知財求人 - 知財ポータルサイト「IP Force」
▶ レノボ・シンガポール・プライベート・リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-10-16
(54)【発明の名称】セキュアドパケットのプロビジョニング
(51)【国際特許分類】
H04W 12/06 20210101AFI20241008BHJP
H04W 28/084 20230101ALI20241008BHJP
H04W 92/24 20090101ALI20241008BHJP
【FI】
H04W12/06
H04W28/084
H04W92/24
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2024516936
(86)(22)【出願日】2022-09-16
(85)【翻訳文提出日】2024-04-18
(86)【国際出願番号】 IB2022058741
(87)【国際公開番号】W WO2023042131
(87)【国際公開日】2023-03-23
(31)【優先権主張番号】63/245,154
(32)【優先日】2021-09-16
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.3GPP
2.PYTHON
3.JAVA
4.BLUETOOTH
5.ZIGBEE
6.SIGFOX
(71)【出願人】
【識別番号】505205731
【氏名又は名称】レノボ・シンガポール・プライベート・リミテッド
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100205785
【弁理士】
【氏名又は名称】▲高▼橋 史生
(72)【発明者】
【氏名】シーバ・バッキア・マリー・バスカラン
(72)【発明者】
【氏名】ゲナディ・ヴェレヴ
(72)【発明者】
【氏名】ルーズベ・アタリウス
(72)【発明者】
【氏名】アンドレアス・クンズ
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067DD11
5K067EE02
5K067EE10
5K067EE16
5K067HH23
(57)【要約】
セキュアドパケットをプロビジョニングするための装置、方法、およびシステムが、開示される。1つの方法(900)は、デバイスおよびサービス記述子に関連するクレデンシャルの要求をセキュアドパケットアプリケーション機能に送信するステップ(905)と、セキュアドパケットおよびクレデンシャル情報をセキュアドパケットアプリケーション機能から受信するステップ(910)であって、クレデンシャル情報が、デバイスに対応する加入者アイデンティティ、セキュアドパケットのライフタイム、ネットワークサービス識別子、デバイス記憶必要インジケーション、またはそれらの組合せを含む、ステップ(910)とを含む。方法(900)は、セキュアドパケットおよびクレデンシャル情報を記憶するステップ(915)と、更新手順によってデバイスにセキュアドパケットをプロビジョニングするステップであって、セキュアドパケットが、有効なクレデンシャルを含む、ステップとを含む。
【特許請求の範囲】
【請求項1】
トランシーバと、前記トランシーバに結合されたプロセッサであって、装置に、
デバイスおよびサービス記述子に関連するクレデンシャルの要求をセキュアドパケットアプリケーション機能(「SP-AF」)に送信すること、
セキュアドパケット、および
前記デバイスに対応する加入者アイデンティティ、
前記セキュアドパケットのライフタイム、
ネットワークサービス識別子、
デバイス記憶必要インジケーション、
または、それらの組合せ
を含むクレデンシャル情報を前記SP-AFから受信すること、
前記セキュアドパケットおよび前記クレデンシャル情報を記憶することであって、前記セキュアドパケットが、有効なクレデンシャルを含む、記憶すること、ならびに
更新手順によって前記デバイスに前記セキュアドパケットをプロビジョニングすることを行わせるように構成された、プロセッサとを含む、装置。
【請求項2】
前記クレデンシャルの前記要求を送信するために、前記プロセッサが、前記装置にセキュアドパケット要求を呼び出させるように構成され、前記プロセッサが、前記装置に、ローカルポリシー、
クレデンシャルのライフタイム、
クレデンシャルが利用不可能であること、
または、それらの組合せ
に基づいて前記セキュアドパケット要求を呼び出すと決定させるようにさらに構成される、請求項1に記載の装置。
【請求項3】
前記要求されたクレデンシャルが、ネットワークスライス認証および認可(「NSAA」)のためのクレデンシャルを含み、NSAAのための前記クレデンシャルの前記要求を送信するために、前記プロセッサが、前記装置に、ネットワークスライス識別子を含むハイパーテキスト転送プロトコル(「HTTP」)POST要求を前記SP-AFに送信させるように構成される、請求項1に記載の装置。
【請求項4】
前記要求されたクレデンシャルが、二次認証のためのクレデンシャルを含み、二次認証のための前記クレデンシャルの前記要求を送信するために、前記プロセッサが、前記装置に、データネットワーク固有識別子、データネットワーク名、またはそれらの組合せを含むハイパーテキスト転送プロトコル(「HTTP」)POST要求を前記SP-AFに送信させるように構成される、請求項1に記載の装置。
【請求項5】
前記クレデンシャルの前記要求を送信するために、前記プロセッサが、前記装置に、ネットワーク公開機能(「NEF」)を介して前記要求を送信させるように構成され、前記加入者アイデンティティが、前記デバイスに対応する汎用公開加入識別子を含む、請求項1に記載の装置。
【請求項6】
前記クレデンシャルの前記要求を送信するために、前記プロセッサが、前記装置にNnefサービス動作を呼び出させるように構成され、前記クレデンシャルの前記要求が、前記SP-AFの識別子、
前記SP-AFのネットワークアドレス情報、
またはそれらの組合せ
を含む、請求項5に記載の装置。
【請求項7】
前記加入者アイデンティティが、前記デバイスに対応する加入永続識別子を含む、請求項1に記載の装置。
【請求項8】
トランシーバと、前記トランシーバに結合されたプロセッサであって、装置に、
デバイスおよびサービス記述子に関連するクレデンシャルの要求をネットワーク機能から受信すること、
前記デバイスおよび前記サービス記述子に関して有効なクレデンシャルが存在するかどうかを判定すること、
前記デバイスおよび前記サービス記述子に関して前記有効なクレデンシャルが存在しないとの判定に応じて、前記ネットワーク機能に失敗インジケーションを送信すること、
前記デバイスおよび前記サービス記述子に関して前記有効なクレデンシャルが存在するとの判定に応じてセキュアドパケットを生成することであって、前記セキュアドパケットが、前記有効なクレデンシャルを含む、生成すること、ならびに
前記セキュアドパケット、および
前記デバイスに対応する加入者アイデンティティ、
前記セキュアドパケットのライフタイム、
ネットワークサービス識別子、
デバイス記憶必要インジケーション、
またはそれらの組合せ
を含むクレデンシャル情報を前記ネットワーク機能に送信すること
を行わせるように構成された、プロセッサとを含む、装置。
【請求項9】
前記サービス記述子が、外部ネットワークスライス情報、
単一ネットワークスライス選択支援情報、
ネットワークアクセス識別子、
データネットワーク固有識別子、
データネットワーク名、
認証、認可、およびアカウンティング(「AAA」)サーバのアイデンティティ、
またはそれらの組合せ
を含む、請求項8に記載の装置。
【請求項10】
前記デバイスに対応する前記加入者アイデンティティが、少なくとも汎用公開加入識別子と、IPv4アドレス、
IPv6アドレス、
国際移動体装置識別番号(「IMEI」)、
IPv4v6アドレス、
または媒体アクセス制御(MAC)アドレス
のうちの1つとを含む、請求項8に記載の装置。
【請求項11】
前記デバイスに対応する前記加入者アイデンティティが、少なくとも加入永続識別子と、IPv4アドレス、
IPv6アドレス、
国際移動体装置識別番号(「IMEI」)、
IPv4v6アドレス、
または媒体アクセス制御(MAC)アドレス
のうちの1つとを含む、請求項8に記載の装置。
【請求項12】
NSAAのための前記クレデンシャルの前記要求が、ハイパーテキスト転送プロトコル(「HTTP」)POST要求メッセージを含み、前記失敗インジケーションが、404 Not FoundメッセージまたはHTTP POST応答メッセージを含み、前記セキュアドパケットおよび前記クレデンシャル情報を送信するために、前記プロセッサが、前記装置に200 OKメッセージを送信させるように構成される、請求項8に記載の装置。
【請求項13】
トランシーバと、前記トランシーバに結合されたプロセッサであって、装置に、
デバイスおよびサービス記述子に関連するクレデンシャルの第1の要求メッセージをネットワーク機能から受信することであって、前記第1の要求メッセージが、送信先アドレスを含む、受信すること、
前記送信先アドレスを使用してセキュアドパケットアプリケーション機能(「SP-AF」)に、前記デバイスおよび前記サービス記述子に関連する前記クレデンシャルの第2の要求メッセージを送信すること、
セキュアドパケット、および
前記デバイスに対応する加入者アイデンティティ、
前記セキュアドパケットのライフタイム、
ネットワークサービス識別子、
デバイス記憶必要インジケーション、
または、それらの組合せ
を含むクレデンシャル情報を含む第1の応答メッセージを前記SP-AFから受信すること、ならびに
前記セキュアドパケットおよび前記クレデンシャル情報を含む第2の応答メッセージを前記ネットワーク機能に送信すること
を行わせるように構成された、プロセッサとを含む、装置。
【請求項14】
前記第1の応答メッセージおよび前記第2の応答メッセージが、セキュアドパケットが利用可能であることを示す成功インジケーションをそれぞれが含み、前記セキュアドパケットが、前記加入者アイデンティティおよび前記サービス記述子に関して少なくとも1つのクレデンシャルを含む、請求項13に記載の装置。
【請求項15】
前記第1の要求メッセージおよび前記第2の応答メッセージが、前記デバイスに対応する加入永続識別子(「SUPI」)をそれぞれが含み、前記プロセッサが、前記装置に、前記SUPIを前記デバイスに対応する汎用公開加入識別子(「GPSI」)に変換させるようにさらに構成され、前記第2の要求メッセージおよび前記第1の応答メッセージが、前記GPSIをそれぞれが含む、請求項13に記載の装置。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、Sheeba Backia Mary Baskaran、Genadi Velev、Roozbeh Atarius、およびAndreas Kunzの、「SECURE PACKET RETRIEVAL PROCEDURE ENHANCEMENTS」と題され、2021年9月16日に出願された米国特許仮出願第63/245,154号の優先権を主張するものであり、この出願は、参照により本明細書に組み込まれる。
本出願は、Sheeba Backia Mary Baskaran、Genadi Velev、Roozbeh Atarius、およびAndreas Kunzの、「SECURE PACKET RETRIEVAL PROCEDURE ENHANCEMENTS」と題され、2021年9月16日に出願された米国特許仮出願第63/245,154号の優先権を主張するものであり、この出願は、参照により本明細書に組み込まれる。
【0002】
本明細書において開示される主題は、概して、ワイヤレス通信に関し、より詳細には、セキュアパケット(secure packet)取り出し手順の強化に関する。
【背景技術】
【0003】
現在、第3世代パートナーシッププロジェクト(「3GPP」)では、ホーム公衆陸上モバイルネットワーク(「HPLMN: Home Public Land Mobile Network」)のネットワーク機能(「NF」)が、ネットワークスライス認証および認可(「NSAA: Network Slice Authentication and Authorization」)のために使用されるクレデンシャルまたは二次認証/認可(secondary authentication/authorization)のためのクレデンシャルをユーザ機器(「UE」)にプロビジョニングするかまたは更新する。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】3GPP TS 33.501、6.15.2.1項
【非特許文献2】ETSI TS 102 225 v16.0.0
【非特許文献3】ETSI TS 102 224 v15.0.0
【非特許文献4】3GPP TR 33.857
【非特許文献5】3GPP TR 33.858
【非特許文献6】3GPP TR 33.859
【非特許文献7】3GPP TR 33.860
【非特許文献8】3GPP TS 29.544
【非特許文献9】3GPP TS 23.502、4.20項
【発明の概要】
【課題を解決するための手段】
【0005】
開示されるのは、セキュアドパケットをプロビジョニングするための手順である。前記手順は、装置、システム、方法、またはコンピュータプログラム製品によって実装される場合がある。
【0006】
コンシューマ(consumer)ネットワーク機能(「コンシューマNF」)における1つの方法は、デバイスおよびサービス記述子に関連するクレデンシャルの要求をセキュアドパケットアプリケーション機能(「SP-AF」)に送信するステップと、セキュアドパケット、およびデバイスに対応する加入者アイデンティティ(subscriber identity)、セキュアドパケットのライフタイム、ネットワークサービス識別子、デバイス記憶必要インジケーション(device storage requirement indication)、またはそれらの組合せを含むクレデンシャル情報をSP-AFから受信するステップとを含む。方法は、セキュアドパケットおよびクレデンシャル情報を記憶するステップと、更新手順によってデバイスにセキュアドパケットをプロビジョニングするステップであって、セキュアドパケットが、有効なクレデンシャルを含む、ステップとを含む。
【0007】
SP-AFにおける1つの方法は、デバイスおよびサービス記述子に関連するクレデンシャルの要求をネットワーク機能から受信するステップを含む。方法は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するかどうかを判定するステップと、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在しないとの判定に応じて、ネットワーク機能に失敗インジケーションを送信するステップとを含む。方法は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するとの判定に応じてセキュアドパケットを生成するステップと、セキュアドパケット、およびデバイスに対応する加入者アイデンティティ、セキュアドパケットのライフタイム、ネットワークサービス識別子、デバイス記憶必要インジケーション、またはそれらの組合せを含むクレデンシャル情報をネットワーク機能に送信するステップとを含む。
【0008】
ネットワーク公開機能(「NEF: Network Exposure Function」)における1つの方法は、デバイスおよびサービス記述子に関連するクレデンシャルの第1の要求メッセージをコンシューマNFから受信するステップであって、第1の要求メッセージが、送信先アドレスを含む、ステップを含む。方法は、送信先アドレスを使用してSP-AFに、デバイスおよびサービス記述子に関連するクレデンシャルの第2の要求メッセージを送信するステップを含む。方法は、セキュアドパケットおよびクレデンシャル情報を含む第1の応答メッセージをSP-AFから受信するステップと、セキュアドパケットおよびクレデンシャル情報を含む第2の応答メッセージをコンシューマNFに送信するステップとを含む。ここで、クレデンシャル情報は、デバイスに対応する加入者アイデンティティ、セキュアドパケットのライフタイム、ネットワークサービス識別子、デバイス記憶必要インジケーション、またはそれらの組合せを含む。
【0009】
上で簡潔に説明された実施形態のより詳細な説明が、添付の図面において図示される特定の実施形態を参照することによってなされる。これらの図面はほんのいくつかの実施形態を示すに過ぎず、したがって、範囲の限定であるとみなされるべきでないことを理解したうえで、実施形態が、添付の図面を使用してより具体的かつ詳細に記載され、説明される。
【図面の簡単な説明】
【0010】
【図1】セキュアドパケットをプロビジョニングするためのワイヤレス通信システムの一実施形態を示すブロック図である。
【図2】5G新無線(「NR」)のプロトコルスタックの一実施形態を示すブロック図である。
【図3】3GPPコンシューマNFがスライス認証および認可に関連するセキュアドパケットをNEFを介して提供するようにSP-AFに要求する一実施形態を示す図である。
【図4】3GPPコンシューマNFが二次認証(secondary authentication)に関連するセキュアドパケットをNEFを介して提供するようにSP-AFに要求する一実施形態を示す図である。
【図5】3GPPコンシューマNFがスライス認証および認可に関連するセキュアドパケットを提供するようにSP-AFに要求する一実施形態を示す図である。
【図6】3GPPコンシューマNFが二次認証に関連するセキュアドパケットを提供するようにSP-AFに要求する一実施形態を示す図である。
【図7】セキュアドパケットをプロビジョニングするために使用されてよいユーザ機器装置の一実施形態を示すブロック図である。
【図8】セキュアドパケットをプロビジョニングするために使用されてよいネットワーク装置の一実施形態を示すブロック図である。
【図9】セキュアドパケットをプロビジョニングするための第1の方法の一実施形態を示す流れ図である。
【図10】セキュアドパケットをプロビジョニングするための第2の方法の一実施形態を示す流れ図である。
【図11】セキュアドパケットをプロビジョニングするための第3の方法の一実施形態を示す流れ図である。
【発明を実施するための形態】
【0011】
当業者には理解されるであろうように、実施形態の態様は、システム、装置、方法、またはプログラム製品として具現化される場合がある。したがって、実施形態は、すべてハードウェアの実施形態、すべてソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)、またはソフトウェアの態様とハードウェアの態様とを組み合わせる実施形態の形態をとる場合がある。
【0012】
たとえば、開示される実施形態は、カスタムの超大規模集積(「VLSI」)回路もしくはゲートアレイ、論理チップなどの既製の半導体、トランジスタ、またはその他のディスクリートコンポーネントを含むハードウェア回路として実装されてよい。開示される実施形態は、フィールドプログラマブルゲートアレイ、プログラマブルアレイロジック、プログラマブルロジックデバイスなどのプログラマブルハードウェアデバイスに実装されてもよい。別の例として、開示される実施形態は、たとえば、オブジェクト、プロシージャ、または関数として編成される場合がある実行可能コードの1つまたは複数の物理的ブロックまたは論理的ブロックを含んでよい。
【0013】
さらに、実施形態は、以降でコードと呼ばれる機械可読コード、コンピュータ可読コード、および/またはプログラムコードを記憶する1つまたは複数のコンピュータ可読ストレージデバイスに具体化されたプログラム製品の形態をとる場合がある。ストレージデバイスは、有形、非一時的、および/または非送信であってよい。ストレージデバイスは、信号を具現化しない場合がある。特定の実施形態において、ストレージデバイスは、コードにアクセスするための信号のみを採用する。
【0014】
1つまたは複数のコンピュータ可読媒体の任意の組合せが、利用されてよい。コンピュータ可読媒体は、コンピュータ可読ストレージ媒体である場合がある。コンピュータ可読ストレージ媒体は、コードを記憶するストレージデバイスであってよい。ストレージデバイスは、たとえば、電子、磁気、光、電磁、赤外線、ホログラフィック、微小機械、または半導体システム、装置、またはデバイス、またはこれらの任意の適切な組合せであるがこれらに限定されない可能性がある。
【0015】
ストレージデバイスのより特定的な例(非網羅的リスト)は、以下、すなわち、1つもしくは複数の配線を有する電気的接続、ポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ(「RAM」)、読み出し専用メモリ(「ROM」)、消去可能プログラマブル読み出し専用メモリ(「EPROM」もしくはフラッシュメモリ)、ポータブルコンパクトディスク読み出し専用メモリ(「CD-ROM」)、光学式ストレージデバイス、磁気式ストレージデバイス、またはこれらの任意の適切な組合せを含む。本明細書の文脈で、コンピュータ可読ストレージ媒体は、命令実行システム、装置、もしくはデバイスによってまたは命令実行システム、装置、もしくはデバイスに関連して使用するためのプログラムを含むかまたは記憶することができる任意の有形の媒体であってよい。
【0016】
実施形態の動作を実行するためのコードは、任意の数のラインであってよく、Python、Ruby、Java、Smalltalk、C++などのオブジェクト指向プログラミング言語、「C」プログラミング言語などの通常の手続き型プログラミング言語、および/またはアセンブリ言語などの機械語を含む1つまたは複数のプログラミング言語の任意の組合せで記述されてよい。コードは、すべてユーザのコンピュータ上で、スタンドアロンのソフトウェアパッケージとしてユーザのコンピュータ上で部分的に、ユーザのコンピュータ上で部分的にかつリモートコンピュータ上で部分的に、またはすべてリモートコンピュータもしくはサーバ上で実行される場合がある。最後のシナリオにおいては、リモートコンピュータが、ローカルエリアネットワーク(「LAN」)、ワイヤレスLAN(「WLAN」)、もしくは広域ネットワーク(「WAN」)を含む任意の種類のネットワークを介してユーザのコンピュータに接続されてよく、または外部コンピュータへの接続が(たとえば、インターネットサービスプロバイダ(「ISP」)を使用してインターネットを介して)行われてよい。
【0017】
さらに、実施形態の説明される特徴、構造、または特性は、任意の適切な方法で組み合わされてよい。以下の説明において、プログラミング、ソフトウェアモジュール、ユーザ選択、ネットワークトランザクション、データベースクエリ、データベース構造、ハードウェアモジュール、ハードウェア回路、ハードウェアチップなどの例などの多数の特定の詳細が、実施形態を完全に理解してもらうために提供される。しかし、当業者は、実施形態が特定の詳細のうちの1つもしくは複数なしに、またはその他の方法、コンポーネント、材料などを用いて実施されてよいことを認めるであろう。その他の場合、よく知られている構造、材料、または動作は、実施形態の態様を曖昧にすることを避けるために詳細に示されないかまたは説明されない。
【0018】
本明細書全体を通じて「一実施形態(one embodiment)」、「実施形態(an embodiment)」、または同様の文言への言及は、実施形態に関連して説明された特定の特徴、構造、または特性が少なくとも1つの実施形態に含まれることを意味する。したがって、本明細書全体を通じて語句「一実施形態において(in one embodiment)」、「実施形態において(in an embodiment)」、および同様の文言の出現は、すべて同じ実施形態に言及する可能性があるが、必ずそうであるとは限らず、特に明記されない限り「1つまたは複数の、ただし、すべてではない実施形態」を意味する場合がある。用語「含む(including)」、「含む(comprising)」、「有する(having)」、およびそれらの変化形は、特に明記されない限り、「含むがこれ(ら)に限定されない」を意味する。項目の列挙されたリストは、特に明記されない限り、項目のいずれかまたはすべてが互いに排他的であることを示唆しない。また、用語「a」、「an」、および「the」は、特に明記されない限り「1つまたは複数の」のことを指す。
【0019】
本明細書において使用されるとき、接続詞「および/または(and/or)」を用いるリストは、リスト内の任意の単一の項目またはリスト内の項目の組合せを含む。たとえば、A、B、および/またはCのリストは、Aのみ、Bのみ、Cのみ、AとBとの組合せ、BとCとの組合せ、AとCとの組合せ、またはAと、Bと、Cとの組合せを含む。本明細書において使用されるとき、用語「~のうちの1つまたは複数(one or more of)」を使用するリストは、リスト内の任意の単一の項目またはリスト内の項目の組合せを含む。たとえば、A、B、およびCのうちの1つまたは複数は、Aのみ、Bのみ、Cのみ、AとBとの組合せ、BとCとの組合せ、AとCとの組合せ、またはAと、Bと、Cとの組合せを含む。本明細書において使用されるとき、用語「~のうちの1つ(one of)」を使用するリストは、リスト内の任意の単一の項目のただ1つを含む。たとえば、「A、B、およびCのうちの1つ」は、Aのみ、Bのみ、またはCのみを含み、Aと、Bと、Cとの組合せを除外する。本明細書において使用されるとき、「A、B、およびCからなる群から選択された要素(a member selected from the group consisting of A, B, and C)」は、A、B、またはCのうちのただ1つを含み、Aと、Bと、Cとの組合せを除外する。本明細書において使用されるとき、「A、B、およびC、ならびにそれらの組合せからなる群から選択された要素(a member selected from the group consisting of A, B, and C and combinations thereof)」は、Aのみ、Bのみ、Cのみ、AとBとの組合せ、BとCとの組合せ、AとCとの組合せ、またはAと、Bと、Cとの組合せを含む。
【0020】
実施形態の態様が、実施形態による方法、装置、システム、およびプログラム製品の概略的な流れ図および/または概略的なブロック図を参照して下で説明される。概略的な流れ図および/または概略的なブロック図の各ブロックならびに概略的な流れ図および/または概略的なブロック図のブロックの組合せがコードによって実装され得ることは、理解されるであろう。このコードは、コンピュータまたはその他のプログラミング可能なデータ処理装置のプロセッサによって実行される命令が流れ図および/またはブロック図において規定された機能/行為を実施するための手段を生むように、マシンを生成するために多目的コンピュータ、専用コンピュータ、またはその他のプログラミング可能なデータ処理装置のプロセッサに提供されてよい。
【0021】
コードは、ストレージデバイスに記憶された命令が流れ図および/またはブロック図において規定された機能/行為を実施する命令を含む製品を生むように、特定の方法で機能するようにコンピュータ、その他のプログラミング可能なデータ処理装置、またはその他のデバイスに指示することができるストレージデバイスに記憶されてもよい。
【0022】
コードは、コンピュータまたはその他のプログラミング可能な装置において実行されるコードが流れ図および/またはブロック図において規定された機能/行為を実施するためのプロセスを提供するように、コンピュータによって実施されるプロセスを生むようにコンピュータ、その他のプログラミング可能な装置、またはその他のデバイス上で一連の動作ステップを実行させるためにコンピュータ、その他のプログラミング可能なデータ処理装置、またはその他のデバイスにロードされてもよい。
【0023】
図中の呼び出しフロー(call-flow)図、流れ図、および/またはブロック図は、様々な実施形態による装置、システム、方法、およびプログラム製品の可能な実装のアーキテクチャ、機能、および動作を示す。この点に関して、流れ図および/またはブロック図の各ブロックは、規定された論理的機能を実装するためのコードの1つまたは複数の実行可能な命令を含むコードのモジュール、セグメント、または一部を表す場合がある。
【0024】
一部の代替的な実装においては、ブロックに示された機能が図に示された順序から外れて行われる場合があることにも留意されたい。たとえば、連続して示された2つのブロックが、実際には、実質的に同時に実行される可能性があり、またはブロックは、関連する機能に応じて逆順に実行されることがある可能性がある。示された図の1つもしくは複数のブロックまたはその一部と機能、論理、または効果において同等であるその他のステップおよび方法が、考え出される可能性がある。
【0025】
様々な矢印の種類および線の種類が呼び出しフロー図、流れ図、および/またはブロック図において使用される場合があるが、それらは、対応する実施形態の範囲を限定しないと理解される。実際、いくつかの矢印またはその他のコネクタが、示された実施形態の論理的な流れだけを示すために使用される場合がある。たとえば、矢印が、示された実施形態の列挙されたステップ間の不特定の継続時間の待機または監視期間を示す場合がある。ブロック図および/または流れ図の各ブロックならびにブロック図および/または流れ図のブロックの組合せは、規定された機能もしくは行為を実行する専用のハードウェアに基づくシステム、または専用のハードウェアとコードとの組合せによって実装され得ることも留意される。
【0026】
各図の要素の説明は、手順の図の要素を参照する場合がある。同様の番号は、同様の要素の代替的な実施形態を含むすべての図において同様の要素を指す。
【0027】
概して、本開示は、セキュアドパケットをプロビジョニングするためのメカニズムのためのシステム、方法、および装置を説明する。特定の実施形態において、方法は、コンピュータ可読媒体に組み込まれたコンピュータコードを使用して実行されてよい。特定の実施形態において、装置またはシステムは、プロセッサによって実行されるときに、下で説明される解決策の少なくとも一部を装置またはシステムに実行させるコンピュータ可読コードを含むコンピュータ可読媒体を含んでよい。
【0028】
現在、3GPPでは、HPLMNのNFが、ネットワークスライス固有認証および認可(「NSSAA: Network Slice-Specific Authentication and Authorization」)のために使用されるクレデンシャルまたは二次認証/認可(以降、「二次認証」と呼ばれる)のためのクレデンシャルをUEにプロビジョニングするかまたは更新する。クレデンシャルは、統合データ管理(Unified Data Management)機能(「UDM」)に予め構成される場合があり、またはUDMが、対応するアプリケーション機能(「AF」)(たとえば、プロビジョニングサーバ)にクレデンシャルを要求し、安全に受け取ることが可能である。UDMからの要求に応じて、AFがUEのクレデンシャル(すなわち、モバイル機器(「ME」)および/またはユニバーサル集積回路カード(「UICC: Universal Integrated Circuit Card」)上)をプロビジョニングおよび/または更新するべきである場合、AFは、クレデンシャルをセキュアドパケットとしてUDMに送信し、そのセキュアドパケットが、後でUEに渡される。
【0029】
現在の3GPP仕様によれば、AFからUDMエンティティへのセキュアパケットの転送のための既存の手順は、UDMからAFに要求を送信することを含んでおり、そのメッセージは、加入者永続アイデンティティ(「SUPI: Subscriber Permanent Identity」)を含む。しかし、SUPIを外部のサービスプロバイダまたは外部のAFに公開することは、ユーザのプライバシーを侵害する。
【0030】
さらに、既存の手順において、UDMは、AFとのサービス固有のプロビジョニング要求を呼び出さず、したがって、既存の要求は、UEのための2つ以上のタイプのサービスに関するプロビジョニングの実行をAFが掌握している場合に、AFが特定のサービスタイプに固有のクレデンシャルおよび/またはパラメータを提供することを可能にしない。
【0031】
第1の解決策によれば、ネットワーク機能(「NF」)コンシューマ(たとえば、UDM)が、NEFにプロビジョニングデータ要求を送信する。ここで、プロビジョニングデータ要求は、汎用公開加入識別子(「GPSI: generic public subscription identifier」)、外部ネットワークスライス情報(「ENSI」)または単一ネットワークスライス選択支援情報(「S-NSSAI: single network slice selection assistance information」)、データタイプ(Data Type)、およびセキュアドパケットを提供するためのインジケーションのうちの少なくとも1つを含んでよい。このインジケーションは、パラメータUiccConfigurationParameterを含む場合がある。一実施形態において、ENSI/S-NSSAIは、パラメータUiccConfigurationParameter内で示される場合もある。コンシューマNFは、--NEFから--プロビジョニングデータ応答を受信する。ここで、プロビジョニングデータ応答は、成功インジケーション、セキュアドパケット、GPSI、ENSIまたはS-NSSAI、ならびにセキュアドパケットおよび/またはセキュアドパケット内のクレデンシャルの有効期間を示すライフタイムパラメータのうちの少なくとも1つを含む。代替的に、プロビジョニングデータ応答は、失敗インジケーション、GPSI、およびENSIまたはS-NSSAIのうちの少なくとも1つを含む場合がある。コンシューマNFは、上記の受信された情報を記憶する。
【0032】
第1の解決策によれば、NEFは、SP-AFにハイパーテキスト転送プロトコル(「HTTP」)のPOST要求メッセージを送信し、SP-AFから応答メッセージを受信する。ここで、POST要求メッセージは、GPSI、ENSIもしくはS-NSSAI、データタイプ、およびセキュアドパケットを提供するためのインジケーションのうちの少なくとも1つを含んでよい。このインジケーションは、パラメータUiccConfigurationParameterを含む場合がある。一実施形態において、ENSI/S-NSSAIは、パラメータUiccConfigurationParameter内で示される場合もある。特定の実施形態において、SP-AFからの応答は、セキュアドパケットを含む「200 OK」メッセージである。一実施形態において、「200 OK」メッセージは、GPSI、ENSI/S-NSSAI、ならびにセキュアドパケットおよび/またはセキュアドパケット内のクレデンシャルの有効期間を示すライフタイムパラメータを含む。その他の実施形態において、SP-AFからの応答は、失敗インジケーション、GPSI、およびENSI/S-NSSAIを含む。一部の実施形態において、SP-AFからの応答は、セキュアドパケットが「ME」または「UICC」に記憶されなければならない場合、インジケーションを含む。
【0033】
第2の解決策によれば、コンシューマNF(たとえば、UDM)が、SP-AFにHTTP POST要求メッセージを送信し、SP-AFから応答メッセージを受信する。ここで、POST要求メッセージは、SUPI、S-NSSAI、データタイプ、ならびにセキュアドパケットを提供するためのインジケーション、ならびにセキュアドパケットおよび/またはセキュアドパケット内のクレデンシャルの有効期間を示すライフタイムパラメータのうちの少なくとも1つを含んでよい。このインジケーションは、パラメータUiccConfigurationParameterを含む場合がある。一実施形態において、S-NSSAIは、(UiccConfigurationParameter)内で示され得る。特定の実施形態において、SP-AFからの応答は、セキュアドパケットを含むHTTPの「200 OK」メッセージである。一実施形態において、「200 OK」メッセージは、SUPI、S-NSSAI、およびライフタイムパラメータを含む。その他の実施形態において、SP-AFからの応答は、失敗インジケーション、SUPI、およびS-NSSAIを含む。一部の実施形態において、SP-AFからの応答は、セキュアドパケットが「ME」または「UICC」に記憶されなければならない場合、インジケーションを含む。コンシューマNFは、上記の受信された情報を記憶する。
【0034】
図1は、本開示の実施形態によるセキュアドパケットをプロビジョニングするためのワイヤレス通信システム100を示す。一実施形態において、ワイヤレス通信システム100は、少なくとも1つのリモートユニット105、無線アクセスネットワーク(「RAN」)120、およびモバイルコアネットワーク140を含む。RAN 120およびモバイルコアネットワーク140は、モバイル通信ネットワークを形成し、RAN 120は、少なくとも1つのリモートユニット105にモバイルコアネットワーク140へのアクセスを提供する中間ネットワークである。RAN 120は、少なくとも1つのリモートユニット105がワイヤレス通信リンク123を使用して通信するベースユニット121から構成されてよい。たとえ特定の数のリモートユニット105、ベースユニット121、ワイヤレス通信リンク123、RAN 120、およびモバイルコアネットワーク140が図1に示されているとしても、当業者は、任意の数のリモートユニット105、ベースユニット121、ワイヤレス通信リンク123、RAN 120、およびモバイルコアネットワーク140がワイヤレス通信システム100に含まれてよいことを認めるであろう。
【0035】
1つの実装において、RAN 120は、3GPP仕様で規定された5Gセルラシステムに準拠する。たとえば、RAN 120は、NR無線アクセス技術(「RAT」)および/またはロングタームエボリューション(「LTE」)RATを実装する次世代無線アクセスネットワーク(「NG-RAN」)である場合がある。別の例において、RAN 120は、非3GPP RAT(たとえば、Wi-Fi(登録商標)または米国電気電子学会(「IEEE」)802.11ファミリーに準拠したWLAN)を含む場合がある。別の実装において、RAN 120は、3GPP仕様で規定されたLTEシステムに準拠する。しかし、より広く、ワイヤレス通信システム100は、ネットワークの中でもとりわけ、何らかのその他のオープンなまたは独自仕様の通信ネットワーク、たとえば、マイクロ波アクセスのための世界的相互運用性(「WiMAX: Worldwide Interoperability for Microwave Access」)またはIEEE 802.16ファミリーの規格を実装する場合がある。本開示は、いかなる特定のワイヤレス通信システムアーキテクチャまたはプロトコルの実装にも限定されるように意図されていない。
【0036】
一実施形態において、リモートユニット105は、デスクトップコンピュータ、ラップトップコンピュータ、携帯情報端末(「PDA」)、タブレットコンピュータ、スマートフォン、スマートテレビ(たとえば、インターネットに接続されたテレビ)、スマート家電(たとえば、インターネットに接続された家電)、セットトップボックス、ゲームコンソール、(防犯カメラを含む)セキュリティシステム、車載コンピュータ、ネットワークデバイス(たとえば、ルータ、スイッチ、モデム)などのコンピューティングデバイスを含んでよい。一部の実施形態において、リモートユニット105は、スマートウォッチ、フィットネスバンド、光学式ヘッドマウントディスプレイなどのウェアラブルデバイスを含む。さらに、リモートユニット105は、UE、加入者ユニット、モバイル電話、移動局、ユーザ、端末、モバイル端末、固定端末、加入者局、ユーザ端末、無線送信/受信ユニット(「WTRU: wireless transmit/receive unit」)、デバイス、または当技術分野で使用されるその他の用語で呼ばれる場合がある。様々な実施形態において、リモートユニット105は、UICC 107などの加入者アイデンティティおよび/または識別モジュール(「SIM」)と、モバイル終端機能(たとえば、無線送信、ハンドオーバ、音声符号化および復号、誤り検出および訂正、シグナリング、ならびにSIMへのアクセス)を提供するMEとを含む。特定の実施形態において、リモートユニット105は、端末機器(「TE」)を含む場合があり、および/または家電もしくはデバイス(たとえば、上述のコンピューティングデバイス)に組み込まれる場合がある。
【0037】
リモートユニット105は、アップリンク(「UL」)およびダウンリンク(「DL」)通信信号によってRAN 120内のベースユニット121のうちの1つまたは複数と直接通信する場合がある。さらに、ULおよびDL通信信号は、ワイヤレス通信リンク123上で運ばれてよい。さらに、UL通信信号は、物理アップリンク制御チャネル(「PUCCH」)および/または物理アップリンク共有チャネル(「PUSCH」)などの1つまたは複数のアップリンクチャネルを含む場合があり、一方、DL通信信号は、物理ダウンリンク制御チャネル(「PDCCH」)および/または物理ダウンリンク共有チャネル(「PDSCH」)などの1つまたは複数のDLチャネルを含む場合がある。
【0038】
以下で、UL送信は、PUSCH送信、PUCCH送信、ランダムアクセスチャネル(「RACH」)送信、および/またはUL信号を指す場合がある。
【0039】
様々な実施形態において、リモートユニット105は、サイドリンク通信を使用して互いに直接通信する場合がある(たとえば、デバイスツーデバイス通信(device-to-device communication))。ここで、サイドリンク送信は、サイドリンクリソース上で行われてよい。リモートユニット105は、異なる割り当てモードに従って、異なるサイドリンク通信リソースを提供される場合がある。本明細書において使用されるとき、「リソースプール」は、サイドリンク動作のために割り振られるリソースのセットを指す。リソースプールは、1つまたは複数の時間単位(たとえば、直交周波数分割多重(「OFDM」)シンボル、サブフレーム、スロット、サブスロットなど)上のリソースブロック(すなわち、物理リソースブロック(「PRB」)のセットからなる。一部の実施形態において、リソースブロックのセットは、周波数領域において連続するPRBを含む。本明細書において使用するPRBは、周波数領域において12個の連続するサブキャリアからなる。本開示全体を通じて、シンボル、スロット、サブスロット、および送信時間間隔(「TTI」)という用語は、特定の持続時間を持つ時間単位を指す(たとえば、シンボルは、特定のサブキャリア間隔(「SCS」)に関連するOFDMシンボル長の分数/割合である可能性がある)。
【0040】
一部の実施形態において、リモートユニット105は、モバイルコアネットワーク140とのネットワーク接続を介してアプリケーションサーバ151と通信する。たとえば、リモートユニット105内のアプリケーション109(たとえば、ウェブブラウザ、メディアクライアント、電話および/またはボイスオーバーインターネットプロトコル(「VoIP」)アプリケーション)が、RAN 120を介してモバイルコアネットワーク140とのプロトコルデータユニット(「PDU」)セッション(またはパケットデータネットワーク(「PDN」)接続)を確立するようにリモートユニット105をトリガする場合がある。PDUセッションは、リモートユニット105とユーザプレーン機能(「UPF」)141との間の論理接続を表す。そして、モバイルコアネットワーク140は、PDUセッション(またはその他のデータ接続)を使用して、リモートユニット105とパケットデータネットワーク150内のアプリケーションサーバ151との間でトラフィックを中継する。
【0041】
PDUセッション(またはPDN接続)を確立するために、リモートユニット105は、モバイルコアネットワーク140に登録されなければならない(第4世代(「4G」)システムの文脈では「モバイルコアネットワークにアタッチされる」とも言われる)。リモートユニット105は、モバイルコアネットワーク140との1つまたは複数のPDUセッション(またはその他のデータ接続)を確立してよいことに留意されたい。したがって、リモートユニット105は、パケットデータネットワーク150と通信するための少なくとも1つのPDUセッションを有していてよい。リモートユニット105は、その他のデータネットワークおよび/またはその他の通信ピアと通信するために追加のPDUセッションを確立してよい。
【0042】
5Gシステム(「5GS」)の文脈で、用語「PDUセッション」は、UPF 141を介して、リモートユニット105と特定のデータネットワーク(「DN」)との間のエンドツーエンド(「E2E」)のユーザプレーン(「UP」)接続を提供するデータ接続を指す。PDUセッションは、1つまたは複数のサービス品質(「QoS」)フローをサポートする。特定の実施形態においては、特定のQoSフローに属するすべてのパケットが同じ5G QoS識別子(「5QI」)を有するように、QoSフローとQoSプロファイルとの間に1対1のマッピングが存在する場合がある。
【0043】
進化型パケットシステム(「EPS: Evolved Packet System」)などの4G/LTEシステムの文脈では、PDN接続(EPSセッションとも呼ばれる)が、リモートユニットとPDNとの間のE2EのUP接続を提供する。PDN接続手順は、EPSベアラ、すなわち、リモートユニット105とモバイルコアネットワーク140内のPDNゲートウェイ(「PGW」、図示せず)との間のトンネルを確立する。特定の実施形態においては、特定のEPSベアラに属するすべてのパケットが同じQoSクラス識別子(「QCI」)を有するように、EPSベアラとQoSプロファイルとの間に1対1のマッピングが存在する。
【0044】
ベースユニット121は、地理的な地域に分散されてよい。特定の実施形態において、ベースユニット121は、アクセス端末、アクセスポイント、ベース、基地局、ノードB(「NB」)、進化型ノードB(eNodeBまたは「eNB」と略され、進化型ユニバーサル地上無線アクセスネットワーク(「E-UTRAN: Evolved Universal Terrestrial Radio Access Network」)ノードBとしても知られる)、5G/NRノードB(「gNB」)、ホームノードB、中継ノード、RANノード、または当技術分野で使用される任意のその他の用語で呼ばれる場合もある。ベースユニット121は、概して、1つまたは複数の対応するベースユニット121に通信可能なように結合された1つまたは複数のコントローラを含んでよいRAN 120などのRANの一部である。無線アクセスネットワークのこれらおよびその他の要素は、図示されていないが、概して当業者によく知られている。ベースユニット121は、RAN 120を介してモバイルコアネットワーク140に接続する。
【0045】
ベースユニット121は、ワイヤレス通信リンク123を介して、サービングエリア、たとえば、セルまたはセルのセクタ内の多数のリモートユニット105にサービスを提供してよい。ベースユニット121は、通信信号によってリモートユニット105のうちの1つまたは複数と直接通信してよい。概して、ベースユニット121は、時間、周波数、および/または空間領域においてリモートユニット105にサービスを提供するためにDL通信信号を送信する。さらに、DL通信信号は、ワイヤレス通信リンク123上で運ばれてよい。ワイヤレス通信リンク123は、免許が必要なまたは免許不要の無線スペクトルの任意の適切なキャリアであってよい。ワイヤレス通信リンク123は、リモートユニット105のうちの1つもしくは複数および/またはベースユニット121のうちの1つもしくは複数の間の通信を容易にする。
【0046】
セルアクセスを容易にするために、RAN 120は、同期信号ブロック(「SSB」)を含む同期信号(たとえば、プライマリ同期信号およびセカンダリ同期信号)および物理ブロードキャストチャネル(「PBCH」)を(たとえば、周期的に)送信する。たとえば、RAN 120内の各ベースユニット121が、SSBのセットを送信する場合がある。SSBの周期性、数の繰り返し、時間領域の位置/オフセット、およびその他のパラメータは、セルのキャリア周波数およびサブキャリア間隔(「SCS」)に依存する場合がある。リモートユニット105は、SSB内の情報を使用して、たとえば、特定のセルをサポートするそれぞれのベースユニット121に接続要求を送信することによって、シングルキャリア波形を使用して特定のセルにアクセスする。
【0047】
免許不要のスペクトル上でのNR動作(「NR-U」と呼ばれる)中、ベースユニット121およびリモートユニット105は、免許不要の(すなわち、共有された)無線スペクトル上で通信することに留意されたい。同様に、免許不要のスペクトル上でのLTE動作(「LTE-U」と呼ばれる)中、ベースユニット121およびリモートユニット105は、やはり、免許不要の(すなわち、共有された)無線スペクトル上で通信する。
【0048】
一実施形態において、モバイルコアネットワーク140は、データネットワークの中でもとりわけ、インターネットおよびプライベートデータネットワークのようなパケットデータネットワーク150に結合されてよい5Gコアネットワーク(「5GC」)または進化型パケットコア(「EPC」)である。リモートユニット105は、モバイルコアネットワーク140に加入しているかまたはその他のアカウントを有していてよい。様々な実施形態において、各モバイルコアネットワーク140は、単一の移動体通信事業者(「MNO: mobile network operator」)および/または公衆陸上モバイルネットワーク(「PLMN: Public Land Mobile Network」)に属する。本開示は、いかなる特定のワイヤレス通信システムアーキテクチャまたはプロトコルの実装にも限定されるように意図されていない。
【0049】
モバイルコアネットワーク140は、いくつかのネットワーク機能(「NF」)を含む。示されるように、モバイルコアネットワーク140は、少なくとも1つのUPF 141を含む。モバイルコアネットワーク140は、RAN 120にサービスを提供するアクセスおよびモビリティ管理機能(「AMF: Access and Mobility Management Function」)142、セッション管理機能(「SMF」)143、ポリシー制御機能(「PCF」)144、ネットワーク公開機能(「NEF」)145、アプリケーション機能(「AF」)146、ネットワークスライス固有認証および認可機能(「NSSAAF」)147、UDM、およびユーザデータリポジトリ(「UDR」)を含むがこれらに限定されない複数の制御プレーン(「CP」)機能も含む。一部の実施形態において、UDMは、UDRと同じ場所に置かれ、組み合わされたエンティティ「UDM/UDR」149として示されている。特定の数および種類のネットワーク機能が図1に示されているが、当業者は、任意の数および種類のネットワーク機能がモバイルコアネットワーク140に含まれてよいことを認めるであろう。
【0050】
UPF 141は、5Gアーキテクチャにおいて、データネットワーク(「DN」)を相互接続するためのパケットのルーティングおよび転送、パケットの検査、QoSの処理、ならびに外部PDUセッションを担う。AMF 142は、非アクセススペクトル(「NAS」)シグナリングの終端、NASの暗号化および完全性保護、登録管理、接続管理、モビリティ管理、アクセスの認証および認可、セキュリティコンテキスト管理を担う。SMF 143は、セッション管理(すなわち、セッションの確立、修正、解放)、リモートユニット(すなわち、UE)のインターネットプロトコル(「IP」)アドレスの割り当ておよび管理、DLデータ通知、ならびに適切なトラフィックのルーティングのためのUPF 141のトラフィックステアリング構成を担う。
【0051】
PCF 144は、統一されたポリシーフレームワーク、CP機能へのポリシー規則の提供、UDRにおけるポリシー決定のためのアクセス加入情報を担う。NEF 145は、ネットワークデータおよびリソースを、顧客およびネットワークパートナーに簡単にアクセスされ得るようにすることを担う。
【0052】
AF 146は、サービスのサービス品質および特定の課金の面を確立する場合がある。そのような役割にあって、AF 146は、PCF 144と相互接続する場合がある。一部の実施形態において、AF 146は、NFサービスコンシューマがアプリケーションイベントに加入する、修正する、および加入を取り消すことを可能にする。そのような実施形態において、AF 146は、対応する加入をしているNFサービスコンシューマに、AF上の観測されたイベントについて知らせる場合がある。
【0053】
本明細書において説明されるように、AF 146は、リモートユニット105のクレデンシャルをプロビジョニングおよび/または更新してよいプロビジョニングサーバとして働く場合がある。そのような実施形態において、AF 146は、クレデンシャルをセキュアドパケットとしてUDMに送信してよく、そのセキュアドパケットが、後でリモートユニット105に渡される。モバイルコアネットワーク140内に存在するのもとして示されているが、その他の実施形態において、AF 146は、モバイルコアネットワーク140の外部のサーバである場合がある。
【0054】
AF 146は、「Nspaf」サービスベースのインターフェースを介して、(UPF 141、SMF 143、NSSAAF 147、および/またはUDM/UDR 149などの)コンシューマNFにSP-AFサービスを提供する。コンシューマNFは、最終的なコンシューマがユニバーサル加入者識別モジュール(USIM)であるUEパラメータを保護する必要があるとき、SP-AFサービスを利用する(たとえば、3GPP技術仕様(TS)33.501、6.15.2.1項参照)。そのような保護されたUEパラメータは、セキュアドパケットを使用して転送されてよい。
【0055】
本明細書において使用されるとき、「セキュアドパケット」は、ネットワーク内(たとえば、モバイルコアネットワーク140内)のエンティティと、リモートユニット105内のUICC 107(たとえば、SIM/USIM)および/またはMEとの間でのやりとりのためのパケットを指し、セキュリティメカニズムがパケットに適用され、そうして、セキュアドパケットを作成する。様々な実施形態において、セキュアドパケットの構造は、たとえば、ヘッダおよびセキュアドデータ(Secured data)を含む、ヨーロッパ電気通信標準化協会(「ETSI」)TS 102 225 v16.0.0に定義された構造に準拠する。
【0056】
セキュアドパケットは、たとえば、ETSI TS 102 224 v15.0.0に従って特定のセキュリティメカニズムが適用されたアプリケーションメッセージを含む。アプリケーションメッセージは、PLMN内またはPLMNの背後にあるアプリケーションとUICC/SIM/USIMとの間でやりとりされるコマンドまたはデータである。PLMNおよびUICCの送信/受信エンティティは、アプリケーションメッセージにセキュリティメカニズムを適用し、したがって、それらのアプリケーションメッセージをセキュアドパケットにすることを担う。
【0057】
NSSAAF 147は、AMF 142が特定のリモートユニット105および特定のS-NSSAIのためにNSSAAを呼び出す必要があるときに、認証、認可、およびアカウンティング(「AAA」)サーバと通信するためにAMF 142によって使用される。NSSAA手順は、HPLMNの運用者によってまたはHPLMNと取引関係のあるサードパーティによってホストされる場合があるAAAサーバとのNSSAAを必要とする(たとえば、S-NSSAIによって特定される)ネットワークスライスのためにトリガされる。AMF 142は、NSSAAFを使用する場合がある。特定の実施形態において、NSSAAF 147は、スライス再認証通知(slice re-authentication notification)またはスライス認可取消通知(slice authorization revocation notification)を受信するためにAMF 142によってやはり使用される。
【0058】
UDMは、認証および鍵合意(「AKA: Authentication and Key Agreement」)クレデンシャルの生成、ユーザ識別処理、アクセス認可、加入管理を担う。UDRは、加入者情報のリポジトリであり、多くのネットワーク機能にサービスを提供するために使用されてよい。たとえば、UDRは、加入データ、ポリシー関連データ、サードパーティアプリケーションに公開されることを許される加入者関連データなどを記憶する場合がある。
【0059】
様々な実施形態において、モバイルコアネットワーク140は、ネットワークリポジトリ機能(「NRF」)(ネットワーク機能(「NF」)のサービスの登録および発見を提供し、NFが互いの適切なサービスを特定し、アプリケーションプログラミングインターフェース(「API」)を介して互いに通信することを可能にする)、認証サーバ機能(「AUSF」)、または5GCのために定義されたその他のNFも含む場合がある。存在するとき、AUSFは、認証サーバおよび/または認証プロキシとして働いてよく、それによって、AMF 142がリモートユニット105を認証することを可能にする。特定の実施形態において、モバイルコアネットワーク140は、AAAサーバを含んでよい。
【0060】
様々な実施形態において、モバイルコアネットワーク140は、異なる種類のモバイルデータ接続および異なる種類のネットワークスライスをサポートし、各モバイルデータ接続は、特定のネットワークスライスを利用する。ここで、「ネットワークスライス」は、特定のトラフィックの種類または通信サービスのために最適化されたモバイルコアネットワーク140の一部分を指す。たとえば、1つまたは複数のネットワークスライスは、拡張モバイルブロードバンド(「eMBB: enhanced mobile broadband」)サービスのために最適化される場合がある。別の例として、1つまたは複数のネットワークスライスは、超高信頼低遅延通信(「URLLC」)サービスのために最適化される場合がある。その他の例において、ネットワークスライスは、マシンタイプ通信(「MTC」)サービス、大規模MTC(「mMTC: massive MTC」)サービス、モノのインターネット(「IoT」)サービスのために最適化される場合がある。さらにその他の例において、ネットワークスライスは、特定のアプリケーションサービス、バーティカルサービス(vertical service)、特定のユースケースなどのためにデプロイされる場合がある。
【0061】
ネットワークスライスインスタンスは、単一ネットワークスライス選択支援情報(「S-NSSAI」)によって特定され、一方、リモートユニット105が使用することを認可されるネットワークスライスのセットは、ネットワークスライス選択支援情報(「NSSAI」)によって特定される。ここで、「NSSAI」は、1つまたは複数のS-NSSAI値を含むベクトル値を指す。特定の実施形態においては、様々なネットワークスライスが、SMF 143およびUPF 141などのネットワーク機能の別々のインスタンスを含む場合がある。一部の実施形態においては、異なるネットワークスライスが、AMF 142などのいくつかの共通のネットワーク機能を共有する場合がある。図示を簡単にするために、図1には異なるネットワークスライスが示されていないが、それらのサポートは想定されている。
【0062】
図1は5G RANおよび5Gコアネットワークのコンポーネントを示すが、セキュアドパケットをプロビジョニングするための説明される実施形態は、IEEE 802.11の変種、移動体通信用グローバルシステム(「GSM: Global System for Mobile Communications」、すなわち、2Gデジタルセルラネットワーク)、汎用パケット無線サービス(「GPRS」)、ユニバーサル移動体通信システム(「UMTS」)、LTEの変種、CDMA2000、Bluetooth、ZigBee、Sigfoxなどを含むその他の種類の通信ネットワークおよびRATに当てはまる。
【0063】
さらに、モバイルコアネットワーク140がEPCであるLTEの変種において、示されたネットワーク機能は、モビリティ管理エンティティ(「MME: Mobility Management Entity」)、サービングゲートウェイ(「SGW」)、PGW、ホーム加入者サーバ(「HSS」)などの適切なEPCエンティティによって置き換えられてよい。たとえば、AMF 142が、MMEにマッピングされ、SMF 143が、PGWの制御プレーン部分および/またはMMEにマッピングされ、UPF 141が、SGWおよびPGWのユーザプレーン部分にマッピングされ、UDM/UDR 149が、HSSにマッピングされるなどしてよい。
【0064】
以下の説明において、用語「RANノード」は、基地局/ベースユニットに使用されるが、それは、任意のその他の無線アクセスノード、たとえば、gNB、ng-eNB、eNB、基地局(「BS」)、基地局ユニット、アクセスポイント(「AP」)、NR BS、5G NB、送受信ポイント(「TRP: Transmission and Reception Point」)などによって置き換えられ得る。さらに、用語「UE」は、移動局/リモートユニットに使用されるが、それは、任意のその他のリモートデバイス、たとえば、リモートユニット、MS、MEなどによって置き換えられ得る。さらに、動作は、主に5G NRの文脈で説明される。しかし、以下で説明される解決策/方法は、セキュアドパケットをプロビジョニングするためのその他のモバイル通信システムにも同様に適用可能である。
【0065】
図2は、本開示の実施形態によるNRプロトコルスタック200を示す。図2は、UE 205、RANノード210、および5Gコアネットワーク(「5GC」)内のAMF 215を示すが、これらは、ベースユニット121およびモバイルコアネットワーク140とインタラクションするリモートユニット105のセットを代表している。示されるように、NRプロトコルスタック200は、ユーザプレーンプロトコルスタック201および制御プレーンプロトコルスタック203を含む。ユーザプレーンプロトコルスタック201は、物理(「PHY」)レイヤ220、媒体アクセス制御(「MAC」)サブレイヤ225、無線リンク制御(「RLC」)サブレイヤ230、パケットデータコンバージェンスプロトコル(「PDCP: Packet Data Convergence Protocol」)サブレイヤ235、およびサービスデータ適応プロトコル(「SDAP: Service Data Adaptation Protocol」)レイヤ240を含む。制御プレーンプロトコルスタック203は、PHYレイヤ220、MACサブレイヤ225、RLCサブレイヤ230、およびPDCPサブレイヤ235を含む。制御プレーンプロトコルスタック203は、無線リソース制御(「RRC」)レイヤ245および非アクセス層(「NAS」)レイヤ250も含む。
【0066】
ユーザプレーンプロトコルスタック201のアクセス層(「AS」)レイヤ255(「ASプロトコルスタック」とも呼ばれる)は、少なくとも、SDAP、PDCP、RLC、およびMACサブレイヤ、ならびに物理レイヤから構成される。制御プレーンプロトコルスタック203のASレイヤ260は、少なくともRRC、PDCP、RLC、MACサブレイヤ、および物理レイヤから構成される。レイヤ2(「L2」)は、SDAP、PDCP、RLC、およびMACサブレイヤに分割される。レイヤ3(「L3」)は、制御プレーンのRRCレイヤ245およびNASレイヤ250を含み、たとえば、ユーザプレーンのIPレイヤおよび/またはPDUレイヤ(図示せず)を含む。L1およびL2は、「下位レイヤ」と呼ばれ、一方、L3以上(たとえば、トランスポートレイヤ、アプリケーションレイヤ)は、「高位レイヤ(higher layer)」または「上位レイヤ(upper layer)」と呼ばれる。
【0067】
PHYレイヤ220は、MACサブレイヤ225にトランスポートチャネルを提供する。PHYレイヤ220は、本明細書において説明されるように、エネルギー検出閾値を使用してビーム障害検出手順を実行してよい。特定の実施形態において、PHYレイヤ220は、ビーム障害のインジケーションをMACサブレイヤ225のMACエンティティに送信する場合がある。MACサブレイヤ225は、RLCサブレイヤ230に論理チャネルを提供する。RLCサブレイヤ230は、PDCPサブレイヤ235にRLCチャネルを提供する。PDCPサブレイヤ235は、SDAPサブレイヤ240および/またはRRCレイヤ245に無線ベアラを提供する。SDAPサブレイヤ240は、コアネットワーク(たとえば、5GC)にQoSフローを提供する。RRCレイヤ245は、キャリアアグリゲーションおよび/またはデュアルコネクティビティの追加、修正、および解放を提供する。また、RRCレイヤ245は、シグナリング無線ベアラ(「SRB」)およびデータ無線ベアラ(「DRB」)の確立、構成、維持、および解放を管理する。
【0068】
NASレイヤ250は、UE 205と5GC内のAMF 215との間にある。NASメッセージは、RANを通じて透過的に渡される。NASレイヤ250は、通信セッションの確立を管理し、UE 205がRANの異なるセルの間を移動するときにUE 205との連続的な通信を維持するために使用される。対照的に、ASレイヤ255および260は、UE 205とRAN(すなわち、RANノード210)との間にあり、ネットワークのワイヤレス部分を介して情報を運ぶ。図2に示されていないが、IPレイヤが、NASレイヤ250の上に存在し、トランスポートレイヤが、IPレイヤの上に存在し、アプリケーションレイヤが、トランスポートレイヤの上に存在する。
【0069】
MACサブレイヤ225は、NRプロトコルスタックのL2アーキテクチャの最も下のサブレイヤである。下のPHYレイヤ220とのMACサブレイヤ225の接続は、トランスポートチャネルを介し、上のRLCサブレイヤ230との接続は、論理チャネルを介する。したがって、MACサブレイヤ225は、論理チャネルとトランスポートチャネルとの間で多重化および多重分離を実行し、すなわち、送信側のMACサブレイヤ225は、論理チャネルを介して受け取られたMACサービスデータユニット(「SDU」)からMAC PDU(トランスポートブロック(「TB」)としても知られる)を構築し、受信側のMACサブレイヤ225は、トランスポートチャネルを介して受け取られたMAC PDUからMAC SDUを回復する。
【0070】
MACサブレイヤ225は、制御データ(たとえば、RRCシグナリング)を運ぶ制御論理チャネルか、またはユーザプレーンデータを運ぶトラフィック論理チャネルかのどちらかである論理チャネルを介して、RLCサブレイヤ230のためのデータ転送サービスを提供する。一方、MACサブレイヤ225からのデータは、ULまたはDLに分類されるトランスポートチャネルを介してPHYレイヤ220とやりとりされる。データは、それが無線でどのようにして空中で送信されるかに応じてトランスポートチャネルに多重化される。
【0071】
PHYレイヤ220は、無線インターフェースを介したデータおよび制御情報の実際の送信を担い、すなわち、PHYレイヤ220は、MACトランスポートチャネルからのすべての情報を、送信側の無線インターフェースを介して運ぶ。PHYレイヤ220によって実行される重要な機能の一部は、符号化および変調と、リンク適応(たとえば、適応変調および符号化(「AMC: Adaptive Modulation and Coding」))と、電力制御と、セル探索およびランダムアクセス(初期同期およびハンドオーバを目的とする)と、RRCレイヤ245のための(3GPPシステム(すなわち、NRおよび/またはLTEシステム)内ならびにシステム間の)その他の測定とを含む。PHYレイヤ220は、変調方式、符号化率(すなわち、変調符号化方式(「MCS」))、物理リソースブロック数などの送信パラメータに基づいて送信を実行する。
【0072】
3GPP技術報告書(「TR」)33.857~60は、重要課題(Key Issue)#2:クレデンシャルのプロビジョニングを特定しており、これは、スタンドアロンの非公衆ネットワーク(「NPN: Non-Public Network」)および公衆ネットワーク統合型NPN(「PNI-NPN: Public Network Integrated NPN」)、たとえば、PLMNの支援を受けてデプロイされる非公衆ネットワークのための非USIMクレデンシャルの遠隔でのプロビジョニングを扱う。この重要課題は、プロビジョニングに関連する対応するセキュリティの関わりを研究することを目標としている。PNI-NPNに関しては、二次およびスライス固有認証のためのクレデンシャルのみが、この重要課題で考慮される必要がある。
【0073】
HPLMN内のUDMは、NSSAAのために使用されるクレデンシャルまたは二次認証のためのクレデンシャルをUE 205にプロビジョニングするおよび/または更新する機能を提供してよい。クレデンシャルは、UDM上に予め構成されるか、またはNEFを介してプロビジョニングサーバなどのAFからUDMに安全に送信される場合がある。クレデンシャルがUEのUICCにプロビジョニングされる場合、プロビジョニングサーバは、UDMに送信する前にクレデンシャルを保護してよい。クレデンシャルがUE(すなわち、ME/UICC)にプロビジョニングされるべきである場合、AFは、クレデンシャルをUDMにセキュアドパケットとして送信し、これは、たとえば、3GPP TS 29.544に規定された既存の手順に基づくことができ、既存の手順は、下で説明されるようにいくつかの欠点を持ち得る。
【0074】
特定の実施形態においては、セキュアドパケットを取り出すために、コンシューマNFが、セキュアドパケットを提供する要求をSP-AFに送信し、要求は、UEのアイデンティティ(/{supi})およびUICC構成パラメータを含む。
【0075】
ステップ1において、コンシューマNFが、SUPIを示すリソース(すなわち、AF 146)にPOST要求(カスタムメソッド: provide-secured-packet)を送信する。
【0076】
ステップ2aにおいて、成功すると、AF 146は、要求されたセキュアドパケットを含む「200 OK」メッセージで応答する。
【0077】
しかし、ステップ2bにおいて、リソースが存在しない(たとえば、SUPIがAF 146において知られていない)場合、AF 146は、HTTPステータスコード「404 Not Found」で応答する。特定の実施形態においては、追加のエラー情報が、応答の本体に(たとえば、「ProblemDetails」要素に)含められる。
【0078】
失敗すると、エラーを示す適切なHTTPステータスコードが返されるべきであり、適切な追加のエラー情報がPOST応答の本体で返されるべきである。
【0079】
しかし、上記の手順は、SUPIおよびUICC構成パラメータを入力として使用し、したがって、SUPIが、公開される可能性があり、これは、いくつかのセキュリティ上のリスクを有する可能性がある。さらに、SUPIおよびUICC構成パラメータは、ME/UICCのUEのためにクレデンシャル/構成パラメータがプロビジョニング/更新される必要があるサービスをSP-AFに示すためのいかなるサービス固有の情報も提供しない可能性がある。
【0080】
本明細書において開示されるのは、3GPP NFとアプリケーション機能(AF)との間のセキュアドパケット取り出し手順を強化するための解決策である。そのような強化は、いずれかの外部/サードパーティのAFが関与する場合に、UE/ユーザのプライバシーを保護するために、プライバシー保護されたUE識別子(「ID」)を使用するための手順を含む。本明細書において説明されるのは、サービス固有のセキュアドパケット取り出しのための手順と、NEFを介して外部/サードパーティのSP-AFにクレデンシャル/構成パラメータを要求し、受信するためにUDMをサポートするための手順である。
【0081】
以下の解決策は、以下のネットワーク機能およびアプリケーション機能の用語の明確化を考慮に入れる。本開示に記載の3GPP NFコンシューマは、UDM、またはローミングのステアリングアプリケーション機能(「SoR-AF: Steering of Roaming Application Function」)、またはNSSAAF、またはNEF、または任意のコンシューマNFに対応し得ることに留意されたい。本開示において指定されるAFは、任意のAF、またはアプリケーションサーバ、またはAAAサーバ、またはSP-AFに対応し得ることに留意されたい。本開示に記載の強化されたセキュアドパケット取り出し手順は、任意のアプリケーションから任意のクレデンシャル/構成パラメータを取り出すために、3GPPネットワーク内の任意NFによって適用され得る。
【0082】
本明細書において開示されるのは、(NEFを関与させる)UEのプライバシーを保護された、サービス固有のクレデンシャル/パラメータの取り出しをサポートするための、セキュアドパケット取り出し手順の強化に関する第1の解決策の実施形態である。第1の解決策は、3GPP NFが、セキュアドパケット取り出し手順中に、外部またはサードパーティのAFに(すなわち、AFが3GPPネットワークの外部にあるとき)、クレデンシャル/パラメータのサービス固有のプロビジョニングおよび/または更新をどのようにして要求することができるかを説明する。
【0083】
第1の解決策は、以下のシナリオAおよびBをそれぞれ含む場合がある。
【0084】
シナリオAは、NSSAA関連クレデンシャル取り出しに関する。ここで、第1の解決策は、NSSAA関連クレデンシャル取り出しのための新しいNEFサービス動作(service operation)メッセージ(たとえば、「Nnef_Provisioning_Data」サービス動作メッセージ)および関連する処理を定義する。NFコンシューマ(すなわち、UDM)は、新しいNEFサービス動作メッセージを使用して、スライス認証クレデンシャルに関連するセキュアパケット取り出しに関連するNEFとの要求/応答手順を実行する。
【0085】
シナリオAでは、NEFが、ネットワークスライス固有のクレデンシャル/パラメータがSP-AFからフェッチされる必要がある場合のために、プライバシーを保護されたUE ID(すなわち、GPSIまたは任意の外部UE ID)を示すリソースに、POST要求(カスタムメソッド: provide-secured-packet)でS-NSSAI(またはENSI)を送信する。NEFは、SP-AFからGPSI、S-NSSAI/ENSI、ライフタイムを受信し、これをNFコンシューマに転送する。
【0086】
シナリオBは、二次認証関連クレデンシャル取り出しに関する。ここで、第1の解決策は、二次認証関連クレデンシャル取り出しのための新しいNEFサービス動作メッセージ(たとえば、「Nnef_Provisioning_Data」サービス動作メッセージ)および関連する処理を定義する。NFコンシューマ(すなわち、UDM)は、新しいNEFサービス動作メッセージを使用して、二次認証クレデンシャルに関連するセキュアパケット取り出しに関連するNEFとの要求/応答手順を実行する。
【0087】
シナリオBでは、NFコンシューマが、データネットワーク名(「DNN: Data Network Name」)固有の二次認証クレデンシャル/パラメータがSP-AFからフェッチされる必要がある場合のために、プライバシーを保護されたUE ID(すなわち、GPSIまたは任意の外部UE ID)を示すリソースに、POST要求(カスタムメソッド: provide-secured-packet)でDN固有IDおよび/またはDNNを送信する。NEFは、SP-AFからGPSI、DN固有ID、DNN、ライフタイムを受信し、これをNFコンシューマに転送する。
【0088】
図3は、本開示の実施形態によるNSSAAベースの安全なクレデンシャル取り出しのための手順300を示す。手順300は、シナリオAのための第1の解決策の例示的な実装である。手順300は、3GPP NFコンシューマ305(たとえば、UDMまたはNSSAAF)、NEF 310、およびSP-AF 315を関与させる。図3に示されたステップが、以下のとおり説明される。
【0089】
ステップ0において、3GPP NFコンシューマ305が、UE 205のためのNSSAA関連クレデンシャル/構成パラメータを要求すると決定する(ブロック320参照)。ここで、決定は、ローカルポリシーに基づくか、またはサードパーティネットワークスライスのクレデンシャルの期限切れに基づくか、またはENSI/S-NSSAIに対応するサードパーティネットワークスライスのクレデンシャルが利用不可能であることに基づく場合がある。
【0090】
ステップ1aにおいて、3GPP NFコンシューマ305が、Nnef_Provisioning_Data Requestサービス動作メッセージをNEF 310に送信する(メッセージング325参照)。ここで、サービス動作メッセージは、少なくとも、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、ENSI/S-NSSAI)、SP-AF情報(たとえば、SP-AF 315のSP-AF IDおよび/またはアドレス情報)、ならびにパラメータUiccConfigurationParameterを含むインジケータ「provide-secured-packet」を含む。
【0091】
サービス固有の情報/記述子の目的は、それがUDMおよびSP-AF 315に、パケットの内容がUE 205のためにプロビジョニングされる特定の所与のサービスに関連するクレデンシャル/構成パラメータであることを示すことである。
【0092】
代替的に、新しいサービス名が、「Nnef_ProvisioningData_Get request/response」と表されることが可能であり、サービス名が「Nnef_ProvisioningData」であり、サービス動作が「Get」であり、動作セマンティック(operation semantic)が「request/response」である。
【0093】
代替的に、ステップ1aのメッセージは、UE 205のためのSP-AF 315からのクレデンシャルおよび/または構成パラメータの一部としてどのデータ(たとえば、ルーティングID、またはローミングのステアリング(「SoR」)データ、またはネットワークスライスデータ、または任意のサードパーティサービスデータなど)がUDMにプロビジョニングされることを要求されるかをSP-AF 315に示すために3GPP NFコンシューマ305(たとえば、UDM)によって使用される「データタイプ」情報要素も含む場合がある。図3は、GPSIを含むサービス動作メッセージを示すが、その他の実施形態では、3GPP NFコンシューマ305は、ステップ1aにおいてUE IDとしてSUPIを送信する場合がある。
【0094】
ステップ1bにおいて、ステップ1aのメッセージを受信すると、NEF 310が、受信されたSP-AF ID/アドレス情報に基づいて、SP-AF 315にHTTP POST要求メッセージを送信する(メッセージング330参照)。ここで、POST要求は、UE ID(/{GPSI})、サービス固有の記述子/情報セット(たとえば、ENSI/S-NSSAI)、およびUICC構成パラメータを含む。NEF 310は、POST要求(カスタムメソッド: provide-secured-packet)をGPSIおよびENSI/S-NSSAIを示すリソースに送信する。ステップ1aの受信されたメッセージがUE IDとしてSUPIを含む場合、NEF 310は、UE 205のSUPIをUE 205に対応するGPSIに変換することに留意されたい。ここで、SP-AF 315は信頼できるエンティティではないので、NEF 310は、UE 205のGPSIをSP-AF 315に送信し、したがって、3GPP NFコンシューマ305は、NEF 310を介してSP-AF 315とインタラクションする。
【0095】
ステップ1bの受信後、ステップ2a-1かまたはステップ2b-1かのどちらかが(たとえば、成功または失敗に基づいて)実行される。
【0096】
ステップ2a-1において、成功すると、SP-AF 315が、HTTPの「200 OK」メッセージで応答する(メッセージング335参照)。ここで、HTTPの「200 OK」メッセージは、要求されたセキュアドパケット、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、ENSI/S-NSSAI)、および(セキュアドパケットまたはセキュアドパケット内のクレデンシャルの有効性に対応する)ライフタイム情報を含む。代替的に、ステップ2a-1において、SP-AF 315は、セキュアドパケットが「ME」または「UICC」に記憶されるべきであるかどうかのインジケーションも含め得る。
【0097】
ステップ2b-1において、リソースが存在しない場合(たとえば、GPSIがSP-AF 315において知られていない場合)、SP-AF 315が、HTTPステータスコード「404 Not Found」を返す(メッセージング345参照)。一部の実施形態において、HTTPの「404 Not Found」メッセージは、応答の本体に(たとえば、「ProblemDetails」要素に)、失敗インジケーション、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、ENSI/S-NSSAI)、および追加のエラー情報を含む。失敗すると、エラーを示す適切なHTTPステータスコードが返され、適切な追加のエラー情報がPOST応答の本体で返されてよい。
【0098】
ステップ2a-2において、NEF 310がステップ2a-1の「200 OK」メッセージを受信する場合、NEF 310は、Nnef_Provisioning_Data Responseサービス動作メッセージを3GPP NFコンシューマ305に送信する(メッセージング340参照)。ここで、サービス動作メッセージは、成功インジケーション、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、ENSI/S-NSSAI)、セキュアドパケット、およびライフタイム情報を含む。代替的に、ステップ2a-1において、セキュアドパケットが「ME」または「UICC」に記憶されなければならないかどうかのインジケーションをNEF 310が受信する場合、NEF 310は、受信されたインジケーションを、その他の情報と一緒に、Nnef_Provisioning_Data Responseサービス動作メッセージで3GPP NFコンシューマ305に送信する。
【0099】
ステップ2b-2において、NEF 310がステップ2b-1の失敗の場合を含む「404 Not Found」またはHTTP POSTメッセージを受信する場合、NEF 310は、Nnef_Provisioning_Data Responseサービス動作メッセージを3GPP NFコンシューマ305に送信する(メッセージング350参照)。ここで、サービス動作メッセージは、失敗インジケーション、UE ID(たとえば、GPSI)、およびサービス固有の記述子/情報セット(たとえば、ENSI/S-NSSAI)を含む。
【0100】
ステップ1aの受信されたメッセージがUE IDとしてSUPIを含む場合、NEF 310は、ステップ2a-1(成功の場合)またはステップ2b-1(失敗の場合)の受信されたメッセージ内のGPSIをUE 205に対応するSUPIに変換して戻す。
【0101】
ステップ3において、3GPP NFコンシューマ305が、受信されたUE ID(たとえば、GPSI)、受信されたサービス固有の記述子/情報セット(たとえば、ENSI/S-NSSAI)、およびプロビジョニング取り出し結果を(すなわち、ローカルにまたはUDRに)記憶する(ブロック355参照)。さらに、3GPP NFコンシューマ305は、結果として、成功の場合(すなわち、ステップ2a-1およびステップ2a-2で説明された)に受信されたセキュアドパケットおよびクレデンシャルライフタイム情報か、または失敗の場合(すなわち、ステップ2b-1およびステップ2b-2で説明された)に受信された失敗インジケーションかのどちらかを記憶する。ここで、UDRへの記憶は、UE ID(たとえば、GPSI)に基づいてよい。
【0102】
任意のステップ4においては、3GPP NFコンシューマ305のコンシューマが、セキュアドパケットが「ME」または「UICC」に記憶されなければならないというインジケーションをステップ2a-1において受信する場合、3GPP NFコンシューマ305は、受信されたインジケーションをその他のデータと一緒に記憶し、このインジケーションを使用して、UEパラメータ更新(「UPU: UE Parameters Update」)データ/セキュアドパケットをUE 205のME/UICCに記憶するためにUPU手順がトリガされるべきかどうかを判定する(ブロック360参照)。ここでは、UDMが、UPU手順を開始してよい。さらに、UDMは、SP-AF 315によって示されたようにUPUデータ/セキュアドパケットを「ME」または「UICC」に記憶するようにUE 205に要求するために、UPU手順の間に、インジケーション(すなわち、セキュアドパケットが「ME」または「UICC」に記憶されなければならないというインジケーション)をUPUデータ/セキュアドパケットと一緒にUE 205に提供してもよい。手順300は、終了する。
【0103】
図4は、本開示の実施形態による二次認証ベースの安全なクレデンシャル取り出しのための手順400を示す。手順400は、シナリオBのための第1の解決策の例示的な実装である。手順400は、3GPP NFコンシューマ405(たとえば、UDMまたはSMFまたはUPF)、NEF 310、およびSP-AF 315を関与させる。図4に示されたステップが、以下のとおり説明される。
【0104】
ステップ0において、3GPP NFコンシューマ405が、UE 205のための二次認証関連クレデンシャル/構成パラメータを要求すると決定する(ブロック410参照)。ここで、決定は、ローカルポリシーに基づくか、S-NSSAI、DN固有ID、および/もしくはDNNに対応するネットワークスライス固有のクレデンシャルの期限切れに基づくか、またはS-NSSAI、DN固有ID、および/もしくはDNNに対応するDNN固有のクレデンシャルの期限切れに基づくか、またはS-NSSAI、DN固有ID、および/もしくはDNNに対応するネットワークスライス固有のクレデンシャルが利用不可能であることに基づくか、またはS-NSSAI、DN固有ID、および/もしくはDNNに対応するDNN固有のクレデンシャルが利用不可能であることに基づく場合がある。DN固有IDは、NAIフォーマットである場合があることに留意されたい。
【0105】
ステップ1aにおいて、3GPP NFコンシューマ405が、Nnef_Provisioning_Data(またはNnef_ProvisioningData_Get) Requestサービス動作メッセージをNEF 310に送信する(メッセージング415参照)。ここで、サービス動作メッセージは、少なくとも、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、DN固有ID、および/またはDNN、および/または利用可能な場合はDNのAAAサーバID)、SP-AF情報(たとえば、SP-AF 315のSP-AF IDおよび/またはアドレス情報)、ならびにパラメータUiccConfigurationParameterを含むインジケータ「provide-secured-packet」を含む。
【0106】
サービス固有の情報/記述子の目的は、それがUDMおよびSP-AF 315に、パケットの内容がUE 205のためにプロビジョニングされる特定の所与のサービスに関連するクレデンシャル/構成パラメータであること示すことである。
【0107】
代替的に、ステップ1aのメッセージは、UE 205のためのSP-AF 315からのクレデンシャル(または構成パラメータ)の一部としてどのデータ(たとえば、ルーティングID、またはSoRデータ、またはネットワークスライスデータ、または任意のサードパーティサービスデータなど)がUDMにプロビジョニングされることを要求されるかをSP-AF 315に示すために3GPP NFコンシューマ405(たとえば、UDM)によって使用される「データタイプ」情報要素も含み得る。図4は、GPSIを含むサービス動作メッセージを示すが、その他の実施形態では、3GPP NFコンシューマ405は、ステップ1aにおいてUE IDとしてSUPIを送信する場合がある。
【0108】
ステップ1bにおいて、ステップ1aを受けると、NEF 310が、受信されたSP-AF ID/アドレス情報に基づいて、SP-AF 315にHTTP POST要求メッセージを送信する(メッセージング420参照)。ここで、POST要求は、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)、およびUICC構成パラメータを含む。NEF 310は、POST要求(カスタムメソッド: provide-secured-packet)をGPSIおよびDNN/DN固有IDを示すリソースに送信する。ステップ1aの受信されたメッセージがUE IDとしてSUPIを含む場合、NEF 310は、UE 205のSUPIをUE 205に対応するGPSIに変換することに留意されたい。ここで、SP-AF 315は信頼できるエンティティではないので、NEF 310は、UE 205のGPSIをSP-AF 315に送信し、したがって、3GPP NFコンシューマ405は、NEF 310を介してSP-AF 315とインタラクションする。
【0109】
ステップ1bの受信後、ステップ2a-1かまたはステップ2b-1かのどちらかが(たとえば、成功または失敗に基づいて)実行される。
【0110】
ステップ2a-1において、成功すると、SP-AF 315が、HTTPの「200 OK」メッセージで応答する(メッセージング425参照)。ここで、HTTPの「200 OK」メッセージは、要求されたセキュアドパケット、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)、および(セキュアドパケットまたはセキュアドパケット内のクレデンシャルの有効性に対応する)ライフタイム情報を含む。代替的に、ステップ2a-1において、SP-AF 315は、セキュアドパケットが「ME」または「UICC」に記憶されるべきであるかどうかのインジケーションも含め得る。
【0111】
ステップ2b-1において、リソースが存在しない場合(たとえば、GPSIがSP-AF 315において知られていない場合)、SP-AF 315が、HTTPステータスコード「404 Not Found」を返す(メッセージング435参照)。一部の実施形態において、HTTPの「404 Not Found」メッセージは、応答の本体に(たとえば、「ProblemDetails」要素に)、失敗インジケーション、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)、および追加のエラー情報を含む。失敗すると、エラーを示す適切なHTTPステータスコードが返され、適切な追加のエラー情報がPOST応答の本体で返されてよい。
【0112】
ステップ2a-2において、NEF 310がステップ2a-1の「200 OK」メッセージを受信する場合、NEF 310は、Nnef_Provisioning_Data Responseサービス動作メッセージを3GPP NFコンシューマ405に送信する(メッセージング430参照)。ここで、サービス動作メッセージは、成功インジケーション、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)、セキュアドパケット、およびライフタイム情報を含む。代替的に、ステップ2a-1において、セキュアドパケットが「ME」または「UICC」に記憶されなければならないかどうかのインジケーションをNEF 310が受信する場合、NEF 310は、受信されたインジケーションを、その他の情報と一緒に、Nnef_Provisioning_Data Responseサービス動作メッセージで3GPP NFコンシューマ405に送信する。
【0113】
ステップ2b-2において、NEF 310がステップ2b-1の失敗の場合を含む「404 Not Found」などのHTTPステータスコードまたはHTTP POSTメッセージを受信する場合、NEF 310は、Nnef_Provisioning_Data Responseサービス動作メッセージを3GPP NFコンシューマ405に送信する(メッセージング440参照)。ここで、サービス動作メッセージは、失敗インジケーション、UE ID(たとえば、GPSI)、およびサービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)を含む。
【0114】
ステップ1aの受信されたメッセージがUE IDとしてSUPIを含む場合、NEF 310は、ステップ2a-1(成功の場合)またはステップ2b-1(失敗の場合)の受信されたメッセージ内のGPSIをUE 205に対応するSUPIに変換して戻すことに留意されたい。
【0115】
ステップ3において、3GPP NFコンシューマ405が、受信されたUE ID(たとえば、GPSI)、受信されたサービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)、およびプロビジョニング取り出し結果を(すなわち、ローカルにまたはUDRに)記憶する(ブロック445参照)。さらに、3GPP NFコンシューマ405は、結果として、成功の場合(すなわち、ステップ2a-1およびステップ2a-2で説明された)に受信されたセキュアドパケットおよびクレデンシャルライフタイム情報か、または失敗の場合(すなわち、ステップ2b-1およびステップ2b-2で説明された)に受信された失敗インジケーションかのどちらかを記憶する。ここで、UDRへの記憶は、UE ID(たとえば、GPSI)に基づいてよい。上記のシナリオBにおいて、ステップ1からステップ3は、PDUセッションに割り当てられたUE 205のIPアドレスおよび/またはMACアドレスも含む場合があることに留意されたい。
【0116】
任意のステップ4においては、3GPP NFコンシューマ405のコンシューマが、セキュアドパケットが「ME」または「UICC」に記憶されなければならないというインジケーションをステップ2a-1において受信する場合、3GPP NFコンシューマ405は、受信されたインジケーションをその他のデータと一緒に記憶し、このインジケーションを使用して、UPUデータ/セキュアドパケットをUE 205のMEまたはUICCに記憶するためにUPU手順がトリガされるべきかを判定する(ブロック450参照)。ここでは、UDMが、UPU手順を開始してよい。さらに、UDMは、SP-AF 315によって示されたようにUPUデータ/セキュアドパケットを「ME」または「UICC」に記憶するようにUE 205に要求するために、UPU手順の間に、インジケーション(すなわち、セキュアドパケットが「ME」または「UICC」に記憶されなければならないというインジケーション)をUPUデータ/セキュアドパケットと一緒にUE 205に提供してもよい。手順400は、終了する。
【0117】
さらに、第1の解決策の代替的な実装において、シナリオA(手順300)およびシナリオB(手順400)は、以下の代替形態によって修正される場合がある。各代替形態において、図3および図4のステップ1aおよびステップ2a-2のための、3GPP NFコンシューマ305または3GPP NFコンシューマ405(「3GPP NFコンシューマ305/405」)とNEF 310との間のサービス動作メッセージの代替的な使用法が説明される。
【0118】
代替形態1 -- 3GPP NFコンシューマ305/405が、HTTP POSTメッセージをNEF 310に送信し、NEF 310が、HTTP POSTメッセージをSP-AF 315に転送する。この代替形態では、(図3の上記の説明のメッセージング325または図4の上記の説明のメッセージング415に関する)ステップ1aにおいて、3GPP NFコンシューマ305/405は、それぞれのステップ1aに関して説明されたすべての情報要素をHTTP POSTメッセージでNEF 310に送信し、それぞれのステップ1bに関して、NEF 310は、受信されたPOSTメッセージをSP-AF 315に転送する。ステップ2a-2において、NEF 310は、それぞれのステップ2a-1において受信された情報を3GPP NFコンシューマ305/405に転送する。3GPP NFコンシューマ305/405およびNEF 310は、この代替形態1をサポートするために、任意のNnefサービス動作メッセージを使用することができ、またはHTTP POST要求/応答メッセージを使用することができる。
【0119】
代替形態2 -- 3GPP NFコンシューマ305/405およびNEF 310が、Nnef_ServiceParameterサービス動作メッセージを使用して、NEF 310を介したSP-AF 315からのCreate/Update/Get Secured packet Request/Responseを実行する。この代替形態においては、Nnef_ServiceParameterサービス動作メッセージが、ステップ1aと、ステップ2a-2かまたはステップ2b-2かのどちらかとをそれぞれ実行するために3GPP NFコンシューマ305/405によって使用され得る。
【0120】
代替形態2に関して、サービス動作メッセージは、以下のパラメータ、すなわち、入力、Required = UE ID(たとえば、GPSI)、セキュアドパケットインジケーション(UICC構成パラメータインジケーション)、サービス固有の記述子/情報セット(たとえば、スライス認証のためである場合はENSI/SNSSAI、または二次認証のためである場合はDNN/DN固有ID)、SP-AF ID/アドレス情報を使用し、以下のパラメータ、出力、Required =結果(成功/失敗)インジケーション、セキュアドパケット(結果が成功である場合)、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、スライス認証のためである場合はENSI/SNSSAI、または二次認証のためである場合はDNN/DN固有ID)、ライフタイム(結果が成功である場合)を使用する。
【0121】
代替形態3 -- 3GPP NFコンシューマ305/405およびNEF 310が、Nnef_ParameterProvisionサービス動作メッセージを使用して、NEF 310を介したSP-AF 315からのCreate/Update/Get Secured packet Request/Responseを実行する。この代替形態においては、Nnef_ParameterProvisionサービス動作メッセージが、ステップ1aと、ステップ2a-2かまたはステップ2b-2かのどちらかとをそれぞれ実行するために3GPP NFコンシューマ305/405によって使用され得る。
【0122】
代替形態3に関して、サービス動作メッセージは、以下のパラメータ、すなわち、入力、Required = UE ID(たとえば、GPSI)、(UICC構成パラメータインジケーションを含む)セキュアドパケットインジケーション、サービス固有の記述子/情報セット(たとえば、スライス認証のためである場合はENSI/SNSSAI、または二次認証のためである場合はDNN/DN固有ID)、SP-AF ID/アドレス情報を使用し、以下のパラメータ、出力、Required =結果(成功/失敗)インジケーション、セキュアドパケット(結果が成功である場合)、UE ID(たとえば、GPSI)、サービス固有の記述子/情報セット(たとえば、スライス認証のためである場合はENSI/SNSSAI、または二次認証のためである場合はDNN/DN固有ID)、ライフタイム(結果が成功である場合)を使用する。
【0123】
第1の解決策は、以下のネットワーク機能およびアプリケーション機能の用語の明確化を考慮に入れ、すなわち、本開示において3GPP NFコンシューマ305/405として指定される3GPP NFコンシューマは、UDM、またはSoR-AF、またはNSSAAF、またはNEF、またはSMF、またはUPF、または任意のNFコンシューマに対応する場合があることに留意されたい。本開示において指定されるSP-AF 315は、任意のAF、またはアプリケーションサーバ、またはAAAサーバ、またはセキュアドパケットアプリケーション機能に対応する場合がある。また、GPSIの代わりに、任意の外部UE IDが、この実施形態において説明されるセキュアドパケット取り出し手順のために代替的に使用される場合がある。手順300および400はセキュアドパケットを取り出す/プロビジョニングするために使用されるが、その他の実施形態において、手順300および400のステップは、保護されたデータおよび/または機密データを含む異なる種類のパケットを配信するために使用される場合がある。
【0124】
本明細書において開示されるのは、信頼できるAFからの(すなわち、NEF 310を関与させない)サービス固有のクレデンシャル/パラメータの取り出しをサポートするための、セキュアドパケット取り出し手順の強化に関する第2の解決策の実施形態である。第2の解決策は、3GPP NFコンシューマが、3GPPネットワークによって信頼されるおよび/または3GPPネットワーク内に位置するサービス(すなわち、ネットワークスライスまたはデータネットワーク)に対応するアプリケーション機能またはサーバに、クレデンシャル/パラメータのサービス固有のプロビジョニングおよび/または更新を(すなわち、セキュアドパケット取り出しの間に)どのようにして要求することができるかを説明する。
【0125】
第2の解決策は、以下のシナリオCおよびDをそれぞれ含む場合がある。
【0126】
シナリオCは、NSSAA関連クレデンシャル取り出しに関する。ここでは、NFコンシューマ(たとえば、UDM)が、ネットワークスライス固有のクレデンシャル/パラメータがSP-AFからフェッチされる必要がある場合のために、SUPIを示すリソースに、HTTP POST要求(カスタムメソッド: provide-secured-packet)でS-NSSAIを送信する。シナリオCでは、NFコンシューマは、SP-AFからSUPI、S-NSSAI、ライフタイムを受信する。
【0127】
シナリオDは、二次認証関連クレデンシャル取り出しに関する。ここでは、NFコンシューマ(たとえば、UDM)が、DNN固有の二次認証クレデンシャル/パラメータがSP-AFからフェッチされる必要がある場合のために、SUPIを示すリソースに、HTTP POST要求(カスタムメソッド: provide-secured-packet)でDN固有IDおよび/またはDNNを送信する。シナリオDでは、NFコンシューマは、SP-AFからSUPI、DN固有ID、DNN、およびライフタイムを受信する。
【0128】
図5は、本開示の実施形態によるNSSAAベースの安全なクレデンシャル取り出しのための手順500を示す。手順500は、シナリオCのための第2の解決策の例示的な実装である。手順500は、NFコンシューマ505(たとえば、UDMまたはNSSAAF)およびSP-AF 315を関与させる。図5に示されたステップが、以下のとおり説明される。
【0129】
ステップ0において、NFコンシューマ505が、UE 205のためのNSSAA関連クレデンシャル/構成パラメータを要求すると決定する(ブロック510参照)。ここで、決定は、ローカルポリシーに基づくか、またはサードパーティネットワークスライスのクレデンシャルの期限切れに基づくか、またはS-NSSAIに対応するサードパーティネットワークスライスのクレデンシャルが利用不可能であることに基づく場合がある。
【0130】
ステップ1において、NFコンシューマ505が、受信されたSP-AF ID/アドレス情報に基づいて、SP-AF 315にHTTP POST要求メッセージを送信する(メッセージング515参照)。ここで、POST要求は、UE ID(たとえば、SUPI)、サービス固有の記述子/情報セット(たとえば、S-NSSAI)、およびUICC構成パラメータを含むインジケータ「provide-secured-packet」を含む。NFコンシューマ505は、POST要求(カスタムメソッド: provide-secured-packet)をSUPIおよびS-NSSAIを示すリソースに送信する。ここで、NFコンシューマ505は、SP-AF 315が信頼できるエンティティであるので、UE 205のSUPIをSP-AF 315に送信する。サービス固有の記述子/情報セットの目的は、それがNFコンシューマ505(たとえば、UDM)およびSP-AF 315に、パケットの内容がUE 205のためにプロビジョニングされる特定の所与のサービスに関連するクレデンシャル/構成パラメータであることを示すことである。
【0131】
代替的に、ステップ1aのメッセージは、UE 205のためのSP-AF 315からのクレデンシャルおよび/または構成パラメータの一部としてどのデータ(たとえば、ルーティングID、またはSoRデータ、またはネットワークスライスデータ、または任意のサードパーティサービスデータなど)がUDMにプロビジョニングされることを要求されるかをSP-AF 315に示すためにNFコンシューマ505によって使用される「データタイプ」情報要素も含む場合がある。
【0132】
ステップ1の受信後、ステップ2aかまたはステップ2bかのどちらかが(たとえば、成功または失敗に基づいて)実行される。
【0133】
ステップ2aにおいて、成功すると、SP-AF 315が、HTTPの「200 OK」メッセージで応答する(メッセージング520参照)。ここで、HTTPの「200 OK」メッセージは、要求されたセキュアドパケット、UE ID(たとえば、SUPI)、サービス固有の記述子/情報セット(たとえば、S-NSSAI)、および(セキュアドパケットまたはセキュアドパケット内のクレデンシャルの有効性に対応する)ライフタイム情報を含む。代替的に、ステップ2aにおいて、SP-AF 315は、セキュアドパケットが「ME」または「UICC」に記憶されるべきであるかどうかのインジケーションも含め得る。
【0134】
ステップ2bにおいて、リソースが存在しない(たとえば、SUPIがSP-AF 315において知られていない)場合、SP-AF 315が、HTTPステータスコード「404 Not Found」を返す(メッセージング525参照)。一部の実施形態において、HTTPの「404 Not Found」メッセージは、応答の本体に(たとえば、「ProblemDetails」要素に)、UE ID(たとえば、SUPI)、サービス固有の記述子/情報セット(たとえば、S-NSSAI)、および追加のエラー情報を含む。失敗すると、エラーを示す適切なHTTPステータスコードが返され、適切な追加のエラー情報がPOST応答の本体で返されてよい。
【0135】
ステップ3において、NFコンシューマ505が、受信されたUE ID(たとえば、SUPI)、受信されたサービス固有の記述子/情報セット(たとえば、S-NSSAI)、およびプロビジョニング取り出し結果を(すなわち、ローカルにまたはUDRに)記憶する(ブロック530参照)。さらに、NFコンシューマ505は、結果として、成功の場合(すなわち、ステップ2aで説明された)に受信されたセキュアドパケットおよびクレデンシャルライフタイム情報か、または失敗の場合(すなわち、ステップ2bで説明された)に受信された失敗インジケーションかのどちらかを記憶する。ここで、UDRへの記憶は、UE ID(たとえば、SUPI)に基づいてよい。
【0136】
任意のステップ4においては、NFコンシューマ505が、セキュアドパケットが「ME」または「UICC」に記憶されなければならないというインジケーションをステップ2aにおいて受信する場合、NFコンシューマ505は、受信されたインジケーションをその他のデータと一緒に記憶し、このインジケーションを使用して、UPUデータ/セキュアドパケットをUE 205のMEまたはUICCに記憶するためにUPU手順がトリガされるべきかを判定する(ブロック535参照)。ここでは、UDMが、UPU手順を開始してよい。さらに、UDMは、SP-AF 315によって示されたようにUPUデータ/セキュアドパケットを「ME」または「UICC」に記憶するようにUE 205に要求するために、UPU手順の間に、インジケーション(すなわち、セキュアドパケットが「ME」または「UICC」に記憶されなければならないというインジケーション)をUPUデータ/セキュアドパケットと一緒にUE 205に提供してもよい。手順500は、終了する。
【0137】
図6は、本開示の実施形態による二次認証ベースの安全なクレデンシャル取り出しのための手順600を示す。手順600は、シナリオDのための第1の解決策の例示的な実装である。手順600は、NFコンシューマ605(たとえば、UDMまたはSMFまたはUPF)およびSP-AF 315を関与させる。図6に示されたステップが、以下のとおり説明される。
【0138】
ステップ0において、NFコンシューマ605が、UE 205のための二次認証関連クレデンシャル/構成パラメータを要求すると決定する(ブロック610参照)。ここで、決定は、ローカルポリシーに基づくか、S-NSSAI、DN固有ID、および/もしくはDNNに対応するネットワークスライス固有のクレデンシャルの期限切れに基づくか、またはS-NSSAI、DN固有ID、および/もしくはDNNに対応するDNN固有のクレデンシャルの期限切れに基づくか、またはS-NSSAI、DN固有ID、および/もしくはDNNに対応するネットワークスライス固有のクレデンシャルが利用不可能であることに基づくか、またはS-NSSAI、DN固有ID、および/もしくはDNNに対応するDNN固有のクレデンシャルが利用不可能であることに基づく場合がある。DN固有IDは、NAIフォーマットである場合があることに留意されたい。
【0139】
ステップ1において、NFコンシューマ605が、受信されたSP-AF ID/アドレス情報に基づいて、SP-AF 315にHTTP POST要求メッセージを送信する(メッセージング615参照)。ここで、POST要求は、UE ID(たとえば、SUPI)、サービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)、およびUICC構成パラメータを含む。NFコンシューマ605は、POST要求(カスタムメソッド: provide-secured-packet)をSUPIおよびDNN/DN固有IDを示すリソースに送信する。サービス固有の情報/記述子の目的は、それがUDMおよびSP-AF 315に、パケットの内容がUE 205のためにプロビジョニングされる特定の所与のサービスに関連するクレデンシャル/構成パラメータであること示すことである。
【0140】
代替的に、ステップ1aのメッセージは、UE 205のためのSP-AF 315からのクレデンシャルおよび/または構成パラメータの一部としてどのデータ(たとえば、ルーティングID、またはSoRデータ、またはネットワークスライスデータ、または任意のサードパーティサービスデータなど)がUDMにプロビジョニングされることを要求されるかをSP-AF 315に示すためにNFコンシューマ605によって使用される「データタイプ」情報要素も含む場合がある。
【0141】
ステップ1bの受信後、ステップ2aかまたはステップ2bかのどちらかが(たとえば、成功または失敗に基づいて)実行される。
【0142】
ステップ2aにおいて、成功すると、SP-AF 315が、HTTPの「200 OK」メッセージで応答する(メッセージング620参照)。ここで、HTTPの「200 OK」メッセージは、要求されたセキュアドパケット、UE ID(たとえば、SUPI)、サービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)、および(セキュアドパケットまたはセキュアドパケット内のクレデンシャルの有効性に対応する)ライフタイム情報を含む。代替的に、ステップ2aにおいて、SP-AF 315は、セキュアドパケットが「ME」または「UICC」に記憶されるべきであるかどうかのインジケーションも含め得る。
【0143】
ステップ2bにおいて、リソースが存在しない(たとえば、SUPIがSP-AF 315において知られていない)場合、SP-AF 315が、HTTPステータスコード「404 Not Found」を返す(メッセージング625参照)。一部の実施形態において、HTTPの「404 Not Found」メッセージは、応答の本体に(たとえば、「ProblemDetails」要素に)、UE ID(たとえば、SUPI)、サービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)、および追加のエラー情報を含む。失敗すると、エラーを示す適切なHTTPステータスコードが返され、適切な追加のエラー情報がPOST応答の本体で返されてよい。
【0144】
ステップ3において、NFコンシューマ605が、UE ID(たとえば、SUPI)、受信されたサービス固有の記述子/情報セット(たとえば、DNN/DN固有ID)、およびプロビジョニング取り出し結果を(すなわち、ローカルにまたはUDRに)記憶する(ブロック630参照)。さらに、NFコンシューマ605は、結果として、成功の場合(すなわち、ステップ2aで説明された)に受信されたセキュアドパケットおよびクレデンシャルライフタイム情報を記憶するか、または失敗の場合(すなわち、ステップ2bで説明された)に受信された失敗インジケーションを記憶する。ここで、UDRへの記憶は、UE ID(たとえば、SUPI)に基づいてよい。上記のシナリオDにおいて、ステップ1からステップ3は、PDUセッションに割り当てられたUE 205のIPおよび/またはMACアドレスも含む場合があることに留意されたい。
【0145】
任意のステップ4においては、NFコンシューマ605が、セキュアドパケットが「ME」または「UICC」に記憶されなければならないというインジケーションをステップ2aにおいて受信する場合、NFコンシューマ605は、受信されたインジケーションをその他のデータと一緒に記憶し、このインジケーションを使用して、UPUデータ/セキュアドパケットをUE 205のMEまたはUICCに記憶するためにUPU手順がトリガされるべきかどうかを判定する(ブロック635参照)。ここでは、UDMが、UPU手順を開始してよい。さらに、UDMは、SP-AF 315によって示されたようにUPUデータ/セキュアドパケットを「ME」または「UICC」に記憶するようにUE 205に要求するために、UPU手順の間に、インジケーション(すなわち、セキュアドパケットが「ME」または「UICC」に記憶されなければならないというインジケーション)をUPUデータ/セキュアドパケットと一緒にUE 205に提供してもよい。手順600は、終了する。
【0146】
第2の解決策は、以下のネットワーク機能およびアプリケーション機能の用語の明確化を考慮に入れ、すなわち、本開示においてNFコンシューマ505またはNFコンシューマ605として指定される3GPP NFコンシューマは、UDM、またはSoR-AF、またはNSSAAF、またはNEF、またはSMF、またはUPF、または任意のNFコンシューマに対応し得ることに留意されたい。本開示において指定されるSP-AF 315は、任意のAF、またはアプリケーションサーバ、またはAAAサーバ、またはセキュアドパケットアプリケーション機能に対応し得る。手順500および600はセキュアドパケットを取り出す/プロビジョニングするために使用されるが、その他の実施形態において、手順500および600のステップは、保護されたデータおよび/または機密データを含む異なる種類のパケットを配信するために使用される場合がある。
【0147】
図7は、本開示の実施形態によるセキュアドパケットをプロビジョニングするために使用されてよいユーザ機器装置700を示す。様々な実施形態において、ユーザ機器装置700は、上述の解決策のうちの1つまたは複数を実施するために使用される。ユーザ機器装置700は、上述のリモートユニット105および/またはUE 205などのユーザエンドポイントの一実施形態である場合がある。さらに、ユーザ機器装置700は、プロセッサ705、メモリ710、入力デバイス715、出力デバイス720、およびトランシーバ725を含んでよい。
【0148】
一部の実施形態において、入力デバイス715および出力デバイス720は、タッチスクリーンなどの単一のデバイスへと組み合わされる。特定の実施形態において、ユーザ機器装置700は、いかなる入力デバイス715および/または出力デバイス720も含まない場合がある。様々な実施形態において、ユーザ機器装置700は、プロセッサ705、メモリ710、およびトランシーバ725のうちの1つまたは複数を含む場合があり、入力デバイス715および/または出力デバイス720を含まない場合がある。
【0149】
示されるように、トランシーバ725は、少なくとも1つの送信機730および少なくとも1つの受信機735を含む。一部の実施形態において、トランシーバ725は、1つまたは複数のベースユニット121によってサポートされる1つまたは複数のセル(またはワイヤレスカバレッジエリア)と通信する。様々な実施形態において、トランシーバ725は、免許不要のスペクトルで動作可能である。さらに、トランシーバ725は、1つまたは複数のビームをサポートする複数のUEパネルを含んでよい。加えて、トランシーバ725は、少なくとも1つのネットワークインターフェース740および/またはアプリケーションインターフェース745をサポートしてよい。アプリケーションインターフェース745は、1つまたは複数のAPIをサポートする場合がある。ネットワークインターフェース740は、Uu、N1、PC5などの3GPP参照点(reference point)をサポートする場合がある。当業者によって理解されるように、その他のネットワークインターフェース740がサポートされる場合がある。
【0150】
プロセッサ705は、一実施形態において、コンピュータ可読命令を実行することができ、および/または論理演算を実行することができる任意の知られているコントローラを含んでよい。たとえば、プロセッサ705は、マイクロコントローラ、マイクロプロセッサ、中央演算処理装置(「CPU」)、グラフィックス処理ユニット(「GPU」)、補助処理ユニット、フィールドプログラマブルゲートアレイ(「FPGA」)、または同様のプログラマブルコントローラであってよい。一部の実施形態において、プロセッサ705は、メモリ710に記憶された命令を実行して、本明細書に記載の方法およびルーチンを実行する。プロセッサ705は、メモリ710、入力デバイス715、出力デバイス720、およびトランシーバ725に通信可能なように結合される。
【0151】
様々な実施形態において、プロセッサ705は、上述のUEの挙動を実施するようにユーザ機器装置700を制御する。特定の実施形態において、プロセッサ705は、アプリケーションドメインおよびオペレーティングシステム(「OS」)の機能を管理するアプリケーションプロセッサ(「メインプロセッサ」としても知られる)と、無線機能を管理するベースバンドプロセッサ(「ベースバンド無線プロセッサ」としても知られる)とを含んでよい。
【0152】
メモリ710は、一実施形態において、コンピュータ可読ストレージ媒体である。一部の実施形態において、メモリ710は、揮発性コンピュータストレージ媒体を含む。たとえば、メモリ710は、ダイナミックRAM(「DRAM」)、同期ダイナミックRAM(「SDRAM」)、および/またはスタティックRAM(「SRAM」)を含むRAMを含んでよい。一部の実施形態において、メモリ710は、不揮発性コンピュータストレージ媒体を含む。たとえば、メモリ710は、ハードディスクドライブ、フラッシュメモリ、または任意のその他の適切な不揮発性コンピュータストレージデバイスを含んでよい。一部の実施形態において、メモリ710は、揮発性コンピュータストレージ媒体と不揮発性コンピュータストレージ媒体との両方を含む。
【0153】
一部の実施形態において、メモリ710は、セキュアドパケットのプロビジョニングに関連するデータを記憶する。たとえば、メモリ710は、上述の様々なパラメータ、パネル/ビーム構成、リソースの割り振り、ポリシーなどを記憶してよい。特定の実施形態において、メモリ710は、ユーザ機器装置700上で動作するオペレーティングシステムまたはその他のコントローラアルゴリズムなどのプログラムコードおよび関連データも記憶する。
【0154】
入力デバイス715は、一実施形態において、タッチパネル、ボタン、キーボード、スタイラス、マイクロフォンなどを含む任意の知られているコンピュータ入力デバイスを含んでよい。一部の実施形態において、入力デバイス715は、たとえば、タッチスクリーンまたは同様のタッチ式ディスプレイとして出力デバイス720と統合されてよい。一部の実施形態において、入力デバイス715は、タッチスクリーン上に表示された仮想キーボードを使用して、および/またはタッチスクリーン上の手書きによってテキストが入力されてよいように、タッチスクリーンを含む。一部の実施形態において、入力デバイス715は、キーボードおよびタッチパネルなどの2つ以上の異なるデバイスを含む。
【0155】
出力デバイス720は、一実施形態において、視覚、聴覚、および/または触覚信号を出力するように設計される。一部の実施形態において、出力デバイス720は、ユーザに対して視覚的データを出力することができる電子的に制御可能なディスプレイまたはディスプレイデバイスを含む。たとえば、出力デバイス720は、ユーザに対して画像、テキストなどを出力することができる液晶ディスプレイ(「LCD」)、発光ダイオード(「LED」)ディスプレイ、有機LED(「OLED」)ディスプレイ、プロジェクタ、または同様のディスプレイデバイスを含んでよいがこれらに限定されない。別の非限定的な例として、出力デバイス720は、スマートウォッチ、スマートグラス、ヘッドアップディスプレイなどの、ユーザ機器装置700の残りの部分と別れているが、それらと通信可能なように結合されたウェアラブルディスプレイを含んでよい。さらに、出力デバイス720は、スマートフォン、携帯情報端末、テレビ、テーブルコンピュータ、ノートブック(ラップトップ)コンピュータ、パーソナルコンピュータ、車両のダッシュボードなどのコンポーネントであってよい。
【0156】
特定の実施形態において、出力デバイス720は、音を生成するための1つまたは複数のスピーカを含む。たとえば、出力デバイス720は、可聴のアラートまたは通知(たとえば、ビープ音またはチャイム)を生成してよい。一部の実施形態において、出力デバイス720は、振動、動き、またはその他の触覚フィードバックを生成するための1つまたは複数の触覚デバイスを含む。一部の実施形態においては、出力デバイス720のすべてまたは一部が、入力デバイス715と統合される場合がある。たとえば、入力デバイス715および出力デバイス720が、タッチスクリーンまたは同様のタッチ式ディスプレイを形成する場合がある。その他の実施形態において、出力デバイス720は、入力デバイス715の近くに配置される場合がある。
【0157】
トランシーバ725は、1つまたは複数のアクセスネットワークを介してモバイル通信ネットワークの1つまたは複数のネットワーク機能と通信する。トランシーバ725は、メッセージ、データ、およびその他の信号を送信し、また、メッセージ、データ、およびその他の信号を受信するためにプロセッサ705の制御の下で動作する。たとえば、プロセッサ705は、メッセージを送受信するために、特定の時間にトランシーバ725(またはその一部)を選択的に作動させてよい。
【0158】
トランシーバ725は、少なくとも1つの送信機730および少なくとも1の受信機735を含む。1つまたは複数の送信機730が、本明細書に記載のUL送信などのUL通信信号をベースユニット121に提供するために使用されてよい。同様に、1つまたは複数の受信機735が、本明細書において説明されるように、ベースユニット121からDL通信信号を受信するために使用されてよい。1つの送信機730および1つの受信機735のみが図示されているが、ユーザ機器装置700は、任意の適切な数の送信機730および受信機735を有していてよい。さらに、送信機730および受信機735は、任意の適切な種類の送信機および受信機であってよい。一実施形態において、トランシーバ725は、免許が必要な無線スペクトル上でモバイル通信ネットワークと通信するために使用される第1の送信機/受信機ペアと、免許不要の無線スペクトル上でモバイル通信ネットワークと通信するために使用される第2の送信機/受信機ペアとを含む。
【0159】
特定の実施形態において、免許が必要な無線スペクトル上でモバイル通信ネットワークと通信するために使用される第1の送信機/受信機ペア、および免許不要の無線スペクトル上でモバイル通信ネットワークと通信するために使用される第2の送信機/受信機ペアは、単一のトランシーバユニット、たとえば、免許が必要な無線スペクトルと免許不要の無線スペクトルとの両方で使用するための機能を実行する単一のチップへと組み合わされてよい。一部の実施形態において、第1の送信機/受信機ペアおよび第2の送信機/受信機ペアは、1つまたは複数のハードウェアコンポーネントを共有する場合がある。たとえば、特定のトランシーバ725、送信機730、および受信機735は、たとえば、ネットワークインターフェース740などの共有されたハードウェアリソースおよび/またはソフトウェアリソースにアクセスする物理的に別々のコンポーネントとして実装される場合がある。
【0160】
様々な実施形態において、1つもしくは複数の送信機730および/または1つもしくは複数の受信機735は、マルチトランシーバチップ、システムオンチップ、特定用途向け集積回路(「ASIC」)、またはその他の種類のハードウェアコンポーネントなどの単一のハードウェアコンポーネントに実装および/または統合されてよい。特定の実施形態において、1つもしくは複数の送信機730および/または1つもしくは複数の受信機735は、マルチチップモジュールに実装および/または統合されてよい。一部の実施形態において、ネットワークインターフェース740またはその他のハードウェアコンポーネント/回路などのその他のコンポーネントは、任意の数の送信機730および/または受信機735とともに単一のチップに統合されてよい。そのような実施形態において、送信機730および受信機735は、もう1つの共通の制御信号を使用するトランシーバ725として、または同じハードウェアチップ内もしくはマルチチップモジュール内に実装されたモジュール式の送信機730および受信機735として論理的に構成されてよい。
【0161】
図8は、本開示の実施形態によるセキュアドパケットをプロビジョニングするために使用されてよいネットワーク装置800を示す。1つの実施形態において、ネットワーク装置800は、上述のベースユニット121および/またはRANノード210などのネットワークエンドポイントの1つの実装である場合がある。別の実施形態において、ネットワーク装置800は、UDM、NSSAAF、SMF、UPF、またはSP-AFとインタラクションする別のNFなどのコンシューマNFの1つの実装である場合がある。さらなる実施形態において、ネットワーク装置800は、AF 146、SP-AF 315、またはコンシューマNFとインタラクションする別のAFなどのSP-AFの1つの実装である場合がある。その他の実施形態において、ネットワーク装置800は、コンシューマNFおよびSP-AFとインタラクションするNEFの1つの実装である場合がある。さらに、ネットワーク装置800は、プロセッサ805、メモリ810、入力デバイス815、出力デバイス820、およびトランシーバ825を含んでよい。
【0162】
一部の実施形態において、入力デバイス815および出力デバイス820は、タッチスクリーンなどの単一のデバイスへと組み合わされる。特定の実施形態において、ネットワーク装置800は、いかなる入力デバイス815および/または出力デバイス820も含まない場合がある。様々な実施形態において、ネットワーク装置800は、プロセッサ805、メモリ810、およびトランシーバ825のうちの1つまたは複数を含む場合があり、入力デバイス815および/または出力デバイス820を含まない場合がある。
【0163】
示されるように、トランシーバ825は、少なくとも1つの送信機830および少なくとも1つの受信機835を含む。ここで、トランシーバ825は、1つまたは複数のリモートユニット105と通信する。加えて、トランシーバ825は、少なくとも1つのネットワークインターフェース840および/またはアプリケーションインターフェース845をサポートしてよい。アプリケーションインターフェース845は、1つまたは複数のAPIをサポートする場合がある。ネットワークインターフェース840は、Uu、N1、N2、およびN3などの3GPP参照点をサポートする場合がある。当業者によって理解されるように、その他のネットワークインターフェース840がサポートされる場合がある。
【0164】
プロセッサ805は、一実施形態において、コンピュータ可読命令を実行することができ、および/または論理演算を実行することができる任意の知られているコントローラを含んでよい。たとえば、プロセッサ805は、マイクロコントローラ、マイクロプロセッサ、CPU、GPU、補助処理ユニット、FPGA、または同様のプログラマブルコントローラであってよい。一部の実施形態において、プロセッサ805は、メモリ810に記憶された命令を実行して、本明細書に記載の方法およびルーチンを実行する。プロセッサ805は、メモリ810、入力デバイス815、出力デバイス820、およびトランシーバ825に通信可能なように結合される。
【0165】
様々な実施形態において、ネットワーク装置800は、本明細書において説明されるように、1つまたは複数のUEと通信するRANノード(たとえば、gNB)である。そのような実施形態において、プロセッサ805は、上述のRANの挙動を実行するようにネットワーク装置800を制御する。RANノードとして動作するとき、プロセッサ805は、アプリケーションドメインおよびオペレーティングシステム(「OS」)の機能を管理するアプリケーションプロセッサ(「メインプロセッサ」としても知られる)と、無線機能を管理するベースバンドプロセッサ(「ベースバンド無線プロセッサ」としても知られる)とを含んでよい。
【0166】
様々な実施形態において、プロセッサ805は、上述のコンシューマNFの挙動を実施するようにネットワーク装置800を制御する。そのような実施形態において、ネットワーク装置800は、UDM、NSSAAF、SMF、UPF、またはSP-AFとインタラクションする別のコンシューマNFである場合がある。そのようなインタラクションは、NEFを含む場合があり、または含まない場合があることに留意されたい。
【0167】
トランシーバ825を介して、プロセッサ805は、デバイス(すなわち、加入者アイデンティティによって特定されるUE)およびサービス記述子に関連するクレデンシャルの要求をSP-AFに送信する。一部の実施形態において、クレデンシャルの要求を送信することは、セキュアドパケット要求(Secured Packet Request)を呼び出すことを含む。そのような実施形態において、プロセッサ805は、ローカルポリシー、クレデンシャルのライフタイム、クレデンシャルが利用不可能であること、またはそれらの組合せに基づいてセキュアドパケット要求を呼び出すと決定してよい。
【0168】
一部の実施形態において、クレデンシャルの要求を送信するために、プロセッサ805は、NEFを介して要求を送信するようにトランシーバ825を制御する。そのような実施形態において、プロセッサ805は、Nnefサービス動作を呼び出すことによって要求を送信してよく、クレデンシャルの要求は、SP-AFの識別子、SP-AFのネットワークアドレス情報、またはそれらの組合せを含む。その他の実施形態において、クレデンシャルの要求を送信するために、プロセッサ805は、HTTP POST要求メッセージを送信するようにトランシーバ825を制御する。
【0169】
トランシーバ825を介して、プロセッサ805は、SP-AFからセキュアドパケットおよびクレデンシャル情報を受信する。ここで、クレデンシャル情報は、デバイスに対応する加入者アイデンティティ(たとえば、SUPI/GPSI)、セキュアドパケットのライフタイム、ネットワークサービス識別子(たとえば、ENSI/S-NSSAIもしくはDNN/DN固有ID)、デバイス記憶必要インジケーション(たとえば、ME/UICCへの記憶)、またはそれらの組合せを含む場合がある。そのような実施形態において、セキュアドパケットおよびクレデンシャル情報を受信するために、プロセッサ805は、トランシーバ825を介してHTTP 200 OKメッセージを受信する。
【0170】
プロセッサ805は、セキュアドパケットおよびクレデンシャル情報を(たとえば、UDRに)記憶し、セキュアドパケットは、有効なクレデンシャルを含む。一部の実施形態において、セキュアドパケットは、デバイスのスライス固有認証のための1つまたは複数のクレデンシャルを含む。その他の実施形態において、セキュアドパケットは、デバイスの二次認証のための1つまたは複数のクレデンシャルを含む。さらに、トランシーバ825を介して、プロセッサ805は、たとえば、UEパラメータ更新手順を使用する更新手順によって、デバイスにセキュアドパケットをプロビジョニングする。UEパラメータ更新手順によるプロビジョニングは、3GPP TS 23.502の4.20項に定義されたとおりであってよい。
【0171】
一部の実施形態において、要求されたクレデンシャルは、NSSAAのためのクレデンシャルを含む。ここで、NSSAAのためのクレデンシャルの要求を送信するために、プロセッサ805は、SP-AFにHTTP POST要求を送信するようにトランシーバ825を制御し、HTTP POST要求は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含む。そのような実施形態において、クレデンシャル情報は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含んでよい。
【0172】
一部の実施形態において、要求されたクレデンシャルは、二次認証のためのクレデンシャルを含む。ここで、二次認証のためのクレデンシャルの要求を送信するために、プロセッサ805は、SP-AFにHTTP POST要求を送信するようにトランシーバ825を制御し、HTTP POST要求は、DN固有ID、DNN、またはそれらの組合せを含む。そのような実施形態において、クレデンシャル情報は、DN固有IDおよび/またはDNNを含んでよい。
【0173】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するGPSIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、国際移動体装置識別番号(「IMEI」)、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。
【0174】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するSUPIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。
【0175】
一部の実施形態において、サービス記述子は、外部ネットワークスライス情報、単一ネットワークスライス選択支援情報、ネットワークアクセス識別子、データネットワーク固有識別子、データネットワーク名、AAAサーバのアイデンティティ、またはそれらの組合せを含む。
【0176】
様々な実施形態において、プロセッサ805は、上述のSP-AFの挙動を実施するようにネットワーク装置800を制御する。そのような実施形態において、ネットワーク装置800は、NEFまたはコンシューマNFなどのネットワーク機能とインタラクションするSP-AFである場合がある。
【0177】
トランシーバ825を介して、プロセッサ805は、デバイス(すなわち、加入者アイデンティティによって特定されるUE)およびサービス記述子に関連するクレデンシャルの要求をネットワーク機能から受信する。一部の実施形態において、クレデンシャルの要求は、セキュアドパケット要求を含む。そのような実施形態において、セキュアドパケット要求は、HTTP POST要求内に含まれてよい。
【0178】
一部の実施形態において、要求されたクレデンシャルは、NSSAAのためのクレデンシャルを含み、NSSAAのためのクレデンシャルの要求を受信するために、プロセッサは、装置に、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含むHTTP POST要求をネットワーク機能から受信させるように構成される。そのような実施形態において、クレデンシャル情報は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含んでよい。
【0179】
一部の実施形態において、要求されたクレデンシャルは、二次認証のためのクレデンシャルを含み、二次認証のためのクレデンシャルの要求を受信するために、プロセッサは、装置に、DN固有ID、DNN、またはそれらの組合せを含むHTTP POST要求をネットワーク機能から受信させるように構成される。そのような実施形態において、クレデンシャル情報は、DN固有IDおよび/またはDNNを含んでよい。
【0180】
プロセッサ805は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するかどうかを判定する。プロセッサ805は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在しないと判定する場合、ネットワーク機能に失敗インジケーションを送信するようにトランシーバ825を制御する。一部の実施形態において、失敗インジケーションは、404 Not FoundメッセージまたはHTTP POST応答メッセージを含む。
【0181】
プロセッサ805は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するとの判定に応じてセキュアドパケットを生成する。一部の実施形態において、セキュアドパケットは、デバイスのスライス固有認証のための1つまたは複数のクレデンシャルを含む。その他の実施形態において、セキュアドパケットは、デバイスの二次認証のための1つまたは複数のクレデンシャルを含む。
【0182】
トランシーバ825を介して、プロセッサ805は、ネットワーク機能にセキュアドパケットおよびクレデンシャル情報を送信する。ここで、クレデンシャル情報は、デバイスに対応する加入者アイデンティティ(たとえば、SUPI/GPSI)、セキュアドパケットのライフタイム、ネットワークサービス識別子(たとえば、ENSI/S-NSSAIもしくはDNN/DN固有ID)、デバイス記憶必要インジケーション(たとえば、ME/UICCへの記憶)、またはそれらの組合せを含む場合がある。
【0183】
一部の実施形態において、セキュアドパケットおよびクレデンシャル情報を送信するために、プロセッサは、装置に200 OKメッセージを送信させるように構成される。一部の実施形態において、セキュアドパケットおよびクレデンシャル情報を送信するために、プロセッサは、装置にセキュアドパケットが利用可能であることを示す成功インジケーションを送信させるように構成される。特定の実施形態において、セキュアドパケットは、加入者アイデンティティおよびサービス記述子に関して少なくとも1つのクレデンシャルを含んでよい。
【0184】
様々な実施形態において、サービス記述子は、外部ネットワークスライス情報、単一ネットワークスライス選択支援情報、ネットワークアクセス識別子、データネットワーク固有識別子、データネットワーク名、AAAサーバのアイデンティティ、またはそれらの組合せを含む。
【0185】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するGPSIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。特定の実施形態において、クレデンシャルの要求は、NEFを介して受信される。
【0186】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するSUPIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。
【0187】
様々な実施形態において、プロセッサ805は、上述のNEFの挙動を実施するようにネットワーク装置800を制御する。そのような実施形態において、ネットワーク装置800は、コンシューマNFおよびSP-AFとインタラクションするNEFである場合がある。
【0188】
トランシーバ825を介して、プロセッサ805は、デバイス(すなわち、加入者アイデンティティによって特定されるUE)およびサービス記述子に関連するクレデンシャルの第1の要求メッセージをコンシューマNFから受信し、第1の要求メッセージは、送信先アドレスを含む。トランシーバ825を介して、プロセッサ805は、送信先アドレスを使用してSP-AFに、デバイスおよびサービス記述子に関連するクレデンシャルの第2の要求メッセージを送信する。
【0189】
一部の実施形態において、第1および第2の要求メッセージは、セキュアドパケット要求をそれぞれが含む。一部の実施形態において、第1の要求メッセージは、SP-AFの識別子、SP-AFのネットワークアドレス情報、またはそれらの組合せを含む。様々な実施形態において、サービス記述子は、外部ネットワークスライス情報、単一ネットワークスライス選択支援情報、ネットワークアクセス識別子、データネットワーク固有識別子、データネットワーク名、AAAサーバのアイデンティティ、またはそれらの組合せを含む。
【0190】
トランシーバ825を介して、プロセッサ805は、(たとえば、デバイスおよびサービス記述子に関連するクレデンシャルを含む)セキュアドパケットならびにクレデンシャル情報を含む第1の応答メッセージをSP-AFから受信し、クレデンシャル情報は、デバイスに対応する加入者アイデンティティ(たとえば、SUPI/GPSI)、セキュアドパケットのライフタイム、ネットワークサービス識別子(たとえば、ENSI/S-NSSAIまたはDNN/DN固有ID)、デバイス記憶必要インジケーション(たとえば、ME/UICCへの記憶)、またはそれらの組合せを含む。
【0191】
トランシーバ825を介して、プロセッサ805は、セキュアドパケットおよびクレデンシャル情報を含む第2の応答メッセージをコンシューマNFに送信する。一部の実施形態において、セキュアドパケットは、デバイスのスライス固有認証のための1つまたは複数のクレデンシャルを含む。その他の実施形態において、セキュアドパケットは、デバイスの二次認証のための1つまたは複数のクレデンシャルを含む。一部の実施形態において、第1の応答メッセージおよび第2の応答メッセージは、セキュアドパケットが利用可能であることを示す成功インジケーションをそれぞれが含み、セキュアドパケットは、加入者アイデンティティおよびサービス記述子に関して少なくとも1つのクレデンシャルを含む。
【0192】
一部の実施形態において、第1の要求メッセージおよび第2の応答メッセージは、デバイスに対応するSUPIをそれぞれが含む。そのような実施形態において、プロセッサは、装置にSUPIをデバイスに対応するGPSIに変換させるようにさらに構成され、第2の要求メッセージおよび第1の応答メッセージは、GPSIをそれぞれが含む。
【0193】
特定の実施形態において、第1の要求メッセージおよび第2の応答メッセージは、SUPIと、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つとを含む加入者アイデンティティをそれぞれが含む。特定の実施形態において、第2の要求メッセージおよび第1の応答メッセージは、GPSIと、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つとを含む加入者アイデンティティをそれぞれが含む。
【0194】
様々な実施形態において、第1の要求メッセージは、Nnefサービス動作を呼び出し、第2の要求メッセージは、HTTP POST要求メッセージを含む。一部の実施形態において、第1の応答メッセージは、200 OKメッセージを含み、第2の応答メッセージは、成功インジケーションを含む。その他の実施形態において、第1の応答メッセージは、404 Not FoundメッセージまたはHTTP POST応答メッセージを含み、第2の応答メッセージは、失敗インジケーションを含む。
【0195】
一部の実施形態において、デバイスおよびサービス記述子に関連するクレデンシャルは、NSSAAのためのクレデンシャルを含み、第1および第2の要求メッセージは、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)をそれぞれが含む。そのような実施形態において、クレデンシャル情報は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含んでよい。
【0196】
一部の実施形態において、デバイスおよびサービス記述子に関連するクレデンシャルは、二次認証のためのクレデンシャルを含み、第1および第2の要求メッセージは、DN固有ID、DNN、またはそれらの組合せを含む。そのような実施形態において、クレデンシャル情報は、DN固有IDおよび/またはDNNを含んでよい。
【0197】
メモリ810は、一実施形態において、コンピュータ可読ストレージ媒体である。一部の実施形態において、メモリ810は、揮発性コンピュータストレージ媒体を含む。たとえば、メモリ810は、DRAM、SDRAM、および/またはSRAMを含むRAMを含んでよい。一部の実施形態において、メモリ810は、不揮発性コンピュータストレージ媒体を含む。たとえば、メモリ810は、ハードディスクドライブ、フラッシュメモリ、または任意のその他の適切な不揮発性コンピュータストレージデバイスを含んでよい。一部の実施形態において、メモリ810は、揮発性コンピュータストレージ媒体と不揮発性コンピュータストレージ媒体との両方を含む。
【0198】
一部の実施形態において、メモリ810は、セキュアドパケットのプロビジョニングに関連するデータを記憶する。たとえば、メモリ810は、上述のパラメータ、構成、リソースの割り振り、ポリシーなどを記憶してよい。特定の実施形態において、メモリ810は、ネットワーク装置800上で動作するオペレーティングシステムまたはその他のコントローラアルゴリズムなどのプログラムコードおよび関連データも記憶する。
【0199】
入力デバイス815は、一実施形態において、タッチパネル、ボタン、キーボード、スタイラス、マイクロフォンなどを含む任意の知られているコンピュータ入力デバイスを含んでよい。一部の実施形態において、入力デバイス815は、たとえば、タッチスクリーンまたは同様のタッチ式ディスプレイとして出力デバイス820と統合されてよい。一部の実施形態において、入力デバイス815は、タッチスクリーン上に表示された仮想キーボードを使用して、および/またはタッチスクリーン上の手書きによってテキストが入力されてよいように、タッチスクリーンを含む。一部の実施形態において、入力デバイス815は、キーボードおよびタッチパネルなどの2つ以上の異なるデバイスを含む。
【0200】
出力デバイス820は、一実施形態において、視覚、聴覚、および/または触覚信号を出力するように設計される。一部の実施形態において、出力デバイス820は、ユーザに対して視覚的データを出力することができる電子的に制御可能なディスプレイまたはディスプレイデバイスを含む。たとえば、出力デバイス820は、ユーザに対して画像、テキストなどを出力することができるLCDディスプレイ、LEDディスプレイ、OLEDディスプレイ、プロジェクタ、または同様のディスプレイデバイスを含んでよいがこれらに限定されない。別の非限定的な例として、出力デバイス820は、スマートウォッチ、スマートグラス、ヘッドアップディスプレイなどの、ネットワーク装置800の残りの部分と別れているが、それらと通信可能なように結合されたウェアラブルディスプレイを含んでよい。さらに、出力デバイス820は、スマートフォン、携帯情報端末、テレビ、テーブルコンピュータ、ノートブック(ラップトップ)コンピュータ、パーソナルコンピュータ、車両のダッシュボードなどのコンポーネントであってよい。
【0201】
特定の実施形態において、出力デバイス820は、音を生成するための1つまたは複数のスピーカを含む。たとえば、出力デバイス820は、可聴のアラートまたは通知(たとえば、ビープ音またはチャイム)を生成してよい。一部の実施形態において、出力デバイス820は、振動、動き、またはその他の触覚フィードバックを生成するための1つまたは複数の触覚デバイスを含む。一部の実施形態においては、出力デバイス820のすべてまたは一部が、入力デバイス815と統合される場合がある。たとえば、入力デバイス815および出力デバイス820が、タッチスクリーンまたは同様のタッチ式ディスプレイを形成する場合がある。その他の実施形態において、出力デバイス820は、入力デバイス815の近くに配置される場合がある。
【0202】
トランシーバ825は、少なくとも1つの送信機830および少なくとも1の受信機835を含む。1つまたは複数の送信機830が、本明細書において説明されるように、UEと通信するために使用されてよい。同様に、1つまたは複数の受信機835が、本明細書において説明されるように、PLMNおよび/またはRANのネットワーク機能と通信するために使用されてよい。1つの送信機830および1つの受信機835のみが図示されているが、ネットワーク装置800は、任意の適切な数の送信機830および受信機835を有していてよい。さらに、送信機830および受信機835は、任意の適切な種類の送信機および受信機であってよい。
【0203】
図9は、本開示の実施形態によるセキュアドパケットをプロビジョニングするための方法900の一実施形態を示す。様々な実施形態において、方法900は、上述のUPF 141、SMF 143、NEF 145、NSSAAF 147、UDM/UDR 149、3GPP NFコンシューマ305、3GPP NFコンシューマ405、NFコンシューマ505、NFコンシューマ605、および/またはネットワーク装置800などのコンシューマNFによって実行される。一部の実施形態において、方法900は、マイクロコントローラ、マイクロプロセッサ、CPU、GPU、補助処理ユニット、FPGAなどのプロセッサによって実行される。
【0204】
方法900は、デバイスおよびサービス記述子に関連するクレデンシャルの要求をSP-AFに送信するステップ905を含む。方法900は、セキュアドパケットと、デバイスに対応する加入者アイデンティティ、セキュアドパケットのライフタイム、ネットワークサービス識別子、デバイス記憶必要インジケーション、またはそれらの組合せを含むクレデンシャル情報とをSP-AFから受信するステップ910を含む。方法900は、セキュアドパケットおよびクレデンシャル情報を記憶するステップ915であって、セキュアドパケットが、有効なクレデンシャルを含む、ステップ915を含む。方法900は、更新手順によってデバイスにセキュアドパケットをプロビジョニングするステップ920を含む。方法900は、終了する。
【0205】
図10は、本開示の実施形態によるセキュアドパケットをプロビジョニングするための方法1000の一実施形態を示す。様々な実施形態において、方法1000は、上述のAF 146、SP-AF 315、および/またはネットワーク装置800などのアプリケーション機能によって実行される。一部の実施形態において、方法1000は、マイクロコントローラ、マイクロプロセッサ、CPU、GPU、補助処理ユニット、FPGAなどのプロセッサによって実行される。
【0206】
方法1000は、デバイスおよびサービス記述子に関連するクレデンシャルの要求をネットワーク機能(たとえば、NEFまたはコンシューマNF)から受信するステップ1005を含む。方法1000は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するかどうかを判定するステップ1010を含む。方法1000は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在しないとの判定に応じて、ネットワーク機能に失敗インジケーションを送信するステップ1015を含む。方法1000は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するとの判定に応じてセキュアドパケットを生成するステップ1020を含む。方法1000は、セキュアドパケットと、デバイスに対応する加入者アイデンティティ、セキュアドパケットのライフタイム、ネットワークサービス識別子、デバイス記憶必要インジケーション、またはそれらの組合せを含むクレデンシャル情報とをネットワーク機能に送信するステップ1025を含む。方法1000は、終了する。
【0207】
図11は、本開示の実施形態によるセキュアドパケットをプロビジョニングするための方法1100の一実施形態を示す。様々な実施形態において、方法1100は、上述のNEF 145、NEF 310、および/またはネットワーク装置800などのネットワークデバイスによって実行される。一部の実施形態において、方法1100は、マイクロコントローラ、マイクロプロセッサ、CPU、GPU、補助処理ユニット、FPGAなどのプロセッサによって実行される。
【0208】
方法1100は、デバイスおよびサービス記述子に関連するクレデンシャルの第1の要求メッセージをネットワーク機能から受信するステップ1105であって、第1の要求メッセージが、送信先アドレスを含む、ステップ1105を含む。方法1100は、送信先アドレスを使用してSP-AFに、デバイスおよびサービス記述子に関連するクレデンシャルの第2の要求メッセージを送信するステップ1110を含む。方法1100は、セキュアドパケットおよびクレデンシャル情報を含む第1の応答メッセージをSP-AFから受信するステップ1115であって、クレデンシャル情報が、デバイスに対応する加入者アイデンティティ、セキュアドパケットのライフタイム、ネットワークサービス識別子、デバイス記憶必要インジケーション、またはそれらの組合せを含む、ステップ1115を含む。方法1100は、セキュアドパケットおよびクレデンシャル情報を含む第2の応答メッセージをネットワーク機能に送信するステップ1120を含む。方法1100は、終了する。
【0209】
本明細書において開示されるのは、本開示の実施形態によるセキュアドパケットをプロビジョニングするための第1の装置である。第1の装置は、上述のUPF 141、SMF 143、NEF 145、NSSAAF 147、UDM/UDR 149、3GPP NFコンシューマ305、3GPP NFコンシューマ405、NFコンシューマ505、NFコンシューマ605、および/またはネットワーク装置800などのコンシューマNFによって実装され得る。第1の装置は、トランシーバに結合されたプロセッサを含み、トランシーバは、モバイル通信ネットワークと通信するように構成され、プロセッサは、装置に、A)デバイス(すなわち、加入者アイデンティティによって特定されるUE)およびサービス記述子に関連するクレデンシャルの要求をSP-AFに送信すること、B)セキュアドパケットと、デバイスに対応する加入者アイデンティティ(たとえば、SUPI/GPSI)、セキュアドパケットのライフタイム、ネットワークサービス識別子(たとえば、ENSI/S-NSSAIもしくはDNN/DN固有ID)、デバイス記憶必要インジケーション(たとえば、ME/UICCへの記憶)、またはそれらの組合せを含むクレデンシャル情報とをSP-AFから受信すること、C)セキュアドパケットおよびクレデンシャル情報を(たとえば、UDRに)記憶することであって、セキュアドパケットが、有効なクレデンシャルを含む、記憶すること、ならびにD)更新手順(たとえば、UEパラメータ更新手順)によって、デバイスにセキュアドパケットをプロビジョニングすることを行わせるように構成される。
【0210】
一部の実施形態において、クレデンシャルの要求を送信するために、プロセッサは、装置にセキュアドパケット要求を呼び出させるように構成される。一部の実施形態において、プロセッサは、装置に、ローカルポリシー、クレデンシャルのライフタイム、クレデンシャルが利用不可能であること、またはそれらの組合せに基づいてセキュアドパケット要求を呼び出すと決定させるようにさらに構成される。
【0211】
一部の実施形態において、セキュアドパケットは、デバイスのスライス固有認証のための1つまたは複数のクレデンシャルを含む。その他の実施形態において、セキュアドパケットは、デバイスの二次認証のための1つまたは複数のクレデンシャルを含む。
【0212】
一部の実施形態において、要求されたクレデンシャルは、NSSAAのためのクレデンシャルを含み、NSSAAのためのクレデンシャルの要求を送信するために、プロセッサは、装置に、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含むHTTP POST要求をSP-AFに送信させるように構成される。そのような実施形態において、クレデンシャル情報は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含んでよい。
【0213】
一部の実施形態において、要求されたクレデンシャルは、二次認証のためのクレデンシャルを含み、二次認証のためのクレデンシャルの要求を送信するために、プロセッサは、装置に、DN固有ID、DNN、またはそれらの組合せを含むHTTP POST要求をSP-AFに送信させるように構成される。そのような実施形態において、クレデンシャル情報は、DN固有IDおよび/またはDNNを含んでよい。
【0214】
一部の実施形態において、クレデンシャルの要求を送信するために、プロセッサは、装置にHTTP POST要求メッセージを送信させるように構成される。そのような実施形態において、セキュアドパケットおよびクレデンシャル情報を受信するために、プロセッサは、装置にHTTP 200 OKメッセージを受信させるように構成される。
【0215】
一部の実施形態において、クレデンシャルの要求を送信するために、プロセッサは、装置にNEFを介して要求を送信させるように構成される。特定の実施形態において、クレデンシャルの要求を送信するために、プロセッサは、装置にNnefサービス動作を呼び出させるように構成され、クレデンシャルの要求は、SP-AFの識別子、SP-AFのネットワークアドレス情報、またはそれらの組合せを含む。
【0216】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するGPSIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。
【0217】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するSUPIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。
【0218】
一部の実施形態において、サービス記述子は、外部ネットワークスライス情報、単一ネットワークスライス選択支援情報、ネットワークアクセス識別子、データネットワーク固有識別子、データネットワーク名、AAAサーバのアイデンティティ、またはそれらの組合せを含む。
【0219】
本明細書において開示されるのは、本開示の実施形態によるセキュアドパケットをプロビジョニングするための第1の方法である。第1の方法は、上述のUPF 141、SMF 143、NEF 145、NSSAAF 147、UDM/UDR 149、3GPP NFコンシューマ305、3GPP NFコンシューマ405、NFコンシューマ505、NFコンシューマ605、および/またはネットワーク装置800などのコンシューマNFによって実行される場合がある。第1の方法は、デバイス(すなわち、加入者アイデンティティによって特定されるUE)およびサービス記述子に関連するクレデンシャルの要求をSP-AFに送信するステップを含む。第1の方法は、セキュアドパケットと、デバイスに対応する加入者アイデンティティ(たとえば、SUPI/GPSI)、セキュアドパケットのライフタイム、ネットワークサービス識別子(たとえば、ENSI/S-NSSAIもしくはDNN/DN固有ID)、デバイス記憶必要インジケーション(たとえば、ME/UICCへの記憶)、またはそれらの組合せを含むクレデンシャル情報とをSP-AFから受信するステップを含む。第1の方法は、セキュアドパケットおよびクレデンシャル情報を(たとえば、UDRに)記憶するステップであって、セキュアドパケットが、有効なクレデンシャルを含む、ステップと、更新手順(たとえば、UEパラメータ更新手順)によって、デバイスにセキュアドパケットをプロビジョニングするステップとを含む。
【0220】
一部の実施形態において、クレデンシャルの要求を送信するステップは、セキュアドパケット要求を呼び出すことを含む。そのような実施形態において、第1の方法は、ローカルポリシー、クレデンシャルのライフタイム、クレデンシャルが利用不可能であること、またはそれらの組合せに基づいてセキュアドパケット要求を呼び出すと決定するステップをさらに含む。
【0221】
一部の実施形態において、セキュアドパケットは、デバイスのスライス固有認証のための1つまたは複数のクレデンシャルを含む。その他の実施形態において、セキュアドパケットは、デバイスの二次認証のための1つまたは複数のクレデンシャルを含む。
【0222】
一部の実施形態において、要求されたクレデンシャルは、NSSAAのためのクレデンシャルを含み、NSSAAのためのクレデンシャルの要求を送信するステップは、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含むHTTP POST要求をSP-AFに送信することを含む。そのような実施形態において、クレデンシャル情報は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含んでよい。
【0223】
一部の実施形態において、要求されたクレデンシャルは、二次認証のためのクレデンシャルを含み、二次認証のためのクレデンシャルの要求を送信するステップは、DN固有ID、DNN、またはそれらの組合せを含むHTTP POST要求をSP-AFに送信することを含む。そのような実施形態において、クレデンシャル情報は、DN固有IDおよび/またはDNNを含んでよい。
【0224】
一部の実施形態において、クレデンシャルの要求を送信するステップは、HTTP POST要求メッセージを送信することを含む。そのような実施形態において、セキュアドパケットおよびクレデンシャル情報を受信するステップは、HTTP 200 OKメッセージを受信することを含む。
【0225】
一部の実施形態において、クレデンシャルの要求を送信するステップは、NEFを介して送信することを含む。特定の実施形態において、クレデンシャルの要求を送信するステップは、Nnefサービス動作を呼び出すことを含み、クレデンシャルの要求は、SP-AFの識別子、SP-AFのネットワークアドレス情報、またはそれらの組合せを含む。
【0226】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するGPSIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。
【0227】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するSUPIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。
【0228】
サービス記述子が、外部ネットワークスライス情報、単一ネットワークスライス選択支援情報、ネットワークアクセス識別子、データネットワーク固有識別子、データネットワーク名、AAAサーバのアイデンティティ、またはそれらの組合せを含む請求項1に記載の方法。
【0229】
本明細書において開示されるのは、本開示の実施形態によるセキュアドパケットをプロビジョニングするための第3の装置である。第3の装置は、上述のAF 146、SP-AF 315、および/またはネットワーク装置800などのアプリケーション機能によって実装される場合がある。第3の装置は、ネットワーク機能(たとえば、NEFまたはコンシューマNF)と通信するように構成されたトランシーバに結合されたプロセッサを含み、プロセッサは、装置に、A)デバイス(すなわち、加入者アイデンティティによって特定されるUE)およびサービス記述子に関連するクレデンシャルの要求をネットワーク機能から受信させ、B)デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するかどうかを判定させ、C)デバイスおよびサービス記述子に関して有効なクレデンシャルが存在しないとの判定に応じて、ネットワーク機能に失敗インジケーションを送信させ、D)デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するとの判定に応じてセキュアドパケットを生成させ、E)セキュアドパケットと、デバイスに対応する加入者アイデンティティ(たとえば、SUPI/GPSI)、セキュアドパケットのライフタイム、ネットワークサービス識別子(たとえば、ENSI/S-NSSAIもしくはDNN/DN固有ID)、デバイス記憶必要インジケーション(たとえば、ME/UICCへの記憶)、またはそれらの組合せを含むクレデンシャル情報とをネットワーク機能に送信させるように構成される。
【0230】
一部の実施形態において、セキュアドパケットは、デバイスのスライス固有認証のための1つまたは複数のクレデンシャルを含む。その他の実施形態において、セキュアドパケットは、デバイスの二次認証のための1つまたは複数のクレデンシャルを含む。様々な実施形態において、サービス記述子は、外部ネットワークスライス情報、単一ネットワークスライス選択支援情報、ネットワークアクセス識別子、データネットワーク固有識別子、データネットワーク名、AAAサーバのアイデンティティ、またはそれらの組合せを含む。
【0231】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するGPSIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。特定の実施形態において、クレデンシャルの要求は、NEFを介して受信される。
【0232】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するSUPIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。
【0233】
一部の実施形態において、クレデンシャルの要求は、セキュアドパケット要求を含む。そのような実施形態において、セキュアドパケット要求は、HTTP POST要求内に含まれてよい。一部の実施形態において、失敗インジケーションは、404 Not FoundメッセージまたはHTTP POST応答メッセージを含む。一部の実施形態において、セキュアドパケットおよびクレデンシャル情報を送信するために、プロセッサは、装置に200 OKメッセージを送信させるように構成される。
【0234】
一部の実施形態において、要求されたクレデンシャルは、NSSAAのためのクレデンシャルを含み、NSSAAのためのクレデンシャルの要求を受信するために、プロセッサは、装置に、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含むHTTP POST要求をネットワーク機能から受信させるように構成される。そのような実施形態において、クレデンシャル情報は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含んでよい。
【0235】
一部の実施形態において、要求されたクレデンシャルは、二次認証のためのクレデンシャルを含み、二次認証のためのクレデンシャルの要求を受信するために、プロセッサは、装置に、DN固有ID、DNN、またはそれらの組合せを含むHTTP POST要求をネットワーク機能から受信させるように構成される。そのような実施形態において、クレデンシャル情報は、DN固有IDおよび/またはDNNを含んでよい。
【0236】
一部の実施形態において、セキュアドパケットおよびクレデンシャル情報を送信するために、プロセッサは、装置にセキュアドパケットが利用可能であることを示す成功インジケーションを送信させるように構成される。特定の実施形態において、セキュアドパケットは、加入者アイデンティティおよびサービス記述子に関して少なくとも1つのクレデンシャルを含んでよい。
【0237】
本明細書において開示されるのは、本開示の実施形態によるセキュアドパケットをプロビジョニングするための第2の方法である。第2の方法は、上述のAF 146、SP-AF 315、および/またはネットワーク装置800などのアプリケーション機能によって実行される場合がある。第2の方法は、デバイス(すなわち、加入者アイデンティティによって特定されるUE)およびサービス記述子に関連するクレデンシャルの要求をネットワーク機能(たとえば、NEFまたはコンシューマNF)から受信するステップを含む。第2の方法は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するかどうかを判定するステップと、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在しないとの判定に応じて、ネットワーク機能に失敗インジケーションを送信するステップとを含む。第2の方法は、デバイスおよびサービス記述子に関して有効なクレデンシャルが存在するとの判定に応じてセキュアドパケットを生成するステップと、セキュアドパケット、およびデバイスに対応する加入者アイデンティティ(たとえば、SUPI/GPSI)、セキュアドパケットのライフタイム、ネットワークサービス識別子(たとえば、ENSI/S-NSSAIもしくはDNN/DN固有ID)、デバイス記憶必要インジケーション(たとえば、ME/UICCへの記憶)、またはそれらの組合せを含むクレデンシャル情報をネットワーク機能に送信するステップとを含む。
【0238】
一部の実施形態において、セキュアドパケットは、デバイスのスライス固有認証のための1つまたは複数のクレデンシャルを含む。その他の実施形態において、セキュアドパケットは、デバイスの二次認証のための1つまたは複数のクレデンシャルを含む。様々な実施形態において、サービス記述子は、外部ネットワークスライス情報、単一ネットワークスライス選択支援情報、ネットワークアクセス識別子、データネットワーク固有識別子、データネットワーク名、AAAサーバのアイデンティティ、またはそれらの組合せを含む。
【0239】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するGPSIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。特定の実施形態において、クレデンシャルの要求は、NEFを介して受信される。
【0240】
一部の実施形態において、加入者アイデンティティは、デバイスに対応するSUPIを含む。特定の実施形態において、加入者アイデンティティは、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つをさらに含む。
【0241】
一部の実施形態において、クレデンシャルの要求は、セキュアドパケット要求を含む。そのような実施形態において、セキュアドパケット要求は、HTTP POST要求内に含まれてよい。一部の実施形態において、失敗インジケーションは、404 Not FoundメッセージまたはHTTP POST応答メッセージを含む。一部の実施形態において、セキュアドパケットおよびクレデンシャル情報を送信するステップは、200 OKメッセージを送信することを含む。
【0242】
一部の実施形態において、要求されたクレデンシャルは、NSSAAのためのクレデンシャルを含み、NSSAAのためのクレデンシャルの要求を受信するステップは、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含むHTTP POST要求をネットワーク機能から受信することを含む。そのような実施形態において、クレデンシャル情報は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含んでよい。
【0243】
一部の実施形態において、要求されたクレデンシャルは、二次認証のためのクレデンシャルを含み、二次認証のためのクレデンシャルの要求を受信するステップは、DN固有ID、DNN、またはそれらの組合せを含むHTTP POST要求をネットワーク機能から受信することを含む。そのような実施形態において、クレデンシャル情報は、DN固有IDおよび/またはDNNを含んでよい。
【0244】
一部の実施形態において、セキュアドパケットおよびクレデンシャル情報を送信するステップは、セキュアドパケットが利用可能であることを示す成功インジケーションを送信することを含む。特定の実施形態において、セキュアドパケットは、加入者アイデンティティおよびサービス記述子に関して少なくとも1つのクレデンシャルを含んでよい。
【0245】
本明細書において開示されるのは、本開示の実施形態によるセキュアドパケットをプロビジョニングするための第3の装置である。第3の装置は、上述のNEF 145、NEF 310、および/またはネットワーク装置800などのネットワークデバイスによって実装される場合がある。第3の装置は、コンシューマNFおよびSP-AFと通信するように構成されたトランシーバに結合されたプロセッサを含み、プロセッサは、装置に、A)デバイス(すなわち、加入者アイデンティティによって特定されるUE)およびサービス記述子に関連するクレデンシャルの第1の要求メッセージをネットワーク機能(たとえば、コンシューマNF)から受信することであって、第1の要求メッセージが、送信先アドレスを含む、受信することと、B)送信先アドレスを使用してSP-AFに、デバイスおよびサービス記述子に関連するクレデンシャルの第2の要求メッセージを送信することと、C)(たとえば、デバイスおよびサービス記述子に関連するクレデンシャルを含む)セキュアドパケットならびにクレデンシャル情報を含む第1の応答メッセージをSP-AFから受信することであって、クレデンシャル情報が、デバイスに対応する加入者アイデンティティ(たとえば、SUPI/GPSI)、セキュアドパケットのライフタイム、ネットワークサービス識別子(たとえば、ENSI/S-NSSAIまたはDNN/DN固有ID)、デバイス記憶必要インジケーション(たとえば、ME/UICCへの記憶)、またはそれらの組合せを含む、受信することと、D)セキュアドパケットおよびクレデンシャル情報を含む第2の応答メッセージをネットワーク機能に送信することとを行わせるように構成される。
【0246】
一部の実施形態において、セキュアドパケットは、デバイスのスライス固有認証のための1つまたは複数のクレデンシャルを含む。その他の実施形態において、セキュアドパケットは、デバイスの二次認証のための1つまたは複数のクレデンシャルを含む。一部の実施形態において、第1の応答メッセージおよび第2の応答メッセージは、セキュアドパケットが利用可能であることを示す成功インジケーションをそれぞれが含み、セキュアドパケットは、加入者アイデンティティおよびサービス記述子に関して少なくとも1つのクレデンシャルを含む。
【0247】
一部の実施形態において、第1の要求メッセージおよび第2の応答メッセージは、デバイスに対応するSUPIをそれぞれが含む。そのような実施形態において、プロセッサは、装置にSUPIをデバイスに対応するGPSIに変換させるようにさらに構成され、第2の要求メッセージおよび第1の応答メッセージは、GPSIをそれぞれが含む。
【0248】
特定の実施形態において、第1の要求メッセージおよび第2の応答メッセージは、SUPIと、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つとを含む加入者アイデンティティをそれぞれが含む。特定の実施形態において、第2の要求メッセージおよび第1の応答メッセージは、GPSIと、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つとを含む加入者アイデンティティをそれぞれが含む。
【0249】
様々な実施形態において、第1の要求メッセージは、Nnefサービス動作を呼び出し、第2の要求メッセージは、HTTP POST要求メッセージを含む。一部の実施形態において、第1の応答メッセージは、200 OKメッセージを含み、第2の応答メッセージは、成功インジケーションを含む。その他の実施形態において、第1の応答メッセージは、404 Not FoundメッセージまたはHTTP POST応答メッセージを含み、第2の応答メッセージは、失敗インジケーションを含む。
【0250】
一部の実施形態において、デバイスおよびサービス記述子に関連するクレデンシャルは、NSSAAのためのクレデンシャルを含み、第1および第2の要求メッセージは、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)をそれぞれが含む。そのような実施形態において、クレデンシャル情報は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含んでよい。
【0251】
一部の実施形態において、デバイスおよびサービス記述子に関連するクレデンシャルは、二次認証のためのクレデンシャルを含み、第1および第2の要求メッセージは、DN固有ID、DNN、またはそれらの組合せを含む。そのような実施形態において、クレデンシャル情報は、DN固有IDおよび/またはDNNを含んでよい。
【0252】
一部の実施形態において、第1および第2の要求メッセージは、セキュアドパケット要求をそれぞれが含む。一部の実施形態において、第1の要求メッセージは、SP-AFの識別子、SP-AFのネットワークアドレス情報、またはそれらの組合せを含む。様々な実施形態において、サービス記述子は、外部ネットワークスライス情報、単一ネットワークスライス選択支援情報、ネットワークアクセス識別子、データネットワーク固有識別子、データネットワーク名、AAAサーバのアイデンティティ、またはそれらの組合せを含む。
【0253】
本明細書において開示されるのは、本開示の実施形態によるセキュアドパケットをプロビジョニングするための第3の方法である。第3の方法は、上述のNEF 145、NEF 310、および/またはネットワーク装置800などのネットワークデバイスによって実行される場合がある。第3の方法は、デバイス(すなわち、加入者アイデンティティによって特定されるUE)およびサービス記述子に関連するクレデンシャルの第1の要求メッセージをネットワーク機能(たとえば、コンシューマNF)から受信するステップであって、第1の要求メッセージが、送信先アドレスを含む、ステップを含む。第3の方法は、送信先アドレスを使用してSP-AFに、デバイスおよびサービス記述子に関連するクレデンシャルの第2の要求メッセージを送信するステップを含む。
【0254】
第3の方法は、(たとえば、デバイスおよびサービス記述子に関連するクレデンシャルを含む)セキュアドパケットならびにクレデンシャル情報を含む第1の応答メッセージをSP-AFから受信するステップであって、クレデンシャル情報が、デバイスに対応する加入者アイデンティティ(たとえば、SUPI/GPSI)、セキュアドパケットのライフタイム、ネットワークサービス識別子(たとえば、ENSI/S-NSSAIまたはDNN/DN固有ID)、デバイス記憶必要インジケーション(たとえば、ME/UICCへの記憶)、またはそれらの組合せを含む、ステップを含む。第3の方法は、セキュアドパケットおよびクレデンシャル情報を含む第2の応答メッセージをネットワーク機能に送信するステップを含む。
【0255】
一部の実施形態において、セキュアドパケットは、デバイスのスライス固有認証のための1つまたは複数のクレデンシャルを含む。その他の実施形態において、セキュアドパケットは、デバイスの二次認証のための1つまたは複数のクレデンシャルを含む。一部の実施形態において、第1の応答メッセージおよび第2の応答メッセージは、セキュアドパケットが利用可能であることを示す成功インジケーションをそれぞれが含み、セキュアドパケットは、加入者アイデンティティおよびサービス記述子に関して少なくとも1つのクレデンシャルを含む。
【0256】
一部の実施形態において、第1の要求メッセージおよび第2の応答メッセージは、デバイスに対応するSUPIをそれぞれが含む。そのような実施形態において、第3の方法は、SUPIをデバイスに対応するGPSIに変換するステップであって、第2の要求メッセージおよび第1の応答メッセージが、GPSIをそれぞれが含む、ステップをさらに含む。
【0257】
特定の実施形態において、第1の要求メッセージおよび第2の応答メッセージは、SUPIと、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つとを含む加入者アイデンティティをそれぞれが含む。特定の実施形態において、第2の要求メッセージおよび第1の応答メッセージは、GPSIと、IPv4アドレス、IPv6アドレス、IMEI、IPv4v6アドレス、MACアドレス、またはそれらの組合せのうちの少なくとも1つとを含む加入者アイデンティティをそれぞれが含む。
【0258】
様々な実施形態において、第1の要求メッセージは、Nnefサービス動作を呼び出し、第2の要求メッセージは、HTTP POST要求メッセージを含む。一部の実施形態において、第1の応答メッセージは、200 OKメッセージを含み、第2の応答メッセージは、成功インジケーションを含む。その他の実施形態において、第1の応答メッセージは、404 Not FoundメッセージまたはHTTP POST応答メッセージを含み、第2の応答メッセージは、失敗インジケーションを含む。
【0259】
様々な実施形態において、サービス記述子は、外部ネットワークスライス情報、単一ネットワークスライス選択支援情報、ネットワークアクセス識別子、データネットワーク固有識別子、データネットワーク名、AAAサーバのアイデンティティ、またはそれらの組合せを含む。
【0260】
一部の実施形態において、デバイスおよびサービス記述子に関連するクレデンシャルは、NSSAAのためのクレデンシャルを含み、第1および第2の要求メッセージは、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)をそれぞれが含む。そのような実施形態において、クレデンシャル情報は、ネットワークスライス識別子(たとえば、ENSIまたはS-NSSAI)を含んでよい。
【0261】
一部の実施形態において、デバイスおよびサービス記述子に関連するクレデンシャルは、二次認証のためのクレデンシャルを含み、第1および第2の要求メッセージは、DN固有ID、DNN、またはそれらの組合せを含む。そのような実施形態において、クレデンシャル情報は、DN固有IDおよび/またはDNNを含んでよい。
【0262】
一部の実施形態において、第1および第2の要求メッセージは、セキュアドパケット要求をそれぞれが含む。一部の実施形態において、第1の要求メッセージは、SP-AFの識別子、SP-AFのネットワークアドレス情報、またはそれらの組合せを含む。
【0263】
実施形態は、その他の特定の形態で実施される場合がある。説明された実施形態は、すべての点において例示的とだけみなされるべきであり、限定的とみなされるべきでない。したがって、本発明の範囲は、上記の説明によってではなく添付の請求項によって示される。請求項と均等な意味および範囲内に入るすべての変更は、請求項の範囲内に包含されるべきである。
【符号の説明】
【0264】
100 ワイヤレス通信システム
105 リモートユニット
107 UICC
109 アプリケーション
120 無線アクセスネットワーク、RAN
121 ベースユニット
123 ワイヤレス通信リンク
140 モバイルコアネットワーク
141 ユーザプレーン機能(UPF)
142 アクセスおよびモビリティ管理機能(AMF)
143 セッション管理機能(SMF)
144 ポリシー制御機能(PCF)
145 ネットワーク公開機能(NEF)
146 アプリケーション機能(AF)
147 ネットワークスライス固有認証および認可機能(NSSAAF)
149 UDM/UDR
150 パケットデータネットワーク
151 アプリケーションサーバ
200 NRプロトコルスタック
201 ユーザプレーンプロトコルスタック
203 制御プレーンプロトコルスタック
205 UE
210 RANノード
215 AMF
220 物理(PHY)レイヤ
225 MACサブレイヤ
230 無線リンク制御(RLC)サブレイヤ
235 PDCPサブレイヤ
240 サービスデータ適応プロトコル(SDAP)レイヤ
245 無線リソース制御(RRC)レイヤ
250 非アクセス層(NAS)レイヤ
255 アクセス層(AS)レイヤ
260 ASレイヤ
300 手順
305 3GPP NFコンシューマ
310 NEF
315 SP-AF
400 手順
405 3GPP NFコンシューマ
500 手順
505 NFコンシューマ
600 手順
605 NFコンシューマ
700 ユーザ機器装置
705 プロセッサ
710 メモリ
715 入力デバイス
720 出力デバイス
725 トランシーバ
730 送信機
735 受信機
740 ネットワークインターフェース
745 アプリケーションインターフェース
800 ネットワーク装置
805 プロセッサ
810 メモリ
815 入力デバイス
820 出力デバイス
825 トランシーバ
830 送信機
835 受信機
840 ネットワークインターフェース
845 アプリケーションインターフェース
900 方法
1000 方法
1100 方法
105 リモートユニット
107 UICC
109 アプリケーション
120 無線アクセスネットワーク、RAN
121 ベースユニット
123 ワイヤレス通信リンク
140 モバイルコアネットワーク
141 ユーザプレーン機能(UPF)
142 アクセスおよびモビリティ管理機能(AMF)
143 セッション管理機能(SMF)
144 ポリシー制御機能(PCF)
145 ネットワーク公開機能(NEF)
146 アプリケーション機能(AF)
147 ネットワークスライス固有認証および認可機能(NSSAAF)
149 UDM/UDR
150 パケットデータネットワーク
151 アプリケーションサーバ
200 NRプロトコルスタック
201 ユーザプレーンプロトコルスタック
203 制御プレーンプロトコルスタック
205 UE
210 RANノード
215 AMF
220 物理(PHY)レイヤ
225 MACサブレイヤ
230 無線リンク制御(RLC)サブレイヤ
235 PDCPサブレイヤ
240 サービスデータ適応プロトコル(SDAP)レイヤ
245 無線リソース制御(RRC)レイヤ
250 非アクセス層(NAS)レイヤ
255 アクセス層(AS)レイヤ
260 ASレイヤ
300 手順
305 3GPP NFコンシューマ
310 NEF
315 SP-AF
400 手順
405 3GPP NFコンシューマ
500 手順
505 NFコンシューマ
600 手順
605 NFコンシューマ
700 ユーザ機器装置
705 プロセッサ
710 メモリ
715 入力デバイス
720 出力デバイス
725 トランシーバ
730 送信機
735 受信機
740 ネットワークインターフェース
745 アプリケーションインターフェース
800 ネットワーク装置
805 プロセッサ
810 メモリ
815 入力デバイス
820 出力デバイス
825 トランシーバ
830 送信機
835 受信機
840 ネットワークインターフェース
845 アプリケーションインターフェース
900 方法
1000 方法
1100 方法
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【国際調査報告】