IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > サムスン エレクトロニクス カンパニー リミテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ サムスン エレクトロニクス カンパニー リミテッドの特許一覧

特表2024-539984無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク
<>
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図1
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図2a
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図2b
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図3
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図4
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図5
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図6
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図7
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図8
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図9
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図10
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図11
  • 特表-無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク 図12
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-10-31
(54)【発明の名称】無線ネットワークのネットワークサービスに対するアプリケーション特定認証のための方法及び無線ネットワーク
(51)【国際特許分類】
   H04W 12/06 20210101AFI20241024BHJP
   H04W 48/12 20090101ALI20241024BHJP
   H04W 12/71 20210101ALI20241024BHJP
【FI】
H04W12/06
H04W48/12
H04W12/71
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024524737
(86)(22)【出願日】2022-11-15
(85)【翻訳文提出日】2024-04-24
(86)【国際出願番号】 KR2022017930
(87)【国際公開番号】W WO2023090799
(87)【国際公開日】2023-05-25
(31)【優先権主張番号】202141053378
(32)【優先日】2021-11-19
(33)【優先権主張国・地域又は機関】IN
(31)【優先権主張番号】202141053378
(32)【優先日】2022-10-28
(33)【優先権主張国・地域又は機関】IN
(81)【指定国・地域】
(71)【出願人】
【識別番号】503447036
【氏名又は名称】サムスン エレクトロニクス カンパニー リミテッド
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100154922
【弁理士】
【氏名又は名称】崔 允辰
(72)【発明者】
【氏名】ラジャヴェルサミー・ラジャデュライ
(72)【発明者】
【氏名】ニヴェディア・パランバス・サシ
(72)【発明者】
【氏名】ロヒニ・ラジェンドラン
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA33
5K067DD11
5K067EE02
5K067EE16
5K067HH11
5K067HH22
(57)【要約】
本開示は、より高いデータ送信率を支援するための5G又は6G通信システムに関する。したがって、本願の実施例は、アプリケーション機能(AF)サーバーによって行われる方法を開示し、方法は、端末からユーザ装置(UE)サービス識別子(ID)を含む第1要請メッセージを受信する段階、端末の連関情報を要請するための第2要請メッセージを認証サーバーに送信する段階-第2要請メッセージは端末IDを含む-、連関情報が端末IDに基づいて検索される場合に、認証サーバーから端末の連関情報を受信する段階、及びUEサービスIDが端末の連関情報内の端末IDと連関されるか否かを検証するように行う段階を含む。
【特許請求の範囲】
【請求項1】
アプリケーション機能(AF:Application Function)サーバーによって行われる方法であって、
端末から、ユーザ装置(UE)サービス識別子(ID)を含む第1要請メッセージを受信する段階と、
前記端末の連関情報を要請するための第2要請メッセージを認証サーバーに送信する段階-前記第2要請メッセージは端末IDを含む-と、
前記連関情報が前記端末IDに基づいて検索された場合に、前記認証サーバーから前記端末の前記連関情報を受信する段階と、
前記UEサービスIDが前記端末の前記連関情報に含まれた前記端末IDと連関されるか否かを検証する段階と、を含む、アプリケーション機能(AF)サーバーによって行われる方法。
【請求項2】
前記検証の結果に基づいて、前記端末にサービスに対するアクセスを提供する段階をさらに含む、請求項1に記載のアプリケーション機能(AF)サーバーによって行われる方法。
【請求項3】
AKMA(Authentication and Key Management for Application)AAnF(Anchor Function)エンティティから前記端末IDを受信する段階をさらに含み、
前記端末の前記連関情報は、前記AAnFエンティティから受信された前記端末IDに基づいて検索される、請求項1に記載のアプリケーション機能(AF)サーバーによって行われる方法。
【請求項4】
前記UEサービスIDが前記端末IDと連関されるか否かを検証する段階は、
前記第1要請メッセージで受信された前記UEサービスIDが前記端末の前記検索された連関情報のうち前記端末IDと連関されるか否かを検証する段階を含む、請求項1に記載のアプリケーション機能(AF)サーバーによって行われる方法。
【請求項5】
前記端末IDは、SUPI(Subscription Permanent Identifier)を含み、
前記AFサーバーは、5世代(5G)システム(MSGin5G)サーバーを介した大規模モノのインターネット(MIoT)のためのメッセージサービスを含む、請求項1に記載のアプリケーション機能(AF)サーバーによって行われる方法。
【請求項6】
前記UEサービスIDと前記端末IDとの連関を検査することによって前記端末の認証を検証する段階をさらに含み、
前記端末は、MSGin5G端末である、請求項1に記載のアプリケーション機能(AF)サーバーによって行われる方法。
【請求項7】
アプリケーション機能(AF)サーバーであって、
トランシーバーと、
前記トランシーバーに動作可能に結合された少なくとも1つのプロセッサと、を含み、前記少なくとも1つのプロセッサは、
前記トランシーバーを介して端末から、ユーザ装置(UE)サービス識別子(ID)を含む第1要請メッセージを受信し、前記トランシーバーを介して認証サーバーに前記端末の連関情報を要請するための第2要請メッセージを送信し-前記第2要請メッセージは端末IDを含む-、前記連関情報が前記端末IDに基づいて検索された場合に、前記トランシーバーを介して前記認証サーバーから前記端末の前記連関情報を受信し、前記UEサービスIDが前記端末の前記連関情報に含まれた前記端末IDと連関されるか否かを検証するように設定される、AFサーバー。
【請求項8】
前記少なくとも1つのプロセッサは、
前記検証の結果に基づいて、前記端末にサービスに対するアクセスを提供するようにさらに設定される、請求項7に記載のAFサーバー。
【請求項9】
前記少なくとも1つのプロセッサは、
前記トランシーバーを介してAKMA(Authentication and Key Management for Application)AAnF(Anchor Function)エンティティから前記端末IDを受信するようにさらに設定され、
前記端末の前記連関情報は、前記AAnFエンティティから受信された前記端末IDに基づいて検索される、請求項7に記載のAFサーバー。
【請求項10】
前記少なくとも1つのプロセッサは、
前記第1要請メッセージで受信された前記UEサービスIDが前記端末の前記検索された連関情報のうち前記端末IDと連関されるか否かを検証するようにさらに設定される、請求項7に記載のAFサーバー。
【請求項11】
前記端末IDは、SUPI(Subscription Permanent Identifier)を含み、
前記AFサーバーは、5世代(5G)システム(MSGin5G)サーバーを介した大規模モノのインターネット(MIoT)のためのメッセージサービスを含む、請求項7に記載のAFサーバー。
【請求項12】
前記少なくとも1つのプロセッサは、前記UEサービスIDと前記端末IDとの連関を検査することによって前記端末の認証を検証するようにさらに設定され、
前記端末は、MSGin5G端末である、請求項7に記載のAFサーバー。
【請求項13】
端末によって行われる方法であって、
ユーザ装置(UE)サービス識別子(ID)を含む第1要請メッセージを、アプリケーション機能(AF)サーバーに送信する段階と、
前記AFサーバーから、サービスに対するアクセスが提供されるか否かを示す情報を含む応答メッセージを受信する段階と、を含み、
前記端末の連関情報を要請するための第2要請メッセージは認証サーバーに送信され、前記第2要請メッセージは端末IDを含み、
前記連関情報が前記端末IDに基づいて検索される場合に、前記端末の前記連関情報は前記認証サーバーから受信され、
前記UEサービスIDが前記端末の前記連関情報に含まれた前記端末IDと連関されるか否かが検証される、端末によって行われる方法。
【請求項14】
端末であって、
トランシーバーと、
前記トランシーバーに動作可能に結合された少なくとも1つのプロセッサと、を含み、前記少なくとも1つのプロセッサは、
ユーザ装置(UE)サービス識別子(ID)を含む第1要請メッセージを前記トランシーバーを介してアプリケーション機能(AF)サーバーに送信し、
前記トランシーバーを介して前記AFサーバーから、サービスに対するアクセスが提供されるか否かを示す情報を含む応答メッセージを受信するように設定され、
前記端末の連関情報を要請するための第2要請メッセージは認証サーバーに送信され、前記第2要請メッセージは端末IDを含み、
前記連関情報が前記端末IDに基づいて検索される場合に、前記端末の前記連関情報は前記認証サーバーから受信され、
前記UEサービスIDが前記端末の前記連関情報に含まれた前記端末IDと連関されるか否かが検証される、端末。
【請求項15】
前記サービスに対するアクセスは前記検証の結果に基づいて提供され、
前記端末IDは、AKMA(Authentication and Key Management for Application)AAnF(Anchor Function)エンティティから前記AFサーバーに送信され、
前記端末の前記連関情報は、前記AAnFエンティティから受信された前記端末IDに基づいて検索され、
前記第1要請メッセージで受信された前記UEサービスIDが前記端末の前記検索された連関情報のうち前記端末IDと連関されるか否かが検証され、
前記端末IDは、SUPI(subscription permanent identifier)を含み、
前記AFサーバーは、5世代(5G)システム(MSGin5G)サーバーを介した大規模モノのインターネット(MIoT)のためのメッセージサービスを含み、
前記端末の認可は、前記UEサービスIDと前記端末IDとの連関を検査することによって検証され、
前記端末は、MSGin5G端末である、請求項14に記載の端末。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、無線通信に関し、より詳細には、無線ネットワークにおいてネットワークサービス(例えば、5世代(5G)サービスなど)に対する最適化されたアプリケーション特定認証のための方法及び無線ネットワークに関する。本開示は、無線通信ネットワークにおいてネットワークサービスに対するアプリケーション特定認証に関する。
【背景技術】
【0002】
5G移動通信技術は、速い送信速度と新しいサービスが可能なように広い周波数帯域を定義しており、3.5ギガヘルツ(GHz)などの6GHz以下周波数(「Sub 6GHz」)帯域の他、28GHzと39GHzなどのミリメートル波(mmWave)と呼ばれる超高周波帯域(「Above 6GHz」)においても具現が可能である。また、5G通信以後(Beyond 5G)のシステムと呼ばれる6G移動通信技術は、5G移動通信技術に比べて50倍も速くなった送信速度と10分の1に減った超低(Ultra Low)遅延時間を達成するためにテラヘルツ(Terahertz)帯域(例えば、95GHz~3テラヘルツ(THz)帯域)での具現が考慮されている。
【0003】
5G移動通信技術の初期には、超広帯域サービス(enhanced Mobile BroadBand,eMBB)、高信頼/超低遅延通信(Ultra-Reliable Low-Latency Communications,URLLC)、大規模機械式通信(massive Machine-Type Communications,mMTC)に対するサービス支援と性能要求事項を満たすことを目標に、超高周波帯域での電波の経路損失緩和及び電波の伝達距離の増大のためのビームフォーミング(Beamforming)及び巨大配列多重入出力(Massive MIMO)、超高周波数リソースの効率的な活用のための様々なヌメロロジー支援(複数個のサブキャリア間隔運用など)とスロットフォーマットに対する動的運営、多重ビーム送信及び広帯域を支援するための初期接続技術、BWP(Band-Width Part)の定義及び運営、大容量データ送信のためのLDPC(Low Density Parity Check)符号と制御情報の高信頼性の送信のためのポーラコード(Polar Code)のような新しいチャネルコーディング方法、L2先処理(L2 pre-processing)、特定サービスに特化した専用ネットワークを提供するネットワークスライシング(Network Slicing)などに対する標準化が進行された。
【0004】
現在、5G移動通信技術が支援しようとしたサービスを考慮して初期の5G移動通信技術の改善(improvement)及び性能向上(enhancement)のための議論が進行中であり、車両が送信する自分の位置及び状態情報に基づいて自律走行車両の走行判断を助け、ユーザの便宜を増大させるためのV2X(Vehicle-to-Everything)、非免許帯域で各種規制上の要求事項に符合するシステム動作を目的とするNR-U(New Radio Unlicensed)、NR端末低電力消耗技術(UE Power Saving)、地上網との通信が不可能な地域でカバレッジ確保のための端末-衛星直接通信である非地上ネットワーク(Non-Terrestrial Network,NTN)、位置測位(Positioning)などの技術に対する物理層標準化が進行中である。
【0005】
そのうえ、他の産業との連係及び融合を用いた新しいサービス支援のための知能型工場(Industrial Internet of Things,IIoT)、無線バックホールリンクとアクセスリンクとを統合支援してネットワークサービス地域拡張のためのノードを提供するIAB(Integrated Access and Backhaul)、条件付きハンドオーバー(Conditional Handover)及びDAPS(Dual Active Protocol Stack)ハンドオーバーを含む移動性向上技術(Mobility Enhancement)、ランダムアクセス手順を簡素化する2段階ランダムアクセス(2-step RACH for NR)などの技術に対する無線インターフェースアーキテクチャ/プロトコル分野の標準化も進行中であり、ネットワーク機能仮想化(Network Functions Virtualization,NFV)及びソフトウェア定義ネットワーキング(Software-Defined Networking,SDN)技術の融合のための5Gベースラインアーキテクチャ(例えば、Service based Architecture、Service based Interface)、端末の位置に基づいてサービスの提供を受けるモバイルエッジコンピューティング(Mobile Edge Computing,MEC)などに対するシステムアーキテクチャ/サービス分野の標準化も進行中である。
【0006】
このような5G移動通信システムが商用化すれば、爆発的な増加の傾向にあるコネクテッド機器が通信ネットワークに連結されるだろうし、これによって5G移動通信システムの機能及び性能の強化とコネクテッド機器の統合運用が必要になると予想される。そのために、増強現実(Augmented Reality,AR)、仮想現実(Virtual Reality,VR)、混合現実(Mixed Reality,MR)などを効率的に支援するための拡張現実(eXtended Reality,XR)、人工知能(Artificial Intelligence,AI)及びマシンラーニング(Machine Learning,ML)を活用した5G性能改善及び複雑度減少、AIサービス支援、メタバースサービス支援、ドローン通信などに対する新しい研究が進行される予定である。
【0007】
また、このような5G移動通信システムの発展は、6G移動通信技術のテラヘルツ帯域でのカバレッジ保証のための新規波形(Waveform)、全次元多重入出力(Full Dimensional MIMO,FD-MIMO)、アレイアンテナ(Array Antenna)、大規模アンテナ(Large Scale Antenna)のような多重アンテナ送信技術、テラヘルツ帯域信号のカバレッジを改善するためにメタ物質(Metamaterial)ベースレンズ及びアンテナ、OAM(Orbital Angular Momentum)を用いた高次元空間多重化技術、RIS(Reconfigurable Intelligent Surface)技術だけでなく、6G移動通信技術の周波数効率の向上及びシステムネットワーク改善のための全二重化(Full Duplex)技術、衛星(Satellite)、AI(Artificial Intelligence)を設計段階から活用し、終端間(End-to-End)AI支援機能を内在化してシステム最適化を実現するAIベース通信技術、端末演算能力の限界を超える複雑度のサービスを超高性能通信とコンピューティングリソースを用いて実現する次世代分散コンピューティング技術などの開発の基礎になるであろう。
【発明の概要】
【発明が解決しようとする課題】
【0008】
5Gサービスに最適化されたアプリケーション特定認証(連関の検査)のための有用な代案を提供することが好ましい。
【課題を解決するための手段】
【0009】
したがって、本願の一実施例によって、無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のための方法を開示する。方法は、無線ネットワークのネットワーク機能エンティティによって、無線ネットワークのネットワークサービスに対するアクセスを提供するためにユーザ装置(UE)のサービス特定識別子間のマッピングを設定する段階を含む。さらに、方法は、アプリケーションサーバーによって、無線ネットワークにおいてアプリケーションサーバーによって提供されるネットワークサービスにアクセスするためにUEからサービス要請を受信する段階を含む。さらに、方法は、NFエンティティによって、(サービス要請に対するアクセスを提供する前に)UEの少なくとも1つのアイデンティティー(ID)を認証する段階を含む。さらに、方法は、NFエンティティによって、無線ネットワークにおいてアプリケーションサーバーによって提供されるネットワークサービスに対するアクセスを許容するためにサービス要請のサービス特定識別子とUEの既に認証されたID間のマッピングを検証する段階を含む。
【0010】
一実施例によれば、サービス特定識別子は、UEのSUPI(Subscription Permanent Identifier)、GPSI(Generic Public Subscription Identifier)、EEC(Edge Enabler Client)識別子、MSGin5Gサーバーに対するサービス識別子、及び垂直アプリケーション層(VAL)ユーザ識別子(ID)を含む。
【0011】
一実施例によれば、NFエンティティは、認証サーバーを含み、認証サーバーは、UDM(Unified Data Management)エンティティ、AAA(Authentication,Authorization and Accounting)エンティティ、認証サーバー機能(AUSF)エンティティ、conf管理サーバー及びMSGin5G設定機能エンティティのうち少なくとも1つを含む。
【0012】
一実施例によれば、アプリケーションサーバーは、エッジサーバー、MSGin5Gサーバー、V2X(Vehicle to Everything)サーバー、無人航空システム(UAS)サーバー、及びSEAL(Service Enabler Architecture Layer)サーバーのうち少なくとも1つを含む。
【0013】
したがって、一実施例によれば、無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のための方法を開示する。方法は、無線ネットワークのUEによって、無線ネットワークのアプリケーションサーバーによって提供されるネットワークサービスにアクセスするための要請を、無線ネットワークのアプリケーションサーバーに送信する段階を含む。さらに、方法は、UEとアプリケーションサーバーの少なくとも1つのアイデンティティーの成功的な相互認証後に、UEによって、UEとアプリケーションサーバーとの間に保安チャネルを確立する段階を含む。さらに、方法は、UEによって、保安チャネルを介してアプリケーションサーバーにサービス要請を送信する段階を含む。さらに、方法は、UEによって、保安チャネルを介してアプリケーションサーバーに対するサービス要請にサービス特定識別子又はUE特定識別子を含める段階を含む。さらに、方法は、アプリケーションサーバーによって含まれたサービス特定識別子又はUE特定識別子に基づいて、要請されたサービスに対する成功的な認証を確認応答する応答メッセージをUEによって受信する段階を含む。さらに、方法は、UEによって、アプリケーションサーバーからのネットワークサービスにアクセスする段階を含む。
【0014】
したがって、一実施例によれば、無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のための方法を開示する。方法は、無線ネットワークのアプリケーションサーバーによって、無線ネットワークのUEからサービス要請を受信する段階を含む。さらに、方法は、アプリケーションサーバーによって、サービス要請を受信することに応答して、サービス要請に含まれたUE IDを認証する段階を含む。さらに、方法は、成功的な相互認証後に、アプリケーションサーバーによって、UEとアプリケーションサーバーとの間に保安チャネルを確立する段階を含む。さらに、方法は、アプリケーションサーバーによって、アプリケーションサーバーによるUEの成功的な認証及び認証を確認応答する応答メッセージを送信する段階を含む。さらに、方法は、アプリケーションサーバーによって、UEにネットワークサービスを提供する段階を含む。
【0015】
一実施例によれば、UEから受信されたサービス要請は、無線ネットワークにおいて認証サーバーによって設定されたUEのサービス特定識別子間のマッピングに基づいて認可される。
【0016】
したがって、一実施例によれば、無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のための無線ネットワークを開示する。無線ネットワークは、ネットワーク機能エンティティ及びアプリケーションサーバーを含む。ネットワーク機能エンティティは、メモリ及びプロセッサに結合されたアプリケーション特定認証制御器を含む。アプリケーション特定認証制御器は、無線ネットワークにおいてネットワークサービスに対するアクセスを提供するために、UEのサービス特定識別子間のマッピングを設定し、マッピングをメモリに保存するように設定される。アプリケーションサーバーは、メモリ及びプロセッサに結合されたアプリケーション特定認証制御器を含む。
【0017】
アプリケーションサーバーのアプリケーション特定認証制御器は、無線ネットワークにおいてアプリケーションサーバーによって提供されるネットワークサービスにアクセスするためにUEからサービス要請を受信し、保安チャネルを介してアプリケーションサーバーへのサービス要請にサービス特定識別子又はUE特定識別子を含むように設定される。ネットワーク機能エンティティのアプリケーション特定認証制御器は、無線ネットワークにおいてアプリケーションサーバーによって提供されるネットワークサービスに対するアクセスを提供する前にUEを認証するように設定される。ネットワーク機能エンティティのアプリケーション特定認証制御器は、無線ネットワークにおいてアプリケーションサーバーによって提供されるネットワークサービスに対するアクセスを許容するために、要請のサービス特定識別子とUEの既に認証されたID間のマッピングを検証するように設定される。
【0018】
したがって、一実施例によれば、無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のためのUEを開示する。UEは、メモリ及びプロセッサに結合されたアプリケーション特定認証制御器を含む。アプリケーション特定認証制御器は、無線ネットワークのアプリケーションサーバーによって提供されるネットワークサービスにアクセスするために無線ネットワークのアプリケーションサーバーに要請を送信するように設定される。さらに、アプリケーション特定認証制御器は、アプリケーションサーバーによるUEの成功的な相互認証以後にUEとアプリケーションサーバーとの間に保安チャネルを確立するように設定される。
【0019】
さらに、アプリケーション特定認証制御器は、保安チャネルを介してアプリケーションサーバーにサービス要請を送信するように設定される。さらに、アプリケーション特定認証制御器は、保安チャネルを介してアプリケーションサーバーへのサービス要請にサービス特定識別子又はUE特定識別子を含めるように設定される。さらに、アプリケーション特定認証制御器は、アプリケーションサーバーによって要請されたサービスに対する認可成功を確認応答する応答メッセージを受信するように設定される。さらに、アプリケーション特定認証制御器は、アプリケーションサーバーからネットワークサービスにアクセスするように設定される。
【0020】
したがって、一実施例によれば、無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のためのアプリケーションサーバーを開示する。アプリケーションサーバーは、メモリ及びプロセッサに結合されたアプリケーション特定認証制御器を含む。アプリケーション特定認証制御器は、無線ネットワークにおいてUEからサービス要請を受信するように設定される。さらに、アプリケーション特定認証制御器は、サービス要請を受信することに応答して、要請に含まれたUE IDを認証するように設定される。さらに、アプリケーション特定認証制御器は、成功的な相互認証の後にUEとアプリケーションサーバー(例えば、エッジサーバー又はMSGin5Gサーバー)との間に保安チャネルを確立するように設定される。さらに、アプリケーション特定認証制御器は、UE及びアプリケーションサーバーの成功的な認証を確認応答する応答メッセージを送信するように設定される。さらに、アプリケーション特定認証制御器は、UEにネットワークサービスを提供するように設定される。
【発明の効果】
【0021】
本願の実施例の主要目的は、無線ネットワークにおいて5Gサービスに対する最適化されたアプリケーション特定認証のための方法及び無線ネットワークを提供することである。
【0022】
本願の実施例の他の目的は、UEがサービスアクセスを要請するときに、UEの認可(連関の検査)を検証するためにUEのIDを管理することである。
【0023】
本願の実施例の他の目的は、UEの連関IDをAFに提供し、AFはプライバシーを保護するためにPLMNの内部又は外部に配置される。
【0024】
本願の実施例の他の目的は、OAuthサーバー、認証サーバー又はアイデンティティー管理サーバーでUE識別子の連関/マッピングを維持することである。
【0025】
本願の実施例の上記の及び他の態様は、次の説明及び添付の図面と共に考慮されるときによりよく認識されて理解されるであろう。ただし、次の説明が、好ましい実施例及びそれに対する様々な特定細部事項を示すが、制限ではなく例示のために提供されることが理解されるべきである。多くの変更及び修正が本願の実施例の範囲内でなされてよく、本願の実施例はそのような全ての修正を含む。
【0026】
下記の詳細な説明に先立ち、本特許文書全般にわたって使われる所定の単語及び語句の定義を説明することが有利であり得:「含む(include及びcomprise)」という用語及びその派生語は、制限なく含むことを意味し;「又は」という用語は、及び/又はを意味し;「~と連関された(associated with及びassociated therewith)」という用語及びその派生語は、含む(include、contain)、含まれる(included within、contained within)、~と相互連結する、~に又は~と連結する、~に又は~と結合する、~と通信する、~と協調する、交互配置する、併置する、近接する、~に又は~と境界をなす、所有する、などを意味でき;「制御器」という用語は、少なくとも1つの動作を制御する任意のデバイス、システム又はその一部を意味し、このようなデバイスは、ハードウェア、ファームウェア又はソフトウェア、又はこれらのうち少なくとも2個の一部の組合せにより具現されてよい。任意の特定制御器と連関された機能はローカルであろうと遠隔であろうと中央集中化又は分散されることに留意すべきである。
【0027】
なお、以下に説明される様々な機能は、1つ以上のコンピュータプログラムによって具現又は支援されてよく、1つ以上のコンピュータプログラムのそれぞれは、コンピュータ可読プログラムコードから形成され、コンピュータ可読媒体により実行される。「アプリケーション」及び「プログラム」という用語は、1つ以上のコンピュータプログラム、ソフトウェア構成要素、命令のセット、手順、機能、客体、クラス、インスタンス、関連データ又は適切なコンピュータ可読プログラムコードによって具現するために適応されたその一部のことを指す。「コンピュータ可読プログラムコード」という語句は、ソースコード、客体コード及び実行可能なコードを含む任意の類型のコンピュータコードを含む。「コンピュータ可読媒体」という語句は、ROM(read only memory)、RAM(Random Access Memory)、ハードディスクドライブ、CD(Compact Disc)、DVD(Digital Video Disc)又は任意の他の類型のメモリのように、コンピュータでアクセス可能な任意の類型の媒体を含む。「非一時的」コンピュータ可読媒体は、一時的な電気の又は他の信号を伝達する有線、無線、光学又は他の通信リンクを除外する。非一時的コンピュータ可読媒体は、データを永久的に保存可能な媒体と再記録可能な光ディスク又は消去可能なメモリデバイスのように、データを保存し、後で上書き可能な媒体を含む。
【0028】
所定の単語又は語句に対する定義は、本特許文書を通じて提供され、通常の技術者は、大部分ではないが多くの場合に、そのような定義が、当該定義された単語及び語句の以前の使用だけでなく未来の使用にも適用されることを理解すべきである。
【0029】
本開示は、添付の図面に例示され、図面全体を通じて同一の参照符号は、様々な図面の対応部分を示す。本願の実施例は、図面を参照した次の説明からよりよく理解されるであろう。
【図面の簡単な説明】
【0030】
図1】従来技術に係るAKMAの基本ネットワークモデルと、AKMAの基本ネットワークモデル間のインターフェースを例示する。
図2a】従来技術に係る参照ポイント表現を使用したAKMAアーキテクチャーを例示する。
図2b】従来技術に係る参照ポイント表現を使用したAKMAアーキテクチャーを例示する。
図3】本願に開示された実施例に係る、UEと任意のAFとの間のアクセストークンに基づく認証のための一般化された方法に対するシーケンス流れ図を例示し、ここで、AFは、EDGEサーバー/MSGin5Gサーバー/任意のVALサーバーのことを指す。
図4】本願に開示された実施例によって、AFが運営者又は第3者によってホストされるPLMNの外部にあるとき、A-KIDを提供することによるUEの認証のためのシーケンス流れ図を例示する。
図5】本願に開示された実施例によってAFがPLMNの内部、すなわち運営者ドメインでホストされるとき、A-KIDを提供することによるUEの認証のためのシーケンス流れ図を例示する。
図6】本願に開示された実施例に係るNFエンティティ(例えば、認証サーバー)の様々なハードウェア構成要素を例示する。
図7】本願に開示された実施例に係るUEの様々なハードウェア構成要素を例示する。
図8】本願に開示された実施例に係るアプリケーションサーバー(例えば、エッジサーバー又はMSGin5Gサーバー)の様々なハードウェア構成要素を例示する。
図9】本願に開示された実施例によって無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のための方法の流れ図を例示する。
図10】本願に開示された実施例によって無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のためにUEによって具現される方法の流れ図を例示する。
図11】本願に開示された実施例によって無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のためにアプリケーションサーバー(例えば、エッジサーバー又はMSGin5Gサーバー)によって具現される方法の流れ図を例示する。
図12】本願に開示された実施例によって無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のためにMSGin5Gサーバー又はエッジサーバーによって具現される方法のシーケンス流れ図を例示する。
【発明を実施するための形態】
【0031】
以下に述べられる図1図12、及びこの特許文書で本開示の原理を説明するために用いられる様々な実施例は、例示のためのものに過ぎず、いかなる方式でも本開示の範囲を制限するものと解釈されてはならない。通常の技術者は、本開示の原理が、任意の適切に配列された任意のシステム又はデバイスにより具現され得ることが理解できよう。
【0032】
本願の実施例とその様々な特徴及び有利な細部事項は、添付の図面に例示され、次の説明において詳細に説明される非制限的な実施例を参照してより完全に説明される。よく知られた構成要素及びプロセシング手法に関する説明は、本願の実施例を却って曖昧にすることを避けるために省略される。また、本願に説明された様々な実施例は、一部の実施例が1つ以上の他の実施例と結合して新しい実施例を形成でき、よって、必ずしも相互排他的なものではない。本願で使われた用語「又は」は、特に断らない限り、非排他的な「又は」を意味する。本願で用いられる例は単に、本願の実施例が実施され得る方式の理解を容易にし、さらに通常の技術者が本願の実施例を実施できるようにするためのものである。したがって、実施例は、本願の実施例の範囲を制限するものと解釈されてはならない。
【0033】
この分野では伝統的であるように、実施例は、説明された機能又は機能を有するブロックの観点で説明及び例示されてよい。本願においてユニット又はモジュールと呼ばれ得るこのようなブロックは、論理ゲート、集積回路、マイクロプロセッサ、マイクロ制御器、メモリ回路、受動電子構成要素、能動電子構成要素、光学構成要素、ハードワイヤード回路などのようなアナログ及び/又はデジタル回路によって物理的に具現され、選択的にファームウェアによって駆動されてよい。回路は、例えば、1つ以上の半導体チップにより具現されるか、印刷回路基板などのような基板支持部に具現されてよい。ブロックを構成する回路は、専用ハードウェア、プロセッサ(例えば、1つ以上のプログラミングされたマイクロプロセッサ及び連関回路)、又はブロックの一部機能を実行する専用ハードウェアとブロックの他の機能を実行するプロセッサとの組合せにより具現されてよい。実施例のそれぞれのブロックは、本開示の範囲から逸脱することなく2個以上の相互作用する離散ブロックとして物理的に分離されてよい。同様に、実施例のブロックは、本開示の範囲から逸脱することなく、より複雑なブロックとして物理的に結合されてよい。
【0034】
添付する図面は、様々な技術的特徴を容易に理解することを助けるために使われ、本願に提示された実施例が添付の図面によって制限されないということが理解されるべきである。したがって、本開示は、添付の図面に特に説明されたものの他にも、その変更、均等物及び代替物まで拡張されるものと解釈されるべきである。本願において、「第1」及び「第2」などの用語が様々な要素を説明するために使われてよいが、このような要素が当該用語によって制限されてはならない。当該用語は一般に、一つの要素を他の要素と区別するために使われるだけである。
【0035】
「NFエンティティ」及び「認証サーバー」という用語は、特許開示において互いに取り替えて使われる。「アプリケーションサーバー」、「エッジサーバー」、及び「MSGin5Gサーバー」という用語は、特許開示において互いに取り替えて使われる。
【0036】
したがって、本願の実施例は、無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のための方法を開示する。方法は、無線ネットワークのネットワーク機能エンティティによって、無線ネットワークのネットワークサービスに対するアクセスを提供するためにユーザ装置(UE)のサービス特定識別子間のマッピングを設定する段階を含む。さらに、方法は、アプリケーションサーバーによって、無線ネットワークにおいてアプリケーションサーバーによって提供されるネットワークサービスにアクセスするために、UEからサービス要請を受信する段階を含む。さらに、方法は、NFエンティティによって、(サービス要請に対するアクセスを提供する前に)UEの少なくとも1つのアイデンティティー(ID)を認証する段階を含む。さらに、方法は、NFエンティティによって、無線ネットワークにおいてアプリケーションサーバーによって提供されるネットワークサービスに対するアクセスを許容するためにサービス要請のサービス特定識別子とUEの既に認証されたID間のマッピングを検証する段階を含む。
【0037】
実施例において、UEからサービスアクセス要請メッセージ(アプリケーションID、例えばUEサービスIDを有する。)を受信すると、AFは、認証サーバーにUEの連関情報を提供するように要請する。AFの要請メッセージは、真偽性検証アイデンティティー(例えば、AKMAの成功的な完了後に取得されたUEのSUPI)を含む。
【0038】
認証サーバーはUEのSUPIを用いて連関情報を検索し、AFに連関情報を提供する。連関情報を受信時に、AFは、サービス要請において受信されたアプリケーションIDが、連関情報のUEの真偽性検証アイデンティティーと連関されるか否かを検証する。検証に成功すると、すなわち、サービス要請において受信されたアプリケーションIDが連関情報のUEの真偽性検証アイデンティティーと連関されると、AFは、サービスに対するアクセスを提供する。検証に失敗すると、すなわち、サービス要請において受信されたアプリケーションIDが連関情報のUEの真偽性検証アイデンティティーと連関されないと、AFは、サービスに対するアクセスを拒否する。サービスを獲得するためのアプリケーション層IDを使用するために、UE(又は加入者又はユーザ)に割り当てられたアプリケーション層IDは、1つ以上の永久ID(SUPI、IMSI、IMPIなどのようなMNOによって割り当てられた固有且つ永久的に割り当てられたグローバルアイデンティティー)と連関される。
【0039】
提供された方法は、連関情報を用いて、MSGin5Gクライアント/VALクライアントとMSGin5Gサーバー/VALサーバーとの間の認証をイネーブルする。
【0040】
提供された方法はさらに、サービスアクセス要請において送信されたUE特定識別子及び/又はサービス特定識別子に基づいてUE要請の検証をイネーブルする。
【0041】
提供される方法は、5Gサービスに最適化されたアプリケーション特定認証に用いられてよい。方法は、UEがサービスアクセスを要請するときにUEの認証を検証するためにUEのIDを管理する段階を含む。さらに、方法は、AFが公衆陸上移動ネットワーク(PLMN)の内部又は外部に配置される間に、認可されたIDを提供する段階を含む。さらに、方法は、OAuthサーバーや認証サーバー、又はID管理サーバーにおいて関連識別子のマッピングを維持する段階を含む。
【0042】
本開示は、実施例において、サービスを獲得するためのアプリケーション層IDを使用するために、UE110(又は加入者又はユーザ)に割り当てられたアプリケーション層IDは、1つ以上の永久ID(SUPI、IMSI、IMPIなどのようなMNOによって割り当てられた固有且つ永久的に割り当てられたグローバルアイデンティティー)と連関される。永久IDの真偽性がネットワークによって検証されると、ネットワークは、連関を検査/検証し、連関されたアプリケーション層IDを用いてサービスを獲得するようにUE110を許容/認可できる。
【0043】
「サービス要請」と「登録要請」の用語は、互いに取り替えて使われ、サービスにアクセスするためにUEからアプリケーションサーバーへの初期メッセージを意味する。
【0044】
一般に、3GPP(登録商標)(3世代パートナーシッププロジェクト)は、TS 33.501に定義されている通りに、5Gシステムの加入資格証に基づいてアプリケーションに対する認証及びキー管理の態様を支援する保安特徴及びメカニズムを定義している。図1は、本願に開示された従来技術に係るアプリケーションに対する認証及びキー管理(AKMA)の基本ネットワークモデルだけでなく、AKMAの基本ネットワークモデル間のインターフェースを例示する。図2a及び図2bは、従来技術に係る参照ポイント表現を使用したAKMAアーキテクチャーを例示する。
【0045】
AKMAフレームワークは、5GCのエッジコンピューティング(EDGE)、近接基盤サービス(ProSe)、MSGin5Gサービスのような様々なサービスに活用されている。現在、AKMAフレームワークは、AF170(例えば、AKMA AFなど)がUE110を認可するために(例えば、課金及び/又はサービス認可の目的で)、UE識別子がAKMA AFに提供される必要がある静的認証を定義する。AKMA AFが運営者ネットワークにある場合に、AKMAアンカー機能(AAnF)130は、SUPI(Subscription Permanent Identifier)をAKMA AFに直接提供する。AKMA AFが運営者ネットワークの外部にある場合に、AAnF130はネットワーク露出機能(NEF)120にSUPIを提供する。NEF120は、SUPIをGPSI(generic public subscription identifier)(外部ID)に変換し、GPSIを運営者ネットワークの外部のAFに送信する。しかしながら、AKMAフレームワークによって提供される認可手順は、サービス特定アイデンティティーを用いてサービス特定認証を有するのには十分でない。それぞれの使用事例の問題は、下記に与えられる。
【0046】
EDGEサービスでは、現在EDGEイネーブラクライアントとEDGE設定サーバーとの間の認証のために、静的認可が用いられる。
【0047】
AKMAによって提供される認可フレームワークを使用しても、UE識別子が特定サービス及び/又はアプリケーション及び/又はEDGEイネーブラクライアントとどのように連関又はリンクされ得るかは明確でない。
【0048】
ネットワークは、加入データの一部としてEEC ID又はVAL IDをハンドリングすることが現在の技術の範囲に属しないため、ネットワークはEEC IDを保存しない。
【0049】
MSGin5Gサービスでは、MSGin5Gサービスは、認証及び認可の間に、UEサービスID(TS 23.434のVALユーザIDと同一)を活用する。AKMAによって提供される認可フレームワークを用いて、UE識別子が特定サービス及び/又はアプリケーション及び/又はMSGクライアントとどのように連関又はリンクされ得るかは明確でない。
【0050】
図1図2a、及び図2bに示すように、AKMAアンカー機能(AAnF)130は、独立型機能として配置される。配置は、運営者の配置シナリオによってAAnF130を認証サーバー機能(AUSF)150又はNEF120と共に配置するように選択できる。AKMAサービスは、AKMAアンカー機能(AAnF)130という新しい論理的エンティティを必要とする。AAnF130は、Home PLMN HPLMNのアンカー機能である。AAnF130は、UE110が成功的な5G基本認証を完了した後にAUSF150から受信したAKMAアンカーキー(KAKMA)とAKMAサービスのためのSUPIを保存する。AAnF130は、UE110とアプリケーション機能(AF)170との間に使用されるキー資料を生成し、UE AKMAコンテクストを維持する。AAnF130は、UE110のSUPIを、運営者ネットワークの内部に位置しているAF170又はNEF120に送信する。
【0051】
AF170は追加機能と共にTS 23.501に定義される。AKMAサービスを有するAF170はA-KIDを用いて、AAnF130から、KAFと呼ばれるAKMAアプリケーションキーに対する要請を可能にする。AF170は、KAFをAF170に提供する前に、運営者ネットワークによって認証及び認可されてよい。運営者ネットワークの内部に位置しているAF170は、AAnF選択を行う。
【0052】
NEF120は追加機能と共にTS 23.501に定義される。NEF120はAKMAサービスを評価する外部AFをイネーブル及び認可し、AAnF130に向けて要請をフォワードする。NEF120はAAnF選択を行う。AUSF150は追加機能と共にTS 23.501に定義される。AUSF150は、UE110のSUPI及びAKMAキー資料(A-KID、KAKMA)を、AAnF130に提供する。AUSF150はAAnF選択を行う。UDM140は追加機能と共にTS 23.501に定義される。UDM140は加入者のAKMA加入データを保存する。
【0053】
次のインターフェースはAKMAネットワークアキテクチャーに含まれる:
- Nnef:NEF120によって示されるサービスベースインターフェース、
- Nudm:UDM140によって示されるサービスベースインターフェース、及び
- Naanf:AAnF130によって示されるサービスベースインターフェース。
【0054】
AKMAアーキテクチャーは、基本認証手順の実行のために5GCの次の参照ポイントを再使用する:
- N1:UE110とアクセス及び移動性管理機能(AMF)160との間の参照ポイント;
N2:(R)AN180とAMF160との間の参照ポイント;
- N12:AMF160とAUSF150との間の参照ポイント;
- N13:UDM140とAUSF150との間の参照ポイント;及び
- N33:NEF120と外部AFとの間の参照ポイント。
【0055】
AKMAアーキテクチャーは、次の参照ポイントを定義する:
- N61:AAnF130とAUSF150との間の参照ポイント;
- N62:AAnF130と内部AFとの間の参照ポイント;
- N63:AAnF130とNEF120との間の参照ポイント;及び
- Ua*:UE110とAF170との間の参照ポイント。
【0056】
したがって、5Gサービスに最適化されたアプリケーション特定認証(連関の検査)のための有用な代案を提供することが好ましい。
【0057】
次に、図面を参照して、特に、図3図12を参照して、好ましい実施例を示す。
【0058】
図3は、本願に開示された実施例に係る、UE110と任意のアプリケーション機能(AF)170との間の認証のための一般化された方法のシーケンス流れ図を例示する。ここで、AF170は、EDGEサーバー210/MSGin5Gサーバー200/全てのVALサーバーなどを指す。
【0059】
段階0で、認証サーバー190は、SUPI(UEの全域固有5G加入永久識別子)(のマッピング/間の)UEの連関されたアイデンティティーで事前設定される:GPSI(外部ID):EEC ID(1つ以上のEDGEクライアントID):UEサービスID(MSGin5GクライアントID):V2XサービスID:CAAレベルUAV ID:VALユーザID(SEALフレームワークが支援される場合に、全てのVAL ID)。
【0060】
実施例において、例示のために、サービス特定識別子は、EEC ID(EDGEの場合)及び/又はUEサービスID(MSGin5Gサービスの場合)及び/又はVALユーザID(SEALイネーブラ保安フレームワークを活用する業種の場合)及び/又はVALサービスID(VALサービス用)及び/又はMSGin5GサービスID(MSGin5Gサービス用)であり得るということを提案する。
【0061】
他の実施例において、GPSIはサービス特定識別子であってよく、ここで、GPSI類型は、それが用いられているサービスに対して示す。
【0062】
「クライアントID」、「外部ID」、「サービスID」、「公用ID」及び「アプリケーションID」という用語は、本開示全般にわたって互いに取り替えて使われ、アプリケーションプロバイダードメインのクライアントを固有に識別するために、アプリケーション層でUEによって用いられるアイデンティティーを意味する。モバイルネットワーク運営者(MNO)及び/又はサービス/アプリケーションプロバイダー(第3者でよい。)は、サービス/アプリケーション識別子の割り当てを担当する。
【0063】
OAuthサーバーは第3者エンティティであってもよく、モバイルネットワーク運営者によってホストされるエンティティであってもよい。実施例において、OAuthサーバーは、EDGEサービスプロバイダー(EDGEの場合)及び/又はSEALフレームワーク又はMNOによってホストされるアイデンティティー管理サーバー及び/又はNF消費者とNF生産者との間のサービスベースの認証のためにTS 33.501に指定されたNRF及び/又はNEF120及び/又は認証サーバー190及び/又はAKMAアンカー機能(AAnF)130及び/又はAUSF150であってよい。
【0064】
実施例において、アプリケーションに対するアイデンティティーマッピングは、適切なOAuthサーバーによってのみ維持され、これは、複数のエンティティがネットワークにおいて加入IDとアプリケーションIDの対応の連関/バインディング(binding)を維持し、UE(アプリケーションクライアント)がアプリケーションアクセスを獲得するために関連トークンを提供することを、適切なOAuthサーバーに要請することを意味する。
【0065】
他の実施例において、AKMA又はサービス/アプリケーションがCAPIFフレームワークを支援する場合に、CAPIFコア機能はOAuthサーバーであってよい。
【0066】
実施例において、段階1で、UE110は、EDGEサーバー210及び/又はMSGin5Gサーバー200によって提供されるサービスにアクセスするために、認証サーバー190にアクセストークンを提供するように要請する。
【0067】
段階2で、受信したアクセストークン要請に基づいて、認証サーバー190はUE110との認証を開始する。クライアント-サーバー認証書ベースTLS認証は、例示の目的で用いられる。本開示は、UE110と認証サーバー190との間に用いられる認証方法を制限しない。
【0068】
段階3で、認証に成功すれば、認証サーバー190は、受信した要請とSUPI(UE ID)間の事前設定された連関/マッピング;GPSI(外部ID):EEC ID(EDGEクライアントID):UEサービスID(MSGin5GクライアントID):VALユーザID(SEALフレームワークが支援される場合に全てのVAL ID):VALサービスID(VALサービス用):MSGin5GサービスID(MSGin5Gサービス用):V2XサービスID;CAAレベルUAV IDに基づいてアクセストークンを生成する。
【0069】
実施例において、UEサービスIDはVALユーザIDとして作動する。
【0070】
他の実施例において、MSGin5Gサービスのサービス識別子はVALサービスIDとして作動する。
【0071】
アクセストークン(Token-A)は、サービス特定請求、すなわち、SUPI(UE ID):GPSI(外部ID):EEC ID(EDGEクライアントID):UEサービスID(MSGin5GクライアントID):VALユーザID(SEALフレームワークが支援される場合に全てのVAL ID)間の連関を含む。実施例において、このアクセストークンは、トークン検証がサーバー/ネットワーク/サービスプロバイダードメインで成功的である場合に、EDGE、MSGin5G又は任意の業種サービスからサービスにアクセスするためにクライアントによって活用される。認証サーバー190は、応答メッセージでアクセストークンをUE110に送信する。実施例において、メッセージ1~3のシーケンスは、すなわち、成功的な認証UE110がトークンを要請した後に交換されてよい。
【0072】
例示の目的で、UE110がMSGin5Gサービスにアクセスすることを所望する場合に、UE110はMSGサーバーにサービス要請を送信する。
【0073】
受信したアクセストークン(Token-A)をMSGサーバーに提示する前に、保安チャネルはUE110とMSGサーバーとの間に確立される。事前共有キー(PSK)に基づくTLS保安トンネルは、一つのオプションであってよい。UE110とMSGサーバー200との間の認証は、TLSに基づいて完了される。
【0074】
段階4で、成功的な認証(SUPIの真偽性検証)時に、クライアントはサービスアクセス要請を開始する。認証サーバー190から受信されたアクセストークンは要請で送信される。
【0075】
段階5で、MSGサーバーは、ローカル政策で利用可能な事前設定されたマッピング情報に基づいてアクセストークン(Token-A)を検査する。他の実施例において、認証サーバー190はトークン検査機能を提供し、MSGサーバーはこのサービスを活用する。実施例において、MSGサーバーは、アクセストークンの(認可)請求に対してUE110によって送信された要請を検証する(要請メッセージに含まれたIDがSUPIと連関されるか否かを検証)。より具体的には、要請内のクライアントIDがUE110のトークンに存在するか否か(すなわち、UEのSUPIとクライアントIDのマッピング/連関があるか否か)がA-KID及び/又はSUPI及び/又はGPSIにマップされる。
【0076】
他の実施例において、MSGサーバーはコアネットワークエンティティとの専用インターフェースを有する。MSGサーバーは、受信したアクセストークンを検査するためにUDM140/NRF/NEF120/AAnF130/AMF160/AUSF150に接触する。実施例において、UDM140はそれぞれのサービスの加入データにマッピング情報を保存する。他の実施例において、NRF/NEF120/AAnF130/AMF160/AUSF150は、自分のローカル政策にマッピング情報(UEのID連関)を保存する。
【0077】
クライアントのアクセストークン及び認可要請の成功的な検証後に(ID連関の検査)、MSGサーバーは、MSGサーバーの成功的な認証を確認応答する応答メッセージを送信する。
【0078】
他の実施例において、UE110は、EDGEサーバー210によって提供されるサービスにアクセスするために、認証サーバー190にアクセストークンを提供するように要請する。
【0079】
A-KID及びトークン要請がEDGEサービスに対するものであることを示すサービス名/コードを含むアクセストークンに対する受信した要請に基づいて、認証サーバー190はUE110との認証を開始する。UE110は、5Gネットワークに登録し、5GCからAKMA能力情報を検索する。AKMA能力は、AF170がAKMA使用を支援するので、UE110と5GCがTS 33.535に明示されている通りにKAKMAを生成するということを示す。AKMAサービスは例示の目的で使われるだけである。AKMAサービスに対する代案として、GBAが使用されるか、クライアントサーバー認証書ベースTLS認証が用いられる。本開示は、UE110と認証サーバー190との間に用いられる認証方法を制限しない。他の実施例において、UE110はサービス名/コードを使用する。サービス名/コードは、「EDGE」、「MSGin5G」及び「VALサービス名」のようなフォーマットを取ることができる(ここで、VALはV2Xなどのような任意の業種サービスのことを指す。)。
【0080】
成功的な認証(AKMAサービスを用いたA-KID及びSUPIの真偽性検証)時に、認証サーバー190は、受信した要請及びSUPI(UE ID):GPSI(外部ID):EEC ID(EDGEクライアントID):A-KID(AKMAから):VALサービスID(VALサービス用):MSGin5GサービスID(MSGin5Gサービス用):V2XサービスID:CAAレベルUAV ID間の事前設定された連関/マッピングに基づいてアクセストークン(Token-B)を生成する。
【0081】
他の実施例において、UEサービスIDはVALユーザIDとして作動する。
【0082】
他の実施例において、MSGin5Gサービスのサービス識別子はVALサービスIDとして作動する。
【0083】
アクセストークン(Token-B)は、サービス特定請求、すなわち、EDGEサービスと関連したマッピング:SUPI(UE ID):GPSI(外部ID):EEC ID(EDGEクライアントID):A-KID(AKMAから):VALサービスID(VALサービス用):MSGin5GサービスID(MSGin5Gサービス用)間の連関のみを含む。認証サーバー190は、応答メッセージでアクセストークンをUE110に送信する。
【0084】
実施例において、メッセージ9~11のシーケンスは、すなわち、成功的な認証UE110がトークンを要請した後に交換されてよい。
【0085】
UE110はEDGEサーバー210にサービス要請を送信する。
【0086】
受信したアクセストークン(Token-B)をEDGEサーバー210に提示する前に、保安チャネルは、UE110とEDGEサーバー210との間に設定される。事前共有キー(AKMAサービスの一部として生成されたアプリケーションキー)に基づくTLS保安トンネルは、一つのオプションであってよい。UE110とEDGEサーバー210との間の認証は、TLSに基づいて完了される。成功的な認証時に、クライアントはサービスアクセス要請(アプリケーションID含む。)を開始する。
【0087】
認証サーバー190から受信したアクセストークン(Token-B)は、要請で送信される。
【0088】
EDGEサーバー210は、事前設定された保安認証書(例えば、ルート認証書)に基づいてアクセストークン(Token-B)を検査する。他の実施例において、認証サーバー190はトークン検査機能を提供し、EDGEサーバー210は検査機能を活用する。実施例において、EDGEサーバー210は、アクセストークンの認可請求に対してUE110によって送信された要請を検証する。より具体的には、要請内のクライアントIDがUE110のトークンに存在するか否か(すなわち、UEのSUPIとクライアントIDとのマッピング/連関があるか否か)は、A-KID及び/又はSUPI及び/又はGPSI及び/又はVALサービスID及び/又はMSGin5GサービスID及び/又はUEサービスIDにマップされる。
【0089】
他の実施例において、EDGEサーバー210はコアネットワークエンティティとの専用インターフェースを有する。MSGサーバーは、受信したアクセストークンを検査するためにUDM140/NRF/NEF120に接触する。実施例において、UDM140は、それぞれのサービスの加入データにマッピング情報を保存する。
【0090】
他の実施例において、NRF/NEF120は、マッピング情報を自分のローカル政策に保存する。
【0091】
クライアントのアクセストークン及び認可請求の成功的な検証後に、EDGEサーバー210は、EDGEサーバー210の成功的な認証を確認応答する応答メッセージを送信する。
【0092】
図4は、本願に開示された実施例によって、AF170が運営者又は第3者によってホストされるPLMNの外部にあるときのシーケンス流れ図を例示する。
【0093】
段階0で、前提条件として、OAuthサーバーがA-KID、SUPI、GPSI、及びクライアントID間のマッピングで事前設定されることが必要である。
【0094】
実施例において、提供された例示のために、クライアントIDは、EEC ID(EDGEの場合)及び/又はUEサービスID(MSGin5Gサービスの場合)及び/又はVALユーザID(SEALイネーブラ保安フレームワークを活用する業種の場合)であってよい。
【0095】
「クライアントID」、「外部ID」、及び「アプリケーションID」という用語は、本開示全般にわたって互いに取り替えて使われ、アプリケーションプロバイダードメインのクライアントを固有に識別するために、アプリケーション層でUE110によって用いられるアイデンティティーを意味する。
【0096】
OAuthサーバーは第3者エンティティであるか、モバイルネットワーク運営者によってホストされるエンティティであってよい。実施例において、OAuthサーバーは、EDGEサービスプロバイダー(EDGEの場合)及び/又はSEALフレームワークによってホストされるアイデンティティー管理サーバー及び/又はNF消費者とNF生産者間のサービスベースの認証のためにTS 33.501に指定されたNRF及び/又はNEF120及び/又は認証サーバー190であってよい。
【0097】
実施例において、アプリケーションに対するIDマッピングは、適切なOAuthサーバーによってのみ維持され、これは、複数のエンティティがネットワークにおいて加入IDとアプリケーションIDの対応バインディングを維持し、UE(アプリケーションクライアント)がアプリケーションアクセスを獲得するために関連トークンを提供することを適切なOAuthサーバーに要請することを意味する。
【0098】
他の実施例において、AKMA又はサービス/アプリケーションがCAPIFフレームワークを支援する場合に、CAPIFコア機能はOAuthサーバーであってよい。
【0099】
0bで、UE110は、5Gネットワークに登録し、5GCからAKMA能力情報を検索する。AKMA能力は、AF170がAKMA使用を支援するので、UE110と5GCがTS 33.535に明示されている通りにKAKMAを生成するということを示す。AKMAサービスは例示の目的で使われるだけである。AKMAサービスに対する代案として、GBAが用いられるか、クライアントサーバー認証書ベースTLS認証が用いられる。
【0100】
クライアントとOAuthサーバーとの間にTLSを用いて確立されたクライアント及びサーバー認証書に基づく相互認証が開始される。
【0101】
TLSセッションの成功的な確立後に、クライアントは、OAuth 2.0仕様によってOAuthサーバーにアクセストークン要請メッセージを送信する。実施例において、要請は、段階0bの一部として導出されたA-KIDを含む。
【0102】
OAuthサーバーは、OAuth 2.0仕様に指定されている通りにアクセストークン要請を検証する。他の実施例において、OAuthサーバーは、A-KIDとSUPI又はGPSI又はクライアントIDとの事前設定されたマッピングに基づく要請を検証する。実施例において、クライアントがアクセストークンを獲得する前に、まずOAuthサーバーに登録されてよい。実施例において、クライアントは、クライアント識別子が発行される。クライアント識別子は、OAuthサーバーにクライアント登録を示し、アクセストークンが要請されるときにOAuthサーバーが当該クライアント登録と連関されたパラメータを参照できるようにする。
【0103】
実施例において、アクセストークンは、OAuthサーバーによって生成される。アクセストークンは、クライアントにとって不透明であり、アプリケーション機能(例えば、EDGE設定サーバー、MSGin5Gサーバー200、又は任意の業種アプリケーション層サーバー)によって消費される。アクセストークンはIETF RFC 7519に定義されている通りにJSONウェブトークンとしてエンコードされてよい。アクセストークンは、IETF RFC 7515に定義されたJSONウェブデジタル署名プロファイルを含む。実施例において、IETF RFC 7662に定義された標準請求を、下表1に示す追加請求で拡張することが提供される。
【0104】
表1.パラメータ及び説明
【0105】
【表1】
【0106】
OAuthサーバーは、生成されたアクセストークンをトークン応答メッセージで送信する。
【0107】
UE110は、アプリケーションセッション確立手順を開始する。UE110はAF170と通信し、UEとAF170の両方が所有しているKAFキーを交渉する。UE110及びAF170は、キーKAFに基づいてTLS保安トンネルを確立する。UE110とAF170との間の認証はTLSに基づいて完了される。
【0108】
成功的な認証時に、クライアントはサービスアクセス要請を開始する。OAuthサーバーから受信されたアクセストークンは要請で送信される。
【0109】
AF170は、AAnF130から受信したSUPI又はGPSIに基づいてアクセストークンを検査する。他の実施例において、OAuthサーバーはトークン検査機能を提供する。実施例において、AF170は、アクセストークンの認可請求に対してクライアントによって送信された要請を検証する。より具体的には、要請内のクライアントIDがUE110のトークンに存在するか否か(すなわち、UEのSUPIとクライアントIDとのマッピングがあるか否か)が、A-KID及び/又はSUPI及び/又はGPSIにマップされる。
【0110】
クライアントのアクセストークン及び認可請求の成功的な検証後に、AF170は、AF170の成功的な認証を確認応答する応答メッセージを送信する。
【0111】
図5は、本願に開示された実施例によってAF170がPLMNの内部、すなわち運営者ドメインにホストされるときのシーケンス流れ図を例示する。
【0112】
段階0aで、前提条件として、OAuthサーバーがA-KID、SUPI、GPSI、及びクライアントID間のマッピングで事前設定されることが必要である。
【0113】
実施例において、クライアントIDは、EEC ID(EDGEの場合)又はUEサービスID(MSGin5Gサービスの場合)又はVALユーザID(SEALイネーブラ保安フレームワークを活用する業種の場合)であってよい。
【0114】
実施例において、UEサービスIDはVALユーザIDとして作動する。
【0115】
他の実施例において、MSGin5Gサービスのサービス識別子はVALサービスIDとして作動する。
【0116】
OAuthサーバーは第3者エンティティであってよいか、運営者ネットワークによってホストされるエンティティであってよい。実施例において、OAuthサーバーは、EDGEサービスプロバイダー(EDGEの場合)又はSEALフレームワークによってホストされるアイデンティティー管理サーバー又はNF消費者とNF生産者間のサービスベースの認証のためにTS 33.501に指定されたNRFであってよい。
【0117】
他の実施例において、AKMA又はサービス/アプリケーションがCAPIFフレームワークを支援する場合に、CAPIFコア機能はOAuthサーバーであってよい。
【0118】
段階0bで、UE110は5Gネットワークに登録し、5GCからAKMA能力情報を検索する。AKMA能力は、AF170がAKMA使用を支援するので、UE110と5GCがTS 33.535に明示されている通りにKAKMAを生成するということを示す。AKMAサービスは例示の目的で使われるだけである。AKMAサービスに対する代案として、GBAが用いられるか、クライアントサーバー認証書ベースTLS認証が用いられる。
【0119】
クライアントとOAuthサーバーとの間にTLSを用いて確立されたクライアント及びサーバー認証書に基づく相互認証が開始される。
【0120】
TLSセッションの成功的な確立後に、クライアントは、OAuth 2.0仕様によってOAuthサーバーにアクセストークン要請メッセージを送信する。実施例において、要請はクライアントIDを含む。実施例において、クライアントがアクセストークンを獲得する前に、まずOAuthサーバーに登録されてよい。実施例において、クライアントは、本開示に指定されていない手段でクライアント識別子が発行される。クライアント識別子は、OAuthサーバーにクライアント登録を示し、アクセストークンが要請されるときにOAuthサーバーが当該クライアント登録と連関されたパラメータを参照できるようにする。
【0121】
OAuthサーバーは、OAuth 2.0仕様に指定されている通りにアクセストークン要請を検証する。他の実施例において、OAuthサーバーは、SUPI又はGPSIとクライアントIDとの事前設定されたマッピングに基づく要請を検証する。
【0122】
実施例において、アクセストークンはOAuthサーバーによって生成される。アクセストークンは、クライアントにとって不透明であり、アプリケーション機能(例えば、EDGE設定サーバー、MSGin5Gサーバー200又は任意の業種アプリケーション層サーバー)によって消費される。アクセストークンは、IETF RFC 7519に定義されている通りにJSONウェブトークンとしてエンコードされてよい。アクセストークンは、IETF RFC 7515に定義されたJSONウェブデジタル署名プロファイルを含む。実施例において、IETF RFC 7662に定義された標準請求を、下表2に示す追加請求で拡張することが提供される。
【0123】
表2.パラメータ及び説明
【0124】
【表2】
【0125】
OAuthサーバーは、生成されたアクセストークンをトークン応答メッセージで送信する。
【0126】
UE110はアプリケーションセッション確立手順を開始する。UE110はAF170と通信し、UEとAF170の両方が所有しているKAFキーを交渉する。UE110及びAF170は、キーKAFに基づいてTLS保安トンネルを確立する。UE110とAF170間の認証はTLSに基づいて完了される。
【0127】
成功的な認証時に、クライアントはサービスアクセス要請を開始する。OAuthサーバーから受信されたアクセストークンは要請で送信される。
【0128】
AF170は、AAnF130から受信されたSUPI又はGPSIに基づいてアクセストークンを検査する。他の実施例において、OAuthサーバーはトークン検査機能を提供する。実施例において、AF170がトークンを検証するために必要な資格認証書(例えば、ルート認証書)を所有している場合に、AF170は、アクセストークンの認可請求に対してクライアントによって送信された要請を検証する。
【0129】
クライアントのアクセストークン及び認可請求の成功的な検証後に、AF170は、AF170の成功的な認証を確認応答する応答メッセージをUE110に送信する。
【0130】
実施例において、プライバシー保護のために、AF170がPLMNの外部に位置する場合に、トークン-Bは、永久ID(例えば、SUPI)を含まなくてよく、トークン請求は、A-KIDのような臨時ID及び連関されたアプリケーションID(GPSI(外部ID):EEC ID(EDGEクライアントID))、VALユーザIDのみを含む。
【0131】
実施例において、AF170がPLMNの外部にあるのか或いは内部にあるのかに関する情報は、サービスコードを用いるか、AF ID(クライアントによってトークン要請メッセージで提供)又はアプリケーションIDに基づいて、OAuthサーバーによって識別される。
【0132】
実施例において、AF170がPLMNの外部に位置する場合に、トークンを用いて連関されたIDの検査が行われる。この場合、トークン請求は、UEの永久ID(例えば、SUPI)を含まず、連関されたアプリケーションID(例えば、GPSI)及び真偽性検証されたID(例えば、A-KID)を含む。連関されたIDを検証しなければならないAF170は、認証サーバー190にトークンの請求を検証することを要請する。認証サーバー190は、真偽性の検証されたアイデンティティー(例えば、A-KID)を用いてID連関情報を検索する。
【0133】
実施例において、連関されたIDの検査は、AF170がPLMNの内部に位置する場合に、連関情報を用いて行われる。この場合、連関情報は認証サーバー190によってAF170に提供され、AFサーバーは、サービス要請メッセージで連関の有効性を検証する。UE110からサービスアクセス要請メッセージ(アプリケーションID、例えばUEサービスIDを有する。)を受信すると、AF170は、認証サーバー190にUE110の連関情報を提供するように要請する。AF170の要請メッセージは、真偽性検証アイデンティティー(例えば、AKMAの成功的な完了後に獲得されたUEのSUPI)を含む。
【0134】
認証サーバー190は、UE110のSUPIを用いて連関情報を検索し、AF170に連関情報を提供する。連関情報の受信時に、AF170は、サービス要請において受信されたアプリケーションIDが連関情報のUEの真偽性検証アイデンティティーと連関されるか否かを検証する。検証に成功すると、すなわち、サービス要請において受信されたアプリケーションIDが連関情報のUEの真偽性検証アイデンティティーと連関されると、AF170は、サービスに対するアクセスを提供する。検証に失敗すると、すなわち、サービス要請において受信されたアプリケーションIDが連関情報のUEの真偽性検証アイデンティティーと連関されないと、AF170は、サービスに対するアクセスを拒否する。
【0135】
図6は、本願に開示された実施例に係るNFエンティティ又は認証サーバー600の様々なハードウェア構成要素を例示する。認証サーバー600は、例えば、UDMエンティティ、AAAエンティティ、AUSFエンティティ、Conf管理サーバー、及びMSGin5G設定機能エンティティであってよいが、これに制限されるものではない。実施例において、認証サーバー600は、プロセッサ610、通信器620、メモリ630及びアプリケーション特定認証制御器640を含む。プロセッサ610は、通信器620、メモリ630及びアプリケーション特定認証制御器640と結合される。
【0136】
アプリケーション特定認証制御器640は、無線ネットワーク1000においてネットワークサービスに対するアクセスを提供するためにUE110のサービス特定識別子間のマッピングを設定し、マッピングをメモリ630に保存する。さらに、アプリケーション特定認証制御器640は、アプリケーションサーバーが無線ネットワークにおいてアプリケーションサーバーによって提供されるネットワークサービスにアクセスするためにUE110からサービス要請を受信することにより、無線ネットワーク1000においてアプリケーションサーバーによって提供されるネットワークサービスに対するアクセスを提供する前にUE110を認証する。アプリケーション特定認証制御器640は、無線ネットワーク1000においてアプリケーションサーバーによって提供されるネットワークサービスに対するアクセスを許容するために、要請に含まれたサービス特定識別子と既に認証されたUE110のIDとのマッピングを検証する。
【0137】
アプリケーション特定認証制御器640は、論理ゲート、集積回路、マイクロプロセッサ、マイクロ制御器、メモリ回路、受動電子構成要素、能動電子構成要素、光学構成要素、ハードワイヤード回路などのようなアナログ及び/又はデジタル回路により物理的に具現され、選択的にファームウェアによって駆動されてよい。
【0138】
さらに、プロセッサ610は、メモリ630に保存された命令を実行し、様々なプロセスを行うように設定される。通信器620は、1つ以上のネットワークを通じて内部ハードウェア構成要素間及び外部デバイスと内部的に通信するように設定される。メモリ630は、また、プロセッサ610によって実行される命令を保存する。メモリ630は、不揮発性保存要素を含んでよい。このような不揮発性保存要素の例には、磁気ハードディスク、光ディスク、フロッピーディスク、フラッシュメモリ、電気的にプログラミング可能なメモリ(EPROM)、又は電気的に消去及びプログラミング可能な(EEPROM)メモリの形態を含んでよい。なお、メモリ630は一部の例において、非一時的保存媒体と見なされてよい。「非一時的」という用語は、保存媒体が搬送波又は伝搬された信号により具現されないことを意味できる。しかし、「非一時的」という用語は、メモリ630が移動不可能であることと解釈されてはならない。所定の例において、非一時的保存媒体は、時間が経過するにつれて変更され得るデータを保存することができる(例えば、RAM(Random Access Memory)又はキャッシュ)。
【0139】
たとえ図6が認証サーバー600の様々なハードウェア構成要素を示していても、他の実施例がこれに制限されないということが理解されるべきである。他の実施例において、認証サーバー600は、より少ないか或いはより多い数の構成要素を含んでよい。さらに、構成要素のラベルや名称は例示の目的で使われるだけで、本開示の範囲を制限しない。1つ以上の構成要素が共に結合され、認証サーバー600において同一の又は実質的に類似の機能を果たすことができる。
【0140】
図7は、本願に開示された実施例に係るUE110の様々なハードウェア構成要素を例示する。実施例において、UE110は、プロセッサ710、通信器720、メモリ730、及びアプリケーション特定認証制御器740を含む。プロセッサ710は、通信器720、メモリ730及びアプリケーション特定認証制御器740と結合される。
【0141】
アプリケーション特定認証制御器740は、無線ネットワークのアプリケーションサーバーによって提供されるネットワークサービスにアクセスするために無線ネットワーク1000のアプリケーションサーバーに要請を送信する。さらに、アプリケーション特定認証制御器740は、アプリケーションサーバーによるUE110の成功的な相互認証後に、UE110とアプリケーションサーバーとの間に保安チャネルを確立する。さらに、アプリケーション特定認証制御器740は、保安チャネルを介してアプリケーションサーバーにサービス要請を送信する。さらに、アプリケーション特定認証制御器740は、保安チャネルを介してアプリケーションサーバーへのサービス要請にサービス特定識別子又はUE特定識別子を含む。さらに、アプリケーション特定認証制御器740は、アプリケーションサーバーによって要請されたサービスに対する認可成功を確認応答する応答メッセージを受信する。さらに、アプリケーション特定認証制御器740は、アプリケーションサーバーからネットワークサービスにアクセスする。
【0142】
アプリケーション特定認証制御器740は、論理ゲート、集積回路、マイクロプロセッサ、マイクロ制御器、メモリ回路、受動電子構成要素、能動電子構成要素、光学構成要素、ハードワイヤード回路などのようなアナログ及び/又はデジタル回路により物理的に具現され、選択的にファームウェアにより駆動されてよい。
【0143】
さらに、プロセッサ710は、メモリ730に保存された命令を実行し、様々なプロセスを実行するように設定される。通信器720は、1つ以上のネットワークを通じて内部ハードウェア構成要素間及び外部デバイスと内部的に通信するように設定される。メモリ730は、また、プロセッサ710によって実行される命令を保存する。メモリ730は不揮発性保存要素を含んでよい。このような不揮発性保存要素の例には、磁気ハードディスク、光ディスク、フロッピーディスク、フラッシュメモリ、電気的にプログラミング可能なメモリ(EPROM)、又は電気的に消去及びプログラミング可能な(EEPROM)メモリの形態を含んでよい。なお、メモリ730は一部の例において、非一時的保存媒体と見なされてよい。「非一時的」という用語は、保存媒体が搬送波又は伝搬された信号により具現されないことを意味できる。しかし、「非一時的」という用語は、メモリ730が移動不可能であることと解釈されてはならない。所定の例において、非一時的保存媒体は、時間が経過するにつれて変更され得るデータを保存することができる(例えば、RAM(Random Access Memory)又はキャッシュ)。
【0144】
たとえ図7がUE110の様々なハードウェア構成要素を示していても、他の実施例がこれに制限されないということが理解されるべきである。他の実施例において、UE110は、より少ないか或いはより多い数の構成要素を含んでよい。さらに、構成要素のラベルや名称は例示の目的で使われるだけで、本開示の範囲を制限するものではない。1つ以上の構成要素が共に結合され、UE110において同一の又は実質的に類似の機能を果たすことができる。
【0145】
図8は、本願に開示された実施例に係るアプリケーションサーバー(例えば、エッジサーバー210又はMSGin5Gサーバー200)の様々なハードウェア構成要素を例示する。アプリケーションサーバーは、例えば、エッジサーバー、MSGin5Gサーバー、V2Xサーバー、UASサーバー、及びSEALサーバーであるが、これに制限されるものではない。実施例において、エッジサーバー210又はMSGin5Gサーバー200は、プロセッサ810、通信器820、メモリ830及びアプリケーション特定認証制御器840を含む。プロセッサ810は、通信器820、メモリ830及びアプリケーション特定認証制御器840と結合される。
【0146】
アプリケーション特定認証制御器840は、無線ネットワーク1000においてUE110からサービス要請を受信する。さらに、アプリケーション特定認証制御器840は、サービス要請を受信することに応答して、要請に含まれたUE IDを認証する。さらに、アプリケーション特定認証制御器840は、成功的な相互認証後に、UE110とアプリケーションサーバーとの間に保安チャネルを確立する。さらに、アプリケーション特定認証制御器840は、UE110とアプリケーションサーバーとの成功的な認証を確認応答する応答メッセージを送信する。さらに、アプリケーション特定認証制御器840は、UE110にネットワークサービスを提供する。
【0147】
アプリケーション特定認証制御器240は、論理ゲート、集積回路、マイクロプロセッサ、マイクロ制御器、メモリ回路、受動電子構成要素、能動電子構成要素、光学構成要素、ハードワイヤード回路などのようなアナログ及び/又はデジタル回路により物理的に具現され、選択的にファームウェアにより駆動されてよい。
【0148】
さらに、プロセッサ810は、メモリ830に保存された命令を実行し、様々なプロセスを実行するように設定される。通信器820は、1つ以上のネットワークを通じて内部ハードウェア構成要素間及び外部デバイスと内部的に通信するように設定される。メモリ830は、また、プロセッサ810によって実行される命令を保存する。メモリ830は、不揮発性保存要素を含んでよい。このような不揮発性保存要素の例には、磁気ハードディスク、光ディスク、フロッピーディスク、フラッシュメモリ、電気的にプログラミング可能なメモリ(EPROM)、又は電気的に消去及びプログラミング可能な(EEPROM)メモリの形態を含んでよい。しかも、メモリ830は一部の例において、非一時的保存媒体と見なされてよい。「非一時的」という用語は、保存媒体が搬送波又は伝搬された信号により具現されないことを意味できる。しかし、「非一時的」という用語は、メモリ830が移動不可能であることと解釈されてはならない。所定の例において、非一時的保存媒体は、時間が経過するにつれて変更され得るデータを保存することができる(例えば、RAM(Random Access Memory)又はキャッシュ)。
【0149】
たとえ図8がエッジサーバー210又はMSGin5Gサーバー200の様々なハードウェア構成要素を示していても、他の実施例がこれに制限されないということが理解されるべきである。他の実施例において、エッジサーバー210又はMSGin5Gサーバー200は、より少ないか或いはより多い数の構成要素を含んでよい。さらに、構成要素のラベルや名称は例示の目的で使われるだけで、本開示の範囲を制限するものではない。1つ以上の構成要素は共に結合され、エッジサーバー210又はMSGin5Gサーバー200において同一の又は実質的に類似の機能を果たすことができる。
【0150】
図9は、本願に開示された実施例による、無線ネットワーク1000におけるネットワークサービスに対するアプリケーション特定認証のための方法の流れ図(S900)を例示する。
【0151】
S902で、方法は、無線ネットワークにおいてネットワークサービスに対するアクセスを提供するために、ネットワーク機能エンティティ600によってUEのサービス特定識別子間のマッピングを設定する段階を含む。S904で、方法は、無線ネットワーク1000においてアプリケーションサーバーによって提供されるネットワークサービスにアクセスするために、アプリケーションサーバーによってUE110からサービス要請を受信する段階を含む。S906で、方法は、サービス要請に対するアクセスを提供する前に、NFエンティティによってUE110の少なくとも1つのIDを認証する段階を含む。段階S908で、方法は、NFエンティティによって、無線ネットワーク1000においてアプリケーションサーバーによって提供されるネットワークサービスに対するアクセスを許容するために、サービス要請のサービス特定識別子とUEの既に認証されたIDとのマッピングを検証する段階を含む。
【0152】
図10は、本願に開示された実施例によって、無線ネットワーク1000においてネットワークサービスに対するアプリケーション特定認証のためにUE110によって具現される方法の流れ図(S1000)を例示する。動作(S1002~S1012)は、アプリケーション特定認証制御器740によってハンドリングされてよい。
【0153】
S1002で、方法は、無線ネットワーク1000のアプリケーションサーバーによって提供されるネットワークサービスにアクセスするための要請を、無線ネットワーク1000のアプリケーションサーバーに送信する段階を含む。S1004で、方法は、UE110とアプリケーションサーバーの少なくとも1つのアイデンティティーに対する成功的な相互認証後に、UE110とアプリケーションサーバーとの間に保安チャネルを確立する段階を含む。S1006で、方法は、保安チャネルを介してアプリケーションサーバーにサービス要請を送信する段階を含む。S1008で、方法は、保安チャネルを介してアプリケーションサーバーに対するサービス要請にサービス特定識別子又はUE特定識別子を含める段階を含む。S1010で、方法は、アプリケーションサーバーによって含まれたサービス特定識別子又はUE特定識別子に基づいて、要請されたサービスに対する成功的な認証を確認応答する応答メッセージを受信する段階を含む。S1012で、方法は、アプリケーションサーバーからのネットワークサービスにアクセスする段階を含む。
【0154】
図11は、本願に開示された実施例によって、無線ネットワーク1000においてネットワークサービスに対するアプリケーション特定認証のために、アプリケーションサーバー(例えば、エッジサーバー210又はMSGin5Gサーバー200)により具現される方法の流れ図(S1100)を例示する。動作(S1102~S1110)は、アプリケーション特定認証制御器840によってハンドリングされてよい。
【0155】
S1102で、方法は、無線ネットワークのUE110からサービス要請を受信する段階を含む。S1104で、方法は、サービス要請を受信することに応答して、サービス要請に含まれたUE IDを認証する段階を含む。S1106で、方法は、成功的な相互認証後に、UE110とアプリケーションサーバーとの間に保安チャネルを確立する段階を含む。S1108で、方法は、アプリケーションサーバーによってUE110の成功的な認証及び認証を確認応答する応答メッセージを送信する段階を含む。S1110で、方法は、UE110にネットワークサービスを提供する段階を含む。
【0156】
図12は、本願に開示された実施例によって、無線ネットワークにおいてネットワークサービスに対するアプリケーション特定認証のためにMSGin5Gサーバー又はエッジサーバーにより具現される方法のシーケンス流れ図を例示する。
【0157】
MSGin5GサービスがSEALと共に用いられる場合に、TS 23.554に説明されたアプリケーションアーキテクチャーが続く。この場合、MSGin5GサーバーによるMSGin5G UEの認可は、UEサービスIDとUE ID(SUPI/GPSI)との連関を検査することによって行われる。UEサービスIDは、MSGin5G登録要請によって取得される。設定管理サーバー又はMSGin5G設定機能は、割り当てられたUEサービスIDとUE IDとの連関を維持する。MSGin5Gサーバーは、AAnFから受信されたUE IDを用いて、設定管理サーバー又はMSGin5G設定機能から連関を検索し、登録要請メッセージで受信したUEサービスIDが検索された連関情報のUE IDと連関される否かを検証する。
【0158】
EDGEサービスにおいて、ECS(Edge Configuration Server)又はEES(Edge Enabler Server)によるEEC(Edge Enabler Client)認可は、EEC IDとUE ID(SUPI/GPSI)間の連関を検査して行われる。EEC IDは、セッション設定要請及び/又は登録要請によって取得される。認証サーバーは、EEC IDとUE IDとの連関を維持する。ECS又はEESは、AAnFから受信されたUE IDを用いて、認証サーバーから連関を検索し、登録要請メッセージで受信されたEEC IDが検索された連関情報の認証されたUE IDと連関されるか否かを検証する。実施例において、IDの連関は、AF自体で維持される。AFはECS及び/又はEESである。
【0159】
流れ図(S900~S1100)において様々な動作、行為、ブロック、段階などは、提示された順序で、異なる順序で、又は同時に行われてよい。さらに、一部の実施例において、動作、行為、ブロック、段階などの一部は、本開示の範囲を逸脱することなく省略、追加、修正、スキップなどされてよい。
【0160】
本願に開示された実施例は、少なくとも1つのハードウェアデバイスで使用し、要素を制御するために、ネットワーク管理機能を実行して具現されてよい。
【0161】
特定の実施例の前述した説明は、他の人たちが現在の知識を適用することによって、一般的な概念から逸脱することなくこのような特定の実施例を様々なアプリケーションに対して容易に修正及び/又は適応させ得るように、本願の実施例の一般的な特性を完全に示すはずであり、したがって、そのような適応及び修正は、開示された実施例の等価物の意味及び範囲内で理解されるべきであり、そのように意図される。本願に使われた語法又は用語は、制限ではなく説明のためのものであることが理解されるべきである。したがって、本願の実施例は、好ましい実施例の観点で説明されたが、通常の技術者は、本願の実施例が本願に説明された実施例の範囲内で修正されて実施可能であるということが認識できよう。
【符号の説明】
【0162】
110 ユーザ装置(UE)
120 ネットワーク露出機能(NEF)
130 アンカー機能(AAnF)
150 認証サーバー機能(AUSF)
160 移動性管理機能(AMF)
170 アプリケーション機能(AF)
180 (R)AN
190 認証サーバー
200 MSGサーバー
210 EDGEサーバー
220 OAuthサーバー
240 アプリケーション特定認証制御器
600 ネットワーク機能エンティティ
610 プロセッサ
620 通信器
630 メモリ
640 アプリケーション特定認証制御器
710 プロセッサ
720 通信器
730 メモリ
740 アプリケーション特定認証制御器
810 プロセッサ
820 通信器
830 メモリ
840 アプリケーション特定認証制御器
1000 無線ネットワーク
図1
図2a
図2b
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.