再認証識別子は、以下のいずれか1つまたは組み合わせにバインドされることができる。
a)初期認証中に実行されたEAP方法の識別子、及び
b)5G再認証コード(動的または静的)
再認証識別子は、以下のいずれか1つまたは組み合わせにバインドされることができる。
a)初期認証中に実行されたEAP方法の識別子、及び
b)5G再認証コード(動的または静的)
【0124】
b)再認証トークン(Re-auth Token):
再認証トークンは、以下のいずれか1つまたは組み合わせにバインドされることができる。
KAUSF/KSEAF/一次初期認証中に導出された任意の鍵、
SUPI、及び
5G再認証コード(動的または静的)
再認証トークンは、以下のいずれか1つまたは組み合わせにバインドされることができる。
KAUSF/KSEAF/一次初期認証中に導出された任意の鍵、
SUPI、及び
5G再認証コード(動的または静的)
【0125】
2.4.1 ケース1の再認証手順:登録要求で5G-GUTIを送信するUE
【0126】
図7は、5G-GUTI登録時のSUPI状態インジケータの使用を示している。
【0127】
1. UEは、Re-auth ID、 Re-auth Token、5G-GUTI、及びngKSIを含む登録要求をAMF/SEAFに送信することができる。ngKSIの目的は、UEとコアネットワーク要素がセキュリティコンテキストを識別し、後続の接続セットアップ中に初期/プライマリ認証中に導出/共有されたセキュリティコンテキストを再利用できるようにすることである。
【0128】
2. AMF/SEAFは、a)受信した5G-GUTIが有効かどうかをチェックし、それが有効な場合、SEAFは、a-1)5G-GUTIに対応するSUPIを5G-AIRメッセージに含め、5G-AIRにクリアテキストSUPIが含まれていることをAUSFに通知するためにSUPI状態インジケータを有効に設定することができる。
【0129】
変形例:2.b)AMF/SEAFが5G-GUTIが無効であることを発見した場合、AMF/SEAFは2.b-1)UEとのサブスクリプション識別手順をトリガすることができる。UEはSUPI/SUCIのいずれかを返す。UEがSUPIを返す場合、AMF/SEAFは、5G-AIRメッセージで有効になっているSUPI状態インジケータ付きのSUPIを含めることができる。UEがSUCIを返す場合、AMF/SEAFは、5G-AIRメッセージで無効になっているSUPI状態インジケータ付きのSUCIを含めることができる。
【0130】
3. AMF/SEAFは、ステップ2とその変形例の条件及びngKSIに基づいて、それに応じて有効化/無効化されたSUPI状態インジケータとともに、SUPI/SUCIとともに5G-AIRメッセージをAUSFに送信することができる。
【0131】
4. a)SUPI状態インジケータが有効になっている場合、AUSFはSUPIを識別及び検証することができる。
【0132】
変形例:4b)及び4c)受信した5G-AIRメッセージでSUPI状態インジケータが無効になっている場合、AUSFは、5G-AIRメッセージで受信したSUPI/SUCIをSUCIと見なし、SUCIの秘匿化を解除するためにSUCIを送信することにより、UDM/SIDFとの認証情報要求/応答メッセージをトリガすることができる。
【0133】
5. AUSFは、Re-Auth IDとSUPIを検証することができる。検証が成功した場合、AUSFは、SUPIに対応するRe-auth Tokenを導出し、5G-AIRメッセージで受信したものを使用して、導出したRe-auth Tokenを検証することにより、再認証を実行することができる。AUSFは、成功したプライマリ認証に対応するKAUSF及びKSEAFを識別するために、受信したngKSI情報を使用することができる。AUSFはさらに、AUSFに残された鍵(KAUSF)またはKSEAFから、再認証鍵を、再認証カウントとともにフレッシュネスパラメータとして導出することができる。
【0134】
変形例:初期認証時に導出されたKAUSF/KSEAFは、r-KAUSF/r-KSEAF生成で、フレッシュネスパラメータとして再認証カウントとともに使用されることができる。
【0135】
変形例:再認証マスタ鍵r-KAUSFはK’AUSFとして記述でき、再認証アンカ鍵r-KSEAFはK’SEAFとして記述することができる。
【0136】
6. 再認証の結果に基づいて、AUSFは5G-AIAメッセージを、それに応じた(再)認証の成功または失敗のメッセージとともにAMF/SEAFに送信することができる。
【0137】
7. AMF/SEAFは、それに応じて登録許可または登録拒否のメッセージをUEに送信することができる。
【0138】
8. 再認証が成功した後、UEは、AUSFと同様の再認証のマスタ鍵またはアンカ鍵を導出することができる。
【0139】
2.4.2 ケース2の再認証手順:UEが登録要求でSUCIを送信する。
【0140】
図8は、5G-GUTI登録時のSUPI状態インジケータの使用を示している。
【0141】
1. UEは、Re-auth ID、Re-auth Token、SUCI、及びngKSIを含む登録要求をAMF/SEAFに送信することができる。ngKSIの目的は、UEとコアネットワーク要素がセキュリティコンテキストを識別し、後続の接続セットアップ中に初期/プライマリ認証中に導出/共有されたセキュリティコンテキストを再利用できるようにすることである。
【0142】
2. SUCIとともに登録要求を受信したAMF/SEAFは、SUPI状態インジケータを無効に設定することができる。
【0143】
3. AMF/SEAFは、5G-AIRメッセージに秘匿化されたSUPIが含まれていることをAUSFに通知するために、Re-auth ID、Re-auth Token、SUCI、ngKSI、及び無効にしたSUPI状態インジケータとともに、5G-AIRメッセージを送信することができる。
【0144】
4. 受信した5G-AIRメッセージでSUPI状態インジケータが無効になると、AUSFは、SUCIの秘匿化を解除するためにSUCIを送信することにより、UDM/SIDFとの認証情報要求/応答メッセージをトリガすることができる。
【0145】
5. AUSFは、Re-auth IDとSUPIを検証することができる。検証が成功した場合、AUSFはSUPIに対応するRe-auth Tokenを導出し、5G-AIRメッセージで受信したものを使用して、導出したRe-auth Tokenを検証することにより、再認証を実行することができる。AUSFは、成功したプライマリ認証に対応するKAUSF及びKSEAFを識別するために、受信したngKSI情報を使用することができる。AUSFはさらに、AUSFに残された鍵(KAUSF)またはKSEAFから、再認証鍵を、再認証カウントとともにフレッシュネスパラメータとして導出することができる。
【0146】
変形例:初期認証時に導出されたKAUSF/KSEAFは、r-KAUSF/r-KSEAF生成で、フレッシュネスパラメータとして再認証カウントとともに使用することができる。
【0147】
変形例:再認証マスタ鍵r-KAUSFはK’AUSFとして記述でき、再認証アンカ鍵r-KSEAFはK’SEAFとして記述することができる。
【0148】
6. 再認証の結果に基づいて、AUSFは、5G-AIAメッセージを、それに応じた(再)認証の成功または失敗のメッセージとともにAMF/SEAFに送信することができる。
【0149】
7. AMF/SEAFは、それに応じて登録許可または登録拒否のメッセージをUEに送信することができる。
【0150】
8. 再認証が成功した後、UEは、AUSFと同様の再認証のマスタ鍵またはアンカ鍵を導出することができる。
【0151】
3.1 本開示には以下が含まれる:
1)UDMまたはUDMインスタンスルーティング情報として機能するように提案されたパラメータ。
2)UDMコンシューマ、NRFなどのさまざまなネットワーク要素によって、及び/またはUDM自体によってUDMインスタンスの発見を実行するための提案された方法。
3)コアネットワーク要素によるUE/USIMへのUDMルーティング情報事前プロビジョニング方法の提案。
4)UDMインスタンスと識別子への攻撃及び偽のUDMインスタンス識別子の悪意のある包含を防ぐための、完全なUDMインスタンス識別子の生成と関連するセキュリティメカニズムの提案。
5)5G-AIRメッセージで送信されたSUPIがクリアテキストまたは秘匿形式である場合、AUSFを示すために提案された方法。
6)UEと5Gコア(5Gシステム)間の再認証のために提案されたセキュリティパラメータと手順。
1)UDMまたはUDMインスタンスルーティング情報として機能するように提案されたパラメータ。
2)UDMコンシューマ、NRFなどのさまざまなネットワーク要素によって、及び/またはUDM自体によってUDMインスタンスの発見を実行するための提案された方法。
3)コアネットワーク要素によるUE/USIMへのUDMルーティング情報事前プロビジョニング方法の提案。
4)UDMインスタンスと識別子への攻撃及び偽のUDMインスタンス識別子の悪意のある包含を防ぐための、完全なUDMインスタンス識別子の生成と関連するセキュリティメカニズムの提案。
5)5G-AIRメッセージで送信されたSUPIがクリアテキストまたは秘匿形式である場合、AUSFを示すために提案された方法。
6)UEと5Gコア(5Gシステム)間の再認証のために提案されたセキュリティパラメータと手順。
【0152】
3.2 本開示には以下が含まれる。
次のステップを含む、UDMインスタンス発見情報のプロビジョニング方法。
1)コアネットワーク/オペレータ/他のいずれかによるUDMインスタンス発見/ルーティング情報のUEへの事前プロビジョニング。UDMインスタンスの発見/ルーティング情報は、以下のパラメータのいずれか1つまたは組み合わせとすることができる。
a.UDM識別子||インスタンス番号またはインスタンス識別子
b.IMSIまたはSUPIレンジインジケータ
c.アクセス/IMSIタイプ
d.保護スキーム
e.サービスタイプ
f.乱数
次のステップを含む、UDMインスタンス発見情報のプロビジョニング方法。
1)コアネットワーク/オペレータ/他のいずれかによるUDMインスタンス発見/ルーティング情報のUEへの事前プロビジョニング。UDMインスタンスの発見/ルーティング情報は、以下のパラメータのいずれか1つまたは組み合わせとすることができる。
a.UDM識別子||インスタンス番号またはインスタンス識別子
b.IMSIまたはSUPIレンジインジケータ
c.アクセス/IMSIタイプ
d.保護スキーム
e.サービスタイプ
f.乱数
【0153】
2)UEは、登録要求メッセージまたはSUCIの送信中の任意のメッセージに、以下のUDMインスタンス発見/ルーティング関連パラメータのいずれか1または組み合わせを含めることができる。
a.UDM識別子||インスタンス番号またはインスタンス識別子
b.IMSIまたはSUPIレンジインジケータ
c.アクセス/IMSIタイプ
d.保護スキーム
e.サービスタイプ
f.乱数
3)UDMインスタンス発見/ルーティングパラメータは、個別のパラメータまたはSUCIのサブパラメータとして、UEからコアネットワークに送信されることができる。
4)UDMインスタンスの発見/ルーティング/選択/識別パラメータ/情報は、任意のパラメータの一部、またはUEから送信された個々のパラメータまたはSUCIの一部とすることができる。
5)UDMカタログ情報または機能は、適切なUDMインスタンスを見つけるために、UDMインスタンスの発見/ルーティングパラメータとともにサポートすることができる。UCFには次の情報が含まれ、UDMコンシューマ、NRF、UDM、または3つのネットワーク要素すべてによって管理されることができる。
a)完全なUDM IID、UDM ID
b)UDM IIDと、次のようなUDMインスタンスの発見に関するさらなる情報
1.UDM(インスタンス)機能、
2.認証方法のタイプ、
3.特権サブスクリプション、
4.通常のサブスクリプション、
5.サブスクリプションタイプ、
6.IMSI/SUPIレンジ識別子
7.UDM/UDMインスタンスの呼び出し回数-
8.サービスタイプ
6)UDMコンシューマは、それ自体またはNRFに沿って、UE及びUCFから受信したUDMインスタンス発見情報に基づいて、適切な(right)UDMインスタンスを発見することができる。
a.変形例:UDMコンシューマは、UE及びUCFから受信したUDMインスタンス発見情報に基づいて、適切なUDMインスタンスを発見することができる。
b.変形例:NRFは、UE及びUCFから受信したUDMインスタンス発見情報に基づいて、適切なUDMインスタンスを発見することができる。
c.変形例:UDMコンシューマまたはNRFは、UEから受信したUDMインスタンス発見情報に基づいてデフォルトのUDMまたはUDMインスタンスまたはUDMインスタンスマネージャを発見し、その後、UCFに基づいて適切な(appropriate)UDMインスタンスを発見することができる。
d.変形例:ネットワーク機能またはそのインスタンスの識別/発見/選択/ルーティングは、適切なUDMインスタンスの選択のために提案された同様の手順と情報交換に従うことができる。
a.UDM識別子||インスタンス番号またはインスタンス識別子
b.IMSIまたはSUPIレンジインジケータ
c.アクセス/IMSIタイプ
d.保護スキーム
e.サービスタイプ
f.乱数
3)UDMインスタンス発見/ルーティングパラメータは、個別のパラメータまたはSUCIのサブパラメータとして、UEからコアネットワークに送信されることができる。
4)UDMインスタンスの発見/ルーティング/選択/識別パラメータ/情報は、任意のパラメータの一部、またはUEから送信された個々のパラメータまたはSUCIの一部とすることができる。
5)UDMカタログ情報または機能は、適切なUDMインスタンスを見つけるために、UDMインスタンスの発見/ルーティングパラメータとともにサポートすることができる。UCFには次の情報が含まれ、UDMコンシューマ、NRF、UDM、または3つのネットワーク要素すべてによって管理されることができる。
a)完全なUDM IID、UDM ID
b)UDM IIDと、次のようなUDMインスタンスの発見に関するさらなる情報
1.UDM(インスタンス)機能、
2.認証方法のタイプ、
3.特権サブスクリプション、
4.通常のサブスクリプション、
5.サブスクリプションタイプ、
6.IMSI/SUPIレンジ識別子
7.UDM/UDMインスタンスの呼び出し回数-
8.サービスタイプ
6)UDMコンシューマは、それ自体またはNRFに沿って、UE及びUCFから受信したUDMインスタンス発見情報に基づいて、適切な(right)UDMインスタンスを発見することができる。
a.変形例:UDMコンシューマは、UE及びUCFから受信したUDMインスタンス発見情報に基づいて、適切なUDMインスタンスを発見することができる。
b.変形例:NRFは、UE及びUCFから受信したUDMインスタンス発見情報に基づいて、適切なUDMインスタンスを発見することができる。
c.変形例:UDMコンシューマまたはNRFは、UEから受信したUDMインスタンス発見情報に基づいてデフォルトのUDMまたはUDMインスタンスまたはUDMインスタンスマネージャを発見し、その後、UCFに基づいて適切な(appropriate)UDMインスタンスを発見することができる。
d.変形例:ネットワーク機能またはそのインスタンスの識別/発見/選択/ルーティングは、適切なUDMインスタンスの選択のために提案された同様の手順と情報交換に従うことができる。
【0154】
次のステップを含む、悪意のある攻撃に対するUDM、UDMインスタンス、及びUDMインスタンス識別子の保護方法。
1)UDM識別子(UDM Identifier)、インスタンス(Instance)番号、シークレットインスタンスコード(Secret Instance Code)、サービス識別子(Service Identifier)、機能識別子(Function Identifier)、保護スキーム識別子(Protection scheme Identifier)などのパラメータ(特定の用途またはSUPI保護に固有)の組み合わせのいずれかを使用して、完全なUDMインスタンス識別子(UDM IID)を生成する。
2)部分的/基本的なUDM IIDには、UDM識別子とインスタンス番号/インスタンス識別子とを含めることができる。
3)シークレットインスタンスコードは、ホームネットワーク固有のUDM生成のシークレットコードであり、偽のインスタンスIDとUDMインスタンスへの攻撃を防ぐことができる。
4)UDMIDとインスタンス番号は、適切なUDMインスタンスを発見するためのルーティング情報として機能することができる。
5)セクション1.2.1.3で説明したように、シークレットインスタンスコード生成はUDM/ARPFによって生成されることができる。
6)UDMは、UDMインスタンスのすべて/サブセット/セットのMACを生成して格納し、攻撃者による偽の識別子の包含を防止するためにそのインスタンス/インスタンスIDの完全性を周期的に検証することができる。
7)UDM及びUDMインスタンスの管理は、シークレットコードを含むUDMインスタンス識別子に依存することができる。
次のステップを含む、5G-AIRメッセージで送信されたSUPIがクリアテキストまたは秘匿形式である場合にAUSFを示すために提案された方法。
1)SUPI/SUCIが5G-AIRメッセージで送信された場合、またはSUPI状態インジケータまたはSUPIクリアテキストインジケータと呼ばれるインジケータを使用した、クリアテキストまたは秘匿形式の他のメッセージである場合、SEAFはAUSFを示すことがある。
次のステップを含む、UEと5Gコア(5Gシステム)間の再認証のために提案されたパラメータとセキュリティ手順。
1)UEは、Re-auth IDとRe-auth Tokenを使用して、ネットワークで再認証することができる。
2)UE及びネットワークは、K’AUSF及び/またはK’SEAFのような再認証鍵を、初期/プライマリー認証時に導出された鍵KAUSF及び/またはKSEAFを用いて導出することができる。
1)UDM識別子(UDM Identifier)、インスタンス(Instance)番号、シークレットインスタンスコード(Secret Instance Code)、サービス識別子(Service Identifier)、機能識別子(Function Identifier)、保護スキーム識別子(Protection scheme Identifier)などのパラメータ(特定の用途またはSUPI保護に固有)の組み合わせのいずれかを使用して、完全なUDMインスタンス識別子(UDM IID)を生成する。
2)部分的/基本的なUDM IIDには、UDM識別子とインスタンス番号/インスタンス識別子とを含めることができる。
3)シークレットインスタンスコードは、ホームネットワーク固有のUDM生成のシークレットコードであり、偽のインスタンスIDとUDMインスタンスへの攻撃を防ぐことができる。
4)UDMIDとインスタンス番号は、適切なUDMインスタンスを発見するためのルーティング情報として機能することができる。
5)セクション1.2.1.3で説明したように、シークレットインスタンスコード生成はUDM/ARPFによって生成されることができる。
6)UDMは、UDMインスタンスのすべて/サブセット/セットのMACを生成して格納し、攻撃者による偽の識別子の包含を防止するためにそのインスタンス/インスタンスIDの完全性を周期的に検証することができる。
7)UDM及びUDMインスタンスの管理は、シークレットコードを含むUDMインスタンス識別子に依存することができる。
次のステップを含む、5G-AIRメッセージで送信されたSUPIがクリアテキストまたは秘匿形式である場合にAUSFを示すために提案された方法。
1)SUPI/SUCIが5G-AIRメッセージで送信された場合、またはSUPI状態インジケータまたはSUPIクリアテキストインジケータと呼ばれるインジケータを使用した、クリアテキストまたは秘匿形式の他のメッセージである場合、SEAFはAUSFを示すことがある。
次のステップを含む、UEと5Gコア(5Gシステム)間の再認証のために提案されたパラメータとセキュリティ手順。
1)UEは、Re-auth IDとRe-auth Tokenを使用して、ネットワークで再認証することができる。
2)UE及びネットワークは、K’AUSF及び/またはK’SEAFのような再認証鍵を、初期/プライマリー認証時に導出された鍵KAUSF及び/またはKSEAFを用いて導出することができる。
【0155】
この出願は、2018年2月16日に提出されたインド特許出願第201841005986号に基づく優先権の利益を主張するものであり、その開示の全体を参照により本明細書に組み込まれる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】