知財求人 - 知財ポータルサイト「IP Force」
特許7484970コアネットワーク装置、通信端末、コアネットワーク装置の方法、プログラム、及び通信端末の方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-08
(45)【発行日】2024-05-16
(54)【発明の名称】コアネットワーク装置、通信端末、コアネットワーク装置の方法、プログラム、及び通信端末の方法
(51)【国際特許分類】
H04W 12/06 20210101AFI20240509BHJP
H04W 8/24 20090101ALI20240509BHJP
H04W 60/00 20090101ALI20240509BHJP
H04W 88/14 20090101ALI20240509BHJP
H04W 28/084 20230101ALI20240509BHJP
【FI】
H04W12/06
H04W8/24
H04W60/00
H04W88/14
H04W28/084
【請求項の数】
10
(21)【出願番号】P 2022102410
(22)【出願日】2022-06-27
(62)【分割の表示】P 2020549267の分割
【原出願日】2019-09-25
(65)【公開番号】P2022126821
(43)【公開日】2022-08-30
【審査請求日】2022-09-22
(31)【優先権主張番号】P 2018185420
(32)【優先日】2018-09-28
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】鈴木 直明
(72)【発明者】
【氏名】田村 利之
(72)【発明者】
【氏名】プラサド アナンド ラガワ
【審査官】久松 和之
(56)【参考文献】
【文献】国際公開第2018/070689(WO,A1)
【文献】国際公開第2017/170690(WO,A1)
【文献】国際公開第2018/012611(WO,A1)
【文献】特許第7099536(JP,B2)
【文献】Nokia, Nokia Shanghai Bell,Slice Specific Authentication and Authorization using non 3GPP credentials - Solution,3GPP TSG SA WG2 #128 S2-186613,2018年06月26日
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24 - 7/26
H04W 4/00 - 99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
通信端末から、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示すUE Capabilityを含むRegistration Requestメッセージを受信する通信手段と、前記Registration Requestメッセージを受信した後に、前記通信端末とネットワークとの間でプライマリ認証処理を実行する第1認証手段と、
前記UE Capabilityにおいて、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていることが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行し、
前記UE Capabilityにおいて、前記通信端末が前記Slice-Specific Authentication and Authorizationをサポートしていないことが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない第2認証手段と、を備える、Access Management Function (AMF)として動作するコアネットワーク装置。
【請求項2】
前記通信手段は、前記Registration Requestメッセージに含まれるRequested NSSAIが前記Slice-Specific Authentication and Authorizationの対象であるネットワークスライスを示していない場合、前記通信端末へ、前記Registration Requestメッセージに対して、特定のcause値を含むRegistration Rejectメッセージを送信する、請求項1に記載のコアネットワーク装置。
【請求項3】
通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示すUE Capabilityを含むRegistration Requestメッセージを、Access Management Function (AMF)として動作するコアネットワーク装置へ送信する通信手段と、前記Registration Requestメッセージを送信した後に、前記通信端末とネットワークとの間でプライマリ認証処理を実行する認証手段と、を備える、通信端末。
【請求項4】
前記UE Capabilityにおいて、前記通信端末が前記Slice-Specific Authentication and Authorizationをサポートしていることが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理は実行される、請求項3に記載の通信端末。
【請求項5】
前記UE Capabilityにおいて、前記通信端末が前記Slice-Specific Authentication and Authorizationをサポートしていないことが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理は実行されない、請求項3に記載の通信端末。
【請求項6】
前記通信手段は、前記Registration Requestメッセージに含まれるRequested NSSAIが前記Slice-Specific Authentication and Authorizationの対象であるネットワークスライスを示していない場合、前記コアネットワーク装置から、前記Registration Requestメッセージに対して、特定のcause値を含むRegistration Rejectメッセージを受信する、請求項3に記載の通信端末。
【請求項7】
通信端末から、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示すUE Capabilityを含むRegistration Requestメッセージを受信し、前記Registration Requestメッセージを受信した後に、前記通信端末とネットワークとの間でプライマリ認証処理を実行し、
前記UE Capabilityにおいて、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていることが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行し、
前記UE Capabilityにおいて、前記通信端末が前記Slice-Specific Authentication and Authorizationをサポートしていないことが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない、Access Management Function (AMF)として動作する、コアネットワーク装置の方法。
【請求項8】
通信端末から、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示すUE Capabilityを含むRegistration Requestメッセージを受信し、前記Registration Requestメッセージを受信した後に、前記通信端末とネットワークとの間でプライマリ認証処理を実行し、
前記UE Capabilityにおいて、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていることが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行することをコンピュータに実行させ、
前記UE Capabilityにおいて、前記通信端末が前記Slice-Specific Authentication and Authorizationをサポートしていないことが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行しないことをコンピュータに実行させるプログラム。
【請求項9】
通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示すUE Capabilityを含むRegistration Requestメッセージを、Access Management Function (AMF)として動作するコアネットワーク装置へ送信し、
前記Registration Requestメッセージを送信した後に、前記通信端末とネットワークとの間でプライマリ認証処理を実行する、通信端末の方法。
【請求項10】
通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示すUE Capabilityを含むRegistration Requestメッセージを、Access Management Function (AMF)として動作するコアネットワーク装置へ送信し、
前記Registration Requestメッセージを送信した後に、前記通信端末とネットワークとの間でプライマリ認証処理を実行することをコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、コアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法に関する。
【背景技術】
【0002】
5G(5 Generation)ネットワークにおいては、ネットワークスライスを用いてサービスを提供することが検討されている。ネットワークスライスは、物理的なネットワーク上において定義された少なくとも1つの論理的なネットワークである。あるネットワークスライスは、例えば、Public Safety Serviceを提供するネットワークスライスであってもよい。また、他のネットワークスライスは、極端に短い遅延時間を保証するネットワークスライスであってもよく、同時多数のIoT(Internet Of Things)端末を収容するネットワークスライスであってもよい。
【0003】
また、5Gネットワークにおいては、通信事業者が、独自の加入者データベースを持っているサードパーティにネットワークスライスをリースすることも想定されている。この場合、PLMN(Public Land Mobile Network)へアクセスする通信端末の認証に加えて、ネットワークスライスへアクセスする通信端末の認証を行うことが検討されている。PLMNへアクセスする通信端末と、ネットワークスライスへアクセスする通信端末は同一の通信端末である。PLMNへアクセスする通信端末の認証は、例えば、プライマリ認証と称される。ネットワークスライスへアクセスする通信端末の認証は、例えば、セカンダリ認証と称される。セカンダリ認証は、ネットワークスライスへアクセスすることの認可処理も含み、スライス固有のセカンダリ認証及び認可(Slice-Specific Secondary Authentication and Authorisation)と言い換えられてもよい。
【0004】
非特許文献1には、通信端末であるUE(User Equipment)に対して実施されるプライマリ認証及びセカンダリ認証の概要が記載されている。プライマリ認証は、UEと、AMF(Access Management Function)エンティティ、AUSF(Authentication Server Function)エンティティ等のコアネットワーク装置との間において、3GPP(3rd Generation Partnership Project)において規定された認証情報に基づいて実施される。一方、セカンダリ認証は、UEと、サードパーティが管理するAAA(Authentication, Authorisation and Accounting)サーバとの間において、3GPPにおいて規定されていない認証情報に基づいて実施される。3GPPにおいて規定された認証情報は、例えば、UEがPLMNへアクセスする際に用いられる認証情報であってもよい。3GPPにおいて規定されていない認証情報は、例えば、サードパーティが管理する認証情報であってもよい。具体的には、サードパーティが管理する認証情報は、AAAサーバにおいて管理されているユーザID(User IDs)及びパスワード(credentials)であってもよい。
【0005】
さらに、非特許文献1には、特定のネットワークスライスにおいて始めてPDU Sessionを確立しようとする時にネットワークスライスへアクセスするための認証を行う、PDU Session確立時の認証処理の概要が記載されている。
【先行技術文献】
【非特許文献】
【0006】
【文献】3GPP TS 23.740 V0.5.0 (2018-08), 6.3.1節,6.3.2節
【発明の概要】
【発明が解決しようとする課題】
【0007】
UEは、複数のネットワークスライスへアクセスすることが可能である。例えば、UEの加入者情報には、UEがアクセスする可能性のある複数のネットワークスライスの識別情報が含められている。UEがアクセスする可能性のあるネットワークスライスは、例えば、UEを操作するユーザが、事前に申請もしくは契約を行ったネットワークスライスであってもよい。
【0008】
加入者情報に、UEがアクセスする可能性のある複数のネットワークスライスが含められている場合、セカンダリ認証は、UEのRegistration処理の間に、ネットワークスライス毎に実行される。そのため、加入者情報に含められるネットワークスライスの数が多くなるほど、セカンダリ認証に要する時間と処理負荷が増加し、UEがネットワークスライスを利用した通信を実行するまでに要する時間と処理負荷が増加するという問題がある。
【0009】
本開示の目的は、ネットワークスライス毎に実行されるセカンダリ認証を効率的に実施することができるコアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法を提供することにある。
【課題を解決するための手段】
【0010】
本開示の第1の態様にかかるコアネットワーク装置は、コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行する第1の認証部と、サービングネットワークにおいて前記通信端末が利用可能な少なくとも1つのネットワークスライスを示す許容リスト情報を受信する通信部と、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理を実施する第2の認証部と、を備える。
【0011】
本開示の第2の態様にかかる通信端末は、コアネットワークに通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理に伴う処理を実行することができるか否かを示す能力情報をコアネットワーク装置へ送信する通信部を備える。
【0012】
本開示の第3の態様にかかる通信システムは、コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行し、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されて通信端末か否かの第2の認証処理を実施し、前記第2の認証処理が実施されたネットワークスライスを示す情報を送信する、第1のコアネットワーク装置と、前記第2の認証処理が実行されたネットワークスライスを示す情報を受信し、前記登録処理が完了した後に、前記通信端末が前記ネットワークスライスを最初に利用する際に、前記通信端末に関する前記第2の認証処理が実施されたか否かを判定し、前記第2の認証処理が実施されていない場合、前記第2の認証処理を実施し、前記第2の認証処理が実施されていた場合、前記第2の認証処理を実施しない、第2のコアネットワーク装置と、を備える。
【0013】
本開示の第4の態様にかかる認証方法は、コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行し、サービングネットワークにおいて前記通信端末が利用可能な少なくとも1つのネットワークスライスを示す許容リスト情報を受信し、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理を実施する。
【0014】
本開示の第5の態様にかかる通信方法は、コアネットワークに通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理に伴う処理を実行することができるか否かを示す能力情報を生成し、前記能力情報をコアネットワーク装置へ送信する。
【発明の効果】
【0015】
本開示により、ネットワークスライス毎に実行されるセカンダリ認証を効率的に実施することができるコアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法を提供することができる。
【図面の簡単な説明】
【0016】
【図1】実施の形態1にかかるコアネットワーク装置の構成図である。
【図2】実施の形態2にかかる通信システムの構成図である。
【図3】実施の形態2にかかるRegistrationの処理の流れを示す図である。
【図4】実施の形態3にかかる通信端末の構成図である。
【図5】実施の形態3にかかるRegistrationの処理の流れを示す図である。
【図6】実施の形態4にかかるRegistrationの処理の流れを示す図である
【図7】実施の形態5にかかるPDU Session確立時の認証処理の流れを示す図である。
【図8】実施の形態5にかかるPDU Session確立時の認証処理の流れを示す図である。
【図9】それぞれの実施の形態にかかる通信端末及びUEの図である。
【図10】それぞれの実施の形態にかかるコアネットワーク装置及びAMFの構成図である。
【発明を実施するための形態】
【0017】
(実施の形態1)
以下、図面を参照して本開示の実施の形態について説明する。図1を用いて実施の形態1にかかるコアネットワーク装置10の構成例について説明する。コアネットワーク装置10は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。
以下、図面を参照して本開示の実施の形態について説明する。図1を用いて実施の形態1にかかるコアネットワーク装置10の構成例について説明する。コアネットワーク装置10は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。
【0018】
コアネットワーク装置10は、認証部11、認証部12、及び通信部13を有している。認証部11、認証部12、及び通信部13は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。または、認証部11、認証部12、及び通信部13は、回路もしくはチップ等のハードウェアであってもよい。
【0019】
認証部11は、コアネットワークに通信端末を登録する登録処理中に、通信端末がコアネットワークへの登録が許可されている通信端末か否かの認証処理を実行する。認証部11において実施される通信端末の認証は、プライマリ認証に相当する。通信端末は、例えば、携帯電話端末、スマートフォン端末、もしくはタブレット型端末であってもよい。または、通信端末は、IoT(Internet Of Things)端末もしくはMTC(Machine Type Communication)端末であってもよい。または、通信端末は、3GPPにおいて通信端末の総称として用いられているUEであってもよい。
【0020】
コアネットワークは、5Gネットワークに含められるネットワークである。5Gネットワークは、通信端末が直接アクセスするアクセスネットワークと、複数のアクセスネットワークを集約するコアネットワークとを有する。
【0021】
登録処理は、例えば、通信端末が電源OFF状態から電源ON状態へ遷移した後に実行されてもよい。もしくは、登録処理は、前回に登録処理を行ってから所定期間経過後に実行されてもよい。登録処理は、例えば、3GPPにおいて動作が規定されているRegistration処理であってもよい。通信端末がコアネットワークに登録されることによって、コアネットワークは、通信端末の移動管理及びセッション管理等を行う。
【0022】
通信部13は、サービングネットワークにおいて通信端末が利用可能な少なくとも1つのネットワークスライスを示す許容リスト情報を受信する。サービングネットワークは、通信端末が在圏しているエリアに対して通信サービスを提供するネットワークである。サービングネットワークは、通信端末の加入者情報を管理するHPLMN(Home Public Land Mobile Network)であってもよく、ローミング先であるVPLMN(Visited PLMN)であってもよい。
【0023】
通信端末がアクセスする可能性のある全てのネットワークスライスは、通信端末の加入者情報に含まれる。通信端末に対して提供可能なネットワークスライスは、サービングネットワーク毎に異なる。そのため、通信端末は、現在接続しているサービングネットワークにおいて、加入者情報に含まれるすべてのネットワークスライスを利用することができない場合がある。許容リスト情報に含まれるネットワークスライスは、通信端末の加入者情報に含まれるネットワークスライスのうち、サービングネットワークにおいて利用可能なネットワークスライスである。そのため、許容リスト情報に含まれるネットワークスライスは、加入者情報に含まれるすべてのネットワークスライスの一部であってもよい。
【0024】
通信部13は、HPLMNに配置されている他のコアネットワーク装置から、許容リスト情報を受信してもよく、VPLMNに配置されている他のコアネットワーク装置から、許容リスト情報を受信してもよい。
【0025】
認証部12は、コアネットワークに通信端末を登録する登録処理中に、通信端末が許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの認証処理を実施する。認証部12において実施される認証は、セカンダリ認証に相当する。認証部12は、許容リスト情報に複数のネットワークスライスが含まれている場合、それぞれのネットワークスライスを管理するそれぞれのサードパーティと連携して、通信端末の認証処理を実施してもよい。
【0026】
以上説明したように、コアネットワーク装置10の認証部12は、許容リスト情報に含まれるネットワークスライスの数だけ認証処理を実行する。ここで、許容リスト情報に含まれるネットワークスライスの数は、加入者情報に含まれるネットワークスライスよりも少ない。そのため、コアネットワークに通信端末を登録する登録処理中において認証部12が実施する認証処理に要する時間は、加入者情報に含まれるネットワークスライスの数の認証処理を実施する場合と比較して、短縮される。
【0027】
また、コアネットワーク装置10は、次に示す認証方法を実施する。はじめに、コアネットワーク装置10は、コアネットワークに通信端末を登録する登録処理中に、通信端末がコアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行する。次に、コアネットワーク装置10は、サービングネットワークにおいて通信端末が利用可能な少なくとも1つのネットワークスライスを示す許容リスト情報を受信する。次に、コアネットワーク装置10は、コアネットワークに通信端末を登録する登録処理中に、通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理を実施する。
【0028】
(実施の形態2)
続いて、図2を用いて実施の形態2にかかる通信システムの構成例について説明する。図2の通信システムは、UE20、Serving PLMN30、HPLMN40、及び3rd party network50を有している。UE20は、Serving PLMN30が通信サービスを提供するエリアに在圏しているとする。UE20は、通信端末に相当する。Serving PLMN30は、サービングネットワークに相当する。図2においては、Serving PLMN30は、VPLMNと言い換えられてもよい。3rd party network50は、Serving PLMN30を管理する通信事業者及びHPLMN40を管理する通信事業者とは異なる通信事業者が管理するネットワークであってもよい。3rd party network50は、例えば、アプリケーションサービスを提供する事業者が管理するネットワークであってもよい。
続いて、図2を用いて実施の形態2にかかる通信システムの構成例について説明する。図2の通信システムは、UE20、Serving PLMN30、HPLMN40、及び3rd party network50を有している。UE20は、Serving PLMN30が通信サービスを提供するエリアに在圏しているとする。UE20は、通信端末に相当する。Serving PLMN30は、サービングネットワークに相当する。図2においては、Serving PLMN30は、VPLMNと言い換えられてもよい。3rd party network50は、Serving PLMN30を管理する通信事業者及びHPLMN40を管理する通信事業者とは異なる通信事業者が管理するネットワークであってもよい。3rd party network50は、例えば、アプリケーションサービスを提供する事業者が管理するネットワークであってもよい。
【0029】
Serving PLMN30は、AMF(Access Management Function)エンティティ31(以下、AMF31とする)、V-SMF(Visited Session Management Function)エンティティ32(以下、V-SMF32とする)、及びUPF(User Plane Function)エンティティ33(以下、UPF33とする)を有している。AMF31は、図1のコアネットワーク装置10に相当する。
【0030】
HPLMN40は、UDM(Unified Data Management)エンティティ41(以下、UDM41とする)、AUSF(Authentication Server Function)エンティティ42(以下、AUSF42とする)、NSSF(Network Slice Selection Function)エンティティ43(以下、NSSF43とする)、NEF(Network Exposure Function)エンティティ44(以下、NEF44とする)、H-SMFエンティティ45(以下、H-SMF45とする)、及びUPFエンティティ46(以下、UPF46とする)を有している。
【0031】
3rd party network50は、AAA(Authentication, Authorisation and Accounting) Server51を有している。
【0032】
AMF31は、UE20に関するアクセスやモビリティなどの管理を行う。さらに、AMF31は、AUSF42及びUDM41等と連携してUE20に関するプライマリ認証処理を行う。V-SMF32は、UE20に関するセッション管理を行う。セッション管理には、セッションの確立、変更、削除が含まれる。UPF33は、UE20とUPF46との間において、ユーザプレーンデータのルーティングもしくは転送を行う。
【0033】
UDM41は、UE20に関する加入者情報を管理する。加入者情報には、UE20がアクセスする可能性のある複数のネットワークスライスの識別情報が含められている。UE20がアクセスする可能性のあるネットワークスライスは、例えば、UE20を操作するユーザが、事前に申請もしくは契約を行ったネットワークスライスであってもよい。
【0034】
AUSF42は、UE20に関する認証情報を管理する。認証情報は、例えば、UE20に関するセキュリティ鍵及び認証アルゴリズム等であってもよい。NSSF43は、AMF31へ、Serving PLMN30においてUE20が利用できるネットワークスライスの識別情報を送信する。ネットワークスライスの識別情報は、例えば、NSSAI(Network Slice Selection Assistance Information)であってもよい。また、AUSF42は、3rd party network50に配置されるAAA Server51と、HPLMN40に配置されるノード装置との間において伝送されるデータを中継する。
【0035】
NEF44は、3rd party network50に配置されるAAA Server51と、HPLMN40に配置されるノード装置との間において伝送されるデータを中継する。H-SMF45は、V-SMF32とともに、UE20に関するセッション管理を行う。UPF46は、UPF33と3rd party network50との間において、ユーザプレーンデータのルーティングもしくは転送を行う。例えば、UPF46は、3rd party network50に配置されているアプリケーションサーバ(不図示)と、UPF33との間においてユーザプレーンデータのルーティングを行ってもよい。
【0036】
V-SMF32、UPF33、H-SMF45、及びUPF46は、ネットワークスライス60を構成する。V-SMF32、UPF33、H-SMF45、及びUPF46のそれぞれは、ネットワークスライス60にのみ用いられてもよく、他のネットワークスライスと共有されてもよい。ネットワークスライス60は、3rd party network50によって管理されるネットワークスライスである。つまり、UE20が、3rd party network50が提供するサービスを利用する場合、ネットワークスライス60へ接続する。
【0037】
AAA Server51は、ネットワークスライス60を利用するUE20に関するセカンダリ認証処理を行う。
【0038】
図2の構成例では、AUSF42とNEF44とがAMF31とAAA Server51との間において伝送されるデータを中継する構成であるが、AUSF42やNEF44とは異なる、独立した別のノード装置(図不示)がデータを中継する構成にしてもよい。また、通信システムは、NEF44を配備せず、AUSF42がAMF31とAAA Server51との間において伝送されるデータを中継する構成とされてもよい。AMF31とAAA Server51との間において伝送されるデータを中継するノード装置は、AAA-F(AAA proxy function)であってもよい。
【0039】
続いて、図3を用いてUE20に関するRegistrationの処理の流れについて説明する。はじめに、UE20は、AMF31へRegistration Requestメッセージを送信する(S11)。Registration Requestは、Requested NSSAIを含む。Requested NSSAIは、UE20からServing PLMN30へ提供されるNSSAIである。言い換えると、Requested NSSAIは、Serving PLMN30においてUE20が利用もしくは接続することを希望するネットワークスライスを示すNSSAIである。S-NSSAI(Single Network Slice Selection Assistance Information)は一つのネットワークスライスを示す識別情報であり、NSSAIには、複数のS-NSSAIが含まれてもよい。
【0040】
なお、AMF31は、Registration Requestメッセージ(S11)以外のメッセージでRequested NSSAIを取得してもよい。例えば、ステップS12においてAMF31が、NAS Security Mode CommandメッセージをUE20に送信し、UE20が、その応答としてNAS Security Mode CompleteメッセージをAMF31に返送する。この場合、UE20はNAS Security Mode CompleteメッセージにRequested NSSAIを設定し、AMF31はそのRequested NSSAIを取得してもよい。また例えば、ステップS12の前に、AMF31が、Identity RequestメッセージをUE20に送信し、UE20が、その応答としてIdentity ResponseメッセージをAMF31に返送する場合がある。この場合、UE20はIdentity ResponseメッセージにRequested NSSAIを設定し、AMF31はそのRequested NSSAIを取得してもよい。
【0041】
また、AMF31は、UE20以外の任意のノード装置からRequested NSSAIを含むメッセージを受信して、Requested NSSAIを取得してもよい。例えば、UE20が送信するRequested NSSAIを含むメッセージを、任意のノード装置が受信してもよい。この場合、AMF31は、その任意のノード装置からRequested NSSAIを含むメッセージを受信することで、Requested NSSAIを取得してもよい。
【0042】
次に、UE20、AMF31、及びAUSF42において、既存のPLMNへアクセスするためのセキュリティ手順が実行される(S12)。既存のPLMNは、例えば、Serving PLMN30及びHPLMN40である。具体的には、ステップS12において、UE20に関するプライマリ認証処理が実施される。例えば、AMF31は、AUSF42から受信した認証情報を用いて、UE20に関するプライマリ認証処理を実施する。AMF31がAUSF42から受信した認証情報は、例えば、3GPP credentialsと称されてもよい。つまり、AMF31がAUSF42から受信した認証情報は、3GPPにおいて規定された認証情報であってもよい。3GPP credentialsは、例えば、UE20のユーザIDであるSUPI(Subscription Permanent Identifier)及びUE20がServing PLMN30へアクセスする際に用いられる認証情報を含んでもよい。
【0043】
プライマリ認証処理は、例えば、AMF31とUE20との間において実施されるAKA(Authentication and Key Agreement)において、SUPIを認証することである。つまり、AMF31は、UE20との間において実施するAKAにおいて、UE20を示すSUPIを認証する。さらに、プライマリ認証処理は、UE20に関する認可(Authorization)処理を含んでもよい。例えば、プライマリ認証処理は、UDM41から取得したUE20の加入者情報を用いてUE20がServing PLMN30を利用することを認可することを含んでもよい。つまり、AMF31は、UDM41から取得したUE20の加入者情報を用いてUE20がServing PLMN30を利用することを認可してもよい。プライマリ認証処理は、プライマリ認証及び認可処理と言い換えられてもよい。
【0044】
次に、AMF31は、UDM41へNudm_SDM_Getメッセージを送信する(S13)。次に、UDM41は、AMF31へNudm_SDM_Get responseメッセージを送信する(S14)。Nudm_SDM_Get responseメッセージは、Subscribed S(Single)-NSSAIを含む。S-NSSAIは、一つのネットワークスライスを示す識別情報である。Subscribed S-NSSAIは、加入者情報に含まれるネットワークスライスを示す識別情報である。Nudm_SDM_Get responseメッセージには、複数のSubscribed S-NSSAI(Subscribed S-NSSAIs)が含まれてもよい。
【0045】
次に、AMF31は、NSSF43へ、Nnssf_NSSelection_Getメッセージを送信する(S15)。次に、NSSF43は、AMF31へNnssf_NSSelection_Get responseメッセージを送信する(S16)。Nnssf_NSSelection_Get responseメッセージは、Allowed NSSAIを含む。Allowed NSSAIは、複数のSubscribed S-NSSAIのうち、UE20がServing PLMN30において利用することができるネットワークスライスの識別情報(S-NSSAI)を含む。Allowed NSSAIには、複数のS-NSSAI(S-NSSAIs)が含まれてもよい。ここで、Allowed NSSAIに含まれるS-NSSAIの数は、Nudm_SDM_Get responseメッセージに含まれる複数のSubscribed S-NSSAIの数よりも少ないとする。つまり、Allowed NSSAIに含まれるS-NSSAIは、Nudm_SDM_Get responseメッセージに含まれる複数のSubscribed S-NSSAIの一部とする。NSSF43は、例えば、UDM41からUE20に関するSubscribed S-NSSAIを取得し、UE20がServing PLMN30において利用することができるネットワークスライスを示すS-NSSAIを管理していてもよい。
【0046】
次に、AMF31は、Allowed NSSAIに含まれるそれぞれのS-NSSAIが示すネットワークスライスにおいて、セカンダリ認証処理が適用されるかどうかをチェックする(S17)。AMF31は、Allowed NSSAIに含まれるそれぞれのネットワークスライスにおいてセカンダリ認証処理が適用されるかどうかを、ポリシーサーバ等を用いてチェックしてもよい。例えば、3rd party networkの中には、3rd party networkが管理するネットワークスライスを利用する際にセカンダリ認証処理を適用しないとするポリシーを有する3rd party networkも存在する。
【0047】
ポリシーサーバは、それぞれのネットワークスライスが、UE20に関するセカンダリ認証を要求するか否かに関する情報を管理していてもよい。また、ポリシーサーバ以外のノード装置において、UE20に関するセカンダリ認証を要求するか否かに関する情報が管理されていてもよい。この場合、AMF31は、UE20に関するセカンダリ認証を要求するか否かに関する情報が管理されているノード装置を用いて、ステップS17におけるチェックを行ってもよい。
【0048】
例えば、AMF31はUDM41を用いて、ステップS17におけるチェックを行ってもよい。この場合、AMF31は、Subscribed S-NSSAIで示されるネットワークスライスにおいて、セカンダリ認証処理が適用されるかどうかに関する情報をNudm_SDM_Get responseメッセージ(S14)で受信してもよい。さらに、AMF31は、受信した情報を用いて、ステップS17におけるチェックを行ってもよい。
【0049】
次に、UE20、AMF31、AUSF42、及びAAA Server51において、セカンダリ認証処理を適用するネットワークスライス60へアクセスするためのセキュリティ手順を実施する(S18)。具体的には、ステップS18において、UE20に関するセカンダリ認証処理が実施される。例えば、セカンダリ認証においては、サードパーティが管理する認証情報が用いられてもよい。サードパーティが管理する認証情報は、UE20がネットワークスライス60を利用する際に用いるユーザIDと、AAA Server51において管理されるパスワードとを含んでもよい。
【0050】
セカンダリ認証処理においては、EAP(Extensible Authentication Protocol)を用いた認証手順が実施されてもよい。例えば、AMF31は、UE20に対して、S-NSSAIを通知し、S-NSSAIにおいて用いられるユーザID及びパスワードの送信を要求する要求メッセージを送信する。さらに、AMF31は、UE20から受信したユーザID及びパスワードを、AUSF42を介してAAA Server51へ送信する。AAA Server51は、AUSF42から受信したUE20に関するユーザID、つまりUE20を認証し、さらに、UE20から受信したユーザID及びパスワードを用いて、UE20がネットワークスライス60を利用することを認可してもよい。セカンダリ認証処理は、UE20を認証することと、UE20がネットワークスライス60を利用することを認可することとを含んでもよい。もしくは、セカンダリ認証処理は、セカンダリ認証処理及びセカンダリ認可処理と言い換えられてもよい。
【0051】
セカンダリ認証処理は、UE20に関するRegistration処理においてネットワークスライス毎に実施される。言い換えると、Allowed NSSAIに含まれるS-NSSAIのうち、セカンダリ認証処理を適用するネットワークスライスを示すS-NSSAIの数と同じ回数のセカンダリ認証処理がRegistration処理において繰り返される。
【0052】
以上説明したように、Allowed NSSAIに含まれるS-NSSAIの数は、UDM41から送信されるSubscribed S-NSSAIの数と比較して少ない。さらに、Allowed NSSAIに含まれるS-NSSAIが示すネットワークスライスのうち、セカンダリ認証処理を適用しないネットワークスライスも存在する。そのため、セカンダリ認証処理を適用するネットワークスライスの数は、Allowed NSSAIに含まれるS-NSSAIが示すネットワークスライスの数よりも少ない。その結果、図2の通信システムにおいて、UE20に関するRegistration処理において実施されるセカンダリ認証処理の回数は、UDM41から送信されるSubscribed S-NSSAIの数と同じ回数のセカンダリ認証処理が繰り返される場合と比較して、少ない。これより、UE20、AMF31、AUSF42、及びAAA Server51は、Subscribed S-NSSAIの数と同じ回数のセカンダリ認証処理が繰り返される場合と比較して、Registration処理においてセカンダリ認証処理に要する時間を短縮することができる。さらに、UE20、AMF31、AUSF42、及びAAA Server51は、セカンダリ認証処理に要する処理負荷を削減することができる。
【0053】
また、コアネットワークにUE20を登録する処理は、アクセスネットワークごとに行う。そのため、UE20は、3GPP Access及びNon-3GPP Accessのような、それぞれのアクセスネットワークを経由してAMF31に対してRegistration Requestメッセージを送信することができる。3GPP Accessは、3GPPにおいて定められた無線通信方式をサポートするアクセスネットワークである。Non-3GPP Accessは、3GPPにおいて定められた無線通信方式とは異なる無線通信方式をサポートするアクセスネットワークである。
【0054】
AMF31は、UE20から3GPP Access及びNon-3GPP Accessのいずれか一方を介してRegistration Requestメッセージを受信し、セカンダリ認証を実施する。例えば、AMF31は、3GPP Accessを介してRegistration Requestメッセージを受信し、セカンダリ認証を実施したとする。ここで、AMF31は、Non-3GPP Accessを介してRegistration Requestメッセージを受信した場合、既にUE20に関するセカンダリ認証を実施したネットワークスライスにおけるセカンダリ認証を実施せずに省略してもよい。これにより、同一のネットワークスライスにおける同一のUEに対する認証が、重複して実施されることを防止することができる。これにより、セカンダリ認証処理を省略しない場合と比較して、Registration処理においてセカンダリ認証処理に要する時間を短縮することができ、また、セカンダリ認証処理に要する処理負荷を削減することができる。Non-3GPP Accessを介して受信したRegistration Requestメッセージに基づいてセカンダリ認証を実施した場合も同様に、3GPP Accessを介して受信したRegistration Requestメッセージに基づくセカンダリ認証を省略してもよい。
【0055】
また、AMF31は、UE20のS-NSSAIに関するセカンダリ認証に失敗した場合、セカンダリ認証に成功した場合においてAllowed N-SSAIにてUE20へ提供するS-NSSAIを、別のS-NSSAIへ差し替えてUE20へ提供してもよい。例えば、差し替え後のS-NSSAIは、デフォルトS-NSSAIであってもよい。また、差し替え後のS-NSSAIは、差し替えられたことを示す識別子や、差し替え前のS-NSSAIを示す識別子が付与されていてもよい。UE20は、差し替え後のS-NSSAIで示されるネットワークスライスへのアクセスが認可されたと認識する。これにより、AMF31は、UE20がいずれのネットワークスライスへもアクセスすることができなくなる、という事態を回避させることができる。言い換えると、AMF31は、認証することができないUE20を、特定のネットワークスライスへアクセスするように誘導することができる。
【0056】
(実施の形態3)
続いて、図4を用いて実施の形態3にかかる通信端末70の構成例について説明する。通信端末70は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。また、通信端末70と通信するコアネットワーク装置として、実施の形態1において説明したコアネットワーク装置10を用いる。
続いて、図4を用いて実施の形態3にかかる通信端末70の構成例について説明する。通信端末70は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。また、通信端末70と通信するコアネットワーク装置として、実施の形態1において説明したコアネットワーク装置10を用いる。
【0057】
通信端末70は、制御部71及び通信部72を有している。制御部71及び通信部72は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。または、制御部71及び通信部72は、回路もしくはチップ等のハードウェアであってもよい。
【0058】
制御部71は、コアネットワークに通信端末70を登録する登録処理中に、通信端末70がネットワークスライスの利用が許可されている通信端末か否かの認証処理に伴う処理を実行することができるか否かを示す能力情報を生成する。
【0059】
ネットワークスライスの利用が許可されている通信端末か否かの認証処理は、セカンダリ認証処理に相当する。ネットワークスライスの利用が許可されている通信端末か否かの認証処理に伴う処理は、通信端末70がセカンダリ認証処理においてコアネットワーク装置10から送信されたメッセージ等を受信する処理を含む。さらに、ネットワークスライスの利用が許可されている通信端末か否かの認証処理に伴う処理は、受信したメッセージに設定されているパラメータ等を読み出す処理を含む。さらに、ネットワークスライスの利用が許可されている通信端末か否かの認証処理に伴う処理は、セカンダリ認証処理を正常に継続させるために、コアネットワーク装置10へメッセージを送信もしくは応答する処理を含む。
【0060】
通信部72は、制御部71において生成された能力情報をコアネットワーク装置10へ送信する。
【0061】
コアネットワーク装置10は、通信端末70から受信した能力情報が、通信端末70がセカンダリ認証処理に伴う処理を実行することができることを示すか否かを判定する。コアネットワーク装置10は、通信端末70がセカンダリ認証処理に伴う処理を実行することができると判定した場合、コアネットワークに通信端末70を登録する登録処理中に、通信端末70に関するセカンダリ認証処理を実施する。コアネットワーク装置10は、通信端末70から能力情報を受信しなかった場合、通信端末70がセカンダリ認証処理に伴う処理を実行することができないと判定してもよい。
【0062】
例えば、コアネットワーク装置10は、セカンダリ認証に伴う処理を実施することができない通信端末に対するセカンダリ認証処理を実行した場合、セカンダリ認証処理に必要な情報を通信端末から受信することができない。言い換えると、コアネットワーク装置10は、セカンダリ認証に失敗するにも関わらず、セカンダリ認証処理に係る時間を浪費する。
【0063】
一方、実施の形態3にかかる通信端末70は、セカンダリ処理に伴う処理を実施することができるか否かを示す能力情報をコアネットワーク装置10へ送信することができる。さらに、コアネットワーク装置10は、セカンダリ処理に伴う処理を実施することができないと判定した通信端末70に対しては、コアネットワークに通信端末70を登録する登録処理中に、通信端末70に関するセカンダリ認証処理を実施せず、セカンダリ認証処理を成功、または、失敗したとみなして処理を継続する。これにより、セカンダリ認証処理に係る時間と処理負荷を削減することができる。
【0064】
コアネットワーク装置10は、セカンダリ処理に伴う処理を実施することができないと判定した通信端末70に対して、セカンダリ認証処理を成功とみなすか、失敗とみなすかについて、ネットワークスライスごとにどちらにみなすか決めてよい。例えば、あるS-NSSAIについては成功とみなすが、別のS-NSSAIについては失敗とみなしてもよい。
【0065】
また、通信端末70は、次に示す通信方法を実施する。はじめに、通信端末70は、コアネットワークに通信端末を登録する登録処理中に、通信端末がネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理に伴う処理を実行することができるか否かを示す能力情報を生成する。次に、通信端末70は、能力情報をコアネットワーク装置へ送信する。
【0066】
続いて、図5を用いてUE80に関するRegistrationの処理の流れについて説明する。UE80は、通信端末70に相当する。はじめに、UE80は、AMF31へRegistration Requestメッセージを送信する(S21)。Registration Requestは、Requested NSSAI及びUE capabilityを含む。UE capabilityは、UE80がセカンダリ認証処理に伴う処理を実行することができるか否かを示す能力情報に相当する。UE capabilityは、Security capability、或いはその他の表現で表されてもよい。
【0067】
なお、AMF31は、Registration Requestメッセージ(S21)以外のメッセージでRequested NSSAIおよび/またはUE capabilityを取得してもよい。例えば、ステップS22においてAMF31が、NAS Security Mode CommandメッセージをUE80に送信すると、UE80が、その応答としてNAS Security Mode CompleteメッセージをAMF31に返送する。この場合、UE80はNAS Security Mode CompleteメッセージにRequested NSSAIおよび/またはUE capabilityを設定し、AMF31はそのRequested NSSAIおよび/またはUE capabilityを取得してもよい。また例えば、ステップS22の前に、AMF31が、Identity RequestメッセージをUE80に送信すると、UE80が、その応答としてIdentity ResponseメッセージをAMF31に返送する場合がある。この場合、UE80はIdentity ResponseメッセージにRequested NSSAIおよび/またはUE capabilityを設定し、AMF31はそのRequested NSSAIおよび/またはUE capabilityを取得してもよい。
【0068】
また、AMF31は、UE80以外の任意のノード装置からRequested NSSAIおよび/またはUE capabilityを含むメッセージを受信して、Requested NSSAIおよび/またはUE capabilityを取得してもよい。例えば、UE80が送信するRequested NSSAIおよび/またはUE capabilityを含むメッセージを、任意のノード装置が受信してもよい。この場合、AMF31は、メッセージを受信した任意のノード装置からRequested NSSAIおよび/またはUE capabilityを含むメッセージを受信することで、Requested NSSAIおよび/またはUE capabilityを取得してもよい。
【0069】
ステップS22乃至S27は、図3のステップS12乃至17と同様であるため詳細な説明を省略する。
【0070】
次に、AMF31は、所定の要件を満たす場合に、ステップS28においてセカンダリ認証を実施し、所定の要件を満たさない場合、ステップS28におけるセカンダリ認証を実施しない。所定の要件を満たす場合は、セカンダリ認証処理に伴う処理を実行することができることが示され、かつ、接続を要求するネットワークスライスが、セカンダリ認証が適用されるネットワークスライスであること、であってもよい。所定の要件を満たさない場合は、セカンダリ認証処理に伴う処理を実行することができることが示されていない、または、接続を要求するネットワークスライスが、セカンダリ認証が適用されるネットワークスライスでないこと、であってもよい。
【0071】
AMF31がセカンダリ認証を実施しないとは、EAPを用いた認証手順が実施されないことであってもよい。例えば、AMF31がセカンダリ認証を実施しないとは、AMF31がUE80に対して、S-NSSAIが示すネットワークスライスにおいて用いられるユーザID及びパスワードの送信を要求する要求メッセージを送信しないことであってもよい。
【0072】
また、AMF31がセカンダリ認証を実施しないとは、AMF31が、Registration Requestメッセージ(S21)に対して、特定の原因コードを含むRegistration Rejectメッセージを返送することであってもよい。特定の原因コードは、特定の5GMM cause値と言い換えられてもよい。例えば、特定の原因コードは、AMF31がセカンダリ認証を実施しないことを意味してもよいし、UE80がセカンダリ認証処理に伴う処理を実行することができないとAMF31が判断したことを意味してもよい。
【0073】
さらに、そのような特定の原因コードを含むRegistration Rejectメッセージを受信した場合、UE80は、Requested NSSAIに含めるS-NSSAIを変更してRegistration Requestメッセージ(S21)を送信してもよい。例えば、変更後のS-NSSAIは、デフォルトS-NSSAIであってもよい。または、UE80は、Registration Rejectメッセージが送られたPLMNとは異なる別のPLMNを選択し、PLMNを変更してRegistration Requestメッセージ(S21)を送信してもよい。
【0074】
図5は、ステップS27において、AMF31が、Allowed NSSAIに含まれるそれぞれのS-NSSAIが示すネットワークスライスにおいて、セカンダリ認証処理が適用されるかどうかをチェックすることを示しているが、これに制限されない。例えば、AMF31は、ステップS24において受信した複数のSubscribed S-NSSAIのそれぞれが示すネットワークスライスにおいて、セカンダリ認証処理が適用されるかどうかをチェックしてもよい。
【0075】
以上説明したように、実施の形態3にかかるUE80は、セカンダリ認証処理に伴う処理を実行することができるか否かを示すUE capabilityをAMF31へ送信することができる。これより、AMF31は、UE80が、セカンダリ認証処理に伴う処理を実行することができる場合にのみ、UE80に対してセカンダリ認証を実施する。その結果、UE80が、セカンダリ認証に伴う処理を実行することができない場合にセカンダリ認証処理に係る時間と処理負荷を削減することができる。
【0076】
【0077】
はじめに、UE90は、AMF31へRegistration Requestメッセージを送信する(S31)。Registration Requestは、UE90がRegistration処理の完了直後にアクセスを行うネットワークスライスである優先ネットワークスライスの情報を含む。優先ネットワークスライスは、緊急性の高いネットワークスライスと言い換えられてもよい。優先ネットワークスライスは、1つであってもよく、2つ以上であってもよい。例えば、Requested NSSAIに複数のS-NSSAIが含まれる場合、Requested NSSAIには、優先ネットワークスライスを示すS-NSSAIと、優先ネットワークスライスではないネットワークスライスを示すS-NSSAIとが含まれてもよい。Registration処理の完了直後とは、例えば、Registration処理が完了後、所定期間経過前のタイミングであってもよい。
【0078】
ステップS32~S37は、図5のステップS22~S27と同様であるため詳細な説明を省略する。
【0079】
次に、AMF31は、所定の要件を満たすネットワークスライスに関してセカンダリ認証を実施し、所定の要件を満たさないネットワークスライスに関してはセカンダリ認証を実施しない(S38)。
【0080】
例えば、AMF31は、優先ネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、であるネットワークスライスに関して、ステップS38においてセカンダリ認証を実施する。この場合、AMF31は、優先ネットワークスライスではないネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライスに対しては、ステップS38におけるセカンダリ認証を実施しない。言い換えると、AMF31は、優先ネットワークスライスではないネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライスに対しては、Registration処理におけるセカンダリ認証を実施しない。
【0081】
優先ネットワークスライスではないネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、に対するセカンダリ認証は、UE90が、当該ネットワークスライスへ初めてアクセスする際に実施されてもよい。言い換えると、優先ネットワークスライスではないネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、に対するセカンダリ認証は、UE90が、当該ネットワークスライスとPDU Sessionを確立する際に実施されてもよい。
【0082】
また、図5において説明したように、UE90が優先ネットワークスライスの情報と共にUE capabilityをAMF31へ送信する場合、AMF31は、以下の要件に従って、セカンダリ認証を実施してもよい。例えば、AMF31は、UE90がセカンダリ認証に伴う処理を実行することができる場合に、優先ネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、に対してセカンダリ認証を実施してもよい。つまり、AMF31は、UE90がセカンダリ認証に伴う処理を実行することができない場合、優先ネットワークスライス、かつ、セカンダリ認証が適用されるネットワークスライス、においてUE90に関するセカンダリ認証を実施しなくてもよい。
【0083】
以上説明したように、実施の形態4にかかるUE90は、優先ネットワークスライスを示す情報をAMF31へ送信することができる。これより、AMF31は、ステップS37においてセカンダリ認証が適用されるネットワークスライスと判定された全てのネットワークスライスに関するセカンダリ認証を実施せずに、優先ネットワークスライスに対するセカンダリ認証のみ実施することができる。その結果、AMF31が、全てのネットワークスライスに対するセカンダリ認証を実施した場合と比較して、優先ネットワークスライスに対するセカンダリ認証のみ実施する場合、セカンダリ認証に係る時間を短縮することができ、また、セカンダリ認証処理に係る処理負荷を削減することができる。
【0084】
(実施の形態5)
続いて、図7を用いて実施の形態5にかかるPDU Session確立時の認証処理の流れについて説明する。図7においては、図2において説明した通信システムにおける処理の流れについて説明する。Registration処理におけるセカンダリ認証処理と、PDU Session確立時の認証処理とが独立に実行された場合、次のような問題が発生する。
続いて、図7を用いて実施の形態5にかかるPDU Session確立時の認証処理の流れについて説明する。図7においては、図2において説明した通信システムにおける処理の流れについて説明する。Registration処理におけるセカンダリ認証処理と、PDU Session確立時の認証処理とが独立に実行された場合、次のような問題が発生する。
【0085】
PDU Session確立時の認証処理は、SMFによって起動される。この時、SMFは、Registration処理において特定のネットワークスライスにおけるUEのセカンダリ認証処理が実行されていることを認識していない場合、PDU Session確立時に、当該特定のネットワークスライスにおけるUEのセカンダリ認証処理を実行する。そのため、セカンダリ認証処理が、Registration処理時とPDU Session確立時において重複して実施されるという問題が発生する。
【0086】
そこで、実施の形態5においては、AMF31が、V-SMF32もしくはH-SMF45へ、セカンダリ認証を実行済みのネットワークスライスに関する情報を通知する。これにより、セカンダリ認証処理が、Registration処理時とPDU Session確立時において重複して実施されることを回避する。
【0087】
はじめに、UE20は、PDU Session Establishment Requestを含むNAS messageをAMF31へ送信する(S41)。PDU Session Establishment Requestは、接続先のネットワークスライスを示すS-NSSAIを含む。
【0088】
次に、AMF31は、V-SMF32を選択し、V-SMF32へNsmf_PDUSession_CreateSMContext Requestを送信する(S42)。Nsmf_PDUSession_CreateSMContext Requestの代わりに、Nsmf_PDUSession_UpdateSMContext Requestが送信されてもよい。
【0089】
Nsmf_PDUSession_CreateSMContext Requestは、UE20のSUPI(Subscription Permanent Identifier)、S-NSSAI、及びS-NSSAIが示すネットワークスライスにおけるUE20の認証処理が実施済みであることを示すフラグを含む。S-NSSAIは、ステップS41において受信したメッセージに含まれるS-NSSAIである。AMF31は、Nsmf_PDUSession_CreateSMContext Requestにフラグを含ませることによって、V-SMF32へ、特定のネットワークスライスにおけるUE20のセカンダリ認証が実施済みであることを通知する。
【0090】
次に、V-SMF32は、Nsmf_PDUSession_CreateSMContext Requestに対する応答として、Nsmf_PDUSession_CreateSMContext ResponseをAMF31へ送信する(S43)。
【0091】
次に、V-SMF32は、ステップS42において受信したNsmf_PDUSession_CreateSMContext Requestを、H-SMF45へ送信する(S44)。H-SMF45は、Nsmf_PDUSession_CreateSMContext Requestを受信することによって、S-NSSAIが示すネットワークスライスにおいてUE20のセカンダリ認証処理が実施済みか否かを判定することができる。
【0092】
次に、H-SMF45は、Nsmf_PDUSession_CreateSMContext Requestに含まれるSUPIに対応する加入者データ(Subscription data)をUDM41から取得する(S45)。
【0093】
次に、H-SMF45は、Nsmf_PDUSession_CreateSMContext Requestにフラグが含まれていない場合、UE20に関するセカンダリ認証処理を実施するために、EAP Authenticationを開始する(S46)。一方、H-SMF45は、Nsmf_PDUSession_CreateSMContext Requestにフラグが含まれている場合、UE20に関する認証処理は実施済みであると判定し、ステップS46におけるEAP Authenticationを開始しない。
【0094】
【0095】
はじめに、V-SMF32とUPF33との間においてN4 Session Establishmentが実行される(S51)。次に、V-SMF32は、UPF33を介してAAA Server51へAuthentication/Authorization Requestを送信する(S52)。次に、AAA Server51は、UPF33を介してV-SMF32へAuthentication/Authorization Responseを送信する(S53)。次に、V-SMF32は、AAA Server51から送信されたAuthentication messageを含むNamf_Communication_N1N2Message TransferをAMF31へ送信する(S54)。
【0096】
次に、AMF31は、Namf_Communication_N1N2Message Transferに対する応答として、ResponseをV-SMF32へ送信する(S55)。AMF31は、Responseに、UE20が接続すべきネットワークスライスにおけるUE20のセカンダリ認証処理が実施済みであることを示すフラグを含む。
【0097】
次に、AMF31は、Authentication messageを含むNAS SM TransportをUE20へ送信する(S56)。次に、UE20は、Authentication messageを含むNAS SM TransportをAMF31へ送信する(S57)。次に、AMF31は、Authentication messageを含むNsmf_PDUSession_UpdateSMContextをV-SMF32へ送信する(S58)。次に、V-SMF32は、ResponseをAMF31へ送信する(S59)。
【0098】
ここで、V-SMF32は、ステップS55において、UE20のセカンダリ認証処理が実施済みであることを示すフラグを受信していない場合、Authentication/Authorization Requestを、UPF33を介してAAA Server51へ送信する(S60)。Authentication/Authorization Requestは、Authentication messageを含む。AAA Server51は、特定のネットワークスライスにおけるUE20の認証処理を実行した後に、Authentication/Authorization Responseを、UPF33を介してV-SMF32へ送信する(S61)。
【0099】
V-SMF32は、ステップS55において、UE20が接続すべきネットワークスライスにおけるUE20のセカンダリ認証処理が実施済みであることを示すフラグを受信している場合、ステップS60以降の処理を実施しない。
【0100】
図8においては、ステップS55のResponseに、フラグを含める処理について説明しているが、ステップS58のNsmf_PDUSession_UpdateSMContextにフラグを含めてもよい。もしくは、AMF31は、PDU Session確立時ではなく、Registration処理を実行後、PDU Session確立の処理とは独立して、V-SMF32もしくはH-SMF45へフラグを送信してもよい。この場合、V-SMF32もしくはH-SMF45は、ステップS52以降の処理を実施せずに省略してもよい。
【0101】
以上説明したように、AMF31は、V-SMF32もしくはH-SMF45へ、実施済みのセカンダリ認証処理に関する情報を通知することができる。その結果、セカンダリ認証処理が、Registration処理時とPDU Session確立時において重複して実施されることを回避することができる。これにより、セカンダリ認証に係る時間を短縮することができ、また、セカンダリ認証処理に係る処理負荷を削減することができる。
【0102】
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
【0103】
続いて以下では、上述の複数の実施形態で説明された、コアネットワーク装置10、AMF31、SMF、通信端末70、UE20、UE80、及びUE90の構成例について説明する。
【0104】
図9は、通信端末70、UE20、UE80、及びUE90の構成例を示すブロック図である。Radio Frequency(RF)トランシーバ1101は、基地局と通信するためにアナログRF信号処理を行う。RFトランシーバ1101により行われるアナログRF信号処理は、周波数アップコンバージョン、周波数ダウンコンバージョン、及び増幅を含む。RFトランシーバ1101は、アンテナ1102及びベースバンドプロセッサ1103と結合される。すなわち、RFトランシーバ1101は、変調シンボルデータ(又はOFDMシンボルデータ)をベースバンドプロセッサ1103から受信し、送信RF信号を生成し、送信RF信号をアンテナ1102に供給する。また、RFトランシーバ1101は、アンテナ1102によって受信された受信RF信号に基づいてベースバンド受信信号を生成し、これをベースバンドプロセッサ1103に供給する。
【0105】
ベースバンドプロセッサ1103は、無線通信のためのデジタルベースバンド信号処理(データプレーン処理)とコントロールプレーン処理を行う。デジタルベースバンド信号処理は、(a) データ圧縮/復元、(b) データのセグメンテーション/コンカテネーション、(c) 伝送フォーマット(伝送フレーム)の生成/分解を含む。さらに、デジタルベースバンド信号処理は、(d) 伝送路符号化/復号化、(e) 変調(シンボルマッピング)/復調、及び(f) Inverse Fast Fourier Transform(IFFT)によるOFDMシンボルデータ(ベースバンドOFDM信号)の生成などを含む。一方、コントロールプレーン処理は、レイヤ1(e.g., 送信電力制御)、レイヤ2(e.g., 無線リソース管理、及びhybrid automatic repeat request(HARQ)処理)、及びレイヤ3(e.g., アタッチ、モビリティ、及び通話管理に関するシグナリング)の通信管理を含む。
【0106】
例えば、LTEおよび5Gの場合、ベースバンドプロセッサ1103によるデジタルベースバンド信号処理は、Packet Data Convergence Protocol(PDCP)レイヤ、Radio Link Control(RLC)レイヤ、MACレイヤ、およびPHYレイヤの信号処理を含んでもよい。また、ベースバンドプロセッサ1103によるコントロールプレーン処理は、Non-Access Stratum(NAS)プロトコル、RRCプロトコル、及びMAC CEの処理を含んでもよい。
【0107】
ベースバンドプロセッサ1103は、デジタルベースバンド信号処理を行うモデム・プロセッサ(e.g., Digital Signal Processor(DSP))とコントロールプレーン処理を行うプロトコルスタック・プロセッサ(e.g., Central Processing Unit(CPU)、又はMicro Processing Unit(MPU))を含んでもよい。この場合、コントロールプレーン処理を行うプロトコルスタック・プロセッサは、後述するアプリケーションプロセッサ1104と共通化されてもよい。
【0108】
アプリケーションプロセッサ1104は、CPU、MPU、マイクロプロセッサ、又はプロセッサコアとも呼ばれる。アプリケーションプロセッサ1104は、複数のプロセッサ(複数のプロセッサコア)を含んでもよい。アプリケーションプロセッサ1104は、メモリ1106又は図示されていないメモリから読み出されたシステムソフトウェアプログラム(Operating System(OS))を実行することによって通信端末70、UE20、UE80、及びUE90の各種機能を実現する。もしくは、アプリケーションプロセッサ1104は、メモリ1106又は図示されていないメモリから読み出された様々なアプリケーションプログラムを実行することによって、通信端末70、UE20、UE80、及びUE90の各種機能を実現する。アプリケーションプログラムは、例えば、通話アプリケーション、WEBブラウザ、メーラ、カメラ操作アプリケーション、音楽再生アプリケーションであってもよい。
【0109】
いくつかの実装において、図9に破線(1105)で示されているように、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのチップ上に集積されてもよい。言い換えると、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのSystem on Chip(SoC)デバイス1105として実装されてもよい。SoCデバイスは、システムLarge Scale Integration(LSI)またはチップセットと呼ばれることもある。
【0110】
メモリ1106は、揮発性メモリ若しくは不揮発性メモリ又はこれらの組合せである。メモリ1106は、物理的に独立した複数のメモリデバイスを含んでもよい。揮発性メモリは、例えば、Static Random Access Memory(SRAM)若しくはDynamic RAM(DRAM)又はこれらの組み合わせである。不揮発性メモリは、マスクRead Only Memory(MROM)、Electrically Erasable Programmable ROM(EEPROM)、フラッシュメモリ、若しくはハードディスクドライブ、又はこれらの任意の組合せである。例えば、メモリ1106は、ベースバンドプロセッサ1103、アプリケーションプロセッサ1104、及びSoC1105からアクセス可能な外部メモリデバイスを含んでもよい。メモリ1106は、ベースバンドプロセッサ1103内、アプリケーションプロセッサ1104内、又はSoC1105内に集積された内蔵メモリデバイスを含んでもよい。さらに、メモリ1106は、Universal Integrated Circuit Card(UICC)内のメモリを含んでもよい。
【0111】
メモリ1106は、上述の複数の実施形態で説明された通信端末70、UE20、UE80、及びUE90による処理を行うための命令群およびデータを含むソフトウェアモジュール(コンピュータプログラム)を格納してもよい。いくつかの実装において、ベースバンドプロセッサ1103又はアプリケーションプロセッサ1104は、当該ソフトウェアモジュールをメモリ1106から読み出して実行することで、上述の実施形態で説明された処理を行うよう構成されてもよい。
【0112】
図10は、コアネットワーク装置10、AMF31、及びSMFの構成例を示すブロック図である。図10を参照すると、コアネットワーク装置10、AMF31、及びSMFは、ネットワーク・インターフェース1201、プロセッサ1202、及びメモリ1203を含む。ネットワーク・インターフェース1201は、通信システムを構成する他のネットワークノード装置と通信するために使用される。ネットワーク・インターフェース1201は、例えば、IEEE 802.3 seriesに準拠したネットワークインターフェースカード(NIC)を含んでもよい。
【0113】
プロセッサ1202は、メモリ1203からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態においてシーケンス図及びフローチャートを用いて説明されたコアネットワーク装置10、AMF31、及びSMFの処理を行う。プロセッサ1202は、例えば、マイクロプロセッサ、MPU(Micro Processing Unit)、又はCPU(Central Processing Unit)であってもよい。プロセッサ1202は、複数のプロセッサを含んでもよい。
【0114】
メモリ1203は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ1203は、プロセッサ1202から離れて配置されたストレージを含んでもよい。この場合、プロセッサ1202は、図示されていないI/Oインターフェースを介してメモリ1203にアクセスしてもよい。
【0115】
図10の例では、メモリ1203は、ソフトウェアモジュール群を格納するために使用される。プロセッサ1202は、これらのソフトウェアモジュール群をメモリ1203から読み出して実行することで、上述の実施形態において説明されたコアネットワーク装置10、AMF31、及びSMFの処理を行うことができる。
【0116】
図10を用いて説明したように、コアネットワーク装置10、AMF31、及びSMFが有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。
【0117】
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリを含む。磁気記録媒体は、例えばフレキシブルディスク、磁気テープ、ハードディスクドライブであってもよい。半導体メモリは、例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory)であってもよい。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【0118】
本明細書における、ユーザー端末(User Equipment、 UE)(もしくは移動局(mobile station)、移動端末(mobile terminal)、 モバイルデバイス(mobile device)、または無線端末(wireless device)などを含む)は、無線インタフェースを介して、ネットワークに接続されたエンティティである。
【0119】
本明細書のUEは、専用の通信装置に限定されるものではなく、本明細書中に記載されたUEとしての通信機能を有する次のような任意の機器であっても良い。
【0120】
用語として「(3GPPで使われる単語としての)ユーザー端末(User Equipment、UE)」、「移動局」、「移動端末」、「モバイルデバイス」、「無線端末」のそれぞれは、一般的に互いに同義であることを意図しており、ターミナル、携帯電話、スマートフォン、タブレット、セルラIoT端末、IoTデバイス、などのスタンドアローン移動局であってもよい。
【0121】
なお用語としての「UE」「無線端末」は、長期間にわたって静止している装置も包含することが理解されよう。
【0122】
またUEは、例えば、生産設備・製造設備および/またはエネルギー関連機械(一例として、ボイラー、機関、タービン、ソーラーパネル、風力発電機、水力発電機、火力発電機、原子力発電機、蓄電池、原子力システム、原子力関連機器、重電機器、真空ポンプなどを含むポンプ、圧縮機、ファン、送風機、油圧機器、空気圧機器、金属加工機械、マニピュレータ、ロボット、ロボット応用システム、工具、金型、ロール、搬送装置、昇降装置、貨物取扱装置、繊維機械、縫製機械、印刷機、印刷関連機械、紙工機械、化学機械、鉱山機械、鉱山関連機械、建設機械、建設関連機械、農業用機械および/または器具、林業用機械および/または器具、漁業用機械および/または器具、安全および/または環境保全器具、トラクター、軸受、精密ベアリング、チェーン、歯車(ギアー)、動力伝動装置、潤滑装置、弁、管継手、および/または上記で述べた任意の機器又は機械のアプリケーションシステムなど)であっても良い。
【0123】
またUEは、例えば、輸送用装置(一例として、車両、自動車、二輪自動車、自転車、列車、バス、リヤカー、人力車、船舶(ship and other watercraft)、飛行機、ロケット、人工衛星、ドローン、気球など)であっても良い。
【0124】
またUEは、例えば、情報通信用装置(一例として、電子計算機及び関連装置、通信装置及び関連装置、電子部品など)であっても良い。
【0125】
またUEは、例えば、冷凍機、冷凍機応用製品および装置、商業およびサービス用機器、自動販売機、自動サービス機、事務用機械及び装置、民生用電気・電子機械器具(一例として音声機器、スピーカー、ラジオ、映像機器、テレビ、オーブンレンジ、炊飯器、コーヒーメーカー、食洗機、洗濯機、乾燥機、扇風機、換気扇及び関連製品、掃除機など)であっても良い。
【0126】
またUEは、例えば、電子応用システムまたは電子応用装置(一例として、X線装置、粒子加速装置、放射性物質応用装置、音波応用装置、電磁応用装置、電力応用装置など)であっても良い。
【0127】
またUEは、例えば、電球、照明、計量機、分析機器、試験機及び計測機械(一例として、煙報知器、対人警報センサ、動きセンサ、無線タグなど)、時計(watchまたはclock)、理化学機械、光学機械、医療用機器および/または医療用システム、武器、利器工匠具、または手道具などであってもよい。
【0128】
またUEは、例えば、無線通信機能を備えたパーソナルデジタルアシスタントまたは装置(一例として、無線カードや無線モジュールなどを取り付けられる、もしくは挿入するよう構成された電子装置(例えば、パーソナルコンピュータや電子計測器など))であっても良い。
【0129】
またUEは、例えば、有線や無線通信技術を使用した「あらゆるモノのインターネット(IoT:Internet of Things)」において、以下のアプリケーション、サービス、ソリューションを提供する装置またはその一部であっても良い。
【0130】
IoTデバイス(もしくはモノ)は、デバイスが互いに、および他の通信デバイスとの間で、データ収集およびデータ交換することを可能にする適切な電子機器、ソフトウェア、センサ、ネットワーク接続、などを備える。
【0131】
またIoTデバイスは、内部メモリの格納されたソフトウェア指令に従う自動化された機器であっても良い。
【0132】
またIoTデバイスは、人間による監督または対応を必要とすることなく動作しても良い。
またIoTデバイスは、長期間にわたって備え付けられている装置および/または、長期間に渡って非活性状態(inactive)状態のままであっても良い。
またIoTデバイスは、長期間にわたって備え付けられている装置および/または、長期間に渡って非活性状態(inactive)状態のままであっても良い。
【0133】
またIoTデバイスは、据え置き型な装置の一部として実装され得る。IoTデバイスは、非据え置き型の装置(例えば車両など)に埋め込まれ得る、または監視される/追跡される動物や人に取り付けられ得る。
【0134】
人間の入力による制御またはメモリに格納されるソフトウェア命令、に関係なくデータを送受信する通信ネットワークに接続することができる、任意の通信デバイス上に、IoT技術が実装できることは理解されよう。
【0135】
IoTデバイスが、機械型通信(Machine Type Communication、MTC)デバイス、またはマシンツーマシン(Machine to Machine、M2M)通信デバイス、NB-IoT(Narrow Band-IoT) UEと呼ばれることもあるのは理解されよう。
【0136】
またUEが、1つまたは複数のIoTまたはMTCアプリケーションをサポートすることができることが理解されよう。
【0137】
MTCアプリケーションのいくつかの例は、以下の表(出典:3GPP TS22.368 V13.2.0(2017-01-13) Annex B、その内容は参照により本明細書に組み込まれる)に列挙されている。このリストは、網羅的ではなく、一例としてのMTCアプリケーションを示すものである。
【0138】
アプリケーション、サービス、ソリューションは、一例として、MVNO(Mobile Virtual Network Operator:仮想移動体通信事業者)サービス/システム、防災無線サービス/システム、構内無線電話(PBX(Private Branch eXchange:構内交換機))サービス/システム、PHS/デジタルコードレス電話サービス/システム、POS(Point of sale)システム、広告発信サービス/システム、マルチキャスト(MBMS(Multimedia Broadcast and Multicast Service))サービス/システム、V2X(Vehicle to Everything:車車間通信および路車間・歩車間通信)サービス/システム、列車内移動無線サービス/システム、位置情報関連サービス/システム、災害/緊急時無線通信サービス/システム、IoT(Internet of Things:モノのインターネット)サービス/システム、コミュニティーサービス/システム、映像配信サービス/システム、Femtoセル応用サービス/システム、VoLTE(Voice over LTE)サービス/システム、無線TAGサービス/システム、課金サービス/システム、ラジオオンデマンドサービス/システム、ローミングサービス/システム、ユーザー行動監視サービス/システム、通信キャリア/通信NW選択サービス/システム、機能制限サービス/システム、PoC(Proof of Concept)サービス/システム、端末向け個人情報管理サービス/システム、端末向け表示・映像サービス/システム、端末向け非通信サービス/システム、アドホックNW/DTN(Delay Tolerant Networking)サービス/システムなどであっても良い。
【0139】
なお、上述したUEのカテゴリは、本明細書に記載された技術思想及び実施形態の応用例に過ぎない。これらの例に限定されるものではなく、当業者は種々の変更が可能であることは勿論である。
【0140】
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
【0141】
この出願は、2018年9月28日に出願された日本出願特願2018-185420を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【0142】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行する第1の認証手段と、
サービングネットワークにおいて前記通信端末が利用可能な少なくとも1つのネットワークスライスを示す許容リスト情報を受信する通信手段と、
前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理を実施する第2の認証手段と、を備えるコアネットワーク装置。
(付記2)
前記第2の認証手段は、
前記許容リスト情報に複数の前記ネットワークスライスが含まれる場合、それぞれのネットワークスライスにおいて前記第2の認証処理の実施が要求されているか否かを判定し、前記第2の認証処理の実施が要求されている前記ネットワークスライス毎に前記第2の認証処理を実施する、付記1に記載のコアネットワーク装置。
(付記3)
前記通信手段は、
前記ネットワークスライスに関連付けられた認証サーバへ、前記通信端末が前記ネットワークスライスを利用する際に用いる前記通信端末の識別情報を送信する、付記1又は2に記載のコアネットワーク装置。
(付記4)
前記通信手段は、
前記許容リスト情報に含まれる前記ネットワークスライス毎に、前記通信端末から前記通信端末の識別情報を取得する、付記3に記載のコアネットワーク装置。
(付記5)
前記第2の認証手段は、
前記通信端末が第1のアクセスネットワークを介して前記コアネットワークに前記通信端末を登録する登録処理中に前記第2の認証処理を実施した場合、前記通信端末が第2のアクセスネットワークを介して前記コアネットワークに前記通信端末を登録する登録処理中に、前記第2の認証処理を省略する、付記1乃至4のいずれか1項に記載のコアネットワーク装置。
(付記6)
前記第2の認証手段は、
前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末ではないと判定した場合、予め定められたネットワークスライスの識別情報を前記通信端末へ通知する、付記1乃至5のいずれか1項に記載のコアネットワーク装置。
(付記7)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末から、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示す情報を含むRegistration Requestメッセージを受信する通信手段と、
前記情報において、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていることが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実施する認証手段と、を備えるコアネットワーク装置。
(付記8)
前記認証手段は、
前記情報において、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていないことが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない、付記7に記載のコアネットワーク装置。
(付記9)
前記通信手段は、
前記認証手段が前記Slice-Specific Authentication and Authorizationに関する処理を実行しない場合、前記通信端末へ、前記Registration Requestメッセージに対する特定の原因コードを含むRegistration Rejectメッセージを送信する、付記7又は8に記載のコアネットワーク装置。
(付記10)
通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示す情報を含むRegistration Requestメッセージを、コアネットワーク装置へ送信する通信手段、を備える通信端末。
(付記11)
前記通信端末が前記Slice-Specific Authentication and Authorizationをサポートしていない場合、前記Registration Requestメッセージを受信したコアネットワーク装置は、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない、付記10に記載の通信端末。
(付記12)
前記通信手段は、
前記コアネットワーク装置が前記Slice-Specific Authentication and Authorizationに関する処理を実行しない場合、前記コアネットワーク装置から、前記Registration Requestメッセージに対する特定の原因コードを含むRegistration Rejectメッセージを受信する、付記10又は11に記載の通信端末。
(付記13)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行する第1の認証手段と、
前記通信端末から、利用を要望する複数のネットワークスライスに関する情報と、前記複数のネットワークスライスのうち、優先的に利用するネットワークスライスに関する情報とを受信する通信手段と、
前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が優先的に利用する前記ネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理を実施する第2の認証手段と、を備えるコアネットワーク装置。
(付記14)
前記第2の認証手段は、
前記登録処理が完了した後に、前記通信端末が前記第2の認証処理が実施されていない前記ネットワークスライスを最初に利用する時に、前記第2の認証処理を実施する、付記13に記載のコアネットワーク装置。
(付記15)
コアネットワークに通信端末を登録する登録処理中に、利用を要望する複数のネットワークスライスに関する情報と、前記複数のネットワークスライスのうち、優先的に利用するネットワークスライスに関する情報とをコアネットワーク装置へ送信する通信手段、を備える通信端末。
(付記16)
前記通信手段は、
Registration Requestメッセージに、前記優先的に利用するネットワークスライスに関する情報と、前記優先的に利用するネットワークスライスとは異なるネットワークスライスに関する情報とを含めて送信する、付記15に記載の通信端末。
(付記17)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行し、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されて通信端末か否かの第2の認証処理を実施し、前記第2の認証処理が実施されたネットワークスライスを示す情報を送信する、第1のコアネットワーク装置と、
前記第2の認証処理が実行されたネットワークスライスを示す情報を受信し、前記登録処理が完了した後に、前記通信端末が前記ネットワークスライスを最初に利用する際に、前記通信端末に関する前記第2の認証処理が実施されたか否かを判定し、前記第2の認証処理が実施されていない場合、前記第2の認証処理を実施し、前記第2の認証処理が実施されていた場合、前記第2の認証処理を実施しない、第2のコアネットワーク装置と、を備える通信システム。
(付記18)
前記第1のコアネットワーク装置は、
PDU Session確立処理時に、前記第2の認証処理が実施されたネットワークスライスを示す情報を送信する、付記17に記載の通信システム。
(付記19)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行し、
サービングネットワークにおいて前記通信端末が利用可能な少なくとも1つのネットワークスライスを示す許容リスト情報を受信し、
前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理を実施する、コアネットワーク装置における認証方法。
(付記20)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理に伴う処理を実行することができるか否かを示す能力情報を生成し、
前記能力情報をコアネットワーク装置へ送信する、通信端末における通信方法。
(付記1)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行する第1の認証手段と、
サービングネットワークにおいて前記通信端末が利用可能な少なくとも1つのネットワークスライスを示す許容リスト情報を受信する通信手段と、
前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理を実施する第2の認証手段と、を備えるコアネットワーク装置。
(付記2)
前記第2の認証手段は、
前記許容リスト情報に複数の前記ネットワークスライスが含まれる場合、それぞれのネットワークスライスにおいて前記第2の認証処理の実施が要求されているか否かを判定し、前記第2の認証処理の実施が要求されている前記ネットワークスライス毎に前記第2の認証処理を実施する、付記1に記載のコアネットワーク装置。
(付記3)
前記通信手段は、
前記ネットワークスライスに関連付けられた認証サーバへ、前記通信端末が前記ネットワークスライスを利用する際に用いる前記通信端末の識別情報を送信する、付記1又は2に記載のコアネットワーク装置。
(付記4)
前記通信手段は、
前記許容リスト情報に含まれる前記ネットワークスライス毎に、前記通信端末から前記通信端末の識別情報を取得する、付記3に記載のコアネットワーク装置。
(付記5)
前記第2の認証手段は、
前記通信端末が第1のアクセスネットワークを介して前記コアネットワークに前記通信端末を登録する登録処理中に前記第2の認証処理を実施した場合、前記通信端末が第2のアクセスネットワークを介して前記コアネットワークに前記通信端末を登録する登録処理中に、前記第2の認証処理を省略する、付記1乃至4のいずれか1項に記載のコアネットワーク装置。
(付記6)
前記第2の認証手段は、
前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末ではないと判定した場合、予め定められたネットワークスライスの識別情報を前記通信端末へ通知する、付記1乃至5のいずれか1項に記載のコアネットワーク装置。
(付記7)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末から、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示す情報を含むRegistration Requestメッセージを受信する通信手段と、
前記情報において、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていることが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実施する認証手段と、を備えるコアネットワーク装置。
(付記8)
前記認証手段は、
前記情報において、前記通信端末がSlice-Specific Authentication and Authorizationをサポートしていないことが示されている場合、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない、付記7に記載のコアネットワーク装置。
(付記9)
前記通信手段は、
前記認証手段が前記Slice-Specific Authentication and Authorizationに関する処理を実行しない場合、前記通信端末へ、前記Registration Requestメッセージに対する特定の原因コードを含むRegistration Rejectメッセージを送信する、付記7又は8に記載のコアネットワーク装置。
(付記10)
通信端末がSlice-Specific Authentication and Authorizationをサポートしているか否かを示す情報を含むRegistration Requestメッセージを、コアネットワーク装置へ送信する通信手段、を備える通信端末。
(付記11)
前記通信端末が前記Slice-Specific Authentication and Authorizationをサポートしていない場合、前記Registration Requestメッセージを受信したコアネットワーク装置は、前記Slice-Specific Authentication and Authorizationに関する処理を実行しない、付記10に記載の通信端末。
(付記12)
前記通信手段は、
前記コアネットワーク装置が前記Slice-Specific Authentication and Authorizationに関する処理を実行しない場合、前記コアネットワーク装置から、前記Registration Requestメッセージに対する特定の原因コードを含むRegistration Rejectメッセージを受信する、付記10又は11に記載の通信端末。
(付記13)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行する第1の認証手段と、
前記通信端末から、利用を要望する複数のネットワークスライスに関する情報と、前記複数のネットワークスライスのうち、優先的に利用するネットワークスライスに関する情報とを受信する通信手段と、
前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が優先的に利用する前記ネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理を実施する第2の認証手段と、を備えるコアネットワーク装置。
(付記14)
前記第2の認証手段は、
前記登録処理が完了した後に、前記通信端末が前記第2の認証処理が実施されていない前記ネットワークスライスを最初に利用する時に、前記第2の認証処理を実施する、付記13に記載のコアネットワーク装置。
(付記15)
コアネットワークに通信端末を登録する登録処理中に、利用を要望する複数のネットワークスライスに関する情報と、前記複数のネットワークスライスのうち、優先的に利用するネットワークスライスに関する情報とをコアネットワーク装置へ送信する通信手段、を備える通信端末。
(付記16)
前記通信手段は、
Registration Requestメッセージに、前記優先的に利用するネットワークスライスに関する情報と、前記優先的に利用するネットワークスライスとは異なるネットワークスライスに関する情報とを含めて送信する、付記15に記載の通信端末。
(付記17)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行し、前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されて通信端末か否かの第2の認証処理を実施し、前記第2の認証処理が実施されたネットワークスライスを示す情報を送信する、第1のコアネットワーク装置と、
前記第2の認証処理が実行されたネットワークスライスを示す情報を受信し、前記登録処理が完了した後に、前記通信端末が前記ネットワークスライスを最初に利用する際に、前記通信端末に関する前記第2の認証処理が実施されたか否かを判定し、前記第2の認証処理が実施されていない場合、前記第2の認証処理を実施し、前記第2の認証処理が実施されていた場合、前記第2の認証処理を実施しない、第2のコアネットワーク装置と、を備える通信システム。
(付記18)
前記第1のコアネットワーク装置は、
PDU Session確立処理時に、前記第2の認証処理が実施されたネットワークスライスを示す情報を送信する、付記17に記載の通信システム。
(付記19)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末が前記コアネットワークへの登録が許可されている通信端末か否かの第1の認証処理を実行し、
サービングネットワークにおいて前記通信端末が利用可能な少なくとも1つのネットワークスライスを示す許容リスト情報を受信し、
前記コアネットワークに前記通信端末を登録する登録処理中に、前記通信端末が前記許容リスト情報に含まれるネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理を実施する、コアネットワーク装置における認証方法。
(付記20)
コアネットワークに通信端末を登録する登録処理中に、前記通信端末がネットワークスライスの利用が許可されている通信端末か否かの第2の認証処理に伴う処理を実行することができるか否かを示す能力情報を生成し、
前記能力情報をコアネットワーク装置へ送信する、通信端末における通信方法。
【符号の説明】
【0143】
10 コアネットワーク装置
11 認証部
12 認証部
13 通信部
20 UE
30 Serving PLMN
31 AMF
32 V-SMF
33 UPF
40 HPLMN
41 UDM
42 AUSF
43 NSSF
44 NEF
45 H-SMF
46 UPF
50 3rd party network
51 AAA Server
60 ネットワークスライス
70 通信端末
71 制御部
72 通信部
80 UE
90 UE
11 認証部
12 認証部
13 通信部
20 UE
30 Serving PLMN
31 AMF
32 V-SMF
33 UPF
40 HPLMN
41 UDM
42 AUSF
43 NSSF
44 NEF
45 H-SMF
46 UPF
50 3rd party network
51 AAA Server
60 ネットワークスライス
70 通信端末
71 制御部
72 通信部
80 UE
90 UE
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】