特許7565321オンボーディングプロセスのためのユーザ端末と通信ネットワークとの間の認証
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-02
(45)【発行日】2024-10-10
(54)【発明の名称】オンボーディングプロセスのためのユーザ端末と通信ネットワークとの間の認証
(51)【国際特許分類】
H04W 12/062 20210101AFI20241003BHJP
H04W 12/72 20210101ALI20241003BHJP
H04W 60/04 20090101ALI20241003BHJP
【FI】
H04W12/062
H04W12/72
H04W60/04
【請求項の数】
36
【外国語出願】
(21)【出願番号】P 2022125437
(22)【出願日】2022-08-05
(65)【公開番号】P2023024400
(43)【公開日】2023-02-16
【審査請求日】2022-12-02
(31)【優先権主張番号】202141035567
(32)【優先日】2021-08-06
(33)【優先権主張国・地域又は機関】IN
(73)【特許権者】
【識別番号】515076873
【氏名又は名称】ノキア テクノロジーズ オサケユイチア
(74)【代理人】
【識別番号】100094569
【弁理士】
【氏名又は名称】田中 伸一郎
(74)【代理人】
【識別番号】100103610
【弁理士】
【氏名又は名称】▲吉▼田 和彦
(74)【代理人】
【識別番号】100109070
【弁理士】
【氏名又は名称】須田 洋之
(74)【代理人】
【識別番号】100067013
【弁理士】
【氏名又は名称】大塚 文昭
(74)【代理人】
【識別番号】100086771
【弁理士】
【氏名又は名称】西島 孝喜
(74)【代理人】
【氏名又は名称】上杉 浩
(74)【代理人】
【識別番号】100120525
【弁理士】
【氏名又は名称】近藤 直樹
(74)【代理人】
【識別番号】100139712
【弁理士】
【氏名又は名称】那須 威夫
(74)【代理人】
【識別番号】100228337
【弁理士】
【氏名又は名称】大橋 綾
(72)【発明者】
【氏名】マルクス シュタウファー
(72)【発明者】
【氏名】ライナー リープハルト
(72)【発明者】
【氏名】スメシュ パラメシュワラン ナイール
(72)【発明者】
【氏名】ボー ホルム ビエルム
【審査官】倉本 敦史
(56)【参考文献】
【文献】米国特許出願公開第2021/0058784(US,A1)
【文献】3GPP TR 23.700-07 V17.0.0,2021年03月31日,pp.46-48, 116-117
(58)【調査した分野】(Int.Cl.,DB名)
H04W 4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
装置であって、少なくとも1つのプロセッサと、
コンピュータプログラムコードを含む、少なくとも1つのメモリと、
前記少なくとも1つのメモリおよび前記コンピュータプログラムコードは、前記少なくとも1つのプロセッサにより、前記装置に少なくとも、
前記装置とオンボーディングネットワークとの間の認証プロセスを開始させることであって、前記認証プロセスは、前記オンボーディングネットワークを介して、前記装置または前記装置の組に対して事前に構成され、前記オンボーディングネットワークによって維持される少なくとも1つのオンボーディングレコードに基づいて、行われることと、
前記認証プロセスが正常に完了すると、前記オンボーディングネットワークを介して、前記装置のリモートプロビジョニングのためのプロビジョニングサーバーに通信セッションを要求することと、
リモートプロビジョニングが正常に完了すると、前記オンボーディングネットワークから登録を解除し、登録解除要求において前記オンボーディングネットワークにリモートプロビジョニングの成功に関する表示を提供することと、
(1)明示的な要求、(2)トリガーアクション、および(3)前記少なくとも1つのオンボーディングレコードに関連する有効期間パラメータのうちの1つ以上に基づいて、前記少なくとも1つのオンボーディングレコードを削除させることと、
をさせるように構成される、
装置。
【請求項2】
前記オンボーディングネットワークは、オンボーディングスタンドアロン非公共ネットワーク(ON-SNPN)を含む、請求項1記載の装置。
【請求項3】
前記装置は、前記オンボーディングネットワークにアクセスするように構成されたユーザ端末の一部である、請求項1記載の装置。
【請求項4】
前記オンボーディングネットワークによって維持される前記少なくとも1つのオンボーディングレコードは、前記ユーザ端末に固有のオンボーディング識別子を含む、請求項3に記載の装置。
【請求項5】
前記ユーザ端末に固有の前記オンボーディング識別子は、前記ユーザ端末の加入者識別子を含む、請求項4に記載の装置。
【請求項6】
前記ユーザ端末の前記加入者識別子は、オンボーディング加入者永久識別子(SUPI)およびオンボーディング加入者暗号化識別子(SUCI)のうちの1つを備える、請求項5に記載の装置。
【請求項7】
方法であって、ユーザ端末によって、前記ユーザ端末とオンボーディングネットワークとの間の認証プロセスを開始させることであって、前記認証プロセスが、前記オンボーディングネットワークを介して、前記ユーザ端末または前記ユーザ端末の組に対して事前に構成され、前記オンボーディングネットワークによって維持される少なくとも1つのオンボーディングレコードに基づいて、行われることと、
前記認証プロセスが正常に完了すると、前記オンボーディングネットワークを介して、前記ユーザ端末のリモートプロビジョニングのためのプロビジョニングサーバーに通信セッションを要求することと、
リモートプロビジョニングが正常に完了すると、前記オンボーディングネットワークから登録を解除し、登録解除要求において前記オンボーディングネットワークにリモートプロビジョニングの成功に関する表示を提供することと、
(1)明示的な要求、(2)トリガーアクション、および(3)前記少なくとも1つのオンボーディングレコードに関連する有効期間パラメータのうちの1つ以上に基づいて、前記少なくとも1つのオンボーディングレコードを削除させることと、
を含む、方法。
【請求項8】
前記オンボーディングネットワークは、オンボーディングスタンドアロン非公共ネットワーク(ON-SNPN)を含む、請求項7に記載の方法。
【請求項9】
前記オンボーディングネットワークによって維持される前記少なくとも1つのオンボーディングレコードは、前記ユーザ端末に固有のオンボーディング識別子を含む、請求項7に記載の方法。
【請求項10】
前記ユーザ端末に固有の前記オンボーディング識別子は、オンボーディング加入者永久識別子(SUPI)およびオンボーディング加入者暗号化識別子(SUCI)のうちの1つを含む、請求項9に記載の方法。
【請求項11】
プロセッサによって実行されたときにプロセッサに請求項7のことを実行させる実行可能なプログラムコードをそこに含む、非一時的コンピュータ可読記憶媒体を備える、製造物品。
【請求項12】
システムであって、1つ以上のプロセッサと、
コンピュータプログラムコードを含む、1つ以上のメモリと、
前記1つ以上のメモリおよび前記コンピュータプログラムコードは、前記1つ以上のプロセッサにより、前記システムに少なくとも、
オンボーディングネットワークのうち1つ以上のネットワークエンティティを介して、ユーザ端末または前記ユーザ端末の組に対して事前に構成され、前記1つ以上のネットワークエンティティのうちの1つによって維持される少なくとも1つのオンボーディングレコードに基づいて、前記ユーザ端末を認証することと、
認証に成功した場合、前記1つ以上のネットワークエンティティの少なくとも1つを介して、前記ユーザ端末のリモートプロビジョニングのためのプロビジョニングサーバーとの通信セッションの確立を可能にすることと、
リモートプロビジョニングが正常に完了すると、前記オンボーディングネットワークから登録を解除し、登録解除要求において前記オンボーディングネットワークにリモートプロビジョニングの成功に関する表示を提供することと、
(1)明示的な要求、(2)トリガーアクション、および(3)前記少なくとも1つのオンボーディングレコードに関連する有効期間パラメータのうちの1つ以上に基づいて、前記少なくとも1つのオンボーディングレコードを削除することと、
をさせるように構成される、
システム。
【請求項13】
前記システムは、オンボーディングスタンドアロン非公共ネットワーク(ON-SNPN)の一部である、請求項12に記載のシステム。
【請求項14】
前記少なくとも1つのオンボーディングレコードが構成され維持される前記1つ以上のネットワークエンティティのうちの前記1つは、1つ以上のデータ管理およびリポジトリネットワーク機能を備える、請求項12に記載のシステム。
【請求項15】
前記1つ以上のデータ管理およびリポジトリ機能は、統合データ管理(UDM)機能および統合データリポジトリ(UDR)機能のうちの少なくとも1つを備える、請求項14に記載のシステム。
【請求項16】
前記1つ以上のデータ管理およびリポジトリネットワーク機能は、(1)前記ユーザ端末に関連する所有者エンティティから構成情報を受信し、(2)前記受信した構成情報から前記少なくとも1つのオンボーディングレコードを作成し、(3)前記少なくとも1つのオンボーディングレコードを格納する、ように動作可能である、請求項14に記載のシステム。
【請求項17】
前記1つ以上のデータ管理およびリポジトリネットワーク機能は、(1)明示的な要求、(2)トリガーアクション、および(3)前記少なくとも1つのオンボーディングレコードに関連する有効期間パラメータのうちの1つ以上に基づいて、前記少なくとも1つのオンボーディングレコードを削除するようにさらに動作可能である、請求項14に記載のシステム。
【請求項18】
前記少なくとも1つのオンボーディングレコードは、前記ユーザ端末に固有のオンボーディング識別子を含む、請求項14に記載のシステム。
【請求項19】
前記ユーザ端末に固有の前記オンボーディング識別子は、前記1つ以上のデータ管理およびリポジトリ機能によって格納された前記少なくとも1つのオンボーディングレコードにアクセスするために使用可能である、請求項18に記載のシステム。
【請求項20】
前記少なくとも1つのオンボーディングレコードは、複数のユーザ端末にそれぞれ固有の複数のオンボーディング識別子をさらに含む、請求項14に記載のシステム。
【請求項21】
前記少なくとも1つのオンボーディングレコードは、認証局によって発行された証明書をさらに含む、請求項14に記載のシステム。
【請求項22】
前記認証局によって発行された前記証明書は、前記ユーザ端末によって提供された証明書を検証するために、前記1つ以上のネットワークエンティティのうちの他の1つによって使用可能である、請求項21に記載のシステム。
【請求項23】
前記認証局によって発行された前記証明書を使用して、前記ユーザ端末によって提供された前記証明書を検証する前記1つ以上のネットワークエンティティのうちの前記他の1つは、認証サーバー機能(AUSF)を含む、請求項22に記載のシステム。
【請求項24】
前記ユーザ端末によって提供された前記証明書を検証するために使用される前記1つ以上のネットワークエンティティのうちの前記他の1つは、前記ユーザ端末に固有のオンボーディング識別子に基づいて、前記1つ以上のネットワークエンティティのうちのさらに他の1つによって選択可能である、請求項22に記載のシステム。
【請求項25】
前記1つ以上のネットワークエンティティのうちの前記さらに他の1つは、アクセスおよびモビリティ管理機能(AMF)を含む、請求項24に記載のシステム。
【請求項26】
前記少なくとも1つのオンボーディングレコードは、認証に成功した場合に、前記ユーザ端末をリモートでプロビジョニングするための前記通信セッションを確立するために、前記プロビジョニングサーバーにアクセスするための情報をさらに含む、請求項14に記載のシステム。
【請求項27】
方法であって、オンボーディングネットワークを介して、ユーザ端末または前記ユーザ端末の組に対して事前に構成され、前記オンボーディングネットワークによって維持されるオンボーディングレコードに基づいて、前記ユーザ端末を認証することと、
認証に成功した場合、前記オンボーディングネットワークから、前記ユーザ端末のリモートプロビジョニングのためのプロビジョニングサーバーに通信セッションを確立することと、
リモートプロビジョニングが正常に完了した場合、前記オンボーディングネットワークから登録を解除し、登録解除要求において前記オンボーディングネットワークにリモートプロビジョニングの成功に関する表示を提供することと、
(1)明示的な要求、(2)トリガーアクション、および(3)前記オンボーディングレコードに関連する有効期間パラメータのうちの1つ以上に基づいて、前記オンボーディングレコードを削除することと、
を含む、方法。
【請求項28】
前記認証するステップは、前記オンボーディングネットワークの第1のネットワークエンティティが、前記オンボーディングネットワークの第2のネットワークエンティティに認証要求を送信することをさらに含み、前記認証要求は、前記ユーザ端末に固有の識別子と、前記認証要求がオンボーディング向けのものであるという表示とを含む、請求項27に記載の方法。
【請求項29】
前記認証するステップは、前記第2のネットワークエンティティが、前記ユーザ端末に固有の前記識別子に基づいて前記オンボーディングレコードを取得することと、前記第1のネットワークエンティティに認証応答を送信することと、をさらに含み、前記認証応答は、認証局によって発行された証明書を含む、請求項28に記載の方法。
【請求項30】
前記認証するステップは、前記第1のネットワークエンティティが、前記認証局によって発行された前記証明書を使用して前記ユーザ端末によって提供された証明書を検証することと、検証に成功すると、前記オンボーディングネットワークの第3のネットワークエンティティに認証応答を送信することと、をさらに含み、前記認証応答が前記ユーザ端末に固有の前記識別子を含む、請求項29に記載の方法。
【請求項31】
前記認証するステップは、前記第3のネットワークエンティティが、前記第2のネットワークエンティティに登録要求を送信することをさらに含み、前記登録要求は、前記ユーザ端末に固有の前記識別子、または前記ユーザ端末に固有および前記ユーザ端末によって提供される任意の他の識別子を含む、請求項30に記載の方法。
【請求項32】
前記認証するステップは、前記第2のネットワークエンティティが前記第3のネットワークエンティティに登録応答を送信することであって、前記登録応答はプロビジョニングサーバーにアクセスするための情報を含み、送信することと、前記第3のネットワークエンティティが前記ユーザ端末に登録受付を提供することと、をさらに含む、請求項31に記載の方法。
【請求項33】
前記認証するステップの前に、前記第2のネットワークエンティティが、(1)前記ユーザ端末に関連する所有者エンティティから構成情報を受信することと、(2)前記受信した構成情報から前記オンボーディングレコードを作成することと、(3)前記少なくとも1つのオンボーディングレコードを格納することと、をさらに含む、請求項32に記載の方法。
【請求項34】
前記第2のネットワークエンティティは、(1)明示的な要求、(2)トリガーアクション、および(3)前記オンボーディングレコードに関連する有効期間パラメータのうちの1つ以上に基づいて、前記オンボーディングレコードを削除する、請求項33に記載の方法。
【請求項35】
前記第1のネットワークエンティティは、認証サーバー機能(AUSF)を含み、前記第2のネットワークエンティティは、統合データ管理(UDM)機能および/または統合データリポジトリ(UDR)機能を含み、前記第3のネットワークエンティティは、アクセスおよびモビリティ管理機能(AMF)を含む、請求項34に記載の方法。
【請求項36】
1つ以上のプロセッサによって実行されたとき、1つ以上のプロセッサに、請求項27のステップを実行させる実行可能なプログラムコードをそこに含む、非一時的コンピュータ可読記憶媒体を備える、製造物品。
【発明の詳細な説明】
【技術分野】
【0001】
本分野は、一般に、通信ネットワークに関し、より具体的には、そのような通信ネットワークにおけるセキュリティ管理に関するものであるが、これに限定されない。
【背景技術】
【0002】
本節では、本発明をよりよく理解するために役立つ態様を紹介する。したがって、本節の記載は、この観点から読まれるべきであり、先行技術にあるものまたは先行技術にないものの容認として理解されるものでない。
【0003】
Long Term Evolution(LTE)技術としても知られる第4世代(4G)無線移動体通信技術は、特に人間の相互作用のために高いデータレートで大容量のモバイルマルチメディアを提供するように設計されたものである。次世代または第5世代(5G)技術は、人間の相互作用のためだけでなく、いわゆるモノのインターネット(IoT)ネットワークにおけるマシンタイプ通信のためにも使用されることを意図している。
【0004】
5Gネットワークは、大規模なIoTサービス(例えば、非常に多数の限られた容量のデバイス)およびミッションクリティカルなIoTサービス(例えば、高い信頼性が必要)を可能にすることを意図しているが、従来の移動体通信サービスに対する改善は、モバイルデバイスに対して改良型無線インターネットアクセスを提供する高速大容量(eMBB)サービスの形態でサポートされる。
【0005】
例示的な通信システムにおいて、モバイル端末(加入者)などのユーザ端末(5Gネットワークにおける5G UE、より広義にはUE)は、5Gネットワークにおいて5G ANと呼ばれるアクセスネットワークの基地局またはアクセスポイントとエアインターフェースを介して通信する。アクセスポイント(例えば、gNB)は、例示的に、通信システムのアクセスネットワークの一部である。例えば、5Gネットワークにおいて、5G ANと呼ばれるアクセスネットワークは、「Technical Specification Group Services and System Aspects; System Architecture for the 5G System」と題する5Gの技術仕様書(TS)23.501、および「Technical Specification Group Services and System Aspects; Procedures for the 5G System(5GS)」と題するTS 23.502で説明され、それらの開示は参照により全体として本明細書に組み込まれるものとする。一般に、アクセスポイント(gNBなど)は、UEに対してコアネットワーク(CNまたは5GC)へのアクセスを提供し、コアネットワークは、UEに対して他のUEおよび/またはパケットデータネットワーク(インターネットなど)などのデータネットワークへのアクセスを提供する。
【0006】
TS 23.501は、サービスをネットワーク機能(NF)としてモデル化し、表現状態転送アプリケーションプログラミングインターフェース(Restful API)を使用して互いに通信する5Gサービスベースアーキテクチャ(SBA)をさらに定義している。
【0007】
さらに、「Technical Specification Group Services and System Aspects; Security Architecture and Procedures for the 5G System」と題する5Gの技術仕様書(TS) 33.501は、その開示内容が参照により全体として本明細書に組み込まれるが、5Gネットワークに関連するセキュリティ管理の詳細についてさらに説明している。
【0008】
TS 23.501およびTS 33.501は、「UEオンボーディング」または「デバイスオンボーディング」(またはより一般的にはオンボーディングプロセス)と呼ばれる、UEのオンボーディングプロセスにも言及することにさらに留意されたい。より具体的には、オンボーディングは、初めてオンラインになる新しいデバイスがプロビジョニングされるプロセスである。新しいデバイスは、ベースライン接続(baseline connectivity)とネットワークサービスを獲得し、デバイスがネットワークやアプリケーション層の手順で自身をブートストラップできるようにする。
【0009】
セキュリティ管理は、あらゆる通信システムにおいて重要な考慮事項である。しかし、ネットワークの効率や加入者の利便性を高めるために、5Gネットワークに関連するアーキテクチャやプロトコルを改善しようとする試みが続いているため、セキュリティ管理の問題は、特にオンボーディングプロセスに関して大きな課題となる可能性がある。
【発明の概要】
【0010】
例示的な実施形態は、ユーザ端末のためのオンボーディングプロセスの間のセキュリティ管理のための技術を提供する。
【0011】
例えば、ユーザ端末の観点からの1つの例示的な実施形態では、方法は、ユーザ端末によって、前記ユーザ端末とオンボーディングネットワークとの間の認証プロセスを開始させることであって、前記認証プロセスが、前記オンボーディングネットワークを介して、前記ユーザ端末または前記ユーザ端末の組に対して事前に構成され、前記オンボーディングネットワークによって維持される、少なくとも1つのオンボーディングレコードに基づいて、行われる。前記認証プロセスが正常に完了すると、通信セッションが、前記オンボーディングネットワークを介して、前記ユーザ端末のリモートプロビジョニングのためのプロビジョニングサーバーに要求される。
【0012】
さらなる例として、オンボーディングネットワークの観点からの1つの例示的な実施形態では、方法は、オンボーディングネットワークを介して、ユーザ端末または前記ユーザ端末の組に対して事前に構成され、前記オンボーディングネットワークによって維持されるオンボーディングレコードに基づいて、前記ユーザ端末を認証することを含む。認証に成功した場合、通信セッションが、前記オンボーディングネットワークから、前記ユーザ端末のリモートプロビジョニングのためのプロビジョニングサーバーに確立される。
を含む、方法。
を含む、方法。
【0013】
さらなる例示的な実施形態は、プロセッサによって実行されたときにプロセッサに上記のステップを実行させる実行可能なプログラムコードをそこに含む、非一時的コンピュータ可読記憶媒体の形態で提供される。さらに、さらなる例示的な実施形態は、上記のステップを実行するように構成されたプロセッサとメモリとを備える装置を備える。有利には、オンボーディングプロセスは、デフォルトクレデンシャルサーバーなしに実行される。
【0014】
本明細書に記載される実施形態のこれらおよび他の特徴および利点は、添付の図面および以下の詳細な説明からより明らかになるであろう。
【図面の簡単な説明】
【0015】
【図1】1つ以上の例示的な実施形態が実装され得る通信システムを示す図である。
【図2】1つ以上の例示的な実施形態が実装され得るユーザ端末およびネットワークエンティティを示す図である。
【図3】例示的な実施形態による、通信ネットワークに関するユーザ端末のオンボーディングプロセスを示す図である。
【図4】例示的な実施形態による、ユーザ端末のためのオンボーディングプロセスにおける信号フローを示す図である。
【図5】例示的な実施形態による、ユーザ端末のためのオンボーディングレコードを作成/削除するための信号フローを示す図である。
【発明を実施するための形態】
【0016】
実施形態は、通信システムにおけるセキュリティ管理のための例示的な通信システムおよび関連する技術と共に本明細書に例示される。しかし、特許請求の範囲は、開示された特定の種類の通信システムおよび/またはプロセスに限定されないことを理解されたい。実施形態は、代替のプロセスおよび動作を使用して、多種多様な他の種類の通信システムで実施することができる。例えば、3GPP次世代システム(5G)などの3GPPシステム要素を利用する無線携帯電話システムのコンテキストで図示されているが、開示された実施形態は、様々な他の種類の通信システムにそのまま適応させることができる。
【0017】
5G通信システム環境で実装される例示的な実施形態に従って、1つ以上の3GPP技術仕様書(TS)および技術報告書(TR)は、例えば、上記の3GPP TS 23.501および3GPP TS 33.501など、本発明のソリューションの一部と相互作用し得るネットワーク要素/機能および/または動作に関するさらなる説明を提供し得る。他の3GPP TS/TR文書は、当業者が実現する他の詳細を提供することができる。例えば、「Technical Specification Group Services and System Aspects; Study on Enhanced Security Support for Non-Public Networks (NPN)」と題するTR 33.857;その開示内容は参照によりその全体が本明細書に組み込まれるが、以下に言及するか、またはいくつかの例示の実施形態のコンテキストにおいて他の形で適用することができる。しかし、5G関連の3GPP規格によく適しているが、実施形態は、必ずしも特定の規格に限定されることを意図していない。
【0018】
さらに、本明細書で例示的に使用されるように、以下を含むがこれらに限定されない様々な略語が参照されるであろう。
AMF:アクセスおよびモビリティ管理機能(Access and Mobility management Function)
API:アプリケーションプログラミングインタフェース(Application Programming Interface)
AUSF:認証サーバー機能(Authentication Server Function)
CA:認証局(Certificate Authority)
DCO:DCS所有者(DCS Owner)
DCS:デフォルトクレデンシャルサーバー(Default Credential Server)
DNS:ドメイン名サーバー(Domain Name Server)
FQDN:完全修飾ドメイン名(Fully Qualified Domain Name)
HNI:ホームネットワークID(Home Network Identity)
NEF:ネットワークエクスポージャー機能(Network Exposure Function)
NF:ネットワーク機能(Network Function)
ONN:オンボーディングネットワーク(Onboarding Network)
ON-SNPN:オンボーディングSNPN(Onboarding SNPN)
ON-SUPI:オンボーディングSUPI(Onboarding SUPI)
PCF:ポリシー制御機能(Policy Control Function)
PEI:端末永久識別子(Permanent Equipment Identifier)
PVS:プロビジョニングサーバー(Provisioning Server)
SMF:セッション管理機能(Session Management Function)
SNPN:スタンドアロン非公共ネットワーク(Standalone Non-Public Network)
SO-SNPN:加入所有者スタンドアロン非公共ネットワーク(Subscription Owner Standalone Non-Public Network)
SUCI:加入者暗号化識別子(Subscription Concealed Identifier)
SUPI:加入者永久識別子(Subscription Permanent Identifier)
UDR:統合データリポジトリ(Unified Data Repository)
UPF:ユーザプレーン機能(User Plane Function)
AMF:アクセスおよびモビリティ管理機能(Access and Mobility management Function)
API:アプリケーションプログラミングインタフェース(Application Programming Interface)
AUSF:認証サーバー機能(Authentication Server Function)
CA:認証局(Certificate Authority)
DCO:DCS所有者(DCS Owner)
DCS:デフォルトクレデンシャルサーバー(Default Credential Server)
DNS:ドメイン名サーバー(Domain Name Server)
FQDN:完全修飾ドメイン名(Fully Qualified Domain Name)
HNI:ホームネットワークID(Home Network Identity)
NEF:ネットワークエクスポージャー機能(Network Exposure Function)
NF:ネットワーク機能(Network Function)
ONN:オンボーディングネットワーク(Onboarding Network)
ON-SNPN:オンボーディングSNPN(Onboarding SNPN)
ON-SUPI:オンボーディングSUPI(Onboarding SUPI)
PCF:ポリシー制御機能(Policy Control Function)
PEI:端末永久識別子(Permanent Equipment Identifier)
PVS:プロビジョニングサーバー(Provisioning Server)
SMF:セッション管理機能(Session Management Function)
SNPN:スタンドアロン非公共ネットワーク(Standalone Non-Public Network)
SO-SNPN:加入所有者スタンドアロン非公共ネットワーク(Subscription Owner Standalone Non-Public Network)
SUCI:加入者暗号化識別子(Subscription Concealed Identifier)
SUPI:加入者永久識別子(Subscription Permanent Identifier)
UDR:統合データリポジトリ(Unified Data Repository)
UPF:ユーザプレーン機能(User Plane Function)
【0019】
例示的な実施形態を説明する前に、図1および図2のコンテキストにおいて、5Gネットワークの特定の主要構成要素の一般的な説明を以下に記載し、その後、そのような5GネットワークへのUEオンボーディングのための既存のプロセスを説明する。
【0020】
図1は、例示的な実施形態が実装される内の通信システム100を示す。通信システム100に示される要素は、システム内で提供される主な機能、例えば、UEアクセス機能、モビリティ管理機能、認証機能、サービングゲートウェイ機能などを表すことを意図していることが理解される。そのため、図1に示されたブロックは、これらの主要な機能を提供する5Gネットワーク内の特定の要素を参照する。しかし、他のネットワーク要素が、表された主要機能の一部または全部を実装するために使用され得る。また、図1には、5Gネットワークのすべての機能が描かれているわけではないことを理解されたい。むしろ、例示的な実施形態の説明を容易にする少なくともいくつかの機能が表されている。後続の図には、いくつかの追加の要素/機能(すなわち、ネットワークエンティティ)が描かれている場合がある。
【0021】
したがって、示されるように、通信システム100は、アクセスポイント(gNB)104とエアインターフェース103とを介して通信するユーザ端末(UE)102から構成される。UE102は、gNB以外の5Gコアと通信するために、1つ以上の他の種類のアクセスポイント(例えば、アクセス機能、ネットワークなど)を使用することができることが理解されよう。あくまで例として、アクセスポイント104は、N3IWF(非3GPPインターワーキング機能(Non-3GPP Interworking Function))、TNGF(信頼された非3GPPゲートウェイ機能(Trusted Non-3GPP Gateway Function))、W-AGF(有線アクセスゲートウェイ機能(Wireline Access Gateway Function))などの任意の5Gアクセスネットワークであってもよく、従来のアクセスポイント(eNBなど)に相当するものであってもよい。
【0022】
UE102は移動端末であってもよく、そのような移動端末は、一例として、携帯電話、コンピュータ、または任意の他の種類の通信デバイスで構成されてもよい。したがって、本明細書で使用される「ユーザ端末」という用語は、ラップトップに挿入されたデータカードまたはスマートフォンなどの他のデバイスの組み合わせなどの例を含む、様々な異なる種類の移動端末、加入者端末、またはより一般的には通信デバイスを包含するように、広義に解釈されることが意図される。このような通信デバイスは、一般にアクセス端末と呼ばれるデバイスを包含することも意図している。
【0023】
一実施形態では、UE102は、汎用集積回路カード(UICC)部とモバイル端末(ME)部とで構成される。UICCは、UEのユーザ依存部分であり、少なくとも1つのユニバーサル加入者IDモジュール(USIM)および適切なアプリケーションソフトウェアを含む。USIMは、加入者永久識別子とその関連鍵とを安全に格納し、アクセスネットワークへの加入者を一意に識別および認証するために使用される。MEはUEのユーザ非依存部分であり、端末機器(TE)機能および様々な移動端末(MT)機能を含んでいる。
【0024】
一実施例では、加入者永久識別子は、UEに固有の国際移動体加入者識別子(IMSI)であることに留意されたい。一実施形態では、IMSIは、固定15桁の長さであり、3桁の移動体国コード(MCC)、3桁の移動体ネットワークコード(MNC)、および9桁の移動体端末識別番号(MSIN)で構成される。5G通信システムでは、IMSIは加入者永久識別子(SUPI)と呼ばれる。SUPIとしてのIMSIの場合、MSINは加入者のIDを提供する。したがって、通常、IMSIのMSIN部分のみを暗号化する必要がある。IMSIのMNCおよびMCC部分は、サービングネットワークが正しいホームネットワークにルーティングするために使用する、ルーティング情報を提供する。SUPIのMSINが暗号化されている場合、それは加入者暗号化識別子(SUCI)と呼ばれる。SUPIの他の例では、ネットワークアクセス識別子(NAI)を使用する。NAIは、典型的には、IoT通信に使用される。
【0025】
アクセスポイント104は、例示的に、通信システム100のアクセスネットワークの一部である。このようなアクセスネットワークは、例えば、複数の基地局および1つ以上の関連する無線ネットワーク制御機能を有する5Gシステムで構成されてもよい。基地局および無線ネットワーク制御機能は、論理的に別個のエンティティであってもよいが、所定の実施形態では、例えば、基地局ルータまたは携帯電話アクセスポイントなどの同じ物理ネットワーク要素に実装されてもよい。
【0026】
この例示的な実施形態におけるアクセスポイント104は、モビリティ管理機能106に動作可能に結合される。5Gネットワークでは、モビリティ管理機能は、アクセスおよびモビリティ管理機能(AMF)により実装される。セキュリティアンカー機能(SEAF)も、UEをモビリティ管理機能と接続するAMFと共に実装され得る。本明細書で使用されるモビリティ管理機能とは、通信システムのコアネットワーク(CN)部分において、他のネットワーク動作のうち、UEとのアクセスおよびモビリティ動作を(アクセスポイント104を介して)管理するか、そうでなければ、参加する要素または機能(すなわち、エンティティ)である。AMFは、本明細書において、より一般的には、アクセスおよびモビリティ管理エンティティとも呼ばれ得る。
【0027】
この例示的な実施形態におけるAMF106は、他のネットワーク機能108に動作可能に結合されている。示されるように、機能108のいくつかは、統合データ管理(UDM)機能、統合データリポジトリ(UDR)、ならびに認証サーバー機能(AUSF)を含むことができる。AUSFおよびUDM/UDR(別個にまたは集合的に)は、本明細書において、より一般的には、認証エンティティとしても言及される。さらに、機能108は、ネットワークエクスポージャー機能(NEF)、アプリケーション機能(AF)、およびサービス提供者(NFp)および/またはサービス利用者(NFc)として動作できる他のネットワーク機能を含み得るが、これらに限定されない。どのネットワーク機能も、あるサービスではサービス提供者となり、他のサービスではサービス利用者となり得ることに留意されたい。さらに、提供されるサービスがデータを含む場合、データを提供するNFpはデータ提供者と呼ばれ、データを要求するNFcはデータ利用者と呼ばれる。また、データ提供者は、他のNFによって生成されたデータを修正または他の方法で処理することによってデータを生成するNFであることができる。
【0028】
UE102などのUEは、典型的には、機能106および108の一部またはすべてが存在するホーム公衆陸上移動体ネットワーク(HPLMN)と呼ばれるものに加入していることに留意されたい。HPLMNは、家庭環境(HE)とも呼ばれる。UEがローミングしている(HPLMNにいない)場合、UEは通常、訪問済みネットワークとも呼ばれる訪問済み公衆陸上移動体ネットワーク(VPLMN)と接続され、UEに現在サービスを提供しているネットワークはサービングネットワークと呼ばれる。ローミングの場合、機能106および108のいくつかはVPLMNに常駐することができ、その場合、VPLMN内の機能は、必要に応じてHPLMN内の機能と通信する。しかし、非ローミングシナリオでは、モビリティ管理機能106および他のネットワーク機能108は、同じ通信ネットワーク、すなわちHPLMNに常駐する。本明細書で説明する実施形態は、どの機能がどのPLMN(すなわち、HPLMNまたはVPLMN)に常駐するかによって限定されるものではない。
【0029】
アクセスポイント104はまた、サービングゲートウェイ機能、すなわち、セッション管理機能(SMF)110に(機能106および/または108のうちの1つ以上を介して)動作可能に結合され、この機能はユーザプレーン機能(UPF)112に動作可能に結合される。UPF112は、パケットデータネットワーク、例えば、インターネット114に動作可能に結合されている。この図の太い実線は、通信ネットワークの制御プレーン(CP)を示す細い実線と比較して、通信ネットワークのユーザプレーン(UP)を示すことに留意されたい。図1のインターネット114は、追加的または代替的に、クラウドコンピューティングインフラおよび/またはエッジコンピューティングインフラを含むがこれらに限定されない他のネットワークインフラを表すことができることが理解されるであろう。そのようなネットワーク要素の更なる典型的な動作および機能は、例示的な実施形態の焦点ではなく、適切な3GPP 5G文書に見出され得るので、ここでは説明されない。106、108、110、および112に示される機能は、ネットワーク機能(NF)の例であることに留意されたい。
【0030】
システム要素のこの特定の配置は例示に過ぎず、他の実施形態において通信システムを実装するために、追加要素または代替要素の他の種類および配置を使用することができることを理解されたい。例えば、他の実施形態では、システム100は、本明細書に明示的に示されていない他の要素/機能から構成され得る。
【0031】
したがって、図1の配置は、無線携帯電話システムの一例の構成に過ぎず、システム要素の多数の代替構成が使用されてもよい。例えば、図1の実施形態では、単一の要素/機能のみが示されているが、これは、説明を単純化し、明確にするためだけである。所定の代替実施形態は、もちろん、より多数のこのようなシステム要素、ならびに従来のシステム実装に一般的に関連するタイプの追加要素または代替要素を含むことができる。
【0032】
また、図1ではシステム要素を単数の機能ブロックとして示しているが、5Gネットワークを構成する様々なサブネットワークは、いわゆるネットワークスライスに分割されていることに留意されたい。ネットワークスライス(ネットワークパーティション)は、共通の物理インフラストラクチャ上でネットワーク機能仮想化(NFV)を使用して、対応するサービス種別ごとに一連のネットワーク機能(NF)の組(すなわち、機能チェーン)を構成する。ネットワークスライスは、所定のサービス(例えば、eMBBサービス、大規模IoTサービス、ミッションクリティカルなIoTサービスなど)に応じて必要に応じてインスタンス化されます。したがって、ネットワークスライスまたは機能は、そのネットワークスライスまたは機能のインスタンスが作成されるときにインスタンス化される。いくつかの実施形態では、これは、基礎となる物理インフラストラクチャの1つ以上のホストデバイスにネットワークスライスまたは機能をインストールするか、そうでない場合、実行することを含む。UE102は、gNB104を介して、これらのサービスのうちの1つ以上にアクセスするように構成される。図2は、例示的な実施形態による方法論における様々な参加者のためのコンピューティングアーキテクチャを示すブロック図である。より具体的には、システム200は、ユーザ端末(UE)202と、複数のネットワークエンティティ204-1、...、204-Nとを備えることが示されている。例えば、例示的な実施形態において、および図1に戻って参照すると、UE202はUE102を表すことができ、一方で、ネットワークエンティティ204-1、...、204-Nは、機能106および108を表すことができる。UE202およびネットワークエンティティ204-1、...、204-Nは、本明細書に記載されるセキュリティ管理および他の技術を提供するために相互作用するように構成されることを理解されたい。
【0033】
ユーザ端末202は、メモリ216およびインターフェース回路210に結合されたプロセッサ212を備える。ユーザ端末202のプロセッサ212は、プロセッサによって実行されるソフトウェアの形態で少なくとも部分的に実装され得るセキュリティ管理プロセスモジュール214を含む。プロセスモジュール214は、後続の図の文脈で説明されるセキュリティ管理および本明細書のその他の事項を実行する。ユーザ端末202のメモリ216は、セキュリティ管理動作中に生成された、または他の方法で使用されたデータを格納するセキュリティ管理格納モジュール218を含む。
【0034】
ネットワーク実体の各々(本明細書では個別にまたは集合的に204と呼ぶ)は、メモリ226(226-1、...、226-N)およびインターフェース回路220(220-1、...、220-N)に結合されたプロセッサ222(222-1、...、222-N)から構成される。各ネットワークエンティティ204の各プロセッサ222は、プロセッサ222によって実行されるソフトウェアの形態で少なくとも部分的に実装され得るセキュリティ管理プロセスモジュール224(224-1、...、224-N)を含む。プロセスモジュール224は、後続の図の文脈で説明されるセキュリティ管理動作および本明細書のその他の事項を実行する。各ネットワークエンティティ204の各メモリ226は、セキュリティ管理動作の間に生成された、または他の方法で使用されたデータを格納するセキュリティ管理格納モジュール228(228-1、...、228-N)を含む。
【0035】
プロセッサ212および222は、例えば、中央処理装置(CPU)などのマイクロプロセッサ、特定用途向け集積回路(ASIC)、デジタル信号プロセッサ(DSP)または他の種類の処理デバイス、並びにそのような要素の一部または組み合わせを備えることができる。
【0036】
メモリ216および226は、それぞれのプロセッサ212および222によって実行され、本明細書に記載の機能の少なくとも一部を実装する1つ以上のソフトウェアプログラムを格納するために使用されてもよい。例えば、後続の図の文脈で説明されるようなセキュリティ管理動作および他の機能性は、プロセッサ212および222によって実行されるソフトウェアコードを使用して、直接的な方法で実装されてもよい。
【0037】
したがって、メモリ216および226のうちの所定の1つは、本明細書でより一般的にコンピュータプログラム製品と呼ばれるものの、またはさらに一般的には実行可能なプログラムコードが組み込まれたプロセッサ可読記憶媒体と呼ばれるものの例と見なすことができる。プロセッサ可読記憶媒体の他の例としては、任意の組み合わせで、ディスクまたは他の種類の磁気もしくは光学媒体を含むことができる。例示的な実施形態は、そのようなコンピュータプログラム製品または他のプロセッサ可読記憶媒体を備える製造物品を含むことができる。
【0038】
さらに、メモリ216および226は、より具体的には、例えば、スタティックRAM(SRAM)、ダイナミックRAM(DRAM)または他の種類の揮発性または不揮発性電子メモリなどの、電子ランダムアクセスメモリ(RAM)を備えることができる。後者は、例えば、フラッシュメモリ、磁気RAM(MRAM)、相変化RAM(PC-RAM)または強誘電体RAM(FRAM(登録商標))などの不揮発性メモリを含むことができる。本明細書で使用される「メモリ」という用語は、広く解釈されることを意図しており、追加的または代替的に、例えば、読み取り専用メモリ(ROM)、ディスクベースのメモリ、または他の種類の記憶デバイス、ならびにそのようなデバイスの一部または組み合わせを含むことができる。
【0039】
インターフェース回路210および220は、例示的に、関連するシステム要素が本明細書に記載の方法で互いに通信できるようにする、トランシーバまたは他の通信ハードウェアもしくはファームウェアを備える。
【0040】
図2から明らかなように、ユーザ端末202および複数のネットワークエンティティ204は、それぞれのインターフェース回路210および220を介して、セキュリティ管理参加者として互いに通信するように構成される。この通信は、各参加者が他の参加者のうちの1つ以上にデータを送信すること、および/または他の参加者からデータを受信することを含む。本明細書で使用される「データ」という用語は、IDデータ、鍵ペア、鍵指示、セキュリティ管理メッセージ、登録要求/応答メッセージおよびデータ、要求/応答メッセージ、認証要求/応答メッセージおよびデータ、メタデータ、制御データ、オーディオ、ビデオ、マルチメディア、他のメッセージなどを含むがこれらに限定されない参加者の間で送信され得る任意の種類の情報を含むように、広く解釈することを意図するものである。
【0041】
図2に示される構成要素の特定の配置は例示に過ぎず、多数の代替構成が他の実施形態で使用され得ることを理解されたい。例えば、任意の所定のネットワーク要素/機能は、追加または代替の構成要素を組み込むように、および他の通信プロトコルをサポートするように構成することができる。
【0042】
gNB104、SMF110、およびUPF112などの他のシステム要素をそれぞれ、プロセッサ、メモリ、およびネットワークインターフェースなどの構成要素を含むように構成することができる。これらの要素は、個別のスタンドアロン処理プラットフォーム上に実装される必要はないが、代わりに、例えば、単一の共通処理プラットフォームの異なる機能部分を表すことができる。
【0043】
より一般的には、図2は、それぞれのセキュリティ管理機能性を提供するように構成され、通信システムにおいて互いに動作可能に結合された処理デバイスを表すと考えることができる。
【0044】
前述のように、3GPP TS 23.501は、5Gシステムアーキテクチャをサービスベース、例えば、サービスベースアーキテクチャ(SBA)として定義している。ここで、異なるNFを配置する際に、NFがSBAベースの5Gコアネットワークの外部のエンティティ(例えば、対応するPLMN(s)、例えば、HPLMNおよびVPLMNを含む)と相互作用する必要がある多くの状況が存在し得ることが、本明細書において理解される。したがって、本明細書で使用される「内部」という用語は、SBAベースの5Gコアネットワーク(例えば、SBAベースのインターフェース)内の動作および/または通信を例示的に指し、「外部」という用語は、SBAベースの5Gコアネットワーク(非SBAインターフェース)外の動作および/または通信を例示的に指す。
【0045】
5Gネットワークのいくつかの例示的な特徴の上記の一般的な説明を前提として、既存のUEオンボーディングアプローチの問題点および例示的な実施形態に従って提案されるソリューションが、次に、本明細書において説明される。
【0046】
背景の節で前述したように、オンボーディングは、初めてオンラインになる新しいデバイス(たとえば、UE102とする)がプロビジョニングされるプロセスである。既存のUEオンボーディングは、例えば、以下のステップを含む(さらなる詳細については、上述のTS 23.501およびTS 33.501を参照されたい)。
【0047】
(1)製造中、UEは、オンボーディングSUPI(ON-SUPI)として知られる一意の識別子、秘密鍵、およびON-SUPIを暗号的に保護するために使用される対応する証明書を含むデフォルト資格情報の組を受信する。
【0048】
(2)ON-SUPIと対応する証明書は、デフォルトクレデンシャル所有者(DCO)と呼ばれるエンティティによって発行され、通常、デバイス製造者となる。
【0049】
(3)オンボーディングUEがデフォルトクレデンシャルを使用してオンボーディングスタンドアロン非公共ネットワーク(ON-SNPN)などのオンボーディングネットワークに接続すると、ON-SNPNは、DCOが運用するデフォルトクレデンシャルサーバ(DCS)を呼び出す(3GPP TS 23.501を参照)。
【0050】
(iv)正常に認証されると、オンボーディングUEは、ユーザプレーン(UP)接続を確立することができるが、これはプロビジョニング目的でのみ使用することが認可されている。つまり、プロビジョニングサーバー(PVS)またはドメイン名サーバー(DNS)への接続のみが可能である。
【0051】
(v)オンボーディングUEは、PVSへの接続を確立し、PVSからSO-SNPN固有のクレデンシャルを受信する。
【0052】
現在3GPPによって支持されているオンボーディングソリューションは、DCOによって運用されるDCSの配置を含む。しかし、このような実装は、オンボーディングネットワーク(原則的に複数のネットワークであり得る)とDCSとの間の統合のための余分な労力を要することが本明細書において理解される。オンボーディングネットワークおよびDCOの数は潜在的に非常に大きくなる可能性があるため、これは、異なるネットワークおよびドメインにわたってオンボーディングサービスを適切に配置するためのエコシステムの負担を増加させる。
【0053】
また、DCSを配置することにより、オンボーディングUEがON-SNPNのドメイン外のサーバーに接続する可能性が生じるため、セキュリティリスクが高まることが本明細書において理解される。これは、セキュリティが隔離の概念に厳密に基づく特殊用途のネットワーク(例えば、産業、重要インフラ、軍事)にとって特に問題である。
【0054】
したがって、ソリューションは、ON-SNPNへのアクセスを、ON-SNPNまたはON-SNPNによって信頼されたエンティティによって認証されたUEに制限し、接続サービスをリモートプロビジョニングプロセスのみに制限する(すなわち、オンボーディングUEがPVSまたはDNSにのみ接続できるようにする)必要がある。
【0055】
例示的な実施形態は、DCSを配置する必要なく、デフォルト認証情報を使用してオンボーディングUEとオンボーディングネットワークとの間の相互認証を提供することにより、既存のアプローチに関連する上記および他の課題に対処するソリューションを提供する。例えば、いくつかの例示的な実施形態では、UE上に配置されたデフォルト資格情報は、秘密鍵およびDCOによって発行された証明書を含み、これは、UEのデフォルト証明書に署名するために使用される認証局(CA)によって発行された証明書を使用してON-SNPNによって検証され得る。構成可能なオンボーディングレコードの概念は、例示的な実施形態に従って、認証されたオンボーディングUEのアクセスを制限し、リモートプロビジョニングプロセスのみに接続サービスを制限するために導入される。
【0056】
例として、図3は、例示的な実施形態によるユーザ端末のオンボーディングプロセス300を示す。示されるように、UE302はオンボーディングUEであり、デバイス所有者304はUE302の製造者または他の所有者を表すと仮定する。デバイス所有者304は、個人、コンピューティングシステムまたは他の処理デバイス、または製造者が通信ネットワーク310と相互作用する他のエンティティであり得ることに留意されたい。さらに、通信ネットワーク310は、UE302がオンボーディングプロセスを実行しているネットワーク、すなわち、ON-SNPNであると仮定する。図示のように、通信ネットワーク310は、AMF312、SMF314、AUSF316、UDM/UDR318、NEF320、およびUPF322を備える。通信ネットワーク310は、明示的に示されていない他のNFを備えることができることが理解されよう。さらに、明らかなように、また、以下でさらに説明されるように、オンボーディングプロセス300は、DCSを配置する必要なく実行される。
【0057】
一般に、図3に示すように、UE302は、登録、認証、およびセッション管理の目的のために、AMF312を介して通信ネットワーク310と通信する。なお、図示を簡略化するために、UE302と通信ネットワーク310とを接続する無線アクセスネットワーク(例えば、1つ以上のgNBを含む)は明示的に示されていないことに留意されたい。AMF312は、AUSF316およびUDM/UDR318と連携して、UE302の認証(認可)を実行し、UDM/UDR318でUE302のコンテキスト管理登録を実行する。UE302が認証されると、SMF314は、UPF322を介して、UE302のためのPVS330との制限されたセッションを確立する。
【0058】
より具体的には、示されるように、デバイス所有者304は、オンボーディングレコード319を構成するために、NEF320を介して、UDM/UDR318に情報を提供する。代替的に、デバイス所有者304は、他のNFを介して、またはUDM/UDR318によって提供されるインターフェース(例えば、アプリケーションプログラミングインターフェースまたはAPI)を介して直接、そのような情報を提供することができる。デバイス所有者304は、UDM/UDR318でオンボーディングレコード319をアドレス指定できるように、単一のON-SUPI、単一のON-SUPIの範囲、ドメインまたは他の任意の情報を提供することができる。そのために、デバイス所有者304と潜在的オンボーディングネットワーク、すなわち、通信ネットワーク310などのON-SNPNとの間に、デバイス所有者304がNEF318、他のNFまたはUDM/UDR318へのアクセスを与えられ、デバイス所有者304からの要求を認可するために使用される、合意書が存在することが仮定される。
【0059】
UDM/UDR318または任意の他のネットワーク機能は、オンボーディングレコード319を格納する。例として、オンボーディングレコード319は、ON-SUPI(またはON-SUCI)、CA証明書、およびPVS情報およびオンボーディングに使用されるその他の情報を含む。CA証明書情報は、UE302により提供された証明書を検証するために、AUSF316により使用される。PVS情報は、オンボーディングUE302の正常な一次認証の後に起こるプロセスのリモートプロビジョニング部分(PVS330経由)の間に使用されるPVS330のための完全修飾ドメイン名(FQDN)および/またはインターネットプロトコル(IP)アドレスを含むことができる。UDM/UDR318のオンボーディングレコード319は、ON-SUPIまたはデバイス上に安全に格納されている他の識別子(例えば、機器永久識別子またはPEI)またはUE302のデバイス証明書の一部を使用してアクセスすることができる。オンボーディングレコードは、UDM/UDR318によって、デバイスごとまたはデバイスのグループごとに格納することができる。アクセス鍵としてON-SUPIを使用する場合、1つ以上の例示的な実施形態に従って、および上述のように、単一のオンボーディングSUPI(device12345@example.com)に対して、オンボーディングSUPIの範囲に対して、またはオンボーディングSUPIドメイン(example.com)全体に対して、1つのオンボーディングレコードがあってもよい。同様に、ON-SUPIごとに格納されるPVS330のFQDN/IPアドレスは1つであっても、ON-SUPIのグループに対して、あるいはあるドメインまたはサブドメインに属するすべてのON-SUPIに対して、PVS330のFQDN/IPアドレスは1つであってもよい。
【0060】
AUSF316およびUDM/UDR318は、オンボーディングレコードを使用して、例えば、これらのレコードに格納されたルート証明書を使用して、オンボーディングUEの認証を可能にするように適合される。したがって、例えば図示のように、AUSF316は、UDM/UDR318に格納されたオンボーディングレコード319を使用してUE302を認証する。さらに、AMF312は、UE302から受信したON-SUPI/ON-SUCIまたは他の任意の識別子に基づいてAUSF316を選択する。AMF312は、UE302のオンボーディング登録時にUDM/UDR318からPVS330用のFQDN/IPアドレス等を取得する。
【0061】
オンボーディングレコード319などのオンボーディングレコードは、UDM/UDR318から消去(削除)することができる。これは、UE302のリモートプロビジョニングが正常に実行されると、NEF320、他のNF、またはUDM/UDR318を介した明示的な要求によってデバイス所有者304が行うことができる。あるいは、UDM/UDR318は、オンボーディングネットワーク、すなわち通信ネットワーク310からのUE302の登録解除によって引き起こされるオンボーディングレコード319を暗黙的に消去することができる。さらに、オンボーディングレコード319は、制限された有効期間を有し、有効期間が切れた後に自動的に削除され得る、すなわち、オンボーディングは、オンボーディングレコード319の有効期間によって定義される時間ウィンドウに制限され、UE302は、オンボーディングレコード319が自動的に削除されると通信ネットワーク310によって非登録化される。
【0062】
図4は、例示的な実施形態によるユーザ端末のオンボーディングプロセスにおけるシグナリングフロー400を示す図である。示されるように、シグナリングフロー400は、参加者を含む。UE402、AMF404、SMF406、UPF408、AUSF410、およびUDM/UDR412である。明らかなように、シグナリングフロー400の参加者は、図3の関連で上述した構成要素と同じまたは類似の機能性を有する。シグナリングフロー400のステップの説明は、オンボーディングレコードの識別のためのON-SUPIの使用を想定しているが、代替の実施形態では他の識別子を使用できることが理解されよう。
【0063】
ステップ1において、UE402およびAUSF410は、拡張認証プロトコル-トランスポートレイヤープロトコル(EAP-TLS)を使用して、一次認証の実行を開始する。ただし、1つ以上の代替的な一次認証方法を使用することができる。AUSF410は、AMF404から受信した認証要求から、UE402のオンボーディングプロセスを実行する必要があることを導出する。一例では、SUCIのホームネットワークアイデンティティ(HNI)が予め定義された値に設定され得るか、またはオンボーディング表示がAMF404からAUSF410に送信され得る。あるいは、オンボーディングを示すために、専用のSUPI型を割り当てることができる。UE402がAUSF410のサーバー証明書を検証した後、UE402は自身のUE証明書を送信する。
【0064】
ステップ2において、AUSF410は、ON-SUPIまたは他の任意の識別子(例えば、ステップ1において受信したUE証明書から得られる)を使用して、UDM/UDR412に認証要求を送信する。この認証要求は、完全に新しい要求であっても、既存の要求の拡張であってもよい。
【0065】
ステップ3において、UDM/UDR412は、ON-SUPIと一致するオンボーディングレコードが存在するかどうかを確認する。この確認は、単一のON-SUPIまたはON-SUPIの組をカバーする個々のオンボーディングレコードを含む。
【0066】
ステップ4において、ステップ3における確認が成功した場合、UDM/UDR412は、オンボーディングレコードから取得したCA証明書をAUSF410に返信し、そうでなければ、UDM/UDR412は、適切なエラーメッセージをAUSF410に返信する。
【0067】
ステップ5において、AUSF410は、ステップ4でUDM/UDR412によって供給されたCA証明書を使用して、UE証明書を検証する。
【0068】
ステップ6において、AUSF410は、(適切な5G鍵と共に)ON-SUPIをAMF404に送信することにより、一次認証を確定する。
【0069】
ステップ7において、AMF404は、要求パラメータとしてON-SUPIを使用して、UDM/UDR412に登録要求を送信する。例えば、例示的な実施形態に従って、Udm_UEコンテキスト管理(amf-3ggpアクセス)登録要求をこの目的のために使用することができる。
【0070】
ステップ8において、UDM/UDR412は、PVS情報(例えば、FQDN/IPアドレス)および既存のプロトコルに従って所望または必要とされるか、またはオンボーディングプロセスのために必要とされ得る他の情報を含む登録応答でAMF404に応答する。ステップ7においてUdm_UEコンテキスト管理登録要求が使用される場合、Udm_UEコンテキスト管理におけるAmf3Gppアクセス登録データ構造は、図示の実施形態に従って、この目的のために拡張されることが可能である。
【0071】
続いて、PVS情報および上記の任意の追加情報を入力として使用して制限付きユーザプレーン接続が確立され、UE402はPVSに接続し、PVSから通常のSO-SNPN加入者プロファイルを受信する。これは、ステップ9~12にまとめられている。
【0072】
ステップ9において、AMF404は、UE登録が受理されたことをUE402に通知し、これによりリモートプロビジョニングを進めることができる。
【0073】
ステップ10において、UE402は、リモートプロビジョニングのためのセッション要求をAMF404に送信する。
【0074】
ステップ11において、AMF404は、PVS情報および上述の任意の追加情報を入力として、セッション作成要求をSMF406に送信する。
【0075】
ステップ12において、SMF406はセッション作成要求をUPF408に転送し、UPF408はPVSおよび任意の他の情報に基づいて、PVSによるUE402のリモートプロビジョニングが進行できるように、セッション作成要求を適切なPVS(図示せず)に転送する。
【0076】
図5は、例示的な実施形態による、ユーザ端末のためのオンボーディングレコードを作成/削除するためのシグナリングフロー500を示す。示されるように、シグナリングフロー500には、参加者:デバイス所有者502、ポータル504、およびUDM/UDR506が含まれる。明らかなように、シグナリングフロー500の参加者は、図3の関連で上記の構成要素と同じまたは類似の機能性を有する。ポータル504は、例えば、NEF、他のNF、またはUDM/UDR506に関連するAPIの一部として実装され得ることに留意されたい。シグナリングフロー500のステップの説明は、オンボーディングレコードの識別のためにON-SUPIの使用を想定しているが、代替の実施形態では他の識別子を使用できることを理解されたい。
【0077】
ステップ1において、デバイス所有者502(またはUEのオンボーディングを担当する任意の他のエンティティ)は、ON-SNPN(例えば、図3の通信ネットワーク310)のポータル504に接続する。デバイス所有者502からの要求は、オンボーディングのUE(例えば、UE302)のON-SUPIと、デバイス所有者502がDCOから受信したCA証明書と、デバイス所有者502が加入所有者SNPN(SO-SNPN)と呼ばれる加入者から受信したPVSなどの情報とを含む。
【0078】
上述のように、ポータル504は、ON-SNPNのNEFの一部として、またはそれを利用して実装することができ、またはON-SNPNのNEFから独立して、例えば、直接UDM/UDR506または任意の他のNFで実装することができる。
【0079】
ステップ2において、ポータル504は、着信したオンボーディング要求を認可する。これは、要求者(例えば、デバイス所有者502)が、要求を行う権利があり、かつ信頼されているかどうかを確認することを含む。例えば、要求者は、ON-SNPN事業者の従業員またはON-SNPNの信頼されたビジネスパートナーであってもよい。認可には、提供されたPVS情報がON-SNPNのポリシーに沿っているかどうかを確認することも含む。例えば、オンボーディング要求は、PVSやその他の情報が参照するON-SNPNおよびSNPN(例えばSO-SNPN)がビジネス的な合意書を締結しており、技術またはビジネス関連の統合手順を実行した場合にのみ認可され得る。
【0080】
ステップ3において、認可に成功した後、ポータル504は、ON-SUPI、CA証明書、PVSおよび他の情報を含む新しいオンボーディングレコードをUDM/UDR506に追加する要求を送信する。
【0081】
ステップ3で送信されるPVSおよびその他の情報は、ステップ2で受信したPVS情報と同じ情報でない可能性があることを理解されたい。むしろ、ポータル504は、ステップ2において受信したPVS情報を使用するよりも、AMF、SMF、PCF、およびUPFによる解釈に適した新しいPVS情報を導出するための中間ステップを実行することができる。例えば、デバイス所有者502は、SO-SNPNの名前のみを提供することができ、ポータル504(またはポータルで使用される他のエンティティ)は、この名前をSO-SNPNとの事前統合からON-SNPNが知っているIPアドレスまたはFQDNのリストに変換することができる。
【0082】
ステップ4において、UDM/UDR504は、CA証明書、PVSおよび他の情報を含むON-SUPI(複数可)のための新しいオンボーディングレコードを追加する。図3の文脈で上述したように、例示的な実施形態は、UDM/UDR506からオンボーディングレコードを削除するための方法を提供する。このオンボーディングレコード削除動作は、ステップ5にまとめられる。
【0083】
1つの方法において、デバイス所有者502(またはオンボーディング要求を開始したエンティティ)は、図5のステップ1~4に記載されているのと同様のフローを使用して、オンボーディングレコードの削除を明示的に要求することができる。ポータル504にステップ1の「オンボーディング要求」コマンドを発行する代わりに、デバイス所有者502は、「オンボーディング完了」コマンドを発行する。要求者が以前にオンボーディングを要求した要求者と同じであることの確認を含み得る認可の後、ポータル504は、UDM/UDR506におけるオンボーディングレコードの削除をトリガすることができる。
【0084】
他の方法では、オンボーディングレコードの削除は、AMFとUDMとの間の相互作用によってトリガされ得る。例示に過ぎないが、オンボーディングレコードの削除は、登録要求(図4のステップ7)によってトリガされ得、または削除は、UEとPVSとの間の通信が正常に完了した後に行われる、AMFからUDMに送信される登録解除要求によってトリガされ得る。他の実施形態は、UEがON-SNPNから登録解除するときに、リモートプロビジョニングが正常に完了したことを、AMFへの登録解除要求において示すことを含むことができる。
【0085】
さらなる実施形態では、上述のように、オンボーディングレコードは、有限の有効期間を有してもよい。有効期間パラメータは、「オンボーディング要求」コマンド(図5のステップ1)の一部として定義することができるか、または有効期間パラメータは、ON-SNPNが独自のポリシーに基づいて設定することができる。ほんの一例として、有効期間パラメータは、期間、時間枠、または有効期限によって定義することができる。有効期間パラメータは、オンボーディングレコードと共にUDM/UDR506によって記憶されることができる。UDM/UDR506は、定期的にすべてのオンボーディングレコードをスキャンし、有効期限が切れたすべてのオンボーディングレコードを削除または非アクティブ化する。さらに、オンボーディングレコードの有効期間が開始時刻を有する時間枠によって定義されている場合、オンボーディングレコードを開始時刻より前に使用することはできない。
【0086】
本明細書に記載された図の文脈で説明された特定の処理動作および他のシステム機能は、例示的な方法によってのみ提示され、いかなる方法によっても本開示の範囲を限定するものとして解釈されるべきではない。代替の実施形態は、他の種類の処理動作およびメッセージングプロトコルを使用することができる。例えば、他の実施形態では、ステップの順序を変えてもよいし、特定のステップを連続的にではなく、少なくとも部分的に互いに同時に実行してもよい。また、1つ以上のステップが周期的に繰り返されてもよく、または方法の複数のインスタンスが互いに並行して実行されてもよい。
【0087】
本明細書に記載された様々な実施形態は、例示的な方法によってのみ提示され、特許請求の範囲を限定するものとして解釈されるべきではないことが、再度強調されるべきである。例えば、代替の実施形態は、例示的な実施形態の文脈で上述したものとは異なる通信システム構成、ユーザ端末構成、基地局構成、プロビジョニングおよび使用プロセス、メッセージングプロトコルおよびメッセージ形式を利用してもよい。添付の特許請求の範囲の請求項の範囲内のこれらおよび多数の他の代替の実施形態は、当業者には容易に明らかであろう。
【符号の説明】
【0088】
100 通信システム
102 ユーザ端末
103 エアインターフェース
104 アクセスポイント
106 モビリティ管理機能
108 他のネットワーク機能
110 セッション管理機能
112 ユーザプレーン機能
114 インターネット
102 ユーザ端末
103 エアインターフェース
104 アクセスポイント
106 モビリティ管理機能
108 他のネットワーク機能
110 セッション管理機能
112 ユーザプレーン機能
114 インターネット
【図1】
【図2】
【図3】
【図4】
【図5】