知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-01-17
(45)【発行日】2024-01-25
(54)【発明の名称】通信ネットワークにおけるユーザ機器のデータ伝送管理
(51)【国際特許分類】
H04W 12/08 20210101AFI20240118BHJP
H04W 12/37 20210101ALI20240118BHJP
【FI】
H04W12/08
H04W12/37
【請求項の数】
25
【外国語出願】
(21)【出願番号】P 2022126838
(22)【出願日】2022-08-09
(65)【公開番号】P2023024967
(43)【公開日】2023-02-21
【審査請求日】2022-10-12
(31)【優先権主張番号】202141035928
(32)【優先日】2021-08-09
(33)【優先権主張国・地域又は機関】IN
(73)【特許権者】
【識別番号】515076873
【氏名又は名称】ノキア テクノロジーズ オサケユイチア
(74)【代理人】
【識別番号】100094569
【弁理士】
【氏名又は名称】田中 伸一郎
(74)【代理人】
【識別番号】100103610
【弁理士】
【氏名又は名称】▲吉▼田 和彦
(74)【代理人】
【識別番号】100109070
【弁理士】
【氏名又は名称】須田 洋之
(74)【代理人】
【識別番号】100067013
【弁理士】
【氏名又は名称】大塚 文昭
(74)【代理人】
【識別番号】100086771
【弁理士】
【氏名又は名称】西島 孝喜
(74)【代理人】
【識別番号】100109335
【弁理士】
【氏名又は名称】上杉 浩
(74)【代理人】
【識別番号】100120525
【弁理士】
【氏名又は名称】近藤 直樹
(74)【代理人】
【識別番号】100139712
【弁理士】
【氏名又は名称】那須 威夫
(72)【発明者】
【氏名】ロラン ティエボー
(72)【発明者】
【氏名】パラブ グプタ
【審査官】永田 義仁
(56)【参考文献】
【文献】特表2020-505858(JP,A)
【文献】3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Support of Uncrewed Aerial Systems (UAS) connectivity, identification and tracking; Stage 2 (Release 17),3GPP TS 23.256 V1.0.0 (2021-06),2021年06月07日,p.10-12,26-27,Internet<URL:https://www.3gpp.org/ftp/Specs/archive/23_series/23.256/23256-100.zip>,[検索日2023年9月22日]
【文献】Nokia, Nokia Shanghai Bell,KI#2, Sol #23: Updates to clarify on interfacing with USS/UTM[online],3GPP TSG SA WG2 #141e S2-2008265,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_141e_Electronic/Docs/S2-2008265.zip>,2020年10月23日
(58)【調査した分野】(Int.Cl.,DB名)
H04B7/24-7/26
H04W4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
少なくとも1つのプロセッサと、コンピュータプログラムコードを含む少なくとも1つのメモリと、
を備える装置であって、
前記少なくとも1つのメモリおよび前記コンピュータプログラムコードは、前記少なくとも1つのプロセッサによって、前記装置に少なくとも、
通信ネットワークを介したデータネットワークとの接続の確立を開始させることと、
前記データネットワークへのアップリンクデータ転送が許可されていないという第1の通知を前記通信ネットワークから受信することと、
前記データネットワークへのアップリンクデータ転送が許可されているという第2の通知を前記通信ネットワークから受信することであって、前記第2の通知は認証エンティティによる前記装置の検証の成功に対応する、前記受信することと、
を行わせるように構成される、装置。
【請求項2】
前記装置は、前記第1の通知の受信および前記第2の通知の受信の間、前記データネットワークへのアップリンクデータ転送の開始を控える、請求項1に記載の装置。
【請求項3】
前記装置は、前記通信ネットワークを介して前記データネットワークにアクセスするように構成されるユーザ機器の一部である、請求項1に記載の装置。
【請求項4】
前記ユーザ機器は無乗員航空機システム(UAS)の一部である、請求項3に記載の装置。
【請求項5】
前記検証は、前記通信ネットワークにアクセスするために使用される識別子とは異なるデータネットワーク識別子に関して行われる前記装置の認証および認可を含む、請求項1に記載の装置。
【請求項6】
ユーザ機器によって、通信ネットワークを介したデータネットワークとの接続の確立を開始させることと、前記ユーザ機器において、前記データネットワークへのアップリンクデータ転送が許可されていないという第1の通知を前記通信ネットワークから受信することと、
前記ユーザ機器において、前記データネットワークへのアップリンクデータ転送が許可されているという第2の通知を前記通信ネットワークから受信することであって、前記第2の通知は認証エンティティによる前記ユーザ機器の検証の成功に対応する、前記受信することと、
を含む、方法。
【請求項7】
前記ユーザ機器は、前記第1の通知の受信および前記第2の通知の受信の間、前記データネットワークへのアップリンクデータ転送の開始を控える、請求項6に記載の方法。
【請求項8】
前記ユーザ機器は無乗員航空機システム(UAS)の一部である、請求項6に記載の方法。
【請求項9】
前記検証は、前記通信ネットワークにアクセスするために使用される識別子とは異なるデータネットワーク識別子に関して行われる前記ユーザ機器の認証および認可を含む、請求項6に記載の方法。
【請求項10】
プロセッサによって実行された場合に、請求項6のステップを前記プロセッサに実行させる実行可能なプログラムコードが内部に具現化された非一時的なコンピュータ可読記憶媒体。
【請求項11】
少なくとも1つのプロセッサと、コンピュータプログラムコードを含む少なくとも1つのメモリと、
を備える装置であって、
前記少なくとも1つのメモリおよび前記コンピュータプログラムコードは、前記少なくとも1つのプロセッサによって、前記装置に少なくとも、
通信ネットワークを介したデータネットワークとの接続を確立する要求をユーザ機器から受信することと、
前記データネットワークへのアップリンクデータ転送が許可されていないという第1の通知を前記通信ネットワークから前記ユーザ機器に送信することと、
前記データネットワークへのアップリンクデータ転送が許可されているという第2の通知を前記通信ネットワークから前記ユーザ機器に送信することであって、前記第2の通知は認証エンティティによる前記ユーザ機器の検証の成功に対応する、前記送信することと、
を行わせるように構成される、装置。
【請求項12】
前記検証は、前記通信ネットワークにアクセスするために使用される識別子とは異なるデータネットワーク識別子に関して行われる前記ユーザ機器の認証および認可を含む、請求項11に記載の装置。
【請求項13】
前記通信ネットワークは、4Gネットワークアーキテクチャおよび5Gネットワークアーキテクチャのうちの少なくとも1つを含む、請求項11に記載の装置。
【請求項14】
前記認証エンティティは、データネットワーク-認証、認可およびアカウンティング(DN-AAA)サーバを含む、請求項11に記載の装置。
【請求項15】
前記認証エンティティは、UASサービスサプライヤ(USS)サーバを含む、請求項11に記載の装置。
【請求項16】
前記第1の通知および前記第2の通知は、前記通信ネットワークのデータネットワークゲートウェイによって生成される、請求項11に記載の装置。
【請求項17】
前記第1の通知は、前記通信ネットワークを介した接続サービスの確立に関連する、請求項11に記載の装置。
【請求項18】
通信ネットワークを介したデータネットワークとの接続を確立する要求をユーザ機器から受信することと、前記データネットワークへのアップリンクデータ転送が許可されていないという第1の通知を前記通信ネットワークから前記ユーザ機器に送信することと、
前記データネットワークへのアップリンクデータ転送が許可されているという第2の通知を前記通信ネットワークから前記ユーザ機器に送信することであって、前記第2の通知は認証エンティティによる前記ユーザ機器の検証の成功に対応する、前記送信することと、
を含む、方法。
【請求項19】
前記検証は、前記通信ネットワークにアクセスするために使用される識別子とは異なるデータネットワーク識別子に関して行われる前記ユーザ機器の認証および認可を含む、請求項18に記載の方法。
【請求項20】
前記通信ネットワークは、4Gネットワークアーキテクチャおよび5Gネットワークアーキテクチャのうちの少なくとも1つを含む、請求項18に記載の方法。
【請求項21】
前記認証エンティティは、データネットワーク-認証、認可およびアカウンティング(DN-AAA)サーバを含む、請求項18に記載の方法。
【請求項22】
前記認証エンティティは、UASサービスサプライヤ(USS)サーバを含む、請求項18に記載の方法。
【請求項23】
前記第1の通知および前記第2の通知は、前記通信ネットワークのデータネットワークゲートウェイによって生成される、請求項18に記載の方法。
【請求項24】
前記第1の通知は、前記通信ネットワークを介した接続サービスの確立に関連する、請求項18に記載の方法。
【請求項25】
プロセッサによって実行された場合に、請求項18のステップを前記プロセッサに実行させる実行可能なプログラムコードが内部に具現化された非一時的なコンピュータ可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本分野は一般に通信システムに関し、より詳細には、排他的にではないが、そのようなシステムにおけるセキュリティ管理に関する。
【背景技術】
【0002】
本セクションでは、本発明をより理解しやすくするのに有益であり得る態様を紹介する。したがって、本セクションの記述はこの観点で読まれるべきであり、何が従来技術に含まれるか、または何が従来技術に含まれないかについて認めるものとして理解されるべきではない。
【0003】
第4世代(4G)ワイヤレス移動体電気通信技術、別名ロングタームエボリューション(LTE)技術は、特に人的交流のために高データレートの大容量モバイルマルチメディアを提供するように設計されていた。そのような4Gネットワークは、典型的には進化型パケットシステム(EPS:Evolved Packet System)を利用し、そのアーキテクチャは2つのサブシステム、すなわち、進化型ユニバーサル地上無線アクセスネットワーク(E-UTRAN:Evolved Universal Terrestrial Radio Access Network)および進化型パケットコア(EPC:Evolved Packet Core)ネットワークを含む。
【0004】
次世代または第5世代(5G)技術は、人的交流のみでなく、いわゆるモノのインターネット(IoT)ネットワークにおけるマシンタイプ通信にも使用されることが意図されている。5Gネットワークは、大規模IoTサービス(たとえば、非常に多数の限られた能力のデバイス)およびミッションクリティカルなIoTサービス(たとえば、高い信頼性を必要とするもの)を実現することが意図されているが、改善されたワイヤレスインターネットアクセスをモバイルデバイスに提供する拡張モバイルブロードバンド(eMBB:enhanced mobile broadband)サービスの形態で、従来の移動通信サービスに対する改善がサポートされる。
【0005】
例示的な通信システムでは、ユーザ機器(5Gネットワークにおける5G UE、またはより広範にはUE)は、5GネットワークではNG-RANと呼ばれるアクセスネットワークの基地局またはアクセスポイントとエアインターフェースを介して通信する。アクセスポイント(たとえば、gNB)は、例示的には、通信システムのNG-RANの一部である。一般に、アクセスポイント(たとえば、gNB)は、UEにコアネットワーク(CNまたは5GC)へのアクセスを提供し、コアネットワークは次いで、他のUEおよび/またはデータネットワーク、たとえば、パケットデータネットワークすなわちPDN(たとえば、インターネット)へのアクセスをUEに提供する。
【0006】
UEは一般的には移動局、加入者局と呼ばれ得、またはさらにいっそう一般的には通信デバイスと呼ばれ得、これには、ラップトップまたはスマートフォンなどの他の機器に挿入されるカードの組み合わせなどの例が含まれるが、いくつかの応用シナリオでは、UEは無人/無乗員航空機システム(UAS:Unmanned/Uncrewed Aerial System)(無人/無乗員航空機(Unmanned/Uncrewed Aerial Vehicle)すなわちUAVとも呼ばれる)の一部(たとえば、これに挿入されるカード)である。
【0007】
しかしながら、4G/5Gネットワークに関連するアーキテクチャおよびプロトコルのセキュリティを改善するための継続的な試みにより、データネットワーク接続の確立中のUE認証/認可に関連する問題が大きな課題を提示し得る。
【発明の概要】
【0008】
例示的な実施形態は、通信ネットワークを介したデータネットワーク接続を確立する場合のユーザ機器の認証/認可中のユーザ機器に関連するアップリンクデータ伝送を管理するための技術を提供する。
【0009】
ユーザ機器の観点からの1つの例示的な実施形態では、方法は以下のステップを含む。ユーザ機器は、通信ネットワークを介したデータネットワークとの接続の確立を開始させる。データネットワークへのアップリンクデータ転送が許可されていないという第1の通知が、通信ネットワークからユーザ機器によって受信される。データネットワークへのアップリンクデータ転送が許可されているという第2の通知が、通信ネットワークからユーザ機器によって受信され、第2の通知は認証エンティティによるユーザ機器の検証の成功に対応する。
【0010】
たとえば、ユーザ機器は、第1の通知の受信および第2の通知の受信の間、データネットワークへのアップリンクデータ転送の開始を控える。また、例として、検証は、通信ネットワークにアクセスするために使用される識別子(たとえば、加入者識別情報)とは異なるデータネットワーク識別子(たとえば、サービスレベル識別情報またはデータネットワーク固有の識別情報)に関して行われるユーザ機器の認証および認可を含む。
【0011】
通信ネットワークの観点からの他の例示的な実施形態では、方法は以下のステップを含む。通信ネットワークは、通信ネットワークを介したデータネットワークとの接続を確立する要求をユーザ機器から受信する。通信ネットワークは、データネットワークへのアップリンクデータ転送が許可されていないという第1の通知をユーザ機器に送信する。通信ネットワークは、データネットワークへのアップリンクデータ転送が許可されているという第2の通知をユーザ機器に送信し、第2の通知は認証エンティティによるユーザ機器の検証の成功に対応する。この場合もやはり、例として、検証は、通信ネットワークにアクセスするために使用される識別子(たとえば、加入者識別情報)とは異なるデータネットワーク識別子(たとえば、サービスレベル識別情報またはデータネットワーク固有の識別情報)に関して行われるユーザ機器の認証および認可を含む。
【0012】
さらなる例示的な実施形態は、プロセッサによって実行された場合に、上記のステップをプロセッサに実行させる実行可能なプログラムコードが内部に具現化された非一時的なコンピュータ可読記憶媒体の形態で提供される。さらに他の例示的な実施形態は、上記のステップを実行するように構成されるプロセッサおよびメモリを有する装置を含む。
【0013】
有利なことに、例示的な実施形態は、UASと共に使用されるUEのパケットデータネットワーク(PDN)接続確立中のUASの認証および認可への強化を提供する。しかしながら、例示的な実施形態は、より一般的にはこれらの強化を、たとえば、任意のUE(すなわち、必ずしもUASと共に使用されるものに限らない)に拡張して、データネットワーク接続確立中に認証エンティティが、UEによって提示されたデータネットワーク固有の識別情報の認証および認可(すなわち、検証)を行うようにすることを理解されたい。たとえば、UASシナリオでは、認証エンティティはUASサービスサプライヤ(USS)であり得、EPSのシナリオでは、認証エンティティは、データネットワークの認証、認可およびアカウンティングサーバ(DN-AAAサーバ:Data Network Authentication, Authorization and Accounting server)であり得る。しかしながら、実施形態はこれらの例示的なシナリオに限定されない。
【0014】
本明細書に記載した実施形態のこれらおよび他の特徴および利点は、添付の図面および以下の詳細な説明からより明らかになるであろう。
【図面の簡単な説明】
【0015】
【図1A】1つまたは複数の例示的な実施形態が実装され得る第1の通信ネットワークアーキテクチャを実装する通信システムを示す図である。
【図1B】1つまたは複数の例示的な実施形態が実装され得る第2の通信ネットワークアーキテクチャを実装する通信システムを示す図である。
【図2】1つまたは複数の例示的な実施形態が実装され得るユーザ機器および少なくとも1つのネットワークエンティティ/機能を示す図である。
【図3】1つまたは複数の例示的な実施形態が実装され得る、第1のタイプの通信ネットワークおよび第2のタイプの通信ネットワークの複合アーキテクチャを示す図である。
【図5】例示的な実施形態による、データネットワーク接続確立中に実行される、無人/無乗員航空機システムに関連する認証/認可メッセージフローを示す図である。
【発明を実施するための形態】
【0016】
通信システムにおけるセキュリティ管理のための実施形態を、例示的な通信システムおよび関連する技術と共に本明細書に示す。しかしながら、特許請求の範囲は、開示した特定のタイプの通信システムおよび/または処理に限定されないことを理解されたい。実施形態は、代替的なネットワーク、処理、および動作を使用する多種多様な他のタイプの通信システムで実装することができる。たとえば、4Gおよび/または5Gシステムなどの3GPPシステム要素を利用するワイヤレスセルラーベースのシステムのコンテキストで例示しているが、開示した実施形態は、簡単な方法で種々の他のタイプの通信システムに適合させることができる。
【0017】
例示的な実施形態によれば、1つまたは複数の3GPP技術仕様(TS:technical specification)および/または技術レポート(TR:technical report)は、本発明の解決策の各部とやりとりし得るネットワークエンティティおよび/または動作のさらなる説明を提供し得る。たとえば、EPSアーキテクチャにおけるE-UTRANアクセスの詳細については、「General Packet Radio Service (GPRS) Enhancements for Evolved Universal Terrestrial Radio Access Network (E-UTRAN) Access」と題されたTS23.401に記載されており、その開示全体が本明細書に引用により組み込まれている。5Gネットワークでは、アクセスネットワークについては、「Technical Specification Group Services and System Aspects; System Architecture for the 5G System」と題されたTS23.501に記載されており、その開示全体が本明細書に引用により組み込まれている。5Gコアネットワークについては、「Technical Specification Group Services and System Aspects; Procedures for the 5G System (5GS)」と題されたTS23.502に記載されており、その開示全体が本明細書に引用により組み込まれている。他の3GPP TS/TRの文書には、当業者が理解する他の詳細が提供され得る。たとえば、UASアプリケーションのコンテキストにおいて、「Support of Uncrewed Aerial Systems (UAS) Connectivity, Identification and Tracking; Stage 2」と題されたTS23.256、および「Unmanned Aerial System (UAS) Support in 3GPP; Stage 1」と題されたTS22.125は、それらの開示全体が本明細書に引用により組み込まれているが、本明細書でさらに説明する例示的な実施形態に適用可能であり得る。
【0018】
しかしながら、実施形態は、4G関連および/または5G関連の3GPP規格によく適しているが、必ずしも特定の規格に限定されることを意図しておらず、複数の規格およびアーキテクチャにわたる一般的な解決策を提供する。
【0019】
さらに、本明細書で例示的に使用する場合、以下を含むがこれらに限定されない様々な略称を参照する。
3GPP:第3世代パートナーシッププロジェクト
AAA:認証、認可、およびアカウンティング
DN:データネットワーク
MME:モビリティ管理エンティティ
NAS:非アクセス層
NEF:ネットワーク公開機能
PDN:パケットデータネットワーク
PCO:プロトコル設定オプション
PGW:PDNゲートウェイ
SGW:サービングゲートウェイ
SMF:セッション管理機能
TPAE:サードパーティ認可エンティティ
UAS:無人/無乗員航空機システム
UAV:無人/無乗員航空機
USS:UASサービスサプライヤ
UTM:UASトラフィック管理
UUAA:USS UAV認可/認証
3GPP:第3世代パートナーシッププロジェクト
AAA:認証、認可、およびアカウンティング
DN:データネットワーク
MME:モビリティ管理エンティティ
NAS:非アクセス層
NEF:ネットワーク公開機能
PDN:パケットデータネットワーク
PCO:プロトコル設定オプション
PGW:PDNゲートウェイ
SGW:サービングゲートウェイ
SMF:セッション管理機能
TPAE:サードパーティ認可エンティティ
UAS:無人/無乗員航空機システム
UAV:無人/無乗員航空機
USS:UASサービスサプライヤ
UTM:UASトラフィック管理
UUAA:USS UAV認可/認証
【0020】
例示的な実施形態は、4Gおよび5GネットワークにおけるUAS認証/認可に関する。そのような例示的な実施形態を説明する前に、4Gネットワーク(図1A)および5Gネットワーク(図1B)の特定の主要なコンポーネントの概要を以下で説明する。
【0021】
図1Aは、例示的な実施形態が実装される4G通信システム100の一部を示している。通信システム100に示す要素は、そのシステム内に提供される特定の主要なエンティティ、たとえば、UEアクセスエンティティ、モビリティ管理エンティティ、認証エンティティなどを表現することを意図しているということを理解されたい。そのため、図1Aに示すブロックは、これらの主要なエンティティを提供する4Gネットワークにおける特定の要素を指す。しかしながら、表現した主要なエンティティの一部または全てを実装するために、他のネットワーク要素が使用され得る。また、4Gネットワークの全てのエンティティを図1Aに示しているわけではないということを理解されたい。むしろ、例示的な実施形態の説明を容易にする少なくとも一部のエンティティを表現している。以降の図では、これらのエンティティおよび追加のエンティティ(すなわち、より一般的にはネットワークノードと呼ばれ得るもの)をさらに描写し得る。
【0022】
したがって、図示のように、通信システム100は、エアインターフェース103を介してアクセスポイント(eNB)104と通信するユーザ機器(UE)102を含む。前述のように、例示的な実施形態では、UE102はUASの一部(たとえば、これに挿入されるカード)であり得る。「航空機対応ユーザ機器」という用語は、本明細書では、飛行しているUE付きの種々の異なるタイプのUAS(およびUAV)、たとえば、限定はしないが、ドローンなどを包含するために使用し得る。
【0023】
アクセスポイント104は、例示的には、通信システム100のアクセスネットワークの一部である。そのようなアクセスネットワークは、たとえば、複数の基地局および1つまたは複数の関連する無線ネットワーク制御機能を有する4G RAN(E-UTRAN)システムを含み得る。基地局および無線ネットワーク制御機能は、論理的に別々のエンティティであり得るが、所与の実施形態では、同一の物理ネットワーク要素に実装され得る。
【0024】
この例示的な実施形態でのアクセスポイント104は、モビリティ管理エンティティ(MME)106に動作可能に結合される。通信システムのコアネットワーク部分におけるモビリティ管理エンティティは、ネットワーク動作の中でもとりわけ、(アクセスポイント104を介した)UEに対するアクセスおよびモビリティ(認証/認可を含む)動作を管理するかまたは別の方法でこれに参加する。MMEを本明細書ではより一般的に、アクセスおよびモビリティ管理ノードとも呼び得る。
【0025】
この例示的な実施形態におけるMME106は、追加のネットワークエンティティ108に動作可能に結合される。図示のように、これらのエンティティの一部には、ホーム加入者サーバ(HSS:home subscriber server)ならびに認証センター(AuC:authentication center)が含まれる。HSSおよびAuCを(個別にまたは集合的に)、本明細書ではより一般的に、認証ノードまたは複数の認証ノードとも呼び得る。また、追加のエンティティ108には、サービングゲートウェイ(SGW)およびパケットデータネットワークゲートウェイ(PGW)が含まれ得る。
【0026】
UE102などのUEは、典型的には、エンティティ106および108の一部または全てが存在するホーム公衆地上移動ネットワーク(HPLMN:Home Public Land Mobile Network)と呼ばれるものに加入していることに留意されたい。UEがローミングしている(HPLMNにない)場合、典型的には、訪問先ネットワークとも呼ばれる訪問先公衆地上移動ネットワーク(VPLMN:Visited Public Land Mobile Network)に接続され、UEに現在サービス提供しているネットワークはサービングネットワークと呼ばれる。ローミングしている場合、ネットワークエンティティ106および108の一部はVPLMNに存在し得、その場合、VPLMN内のエンティティは必要に応じてHPLMN内のエンティティと通信する。しかしながら、ローミングしていないシナリオでは、モビリティ管理エンティティ106および他のネットワークエンティティ108は同一の通信ネットワーク、すなわち、HPLMNに存在する。本明細書に記載の実施形態は、どのエンティティがどのPLMN(すなわち、HPLMNまたはVPLMN)に存在するかによって制限されない。
【0027】
4Gネットワークのさらなる典型的な動作およびエンティティについてはここでは説明せず、その理由は、それらが例示的な実施形態の焦点ではなく、適切な3GPP 4G資料で見つかり得るためである。
【0028】
システム要素のこの特定の配置は例にすぎず、他のタイプおよび配置の追加のまたは代替の要素を使用して、他の実施形態の通信システムを実装できることを理解されたい。たとえば、他の実施形態では、システム100は、本明細書に明示的に示していない他のエンティティを含み得る。
【0029】
したがって、図1Aの配置は、ワイヤレスセルラーシステムの1つの例示的な構成にすぎず、システム要素の多数の代替的な構成が使用され得る。たとえば、図1Aの実施形態では単一のエンティティのみを示し得るが、これは説明を簡単かつ明確にするためのものにすぎない。所与の代替的な実施形態は、当然ながら、より多数のそのようなシステム要素、ならびに従来のシステム実装に一般的に関連するタイプの追加のまたは代替の要素を含み得る。
【0030】
図1Bは、例示的な実施形態が実装される5G通信システム110の一部を示している。通信システム110内に示す要素は、そのシステム内に提供される特定の主要な機能、たとえば、UEアクセス機能、モビリティ管理機能、認証機能などを表現することを意図しているということを理解されたい。そのため、図1Bに示すブロックは、これらの主要な機能を提供する5Gネットワークにおける特定の要素を指す。しかしながら、表現した主要な機能の一部または全てを実装するために、他のネットワーク要素が使用され得る。また、5Gネットワークの全ての機能を図1Bに示しているわけではないということを理解されたい。むしろ、例示的な実施形態の説明を容易にする少なくとも一部の機能を表現している。以降の図では、これらの機能および追加の機能(すなわち、より一般的にはネットワークノードと呼ばれるもの)をさらに描写し得る。
【0031】
したがって、図示のように、通信システム110は、エアインターフェース113を介してアクセスポイント(gNB)114と通信するユーザ機器(UE)112を含む。この場合も、UE112は例示的な実施形態ではUASを含む。
【0032】
アクセスポイント114は、例示的には、通信システム110のアクセスネットワークの一部である。そのようなアクセスネットワークは、たとえば、複数の基地局および1つまたは複数の関連する無線ネットワーク制御機能を有するNG-RANシステムを含み得る。基地局および無線ネットワーク制御機能は、論理的に別々のエンティティであり得るが、所与の実施形態では、同一の物理ネットワーク要素に実装され得る。
【0033】
この例示的な実施形態におけるアクセスポイント114は、モビリティ管理機能116に動作可能に結合される。5Gネットワークでは、モビリティ管理機能は、アクセスおよびモビリティ管理機能(AMF:Access and Mobility Management Function)によって実装される。セキュリティアンカー機能(SEAF:Security Anchor Function)をAMFで実装して、UEをモビリティ管理機能と接続することもできる。モビリティ管理機能とは、本明細書で使用する場合、ネットワーク動作の中でもとりわけ、(アクセスポイント114を介した)UEに対するアクセスおよびモビリティ(認証/認可を含む)動作を管理するかまたは別の方法でこれに参加する通信システムのコアネットワーク(CN)部分における要素または機能(すなわち、エンティティ)である。AMFを本明細書ではより一般的に、アクセスおよびモビリティ管理ノードとも呼び得る。
【0034】
この例示的な実施形態におけるAMF116は、追加の機能118に動作可能に結合される。図示のように、これらの機能の一部には、統合データ管理(UDM:Unified Data Management)機能ならびに認証サーバ機能(AUSF:Authentication Server Function)が含まれる。AUSFおよびUDMを(個別にまたは集合的に)、本明細書ではより一般的に、認証ノードまたは複数の認証ノードとも呼び得る。追加の機能118には、セッション管理機能(SMF)、ユーザプレーン機能(UPF:User Plane Function)、ポリシー制御機能(PCF:Policy Control Function)、およびネットワーク公開機能(NEF)も含まれ得る。
【0035】
UE112などのUEは、典型的には、機能116および118の一部または全てが存在するホーム公衆地上移動ネットワーク(HPLMN)と呼ばれるものに加入していることに留意されたい。UEがローミングしている(HPLMNにない)場合、典型的には、訪問先ネットワークとも呼ばれる訪問先公衆地上移動ネットワーク(VPLMN)に接続され、UEに現在サービス提供しているネットワークはサービングネットワークと呼ばれる。ローミングしている場合、ネットワーク機能116および118の一部はVPLMNに存在し得、その場合、VPLMN内の機能は必要に応じてHPLMN内の機能と通信する。しかしながら、ローミングしていないシナリオでは、モビリティ管理機能116および他のネットワーク機能118は同一の通信ネットワーク、すなわち、HPLMNに存在する。本明細書に記載の実施形態は、どの機能がどのPLMN(すなわち、HPLMNまたはVPLMN)に存在するかによって制限されない。
【0036】
そのようなネットワークのさらなる典型的な動作および機能についてはここでは説明せず、その理由は、それらが例示的な実施形態の焦点ではなく、適切な3GPP 5G資料で見つかり得るためである。116および118に示す機能はネットワーク機能(NF:network function)の例であることに留意されたい。
【0037】
システム要素のこの特定の配置は例にすぎず、他のタイプおよび配置の追加のまたは代替の要素を使用して、他の実施形態の通信システムを実装できることを理解されたい。たとえば、他の実施形態では、システム110は、本明細書に明示的に示していない他の要素/機能を含み得る。
【0038】
したがって、図1Bの配置は、ワイヤレスセルラーシステムの1つの例示的な構成にすぎず、システム要素の多数の代替的な構成が使用され得る。たとえば、図1Bの実施形態では単一の機能のみを示しているが、これは説明を簡単かつ明確にするためのものにすぎない。所与の代替的な実施形態は、当然ながら、より多数のそのようなシステム要素、ならびに従来のシステム実装に一般的に関連するタイプの追加のまたは代替の要素を含み得る。
【0039】
図1Bではシステム要素を単機能のブロックとして示しているが、5Gネットワークを構成する様々なサブネットワークがいわゆるネットワークスライスに分割されることにも留意されたい。ネットワークスライス(ネットワークパーティション)は、共通の物理インフラストラクチャ上でのネットワーク機能仮想化(NFV:network function virtualization)を使用した対応するサービスタイプごとの一連のネットワーク機能(NF)セット(すなわち、機能チェーン)を含む。ネットワークスライスは、たとえば、eMBBサービス、大規模IoTサービス、およびミッションクリティカルなIoTサービスなどの所与のサービスのために必要に応じてインスタンス化される。このため、ネットワークスライスまたは機能は、そのネットワークスライスまたは機能のインスタンスが作成されるときに、インスタンス化される。いくつかの実施形態では、これには、基盤となる物理インフラストラクチャの1つまたは複数のホストデバイス上にネットワークスライスまたは機能をインストールするかまたは別の方法で動作させることが含まれる。UE112は、gNB114を介してこれらのサービスのうちの1つまたは複数にアクセスするように構成される。
【0040】
図2は、例示的な実施形態における、ユーザ機器(UE)と、通信システムにおいて認証/認可を提供するかまたは別の方法でこれに参加するためのネットワークノードとのブロック図である。ユーザ機器202およびネットワークノード204を含むシステム200を示している。
【0041】
ユーザ機器202は、例示的な実施形態ではUASを含むUE102(図1A)またはUE112(図1B)の一例を表すことに留意されたい。ネットワークノード204は、セキュリティ管理および本明細書に記載の他の技術を提供するように構成される任意のネットワークエンティティおよび/または任意のネットワーク機能、ならびに他の任意のネットワークコンポーネント、要素、サービスなどを表し、たとえば、限定はしないが、SBAベースの5Gコアネットワーク(図1B)の一部であるようなAMF、SEAFおよびUDM、またはEPSベースの4Gコアネットワーク(図1A)の一部であるようなMME、HSSおよびAuCを表すことをさらに理解されたい。
【0042】
ネットワークノード204は、コアネットワークの外部の、すなわち、サードパーティの外部企業ネットワークのネットワークエンティティ、機能、ノード、コンポーネント、要素、サービスなどとすることもできる。さらに、ネットワークノード204は、コアネットワークまたは任意の通信ネットワークもしくはシステム内の1つまたは複数のネットワークエンティティまたは機能のインスタンス化を指揮および管理するように構成される1つまたは複数の処理デバイスを表すことができる。ネットワークノード204は、UASの認証/認可に直接または間接的に関与する他の任意のエンティティ/機能とすることができ、これについては、たとえば、上記で参照したTS23.256およびTS22.125に記載され得、および/または以下で別途説明し得る。例として、DN-AAAによる二次DN認証/認可の場合、ネットワークノード204はDN-AAAサーバとすることができる。
【0043】
ユーザ機器202は、メモリ216およびインターフェース回路210に結合されたプロセッサ212を含む。ユーザ機器202のプロセッサ212は、プロセッサによって実行されるソフトウェアの形態で少なくとも部分的に実装され得るセキュリティ管理処理モジュール214を含む。処理モジュール214は、以降の図および本明細書の他の部分に関連して説明するセキュリティ管理に関連する動作を実行する。ユーザ機器202のメモリ216は、セキュリティ管理動作中に生成されるかまたは別の方法で使用されるデータを記憶するセキュリティ管理ストレージモジュール218を含む。
【0044】
ネットワークノード204は、メモリ226およびインターフェース回路220に結合されたプロセッサ222を含む。ネットワークノード204のプロセッサ222は、プロセッサ222によって実行されるソフトウェアの形態で少なくとも部分的に実装され得るセキュリティ管理処理モジュール224を含む。処理モジュール224は、以降の図および本明細書の他の部分に関連して説明するセキュリティ管理に関連する動作を実行する。ネットワークノード204のメモリ226は、セキュリティ管理動作中に生成されるかまたは別の方法で使用されるデータを記憶するセキュリティ管理ストレージモジュール228を含む。
【0045】
プロセッサ212および222は、たとえば、マイクロプロセッサ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、デジタル信号プロセッサ(DSP)、または他のタイプの処理デバイスもしくは集積回路、ならびにそのような要素の一部または組み合わせを含み得る。そのような集積回路デバイス、ならびにその一部または組み合わせは、「回路」という用語を本明細書で使用する場合、「回路」の例である。ハードウェアおよび関連するソフトウェアまたはファームウェアの多種多様な他の配置が、例示的な実施形態を実装する際に使用され得る。また、例示的な実施形態は、様々なネットワーク機能をエミュレートするためにクラウドプラットフォーム上で動作するソフトウェアを使用する完全に仮想化された環境で実現され得る。
【0046】
メモリ216および226は、本明細書に記載の機能の少なくとも一部を実装するためにそれぞれのプロセッサ212および222によって実行される1つまたは複数のソフトウェアプログラムを記憶するために使用され得る。たとえば、以降の図および本明細書の他の部分に関連して説明するセキュリティ管理動作および他の機能は、プロセッサ212および222によって実行されるソフトウェアコードを使用して簡単な方法で実装され得る。
【0047】
そのため、メモリ216または226のうちの所与の1つは、より一般的にはコンピュータプログラム製品と呼ばれるもの、またはさらにより一般的には、実行可能なプログラムコードが内部に具現化されたプロセッサ可読記憶媒体と本明細書で呼ばれるものの一例とみなされ得る。プロセッサ可読記憶媒体の他の例には、任意の組み合わせでのディスクまたは他のタイプの磁気もしくは光学媒体が含まれ得る。例示的な実施形態は、そのようなコンピュータプログラム製品または他のプロセッサ可読記憶媒体を含む製造品を含むことができる。
【0048】
メモリ216または226は、より詳細には、たとえば、スタティックRAM(SRAM)、ダイナミックRAM(DRAM)などの電子ランダムアクセスメモリ(RAM)、または他のタイプの揮発性もしくは不揮発性電子メモリを含み得る。後者には、たとえば、フラッシュメモリ、磁気RAM(MRAM)、相変化RAM(PC-RAM)、または強誘電体RAM(FRAM)などの不揮発性メモリが含まれ得る。本明細書で使用する「メモリ」という用語は、広く解釈されることを意図しており、追加的または代替的には、たとえば、読み取り専用メモリ(ROM)、ディスクベースのメモリ、または他のタイプのストレージデバイス、ならびにそのようなデバイスの一部または組み合わせを包含し得る。
【0049】
インターフェース回路210および220は、例示的には、関連付けられたシステム要素が本明細書に記載のように相互に通信することを可能にする送受信器または他の通信ハードウェアもしくはファームウェアを含む。
【0050】
ユーザ機器202がネットワークノード204とそれぞれのインターフェース回路210および220を介して通信するように構成され、逆も同様であることは図2から明らかである。この通信には、ユーザ機器202がネットワークノード204にデータを送信することと、ネットワークノード204がユーザ機器202にデータを送信することとが含まれる。しかしながら、代替的な実施形態では、他のネットワークノードが、ユーザ機器202およびネットワークノード204の間に動作可能に結合され得る。本明細書で使用する「データ」という用語は、ユーザ機器およびネットワークノードの間、ならびにネットワークエンティティ間で送信され得る任意のタイプの情報、たとえば、限定はしないが、メッセージ、識別子、キー、インジケータ、ユーザデータ、制御データなどを包含するように広く解釈されることを意図している。
【0051】
図2に示すコンポーネントの特定の配置は一例にすぎず、他の実施形態では多数の代替的な構成が使用され得ることを理解されたい。たとえば、任意の所与のネットワークノードは、追加のまたは代替のコンポーネントを組み込み、他の通信プロトコルをサポートするように構成することができる。
【0052】
eNB104およびgNB114などの他のシステム要素のそれぞれも、プロセッサ、メモリおよびネットワークインターフェースなどのコンポーネントを含むように構成され得る。これらの要素は、別々のスタンドアローンの処理プラットフォーム上に実装される必要はなく、代わりに、単一の共通の処理プラットフォームの異なる機能的部分を表すことができる。
【0053】
またさらに、図2はユーザ機器およびネットワークノードの間の例示的なアーキテクチャおよび相互接続を示しているが、図2は複数のネットワークノード間の例示的なアーキテクチャおよび相互接続を表すこともできる(たとえば202は、ネットワークノード204の形態の他のネットワークノードに動作可能に結合される、あるネットワークノードを表すことができる)。より一般的には、図2は、それぞれのセキュリティ管理機能を提供するように構成され、通信システムにおいて互いに動作可能に結合された2つの処理デバイスを表すものとみなすことができる。
【0054】
上記のように、TS23.256では、TS22.125で規定されたユースケースおよびサービス要件に従う、UAS接続、識別、および追跡をサポートするための4G/5Gネットワークへのアーキテクチャ拡張が示されている。
【0055】
図3は、1つまたは複数の例示的な実施形態が実装され得る、TS23.256に記載されているUASアプリケーションのための4Gおよび5G通信ネットワークの複合アーキテクチャ300を示している。概略的に示しているように、UE(UAS内)302は、5GC306(5Gコアネットワーク)にアクセスするためにNG-RAN304(5Gアクセスネットワーク)を介して複合アーキテクチャ300に動作可能に結合され得る。同様に、UE(UAS内)302は、EPC310(4Gコアネットワーク)にアクセスするためにE-UTRAN(4Gアクセスネットワーク)などのRAN308を介して複合アーキテクチャ300に動作可能に結合され得る。UAS NF/NEF312は、5GC306および/またはEPC310に動作可能に結合されるか、または別の方法でそれらの一部として組み込まれる。UAS NF/NEFは、データネットワーク316(たとえば、PDN)にアクセスするためにUSS314に動作可能に結合される。TPAE318はデータネットワーク316に動作可能に結合される。図3のN、SおよびSGの参照符号は、ネットワークノードを接続するために使用される特定の3GPPインターフェースに対応することに留意されたい。
【0056】
図4は、図3の複合アーキテクチャ300のさらなる詳細を示す複合アーキテクチャ400を示している。図示のように、同じまたは異なるUEとすることができるUE402-1およびUE402-2は、それぞれE-UTRAN404およびNG-RAN406を介して複合アーキテクチャ400に接続する。複合アーキテクチャ400は、4GアクセスおよびモビリティコントローラMME408、5GアクセスおよびモビリティコントローラAMF410、SGW412、ユーザプレーンコントローラ414(4G用のPGW-Uおよび5G用のUPF)、制御プレーンコントローラ416(4G用のPGW-Cおよび5G用のSMF)、PCF418、認証コントローラ420(4G用のHSSおよび5G用のUDM)、ならびにUAS NF/NEF422を含む。UASネットワーク機能(UAS NF)は、NEFによってサポートされ、USS(すなわち、図3のUSS314)へのサービスの外部公開のために使用される。これらのおよび他のネットワークノードについては、以下で図5のコンテキストでさらに説明する。
【0057】
TS23.256によると、航空レベルで、UASは民間航空局(CAA:Civil Aviation Authority)レベルのUAV識別情報(ID)によって識別される。通常の/一次UE認証/認可に加えて、3GPPシステムはまた、ネットワーク内の航空機UEへのあらゆるサービスを許可する前に、UASサービスサプライヤ(USS)/UASトラフィック管理(UTM)によってUAV識別情報(CAAレベルのUAV ID)の認証/認可を実行し得る。5GSの場合、CAAレベルのUAV IDの認証/認可は、5GS登録時またはパケットデータユニット(PDU)セッション確立中に実行され得る。EPSの場合、UAV認証/認可は、PDN接続確立中に実行される。
【0058】
さらに、TS23.256では、EPSアタッチ時のデフォルトPDN接続中のUSS UAV認可/認証(UUAA)が定義されている。3GPP Rel-17では、二次DN認証/認可もTS23.501に定義されている。
【0059】
USS UAV認可/認証(UUAA)および二次DN認証/認可のそれぞれの間の認証/認可手順は、UEおよび認証エンティティ(USS/UTMまたはDN AAAサーバ)の間での認証関連メッセージ交換の複数回の往復を必要とし得る。EPCを介して、UEがPDN接続の確立を要求する場合、4G NASおよびS11/S5/S8シグナリングは、UE要求およびPDN接続が確立された(NASデフォルトベアラ有効化)というネットワーク回答以外の、UEおよびPGW(PDN GW)の間の追加のシグナリングの交換を想定していない。
【0060】
TS23.256で定義された手順によると、デフォルトベアラ有効化後、認証エンティティ(UASの場合はUSS/UTM、または二次DN認証/認可の場合はDN AAAサーバ)から認証成功応答を取得するまで、デフォルトベアラ上のあらゆるトラフィックを停止するように、アクセス制御がPGW(PDN GW)で適用される。しかしながら、PDN接続がアップリンクデータ転送に使用できないことにUEが気付かないということを本明細書で認識した。この状態により、UEが意図するようにアップリンクデータをPDNに転送できない場合でも、UEはアップリンクデータ転送を実行しようとする。その結果、UEの処理能力だけでなくネットワークリソースが浪費され、UEアプリケーションは、データネットワークへのアクセスを開始できると誤って想定し得る。
【0061】
例示的な実施形態は、上記および他の課題を克服するための解決策を提供する。PDN接続(すなわち、EPCを介したもの)の確立時に二次DN認証/認可またはSMレベルUUAAが適用される場合、ネットワーク(PGW)は、二次DN認証/認可またはSMレベルUUAAが成功するという条件でPDN接続が確立されることをUEに通知する。例示的な実施形態によれば、二次DN認証/認可またはSMレベルUUAAが成功したことをネットワーク(たとえば、PGW)がUEに通知するまで、UEはアップリンクデータをネットワークに送信することはない(またはそのようなデータを送信した場合、それらはネットワークによって破棄され得る)。
【0062】
TS23.256によれば、UUAA-MMは、5GSへの登録中に任意に実行されてもよいUUAA手順を指し、UUAA-SMは、(UUAA-MMが実行されない場合に)PDUセッションの確立中に実行されてもよく、PDN接続の確立中に実行されてもよいUUAA手順を指す。
【0063】
図5は、PDN接続確立時に実行される(すなわち、EPC用の)SMレベルUUAAを実行するためのメッセージフロー500を示している。図5にはSMレベルUUAA手順のみを示しているが、例示的な実施形態は、DN-AAAによる二次DN認証/認可に等しく適用可能である(たとえば、EAP/TLSを使用して、UEがデータネットワーク上のAAAサーバによって認証および認可されるようにする)。図示のように、メッセージフロー500には、UE502、RAN504、MME506、SGW508、SMF+PGW-C510およびPGW-U512として表されるPGW、UAS NF/NEF514、ならびにUSS516が関与する。
【0064】
一般に、UE502はまず、通信ネットワークの認証情報に基づいて(たとえば、汎用加入者識別モジュール(USIM:Universal Subscriber Identity Module)ベースの認証を使用して)通信ネットワークによって認証される(4GネットワークではMME506によって行われる)。これが完了した場合、通信ネットワークは、データネットワークへの接続のUE要求の検討を開始する(ここではデータネットワークに関連する他の認証情報が考慮され得る)。
【0065】
ステップ1において、たとえば、TS23.401の図5.3.2.1-1のステップ1~13およびTS23.502図4.11.1.5.2-1のステップ1~2またはTS23.502節4.11.2.4.1のように、UE502がEPSアタッチ手順を開始する。UE502はアタッチ要求内にサービスレベルデバイス識別情報(たとえば、UAVの場合はCAAレベルのUAV ID)を含め、認証エンティティ(すなわち、UAVの場合はUSS516、または二次DN認証/認可の場合はDN-AAAサーバ)によって求められた場合には、認証データをプロトコル設定オプション(PCO)内に含め得る。
【0066】
ステップ2において、PGW(5GC-EPCが相互接続する場合はSMF+PGW-C510)は、PDN接続要求が認証エンティティ/サーバ(すなわち、UAVの場合はUSS516、または二次DN認証/認可の場合はDN-AAAサーバ)によって認証/認可される必要があると判定し、デフォルトPDN接続を介したあらゆるトラフィックを停止するようにアクセス制御リスト(ACL:Access Control List)を設定する。
【0067】
ステップ3において、たとえば、TS23.401図5.3.2.1-1のステップ14~22のように、アタッチ手順が完了し、その後、SMレベルUUAA(すなわち、UUAA-SM)手順(またはDN-AAAによる二次DN認証/認可)が呼び出される。アタッチ手順中に、TS23.401の図5.3.2.1-1のステップ15のようにPGW(SMF+PGW-C510)がセッション作成応答を返すときに、PGWは、PDN接続上でアップリンクデータ伝送がまだ許可されていないというUE502への表示(indication)をPCO(プロトコル設定オプション)内に含める。これが行われた結果、ネットワークがアタッチアクセプトを送信する前にMME506はNAS SMトランスポートをUE502と交換することができないので、UE502およびUE502を認証する認証エンティティ/サーバ(USS516またはDN AAAサーバ)の間で認証関連メッセージ交換の複数回の往復の可能性が実現される。アタッチ完了(およびデフォルトベアラ有効化)後、UE502が「アップリンクデータ伝送が許可されていない」という表示(すなわち、第1の通知)を受信した場合、UEは、PDN接続上で「アップリンクデータ伝送が許可されている」という表示(すなわち、第2の通知)をネットワークからさらに受信するまで、アップリンクデータをネットワークに送信しない(すなわち、送信を控える)。
【0068】
ステップ4において、PGW(SMF+PGW-C510)は認証/認可手順を開始する。メッセージフロー500(すなわち、UUAA-SM用)において、これは3GPP TS23.256の図5.2.3.2-1のステップ1~2に記載された認証/認可手順に従う。二次DN認証の場合、PGWは、DN-AAAによるPDUセッション確立認証/認可のためのTS23.502図4.3.2.3-1のステップ2および3に従う。
【0069】
ステップ5において、認証エンティティ/サーバ(たとえば、USS516またはDN-AAA)によって使用される認証方法によって必要とされる複数の往復メッセージが存在し得る。認証エンティティ/サーバ(たとえば、USS516またはDN-AAA)からの認証メッセージを含むPCOが、PGW(SMF+PGW-C510)によってベアラ更新要求およびダウンリンクNASトランスポート内でUE502に転送される(ステップ5b~5d)。UE502からの応答は、アップリンクNASトランスポートおよびベアラ更新応答内でPGW(SMF+PGW-C510)に転送される(ステップ5e~5g)。PCOおよびベアラ更新手順を使用することにより、MME506への影響を最小限にすること、およびSGW508に影響を与えないことが可能になる。
【0070】
ステップ6において、認証エンティティ/サーバによる認証/認可処理が完了し、認証/認可結果が受信される。メッセージフロー500(すなわち、UUAA用)において、これは3GPP TS23.256の図5.2.3.2-1のステップ4~5に記載された認証/認可手順に従う。
【0071】
UUAA-SM(またはDN-AAAによる二次DN認証/認可)が成功した後、ステップ7において、PGW(SMF+PGW-C510)はPDN接続を介したトラフィックを許可するようにACLを更新する。
【0072】
さらに、ステップ8において、PGW(またはSMF+PGW-C510)は、PDN接続上でアップリンクデータ伝送が現在許可されているというUE502への表示をPCOに含めて、ベアラ更新要求を送信する。PGW(SMF+PGW-C510)はまた、認証/認可結果と、UE502に転送される必要がある認可データとを含め得る。
【0073】
有利なことに、本明細書に示したように、例示的な実施形態はまず、通信ネットワークの認証情報に基づいて(たとえば、USIMベースの認証を使用して)通信ネットワークによってUEが認証される(4GネットワークではMMEによって行われる)ことを可能にする。これが完了した場合、通信ネットワークは、データネットワークへの接続のUE要求の検討を開始する。データネットワークへの接続のUE要求の処理の一部として、通信ネットワークはデータネットワークへのアップリンクデータ転送が許可されていないという第1の通知を送信し、次いで、データネットワークによる認証がデータネットワーク識別子に基づいて行われ、その後、通信ネットワークはデータネットワークへのアップリンクデータ転送が許可されているという第2の通知を送信する。たとえば、UASの場合、UEはCAAレベルのIDを提示し、これはサービスレベルのデバイス識別情報と呼ばれ得る。DN-AAAベースの二次DN認証/認可の場合、この識別情報はDN固有の識別情報と呼ばれ得る。
【0074】
本明細書における本発明の教示が与えられた場合、DN-AAAによる二次DN認証/認可のための類似のメッセージフローを簡単な方法で実現することができる。より詳細には、5GSにおけるPDUセッションの確立中のDN-AAAサーバによる二次認証/認可の手順がTS23.501およびTS23.502に記載されている。EPC(相互接続)の場合の二次DN認証および認可のサポートも現在、5GC-EPC相互接続のための課題/ギャップと考えられている。そのため、例示的な実施形態は、より一般的に任意のUEに実装されることを意図している(すなわち、必ずしもUASに実装されるUEに限らない)。
【0075】
本明細書に記載の図と共に説明した特定の処理動作および他のシステム機能は、説明用の例として提示しているにすぎず、いかなる方法でも本開示の範囲を限定するものと解釈されるべきではない。代替的な実施形態は、他のタイプの処理動作およびメッセージングプロトコルを使用することができる。たとえば、ステップの順序は他の実施形態では変更され得、または特定のステップは順次的にではなく少なくとも部分的に互いと同時に実行され得る。また、ステップのうちの1つまたは複数は定期的に繰り返され得、または方法の複数のインスタンスを互いと並行して実行することができる。
【0076】
本明細書に記載の様々な実施形態は説明用の例として提示しているにすぎず、特許請求の範囲を限定するものとして解釈されるべきではないということを再度強調すべきである。たとえば、代替的な実施形態は、例示的な実施形態のコンテキストで上述したものとは異なる通信システム構成、ユーザ機器構成、基地局構成、プロビジョニングおよび使用プロセス、メッセージングプロトコルおよびメッセージフォーマットを利用することができる。添付の特許請求の範囲内のこれらおよび他の多数の代替的な実施形態は、当業者には容易に明らかになろう。
【符号の説明】
【0077】
100 4G通信システム
102 ユーザ機器(UE)
103 エアインターフェース
104 アクセスポイント(eNB)
106 モビリティ管理エンティティ(MME)
108 追加のネットワークエンティティ
110 5G通信システム
112 ユーザ機器(UE)
113 エアインターフェース
114 アクセスポイント(gNB)
116 モビリティ管理機能(AMF/SEAF)
118 追加の機能
200 システム
202 ユーザ機器
210 インターフェース回路
212 プロセッサ
214 セキュリティ管理処理
216 メモリ
218 セキュリティ管理ストレージ
204 ネットワークノード(エンティティ/機能)
220 インターフェース回路
222 プロセッサ
224 セキュリティ管理処理
226 メモリ
228 セキュリティ管理ストレージ
300 複合アーキテクチャ
302 UE
304 NG-RAN
308 (R)AN
312 UAS NF/NEF
306 5GC
310 EPC
314 USS
316 データネットワーク
318 TPAE
400 複合アーキテクチャ
402-1 UE
404 E-UTRAN
408 MME
412 SGW
414 UPF+PGW-U
416 SMF+PGW-C
418 PCF
420 HSS+UDM
422 UAS NF/NEF
410 AMF
406 NG-RAN
402-2 UE
500 メッセージフロー
502 UE(UAV)
504 (R)AN
506 MME
508 SGW
510 SMF+PGW-C
512 PGWu
514 UAS NF/NEF
516 USS
102 ユーザ機器(UE)
103 エアインターフェース
104 アクセスポイント(eNB)
106 モビリティ管理エンティティ(MME)
108 追加のネットワークエンティティ
110 5G通信システム
112 ユーザ機器(UE)
113 エアインターフェース
114 アクセスポイント(gNB)
116 モビリティ管理機能(AMF/SEAF)
118 追加の機能
200 システム
202 ユーザ機器
210 インターフェース回路
212 プロセッサ
214 セキュリティ管理処理
216 メモリ
218 セキュリティ管理ストレージ
204 ネットワークノード(エンティティ/機能)
220 インターフェース回路
222 プロセッサ
224 セキュリティ管理処理
226 メモリ
228 セキュリティ管理ストレージ
300 複合アーキテクチャ
302 UE
304 NG-RAN
308 (R)AN
312 UAS NF/NEF
306 5GC
310 EPC
314 USS
316 データネットワーク
318 TPAE
400 複合アーキテクチャ
402-1 UE
404 E-UTRAN
408 MME
412 SGW
414 UPF+PGW-U
416 SMF+PGW-C
418 PCF
420 HSS+UDM
422 UAS NF/NEF
410 AMF
406 NG-RAN
402-2 UE
500 メッセージフロー
502 UE(UAV)
504 (R)AN
506 MME
508 SGW
510 SMF+PGW-C
512 PGWu
514 UAS NF/NEF
516 USS
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】