JP2021010174A - 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末 - Google Patents

通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末 Download PDF

Info

Publication number
JP2021010174A
JP2021010174A JP2020163072A JP2020163072A JP2021010174A JP 2021010174 A JP2021010174 A JP 2021010174A JP 2020163072 A JP2020163072 A JP 2020163072A JP 2020163072 A JP2020163072 A JP 2020163072A JP 2021010174 A JP2021010174 A JP 2021010174A
Authority
JP
Japan
Prior art keywords
communication terminal
control plane
communication
information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020163072A
Other languages
English (en)
Other versions
JP6962432B2 (ja
Inventor
伊藤 博紀
Hironori Ito
伊藤  博紀
アナンド ラガワ プラサド
Raghawa Prasad Anand
アナンド ラガワ プラサド
クンツ アンドレアス
Kunz Andreas
クンツ アンドレアス
直明 鈴木
Naoaki Suzuki
直明 鈴木
田村 利之
Toshiyuki Tamura
利之 田村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JP2021010174A publication Critical patent/JP2021010174A/ja
Application granted granted Critical
Publication of JP6962432B2 publication Critical patent/JP6962432B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/12Access point controller devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/16Interfaces between hierarchically similar devices
    • H04W92/24Interfaces between hierarchically similar devices between backbone network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Abstract

【課題】ネットワークスライシングがコアネットワークに適用された場合に、分割されたそれぞれのネットワークにおいて高いセキュリティレベルを維持することができる通信システムを提供することを目的とする。【解決手段】本開示にかかる通信システムは、通信端末の加入者情報を管理する加入者情報管理装置(10)と、通信端末の識別情報と、通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報とを関連付けて管理するセキュリティ装置(20)と、を備える。加入者情報管理装置(10)は、通信端末の識別情報及び通信端末が利用するネットワークスライスシステムの識別情報を用いてセキュリティ装置(20)から通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得する。【選択図】図1

Description

本開示は通信システム、加入者情報管理装置、情報取得方法、及び、プログラムに関し、例えばセキュリティ処理を実行する通信システム、加入者情報管理装置、情報取得方法、及び、プログラムに関する。
近年、IoT(Internet of Things)サービスに関する検討が進められている。IoTサービスには、ユーザの操作を必要とせず、自律的に通信を実行する端末(以下、IoT端末とする)が数多く用いられる。そこで、サービス事業者が多くのIoT端末を用いてIoTサービスを提供するために、通信事業者等が管理するネットワークにおいて、多くのIoT端末を効率的に収容することが望まれている。
非特許文献1には、Annex Bにおいて、ネットワークスライシングを適用したコアネットワークの構成が記載されている。ネットワークスライシングは、多くのIoT端末を効率的に収容するために、提供するサービス毎にコアネットワークを分割する技術である。また、5.1節において、分割されたそれぞれのネットワーク(ネットワークスライスシステム)には、カスタマイズや最適化が必要になることが記載されている。
一方、非特許文献2の6.2節には、EPS(Evolved Packet System)のセキュリティ処理において用いられる鍵の構成が記載されている。具体的には、USIM(Universal Subscriber Identity Module)及びAuC(Authentication Center)が、マスター鍵Kを有している。USIM及びAuCは、マスター鍵Kを用いて、CK(Confidentiality Key)及びIK(Integrity Key)を生成する。
次に、UE(User Equipment)及びHSS(Home Subscriber Server)は、CK、IK、及び、SNID(Serving Network Identity)を用いて、鍵KASMEを生成する。SNIDは、通信事業者を識別するIDである。次に、UE及びMME(Mobility Management Entity)は、鍵KASMEを用いて、コアネットワーク及び無線アクセスネットワークのセキュリティ処理に用いられる鍵を生成する。
EPSにおいては、このようにして生成された鍵を用いて、メッセージの暗号化及びメッセージの改ざん防止(メッセージの完全性保証)等のセキュリティ処理が実行される。
3GPP TR23.799 V0.2.0 (2016-2) Annex B, 5.1 Key issue 1: Support of network slicing 3GPP TS 33.401 V13.2.0 (2016-03) 6.2 EPS key hierarchy
非特許文献1に開示されているネットワークスライシングが適用された場合、それぞれのネットワークスライスシステムの独立性を高め、セキュリティを向上させるために、ネットワークスライスシステム毎に異なる鍵を使用することが想定される。しかし、非特許文献2に開示されている鍵の構成は、UEが、コアネットワーク内においては、1つの鍵KASMEを使用することを示している。そのため、非特許文献2に開示されている鍵の構成を、ネットワークスライシングが適用されたコアネットワークに用いても、ネットワークスライスシステム毎に異なる鍵を生成することができない。そのため、それぞれのネットワークスライスシステムの独立性を高め、セキュリティを向上させることができないという問題がある。
本開示の目的は、ネットワークスライシングがコアネットワークに適用された場合に、分割されたそれぞれのネットワーク(ネットワークスライスシステム)において高いセキュリティレベルを維持することができる通信システム、加入者情報管理装置、情報取得方法、及び、プログラムを提供することにある。
本開示の第1の態様にかかる通信システムは、通信端末の加入者情報を管理する加入者情報管理装置と、前記通信端末と、前記通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報とを関連付けて管理するセキュリティ装置と、を備え、前記加入者情報管理装置は、前記通信端末の識別情報及び前記通信端末が利用するネットワークスライスシステムの識別情報を用いて前記セキュリティ装置から前記通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得するものである。
本開示の第2の態様にかかる加入者情報管理装置は、通信端末、及び、前記通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報、を関連付けて管理するセキュリティ装置と通信する通信部と、前記セキュリティ装置と関連付けられた前記ネットワークスライスシステムの識別情報を管理する管理部と、を備え、前記通信部は、前記通信端末の識別情報及び前記通信端末が利用するネットワークスライスシステムの識別情報を用いて前記セキュリティ装置から前記通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得するものである。
本開示の第3の態様にかかる情報取得方法は、通信端末、及び、前記通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報、を関連付けて管理するセキュリティ装置と、前記セキュリティ装置と関連付けられた前記ネットワークスライスシステムの識別情報を管理し、前記通信端末の識別情報及び前記通信端末が利用するネットワークスライスシステムの識別情報を用いて前記セキュリティ装置から前記通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得するものである。
本開示の第4の態様にかかるプログラムは、通信端末、及び、前記通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報、を関連付けて管理するセキュリティ装置と、前記セキュリティ装置と関連付けられた前記ネットワークスライスシステムの識別情報を管理し、前記通信端末の識別情報及び前記通信端末が利用するネットワークスライスシステムの識別情報を用いて前記セキュリティ装置から前記通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得することをコンピュータに実行させるものである。
本開示により、ネットワークスライシングがコアネットワークに適用された場合に、分割されたそれぞれのネットワーク(ネットワークスライスシステム)において高いセキュリティレベルを維持することができる通信システム、加入者情報管理装置、情報取得方法、及び、プログラムを提供することができる。
実施の形態1にかかる通信システムの構成図である。 実施の形態2にかかる通信システムの構成図である。 実施の形態2にかかるAuCの構成図である。 実施の形態2にかかるAuCが管理する情報を示す図である。 実施の形態2にかかるHSSの構成図である。 実施の形態2にかかるHSSが管理する情報を示す図である。 実施の形態2にかかるUEの構成図である。 実施の形態2にかかるAttach処理の流れを示す図である。 実施の形態2にかかるAKA処理の流れを示す図である。 実施の形態2にかかるAuCにおけるサービス鍵の導出を説明する図である。 実施の形態2にかかるUEにおけるサービス鍵の導出を説明する図である。 実施の形態2にかかるAuCが管理する情報を示す図である。 実施の形態3にかかる通信システムの構成図である。 それぞれの実施の形態にかかるUEの構成図である。 それぞれの実施の形態にかかるAuC及びHSSの構成図である。
(実施の形態1)
以下、図面を参照して本開示の実施の形態について説明する。図1の通信システムは、加入者情報管理装置10及びセキュリティ装置20を有している。加入者情報管理装置10及びセキュリティ装置20は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。
加入者情報管理装置10は、少なくとも1つの通信端末の加入者情報を管理する。通信端末は、例えば、携帯電話端末、スマートフォン端末、通信機能を有するコンピュータ装置等であってもよい。通信端末は、IoT端末、M2M(Machine to Machine)端末、もしくは、MTC(Machine Type Communication)端末等であってもよい。
加入者情報は、例えば、通信端末を利用するユーザに関する契約情報、通信端末の位置情報、もしくは、通信端末を識別する情報等であってもよい。
セキュリティ装置20は、通信端末を識別する情報(通信端末の識別情報)と、通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報とを関連付けて管理する。セキュリティ情報は、ネットワークスライスシステムごとに固有の情報である。セキュリティ情報は、通信端末を認証する際に用いられる鍵情報であってもよい。セキュリティ情報は、データの暗号化もしくは完全性保証処理を実行する際に用いられる鍵情報等であってもよい。セキュリティ情報は、認証もしくは暗号化等に用いられる鍵情報を生成するために用いるマスター鍵であってもよい。セキュリティ情報は、セキュリティ処理を実行する際に用いられるセキュリティアルゴリズム等であってもよい。
加入者情報管理装置10は、通信端末の識別情報及び通信端末が利用するネットワークスライスシステムの識別情報を用いて、セキュリティ装置20から、通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得する。
以上説明したように、図1の通信システムを用いることによって、加入者情報管理装置10は、通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得することができる。そのため、加入者情報管理装置10は、通信端末が利用するネットワークスライスシステム毎に異なるセキュリティ情報を用いることができる。その結果、ネットワークスライスシステムの独立性を高め、コアネットワーク全体のセキュリティを向上させることができる。
(実施の形態2)
図2を用いて本開示の実施の形態2にかかる通信システムの構成例について説明する。図2の通信システムは、コアネットワーク100、5G RAN(Radio Access Network)80、及び、UE(User Equipment)90を有している。コアネットワーク100は、例えば、3GPP(3rd Generation Partnership Project)において規定されているネットワークであってもよい。
UEは、3GPPにおいて通信端末の総称として用いられる。UE90は図2において1つのみ示されているが、図2の通信システムは複数のUE90を備えていてもよい。
5G RAN80は、UE90へ無線回線を提供するネットワークである。5G RAN80は、例えば、基地局を有してもよく、さらに、基地局を制御する基地局制御装置等を有してもよい。5G RAN80は、例えば、低遅延及び広帯域な無線周波数等を実現する次世代のRANである。次世代に用いられるRANとして、5G RANと称しているが、次世代に用いられるRANの名称は、5G RANに限定されない。
コアネットワーク100の構成例について説明する。コアネットワーク100は、HSS(Home Subscriber Server)30、AuC(Authentication Center)40、AuC50、AuC60、CPF(Control Plane Function)エンティティ70(以下、CPF70とする)、NS(Nework Slice)システム110、NSシステム120、及び、NSシステム130を有している。各AuCは、HSS30と同じ装置内にあっても良く、AuCの一部の機能が、HSS30に実装されてもよい。また、各AuCは、各NSシステム内に合っても良い。
HSS30は、図1の加入者情報管理装置10に相当する。HSS30は、UE90に関する加入者情報を管理する。また、HSS30は、HLR(Home Location Register)に置き換えられてもよい。HSS30は、鍵管理機能を有する。また、HSS30は、それぞれのNSシステムに、鍵情報を送信する。鍵管理機能とは、UEに関する鍵情報をどのノード装置もしくはどのNSシステムへ送信したかを管理する機能である。さらに、鍵管理機能は、ノード装置もしくはNSシステムへ送信した鍵情報の種類等についても管理する機能である。また、HSS30は、鍵管理機能の一部の機能を有し、その他の機能をHSS30と異なる装置が有してもよい。もしくは、鍵管理機能に関する全ての機能を、HSS30と異なる装置が有してもよい。
AuC40、AuC50、及びAuC60(以下、AuC40等とする)各々は、図1のセキュリティ装置20に相当する。AuC40等は、UE90に関するセキュリティ処理に用いる鍵情報を管理する。さらに、AuC40等は、UE90に関するセキュリティ処理に関するパラメータを管理する。セキュリティ処理に関するパラメータは、例えば、NAS(Non Access Stratum)の完全性保証処理、機密性処理、及び暗号化処理に用いられるパラメータであってもよい。NASは、UE90等とコアネットワーク100との間の通信に用いられるレイヤである。セキュリティ処理に関するパラメータは、AS(Access Stratum)の完全性保証処理、機密性処理、及び暗号化処理に用いられるパラメータであってもよい。ASは、5G RAN80と、UE90との間の通信に用いられるレイヤである。
セキュリティ処理に関するパラメータは、鍵の長さを規定するパラメータであってもよい。鍵の長さは、例えば、ビット数によって示される。セキュリティ処理に関するパラメータは、暗号化アルゴリズム、鍵生成アルゴリズム、もしくは、認証アルゴリズム等を示すパラメータであってもよい。
CPF70は、コアネットワーク100内において、UE90に関するC−Planeデータを処理する装置である。C−Planeデータは、制御データと称されてもよい。CPF70は、制御データを処理する装置であるため制御装置と称されてもよい。さらに、CPF70は、3GPPにおいて規定されているMME(Mobility Management Entity)に相当する機能を有してもよい。
NSシステム110は、NSシステム120及びNSシステム130と異なるサービスを提供するために用いられる通信システムである。また、NSシステム120は、NSシステム130と異なるサービスを提供するために用いられる通信システムである。それぞれのNSシステムが提供するサービスは、例えば、自動運転サービス、スマートメータに関するサービス、もしくは、自動販売機の管理サービス等であってもよい。NSシステムが提供するサービスは、これらのサービスに限定されず、様々なサービスが存在する。
図2においては、CPF70は、コアネットワーク100内に配置され、NSシステム110、NSシステム120、及びNSシステム130のいずれにも属していないことを示している。しかし、CPF70は、NSシステム110、NSシステム120、及びNSシステム130のいずれかに属してもよく、もしくは、NSシステム110、NSシステム120、及びNSシステム130のそれぞれが、CPF70を有してもよい。
続いて、図3を用いて本開示の実施の形態2にかかるAuC40の構成例について説明する。AuC50及びAuC60は、AuC40と同様の構成を有している。AuC40は、通信部41、セキュリティ情報管理部42、及び、NS鍵生成部43を有している。通信部41は、送信部(transmitter)及び受信部(receiver)であってもよい。
通信部41、セキュリティ情報管理部42、及びNS鍵生成部43は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。通信部41、セキュリティ情報管理部42、及びNS鍵生成部43は、回路もしくはチップ等のハードウェアであってもよい。
通信部41は、主に、HSS30との間においてデータを伝送する。
セキュリティ情報管理部42は、UE90毎に関連付けられたセキュリティ情報を管理する。ここで、図4を用いて、セキュリティ情報管理部42が管理する情報について説明する。セキュリティ情報管理部42は、IMSI(International Mobile Subscriber Identity)と、NSID(Network Slice Identity)及びマスター鍵Kとを関連付けて管理している。IMSIは、UE90を識別するために用いられる識別情報である。NSIDは、NSシステムを識別するために用いられる識別情報である。
図4は、IMSIが001であるUEが、NSシステム110及びNSシステム120を利用することができることを示している。さらに、図4は、IMSIが001であるUEに対して、NSシステム110におけるセキュリティ処理に用いられるマスター鍵Ka_001が割り当てられ、NSシステム120におけるセキュリティ処理に用いられるマスター鍵Kb_001が割り当てられていることを示している。IMSIが002であるUEに関しても、利用可能なNSシステムと、そのNSシステムにおけるセキュリティ処理に用いられるマスター鍵Kとが関連付けられている。
図4は、セキュリティ情報管理部42が複数のNSシステムに関するマスター鍵を管理することを示しているが、セキュリティ情報管理部42は、一つのNSシステムに関するマスター鍵のみを管理してもよい。例えば、AuC40は、NSシステム110に関するマスター鍵Kを管理する装置として用いられてもよい。この場合、セキュリティ情報管理部42は、NSIDに関する情報を管理せず、IMSIとマスター鍵Kとを関連付けて管理してもよい。
図3に戻り、NS鍵生成部43は、マスター鍵Kを用いて、それぞれのNSシステムにおいて用いられるサービス鍵Ksvを生成する。例えば、NS鍵生成部43は、マスター鍵Ka_001を用いて、IMSIが001であるUEが、NSシステム110において用いられるサービス鍵Ksv−Aを生成する。さらに、NS鍵生成部43は、マスター鍵Kb_001を用いて、IMSIが001であるUEが、NSシステム120において用いられるサービス鍵Ksv−Bを生成する。IMSIが002であるUEに対しても同様に、サービス鍵Ksvを生成する。
図5を用いて本開示の実施の形態2にかかるHSS30の構成例について説明する。HSS30は、通信部31及び情報管理部32を有している。通信部31及び情報管理部32は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。もしくは、通信部31及び情報管理部32は、回路もしくはチップ等のハードウェアであってもよい。通信部31は、送信部(transmitter)及び受信部(receiver)であってもよい。
通信部31は、AuC40、AuC50、及びAuC60との間においてデータを伝送する。さらに、通信部31は、NSシステム110を構成するノード装置、NSシステム120を構成するノード装置、及び、NSシステム130を構成するノード装置との間においてデータを伝送する。
情報管理部32は、AuC40等とNSシステムとを関連付けた情報を管理している。ここで、図6を用いて、情報管理部32が管理する情報について説明する。図6は、AuC40と、NSシステム110〜NSシステム130とが関連付けられており、さらに、AuC50とNSシステム140〜NSシステム160とが関連付けられていることを示している。AuC40とNSシステム110〜NSシステム130とが関連付けられているとは、AuC40が、UE毎に、NSシステム110〜NSシステム130においてセキュリティ処理に用いられるマスター鍵Kを管理していることである。
図7を用いて本開示の実施の形態2にかかるUE90の構成例について説明する。UE90は、通信部91及びNS鍵生成部92を有している。通信部91及びNS鍵生成部92は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。もしくは、通信部91及びNS鍵生成部92は、回路もしくはチップ等のハードウェアであってもよい。通信部91は、送信部(transmitter)及び受信部(receiver)であってもよい。
通信部91は、主に、5G RAN80を構成する基地局等との間においてデータ伝送を行う。
NS鍵生成部92は、マスター鍵Kを用いて、それぞれのNSシステムにおいて用いられるサービス鍵Ksvを生成する。例えば、NS鍵生成部92は、NSシステム110及びNSシステム120を利用することができるとする。この場合、NS鍵生成部92は、マスター鍵Ka_001を用いて、NSシステム110において用いるサービス鍵Ksv−Aを生成し、マスター鍵Kb_001を用いて、NSシステム120において用いるサービス鍵Ksv−Bを生成する。
例えば、通信部91は、複数のSIMを有し、SIM毎に異なるマスター鍵Kを管理してもよい。また、それぞれのSIMは、いずれかのNSシステムと対応付けられていてもよい。
図8を用いて本開示の実施の形態2にかかるUE90に関するAttach処理の流れについて説明する。
はじめに、UE90は、5G RAN80との間において接続処理を開始する(S11)。例えば、UE90は、5G RAN80に配置されている基地局と通信を行うために、無線通信回線を介して基地局と接続する。
次に、UE90は、5G RAN80を介してCPF70へAttach requestメッセージを送信する(S12)。UE90は、例えば、NSシステム110において提供されているサービスを利用する。この場合、UE90は、UE90のIMSI及びNSシステム110を示すNSID、を設定したAttach requestメッセージをCPF70に送信する。UE90は、複数のNSIDを設定しても構わない。
次に、UE90、CPF70、HSS30、及び、AuC40の間においてAKA(Authentication and Key Agreement)処理を実行する(S13)。ステップS13におけるAKA処理を実行することによって、UE90において生成されたサービス鍵Ksv−Aと、AuC40において生成されたサービス鍵Ksv−Aとが一致することを、UE90及びHSS30において確認することができる。UE90がAttach requestメッセージに複数のNSIDを設定した場合、NSシステム毎に、サービス鍵Ksvが生成される。この場合、ステップS13のAKA処理において、UE90においてNSシステム毎に生成されたサービス鍵Ksvと、AuC40においてNSシステム毎に生成されたサービス鍵Ksvとが一致するかを確認する。UE90、CPF70、HSS30、及び、AuC40の間において、AKA以外の処理が実行されることによって、サービス鍵Ksvの認証が行われててもよい。
UE90は、ステップS13におけるAKA処理が実行された後に、サービス鍵Ksv−Aを用いて、NSシステム110において提供されているサービスを利用することができる。例えば、UE90が、NSシステム110が有する装置に対してアクセスする際に、UE90は、UE90を操作するユーザから入力されたパスワード情報等を、NSシステム110が有する装置へ送信してもよい。NSシステム110が有する装置は、送信されたパスワードの正当性を確認できた場合に、UE90に対してサービスを提供してもよい。
もしくは、NSシステム110が有する装置は、UE90に関するサービス鍵Ksv−Aを予め保持していてもよい。例えば、NSシステム110が有する装置は、HSS30もしくはAuC40からサービス鍵Ksv−Aを取得してもよい。NSシステム110が有する装置は、AKA処理を実行し、自装置が保持するサービス鍵Ksv−Aと、UE90が保持するサービス鍵Ksv−Aとが一致する場合に、UE90に対してサービスを提供してもよい。
図8においては、ステップS12において、UE90が、UE90のIMSI及びNSシステム110を示すNSIDを設定したAttach requestメッセージをCPF70へ送信することを示している。一方、UE90が利用することができるNSシステムが一つだけであり、HSS30において、UE90が利用することができるNSシステムが加入者情報として管理されている場合、UE90は、IMSIのみを設定したAttach requestメッセージをCPF70へ送信してもよい。UE90が利用することができるNSシステムが複数ある場合、UE90は、IMSI及び利用するNSシステムの識別情報を設定したAttach requestメッセージをCPF70へ送信する。
図9を用いて、図8のステップS13におけるAKA処理の詳細について説明する。はじめに、CPF70は、HSS30へAuthentication data requestメッセージを送信する(S21)。Authentication data requestメッセージには、UE90のIMSI(International Mobile Subscriber Identity)、及び、UE90が利用を希望するNSシステムを示すNSIDが含まれる。NSIDは、例えば、NSシステム110を示す識別情報である。
次に、HSS30は、AuC40へAuth data create requestメッセージを送信する(S22)。Auth data create requestメッセージには、UE90のIMSI、及び、UE90が利用を希望するNSシステムを示すNSIDが含まれる。図9においては、NSIDは、NSシステム110を示す識別情報であるとする。HSS30は、図6に示す情報を用いて、UE90が指定するNSIDと関連付けられているAuCを特定することができる。ここでは、HSS30は、NSシステム110を示すNSIDを受信している。そのため、HSS30は、Auth data create requestメッセージの送信先を、図6に示す情報を用いて、AuC40と特定することができる。UE90が、NSIDを指定しなかった場合、HSS30は、予め定められたデフォルトNSシステムと関連付けられているAuCを特定する。デフォルトNSシステムは、UE毎に予め定められていてもよく、HSS30において管理されている優先度に従って定められてもよい。優先度は、UE毎に定められてもよい。
UE90が利用可能なNSシステムが1つのみであり、HSS30が、UE90のIMSIと、UE90が利用可能なNSシステムとを関連付ける情報を加入者情報として管理しているとする。この場合、HSS30は、CPF70から送信されるIMSIを用いて、UE90が利用可能なNSシステムを特定することができる。HSS30は、UE90が接続可能な複数のNSIDを加入者データとして管理している場合がある。この場合、HSS30は加入者データが示すすべてのNSIDに対応するAuC40等へAuth data create requestメッセージを繰り返し送信してもかまわない。
次に、AuC40は、KDF(Key Deriviation Function)を用いて、サービス鍵Ksv−Aを導出する(S23)。ここで、図10を用いて、AuC40のNS鍵生成部43における、KDFを用いたサービス鍵Ksvの導出処理について説明する。
図10は、KDFへ、マスター鍵K、NSID、RAND(Random number)、及び、SQN(Sequence Number)が入力された結果、XRES(Expected Response)、AUTN(Authentication token)、及び、サービス鍵Ksvが出力されることを示している。KDFは、例えば、HMAC-SHA-256等の導出関数が用いられる。ここで、KDFへ入力されるマスター鍵Kは、NSシステム110に関連付けられているサービス鍵Kaとする。さらに、KDFから出力されるサービス鍵Ksvは、NSシステム110において用いられるサービス鍵Ksv−Aとする。
図9に戻り、AuC40は、HSS30へAuth data create responseメッセージを送信する(S24)。Auth data create responseメッセージには、RAND、XRES、Ksv−A、Ksv−A_ID、及び、AUTNが含まれる。Authentication data responseメッセージに含まれるRANDは、ステップS23において、Ksv−A等を生成する際に入力パラメータとして用いられたRANDと同様である。XRES、Ksv−A、及び、AUTNは、ステップS23において生成されたXRES、Ksv−A、及び、AUTNと同様である。Ksv−A_IDは、Ksv−Aを識別する識別情報である。HSS30が、複数のAuCにAuth data create requestメッセージを繰り返し送信した場合は、すべてのAuCから対応するAuth data create responseメッセージが返送される事を確認し、その後、各Auth data create responseメッセージに含まれるRAND、XRES、Ksv−A、Ksv−A_ID、及び、AUTNを、対応するNSID毎にAuthentication data responseメッセージに設定する。
次に、HSS30は、CPF70へAuthentication data responseメッセージを送信する(S25)。Authentication data responseメッセージには、ステップS24において送信されたAuth data create responseメッセージに含まれていたRAND、XRES、Ksv−A、Ksv−A_ID、及び、AUTNが含まれる。RAND、XRES、Ksv−A、Ksv−A_ID、及び、AUTNは、NSID毎に設定される場合もある。
次に、CPF70は、5G RAN42を介してUE90へAuthentication requestメッセージを送信する(S26)。Authentication requestメッセージには、RAND、AUTN、及び、Ksv−A_IDが含まれる。RAND、AUTN、及び、Ksv−A_IDは、ステップS25においてHSS30から受信したRAND、AUTN、及び、Ksv−A_IDである。UE90が、Attach requestメッセージ(S12)で複数のNSIDを設定した場合は、NSID毎のRAND、AUTN、及び、Ksv−A_IDが設定される。
次に、UE90は、KDFを用いて、サービス鍵Ksv−Aを導出する(S27)。ここで、図11を用いて、UE90のNS鍵生成部92における、KDFを用いたサービス鍵Ksvの導出処理について説明する。
図11は、KDFへ、マスター鍵K、NSID、RAND、及び、AUTNが入力された結果、RES(Response)、SQN、及び、サービス鍵Ksvが出力されることを示している。KDFは、例えば、HMAC-SHA-256等の導出関数が用いられる。ここで、KDFへ入力されるマスター鍵Kは、NSシステム110に関連付けられているサービス鍵Kaが用いられるとする。さらに、KDFから出力されるサービス鍵Ksvは、NSシステム110において用いられるサービス鍵Ksv−Aとする。なお、ここでは、UE90は、アクセスできるNSシステムが事前に決められており、そのNSシステムのNSIDをあらかじめ保持していることを前提としている。
図9に戻り、UE90は、5G RAN80を介してCPF70へAuthentication responseメッセージを送信する(S28)。Authentication responseメッセージには、RESが含まれる。Authentication responseメッセージに含まれるRESは、ステップS27において生成されたRESと同様である。Authentication requestメッセージ(S26)に複数のNSIDが設定された場合は、NSID毎のRESが設定される。
次に、CPF70は、ステップS25において受信したAuthentication data responseメッセージに含まれるXRESと、ステップS28において受信したAuthentication responseメッセージに含まれるRESとを比較する(S29)。ステップS29において、CPF70は、RESとXRESとが一致する場合、AuC40において生成されたKsv−Aと、UE90において生成されたKsv−Aとが一致すると判定することができる。複数のNSIDが扱われる場合は、CPF70は、RESとXRESとの比較をNSID毎に実行される。CPF70は、RESとXRESとが一致した場合、RESとXRESとが一致したこと、もしくは、Ksv−Aに関する認証が成功したことをHSS30へ通知する。さらに、HSS30は、Ksv−A_IDとKsv−AとをNSシステム110へ送信する。
次に、UE90に関するAKA処理がエラーとなる場合について説明する。例えば、AuC40は、Auth data create requestに設定されたNSIDを、UE90が利用可能でない場合、Auth data create requestメッセージに対する応答メッセージとしてAuC40は、cause値”No subscription to Network slice”を含むAuth data create errorメッセージをHSS30に送信する。更に、HSS30は、cause値”No subscription to Network slice”を含むAuthentication data rejectメッセージをCPF70に送信する。更に、CPF70は、cause値”Access to Network slice not allowed”を含むAuthentication failureメッセージをUE90に送信する。この場合、UE90はAttach requestメッセージ(S12)で設定したNSIDがオペレータネットワークで提供されない事を記憶する。また、この場合、UE90は別のNSIDを設定し同一オペレータネットワークに向けてATTACH手順を行ってもかまわない。
また、ステップS29の認証に失敗した場合、CPF70は、cause値”Network Slice Authentication failed” を含むAuthentication failureメッセージをUE90に送信する。この場合、UE90はAttach requestメッセージ(S12)で設定したNSIDがオペレータネットワークで提供されない事を記憶する。また、この場合、UE90は別のNSIDを設定し同一オペレータネットワークに向けてATTACH手順を行ってもかまわない。
また、複数のNSIDに対して行われた認証について一部のNSIDのみに関する認証が成功した場合の動作について説明する。この場合、CPF70は、認証が失敗したとみなしUE90にその旨を通知し再ATTACHを促す場合と、認証されたNSIDのみに対して接続を許容する場合とがある。以下がそれぞれの場合の動作である。
認証が失敗したとみなしUE90にその旨を通知し再ATTACHを促す場合:
CPF70は、cause値”Network Slice Authentication failed” を含むAuthentication failureメッセージををUE90に送信する。この場合、CPF70は、各NSIDの認証結果状況を示す”Authentication status list”をAuthentication failureメッセージに設定してもかまわない。この場合、UE90は部分的に認証が成功したNSIDのみを設定し同一オペレータネットワークに向けてATTACH手順を行ってもかまわない。
認証されたNSIDのみに対して接続を許容する場合:
CPF70は、部分的に認証が成功したとしてcause値”Network Slice Authentication partially failed” を含むAuthentication responseメッセージををUE90に送信しても良い。この場合、CPF70は、各NSIDの認証結果状況を示す”Authentication status list”をAuthentication responseメッセージに設定してもかまわない。この場合、UE90は部分的に認証が成功したNSIDのみに対して認証が成功した事を認識する。この場合、UE90は部分的に認証が成功したNetwork Sliceで提供されるサービスのみを享受してもかまわない。
次にUE90が、Attach requestメッセージ(S12)に設定したNSIDに対する認証が成功した場合の動作について説明する。CPF70は、認証したサービス鍵Ksvを図2に示されるNetwork Sliceシステムに通知してもよい。更にNetwork Sliceシステムは、サービス鍵Ksvを利用して必要なサービス鍵を更に生成しても構わない。また、図2に示されるNetwork Sliceシステムは、HSS30と連動して更なる認証動作を行っても構わない。
また、HSS30は、UE90のIMSIと、UE90が利用可能なNSIDとを関連付けて管理していてもよい。この場合、ステップS21において、HSS30は、Authentication data requestメッセージを受信する。Authentication data requestメッセージに設定されたNSIDを、UE90が利用可能でない場合、HSS30は、Authentication data requestメッセージに対する応答メッセージとしてエラーメッセージを送信する。HSS30は、各AuCに関連付けデータを要求することができる。また、各AuCは、関連付けデータを更新した場合に、HSS30に更新したデータを送信することができる。例えば、各AuCは、図12に示すように、IMSI、NSID、及びアクセス権とを関連付けて管理してもよい。関連付けデータは、図12に示すように、例えば、IMSI、NSID、及びアクセス権とを関連付けたデータである。図12は、IMSIが003であるUEは、NSシステム110にはアクセスすることができるが、NSシステム120及びNSシステム130にはアクセスすることができないことを示している。さらに、IMSIが004であるUEは、NSシステム140及びNSシステム150にはアクセスすることができるが、NSシステム160にはアクセスすることができないことを示している。各AuCは、図12に示すデータを更新した場合、更新したデータをHSS30へ送信する。
(実施の形態3)
続いて、図13を用いて本開示の実施の形態3にかかる通信システムの構成例について説明する。図13は、UE95が、ホーム網であるHPLMN(Home Public Land Mobile Network)101からVPLMN(Visited Public Land Mobile Network)102へ移動したことを示している。言い換えると、図13は、UE95が、HPLMN101からVPLMN102へローミングしたことを示している。
HPLMN101は、HSS35、AuC51、AuC52、CPF71、DEA(Diameter Edge Agent)72、NSシステム111、及び、NSシステム112を有している。UE95は、5G RAN81を介してHPLMN101と通信を行う。また、VPLMN102は、HSS36、AuC61、AuC62、CPF73、DEA74、NSシステム121、及び、NSシステム122を有している。UE95は、5G RAN82を介してVPLMN102と通信を行う。DEA72及びDEA74は、Diameter信号を中継する装置である。DEA72及びDEA74以外の構成については、図2に示す通信ネットワークと同様である。
UE95が、HPLMN101からVPLMN102へ移動した場合、VPLMN102においてAttach処理を実行する。この場合、UE95は、図8のステップS11及びS12において説明したAttach処理と同様に、5G RAN82を介してCPF73へ接続する。
次に、CPF73は、図8のステップS13において、HSS36へ問い合わせた結果、UE95がHPLMN101をホーム網とするローミング端末であると決定する。そのため、CPF73は、DEA74及びDEA72を介してCPF71に接続する。UE95は、CPF73、DEA74、及びDEA72を介して、CPF71との間において、AKA処理を実行する。UE95は、例えば、HPLMN101におけるNSシステム111が提供するサービスを利用することを要望しているとする。この場合、UE95は、CPF71との間においてAKA処理を実行し、認証が完了すると、例えば、NSシステム121を介してNSシステム111と通信を行ってもよい。
VPLMN102は、ローミング端末が利用可能なNSシステムとして、予めNSシステム121を定めていてもよい。もしくは、HPLMN101のNSシステム111に対応するVPLMN102のNSシステム、および、HPLMN101のNSシステム112に対応するVPLMN102のNSシステムが予め定められていてもよい。例えば、HPLMN101のNSシステム111とVPLMN102のNSシステム121とを対応付け、HPLMN101のNSシステム112とVPLMN102のNSシステム122とを対応付けてもよい。
以上説明したように、UE95は、HPLMN101からVPLMN102へローミングした場合であっても、VPLMN102を介してHPLMN101におけるNSシステムへアクセスすることができる。
続いて以下では、上述の複数の実施形態で説明されたUE90、AuC40〜60、及び、HSS30の構成例について説明する。
図14は、UE90及びUE95の構成例を示すブロック図である。Radio Frequency(RF)トランシーバ1101は、5G RAN80、81及び82と通信するためにアナログRF信号処理を行う。RFトランシーバ1101により行われるアナログRF信号処理は、周波数アップコンバージョン、周波数ダウンコンバージョン、及び増幅を含む。RFトランシーバ1101は、アンテナ1102及びベースバンドプロセッサ1103と結合される。すなわち、RFトランシーバ1101は、変調シンボルデータ(又はOFDMシンボルデータ)をベースバンドプロセッサ1103から受信し、送信RF信号を生成し、送信RF信号をアンテナ1102に供給する。また、RFトランシーバ1101は、アンテナ1102によって受信された受信RF信号に基づいてベースバンド受信信号を生成し、これをベースバンドプロセッサ1103に供給する。
ベースバンドプロセッサ1103は、無線通信のためのデジタルベースバンド信号処理(データプレーン処理)とコントロールプレーン処理を行う。デジタルベースバンド信号処理は、(a) データ圧縮/復元、(b) データのセグメンテーション/コンカテネーション、(c) 伝送フォーマット(伝送フレーム)の生成/分解、(d) 伝送路符号化/復号化、(e) 変調(シンボルマッピング)/復調、及び(f) Inverse Fast Fourier Transform(IFFT)によるOFDMシンボルデータ(ベースバンドOFDM信号)の生成などを含む。一方、コントロールプレーン処理は、レイヤ1(e.g., 送信電力制御)、レイヤ2(e.g., 無線リソース管理、及びhybrid automatic repeat request(HARQ)処理)、及びレイヤ3(e.g., アタッチ、モビリティ、及び通話管理に関するシグナリング)の通信管理を含む。
例えば、LTEおよびLTE-Advancedの場合、ベースバンドプロセッサ1103によるデジタルベースバンド信号処理は、Packet Data Convergence Protocol(PDCP)レイヤ、Radio Link Control(RLC)レイヤ、MACレイヤ、およびPHYレイヤの信号処理を含んでもよい。また、ベースバンドプロセッサ1103によるコントロールプレーン処理は、Non-Access Stratum(NAS)プロトコル、RRCプロトコル、及びMAC CEの処理を含んでもよい。
ベースバンドプロセッサ1103は、デジタルベースバンド信号処理を行うモデム・プロセッサ(e.g., Digital Signal Processor(DSP))とコントロールプレーン処理を行うプロトコルスタック・プロセッサ(e.g., Central Processing Unit(CPU)、又はMicro Processing Unit(MPU))を含んでもよい。この場合、コントロールプレーン処理を行うプロトコルスタック・プロセッサは、後述するアプリケーションプロセッサ1104と共通化されてもよい。
アプリケーションプロセッサ1104は、CPU、MPU、マイクロプロセッサ、又はプロセッサコアとも呼ばれる。アプリケーションプロセッサ1104は、複数のプロセッサ(複数のプロセッサコア)を含んでもよい。アプリケーションプロセッサ1104は、メモリ1106又は図示されていないメモリから読み出されたシステムソフトウェアプログラム(Operating System(OS))及び様々なアプリケーションプログラム(例えば、通話アプリケーション、WEBブラウザ、メーラ、カメラ操作アプリケーション、音楽再生アプリケーション)を実行することによって、UE90及びUE95の各種機能を実現する。
いくつかの実装において、図14に破線(1105)で示されているように、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのチップ上に集積されてもよい。言い換えると、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのSystem on Chip(SoC)デバイス1105として実装されてもよい。SoCデバイスは、システムLarge Scale Integration(LSI)またはチップセットと呼ばれることもある。
メモリ1106は、揮発性メモリ若しくは不揮発性メモリ又はこれらの組合せである。メモリ1106は、物理的に独立した複数のメモリデバイスを含んでもよい。揮発性メモリは、例えば、Static Random Access Memory(SRAM)若しくはDynamic RAM(DRAM)又はこれらの組み合わせである。不揮発性メモリは、マスクRead Only Memory(MROM)、Electrically Erasable Programmable ROM(EEPROM)、フラッシュメモリ、若しくはハードディスクドライブ、又はこれらの任意の組合せである。例えば、メモリ1106は、ベースバンドプロセッサ1103、アプリケーションプロセッサ1104、及びSoC1105からアクセス可能な外部メモリデバイスを含んでもよい。メモリ1106は、ベースバンドプロセッサ1103内、アプリケーションプロセッサ1104内、又はSoC1105内に集積された内蔵メモリデバイスを含んでもよい。さらに、メモリ1106は、Universal Integrated Circuit Card(UICC)内のメモリを含んでもよい。
メモリ1106は、上述の複数の実施形態で説明されたUE90及びUE95による処理を行うための命令群およびデータを含むソフトウェアモジュール(コンピュータプログラム)を格納してもよい。いくつかの実装において、ベースバンドプロセッサ1103又はアプリケーションプロセッサ1104は、当該ソフトウェアモジュールをメモリ1106から読み出して実行することで、上述の実施形態で説明されたUE90及びUE95の処理を行うよう構成されてもよい。
図15は、AuC40、AuC50、AuC51、AuC52、AuC60、AuC61、AuC62、HSS30、HSS35、及び、HSS36(以下、AuC40等とする)の構成例を示すブロック図である。図15を参照すると、AuC40等は、ネットワークインターフェース1201、プロセッサ1202、及びメモリ1203を含む。ネットワークインターフェース1201は、ネットワークノード(e.g., eNodeB130、MME、P-GW、)と通信するために使用される。ネットワークインターフェース1201は、例えば、IEEE 802.3 seriesに準拠したネットワークインタフェースカード(NIC)を含んでもよい。
プロセッサ1202は、メモリ1203からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態においてシーケンス図及びフローチャートを用いて説明されたAuC40等の処理を行う。プロセッサ1202は、例えば、マイクロプロセッサ、MPU、又はCPUであってもよい。プロセッサ1202は、複数のプロセッサを含んでもよい。
メモリ1203は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ1203は、プロセッサ1202から離れて配置されたストレージを含んでもよい。この場合、プロセッサ1202は、図示されていないI/Oインタフェースを介してメモリ1203にアクセスしてもよい。
図15の例では、メモリ1203は、ソフトウェアモジュール群を格納するために使用される。プロセッサ1202は、これらのソフトウェアモジュール群をメモリ1203から読み出して実行することで、上述の実施形態において説明されたAuC40等の処理を行うことができる。
図14及び図15を用いて説明したように、上述の実施形態にUE90及びUE95、AuC40、AuC50、AuC51、AuC52、60、AuC61、AuC62、HSS30、HSS35、及び、HSS36が有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。このプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、Compact Disc Read Only Memory(CD-ROM)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、Programmable ROM(PROM)、Erasable PROM(EPROM)、フラッシュROM、Random Access Memory(RAM))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本開示は、それぞれの実施の形態を適宜組み合わせて実施されてもよい。
以上、実施の形態を参照して本願開示を説明したが、本願開示は上記によって限定されるものではない。本願開示の構成や詳細には、開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2016年7月15日に出願された日本出願特願2016−140760を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 加入者情報管理装置
20 セキュリティ装置
30 HSS
31 通信部
32 情報管理部
35 HSS
36 HSS
40 AuC
41 通信部
42 セキュリティ情報管理部
43 NS鍵生成部
50 AuC
51 AuC
52 AuC
60 AuC
61 AuC
62 AuC
70 CPF
71 CPF
72 DEA
73 CPF
74 DEA
80 5G RAN
81 5G RAN
82 5G RAN
90 UE
91 通信部
92 NS鍵生成部
95 UE
100 コアネットワーク
101 HPLMN
102 VPLMN
110 NSシステム
111 NSシステム
112 NSシステム
120 NSシステム
121 NSシステム
122 NSシステム
130 NSシステム

Claims (10)

  1. コントロールプレーン装置と複数のネットワークスライスシステムと認証装置とを備える通信システムのための通信方法であって、
    前記コントロールプレーン装置が、通信端末から当該通信端末の識別情報と前記複数のネットワークスライスシステムに関する情報とを含む第1のメッセージを受信し、
    前記コントロールプレーン装置と前記認証装置とが、前記複数のネットワークスライスシステムに関する情報のそれぞれに対して前記通信端末を認証し、
    前記コントロールプレーン装置が、前記通信端末に前記認証が成功したか否かを含む第2のメッセージを送信する、通信方法。
  2. 請求項1に記載の通信方法であって、
    前記認証が失敗した場合は、前記コントロールプレーン装置が、前記認証の失敗に関するcause値を前記通信端末に送信する。
  3. 通信システムに用いられるコントロールプレーン装置であって、
    通信端末から当該通信端末の識別情報と複数のネットワークスライスシステムに関する情報とを含む第1のメッセージを受信する手段と、
    前記複数のネットワークスライスシステムに関する情報のそれぞれに対して、前記通信端末を認証する手段と、
    前記通信端末に前記認証が成功したか否かを含む第2のメッセージを送信する手段と
    を備える、コントロールプレーン装置。
  4. 請求項3に記載のコントロールプレーン装置であって、
    前記認証が失敗した場合は、当該コントロールプレーン装置は、前記認証の失敗に関するcause値を前記通信端末に送信する。
  5. 通信システムに用いられるコントロールプレーン装置のための方法であって、
    通信端末から当該通信端末の識別情報と複数のネットワークスライスシステムに関する情報とを含む第1のメッセージを受信し、
    前記複数のネットワークスライスシステムに関する情報のそれぞれに対して、前記通信端末を認証し、
    前記通信端末に前記認証が成功したか否かを含む第2のメッセージを送信する、方法。
  6. 請求項5に記載のコントロールプレーン装置のための方法であって、
    前記認証が失敗した場合は、当該コントロールプレーン装置は、前記認証の失敗に関するcause値を前記通信端末に送信する。
  7. コントロールプレーン装置と複数のネットワークスライスシステムとを備える通信システムと通信する通信端末であって、
    当該通信端末の識別情報と前記複数のネットワークスライスシステムに関する情報とを含む第1のメッセージを、前記コントロールプレーン装置に送信する手段と、
    前記複数のネットワークスライスシステムに関する情報のそれぞれに対して、当該通信端末の認証が成功したか否かを含む第2のメッセージを、前記コントロールプレーン装置から受信する手段と
    を備える、通信端末。
  8. 請求項7に記載の通信端末であって、
    前記認証が失敗した場合は、当該通信端末は、前記認証の失敗に関するcause値を前記コントロールプレーン装置から受信する。
  9. コントロールプレーン装置と複数のネットワークスライスシステムとを備える通信システムと通信する通信端末のための方法であって、
    当該通信端末の識別情報と前記複数のネットワークスライスシステムに関する情報とを含む第1のメッセージを、前記コントロールプレーン装置に送信し、
    前記複数のネットワークスライスシステムに関する情報のそれぞれに対して、当該通信端末の認証が成功したか否かを含む第2のメッセージを、前記コントロールプレーン装置から受信する、方法。
  10. 請求項9に記載の通信端末のための方法であって、
    前記認証が失敗した場合は、当該通信端末は、前記認証の失敗に関するcause値を前記コントロールプレーン装置から受信する。
JP2020163072A 2016-07-15 2020-09-29 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末 Active JP6962432B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016140760 2016-07-15
JP2016140760 2016-07-15
JP2018527677A JP6773116B2 (ja) 2016-07-15 2017-07-14 通信方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2018527677A Division JP6773116B2 (ja) 2016-07-15 2017-07-14 通信方法

Publications (2)

Publication Number Publication Date
JP2021010174A true JP2021010174A (ja) 2021-01-28
JP6962432B2 JP6962432B2 (ja) 2021-11-05

Family

ID=60952096

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018527677A Active JP6773116B2 (ja) 2016-07-15 2017-07-14 通信方法
JP2020163072A Active JP6962432B2 (ja) 2016-07-15 2020-09-29 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2018527677A Active JP6773116B2 (ja) 2016-07-15 2017-07-14 通信方法

Country Status (6)

Country Link
US (2) US20190246270A1 (ja)
EP (2) EP3767983A1 (ja)
JP (2) JP6773116B2 (ja)
KR (2) KR102140521B1 (ja)
CN (1) CN109479193B (ja)
WO (1) WO2018012611A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108012267B (zh) * 2016-10-31 2022-05-24 华为技术有限公司 一种网络认证方法、相关设备及***
US11902174B2 (en) * 2017-10-23 2024-02-13 Nokia Solutions And Networks Oy Network slice configuration
US20220046416A1 (en) * 2018-09-28 2022-02-10 Nec Corporation Core network device, communication terminal, communication system, authentication method, and communication method
US20200162919A1 (en) * 2018-11-16 2020-05-21 Lenovo (Singapore) Pte. Ltd. Accessing a denied network resource
CN111865872B (zh) * 2019-04-26 2021-08-27 大唐移动通信设备有限公司 一种网络切片内终端安全策略实现方法及设备
CN111414645B (zh) * 2020-03-19 2022-07-05 中国电子科技集团公司第三十研究所 一种实现隐私保护功能的安全hss/udm设计方法及***

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100904215B1 (ko) 2008-11-19 2009-06-25 넷큐브테크놀러지 주식회사 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
KR101504717B1 (ko) * 2010-09-16 2015-03-23 에스케이텔레콤 주식회사 단말 인증 처리 시스템 및 방법
CN103782615A (zh) * 2011-07-08 2014-05-07 诺基亚公司 用于订户向长期演进电信网络或通用移动电信***进行验证的方法和设备
WO2014022984A1 (zh) * 2012-08-08 2014-02-13 华为技术有限公司 信息处理方法和装置
WO2015071888A1 (en) * 2013-11-18 2015-05-21 Telefonaktiebolaget L M Ericsson (Publ) Multi-tenant isolation in a cloud environment using software defined networking
KR20150116092A (ko) * 2014-04-04 2015-10-15 한국전자통신연구원 슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치
US9526005B2 (en) 2014-04-17 2016-12-20 Mitel Mobility Inc. GSM A3/A8 authentication in an IMS network
US10074178B2 (en) 2015-01-30 2018-09-11 Dental Imaging Technologies Corporation Intra-oral image acquisition alignment
US10111163B2 (en) * 2015-06-01 2018-10-23 Huawei Technologies Co., Ltd. System and method for virtualized functions in control and data planes
US9930524B2 (en) * 2015-06-22 2018-03-27 Verizon Patent And Licensing Inc. Detecting a second user device identifier based on registration of a first user device identifier
EP3357267A1 (en) * 2015-09-29 2018-08-08 Telefonaktiebolaget LM Ericsson (PUBL) Securing network slice management
KR20200079352A (ko) * 2016-02-16 2020-07-02 아이디에이씨 홀딩스, 인크. 네트워크 슬라이싱 동작
CN108886678B (zh) * 2016-03-21 2020-03-10 华为技术有限公司 一种消息交互的方法、设备和***
JP2019096918A (ja) 2016-04-05 2019-06-20 シャープ株式会社 端末装置、基地局装置、MME(Mobility Management Entity)および通信制御方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
LG ELECTRONICS INC.: "Network Slice Selection considering Authentication and Authorization[online]", 3GPP TSG-SA WG2#116 S2-163395, JPN6021036128, 15 July 2016 (2016-07-15), ISSN: 0004594392 *
MOTOROLA MOBILITY, LENOVO, BROADCOM: "Solution: Simultaneous Access to Multiple Independent Network Slices[online]", 3GPP TSG-SA WG2#116 S2-163400, JPN6021036127, 15 July 2016 (2016-07-15), ISSN: 0004594391 *
NEC: "Solution: shared and dedicated network functions for network slicing[online]", 3GPP TSG-SA WG2#114 S2-161785, JPN6021036130, 15 April 2016 (2016-04-15), ISSN: 0004594393 *

Also Published As

Publication number Publication date
JP6962432B2 (ja) 2021-11-05
CN109479193B (zh) 2021-10-01
EP3767983A1 (en) 2021-01-20
US20190246270A1 (en) 2019-08-08
WO2018012611A1 (ja) 2018-01-18
US11153751B2 (en) 2021-10-19
JP6773116B2 (ja) 2020-10-21
EP3487198A4 (en) 2019-05-22
KR20190030714A (ko) 2019-03-22
KR20200093086A (ko) 2020-08-04
CN109479193A (zh) 2019-03-15
KR102140521B1 (ko) 2020-08-03
US20200252798A1 (en) 2020-08-06
KR102193511B1 (ko) 2020-12-21
JPWO2018012611A1 (ja) 2019-05-16
EP3487198A1 (en) 2019-05-22

Similar Documents

Publication Publication Date Title
JP6962432B2 (ja) 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末
US11937079B2 (en) Communication terminal, core network device, core network node, network node, and key deriving method
US11265705B2 (en) Communication system, communication terminal, AMF entity, and communication method
US11722891B2 (en) User authentication in first network using subscriber identity module for second legacy network
US20200329372A1 (en) Key derivation method, communication system, communication terminal, and communication device
US11297492B2 (en) Subscriber identity privacy protection and network key management
US11805409B2 (en) System and method for deriving a profile for a target endpoint device
US10798082B2 (en) Network authentication triggering method and related device
JP2018523418A (ja) セルラーアクセスネットワークノードのための識別子を含むネットワークアクセス識別子
CN112020869A (zh) 在通信***中的统一订阅标识符管理
JPWO2018079692A1 (ja) システム、基地局、コアネットワークノード、及び方法
TW202308363A (zh) 用於板載處理之使用者裝備與通訊網路間之認證技術
WO2020208295A1 (en) Establishing secure communication paths to multipath connection server with initial connection over private network
WO2018139588A1 (ja) 通信端末、情報管理方法、及びコンピュータ可読媒体
WO2020178046A1 (en) User equipment-initiated request for type of authentication and key agreement exchange in a communication system
WO2023142102A1 (en) Security configuration update in communication networks
WO2024092624A1 (en) Encryption key transfer method and device for roaming users in communication networks
US20230209343A1 (en) Network-assisted attachment for hybrid subscribers
WO2020090861A1 (ja) 通信端末、コアネットワーク装置、通信方法、及び通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200929

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210927

R150 Certificate of patent or registration of utility model

Ref document number: 6962432

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150