以下は、本発明の実施形態での添付図面を参照して、本発明の実施形態での技術的解決法を明確および完全に説明する。明らかに、説明される実施形態は、本発明の実施形態のすべてではなく、一部に過ぎない。創造的な努力なしで本発明の実施形態に基づいて当業者によって得られるすべての他の実施形態は、本発明の保護範囲内に入ることになる。
図1は、3GPPによって定義され、EPSネットワークにアクセスするためにS2cインタフェースが使用されるシステムアーキテクチャ図である。本発明の実施形態は、図1に示すEPSネットワークアーキテクチャに適用され得る。
図1に示すように、S2cインタフェースは、非3GPPアクセスネットワークまたは3GPPネットワークを使用することによってEPSにアクセスするために使用されてよい。信頼される非3GPPアクセスネットワークに関して、UEは、非3GPPアクセスネットワークを使用することによってPDN-GWに直接接続するが、信頼されない非3GPPアクセスネットワークに関して、UEは、ホームネットワークによって信頼される進化型パケットデータゲートウェイePDGを使用することによってPDN-GWネットワーク要素に接続する必要がある。3GPPアクセスネットワークに関して、UEは、S-GW(サービングゲートウェイ)を使用することによってPDN-GWネットワーク要素に接続する。
UEが、S2cインタフェースを介して、PDN-GWを使用することによってEPCにアクセスする場合、UEが、信頼される非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、PDN-GWは、データプレーンを保護するために、チャイルドセキュリティアソシエーションChild SAの確立を開始する必要があり、UEが、信頼されない非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、PDN-GWは、データに対する整合性保護および機密性保護を実行するために、UEおよびePDG間でIPSecチャネルを使用することによってDSMIPv6セキュリティチャネルを確立し、UEが、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、3GPP自体の認証暗号化メカニズムを使用することによって、UEおよびPDN-GW間のデータセキュリティ保護が提供される。
以上の説明から分かるように、PDN-GWは、現在のUEのアクセスが、信頼される非3GPPアクセスネットワーク、信頼されない非3GPPアクセスネットワーク、または3GPPアクセスネットワークのどれを使用することによって実行されるのかを知る必要がある。これは、S2cトンネルのデータセキュリティチャネルを正確に確立または更新するための前提条件であり、特に、UEが、信頼される非3GPPアクセスネットワーク、3GPPアクセスネットワーク、および信頼されない非3GPPアクセスネットワーク間のハンドオーバ後に、S2cインタフェースを介してEPSにアクセスする場合、PDN-GWは、データセキュリティチャネルの正確な確立または更新を完了するために、アクセスシナリオを識別する必要がある。
本発明の実施形態では、図1に示すネットワークアーキテクチャで、UEが、S2cインタフェースを介してEPCにアクセスする場合、認証および許可デバイスは、UEのアクセスの信頼関係を判定し、PDN-GWにUEのアクセスの信頼関係指示を含むメッセージを送信する、または、UEのアクセスの信頼関係指示を、PDN-GWに送信される許可応答メッセージ内に含め
、PDN-GWは、データセキュリティチャネルの正確な確立を保証するために、メッセージ内で示されるUEのアクセスの信頼関係にしたがって、データセキュリティチャネルを確立または更新する。本発明の実施形態では、認証および許可デバイスの例として、AAAサーバが使用される。特定の実施中、実施形態では、認証および許可デバイスとして、HSS(ホーム加入者サーバ)のような他のデバイスが使用されてもよい。
図2は、本発明の実施形態による、EPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法である。認証および許可デバイスは、ユーザ機器のアクセスの信頼関係を判定し、PDN-GWにユーザ機器のアクセスの信頼関係指示を含むメッセージを送信し、PDN-GWは、データセキュリティチャネルの正確な確立を保証するために、メッセージ内で示される、ユーザアクセスの信頼関係にしたがって、データセキュリティチャネルを確立または更新する。
201.アクセス側の認証および許可要求を受信する。
UEが、S2cインタフェースを介してEPCにアクセスする場合、AAAサーバは、アクセス側の認証および許可要求を受信し、認証および許可要求は、アクセスされるUEのための認証および許可を要求する。UEがEPCにアクセスする方法は、異なるため、UEが、信頼される非3GPPアクセスネットワークを使用することによってアクセスを実行する場合、アクセス側は、信頼される非3GPPアクセスネットワークを参照し、UEが、信頼されない非3GPPアクセスネットワークを使用することによってアクセスを実行する場合、アクセス側は、信頼されない非3GPPアクセスネットワークまたはePDGを参照する。
202.ユーザ機器のアクセスの信頼関係を判定する。
AAAサーバは、ユーザ機器のアクセスが、信頼されるアクセスまたは信頼されないアクセスのいずれであるかを、アクセス側の認証および許可要求内に担持されるパラメータにしたがって判定し、パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
203.ユーザ機器のS6bインタフェースセッションが存在する場合、パケットデータゲートウェイが、信頼関係についての情報にしたがって、S2cのデータセキュリティチャネルを確立または更新するように、信頼関係についての情報を含むメッセージを、パケットデータゲートウェイに送信する。
AAAサーバは、UEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。S6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可を実行するようにAAAサーバに要求していることを示し、UEのアクセスは、ハンドオーバシナリオであるべきである。この場合、AAAサーバは、メッセージをPDN-GWに送信し、メッセージは、UEのアクセスの信頼関係、すなわち、UEのアクセスが、信頼される非3GPPアクセスまたは信頼されない非3GPPアクセスのどちらであるかを示す情報を含む。PDN-GWは、受信したUEのアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
本発明のこの実施形態では、アクセス側の認証および許可要求が受信されると、UEのS6bインタフェースセッションがすでに存在する場合、PDN-GWが、S2cトンネルのデータセキュリティチャネルを正確に確立または更新することができるように、UEのアクセスの信頼関係についての情報を含むメッセージが、PDN-GWに送信される。
以下は、具体的な例を組み合わせることによって、本発明の実施形態をより詳細に説明する。図3は、本発明の実施形態による、信頼される非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
301.UEが、EAP-RSP認証要求メッセージを、信頼される非3GPPアクセスネットワークに送信する。
302.信頼される非3GPPアクセスネットワークは、認証および許可要求をAAAサーバに送信し、認証および許可要求は、アクセスネットワーク識別子ANIDおよびアクセスタイプを含み、さらに、アクセスネットワークで使用されるセキュリティメカニズムのようなパラメータを含んでよい。ローミングシナリオでは、認証および許可要求は、AAAサーバエージェントを使用することによって、アクセスネットワークによって、AAAサーバに転送される必要があり、認証および許可要求は、さらに、訪問先ネットワーク識別子を含む。
AAAサーバは、UEのアクセスが、信頼されるアクセスまたは信頼されないアクセスのどちらであるかを、受信した要求内のパラメータにしたがって判定する。ここで、アクセスは、信頼されるアクセスであると判定され、すなわち、UEのアクセスは、信頼される非3GPPアクセスネットワークを使用することによって実行される。パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
303.AAAサーバは、認証および許可応答メッセージを、信頼される非3GPPアクセスネットワークに送信し、応答メッセージは、信頼されるアクセスの結果を含む。
304.信頼される非3GPPアクセスネットワークは、EAP-REQ認証応答メッセージをUEに送信し、応答メッセージは、信頼されるアクセスの結果を含む。
305.AAAサーバは、UEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。S6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可についてAAAサーバに要求していることを示し、アクセスは、ハンドオーバシナリオであるべきである。AAAサーバは、信頼関係をPDN-GWに送信し、すなわち、AAAサーバは、信頼関係メッセージをPDN-GWに送信し、信頼関係メッセージは、「信頼される」または「信頼されない」である値を有する信頼関係情報要素を含む。この場合、現在、信頼されるアクセスであることを表す「信頼される」が示される。
306.信頼されるアクセスを示す信頼関係メッセージを受信した後、PDN-GWは、いつでも、UEとのChild SAを確立するための手順を開始することができる。PDN-GWは、UEによって開始されたChild SA確立要求を受信すると、要求を受け入れ、Child SAを確立する。
具体的な実施手順では、AAAサーバは、信頼される非3GPPアクセスネットワークによって送信された認証および許可要求を受信し、ユーザ機器のアクセスが信頼されるアクセスであることを判定し、UEのS6bインタフェースセッションがすでに存在する場合、AAAサーバは、信頼関係メッセージをPDN-GWに送信することができる。すなわち、ステップ305は、ステップ302の後に実行され、ステップ303、304、および305に関する厳密な実行順序は、存在しない。同様に、信頼されるアクセスを示す信頼関係メッセージを受信した後、PDN-GWは、いつでも、UEとのChild SAを確立するための手順を開始することができる。すなわち、ステップ306は、ステップ305の後にいつでも実行されてよく、ステップ303、304、および306に関する厳密な実行順序は、存在しない。しかしながら、ステップ301〜304は、概略的なフローチャート内の順序にしたがって実行される。
本発明のこの実施形態では、信頼される非3GPPアクセスネットワークの認証および許可要求が受信されると、ユーザ機器のアクセスの信頼関係が信頼されるアクセスであると判定され、UEのS6bインタフェースセッションがすでに存在する場合、PDN-GWがアクセスシナリオを識別することができ、データセキュリティチャネルの正確な確立または更新を完了することができるように、UEのアクセスの信頼関係についての情報を含むメッセージがPDN-GWに送信される。
図4は、本発明の実施形態による、信頼されない非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
401.UEは、EAP-RSP認証要求メッセージを、信頼されない非3GPPアクセスネットワークに送信する。
402.信頼されない非3GPPアクセスネットワークは、認証および許可要求をAAAサーバに送信し、認証および許可要求は、アクセスネットワーク識別子ANIDおよびアクセスタイプ
を含み、さらに、アクセスネットワークで使用されるセキュリティメカニズムのようなパラメータを含んでよい。ローミングシナリオでは、アクセスネットワークによって提出された認証および許可要求は、AAAサーバエージェントを使用することによって、AAAサーバに転送される必要があり、要求は、訪問先ネットワーク識別子を含む。
AAAサーバは、ユーザ機器のアクセスが、信頼されるアクセスまたは信頼されないアクセスのどちらであるかを、認証および許可要求内のパラメータにしたがって判定する。アクセスは、信頼されないアクセスであると判定され、すなわち、UEのアクセスは、信頼されない非3GPPアクセスネットワークを使用することによって実行される。パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
403.AAAサーバは、認証および許可応答メッセージを、信頼されない非3GPPアクセスネットワークに送信し、応答メッセージは、信頼されないアクセスの結果を含む。
404.信頼されない非3GPPアクセスネットワークは、EAP-REQ認証応答メッセージをUEに送信し、応答メッセージは、信頼されないアクセスの結果を含む。
405.AAAサーバは、UEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。S6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可についてAAAサーバに要求していることを示し、現在のアクセスは、ハンドオーバシナリオであるべきである。AAAサーバは、信頼関係メッセージをPDN-GWに送信し、信頼関係メッセージは、「信頼される」または「信頼されない」である値を有する信頼関係情報要素を含む。この場合、現在のアクセスが信頼されないアクセスであることを表す「信頼されない」が示される。
UEのアクセスが信頼されないアクセスであることを示すメッセージを受信した後、PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
具体的な実施手順では、AAAサーバは、信頼されない非3GPPアクセスネットワークによって送信された認証および許可要求を受信し、UEのアクセスが信頼されないアクセスであることを判定し、UEのS6bインタフェースセッションがすでに存在する場合、AAAサーバは、信頼関係メッセージをPDN-GWに送信することができる。すなわち、ステップ405は、ステップ402の後に実行され、ステップ403、404、および405に関する厳密な実行順序は、存在しない。しかしながら、ステップ401〜404は、概略的なフローチャート内の順序にしたがって実行される。
本発明のこの実施形態では、信頼されない非3GPPアクセスネットワークの認証および許可要求が受信されると、UEのアクセスの信頼関係が信頼されないアクセスであると判定され、UEに関連するS6bインタフェースセッションがすでに存在する場合、PDN-GWがアクセスシナリオを識別することができ、データセキュリティチャネルの正確な確立または更新を完了することができるように、UEのアクセスの信頼関係についての情報を含むメッセージがPDN-GWに送信される。
図5は、本発明の実施形態による、信頼されない非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
501.UEは、UEおよびePDG間のIPSecの確立を要求するために、IKE認証要求を進化型パケットデータゲートウェイePDGに送信する。
502.ePDGは、認証および許可要求をAAAサーバに送信し、認証および許可要求は、アクセスネットワーク識別子ANIDおよびアクセスタイプを含み、さらに、アクセスネットワークで使用されるセキュリティメカニズムのようなパラメータを含んでよい。ローミングシナリオでは、認証および許可要求は、AAAサーバエージェントを使用することによって転送される必要があり、要求は、訪問先ネットワーク識別子を含む。
AAAサーバは、UEが、信頼されるアクセスまたは信頼されないアクセスのどちらであるかを、認証要求内のパラメータにしたがって判定する。アクセスは、信頼されないアクセスであると判定され、すなわち、UEのアクセスは、信頼されない非3GPPアクセスネットワークを使用することによって実行される。パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。
503.AAAサーバは、認証および許可応答メッセージをePDGに送信する。
504.ePDGは、IKE認証応答メッセージをUEに送信する。
505.AAAサーバは、UEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。S6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可についてAAAサーバに要求していることを示し、この時のアクセスは、ハンドオーバシナリオであるべきである。AAAサーバは、信頼関係メッセージをPDN-GWに送信し、信頼関係メッセージは、「信頼される」または「信頼されない」である値を有する信頼関係情報要素を含む。この場合、現在、信頼されないアクセスであることを表す「信頼されない」が示される。
UEのアクセスが信頼されないアクセスであることを示すメッセージを受信した後、PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
具体的な実施手順では、AAAサーバは、進化型パケットデータゲートウェイePDGによって送信された認証および許可要求を受信し、UEのアクセスが信頼されないアクセスであることを判定し、UEのS6bインタフェースセッションがすでに存在する場合、AAAサーバは、信頼関係メッセージをPDN-GWに送信することができる。すなわち、ステップ505は、ステップ502の後に実行され、ステップ503、504、および505に関する厳密な実行順序は、存在しない。しかしながら、ステップ501〜504は、概略的なフローチャート内の順序にしたがって実行される。
本発明のこの実施形態では、進化型パケットデータゲートウェイePDGの認証および許可要求が受信されると、UEのアクセスの信頼関係が信頼されないアクセスであると判定され、UEのS6bインタフェースセッションがすでに存在する場合、PDN-GWがアクセスシナリオを識別することができ、データセキュリティチャネルの正確な確立または更新を完了することができるように、UEのアクセスの信頼関係についての情報を含むメッセージがPDN-GWに送信される。
図6は、本発明の別の実施形態による、EPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法である。PDN-GWは、パケットデータネットワーク接続確立要求を受信し、許可要求を認証および許可デバイスに送信し、現在のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、認証および許可デバイスの応答メッセージ内に示される。
601.ユーザ機器のパケットデータネットワーク接続確立要求を受信する。
UEが、S2cインタフェースを介して、非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信するパケットデータネットワーク接続確立要求は、UEによって送信される結合更新Binding Updateメッセージであり、UEが、S2cインタフェー
スを介して、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信するパケットデータネットワーク接続確立要求は、MME(Mobility Management Entity)によって送信されるセッション確立メッセージであり、セッション確立メッセージは、ユーザ機器によって送信されたパケットデータネットワーク接続要求を受信した後、モビリティ管理ネットワーク要素によって送信される。
602.ユーザ機器のS6bインタフェースセッションがすでに存在するか、またはユーザ機器とのセキュリティアソシエーションがすでに存在する場合、許可要求メッセージを認証および許可デバイスに送信する。
PDN-GWは、アクセスされるUEのS6bインタフェースセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、PDN-GWは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するか否かを判定し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、許可要求をAAAサーバに送信する。
603.認証および許可デバイスによって送信された許可応答メッセージを受信し、許可応答メッセージは、ユーザ機器のアクセスの信頼関係についての情報を含み、信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
AAAサーバによって返された許可応答メッセージは、受信され、ユーザ機器のアクセスの信頼関係、すなわち、ユーザ機器のアクセスが、信頼される非3GPPアクセスであるか、信頼されない非3GPPアクセスであるか、または、3GPPアクセスであるかについての情報を含む。PDN-GWは、受信したユーザ機器のアクセスの信頼関係にしたがって、S2cのデータセキュリティチャネルを確立または更新する。
本発明のこの実施形態では、ユーザ機器のパケットデータネットワーク接続確立要求が受信されると、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、許可要求メッセージが認証および許可デバイスに送信され、S2cトンネルのデータセキュリティチャネルが、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新され、信頼関係は、認証および許可デバイスの応答メッセージ内に示される。
以下は、具体的な例を組み合わせることによって、本発明の別の実施形態をより詳細に説明する。図7は、本発明の別の実施形態による、信頼される非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
701.PDN-GWが、UEのローカルアドレスをUEのホームアドレスに結合し、UEおよびPDN-GW間のデータ接続を確立するように、UEが、結合更新要求Binding UpdateメッセージをPDN-GWに送信する。
702.PDN-GWが結合更新要求メッセージを受信した後、PDN-GWは、UEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、PDN-GWは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するか否かを判定し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、許可要求をAAAサーバに送信する。許可要求メッセージは、UEアイデンティティを含み、さらに、ネットワーク識別子を含む。ネットワーク識別子は、以下の情報のタイプ、すなわち、アクセスネットワーク識別子、アクセスネットワークで使用されるセキュリティメカニズム、アクセスタイプの1つまたは複数を含み、ローミングシナリオの場合、訪問先ネットワークアイデンティティがさらに含まれる。
703.AAAサーバは、ユーザ機器のアクセスが信頼されるアクセスであるか否かを、構成されたポリシーにしたがって判定し、許可応答メッセージをPDN-GWに送信し、許可応答メッセージは、ユーザ機器のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または「3GPP」である値を有する信頼関係情報要素を含む。ここで、値は、信頼される非3GPPアクセスを示す「信頼される」である。
AAAサーバによって、ユーザ機器のアクセスが信頼されるアクセスであるか否かを判定する方法は、ネットワーク識別子および信頼関係間の対応をポリシーに含めること、および、ユーザ機器のアクセスの信頼関係を判定するために、AAAサーバによって、許可応答メッセージ内のネットワーク識別子にしたがって、構成されたポリシーに問い合わせることであってよい。ポリシーでは、信頼関係が、アクセスネットワーク識別子にしたがって判定される必要があるが、許可要求メッセージが、アクセスネットワーク識別子を含まず、アクセスタイプを含む場合、AAAサーバは、アクセスタイプにしたがってアクセスネットワーク識別子を構成することもできる。具体的な方法は、以下の通りであり、すなわち、アクセスタイプは、一般的に、整数型の方法を使用することによって表され、例えば、0は、WLANを表し、2001は、HRPDを表し、したがって、AAAサーバは、アクセスタイプの整数に対応する特定のアクセスタイプ記述を知るために、アクセスタイプにしたがって、テーブルに問い合わせ、記述は、文字列を使用することによって表され、アクセスネットワーク識別子のプレフィックスとして機能し、この場合、アクセスネットワークプレフィックスは、「WLAN」および「HRPD」のような文字列であり、プレフィックスの他に、アクセスネットワーク識別子は、追加の文字列を有さなくてよく、または、生成規則が、AAAサーバ自体によって決定される。
判定方法は、以下のように実施されてよく、すなわち、信頼関係およびネットワーク識別子間の対応の記録がポリシー内に含められ、構成されたポリシーデータテーブルが問い合わされ、ネットワーク識別子に対応する信頼関係が信頼されるアクセスである場合、UEのアクセスは、信頼されるアクセスであると判定され、かつ信頼関係が信頼されないアクセスである場合、UEのアクセスは、信頼されないアクセスであると判定される。
704.PDN-GWは、結合更新確認メッセージをUEに送信する。
705.AAAサーバから、ユーザ機器のアクセスが信頼されるアクセスであることを示す許可応答メッセージを受信した後、PDN-GWは、いつでも、UEとのChild SAを確立するための手順を開始することができる。PDN-GWは、UEによって開始されたChild SA確立要求を受信すると、要求を受け入れ、Child SAを確立する。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、信頼される非3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、および、PDN-GWが、UEの結合更新要求Binding Updateメッセージを受信する場合、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、許可要求メッセージが認証および許可デバイスに送信され、S2cトンネルのデータセキュリティチャネルが、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新され、信頼関係は、認証および許可デバイスの応答メッセージ内で示され、ここでは、信頼されるアクセスである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図8は、本発明の別の実施形態による、信頼されない非3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。図8の方法は、図7の方法に対応する。したがって、いくつかの詳細な説明を、適宜省略する。
801.PDN-GWが、UEのローカルアドレスをUEのホームアドレスに結合し、UEおよびPDN-GW間のデータ接続を確立するように、UEが、結合更新要求Binding UpdateメッセージをPDN-GWに送信する。
802.PDN-GWが結合更新要求メッセージを受信した後、PDN-GWは、UEのS6bセッションがすでに存在するか否か、または、UEとのセキュリティアソシエーションが確立されているか否かを判定する。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、許可要求メッセージをAAAサーバに送信する。許可要求メッセージは、UEアイデンティティを含み、さらに、ネットワーク識別子を含む。ネットワーク識別子は、以下の情報のタイプ、すなわち、アクセスネットワーク識別子、アクセスネットワークで使用されるセキュリティメカニズム、アクセスタイプの1つまたは複数を含み、ローミングシナリオの場合、訪問先ネットワークアイデンティティがさらに含まれる。
803.AAAサーバは、ユーザ機器のアクセスが信頼されるアクセスであるか否かを、構成されたポリシーにしたがって判定し、許可応答メッセージをPDN-GWに送信し、許可応答メッセージは、現在のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または「3GPP」である値を有する信頼関係情報要素を含む。ここで、値は、信頼されない非3GPPアクセスを示す「信頼されない」である。ユーザ機器のアクセスが信頼されないアクセスであることを示すメッセージを受信した後、PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
804.PDN-GWは、結合更新確認メッセージをUEに送信する。
本発明のこの実施形態では、UEが、S2cインタフェースを使用することによって、信頼されない非3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、および、PDN-GWが、UEの結合更新要求Binding Updateメッセージを受信する場合、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、許可要求メッセージが認証および許可デバイスに送信され、S2cトンネルのデータセキュリティチャネルが、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新され、信頼関係は、認証および許可デバイスの許可応答メッセージ内で示され、ここでは、信頼されないアクセスである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図9は、本発明の別の実施形態による、3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。
901.UEは、PDN(パケットデータネットワーク)接続要求をMMEに送信する。
902.MMEは、UEに関するPDN接続を確立するために、セッション確立要求をPDN-GWに送信する。セッション確立要求は、UEアイデンティティ、PDNタイプ、無線アクセスタイプ、などを含む。PDNタイプは、PDN接続のためにUEに割り当てられるIPアドレスの、IPv4、IPv6、またはIPv4v6のようなタイプを示す。無線アクセスタイプは、この場合、3GPPアクセス、例えば、E-UTRANおよびUTRANを示す。ハンドオーバシナリオの場合、要求メッセージは、さらに、ハンドオーバ指示を含む。
903.セッション確立要求メッセージを受信した後、PDN-GWは、UEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、PDN-GWは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するか否かを判定し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、許可要求をAAAサーバに送信する。許可要求メッセージは、UEアイデンティティを含み、さらに、ネットワーク識別子を含みネットワーク識別子は、以下の情報のタイプ、すなわち、アクセスネットワーク識別子、および無線アクセスタイプの1つまたは複数を含む。
904.AAAサーバは、ユーザ機器のアクセスが信頼されるアクセスであるか否かを、構成されたポリシーにしたがって判定し、許可応答メッセージをPDN-GWに送信し、許可応答メッセージは、ユーザ機器のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または「3GPP」である値を有する信頼関係情報要素を含む。ここで、値は、3GPPアクセスを示す「3GPP」である。現在のアクセスが3GPPアクセスであることを示すメッセージを受信した後、PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
AAAサーバによって、ユーザ機器のアクセスが信頼されるアクセスであるか否かを判定する方法は、ネットワーク識別子および信頼関係間の対応をポリシーに含めること、および、ユーザ機器のアクセスの信頼関係を判定するために、サーバによって、許可応答メッセージ内のネットワーク識別子にしたがって、構成されたポリシーに問い合わせることであってよい。ポリシーでは、信頼関係が、アクセスネットワーク識別子にしたがって判定される必要があるが、許可要求メッセージが、アクセスネットワーク識別子を含まず、無線アクセスタイプを含む場合、AAAサーバは、無線アクセスタイプにしたがってアクセスネットワーク識別子を構成することもできる。具体的な方法は、以下の通りであり、すなわち、無線アクセスタイプは、一般的に、整数型の方法を使用することによって表され、例えば、3は、WLANを表し、かつ6は、E-UTRANを表し、したがって、AAAサーバは、無線アクセスタイプの整数に対応する特定のアクセスタイプ記述を知るために、無線アクセスタイプにしたがって、テーブルに問い合わせ、記述は、文字列を使用することによって表され、アクセスネットワーク識別子のプレフィックスとして機能し、この場合、アクセスネットワーク識別子のプレフィックスは、「WLAN」および「E-UTRAN」のような文字列であり、プレフィックスの他に、アクセスネットワーク識別子は、追加の文字列を有さなくてよく、または、生成規則が、AAAサーバ自体によって決定される。
判定方法は、以下のように実施されてよく、すなわち、信頼関係およびネットワーク識別子間の対応の記録がポリシー内に含められ、構成されたポリシーデータテーブルが問い合わされ、ネットワーク識別子に対応する信頼関係が、信頼されるアクセスである場合、ユーザ機器のアクセスは、信頼されるアクセスであると判定され、信頼関係が、信頼されないアクセスである場合、ユーザ機器のアクセスは、信頼されないアクセスであると判定され、かつ信頼関係が3GPPアクセスである場合、ユーザ機器のアクセスは、3GPPアクセスであると判定される。
905.PDN-GWは、セッション確立確認メッセージをMMEに送信する。
906.MMEは、PDN接続要求に対する応答メッセージをUEに送信する。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、MMEは、UEのPDN接続要求にしたがって、セッション確立要求メッセージをPDN-GWに送信し、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、PDN-GWは、許可要求メッセージを認証および許可デバイスに送信し、S2cトンネルのデータセキュリティチャネルを、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新し、信頼関係は、認証および許可デバイスの応答メッセージ内で示され、ここでは、3GPPアクセスである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図10は、本発明のさらに別の実施形態による、3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。PDN-GWは、パケットデータネットワーク接続確立要求を受信し、確立要求メッセージ内の情報にしたがって、ユーザ機器のアクセスの信頼関係を判定し、S2cトンネルのデータセキュリティチャネルを確立または更新する。
1001.UEは、PDN接続要求をMMEに送信する。
1002.MMEは、UEに関するPDN接続を確立するために、セッション確立要求をPDN-GWに送信する。セッション確立要求は、UEアイデンティティ、PDNタイプ、および無線アクセスタイプのような情報を含む。無線アクセスタイプは、この場合、3GPPアクセス、例えば、E-UTRANおよびUTRANを示す。PDNタイプは、PDN接続のためにUEに割り当てられるIPアドレスの、IPv4、IPv6、またはIPv4v6のようなタイプを示す。ハンドオーバシナリオの場合、要求メッセージは、さらに、ハンドオーバ指示を含む。
PDN-GWは、UEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、PDN-GWは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するか否かを判定し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、それは、PDN-GWが、UEに関する認証および許可を実行するように以前にAAAサーバに要求していることを示し、この場合、PDN-GWは、セッション確立要求内の無線アクセスタイプ情報にしたがって、ユーザ機器のアクセスの信頼関係を、3GPPアクセスであると判定する。PDN-GWは、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
1003.PDN-GWは、セッション確立確認メッセージをMMEに送信する。
1004.MMEは、PDN接続要求に対する応答メッセージをUEに送信する。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、MMEは、UEのPDN接続要求にしたがって、セッション確立要求メッセージをPDN-GWに送信し、PDN-GWが、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されていると判定した場合、PDN-GWは、セッション確立要求メッセージ内の情報にしたがって、ユーザ機器のアクセスの信頼関係を判定し、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、ここでは3GPPである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図11は、本発明のさらに別の実施形態による、3GPPアクセスネットワークを使用することによってEPSネットワークにアクセスするためにS2cインタフェースが使用される場合のデータセキュリティチャネルを処理するための方法の手順の概略的なフローチャートである。PDN-GWは、UEのセキュリティアソシエーション確立要求を受信し、認証および許可要求メッセージを認証および許可デバイスに送信し、ユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、認証および許可デバイスの応答メッセージ内に示される。
1101.UEは、PDN接続要求をMMEに送信する。
1102.MMEは、UEに関するPDN接続を確立するために、セッション確立要求をPDN-GWに送信する。セッション確立要求は、UEアイデンティティ、PDNタイプ、無線アクセスタイプ、などを含む。PDNタイプは、PDN接続のためにUEに割り当てられるIPアドレスの、IPv4、IPv6、またはIPv4v6のようなタイプを示す。無線アクセスタイプは、この場合、3GPPアクセス、例えば、E-UTRANおよびUTRANを示す。ハンドオーバシナリオの場合、要求メッセージは、さらに、ハンドオーバ指示を含む。
1103.PDN-GWは、セッション確立確認メッセージをMMEに送信する。
1104.MMEは、PDN接続要求に対する応答メッセージをUEに送信する。
1105.UEは、UEおよびPDN-GW間のDSMIPv6 SAを確立するために、セキュリティアソシエーション確立要求をPDN-GWに送信し、セキュリティアソシエーション確立要求は、具体的には、IKE認証要求のようなセキュリティアソシエーション確率要求メッセージであってよく、APN(アクセスポイント名)情報を含む。
1106.PDN-GWは、APNおよびPDN-GW情報を登録するために、認証および許可要求メッセージをAAAサーバに送信し、要求メッセージは、UEアイデンティティを含む。ネットワーク識別子がさらに含まれてよく、ネットワーク識別子は、以下のタイプの情報、すなわち、アクセスネットワーク識別子および無線アクセスタイプの1つまたは複数を含む。
1107.AAAサーバは、ユーザ機器のアクセスの信頼関係を、構成されたポリシーにしたがって判定し、認証および許可応答メッセージをPDN-GWに送信し、メッセージは、「信頼される」、「信頼されない」、「3GPP」、または「UNKNOWN」である値を有する信頼関係情報要素を含み、この場合、「3GPP」、または「UNKNOWN」が示され、値「3GPP」は、現在のアクセスが3GPPであることを表し、かつ値「UNKNOWN」は、AAAサーバが、ユーザ機器のアクセスの信頼関係を提供することができないことを表す。信頼関係が「UNKNOWN」であることを示すメッセージを受信した後、PDN-GWは、ユーザ機器のアクセスの信頼関係を、ステップ1102で受信したセッション確立要求内の無線アクセスタイプ情報にしたがって判定し、信頼関係は、この場合では3GPPである。
AAAによって送信され、ユーザ機器のアクセスが3GPPであることを示すメッセージを受信した後、または、ユーザ機器のアクセスの信頼関係が「UNKNOWN」であることを示すメッセージを受信した後、PDN-GWは、自分自身によって、ユーザ機器のアクセスが3GPPアクセスであると判定し、Child SA確立手順をもはや開始せず、PDN-GWが、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、PDN-GWおよびUE間にすでに存在する場合、PDN-GWは、Child SA削除手順を開始する。
AAAサーバによって、ユーザ機器のアクセスが信頼されるアクセスであるか否かを判定する方法は、ネットワーク識別子および信頼関係間の対応をポリシーに含めること、および、ユーザ機器のアクセスの信頼関係を判定するために、AAAサーバによって、許可応答メッセージ内のネットワーク識別子にしたがって、構成されたポリシーに問い合わせることであってよい。ポリシーでは、信頼関係が、アクセスネットワーク識別子にしたがって判定される必要があるが、許可要求メッセージが、アクセスネットワーク識別子を含まず、無線アクセスタイプを含む場合、AAAサーバは、無線アクセスタイプにしたがってアクセスネットワーク識別子を構成することもできる。具体的な方法は、以下の通りであり、すなわち、無線アクセスタイプは、一般的に、整数型の方法を使用することによって表され、例えば、3は、WLANを表し、かつ6は、E-UTRANを表し、したがって、AAAサーバは、無線アクセスタイプの整数に対応する特定のアクセスタイプ記述を知るために、無線アクセスタイプにしたがって、テーブルに問い合わせ、記述は、文字列を使用することによって表され、アクセスネットワーク識別子のプレフィックスとして機能し、この場合、アクセスネットワーク識別子のプレフィックスは、「WLAN」および「E-UTRAN」のような文字列であり、プレフィックスの他に、アクセスネットワーク識別子は、追加の文字列を有さなくてよく、または、生成規則が、AAAサーバ自体によって決定される。
判定方法は、以下のように実施されてよく、すなわち、信頼関係およびネットワーク識別子間の対応の記録がポリシー内に含められ、構成されたポリシーデータテーブルが問い合わされ、ネットワーク識別子に対応する信頼関係が、信頼されるアクセスである場合、ユーザ機器のアクセスは、信頼されるアクセスであると判定され、信頼関係が、信頼されないアクセスである場合、ユーザ機器のアクセスは、信頼されないアクセスであると判定され、信頼関係が3GPPである場合、ユーザ機器のアクセスは、3GPPアクセスであると判定され、かつ対応する記録が見つからない場合、ユーザ機器のアクセスの信頼関係が判定され得ないことを表す「UNKNOWN」が返される。
1108.PDN-GWは、セキュリティアソシエーション確立応答メッセージをUEに送信し、応答メッセージは、PDN-GWによってUEに割り当てられたIPアドレスを含む。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、PDN-GWは、UEのセキュリティアソシエーション確立要求を受信し、次に、認証および許可要求メッセージを認証および許可デバイスに送信し、S2cトンネルのデータセキュリティチャネルを、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新し、信頼関係は、認証および許可デバイスの応答メッセージ内で示され、3GPPアクセスとして示されるか、または判定され得ない。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
図12は、本発明の実施形態による認証および許可デバイスのブロック図である。図12中の認証および許可デバイス120の非制限的な例は、受信ユニット1201、認証ユニット1202、および送信ユニット1203を含む、図3〜図5および図7〜図9に示すホーム加入者サーバ/認証、許可、およびアカウンティングサーバデバイスである。
受信ユニット1201は、アクセス側の認証および許可要求を受信するように構成される。認証ユニット1202は、受信した認証および許可要求を認証し、ユーザ機器のアクセスの信頼関係を判定し、UEのS6bセッションがすでに存在する場合、送信ユニットに、信頼関係指示情報を含むメッセージをPDN-GWに送信するように命令するように構成される。送信ユニット1203は、信頼関係指示情報を含むメッセージをPDN-GWに送信するように構成される。
本発明のこの実施形態では、アクセス側の認証および許可要求が受信されると、このときのユーザ機器のアクセスの信頼関係が判定され、UEのS6bインタフェースセッションがすでに存在する場合、PDN-GWが、S2cトンネルのデータセキュリティチャネルを正確に確立または更新することができるように、ユーザ機器のアクセスの信頼関係についての情報を含むメッセージがPDN-GWに送信される。
受信ユニット1201は、アクセス側によって送信された認証および許可要求を受信する。UEが、S2cインタフェースを介してEPSネットワークにアクセスする場合、受信ユニットは、アクセス側の認証および許可要求を受信し、認証および許可要求は、アクセスのための認証および許可を要求する。アクセス方法が異なるため、UEが、信頼される非3GPPアクセスネットワークを使用することによってアクセスを実行する場合、アクセス側は、信頼される非3GPPアクセスネットワークを参照し、UEが、信頼されない非3GPPアクセスネットワークを使用することによってアクセスを実行する場合、アクセス側は、信頼されない非3GPPアクセスネットワークまたはePDGを参照する。
認証ユニット1202は、ユーザ機器のアクセスが、信頼されるアクセスまたは信頼されないアクセスのいずれであるかを、認証および許可要求内に担持されるパラメータにしたがって判定し、パラメータは、以下、すなわち、アクセスネットワーク識別子ANID、訪問先ネットワーク識別子(この識別子は、ローミングシナリオでのみ必要とされる)、アクセスタイプ、アクセスネットワークで使用されるセキュリティメカニズム、などの1つまたは複数を含む。認証ユニットは、ユーザ機器のアクセスが信頼されるアクセスであるか否かを、構成されたポリシーにしたがって判定し、ポリシーは、アクセスネットワーク識別子(訪問先ネットワーク識別子が、ローミングシナリオではさらに必要とされる)および信頼関係間の対応を含む。判定方法は、認証および許可要求メッセージ内のアクセスネットワーク識別子(訪問先ネットワーク識別子が、ユーザ機器のアクセスの信頼関係を判定するために、ローミングシナリオではさらに必要とされる)にしたがって、構成されたポリシーに問い合わせることであってよい。認証および許可要求メッセージが、アクセスネットワーク識別子を含まない場合、アクセスネットワーク識別子は、アクセスタイプアイデンティティにしたがって構成される必要がある。具体的には、アクセスタイプは、一般的に、整数型の方法を使用することによって表され、例えば、0は、WLANを表し、2001は、HRPDを表し、アクセスネットワークプレフィックスは、「WLAN」および「HRPD」のような文字列であり、認証ユニット1202は、アクセスタイプの整数に対応する特定のアクセスタイプ記述を知るために、アクセスタイプにしたがって、テーブルに問い合わせ、記述は、文字列を使用することによって表され、アクセスネットワーク識別子のプレフィックスとして機能し、プレフィックスの他に、アクセスネットワーク識別子は、追加の文字列を有さなくてよく、または、生成規則が、AAAサーバ自体によって決定される。
判定方法は、以下の方法、すなわち、アクセスネットワーク識別子(訪問先ネットワーク識別子が、ローミングシナリオではさらに必要とされる)に対応する信頼関係を見つけるために、構成されたポリシーデータテーブルに問い合わせ、信頼関係が、信頼されるアクセスである場合、現在のアクセスは、信頼されるアクセスであると判定し、かつ信頼関係が、信頼されないアクセスである場合、現在のアクセスは、信頼されないアクセスであると判定する方法を使用することができる。
認証ユニットは、アクセスされるUEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを判定し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。UEのS6bインタフェースセッションがすでに存在する場合、それは、PDN-GWが、UEに対する認証および許可を実行するように、認証および許可デバイスに以前に要求していることを示す。この場合、認証ユニットは、メッセージをPDN-GWに送信するように送信ユニットに命令し、メッセージは、ユーザ機器のアクセスの信頼関係、すなわち、ユーザ機器のアクセスが、信頼される非3GPPアクセスまたは信頼されない非3GPPアクセスのどちらであるかを示す情報を含む。
送信ユニット1203は、メッセージをPDN-GWに送信し、メッセージは、「信頼される」、または「信頼されない」である値を有する信頼関係情報要素を含み、「信頼される」は、信頼されるアクセスを表し、かつ「信頼されない」は、信頼されないアクセスを表す。PDN-GWは、受信したユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
したがって、本発明のこの実施形態では、受信ユニットが、アクセス側の認証および許可要求を受信すると、認証ユニットは、ユーザ機器のアクセスの信頼関係を判定し、ユーザ機器のS6bインタフェースセッションがすでに存在する場合、PDN-GWが、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができるように、ユーザ機器のアクセスの信頼関係についての情報を含むメッセージをに送信する。
図13は、本発明の別の実施形態によるゲートウェイデバイスのブロック図である。図13中のゲートウェイデバイス130の非制限的な例は、受信ユニット1301、確認ユニット1302、送信ユニット1303、および確立ユニット1304を含む、図3〜図5および図7〜図11に示すパケットデータゲートウェイである。
受信ユニット1301は、ユーザ機器のパケットデータネットワーク接続確立要求を受信し、かつ認証および許可デバイスによって送信された許可応答メッセージを受信し、許可応答メッセージは、ユーザ機器のアクセスの信頼関係についての情報を含み、確認ユニット1302は、受信ユニットがパケットデータネットワーク接続確立要求を受信すると、ユーザ機器のS6bセッションが存在すること、または、ユーザ機器とのセキュリティアソシエーションがすでに存在することを確認し、次に、送信ユニットに、許可要求メッセージを認証および許可デバイスに送信するように命令し、送信ユニット1303は、許可要求メッセージを認証および許可デバイスに送信し、確立ユニット1304は、許可応答メッセージ内の信頼関係についての情報にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
この実施形態では、パケットデータネットワーク接続確立要求を受信すると、ゲートウェイデバイスは、許可要求メッセージを認証および許可デバイスに送信し、ユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、認証および許可デバイスの許可応答メッセージ内に示される。
受信ユニット1301は、ユーザ機器のパケットデータネットワーク接続確立要求を受信する。UEが、S2cインタフェースを介して、非3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信されるパケットデータネットワーク接続確立要求は、UEによって送信される結合更新Binding Updateメッセージであり、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCにアクセスする場合、受信するパケットデータネットワーク接続確立要求は、MMEによって送信されるセッション確立メッセージであり、セッション確立メッセージは、ユーザ機器によって送信されたパケットデータネットワーク接続要求を受信した後、モビリティ管理ネットワーク要素によって送信される。
確認ユニット1302は、現在アクセスされるUEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを確認し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、確認ユニットは、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するかどうかを確認し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在する場合、または、UEとのセキュリティアソシエーションが確立されている場合、それは、ゲートウェイデバイスが、UEに対する認証および許可を実行するように認証および許可デバイスに以前に要求していることを示す。この場合、送信ユニット1303は、許可要求を認証および許可デバイスに送信するように命令される。
受信ユニット1301は、認証および許可デバイスによって返された認証応答メッセージを受信し、メッセージは、現在のアクセスの信頼関係、すなわち、現在のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスのいずれであるかを示す情報を含む。具体的な方法は、ユーザ機器のアクセスが、信頼される非3GPPアクセス、信頼されない非3GPPアクセス、または3GPPアクセスであることを示す、「信頼される」、「信頼されない」、または「3GPP」である値を有する信頼関係情報要素を、メッセージが含むことである。
確立ユニット1304は、ユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、受信する応答メッセージに含まれる。メッセージが、ユーザ機器のアクセスが信頼されるアクセスであることを示す場合、確立ユニットは、いつでも、UEとのChild SAを確立するための手順を開始することができる。確立ユニットは、UEによって開始されたChild SA確立要求を受信すると、要求を受け入れ、Child SAを確立する。メッセージが、ユーザ機器のアクセスが信頼されないアクセスまたは3GPPアクセスであることを示す場合、確立ユニットは、Child SAを確立するための手順をもはや開始せず、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、ゲートウェイデバイスおよびUE間にすでに存在する場合、確立ユニットは、Child SA削除手順を開始する。
したがって、本発明のこの実施形態では、ゲートウェイデバイスが、パケットデータネットワーク接続確立要求を受信すると、UEのS6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、許可要求が認証および許可デバイスに送信され、S2cトンネルのデータセキュリティチャネルが、ユーザ機器のアクセスの信頼関係にしたがって、確立または更新され、信頼関係は、UEが、S2cインタフェースを介してEPSネットワークにアクセスする場合、S2cトンネルのデータセキュリティチャネルの正確な確立または更新が保証されるように、認証および許可デバイスの応答メッセージ内に示される。
図14は、本発明のさらに別の実施形態によるゲートウェイデバイスのブロック図である。図13中のゲートウェイデバイス140の非制限的な例は、受信ユニット1401、確認ユニット1402、および確立ユニット1403を含む、図10または図11に示すパケットデータゲートウェイである。
受信ユニット1401は、ユーザ機器のパケットデータネットワーク接続確立要求を受信する。確認ユニット1402は、受信ユニットがパケットデータネットワーク接続確立要求を受信すると、ユーザ機器のS6bセッションが存在すること、または、ユーザ機器とのセキュリティアソシエーションがすでに存在することを確認し、次に、ユーザ機器のアクセスの信頼関係を、要求内の無線アクセスタイプ情報にしたがって判定する。確立ユニット1403は、確認ユニットによって決定された、ユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。
受信ユニット1401は、ユーザ機器のパケットデータネットワーク接続確立要求を受信し、パケットデータネットワーク接続確立要求は、MMEによって送信されるセッション確立メッセージであり、セッション確立メッセージは、ユーザ機器によって送信されたパケットデータネットワーク接続要求を受信した後に、モビリティ管理ネットワーク要素によって送信される。セッション確立要求は、UEアイデンティティ、PDNタイプ、および無線アクセスタイプのような情報を含む。無線アクセスタイプは、この場合、3GPPアクセス、例えば、E-UTRANおよびUTRANを示す。PDNタイプは、PDN接続のためにUEに割り当てられるIPアドレスの、IPv4、IPv6、またはIPv4v6のようなタイプを示す。ハンドオーバシナリオの場合、要求メッセージは、さらに、ハンドオーバ指示を含む。
確認ユニット1402は、UEのS6bセッションがすでに存在するか否か、すなわち、UEのS6bインタフェースセッションコンテキストがすでに存在するか否かを確認し、セッションコンテキストは、セッションアイデンティティSession IDおよびユーザ機器アイデンティティを含む。代わりに、確認ユニット1402は、UEとのセキュリティアソシエーションが確立されているか否か、すなわち、UEのセキュリティコンテキストがすでに存在するかどうかを確認し、セキュリティコンテキストは、セキュリティパラメータインデックスSPIおよびUEアイデンティティを含む。UEのS6bインタフェースセッションがすでに存在する場合、または、UEとのセキュリティアソシエーションが確立されている場合、それは、ゲートウェイデバイスが、UEに対する認証および許可を実行するように認証および許可デバイスに以前に要求していることを示す。この場合、確認ユニットは、受信ユニットによって受信されるパケットデータネットワーク接続確立要求内の無線アクセスタイプ情報にしたがって、ユーザ機器のアクセスの信頼関係を、3GPPアクセスであると判定する。
確立ユニット1403は、確認ユニットによって判定されるユーザ機器のアクセスの信頼関係にしたがって、S2cトンネルのデータセキュリティチャネルを確立または更新する。ユーザ機器のアクセスは、3GPPアクセスであり、確立ユニットは、Child SAを確立するための手順をもはや開始せず、UEによって送信されたChild SA確立要求を受信すると、要求を拒絶する。拒絶方法は、以下の様なものであってよく、すなわち、「NO_ADDITIONAL_SAS」、「NO_Child_SAS」、または別の要因値が、Child SA確立要求に対する応答メッセージ内のNotify Payload内の要因値によって示され、要因値は、Child SA確立がもはや受け入れられないことを表す。Child SAが、ゲートウェイデバイスおよびUE間にすでに存在する場合、確立ユニットは、Child SA削除手順を開始する。
本発明のこの実施形態では、UEが、S2cインタフェースを介して、3GPPアクセスネットワークを使用することによってEPCネットワークにアクセスする場合、MMEは、UEのPDN接続要求にしたがって、セッション確立要求メッセージをゲートウェイデバイスに送信し、ゲートウェイデバイスは、UEのS6bインタフェースセッションが存在するか否か、または、UEとのセキュリティアソシエーションが確立されているか否かを判定し、S6bインタフェースセッションがすでに存在するか、またはUEとのセキュリティアソシエーションが確立されている場合、ゲートウェイデバイスは、セッション確立要求メッセージ内の情報にしたがって、ユーザ機器の現在のアクセスの信頼関係を判定し、S2cトンネルのデータセキュリティチャネルを確立または更新し、信頼関係は、ここでは3GPPアクセスである。このように、PDN-GWは、アクセスシナリオを識別することができ、データセキュリティチャネルの確立または更新を完了することができる。
本発明の実施形態による通信システムは、認証および許可デバイス120および/またはゲートウェイデバイス130を含むことができる。
本発明の実施形態による通信システムは、認証および許可デバイス120および/またはゲートウェイデバイス140を含むこともできる。
当業者は、本明細書に開示される実施形態で説明される例と組み合わせて、ユニットおよびアルゴリズムステップが、電子ハードウェア、コンピュータソフトウェア、またはそれらの組み合わせによって実施されてよいことを認識することができる。ハードウェアおよびソフトウェア間の互換性を明確に説明するために、上記は、各例の構成およびステップを、機能によって一般に説明してきた。機能が、ハードウェアまたはソフトウェアのどちらによって実行されるかは、技術的解決法の特定の用途および設計制約条件に依存する。当業者は、各特定の用途のための上述した機能を実施するために、異なる方法を使用することができるが、実施が本発明の範囲を越えると考えられるべきではない。
便利でおよび簡潔な説明の目的のため、前述のシステム、デバイス、およびユニットの詳細な作業プロセスについて、前述の方法の実施形態の対応するプロセスを参照することができ、詳細は、本明細書で再び説明されないことは、当業者によって明確に理解され得る。
本出願で提供されるいくつかの実施形態では、開示されるシステム、デバイス、および方法は、他の方法で実施されてよいことが理解されるべきである。例えば、上述したデバイスの実施形態は、単なる例示である。例えば、ユニットの区分は、単なる論理的機能の区分であり、実施の実施では他の区分であってよい。例えば、複数のユニットまたは構成要素が、組み合わされてよく、または、別のシステムに統合されてよく、または、いくつかの機能は、無視されてよく、または、実行されなくてよい。加えて、表示されるまたは議論される相互結合、または、直接的な結合もしくは通信接続は、いくつかのインタフェースを介して実施されてよい。デバイス間またはユニット間の間接的な結合または通信接続は、電子的、機械的、または他の形態で実施されてよい。
別個の部分として説明されるユニットは、物理的に別個であってもなくてもよく、ユニットとして表示される部分は、物理的ユニットであってもなくてもよく、1つの位置に配置されてよく、または、複数のネットワークユニットに分散されてよい。ユニットの一部または全部は、実施形態の解決法の目的を達成するための実際のニーズにしたがって選択されてよい。
加えて、本発明の実施形態の機能ユニットは、1つの処理ユニット内に統合されてよく、または、ユニットの各々は、物理的に単独で存在してよく、または、2つ以上のユニットが、1つのユニット内に統合されてよい。統合されたユニットは、ハードウェアの形態で実施されてよく、または、ソフトウェア機能ユニットの形態で実施されてよい。
統合されたユニットがソフトウェア機能ユニットの形態で実施され、独立した製品として販売または使用される場合、統合されたユニットは、コンピュータ可読記憶媒体に記憶されてよい。このような理解に基づき、本質的に本発明の技術的解決法、または、従来技術に寄与する部分、または、技術的解決法の全部もしくは一部は、ソフトウェア製品の形態で実施されてよい。コンピュータソフトウェア製品は、記憶媒体に記憶され、本発明の実施形態に記載の方法のステップの全部または一部を実行するために、コンピュータデバイス(パーソナルコンピュータ、サーバ、またはネットワークデバイスであってよい)に命令するためのいくつかの命令を含む。上記記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク、または光ディスクのような、プログラムコードを記憶することができる任意の媒体を含む。
前述の説明は、単に本発明の特定の実施形態であり、本発明の保護範囲を限定することを目的としない。本発明で開示される技術的範囲内の、当業者によって容易に考えられる変形または置換は、本発明の保護範囲内に入るものとする。したがって、本発明の保護範囲は、添付の特許請求の範囲に従うものとする。