JP2023532016A - 匿名識別情報のためのサブスクリプション取出し - Google Patents

匿名識別情報のためのサブスクリプション取出し Download PDF

Info

Publication number
JP2023532016A
JP2023532016A JP2022580045A JP2022580045A JP2023532016A JP 2023532016 A JP2023532016 A JP 2023532016A JP 2022580045 A JP2022580045 A JP 2022580045A JP 2022580045 A JP2022580045 A JP 2022580045A JP 2023532016 A JP2023532016 A JP 2023532016A
Authority
JP
Japan
Prior art keywords
authentication
network node
subscriber information
network
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2022580045A
Other languages
English (en)
Other versions
JP7490095B2 (ja
Inventor
チェン ワン,
サモーラ, ダビド カステリャノス
マジナニ, ヘレナ バヒディ
クリスティーネ ヨースト,
Original Assignee
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エルエム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Publication of JP2023532016A publication Critical patent/JP2023532016A/ja
Application granted granted Critical
Publication of JP7490095B2 publication Critical patent/JP7490095B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

通信ネットワークにおいて動作する第1のネットワークノードが、通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信することができる。認証要求は第1の加入者情報を含むことができる。第1のネットワークノードは、第1の加入者情報が匿名識別子を含むと決定することができる。第1の加入者情報が匿名識別子を含むと決定したことに応答して、ネットワークノードは、実施されるべき認証プロシージャを決定することができる。ネットワークノードは、認証プロシージャの一部として通信デバイスに関連する情報を受信することができる。ネットワークノードは、通信デバイスに関連する情報に基づいて第2の加入者情報を生成することができる。【選択図】図3

Description

本開示は、一般に通信に関し、より詳細には、無線通信をサポートする、通信方法ならびに関係するデバイスおよびノードに関する。
図1は、第5世代(「5G」)基地局(「gNB」)と(ユーザ機器(「UE」)とも呼ばれる)複数の通信デバイス104とを含む5Gネットワークの一例を示す。
第3世代パートナーシッププロジェクト(「3GPP」)は、1次認証のためのおよび5Gシステムにアクセスするための、5G認証および鍵合意(「AKA」)または拡張認証プロトコル認証および鍵合意(「EAP-AKA」)(たとえば、拡張認証プロトコルトランスポートレイヤセキュリティ(「EAP-TLS」))以外の代替認証方法の使用を導入する。
代替認証方法は、プライベートネットワークにおいて、または隔離展開シナリオにおいてIoTデバイスとともに使用され得る。さらに、5Gシステムのための無線および有線コンバージェンス(「WWC」)の一部として、これは、有線アクセスを用いるプライベートまたは隔離シナリオにおいて、住宅用ゲートウェイの後ろにある非5G対応(「N5GC」)デバイス(たとえば、非アクセス階層(「NAS」)と5G鍵階層の導出とを含む5G能力がないデバイス)が、認証のためのおよび5Gシステムにアクセスするための代替EAP方法を利用することを可能にする。
いくつかの実施形態によれば、通信ネットワークにおいて第1のネットワークノードを動作させる方法が提供される。本方法は、通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信することを含むことができる。認証要求は第1の加入者情報を含むことができる。本方法は、第1の加入者情報が匿名識別子を含むと決定することをさらに含むことができる。本方法は、第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定することをさらに含むことができる。本方法は、実施されるべき認証プロシージャを決定したことに応答して、認証プロシージャの一部として通信デバイスに関連する情報を受信することをさらに含むことができる。本方法は、通信デバイスに関連する情報に基づいて第2の加入者情報を生成することをさらに含むことができる。
他の実施形態によれば、通信ネットワークにおいて第2のネットワークノードを動作させる方法が提供される。本方法は、第1のネットワークノードから、通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信することを含むことができる。認証要求は第1の加入者情報を含むことができる。本方法は、認証要求を受信したことに応答して、第1の加入者情報が匿名識別子を含むと決定することをさらに含むことができる。本方法は、第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定することをさらに含むことができる。本方法は、実施されるべき認証プロシージャを決定したことに応答して、第1のネットワークノードに認証応答を送信することをさらに含むことができる。認証応答は、認証プロシージャを示すインジケータと、加入者情報が匿名識別子を含むことを示すインジケータとを含むことができる。
他の実施形態によれば、第1のネットワークノード、第2のネットワークノード、コンピュータプログラム、および/またはコンピュータプログラム製品が、上記の方法を実施するために提供される。
本明細書で説明される様々な実施形態では、匿名SUCIがUEの初期登録中に供給されたことに応答して、所定の認証プロシージャが、ネットワークによって選定され、トリガされる。いくつかの実施形態では、AUSFノードが、所定の認証プロシージャにわたって取り出された情報に基づいて第2のSUCIまたはSUPIを生成し、匿名UEのための実際の認証サブスクリプションデータおよびSUPIを取り出す。したがって、匿名SUCIが5Gシステム制御シグナリング上で送られるとき、サブスクリプション取出しが利用可能である。
本開示のさらなる理解を提供するために含まれ、本出願に組み込まれ、本出願の一部をなす、添付の図面は、発明概念のいくつかの非限定的な実施形態を示す。
第5世代(「5G」)ネットワークの一例を示す概略図である。 初期認証のための5Gネットワーク上の拡張認証プロトコルトランスポートレイヤセキュリティ(「EAP-TLS」)認証プロシージャを使用することの一例を示す信号フロー図の前半部分である。 初期認証のための5Gネットワーク上の拡張認証プロトコルトランスポートレイヤセキュリティ(「EAP-TLS」)認証プロシージャを使用することの一例を示す信号フロー図の後半部分である。 いくつかの実施形態による、匿名識別情報(「ID」)のためのサブスクリプション取出しの一例を示す信号フロー図である。 いくつかの実施形態による、匿名識別情報(「ID」)のためのサブスクリプション取出しの別の例を示す信号フロー図である。 いくつかの実施形態による、通信デバイスの一例を示すブロック図である。 いくつかの実施形態による、無線アクセスネットワーク(「RAN」)ノードの一例を示すブロック図である。 いくつかの実施形態による、コアネットワーク(「CN」)ノードの一例を示すブロック図である。 いくつかの実施形態による、認証サーバ機能(「AUSF」)ノードの一例を示すブロック図である。 いくつかの実施形態による、統合データ管理(「UDM」)ノードの一例を示すブロック図である。 いくつかの実施形態による、第1のネットワークノード(たとえば、AUSFノード)によって実施されるプロセスの例を示すフローチャートである。 いくつかの実施形態による、第1のネットワークノード(たとえば、AUSFノード)によって実施されるプロセスの例を示すフローチャートである。 いくつかの実施形態による、第2のネットワークノード(たとえば、UDMノード)によって実施されるプロセスの例を示すフローチャートである。 いくつかの実施形態による、第2のネットワークノード(たとえば、UDMノード)によって実施されるプロセスの例を示すフローチャートである。
次に、発明概念の実施形態の例が示されている添付の図面を参照しながら、発明概念が以下でより十分に説明される。しかしながら、発明概念は、多くの異なる形態で具現され得、本明細書に記載される実施形態に限定されるものとして解釈されるべきではない。むしろ、これらの実施形態は、本開示が徹底的かつ完全であり、本発明概念の範囲を当業者に十分に伝達するように提供される。これらの実施形態は相互排他的でないことにも留意されたい。一実施形態からの構成要素が、別の実施形態において存在する/使用されると暗に仮定され得る。
図2は、代替認証プロセスの一例を示す。この例では、5Gネットワークとの初期認証のための、拡張認証プロトコルトランスポートレイヤセキュリティ(「EAP-TLS」)認証プロシージャが示されている。他のEAP方法が同様にサポートされ得る。
5Gシステムでは、加入者プライバシーは、たとえば、5Gシステムへの初期アクセスにおいて使用されることが予想されるサブスクリプション秘匿化識別子(「SUCI」)を導入することによって、著しく改善される。SUCIは、サブスクリプション永続識別子(「SUPI」)を保護する(たとえば、SUPIがオーバージエアで公開されるのを防ぐ)。SUCIは、公開鍵(たとえば、ホームネットワーク公開鍵)と、ホームネットワークを制御しているユニバーサル加入者識別モジュール(「USIM」)においてセキュアにプロビジョニングされた保護方式とを使用してSUPIを暗号化することによる秘匿化されたSUPIを含む。
ブロック205、210、215、および220は、SEAF204と、AUSF206と、UDM208とを含むネットワークへの、UE202の初期登録プロセスの一部であり得る。ブロック205において、UE202は、SUCIを含む登録要求をSEAF204に送信する。ブロック210において、SEAF204は、認証要求(たとえば、Nausf_UEAuthentication_AuthenticateRequest(SUCI、SN名))をAUSF206に送信する。ブロック215において、AUSF206は、認証要求(たとえば、Nudm_UEAuthenticate_Get Request(SUCI、SN名))をUDM208に送信する。ブロック220において、UDM208は、認証方法選択を実施する。この例では、UDM208は、UE202を認証するためにEAP-TLSプロセスを選択する。
ブロック225において、UDM208は、認証応答(たとえば、Nudm_UEAuthentication_GetResponse(SUPI、インジケータ(EAP-TLS)))をAUSF206に送信する。
ブロック230、235、240、245、250、255、260、265、270、275、280、285、290、292、294、および296は、EAP-TLS認証プロシージャの一例を示す。ブロック230において、AUSF206は、認証応答(たとえば、Nausf_UEAuthentication_AuthenticateResponse(EAP要求/EAPタイプ=EAP-TLS(TLS Start)))をSEAF204に送信する。ブロック235において、SEAF204は、認証要求(たとえば、Auth-Req.(EAP要求/EAPタイプ=EAP-TLS(TLS Start)、ngKSI、ABBA))をUE202に送信する。ブロック240において、UE202は、認証応答(たとえば、Auth-Resp.(EAP応答/EAPタイプ=EAP-TLS(TLS client_hello)))をSEAF204に送信する。ブロック245において、SEAF204は、認証要求(たとえば、Nausf_UEAuthentication_AuthenticateRequest(EAP応答/EAPタイプ=EAP-TLS(TLS client_hello)))をAUSF206に送信する。ブロック250において、AUSF206は、認証応答(たとえば、Nausf_UEAuthentication_AuthenticateResponse(EAP要求/EAPタイプ=EAP-TLS(TLS server_hello、TLS certificate、TLS server_key_exchange、TLS certificate_request、TLS server_hello_done)))をSEAF204に送信する。ブロック255において、SEAF204は、認証要求(たとえば、Auth-Req.(EAP要求/EAPタイプ=EAP-TLS(TLS server_hello、TLS certificate、TLS server_key_exchange、TLS certificate_request、TLS server_hello_done)、ngKSI、ABBA))をUE202に送信する。ブロック260において、UE202は、ネットワークを認証する。
ブロック265において、UE202は、認証応答(たとえば、Auth-Resp.(EAP要求/EAPタイプ=EAP-TLS(TLS certificate、TLS client_key_exchange、TLS certificate_verify、TLS change_cipher_spec、TLS finished)))をSEAF204に送信する。ブロック270において、SEAF204は、認証要求(たとえば、Nausf_UEAuthentication_AuthenticateRequest(EAP要求/EAPタイプ=EAP-TLS(TLS certificate、TLS client_key_exchange、TLS certificate_verify、TLS change_cipher_spec、TLS finished)))をAUSF206にフォワーディングする。ブロック275において、AUSF206は、UEを認証する。
ブロック280において、AUSF206は、認証応答(たとえば、Nausf_UEAuthentication_AuthenticateResponse(EAP要求/EAPタイプ=EAP-TLS(TLS change_cipher_spec、TLS finished)))をSEAF204に送信する。ブロック285において、SEAF204は、認証要求(たとえば、Auth-Req.(EAP要求/EAPタイプ=EAP-TLS(TLS change_cipher_spec、TLS finished)、ngKSI、ABBA))をUE202に送信する。ブロック290において、UE202は、認証応答(たとえば、Auth-Resp.(EAP応答/EAPタイプ=EAP-TLS))をSEAF204に送信する。ブロック292において、SEAF204は、認証要求(たとえば、Nausf_UEAuthentication_AuthenticateRequest(EAP応答/EAPタイプ=EAP-TLS))をAUSF206に送信する。ブロック294において、AUSF206は、認証応答(たとえば、Nausf_UEAuthentication_AuthenticateResponse(EAP成功、AnchorKey、SUPI))をSEAF204に送信する。ブロック296において、SEAF204は、N1メッセージ(たとえば、N1(EAP成功、ngKSI、ABBA))をUE202に送信する。
「ヌル方式」は、SUPIを秘匿化せず、代わりにクリアテキストにおいてSUPIを提供するダミー方式である。「ヌル方式」を使用することによって、SUPIを秘匿化する能力を有しない、レガシーUSIMを装備したデバイスまたはUEも、5Gシステムにアクセスすることができるが、SUPIを隠すアビリティ(ability)をもたない。
5Gシステムによって提供されるサブスクライブプライバシー特徴の他に、いくつかの認証方法が、本来の識別子プライバシー機構をサポートすることができる。たとえば、EAP TLSの場合、サブスクリプション識別子プライバシーは、本来的にTLS1.3において、またはTLS 1.2における別個のプライバシーオプションを介して、サポートされる。
サブスクリプション識別子保護は、5Gシステム制御シグナリングとEAPトランザクションの両方(たとえば図2中のブロック205および265)において対処される必要がある。EAP TLSが代替認証方法として使用され、「ヌル方式」が5Gシステム制御シグナリングにおいて(たとえば、NAS上で)使用されるとき、サブスクリプション識別子プライバシーは、EAP TLSがそれ自体のプライバシー保護を提供し得るが、「ヌル方式」を用いるSUCIがクリアテキストにおいてSUPIを開示するので、効果がないことがある。
それにより、SUPIのネットワークアクセス識別子(「NAI」)からユーザ名部分を省略するかまたはユーザ名を「匿名」としてセットすることによって、サブスクリプション識別子プライバシーを依然として維持しながら「ヌル方式」が使用され得ることが、3GPPにおいて推奨される。これは、EAPにおいて匿名識別子を使用することに類似し、これは、NAIからの領域(realm)部分のみがSUCIに含まれることを意味する。このようにして構築されたSUCIは、匿名SUCIと呼ばれることがある。
ただし、1次認証プロシージャにおける1つの必須のステップは、認証サーバ機能(「AUSF」)ノードが、SUCIに基づいて、統合データ管理(「UDM」)ノードからUEの認証サブスクリプションデータと秘匿化解除された(de-concealed)SUPIとをフェッチすることができることである。匿名SUCI(たとえば、ユーザ名なしのSUCIまたは「匿名」としてのユーザ名)を使用することによって、UDMがUEのサブスクリプションの位置を特定することまたは適切なSUPIをAUSFに提供することは、実現可能でないことがある。これは、認証プロシージャが失敗することにつながり得る。
本明細書で説明される様々な実施形態は、EAP TLS上で伝達される情報(たとえば、EAPトンネリングトランスポートレイヤセキュリティ(「TTLS」:tunneled transport layer security)からなど、TLSトンネル上で送るユーザの証明書またはUEのID)を第2のSUCIまたはSUPIにマッピングすることができるAUSFノードを提供する。AUSFは、次いで、UDMからUEの認証サブスクリプションデータおよび/または本物のSUPIをフェッチするために、第2のSUCIまたはSUPIを使用することができる。
いくつかの実施形態では、EAP TLS上で伝達される情報を第2のSUCIまたはSUPIにマッピングすることは、匿名SUCIが5Gシステム制御シグナリング上で送られるとき、サブスクリプション取出しを可能にすることができる。
図5は、発明概念の実施形態による、無線通信を提供するように設定された(モバイル端末、モバイル通信端末、無線デバイス、無線通信デバイス、無線端末、モバイルデバイス、無線通信端末、ユーザ機器(UE)、ユーザ機器ノード/端末/デバイスなどとも呼ばれる)通信デバイス500のエレメントを示すブロック図である。(通信デバイス500が提供され得る、)示されているように、通信デバイス500は、アンテナ507と、無線アクセスネットワークの(RANノードとも呼ばれる)(1つまたは複数の)基地局とのアップリンク無線通信およびダウンリンク無線通信を提供するように設定された送信機および受信機を含む(トランシーバとも呼ばれる)トランシーバ回路501とを含み得る。通信デバイス500は、トランシーバ回路に結合された(プロセッサとも呼ばれる)処理回路503と、処理回路に結合された(メモリとも呼ばれる)メモリ回路505とをも含み得る。メモリ回路505は、処理回路503によって実行されたとき、処理回路に、本明細書で開示される実施形態による動作を実施させる、コンピュータ可読プログラムコードを含み得る。他の実施形態によれば、処理回路503は、別個のメモリ回路が必要とされないようなメモリを含むように規定され得る。通信デバイス500は、処理回路503に結合された(ユーザインターフェースなどの)インターフェースをも含み得、および/または通信デバイスUEは車両に組み込まれ得る。
本明細書で説明されるように、通信デバイス500の動作は、処理回路503および/またはトランシーバ回路501によって実施され得る。たとえば、処理回路503は、(基地局とも呼ばれる)無線アクセスネットワークノードに無線インターフェース上でトランシーバ回路501を通して通信を送信し、および/またはRANノードから無線インターフェース上でトランシーバ回路501を通して通信を受信するように、トランシーバ回路501を制御し得る。その上、モジュールがメモリ回路505に記憶され得、これらのモジュールは、モジュールの命令が処理回路503によって実行されたとき、処理回路503がそれぞれの動作を実施するように、命令を提供し得る。
図6は、発明概念の実施形態による、セルラ通信を提供するように設定された無線アクセスネットワーク(RAN)の(ネットワークノード、基地局、eノードB/eNB、gノードB/gNBなどとも呼ばれる)無線アクセスネットワーク(「RAN」)ノード600のエレメントを示すブロック図である。(RANノード600が提供され得る)示されているように、RANノード600は、モバイル端末とのアップリンク無線通信およびダウンリンク無線通信を提供するように設定された送信機および受信機を含む(トランシーバとも呼ばれる)トランシーバ回路601を含み得る。RANノード600は、RANおよび/またはコアネットワークCNの他のノードとの(たとえば、他の基地局との)通信を提供するように設定された(ネットワークインターフェースとも呼ばれる)ネットワークインターフェース回路607を含み得る。RANノード600は、トランシーバ回路に結合された(プロセッサとも呼ばれる)処理回路603と、処理回路に結合された(メモリとも呼ばれる)メモリ回路605とをも含み得る。メモリ回路605は、処理回路603によって実行されたとき、処理回路に、本明細書で開示される実施形態による動作を実施させる、コンピュータ可読プログラムコードを含み得る。他の実施形態によれば、処理回路603は、別個のメモリ回路が必要とされないようなメモリを含むように規定され得る。
本明細書で説明されるように、RANノード600の動作は、処理回路603、ネットワークインターフェース607、および/またはトランシーバ601によって実施され得る。たとえば、処理回路603は、1つまたは複数のモバイル端末UEに、無線インターフェース上でトランシーバ601を通してダウンリンク通信を送信し、および/または無線インターフェース上で1つまたは複数のモバイル端末UEからトランシーバ601を通してアップリンク通信を受信するように、トランシーバ601を制御し得る。同様に、処理回路603は、1つまたは複数の他のネットワークノードに、ネットワークインターフェース607を通して通信を送信し、および/またはネットワークインターフェースを通して1つまたは複数の他のネットワークノードから通信を受信するように、ネットワークインターフェース607を制御し得る。その上、モジュールがメモリ605に記憶され得、これらのモジュールは、モジュールの命令が処理回路603によって実行されたとき、処理回路603がそれぞれの動作(たとえば、ネットワークノードに関係する例示的な実施形態に関して以下で説明される動作)を実施するような命令を提供し得る。
いくつかの他の実施形態によれば、ネットワークノードは、トランシーバがないコアネットワークCNノードとして実装され得る。そのような実施形態では、無線通信デバイスUEへの送信は、無線通信デバイスUEへの送信が、トランシーバを含むネットワークノードを通して(たとえば、基地局またはRANノードを通して)提供されるように、ネットワークノードによって始動され得る。ネットワークノードが、トランシーバを含むRANノードである実施形態によれば、送信を始動することは、トランシーバを通して送信することを含み得る。
図7は、発明概念の実施形態による、セルラ通信を提供するように設定された通信ネットワークのコアネットワーク(「CN」)ノード700(たとえば、SMFノード、AMFノード、AUSFノード、UDMノードなど)のエレメントを示すブロック図である。示されているように、CNノード700は、コアネットワークおよび/またはRANの他のノードとの通信を提供するように設定された(ネットワークインターフェースとも呼ばれる)ネットワークインターフェース回路707を含み得る。CNノード700は、ネットワークインターフェース回路に結合された(プロセッサとも呼ばれる)処理回路703と、処理回路に結合された(メモリとも呼ばれる)メモリ回路705とをも含み得る。メモリ回路705は、処理回路703によって実行されたとき、処理回路に、本明細書で開示される実施形態による動作を実施させる、コンピュータ可読プログラムコードを含み得る。他の実施形態によれば、処理回路703は、別個のメモリ回路が必要とされないようなメモリを含むように規定され得る。
本明細書で説明されるように、CNノード700の動作は、処理回路703および/またはネットワークインターフェース回路707によって実施され得る。たとえば、処理回路703は、1つまたは複数の他のネットワークノードにネットワークインターフェース回路707を通して通信を送信し、および/または1つまたは複数の他のネットワークノードからネットワークインターフェース回路を通して通信を受信するように、ネットワークインターフェース回路707を制御し得る。その上、モジュールがメモリ705に記憶され得、これらのモジュールは、モジュールの命令が処理回路703によって実行されたとき、処理回路703がそれぞれの動作を実施するように、命令を提供し得る。
図8は、発明概念の実施形態による、セルラ通信を提供するように設定された通信ネットワークの認証サーバ機能(「AUSF」)ノード800のエレメントを示すブロック図である。示されているように、AUSFノード800は、コアネットワークおよび/またはRANの他のノードとの通信を提供するように設定された(ネットワークインターフェースとも呼ばれる)ネットワークインターフェース回路807を含み得る。AUSFノード800は、ネットワークインターフェース回路に結合された(プロセッサとも呼ばれる)処理回路803と、処理回路に結合された(メモリとも呼ばれる)メモリ回路805とをも含み得る。メモリ回路805は、処理回路803によって実行されたとき、処理回路に、本明細書で開示される実施形態による動作を実施させる、コンピュータ可読プログラムコードを含み得る。他の実施形態によれば、処理回路803は、別個のメモリ回路が必要とされないようなメモリを含むように規定され得る。
本明細書で説明されるように、AUSFノード800の動作は、処理回路803および/またはネットワークインターフェース回路807によって実施され得る。たとえば、処理回路803は、1つまたは複数の他のネットワークノードにネットワークインターフェース回路807を通して通信を送信し、および/または1つまたは複数の他のネットワークノードからネットワークインターフェース回路を通して通信を受信するように、ネットワークインターフェース回路807を制御し得る。その上、モジュールがメモリ805に記憶され得、これらのモジュールは、モジュールの命令が処理回路803によって実行されたとき、処理回路803がそれぞれの動作を実施するように、命令を提供し得る。
図9は、発明概念の実施形態による、セルラ通信を提供するように設定された通信ネットワークの統合データ管理(「UDM」)ノード900のエレメントを示すブロック図である。示されているように、UDMノード900は、コアネットワークおよび/またはRANの他のノードとの通信を提供するように設定された(ネットワークインターフェースとも呼ばれる)ネットワークインターフェース回路907を含み得る。UDMノード900は、ネットワークインターフェース回路に結合された(プロセッサとも呼ばれる)処理回路903と、処理回路に結合された(メモリとも呼ばれる)メモリ回路905とをも含み得る。メモリ回路905は、処理回路903によって実行されたとき、処理回路に、本明細書で開示される実施形態による動作を実施させる、コンピュータ可読プログラムコードを含み得る。他の実施形態によれば、処理回路903は、別個のメモリ回路が必要とされないようなメモリを含むように規定され得る。
本明細書で説明されるように、UDMノード900の動作は、処理回路903および/またはネットワークインターフェース回路907によって実施され得る。たとえば、処理回路903は、1つまたは複数の他のネットワークノードにネットワークインターフェース回路907を通して通信を送信し、および/または1つまたは複数の他のネットワークノードからネットワークインターフェース回路を通して通信を受信するように、ネットワークインターフェース回路907を制御し得る。その上、モジュールがメモリ905に記憶され得、これらのモジュールは、モジュールの命令が処理回路903によって実行されたとき、処理回路903がそれぞれの動作を実施するように、命令を提供し得る。
図8~図9は独立したAUSFノード800およびUDMノード900を示すが、いくつかの実施形態では、CNノードが、処理回路とメモリとネットワークインターフェースとを含む1つまたは複数の構成要素を共有するAUSFレイヤとUDMレイヤとを含むことができる。
図3~図4は、匿名IDのためのサブスクリプション取出しのための2つの異なるプロセスを示す。図3と図4の両方が、ブロック305、310、335、340、345、350、355、360、および365を含む。図3は、AUSF206がSUCIをUDM208(たとえば、UDMノード900)に送信し、UDM208が、SUCIが匿名IDを含むと決定し、ダミーSUPIを生成し、ダミーSUPIをAUSF206に送信する、プロセスを示すブロック315、320、および325を含む。図4は、SUCIが匿名IDを含むとAUSF206(たとえば、図8中のAUSFノード800)が決定するプロセスを示すブロック430を含む。
ブロック305において、UE202は、5Gシステムに対する初期登録プロシージャをトリガし、加入者識別子として匿名SUCIを送る。UE202は、3GPP UEまたはN5GCであり得る。UE202がN5GCである場合、認証要求は、有線アクセスネットワークからの住宅用ゲートウェイ(「RG」)および有線アクセスゲートウェイ機能(「W-AGF」)など、中間ノードを介してSEAF204に到達し得る。いくつかの例では、匿名SUCIは、N5GCのためにW-AGFによって生成され得る。
ブロック310において、SEAF204(または認証管理機能(「AMF」)ノード)は、受信された登録要求中のSUCIのホームネットワーク識別子に基づいてAUSF206を選択し、認証プロシージャをトリガするために認証要求メッセージ(たとえば、Nausf_UEAuthentication_Authenticate Requestメッセージ)をAUSF206に送る。いくつかの例では、UEがN5GCである場合、認証要求メッセージは、要求がN5GCデバイスのためのものであるというインジケータをも含み得る。
ブロック315において、AUSF206は、UE202のための認証サブスクリプションデータおよび秘匿化解除されたSUPIを要求するために認証要求(たとえば、Nudm_UEAuthentication_Get Request)をUDM208に送る。認証要求は、N5GCデバイスまたは3GPP UEの匿名SUCIを含むことができる。
ブロック320において、UDM208は、その匿名SUCIをSUPIにマッピングし、それが匿名SUCIであると決定するために、加入者識別情報秘匿化解除機能(「SIDF」:subscriber identity de-concealing function)を呼び出す。UDM208は、ダミーSUPIを生成し、ダミーSUPIのためのデフォルト認証方法(たとえば、EAP-TLS)を選択する。
ブロック325において、UDM208は、ダミーSUPIおよび/またはダミー認証サブスクリプションのインジケータを含む、認証応答(たとえば、Nudm_UEAuthentication_Get Response)をAUSF206に送信する。
ブロック315、320、および325の代わりに、図4はブロック430を含む。ブロック430において、AUSF206は、ブロック310においてSEAF204から受信された情報に基づいて、受信されたSUCIが匿名SUCIであるとAUSF206自体によって決定する。たとえば、AUSF206は、SEAF204から受信された情報中でN5GCインジケータを検出し得る。いくつかの実施形態では、プロセスは、AUSF206が、UDM208から受信された情報に基づいて、受信されたSUCIが匿名SUCIであると決定するように、ブロック315、320、325、および430のうちのいくつかを含み得る。たとえば、AUSF206は、UDM208からブロック325においてエラーコードを受信し得る。AUSF206は、次いで、モバイルネットワークオペレータ(「MNO」)ポリシに基づいて、匿名SUCIのためのデフォルト認証方法(たとえば、EAP-TLS)を選択することができる。
ブロック335において、認証プロシージャが進行する(たとえば、図2に示されているようなEAP TLSフロー)。
ブロック340において、AUSF206がUE識別子情報(たとえば、TLSトンネル上で送られたクライアント証明書または識別子)を受信すると、AUSF206は、EAP認証方法中に使用されるUE識別子情報に基づいて3GPP識別子を生成する。UE識別子情報が、3GPP永続識別子(たとえば、SUPI)であるのか、3GPPサブスクリプションに対する仮名IDとして働くことができる識別子であるのかに応じて、AUSFは、ヌル方式またはSUPIを使用して第2のSUCIを構築する。たとえば、第2のSUCIまたはSUPIは、TLSトンネル上で送られたクライアント証明書またはユーザ名の一部であるかあるいはそのクライアント証明書またはユーザ名からマッピングされた識別情報を含むことができる。
ブロック345において、AUSF206は、UE202のための認証サブスクリプションデータおよび/または秘匿化解除されたSUPIを要求するために認証要求(たとえば、Nudm_UEAuthentication_Get Request)をUDM208に送信する。認証要求は、第2のSUCIまたはSUPI、および随意に、1つのデフォルト認証方法(たとえばEAP TLS)がUE202のために実施されたというインジケータを含む。
ブロック350において、第2のSUCIが受信された場合、UDM208は、第2のSUCIをSUPIにマッピングするためにSIDFを呼び出す。UDM208は、次いで、(第2のSUCIからマッピングされたまたはAUSF206から受信された)SUPIに対応するサブスクリプションデータに基づいて認証方法(たとえば、EAP-TLS)を選択する。UDM208は、1つのデフォルト認証方法(たとえばEAP TLS)がUE202のために実施されたというインジケータを考慮して、SUPIのための実際の認証方法を選択し得る。
ブロック355において、UDM208は、SUPIと選択された認証方法(たとえば、EAP-TLS)のインジケータとを含む認証応答(たとえば、Nudm_UEAuthentication_Get Response)をAUSF206に送信する。
ブロック360において、AUSF206は、UDM208から受信された情報と、UDM208による実際の選択された認証方法が以前の動作において実施されたものと一致することとを確認する。
UDM208によって異なる認証方法が選択された場合、AUSF206は、既存の認証トランザクションを閉じ、実際の選択された認証方法に基づいて新しい認証プロシージャをトリガし得る。他の場合、ブロック365において、認証プロシージャの残りが進行する(たとえば、図2に示されているEAP TLSフローの残り)。いくつかの例では、AUSF206は、SEAF204に認証結果および/または実際のSUPIを送信する。
次に、発明概念のいくつかの実施形態による、図10~図11のフローチャートを参照しながら、AUSFノードの動作が説明される。図10~図11は、(図8のブロック図の構造を使用して実装された)AUSFノード800によって実施されるものとして以下で説明される。たとえば、モジュールが図8のメモリ805に記憶され得、これらのモジュールは、モジュールの命令がそれぞれのAUSF処理回路803によって実行されたとき、処理回路803がフローチャートのそれぞれの動作を実施するような命令を提供し得る。しかしながら、図10~図11中の動作は、任意の好適なネットワークノードによって実施され得る。
図10は、第1の加入者情報が匿名識別子を含むとき、(匿名識別子をもたない)第2の加入者情報を生成するために第1のネットワークノードによって実施されるプロセスの一例を示す。
ブロック1010において、処理回路803は、ネットワークインターフェース807を介して、第1の加入者情報を含む、通信デバイスに関連する認証要求を受信する。いくつかの実施形態では、認証要求は、5Gネットワークである通信ネットワークに登録するための通信デバイスによる要求の一部である。追加または代替の実施形態では、第1の加入者情報は、サブスクリプション秘匿化識別子(SUCI)を含む。追加または代替の実施形態では、認証要求は、通信デバイスがN5GCデバイスであることを示すインジケータをさらに含む。
ブロック1020において、処理回路803は、ネットワークインターフェース807を介して、第1の加入者情報を含む第1のメッセージを第2のネットワークノードに送信する。いくつかの実施形態では、第2のネットワークノードは、UDMノード(たとえば、図9中のUDMノード900)である。
ブロック1030において、処理回路803は、ネットワークインターフェース807を介して、第2のネットワークノードから第2のメッセージを受信する。いくつかの実施形態では、第2のメッセージは、第1の加入者情報が匿名識別子を含むことを示すインジケータを含む。追加または代替の実施形態では、第2のメッセージは、実施されるべき認証プロシージャを示すインジケータを含む。
ブロック1040において、処理回路803は、第1の加入者情報が匿名識別子を含むと決定する。いくつかの実施形態では、処理回路803は、第2のメッセージ中のインジケータに基づいて、第1の加入者情報が匿名識別子を含むと決定する。追加または代替の実施形態では、処理回路803は、通信デバイスがN5GCデバイスであることを示すインジケータを含む認証要求に基づいて、第1の加入者情報が匿名識別子を含むと決定する。
ブロック1050において、処理回路803は、実施されるべき認証プロシージャを決定する。いくつかの実施形態では、認証プロシージャは、第1の加入者情報が匿名識別子を含むことに応答して選択される、所定のまたはデフォルトの認証プロシージャである。追加または代替の実施形態では、認証プロシージャは、EAP-TLSを含む。
ブロック1060において、処理回路803は、ネットワークインターフェース807を介して、認証プロシージャの一部として通信デバイスに関連する情報を受信する。
ブロック1070において、処理回路803は、通信デバイスに関連する情報に基づいて第2の加入者情報を生成する。いくつかの実施形態では、第2の加入者情報は、SUCIまたはSUPIを含む。
図11は、第2の加入者情報に関連する認証サブスクリプションデータを確認するために第1のネットワークノードによって実施される追加のプロセスの一例を示す。
ブロック1175において、処理回路803は、ネットワークインターフェース807を介して、第2の加入者情報を含む第3のメッセージを第2のネットワークノードに送信する。
ブロック1180において、処理回路803は、ネットワークインターフェース807を介して、通信デバイスに関連する認証サブスクリプションデータを含む第4のメッセージを第2のネットワークノードから受信する。
ブロック1190において、処理回路803は、認証サブスクリプションデータを確認する。いくつかの実施形態では、第4のメッセージは、認証サブスクリプションデータに関連する第2の認証プロシージャを含む。第2の認証プロシージャが所定の/デフォルトの認証プロシージャとは異なる場合、処理回路803は、第2の認証プロシージャを実施し、第2の認証プロシージャの一部として受信された情報に基づいて第2の加入者情報を再生成し得る。追加または代替の実施形態では、認証サブスクリプションデータを確認することは、認証サブスクリプションデータに関連する第3の加入者情報が第2の加入者情報に一致すると決定することを含むことができる。
図10~図11の様々な動作は、通信デバイスおよび関係する方法のいくつかの実施形態に関して随意であり得る。たとえば、以下の例示的な実施形態1の方法に関して、図10のブロック1020、1030、1050、および1060と、図11のブロック1175、1180、および1190との動作は随意であり得る。
次に、発明概念のいくつかの実施形態による、図12~図13のフローチャートを参照しながら、UDMノードの動作が説明される。図12~図13は、(図9のブロック図の構造を使用して実装された)UDMノード900によって実施されるものとして以下で説明される。たとえば、モジュールが図9のメモリ905に記憶され得、これらのモジュールは、モジュールの命令がそれぞれのUDM処理回路903によって実行されたとき、処理回路903がフローチャートのそれぞれの動作を実施するような命令を提供し得る。しかしながら、図12~図13中の動作は、任意の好適なネットワークノードによって実施され得る。
図12は、第1の加入者情報が匿名識別子を含むとき、(匿名識別子をもたない)第2の加入者情報を取得し、確認するために第2のネットワークノードによって実施されるプロセスの一例を示す。
ブロック1210において、処理回路903は、ネットワークインターフェース907を介して、第1の加入者情報を含む、通信デバイスに関連する認証要求を受信する。いくつかの実施形態では、認証要求は、5Gネットワークである通信ネットワークに登録するための通信デバイスによる要求の一部である。追加または代替の実施形態では、第1の加入者情報は、サブスクリプション秘匿化識別子(SUCI)を含む。追加または代替の実施形態では、認証要求は、通信デバイスがN5GCデバイスであることを示すインジケータをさらに含む。
ブロック1220において、処理回路903は、第1の加入者情報が匿名識別子を含むと決定する。いくつかの実施形態では、第1の加入者情報が匿名識別子を含むと決定することは、第1の加入者情報を秘匿化解除することを試みることを含む。追加または代替の実施形態では、第1の加入者情報が匿名識別子を含むと決定することは、通信デバイスがN5GCデバイスであることを示すインジケータを検出することを含む。
ブロック1230において、処理回路903は、実施されるべき認証プロシージャを決定する。いくつかの実施形態では、認証プロシージャは、第1の加入者情報が匿名識別子を含むことに応答して選択される、所定のまたはデフォルトの認証プロシージャである。追加または代替の実施形態では、認証プロシージャは、EAP-TLSを含む。
ブロック1240において、処理回路903は、ネットワークインターフェース907を介して、認証プロシージャを示すインジケータと、第1の加入者情報が匿名識別子を含むことを示すインジケータとを含む認証応答を送信する。いくつかの実施形態では、第1の加入者情報が匿名識別子を含むことを示すインジケータは、ダミー加入者情報を含むことができる。
ブロック1250において、処理回路903は、ネットワークインターフェース907を介して、第2の加入者情報を含む、通信デバイスに関連する第2の認証要求を受信する。いくつかの実施形態では、第2の認証要求は、認証プロシージャが実施されたことを示すインジケータをさらに含むことができる。
ブロック1270において、処理回路903は、第2の加入者情報に関連する第2の認証プロシージャを決定する。
ブロック1280において、処理回路903は、ネットワークインターフェース907を介して、第2の認証プロシージャを示すインジケータを含む第2の認証応答を送信する。
図13は、第2の加入者情報が、秘匿化された識別子(たとえば、SUCI)を含むことに応答して第2のネットワークノードによって実施される追加の動作の一例を示す。ブロック1360において、処理回路903は、第2の加入者情報の秘匿化解除されたバージョン、たとえば、SUPIを決定する。ブロック1380において、処理回路903は、ネットワークインターフェース907を介して、第2の加入者情報の秘匿化解除されたバージョンを含む第2の認証応答を送信する。
図12~図13の様々な動作は、通信デバイスおよび関係する方法のいくつかの実施形態に関して随意であり得る。たとえば、以下の例示的な実施形態9の方法に関して、図12のブロック1250、1270、および1280と、図13のブロック1360および1380との動作は随意であり得る。
例示的な実施形態が以下に含まれる。
実施形態1. 通信ネットワークにおいて第1のネットワークノードを動作させる方法であって、方法は、
通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1010)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1010)と、
第1の加入者情報が匿名識別子を含むと決定すること(1040)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1050)と、
実施されるべき認証プロシージャを決定したことに応答して、認証プロシージャの一部として通信デバイスに関連する情報を受信すること(1060)と、
通信デバイスに関連する情報に基づいて第2の加入者情報を生成すること(1070)と
を含む、方法。
実施形態2. 第1のネットワークノードが認証サーバ機能(AUSF)ノードであり、
通信ネットワークが第5世代(5G)ネットワークである、実施形態1に記載の方法。
実施形態3. 第1の加入者情報が第1のサブスクリプション秘匿化識別子(SUCI)を備え、
第2の加入者情報が第2のSUCIまたはサブスクリプション永続識別子(SUPI)を備える、実施形態1または2に記載の方法。
実施形態4. 認証要求は、通信デバイスが非5G対応(N5GC)デバイスであることを示すインジケータをさらに含み、
第1の加入者情報が匿名識別子を含むと決定することは、通信デバイスがN5GCデバイスであることを示すインジケータを含む認証要求に基づいて、第1の加入者情報が匿名識別子を含むと決定することを含む、実施形態1から3のいずれか1つに記載の方法。
実施形態5.
認証要求を受信したことに応答して、第2のネットワークノードに第1のメッセージを送信すること(1020)であって、第1のメッセージが第1の加入者情報を含む、第1のメッセージを送信すること(1020)と、
第2のネットワークノードに第1のメッセージを送信したことに応答して、第2のネットワークノードから第2のメッセージを受信すること(1030)であって、第2のメッセージは、第1の加入者情報が匿名識別子を含むことを示す第1のインジケータと、認証を示す第2のインジケータとを含む、第2のメッセージを受信すること(1030)と
をさらに含み、
第1の加入者情報が匿名識別子を含むと決定することは、第1のインジケータに基づいて、第1の加入者情報が匿名識別子を含むと決定することを含み、
実施されるべき認証プロシージャを決定することは、第2のインジケータに基づいて、実施されるべき認証プロシージャを決定することを含む、実施形態1から4のいずれか1つに記載の方法。
実施形態6.
第2の加入者情報を生成したことに応答して、第2のネットワークノードに第3のメッセージを送信すること(1175)であって、第3のメッセージが、第2の加入者情報と、認証方法が実施されたことを示すインジケータとを含む、第3のメッセージを送信すること(1175)と、
第3のメッセージを送信したことに応答して、第2のネットワークノードから第4のメッセージを受信すること(1180)であって、第4のメッセージが、通信デバイスに関連する認証サブスクリプションデータを含む、第4のメッセージを受信すること(1180)と、
第4のメッセージを受信したことに応答して、認証サブスクリプションデータを確認すること(1190)と
をさらに含む、実施形態1から5のいずれか1つに記載の方法。
実施形態7. 第4のメッセージが、認証サブスクリプションデータに関連する第2の認証プロシージャをさらに含み、
認証サブスクリプションデータを確認することは、
認証サブスクリプションデータに関連する第3の加入者情報が第2の加入者情報に一致すると決定することと、
第2の認証プロシージャが認証プロシージャに一致すると決定することと
を含む、実施形態6に記載の方法。
実施形態8. 第2のネットワークノードが統合データ管理(UDM)ノードである、実施形態5から7のいずれか1つに記載の方法。
実施形態9. 認証プロシージャが、拡張認証プロトコル(EAP)トランスポートレイヤセキュリティ(TLS)と、EAPトンネリングトランスポートレイヤセキュリティ(TTLS)とのうちの少なくとも1つを備え、
情報が、クライアント証明書とユーザ名とのうちの少なくとも1つを備え、
認証プロシージャの一部として通信デバイスに関連する情報を受信することが、
EAP-TLSを介してクライアント証明書を受信することと、
EAP-TTLSを介してユーザ名を受信することと
のうちの少なくとも1つを含む、請求項1から8のいずれか一項に記載の方法。
実施形態10. 通信ネットワークにおいて第2のネットワークノードを動作させる方法であって、方法は、
第1のネットワークノードから、通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1210)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1210)と、
認証要求を受信したことに応答して、第1の加入者情報が匿名識別子を含むと決定すること(1220)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1230)と、
実施されるべき認証プロシージャを決定したことに応答して、第1のネットワークノードに認証応答を送信すること(1240)であって、認証応答が、認証プロシージャを示すインジケータと、加入者情報が匿名識別子を含むことを示すインジケータとを含む、認証応答を送信すること(1240)と
を含む、方法。
実施形態11.
認証応答を送信したことに応答して、通信ネットワークへの登録を要求する通信デバイスに関連する第2の認証要求を受信すること(1250)であって、第2の認証要求は、第2の加入者情報と、認証プロシージャが実施されたことを示すインジケータとを含む、第2の認証要求を受信すること(1250)と、
第2の認証要求を受信したことに応答して、第2の加入者情報に関連する第2の認証プロシージャを決定すること(1270)と、
第2の認証プロシージャを決定したことに応答して、第1のネットワークノードに第2の認証応答を送信すること(1280)であって、第2の認証応答が、第2の認証プロシージャを示すインジケータを含む、第2の認証応答を送信すること(1280)と
をさらに含む、実施形態10に記載の方法。
実施形態12. 第1の加入者情報が第1のサブスクリプション秘匿化識別子(SUCI)を備え、
第2の加入者情報が第2のSUCIまたはサブスクリプション永続識別子(SUPI)を備える、実施形態11に記載の方法。
実施形態13. 第2の加入者情報が第2のSUCIを備え、
方法が、第2の認証要求を受信したことに応答して、加入者識別情報秘匿化解除機能(SIDF)を使用してSUCIに基づいてSUPIを決定すること(1360)をさらに含み、
第2の認証応答がSUPIをさらに含む、実施形態12に記載の方法。
実施形態14. 第2のネットワークノードが統合データ管理(UDM)ノードであり、
第1のネットワークノードが認証サーバ機能(AUSF)ノードであり、
通信ネットワークが第5世代(5G)ネットワークである、実施形態10から13のいずれか1つに記載の方法。
実施形態15. 通信ネットワークにおいて動作する第1のネットワークノード(700、800)であって、第1のネットワークノードが、
処理回路(703、803)と、
処理回路に結合され、命令を記憶したメモリ(705、805)と
を備え、命令が、第1のネットワークノードに動作を実施させるために処理回路によって実行可能であり、動作は、
通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1010)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1010)と、
第1の加入者情報が匿名識別子を含むと決定すること(1040)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1050)と、
実施されるべき認証プロシージャを決定したことに応答して、認証プロシージャの一部として通信デバイスに関連する情報を受信すること(1060)と、
通信デバイスに関連する情報に基づいて第2の加入者情報を生成すること(1070)と
を含む、第1のネットワークノード(700、800)。
実施形態16. 第1のネットワークノードが認証サーバ機能(AUSF)ノードであり、
通信ネットワークが第5世代(5G)ネットワークである、実施形態15に記載の第1のネットワークノード。
実施形態17. 第1の加入者情報が第1のサブスクリプション秘匿化識別子(SUCI)を備え、
第2の加入者情報が第2のSUCIまたはサブスクリプション永続識別子(SUPI)を備える、実施形態15または16に記載の第1のネットワークノード。
実施形態18. 認証要求は、通信デバイスが非5G対応(N5GC)デバイスであることを示すインジケータをさらに含み、
第1の加入者情報が匿名識別子を含むと決定することは、通信デバイスがN5GCデバイスであることを示すインジケータを含む認証要求に基づいて、第1の加入者情報が匿名識別子を含むと決定することを含む、実施形態15から17のいずれか1つに記載の第1のネットワークノード。
実施形態19. 動作は、
認証要求を受信したことに応答して、第2のネットワークノードに第1のメッセージを送信すること(1020)であって、第1のメッセージが第1の加入者情報を含む、第1のメッセージを送信すること(1020)と、
第2のネットワークノードに第1のメッセージを送信したことに応答して、第2のネットワークノードから第2のメッセージを受信すること(1030)であって、第2のメッセージは、第1の加入者情報が匿名識別子を含むことを示す第1のインジケータと、認証を示す第2のインジケータとを含む、第2のメッセージを受信すること(1030)と
をさらに含み、
第1の加入者情報が匿名識別子を含むと決定することは、第1のインジケータに基づいて、第1の加入者情報が匿名識別子を含むと決定することを含み、
実施されるべき認証プロシージャを決定することは、第2のインジケータに基づいて、実施されるべき認証プロシージャを決定することを含む、実施形態15から18のいずれか1つに記載の第1のネットワークノード。
実施形態20. 動作は、
第2の加入者情報を生成したことに応答して、第2のネットワークノードに第3のメッセージを送信すること(1175)であって、第3のメッセージが、第2の加入者情報と、認証方法が実施されたことを示すインジケータとを含む、第3のメッセージを送信すること(1175)と、
第3のメッセージを送信したことに応答して、第2のネットワークノードから第4のメッセージを受信すること(1180)であって、第4のメッセージが、通信デバイスに関連する認証サブスクリプションデータを含む、第4のメッセージを受信すること(1180)と、
第4のメッセージを受信したことに応答して、認証サブスクリプションデータを確認すること(1190)と
をさらに含む、実施形態15から19のいずれか1つに記載の第1のネットワークノード。
実施形態21. 第4のメッセージが、認証サブスクリプションデータに関連する第2の認証プロシージャをさらに含み、
認証サブスクリプションデータを確認することは、
認証サブスクリプションデータに関連する第3の加入者情報が第2の加入者情報に一致すると決定することと、
第2の認証プロシージャが認証プロシージャに一致すると決定することと
を含む、実施形態20に記載の第1のネットワークノード。
実施形態22. 第2のネットワークノードが統合データ管理(UDM)ノードである、実施形態19から21のいずれか1つに記載の第1のネットワークノード。
実施形態23. 認証プロシージャが、拡張認証プロトコル(EAP)トランスポートレイヤセキュリティ(TLS)と、EAPトンネリングトランスポートレイヤセキュリティ(TTLS)とのうちの少なくとも1つを備え、
情報が、クライアント証明書とユーザ名とのうちの少なくとも1つを備え、
認証プロシージャの一部として通信デバイスに関連する情報を受信することが、
EAP-TLSを介してクライアント証明書を受信することと、
EAP-TTLSを介してユーザ名を受信することと
のうちの少なくとも1つを含む、請求項15から22のいずれか一項に記載の第1のネットワークノード。
実施形態24. 通信ネットワークにおいて動作する第1のネットワークノード(700、800)であって、第1のネットワークノードが動作を実施するように適合され、動作は、
通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1010)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1010)と、
第1の加入者情報が匿名識別子を含むと決定すること(1040)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1050)と、
実施されるべき認証プロシージャを決定したことに応答して、認証プロシージャの一部として通信デバイスに関連する情報を受信すること(1060)と、
通信デバイスに関連する情報に基づいて第2の加入者情報を生成すること(1070)と
を含む、第1のネットワークノード(700、800)。
実施形態25. 動作が、実施形態2から9に記載のいずれかの動作をさらに含む、実施形態24に記載の第1のネットワークノード。
実施形態26. 通信ネットワークにおいて動作する第1のネットワークノード(700、800)の処理回路(703、803)によって実行されるべきプログラムコードを備えるコンピュータプログラムであって、それにより、プログラムコードの実行が、第1のネットワークノードに動作を実施させ、動作は、
通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1010)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1010)と、
第1の加入者情報が匿名識別子を含むと決定すること(1040)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1050)と、
実施されるべき認証プロシージャを決定したことに応答して、認証プロシージャの一部として通信デバイスに関連する情報を受信すること(1060)と、
通信デバイスに関連する情報に基づいて第2の加入者情報を生成すること(1070)と
を含む、コンピュータプログラム。
実施形態27. 動作が、実施形態2から9に記載のいずれかの動作をさらに含む、実施形態26に記載のコンピュータプログラム。
実施形態28. 通信ネットワークにおいて動作する第1のネットワークノード(700、800)の処理回路(703、803)によって実行されるべきプログラムコードを含む非一時的記憶媒体(705、805)を備えるコンピュータプログラム製品であって、それにより、プログラムコードの実行が、第1のネットワークノードに動作を実施させ、動作は、
通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1010)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1010)と、
第1の加入者情報が匿名識別子を含むと決定すること(1040)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1050)と、
実施されるべき認証プロシージャを決定したことに応答して、認証プロシージャの一部として通信デバイスに関連する情報を受信すること(1060)と、
通信デバイスに関連する情報に基づいて第2の加入者情報を生成すること(1070)と
を含む、コンピュータプログラム製品。
実施形態29. 動作が、実施形態2から9に記載のいずれかの動作をさらに含む、実施形態26に記載のコンピュータプログラム製品。
実施形態30. 通信ネットワークにおいて動作する第2のネットワークノード(700、900)であって、第2のネットワークノードが、
処理回路(703、903)と、
処理回路に結合され、命令を記憶したメモリ(705、905)と
を備え、命令が、第2のネットワークノードに動作を実施させるために処理回路によって実行可能であり、動作は、
第1のネットワークノードから、通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1210)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1210)と、
認証要求を受信したことに応答して、第1の加入者情報が匿名識別子を含むと決定すること(1220)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1230)と、
実施されるべき認証プロシージャを決定したことに応答して、第1のネットワークノードに認証応答を送信すること(1240)であって、認証応答が、認証プロシージャを示すインジケータと、加入者情報が匿名識別子を含むことを示すインジケータとを含む、認証応答を送信すること(1240)と
を含む、第2のネットワークノード(700、900)。
実施形態31. 動作は、
認証応答を送信したことに応答して、通信ネットワークへの登録を要求する通信デバイスに関連する第2の認証要求を受信すること(1250)であって、第2の認証要求は、第2の加入者情報と、認証プロシージャが実施されたことを示すインジケータとを含む、第2の認証要求を受信すること(1250)と、
第2の認証要求を受信したことに応答して、第2の加入者情報に関連する第2の認証プロシージャを決定すること(1270)と、
第2の認証プロシージャを決定したことに応答して、第1のネットワークノードに第2の認証応答を送信すること(1280)であって、第2の認証応答が、第2の認証プロシージャを示すインジケータを含む、第2の認証応答を送信すること(1280)と
をさらに含む、実施形態30に記載の第2のネットワークノード。
実施形態32. 第1の加入者情報が第1のサブスクリプション秘匿化識別子(SUCI)を備え、
第2の加入者情報が第2のSUCIまたはサブスクリプション永続識別子(SUPI)を備える、実施形態31に記載の第2のネットワークノード。
実施形態33. 第2の加入者情報が第2のSUCIを備え、
動作が、第2の認証要求を受信したことに応答して、加入者識別情報秘匿化解除機能(SIDF)を使用してSUCIに基づいてSUPIを決定すること(1360)をさらに含み、
第2の認証応答がSUPIをさらに含む、実施形態32に記載の第2のネットワークノード。
実施形態34. 第2のネットワークノードが統合データ管理(UDM)ノードであり、
第1のネットワークノードが認証サーバ機能(AUSF)ノードであり、
通信ネットワークが第5世代(5G)ネットワークである、実施形態30から33のいずれか1つに記載の第2のネットワークノード。
実施形態35. 通信ネットワークにおいて動作する第2のネットワークノード(700、900)であって、第2のネットワークノードが動作を実施するように適合され、動作は、
第1のネットワークノードから、通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1210)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1210)と、
認証要求を受信したことに応答して、第1の加入者情報が匿名識別子を含むと決定すること(1220)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1230)と、
実施されるべき認証プロシージャを決定したことに応答して、第1のネットワークノードに認証応答を送信すること(1240)であって、認証応答が、認証プロシージャを示すインジケータと、加入者情報が匿名識別子を含むことを示すインジケータとを含む、認証応答を送信すること(1240)と
を含む、第2のネットワークノード(700、900)。
実施形態36. 動作が、実施形態11から14に記載のいずれかの動作をさらに含む、実施形態33に記載の第2のネットワークノード。
実施形態37. 通信ネットワークにおいて動作する第2のネットワークノード(700、900)の処理回路(703、903)によって実行されるべきプログラムコードを備えるコンピュータプログラムであって、それにより、プログラムコードの実行が、第2のネットワークノードに動作を実施させ、動作は、
第1のネットワークノードから、通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1210)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1210)と、
認証要求を受信したことに応答して、第1の加入者情報が匿名識別子を含むと決定すること(1220)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1230)と、
実施されるべき認証プロシージャを決定したことに応答して、第1のネットワークノードに認証応答を送信すること(1240)であって、認証応答が、認証プロシージャを示すインジケータと、加入者情報が匿名識別子を含むことを示すインジケータとを含む、認証応答を送信すること(1240)と
を含む、コンピュータプログラム。
実施形態38. 動作が、実施形態11から14に記載のいずれかの動作をさらに含む、実施形態37に記載のコンピュータプログラム。
実施形態39. 通信ネットワークにおいて動作する第2のネットワークノード(700、900)の処理回路(703、903)によって実行されるべきプログラムコードを含む非一時的記憶媒体(705、905)を備えるコンピュータプログラム製品であって、それにより、プログラムコードの実行が、第2のネットワークノードに動作を実施させ、動作は、
第1のネットワークノードから、通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1210)であって、認証要求が第1の加入者情報を含む、認証要求を受信すること(1210)と、
認証要求を受信したことに応答して、第1の加入者情報が匿名識別子を含むと決定すること(1220)と、
第1の加入者情報が匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1230)と、
実施されるべき認証プロシージャを決定したことに応答して、第1のネットワークノードに認証応答を送信すること(1240)であって、認証応答が、認証プロシージャを示すインジケータと、加入者情報が匿名識別子を含むことを示すインジケータとを含む、認証応答を送信すること(1240)と
を含む、コンピュータプログラム製品。
実施形態40. 動作が、実施形態11から14に記載のいずれかの動作をさらに含む、実施形態39に記載のコンピュータプログラム製品。
追加の参考文献が以下に含まれる。
「Security Architecture and Procedures for 5G Systems」、3GPP 33.501 16.2.0。
「The EAP-TLS Authentication Protocol」、IETF RFC 5216。
追加の説明が以下で提供される。
概して、本明細書で使用されるすべての用語は、異なる意味が、明確に与えられ、および/またはその用語が使用されるコンテキストから暗示されない限り、関連する技術分野における、それらの用語の通常の意味に従って解釈されるべきである。1つの(a/an)/その(the)エレメント、装置、構成要素、手段、ステップなどへのすべての言及は、別段明示的に述べられていない限り、そのエレメント、装置、構成要素、手段、ステップなどの少なくとも1つの事例に言及しているものとしてオープンに解釈されるべきである。本明細書で開示されるいずれの方法のステップも、ステップが、別のステップに後続するかまたは先行するものとして明示的に説明されない限り、および/あるいはステップが別のステップに後続するかまたは先行しなければならないことが暗黙的である場合、開示される厳密な順序で実施される必要はない。本明細書で開示される実施形態のいずれかの任意の特徴は、適切であればいかなる場合も、任意の他の実施形態に適用され得る。同様に、実施形態のいずれかの任意の利点は、任意の他の実施形態に適用され得、その逆も同様である。
本明細書で開示される任意の適切なステップ、方法、特徴、機能、または利益は、1つまたは複数の仮想装置の1つまたは複数の機能ユニットまたはモジュールを通して実施され得る。各仮想装置は、いくつかのこれらの機能ユニットを備え得る。これらの機能ユニットは、1つまたは複数のマイクロプロセッサまたはマイクロコントローラを含み得る、処理回路、ならびに、デジタル信号プロセッサ(DSP)、専用デジタル論理などを含み得る、他のデジタルハードウェアを介して実装され得る。処理回路は、読取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、キャッシュメモリ、フラッシュメモリデバイス、光記憶デバイスなど、1つまたはいくつかのタイプのメモリを含み得るメモリに記憶されたプログラムコードを実行するように設定され得る。メモリに記憶されたプログラムコードは、1つまたは複数の通信および/またはデータ通信プロトコルを実行するためのプログラム命令、ならびに本明細書で説明される技法のうちの1つまたは複数を行うための命令を含む。いくつかの実装形態では、処理回路は、それぞれの機能ユニットに、本開示の1つまたは複数の実施形態による、対応する機能を実施させるために使用され得る。
ユニットという用語は、エレクトロニクス、電気デバイス、および/または電子デバイスの分野での通常の意味を有し得、たとえば、本明細書で説明されるものなど、それぞれのタスク、プロシージャ、算出、出力、および/または表示機能を行うための、電気および/または電子回路、デバイス、モジュール、プロセッサ、メモリ、論理固体および/または個別デバイス、コンピュータプログラムまたは命令などを含み得る。
以下の略語のうちの少なくともいくつかが本開示で使用され得る。略語間の不整合がある場合、その略語が上記でどのように使用されるかが選好されるべきである。以下で複数回リストされる場合、最初のリスティングが(1つまたは複数の)後続のリスティングよりも選好されるべきである。
1x RTT CDMA2000 1x無線送信技術
3GPP 第3世代パートナーシッププロジェクト
5G 第5世代
ABS オールモストブランクサブフレーム
ARQ 自動再送要求
AWGN 加法性白色ガウス雑音
BCCH ブロードキャスト制御チャネル
BCH ブロードキャストチャネル
CA キャリアアグリゲーション
CC キャリアコンポーネント
CCCH SDU 共通制御チャネルSDU
CDMA 符号分割多重化アクセス
CGI セルグローバル識別子
CIR チャネルインパルス応答
CP サイクリックプレフィックス
CPICH 共通パイロットチャネル
CPICH Ec/No 帯域中の電力密度で除算されたチップごとのCPICH受信エネルギー
CQI チャネル品質情報
C-RNTI セルRNTI
CSI チャネル状態情報
DCCH 専用制御チャネル
DL ダウンリンク
DM 復調
DMRS 復調用参照信号
DRX 間欠受信
DTX 間欠送信
DTCH 専用トラフィックチャネル
DUT 被試験デバイス
E-CID 拡張セルID(測位方法)
E-SMLC エボルブドサービングモバイルロケーションセンタ
ECGI エボルブドCGI
eNB E-UTRANノードB
ePDCCH 拡張物理ダウンリンク制御チャネル
E-SMLC エボルブドサービングモバイルロケーションセンタ
E-UTRA 拡張UTRA
E-UTRAN 拡張UTRAN
FDD 周波数分割複信
FFS さらなる検討が必要
GERAN GSM EDGE無線アクセスネットワーク
gNB NRにおける基地局
GNSS グローバルナビゲーション衛星システム
GSM 汎欧州デジタル移動電話方式
HARQ ハイブリッド自動再送要求
HO ハンドオーバ
HSPA 高速パケットアクセス
HRPD 高速パケットデータ
LOS 見通し線
LPP LTE測位プロトコル
LTE Long-Term Evolution
MAC 媒体アクセス制御
MBMS マルチメディアブロードキャストマルチキャストサービス
MBSFN マルチメディアブロードキャストマルチキャストサービス単一周波数ネットワーク
MBSFN ABS MBSFNオールモストブランクサブフレーム
MDT ドライブテスト最小化
MIB マスタ情報ブロック
MME モビリティ管理エンティティ
MSC モバイルスイッチングセンタ
NPDCCH 狭帯域物理ダウンリンク制御チャネル
NR 新無線
OCNG OFDMAチャネル雑音生成器
OFDM 直交周波数分割多重
OFDMA 直交周波数分割多元接続
OSS 運用サポートシステム
OTDOA 観測到達時間差
O&M 運用保守
PBCH 物理ブロードキャストチャネル
P-CCPCH 1次共通制御物理チャネル
PCell 1次セル
PCFICH 物理制御フォーマットインジケータチャネル
PDCCH 物理ダウンリンク制御チャネル
PDP プロファイル遅延プロファイル
PDSCH 物理ダウンリンク共有チャネル
PGW パケットゲートウェイ
PHICH 物理ハイブリッド自動再送要求指示チャネル
PLMN パブリックランドモバイルネットワーク
PMI プリコーダ行列インジケータ
PRACH 物理ランダムアクセスチャネル
PRS 測位参照信号
PSS 1次同期信号
PUCCH 物理アップリンク制御チャネル
PUSCH 物理アップリンク共有チャネル
RACH ランダムアクセスチャネル
QAM 直交振幅変調
RAN 無線アクセスネットワーク
RAT 無線アクセス技術
RLM 無線リンク管理
RNC 無線ネットワークコントローラ
RNTI 無線ネットワーク一時識別子
RRC 無線リソース制御
RRM 無線リソース管理
RS 参照信号
RSCP 受信信号コード電力
RSRP 参照シンボル受信電力または参照信号受信電力
RSRQ 参照信号受信品質または参照シンボル受信品質
RSSI 受信信号強度インジケータ
RSTD 参照信号時間差
SCH 同期チャネル
SCell 2次セル
SDU サービスデータユニット
SFN システムフレーム番号
SGW サービングゲートウェイ
SI システム情報
SIB システム情報ブロック
SNR 信号対雑音比
SON 自己最適化ネットワーク
SS 同期信号
SSS 2次同期信号
TDD 時分割複信
TDOA 到達時間差
TOA 到達時間
TSS 3次同期信号
TTI 送信時間間隔
UE ユーザ機器
UL アップリンク
UMTS ユニバーサル移動体通信システム
USIM ユニバーサル加入者識別モジュール
UTDOA アップリンク到達時間差
UTRA ユニバーサル地上無線アクセス
UTRAN ユニバーサル地上無線アクセスネットワーク
WCDMA ワイドCDMA
WLAN ワイドローカルエリアネットワーク
さらなる規定および実施形態が以下で説明される。
本発明概念の様々な実施形態の上記の説明では、本明細書で使用される専門用語は、具体的な実施形態を説明するためのものにすぎず、本発明概念を限定するものではないことを理解されたい。別段に規定されていない限り、本明細書で使用される(技術用語および科学用語を含む)すべての用語は、本発明概念が属する技術の当業者によって通常理解されるものと同じ意味を有する。通常使用される辞書において規定される用語など、用語は、本明細書および関連技術のコンテキストにおけるそれらの用語の意味に従う意味を有するものとして解釈されるべきであり、明確にそのように本明細書で規定されない限り、理想的なまたは過度に形式的な意味において解釈されないことをさらに理解されよう。
エレメントが、別のエレメントに「接続された」、「結合された」、「応答する」、またはそれらの変形態であると呼ばれるとき、そのエレメントは、他のエレメントに直接、接続され、結合され、または応答し得、あるいは介在するエレメントが存在し得る。対照的に、エレメントが、別のエレメントに「直接接続された」、「直接結合された」、「直接応答する」、またはそれらの変形態であると呼ばれるとき、介在するエレメントが存在しない。同様の番号は、全体にわたって同様のエレメントを指す。さらに、本明細書で使用される、「結合された」、「接続された」、「応答する」、またはそれらの変形態は、無線で結合された、無線で接続された、または無線で応答する、を含み得る。本明細書で使用される単数形「a」、「an」および「the」は、コンテキストが別段に明確に指示するのでなければ、複数形をも含むものとする。簡潔および/または明快のために、よく知られている機能または構築が詳細に説明されないことがある。「および/または」(「/」と略される)という用語は、関連するリストされた項目のうちの1つまたは複数の任意のおよび全部の組合せを含む。
様々なエレメント/動作を説明するために、第1の、第2の、第3の、などの用語が本明細書で使用され得るが、これらのエレメント/動作は、これらの用語によって限定されるべきでないことを理解されよう。これらの用語は、あるエレメント/動作を別のエレメント/動作と区別するために使用されるにすぎない。したがって、本発明概念の教示から逸脱することなしに、いくつかの実施形態における第1のエレメント/動作が、他の実施形態において第2のエレメント/動作と呼ばれることがある。同じ参照番号または同じ参照符号は、本明細書全体にわたって同じまたは同様のエレメントを示す。
本明細書で使用される、「備える、含む(comprise)」、「備える、含む(comprising)」、「備える、含む(comprises)」、「含む(include)」、「含む(including)」、「含む(includes)」、「有する(have)」、「有する(has)」、「有する(having)」という用語、またはそれらの変形態は、オープンエンドであり、1つまたは複数の述べられた特徴、完全体、エレメント、ステップ、構成要素または機能を含むが、1つまたは複数の他の特徴、完全体、エレメント、ステップ、構成要素、機能またはそれらのグループの存在または追加を排除しない。さらに、本明細書で使用される、「たとえば(exempli gratia)」というラテン語句に由来する「たとえば(e.g.)」という通例の略語は、前述の項目の一般的な1つまたは複数の例を紹介するかまたは具体的に挙げるために使用され得、そのような項目を限定するものではない。「すなわち(id est)」というラテン語句に由来する「すなわち(i.e.)」という通例の略語は、より一般的な具陳から特定の項目を具体的に挙げるために使用され得る。
例示的な実施形態が、コンピュータ実装方法、装置(システムおよび/またはデバイス)および/またはコンピュータプログラム製品のブロック図および/またはフローチャート例示を参照しながら本明細書で説明される。ブロック図および/またはフローチャート例示のブロック、ならびにブロック図および/またはフローチャート例示中のブロックの組合せが、1つまたは複数のコンピュータ回路によって実施されるコンピュータプログラム命令によって実装され得ることを理解されたい。これらのコンピュータプログラム命令は、汎用コンピュータ回路、専用コンピュータ回路、および/またはマシンを作り出すための他のプログラマブルデータ処理回路のプロセッサ回路に提供され得、したがって、コンピュータおよび/または他のプログラマブルデータ処理装置のプロセッサを介して実行する命令は、ブロック図および/またはフローチャートの1つまたは複数のブロックにおいて指定された機能/行為を実装するために、およびそれにより、ブロック図および/またはフローチャートの(1つまたは複数の)ブロックにおいて指定された機能/行為を実装するための手段(機能)および/または構造を作成するために、トランジスタ、メモリロケーションに記憶された値、およびそのような回路内の他のハードウェア構成要素を変換および制御する。
これらのコンピュータプログラム命令はまた、コンピュータまたは他のプログラマブルデータ処理装置に特定の様式で機能するように指示することができる、有形コンピュータ可読媒体に記憶され得、したがって、コンピュータ可読媒体に記憶された命令は、ブロック図および/またはフローチャートの1つまたは複数のブロックにおいて指定された機能/行為を実装する命令を含む製造品を作り出す。したがって、本発明概念の実施形態は、ハードウェアで、および/または「回路」、「モジュール」またはそれらの変形態と総称して呼ばれることがある、デジタル信号プロセッサなどのプロセッサ上で稼働する(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)ソフトウェアで具現され得る。
また、いくつかの代替実装形態では、ブロック中で言及される機能/行為は、フローチャート中で言及される順序から外れて行われ得ることに留意されたい。たとえば、関与する機能/行為に応じて、連続して示されている2つのブロックが、事実上、実質的にコンカレントに実行され得るか、またはブロックが、時々、逆の順序で実行され得る。その上、フローチャートおよび/またはブロック図の所与のブロックの機能が、複数のブロックに分離され得、ならびに/あるいはフローチャートおよび/またはブロック図の2つまたはそれ以上のブロックの機能が、少なくとも部分的に統合され得る。最後に、他のブロックが、示されているブロック間に追加/挿入され得、および/または発明概念の範囲から逸脱することなく、ブロック/動作が省略され得る。その上、図のうちのいくつかが、通信の主要な方向を示すために通信経路上に矢印を含むが、通信が、図示された矢印と反対方向に行われ得ることを理解されたい。
本発明概念の原理から実質的に逸脱することなしに、実施形態に対して多くの変形および修正が行われ得る。すべてのそのような変形および修正は、本発明概念の範囲内で本明細書に含まれるものとする。したがって、上記で開示された主題は、例示であり、限定するものではないと見なされるべきであり、実施形態の例は、本発明概念の趣旨および範囲内に入る、すべてのそのような修正、拡張、および他の実施形態をカバーするものとする。したがって、法によって最大限に許容される限りにおいて、本発明概念の範囲は、実施形態およびそれらの等価物の例を含む、本開示の最も広い許容可能な解釈によって決定されるべきであり、上記の詳細な説明によって制限または限定されるべきでない。

Claims (24)

  1. 通信ネットワークにおいて第1のネットワークノードを動作させる方法であって、前記方法は、
    前記通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1010)であって、前記認証要求が第1の加入者情報を含む、認証要求を受信すること(1010)と、
    前記第1の加入者情報が匿名識別子を含むと決定すること(1040)と、
    前記匿名識別子に基づいて第2の加入者情報を生成すること(1070)と
    を含む、方法。
  2. 前記認証要求を受信したことに応答して、第2のネットワークノードに第1のメッセージを送信すること(1020)であって、前記第1のメッセージが前記第1の加入者情報を含む、第1のメッセージを送信すること(1020)と、
    前記第2のネットワークノードに前記第1のメッセージを送信したことに応答して、前記第2のネットワークノードから第2のメッセージを受信すること(1030)であって、前記第2のメッセージは、前記第1の加入者情報が前記匿名識別子を含むことを示す第1のインジケータと、認証プロシージャを示す第2のインジケータとを含む、第2のメッセージを受信すること(1030)と
    をさらに含み、
    前記第1の加入者情報が前記匿名識別子を含むと決定することは、前記第1のインジケータに基づいて、前記第1の加入者情報が前記匿名識別子を含むと決定することを含む、
    請求項1に記載の方法。
  3. 前記第1のネットワークノードが認証サーバ機能(AUSF)ノードであり、
    前記通信ネットワークが第5世代(5G)ネットワークである、請求項1または2に記載の方法。
  4. 前記第1の加入者情報が第1のサブスクリプション秘匿化識別子(SUCI)を備え、
    前記第2の加入者情報が第2のSUCIまたはサブスクリプション永続識別子(SUPI)を備える、請求項1から3のいずれか一項に記載の方法。
  5. 前記認証要求は、前記通信デバイスが非5G対応(N5GC)デバイスであることを示すインジケータをさらに含み、
    前記第1の加入者情報が前記匿名識別子を含むと決定することは、前記通信デバイスがN5GCデバイスであることを示す前記インジケータを含む前記認証要求に基づいて、前記第1の加入者情報が前記匿名識別子を含むと決定することを含む、請求項1から4のいずれか一項に記載の方法。
  6. 前記第2の加入者情報を生成したことに応答して、第2のネットワークノードに第3のメッセージを送信すること(1175)であって、前記第3のメッセージが、前記第2の加入者情報と、認証方法が実施されたことを示すインジケータとを含む、第3のメッセージを送信すること(1175)と、
    前記第3のメッセージを送信したことに応答して、前記第2のネットワークノードから第4のメッセージを受信すること(1180)であって、前記第4のメッセージが、前記通信デバイスに関連する認証サブスクリプションデータを含む、第4のメッセージを受信すること(1180)と、
    前記第4のメッセージを受信したことに応答して、前記認証サブスクリプションデータを確認すること(1190)と
    をさらに含む、請求項1から5のいずれか一項に記載の方法。
  7. 前記第4のメッセージが、前記認証サブスクリプションデータに関連する第2の認証プロシージャをさらに含み、
    前記認証サブスクリプションデータを確認することは、
    前記認証サブスクリプションデータに関連する第3の加入者情報が前記第2の加入者情報に一致すると決定することと、
    前記第2の認証プロシージャが前記認証プロシージャに一致すると決定することと
    を含む、請求項6に記載の方法。
  8. 前記第2のネットワークノードが統合データ管理(UDM)ノードである、請求項1から7のいずれか一項に記載の方法。
  9. 前記第1の加入者情報が前記匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1050)と、
    実施されるべき前記認証プロシージャを決定したことに応答して、前記認証プロシージャの一部として前記通信デバイスに関連する情報を受信すること(1060)と
    をさらに含み、
    前記第2の加入者情報を生成することが、前記通信デバイスに関連する前記情報に基づいて前記第2の加入者情報を生成することを含む、
    請求項1から8のいずれか一項に記載の方法。
  10. 実施されるべき前記認証プロシージャを決定することは、前記第2のインジケータに基づいて、実施されるべき前記認証プロシージャを決定することを含む、請求項9に記載の方法。
  11. 前記認証プロシージャが、拡張認証プロトコル(EAP)トランスポートレイヤセキュリティ(TLS)と、EAPトンネリングトランスポートレイヤセキュリティ(TTLS)とのうちの少なくとも1つを備え、
    前記情報が、クライアント証明書とユーザ名とのうちの少なくとも1つを備え、
    前記認証プロシージャの一部として前記通信デバイスに関連する前記情報を受信することが、
    前記EAP-TLSを介して前記クライアント証明書を受信することと、
    前記EAP-TTLSを介して前記ユーザ名を受信することと
    のうちの少なくとも1つを含む、請求項9または10に記載の方法。
  12. 通信ネットワークにおいて第2のネットワークノードを動作させる方法であって、前記方法は、
    第1のネットワークノードから、前記通信ネットワークへの登録を要求する通信デバイスに関連する認証要求を受信すること(1210)であって、前記認証要求が第1の加入者情報を含む、認証要求を受信すること(1210)と、
    前記認証要求を受信したことに応答して、前記第1の加入者情報が匿名識別子を含むと決定すること(1220)と、
    前記第1の加入者情報が前記匿名識別子を含むと決定したことに応答して、実施されるべき認証プロシージャを決定すること(1230)と、
    実施されるべき前記認証プロシージャを決定したことに応答して、前記第1のネットワークノードに認証応答を送信すること(1240)であって、前記認証応答が、前記認証プロシージャを示すインジケータと、前記加入者情報が前記匿名識別子を含むことを示すインジケータとを含む、認証応答を送信すること(1240)と
    を含む、方法。
  13. 前記認証応答を送信したことに応答して、前記通信ネットワークへの登録を要求する前記通信デバイスに関連する第2の認証要求を受信すること(1250)であって、前記第2の認証要求は、第2の加入者情報と、前記認証プロシージャが実施されたことを示すインジケータとを含む、第2の認証要求を受信すること(1250)と、
    前記第2の認証要求を受信したことに応答して、前記第2の加入者情報に関連する第2の認証プロシージャを決定すること(1270)と、
    前記第2の認証プロシージャを決定したことに応答して、前記第1のネットワークノードに第2の認証応答を送信すること(1280)であって、前記第2の認証応答が、前記第2の認証プロシージャを示すインジケータを含む、第2の認証応答を送信すること(1280)と
    をさらに含む、請求項12に記載の方法。
  14. 前記第1の加入者情報が第1のサブスクリプション秘匿化識別子(SUCI)を備え、
    前記第2の加入者情報が第2のSUCIまたはサブスクリプション永続識別子(SUPI)を備える、請求項13に記載の方法。
  15. 前記第2の加入者情報が前記第2のSUCIを備え、
    前記方法が、前記第2の認証要求を受信したことに応答して、加入者識別情報秘匿化解除機能(SIDF)を使用して前記SUCIに基づいて前記SUPIを決定すること(1360)をさらに含み、
    前記第2の認証応答が前記SUPIをさらに含む、請求項14に記載の方法。
  16. 前記第2のネットワークノードが統合データ管理(UDM)ノードであり、
    前記第1のネットワークノードが認証サーバ機能(AUSF)ノードであり、
    前記通信ネットワークが第5世代(5G)ネットワークである、請求項12から15のいずれか一項に記載の方法。
  17. 通信ネットワークにおいて動作する第1のネットワークノード(700、800)であって、前記第1のネットワークノードが、
    処理回路(703、803)と、
    前記処理回路に結合され、命令を記憶したメモリ(705、805)と
    を備え、前記命令が、前記第1のネットワークノードに、請求項1から11に記載の動作のいずれかを含む動作を実施させるために前記処理回路によって実行可能である、
    第1のネットワークノード(700、800)。
  18. 通信ネットワークにおいて動作する第1のネットワークノード(700、800)であって、前記第1のネットワークノードが、請求項1から11に記載の動作のいずれかを含む動作を実施するように適合された、第1のネットワークノード(700、800)。
  19. 通信ネットワークにおいて動作する第1のネットワークノード(700、800)の処理回路(703、803)によって実行されるべきプログラムコードを備えるコンピュータプログラムであって、それにより、前記プログラムコードの実行が、前記第1のネットワークノードに、請求項1から11に記載の動作のいずれかを含む動作を実施させる、コンピュータプログラム。
  20. 通信ネットワークにおいて動作する第1のネットワークノード(700、800)の処理回路(703、803)によって実行されるべきプログラムコードを含む非一時的記憶媒体(705、805)を備えるコンピュータプログラム製品であって、それにより、前記プログラムコードの実行が、前記第1のネットワークノードに、請求項1から11に記載の動作のいずれかを含む動作を実施させる、コンピュータプログラム製品。
  21. 通信ネットワークにおいて動作する第2のネットワークノード(700、900)であって、前記第2のネットワークノードが、
    処理回路(703、903)と、
    前記処理回路に結合され、命令を記憶したメモリ(705、905)と
    を備え、前記命令が、前記第2のネットワークノードに、請求項12から16に記載の動作のいずれかを含む動作を実施させるために前記処理回路によって実行可能である、
    第2のネットワークノード(700、900)。
  22. 通信ネットワークにおいて動作する第2のネットワークノード(700、900)であって、前記第2のネットワークノードが、請求項12から16に記載の動作のいずれかを含む動作を実施するように適合された、第2のネットワークノード(700、900)。
  23. 通信ネットワークにおいて動作する第2のネットワークノード(700、900)の処理回路(703、903)によって実行されるべきプログラムコードを備えるコンピュータプログラムであって、それにより、前記プログラムコードの実行が、前記第2のネットワークノードに、請求項12から16に記載の動作のいずれかを含む動作を実施させる、コンピュータプログラム。
  24. 通信ネットワークにおいて動作する第2のネットワークノード(700、900)の処理回路(703、903)によって実行されるべきプログラムコードを含む非一時的記憶媒体(705、905)を備えるコンピュータプログラム製品であって、それにより、前記プログラムコードの実行が、前記第2のネットワークノードに、請求項12から16に記載の動作のいずれかを含む動作を実施させる、コンピュータプログラム製品。
JP2022580045A 2020-06-26 2021-06-25 匿名識別情報のためのサブスクリプション取出し Active JP7490095B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2020098322 2020-06-26
CNPCT/CN2020/098322 2020-06-26
PCT/IB2021/055698 WO2021260646A1 (en) 2020-06-26 2021-06-25 Subscription retrieval for anonymous identification

Publications (2)

Publication Number Publication Date
JP2023532016A true JP2023532016A (ja) 2023-07-26
JP7490095B2 JP7490095B2 (ja) 2024-05-24

Family

ID=76730956

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022580045A Active JP7490095B2 (ja) 2020-06-26 2021-06-25 匿名識別情報のためのサブスクリプション取出し

Country Status (6)

Country Link
US (1) US20220279343A1 (ja)
EP (1) EP4173334A1 (ja)
JP (1) JP7490095B2 (ja)
CN (1) CN115885531A (ja)
WO (1) WO2021260646A1 (ja)
ZA (1) ZA202300301B (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI797819B (zh) * 2021-11-08 2023-04-01 光寶科技股份有限公司 認證系統和方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
HUE060301T2 (hu) * 2017-07-25 2023-02-28 Ericsson Telefon Ab L M Elõfizetési rejtett azonosító
CN112956253B (zh) * 2018-11-06 2022-10-04 中兴通讯股份有限公司 用于将用户设备附着到网络切片的方法和装置
US20210400475A1 (en) * 2018-11-12 2021-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of a Communications Device
US12022287B2 (en) * 2019-07-08 2024-06-25 John A. Nix EAP-TLS authentication with concealed user identities and wireless networks
US20220295276A1 (en) * 2019-08-18 2022-09-15 Apple Inc. Mobile device authentication without electronic subscriber identity module (esim) credentials
CA3180907A1 (en) * 2020-06-03 2021-12-09 Apostolis Salkintzis Methods and apparatuses for determining an authentication type
EP4165888A1 (en) * 2020-06-15 2023-04-19 Lenovo (Singapore) Pte. Ltd. Using a pseudonym for access authentication over non-3gpp access
EP4169279A1 (en) * 2020-06-22 2023-04-26 Lenovo (Singapore) Pte. Ltd. Mobile network authentication using a concealed identity

Also Published As

Publication number Publication date
CN115885531A (zh) 2023-03-31
WO2021260646A1 (en) 2021-12-30
ZA202300301B (en) 2023-09-27
EP4173334A1 (en) 2023-05-03
US20220279343A1 (en) 2022-09-01
JP7490095B2 (ja) 2024-05-24

Similar Documents

Publication Publication Date Title
US12010053B2 (en) Transport block size (TBS) determination for sidelink communication
US11496896B2 (en) User equipment authentication
US11937079B2 (en) Communication terminal, core network device, core network node, network node, and key deriving method
EP3813431B1 (en) Network function handling in the context of inter-management function mobility
WO2020205609A1 (en) Methods and apparatus for secure access control in wireless communications
CN113519147A (zh) 安全模式完整性验证
CN112771902A (zh) 在5gc中处理具有错误配置的路由id的usim
WO2019197276A1 (en) N4 connection establishment for combined upf-nimf
US20240172272A1 (en) Msg3 physical uplink shared channel (pusch) repetition requests
WO2023100116A1 (en) Sensing reference signal adjustments for user equipment participation
JP7490095B2 (ja) 匿名識別情報のためのサブスクリプション取出し
CN115968570A (zh) 集成接入及回程中的时序对准
JP2017531338A (ja) 媒体アクセスコントロール(mac)レイヤにおける未使用のリソースの疑似ランダム化
EP4406335A1 (en) Using physical random access channel (prach) to identify multiple features and combinations of features
EP3949455B1 (en) Methods, apparatus and machine-readable mediums relating to establishment of broadcast/multicast bearers
CN115942305A (zh) 一种会话建立方法和相关装置
WO2022058038A1 (en) Mechanism for traffic detection in case of encrypted traffic
WO2021072741A1 (en) Encryption of pdcch ordered rach resource for more secured positioning
US20230164745A1 (en) Inter-user equipment (ue) coordination information for new radio (nr) sidelink communication
US20230163916A1 (en) Techniques for ue positioning measurement in rrc_inactive or rrc_idle
US20240172224A1 (en) Transmission and/or retransmission schemes for data in systems with high carrier frequencies
US20240236990A1 (en) Valid pdschs or puschs with multiple pdsch or pusch scheduling
EP4236439A1 (en) User equipment behavior when pre-configured measurement gap is changed
US20240178939A1 (en) Techniques for multi-transmission-reception point (trp) based uplink channel transmission
US20240236900A1 (en) Bandwidth part switching delay derivation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240507

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240514

R150 Certificate of patent or registration of utility model

Ref document number: 7490095

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150