IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > VIVO MOBILE COMMUNICATION CO., LTD.

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 維沃移動通信有限公司の特許一覧

<>
  • 特許-アクセス制御方法、装置及び通信機器 図1A
  • 特許-アクセス制御方法、装置及び通信機器 図1B
  • 特許-アクセス制御方法、装置及び通信機器 図2
  • 特許-アクセス制御方法、装置及び通信機器 図3
  • 特許-アクセス制御方法、装置及び通信機器 図4
  • 特許-アクセス制御方法、装置及び通信機器 図5
  • 特許-アクセス制御方法、装置及び通信機器 図6
  • 特許-アクセス制御方法、装置及び通信機器 図7
  • 特許-アクセス制御方法、装置及び通信機器 図8
  • 特許-アクセス制御方法、装置及び通信機器 図9
  • 特許-アクセス制御方法、装置及び通信機器 図10
  • 特許-アクセス制御方法、装置及び通信機器 図11
  • 特許-アクセス制御方法、装置及び通信機器 図12
  • 特許-アクセス制御方法、装置及び通信機器 図13
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-06-24
(45)【発行日】2024-07-02
(54)【発明の名称】アクセス制御方法、装置及び通信機器
(51)【国際特許分類】
   H04W 12/069 20210101AFI20240625BHJP
   H04W 76/10 20180101ALI20240625BHJP
   H04W 12/69 20210101ALI20240625BHJP
   H04W 48/16 20090101ALI20240625BHJP
   H04W 88/14 20090101ALI20240625BHJP
【FI】
H04W12/069
H04W76/10
H04W12/69
H04W48/16 110
H04W88/14
【請求項の数】 16
(21)【出願番号】P 2023503412
(86)(22)【出願日】2021-08-02
(65)【公表番号】
(43)【公表日】2023-08-17
(86)【国際出願番号】 CN2021110015
(87)【国際公開番号】W WO2022022739
(87)【国際公開日】2022-02-03
【審査請求日】2023-03-14
(31)【優先権主張番号】202010762196.3
(32)【優先日】2020-07-31
(33)【優先権主張国・地域又は機関】CN
(31)【優先権主張番号】202110369540.7
(32)【優先日】2021-04-06
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】517372494
【氏名又は名称】維沃移動通信有限公司
【氏名又は名称原語表記】VIVO MOBILE COMMUNICATION CO., LTD.
【住所又は居所原語表記】No.1, vivo Road, Chang’an, Dongguan,Guangdong 523863, China
(74)【代理人】
【識別番号】110001151
【氏名又は名称】あいわ弁理士法人
(72)【発明者】
【氏名】柯 小婉
【審査官】松野 吉宏
(56)【参考文献】
【文献】Samsung,KI#4, Solution #5: update on UE onboarding and remote provisioning UP solution,3GPP TSG SA WG2#139e S2-2004368,フランス,3GPP,2020年06月08日
【文献】Samsung, Huawei, HiSilicon,KI#4, new Solution: UE onboarding via control plane,3GPP TSG SA WG2#139e S2-2004369,フランス,3GPP,2020年06月08日
【文献】Ericsson, Nokia, Nokia Shanghai Bell,NF selection in SNPN 5GC,3GPP TSG SA WG2#138e S2-2003250,フランス,3GPP,2020年04月25日
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24 - 7/26
H04W 4/00 - 99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
第一の通信機器によって実行されるアクセス制御方法であって、
端末から第一の情報を取得することであって、前記第一の情報は、SUCI又はSUPIを含み、前記SUCI又は前記SUPIにはDCSのインデックス情報が含まれることと、
前記第一の情報に基づき、第一の操作を実行することとを含み、
前記第一の操作は、
第一の認証サービスネットワークエレメントを選択することを含み、
前記第一の認証サービスネットワークエレメントは、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントと、デフォルト証明書を有する端末のために認証サービスを提供する認証サービスネットワークエレメントとのうちの少なくとも一つを含む、アクセス制御方法。
【請求項2】
前記認証サービスネットワークエレメントによりサポートされるアクセス方式は、第一のアクセス方式を含む、請求項1に記載のアクセス制御方法。
【請求項3】
前記第一の情報は、さらに、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子とのうちの少なくとも一つを含み、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含む、請求項1に記載のアクセス制御方法。
【請求項4】
前記アクセス制御方法は、さらに、
第二の情報を取得することであって、前記第二の情報は、第一タイプのネットワーク識別子と、第一タイプのルーティング指示と、第一タイプのグループ識別子とのうちの少なくとも一つを含むことと、
前記第一の情報及び/又は前記第二の情報に基づき、第一の操作を実行することとを含み、
前記第一の操作は、さらに、
第一タイプのグループ識別子、第一タイプのルーティング指示、サービスプロバイダの情報及び/又は第一タイプのネットワーク識別子を決定することと、
前記第一タイプのグループ識別子、第一タイプのルーティング指示、第一タイプのネットワーク識別子、サービスプロバイダの情報及び/又は第一のアクセス方式の指示情報に基づき、認証サービスネットワークエレメントの発見を要求することとのうちの少なくとも一つを含み、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含む、請求項3に記載のアクセス制御方法。
【請求項5】
前記第一タイプのグループ識別子、第一タイプのルーティング指示、第一タイプのネットワーク識別子又は第一のアクセス方式の指示情報に基づき、認証サービスネットワークエレメントの発見を要求することは、
第一のターゲットエンドに前記第一タイプのグループ識別子を送信することであって、前記第一タイプのグループ識別子は、前記第一のターゲットエンドが、前記第一タイプのグループ識別子とマッチングする認証サービスネットワークエレメントを発見するために用いられることと、
第一のターゲットエンドに前記第一のアクセス方式の指示情報を送信することであって、前記第一のアクセス方式の指示情報は、前記第一のターゲットエンドが、前記第一のアクセス方式の指示情報とマッチングする認証サービスネットワークエレメントを発見するために用いられることと、
第一のターゲットエンドに前記第一タイプのルーティング指示を送信することであって、前記第一タイプのルーティング指示は、前記第一のターゲットエンドが、前記第一タイプのルーティング指示とマッチングする認証サービスネットワークエレメントを発見するために用いられることと、
第一のターゲットエンドに前記第一タイプのネットワーク識別子を送信することであって、前記第一タイプのネットワーク識別子は、前記第一のターゲットエンドが、前記第一タイプのネットワーク識別子とマッチングする認証サービスネットワークエレメントを発見するために用いられることとのうちの少なくとも一つを含む、請求項4に記載のアクセス制御方法。
【請求項6】
前記第二の情報を取得することは、
第一の通信機器上の配置に基づき、第一タイプのグループ識別子、第一タイプのルーティング指示又は第一タイプのネットワーク識別子を取得することを含み、
前記第一の情報及び/又は前記第二の情報に基づき、第一の操作を実行することは、
前記第一のアクセス方式の指示情報に基づき、第一タイプのグループ識別子、第一タイプのルーティング指示又は第一タイプのネットワーク識別子を決定することと、
前記第一タイプのグループ識別子、第一タイプのルーティング指示及び/又は第一タイプのネットワーク識別子に基づき、認証サービスネットワークエレメントの発見を要求することとのうちの少なくとも一つを含む、請求項4に記載のアクセス制御方法。
【請求項7】
前記第二の情報を取得することは、
第一の通信機器上の配置に基づき、第一タイプのグループ識別子を取得することを含み、
前記第一の情報及び/又は前記第二の情報に基づき、第一の操作を実行することは、
前記第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示に基づき、第一タイプのグループ識別子を決定することと、
前記第一タイプのグループ識別子に基づき、認証サービスネットワークエレメントの発見を要求することとのうちの少なくとも一つを含む、請求項4に記載のアクセス制御方法。
【請求項8】
前記第一の操作は、
発見を要求する認証サービスネットワークエレメントを受信することと、
前記端末の第二の識別子又は端末の第三の識別子に基づき、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を導出することと、
第一の認証サービスネットワークエレメント又は前記発見された認証サービスネットワークエレメントに端末の第二の識別子を送信しないことと、
前記第一の認証サービスネットワークエレメント又は前記発見された認証サービスネットワークエレメントに端末のSUCI又はSUPI中のDCSのインデックス情報を送信することとのうちの少なくとも一つをさらに含む、請求項1又は3に記載のアクセス制御方法。
【請求項9】
前記第一の通信機器は、AMFを含む、請求項1に記載のアクセス制御方法。
【請求項10】
端末によって実行されるアクセス制御方法であって、
第一の通信機器に第一の情報を送信することを含み、
前記第一の情報は、SUCI又はSUPIを含み、前記SUCI又は前記SUPIは、DCSのインデックス情報を含み、
前記第一の情報は、第一の認証サービスネットワークエレメントの選択が含まれる第一の操作を前記第一の通信機器に実行させるために用いられ、前記第一の認証サービスネットワークエレメントは、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントと、デフォルト証明書を有する端末のために認証サービスを提供する認証サービスネットワークエレメントとのうちの少なくとも一つを含む、アクセス制御方法。
【請求項11】
前記第一の情報は、さらに、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子とのうちの少なくとも一つを含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
第一の情報を送信することは、
第一の条件を満たす場合、前記第一の情報を送信することを含み、
前記第一の条件は、
第二の通信機器が第一のネットワークにアクセスするのは、第二のネットワークにアクセスするための証明書をダウンロードするためであることと、
第二の通信機器が第一のネットワークにアクセスできる証明書を有しないことと、
第二の通信機器が第一のネットワークにアクセスし、制限付きサービスのみを使用することができることとのうちの少なくとも一つを含む、請求項10に記載のアクセス制御方法。
【請求項12】
第一の情報を送信するステップの前に、前記アクセス制御方法は、
端末の第二の識別子を生成し、端末の識別子におけるルーティング指示を第一タイプのルーティング指示として設定し、及び/又は端末の識別子におけるホームネットワーク識別子を第一タイプのネットワーク識別子として設定することと、
端末の第三の識別子を生成し、第一タイプのネットワーク識別子を端末の識別子に追加し、及び/又は第一タイプのルーティング指示を端末の識別子に追加することとのうちの少なくとも一つをさらに含む、請求項11に記載のアクセス制御方法。
【請求項13】
第一の通信機器に用いられるアクセス制御装置であって、
端末から第一の情報を取得するための第一の取得モジュールであって、前記第一の情報は、SUCI又はSUPIを含み、前記SUCI又は前記SUPIにはDCSのインデックス情報が含まれる第一の取得モジュールと、
前記第一の情報に基づき、第一の操作を実行するための第一の実行モジュールとを含み、
前記第一の操作は、
第一の認証サービスネットワークエレメントを選択することを含み、
前記第一の認証サービスネットワークエレメントは、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントと、デフォルト証明書を有する端末のために認証サービスを提供する認証サービスネットワークエレメントとのうちの少なくとも一つを含む、アクセス制御装置。
【請求項14】
端末に用いられるアクセス制御装置であって、
第一の情報を第一の通信機器に送信するための第一の送信モジュールを含み、
前記第一の情報は、SUCI又はSUPIを含み、前記SUCI又は前記SUPIは、DCSのインデックス情報を含み、
前記第一の情報は、第一の認証サービスネットワークエレメントの選択が含まれる第一の操作を前記第一の通信機器に実行させるために用いられ、前記第一の認証サービスネットワークエレメントは、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントと、デフォルト証明書を有する端末のために認証サービスを提供する認証サービスネットワークエレメントとのうちの少なくとも一つを含む、アクセス制御装置。
【請求項15】
プロセッサと、メモリと、前記メモリに記憶され、且つ前記プロセッサ上で運行できるコンピュータプログラムとを含み、前記コンピュータプログラムが前記プロセッサにより実行される時、請求項1から9のいずれか1項に記載のアクセス制御方法のステップを実現する、通信機器。
【請求項16】
プロセッサと、メモリと、前記メモリに記憶され、且つ前記プロセッサ上で運行できるコンピュータプログラムとを含み、前記コンピュータプログラムが前記プロセッサにより実行される時、請求項10から12のいずれか1項に記載のアクセス制御方法のステップを実現する、通信機器。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の相互参照)
本出願は、2020年7月31日に中国で提出された中国特許出願番号No.202010762196.3の優先権を主張しており、また2021年4月6日に中国で提出された中国特許出願番号No.202110369540.7の優先権を主張しており、同出願の内容のすべては、ここに参照として取り込まれる。
【0002】
本出願の実施例は、通信技術分野に関し、特にアクセス制御方法、装置及び通信機器に関する。
【背景技術】
【0003】
現在、端末が独立した非公衆ネットワーク(Standalone Non-public Network、SNPN)にアクセスするための証明書をダウンロードするために別のネットワーク(この方式は、onboardingと呼ばれてもよい)にアクセスするプロセスで、デフォルト認証サーバによる認証が必要である。しかしながら、このとき、この別のネットワークの認証サービス機能(Authentication Server Function、AUSF)は、端末に関係なく、端末のサブスクリプションパーマネント識別子に関係ない可能性がある。この場合、どのように認証サービスネットワークエレメントを選択するか、早急に解決すべき問題である。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本出願の実施例は、どのように認証サービスネットワークエレメントを選択するかという問題を解決するためのアクセス制御方法、装置及び通信機器を提供する。
【課題を解決するための手段】
【0005】
上記技術問題を解決するために、本出願は、以下のように実現される。
【0006】
第一の態様によれば、本出願の実施例は、第一の通信機器に用いられるアクセス制御方法を提供し、このアクセス制御方法は、
第一の情報及び/又は第二の情報を取得することであって、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子とのうちの少なくとも一つを含み、前記第二の情報は、第一タイプのネットワーク識別子と、第一タイプのルーティング指示と、第一タイプのグループ識別子と、端末の識別子情報とのうちの少なくとも一つを含むことと、
前記第一の情報及び/又は前記第二の情報に基づき、第一の操作を実行することとを含み、
ここで、前記第一の操作は、
第一の認証サービスネットワークエレメントを選択することと、
第一タイプのグループ識別子、第一タイプのルーティング指示、サービスプロバイダの情報及び/又は第一タイプのネットワーク識別子を決定することと、
前記第一タイプのグループ識別子、第一タイプのルーティング指示、第一タイプのネットワーク識別子、サービスプロバイダの情報及び/又は第一のアクセス方式の指示情報に基づき、認証サービスネットワークエレメントの発見を要求することとのうちの少なくとも一つを含み、
ここで、前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
ここで、前記第一の認証サービスネットワークエレメントは、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントと、デフォルト証明書を有する端末のために認証サービスを提供する認証サービスネットワークエレメントとのうちの少なくとも一つを含み、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含み、
前記端末の第一の識別子は、端末の認証プロバイダの情報を含み、
前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含み、
前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0007】
第二の態様によれば、本出願の実施例は、第二の通信機器に用いられるアクセス制御方法を提供し、このアクセス制御方法は、
第一の情報を送信することを含み、
ここで、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子と、端末の識別子情報とのうちの少なくとも一つを含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含み、
前記端末の第一の識別子は、端末の認証プロバイダの情報を含み、
前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含み、
前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0008】
第三の態様によれば、本出願の実施例は、第三の通信機器に用いられるアクセス制御方法を提供し、このアクセス制御方法は、
第三の情報及び/又は第四の情報を取得することであって、前記第三の情報は、第一タイプのグループ識別子と、認証プロバイダの情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子と、第一のアクセス方式の指示情報とのうちの少なくとも一つを含み、前記第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられ、前記第四の情報は、認証サービスネットワークエレメントによりサポートされるルーティング指示と、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式と、認証サービスネットワークエレメントによりサポートされる認証サービスタイプと、認証サービスネットワークエレメントによりサポートされる認証プロバイダの情報であって、前記認証プロバイダがデフォルト証明書を有する端末を認証することができるものとのうちの少なくとも一つを含むことと、
前記第三の情報及び/又は前記第四の情報に基づき、第三の操作を実行することとを含み、
ここで、前記第三の操作は、
前記第三の情報とマッチングする認証サービスネットワークエレメントを発見することであって、前記認証サービスネットワークエレメントの第四の情報は、前記第三の情報とマッチングすることと、
前記発見された認証サービスネットワークエレメントを送信することとのうちの少なくとも一つを含み、
ここで、前記認証サービスネットワークエレメントによりサポートされる認証サービスタイプは、デフォルト証明書を有する端末に認証サービスを提供することをサポートすることを含み、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含む。
【0009】
第四の態様によれば、本出願の実施例は、第四の通信機器に用いられるアクセス制御方法を提供し、前記アクセス制御方法は、
第四の情報を送信することを含み、
ここで、前記第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられ、前記第四の情報は、認証サービスネットワークエレメントによりサポートされるルーティング指示と、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式と、認証サービスネットワークエレメントによりサポートされる認証サービスタイプと、認証サービスネットワークエレメントによりサポートされる認証プロバイダの情報であって、前記認証プロバイダがデフォルト証明書を有する端末を認証することができるものとのうちの少なくとも一つを含み、
ここで、前記認証サービスネットワークエレメントによりサポートされるルーティング指示は、第一タイプのルーティング指示であり、
前記認証サービスネットワークエレメントが属するネットワークのネットワーク識別子は、第一タイプのネットワーク識別子であり、
前記認証サービスネットワークエレメントが属するグループ識別子は、第一タイプのグループ識別子であり、
前記認証サービスネットワークエレメントによりサポートされるアクセス方式は、第一のアクセス方式を含み、
前記認証サービスネットワークエレメントによりサポートされる認証サービスタイプは、デフォルト証明書を有する端末に認証サービスを提供することをサポートすることを含み、
前記第一のアクセス方式は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式とのうちの少なくとも一つを含み、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含む。
【0010】
第五の態様によれば、本出願の実施例は、第一の通信機器に用いられるアクセス制御装置を提供し、このアクセス制御装置は、
第一の情報及び/又は第二の情報を取得するための第一の取得モジュールであって、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子とのうちの少なくとも一つを含み、前記第二の情報は、第一タイプのネットワーク識別子と、第一タイプのルーティング指示と、第一タイプのグループ識別子と、端末の識別子情報とのうちの少なくとも一つを含む第一の取得モジュールと、
前記第一の情報及び/又は前記第二の情報に基づき、第一の操作を実行するための第一の実行モジュールとを含み、
ここで、前記第一の操作は、
第一の認証サービスネットワークエレメントを選択することと、
第一タイプのグループ識別子、第一タイプのルーティング指示、サービスプロバイダの情報及び/又は第一タイプのネットワーク識別子を決定することと、
前記第一タイプのグループ識別子、第一タイプのルーティング指示、第一タイプのネットワーク識別子、サービスプロバイダの情報及び/又は第一のアクセス方式の指示情報に基づき、認証サービスネットワークエレメントの発見を要求することとのうちの少なくとも一つを含み、
ここで、前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
ここで、前記第一の認証サービスネットワークエレメントは、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントと、デフォルト証明書を有する端末のために認証サービスを提供する認証サービスネットワークエレメントとのうちの少なくとも一つを含み、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含み、
前記端末の第一の識別子は、端末の認証プロバイダの情報を含み、
前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含み、
前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0011】
第六の態様によれば、本出願の実施例は、第二の通信機器に用いられるアクセス制御装置を提供し、このアクセス制御装置は、
第一の情報を送信するための第一の送信モジュールを含み、
ここで、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子と、端末の識別子情報とのうちの少なくとも一つを含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含み、
前記端末の第一の識別子は、端末の認証プロバイダの情報を含み、
前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含み、
前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0012】
第七の態様によれば、本出願の実施例は、第三の通信機器に用いられるアクセス制御装置を提供し、このアクセス制御装置は、
第三の情報及び/又は第四の情報を取得するための第二の取得モジュールであって、前記第三の情報は、第一タイプのグループ識別子と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子と、認証プロバイダの情報と、第一のアクセス方式の指示情報とのうちの少なくとも一つを含み、前記第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられ、前記第四の情報は、認証サービスネットワークエレメントによりサポートされるルーティング指示と、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式と、認証サービスネットワークエレメントによりサポートされる認証サービスタイプと、認証サービスネットワークエレメントによりサポートされる認証プロバイダの情報であって、前記認証プロバイダがデフォルト証明書を有する端末を認証することができるものとのうちの少なくとも一つを含む第二の取得モジュールと、
前記第三の情報及び/又は前記第四の情報に基づき、第三の操作を実行するための第二の実行モジュールとを含み、
ここで、前記第三の操作は、
前記第三の情報とマッチングする認証サービスネットワークエレメントを発見することであって、前記認証サービスネットワークエレメントの第四の情報は、前記第三の情報とマッチングすることと、
前記発見された認証サービスネットワークエレメントを送信することとのうちの少なくとも一つを含み、
ここで、前記認証サービスネットワークエレメントによりサポートされる認証サービスタイプは、デフォルト証明書を有する端末に認証サービスを提供することをサポートすることを含み、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含む。
【0013】
第八の態様によれば、本出願の実施例は、第四の通信機器に用いられるアクセス制御装置を提供し、このアクセス制御装置は、
第四の情報を送信するための第二の送信モジュールを含み、
ここで、前記第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられ、前記第四の情報は、認証サービスネットワークエレメントによりサポートされるルーティング指示と、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式と、認証サービスネットワークエレメントによりサポートされる認証サービスタイプと、認証サービスネットワークエレメントによりサポートされる認証プロバイダの情報であって、前記認証プロバイダがデフォルト証明書を有する端末を認証することができるものとのうちの少なくとも一つを含み、
ここで、前記認証サービスネットワークエレメントによりサポートされるルーティング指示は、第一タイプのルーティング指示であり、
前記認証サービスネットワークエレメントが属するネットワークのネットワーク識別子は、第一タイプのネットワーク識別子であり、
前記認証サービスネットワークエレメントが属するグループ識別子は、第一タイプのグループ識別子であり、
前記認証サービスネットワークエレメントによりサポートされるアクセス方式は、第一のアクセス方式を含み、
前記認証サービスネットワークエレメントによりサポートされる認証サービスタイプは、デフォルト証明書を有する端末に認証サービスを提供することをサポートすることを含み、
前記第一のアクセス方式は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式とのうちの少なくとも一つを含み、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含む。
【0014】
第九の態様によれば、本出願の実施例は、第五の通信機器に用いられるアクセス制御方法を提供し、このアクセス制御方法は、
第五の条件を満たす場合、第五の操作を実行することを含み、
前記第五の操作は、第五の情報を使用せずに端末のためにネットワークエレメントを選択することを含み、
ここで、
前記第五の条件は、前記端末が第一のアクセス方式であることを含み、
前記第五の情報は、端末のユーザ識別子と、端末ユーザ識別子内のMNCと、端末ユーザ識別子内のMCCと、端末ユーザ識別子内のrealmにおける情報と、端末ユーザ識別子における第一のネットワーク識別子NIDと、端末ユーザ識別子におけるネットワーク識別子とのうちの少なくとも一つを含む。
【0015】
第十の態様によれば、本出願の実施例は、第五の通信機器に用いられるアクセス制御装置を提供し、このアクセス制御装置は、
第五の条件を満たす場合、第五の操作を実行するための第三の実行モジュールを含み、
前記第五の操作は、第五の情報を使用せずに端末のためにネットワークエレメントを選択することを含み、
ここで、
前記第五の条件は、前記端末が第一のアクセス方式であることを含み、
前記第五の情報は、端末のユーザ識別子と、端末ユーザ識別子におけるネットワーク識別子情報と、端末ユーザ識別子内のrealmにおける情報とのうちの少なくとも一つを含む。
【0016】
第十一の態様によれば、本出願の実施例は、通信機器を提供し、この通信機器は、プロセッサと、メモリと、前記メモリに記憶され、且つ前記プロセッサ上で運行できるコンピュータプログラムとを含み、前記コンピュータプログラムが前記プロセッサにより実行される時、第一の態様によるアクセス制御方法のステップを実現し、又は、第二の態様によるアクセス制御方法のステップを実現し、又は、第三の態様によるアクセス制御方法のステップを実現し、又は、第四の態様によるアクセス制御方法のステップを実現し、又は、第九の態様によるアクセス制御方法のステップを実現することができる。
【0017】
第十二の態様によれば、本出願の実施例は、可読記憶媒体を提供し、前記可読記憶媒体上には、プログラム又は命令が記憶されており、前記プログラム又は命令がプロセッサにより実行される時、第一の態様によるアクセス制御方法のステップを実現し、又は、第二の態様によるアクセス制御方法のステップを実現し、又は、第三の態様によるアクセス制御方法のステップを実現し、又は、第四の態様によるアクセス制御方法のステップを実現し、又は、第九の態様によるアクセス制御方法のステップを実現することができる。
【発明の効果】
【0018】
本実施例によって、上記の端末が第一のアクセス方式で第一のネットワークにアクセスするシナリオにおいて、認証サービスネットワークエレメントに対する選択をサポートすることができることが容易に理解される。
【図面の簡単な説明】
【0019】
図1A】本出願の実施例による無線通信システムのアーキテクチャ概略図である。
図1B】本出願の第一のアクセス方式におけるネットワークエレメント間の関係概略図である。
図2】本出願の一実施例のアクセス制御方法のフローチャートである。
図3】本出願の別の実施例のアクセス制御方法のフローチャートである。
図4】本出願のまた別の実施例のアクセス制御方法のフローチャートである。
図5】本出願のまた別の実施例のアクセス制御方法のフローチャートである。
図6】本出願の実施例の応用シナリオ1のサービス認証の指示プロセスのフローチャートである。
図7】本出願の実施例の応用シナリオ2のサービス選択プロセスのフローチャートである。
図8】本出願の実施例の応用シナリオ3のサービス選択プロセスのフローチャートである。
図9】本出願の実施例のアクセス制御装置の構造図である。
図10】本出願の実施例の別のアクセス制御装置の構造図である。
図11】本出願の実施例の別のアクセス制御装置の構造図である。
図12】本出願の実施例の別のアクセス制御装置の構造図である。
図13】本出願の実施例の通信機器の構造図である。
【発明を実施するための形態】
【0020】
以上の好ましい実施の形態の詳細な記述を読むことによって、様々な他の利点と利益は、当業者にとって明らかになる。図面は、好ましい実施の形態の目的を示すために用いられるだけで、本出願に対する制限とはされない。そして、図面全体で、同じ参照符号で同じ部材を表す。以下は、本出願の実施例における図面を結び付けながら、本出願の実施例における技術案を明瞭且つ完全に記述する。明らかに、記述された実施例は、本出願の一部の実施例であり、すべての実施例ではない。本出願における実施例に基づき、当業者が創造的な労力を払わない前提で得られたすべての他の実施例は、いずれも本出願の保護範囲に属する。
【0021】
本出願の明細書と特許請求の範囲における用語である「第一」、「第二」などは、類似している対象を区別するものであり、特定の順序又は前後手順を記述するためのものではない。理解すべきこととして、このように使用されるデータは、適切な場合に交換可能であり、それにより本出願の実施例は、ここで図示又は記述されたもの以外の順序で実施されることが可能であり、且つ「第一」、「第二」によって区別される対象は、一般的には同一の種類であり、対象の個数を限定せず、例えば、第一の対象は、一つであってもよく、複数であってもよい。なお、明細書及び請求項における「及び/又は」は、接続される対象のうちの少なくとも一つを表し、文字である「/」は、一般的には前後関連対象が「又は」の関係であることを表す。
【0022】
図1Aは、本出願の実施例が適用可能な無線通信システムのブロック図を示す。無線通信システムは、端末11と、ネットワーク側機器12とを含む。ここで、端末11は、端末機能をサポートする中継及び/又は中継機能をサポートする端末を含んでもよく、端末11は、端末機器又はユーザ端末(User Equipment、UE)と呼ばれてもよく、端末11は、携帯電話、タブレットパソコン(Tablet Personal Computer)、ラップトップコンピュータ(Laptop Computer)(又は、ノートパソコンと呼ばれる)、パーソナルデジタルアシスタント(Personal Digital Assistant、PDA)、モバイルインターネットディバイス(Mobile Internet Device、MID)、パームトップコンピュータ、ネットブック、ウルトラモバイルパーソナルコンピュータ(ultra-mobile personal computer、UMPC)、モバイルインターネットディバイス(Mobile Internet Device、MID)、ウェアラブルデバイス(Wearable Device)又は車載機器(Vehicle User Equipment、VUE)、歩行者端末(Pedestrian User Equipment、PUE)などの端末側機器であってもよく、ウェアラブルデバイスは、ブレスレット、イヤホン、メガネなどを含む。説明すべきこととして、本出願の実施例は、端末11の具体的なタイプを限定するものではない。ネットワーク側機器12は、基地局又はコアネットワークであってもよい。ここで、基地局は、ノードB、進化ノードB、アクセスポイント、ベーストランシーバステーション(Base Transceiver Station、BTS)、ラジオ基地局、ラジオ送受信機、ベーシックサービスセット(Basic Service Set、BSS)、拡張サービスセット(Extended Service Set、ESS)、Bノード、進化型Bノード(eNB)、家庭用Bノード、家庭用進化型Bノード、WLANアクセスポイント、WiFiノード、トランスミッションポイント(Transmitting Receiving Point、TRP)又は当分野における他のある適切な用語と呼ばれてもよく、同じ技術的効果が達成される限り、前記基地局は、特定の技術用語に限らず、説明すべきこととして、本出願の実施例においてNRシステムにおける基地局のみを例にするが、基地局の具体的なタイプを限定するものではない。
【0023】
いくつかの通信シナリオにおいて、通信機器にネットワークの証明書がないが、ネットワークにアクセスする必要のあるシナリオが存在し、例えば独立した非公衆ネットワーク(Standalone Non-public Network、SNPN)が配備される場合、UEは、SNPNにアクセスするために使用できる証明書とUE識別子を持っていない可能性がある。例えば、工場により配備されるSNPNと、市場で購入したばかりの端末、又はコンサート現場で配備されるSNPNと観客の端末である。
【0024】
このようなタイプのUEに、SNPNにアクセスするための証明書とUE識別子を取得させるために、UEは、あるネットワーク(その後、第一のネットワークと呼ばれる)にアクセスし、SNPNにアクセスするための証明書をダウンロードすることができる。例えば、UEは、第一のネットワークにアクセスし、データチャンネルを確立し、前記データチャンネルによって配置サーバに接続し、配置サーバからSNPNの証明書をダウンロードし、又はUEは、第一のネットワークにアクセスし、第一のネットワークの制御ネットワークエレメントは、UEの代わりに配置サーバにSNPNの証明書をダウンロードする。
【0025】
第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスする方式は、onboardingと呼ばれてもよい。第一のネットワークと第二のネットワークは、同一のネットワークであってもよい。
【0026】
UEが第一のネットワークの証明書を持っていない場合、第一のネットワークは、UEを認証しないと、UEのために証明書をダウンロードし、又は証明書をダウンロードするためのデータチャンネルを確立することができない。UE上には、デフォルト証明書を有する可能性があり、このとき、第一のネットワークは、デフォルト証明書を有するUEを認証するようにデフォルト認証サーバ(Default Credential Server、DCS)に要求することができる。DCSは、UEを直接認証し、又はUEを認証するように他のエンティティに要求することができる。
【0027】
このようなタイプの認証は、ローミングして他のネットワークにアクセスするUEの認証に似ているが、UEローミング認証と異なる。
【0028】
ローミングする場合、UEがアクセスするネットワークのアクセスと移動性管理機能(Access and Mobility Management Function、AMF)は、UEのためにUEホームネットワークの認証サーバ(Home-Authentication Server Function、ホームAUSF)を選択し、UEを認証するようにホームAUSFに要求する。
【0029】
onboarding方式で、図1Bに示すように、第一のネットワークのAMFは、UEのためにUEがアクセスする第一のネットワークにおける認証エージェントサーバ(例えば、認証サーバ機能(Authentication Server Function、AUSF)、又はAAA(Authentication Authorization Accounting Server)サーバエージェント)を選択し、認証エージェントサーバは、UEを認証するように別のネットワークにおけるデフォルト認証サーバ(Default Credential Server、DCS)に要求することができる。UEが有するデフォルト証明書が通信ネットワーク(例えば3GPPのネットワーク)の証明書である場合、DCSは、UEホームネットワークのホームAUSFであってもよい。NRFには、ネットワークエレメントの関係が保存されており、ネットワークエレメントの検索を行うように呼び出されることができる。
【0030】
公衆地上移動網(Public Land Mobile Network、PLMN)証明書を有するUEは、1)PLMN証明書によって他のPLMNネットワークにローミングしてアクセスし、2)PLMN証明書によってSNPNにアクセスし、3)第一のネットワークにonboardingしてデフォルト証明書認証を行うことができる。ここで、方式1)に対し、UEがネットワークにアクセスするAMFは、UEホームネットワークのAUSFと連絡する。方式3)に対し、UEがネットワークにアクセスするAMFは、ネットワークにアクセスする認証エージェントサーバ(例えばAUSF、又はAAAサーバエージェント)と連絡し、前記認証エージェントサーバは、UEホームAUSFと連絡する。方式2)に対し、方式1)の認証構成を採用してもよく、方式3)の認証構成を採用してもよい。
【0031】
方式3)の認証構成をサポートするために、以下のような問題を解決する必要がある。
【0032】
問題1:現在のAMFが接続されるAUSF選択は、AMFがUEにより提供されるサブスクリプションパーマネント識別子(Subscription Permanent Identifier、SUPI)におけるホームネットワーク識別子(Home Network Identifier)又はSUPIに関連するAUSFグループ識別子(Group ID)に基づいて選択される。しかしながら、onboardingのアーキテクチャにおいて、第一のネットワークのAMFは、UEのために第一のネットワークにおけるAUSFを選択し、そして、AUSFは、UEのためにUE帰属先のAUSFを選択するようにする必要がある。第一のネットワークのAUSFは、UEと関係なく、UEのSUPIと関係ない。異なるアクセスタイプのUEをどのように区別して異なるAUSFを選択するかは、解決される必要のある問題となる。
【0033】
本出願の実施例では、選択的に、取得は、配置から取得し、受信し、要求した後に受信し、自己学習によって取得し、受信していない情報に基づいて導き出して取得し、又は受信された情報に基づいて処理した後に取得すると理解されてもよく、具体的には、実際の必要に応じて決定されてもよく、本出願の実施例は、これに対して限定しない。例えば、機器により送信されたある能力指示情報を受信していない時に、この機器がこの能力をサポートしないと導き出すことができる。
【0034】
選択的に、送信は、ブロードキャストと、システムメッセージにおけるブロードキャストと、要求に応答した後に返されることとを含んでもよい。
【0035】
本出願の一つの実施例では、非公衆ネットは、非公衆ネットワークの略称である。非公衆ネットワークは、非公衆通信ネットワークのうちの一つと呼ばれてもよい。非公衆ネットは、物理的な非公衆ネット、仮想的な非公衆ネット、公衆ネットに実現される非公衆ネットとのうちの少なくとも一つの配備方式を含んでもよい。一つの実施の形態において、非公衆ネットは、クローズドアクセスグループ(Closed Access Group、CAG)である。一つのCAGは、一組の端末によって構成されることができる。
【0036】
本出願の一つの実施例では、非公衆ネットサービスは、非公衆ネットワークサービスの略称である。非公衆ネットワークサービスは、非公衆ネットワークのネットワークサービスと、非公衆通信サービスと、非公衆ネットワーク通信サービスと、非公衆ネットのネットワークサービス又は他の命名とのうちの一つと呼ばれてもよい。説明すべきこととして、本発明の実施例において、命名方式に対して具体的に限定しない。一つの実施の形態において、非公衆ネットは、クローズドアクセスグループであり、このとき、非公衆ネットサービスは、閉鎖されるアクセスグループのネットワークサービスである。
【0037】
本出願の一つの実施例では、非公衆ネットワークは、プライベートネットワークを含んでもよく、又は呼ばれてもよい。プライベートネットワークは、プライベート通信ネットワークと、プライベートネットと、ローカルエリアネットワーク(LAN)と、プライベート仮想ネットワーク(Private Virtual Network、PVN)と、隔離される通信ネットワークと、専用の通信ネットワーク又は他の命名とのうちの一つと呼ばれてもよい。説明すべきこととして、本発明の実施例において、命名方式に対して具体的に限定しない。
【0038】
本出願の一つの実施例では、公衆ネットは、公衆ネットワークの略称である。公衆ネットワークは、公衆通信ネットワーク又は他の命名のうちの一つと呼ばれてもよい。説明すべきこととして、本発明の実施例において、命名方式に対して具体的に限定しない。
【0039】
本出願の一つの選択的な実施例では、認証サービスは、認証サーバ(例えばDCS、又はホームAUSF)に端末に対する認証要求を開始することを含む。認証サービスネットワークエレメントは、端末のために認証サービスを提供する認証エージェントであってもよい。選択的に、前記認証サービスネットワークエレメントは、AUSFと、AAAエージェントとのうちの一つを含んでもよいが、それらに限らない。
【0040】
本出願の一つの選択的な実施例では、第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられる。
【0041】
本出願の一つの選択的な実施例では、前記端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることは、端末が第一のネットワークにアクセスする際に、第一のネットワークに提供する端末の識別子に対応する証明書がデフォルト証明書であることを指す。一つの実施の形態において、前記デフォルト証明書は、第一のネットワークの証明書ではない。
【0042】
選択的に、前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークである。
【0043】
本出願の一つの選択的な実施例では、前記第一のネットワークのネットワークタイプは、公衆ネット(例えばPLMN)、独立した非公衆ネット(例えばNPN)、公衆ネットにより集積される非公衆ネット(例えばPNI NPN)のうちの一つを含んでもよいが、それらに限らない。
【0044】
本出願の一つの選択的な実施例では、第一のネットワークにアクセスできる証明書を有しないことは、第一のネットワークにアクセスできる非制限サービスの証明書を有しないことを含む。
【0045】
1)一つの実施の形態では、端末は、Bネットワークの証明書を直接有しており、端末がBネットワークにアクセスできる証明書を有すると考えられてもよい。
【0046】
2)別の実施の形態では、サービスプロバイダA(Aネットワークを含む)とBネットワークとの間にAの端末がBネットワークにアクセスしてネットワークサービスを享受することが許容されるプロトコル(例えばローミングプロトコル)が存在し、このとき、Aの端末がBネットワークにアクセスできる証明書、即ちAの証明書を有すると考えられてもよい。そのうち、サービスプロバイダAの端末とBネットワークの端末は、Bネットワークにアクセスし、アクセスされるのは非制限サービスであると考えられてもよい。
【0047】
3)別の実施の形態では、サービスプロバイダC(Cネットワークを含む)の端末がBネットワークにアクセスするための証明書をダウンロードするために、Bネットワークにアクセスする方式において、端末が有するサービスプロバイダCの証明書は、端末を検証することをサービスプロバイダCにおける認証サーバに要求するようにBネットワークを支援することができる。このとき、端末が有するサービスプロバイダCの証明書は、Bネットワークにアクセスできる証明書ではなく、Bネットワークが端末を検証できる証明書であり、一般的にはデフォルト証明書と呼ばれる。そのうち、サービスプロバイダCの端末は、Bネットワークにアクセスし、アクセスされるのは制限付きサービスであると考えられてもよい。
【0048】
本出願の一つの選択的な実施例では、認証プロバイダは、デフォルト証明書を有する端末を検証できるプロバイダである。一つの実施の形態において、前記認証プロバイダは、ローミングシナリオにおける端末ホームネットワークを含まない。
【0049】
本出願の一つの選択的な実施例では、前記端末の認証プロバイダの情報は、端末のデフォルト証明書に対応するネットワークのネットワーク識別子と、端末のデフォルト証明書に対応する端末の識別子におけるネットワーク識別子と、端末のホームネットワークのネットワーク識別子と、デフォルト証明書検証プロバイダのインデックス情報と、DCSのインデックス情報とのうちの少なくとも一つを含む。端末の証明書が端末の識別子に対応し、前記端末の認証プロバイダの情報が端末の識別子に含まれてもよいことが容易に理解される。
【0050】
本出願の一つの選択的な実施例では、前記端末の第一の識別子は、端末のデフォルト証明書に対応する端末識別子、又は端末のDCSにおける端末識別子のうちの一つを含む。
【0051】
一つの実施の形態では、前記端末のホームネットワークの識別子は、端末のデフォルト証明書に対応する端末の識別子におけるネットワークの識別子である。別の実施の形態において、前記端末のホームネットワーク識別子は、プロバイダネットワークを検証する識別子である。
【0052】
選択的に、DCSは、端末の認証プロバイダにおける機器である。DCSが端末ホームのAUSFを含む場合、前記端末の第一の識別子は、端末のホームネットワークにおける端末識別子である。このとき、デフォルト証明書検証元のインデックス情報又はDCSのインデックス情報は、端末のホームネットワークの識別子である。
【0053】
本出願の一つの選択的な実施例では、前記ホームネットワークは、端末のデフォルト証明書に対応するネットワークであってもよい。一つの実施の形態において、ホームAUSFは、ホームネットワークにおけるAUSFである。ホームNRFは、ホームネットワークにおけるNRFである。他のホームネットワークエレメントは、ホームネットワークにおけるネットワークエレメントである。
【0054】
本出願の一つの選択的な実施例では、第一タイプのネットワーク識別子は、第一タイプのホームネットワーク識別子を含む。第一のアクセス方式のためのホームネットワーク識別子は、第一のアクセス方式のためのホームネットワーク識別子を含む。第一タイプのホームネットワーク識別子は、第一のアクセス方式のためのホームネットワーク識別子を含む。
【0055】
本出願の別の選択的な実施例では、第一タイプのネットワーク識別子は、認証プロバイダのネットワーク識別子と、端末のデフォルト証明書に対応するネットワーク識別子と、端末のデフォルト証明書に対応する端末の識別子におけるネットワーク識別子とのうちの一つであってもよい。
【0056】
本出願の一つの選択的な実施例では、通信機器は、通信ネットワークエレメントと、端末とのうちの少なくとも一つを含んでもよい。
【0057】
本出願の一つの実施例では、通信ネットワークエレメントは、コアネットワークネットワークエレメントと、無線アクセスネットワークネットワークエレメントとのうちの少なくとも一つを含んでもよい。
【0058】
本出願の実施例では、コアネットワークネットワークエレメント(CNネットワークエレメント)は、コアネットワーク機器、コアネットワークノード、コアネットワーク機能、コアネットワークネットワークエレメント、移動管理エンティティ(Mobility Management Entity、MME)、アクセス移動管理機能(Access Management Function、AMF)、ネットワーク記憶機能(Network Repository Function、NRF)、セッション管理機能(Session Management Function、SMF)、ユーザプレーン機能(User Plane Function、UPF)、サービスゲートウェイ(serving GW、SGW)、PDNゲートウェイ(PDN Gate Way)、ポリシー制御機能(Policy Control Function、PCF)、ポリシーと課金ルール機能ユニット(Policy and Charging Rules Function、PCRF)、GPRSサービスサポートノード(Serving GPRS Support Node、SGSN)、ゲートウェイGPRSサポートノード(Gateway GPRS Support Node、GGSN)、統一データ管理(Unified Data Management、UDM)、統一データ記憶(Unified Data Repository、UDR)、ホームユーザサーバ(Home Subscriber Server、HSS)とアプリケーション機能(Application Function、AF)、のうちのような少なくとも一つを含んでもよいが、それらに限らない。
【0059】
以下は、本出願の実施例のアクセス制御方法を説明する。
【0060】
図2を参照すると、本出願の実施例は、第一の通信機器に用いられるアクセス制御方法を提供し、この第一の通信機器は、AMFを含む。選択的に、この第一の通信機器は、第一のネットワークにおける通信機器である。図2に示すように、前記方法は、以下のステップを含む。
【0061】
ステップ21:第一の情報及び/又は第二の情報を取得する。
【0062】
ここで、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子とのうちの少なくとも一つを含むが、それらに限らない。前記第二の情報は、第一タイプのルーティング指示と、第一タイプのネットワーク識別子と、第一タイプのグループ識別子と、端末の識別子情報とのうちの少なくとも一つを含むが、それらに限らない。
【0063】
選択的に、前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含む。
【0064】
選択的に、前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含む。
【0065】
選択的に、前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含む。
【0066】
一つの実施の形態では、端末から取得された第一の情報を受信することができる。上記の第一の情報は、端末の識別子(例えばSUCI、又はSUPIなど)に含まれて送信されることができる。
【0067】
別の実施の形態では、第一の通信機器ローカル配置から第二の情報を取得することができる。
【0068】
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含んでもよい。
【0069】
1)前記端末の第一の識別子は、端末の認証プロバイダの情報を含む。前記認証プロバイダは、デフォルト証明書を有する端末を検証できるプロバイダであり、又は端末を認証できるプロバイダ(例えば端末のホームネットワーク、端末のデフォルト証明書に対応するネットワーク)である。一つの実施の形態において、前記認証プロバイダは、ローミングシナリオにおける端末ホームネットワークを含まない。
【0070】
前記端末の認証プロバイダの情報は、端末のデフォルト証明書に対応するネットワークのネットワーク識別子と、端末のデフォルト証明書に対応する端末の識別子におけるネットワーク識別子と、端末のホームネットワークのネットワーク識別子と、デフォルト証明書検証プロバイダのインデックス情報と、DCSのインデックス情報とのうちの少なくとも一つを含む。端末の証明書が端末の識別子に対応し、前記端末の認証プロバイダの情報が端末の識別子に含まれてもよいことが容易に理解される。
【0071】
前記端末の第一の識別子は、端末のデフォルト証明書に対応する端末識別子、又は端末のDCSにおける端末識別子のうちの一つを含む。
【0072】
選択的に、DCSは、端末の認証プロバイダにおける機器である。DCSが端末ホームのAUSFを含む場合、前記端末の第一の識別子は、端末のホームネットワークにおける端末識別子である。このとき、デフォルト証明書検証元のインデックス情報又はDCSのインデックス情報は、端末のホームネットワークの識別子である。
【0073】
2)前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含む。
【0074】
3)前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0075】
端末の第二の識別子に基づき、又は端末の第三の識別子に基づき、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を決定することができることが容易に理解される。
【0076】
1)一つの実施の形態では、端末の第一の識別子と第一タイプのネットワーク識別子を送信することができる。
【0077】
2)別の実施の形態では、端末の第一の識別子と第一タイプのルーティング指示を送信することができる。
【0078】
3)別の実施の形態では、端末の第一の識別子と端末の第二の識別子を送信することができる。
【0079】
4)別の実施の形態では、端末の第三の識別子を送信することができる。
【0080】
ステップ22:第一の情報及び/又は第二の情報に基づき、第一の操作を実行する。
【0081】
ここで、前記第一の操作は、
第一の認証サービスネットワークエレメントを選択することと、
第一タイプのグループ識別子、第一タイプのルーティング指示、サービスプロバイダの情報及び/又は第一タイプのネットワーク識別子を決定することと、
前記第一タイプのグループ識別子、第一タイプのルーティング指示、第一タイプのネットワーク識別子、サービスプロバイダの情報及び/又は第一のアクセス方式の指示情報に基づき、認証サービスネットワークエレメントの発見を要求することとのうちの少なくとも一つを含んでもよい。
【0082】
選択的に、前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられてもよい。
【0083】
選択的に、前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークである。
【0084】
一つの実施の形態では、第一のアクセス方式の指示情報は、第一の登録タイプを含む。第一の登録タイプは、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークに登録してアクセスする登録方式と、第一のネットワークにアクセスできる証明書を有せず、第一のネットワークに登録する登録方式とのうちの少なくとも一つを指示するために用いられてもよい。
【0085】
選択的に、上記の、第一のネットワークにアクセスできる証明書は、第一のネットワークにアクセスできる非制限サービスの証明書を含む。上記の、第一のネットワークにアクセスできる証明書を有しないことは、第一のネットワークにアクセスできる非制限サービスの証明書を有しないことを含む。
【0086】
1)一つの実施の形態では、端末は、Bネットワークの証明書を直接有しており、端末がBネットワークにアクセスできる証明書を有すると考えられてもよい。
【0087】
2)別の実施の形態では、サービスプロバイダA(Aネットワークを含む)とBネットワークとの間にAの端末がBネットワークにアクセスしてネットワークサービスを享受することが許容されるプロトコル(例えばローミングプロトコル)が存在し、このとき、Aの端末がBネットワークにアクセスできる証明書、即ちAの証明書を有すると考えられてもよい。そのうち、サービスプロバイダAの端末とBネットワークの端末は、Bネットワークにアクセスし、アクセスされるのは非制限サービスであると考えられてもよい。
【0088】
3)別の実施の形態では、サービスプロバイダC(Cネットワークを含む)の端末がBネットワークにアクセスするための証明書をダウンロードするために、Bネットワークにアクセスする方式において、端末が有するサービスプロバイダCの証明書は、端末を検証することをサービスプロバイダCにおける認証サーバに要求するようにBネットワークを支援することができる。このとき端末が有するサービスプロバイダCの証明書は、Bネットワークにアクセスできる証明書ではなく、Bネットワークが端末を検証できる証明書であり、一般的にはデフォルト証明書と呼ばれる。そのうち、サービスプロバイダCの端末は、Bネットワークにアクセスし、アクセスされるのは制限付きサービスであると考えられてもよい。
【0089】
選択的に、上記の第一の認証サービスネットワークエレメントは、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントと、デフォルト証明書を有する端末のために認証サービスを提供する認証サービスネットワークエレメントとのうちの少なくとも一つを含む。
【0090】
一つの実施の形態では、前記認証サービスは、認証サーバ(例えばDCS、又はホームAUSF)に端末に対する認証要求を開始することを含む。
【0091】
本出願の実施例では、上記の、第一タイプのグループ識別子、第一タイプのルーティング指示、第一タイプのネットワーク識別子又は第一のアクセス方式の指示情報に基づき、認証サービスネットワークエレメントの発見を要求することは、
第一のターゲットエンドに前記第一タイプのグループ識別子を送信することであって、前記第一タイプのグループ識別子は、前記第一のターゲットエンドが、前記第一タイプのグループ識別子とマッチングする認証サービスネットワークエレメントを発見するために用いられることと、
第一のターゲットエンドに前記第一のアクセス方式の指示情報を送信することであって、前記第一のアクセス方式の指示情報は、前記第一のターゲットエンドが、前記第一のアクセス方式の指示情報とマッチングする認証サービスネットワークエレメントを発見するために用いられることと、
第一のターゲットエンドに前記第一タイプのルーティング指示を送信することであって、前記第一タイプのルーティング指示は、前記第一のターゲットエンドが、前記第一タイプのルーティング指示とマッチングする認証サービスネットワークエレメントを発見するために用いられることと、
第一のターゲットエンドに前記第一タイプのネットワーク識別子を送信することであって、前記第一タイプのネットワーク識別子は、前記第一のターゲットエンドが、前記第一タイプのネットワーク識別子とマッチングする認証サービスネットワークエレメントを発見するために用いられることとのうちの少なくとも一つを含んでもよい。
【0092】
選択的に、前記第一のターゲットエンドは、ネットワーク内のネットワークエレメントの検索を担当するネットワークエレメント機器、例えばネットワークリポジトリ機能(Network Repository Function、NRF)を含んでもよい。
【0093】
選択的に、前記認証サービスネットワークエレメントは、AUSFと、AAAエージェントとのうちの一つを含んでもよいが、それらに限らない。一つの実施の形態において、認証サービスネットワークエレメントは、端末のために認証サービスを提供する認証エージェントであってもよい。
【0094】
一つの実施の形態では、第一のアクセス方式専用のAUSFグループ識別子によってNRFにAUSFの発見を要求することができる。
【0095】
選択的に、上記の、第一の情報を取得することは、端末から第一の情報を取得することを含んでもよい。及び/又は、上記の、第二の情報を取得することは、第一の通信機器上の配置に基づき、第二の情報を取得することを含んでもよい。
【0096】
選択的に、上記第一の情報及び/又は第二の情報を取得することは、
端末から第一のアクセス方式の指示情報を取得することと、
第一の通信機器上の配置に基づき、第一タイプのグループ識別子、第一タイプのルーティング指示又は第一タイプのネットワーク識別子を取得することとのうちの少なくとも一つを含んでもよい。
【0097】
さらに、上記第一の情報及び/又は第二の情報に基づき、第一の操作を実行することは、
前記第一のアクセス方式の指示情報に基づき、第一タイプのグループ識別子、第一タイプのルーティング指示又は第一タイプのネットワーク識別子を決定することと、
前記第一タイプのグループ識別子、第一タイプのルーティング指示及び/又は第一タイプのネットワーク識別子に基づき、認証サービスネットワークエレメントの発見を要求することとを含んでもよい。
【0098】
選択的に、上記第一の情報及び/又は第二の情報を取得することは、
端末から第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を取得することと、
第一の通信機器上の配置に基づき、第一タイプのグループ識別子を取得することとのうちの少なくとも一つを含んでもよく、
さらに、上記第一の情報及び/又は第二の情報に基づき、第一の操作を実行することは、
前記第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示に基づき、第一タイプのグループ識別子を決定することと、
前記第一タイプのグループ識別子に基づき、認証サービスネットワークエレメントの発見を要求することとを含んでもよい。
【0099】
選択的に、上記の第一の操作は、
発見を要求する認証サービスネットワークエレメントを受信することと、
端末の第二の識別子又は端末の第三の識別子に基づき、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を導出することと、
第一の認証サービスネットワークエレメント又は前記発見された認証サービスネットワークエレメントに端末の第二の識別子を送信しないことと、
端末の第三の識別子に基づき、端末の第一の識別子を導出することと、
第一の認証サービスネットワークエレメント又は前記発見された認証サービスネットワークエレメントに端末の第一の識別子を送信することとのうちの少なくとも一つをさらに含む。
【0100】
本実施例によって、上記の端末が第一のアクセス方式で第一のネットワークにアクセスするシナリオにおいて、認証サービスネットワークエレメントに対する選択をサポートすることができることが容易に理解される。
【0101】
図3を参照すると、本出願の実施例は、第二の通信機器に用いられるアクセス制御方法を提供し、この第二の通信機器は、UEを含む。図3に示すように、前記方法は、以下のステップを含む。
【0102】
ステップ31:第一の情報を送信する。
【0103】
ここで、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子と、端末の識別子情報とのうちの少なくとも一つを含んでもよい。
【0104】
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含む。
【0105】
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含む。
【0106】
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられる。
【0107】
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークである。
【0108】
選択的に、端末がアクセスする第一のネットワークに前記第一の情報を送信する。端末が第一のネットワークにアクセスする方式は、第一のアクセス方式である。上記の第一の情報は、端末の識別子(例えばSUCI、又はSUPIなど)に含まれて送信されることができる。
【0109】
選択的に、上記第一の情報を送信することは、第一の条件を満たす場合、前記第一の情報を送信することを含んでもよい。ここで、前記第一の条件は、
第二の通信機器が第一のネットワークにアクセスするのは、第二のネットワークにアクセスするための証明書をダウンロードするためであることと、
第二の通信機器が第一のネットワークにアクセスできる証明書を有しないことと、
第二の通信機器が第一のネットワークにアクセスし、制限付きサービスのみを使用することができることとのうちの少なくとも一つを含んでもよい。
【0110】
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークである。
【0111】
一つの実施の形態では、前記第一のアクセス方式のためのネットワーク識別子は、端末のユーザパーマネント識別子SUPIによって送信される。
【0112】
指摘すべきこととして、前記第二の通信機器が第一のネットワークにアクセスできる証明書を有しないことは、第二の通信機器が第一のネットワークの証明書を有せず、又は第二の通信機器が、第一のネットワークにアクセスできるサービスプロバイダの証明書を有しないことを含む。
【0113】
上記の、第一のネットワークにアクセスできる証明書は、第一のネットワークにアクセスできる非制限サービスの証明書を含んでもよい。上記の、第一のネットワークにアクセスできる証明書を有しないことは、第一のネットワークにアクセスできる非制限サービスの証明書を有しないことを含む。
【0114】
1)一つの実施の形態では、端末は、Bネットワークの証明書を直接有しており、端末がBネットワークにアクセスできる証明書を有すると考えられてもよい。
【0115】
2)別の実施の形態では、サービスプロバイダA(Aネットワークを含む)とBネットワークとの間にAの端末がBネットワークにアクセスしてネットワークサービスを享受することが許容されるプロトコル(例えばローミングプロトコル)が存在し、このとき、Aの端末がBネットワークにアクセスできる証明書、即ちAの証明書を有すると考えられてもよい。そのうち、サービスプロバイダAの端末とBネットワークの端末は、Bネットワークにアクセスし、アクセスされるのは非制限サービスであると考えられてもよい。
【0116】
3)別の実施の形態では、サービスプロバイダC(Cネットワークを含む)の端末がBネットワークにアクセスするための証明書をダウンロードするために、Bネットワークにアクセスする方式において、端末が有するサービスプロバイダCの証明書は、端末を検証することをサービスプロバイダCにおける認証サーバに要求するようにBネットワークを支援することができる。このとき端末が有するサービスプロバイダCの証明書は、Bネットワークにアクセスできる証明書ではなく、Bネットワークが端末を検証できる証明書であり、一般的にはデフォルト証明書と呼ばれる。そのうち、サービスプロバイダCの端末は、Bネットワークにアクセスし、アクセスされるのは制限付きサービスであると考えられてもよい。
【0117】
選択的に、前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含んでもよい。
【0118】
1)前記端末の第一の識別子は、端末の認証プロバイダの情報を含む。前記認証プロバイダは、デフォルト証明書を有する端末を検証できるプロバイダ、又は端末を認証できるプロバイダ(例えば端末のホームネットワーク)である。
【0119】
前記端末の認証プロバイダの情報は、端末のデフォルト証明書に対応するネットワークのネットワーク識別子と、端末のデフォルト証明書に対応する端末の識別子におけるネットワーク識別子と、端末のホームネットワークのネットワーク識別子と、デフォルト証明書検証プロバイダのインデックス情報と、DCSのインデックス情報とのうちの少なくとも一つを含む。前記端末の認証プロバイダの情報は、端末の識別子に含まれてもよい。
【0120】
端末の証明書が、端末の識別子に対応し、前記端末の第一の識別子が、端末のデフォルト証明書に対応する端末識別子、又は端末のDCSにおける端末識別子のうちの一つを含むことが容易に理解される。
【0121】
選択的に、DCSは、端末の認証プロバイダにおける機器である。DCSが端末ホームのAUSFを含む場合、前記端末の第一の識別子は、端末のホームネットワークにおける端末識別子である。このとき、デフォルト証明書検証元のインデックス情報又はDCSのインデックス情報は、端末のホームネットワークの識別子である。
【0122】
2)前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含む。
【0123】
3)前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0124】
端末の第二の識別子に基づき、又は端末の第三の識別子に基づき、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を決定することができることが容易に理解される。
【0125】
1)一つの実施の形態では、端末の第一の識別子と第一タイプのネットワーク識別子を送信することができる。
【0126】
2)別の実施の形態では、端末の第一の識別子と第一タイプのルーティング指示を送信することができる。
【0127】
3)別の実施の形態では、端末の第一の識別子と端末の第二の識別子を送信することができる。
【0128】
4)別の実施の形態では、端末の第三の識別子を送信することができる。
【0129】
選択的に、第一の情報を送信するステップの前に、前記方法はさらに、
端末の第二の識別子を生成し、即ち端末の識別子におけるルーティング指示を第一タイプのルーティング指示として設定し、及び/又は端末の識別子におけるホームネットワーク識別子を第一タイプのネットワーク識別子として設定することと、
端末の第三の識別子を生成し、即ち第一タイプのネットワーク識別子を端末の識別子に追加し、及び/又は第一タイプのルーティング指示を端末の識別子に追加することとのうちの少なくとも一つを含んでもよい。
【0130】
一つの実施の形態では、前記端末の第二の識別子を生成し、及び/又は端末の第三の識別子を生成する操作は、第一の条件を満たす場合に実行される。第一の条件は、前述した通りであり、ここではこれ以上説明しない。
【0131】
本実施例によって、上記の端末が第一のアクセス方式で第一のネットワークにアクセスするシナリオにおいて、認証サービスネットワークエレメントに対する選択をサポートすることができることが容易に理解される。
【0132】
図4を参照すると、本出願の実施例は、第三の通信機器に用いられるアクセス制御方法を提供し、この第三の通信機器は、NRFを含む。選択的に、この第三の通信機器は、第一のネットワークにおける通信機器である。図4に示すように、前記方法は、以下のステップを含む。
【0133】
ステップ41:第三の情報及び/又は第四の情報を取得する。
【0134】
選択的に、前記第三の情報は、第一タイプのグループ識別子と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子と、認証プロバイダの情報と、第一のアクセス方式の指示情報とのうちの少なくとも一つを含んでもよい。
【0135】
選択的に、前記第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられる。前記第四の情報は、認証サービスネットワークエレメントによりサポートされるルーティング指示と、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式と、認証サービスネットワークエレメントによりサポートされる認証サービスタイプと、認証サービスネットワークエレメントによりサポートされる認証プロバイダの情報であって、前記認証プロバイダがデフォルト証明書を有する端末を認証することができるものとのうちの少なくとも一つを含んでもよい。
【0136】
選択的に、前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられてもよい。
【0137】
選択的に、前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークである。
【0138】
選択的に、前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含む。
【0139】
一つの実施の形態では、前記制限付きサービスは、ネットワークにアクセスできる証明書をダウンロードするサービスを含む。
【0140】
選択的に、前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含む。
【0141】
一つの実施の形態では、AMFから第三の情報を取得することができる。
【0142】
別の実施の形態では、認証サービスネットワークエレメント(例えばAUSF又はAAAエージェント)から第四の情報、即ち認証サービスネットワークエレメントのホーム情報を取得することができる。
【0143】
ステップ42:第三の情報及び/又は第四の情報に基づき、第三の操作を実行する。
【0144】
ここで、前記第三の操作は、
前記第三の情報とマッチングする認証サービスネットワークエレメントを発見し、即ち前記認証サービスネットワークエレメントの第四の情報は、前記第三の情報とマッチングすることと、
前記発見された認証サービスネットワークエレメントを送信することとのうちの少なくとも一つを含んでもよい。
【0145】
ここで、前記認証サービスネットワークエレメントによりサポートされる認証サービスタイプは、デフォルト証明書を有する端末に認証サービスを提供することをサポートすることを含む。
【0146】
一つの実施の形態では、第二のターゲットエンドに前記発見された認証サービスネットワークエレメントを送信する。前記第二のターゲットエンドは、AMFを含む。一つの実施の形態において、第二のターゲットエンドから前記第三の情報を受信する。
【0147】
選択的に、認証サービスネットワークエレメントは、AUSFと、AAAエージェントとのうちの一つを含んでもよい。
【0148】
一つの実施の形態では、第三の情報とマッチングする認証サービスネットワークエレメントは、第一の認証サービスネットワークエレメントである。前記第一の認証サービスネットワークエレメントは、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントを含む。
【0149】
一つの実施の形態では、前記第一タイプのグループ識別子は、AUSF Group IDと、AAAエージェントgroup IDとのうちの一つを含む。
【0150】
一つの実施の形態では、NRFにAUSFの発見を要求することができる。
【0151】
選択的に、前記第三の情報とマッチングする認証サービスネットワークエレメントを発見する操作において、前記第三の情報が第一のアクセス方式の指示情報を含む場合、前記発見された認証サービスネットワークエレメントによりサポートされるアクセス方式は、第一のアクセス方式であり、又は、前記第三の情報が第一タイプのルーティング指示を含む場合、前記発見された認証サービスネットワークエレメントによりサポートされるルーティング指示は、第一タイプのルーティング指示であり、又は、前記第三の情報が第一タイプのネットワーク識別子を含む場合、前記発見された認証サービスネットワークエレメントが属するネットワークのネットワーク識別子は、第一タイプのネットワーク識別子であり、又は、前記第三の情報が第一タイプのグループ識別子を含む場合、前記発見された認証サービスネットワークエレメントが属するグループ識別子は、第一タイプのグループ識別子であり、又は、前記第三の情報が認証プロバイダの情報を含む場合、前記発見された認証サービスネットワークエレメントによりサポートされる認証プロバイダ情報は、前記第三の情報における認証プロバイダの情報を含む。
【0152】
又は、前記発見された認証サービスネットワークエレメントは、
前記発見された認証サービスネットワークエレメントによりサポートされるルーティング指示が、第一タイプのルーティング指示であることと、
前記発見された認証サービスネットワークエレメントが属するネットワークのネットワーク識別子が、第一タイプのネットワーク識別子であることと、
前記発見された認証サービスネットワークエレメントが属するグループ識別子が、第一タイプのグループ識別子であることと、
前記発見された認証サービスネットワークエレメントによりサポートされるアクセス方式が、第一のアクセス方式であることと、
前記発見された認証サービスネットワークエレメントによりサポートされる認証サービスタイプが、デフォルト証明書を有する端末に認証サービスを提供することをサポートすることであることとのうちの少なくとも一つを満たす。
【0153】
本実施例によって、上記の端末が第一のアクセス方式で第一のネットワークにアクセスするシナリオにおいて、認証サービスネットワークエレメントに対する選択をサポートすることができることが容易に理解される。
【0154】
図5を参照すると、本出願の実施例は、第四の通信機器に用いられるアクセス制御方法を提供し、この第四の通信機器は、AUSFを含む。選択的に、この第四の通信機器は、第一のネットワークにおける通信機器である。図5に示すように、前記方法は、以下のステップを含む。
【0155】
ステップ51:第四の情報を送信する。
【0156】
ここで、前記第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられる。前記第四の情報は、認証サービスネットワークエレメントによりサポートされるルーティング指示と、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式と、認証サービスネットワークエレメントによりサポートされる認証サービスタイプと、認証サービスネットワークエレメントによりサポートされる認証プロバイダの情報であって、前記認証プロバイダがデフォルト証明書を有する端末を認証することができるものとのうちの少なくとも一つを含んでもよい。
【0157】
ここで、前記認証サービスネットワークエレメントによりサポートされるルーティング指示は、第一タイプのルーティング指示である。
【0158】
前記認証サービスネットワークエレメントが属するネットワークのネットワーク識別子は、第一タイプのネットワーク識別子である。
【0159】
前記認証サービスネットワークエレメントが属するグループ識別子は、第一タイプのグループ識別子である。
【0160】
前記認証サービスネットワークエレメントによりサポートされるアクセス方式は、第一のアクセス方式を含む。
【0161】
前記認証サービスネットワークエレメントによりサポートされる認証サービスタイプは、デフォルト証明書を有する端末に認証サービス(例えば、認証エージェントとする)を提供することをサポートすることを含む。
【0162】
前記第一のアクセス方式は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを含む。
【0163】
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含む。
【0164】
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含む。
【0165】
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含む。
【0166】
選択的に、上記第四の情報を送信することは、第二の条件を満たす場合、前記第四の情報を送信することを含んでもよい。ここで、前記第二の条件は、前記認証サービスネットワークエレメントが、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントであることを含む。
【0167】
本実施例によって、上記の端末が第一のアクセス方式で第一のネットワークにアクセスするシナリオにおいて、認証サービスネットワークエレメントに対する選択をサポートすることができることが容易に理解される。
【0168】
本出願の実施例は、第五の通信機器に用いられるアクセス制御方法を提供し、この第五の通信機器は、AMFと、AUSFと、UDMとのうちの少なくとも一つを含む。選択的に、この第五の通信機器は、第一のネットワークにおける通信機器である。前記方法は、
第五の条件を満たす場合、第五の操作を実行するステップを含む。
【0169】
前記第五の操作は、第五の情報を使用せずに端末のためにネットワークエレメントを選択することを含み、
ここで、
前記第五の条件は、前記端末が第一のアクセス方式であることを含み、
前記第五の情報は、端末のユーザ識別子と、端末ユーザ識別子におけるネットワーク識別子情報と、端末ユーザ識別子内のrealmにおける情報とのうちの少なくとも一つを含む。
【0170】
一つの実施の形態では、非第一のアクセス方式によってネットワークにアクセスする端末に対し、端末のユーザ識別子における情報に基づいて端末のためにネットワーク機器を選択することは、デフォルト操作である。そのため、非第一のアクセス方式によってネットワークにアクセスする端末に対し、例外操作を実行する必要がある。
【0171】
ここで、前記端末ユーザ識別子におけるネットワーク識別子情報は、端末ユーザ識別子内のMNCと、端末ユーザ識別子内のMCCと、端末ユーザ識別子におけるネットワーク識別子NIDとのうちの少なくとも一つを含む。
【0172】
選択的に、前記の、第五の条件を満たす場合、第五の操作を実行するステップの前に、前記方法は、第一の情報を得ることをさらに含み、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子とのうちの少なくとも一つを含み、前記第二の情報は、第一タイプのネットワーク識別子と、第一タイプのルーティング指示と、第一タイプのグループ識別子と、端末の識別子情報とのうちの少なくとも一つを含み、ここで、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含み、
前記端末の第一の識別子は、端末の認証プロバイダの情報を含み、
前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含み、
前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0173】
選択的に、前記の、第一の情報を得るステップの後に、第一の情報に基づいて第五の条件を満たすことを決定する。
【0174】
選択的に、前記ネットワークエレメントは、コアネットワークネットワークエレメントと、認証サービス機能AUSFと、統一データ管理UDMと、統一データ記憶UDRとのうちの少なくとも一つを含む。
【0175】
一つの実施の形態では、前記ネットワークエレメントは、ネットワーク機器であってもよい。
【0176】
以下、具体的な応用シナリオを結びつけて本出願の実施例による方法を記述する。
【0177】
応用シナリオ1
本応用シナリオ1では、図6に示すように、サービス認証の指示プロセスは、以下のステップを含んでもよい。
【0178】
ステップ61:第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメント(その後、AUSFを例として説明する)は、NRFに登録要求、例えばNnrf_NF Management_ NF Registerを開始する。
【0179】
選択的に、この登録要求には、第四の情報が含まれ、この第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられ、この第四の情報は、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式とのうちの少なくとも一つを含んでもよい。
【0180】
一つの実施の形態では、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子が第一タイプのホームネットワーク識別子である場合、認証サービスネットワークエレメントが第一のアクセス方式の端末に認証サービスを提供するために用いられることを説明することができる。
【0181】
別の実施の形態では、認証サービスネットワークエレメントが属するグループ識別子が第一タイプのグループ識別子である場合、認証サービスネットワークエレメントが第一のアクセス方式の端末に認証サービスを提供するために用いられることを説明することができる。
【0182】
応用シナリオ2
本応用シナリオ2では、UEは、第一のネットワークに登録し、前記登録タイプは、第一のアクセス方式である。第一のネットワークがUEを認証するようにDCSに要求する必要がある。AMF、NRF、AUSFは、第一のネットワークにおける通信機器であり、ホームNRFとホームAUSFは、UEホームネットワークにおける機器である、前記ホームAUSFは、DCSの一つの実施例である。図7に示すように、AUSFを選択するプロセスは、以下のステップを含んでもよい。
【0183】
ステップ71:UEは、AMFに登録要求を開始する。ここで、この登録要求の登録タイプは、第一のアクセス方式の指示情報(例えば第一の登録タイプ)である。
【0184】
ステップ72:AMFは、UEにより提供される第一のアクセス方式の指示情報(例えば第一の登録タイプ)に基づき、AUSFの選択操作を実行することは、以下の少なくとも一つを含む。
【0185】
(1)ローカルに配置される第一のアクセス方式のためのAUSFを選択する。
【0186】
(2)ローカルに配置される第一のアクセス方式のためのAUSFのグループ識別子(AUSF Group ID)を選択し、このAUSFグループ識別子に基づいてNRFにAUSFの発見を要求する。
【0187】
(3)ネットワーク機能発見要求、例えばNnrf_NF Discovery_Requestによって、第一のアクセス方式をサポートするAUSFの発見を要求するための第一のアクセス方式の指示情報をNRFに送信する。
【0188】
その前に、AUSFがNRFに登録される時にそれがサポートするアクセス方式、例えば第一のアクセス方式を対応して提供することが容易に理解される。
【0189】
(4)ネットワーク機能発見要求、例えばNnrf_NF Discovery_Requestによって、NRFに第一タイプのネットワーク識別子(Home Network ID)を送信する。
【0190】
その前に、第一のアクセス方式をサポートするAUSFがNRFに登録される時に認証サービスネットワークエレメントが属するネットワークのネットワーク識別子を第一のアクセス方式のネットワーク識別子、例えば、第一のアクセス方式専用のネットワーク識別子として対応して提供することが容易に理解される。
【0191】
(5)ネットワーク機能発見要求、例えばNnrf_NF Discovery_Requestによって、NRFに第一タイプのグループ識別子を送信する。
【0192】
その前に、第一のアクセス方式をサポートするAUSFがNRFに登録される時に認証ネットワークエレメントが属するグループ識別子を第一のアクセス方式のネットワーク識別子、例えば、第一のアクセス方式専用の認証サービスネットワークエレメントのグループ識別子として対応して提供することが容易に理解される。
【0193】
ステップ73:NRFは、取得された第三の情報及び/又は第四の情報に基づき、第三の操作を実行する。
【0194】
ここで、前記第三の情報は、第一タイプのグループ識別子と、第一タイプのネットワーク識別子と、第一のアクセス方式の指示情報とのうちの少なくとも一つを含んでもよい。前記第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられる。前記第四の情報は、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式とのうちの少なくとも一つを含んでもよい。
【0195】
ここで、前記第三の操作は、
前記第三の情報とマッチングする認証サービスネットワークエレメントを発見する(その後、AUSFを例にして説明する)ことと、
AMFに前記発見された認証サービスネットワークエレメントを送信することとのうちの少なくとも一つを含む。
【0196】
ステップ74:AMFは、AUSFにUE認証要求、例えばNausf_UEAuthentication _Authenticate Requestを送信する。ここで、この要求には、端末の第一の識別子(UEの実際の第一のSUCI又は第一のSUPI)が含まれてもよい。
【0197】
ステップ75からステップ78:AUSFは、端末の第一の識別子、又は第一のUE識別子におけるホームネットワーク識別子、又は第一のUE識別子に対応するAUSFグループ識別子などに基づき、NRFとホームNRFによってホームAUSFを発見する。
【0198】
具体的には、ステップ75において、AUSFは、NRFにネットワーク機能発見要求、例えばNnrf_NF Discovery_Requestを送信する。ここで、この発見要求には、端末の第一の識別子、端末のホームネットワーク識別子Home Network ID、端末の第一の識別子に関連するAUSFグループ識別子などのうちの一つが含まれてもよい。
【0199】
ステップ76において、NRFは、ホームNRFにネットワーク機能発見要求、例えばNnrf_NF Discovery_Requestを送信する。ここで、この発見要求には、端末の第一の識別子、又は第一のUE識別子におけるホームネットワーク識別子、又は第一のUE識別子に対応するAUSFグループ識別子などが含まれてもよい。
【0200】
ステップ77において、ホームNRFは、NRFにネットワーク機能発見応答、例えばNnrf_NF Discovery_Responseを返す。
【0201】
ステップ78において、NRFは、AUSFにネットワーク機能発見応答、例えばNnrf_NF Discovery_Responseを返す。
【0202】
ステップ79:AUSFは、ホームAUSFにUE認証要求、例えばNausf_UE Authentication_Authenticate Requestを開始する。ここで、この要求には、生成された第二のSUCI又は第一のSUPI、SN-name、第一のアクセス方式の指示情報などが含まれる。
【0203】
その後、ホームAUSFは、UEに認証プロセスを開始することができる。
【0204】
応用シナリオ3
本応用シナリオ3では、UEは、第一のネットワークに登録し、端末の識別子情報を提供する。第一のネットワークがUEを認証するようにDCSに要求する必要がある。AMF、NRF、AUSFは、第一のネットワークにおける通信機器であり、ホームNRFとホームAUSFは、UEホームネットワークにおける機器であり、前記ホームAUSFは、DCSの一つの実施例である。図8に示すように、AUSFを選択するプロセスは、以下のステップを含んでもよい。
【0205】
ステップ81:UEは、AMFに登録要求を開始する。選択的に、この登録要求には、第一の情報、例示的に、例えば端末の識別子情報が含まれる。
【0206】
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含んでもよく、
前記端末の第一の識別子は、端末の認証プロバイダの情報を含み、
前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含み、
前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0207】
AMFは、端末の第二の識別子又は端末の第三の識別子に基づき、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を導出することを実行してもよく、
前記第一タイプのネットワーク識別子は、第一のアクセス方式専用の特定の値、例えば111である。
【0208】
前記第一タイプのルーティング指示は、第一のアクセス方式専用の特定の値である。
【0209】
1)一つの実施の形態では、前記登録要求には、端末の第一の識別子と、第一タイプのネットワーク識別子とが含まれる。
【0210】
2)別の実施の形態では、前記登録要求には、端末の第一の識別子と、端末の第二の識別子とが含まれる。
【0211】
3)別の実施の形態では、前記登録要求には、端末の第三の識別子が含まれる。
【0212】
端末の第一の識別子(SUPI又はSUPI)により指示されるのがPLMN又はSNPNのサブスクリプションである場合、前記DCSインデックス情報には、UEのSUPIの実際のHome Network IDが含まれる。
【0213】
ステップ82:AMFは、NRFにネットワーク機能発見要求、例えばNnrf_NF Discovery_Requestを送信し、即ち第一のアクセス方式のホームネットワーク識別子に基づいてAUSFの検索をNRFに要求し、AUSFを取得する。
【0214】
選択的に、この要求には、AUSFのHome Network ID及び/又はGroup IDが含まれる。
【0215】
ステップ83:NRFは、送信された発見された認証サービスネットワークエレメントであるAUSFをAMFに返す。
【0216】
ステップ84:AMFは、AUSFにUE認証要求、例えばNausf_UEAuthentication _Authenticate Requestを送信する。
【0217】
選択的に、AMFは、
第一の認証サービスネットワークエレメント又は前記発見された認証サービスネットワークエレメントに端末の第二の識別子を送信しないことと、
端末の第三の識別子に基づき、端末の第一の識別子を導出することと、
第一の認証サービスネットワークエレメント又は前記発見された認証サービスネットワークエレメントに端末の第一の識別子を送信することとのうちの少なくとも一つを実行してもよい。
【0218】
ステップ85からステップ89まで:応用シナリオ2におけるステップ75から79と同じであり、ここではこれ以上説明しない。
【0219】
図9を参照すると、本出願の実施例は、第一の通信機器に用いられるアクセス制御装置を提供し、このアクセス制御装置90は、
第一の情報及び/又は第二の情報を取得するための第一の取得モジュール91であって、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子とのうちの少なくとも一つを含み、前記第二の情報は、第一タイプのネットワーク識別子と、第一タイプのルーティング指示と、第一タイプのグループ識別子と、端末の識別子情報とのうちの少なくとも一つを含む第一の取得モジュール91と、
前記第一の情報及び/又は前記第二の情報に基づき、第一の操作を実行するための第一の実行モジュール92とを含み、
ここで、前記第一の操作は、
第一の認証サービスネットワークエレメントを選択することと、
第一タイプのグループ識別子、第一タイプのルーティング指示、サービスプロバイダの情報及び/又は第一タイプのネットワーク識別子を決定することと、
前記第一タイプのグループ識別子、第一タイプのルーティング指示、第一タイプのネットワーク識別子、サービスプロバイダの情報及び/又は第一のアクセス方式の指示情報に基づき、認証サービスネットワークエレメントの発見を要求することとのうちの少なくとも一つを含み、
ここで、前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
ここで、前記第一の認証サービスネットワークエレメントは、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントと、デフォルト証明書を有する端末のために認証サービスを提供する認証サービスネットワークエレメントとのうちの少なくとも一つを含み、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含み、
前記端末の第一の識別子は、端末の認証プロバイダの情報を含み、
前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含み、
前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0220】
選択的に、前記第一の実行モジュール92はさらに、
第一のターゲットエンドに前記第一タイプのグループ識別子を送信することであって、前記第一タイプのグループ識別子は、前記第一のターゲットエンドが、前記第一タイプのグループ識別子とマッチングする認証サービスネットワークエレメントを発見するために用いられることと、
第一のターゲットエンドに前記第一のアクセス方式の指示情報を送信することであって、前記第一のアクセス方式の指示情報は、前記第一のターゲットエンドが、前記第一のアクセス方式の指示情報とマッチングする認証サービスネットワークエレメントを発見するために用いられることと、
第一のターゲットエンドに前記第一タイプのルーティング指示を送信することであって、前記第一タイプのルーティング指示は、前記第一のターゲットエンドが、前記第一タイプのルーティング指示とマッチングする認証サービスネットワークエレメントを発見するために用いられることと、
第一のターゲットエンドに前記第一タイプのネットワーク識別子を送信することであって、前記第一タイプのネットワーク識別子は、前記第一のターゲットエンドが、前記第一タイプのネットワーク識別子とマッチングする認証サービスネットワークエレメントを発見するために用いられることとのうちの少なくとも一つを実行するために用いられる。
【0221】
選択的に、前記第一の取得モジュール91は、具体的に、端末から第一の情報を取得するために用いられる。
【0222】
選択的に、前記第一の取得モジュール91は、具体的に、第一の通信機器上の配置に基づき、第二の情報を取得するために用いられる。
【0223】
選択的に、前記第一の取得モジュール91は、具体的に、
端末から第一のアクセス方式の指示情報を取得することと、
第一の通信機器上の配置に基づき、第一タイプのグループ識別子、第一タイプのルーティング指示又は第一タイプのネットワーク識別子を取得することとのうちの少なくとも一つに用いられ、
ここで、前記第一の情報及び/又は前記第二の情報に基づき、第一の操作を実行することは、
前記第一のアクセス方式の指示情報に基づき、第一タイプのグループ識別子、第一タイプのルーティング指示又は第一タイプのネットワーク識別子を決定することと、
前記第一タイプのグループ識別子、第一タイプのルーティング指示及び/又は第一タイプのネットワーク識別子に基づき、認証サービスネットワークエレメントの発見を要求することとのうちの少なくとも一つを含む。
【0224】
選択的に、前記第一の取得モジュール91は、具体的に、
端末から第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を取得することと、
第一の通信機器上の配置に基づき、第一タイプのグループ識別子を取得することとのうちの少なくとも一つに用いられ、
ここで、前記第一の情報及び/又は前記第二の情報に基づき、第一の操作を実行することは、
前記第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示に基づき、第一タイプのグループ識別子を決定することと、
前記第一タイプのグループ識別子に基づき、認証サービスネットワークエレメントの発見を要求することとのうちの少なくとも一つを含む。
【0225】
選択的に、前記第一の操作は、
発見を要求する認証サービスネットワークエレメントを受信することと、
前記端末の第二の識別子又は端末の第三の識別子に基づき、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を導出することと、
第一の認証サービスネットワークエレメント又は前記発見された認証サービスネットワークエレメントに端末の第二の識別子を送信しないことと、
前記端末の第三の識別子に基づき、端末の第一の識別子を導出することと、
前記第一の認証サービスネットワークエレメント又は前記発見された認証サービスネットワークエレメントに端末の第一の識別子を送信することとのうちの少なくとも一つをさらに含む。
【0226】
本実施例では、アクセス制御装置90は、本出願の図2に示される方法の実施例において実現される各プロセスを実現し、且つ同じ有益な効果を達成することができ、説明の繰り返しを回避するために、ここではこれ以上説明しない。
【0227】
図10を参照すると、本出願の実施例は、第二の通信機器に用いられるアクセス制御装置を提供し、このアクセス制御装置100は、
第一の情報を送信するための第一の送信モジュール101を含み、
ここで、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子と、端末の識別子情報とのうちの少なくとも一つを含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含み、
前記端末の第一の識別子は、端末の認証プロバイダの情報を含み、
前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含み、
前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0228】
選択的に、前記第一の送信モジュール101は、具体的に、第一の条件を満たす場合、前記第一の情報を送信するために用いられ、
ここで、前記第一の条件は、
第二の通信機器が第一のネットワークにアクセスするのは、第二のネットワークにアクセスするための証明書をダウンロードするためであることと、
第二の通信機器が第一のネットワークにアクセスできる証明書を有しないことと、
第二の通信機器が第一のネットワークにアクセスし、制限付きサービスのみを使用することができることとのうちの少なくとも一つを含む。
【0229】
選択的に、このアクセス制御装置100は、
端末の第二の識別子を生成し、端末の識別子におけるルーティング指示を第一タイプのルーティング指示として設定し、及び/又は端末の識別子におけるホームネットワーク識別子を第一タイプのネットワーク識別子として設定し、及び/又は
端末の第三の識別子を生成し、第一タイプのネットワーク識別子を端末の識別子に追加し、及び/又は第一タイプのルーティング指示を端末の識別子に追加するための生成モジュールをさらに含む。
【0230】
本実施例では、アクセス制御装置100は、本出願の図3に示される方法の実施例において実現される各プロセスを実現し、且つ同じ有益な効果を達成することができ、説明の繰り返しを回避するために、ここではこれ以上説明しない。
【0231】
図11を参照すると、本出願の実施例は、第三の通信機器に用いられるアクセス制御装置を提供し、このアクセス制御装置110は、
第三の情報及び/又は第四の情報を取得するための第二の取得モジュール111であって、前記第三の情報は、第一タイプのグループ識別子と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子と、認証プロバイダの情報と、第一のアクセス方式の指示情報とのうちの少なくとも一つを含み、前記第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられ、前記第四の情報は、認証サービスネットワークエレメントによりサポートされるルーティング指示と、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式と、認証サービスネットワークエレメントによりサポートされる認証サービスタイプと、認証サービスネットワークエレメントによりサポートされる認証プロバイダの情報であって、前記認証プロバイダがデフォルト証明書を有する端末を認証することができるものとのうちの少なくとも一つを含む第二の取得モジュール111と、
前記第三の情報及び/又は前記第四の情報に基づき、第三の操作を実行するための第二の実行モジュール112とを含み、
ここで、前記第三の操作は、
前記第三の情報とマッチングする認証サービスネットワークエレメントを発見することであって、前記認証サービスネットワークエレメントの第四の情報は、前記第三の情報とマッチングすることと、
前記発見された認証サービスネットワークエレメントを送信することとのうちの少なくとも一つを含み、
ここで、前記認証サービスネットワークエレメントによりサポートされる認証サービスタイプは、デフォルト証明書を有する端末に認証サービスを提供することをサポートすることを含み、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一のネットワークと前記第二のネットワークは、同一のネットワーク又は異なるネットワークであり、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含む。
【0232】
選択的に、前記第三の情報とマッチングする認証サービスネットワークエレメントを発見する操作において、
前記第三の情報が第一のアクセス方式の指示情報を含む場合、前記発見された認証サービスネットワークエレメントによりサポートされるアクセス方式は、第一のアクセス方式であり、
又は、前記第三の情報が第一タイプのルーティング指示を含む場合、前記発見された認証サービスネットワークエレメントによりサポートされるルーティング指示は、第一タイプのルーティング指示であり、
又は、前記第三の情報が第一タイプのネットワーク識別子を含む場合、前記発見された認証サービスネットワークエレメントが属するネットワークのネットワーク識別子は、第一タイプのネットワーク識別子であり、
又は、前記第三の情報が第一タイプのグループ識別子を含む場合、前記発見された認証サービスネットワークエレメントが属するグループ識別子は、第一タイプのグループ識別子である。
【0233】
又は、前記第三の情報が認証プロバイダの情報を含む場合、前記発見された認証サービスネットワークエレメントによりサポートされる認証プロバイダ情報は、前記第三の情報における認証プロバイダの情報を含み、
又は、前記発見された認証サービスネットワークエレメントは、
前記発見された認証サービスネットワークエレメントによりサポートされるルーティング指示が、第一タイプのルーティング指示であることと、
前記発見された認証サービスネットワークエレメントが属するネットワークのネットワーク識別子が、第一タイプのネットワーク識別子であることと、
前記発見された認証サービスネットワークエレメントが属するグループ識別子が、第一タイプのグループ識別子であることと、
前記発見された認証サービスネットワークエレメントによりサポートされるアクセス方式が、第一のアクセス方式であることと、
前記発見された認証サービスネットワークエレメントによりサポートされる認証サービスタイプが、デフォルト証明書を有する端末に認証サービスを提供することをサポートすることであることとのうちの少なくとも一つを満たす。
【0234】
本実施例では、アクセス制御装置110は、本出願の図4に示される方法の実施例において実現される各プロセスを実現し、且つ同じ有益な効果を達成することができ、説明の繰り返しを回避するために、ここではこれ以上説明しない。
【0235】
図12を参照すると、本出願の実施例は、第四の通信機器に用いられるアクセス制御装置を提供し、このアクセス制御装置120は、
第四の情報を送信するための第二の送信モジュール121を含み、
ここで、前記第四の情報は、認証サービスネットワークエレメントのホーム情報を指示するために用いられ、前記第四の情報は、認証サービスネットワークエレメントによりサポートされるルーティング指示と、認証サービスネットワークエレメントが属するネットワークのネットワーク識別子と、認証サービスネットワークエレメントが属するグループ識別子と、認証サービスネットワークエレメントによりサポートされるアクセス方式と、認証サービスネットワークエレメントによりサポートされる認証サービスタイプと、認証サービスネットワークエレメントによりサポートされる認証プロバイダの情報であって、前記認証プロバイダがデフォルト証明書を有する端末を認証することができるものとのうちの少なくとも一つを含み、
ここで、前記認証サービスネットワークエレメントによりサポートされるルーティング指示は、第一タイプのルーティング指示であり、
前記認証サービスネットワークエレメントが属するネットワークのネットワーク識別子は、第一タイプのネットワーク識別子であり、
前記認証サービスネットワークエレメントが属するグループ識別子は、第一タイプのグループ識別子であり、
前記認証サービスネットワークエレメントによりサポートされるアクセス方式は、第一のアクセス方式を含み、
前記認証サービスネットワークエレメントによりサポートされる認証サービスタイプは、デフォルト証明書を有する端末に認証サービスを提供することをサポートすることを含み、
前記第一のアクセス方式は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを含み、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含む。
【0236】
選択的に、前記第二の送信モジュール121はさらに、第二の条件を満たす場合、前記第四の情報を送信するために用いられ、
ここで、前記第二の条件は、前記認証サービスネットワークエレメントが、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントであることを含む。
【0237】
本実施例では、アクセス制御装置120は、本出願の図5に示される方法の実施例において実現される各プロセスを実現し、且つ同じ有益な効果を達成することができ、説明の繰り返しを回避するために、ここではこれ以上説明しない。
【0238】
本出願は、第五の通信機器に用いられるアクセス制御装置をさらに提供し、このアクセス制御装置は、
第五の条件を満たす場合、第五の操作を実行するための第三の実行モジュールを含み、
前記第五の操作は、第五の情報を使用せずに端末のためにネットワークエレメントを選択することを含み、
ここで、
前記第五の条件は、前記端末が第一のアクセス方式であることを含み、
前記第五の情報は、端末のユーザ識別子と、端末ユーザ識別子におけるネットワーク識別子情報と、端末ユーザ識別子内のrealmにおける情報とのうちの少なくとも一つを含む。
【0239】
一つの実施の形態では、非第一のアクセス方式によってネットワークにアクセスする端末に対し、端末のユーザ識別子における情報に基づいて端末のためにネットワーク機器を選択することは、デフォルト操作である。そのため、非第一のアクセス方式によってネットワークにアクセスする端末に対し、例外操作を実行する必要がある。
【0240】
ここで、前記端末ユーザ識別子におけるネットワーク識別子情報は、端末ユーザ識別子内のMNCと、端末ユーザ識別子内のMCCと、端末ユーザ識別子におけるネットワーク識別子NIDとのうちの少なくとも一つを含む。
【0241】
選択的に、前記装置は、
第一の情報を得るための第三の取得モジュールをさらに含み、前記第一の情報は、第一のアクセス方式の指示情報と、第一タイプのルーティング指示と、第一タイプのネットワーク識別子とのうちの少なくとも一つを含み、前記第二の情報は、第一タイプのネットワーク識別子と、第一タイプのルーティング指示と、第一タイプのグループ識別子と、端末の識別子情報とのうちの少なくとも一つを含み、ここで、
前記第一のアクセス方式の指示情報は、第二のネットワークにアクセスするための証明書をダウンロードするために第一のネットワークにアクセスするアクセス方式と、第一のネットワークにアクセスできる証明書を有せずに第一のネットワークにアクセスするアクセス方式と、制限付きサービスのみを使用できるアクセス方式と、端末が第一のネットワークにアクセスする証明書がデフォルト証明書であることとのうちの少なくとも一つを指示するために用いられ、
前記第一タイプのグループ識別子は、第一のアクセス方式の端末に認証サービスを提供するための認証サービスネットワークエレメントのグループ識別子を含み、
前記第一タイプのネットワーク識別子は、第一のアクセス方式のためのネットワーク識別子を含み、
前記第一タイプのルーティング指示は、第一のアクセス方式のためのルーティング指示を含み、
前記端末の識別子情報は、端末の第一の識別子と、端末の第二の識別子と、端末の第三の識別子とのうちの少なくとも一つを含み、
前記端末の第一の識別子は、端末の認証プロバイダの情報を含み、
前記端末の第二の識別子は、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示を含み、
前記端末の第三の識別子には、端末の認証プロバイダの情報、第一タイプのネットワーク識別子及び/又は第一タイプのルーティング指示が含まれる。
【0242】
選択的に、前記装置は、
第一の情報に基づいて第五の条件を満たすことを決定するための決定モジュールをさらに含む。
【0243】
選択的に、前記ネットワークエレメントは、コアネットワークネットワークエレメントと、AUSFと、UDMと、UDRとのうちの少なくとも一つを含む。
【0244】
一つの実施の形態では、前記ネットワークエレメントは、ネットワーク機器であってもよい。
【0245】
図13は、本出願の実施例による別の通信機器の構造概略図であり、通信機器130は、プロセッサ131と、メモリ132と、前記メモリ132に記憶され、且つ前記プロセッサ上で運行できるコンピュータプログラムとを含み、通信機器130における各アセンブリは、バスインターフェース133を介して結合され、前記コンピュータプログラムは、前記プロセッサ131によって実行される時、上記図2に示される方法の実施例において実現される各プロセスを実現し、又は、上記図3に示される方法の実施例において実現される各プロセスを実現し、又は、上記図4に示される方法の実施例において実現される各プロセスを実現し、又は、上記図5に示される方法の実施例において実現される各プロセスを実現し、且つ同じ技術的効果を達成することができる。説明の繰り返しを回避するために、ここではこれ以上説明しない。
【0246】
本出願の実施例は、コンピュータ可読記憶媒体をさらに提供し、前記コンピュータ可読記憶媒体上には、コンピュータプログラムが記憶されており、前記コンピュータプログラムがプロセッサにより実行される時、上記図2に示される方法の実施例において実現される各プロセスを実現し、又は、上記図3に示される方法の実施例において実現される各プロセスを実現し、又は、上記図4に示される方法の実施例において実現される各プロセスを実現し、又は、上記図5に示される方法の実施例において実現される各プロセスを実現し、且つ同じ技術的効果を達成することができる。説明の繰り返しを回避するために、ここではこれ以上説明しない。前記のコンピュータ可読記憶媒体は、例えばリードオンリーメモリ(Read-Only Memory、ROM)、ランダムアクセスメモリ(Random Access Memory、RAM)、磁気ディスク又は光ディスクなどを含む。
【0247】
説明すべきこととして、本明細書では、用語である「含む」、「包含」又はその他の任意の変形は、非排他的な「含む」を意図的にカバーするものであり、それによって一連の要素を含むプロセス、方法、物品又は装置は、それらの要素を含むだけではなく、明確にリストアップされていない他の要素も含み、又はこのようなプロセス、方法、物品又は装置に固有の要素も含む。それ以上の制限がない場合に、「・・・を1つ含む」という文章で限定された要素について、この要素を含むプロセス、方法、物品又は装置には他の同じ要素も存在することが排除されるものではない。
【0248】
以上の実施の形態の記述によって、当業者であればはっきりと分かるように、上記実施例の方法は、ソフトウェアと必要な汎用ハードウェアプラットフォームの形態によって実現されることができる。無論、ハードウェアによって実現されてもよいが、多くの場合、前者は、より好適な実施の形態である。このような理解を踏まえて、本出願の技術案は、実質には又は従来の技術に寄与した部分がソフトウェア製品の形式によって具現化されてもよい。このコンピュータソフトウェア製品は、一つの記憶媒体(例えばROM/RAM、磁気ディスク、光ディスク)に記憶され、一台の端末(携帯電話、コンピュータ、サーバ、エアコン、又はネットワーク機器などであってもよい)に本出願の各実施例に記載の方法を実行させるための若干の命令を含む。
【0249】
以上は、図面を結び付けながら、本出願の実施例を記述したが、本出願は、上記の具体的な実施の形態に限らない。上記の具体的な実施の形態は、例示的なものに過ぎず、制限性のあるものではない。当業者は、本出願の示唆で、本出願の趣旨と請求項が保護する範囲から逸脱しない限り、多くの形式を行うこともでき、いずれも本出願の保護範囲に属する。
図1A
図1B
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.